Microcomputer Applications VoL. 29, No.11, 2013開(kāi)發(fā)應(yīng)用微型電腦應(yīng)用2013年第29卷第11期文章編號(hào): 100757210110051-0SOC分析研究楊新鋒，劉克成摘要:闡述了SOC的定義，探討了soc與NOC之間的關(guān)系，詳細(xì)分析了soc應(yīng)該具備的功能，對(duì)SOC的核心一-安全事件關(guān)聯(lián)進(jìn)行了深入的研究，在此基礎(chǔ)上給出了一個(gè)安全事件關(guān)聯(lián)分析示例。關(guān)鍵詞:安全管理平臺(tái);安全事件;關(guān)聯(lián)分析中圖分類號(hào): TP391文獻(xiàn)標(biāo)志碼: AAnalysis and Research on socYang Xinfeng, Liu Kecheng(School of Computer and Iformation Eninering. Nanyang Istitute of Tchnology, Nanyang 43000 China)Abstract: This paper dscerie the dfinitin of soc, explore the rlationship betwen SOc and NOC, deailed alysis the functionsoc should have, Conducted in-depth study the core of soC . scrity event corelation, On this basis,s a security event crelationexample is given.Key words: Security Operations Cener; Secuity Event; Crelation Analysis0引言定義。并且盡管其本質(zhì)是基本相同的，對(duì)于soc這個(gè)術(shù)語(yǔ)在現(xiàn)代虛擬世界中，造成信息安全事件的來(lái)源為病毒、的定義，國(guó)內(nèi)外還存在不小的區(qū)別。國(guó)際上，一般將soc看作是安全運(yùn)營(yíng)中心，它是-個(gè)蠕蟲(chóng)或木馬，不變的安全事件來(lái)源就是“人”。為適應(yīng)各式對(duì)ITC (In-the-Cloud)服務(wù)及配套的CPE (Custoner Premi各樣攻擊手法、符合政府或企業(yè)法規(guī)要求，企業(yè)采取各種信se- Equipment)設(shè)施進(jìn)行全面監(jiān)控、運(yùn)維、管理的場(chǎng)所，并息安全科技，包含防毒、防火墻、主機(jī)型/網(wǎng)絡(luò)型入侵防御涵蓋相關(guān)的物理安全防護(hù)設(shè)施、辦公設(shè)施、人員組織、工作系統(tǒng)、身份認(rèn)證與存取權(quán)限管理系統(tǒng)及身份安全、VPN甚流程和技術(shù)支撐環(huán)境。至網(wǎng)絡(luò)存取控制等，各種技術(shù)提供現(xiàn)代化信息安全防護(hù)的解在國(guó)內(nèi)，一般將soc寬泛地等價(jià)于安全管理平臺(tái)。安決方案"。信息安全事件管理，包含監(jiān)控、分析及反應(yīng)，這些多樣全管理平臺(tái)的一-般性定 義是:安全管理平臺(tái)是一一個(gè)以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思化科技的結(jié)合對(duì)企業(yè)也產(chǎn)生新的挑戰(zhàn),即是沒(méi)有一個(gè)方式可想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型， 協(xié)助管理員進(jìn)行事件以標(biāo)準(zhǔn)化、去重復(fù)化及關(guān)連這些存在于不同科技之事件。此分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理外，對(duì)于管理人員而言，通常管理防毒系統(tǒng)為-組人員， 管.系統(tǒng)。理IPS為一組人員，而管理防火墻也許又為另-組,這樣導(dǎo)嚴(yán)格意義上而言，soc不等同于安全管理平臺(tái)，安全致整體信息安全的管理出現(xiàn)各自為戰(zhàn)的窘境，對(duì)實(shí)時(shí)信息安管理平臺(tái)僅僅是soc的技術(shù)支撐部分。一個(gè)完整的soc不全事件的關(guān)聯(lián)分析也造成極大困難，由于要將上下游事件串僅包括安全管理平臺(tái)，還包括配套的組織、流程、場(chǎng)地等等。起，信息安全事件之后的調(diào)查時(shí)間會(huì)格外地冗長(zhǎng)1?？梢?jiàn)，國(guó)內(nèi)所指的soc本質(zhì)上與國(guó)際上的定義是相同的。有鑒于此，企業(yè)為了達(dá)到安全水平，需要建設(shè)一個(gè)集中但是，由于國(guó)內(nèi)soc發(fā)展的歷史原因，形成了國(guó)內(nèi)外在s式資源，以跨越及整合這些不同層面之信息安全產(chǎn)品及管理oC定義上的形式化差異。資源，達(dá)到監(jiān)控、分析及快速響應(yīng))，因此soc (Security2SOC與NOC的關(guān)系Operations Center) 應(yīng)運(yùn)而生。網(wǎng)絡(luò)安全的發(fā)展隨著網(wǎng)絡(luò)建設(shè)經(jīng)歷了三個(gè)階段:一是防1 Soc的定義火墻、防病毒與入侵檢測(cè)系統(tǒng)IDS (Intrusion Detection Sys關(guān)于soc的定義，目前為止還沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)化作者簡(jiǎn)介:楊新鋒(9792).男，議.河南省內(nèi)鄉(xiāng)衛(wèi)人。南陽(yáng)理工學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系。中國(guó)煤化工。南陽(yáng)，473000劉克成(1962-),男，議，陜西省橫山縣人，南陽(yáng)理I學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系.碩MHCNMHG究。南陽(yáng)，47300.Microcomputer Applications Vol. 29, No.11, 2013開(kāi)發(fā)應(yīng)用微型電腦應(yīng)用.2013年第29卷第11期tem)部署的初級(jí)階段4。二是隨著網(wǎng)絡(luò)擴(kuò)大，各種業(yè)務(wù)從對(duì)安全事件的分析與取證。由此soC的功能發(fā)展就延伸為相互獨(dú)立到共同運(yùn)營(yíng),網(wǎng)絡(luò)管理中出現(xiàn)的安全域的概念,利3個(gè)維度，如圖2所示:用隔離技術(shù)把網(wǎng)絡(luò)分為邏輯的安全區(qū)域,并大量的使用區(qū)域?qū)徲?jì)↑邊界防護(hù)與脆弱性掃描與用戶接入控制技術(shù)，此時(shí)的安全技術(shù)分為防護(hù)、監(jiān)控、審計(jì)、認(rèn)證、掃描等多種體系,紛繁復(fù)應(yīng)用審計(jì)雜，稱為安全建設(shè)階段51。三是隨著業(yè)務(wù)的增多，網(wǎng)絡(luò)的安數(shù)據(jù)庫(kù)審計(jì)全管理成為網(wǎng)絡(luò)建設(shè)的新重點(diǎn),把各個(gè)分離的安全體系統(tǒng)-網(wǎng)絡(luò)行為審計(jì)管理、統(tǒng)一運(yùn)營(yíng)，我們稱為安全管理階段，其重點(diǎn)就是so終蠟審計(jì)九流豐防設(shè)主機(jī)審計(jì)加認(rèn)防委防體防C的建設(shè)問(wèn)。從這個(gè)階段開(kāi)始，網(wǎng)絡(luò)安全將開(kāi)始走.上業(yè)務(wù)安全的新臺(tái)階，業(yè)務(wù)持續(xù)性保障BCM (Business Continuity入侵檢測(cè)DS防護(hù)Management)將成為下一步 業(yè)務(wù)安全評(píng)價(jià)的重點(diǎn)。漏洞掃描網(wǎng)絡(luò)的建設(shè)過(guò)程中，經(jīng)歷了從分離到統(tǒng)一，再到業(yè)務(wù)與病毒監(jiān)測(cè)管理的分離、承載與業(yè)務(wù)的分離，其中網(wǎng)絡(luò)管理中心NOC流量監(jiān)測(cè)(Network Operation Center)的發(fā)展起到重要的作用，那免態(tài)監(jiān)測(cè)進(jìn)程監(jiān)測(cè)么新興的安全運(yùn)營(yíng)中心soc與網(wǎng)絡(luò)中心NOC是怎樣的關(guān)系監(jiān)控呢圖2 soc 功能延伸的三維模型-種觀點(diǎn)認(rèn)為SoC就是安全設(shè)備的運(yùn)營(yíng)管理，無(wú)非是增加一些安全特性的管理與策略，soc是NOC的一個(gè)組成部分。但是網(wǎng)絡(luò)管理本身也需要安全管理的支持，安全管理各維度描述如表1所示:中心不僅要保障網(wǎng)絡(luò)支撐系統(tǒng)的安全,還要為業(yè)務(wù)應(yīng)用提供安全保障，比如身份認(rèn)證、授權(quán)系統(tǒng)等基礎(chǔ)安全設(shè)施。從功表1 soc功能延伸的二:個(gè)維度描述能的角度看, soC應(yīng)該是NOC與業(yè)務(wù)管理的共同支撐系統(tǒng)，比如NOC中的日常維護(hù),同樣要接受SOC中人員身份確認(rèn)、維度述安全行為審計(jì)的管理。兩者的關(guān)系，如圖I所示:用戶負(fù) 貴安全網(wǎng)絡(luò)設(shè)備的管理 與基礎(chǔ)安全體業(yè)務(wù)服務(wù)平臺(tái)業(yè)務(wù)服務(wù)界面| 系的運(yùn)營(yíng)。是安全事件出現(xiàn)前的各種防事前)護(hù)管理， 其特征就是制定的各種安全策業(yè)務(wù)調(diào)度系統(tǒng)(業(yè)務(wù)管理中心)|略并下發(fā)到相關(guān)的安全設(shè)備。保障業(yè)務(wù)服務(wù)業(yè)務(wù)實(shí)現(xiàn)支撐基礎(chǔ)支撐系統(tǒng)(安全管理中心網(wǎng)絡(luò)管理中心對(duì)安全 事件綜合分析，根據(jù)威脅程度進(jìn)監(jiān)控與應(yīng)急調(diào)度保障支撐系統(tǒng)|行預(yù)警，并對(duì)各種事件做出及時(shí)的應(yīng)對(duì)事中) .圖1 soc與NOC的關(guān)系響應(yīng)。從安全建設(shè)階段的后期開(kāi)始，企業(yè)業(yè)務(wù)設(shè)計(jì)的初期，sOC就與NOC一起成為IT服務(wù)基礎(chǔ)設(shè)施規(guī)劃的重點(diǎn)，設(shè)備事件的取證與重現(xiàn)、安全合規(guī)性審計(jì)、運(yùn)維側(cè)重系統(tǒng)本身的管理，為業(yè)務(wù)提供通路:安全管理側(cè)重審計(jì)管理數(shù)據(jù)的統(tǒng)計(jì)分析、歷史數(shù)據(jù)的挖掘。安業(yè)務(wù)安全的保障,解除外來(lái)的與內(nèi)部的威脅，兩者的信息是(事后)全的審計(jì)安全管理的事后“總結(jié)”， 也是互通的，只是實(shí)現(xiàn)技術(shù)與管理重點(diǎn)不同。安全管理是從業(yè)務(wù)安全防護(hù)的依據(jù)。發(fā)生的起點(diǎn)到業(yè)務(wù)完成的整個(gè)生命周期的安全保障。3SOC的功能SoC的功能是圍繞安全管理的過(guò)程來(lái)進(jìn)行的，對(duì)應(yīng)了安全管理的關(guān)鍵是考慮全面，遺漏本身就會(huì)給系統(tǒng)帶來(lái)安全事件管理的事前、事中、事后3個(gè)階段。事前重點(diǎn)是防不安全的因素，所以SOC的三個(gè)維度建設(shè)應(yīng)該是相輔相成護(hù)措施的部署，排兵布陣:事中是安全的監(jiān)控與應(yīng)急響應(yīng)，的，單獨(dú)的哪一個(gè)方面都不可能替代其他方面的功能，三個(gè)對(duì)于可以預(yù)知的危險(xiǎn)可以防護(hù)，但對(duì)于未知的危險(xiǎn)只能是監(jiān)方面相結(jié)合,中國(guó)煤化工個(gè)周期，才可以控，先發(fā)現(xiàn)再想辦法解決:事后是指對(duì)事件的事后挖掘分析，|全面保障客戶,MYHCNMH G說(shuō)，soc應(yīng)覆●52..Microcomputer Applications Vol. 29, No.11, 2013開(kāi)發(fā)應(yīng)用微型電腦應(yīng)用2013年第29卷第11期蓋的內(nèi)容如表2所示:3安全事件關(guān)聯(lián)關(guān)聯(lián)分析是的整個(gè)安全事件管理的核心部分,例如國(guó)外E2 soc應(yīng)該覆蓋的功能及其描述著名廠商AreSight提供了簡(jiǎn)單的事件關(guān)聯(lián)、上下文關(guān)聯(lián)、攻擊場(chǎng)景關(guān)聯(lián)、低慢攻擊關(guān)聯(lián)、位置關(guān)聯(lián)、身份關(guān)聯(lián)、角色維度分析功能內(nèi)容描述關(guān)聯(lián)等等。但關(guān)聯(lián)分析還有脆弱性信息關(guān)聯(lián)、因果關(guān)聯(lián)、推理關(guān)聯(lián)等等。從系統(tǒng)、網(wǎng)絡(luò)服務(wù)、應(yīng)用等多角度3.1.關(guān)聯(lián)要素分析系統(tǒng)配置文件、運(yùn)行狀態(tài)，發(fā)安全事件關(guān)聯(lián)與關(guān)聯(lián)要素緊密相關(guān)。按照事件來(lái)源，可脆弱性分析|現(xiàn)系統(tǒng)存在隱患、可能的漏洞，存以將數(shù)據(jù)源分為四類:安全設(shè)備、網(wǎng)絡(luò)設(shè)備.應(yīng)用以及主機(jī)。在安全隱患的配置項(xiàng)其對(duì)應(yīng)的關(guān)聯(lián)要素如下:事前(1)安全設(shè)備:防火墻日志、IDS 告警、防病毒掃描「對(duì)設(shè)備配置策略進(jìn)行集中維護(hù)、分信息、資產(chǎn)漏洞掃描信息、垃圾郵件信息等。安全預(yù)防配置策略分|析、審核，保證配置的安全性。能(2)網(wǎng)絡(luò)設(shè)備:路由器日志、交換機(jī)日志、流數(shù)據(jù)等。| 夠從全網(wǎng)的安全策略角度，實(shí)現(xiàn)策(3)應(yīng)用系統(tǒng):管理系統(tǒng)、數(shù)據(jù)完整檢查、Web 服務(wù)析審核略配置的智能化、集中化和可視等。化(4)主機(jī): Windows/Linux/Unix 等支持各類型主機(jī)、網(wǎng)絡(luò)設(shè)備、安全3.2.關(guān)聯(lián)形式根據(jù)設(shè)備來(lái)分，安全事件的關(guān)聯(lián)包括安全設(shè)備之間的關(guān)設(shè)備事件監(jiān)| 設(shè)備的事件監(jiān)控。用戶叮根據(jù)需要聯(lián)和安全設(shè)備自身的關(guān)聯(lián)兩種形式，即設(shè)備間關(guān)聯(lián)和設(shè)備內(nèi)控設(shè)置監(jiān)控條件，關(guān)注重點(diǎn)安全事關(guān)聯(lián)。設(shè)備間關(guān)聯(lián)包含規(guī)則關(guān)聯(lián)和資產(chǎn)漏洞關(guān)聯(lián)，設(shè)備內(nèi)關(guān)件，及時(shí)發(fā)現(xiàn)高威脅的安全告警事聯(lián)采用統(tǒng)計(jì)關(guān)聯(lián)。件(1)規(guī)則關(guān)聯(lián)基于規(guī)則的關(guān)聯(lián)是指按用戶預(yù)定義的告警規(guī)則進(jìn)行關(guān)分析算法完| 加強(qiáng)統(tǒng)計(jì)關(guān)聯(lián)，提供重要安全信息聯(lián)分析。首先是按廠家、或管理員來(lái)預(yù)定義若干種可疑活動(dòng)。善|的基線統(tǒng)計(jì)。優(yōu)化多設(shè)備關(guān)聯(lián)分析系統(tǒng)接收到安全事件后，將其與規(guī)則進(jìn)行比較時(shí)，規(guī)則就會(huì)實(shí)時(shí)算法、規(guī)則的靈活配置。觸發(fā)。隨著時(shí)間的推移，系統(tǒng)就會(huì)創(chuàng)建出事件“狀態(tài)”來(lái)跟| 監(jiān)控分析調(diào)研關(guān)聯(lián)分析規(guī)則，進(jìn)行長(zhǎng)期的測(cè)蹤那些成功執(zhí)行的關(guān)聯(lián)規(guī)則?；谝?guī)則的關(guān)聯(lián)分析可以有效地檢測(cè)出具體安全事件。規(guī)則庫(kù)完善試和驗(yàn)證工.作，并對(duì)已有的規(guī)則但當(dāng)它單獨(dú)使用時(shí)有一定的誤報(bào)率,并且對(duì)運(yùn)算處理的要求(主機(jī)規(guī)則、IDS規(guī)則等)進(jìn)行歸較高。它能夠監(jiān)測(cè)的異常情況也比較有限。但有一些廠家的納分類，方便用戶使用。方法可以借鑒，如福富軟件的NSS網(wǎng)絡(luò)安全支撐系統(tǒng)在采| 對(duì)知識(shí)庫(kù)進(jìn)行補(bǔ)充完善，包含重要用基于規(guī)則的關(guān)聯(lián)的同時(shí)配合使用統(tǒng)計(jì)分析和漏洞關(guān)聯(lián)分知識(shí)庫(kù)整理的安全事件庫(kù)、安全案例庫(kù)、更多|析，提高了分析的準(zhǔn)確性。| 的脆弱性信息庫(kù)、補(bǔ)丁信息庫(kù)等信(2)資產(chǎn)漏洞關(guān)聯(lián)漏洞關(guān)聯(lián)可以根據(jù)系統(tǒng)漏洞來(lái)進(jìn)行系統(tǒng)的評(píng)分。這-漏洞是由來(lái)自漏洞掃描工具的數(shù)據(jù)輸入米確定的。漏洞評(píng)分越對(duì)已入庫(kù)的安全事件進(jìn)行的二次高，系統(tǒng)對(duì)攻擊的敏感性就越大。只有當(dāng)攻擊能充分利用系挖掘分析| 分析。需要應(yīng)用數(shù)據(jù)挖掘、人工智統(tǒng)所具有的具體漏洞時(shí)，攻擊才能成功。漏洞關(guān)聯(lián)可以讓管| 能等方法來(lái)進(jìn)行事后的安全分析,理員關(guān)注于那些容易遭到這些事件攻擊的系統(tǒng)。發(fā)現(xiàn)潛在的異常行為和攻擊模式。漏洞關(guān)聯(lián)可使管理員的工作效率大大提高，及時(shí)準(zhǔn)確的可視化攻擊| 以直觀圖形化方式、多種維度展現(xiàn)發(fā)現(xiàn)真正攻擊。另外，它還可將漏洞數(shù)據(jù)實(shí)時(shí)關(guān)聯(lián)到資產(chǎn)價(jià)| 攻擊會(huì)話的整個(gè)過(guò)程，直觀形象,值和威脅，進(jìn)而使管理員能看到具體事件的實(shí)際影響。漏洞事后分析方便決策。關(guān)聯(lián)可根據(jù)(依據(jù)輸入到系統(tǒng)中的漏洞數(shù)據(jù)而產(chǎn)生的)當(dāng)前|分析預(yù)測(cè)漏洞情況而實(shí)現(xiàn)自動(dòng)化漏洞和風(fēng)險(xiǎn)評(píng)估。合規(guī)性審計(jì)實(shí)現(xiàn)薩班斯內(nèi)控審計(jì)索要的各項(xiàng)(3)統(tǒng)計(jì)關(guān)聯(lián)審計(jì)分析報(bào)告。利用統(tǒng)計(jì)關(guān)聯(lián)，可按資產(chǎn)或資產(chǎn)組將規(guī)范化安全事件歸類為不同安全事件類型(事件類型的范圍包括偵察攻擊、病毒攻擊、拒絕服名攻土產(chǎn)竺系統(tǒng)可連續(xù)應(yīng)用審計(jì)| 完善數(shù)據(jù)庫(kù)審計(jì)功能，提供操作審計(jì)算出一個(gè)威中國(guó)煤化工重程度與資產(chǎn)價(jià)計(jì)功能。值相加來(lái)確定YHC N M H G關(guān)聯(lián)方法的優(yōu)點(diǎn)●53..