技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全處理領(lǐng)域，更為具體地，涉及一種對事件規(guī)則關(guān)聯(lián)進行并行分析處理的安全事件規(guī)則關(guān)聯(lián)分析方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，通過網(wǎng)絡(luò)來傳遞信息正在成為一種趨勢。然而，由于網(wǎng)絡(luò)黑客經(jīng)常利用木馬程序非法侵入網(wǎng)絡(luò)空間來竊取信息，因此，如何保證網(wǎng)絡(luò)上的信息安全越來越受到重視。

為了保證網(wǎng)絡(luò)上的信息安全，通常需要對威脅網(wǎng)絡(luò)安全的任何一個行為進行報警，即產(chǎn)生安全事件。安全事件通常由安全系統(tǒng)生成，安全系統(tǒng)指的是對用戶系統(tǒng)進行安全監(jiān)測和保護的應(yīng)用系統(tǒng)，比如入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、審計系統(tǒng)、防火墻、UTM等。

各類安全系統(tǒng)通常都會產(chǎn)生大量的安全報警事件。來源不同的安全系統(tǒng)所產(chǎn)生的安全事件往往彼此重疊、關(guān)聯(lián)或者相互依賴，而且數(shù)據(jù)量相當(dāng)龐大。由于安全管理員需要應(yīng)對大量具有冗余性且彼此關(guān)系錯綜的報警事件，從而使得安全管理工作變得越來越復(fù)雜。

此外，對于很多網(wǎng)絡(luò)攻擊行為，僅僅依靠單一的安全系統(tǒng)往往是無法監(jiān)測到的。在這種情況下，只有將各安全系統(tǒng)所產(chǎn)生的報警事件進行關(guān)聯(lián)分析和綜合判斷，才能準(zhǔn)確地發(fā)現(xiàn)并及時地制止這些攻擊。由此可見，要解決這些問題，必須要采用規(guī)則關(guān)聯(lián)分析技術(shù)。

規(guī)則關(guān)聯(lián)分析技術(shù)通常采用規(guī)則模型來描述攻擊的前提與后續(xù)動作，以及所產(chǎn)生的報警等，并且需要對規(guī)則模型進行匹配。通常情況下，規(guī)則模型采用鏈?zhǔn)交驑湫徒Y(jié)構(gòu)，更為復(fù)雜地，可以采用網(wǎng)狀結(jié)構(gòu)，該模型中的每個節(jié)點為攻擊場景中的一個環(huán)節(jié)。

目前，對規(guī)則模型進行匹配所采用的方式通常包括下述兩種。

第一種方式是基于串行處理的規(guī)則關(guān)聯(lián)分析技術(shù)，該技術(shù)對安全系統(tǒng)產(chǎn)生的報警事件與規(guī)則模型進行逐一的匹配。根據(jù)該匹配方式的，可以按照模型的順序，調(diào)整模型的優(yōu)先級，從而實現(xiàn)簡單、調(diào)試方便。但是該匹配方式的處理效率低、吞吐量不高，從而很難實現(xiàn)真正的基于場景的規(guī)則關(guān)聯(lián)分析。

第二種方式是基于并行處理的規(guī)則關(guān)聯(lián)分析技術(shù)，該技術(shù)對上述串行處理技術(shù)進行了改進，從而可以同時處理多個規(guī)則模型。與串行處理相比，利用該基于并行處理的匹配方式，可以提高處理效率。但是，在該基于并行處理的匹配方式中，所有的規(guī)則都是均等的且沒有優(yōu)先級，從而也很難實現(xiàn)真正的基于場景的規(guī)則關(guān)聯(lián)分析。

因此，需要一種高效的規(guī)則模型匹配方法。利用該方法，可以支持高效準(zhǔn)確的匹配，并且能夠?qū)崿F(xiàn)基于場景的規(guī)則關(guān)聯(lián)分析。

發(fā)明內(nèi)容

鑒于上述問題，本發(fā)明提供了一種用于SOC(Security?Operation?Center，安全運維中心)系統(tǒng)的來基于多線程對事件進行規(guī)則關(guān)聯(lián)分析的方法及裝置，利用該方法及裝置，可以利用多線程來對靜態(tài)節(jié)點和在靜態(tài)節(jié)點匹配成功時產(chǎn)生的動態(tài)節(jié)點進行匹配處理，由此可以同時對多個復(fù)雜規(guī)則模型進行匹配，從而支持高效準(zhǔn)確的匹配，并且實現(xiàn)基于場景的規(guī)則關(guān)聯(lián)分析。

根據(jù)本發(fā)明的一個方面，提供了一種用于SOC系統(tǒng)的基于多線程對事件進行規(guī)則關(guān)聯(lián)分析的方法，包括：預(yù)先定義若干規(guī)則模型，每個規(guī)則模型包括靜態(tài)節(jié)點和動態(tài)節(jié)點，靜態(tài)節(jié)點為每個規(guī)則模型的頭節(jié)點，動態(tài)節(jié)點為每個規(guī)則模型的除頭節(jié)點外的其它節(jié)點；創(chuàng)建每幀包含第一部分和第二部分的幀結(jié)構(gòu)；將SOC系統(tǒng)所采集的事件填入所創(chuàng)建的幀結(jié)構(gòu)的各幀的第一部分中；在填入所述事件的同時，采用第一組線程來對所述每個規(guī)則模型中的各個靜態(tài)節(jié)點和所創(chuàng)建的幀結(jié)構(gòu)的各幀中填入的事件進行匹配并且在匹配成功時產(chǎn)生動態(tài)節(jié)點，并將所產(chǎn)生的動態(tài)節(jié)點填入其對應(yīng)靜態(tài)節(jié)點的相應(yīng)幀的第二部分中；以及在進行所述靜態(tài)節(jié)點與所述事件匹配的同時，采用第二組線程來對先前靜態(tài)節(jié)點匹配成功后產(chǎn)生的動態(tài)節(jié)點與該動態(tài)節(jié)點所位于幀中的事件進行匹配，其中，如果動態(tài)節(jié)點與事件匹配成功后產(chǎn)生該動態(tài)節(jié)點后續(xù)的動態(tài)節(jié)點，則銷毀該動態(tài)節(jié)點，并將該后續(xù)的動態(tài)節(jié)點放入該動態(tài)節(jié)點的相應(yīng)幀中，同時根據(jù)該動態(tài)節(jié)點的預(yù)置行為產(chǎn)生告警事件。