本發(fā)明提出了一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析方法和系統(tǒng)，通過(guò)在底層組件上報(bào)安全事件及審計(jì)數(shù)據(jù)的報(bào)文格式中約定至少包含會(huì)話相關(guān)信息，基于會(huì)話相關(guān)信息這三個(gè)維度將安全事件進(jìn)行關(guān)聯(lián)聚合，并且包括會(huì)話相關(guān)信息的安全事件信息根據(jù)不同的聚合方式存儲(chǔ)在后端數(shù)據(jù)庫(kù)中，在前端界面中以一定排列形狀呈現(xiàn)包含源I P地址和目的地I P地址的I P節(jié)點(diǎn)，并且依據(jù)安全事件將相互關(guān)聯(lián)的源I P地址和目的地I P地址進(jìn)行連線，以形成安全事件觸發(fā)關(guān)系拓?fù)鋱D。本發(fā)明通用性強(qiáng)，適用于各種類型的網(wǎng)絡(luò)，且對(duì)網(wǎng)絡(luò)安全事件關(guān)聯(lián)進(jìn)行直觀的拓?fù)湔故尽?/p>

技術(shù)領(lǐng)域

本申請(qǐng)實(shí)施例涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析方法和系統(tǒng)。

背景技術(shù)

隨著現(xiàn)在網(wǎng)絡(luò)通訊及信息技術(shù)的發(fā)展，網(wǎng)絡(luò)環(huán)境下的信息安全越來(lái)越重要。而現(xiàn)有的服務(wù)端和客戶端的通訊方式，大部分以接口形式傳輸，這也就導(dǎo)致了信息在傳輸?shù)倪^(guò)程中，容易被泄露、篡改或者刪除等，給信息安全帶來(lái)了很大的威脅。因此，在接口通訊中，采用一種安全的校驗(yàn)技術(shù)，便顯得尤為重要。

安全事件關(guān)聯(lián)分析技術(shù)作為企業(yè)網(wǎng)絡(luò)安全管理的核心功能之一，其目的在于從看似“分散獨(dú)立”的海量安全數(shù)據(jù)中尋找異常活動(dòng)的邏輯關(guān)系，發(fā)現(xiàn)攻擊意圖、步驟、危害、風(fēng)險(xiǎn)等信息。

在企業(yè)網(wǎng)絡(luò)安全防護(hù)中，往往通過(guò)監(jiān)測(cè)審計(jì)設(shè)備、入侵監(jiān)測(cè)設(shè)備、采集器裝置等，報(bào)告安全事件、獲取網(wǎng)絡(luò)報(bào)文信息、流量數(shù)據(jù)等信息。這些原始的事件信息和網(wǎng)絡(luò)數(shù)據(jù)往往是松散的，需要對(duì)這些信息進(jìn)行統(tǒng)計(jì)學(xué)分析，或者關(guān)聯(lián)分析以提煉出更有知道意義的信息。其中，核心的部分就是事件關(guān)聯(lián)分析引。可以將安全事件關(guān)聯(lián)分析定義為：用方法和工具表示的形式框架，用來(lái)對(duì)多源數(shù)據(jù)進(jìn)行分析、聚類、分類、關(guān)聯(lián)、以獲得高質(zhì)量的安全事件信息。

現(xiàn)有事件關(guān)聯(lián)方式主要有：時(shí)間維度關(guān)聯(lián)，攻擊方式維度關(guān)聯(lián)，存在以下問(wèn)題：

1.通過(guò)列表方式展示事件關(guān)聯(lián)，但存在不夠直觀的問(wèn)題。列表可以描述某一個(gè)角度的事件關(guān)聯(lián)，但無(wú)法描述整體網(wǎng)絡(luò)的事件關(guān)系。

2.安全事件之間存在的橫向和縱向方面(如不同空間來(lái)源、時(shí)間序列等)的關(guān)系未能得到綜合分析，因此漏報(bào)嚴(yán)重，不能實(shí)現(xiàn)實(shí)時(shí)預(yù)測(cè)。一個(gè)攻擊活動(dòng)之后常常接著另一個(gè)攻擊活動(dòng)，前一個(gè)攻擊活動(dòng)為后者提供基本條件；一個(gè)攻擊活動(dòng)在多個(gè)安全設(shè)備上產(chǎn)生了安全事件；多個(gè)不同來(lái)源的安全事件其實(shí)是一次協(xié)作攻擊，這些都缺乏有效的綜合分析。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提出了網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析方法和系統(tǒng)來(lái)解決以上背景技術(shù)部分提到的技術(shù)問(wèn)題。

第一方面，本申請(qǐng)實(shí)施例提供了一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析方法，該方法包括以下步驟：

S1：在底層組件上報(bào)安全事件及審計(jì)數(shù)據(jù)的報(bào)文格式中約定至少包含會(huì)話相關(guān)信息，會(huì)話相關(guān)信息至少包括會(huì)話流I、相關(guān)安全事件的源IP地址和目的IP地址；

S2：基于會(huì)話流ID、源IP地址以及目的地IP地址這三個(gè)維度將安全事件進(jìn)行關(guān)聯(lián)聚合，并且包括會(huì)話相關(guān)信息的安全事件信息根據(jù)不同的聚合方式存儲(chǔ)在后端數(shù)據(jù)庫(kù)中；

S3：在前端界面中以一定排列形狀呈現(xiàn)包含源IP地址和目的地IP地址的IP節(jié)點(diǎn)，并且依據(jù)安全事件將相互關(guān)聯(lián)的源IP地址和目的地IP地址進(jìn)行連線，以形成安全事件觸發(fā)關(guān)系拓?fù)鋱D。

進(jìn)一步地，會(huì)話相關(guān)信息包括服務(wù)器IP、服務(wù)器端口、客戶機(jī)IP、客戶機(jī)端口和會(huì)話起始時(shí)間以及應(yīng)用層協(xié)議。

進(jìn)一步地，其特征在于，審計(jì)數(shù)據(jù)包括協(xié)議審計(jì)數(shù)據(jù)和流量審計(jì)數(shù)據(jù)。

進(jìn)一步地，其特征在于，響應(yīng)于用戶將鼠標(biāo)移動(dòng)到IP節(jié)點(diǎn)處，對(duì)連接到IP節(jié)點(diǎn)的所有連線進(jìn)行高亮顯示。

進(jìn)一步地，其特征在于，響應(yīng)于用戶點(diǎn)擊其中一條連接線，將連線所對(duì)應(yīng)的安全事件的信息進(jìn)行顯示。