專利名稱:安全事件關聯(lián)分析方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全技術領域�,具體涉及一種安全事件關聯(lián)分析方法和系統(tǒng)。
背景技術:
隨著計算機技術和網(wǎng)絡技術的發(fā)展���,安全性問題越來越受到重視�。常見的安全設備有防火墻��、入侵檢測系統(tǒng)(IDSIntrusion Detection System)�����、證書授權(CACertificate Authority)系統(tǒng)�、完整性檢查工具、殺毒軟件等�����。這些安全組件會在異常情況出現(xiàn)時產(chǎn)生報警信息���。此外�,一些系統(tǒng)和應用程序也會產(chǎn)生安全相關的日志��。這些報警信息和日志通稱為原始報警事件��。來源不同的原始報警事件往往彼此重疊、關聯(lián)或者相互依賴����,而且數(shù)據(jù)量龐大,使得安全管理工作變得越來越復雜�,安全管理員需要應對大量具有冗余性且彼此關系錯綜的報警信息;此外��,很多網(wǎng)絡攻擊行為僅依靠單一的安全組件是無法檢測到的����,只有將各組件產(chǎn)生的事件報警進行關聯(lián)分析和綜合判斷,才能準確發(fā)現(xiàn)并及時制止這些攻擊���。要解決這些問題����,必須采用關聯(lián)分析技術����,目前主要的關聯(lián)分析技術包括如下幾種一、斯坦福國際研究所(SRI InternationalStanford Research InstituteInternational)的系統(tǒng)設計實驗室提出的基于攻擊建模的規(guī)則關聯(lián)方法�����。設計步驟為建立詳細的攻擊描述庫,從條件�、環(huán)境等多個角度對每種攻擊進行描述;建立用于分析攻擊特征的自動機�����,對攻擊描述庫進行處理�����,產(chǎn)生關聯(lián)規(guī)則���;建立報警匹配機,根據(jù)關聯(lián)規(guī)則對原始報警事件進行模式匹配并產(chǎn)生安全事件���。
此方法的缺點在于依賴于對攻擊場景預先進行合理準確的描述����,如果攻擊過程中包含未知的或未被檢測到的攻擊步驟����,則無法進行關聯(lián)處理,因此對于新的或未知的攻擊方式?jīng)]有防范能力����。
二�、基于前提/結(jié)果的關聯(lián)技術�����。該技術是對上述SRI關聯(lián)技術的改進��,主要處理流程如下預先建立各種攻擊步驟的前提(prerequisites)和結(jié)果(consequences)�����;對前面報警的結(jié)果和后續(xù)報警的前提進行匹配以達到關聯(lián)目的����;根據(jù)匹配情況建立多步攻擊的場景。
該方法使用超報警(Hyper-Alert)來表示報警的前提和結(jié)果�����,生成的攻擊場景用超報警關聯(lián)圖(Hyper-Alert Correlation Graph)來表示�,在關聯(lián)圖的基礎上,可進一步進行基于人機交互的事件分析功能����。這種方法不再依賴于預先定義的攻擊場景�,但關聯(lián)性能取決于對攻擊的建模�,即針對每項報警設定的前提和結(jié)果,對于新的或未知的攻擊模式仍然缺乏識別和防范能力��。
三�����、聚類關聯(lián)技術��。聚類關聯(lián)采用的是一種算法�,而不是規(guī)則匹配的方式關聯(lián)��。這種方法的處理方式如下針對事件中每個字段設計相似性函數(shù)��,用于計算兩個事件的對應字段之間的相似程度�;在上一步的基礎上,針對事件本身設計相似性函數(shù)�����,用于計算兩個事件之間相似的程度��;處理原始報警事件時����,將彼此相似的事件關聯(lián)起來����,利用調(diào)節(jié)函數(shù)參數(shù)的方法����,從不同角度得到不同層次的結(jié)果。
此方法的缺點在于采用統(tǒng)計的方式進行處理�����,得出的結(jié)果往往缺乏明確的實際意義�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種既具有未知攻擊防范能力又能夠盡量獲得準確結(jié)論的安全事件關聯(lián)分析方法和系統(tǒng)�。
為達到本發(fā)明的目的,所采取的技術方案是一種安全事件關聯(lián)分析方法��,包括收集原始報警事件�;對原始報警事件分別進行基于規(guī)則的關聯(lián)分析和基于統(tǒng)計的關聯(lián)分析;對規(guī)則關聯(lián)和統(tǒng)計關聯(lián)分別產(chǎn)生的安全事件進行仲裁��,獲得唯一的安全事件�。
優(yōu)選的是�����,在對原始報警事件進行關聯(lián)分析之前�����,還按照預置的過濾規(guī)則對原始報警事件進行過濾����。
進一步優(yōu)選的是���,緩存收集到的原始報警事件,按照預置的過濾規(guī)則直接從緩存隊列中將滿足過濾規(guī)則的原始報警事件刪除�,然后再對緩存中的原始報警事件進行關聯(lián)分析。
所述基于統(tǒng)計的關聯(lián)分析優(yōu)選包括統(tǒng)計原始報警事件在指定屬性上的分布�;當某個或某幾個屬性層面上原始報警事件的累計威脅度超過閾值時,產(chǎn)生安全事件�����。
所述指定屬性可包括源地址��、目的地址�、協(xié)議和端口三個屬性�����。
優(yōu)選的是����,在基于統(tǒng)計的關聯(lián)分析產(chǎn)生安全事件后���,還對所述安全事件對應的原始報警事件序列進行數(shù)據(jù)挖掘�����,產(chǎn)生基于規(guī)則的關聯(lián)分析適用的關聯(lián)規(guī)則�。
所述數(shù)據(jù)挖掘優(yōu)選包括以支持度大于指定閾值為判斷依據(jù)�����,找出原始報警事件序列中表明攻擊過程的事件類型序列作為規(guī)則序列���;對于每條規(guī)則序列����,針對其各個節(jié)點的各個屬性,分別統(tǒng)計所有實例的對應值����,將大于最小置信度的值作為該屬性的備選項;對于每條規(guī)則序列����,統(tǒng)計所有實例不同節(jié)點屬性值之間的相似關系,確定規(guī)則中屬性的依賴關系����。
本發(fā)明還提供一種安全事件關聯(lián)分析系統(tǒng),包括事件隊列模塊��、規(guī)則關聯(lián)模塊��、統(tǒng)計關聯(lián)模塊�、結(jié)構(gòu)分析模塊����;所述事件隊列模塊收集和緩存原始報警事件,分別提供給所述規(guī)則關聯(lián)模塊和統(tǒng)計關聯(lián)模塊�;所述規(guī)則關聯(lián)模塊按照預置的關聯(lián)規(guī)則對原始報警事件進行模式匹配,根據(jù)匹配結(jié)果產(chǎn)生安全事件���;所述統(tǒng)計關聯(lián)模塊統(tǒng)計原始報警事件基于屬性的分布����,根據(jù)統(tǒng)計結(jié)果產(chǎn)生安全事件;所述結(jié)構(gòu)分析模塊從所述規(guī)則關聯(lián)模塊和統(tǒng)計關聯(lián)模塊接收安全事件���,進行仲裁獲得唯一的安全事件����。
優(yōu)選的是����,上述安全事件關聯(lián)分析系統(tǒng)還包括事件過濾模塊,所述事件過濾模塊按照預置的過濾規(guī)則對所述事件隊列模塊收集的原始報警事件進行過濾����,將滿足過濾規(guī)則的原始報警事件從隊列中刪除。
優(yōu)選的是�����,上述安全事件關聯(lián)分析系統(tǒng)還包括規(guī)則挖掘模塊和引擎控制模塊�����;所述規(guī)則挖掘模塊接收所述統(tǒng)計關聯(lián)模塊產(chǎn)生的安全事件,對所述安全事件對應的原始報警事件序列進行數(shù)據(jù)挖掘�����,產(chǎn)生關聯(lián)規(guī)則�,上報給所述引擎控制模塊;所述引擎控制模塊將所述規(guī)則挖掘模塊生成的關聯(lián)規(guī)則�,直接或提交控制臺確認后動態(tài)更新到所述規(guī)則關聯(lián)模塊中。
采用上述技術方案���,本發(fā)明有益的技術效果在于1)本發(fā)明采用規(guī)則關聯(lián)和統(tǒng)計關聯(lián)并行的方法�,通過仲裁獲得唯一的安全事件��,使得兩種關聯(lián)方式的優(yōu)缺點彼此互補�,既能夠獲得既知攻擊的準確檢測又保持了對未知攻擊的防范能力;并且�,當某個關聯(lián)方式出現(xiàn)故障無法工作時,另一個仍然可以繼續(xù)處理原始報警事件���,提高了系統(tǒng)的健壯性��;2)本發(fā)明進一步采用將對統(tǒng)計關聯(lián)進行數(shù)據(jù)挖掘獲得的規(guī)則應用于規(guī)則關聯(lián)的方法,既避免了統(tǒng)計關聯(lián)的模糊性又賦予了規(guī)則關聯(lián)對未知攻擊的檢測能力���,使得整個檢測體系能夠不斷自學習和發(fā)展�,更加適應復雜網(wǎng)絡安全環(huán)境的需要;3)本發(fā)明還提供了基于屬性分布的統(tǒng)計關聯(lián)方法�����,使原始報警事件的聚類分析更加方便和靈活���,同時也具有更為明確的含義���,便于快速準確的獲得所關心的相關事件組;4)本發(fā)明所提供的優(yōu)選的數(shù)據(jù)挖掘方法能夠準確全面的對統(tǒng)計獲得的安全事件所隱含的多步攻擊行為進行分析��,提高系統(tǒng)對未知攻擊的檢測識別能力�����。
下面通過具體實施方式
并結(jié)合附圖對本發(fā)明作進一步的詳細說明����。
圖1是本發(fā)明實施例一安全事件關聯(lián)分析方法流程示意圖;圖2是本發(fā)明實施例一規(guī)則關聯(lián)中的攻擊邏輯圖示例�;圖3是本發(fā)明實施例一統(tǒng)計關聯(lián)所使用的Matrix結(jié)構(gòu)示意圖;圖4是本發(fā)明實施例二安全事件關聯(lián)分析方法流程示意圖���;圖5是本發(fā)明實施例三安全事件關聯(lián)分析系統(tǒng)模塊結(jié)構(gòu)示意圖�;圖6是本發(fā)明實施例四安全事件關聯(lián)分析系統(tǒng)模塊結(jié)構(gòu)示意圖。
具體實施例方式
本發(fā)明提供了一種安全事件關聯(lián)分析方法和系統(tǒng)��,其核心思想是�,采用規(guī)則關聯(lián)和統(tǒng)計關聯(lián)并行機制,通過仲裁獲得唯一的安全事件�����,以實現(xiàn)兩種關聯(lián)方式的優(yōu)勢互補��,彌補各自的缺陷����。本發(fā)明進一步提出,將對統(tǒng)計關聯(lián)進行數(shù)據(jù)挖掘獲得的規(guī)則應用于規(guī)則關聯(lián)���,從更深層次上進行兩種關聯(lián)方式的融合����,既避免了統(tǒng)計關聯(lián)的模糊性又賦予了規(guī)則關聯(lián)對未知攻擊的檢測能力�,提高整個檢測體系的自學習能力。本發(fā)明還提供了優(yōu)選的統(tǒng)計關聯(lián)方法和數(shù)據(jù)挖掘方法���,來提高相應處理過程的效率和準確度��。以下分別對本發(fā)明方法和系統(tǒng)進行詳細說明�。
實施例一����、一種安全事件關聯(lián)分析方法,流程如圖1所示�,包括A1、收集原始報警事件���;原始報警事件來自于各種安全設備或管理程序��,例如防火墻����、IDS�����、殺毒軟件��、系統(tǒng)日志等����,原始報警事件的采集可以是集中式的也可以來源于分布式系統(tǒng)���,為便于進行后續(xù)過程的處理,最好對收集到的原始報警事件進行緩存和過濾���,包括A11��、緩存收集到的原始報警事件�;通??梢詫⒃紙缶录凑諘r間順序以事件隊列的形式進行存放;A12��、按照預置的過濾規(guī)則對原始報警事件進行過濾�;此步驟對原始報警事件進行簡單的處理,例如去除錯誤和重復的報警���,或使用一些簡單的規(guī)則使報警信息的收集具有一定的目的性或傾向性��,以減少后續(xù)過程的處理量等�����;例如���,某個內(nèi)部網(wǎng)絡只使用了192.168.0.1~192.168.0.64的地址空間��,則可采用一個去除規(guī)則“過濾目的地址不在192.168.0.1~192.168.0.64內(nèi)的報警”�,將所有錯誤和無關的報警信息過濾掉��;又如����,當事件處理繁忙時�,為了兼顧安全性和效率,可以定制規(guī)則“忽略威脅級別小于5的報警”以避免大量的低級別報警事件對系統(tǒng)處理資源的消耗�;再如,在上例中����,若目的地址192.168.0.1是受重點保護的服務器,需要收集任何級別的報警事件以便全面保護��,則可進一步定制規(guī)則“保留目的地址為192.168.0.1的報警”�����,使指向該服務器的報警事件能夠全部獲得處理����;A13�����、將滿足過濾規(guī)則的原始報警事件從緩存隊列中刪除�,當然���,為保留完整的安全數(shù)據(jù)信息��,也可以將所有的原始報警事件備份到數(shù)據(jù)庫中��;A2����、對原始報警事件分別進行基于規(guī)則的關聯(lián)分析和基于統(tǒng)計的關聯(lián)分析����;兩種關聯(lián)分析方式可以同時或異步的運行,各自讀取事件隊列中的原始報警事件進行處理���,具體說明如下A21�、基于規(guī)則的關聯(lián)分析,可采用現(xiàn)有的各種規(guī)則匹配分析方式���,本例中采用組織形式匹配的方式����,將原始報警事件序列與預置的描述復合攻擊的關聯(lián)規(guī)則進行模式匹配�,一旦符合則產(chǎn)生安全事件;為保證對邏輯結(jié)果的準確表現(xiàn)����,從本質(zhì)上反映復合攻擊的組織形式����,本發(fā)明采用嚴格定義的規(guī)則語法來描述關聯(lián)規(guī)則,定義關聯(lián)規(guī)則中一組單步攻擊包含如下三種組織關系序列關系以“SEQ”表示��,單步攻擊之間有嚴格的因果關系��,后一個單步攻擊必須建立在前一個單步攻擊的基礎上�����;并列關系以“AND”表示�,單步攻擊之間沒有直接關系,但是必須都完成后才能進行下一步攻擊;選擇關系以“OR”表示����,數(shù)種單步攻擊可實現(xiàn)相同效果,完成任何一種即可進行下一步攻擊�����;關聯(lián)規(guī)則的組織即反映以上三種關系�。每個規(guī)則項必須有“類型”屬性,其值為“SEQ”���、“AND”�����、“OR”或“NONE”���。前3者表示其下屬規(guī)則項的組織關系,不是真正的匹配項��,而“NONE”則表示實際的關聯(lián)匹配項����。所有規(guī)則項以嚴格的樹型結(jié)構(gòu)來組織,每個葉節(jié)點必須是“NONE”類型的規(guī)則項,而每個非葉節(jié)點必須是“SEQ”���、“AND”或“OR”類型的規(guī)則項�。圖2以攻擊邏輯圖的形式給出了上述規(guī)則語法表示的關聯(lián)規(guī)則的一個示例�����。圖2中規(guī)則項2�����、3�����、4�����、6�、7為葉節(jié)點��,是真正的匹配項���,其類型為“NONE”����;規(guī)則項0、1�、5為非葉節(jié)點,規(guī)則項1的類型為“OR”��,表示匹配項2���、3只需擇一完成���;規(guī)則項5的類型為“AND”,表示匹配項6�����、7需全部完成�;規(guī)則項0的類型為“SEQ”,表示規(guī)則項1����、4、5所對應事件應順序完成��。規(guī)則項之間的連線表示彼此之間的關系,圖2中單實線箭頭表示該箭頭所指向的節(jié)點是該箭頭起始節(jié)點的父節(jié)點(parent)��,雙線箭頭表示該箭頭所指向的節(jié)點是該箭頭起始節(jié)點的子節(jié)點(child)���,虛線箭頭表示該箭頭所指向的節(jié)點是該箭頭起始節(jié)點的下一個兄弟節(jié)點��,“null”則表示箭頭指向為空��。
此外�����,還可以使用預定義的關鍵字�,在關聯(lián)規(guī)則中表示原始報警事件屬性之間的聯(lián)系����,例如用occurrence和count表示對重復出現(xiàn)的報警次數(shù)進行統(tǒng)計;用timeout表示事件之間的間隔時間����;另外���,還可使用規(guī)則引用的方式��,以之前發(fā)生的報警事件的屬性(例如源地址�、目的地址等)來表示后續(xù)需要匹配的報警事件的屬性。
將原始報警事件序列與按照上述規(guī)則語法進行描述的關聯(lián)規(guī)則進行模式匹配���,即可獲得具有準確含義的安全事件��;A22�����、基于統(tǒng)計的關聯(lián)分析�����,可采用現(xiàn)有的聚類關聯(lián)技術����,但一般需要耗費相當多的時間和資源�����,本實施例中采用本發(fā)明提供的優(yōu)選統(tǒng)計關聯(lián)方法�����,包括A221、統(tǒng)計原始報警事件在指定屬性上的分布�����;從實際應用角度考慮�,原始報警事件的屬性中有三個方面最為重要源地址、目的地址�、協(xié)議和端口,也就是說所關注的是對特定目標的攻擊程度����、從特定來源發(fā)起的攻擊、攻擊所針對的協(xié)議和端口�,當然也包括上述屬性的組合結(jié)果;基于這三個屬性的統(tǒng)計空間可以用圖3所示的數(shù)據(jù)結(jié)構(gòu)來表示����,在本文中稱其為Matrix結(jié)構(gòu)。在該結(jié)構(gòu)中�,由三條雙向鏈表來表示三個維度,分別代表源地址�����、目的地址����、協(xié)議和端口。由每兩個維度引出的節(jié)點����,例如圖3中的A節(jié)點,構(gòu)成三個二維雙向鏈表�����,作為Matrix的三個面��,表示任意兩個屬性組合的結(jié)果����。由這些面引出的節(jié)點,例如圖3中的B節(jié)點�,構(gòu)成一個三維雙向鏈表,表示同時關注三個屬性的情況���;每一個進行處理的原始報警事件都被加入到Matrix結(jié)構(gòu)中��,其在Matrix中的位置分布決定了其在不同屬性層面上的威脅程度���;A222�、當某個或某幾個屬性層面上原始報警事件的累計威脅度超過閾值時����,產(chǎn)生安全事件;這些統(tǒng)計累積產(chǎn)生的異常情況由于與三個屬性密切相關����,因此可以通過對其分布區(qū)域的分析賦予相應的安全事件較為明確的含義,主要表現(xiàn)為以下幾種類型強針對性攻擊由較集中的攻擊來源����,針對單一的目標地址和端口進行的攻擊。例如攻擊者對特定主機上可能存在漏洞的服務多次嘗試進行攻擊���;
端口分散式攻擊由較集中的攻擊來源�����,針對單一的目標地址的不同端口進行的攻擊���;例如端口掃描;來源分散式攻擊由較分散的攻擊來源����,針對單一的目標地址和端口進行的攻擊��;例如分布式拒絕服務(DDoS)攻擊;目的分散式攻擊由較集中的攻擊來源���,針對分散目標地址的單一端口進行的攻擊�;例如主機掃描�;來源集中式攻擊由較集中的攻擊來源,針對分散的目標地址和端口進行的攻擊�����;例如病毒或蠕蟲傳播的初始階段�����;目的集中式攻擊由較分散的攻擊來源��,針對單一目標地址的不同端口進行的攻擊��;例如很多分布式攻擊行為都呈現(xiàn)這一特征����;端口集中式攻擊由較分散的攻擊來源,針對分散目標地址的同一端口進行的攻擊;例如蠕蟲傳播�����,或DDoS攻擊之前自動尋找傀儡機的過程���;采用上述基于Matrix數(shù)據(jù)結(jié)構(gòu)的統(tǒng)計關聯(lián)分析方法�,能夠快速有效的進行數(shù)據(jù)處理���,產(chǎn)生有意義的安全事件���,并能夠獲得范圍準確且覆蓋全面的對應事件組,與現(xiàn)有統(tǒng)計關聯(lián)方法相比具有高效����、準確的優(yōu)點;A3�、對規(guī)則關聯(lián)和統(tǒng)計關聯(lián)分別產(chǎn)生的安全事件進行仲裁,獲得唯一的安全事件���;由于規(guī)則關聯(lián)和統(tǒng)計關聯(lián)采用并行機制�,各自依據(jù)不同的方式對原始報警事件隊列進行處理��,有可能產(chǎn)生重復甚至相互沖突的安全事件報告,通過仲裁可以解決這種情況����,獲得唯一的安全事件;仲裁可采用對雙方產(chǎn)生的安全事件進行結(jié)構(gòu)分析和比對的方法���,擯棄掉相較而言含義不清無明顯意義的結(jié)果,由于規(guī)則關聯(lián)的結(jié)果具有含義明確����、可信度較高的特點,因此在實際應用中可以以規(guī)則關聯(lián)的結(jié)果為主要導向�����,而當出現(xiàn)未知攻擊��,通過規(guī)則關聯(lián)未產(chǎn)生安全事件而通過統(tǒng)計關聯(lián)獲得了具有一定意義的安全事件時���,以統(tǒng)計關聯(lián)的結(jié)果為準����。
實施例二���、一種安全事件關聯(lián)分析方法�����,流程如圖4所示�,包括B1、收集原始報警事件����;B21、對原始報警事件進行基于規(guī)則的關聯(lián)分析���;B22�、對原始報警事件進行基于統(tǒng)計的關聯(lián)分析����;
B3、對規(guī)則關聯(lián)和統(tǒng)計關聯(lián)分別產(chǎn)生的安全事件進行仲裁��,獲得唯一的安全事件�����;上述步驟的具體執(zhí)行方法與實施例一中的相應步驟相同�����,本實施例與實施例一的區(qū)別之處在于,在步驟B22對原始報警事件進行統(tǒng)計關聯(lián)并產(chǎn)生安全事件后�����,還利用對安全事件的數(shù)據(jù)挖掘獲得規(guī)則關聯(lián)分析中適用的關聯(lián)規(guī)則��,具體可采用如下方法B231���、以支持度大于指定閾值為判斷依據(jù),找出原始報警事件序列中表明攻擊過程的事件類型序列作為規(guī)則序列�����;每個由統(tǒng)計關聯(lián)產(chǎn)生的安全事件�����,都是一個原始報警事件的集合�。集合中的事件可以按發(fā)生時間進行排序,其類型產(chǎn)生一個事件類型序列���。在這些序列中����,有的事件是攻擊過程的一部分,而有的只是誤報����。當一種新的攻擊序列出現(xiàn),并在短時間內(nèi)發(fā)生了多次時�����,該攻擊所形成的事件類型序列���,就會出現(xiàn)在多個安全事件中�����。然而��,由于存在誤報事件�,對應攻擊過程的事件類型序列往往只是該序列的一個子序列�����。因此需要消除誤報的影響���,找出真正表明攻擊過程的事件類型序列�����,支持度作為某子序列在整個事件序列中的出現(xiàn)頻度�����,是一個較好的判斷依據(jù)��,當支持度大于一定值時���,可以認為該子序列可能代表了某種攻擊過程�。具體可采用如下處理過程1)按照發(fā)生時間��,對每個安全事件所對應的原始報警事件進行排序�;2)尋找所有安全事件中出現(xiàn)頻率大于最小支持度的原始事件類型���,作為基本類型集�,優(yōu)化上一步產(chǎn)生的序列�,去除所有非基本類型單元;3)以基本類型集作為一階頻繁集�����,將其中的項組合而產(chǎn)生二階備選集,按照備選集遍歷事件類型序列而找出二階頻繁集��,以此類推����,產(chǎn)生三階備選集和頻繁集等等,直到找出全部頻繁集���。由于關聯(lián)分析主要用于檢測有多個步驟的復合攻擊���,因此,還可以限定所尋找規(guī)則序列的長度大于指定值�。
B232、對于每條規(guī)則序列進行縱向關聯(lián)����,即,針對其各個節(jié)點的各個屬性���,分別統(tǒng)計所有實例的對應值�,將大于最小置信度的值作為該屬性的備選項�;規(guī)則中的每個節(jié)點都具有源地址���、目的地址、協(xié)議����、源端口、目的端口���、發(fā)生時間等屬性��。因此�,進行數(shù)據(jù)挖掘的一個主要目的就是獲得這些屬性的可能值��,假設在上一步驟中得到長度為M規(guī)則序列RS����,其對應N個原始報警事件中的子序列,稱為RS的N個實例���,分別記為S1,S2…SN�。可以采用置信度作為規(guī)則序列各節(jié)點屬性的選擇依據(jù)��,置信度是某屬性值在所有實例中的出現(xiàn)頻度。針對規(guī)則中每個節(jié)點的每個屬性���,統(tǒng)計其所有實例中的對應值���,將所有超過最小置信度的值作為該屬性的備選項。例如�����,特定步驟的攻擊可能主要針對特定端口或特定的服務器�����,那么規(guī)則中該項的端口屬性或地址屬性就應該為對應出現(xiàn)頻度最高的值�����。
B233���、對于每條規(guī)則序列進行橫向關聯(lián)�,即��,統(tǒng)計所有實例不同節(jié)點屬性值之間的相似關系,確定規(guī)則中屬性的依賴關系�����;規(guī)則中的各個節(jié)點不僅在排列順序上相關����,其各自屬性值往往也相互關聯(lián)。例如多步攻擊中��,后一步攻擊往往與前一步針對同一目標地址�,而蠕蟲傳播往往針對不同目標的同一端口等等。因此需要針對規(guī)則的所有實例�����,統(tǒng)計其中不同節(jié)點屬性值間的相似關系��,從而明確規(guī)則中屬性的依賴關系�����。
這樣確定了各個規(guī)則項的屬性以及屬性間的依賴關系���,即可生成可用于規(guī)則分析中的關聯(lián)規(guī)則。當然,由數(shù)據(jù)挖掘自動獲得的關聯(lián)規(guī)則也有可能是含義模糊或無意義的�,為保證規(guī)則的有效性可以將挖掘出的規(guī)則提交給管理員進行確認后,再應用到規(guī)則關聯(lián)中����。當然,為保證安全系統(tǒng)對突發(fā)未知攻擊的防衛(wèi)能力����,也可以采用將挖掘到的規(guī)則即時應用到規(guī)則關聯(lián)分析中,但限制其生效時間��,或根據(jù)其在設定使用時間內(nèi)被有效匹配的頻度來確定其有效周期等策略����。
本實施例將統(tǒng)計關聯(lián)對未知攻擊的偵測能力進一步強化為規(guī)則關聯(lián)的準確判斷,使得本發(fā)明安全事件關聯(lián)分析方法能夠有自學習和發(fā)展的能力�����,以適應于快速發(fā)展且多變的攻擊技術�����,提高了系統(tǒng)的自動防衛(wèi)能力和水平����。
實施例三��、一種安全事件關聯(lián)分析系統(tǒng)��,如圖5所示����,包括事件隊列模塊11����、規(guī)則關聯(lián)模塊12、統(tǒng)計關聯(lián)模塊13��、結(jié)構(gòu)分析模塊14�、事件過濾模塊15;事件隊列模塊11收集原始報警事件�,將原始報警事件分別提供給規(guī)則關聯(lián)模塊12和統(tǒng)計關聯(lián)模塊13;事件過濾模塊15按照預置的過濾規(guī)則對事件隊列模塊11收集的原始報警事件進行過濾���,并將滿足過濾規(guī)則的原始報警事件從事件隊列中刪除�����;規(guī)則關聯(lián)模塊12按照預置的關聯(lián)規(guī)則對原始報警事件進行模式匹配�����,根據(jù)匹配結(jié)果產(chǎn)生安全事件�;統(tǒng)計關聯(lián)模塊13統(tǒng)計原始報警事件基于屬性的分布�����,根據(jù)統(tǒng)計結(jié)果產(chǎn)生安全事件��;結(jié)構(gòu)分析模塊14從規(guī)則關聯(lián)模塊12和統(tǒng)計關聯(lián)模塊13接收安全事件�����,進行仲裁獲得唯一的安全事件��。
本實施例安全事件關聯(lián)分析系統(tǒng)可適用實施例一中所提供的安全事件關聯(lián)分析方法�����。
實施例四�、一種安全事件關聯(lián)分析系統(tǒng),如圖6所示�,包括事件隊列模塊21、規(guī)則關聯(lián)模塊22�、統(tǒng)計關聯(lián)模塊23�、結(jié)構(gòu)分析模塊24����、事件過濾模塊25、規(guī)則挖掘模塊26和引擎控制模塊27����;事件隊列模塊21從引擎控制模塊27獲取原始報警事件并緩存,將原始報警事件分別提供給規(guī)則關聯(lián)模塊22和統(tǒng)計關聯(lián)模塊23�����;事件過濾模塊25按照預置的過濾規(guī)則對事件隊列模塊21收集的原始報警事件進行過濾���,并將滿足過濾規(guī)則的原始報警事件從事件隊列中刪除�����;規(guī)則關聯(lián)模塊22按照預置的關聯(lián)規(guī)則對原始報警事件進行模式匹配����,根據(jù)匹配結(jié)果產(chǎn)生安全事件���;統(tǒng)計關聯(lián)模塊23統(tǒng)計原始報警事件基于屬性的分布���,根據(jù)統(tǒng)計結(jié)果產(chǎn)生安全事件���;結(jié)構(gòu)分析模塊24從規(guī)則關聯(lián)模塊22和統(tǒng)計關聯(lián)模塊23接收安全事件,進行仲裁獲得唯一的安全事件��,并上報給引擎控制模塊27���。
規(guī)則挖掘模塊26接收統(tǒng)計關聯(lián)模塊23產(chǎn)生的安全事件,從事件隊列模塊21中獲取所述安全事件對應的原始報警事件序列并進行數(shù)據(jù)挖掘�����,產(chǎn)生關聯(lián)規(guī)則�,上報給引擎控制模塊27;引擎控制模塊27執(zhí)行整個系統(tǒng)與外部的操作接口工作以及對系統(tǒng)內(nèi)各模塊的控制工作�,包括常規(guī)的接收原始報警事件并緩存入事件隊列模塊21,將結(jié)構(gòu)分析模塊24產(chǎn)生的唯一安全事件提交給控制臺�����,以及控制其他各個模塊的運作(控制線未在圖6中畫出)等�;在本實施例中,引擎控制模塊27還將規(guī)則挖掘模塊26生成的關聯(lián)規(guī)則��,直接或提交控制臺確認后動態(tài)更新到規(guī)則關聯(lián)模塊22中。
本實施例安全事件關聯(lián)分析系統(tǒng)可適用實施例二中所提供的安全事件關聯(lián)分析方法�����。
以上對本發(fā)明所提供的安全事件關聯(lián)分析方法和系統(tǒng)進行了詳細介紹�����,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述��,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想�;同時,對于本領域的一般技術人員���,依據(jù)本發(fā)明的思想�����,在具體實施方式
及應用范圍上均會有改變之處�,綜上所述�,本說明書內(nèi)容不應理解為對本發(fā)明的限制。
權利要求
1.一種安全事件關聯(lián)分析方法���,其特征在于�����,包括收集原始報警事件�����;對原始報警事件分別進行基于規(guī)則的關聯(lián)分析和基于統(tǒng)計的關聯(lián)分析�����;對規(guī)則關聯(lián)和統(tǒng)計關聯(lián)分別產(chǎn)生的安全事件進行仲裁�����,獲得唯一的安全事件���。
2.根據(jù)權利要求1所述的安全事件關聯(lián)分析方法,其特征在于在對原始報警事件進行關聯(lián)分析之前�,還按照預置的過濾規(guī)則對原始報警事件進行過濾。
3.根據(jù)權利要求2所述的安全事件關聯(lián)分析方法����,其特征在于緩存收集到的原始報警事件,按照預置的過濾規(guī)則直接從緩存隊列中將滿足過濾規(guī)則的原始報警事件刪除,然后再對緩存中的原始報警事件進行關聯(lián)分析���。
4.根據(jù)權利要求1所述的安全事件關聯(lián)分析方法���,其特征在于,所述基于統(tǒng)計的關聯(lián)分析包括統(tǒng)計原始報警事件在指定屬性上的分布����;當某個或某幾個屬性層面上原始報警事件的累計威脅度超過閾值時,產(chǎn)生安全事件����。
5.根據(jù)權利要求4所述的安全事件關聯(lián)分析方法,其特征在于所述指定屬性包括源地址����、目的地址、協(xié)議和端口三個屬性���。
6.根據(jù)權利要求1~5任意一項所述的安全事件關聯(lián)分析方法�,其特征在于在基于統(tǒng)計的關聯(lián)分析產(chǎn)生安全事件后����,還對所述安全事件對應的原始報警事件序列進行數(shù)據(jù)挖掘,產(chǎn)生基于規(guī)則的關聯(lián)分析適用的關聯(lián)規(guī)則。
7.根據(jù)權利要求6所述的安全事件關聯(lián)分析方法��,其特征在于����,所述數(shù)據(jù)挖掘包括以支持度大于指定閾值為判斷依據(jù),找出原始報警事件序列中表明攻擊過程的事件類型序列作為規(guī)則序列��;對于每條規(guī)則序列�����,針對其各個節(jié)點的各個屬性���,分別統(tǒng)計所有實例的對應值����,將大于最小置信度的值作為該屬性的備選項��;對于每條規(guī)則序列����,統(tǒng)計所有實例不同節(jié)點屬性值之間的相似關系�,確定規(guī)則中屬性的依賴關系。
8.一種安全事件關聯(lián)分析系統(tǒng),其特征在于包括事件隊列模塊��、規(guī)則關聯(lián)模塊��、統(tǒng)計關聯(lián)模塊����、結(jié)構(gòu)分析模塊;所述事件隊列模塊收集和緩存原始報警事件�����,分別提供給所述規(guī)則關聯(lián)模塊和統(tǒng)計關聯(lián)模塊��;所述規(guī)則關聯(lián)模塊按照預置的關聯(lián)規(guī)則對原始報警事件進行模式匹配�,根據(jù)匹配結(jié)果產(chǎn)生安全事件;所述統(tǒng)計關聯(lián)模塊統(tǒng)計原始報警事件基于屬性的分布�����,根據(jù)統(tǒng)計結(jié)果產(chǎn)生安全事件��;所述結(jié)構(gòu)分析模塊從所述規(guī)則關聯(lián)模塊和統(tǒng)計關聯(lián)模塊接收安全事件���,進行仲裁獲得唯一的安全事件�。
9.根據(jù)權利要求8所述的安全事件關聯(lián)分析系統(tǒng),其特征在于還包括事件過濾模塊�����,所述事件過濾模塊按照預置的過濾規(guī)則對所述事件隊列模塊收集的原始報警事件進行過濾���,將滿足過濾規(guī)則的原始報警事件從隊列中刪除���。
10.根據(jù)權利要求8或9所述的安全事件關聯(lián)分析系統(tǒng),其特征在于還包括規(guī)則挖掘模塊和引擎控制模塊�;所述規(guī)則挖掘模塊接收所述統(tǒng)計關聯(lián)模塊產(chǎn)生的安全事件,對所述安全事件對應的原始報警事件序列進行數(shù)據(jù)挖掘���,產(chǎn)生關聯(lián)規(guī)則����,上報給所述引擎控制模塊����;所述引擎控制模塊將所述規(guī)則挖掘模塊生成的關聯(lián)規(guī)則�����,直接或提交控制臺確認后動態(tài)更新到所述規(guī)則關聯(lián)模塊中。
全文摘要
本發(fā)明公開了一種安全事件關聯(lián)分析方法和系統(tǒng)����,其核心思想是,采用規(guī)則關聯(lián)和統(tǒng)計關聯(lián)并行機制���,通過仲裁獲得唯一的安全事件��,以實現(xiàn)兩種關聯(lián)方式的優(yōu)勢互補����,彌補各自的缺陷���。本發(fā)明進一步提出�����,將對統(tǒng)計關聯(lián)進行數(shù)據(jù)挖掘獲得的規(guī)則應用于規(guī)則關聯(lián)�����,從更深層次上進行兩種關聯(lián)方式的融合���,既避免了統(tǒng)計關聯(lián)的模糊性又賦予了規(guī)則關聯(lián)對未知攻擊的檢測能力�����,提高整個檢測體系的自學習能力���。本發(fā)明還提供了優(yōu)選的統(tǒng)計關聯(lián)方法和數(shù)據(jù)挖掘方法,來提高相應處理過程的效率和準確度�����。
文檔編號H04L12/26GK1878093SQ200610103520
公開日2006年12月13日 申請日期2006年7月19日 優(yōu)先權日2006年7月19日
發(fā)明者連一峰, 鮑旭華, 汪波, 徐君, 李聞, 馮萍慧, 吳強, 胡安平 申請人:華為技術有限公司