【技術領域】

本實用新型涉及網絡安全管理領域，特別涉及一種基于事件分類和規則樹的安全事件的關聯分析方法和裝置。

【背景技術】

隨著計算機和通訊技術的高速發展，網絡的開放性、互連性、共享性程度的擴大，企業越來越依賴信息和網絡技術來支持他們在全球市場中的迅速成長和擴大。但隨之而來的威脅也越來越多——黑客攻擊、惡意代碼、蠕蟲病毒。現有的網絡安全設備，如：防火墻，入侵檢測系統，殺毒軟件等，在網絡異常的情況下會產生各種各樣的告警信息，加上服務器本身的系統和應用程序的產生的告警，這些告警錯綜復雜，而且數量龐大。但是對于每種網絡的異常情況在單一的網絡設備上是不能確定的，只有將各種設備的告警綜合在一起才分析才有可能確定異常的情況。而這個工作對于網絡管理員來說是不可能完成的，只有通過關聯分析才能準確的發現這些異常情況并且對異常情況提出解決方案。

而現有的關聯分析產品主要是安全管理中心(SOC)或者是安全信息管理系統(SIM)，其主要是實現了以下的五功能：事件采集、事件儲存、事件查詢、事件關聯分析以及告警通知。

現有的分析方法存在以下的局限性：

1.分析的信息不全面：沒有實現和一些邊緣信息的關聯，如：漏洞信息和端口信息。因為有些告警是有針對性的，可能是對某個漏洞，但是網絡安全設備產生這個攻擊告警時，告警的目標IP并沒有這個漏洞，這可能導致一些誤報情況的出現；

2.分析規則的描述性不足：通常只描述日志事件的五元組屬性的匹配關系，對于具體的事件類型，事件發生頻度，以及多個事件復雜的邏輯和時序關系無法或者很難準確描述；

3.沒有提供告警解決方案：用戶接到告警后仍然需要到實際的環境中尋找具體的出錯和解決方案，這樣達不到告警處理的實時性。

【實用新型內容】

本實用新型要解決的技術問題，在于提供一種基于事件分類和規則樹的關聯分析裝置，能從海量的網絡信息中發現異常情況，生成日志，并且將這些日志關聯成告警，并及時將告警的內容和解決方案以郵件等通知方式發送給管理員，管理員只需要及時根據其中的解決方案進行網絡的改進，就可以發現當前網絡中存在的隱患，從而實現網絡的加固和優化。

本實用新型是這樣實現的：一種基于事件分類和規則樹的關聯分析裝置，包括一事件分類知識庫、一關聯分析規則庫、一事件分類引擎、一事件預處理引擎、一關聯分析引擎以及一告警響應模塊；所述事件分類知識庫、所述事件分類引擎、所述事件預處理引擎、所述關聯分析引擎以及告警響應模塊依次連接，所述關聯分析規則庫則連接至所述關聯分析引擎。

本實用新型的優點在于：

(1)實現了分析結果和結果處理機制的融合，即在分析規則滿足的情況下產生告警的同時生成該告警的解決方案，這樣實現了處理告警的實時性和精確性。

(2)基于事件分類的樹形分析規則使得規則的配置更為靈活多變，規則中各個子項的關系一目了然。

(3)預處理機制中實現了基于漏洞，端口打開的檢測，IP地址的NAT映射的轉換，能夠減小各種安全設備事件的誤報的概率，為分析提供更多有用的信息。

(4)與原始的以安全設備(例如IDS)為起點的關聯分析機制相比，現實了一些非告警事件和告警事件的關聯，以事件分類為起點的關聯實現了關聯分析的多樣化，合理化。

【附圖說明】

下面參照附圖結合實施例對本實用新型作進一步的說明。

圖1是關聯分析裝置的內部結構圖。

圖2是利用本實用新型關聯分析裝置進行關聯分析方法的流程圖。

【具體實施方式】

請參閱圖1所示，本實用新型的一種基于事件分類和規則樹的關聯分析裝置，包括一事件分類知識庫1、一關聯分析規則庫2、一事件分類引擎3、一事件預處理引擎4、一關聯分析引擎5以及一告警響應模塊6；所述事件分類知識庫1、所述事件分類引擎3、所述事件預處理引擎4、所述關聯分析引擎5以及告警響應模塊6依次連接，所述關聯分析規則庫2則連接至所述關聯分析引擎5。其中，

所述事件分類知識庫1：用于存放事件分類的詳細規則；

所述關聯分析規則庫2：用于存放關聯分析的規則信息；

所述事件分類引擎3：用于接收原始日志事件，并結合所述事件分類知識庫1，進行事件的分類分析；

所述事件預處理引擎4：用于對日志事件中的一些內容進行確認和轉換；

所述關聯分析引擎5：用于輸入來自所述事件分類引擎3和所述事件預處理引擎4的輸出信息，根據所述關聯分析規則庫2的信息，輸出關聯分析結果。