一种能够进行协同分析的安全管理中心的制作方法

一种能够进行协同分析的安全管理中心的制作方法
【专利摘要】本发明涉及信息安全【技术领域】，尤其是一种能够进行协同分析的安全管理中心。本发明的安全管理中心由安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块构成；通过网间协作模块结合自身的工作任务，判定是否需要其它安全管理中心的协同；若需要进行协同，则与其它安全管理中心之间进行通信，传输相关数据，请求它们协助自己完成安全威胁确认等任务。本发明解决了安全管理中心的协同分析问题；可以用于信息安全管理的安全管理中心。
【专利说明】—种能够进行协同分析的安全管理中心

【技术领域】
[0001]本发明涉及信息安全【技术领域】，尤其是一种能够进行协同分析的安全管理中心。

【背景技术】
[0002]安全管理中心(Security Operat1n Center)是描述能够对多种信息安全事件提供收集、分析和响应的管理平台的术语，S0C的核心功能是检测和响应功能，其基于从各类信息安全设备收集的海量安全事件，进行分析，判断其管理的信息系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应。
[0003]信息安全事件:各类信息安全设备产生的日志信息、告警信息等
[0004]随着我国信息化建设的推进和社会各界对信息安全重视程度的提高，防火墙、防病毒与IDS(入侵检测系统)、VPN、安全审计产品等已经在很多单位得到部署。但信息安全是一个复杂的、综合性、全局性的工程，部署大量安全设备使得对它们的管理变得日渐复杂，加重了网管人员的负担；同时，由于历史原因，现有部署的安全设备往往都是各自为政，“信息孤岛”现象严重，设备之间难以联动，误报率和漏报率较高，用户面对每天产生的海量的安全日志望洋兴叹，很难得出具有价值的系统整体安全形势分析报告，难以应对当前日益复杂多变的安全威胁。为此，能够把分散的安全设备、安全策略、安全日志进行统一管理和运营的综合性安全管理中心(Security Operat1n Center, S0C)产品应运而生。也有称之为安全运营中心。以下都采用S0C简称。
[0005]建设和运行S0C的主要目的是为了扭转当前的信息安全防护产品和手段“各自为政，联动不足”的不利局面，其依据IS0/IEC 27000系列信息安全标准，结合安全服务的最佳实践，以资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视，安全报警响应，工单处理等功能，对企业内部各类安全事件进行集中管理和智能分析，最终实现对企业安全风险态势的统一监控分析和预警处理。对于业务集中的单位而言，总体而言，S0C已经发挥了较大的作用，减轻了管理人员的负担，减少了不同安全设备报警信息相互冲突的次数。
[0006]应该认识到S0C在信息安全防御方面并不是万能的，用户不能期待建设了 S0C就能从此就高枕无忧。在实践中，很多较大的单位已经认识到面对日益增多的设备和海量日志，只建设一个S0C显得力不从心。在实际建设过程中，根据业务系统的规模，各单位可根据地理位置建设多个S0C。以一个省级电信公司为例，常采取的方式是在每个地级市建设各自的S0C来管理每个区域内设备。各S0C采集和分析其管理地理区域内信息设备收集的安全日志，分析本地的信息安全态势，并根据态势向所管理的设备下发统一的信息安全策略。
[0007]现实中的业务对S0C的分析能力和智能化水平也提出了更高的要求，面对各类设备每天产生的海量日志、报警、流量信息，S0C需要以各种海量数据实时分析技术为基础，对日志、报警、流量等各种不同的数据进行智能分析和智能处理，将用户从海量的分析中解脱出来，提升安全工作的效率。面对这样的现实需求，如果只依靠单一 S0C的处理，则难以发现更为隐秘的攻击信息。
[0008]经检索， 申请人:发现以下关于SOC的公开文献:
[0009]1、一种计算机网络的网络安全系统及其控制方法(申请号:CN03128526.0)提出如下方案:包括网络安全管理中心、网络安全设备和适配器，适配器位于网络安全管理中心与网络安全设备之间，网络安全管理中心与适配器之间采用网络协议通信，适配器与网络安全设备之间采用网络安全设备的网络协议和对应端口进行通信；由适配器实现与网络安全设备通信的网络协议，并转换数据格式，对网络安全设备的配置管理信息和安全信息进行初步处理，而网络安全管理中心则集中管理适配器，对来自网络安全设备的安全信息进行进一步的处理和存储。
[0010]2、通用网管安全管理系统及其方法(申请号:CN200510036123.1)提出如下方案:将不同设备厂商提供的网络设备即功能实体划分到不同安全域，在每个安全域内设至少一个安全管理网关，用于将该安全域内的安全管理接口适配到通用安全管理接口，而通过通用安全管理接口即可实现由安全管理中心对全网功能实体的集中安全管理，另外还对安全管理员提供安全管理操作接口 ；通过用户管理、用户授权、用户认证和用户鉴权四个工作流程实现通用安全管理系统运作；上述安全管理网关和功能实体都是逻辑实体。
[0011]3、多访问控制机制结合的系统保护架构及方法(申请号:CN200910082000.X)公开了一种多访问控制机制结合的系统保护架构，包括基于多层次访问控制机制的主系统及实现多层访问控制机制联动的三权分立的安全管理中心，其中，主系统包括终端资源层、应用服务层和边界层；安全管理中心对分布于终端资源层、应用服务层及边界层的访问请求进行统一裁决并下发控制策略，且包括安全管理子系统、系统管理子系统和审计子系统；所述安全管理子系统主要实施标记管理、授权管理及策略管理；所述系统管理子系统则是负责身份管理和资源管理；所述审计子系统对系统中各用户操作行为进行审计，对安全事件及时做出响应。本发明优点在于系统拥有对恶意代码的免疫能力，非授权用户无法对敏感信息实施操作以及为访问控制的实施起监督作用。
[0012]4、通用网络安全管理系统及其管理方法(申请号:CN200910023082.0)公开了一种通用网络安全管理系统及其管理方法，主要解决现有网络安全管理系统开放性差、扩展性差和功能完备性弱的缺点。该系统主要由外围设备、安全代理终端、安全管理中心和终端管理设备组成，安全管理中心通过接口组件、数据库模块和用户接口组件将网络访问控制、入侵检测、病毒检测和漏洞管理安全技术应用到安全代理终端上，在统一的管理和控制下，使各种安全技术彼此补充、相互配合，对网络行为进行检测和控制，形成一个安全策略集中管理、安全检测分散布置的分布式安全防护体系结构。
[0013]5、多级安全互联平台的多级互联安全管理中心子系统(申请号:CN201110250369.4)，多级安全互联平台的多级互联安全管理中心子系统，该多级互联安全管理中心子系统包括Bowser模块、MySQL模块、WebAgent模块，其中:I) Bowser模块模块用于向管理员用户提供Π交互界面；2)MySQL模块模块用于提供管理中心后台数据支持；3)WebAgent用于与节点、L端和H端数据交换前置子系统、三系统安全互联部件子系统的管理数据交互。该发明主要应用于工业企业管理网和工业控制网之间的数据交换访问控制，保障用户在授权情况下才能访问。
[0014]综上所述，现有公开的技术方案已提出了各种SOC设计方案，但都只是论述如何建设一个单独的S0C。在设计理念上，只强调了各SOC处理本地信息安全日志，分析本地安全态势，没有考虑已运行的多个SOC之间如何进行通信和协同分析。对于一个已有多个SOC运营的单位，各SOC的工作负载往往是不一样的，例如某个SOC在某段时间内需要分析的日志数据非常多，而另外的SOC的任务却相对空闲，因此现有技术手段的缺陷在于:1)未能充分调动各SOC进行协同式分析，造成了信息资源浪费。2)由于网络越来越复杂，信息安全攻击越来越隐蔽，不同SOC往往陷入“只见树木，不见森林”的局面，容易出现误报或者漏报。


【发明内容】

[0015]本发明解决的技术问题在于针对现有多个SOC之间没有充分进行协同处理造成信息安全威胁发现和防范能力不足的缺陷，提出了一种能够进行协同分析的安全管理中心；能够充分调动各SOC的处理能力，对于各SOC发现的疑似威胁或者未能发现的威胁，通过各SOC的协同处理，能够更早更快地发现真正的信息安全威胁，在威胁转变为实质风险之前进行处理，做到防患于未然。进一步提高信息安全防护能力。
[0016]本发明解决上述技术问题的技术方案是:
[0017]所述的安全管理中心包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块；
[0018]所述的安全事件管理模块包括安全事件收集子模块、安全事件预处理子模块和安全事件分析子模块；安全事件收集子模块能够通过多种方式收集各类信息安全设备发送的安全事件信息，收集方式包含以下几种:⑴基于SNMP Trap和Syslog方式收集事件；(2)通过ODBC数据库接口获取设备在各种数据库中的安全相关信息；(4)通过OPSec接口接收事件；收集安全事件信息，发送到安全事件预处理模块进行处理；所述的安全事件预处理模块对信息进行标准化、过滤、归并处理；所述的安全事件分析子模块对安全事件预处理模块发送过来的信息进行关联分析、事件告警处理；
[0019]所述的安全策略库，主要功能是传递各类安全管理信息，同时将处理过的安全事件方法和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源；信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息；
[0020]所述的安全日志库主要功能是存储事件管理模块中收集的安全日志。可采用Oracle、DB2、SQLServer等主流的关系性数据库实现；
[0021]所述的安全业务模块包括拓扑管理子模块、安全风险评估子模块，所述的拓扑管理子模块可以:1)通过网络嗅探自动发现加入网络中的设备及其连接，获取最初的资产信息；(2)对网络拓扑进行监控，监控节点运行状态；(3)识别新加入和退出节点；(4)改变网络拓扑结构；所述的安全风险评估子模块将信息系统安全风险分为五个等级，从低到高分别为:微风险、一般风险、中等风险、高风险和极高风险；
[0022]所述的控制中心模块负责管理全网的安全策略，进行配置管理，对全网资产进行统一配置和策略统一下发，并不断进行优化调整；提供全网安全威胁和事故的集中处理服务，事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现；对于确认的安全事件可以通过自动响应机制，一方面给出如控制台显示、邮件、短信等多种告警方式，另一方面通过安全联动机制如路由器远程控制、交换机远程控制等阻止攻击；各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息，通过自动调整安全管理中心内各安全产品的安全策略，以减弱或者消除安全事件的影响；
[0023]所述的网间协作模块主要功能是:根据结合自身的工作任务，判定是否需要其它安全管理中心的协同；若需要进行协同，则与其它安全管理中心之间进行通信，传输相关数据，请求它们协助自己完成安全威胁确认等任务；
[0024]安全管理中心利用安全事件管理模块的分析结果，完成资产的信息安全风险计算工作，进行定损分析，并自动触发任务单和响应来降低资产风险，达到管理和控制风险的效果。
[0025]所述的的安全事件预处理模块对信息进行标准化是将外部设备的日志统一格式；过滤是在标准化步骤后，自定义事件名称、内容、产生事件设备IP/MAC等具有特别属性的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记；归并是针对大量相同属性事件进行合并整理。
[0026]所述的安全事件分析子模块的关联分析是通过内置的安全规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对，识别威胁事件；包括相关性分析、结构化分析、入侵路径分析、行为分析；事件告警是通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化，告警信息集中存储于日志数据库，能够满足容纳长时间信息存储的需求。
[0027]本发明可以充分利用各S0C的协同处理能力，在某个S0C发现疑似信息安全威胁但又不能准确判定时，结合其它S0C的处理能力和已掌握的疑似信息安全威胁，进行更加全面的判定，提高了发现威胁的准确率，同时在信息安全威胁转变为信息安全风险并造成更大危害之前能够更早地发现威胁，为后续安全事故的响应处理赢得更多时间。

【专利附图】

【附图说明】
[0028]下面结合附图对本发明进一步说明:
[0029]图1是本发明安全管理中心架构图；
[0030]图2是安全事件管理模块的工作流程图；
[0031]图3是协同处理的安全管理中心选择流程图；
[0032]图4是安全管理中心之间协同处理流程图。

【具体实施方式】
[0033]为便于对本发明的理解，下面结合具体实施例对本发明进行详细说明。
[0034]本发明涉及的协同式安全管理中心的体系结构如图1所示。该系统包括:安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块。
[0035]安全事件管理模块
[0036]该模块包括:安全事件收集子模块、安全事件预处理子模块和安全事件分析子模块。
[0037]安全事件收集子模块
[0038]能够通过多种方式收集各类信息安全设备发送的安全事件信息，收集方式包含以下几种:(1)基于SNMP Trap和Syslog方式收集事件。(2)通过ODBC数据库接口获取设备在各种数据库中的安全相关信息；(4)通过OPSec接口接收事件。
[0039]在收集安全事件后，还需要安全事件预处理模块的处理后，才能送到安全事件分析子模块进行分析。
[0040]安全事件预处理模块
[0041]通过以下步骤进行安全事件的预处理。
[0042]I)标准化:将外部设备的日志统一格式；
[0043]2)过滤:在标准化步骤后，自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记；
[0044]3)归并:针对大量相同属性事件进行合并整理；
[0045]安全事件分析子模块
[0046]关联分析:通过内置的安全规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对，识别威胁事件。事件分析子模块是SOC系统中最复杂的部分，涉及各种分析技术，包括相关性分析、结构化分析、入侵路径分析、行为分析。
[0047]事件告警:通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化，告警信息集中存储于日志数据库，能够满足容纳长时间信息存储的需求。
[0048]安全事件管理模块的工作流程见图2所示。
[0049]安全策略库
[0050]主要功能是传递各类安全管理信息，同时将处理过的安全事件方法和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源。信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信肩、O
[0051]安全日志库
[0052]主要功能是存储事件管理模块中收集的安全日志。可采用主流的关系性数据库实现，例如 Orac I e、DB2、SQLServer 等。
[0053]安全业务模块
[0054]安全业务模块包括以下子模块。
[0055]I)拓扑管理子模块
[0056]该子模块具备的功能有:(1)通过网络嗅探自动发现加入网络中的设备及其连接，获取最初的资产信息；(2)对网络拓扑进行监控，监控节点运行状态；(3)
[0057]识别新加入和退出节点；(4)改变网络拓扑结构。其过程与现有同类SOC产品类似，在此不再赘述。
[0058]2)安全风险评估子模块
[0059]目前按照国标(GB/T20984-2007信息安全风险评估规范)，将信息系统安全风险分为五个等级，从低到高分别为:微风险、一般风险、中等风险、高风险和极高风险。系统将通过接收安全事件管理模块的分析结果，完成资产的信息安全风险计算工作，进行定损分析，并自动触发任务单和响应来降低资产风险，达到管理和控制风险的效果。
[0060]3)控制中心模块
[0061]该模块负责管理全网的安全策略，进行配置管理，对全网资产进行统一配置和策略统一下发，改变当前需要对每个设备分别下方策略所带来的管理负担，并不断进行优化调整。
[0062]控制中心提供全网安全威胁和事故的集中处理服务，事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。
[0063]该模块对于确认的安全事件可以通过自动响应机制，一方面给出多种告警方式(如控制台显示、邮件、短信等)，另一方面通过安全联动机制阻止攻击(如路由器远程控制、交换机远程控制等)。
[0064]各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息，通过自动调整安全管理中心内各安全产品的安全策略，以减弱或者消除安全事件的影响。
[0065]4)网间协作模块
[0066]该模块的主要功能是:根据结合自身的工作任务，判定是否需要其它S0C的协同。若需要进行协同，则与其它S0C之间进行通信，传输相关数据，请求它们协助自己完成安全威胁确认等任务。
[0067]下面结合实例，阐述本发明涉及的多S0C之间的协同工作过程。
[0068]假定用户单位已经部署了多个S0C。现有一 S0C(用Si表示)通过自身的事件分析，发现了一种来自防火墙日志的疑似信息安全威胁时，则将其放入“疑似威胁队列”。
[0069]Si为每个信息安全威胁设定一个时间阈值Ts，Si处设置一个计数器。在不超过Ts时，则应调用其他S0C对该疑似信息安全威胁进行协同分析。如果超过这个阈值，仍未能得到多S0C联合分析的结论，则确认为信息安全威胁，将该威胁从“疑似威胁队列”中移除，SI调用自身的安全策略进行响应处理。
[0070]下面介绍不超过阈值Ts时Si队疑似威胁的处理方式。
[0071]由于每个S0C之间具有不同的资源特性，即每个S0C在给定时刻的可利用CPU处理能力、可利用网络带宽、可利用存储空间等不同，在给定时刻，某些S0C自身的负载可能已经很高，而某些S0C可能空闲资源较多。因此，请求这类S0C进行协同效果不会很理想。故SI在发送协同处理请求时，首先要选择合适的S0C。
[0072]下面介绍如何选择合适的S0C对象进行协同处理。
[0073]具体步骤如下:
[0074]第一步，每个S0C周期性地向其它S0C广播自己的资源负载信息，包括当前自己的可利用CPU处理能力、可利用网络带宽、可利用存储空间。
[0075]第二步，请求者Si接受信息。
[0076]第三步，Si求得其余每个S0C的资源能力指数。但由于每种指标的度量衡不一样，如带宽为Mb/s，存储空间为Mb，Cpu利用率为0至1之间的小数。因此，需要对每个指标值进行归一化处理。
[0077]然后，为每个指标赋予权重，通常可采用的权重分配思路是，Cpu处理能力〉可利用带宽〉可用存储空间。
[0078]最后，一个S0C的资源能力指数=S0C每个单项指标的权重*该项指标值的总和。
[0079]第四步，S0C根据选资源能力指数大于某个值的S0C，放入“协同S0C队列”。
[0080]流程如图3所示。
[0081]接下来，介绍具体的协同处理流程。
[0082]第一步，SI的网间协作模块将该来自防火墙日志的疑似威胁信息发送给自身的协同SOC队列中的S0C。
[0083]第二步，这些S0C的网间协作模块在接受该信息后，上传给自身的安全事件管理模块。
[0084]第三步，后者通过将该疑似威胁和自身疑似威胁队列中的疑似威胁进行第一阶段的关联分析，若经过关联分析的结果是该威胁符合了某攻击事件的标准，则确定为发现威胁。
[0085]判定的条件可以是设定一个阈值Tattack,以XX攻击为例，如果不同S0C检测出其发生的次数达到某个值，则可视为威胁。
[0086]第四步，若确认安全威胁事件，发现威胁的接受者将确认信息通过网间协作模块告知该疑似威胁的发送者以及其它S0C。
[0087]第五步，请求者通过安全策略库，采取相应相应措施。
[0088]第六步，若自身未能发现，则通过与其它接受者进行通信，进行第二阶段的关联分析，
[0089]若确认安全威胁事件，发现威胁的接受者将确认信息通过网间协作模块告知该疑似威胁的发送者以及其它S0C。
[0090]第七步，这些S0C在接受信息后，将采取相应的措施来应对。
[0091]以上所述流程如图4所示。
【权利要求】
1.一种能够进行协同分析的安全管理中心，其特征在于:所述的安全管理中心包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块； 所述的安全事件管理模块包括安全事件收集子模块、安全事件预处理子模块和安全事件分析子模块；安全事件收集子模块能够通过多种方式收集各类信息安全设备发送的安全事件信息，收集方式包含以下几种:(1)基于SNMP Trap和Syslog方式收集事件；(2)通过ODBC数据库接口获取设备在各种数据库中的安全相关信息；(4)通过OPSec接口接收事件；收集安全事件信息，发送到安全事件预处理模块进行处理；所述的安全事件预处理模块对信息进行标准化、过滤、归并处理；所述的安全事件分析子模块对安全事件预处理模块发送过来的信息进行关联分析、事件告警处理； 所述的安全策略库，主要功能是传递各类安全管理信息，同时将处理过的安全事件方法和方案收集起来，形成安全共享知识库，为培养高素质网络安全技术人员提供培训资源；信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息； 所述的安全日志库主要功能是存储事件管理模块中收集的安全日志。可采用Oracle、DB2、SQLServer等主流的关系性数据库实现； 所述的安全业务模块包括拓扑管理子模块、安全风险评估子模块，所述的拓扑管理子模块可以:1)通过网络嗅探自动发现加入网络中的设备及其连接，获取最初的资产信息；(2)对网络拓扑进行监控，监控节点运行状态；(3)识别新加入和退出节点；(4)改变网络拓扑结构；所述的安全风险评估子模块将信息系统安全风险分为五个等级，从低到高分别为:微风险、一般风险、中等风险、高风险和极高风险； 所述的控制中心模块负责管理全网的安全策略，进行配置管理，对全网资产进行统一配置和策略统一下发，并不断进行优化调整；提供全网安全威胁和事故的集中处理服务，事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现；对于确认的安全事件可以通过自动响应机制，一方面给出如控制台显示、邮件、短信等多种告警方式，另一方面通过安全联动机制如路由器远程控制、交换机远程控制等阻止攻击；各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息，通过自动调整安全管理中心内各安全产品的安全策略，以减弱或者消除安全事件的影响； 所述的网间协作模块主要功能是:根据结合自身的工作任务，判定是否需要其它安全管理中心的协同；若需要进行协同，则与其它安全管理中心之间进行通信，传输相关数据，请求它们协助自己完成安全威胁确认等任务； 安全管理中心利用安全事件管理模块的分析结果，完成资产的信息安全风险计算工作，进行定损分析，并自动触发任务单和响应来降低资产风险，达到管理和控制风险的效果O
2.根据权利要求1所述的的安全管理中心，其特征在于:所述的的安全事件预处理模块对信息进行标准化是将外部设备的日志统一格式；过滤是在标准化步骤后，自定义事件名称、内容、产生事件设备IP/MAC等具有特别属性的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记；归并是针对大量相同属性事件进行合并整理。
3.根据权利要求1或2所述的的安全管理中心，其特征在于:所述的安全事件分析子模块的关联分析是通过内置的安全规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对，识别威胁事件；包括相关性分析、结构化分析、入侵路径分析、行为分析；事件告警是通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化，告警信息集中存储于日志数据库，能够满足容纳长时间信息存储的需求。
【文档编号】H04L29/06GK104378365SQ201410606673
【公开日】2015年2月25日 申请日期:2014年10月30日 优先权日:2014年10月30日
【发明者】王伟, 岳强 申请人:广东电子工业研究院有限公司