本公開涉及一種安全事件的智能關聯分析方法與裝置。該方法包括對實時采集到的安全事件進行屬性特征的分解與屬性特征值的標準化；利用標準化后的屬性特征值遍歷離線生成的統一推理結構，以確定攻擊類別。本公開提高了關聯分析的效率。

技術領域

本公開涉及網絡安全領域，特別地，涉及一種安全事件的智能關聯分析方法與裝置。

背景技術

在網絡安全形勢愈發嚴峻的今天，網絡安全管理成為網絡運營的重要內容。SOC(Security Operations Centre，安全運營中心)是對網絡及安全設備與系統進行綜合分析，實現安全事件集中管理和監控的技術支撐平臺。SOC通過采集網絡中設備與系統所產生的安全日志，經過分析處理，找到網絡當前安全威脅與潛在的安全風險，從而及時發出預警，避免網絡承受重大損失。SOC從網絡中收集到的大量安全事件信息中，許多并不具有真實的威脅，有些可能是威脅實施前期的跡象，有些可能只是實質威脅產生的連帶告警。安全事件關聯分析是從經過預處理的安全事件中抽取有用信息，通過關聯處理相關性，把孤立的安全事件集合關聯為一個安全事件鏈，其目標是在大量誤報告警與低級別告警中找出真正威脅告警，幫助安全運維人員及時定位網絡中潛在的安全隱患。

目前智能SOC關聯分析引擎機制主要采用“推理機”方法。“推理機”式關聯分析引擎工作原理是預置先驗訓練出的推理模型，采集到安全事件后將提取屬性信息分別與推理模型的各條規則特征進行匹配，滿足則進行記錄，直至推理模型所有規則特征匹配度達到閾值，觸發告警。“推理機”式關聯分析引擎不會遺漏任何安全事件及安全事件攜帶的任何信息，分析精度高，但由于SOC對全網安全事件的分析涉及多設備、多協議、多攻擊類型，采用傳統“推理機”關聯分析引擎則需要建設大量的攻擊模型，分析精細復雜，需占用非常多的計算空間時間代價，導致分析效率很低。電信網絡環境中安全事件海量，低效率的推理機式關聯分析引擎效率無法支持。

發明內容

本公開鑒于以上問題中的至少一個提出了新的技術方案。

本公開在其一個方面提供了一種安全事件的智能關聯分析方法，其提高了關聯分析的效率。

本公開在其另一方面提供了一種安全事件的智能關聯分析裝置，其提高了關聯分析的效率。

根據本公開，提供一種安全事件的智能關聯分析方法，包括：

對實時采集到的安全事件進行屬性特征的分解與屬性特征值的標準化；

利用標準化后的屬性特征值遍歷離線生成的統一推理結構，以確定攻擊類別。

在本公開的一些實施例中，通過下述方式生成統一推理結構：

匯集攻擊模型庫和安全事件訓練樣本；

將安全事件訓練樣本分解為特征庫；

計算特征庫中各特征與攻擊的關聯概率；

基于樹結構根據關聯概率對各特征進行分級，形成統一推理結構的各級節點；

訓練計算滿足判決精度要求的各級節點的置信值，并確定分類閾值和分類正確率。

在本公開的一些實施例中，利用標準化后的屬性特征值遍歷離線生成的統一推理結構，以確定攻擊類別包括：

自統一推理結構的根節點開始將標準化后的屬性特征值與統一推理結構中的各級節點的特征規則進行比對；

如果標準化后的屬性特征值與特征規則相匹配，則將根節點至當前節點的置信值相疊加，形成攻擊置信值；

在遍歷了統一推理結構后，根據攻擊置信值所處的置信空間確定攻擊類別。

在本公開的一些實施例中，所述方法還包括：

針對一個標準化后的屬性特征值，在自統一推理結構的根節點遍歷開始啟動定時器；