基于STAT技術的安全事件管理系統(tǒng)的研究與實現.pdf

1、隨著互聯(lián)網的發(fā)展以及信息化程度的逐步提高，信息安全威脅也呈現出多元化、復雜化的趨勢。依靠單一的安全技術已經很難解決現有的信息安全問題，信息安全要靠一個包括防火墻、防病毒、VPN、入侵檢測、漏洞掃描器等多項技術和安全產品組成的安全體系來實現。但是根據專業(yè)機構的調查顯示，在使用了多種安全產品和技術的企業(yè)或機構中，安全事件仍然居高不下。這引起了大家的反思，人們開始意識到信息安全管理的重要性，信息安全的重心開始由“技術”轉移到“管理”上來。信息

2、安全管理系統(tǒng)應運而生。信息安全管理系統(tǒng)一般至少包括以下子系統(tǒng)：事件管理、策略管理、資產管理、身份管理、應急響應。 安全事件管理系統(tǒng)是信息安全管理系統(tǒng)的核心子系統(tǒng)，它行使事件采集、事件分析處理、風險評估、事件審計等功能。它既可以與其他子系統(tǒng)協(xié)作構成完整的信息安全管理系統(tǒng)，也可以作為獨立的信息安全管理產品單獨運行。 本文設計了一個安全事件管理系統(tǒng)(Security Event Management System，SEMS)，

3、并利用STAT(State Transition Analyse Technology)技術實現了該系統(tǒng)。SEMS能夠支持對各種類型、各種品牌的安全產品的事件管理；能夠對各種安全事件進行采集，并實現事件標準化、過濾和歸并操作；能夠使用“資產關聯(lián)”、“聚類關聯(lián)”、“事件序列關聯(lián)”等多種方法進行事件關聯(lián)分析處理；能夠對事件進行實時監(jiān)控、審計和態(tài)勢分析。 在整個論文過程中，從信息安全的內容和目標以及信息安全所面臨的問題入手，對安全事件

4、管理系統(tǒng)進行需求分析。并在此基礎上，做了以下的工作： (1) 定義了一個事件標準模型。在對安全事件管理系統(tǒng)進行細化分析，對關鍵技術進行調研的過程中，改進IDMEF數據模型，為安全事件管理系統(tǒng)定義了一個事件標準模型。該模型適用于各種異構的事件源，包括不同采集方式的事件信息、不同信息源的事件信息、不同類型的事件信息等。 (2) 定義了一個事件關聯(lián)模型，在該模型中采用了包括事件過濾、事件歸并、資產關聯(lián)、聚類關聯(lián)、事件序列關聯(lián)的