soc方案标准版

soc方案标准版内容摘要：

序号 采集方式 采集内容 1 SYSLOG 收集安全告警日志，主要是从入侵监测系统、网络行为监测系统、病毒监测系统、邮件安全监测系统、 Web 应用安全监测系统、僵尸网络监测系统、防火墙等安全设备和安全系统上收集报警日志； 2 SNMP Trap 收集安全告警日志，当安全设备不支持 SYSLOG 输出，而支持SNMP Trap输出时，该平台支持通过 SNMP TRAP 方式收集安全告警日志； 3 SNMP 轮巡 支持 SNMP 服务的设备进行拓扑自动发现； 针对网络设备，从设备的 MIB 库中获取设备配置信息、运行信息、等数据； 针对操作系统，从操作系统的 MIB 中获取系统的静态配置信息； 4 Tel/SSH 负责从 Unix、 Linux 服务器上采集与操作系统有关的运行信息，包括： CPU 动态信息、内存动态信息、系统进程动态信息、硬盘动态信息、用户访问信息等； 5 专用 Agent 负责从 Windows 服务器 上采集与操作系统有关的运行 信息，包括： CPU 动态信息、内存动态信息、系统进程动态信息、硬盘动态信息、用户访问信息等； 6 HTTP 用于对业务系统的可用性进行监控； 负责从中间件采集 会话动态信息、进程池动态信息、 JDBC连接池动态信息等； 7 JMX 从中间件采集 会话动态信息、进程池动态信息、 JDBC 连接池动态信息等； 9 ODBC 从数据库中直接采集数据库相关信息，包括：数据库版本、字符集、配置的临时表大小、临时表目录、数据表信息、缓存信息、线程信息、锁信息、页和行锁信息等； 10 SOAP/XML 负责与第三方产品使用相 关协议交互数据使用； 数据格式标准化 NetEye 安全管理平台 系统 解决了各个 IT 系统造成的海量数据和信息孤岛的困扰，整体上简化了安全管理的数据模型。 该平台将从包括主机系统、网络系统、业务系统、数据库系统、安全系统在内的各 IT系统收到的安全事件按照统一格式进行标准化处理，存储到一个通用数据库中，为平台后期根据定制的安全策略分析数据提供基础。 该平台对安全信息经过标准化后的内容包括：  事件编号：产生安全事件的序列号；  事件名称：该事件的名称；  资产名称：发现事件的资产名称；  事件类别：安全事件的所属类别 ，如：拒绝服务、非授权访问、缓冲区溢出、网络协议等；  紧急程度：该事件的严重级别；  事件内容：该事件的具体内容；  事件发生时间：该事件发生的具体时间；  协议：该事件所使用的协议；  源 IP/源端口：发生该事件相关的源 IP/源端口；  目的 IP/目的端口：发生该事件相关的目的 IP/目的端口；  保留字段：可扩充的其他内容。 数据分析 数据分析模块，实现对原始数据的核心处理。 为了提高 NetEye 安全管理平台系统数据分析的准确性，该平台能够自动对收集上来的安全告警日志数据进行一定的关联分析处理，帮助用户发现有效的安全事 件。 同时，该平台设计提供自定义关联规则的界面，以便给用户提供更大的监控选择空间。 该平台系统实现了五种关联分析机制： (一 ) 基于统计的关联分析； (二 ) 基于规则的关联分析； (三 ) 基于资产、脆弱性的关联分析； (四 ) 事件溯源 关联分析 (五 ) 与工单系统关联 无论是哪一种关联分析方法，都需要具备一个基础的模型框架作为工作基础，本平台所设计的关联分析过程的数据流向以及各个模块间的交互关系如下图所示： 各个节点模块的概念及功能说明如下： Cental Manager(CM)：关联分 析模块的中央管理，既是控制中心，又是服务中心。 CM 作为控制中心，提供了对整个模块中各进程的实时监控和配置管理接口。 CM 作为服务中心，提供了两大类服务：一、数据服务；二、告警服务。 Aggregation Engine(AE)：聚合引擎，根据事件的关键词检查并标明一系列事件的等同性。 Vulnerability Correlation(VCE)：脆弱性关联，检查并标明事件所隐含的脆弱性信息。 AE AE Central Manager DB Agent Agent Agent Desktop RC Engine fail over RPC Socket JDBC Mixed VC Engine WebServer Agent Rulebased Correlation(RCE)：规则关联，使用一系列自定义规则将一系列事件关联起来形成意义更完 整的新事件。 Agent：原始日志采集代理，根据不同的采集方式，使用不同的采集代理进程。 (一 ) 基于统计的关联分析 基于统计的关联分析，主要的依赖对象是关联分析框架模型中的聚合引擎。 聚合引擎（ Aggregation Engine， AE）是处于收集代理之上第一层事件处理引擎。 同时，聚合引擎的输出将作为其它高级关联引擎（例如规则关联引擎、脆弱性关联引擎）的输入。 聚合引擎负责初级的分析和聚合工作。 AE 接受多个代理发送的规范化的安全事件，根据事件的聚合条件（ Criteria），检验并聚合事件，最后根据结果类型，将聚合 后的事件发送到后续的高级关联引擎（ Correlation Engine）。 聚合引擎根据事件的关键词序列将同一系列的事件进行聚合。 关键词序列存储在数据库中。 两个以上事件如果关键词一致，认为是等同事件。 一批等同事件，如果首尾发生的时间间隔小于该类事件的最大聚合间隔，则认为这批等同事件属于聚合事件。 发生聚合时，首一事件的聚合次数被设置为聚合事件的个数，并代替其余事件向后续关联引擎传播。 此外，聚合引擎还负责将事件新增到数据库中，并在聚合发生时，更新事件的聚合次数以及蔓延时间等聚合信息。 s t a r t日志收集格式化发送事件 获取关键词检索前一事件设置聚合信息发送聚合事件保存事件无或者超时更新事件 发送事件检索关键词e n d[ 隔一定时间 ]c o r r e l a t i o n : E n g i n ek e r n e l : P Ka g g r e g a t e : A Ea g e n t : A G 事件被接收后，进行聚 合处理，未聚合成功的事件保持 Normal 状态，发生聚合的事件设置聚合标志后，每隔一定时间后，由定时线程继续发送到后续关联引擎。 从事件的流量上看，聚合引擎起到了一定的流量衰减作用。 具体表现为， m 个事件发生聚合时，设入口流量为 m，出口流量为 n，则 mn2。 (二 ) 基于规则的关联 分析 所谓规则关联分析（ Rulebased Correlation， RC），是通过规则关联引擎（ Rulebased Correlation Engine， RCE）来实现的，规则关联引擎接收来自收集代 理的原始安全信息（即格式化以后的安全日志，也称为原始安全事件），根据预定义的安全信息分析策略（也称为规则关联策略，即攻击场景） 中定义的 规则 顺序先后匹配多种设备的多个 原始安全 事件，将多个 原始安全 事件 通过规则匹配，生成一条关联分析后 事件。 通过规则关联分析 能够匹配一个攻击事件发生的一系列步骤或几个关键步骤，而且能够组合一个攻击发生在不同主机上的多个事件。 达到更准确 地 检测攻击 、 减少误报的目的。 在系统中，规则关联分析引擎（ Rulebased Correlation Engine， RCE）处于聚合引擎和漏洞关联引 擎（ Vulnerability Correlation Engine， VCE）之后，其目的是接收来自于 AE和 VCE 的安全事件，并将事件以攻击场景匹配的方式生成新的安全事件。 RCE 的主要用例有：事件监听、事件分配、事件匹配规则、入库和发送给其它引擎。 事件分配事件匹配规则入库e x t e n d i n c l u d e AEV C E事件监听i n c l u d e CM发送e x t e n d R C E RCE 的组织结构如下图所示，橙色的方框是 RCE 部分，灰色的方框是 RCE 与其它模块的接口部分。 模块的内部是该引擎的线程，线程分别为事件监听线程、事件分配线程、动态工作线程、静态工作线程、垃圾回收线程、入库线程、结果处理线程、动静态线程平衡、发送线程、引擎主线 程和心跳线程。 事 件 监 听 线 程 事 件 分 配 线 程 动 态 工 作 线 程静 态 工 作 线 程 垃 圾 回 收 线 程动 静 态 线 程 平 衡结 果 处 理 线 程 发 送 线 程入 库 线 程引 擎 主 线 程 诊 断 机 制聚 合 引 擎MQ脆 弱 性 关 联 引 擎MQ配 置 文 件（ S Y S _ P A R A M ）中 央 管 理 器规 则（ R C _ R U L E 表 ）InitModifyS O A PSOAPSOAP数 据 库（ H I G H _ S E V ER I T Y _ E V E N T、L O W _ S E V E R IT Y _ E V E N T 、R C _ R E L A T E D_ E V E N T 、R C _ R U L E 和R C _ S T A T E ）J D B CM Q其 它 引 擎 规则可以实现包括顺序、分支、分支选择、合并、循环以及这几种结构的组合结构，以达到能够灵活的描述出各种攻击场景的需求。 简单规则 S 1S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t o p % ”S 1 该规则只有一个状态节点： S1 定义为 SIP=、 SPort=8080、 Msg LIKE “ ％ application stop％ ”。 这种规则是为了描述 主机的应用服务器在 8080 端口上的应用服务停止。 顺序结构规则 S 1S 2S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t o p % ”S 1S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t a r t % ”S 2 该规则包含两个状态节点： S1 定义为 SIP=、 SPort=8080、 Msg LIKE “ ％ application stop％ ” ； S2 定义为 SIP=、 SPort=8080、 Msg LIKE “ ％ application start％ ”。 这种规则是为了描述 主机的应用服务器在 8080 端口上的应用服务重启。 分支结构规则 S 1S 2 S 3 S 4S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % s s h l o g i n % ”S 1S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % s y s l o g d s t o p % ”S 3S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % r e b o o t % ”S 2S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % r o o t p w d c h a n g e d % ”S 4 该规则包含四个状态节 点： S1 定义为 SIP=、 Msg LIKE “ ％ ssh login％ ” ； S2 定义为 SIP=、 Msg LIKE “ ％ reboot％ ” ； S3 定义为 SIP=、 Msg LIKE “％ syslogd stop％”； S4 定义为 SIP=、 Msg LIKE “％ root pwd changed％”。 这种规则是为了描述 主机被远程使用 ssh 登录之后，可能出现的三种敏感安全事件，分别是系统重启、系统日志进程停止以及 root 用户密码被修改。 分 支选择结构规则 S 1S 2 S 3D e v t y p e = 1 0S E V E R I T Y _ I D = 2S 1A P P _ S E V E R I T Y = 3T 2A P P _ S E V E R I T Y 3T 3D e v t y p e = 1 0S I P = p r e E v e n t . S I PM s g L。