!
!"#
!
!"#





在确保IT基础设施的安全方面，当今企业面临着很多挑战。利用现有人手来处理越来越复杂的工
作就是在可以预见的未来继续存在的挑战。这一复杂性的两个主要来源就在于入侵检测系统
（IDS）、防火墙（FW）、操作系统（OS）、应用（APPS）以及防病毒系统（AVS）所检测和报告的
数量极大且种类繁多的安全警报。仅一个防火墙每天就能产生超过十亿字节的日志数据，而一个
IDS系统每天能产生超过500,000条消息。

更糟糕的是——这些安全系统所产生的很多信息大多是假肯定（即表示有敌对活动，但实际上没
有）。多数消息只不过是表示网络资源正常合理使用情况的古老数据。这里的挑战在于如何区分并
优先化那几个的确表示真正安全威胁的消息。这一将重要安全事件从IDS、FW、OS、APPS以及
AVS等消息的白噪声中区别出来的必要性也是更大规模经济现状的一部分，即要求机构能更有效
地利用其现有的安全资源。因此运营中心内部安全运作工作负担和各项任务优先化的自动化是至
关重要的。


1
!
!"#


更有效的安全自动化的关键在于Cisco公司率先开发的软件技术——安全信息管理（SIM）。SIM
结合了若干与众不同的特性来实现对安全事件数据的收集、规范化和分析。CiscoSIM技术的核
心在于三种重要的数据关联功能——一种是基于安全政策规则的定义，另一种是基于统计威胁评
分，而第三种则是基于与资产相关的实际漏洞。

虽然目前存在很多用于事件关联的技术，但Cisco公司的技术处于行业领先地位，因为它集成了可
用于衡量两个或多个安全事件之间关系的三种独特的关联功能，来确定事件发生的可能性。当检
测出可疑的安全活动时，CiscoSIMS系统就会提醒操作员注意，进而采取适当对策。

CiscoSIMS基于规则的、统计的和漏洞的关联功能既与众不同又功能强大。虽然每种关联技术都
是非常准确的，但实施起来却十分简单和直截了当——其中每种技术都从不同角度来实现事件关
联，进而保护企业免遭更广泛的潜在安全事件的威胁。为了实现这一目的，Cisco公司提供了一种
可作为一整套SIM功能之有机组成部分的综合管理解决方案。

!
!"#$

CiscoSIMS解决方案集成了三种与众不同且功能强大的事件关联方法——第一种是基于规则的关
联，它可通过针对从SIMS所监控的IDS、FW、OS、APPS或AVS设备中接收的每个事件来激活
“时间警觉型”安全政策规则，将假肯定安全警报与可能十分重要的安全事件区别开来。

基于规则的关联被紧密映射到SIM模型中，一般是从事件数据的收集和规范化开始的——也就是
将安全事件数据规范化成同一种格式。当采用基于规则的关联时，首先是按厂家、咨询顾问或最
终用户来预定义若干种可疑活动。一种情况中包括一系列用来定义某种可能的恶意安全事件或攻
击的事件。以域名服务器（DNS）攻击情况为例，其中攻击者先实施DNS服务器侦察活动（如针
对一台DNS服务器进行端口扫描），然后再针对IDS所检测到的同一个DNS服务器进行一系列入
侵尝试——我们可以利用简单的“如果”（“if”）、“则”（“then”）和“另”（“else”）等语句创建一
些逻辑来捕捉这种情况。用中文表示，我们的DNS攻击规则可写为：如果我们从一个防火墙接收
到一个针对该DNS服务器的侦察企图（DNS版本检查或其他连接请求），则如果我们从一个IDS
接收到一个或多个针对同一个DNS服务器的入侵企图，则向操作员发出一个通知。[用英语表示，
我们的DNS攻击规则可写为：ifwereceiveareconnaissanceattemptfromafirewallagainstthe
DNSserver（DNSversioncheckingorotherconnectionrequests），thenifwereceiveoneormore
exploitattemptsfromanIDSagainstthesameDNSserver，thensendanotificationtotheoperator]

当收到安全事件并将其与规则进行比较时规则就会触发。随着时间的推移，系统就会创建出事件
“状态”来跟踪那些成功执行的关联规则。在我们的DNS攻击例子中，一次端口扫描事件会激活
我们新定义的规则，进而导致“创建”或“开始”状态的建立。如果此后在预定义的时间范围内
再次接收到一个DNS入侵事件，那么就会触发一个“成功”状态。当然，这以后接着就会是一个
活动状态，该状态可导致向操作员发出通知。否则，经过一段时间后，就会触发一个“失败”状
态，在该状态中规则也许会复位到“空”或“零”状态。用图形表示，针对我们的DNS攻击例子
的SIMS基于