电力内网安全事件关联分析引擎的设计

摘 要：　通过应用验证该引擎的有效性，实现对电力内网具有威胁的安全事件的准确检测，有效降低误报率和漏报率，引擎的实现为电网企业信息内网安全日志的分析提供重要的技术保障。

关键词：　电力内网；事件关联；分析引擎

0　引言

对电力企业信息内网海量安全事件进行高效、准确的关联分析是实现电力企业网络安全设备联动的前提，而如何设计与实现一个高效的电力企业安全事件关联分析引擎正是电力企业信息内网安全事件关联分析应该解决的关键问题。

1　安全事件关联分析研究现状及存在的问题

关联分析在网络安全领域中是指对网络全局的安全事件数据进行自动、连续分析，通过与用户定义的、可配置的规则匹配来识别网络潜在的威胁和复杂的攻击模式，从而发现真正的安全风险，达到对当前安全态势的准确、实时评估，并根据预先制定策略做出快速的响应，以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力，并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下几个问题：

1）为避免产生虚警，将单个报警事件与可能的安全场景联系起来；

2）为避免重复报警，对相同、相近的报警事件进行处理；

3）为达到识别有计划攻击的目的，增加攻击检测率，对深层次、复杂的攻击行为进行挖掘；

4）提高分析的实时性，以便于及时进行响应。

2　安全事件关联分析引擎的设计

安全事件关联分析方法包括离线分析和在线分析两种。离线分析是在事件发生后通过对日志信息的提取和分析，再现入侵过程，为入侵提供证据，其优点是对系统性能要求不高，但是实时性比较低，不能在入侵的第一时间做出响应。在线分析是对安全事件进行实时分析，虽然其对系统性能要求比较高，但是可以实时发现攻击行为并实现及时响应。由于电力工业的特点决定了电力企业信息内网安全不仅具有一般企业内网安全的特征，而且还关系到电力实时运行控制系统信息的安全，所以对电力企业安全事件的关联分析必须是实时在线的，本文所研究的安全事件关联分析引擎是一个进行在线分析的引擎。

2.1　安全事件关联分析系统

安全事件管理系统是国家电网网络安全设备联运系统的一个子系统，它是将安全事件作为研究对象，实现对安全事件的统一分析和处理，包括安全事件的采集、预处理、关联分析以及关联结果的实时反馈。

内网设备：内网设备主要是电力企业信息内网中需要被管理的对象，包括防病毒服务器、邮件内容审计系统、IDS、路由器等安全设备和网络设备。通过端收集这些设备产生的安全事件，经过预处理后发送到关联分析模块进行关联分析。

事件采集端：主要负责收集和处理事件信息。收集数据是通过Syslog、SNMP　trap、JDBC、ODBC协议主动的与内网设备进行通信，收集安全事件或日志信息。由于不同的安全设备对同一条事件可能产生相同的事件日志，而且格式各异，这就需要在端将数据发送给服务器端前对这些事件进行一些预处理，包括安全事件格式的规范化，事件过滤、以及事件的归并。

关联分析：其功能包括安全事件频繁模式挖掘、关联规则生成以及模式匹配。关联分析方法主要是先利用数据流频繁模式挖掘算法挖掘出频繁模式，再用多模式匹配算法与预先设定的关联规则进行匹配，产生报警响应。

控制台：主要由风险评估、资产管理、报表管理和应急响应中心组成。风险评估主要是通过对日志事件的审计以及关联分析结果，对企业网络设备及业务系统的风险状态进行评估。应急响应中心是根据结合电力企业的特点所制定的安全策略，对于不同的报警进行不同的响应操作。资产管理与报表管理分别完成对电力企业业务系统资产的管理和安全事件的审计查看等功能。另外，对于关联分析模块匹配规则、端过滤规则等的制定和下发等也在控制成。

数据库：数据库包括关联规则库、策略库和安全事件数据库三种。关联规则库用来存储关联分析所必须的关联规则，策略库用来存储策略文件，安全事件数据库用来存储从端获取用于关联的数据、进行关联的中间数据以及关联后结果的数据库。

2.2　关联分析引擎结构

事件关联分析引擎作为安全事件关联分析系统的核心部分，由事件采集、通信模块、关联分析模块和存储模块四部分组成。其工作原理为：首先接收安全事件采集发送来的安全事件，经过预处理后对其进行关联分析，确定安全事件的危害程度，从而进行相应响应。引擎结构如图1所示。

2.3　引擎各模块功能设计

1）事件采集模块。事件日志的采集由事件采集来完成。事件采集是整个系统的重要组成部分，它运行于电力企业内网中各种安全设备、网络设备和系统终端上，包括采集模块、解析模块和通信模块三个部分。它首先利用Syslog、trap、JDBC、ODBC协议从不同安全设备、系统中采集各种安全事件数据，由解析模块进行数据的预处理，然后由通信模块发送到关联分析引擎。

2）事件预处理。由于日志数据来源于交换机、路由器、防火墙、网络操作系统、单机操作系统、防病毒软件以及各类网络管理软件，可能包含噪声数据、空缺数据和不一致数据，这将严重影响数据分析结果的正确性。而通过数据预处理，则可以解决这个问题，达到数据类型相同化、数据格式一致化、数据信息精练化的目的。

事件预处理仍在事件采集中完成，主要包括事件过滤、事件范化和事件归并三部分。

3）事件关联分析模块。事件的属性包括：事件分类、事件严重等级、事件源地址、源端口、目的地址、目的端口、协议、事件发生时间等，这些属性在关联分析时需要用到，故把规则属性集设置为：

各字段分别表示：规则名称、源IP地址、目的IP地址、源端口号、目的端口号、协议、设备编号、事件发生时间、事件严重等级。

该模块将经过处理的海量日志信息数据流在内存中利用滑动窗口处理模型，经过关联分析算法进行关联规则挖掘后，采用高效的模式匹配算法将得到的关联规则与规则库中预先设定的规则进行不断的匹配，以便实时地发现异常行为，为后续告警响应及安全风险分析等提供依据。

3　结束语

本文首先基于引擎的设计背景介绍了引擎的总体结构以及关联分析流程，然后分别给出了事件采集、事件关联分析模块的设计方案，包括模块功能、模块结构以及规则库的设计方案。

参考文献：

[1]熊云艳、毛宜军、丁志，安全事件关联分析引擎的研究与设计，计算机工程，2006，32（13）：280-282.

[2]唐懿芳、穆志纯、张师超等，挖掘数据流频繁模式的相关技术和算法研究综述，计算机工程与应用，2009，45（26）：121-124.

[3]朱小栋、沈国华，流式数据上关联规则挖掘研究综述，计算机应用研究，2010，27（09）：3201-3204.