无线移动环境下信息安全综合管理系统关键技术研究

【摘要】： 如今移动网络安全问题层出不穷,运营商在部署了防火墙、防病毒和IDS等众多安全设备后,依然无法有效地进行安全防范。出现以上问题的根本症结在于网络中缺乏一个统一的安全管理平台。基于SOC的信息安全综合管理系统是解决上述问题的有效途径。它通过构建核心的信息安全管理支撑体系,实现对无线移动网络的各种安全事件、用户行为和安全风险的集中统一管理。本文对信息安全综合管理流程体系各阶段涉及到一些关键技术进行了深入研究,主要贡献如下： (1)按照无线移动环境综合信息安全综合管理系统的目标和信息安全综合管理的工作流程,设计了无线移动环境信息安全综合管理系统的总体技术方案,完成全网的安全风险管理。它的核心功能是安全事件管理和全网集中控制,即通过安全事件采集服务器采集无线移动全网络的各种安全对象(路由器、传统防火墙、GTP防火墙、传统IDS、IP业务识别与控制设备、VoIP IDS、MSC、HLR、GGSN、CDR数据库等)产生的事件、日志,通过核心管理服务器进行相关性分析,并与无线移动网络用户关联同时对用户行为进行分析,从中发现与安全相关的事件,查询知识库并自动生成响应安全策略、交给管理人员或工单系统处理。同时具备网络管理中心(NOC)功能,能对全网设备进行集中配置管理和安全策略的定义,完成安全配置部署和实时更新。 (2)应用层特征检测是目前协议识别的主要技术,许多协议识别系统都依赖于提取特征的准确性和多样性,但目前还没有很有效的特征提取方法。本文通过引入序列项目集和偏移属性集的概念,使得算法能够处理集合事物和具有序列特性的项目；通过递推的方法依次得出不同长度的特征字段,并利用偏移属性集加以约束去除无效字段,有效控制约束频繁集的规模；最后依据选择策略从约束频繁集中选出最终的特征字段。实验结果表明只要选取合适的参数,用本方法提取协议特征是行之有效的。 (3)针对正则表达式匹配通配符等特殊字符效率低下的问题,提出了两种效率更高的算法：采用前缀搜索的ISA算法、子串搜索和前缀搜索相结合的IBNDM算法。两种算法都采用位并行技术,使用机器字来记录各种参数。文本匹配时,利用机器字的内在并行性,通过位运算更新各机器字的取值,模拟非确定自动机(NFA)的状态转换过程,反映各种特殊字符对NFA状态转换的影响,实现特殊字符串的快速查找。实验结果表明：在模式串长度不超过机器字长(通常为32或64)时,两种算法都比正则表达式具有更优越的性能。 (4)介绍了安全事件采集代理和安全事件采集服务器的实现方式。其中安全事件采集服务器能够实时接收并解析各类设备的日志却无需重新编译解析代码,无需重新启动系统。具体实现方法为：首先动态加载设备日志解析配置文件并创建相应的日志解析器,然后接收各类设备发出的日志,并根据接受的日志类型查找相应的日志解析器；如果找到相应的日志解析器,则对接收的设备日志进行解析,并将解析结果发送到安全管理核心服务器。当有新的设备类型增加到系统中时,系统无需重新启动,无需编译解析代码,就能够实时接收并解析新增设备类型的日志。 (5)基于攻击发生的先决条件的方法是一种有效地事件关联方法,它通过分析事件发生的先决条件和后果来重构攻击场景。但是关联产生的的关联图是异常庞大和不可读的,这是因为在关联过程中所有事件都被一视同仁的对待,却没有考虑不同事件对不同资产造成的影响是存在差异的。在本文中针对上述问题,.提出了一种采用脆弱性分析的安全事件关联模型。在分析安全设备产生的攻击日志时,可以结合攻击目标的资产价值和安全风险信息,对基于先决条件和后果机制构建的关联图进行优化,能够更大幅度的压缩关联图规模,提高可读性和可用性。