安全事件的智能關(guān)聯(lián)分析方法與裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本公開涉及網(wǎng)絡(luò)安全領(lǐng)域��,特別地���,涉及一種安全事件的智能關(guān)聯(lián)分析方法與裝 置。
【背景技術(shù)】
[0002] 在網(wǎng)絡(luò)安全形勢愈發(fā)嚴(yán)峻的今天�����,網(wǎng)絡(luò)安全管理成為網(wǎng)絡(luò)運營的重要內(nèi)容�����。 S0C(Security Operations Centre,安全運營中心)是對網(wǎng)絡(luò)及安全設(shè)備與系統(tǒng)進(jìn)行綜合 分析����,實現(xiàn)安全事件集中管理和監(jiān)控的技術(shù)支撐平臺。S0C通過采集網(wǎng)絡(luò)中設(shè)備與系統(tǒng)所產(chǎn) 生的安全日志��,經(jīng)過分析處理,找到網(wǎng)絡(luò)當(dāng)前安全威脅與潛在的安全風(fēng)險,從而及時發(fā)出預(yù) 警�����,避免網(wǎng)絡(luò)承受重大損失。S0C從網(wǎng)絡(luò)中收集到的大量安全事件信息中���,許多并不具有真 實的威脅,有些可能是威脅實施前期的跡象���,有些可能只是實質(zhì)威脅產(chǎn)生的連帶告警。安全 事件關(guān)聯(lián)分析是從經(jīng)過預(yù)處理的安全事件中抽取有用信息����,通過關(guān)聯(lián)處理相關(guān)性�����,把孤立 的安全事件集合關(guān)聯(lián)為一個安全事件鏈�,其目標(biāo)是在大量誤報告警與低級別告警中找出真 正威脅告警�����,幫助安全運維人員及時定位網(wǎng)絡(luò)中潛在的安全隱患��。
[0003] 目前智能S0C關(guān)聯(lián)分析引擎機(jī)制主要采用"推理機(jī)"方法。"推理機(jī)"式關(guān)聯(lián)分析 引擎工作原理是預(yù)置先驗訓(xùn)練出的推理模型�����,采集到安全事件后將提取屬性信息分別與推 理模型的各條規(guī)則特征進(jìn)行匹配����,滿足則進(jìn)行記錄�,直至推理模型所有規(guī)則特征匹配度達(dá) 到閾值,觸發(fā)告警。"推理機(jī)"式關(guān)聯(lián)分析引擎不會遺漏任何安全事件及安全事件攜帶的任 何信息,分析精度高,但由于S0C對全網(wǎng)安全事件的分析涉及多設(shè)備�����、多協(xié)議����、多攻擊類型�, 采用傳統(tǒng)"推理機(jī)"關(guān)聯(lián)分析引擎則需要建設(shè)大量的攻擊模型,分析精細(xì)復(fù)雜,需占用非常 多的計算空間時間代價�����,導(dǎo)致分析效率很低�����。電信網(wǎng)絡(luò)環(huán)境中安全事件海量�����,低效率的推理 機(jī)式關(guān)聯(lián)分析引擎效率無法支持。
【發(fā)明內(nèi)容】
[0004] 本公開鑒于以上問題中的至少一個提出了新的技術(shù)方案�。
[0005] 本公開在其一個方面提供了一種安全事件的智能關(guān)聯(lián)分析方法���,其提高了關(guān)聯(lián)分 析的效率。
[0006] 本公開在其另一方面提供了一種安全事件的智能關(guān)聯(lián)分析裝置�����,其提高了關(guān)聯(lián)分 析的效率�����。
[0007] 根據(jù)本公開����,提供一種安全事件的智能關(guān)聯(lián)分析方法,包括:
[0008] 對實時采集到的安全事件進(jìn)行屬性特征的分解與屬性特征值的標(biāo)準(zhǔn)化�����;
[0009] 利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu),以確定攻擊類別。
[0010] 在本公開的一些實施例中�,通過下述方式生成統(tǒng)一推理結(jié)構(gòu):
[0011] 匯集攻擊模型庫和安全事件訓(xùn)練樣本;
[0012] 將安全事件訓(xùn)練樣本分解為特征庫�����;
[0013] 計算特征庫中各特征與攻擊的關(guān)聯(lián)概率;
[0014] 基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進(jìn)行分級���,形成統(tǒng)一推理結(jié)構(gòu)的各級節(jié)點;
[0015] 訓(xùn)練計算滿足判決精度要求的各級節(jié)點的置信值����,并確定分類閾值和分類正確 率���。
[0016] 在本公開的一些實施例中�����,利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理 結(jié)構(gòu)���,以確定攻擊類別包括:
[0017] 自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點開始將標(biāo)準(zhǔn)化后的屬性特征值與統(tǒng)一推理結(jié)構(gòu)中的各 級節(jié)點的特征規(guī)則進(jìn)行比對����;
[0018] 如果標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配����,則將根節(jié)點至當(dāng)前節(jié)點的置信值 相疊加,形成攻擊置信值�����;
[0019] 在遍歷了統(tǒng)一推理結(jié)構(gòu)后���,根據(jù)攻擊置信值所處的置信空間確定攻擊類別。
[0020] 在本公開的一些實施例中����,所述方法還包括:
[0021] 針對一個標(biāo)準(zhǔn)化后的屬性特征值,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點遍歷開始啟動定時 器�����;
[0022] 如果定時器超時���,則對所述一個標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清零����。
[0023] 在本公開的一些實施例中,安全事件的屬性特征包括源IP地址與端口�����、目的IP地 址與端口��、事件類別����、事件名稱、事件等級���、事件涉及的設(shè)備以及事件發(fā)生的時間�����。
[0024] 根據(jù)本公開�,還提供了一種安全事件的智能關(guān)聯(lián)分析裝置����,包括:
[0025] 事件采集單元,用于對實時采集到的安全事件進(jìn)行屬性特征的分解與屬性特征值 的標(biāo)準(zhǔn)化����;
[0026] 類別判斷單元�,用于利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)��, 以確定攻擊類別�。
[0027] 在本公開的一些實施例中,所述安全事件的智能關(guān)聯(lián)分析裝置還包括統(tǒng)一推理結(jié) 構(gòu)生成單元���,所述統(tǒng)一推理結(jié)構(gòu)生成單元包括:
[0028] 匯集子單元���,用于匯集攻擊模型庫和安全事件訓(xùn)練樣本;
[0029] 樣本分解子單元���,用于將安全事件訓(xùn)練樣本分解為特征庫;
[0030] 關(guān)聯(lián)概率計算子單元���,用于計算特征庫中各特征與攻擊的關(guān)聯(lián)概率���;
[0031] 結(jié)構(gòu)形成子單元,用于基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進(jìn)行分級�,形成統(tǒng)一推 理結(jié)構(gòu)的各級節(jié)點;
[0032] 置信值確定子單元��,用于訓(xùn)練計算滿足判決精度要求的各級節(jié)點的置信值,并確 定分類閾值和分類正確率�����。
[0033] 在本公開的一些實施例中��,所述類別判斷單元包括:
[0034] 比對子單元���,用于自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點開始將標(biāo)準(zhǔn)化后的屬性特征值與統(tǒng)一 推理結(jié)構(gòu)中的各級節(jié)點的特征規(guī)則進(jìn)行比對���;
[0035] 攻擊置信值計算子單元,用于如果標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配��,則 將根節(jié)點至當(dāng)前節(jié)點的置信值相疊加����,形成攻擊置信值;
[0036] 類別確定子單元��,用于在遍歷了統(tǒng)一推理結(jié)構(gòu)后�,根據(jù)攻擊置信值所處的置信空 間確定攻擊類別。
[0037] 在本公開的一些實施例中��,所述安全事件的智能關(guān)聯(lián)分析裝置還包括:
[0038] 定時器�,用于針對一個標(biāo)準(zhǔn)化后的屬性特征值���,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點遍歷 開始啟動定時器,如果定時器超時���,則對所述一個標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清
[0039] 在本公開的一些實施例中���,安全事件的屬性特征包括源IP地址與端口、目的IP地 址與端口�、事件類別、事件名稱��、事件等級��、事件涉及的設(shè)備以及事件發(fā)生的時間�。
[0040] 在本公開的技術(shù)方案中,通過離線生成的統(tǒng)一推理結(jié)構(gòu)提高了對實時采集的安全 事件的關(guān)聯(lián)分析效率����,節(jié)省了計算空間�、時間代價,實現(xiàn)了精度和效率的平衡�����。
【附圖說明】
[0041] 此處所說明的附圖用來提供對本公開的進(jìn)一步理解,構(gòu)成本申請的一部分����。在附 圖中:
[0042] 圖1是本公開一個實施例的安全事件的智能關(guān)聯(lián)分析方法的流程示意圖。
[0043] 圖2是本公開一個實施例的樹形統(tǒng)一推理結(jié)構(gòu)的示意圖�。
[0044] 圖3是本公開一個實施例的安全事件的智能關(guān)聯(lián)分析裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0045] 下面將參照附圖描述本公開��。要注意的是�,以下的描述在本質(zhì)上僅是解釋性和示 例性的,決不作為對本公開及其應(yīng)用或使用的任何限制�。除非另外特別說明,否則���,在實施 例中闡述的部件和步驟的相對布置以及數(shù)字表達(dá)式和數(shù)值并不限制本公開的范圍���。另外, 本領(lǐng)域技術(shù)人員已知的技術(shù)���、方法和裝置可能不被詳細(xì)討論����,但在適當(dāng)?shù)那闆r下意在成為 說明書的一部分。
[0046] 圖1是本公開一個實施例的安全事件的智能關(guān)聯(lián)分析方法的流程示意圖�����。
[0047] 如圖1所示�����,該實施例可以包括以下步驟:
[0048] S102,對實時采集到的安全事件進(jìn)行屬性特征的分解與屬性特征值的標(biāo)準(zhǔn)化�;
[0049] 其中,安全事件的屬性特征可以包括但不限于源IP地址與端口��、目的IP地址與端 口�����、事件類別����、事件名稱、事件等級����、事件涉及的設(shè)備以及事件發(fā)生的時間。
[0050] S104,利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)�,以確定攻擊類 另IJ��,其中,統(tǒng)一推理結(jié)構(gòu)可以為樹形結(jié)構(gòu)���。
[0051] 在該實施例中�����,通過離線生成的統(tǒng)一推理結(jié)構(gòu)提高了對實時采集的安全事件的關(guān) 聯(lián)分析效率���,節(jié)省了計算空間、時間代價��,實現(xiàn)了精度和效率的平衡��。
[0052] 在一個實例中�����,可以通過下述方式生成統(tǒng)一推理結(jié)構(gòu):
[0053] 匯集攻擊模型庫和安全事件訓(xùn)練樣本�����;將安全事件訓(xùn)練樣本分解為特征庫�����;計算 特征庫中各特征與攻擊的關(guān)聯(lián)概率;基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進(jìn)行分級�,形成統(tǒng) 一推理結(jié)構(gòu)的各級節(jié)點;訓(xùn)練計算滿足判決精度要求的各級節(jié)點的置信值���,并確定分類閾 值和分類正確率����。
[0054] 需要指出的是�����,上述統(tǒng)一推理結(jié)構(gòu)是基于安全事件訓(xùn)練樣本在離線狀態(tài)下預(yù)先訓(xùn) 練出的結(jié)構(gòu)�,在獲