基于屬性的多模型聯(lián)合事件分析的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域�����,尤其涉及基于屬性的多模型聯(lián)合事件分析���。
【背景技術(shù)】
[0002]隨著Internet技術(shù)的高速發(fā)展���,網(wǎng)絡(luò)安全問題變得越來越敏感和重要,攻擊者攻擊手段和技術(shù)的日益復(fù)雜化�、更具隱蔽性和分布性特點(diǎn),使得對入侵意圖的識別變得困難�����;冗余的、無關(guān)緊要的告警數(shù)據(jù)的泛濫給系統(tǒng)管理員帶來了巨大的壓力和錯(cuò)覺�,甚至是漠視告警;有效關(guān)聯(lián)技術(shù)和預(yù)警技術(shù)的缺乏導(dǎo)致攻擊的漏報(bào)或誤報(bào)��,最終難于準(zhǔn)確定位攻擊意圖���,從而不能及時(shí)給出相應(yīng)的對策,給系統(tǒng)帶來巨大的損失����。
[0003]為了保障網(wǎng)絡(luò)的可用性和網(wǎng)絡(luò)上信息的機(jī)密性、完整性�,防止來自外部或內(nèi)部的攻擊行為,網(wǎng)絡(luò)管理者花費(fèi)了大量的資源來購買防火墻�����、入侵檢測系統(tǒng)(IDS)�、虛擬專用網(wǎng)(VPN)網(wǎng)關(guān)和防病毒軟件等網(wǎng)絡(luò)安全工具,力圖保障網(wǎng)絡(luò)的安全����。這些網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)設(shè)備都以日志和告警等形式記錄了大量的網(wǎng)絡(luò)安全數(shù)據(jù)���,這些數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)安全工作中防御、檢測和響應(yīng)的重要基礎(chǔ)依據(jù)���。
[0004]然而���,在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中,這些海量���、零星雜亂的安全數(shù)據(jù)����,常常并不等于真實(shí)有效的安全信息�,也不能單獨(dú)構(gòu)成有用的安全事件,更不能及時(shí)形成真正有指導(dǎo)意義的安全響應(yīng)知識�。因此,對這些海量的網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行自動(dòng)智能化的關(guān)聯(lián)分析����,揭示隱藏在事件背后的邏輯關(guān)系及其攻擊意圖,對各個(gè)攻擊進(jìn)行嚴(yán)重度排序并生成各種快速直觀的分析報(bào)告�����,從而全面監(jiān)控網(wǎng)絡(luò)狀況、有效指導(dǎo)網(wǎng)絡(luò)安全管理���、有效預(yù)防���、阻斷或減少安全威脅,是網(wǎng)絡(luò)安全保障的一個(gè)極有價(jià)值并且十分必要的手段����。只有這樣,管理員才能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為�,修補(bǔ)脆弱點(diǎn)或阻止攻擊���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明為了解決現(xiàn)有網(wǎng)絡(luò)環(huán)境復(fù)雜����,網(wǎng)絡(luò)日志海量且多樣����,很難從這些海量日志中提取出真正有效的安全信息,而傳統(tǒng)的規(guī)則庫的方式進(jìn)行關(guān)聯(lián)分析又給網(wǎng)絡(luò)管理人員帶來了巨大的工作量的難題���,采用了通過對事件屬性進(jìn)行邏輯關(guān)聯(lián)���,結(jié)合多種關(guān)聯(lián)模型進(jìn)行聯(lián)合分析的方案�����,從而實(shí)現(xiàn)了簡便而智能的在海量日志中分析并提取出有價(jià)值的關(guān)聯(lián)事件���。
[0006]本發(fā)明通過對各種網(wǎng)絡(luò)設(shè)備的日志進(jìn)行統(tǒng)一采集,提取出事件的通用屬性(源IP�����,目的IP��,源端口���,目的端口�,協(xié)議)���,設(shè)計(jì)多種關(guān)聯(lián)事件模型(本發(fā)明中提到三種關(guān)聯(lián)模型:統(tǒng)計(jì)事件模型��,單事件模型��,多事件模型)�,運(yùn)用不同事件屬性的布爾邏輯運(yùn)算來分析出有價(jià)值的聯(lián)合事件。具體流程:
[0007]s1.通過syslog或者snmptrap方式采集各種網(wǎng)絡(luò)設(shè)備的日志�����;
[0008]s2.對原始日志進(jìn)行歸并�;
[0009]s3.通過正則表達(dá)式匹配出單一事件,提取出事件屬性����;
[0010]s4.定義關(guān)聯(lián)事件模型;
[0011]S5.根據(jù)事件模型定義�,對事件屬性進(jìn)行布爾邏輯運(yùn)算,得到聯(lián)合事件�;
[0012]s6.告警,通知網(wǎng)絡(luò)管理人員�����。
[0013]其中��,定義關(guān)聯(lián)事件模型���,本發(fā)明中涉及到三種關(guān)聯(lián)模型:統(tǒng)計(jì)事件模型,單事件模型���,多事件模型�;
[0014]統(tǒng)計(jì)事件模型,通過預(yù)先定義統(tǒng)計(jì)事件模型策略����,經(jīng)過對比判斷,確認(rèn)是否滿足聯(lián)合事件定義���;
[0015]單事件模型��,通過預(yù)先定義單事件模型策略���,通過事件對比,經(jīng)過布爾邏輯運(yùn)算�,既與或非運(yùn)算過程,確認(rèn)是否滿足聯(lián)合事件發(fā)生��;
[0016]多事件模型���,通過預(yù)先定義多事件模型策略����,通過事件對比,經(jīng)過布爾邏輯運(yùn)算�����,既或與非運(yùn)算���,確認(rèn)是否滿足聯(lián)合時(shí)間的發(fā)生�����。
[0017]本發(fā)明技術(shù)方案帶來的有益效果:
[0018]本發(fā)明提出的基于屬性的多模型聯(lián)合事件分析方法���,利用基于事件屬性多模型算法的高效匹配來提高效率。通過對比實(shí)驗(yàn)�����,證明了此方法不僅可以從海量日志中提取出有意義的事件��,而且可以簡便快速的將這些事件進(jìn)行關(guān)聯(lián)分析�����,找到網(wǎng)絡(luò)中已發(fā)生的或者潛在的威脅�����,從而為網(wǎng)絡(luò)管理人員提供及時(shí)可靠的判斷依據(jù)����。
【附圖說明】
[0019]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其它的附圖����。
[0020]圖1是本發(fā)明產(chǎn)品的總流程圖;
[0021]圖2是本發(fā)明產(chǎn)品的統(tǒng)計(jì)事件模型處理流程圖���;
[0022]圖3是本發(fā)明產(chǎn)品的單事件模型處理流程圖�����;
[0023]圖4是本發(fā)明產(chǎn)品的多事件模型處理流程圖���;
【具體實(shí)施方式】
[0024]下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍。
[0025]本發(fā)明通過對各種網(wǎng)絡(luò)設(shè)備的日志進(jìn)行統(tǒng)一采集���,提取出事件的通用屬性(源IP����,目的IP���,源端口�,目的端口���,協(xié)議)�,設(shè)計(jì)多種關(guān)聯(lián)事件模型(本發(fā)明中提到三種關(guān)聯(lián)模型:統(tǒng)計(jì)事件模型�����,單事件模型���,多事件模型)��,運(yùn)用不同事件屬性的布爾邏輯運(yùn)算來分析出有價(jià)值的聯(lián)合事件����。
[0026]如圖1所示為本發(fā)明的總流程圖�����,其具體實(shí)現(xiàn)步驟如下:
[0027]s1.通過syslog或者snmptrap等方式采集各種網(wǎng)絡(luò)設(shè)備的日志;
[0028]s2.對原始日志進(jìn)行歸并�;
[0029]s3.通過正則表達(dá)式匹配出單一事件,提取出事件屬性����;
[0030]s4定義關(guān)聯(lián)事件模型;
[0031]s5根據(jù)事件模型定義���,對事件屬性進(jìn)行布爾邏輯運(yùn)算�,得到聯(lián)合事件����;
[0032]s6告警,通知網(wǎng)絡(luò)管理人員����。
[0033]統(tǒng)計(jì)事件模型,通過預(yù)先定義統(tǒng)計(jì)事件模型策略�,經(jīng)過對比判斷,確認(rèn)是否滿足聯(lián)合事件定義���。圖2是本發(fā)明產(chǎn)品的統(tǒng)計(jì)事件模型處理流程圖��,其具體實(shí)現(xiàn)步驟如下:
[0034]s1.預(yù)先定義統(tǒng)計(jì)事件模型策略����;
[0035]s2.事件類型判斷模塊對事件采集模塊采集到的事件進(jìn)行對比判斷���,看該事件是否是統(tǒng)計(jì)事件模型策