SOC核心功能之安全事件关联分析

       关联分析是的整个安全事件管理的核心部分，例如国外著名厂商ArcSight提供了简单的事件关联、上下文关联、攻击场景关联、低慢攻击关联、位置关联、身份关联、角色关联等等。但关联分析还有脆弱性信息关联、因果关联、推理关联等等。本文将根据国内SOC厂商如何实现关联分析的，如福富软件的NSS、启明星辰的泰和等。

说到安全事件关联，我们首先要说关联要素。按照事件来源，可以将数据源分为四类：安全设备、网络设备、应用以及主机。其对应的关联要素如下：

• 全设备包含：防火墙日志、IDS告警、防病毒扫描信息、资产漏洞扫描信息、垃圾邮件信息等
• 网络设备包含：路由器日志、交换机日志、流数据等
• 应用系统包含：管理系统、数据完整检查、Web服务等
• 主机包含：Windows/Linux/Unix等

根据设备来分，安全事件的关联无非就是安全设备之间的关联和安全设备自身的关联两种形式。设备间关联，设备内关联。设备间关联包含规则关联和资产漏洞关联，设备内关联采用统计关联。

规则关联

基于规则的关联是指按用户预定义的告警规则进行关联分析。首先是按厂家、或管理员来预定义若干种可疑活动。系统接收到安全事件后，将其与规则进行比较时，规则就会触发。随着时间的推移，系统就会创建出事件“状态”来跟踪那些成功执行的关联规则。

基于规则的关联分析可以有效地检测出具体安全事件。但当它单独使用时有一定的误报率，并且对运算处理的要求较高。它能够监测的异常情况也比较有限。但有一些厂家的方法可以借鉴，如福富软件的NSS网络安全支撑系统在采用基于规则的关联的同时配合使用统计分析和漏洞关联分析，提高了分析的准确性。

资产漏洞关联

漏洞关联可以根据系统漏洞来进行系统的评分。这一漏洞是由来自漏洞扫描工具的数据输入来确定的。漏洞评分越高，系统对攻击的敏感性就越大。只有当攻击能充分利用系统所具有的具体漏洞时，攻击才能成功。漏洞关联可以让管理员关注于那些容易遭到这些事件攻击的系统。

漏洞关联可使管理员的工作效率大大提高，及时准确的发现真正攻击。另外，它还可将漏洞数据实时关联到资产价值和威胁，进而使管理员能看到具体事件的实际影响。漏洞关联可根据（依据输入到系统中的漏洞数据而产生的）当前漏洞情况而实现自动化漏洞和风险评估。

        统计关联

        利用统计关联，我们可按资产或资产组将规范化安全事件归类为不同安全事件类型——事件类型的范围包括侦察攻击、病毒攻击、拒绝服务攻击——等等。对于每种资产，系统可连续计算出一个威胁分数，也就是通过将事件严重程度与资产价值相加来确定对安全事件的总体衡量。这种关联方法的优点在于它基本上是不知道攻击情况的，也就是说，统计关联是针对系统中潜在的异常情况的，而与它们所最初产生的流程无关。

一个事件关联的例子

针对一个典型的网络构成如下图，介绍基本的关联分析过程：

■ 路由器记录所有数据包通过的信息

■ 防火墙根据指定的策略记录下所有允许和丢弃的数据包访问信息

■ IDS对所有数据检测后，记录可疑数据包的告警信息

■ 应用服务器记录对各种服务的访问信息以及进行的文件操作

告警验证过程

对于WEB漏洞发起的攻击包检测，通常经历下面几步：

■ IDS检查到对目标WEB服务器的漏洞攻击包

■ 检查路由器日志，触发告警的包是否通过路由器

■ 分析防火墙日志，过滤器是否拦截攻击包

■ 检查服务器文件完整性，运行Tripwire检查文件完整性，查看文件权限是否修改

■ 分析syslog输出或服务器事件日志，检查攻击是否真正发生

通过上述分析，基本确定一个攻击事件是否发生，需要通过分析许多相关设备日志信息，同时能够追溯到攻击源，从全局来观察攻击事件的开始、发展、结束过程以及是否造成危害。