本發明提供一種面向威脅場景的智能化安全事件關聯分析系統，包括海量格式事件存儲模塊、分析模塊、可視化展示模塊；所述分析模塊包括事件關聯分析模塊、綜合威脅分析模塊、攻擊鏈分析模塊、攻擊路徑分析模塊、Web攻擊深度分析模塊、網絡流量元數據行為分析模塊、網絡異常行為分析模塊。本發明所提供的分析系統可以匯總和合理化威脅數據自動篩選出攻陷指標(IOC)作為可機讀威脅情報(MRTI)，并且使用現存的日志對比匹配以便輕松發現不常見的趨勢或線索，并對其有效執行操作。通過將團隊、流程和工具結合在一起，系統平臺為安全團隊提供了對于威脅來自哪里前所未有的視野，并可以從頭到尾跟蹤整個事件，通過報告，可指導安全響應并進行阻斷。

技術領域

本發明涉及網絡安全分析，具體涉及一種面向威脅場景的智能化安全事件關聯分析系統。

背景技術

隨著網絡規模的不斷擴大，現在的網絡在社會生活中已經扮演著越來越重要的角色；同時，網絡安全問題也日益突出，并逐漸成為網絡服務和應用進一步發展所亟需解決的關鍵問題。此外，隨著網絡入侵和攻擊行為向著分布化、規模化、復雜化、間接化等趨勢的發展，網絡病毒和Dos/DDos攻擊等構成的威脅和造成的損失越來越大，很多科研人員和機構已經開始意識到僅僅依賴于現有的網絡安全產品是無法對整個網絡安全狀況進行實時監控的。

眾所周知，隨著業務和IT基礎設施的規模不斷擴大，以及新的技術的發展，國內電網電力通信網絡的規模越來越大，傳統的基于關系型數據庫技術的安全事件和信息管理系統及類似的日志審計系統或安全管理系統都無法滿足高速海量事件的處理要求。主要體現在超過一定事件數量規模后，傳統的事件管理技術無法完成對所有信息事件的實時采集和存儲，受限于單臺系統的計算能力，海量的實時數據無法得到有效的關聯分析，會產生漏報和誤報，導致無法有效發現安全攻擊。歷史數據無法得到有效的分析，采用關系型數據庫技術在對海量數據進行歷史查詢和檢索時耗時很長，生成報表往往需要耗費數小時，這些已無法滿足安全分析人員日常的安全工作的要求。

當前國內的分析系統基本上是建立在各個不同生產環節上，輔以一些常用、簡便的工具，如數據庫、報表工具，甚至Excel(數據表格工具)等，直接對生產數據進行分析，來了解企業的經營運行情況。其不可避免的問題在于，企業中的數據源是分散的，在此基礎上建立的分析系統必然是孤立的。而在這一個個“信息孤島”之間缺乏有效的關聯和綜合分析，無法形成企業數據的統一視圖。在分析角度和深度，以及關聯分析和預測分析方面比較薄弱。

因此，電力通信網絡中亟需能夠實現敏捷和快速反應的方式應對不斷發展的、大批量、高優先級的威脅的分析系統，并能夠實現從“全球化”的角度進行綜合分析和研究。

發明內容

為了解決上述現有技術中存在的問題，本發明的目的是提供一種面向威脅場景的智能化安全事件關聯分析系統，能夠實現對電力通信網絡中的各類實時和歷史網絡威脅事件進行分析和檢測，提供可視化分析報告。

為了達到上述發明目的，本發明的技術方案以如下方式實現：

一種面向威脅場景的智能化安全事件關聯分析系統，包括海量格式事件存儲模塊、分析模塊、可視化展示模塊；

所述海量格式事件存儲模塊支持單個事件采集器和多個事件采集器，借助硬件多核特性，采用并行事件流水線采集方式采集海量日志數據，并采用了異步非阻塞的事件采集方式，借助高速緩存快速地進行事件并行流水線處理。大大提升了事件的采集和預處理的性能；

所述分析模塊包括事件關聯分析模塊、綜合威脅分析模塊、攻擊鏈分析模塊、攻擊路徑分析模塊、 Web攻擊深度分析模塊、網絡流量元數據行為分析模塊、網絡異常行為分析模塊；

本發明的分析系統還提供可視化展示模塊，用戶通過內設的可視化編輯器自定義基于邏輯表達式和統計條件的關聯規則，所有日志字段都可參與關聯。

所述事件關聯分析模塊包括基于規則的關聯分析模塊、基于情境的關聯分析模塊、基于行為的關聯分析模塊；