SOC分析研究

Microcomputer Applications VoL. 29, No.11, 2013开发应用微型电脑应用2013年第29卷第11期文章编号: 100757210110051-0SOC分析研究杨新锋，刘克成摘要:阐述了SOC的定义，探讨了soc与NOC之间的关系，详细分析了soc应该具备的功能，对SOC的核心一-安全事件关联进行了深入的研究，在此基础上给出了一个安全事件关联分析示例。关键词:安全管理平台;安全事件;关联分析中图分类号: TP391文献标志码: AAnalysis and Research on socYang Xinfeng, Liu Kecheng(School of Computer and Iformation Eninering. Nanyang Istitute of Tchnology, Nanyang 43000 China)Abstract: This paper dscerie the dfinitin of soc, explore the rlationship betwen SOc and NOC, deailed alysis the functionsoc should have, Conducted in-depth study the core of soC . scrity event corelation, On this basis,s a security event crelationexample is given.Key words: Security Operations Cener; Secuity Event; Crelation Analysis0引言定义。并且尽管其本质是基本相同的，对于soc这个术语在现代虚拟世界中，造成信息安全事件的来源为病毒、的定义，国内外还存在不小的区别。国际上，一般将soc看作是安全运营中心，它是-个蠕虫或木马，不变的安全事件来源就是“人”。为适应各式对ITC (In-the-Cloud)服务及配套的CPE (Custoner Premi各样攻击手法、符合政府或企业法规要求，企业采取各种信se- Equipment)设施进行全面监控、运维、管理的场所，并息安全科技，包含防毒、防火墙、主机型/网络型入侵防御涵盖相关的物理安全防护设施、办公设施、人员组织、工作系统、身份认证与存取权限管理系统及身份安全、VPN甚流程和技术支撑环境。至网络存取控制等，各种技术提供现代化信息安全防护的解在国内，一般将soc宽泛地等价于安全管理平台。安决方案"。信息安全事件管理，包含监控、分析及反应，这些多样全管理平台的一-般性定 义是:安全管理平台是一一个以资产为核心，以安全事件管理为关键流程，采用安全域划分的思化科技的结合对企业也产生新的挑战,即是没有一个方式可想，建立一套实时的资产风险模型， 协助管理员进行事件以标准化、去重复化及关连这些存在于不同科技之事件。此分析、风险分析、预警管理和应急响应处理的集中安全管理外，对于管理人员而言，通常管理防毒系统为-组人员， 管.系统。理IPS为一组人员，而管理防火墙也许又为另-组,这样导严格意义上而言，soc不等同于安全管理平台，安全致整体信息安全的管理出现各自为战的窘境，对实时信息安管理平台仅仅是soc的技术支撑部分。一个完整的soc不全事件的关联分析也造成极大困难，由于要将上下游事件串仅包括安全管理平台，还包括配套的组织、流程、场地等等。起，信息安全事件之后的调查时间会格外地冗长1。可见，国内所指的soc本质上与国际上的定义是相同的。有鉴于此，企业为了达到安全水平，需要建设一个集中但是，由于国内soc发展的历史原因，形成了国内外在s式资源，以跨越及整合这些不同层面之信息安全产品及管理oC定义上的形式化差异。资源，达到监控、分析及快速响应)，因此soc (Security2SOC与NOC的关系Operations Center) 应运而生。网络安全的发展随着网络建设经历了三个阶段:一是防1 Soc的定义火墙、防病毒与入侵检测系统IDS (Intrusion Detection Sys关于soc的定义，目前为止还没有一个统一的标准化作者简介:杨新锋(9792).男，议.河南省内乡卫人。南阳理工学院计算机科学与技术系。中国煤化工。南阳，473000刘克成(1962-),男，议，陕西省横山县人，南阳理I学院计算机科学与技术系.硕MHCNMHG究。南阳，47300.Microcomputer Applications Vol. 29, No.11, 2013开发应用微型电脑应用.2013年第29卷第11期tem)部署的初级阶段4。二是随着网络扩大，各种业务从对安全事件的分析与取证。由此soC的功能发展就延伸为相互独立到共同运营,网络管理中出现的安全域的概念,利3个维度，如图2所示:用隔离技术把网络分为逻辑的安全区域,并大量的使用区域审计↑边界防护与脆弱性扫描与用户接入控制技术，此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复应用审计杂，称为安全建设阶段51。三是随着业务的增多，网络的安数据库审计全管理成为网络建设的新重点,把各个分离的安全体系统-网絡行为审计管理、统一运营，我们称为安全管理阶段，其重点就是so终蠟审计九流丰防设主机审计加认防委防体防C的建设问。从这个阶段开始，网络安全将开始走.上业务安全的新台阶，业务持续性保障BCM (Business Continuity入侵检测DS防护Management)将成为下一步 业务安全评价的重点。漏洞扫描网络的建设过程中，经历了从分离到统一，再到业务与病毒监测管理的分离、承载与业务的分离，其中网络管理中心NOC流量监测(Network Operation Center)的发展起到重要的作用，那免态监测进程监测么新兴的安全运营中心soc与网络中心NOC是怎样的关系监控呢图2 soc 功能延伸的三维模型-种观点认为SoC就是安全设备的运营管理，无非是增加一些安全特性的管理与策略，soc是NOC的一个组成部分。但是网络管理本身也需要安全管理的支持，安全管理各维度描述如表1所示:中心不仅要保障网络支撑系统的安全,还要为业务应用提供安全保障，比如身份认证、授权系统等基础安全设施。从功表1 soc功能延伸的二:个维度描述能的角度看, soC应该是NOC与业务管理的共同支撑系统，比如NOC中的日常维护,同样要接受SOC中人员身份确认、维度述安全行为审计的管理。两者的关系，如图I所示:用户负 贵安全网络设备的管理 与基础安全体业务服务平台业务服务界面| 系的运营。是安全事件出现前的各种防事前)护管理， 其特征就是制定的各种安全策业务调度系统(业务管理中心)|略并下发到相关的安全设备。保障业务服务业务实现支撑基础支撑系统(安全管理中心网络管理中心对安全 事件综合分析，根据威胁程度进监控与应急调度保障支撑系统|行预警，并对各种事件做出及时的应对事中) .图1 soc与NOC的关系响应。从安全建设阶段的后期开始，企业业务设计的初期，sOC就与NOC一起成为IT服务基础设施规划的重点，设备事件的取证与重现、安全合规性审计、运维侧重系统本身的管理，为业务提供通路:安全管理侧重审计管理数据的统计分析、历史数据的挖掘。安业务安全的保障,解除外来的与内部的威胁，两者的信息是(事后)全的审计安全管理的事后“总结”， 也是互通的，只是实现技术与管理重点不同。安全管理是从业务安全防护的依据。发生的起点到业务完成的整个生命周期的安全保障。3SOC的功能SoC的功能是围绕安全管理的过程来进行的，对应了安全管理的关键是考虑全面，遗漏本身就会给系统带来安全事件管理的事前、事中、事后3个阶段。事前重点是防不安全的因素，所以SOC的三个维度建设应该是相辅相成护措施的部署，排兵布阵:事中是安全的监控与应急响应，的，单独的哪一个方面都不可能替代其他方面的功能，三个对于可以预知的危险可以防护，但对于未知的危险只能是监方面相结合,中国煤化工个周期，才可以控，先发现再想办法解决:事后是指对事件的事后挖掘分析，|全面保障客户,MYHCNMH G说，soc应覆●52..Microcomputer Applications Vol. 29, No.11, 2013开发应用微型电脑应用2013年第29卷第11期盖的内容如表2所示:3安全事件关联关联分析是的整个安全事件管理的核心部分,例如国外E2 soc应该覆盖的功能及其描述著名厂商AreSight提供了简单的事件关联、上下文关联、攻击场景关联、低慢攻击关联、位置关联、身份关联、角色维度分析功能内容描述关联等等。但关联分析还有脆弱性信息关联、因果关联、推理关联等等。从系统、网络服务、应用等多角度3.1.关联要素分析系统配置文件、运行状态，发安全事件关联与关联要素紧密相关。按照事件来源，可脆弱性分析|现系统存在隐患、可能的漏洞，存以将数据源分为四类:安全设备、网络设备.应用以及主机。在安全隐患的配置项其对应的关联要素如下:事前(1)安全设备:防火墙日志、IDS 告警、防病毒扫描「对设备配置策略进行集中维护、分信息、资产漏洞扫描信息、垃圾邮件信息等。安全预防配置策略分|析、审核，保证配置的安全性。能(2)网络设备:路由器日志、交换机日志、流数据等。| 够从全网的安全策略角度，实现策(3)应用系统:管理系统、数据完整检查、Web 服务析审核略配置的智能化、集中化和可视等。化(4)主机: Windows/Linux/Unix 等支持各类型主机、网络设备、安全3.2.关联形式根据设备来分，安全事件的关联包括安全设备之间的关设备事件监| 设备的事件监控。用户叮根据需要联和安全设备自身的关联两种形式，即设备间关联和设备内控设置监控条件，关注重点安全事关联。设备间关联包含规则关联和资产漏洞关联，设备内关件，及时发现高威胁的安全告警事联采用统计关联。件(1)规则关联基于规则的关联是指按用户预定义的告警规则进行关分析算法完| 加强统计关联，提供重要安全信息联分析。首先是按厂家、或管理员来预定义若干种可疑活动。善|的基线统计。优化多设备关联分析系统接收到安全事件后，将其与规则进行比较时，规则就会实时算法、规则的灵活配置。触发。随着时间的推移，系统就会创建出事件“状态”来跟| 监控分析调研关联分析规则，进行长期的测踪那些成功执行的关联规则。基于规则的关联分析可以有效地检测出具体安全事件。规则库完善试和验证工.作，并对已有的规则但当它单独使用时有一定的误报率,并且对运算处理的要求(主机规则、IDS规则等)进行归较高。它能够监测的异常情况也比较有限。但有一些厂家的纳分类，方便用户使用。方法可以借鉴，如福富软件的NSS网络安全支撑系统在采| 对知识库进行补充完善，包含重要用基于规则的关联的同时配合使用统计分析和漏洞关联分知识库整理的安全事件库、安全案例库、更多|析，提高了分析的准确性。| 的脆弱性信息库、补丁信息库等信(2)资产漏洞关联漏洞关联可以根据系统漏洞来进行系统的评分。这-漏洞是由来自漏洞扫描工具的数据输入米确定的。漏洞评分越对已入库的安全事件进行的二次高，系统对攻击的敏感性就越大。只有当攻击能充分利用系挖掘分析| 分析。需要应用数据挖掘、人工智统所具有的具体漏洞时，攻击才能成功。漏洞关联可以让管| 能等方法来进行事后的安全分析,理员关注于那些容易遭到这些事件攻击的系统。发现潜在的异常行为和攻击模式。漏洞关联可使管理员的工作效率大大提高，及时准确的可视化攻击| 以直观图形化方式、多种维度展现发现真正攻击。另外，它还可将漏洞数据实时关联到资产价| 攻击会话的整个过程，直观形象,值和威胁，进而使管理员能看到具体事件的实际影响。漏洞事后分析方便决策。关联可根据(依据输入到系统中的漏洞数据而产生的)当前|分析预测漏洞情况而实现自动化漏洞和风险评估。合规性审计实现萨班斯内控审计索要的各项(3)统计关联审计分析报告。利用统计关联，可按资产或资产组将规范化安全事件归类为不同安全事件类型(事件类型的范围包括侦察攻击、病毒攻击、拒绝服名攻土产竺系统可连续应用审计| 完善数据库审计功能，提供操作审计算出一个威中国煤化工重程度与资产价计功能。值相加来确定YHC N M H G关联方法的优点●53..