【正文】 % a p p l i c a t i o n d o w n % ”S 1S I P = 1 0 . 1 . 1 . 5A P P L I C A T I O N _ N A M E = o r a c l eM s g L I K E “ % a p p l i c a t i o n d o w n % ”S 2S I P = 1 0 . 1 . 1 . 7A P P L I C A T I O N _ N A M E = t o m c a tM s g L I K E “ % c o n n e c t d b e r r o r % ”S 3A N D 該規(guī)則包含三個(gè)狀態(tài)節(jié)點(diǎn)： S1 定義為 SIP=、 Msg LIKE “％ application down％”； S2 定義為 SIP=、 Msg LIKE “％ application down％”； S2 定義為 SIP=、 Msg LIKE “％ connect db error％”。 該規(guī)則還包含兩個(gè)有條件的分支： T1 定義為 APP_SEVERITY=3； T2 定義為 APP_SEVERITY3。 這種規(guī)則是為了描述 主機(jī)被遠(yuǎn)程使用 ssh 登錄之后，可能出現(xiàn)的三種敏感安全事件，分別是系統(tǒng)重啟、系統(tǒng)日志進(jìn)程停止以及 root 用戶密碼被修改。 這種規(guī)則是為了描述 主機(jī)的應(yīng)用服務(wù)器在 8080 端口上的應(yīng)用服務(wù)重啟。 這種規(guī)則是為了描述 主機(jī)的應(yīng)用服務(wù)器在 8080 端口上的應(yīng)用服務(wù)停止。 事 件 監(jiān) 聽 線 程 事 件 分 配 線 程 動(dòng) 態(tài) 工 作 線 程靜 態(tài) 工 作 線 程 垃 圾 回 收 線 程動(dòng) 靜 態(tài) 線 程 平 衡結(jié) 果 處 理 線 程 發(fā) 送 線 程入 庫 線 程引 擎 主 線 程 診 斷 機(jī) 制聚 合 引 擎MQ脆 弱 性 關(guān) 聯(lián) 引 擎MQ配 置 文 件（ S Y S _ P A R A M ）中 央 管 理 器規(guī) 則（ R C _ R U L E 表 ）InitModifyS O A PSOAPSOAP數(shù) 據(jù) 庫（ H I G H _ S E V ER I T Y _ E V E N T、L O W _ S E V E R IT Y _ E V E N T 、R C _ R E L A T E D_ E V E N T 、R C _ R U L E 和R C _ S T A T E ）J D B CM Q其 它 引 擎 規(guī)則可以實(shí)現(xiàn)包括順序、分支、分支選擇、合并、循環(huán)以及這幾種結(jié)構(gòu)的組合結(jié)構(gòu)，以達(dá)到能夠靈活的描述出各種攻擊場(chǎng)景的需求。 事件分配事件匹配規(guī)則入庫e x t e n d i n c l u d e AEV C E事件監(jiān)聽i n c l u d e CM發(fā)送e x t e n d R C E RCE 的組織結(jié)構(gòu)如下圖所示，橙色的方框是 RCE 部分，灰色的方框是 RCE 與其它模塊的接口部分。 在系統(tǒng)中，規(guī)則關(guān)聯(lián)分析引擎（ Rulebased Correlation Engine， RCE）處于聚合引擎和漏洞關(guān)聯(lián)引 擎（ Vulnerability Correlation Engine， VCE）之后，其目的是接收來自于 AE和 VCE 的安全事件，并將事件以攻擊場(chǎng)景匹配的方式生成新的安全事件。 通過規(guī)則關(guān)聯(lián)分析 能夠匹配一個(gè)攻擊事件發(fā)生的一系列步驟或幾個(gè)關(guān)鍵步驟，而且能夠組合一個(gè)攻擊發(fā)生在不同主機(jī)上的多個(gè)事件。具體表現(xiàn)為， m 個(gè)事件發(fā)生聚合時(shí)，設(shè)入口流量為 m，出口流量為 n，則 mn??2 。 s t a r t日志收集格式化發(fā)送事件 獲取關(guān)鍵詞檢索前一事件設(shè)置聚合信息發(fā)送聚合事件保存事件無或者超時(shí)更新事件 發(fā)送事件檢索關(guān)鍵詞e n d[ 隔一定時(shí)間 ]c o r r e l a t i o n : E n g i n ek e r n e l : P Ka g g r e g a t e : A Ea g e n t : A G 事件被接收后，進(jìn)行聚 合處理，未聚合成功的事件保持 Normal 狀態(tài)，發(fā)生聚合的事件設(shè)置聚合標(biāo)志后，每隔一定時(shí)間后，由定時(shí)線程繼續(xù)發(fā)送到后續(xù)關(guān)聯(lián)引擎。發(fā)生聚合時(shí)，首一事件的聚合次數(shù)被設(shè)置為聚合事件的個(gè)數(shù)，并代替其余事件向后續(xù)關(guān)聯(lián)引擎?zhèn)鞑ァ蓚€(gè)以上事件如果關(guān)鍵詞一致，認(rèn)為是等同事件。 聚合引擎根據(jù)事件的關(guān)鍵詞序列將同一系列的事件進(jìn)行聚合。 聚合引擎負(fù)責(zé)初級(jí)的分析和聚合工作。 聚合引擎（ Aggregation Engine， AE）是處于收集代理之上第一層事件處理引擎。 Agent：原始日志采集代理，根據(jù)不同的采集方式，使用不同的采集代理進(jìn)程。 Vulnerability Correlation(VCE)：脆弱性關(guān)聯(lián)，檢查并標(biāo)明事件所隱含的脆弱性信息。 CM 作為服務(wù)中心，提供了兩大類服務(wù)：一、數(shù)據(jù)服務(wù)；二、告警服務(wù)。 該平臺(tái)系統(tǒng)實(shí)現(xiàn)了五種關(guān)聯(lián)分析機(jī)制： (一 ) 基于統(tǒng)計(jì)的關(guān)聯(lián)分析； (二 ) 基于規(guī)則的關(guān)聯(lián)分析； (三 ) 基于資產(chǎn)、脆弱性的關(guān)聯(lián)分析； (四 ) 事件溯源 關(guān)聯(lián)分析 (五 ) 與工單系統(tǒng)關(guān)聯(lián) 無論是哪一種關(guān)聯(lián)分析方法，都需要具備一個(gè)基礎(chǔ)的模型框架作為工作基礎(chǔ)，本平臺(tái)所設(shè)計(jì)的關(guān)聯(lián)分析過程的數(shù)據(jù)流向以及各個(gè)模塊間的交互關(guān)系如下圖所示： 各個(gè)節(jié)點(diǎn)模塊的概念及功能說明如下： Cental Manager(CM)：關(guān)聯(lián)分 析模塊的中央管理，既是控制中心，又是服務(wù)中心。為了提高 NetEye 安全管理平臺(tái)系統(tǒng)數(shù)據(jù)分析的準(zhǔn)確性，該平臺(tái)能夠自動(dòng)對(duì)收集上來的安全告警日志數(shù)據(jù)進(jìn)行一定的關(guān)聯(lián)分析處理，幫助用戶發(fā)現(xiàn)有效的安全事 件。 該平臺(tái)對(duì)安全信息經(jīng)過標(biāo)準(zhǔn)化后的內(nèi)容包括： ? 事件編號(hào)：產(chǎn)生安全事件的序列號(hào)； ? 事件名稱：該事件的名稱； ? 資產(chǎn)名稱：發(fā)現(xiàn)事件的資產(chǎn)名稱； ? 事件類別：安全事件的所屬類別 ，如：拒絕服務(wù)、非授權(quán)訪問、緩沖區(qū)溢出、網(wǎng)絡(luò)協(xié)議等； ? 緊急程度：該事件的嚴(yán)重級(jí)別； ? 事件內(nèi)容：該事件的具體內(nèi)容； ? 事件發(fā)生時(shí)間：該事件發(fā)生的具體時(shí)間； ? 協(xié)議：該事件所使用的協(xié)議； ? 源 IP/源端口：發(fā)生該事件相關(guān)的源 IP/源端口； ? 目的 IP/目的端口：發(fā)生該事件相關(guān)的目的 IP/目的端口； ? 保留字段：可擴(kuò)充的其他內(nèi)容。 每種采集方式所采集的內(nèi)容如下所示： 序號(hào) 采集方式 采集內(nèi)容 1 SYSLOG 收集安全告警日志，主要是從入侵監(jiān)測(cè)系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)測(cè)系統(tǒng)、病毒監(jiān)測(cè)系統(tǒng)、郵件安全監(jiān)測(cè)系統(tǒng)、 Web 應(yīng)用安全監(jiān)測(cè)系統(tǒng)、僵尸網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)、防火墻等安全設(shè)備和安全系統(tǒng)上收集報(bào)警日志； 2 SNMP Trap 收集安全告警日志，當(dāng)安全設(shè)備不支持 SYSLOG 輸出，而支持SNMP Trap輸出時(shí)，該平臺(tái)支持通過 SNMP TRAP 方式收集安全告警日志； 3 SNMP 輪巡 支持 SNMP 服務(wù)的設(shè)備進(jìn)行拓?fù)渥詣?dòng)發(fā)現(xiàn)； 針對(duì)網(wǎng)絡(luò)設(shè)備，從設(shè)備的 MIB 庫中獲取設(shè)備配置信息、運(yùn)行信息、等數(shù)據(jù)； 針對(duì)操作系統(tǒng)，從操作系統(tǒng)的 MIB 中獲取系統(tǒng)的靜態(tài)配置信息； 4 Tel/SSH 負(fù)責(zé)從 Unix、 Linux 服務(wù)器上采集與操作系統(tǒng)有關(guān)的運(yùn)行信息，包括： CPU 動(dòng)態(tài)信息、內(nèi)存動(dòng)態(tài)信息、系統(tǒng)進(jìn)程動(dòng)態(tài)信息、硬盤動(dòng)態(tài)信息、用戶訪問信息等； 5 專用 Agent 負(fù)責(zé)從 Windows 服務(wù)器 上采集與操作系統(tǒng)有關(guān)的運(yùn)行 信息，包括： CPU 動(dòng)態(tài)信息、內(nèi)存動(dòng)態(tài)信息、系統(tǒng)進(jìn)程動(dòng)態(tài)信息、硬盤動(dòng)態(tài)信息、用戶訪問信息等； 6 HTTP 用于對(duì)業(yè)務(wù)系統(tǒng)的可用性進(jìn)行監(jiān)控； 負(fù)責(zé)從中間件采集 會(huì)話動(dòng)態(tài)信息、進(jìn)程池動(dòng)態(tài)信息、 JDBC連接池動(dòng)態(tài)信息等； 7 JMX 從中間件采集 會(huì)話動(dòng)態(tài)信息、進(jìn)程池動(dòng)態(tài)信息、 JDBC 連接池動(dòng)態(tài)信息等； 9 ODBC 從數(shù)據(jù)庫中直接采集數(shù)據(jù)庫相關(guān)信息，包括：數(shù)據(jù)庫版本、字符集、配置的臨時(shí)表大小、臨時(shí)表目錄、數(shù)據(jù)表信息、緩存信息、線程信息、鎖信息、頁和行鎖信息等； 10 SOAP/XML 負(fù)責(zé)與第三方產(chǎn)品使用相 關(guān)協(xié)議交互數(shù)據(jù)使用； 數(shù)據(jù)格式標(biāo)準(zhǔn)化 NetEye 安全管理平臺(tái) 系統(tǒng) 解決了各個(gè) IT 系統(tǒng)造成的海量數(shù)據(jù)和信息孤島的困擾，整體上簡化了安全管理的數(shù)據(jù)模型。 數(shù)據(jù)采集 數(shù)據(jù)獲取組件負(fù)責(zé)將相關(guān)數(shù)據(jù) 統(tǒng)一收集起來， 根據(jù)不同的設(shè)備類別，所采集數(shù)據(jù)的方式也有所不同。 然后 處理這些日志并轉(zhuǎn)換成安全信息，安全信息 將作為后續(xù) 模塊 的輸入。數(shù)據(jù)來源設(shè)備 能夠向 數(shù)據(jù)獲取組件 發(fā)送日志 信息，發(fā)送的格式 可以是網(wǎng)絡(luò)協(xié)議也可以是通過自定義的格式。 數(shù)據(jù)采集 事件管理中的 數(shù)據(jù) 采集 模塊主要負(fù)責(zé) 從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件等數(shù)據(jù)來源設(shè)備 /系統(tǒng)收集日志，并對(duì)收集到 的日志通過進(jìn)行過濾、格式化等過程，解析出有用的信息，轉(zhuǎn)換成便于處理 與分析 的格式 ， 在 平 臺(tái) 與 數(shù)據(jù)來源設(shè)備 之間提供接口 。 針對(duì) 多數(shù)據(jù)源的特點(diǎn)， 該模塊將 通過 SYSLOG、 SNMP、 ODBC、 XML、 SOAP 標(biāo)準(zhǔn)協(xié)議實(shí)時(shí)接收 ； 針對(duì)不同的主機(jī)系統(tǒng)、不同的數(shù)據(jù)庫系統(tǒng)、不同的應(yīng)用程序系統(tǒng)等應(yīng)能通過 tel、 ssh、 ftp 等方式來主動(dòng)獲取。 可管理的資產(chǎn)類型 NetEye 安全管理平臺(tái)系統(tǒng)目前支持的資產(chǎn)類型包括： ? 主 機(jī) 系 統(tǒng) ， 包 括 ： Windows2020/2020/2020 服 務(wù) 器 系 統(tǒng) 、Windows2020/XP/VISTA 終端系統(tǒng)、 AIX 服務(wù)器系統(tǒng)、 Linux 系統(tǒng)、 Solaris服務(wù)器系統(tǒng)等 ； ? 安全設(shè)備，包括國內(nèi)外主流的安全設(shè)備，包括：防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、審計(jì)系統(tǒng)、反垃圾郵件系統(tǒng)、漏洞掃描系統(tǒng)、身份認(rèn)證系統(tǒng)等； ? 中間件系統(tǒng) ，包括國際主流的大型企業(yè)級(jí)應(yīng)用中間件等； ? 數(shù)據(jù)庫系統(tǒng)，包括國際主流的大型數(shù)據(jù)庫 等 ； ? 網(wǎng)絡(luò)設(shè)備，包括國內(nèi)外主流的路由器、交換機(jī) 等 ； ? 支持 tel 和 ssh 方式對(duì)設(shè)備進(jìn)行控制，并提供協(xié)議擴(kuò)展，內(nèi)置了對(duì)防火墻、路由器、交換機(jī)、 Linux 操作系統(tǒng)、 Windows 操作系統(tǒng)及 UNIX 操作系統(tǒng)等設(shè)備的支持，并可以根據(jù)用戶實(shí)際需要進(jìn)行擴(kuò)展。 資產(chǎn)管理的主要功能是對(duì)資產(chǎn) 進(jìn)行 管理 ，包括：資產(chǎn)歸類， 資產(chǎn)信息的錄入 ，資產(chǎn)信息的批量 導(dǎo)入 和到處， 資產(chǎn)賦值 ， 資產(chǎn)屬性編輯等功能。資產(chǎn)管理 實(shí)現(xiàn)了 對(duì)信息資產(chǎn)的描述和定義，并結(jié)合組織的基本情況進(jìn)行資產(chǎn)的分類和登記，不僅可以協(xié)助安全人員有效管理信息資產(chǎn)的各類屬性，同時(shí)也便于貫徹 行業(yè)內(nèi)相關(guān)的分級(jí)保護(hù)規(guī)范。信息中心 可以根據(jù)資產(chǎn)價(jià)值及其重要性進(jìn)行 地域或者 安全域的劃分，或者根據(jù)信息資產(chǎn)的 業(yè)務(wù)屬性、設(shè)備類型、網(wǎng)段進(jìn)行 劃分 。 NetEye 安全管理平臺(tái) 系統(tǒng)所 管理的資產(chǎn)包括 ： ? 主機(jī)設(shè)備 ； ? 網(wǎng)絡(luò)設(shè)備 ； ? 業(yè)務(wù)系統(tǒng) ； ? 數(shù)據(jù)庫系統(tǒng) ； ? 其他與信息系統(tǒng)相關(guān)的 資產(chǎn)。 Agent：原始日志采集代理，根據(jù)不同的采集方式，使用不同的采集代理進(jìn)程。 Vulnerability Correlation(VCE)：脆弱性關(guān)聯(lián)，檢查并標(biāo)明事件所隱含的脆弱性信息。 CM 作為服務(wù)中心，提供了兩大類服務(wù)：數(shù)據(jù)服務(wù)、告警服務(wù)。 Cental Manager(CM)：關(guān)聯(lián)分析模 塊的中央管理，既是控制中心，又是服務(wù)中心。通過展示平臺(tái)，我們能夠查看資產(chǎn)分布狀態(tài)、關(guān)注區(qū)域的安全狀況、安全事件的發(fā)生趨勢(shì)、各類資產(chǎn)的脆弱性狀況等；通過展示平臺(tái)，最終完成對(duì)資產(chǎn)管理、安全信息監(jiān)控、脆弱性管理、安全事件處理、安全知識(shí)管理、安全策略管理、安全狀況評(píng)估、安全預(yù)警各功能模塊的配置；通過展示平臺(tái)，最終完成報(bào)表的生成、輸出（保存和打?。┑取? 展示平臺(tái)通過應(yīng)用服務(wù)層從數(shù)據(jù)庫中提取安全信息，按照定制策略進(jìn)行抽樣分析、模式匹配、異常檢測(cè)完成安全信息的統(tǒng)計(jì)。 展示平臺(tái)通過應(yīng)用服務(wù)層最終完成了資產(chǎn)管理、脆弱性管理、風(fēng)險(xiǎn)管理、工單管理、安全知識(shí)管理、安全策略管理、安全預(yù)警等模塊的配置信息的錄入和修改功能。 數(shù)據(jù)處理層必須將采集到的原始安全信息與通過應(yīng)用服務(wù)層存儲(chǔ)的資產(chǎn)信息進(jìn)行關(guān)聯(lián)分析，以從海量的原始安全信息中提取出有價(jià)值的安全信息，為有效降低風(fēng)險(xiǎn)提供準(zhǔn)確依據(jù)。 數(shù)據(jù)處理層 數(shù)據(jù)處理層負(fù)責(zé)對(duì)采集到的原始安全信息進(jìn)行分析處理。 采集的方式包括： SNMP Trap、 SYSLOG、 ODBC/JDBC、 HTTP/XML、文件、與用戶協(xié)商的擴(kuò)充協(xié)議。通過統(tǒng)一的 圖形化管理界面， NetEye 安全管理平臺(tái) 實(shí)現(xiàn) 了安全監(jiān)控、維護(hù)、管理、展示的全部功能 。 ? 應(yīng)用服務(wù)層：從數(shù)據(jù)庫中提取信息，并按照策略完成數(shù)據(jù)的過濾、條件分析，為展示平臺(tái)提供數(shù)據(jù)支持；同時(shí)還是展示平臺(tái)進(jìn)行資源配置的接口。 審計(jì)系統(tǒng)漏洞掃描系統(tǒng)入侵檢測(cè)防火墻防病毒網(wǎng)絡(luò)設(shè)備主機(jī)設(shè)備應(yīng)