为增强安全信息和事件管理系统SIEM的能力，欧盟的地平线计划（Horizon Plan）资助了DiSIEM项目。DiSIEM项目报告重点讨论了SIEM相关的安全测度、概率模型、开源情报收集，威胁情报融合，可视化技术应用、安全事件的云存储等六个方面的项目成果，本刊将逐期刊载介绍。本期是第一篇，首先介绍DiSIEM项目的概要信息，包括项目面对的挑战、设定的目标和获得的成果。

DiSIEM项目概要：SIEM的多样性增强

——DiSIEM项目及其研究成果（一）

　　安全信息和事件管理系统（Security Information and Event Management， 简称SIEM）是现代安全运营中心（SOC）的重要工具，目前SIEM在进行事件收集、数据存储和威胁报告的手段和方法上仍然有很多能力限制，为了增强SIEM的能力，欧盟的地平线计划（Horizon Plan）资助了一项名为安全信息和事件管理系统的多样性增强项目（Diversity Enhancement of Security Information and Event Management，后文简称DiSIEM项目），该项目从2016年到2019年开展了为期3年的研究与实践，共获得400万欧元的资助。DiSIEM项目共有七个参与组织（见表1）。

表1  DiSIEM项目成员组织

　　DiSIEM项目最重要的部分是使用可扩展的信息提取及机器学习算法和工具，从多个数据源中提取信息，这些数据源包括基础设施中的监控传感器，开源情报，社交网络信息，安全新闻订阅，咨询公司情报等，然后在SIEM系统中使用基于概率理论模型的方法和先进的可视化工具处理这些信息，从而更好地进行威胁预测和风险评估。

　　DiSIEM项目并不希望设计一套全新的SIEM系统，而是希望对现有的SIEM系统进行增强，包括：对各类安全和监控设备的配置评估；新的面向应用的滥用监测方法；基于安全云后端的事件长期存储系统。

　　DiSIEM项目希望这些改进能够和现有的SIEM系统互通，可以整体或分解应用于具体的SIEM系统环境中，并可以在生产环境中进行验证（通过EDP、Amadeus和Atos三家集团的SIEM运营环境）。

　　经过3年的研究，并通过在三家不同类型的企业生产环境中验证，DiSIEM项目共发表了大约35篇论文，并总结成17篇项目报告，重点讨论了SIEM相关的安全测度、概率模型、开源情报收集，威胁情报融合，可视化技术应用、安全事件的云存储等六个方面的项目成果，下文首先介绍DiSIEM项目的概要信息，包括项目面对的挑战、设定的目标和获得的成果。

　　SIEM系统面临的挑战

　　当前企业通过建立SOC来监控和管理自己的IT基础设施安全，并做出安全相关的决策。SOC通过部署SIEM系统获得被监控基础设施的集成视图。这些复杂系统的功能包括：从多个来源收集日志和事件，将这些事件关联在一起，然后生成统计视图、数据趋势和不同类型的可视化界面，以帮助系统管理员和其他安全专业人员。由于这些系统的功能特性（集成系统的数量，处理事件的数量级等），其部署和维护非常复杂且成本高昂，且由于安全风险的日益增长以及合规性的需求， SIEM市场正在快速成长，同时目前的SIEM仍有许多局限性：

　　1.SIEM的威胁情报能力仍处于起步阶段。系统无法自动识别可能影响（整个或部分）监控基础设施的新威胁，需要相当大的人力干预来适应和应对威胁形势的变化。尽管互联网能及时提供丰富的安全相关信息源（例如社交媒体、博客和安全新闻），但目前的SIEM无法使用这些信息源。

　　2.当前系统可以显示与所接收事件相关的任何“底层”数据，但是几乎没有“智能”来处理该数据并提取高层语义信息。这些底层数据（例如，服务器中登录失败的次数、异常的Web访问请求）仅对专业的系统管理员有意义，难以转换为 “C”级管理人员（例如CTO、CEO）理解的有语义的信息，这会影响SOC证明组织安全投资回报的能力。

　　3.当前SIEM中的大多数数据可视化技术都是极其有限和初级的。SIEM中的高级数据可视化手段仍然有限，这会严重影响SOC及时处理安全事件的能力。

　　4.SIEM的事件关联能力取决于提供给它的事件质量。目前不够完善的安全监控设备生成的各类不精确事件和警报将被SIEM默认为正确，这会为事件关联的结果准确性带来不确定因素，而这种不确定因素目前尚未有公开的研究。

　　5.由于存储资源的限制，SIEM无法长时间保留收集的事件。这限制了它们在长时间周期内进行取证调查的可用性，特别是在应对高级持续性威胁（APT）的攻击时。

　　DiSIEM项目的目标

　　DiSIEM项目不是为未来的SIEM提出新的架构或修改现有的SIEM，而是通过一组新组件和技术增强现有已部署在生产环境的SIEM系统，利用其内置的扩展和定制能力来解决上述挑战。这些组件和技术可以用于访问各种不同数据源，提供新的事件检测能力，并生成更好的可视化报告和指标以更好地支持安全运营中心。这些组件和技术包括：

　　1.集成互联网上可用的各种OSINT（开源情报）数据源。例如NVD（NIST的国家漏洞数据库），安全服务商维护的漏洞和补丁数据库，不同组织共享的威胁情报数据（例如ANS ISC，VirusTotal，ThreatExpert，SpamHaus，OpenBL，EmergingThreats等提供的IP地址，URL和文件Hash黑明单），来自社交网络（例如Twitter，Facebook，LinkedIn）的安全博客和数据流，来自暗网使用的协作平台（例如Pastebin）数据，来自搜索引擎和在线数据库（例如Google Hacking Database，Shodan，RIPE / ARIN，Whois等） ，标准化（例如STIX和OpenIOC）的IOC数据等。这些数据需要被提取，分析，标准化和融合，以识别数据间的关系，趋势和异常，从而帮助SIEM发现基础设施的新漏洞，并能预测可能出现的新的安全威胁和风险。

　　2.开发新的概率安全模型和基于风险的评估指标，以帮助安全分析师确定哪些基础设施配置提供了更好的安全保障，并提高SOC和C级管理人员沟通组织安全状态的能力。

　　3.设计新的可视化方法，以呈现各种实时和历史数据，通过辅助SOC的安全分析师从底层数据中更好地提取高级安全事件语义，更好地支持SIEM的决策过程。

　　4.将多样化的，冗余的和增强的安全监控功能集成到SIEM系统中，增加系统获取到的事件的价值。DiSIEM项目计划使用不同的工具合作构建增强的安全感知和防御系统，例如使用三个不同的入侵检测系统来监控网络的相同关键部分，SOC可以对这些系统生成的警报有更高的可信度。实现这种类型的机制需要对安全系统的多样性进行概率建模，以定义哪些工具组合更有效以及可以预期安全事件的检测率和可信度的改进程度。同时，DiSIEM项目建议为业务中的关键应用程序部署新的基于行为异常的检测系统，从而提高SIEM对这些应用程序功能安全状态的可见性。

　　5.添加在公共云存储服务中对事件进行长期存储的支持。为了满足安全数据（包含大量敏感信息）存储中的安全性和隐私性要求，DiSIEM研究如何采用秘密共享和信息分散等技术将此类事件存储在不同云服务商（例如，亚马逊，Windows Azure，Google）空间中。

　　这些组件和技术将通过一组插件形式的工具和组件实现，它们可以被集成到现有的SIEM系统中。 例如，SIEM可以通过集成多样化的OSINT源获得多样化的、冗余的和增强的安全监控功能，而SIEM事件数据库可以给新的可视化和分析工具提供数据流。DiSIEM项目设想SIEM的多样化增强架构如图1所示。

图1  SIEM的多样化增强架构

　　DiSIEM项目的预期成果

　　DiSIEM项目预期的主要成果包括以下几个部分：

　　1.用于分析，评估和指导基础设施中各种安全机制最佳部署的技术和工具，包括基于风险的多层次安全测度级别指标（在图1中的所有蓝框中使用）。

　　2.基于开源情报OSINT的安全威胁预测模块（图1中的“OSINT Data Analysis and Fusion”框）。

　　3.丰富的增强交互式可视化功能，用于提高SIEM对安全分析师决策过程支持的质量（图1中的“Visualization and analysis Tools “框）。

　　4.用于部署各种冗余传感器的框架（图1中”Diversity-Enhanced Monitoring “框的一部分）。

　　5.新的基于应用的异常行为检测功能，和其他传感器的检测结果互补，检测应用服务器中的攻击活动（图1中”Diversity-Enhanced Monitoring “框的一部分）。

　　6.允许在不同云中进行事件长期存档的组件（图1中”Cloud of Clouds Event Archival“框）。

　　DiSIEM通过选择扩展而不是开发新的SIEM期望更快地促进创新，并最大化推进项目结果在生成环境中的使用。从下期起，我们将按上述顺序分期介绍DiSIEM项目的各项成果。