SOC分析研究

Microcomputer Applications VoL. 29, No.11, 2013開(kāi)發(fā)應用微型電腦應用2013年第29卷第11期文章編號: 100757210110051-0SOC分析研究楊新鋒，劉克成摘要:闡述了SOC的定義，探討了soc與NOC之間的關(guān)系，詳細分析了soc應該具備的功能，對SOC的核心一-安全事件關(guān)聯(lián)進(jìn)行了深入的研究，在此基礎上給出了一個(gè)安全事件關(guān)聯(lián)分析示例。關(guān)鍵詞:安全管理平臺;安全事件;關(guān)聯(lián)分析中圖分類(lèi)號: TP391文獻標志碼: AAnalysis and Research on socYang Xinfeng, Liu Kecheng(School of Computer and Iformation Eninering. Nanyang Istitute of Tchnology, Nanyang 43000 China)Abstract: This paper dscerie the dfinitin of soc, explore the rlationship betwen SOc and NOC, deailed alysis the functionsoc should have, Conducted in-depth study the core of soC . scrity event corelation, On this basis,s a security event crelationexample is given.Key words: Security Operations Cener; Secuity Event; Crelation Analysis0引言定義。并且盡管其本質(zhì)是基本相同的，對于soc這個(gè)術(shù)語(yǔ)在現代虛擬世界中，造成信息安全事件的來(lái)源為病毒、的定義，國內外還存在不小的區別。國際上，一般將soc看作是安全運營(yíng)中心，它是-個(gè)蠕蟲(chóng)或木馬，不變的安全事件來(lái)源就是“人”。為適應各式對ITC (In-the-Cloud)服務(wù)及配套的CPE (Custoner Premi各樣攻擊手法、符合政府或企業(yè)法規要求，企業(yè)采取各種信se- Equipment)設施進(jìn)行全面監控、運維、管理的場(chǎng)所，并息安全科技，包含防毒、防火墻、主機型/網(wǎng)絡(luò )型入侵防御涵蓋相關(guān)的物理安全防護設施、辦公設施、人員組織、工作系統、身份認證與存取權限管理系統及身份安全、VPN甚流程和技術(shù)支撐環(huán)境。至網(wǎng)絡(luò )存取控制等，各種技術(shù)提供現代化信息安全防護的解在國內，一般將soc寬泛地等價(jià)于安全管理平臺。安決方案"。信息安全事件管理，包含監控、分析及反應，這些多樣全管理平臺的一-般性定 義是:安全管理平臺是一一個(gè)以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思化科技的結合對企業(yè)也產(chǎn)生新的挑戰,即是沒(méi)有一個(gè)方式可想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險模型， 協(xié)助管理員進(jìn)行事件以標準化、去重復化及關(guān)連這些存在于不同科技之事件。此分析、風(fēng)險分析、預警管理和應急響應處理的集中安全管理外，對于管理人員而言，通常管理防毒系統為-組人員， 管.系統。理IPS為一組人員，而管理防火墻也許又為另-組,這樣導嚴格意義上而言，soc不等同于安全管理平臺，安全致整體信息安全的管理出現各自為戰的窘境，對實(shí)時(shí)信息安管理平臺僅僅是soc的技術(shù)支撐部分。一個(gè)完整的soc不全事件的關(guān)聯(lián)分析也造成極大困難，由于要將上下游事件串僅包括安全管理平臺，還包括配套的組織、流程、場(chǎng)地等等。起，信息安全事件之后的調查時(shí)間會(huì )格外地冗長(cháng)1?？梢?jiàn)，國內所指的soc本質(zhì)上與國際上的定義是相同的。有鑒于此，企業(yè)為了達到安全水平，需要建設一個(gè)集中但是，由于國內soc發(fā)展的歷史原因，形成了國內外在s式資源，以跨越及整合這些不同層面之信息安全產(chǎn)品及管理oC定義上的形式化差異。資源，達到監控、分析及快速響應)，因此soc (Security2SOC與NOC的關(guān)系Operations Center) 應運而生。網(wǎng)絡(luò )安全的發(fā)展隨著(zhù)網(wǎng)絡(luò )建設經(jīng)歷了三個(gè)階段:一是防1 Soc的定義火墻、防病毒與入侵檢測系統IDS (Intrusion Detection Sys關(guān)于soc的定義，目前為止還沒(méi)有一個(gè)統一的標準化作者簡(jiǎn)介:楊新鋒(9792).男，議.河南省內鄉衛人。南陽(yáng)理工學(xué)院計算機科學(xué)與技術(shù)系。中國煤化工。南陽(yáng)，473000劉克成(1962-),男，議，陜西省橫山縣人，南陽(yáng)理I學(xué)院計算機科學(xué)與技術(shù)系.碩MHCNMHG究。南陽(yáng)，47300.Microcomputer Applications Vol. 29, No.11, 2013開(kāi)發(fā)應用微型電腦應用.2013年第29卷第11期tem)部署的初級階段4。二是隨著(zhù)網(wǎng)絡(luò )擴大，各種業(yè)務(wù)從對安全事件的分析與取證。由此soC的功能發(fā)展就延伸為相互獨立到共同運營(yíng),網(wǎng)絡(luò )管理中出現的安全域的概念,利3個(gè)維度，如圖2所示:用隔離技術(shù)把網(wǎng)絡(luò )分為邏輯的安全區域,并大量的使用區域審計↑邊界防護與脆弱性?huà)呙枧c用戶(hù)接入控制技術(shù)，此時(shí)的安全技術(shù)分為防護、監控、審計、認證、掃描等多種體系,紛繁復應用審計雜，稱(chēng)為安全建設階段51。三是隨著(zhù)業(yè)務(wù)的增多，網(wǎng)絡(luò )的安數據庫審計全管理成為網(wǎng)絡(luò )建設的新重點(diǎn),把各個(gè)分離的安全體系統-網(wǎng)絡(luò )行為審計管理、統一運營(yíng)，我們稱(chēng)為安全管理階段，其重點(diǎn)就是so終蠟審計九流豐防設主機審計加認防委防體防C的建設問(wèn)。從這個(gè)階段開(kāi)始，網(wǎng)絡(luò )安全將開(kāi)始走.上業(yè)務(wù)安全的新臺階，業(yè)務(wù)持續性保障BCM (Business Continuity入侵檢測DS防護Management)將成為下一步 業(yè)務(wù)安全評價(jià)的重點(diǎn)。漏洞掃描網(wǎng)絡(luò )的建設過(guò)程中，經(jīng)歷了從分離到統一，再到業(yè)務(wù)與病毒監測管理的分離、承載與業(yè)務(wù)的分離，其中網(wǎng)絡(luò )管理中心NOC流量監測(Network Operation Center)的發(fā)展起到重要的作用，那免態(tài)監測進(jìn)程監測么新興的安全運營(yíng)中心soc與網(wǎng)絡(luò )中心NOC是怎樣的關(guān)系監控呢圖2 soc 功能延伸的三維模型-種觀(guān)點(diǎn)認為SoC就是安全設備的運營(yíng)管理，無(wú)非是增加一些安全特性的管理與策略，soc是NOC的一個(gè)組成部分。但是網(wǎng)絡(luò )管理本身也需要安全管理的支持，安全管理各維度描述如表1所示:中心不僅要保障網(wǎng)絡(luò )支撐系統的安全,還要為業(yè)務(wù)應用提供安全保障，比如身份認證、授權系統等基礎安全設施。從功表1 soc功能延伸的二:個(gè)維度描述能的角度看, soC應該是NOC與業(yè)務(wù)管理的共同支撐系統，比如NOC中的日常維護,同樣要接受SOC中人員身份確認、維度述安全行為審計的管理。兩者的關(guān)系，如圖I所示:用戶(hù)負 貴安全網(wǎng)絡(luò )設備的管理 與基礎安全體業(yè)務(wù)服務(wù)平臺業(yè)務(wù)服務(wù)界面| 系的運營(yíng)。是安全事件出現前的各種防事前)護管理， 其特征就是制定的各種安全策業(yè)務(wù)調度系統(業(yè)務(wù)管理中心)|略并下發(fā)到相關(guān)的安全設備。保障業(yè)務(wù)服務(wù)業(yè)務(wù)實(shí)現支撐基礎支撐系統(安全管理中心網(wǎng)絡(luò )管理中心對安全 事件綜合分析，根據威脅程度進(jìn)監控與應急調度保障支撐系統|行預警，并對各種事件做出及時(shí)的應對事中) .圖1 soc與NOC的關(guān)系響應。從安全建設階段的后期開(kāi)始，企業(yè)業(yè)務(wù)設計的初期，sOC就與NOC一起成為IT服務(wù)基礎設施規劃的重點(diǎn)，設備事件的取證與重現、安全合規性審計、運維側重系統本身的管理，為業(yè)務(wù)提供通路:安全管理側重審計管理數據的統計分析、歷史數據的挖掘。安業(yè)務(wù)安全的保障,解除外來(lái)的與內部的威脅，兩者的信息是(事后)全的審計安全管理的事后“總結”， 也是互通的，只是實(shí)現技術(shù)與管理重點(diǎn)不同。安全管理是從業(yè)務(wù)安全防護的依據。發(fā)生的起點(diǎn)到業(yè)務(wù)完成的整個(gè)生命周期的安全保障。3SOC的功能SoC的功能是圍繞安全管理的過(guò)程來(lái)進(jìn)行的，對應了安全管理的關(guān)鍵是考慮全面，遺漏本身就會(huì )給系統帶來(lái)安全事件管理的事前、事中、事后3個(gè)階段。事前重點(diǎn)是防不安全的因素，所以SOC的三個(gè)維度建設應該是相輔相成護措施的部署，排兵布陣:事中是安全的監控與應急響應，的，單獨的哪一個(gè)方面都不可能替代其他方面的功能，三個(gè)對于可以預知的危險可以防護，但對于未知的危險只能是監方面相結合,中國煤化工個(gè)周期，才可以控，先發(fā)現再想辦法解決:事后是指對事件的事后挖掘分析，|全面保障客戶(hù),MYHCNMH G說(shuō)，soc應覆●52..Microcomputer Applications Vol. 29, No.11, 2013開(kāi)發(fā)應用微型電腦應用2013年第29卷第11期蓋的內容如表2所示:3安全事件關(guān)聯(lián)關(guān)聯(lián)分析是的整個(gè)安全事件管理的核心部分,例如國外E2 soc應該覆蓋的功能及其描述著(zhù)名廠(chǎng)商AreSight提供了簡(jiǎn)單的事件關(guān)聯(lián)、上下文關(guān)聯(lián)、攻擊場(chǎng)景關(guān)聯(lián)、低慢攻擊關(guān)聯(lián)、位置關(guān)聯(lián)、身份關(guān)聯(lián)、角色維度分析功能內容描述關(guān)聯(lián)等等。但關(guān)聯(lián)分析還有脆弱性信息關(guān)聯(lián)、因果關(guān)聯(lián)、推理關(guān)聯(lián)等等。從系統、網(wǎng)絡(luò )服務(wù)、應用等多角度3.1.關(guān)聯(lián)要素分析系統配置文件、運行狀態(tài)，發(fā)安全事件關(guān)聯(lián)與關(guān)聯(lián)要素緊密相關(guān)。按照事件來(lái)源，可脆弱性分析|現系統存在隱患、可能的漏洞，存以將數據源分為四類(lèi):安全設備、網(wǎng)絡(luò )設備.應用以及主機。在安全隱患的配置項其對應的關(guān)聯(lián)要素如下:事前(1)安全設備:防火墻日志、IDS 告警、防病毒掃描「對設備配置策略進(jìn)行集中維護、分信息、資產(chǎn)漏洞掃描信息、垃圾郵件信息等。安全預防配置策略分|析、審核，保證配置的安全性。能(2)網(wǎng)絡(luò )設備:路由器日志、交換機日志、流數據等。| 夠從全網(wǎng)的安全策略角度，實(shí)現策(3)應用系統:管理系統、數據完整檢查、Web 服務(wù)析審核略配置的智能化、集中化和可視等?；?4)主機: Windows/Linux/Unix 等支持各類(lèi)型主機、網(wǎng)絡(luò )設備、安全3.2.關(guān)聯(lián)形式根據設備來(lái)分，安全事件的關(guān)聯(lián)包括安全設備之間的關(guān)設備事件監| 設備的事件監控。用戶(hù)叮根據需要聯(lián)和安全設備自身的關(guān)聯(lián)兩種形式，即設備間關(guān)聯(lián)和設備內控設置監控條件，關(guān)注重點(diǎn)安全事關(guān)聯(lián)。設備間關(guān)聯(lián)包含規則關(guān)聯(lián)和資產(chǎn)漏洞關(guān)聯(lián)，設備內關(guān)件，及時(shí)發(fā)現高威脅的安全告警事聯(lián)采用統計關(guān)聯(lián)。件(1)規則關(guān)聯(lián)基于規則的關(guān)聯(lián)是指按用戶(hù)預定義的告警規則進(jìn)行關(guān)分析算法完| 加強統計關(guān)聯(lián)，提供重要安全信息聯(lián)分析。首先是按廠(chǎng)家、或管理員來(lái)預定義若干種可疑活動(dòng)。善|的基線(xiàn)統計。優(yōu)化多設備關(guān)聯(lián)分析系統接收到安全事件后，將其與規則進(jìn)行比較時(shí)，規則就會(huì )實(shí)時(shí)算法、規則的靈活配置。觸發(fā)。隨著(zhù)時(shí)間的推移，系統就會(huì )創(chuàng )建出事件“狀態(tài)”來(lái)跟| 監控分析調研關(guān)聯(lián)分析規則，進(jìn)行長(cháng)期的測蹤那些成功執行的關(guān)聯(lián)規則?；谝巹t的關(guān)聯(lián)分析可以有效地檢測出具體安全事件。規則庫完善試和驗證工.作，并對已有的規則但當它單獨使用時(shí)有一定的誤報率,并且對運算處理的要求(主機規則、IDS規則等)進(jìn)行歸較高。它能夠監測的異常情況也比較有限。但有一些廠(chǎng)家的納分類(lèi)，方便用戶(hù)使用。方法可以借鑒，如福富軟件的NSS網(wǎng)絡(luò )安全支撐系統在采| 對知識庫進(jìn)行補充完善，包含重要用基于規則的關(guān)聯(lián)的同時(shí)配合使用統計分析和漏洞關(guān)聯(lián)分知識庫整理的安全事件庫、安全案例庫、更多|析，提高了分析的準確性。| 的脆弱性信息庫、補丁信息庫等信(2)資產(chǎn)漏洞關(guān)聯(lián)漏洞關(guān)聯(lián)可以根據系統漏洞來(lái)進(jìn)行系統的評分。這-漏洞是由來(lái)自漏洞掃描工具的數據輸入米確定的。漏洞評分越對已入庫的安全事件進(jìn)行的二次高，系統對攻擊的敏感性就越大。只有當攻擊能充分利用系挖掘分析| 分析。需要應用數據挖掘、人工智統所具有的具體漏洞時(shí)，攻擊才能成功。漏洞關(guān)聯(lián)可以讓管| 能等方法來(lái)進(jìn)行事后的安全分析,理員關(guān)注于那些容易遭到這些事件攻擊的系統。發(fā)現潛在的異常行為和攻擊模式。漏洞關(guān)聯(lián)可使管理員的工作效率大大提高，及時(shí)準確的可視化攻擊| 以直觀(guān)圖形化方式、多種維度展現發(fā)現真正攻擊。另外，它還可將漏洞數據實(shí)時(shí)關(guān)聯(lián)到資產(chǎn)價(jià)| 攻擊會(huì )話(huà)的整個(gè)過(guò)程，直觀(guān)形象,值和威脅，進(jìn)而使管理員能看到具體事件的實(shí)際影響。漏洞事后分析方便決策。關(guān)聯(lián)可根據(依據輸入到系統中的漏洞數據而產(chǎn)生的)當前|分析預測漏洞情況而實(shí)現自動(dòng)化漏洞和風(fēng)險評估。合規性審計實(shí)現薩班斯內控審計索要的各項(3)統計關(guān)聯(lián)審計分析報告。利用統計關(guān)聯(lián)，可按資產(chǎn)或資產(chǎn)組將規范化安全事件歸類(lèi)為不同安全事件類(lèi)型(事件類(lèi)型的范圍包括偵察攻擊、病毒攻擊、拒絕服名攻土產(chǎn)竺系統可連續應用審計| 完善數據庫審計功能，提供操作審計算出一個(gè)威中國煤化工重程度與資產(chǎn)價(jià)計功能。值相加來(lái)確定YHC N M H G關(guān)聯(lián)方法的優(yōu)點(diǎn)●53..