技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，尤其涉及一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)。

背景技術(shù)

在網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻的今天，網(wǎng)絡(luò)安全管理成為網(wǎng)絡(luò)運(yùn)營(yíng)的重要內(nèi)容。安全運(yùn)營(yíng)中心（Security Operations Centre，簡(jiǎn)稱SOC）是對(duì)網(wǎng)絡(luò)及安全設(shè)備與系統(tǒng)進(jìn)行綜合分析，實(shí)現(xiàn)安全事件集中管理和監(jiān)控的技術(shù)支撐平臺(tái)。SOC通過采集網(wǎng)絡(luò)中設(shè)備與系統(tǒng)所產(chǎn)生的安全日志，經(jīng)過分析處理，找到網(wǎng)絡(luò)當(dāng)前安全威脅與潛在的安全風(fēng)險(xiǎn)，從而及時(shí)發(fā)出預(yù)警，避免網(wǎng)絡(luò)承受重大損失。SOC從網(wǎng)絡(luò)中收集到的大量安全事件信息中，許多并不具有真實(shí)的威脅，有些可能是威脅實(shí)施前期的跡象，有些可能只是實(shí)質(zhì)威脅產(chǎn)生的連帶告警。

安全事件關(guān)聯(lián)分析是從經(jīng)過預(yù)處理的安全事件中抽取有用信息，通過關(guān)聯(lián)處理相關(guān)性，把孤立的安全事件集合關(guān)聯(lián)為一個(gè)安全事件鏈，其目標(biāo)是在大量誤報(bào)告警與低級(jí)別告警中找出真正威脅告警，幫助安全運(yùn)維人員及時(shí)定位網(wǎng)絡(luò)中潛在的安全隱患。

目前SOC采用的關(guān)聯(lián)分析引擎機(jī)制主要采用狀態(tài)機(jī)方法。“狀態(tài)機(jī)”式關(guān)聯(lián)分析引擎由網(wǎng)絡(luò)安全事件即時(shí)驅(qū)動(dòng)，滿足預(yù)置條件的安全事件信息，可觸發(fā)“狀態(tài)機(jī)”的狀態(tài)變遷。通過狀態(tài)機(jī)狀態(tài)記憶安全事件發(fā)生鏈，從而分析出安全事件的關(guān)聯(lián)關(guān)系。“狀態(tài)機(jī)”式關(guān)聯(lián)分析引擎具有很強(qiáng)的實(shí)時(shí)性，但由于“狀態(tài)機(jī)”要求網(wǎng)絡(luò)安全事件進(jìn)入關(guān)聯(lián)分析引擎的時(shí)序，必須與事件發(fā)生的真正時(shí)序一致，對(duì)觸發(fā)事件的時(shí)序要求很高。在復(fù)雜網(wǎng)絡(luò)環(huán)境中，受網(wǎng)絡(luò)傳輸延時(shí)和前端處理延時(shí)的影響，安全事件進(jìn)入引擎的時(shí)序可能會(huì)發(fā)生顛倒，而導(dǎo)致“狀態(tài)機(jī)”無法觸發(fā)，關(guān)聯(lián)分析引擎出現(xiàn)錯(cuò)報(bào)或漏報(bào)。因此，現(xiàn)有的關(guān)聯(lián)分析引擎分析精度存在局限，難以滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的關(guān)聯(lián)分析需求。

發(fā)明內(nèi)容

本發(fā)明的目的是提出一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)，能夠滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全事件關(guān)聯(lián)分析的精度需求。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種安全事件關(guān)聯(lián)分析方法，包括：

接收安全運(yùn)營(yíng)中心采集到的安全事件記錄；

按照所述安全事件記錄對(duì)應(yīng)的設(shè)備進(jìn)行分組，并針對(duì)每個(gè)設(shè)備形成依據(jù)安全事件發(fā)生時(shí)間排序的事件序列表，且當(dāng)前分析指針指向各個(gè)事件序列表中尚未進(jìn)入觸發(fā)器的時(shí)間最早的安全事件記錄；

將當(dāng)前分析指針指向的安全事件記錄送入觸發(fā)器進(jìn)行狀態(tài)機(jī)的預(yù)設(shè)規(guī)則的匹配，并將當(dāng)前分析指針指向所述各個(gè)事件序列表中下一個(gè)時(shí)間順序的安全事件記錄；

根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)狀態(tài)機(jī)的預(yù)設(shè)規(guī)則的匹配情況進(jìn)行計(jì)時(shí)器計(jì)時(shí)和狀態(tài)跳轉(zhuǎn)，并根據(jù)狀態(tài)機(jī)的超時(shí)情況對(duì)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)應(yīng)的設(shè)備進(jìn)行計(jì)數(shù)；

在計(jì)數(shù)結(jié)果達(dá)到預(yù)設(shè)統(tǒng)計(jì)閾值時(shí)，將計(jì)數(shù)結(jié)果發(fā)送給同步調(diào)整器，以便所述同步調(diào)整器根據(jù)所述計(jì)數(shù)結(jié)果對(duì)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)應(yīng)的設(shè)備的事件序列表進(jìn)行步長(zhǎng)調(diào)整。

進(jìn)一步的，在所述接收安全運(yùn)營(yíng)中心采集到的安全事件記錄之后，形成事件序列表之前還包括：

對(duì)所述安全運(yùn)營(yíng)中心采集到的安全事件記錄所攜帶的信息按照標(biāo)準(zhǔn)屬性字段進(jìn)行解析；

對(duì)低重要度的事件進(jìn)行過濾，并對(duì)相同安全事件進(jìn)行合并和次數(shù)累加。

進(jìn)一步的，在按照所述安全事件記錄對(duì)應(yīng)的設(shè)備進(jìn)行分組，并針對(duì)于每個(gè)設(shè)備形成依據(jù)安全事件發(fā)生時(shí)間排序的事件序列表時(shí)，還包括：所述同步調(diào)整器將各個(gè)設(shè)備的事件序列表的時(shí)間指針分別指向表內(nèi)尚未進(jìn)入觸發(fā)器的時(shí)間最早的安全事件記錄。

進(jìn)一步的，所述根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)狀態(tài)機(jī)的預(yù)設(shè)規(guī)則的匹配情況進(jìn)行計(jì)時(shí)器計(jì)時(shí)和狀態(tài)跳轉(zhuǎn)，并根據(jù)狀態(tài)機(jī)的超時(shí)情況對(duì)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)應(yīng)的設(shè)備進(jìn)行計(jì)數(shù)的操作具體包括：

如果所述觸發(fā)器中的安全事件記錄匹配所述狀態(tài)機(jī)的預(yù)設(shè)規(guī)則,且所述狀態(tài)機(jī)處于初始態(tài)，則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機(jī)向警備態(tài)進(jìn)行跳轉(zhuǎn)，并啟動(dòng)計(jì)時(shí)器，然后將當(dāng)前分析指針指向所述各個(gè)事件序列表中下一個(gè)時(shí)間順序的安全事件記錄送入觸發(fā)器進(jìn)行處理；

如果所述狀態(tài)機(jī)已處于警備態(tài)，則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機(jī)向下一警備態(tài)進(jìn)行跳轉(zhuǎn)，并判斷跳轉(zhuǎn)后的狀態(tài)機(jī)是否已達(dá)到最終警備態(tài)，是則向外發(fā)出告警信息，所述狀態(tài)機(jī)回復(fù)初始態(tài)；

如果所述狀態(tài)機(jī)未達(dá)最終警備態(tài)，則判斷所述計(jì)時(shí)器是否超時(shí)，如果超時(shí)，則所述狀態(tài)機(jī)回復(fù)初始態(tài)，并對(duì)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)應(yīng)的設(shè)備進(jìn)行計(jì)數(shù)，否則將當(dāng)前分析指針指向所述各個(gè)事件序列表中下一個(gè)時(shí)間順序的安全事件記錄送入觸發(fā)器進(jìn)行處理。

進(jìn)一步的，所述同步調(diào)整器根據(jù)所述計(jì)數(shù)結(jié)果對(duì)所述觸發(fā)器內(nèi)的安全事件記錄對(duì)應(yīng)的設(shè)備的事件序列表進(jìn)行步長(zhǎng)調(diào)整的操作具體為：