天融信服務世博之信息安全管理平臺事件數據標準化方法
一:背景概述
信息化在推動上海世博會業務更好更快的發展上起到了不可替代的作用,但同時上海世博會在信息化建設中也面臨著許多的信息安全威脅,如邊界安全風險,主要包括黑客攻擊、垃圾郵件等;內網安全風險,主要包括主機系統漏洞、服務配置不當等;應用風險,主要包括Web服務器、文件服務器安全風險等。所以,對上海世博局來說,重視和加強信息化安全整體監控的建設刻不容緩。
而建立統一的信息安全監控平臺需要與世博會各個業務系統提供商、網絡服務提供商、安全服務提供商、以及相關部門進行有序的技術協商和安全管理思路的融合,同時日志標準化的工作面臨著時間緊、責任大、技術難度高等一系列問題,安全監控平臺技術進展面臨著很大的考驗。
二:四因素制約事件數據標準化
第41屆上海世博會是歷史上參與國家最多、參觀人員最多的一次。支持此次盛會的信息系統非常復雜,這對信息安全提出了非常高的要求。
對于支撐、保障這些業務系統正常運行的網絡設備、安全設備、系統、數據庫等產生的事件數據全球沒有統一標準,世博局設備種類眾多,各個廠家設備的事件數據日志格式各異,功能各異,部署地點不在同一安全域,采集方式多異,歸并難度大,強度高,事件流路徑復雜等。這為事件數據采集、過濾、歸并、關聯帶來的很大的技術挑戰。
品牌各異:上海世博會為了通過信息化支撐業務系統,采購了大量的不同品牌的產品,如微軟、IBM、CISCO、華為等等。
產品功能各異:操作系統、數據庫、存儲、路由器、交換機、防火墻、UTM、網閘
部署地點各異:安全管理域、互聯網域、周家渡、行政中心機房等
事件內容各異:各個廠家都有自己的自定義字段
事件發送方式各異:snmp syslog wmi opsec 等,甚至有些廠家沒有提供顯示的日志發送功能(通過二次開發融合)。
三:從四方面入手解決事件數據標準化的問題
經過細致深入的討論研究后,攻關團隊將問題分解為4個方面,分別著手解決日志標準化的問題。這4個部分是:
1.數據采集方法的標準化
攻關團隊在原有的基礎上完善了系統的數據采集層。新的數據采集層能夠實現對各類安全設備的安全數據的采集,在組成形式上數據采集層可以由多種形式的采集功能組件組合構成,支持分布式的采集處理架構。
新的數據采集層支持對各類安全對象的標準接口協議的適配。實現對包括安全對象的配置、運 行狀態、安全事件、脆弱性等數據的采集。數據采集層應支持主流采集協議或接口方式,包括但不限于:
Syslog:采集Unix,支持Syslog協議的防火墻、路由器、交換機、防病毒和IDS等系統或設備;
SNMP、SNMPTrap V1、V2、V3:采集支持Snmp協議的防火墻、路由器、交換機、防病毒、終端補丁、IDS和應用系統等系統或設備;
OPSEC:采集CheckPoint防火墻的日志;#p#
ODBC/JDBC:采集存儲到于關系型數據庫的應用系統日志;
通用文件:支持基于文件的日志采集,能夠通過模板配置完成日志記錄的格式化;
專用日志采集接口:對僅支持專用管理接口的系統,能夠支持多種專用API采集接口和通用的采集調度能力,例如脆弱性掃描系統的API或接口XML文件、Windows的WMI;
2.原始事件格式標準化:
安全事件采集過程收集到多種類型的原始事件信息,而這些原始事件的格式和內容不盡相同。攻關團隊開發了一套基于數據格式和數據映射腳本的數據標準方法和過程。數據格式化腳本,用于按照需要對數據進行靈活的拆分、組裝,實現數據格式化。數據映射腳本,用于將格式后的數據進 行語義表達,實現數據映射。最終實現數據歸一化。與傳統的基于插件的數據標準方法相比,具有開發、維護難度小,快速靈活適應客戶化等特點。
事件標準化過程將不同的事件數據格式轉換成標準的事件格式并對其分類與存儲,能夠為上層各分析模塊提供數據支持。
經標準化處理后的各事件包括以下屬性:
|
序號
|
名稱
|
是否必需
|
說明
|
|
1.
|
發送安全事件的設備地址
|
是
|
發送該事件的設備地址。
|
|
2.
|
發送安全事件的系統類型
|
是
|
該設備的設備類型名稱。
|
|
3.
|
事件名稱
|
是
|
格式如 “HTTP_讀命令”
|
|
4.
|
協議類型
|
否
|
涉及網絡協議的事件必填。參照常用協議類型表,未列出的自行填寫。
|
|
5.
|
特征串
|
是
|
詳細事件特征串
|
|
6.
|
事件源IP
|
否
|
按網絡字節序存
|
|
7.
|
事件目的IP
|
是
|
按網絡字節序存。在病毒、蠕蟲類事件中,為感染這些惡意代碼的系統IP。
|
|
8.
|
事件源端口
|
否
|
按網絡字節序存
|
|
9.
|
事件目的端口
|
否
|
按網絡字節序存
|
|
10.
|
發送流量
|
否
|
發送的流量。異常流量事件必填。
|
|
11.
|
接收流量
|
否
|
接收的流量。異常流量事件必填
|
|
12.
|
發送流量單位
|
否
|
如有發送流量,必填。其中,0:KB;1:MB。
|
|
13.
|
接收流量單位
|
否
|
如有發送流量,必填。其中,0:KB;1:MB。
|
|
14.
|
進入數據包數
|
否
|
接收數據包數量。異常流量事件必填。
|
|
15.
|
離開數據包數
|
否
|
發送數據包數量。異常流量事件必填。
|
|
16.
|
事件相關域名和URL
|
否
|
網頁掛馬、域名劫持、CGI攻擊、網絡仿冒等涉及域名和URL的事件必填
|
|
17.
|
原始危害等級
|
否
|
直接取原始事件中的某個字符串在初始化部分賦給它即可
|
|
18.
|
歸并數量
|
是
|
多個事件歸并的數量
|
|
19.
|
事件內容
|
是
|
事件內容描述(從原始日志中提取得關鍵字),例如Syslog包所有原始內容
|
以上是安全事件屬性的基本內容,其他屬性可以作為對安全事件描述的輔助屬性。
安全事件的屬性是可以擴展訂制的,擴展屬生與基本屬性都可以參與事件的標準化、邏輯判斷、條件查詢、報表輸出等。
3.原始事件過濾標準化。
為了從海量的事件中進行有針對性的分析,攻關團隊優化了安管平臺的事件有過濾功能。事件過濾功能可以對接入的已經標準化的安全事件進行進一步過濾篩選。安全事件過濾規則包含以下屬性:
過濾規則名稱:對過濾規則的描述;
過濾條件:設定安全事件應該滿足的條件;
響應方式:對滿足條件的安全事件的處理方式;
下面對安全事件過濾中的過濾條件、響應方式、以及安全事件調整進行統一要求。#p#
A.過濾條件
安全事件的過濾條件,根據標準化的安全事件的基本屬性,過濾條件至少可以按照以下屬性進行過濾:
安全事件名稱;模糊匹配方式,比如包含、等于、等;
設備地址;地址匹配方式,比如等于;
設備類型名稱;模糊匹配方式,比如包含、等于、等;
源地址;地址匹配方式,比如等于;
源端口;數字匹配方式,比如等于、大于、等;
目的地址;地址匹配方式,比如等于;
目的端口;數字匹配方式,比如等于、大于、等;
B.事件處理方式
安全事件過濾完成后,需要進行進一步的處理,這種處理是對滿足過濾條件的事件響應方式,安全事件的過濾響應方式至少應包括以下方式:
丟棄:直接對滿足條件的安全事件丟棄,不再寫入數據庫,也不再進一步處理;
寫入數據庫:對滿足條件的安全事件存入數據庫,作進一步的處理;
4.原始事件歸并標準化。
對于過濾后的安全事件,仍然存在很多重復或者相似的事件。所以事件數據標準化的第四個方面是對事件進行歸并。歸并規則,就是在什么情況下,滿足什么條件,對哪些字段進行歸并。
事件歸并功能可以對海量的安全事件依據歸并條件進行歸并,達到簡化安全事件,提高安全事件準確率。
A.安全事件歸并規則應該包含以下屬性
歸并規則名稱:對過濾規則的描述;
歸并條件:設定安全事件應該滿足的條件;
歸并字段:歸并處理的事件字段,所列字段內容相同的事件才進行歸并,比如安全事件的名稱,設備地址等事件基本屬性;
歸并時間:歸并事件的時間窗口,指多長時間進行一次歸并;
歸并數目:需要歸并事件的數量,指多少事件進行一次歸并;
對被歸并事件的處理方式:被歸并的事件以何種方式進行處理;
B.被歸并事件的處理方式
阻塞方式:直接將被歸并事件全部丟棄,不寫入數據庫;
非阻塞方式:將被歸并事件全部寫入數據庫;
C.可定義的歸并策略如下
根據事件名稱進行歸并分析;
根據事件類型進行歸并分析;
根據源進程進行歸并分析;
根據目標進程進行歸并分析;
根據攻擊源進行歸并分析;
根據攻擊目標地址進行歸并分析;
根據事件原始時間進行歸并分析;
根據受攻擊設備類型進行歸并分析。
四:實際運行效果
通過不斷研究和探索,技術攻關團隊成功了解決了世博信息系統中海量的、復雜的安全事件信息的標準化難題。為世博安全管理平臺的運營打下了堅實的基礎。以下是一些運營數據:
世博安管平臺中目前共有收集了16大類67個設備的安全事件數據。每天收集的總日志量在200W條左右。每天的安全事件約4400條,每周約3W條。其中每周內網事件約5400條,外網攻擊的事件約24600。其中,WEB攻擊占83%。
從這些安全事件中,通過分析系統每天發出攻擊告警約300次,處理約50次,每天封鎖約2個IP。
主機狀態告警,每月約200次,處理約60次,另外140次是系統正常啟動造成。
病毒告警,約100次,處理了60次,定位了20個IP。
