一種基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分析方法
【專利摘要】本發(fā)明屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】����,特別是一種基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分析方法。將來自不同網(wǎng)絡(luò)事件源的不同事件進(jìn)行關(guān)聯(lián)起來分析��。這里兼顧了安全事件本身對整個網(wǎng)絡(luò)的威脅影響以及直接受攻擊設(shè)備或軟件等重要性的考量�����,通過多級規(guī)則對同一個對象系列操作所產(chǎn)生安全事件的多級分析�,可以累計每條安全事件風(fēng)險值達(dá)到整體分析該對象的目的。本發(fā)明采用多級關(guān)聯(lián)匹配的方式一方面符合攻擊者發(fā)起攻擊一般需要多個步驟的邏輯方式��,另一方面也對多個事件進(jìn)行風(fēng)險累積求和��,綜合考慮了事件間的復(fù)雜關(guān)系��。這將有利于檢測網(wǎng)絡(luò)中的潛在威脅�,做到提前告警、處理從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的�。
【專利說明】一種基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,特別是一種基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分 析方法�。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)的快速發(fā)展,方便人們生活的同時也給人們帶來了許多困擾�。隨著網(wǎng)絡(luò)規(guī)模 的不斷擴(kuò)大���,網(wǎng)絡(luò)攻擊破壞行為日益頻繁,網(wǎng)絡(luò)安全形勢也日趨嚴(yán)峻��。雖然目前網(wǎng)絡(luò)中有從 硬件到軟件的層層防護(hù)���,但一般情況下僅靠這些措施仍然無法準(zhǔn)確及時的發(fā)現(xiàn)攻擊對象發(fā) 起的各類攻擊����。特別是在復(fù)雜網(wǎng)絡(luò)環(huán)境下��,攻擊者如果已經(jīng)獲知部分信息����,就很容易通過偽 造或者借助少量信息試探的方式來獲得更多重要信息�����。與此行為相關(guān)的諸多安全事件之間 往往具有錯綜復(fù)雜的邏輯關(guān)系�,而這類異常行為卻不易被現(xiàn)有防護(hù)察覺。因此�����,需要綜合關(guān) 聯(lián)分析這些事件來發(fā)現(xiàn)并防范這類危險行為的發(fā)生。
[0003] 基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分析技術(shù)是通過對直接來自事件源(指各類 安全防護(hù)設(shè)備或計算機(jī)系統(tǒng)�、各類軟件等)的原子安全事件以及由其合成的復(fù)雜事件進(jìn)行 多級關(guān)聯(lián)分析的技術(shù),該技術(shù)可以找到潛在的網(wǎng)絡(luò)威脅�,從而達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的。
[0004] 目前開展網(wǎng)絡(luò)安全分析的研宄主要包括:一是單獨(dú)研宄某類型的防護(hù)�。比如針對 入侵檢測,單獨(dú)研宄其防護(hù)效果�;二是采用復(fù)雜的數(shù)學(xué)方法或模型,借助大量的歷史安全事 件進(jìn)行網(wǎng)絡(luò)安全狀態(tài)挖掘分析���。但目前的研宄還存在以下不足:
[0005] >未對各類網(wǎng)絡(luò)安全事件進(jìn)行全面綜合分析���;
[0006] >各類數(shù)學(xué)挖掘算法或模型一般采用大量歷史數(shù)據(jù),而且通常
[0007] 比較復(fù)雜導(dǎo)致執(zhí)行效率不高����,不利于及時分析當(dāng)前的網(wǎng)絡(luò)安全狀況。
[0008] 在進(jìn)行下文闡述之前����,先介紹兩個概念:
[0009] 原子事件:是指不能被分解為更小的事件,且所包含的信息有限��。本文所指的原子 事件特指網(wǎng)絡(luò)安全領(lǐng)域中包括計算機(jī)系統(tǒng)日志���、各類軟件以及各類網(wǎng)絡(luò)安全防護(hù)設(shè)備產(chǎn)生 并經(jīng)過統(tǒng)一格式化后的事件���。
[0010] 復(fù)雜事件:是指由原子事件或復(fù)雜事件以及定義在這些事件上的約束規(guī)則組成的 事件��。復(fù)雜事件包含兩部分��,〈Element��,Restraint〉�。其中Element是復(fù)雜事件的組成元 素��,Restraint是復(fù)雜事件的約束規(guī)則����。約束規(guī)則通常由一些運(yùn)算符組成��,包括求交運(yùn)算 (And)�����、求并運(yùn)算(Or)�����、求非運(yùn)算(Not)以及序列運(yùn)算(Seq)。從本質(zhì)上來說����,原子事件也可 以看成是不帶Restraint約束規(guī)則的特殊復(fù)雜事件。
【發(fā)明內(nèi)容】
[0011] 本發(fā)明就是為了解決上述問題�,提出一種基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分析 方法,將來自不同網(wǎng)絡(luò)事件源的不同事件進(jìn)行關(guān)聯(lián)起來分析�。這里兼顧了安全事件本身對 整個網(wǎng)絡(luò)的威脅影響以及直接受攻擊設(shè)備或軟件等重要性的考量,通過多級規(guī)則對同一個 對象系列操作所產(chǎn)生安全事件的多級分析�,可以累計每條安全事件風(fēng)險值達(dá)到整體分析該 對象的目的。通過對網(wǎng)絡(luò)安全事件的統(tǒng)一格式化���,本發(fā)明能夠做到對同一事件源的同類數(shù) 據(jù)或不同事件源之間的異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析����。
[0012] 本文所指的復(fù)雜事件特指網(wǎng)絡(luò)安全領(lǐng)域中的事件�,其主要包含四個屬性集,即用 于區(qū)分事件的相關(guān)標(biāo)示符集合�、描述事件的屬性集、作用于屬性集上的約束以及事件風(fēng)險 集等�。其中風(fēng)險集包含兩個元素,即威脅度及重要度兩個�����;威脅度是事件威脅網(wǎng)絡(luò)的度量 值,重要度是指相關(guān)聯(lián)設(shè)備或軟件對整個網(wǎng)絡(luò)以及辦公重要性的大小度量值��。
[0013] 關(guān)聯(lián)規(guī)則是作用于事件上的約束條件�����,一條關(guān)聯(lián)規(guī)則可以包含多級�,每級規(guī)則在 對事件進(jìn)行匹配之后會生成一條新的事件,該新事件的風(fēng)險集部分會根據(jù)規(guī)則賦值����。通過 對新事件的風(fēng)險集進(jìn)行累積求和計算可以判斷導(dǎo)致該新事件生成的所有事件是否存在威 脅。
[0014] 圖1是針對網(wǎng)絡(luò)安全提出的關(guān)聯(lián)分析流程算法(這里僅僅列出了兩級規(guī)則算法����, 多級規(guī)則依此類推):
[0015] 本發(fā)明方法的具體步驟如下:
[0016] 步驟1 :通過安全事件模型將網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)一格式化轉(zhuǎn)換;
[0017] 步驟2 :經(jīng)過格式化后的事件進(jìn)行一級規(guī)則匹配���。具體匹配過程可以是,輸入的各 類安全事件根據(jù)匹配規(guī)則��,對該事件的特定屬性字段進(jìn)行過濾�����、相同或相近事件進(jìn)行聚合 等事件提取操作,生成新的合成事件��,并根據(jù)規(guī)則賦值給合成事件中的風(fēng)險集�����;
[0018] 步驟3 :根據(jù)第2步合成事件中的風(fēng)險集�,對兩個元素即威脅度及重要度兩個進(jìn)行 求積運(yùn)算。同時把計算結(jié)果與關(guān)聯(lián)規(guī)則中的告警門限值進(jìn)行比較��,如果超過了關(guān)聯(lián)規(guī)則設(shè) 定的告警門限值����,則直接告警,提醒用戶及時處理網(wǎng)絡(luò)安全告警�;否則,繼續(xù)進(jìn)行二級規(guī)則 匹配計算����;
[0019] 步驟4 :二級規(guī)則匹配過程同一級規(guī)則匹配類似;
[0020] 步驟5 :再次對第4步合成事件中的風(fēng)險集進(jìn)行計算��,此次的求積需要與第3步的 計算結(jié)果進(jìn)行累和計算之后再與關(guān)聯(lián)規(guī)則中的告警門限值進(jìn)行比較����,計算結(jié)果如果超過了 告警門限值���,則生成更緊急級別告警;否則�,轉(zhuǎn)入一級規(guī)則重新匹配。
[0021] 至此��,兩級規(guī)則已經(jīng)匹配完畢�����。多級規(guī)則依此類推�。
[0022] 本發(fā)明采用多級關(guān)聯(lián)匹配的方式一方面符合攻擊者發(fā)起攻擊一般需要多個步驟 的邏輯方式,另一方面也對多個事件進(jìn)行風(fēng)險累積求和�����,綜合考慮了事件間的復(fù)雜關(guān)系��。這 將有利于檢測網(wǎng)絡(luò)中的潛在威脅��,做到提前告警�、處理從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的�。
【專利附圖】
【附圖說明】
[0023] 圖1是針對網(wǎng)絡(luò)安全提出的關(guān)聯(lián)分析流程圖。
【具體實(shí)施方式】
[0024] 下面結(jié)合流程圖,對優(yōu)選實(shí)施例作詳細(xì)說明�,應(yīng)該強(qiáng)調(diào)的是,下述說明僅僅是示例 性的���,而不是為了限制本發(fā)明的范圍及其應(yīng)用����。
[0025] 步驟1 :通過安全事件模型對網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)一格式化轉(zhuǎn)換����。
[0026] 網(wǎng)絡(luò)安全事件來源種類繁多,格式也不盡相同�����。在進(jìn)行關(guān)聯(lián)分析之前��,對各類安全 事件進(jìn)行統(tǒng)一的格式化轉(zhuǎn)換可以方便后續(xù)的計算��。
[0027] 這里米用的事件模型包含四個屬性��,即E_Identifier��、E_Attribute����、Restraint��、 Risk�,其中����,E_Identifier是便于區(qū)分事件的相關(guān)標(biāo)示符集合,且E_Identifier = {E_N, E_ ID��,E_Type}��,其中�����,E_N代表事件名稱���,E_ID是區(qū)分不同事件并在全局通用的唯一標(biāo)識碼�����, E_Type標(biāo)示事件類型��,這里主要用于區(qū)分來自不同事件源的不同事件��;E_Attribute描述 事件的相關(guān)屬性集合����,且E_Attribute = {A_1�,A_2, --?,△_]!}�����,其中��,A_1�����、A_2�、…、A_n表示 事件的各個屬性�����,屬性之間先后順序沒有特定要求����。例如防火墻事件����,A_1可以表示遠(yuǎn)程主 機(jī)ip地址�����,A_2表示本地主機(jī)ip地址�,也可以表示為A_1是本地主機(jī)地址,A_2是遠(yuǎn)程主機(jī) 地址等�;Restraint代表作用在屬性之上的約束規(guī)則,如上述復(fù)雜事件定義��,包括并����、交、非 以及序列四種運(yùn)算�����;Risk是網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析的告警部分��,關(guān)聯(lián)分析計算時可以根據(jù) 此字段進(jìn)行分析計算并產(chǎn)生告警�,且Risk = {threat, obj_imp},其中�,threat表示此次事 件對網(wǎng)絡(luò)構(gòu)成威脅的大小��,采用〇?10之間任意數(shù)值表示�,數(shù)字越大�,表示事件對網(wǎng)絡(luò)的威 脅越大;〇bj_imp表示受關(guān)聯(lián)設(shè)備或軟件對整個網(wǎng)絡(luò)以及辦公重要性的大小量度�����,采用0? 10之間的任意數(shù)值表示�,數(shù)值越大表示該設(shè)備或軟件對網(wǎng)絡(luò)的重要性越高�。
[0028] 例如防火墻事件可以表示為:
【權(quán)利要求】
1.基于復(fù)雜事件處理的網(wǎng)絡(luò)安全關(guān)聯(lián)分析方法,所指的復(fù)雜事件特指網(wǎng)絡(luò)安全領(lǐng)域中 的事件�����,包含四個屬性集�,即用于區(qū)分事件的相關(guān)標(biāo)示符集合、描述事件的屬性集����、作用于 屬性集上的約束W及事件風(fēng)險集;其中風(fēng)險集包含兩個元素���,即威脅度及重要度兩個�����;威 脅度是事件威脅網(wǎng)絡(luò)的度量值���,重要度是指相關(guān)聯(lián)設(shè)備或軟件對整個網(wǎng)絡(luò)W及辦公重要性 的大小度量值���;關(guān)聯(lián)規(guī)則是作用于事件上的約束條件; 其特征在于.步驟如下: 步驟1;通過安全事件模型將網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)一格式化轉(zhuǎn)換����; 步驟2 ;經(jīng)過格式化后的事件進(jìn)行一級規(guī)則匹配。具體匹配過程是����;輸入的各類安全事 件根據(jù)匹配規(guī)則,對該事件的特定屬性字段進(jìn)行過濾�、相同或相近事件進(jìn)行聚合事件提取 操作,生成新的合成事件�,并根據(jù)規(guī)則賦值給合成事件中的風(fēng)險集; 步驟3 ;根據(jù)第2步合成事件中的風(fēng)險集���,對兩個元素即威脅度及重要度兩個進(jìn)行求積 運(yùn)算��。同時把計算結(jié)果與關(guān)聯(lián)規(guī)則中的告警口限值進(jìn)行比較�,如果超過了關(guān)聯(lián)規(guī)則設(shè)定的 告警口限值,則直接告警����,提醒用戶及時處理網(wǎng)絡(luò)安全告警;否則�����,繼續(xù)進(jìn)行二級規(guī)則匹配 計算��; 步驟4;進(jìn)行二級規(guī)則匹配���; 步驟5 ;再次對第4步合成事件中的風(fēng)險集進(jìn)行計算,此次的求積需要與第3步的計算 結(jié)果進(jìn)行累和計算之后再與關(guān)聯(lián)規(guī)則中的告警口限值進(jìn)行比較�����,計算結(jié)果如果超過了告警 口限值���,則生成更緊急級別告警�;否則����,轉(zhuǎn)入一級規(guī)則重新匹配��。
【文檔編號】H04L29/06GK104468545SQ201410698577
【公開日】2015年3月25日 申請日期:2014年11月26日 優(yōu)先權(quán)日:2014年11月26日
【發(fā)明者】沈德峰, 王紅艷, 吳朝雄, 石波, 郭旭東, 胡佳, 謝小明, 沈艷林, 郭江, 胡大正, 廉海明 申請人:中國航天科工集團(tuán)第二研究院七〇六所, 北京航天愛威電子技術(shù)有限公司