CN105407083A - 基于属性的多模型联合事件分析 - Google Patents

基于属性的多模型联合事件分析 Download PDF

Info

Publication number
CN105407083A
CN105407083A CN201510698875.8A CN201510698875A CN105407083A CN 105407083 A CN105407083 A CN 105407083A CN 201510698875 A CN201510698875 A CN 201510698875A CN 105407083 A CN105407083 A CN 105407083A
Authority
CN
China
Prior art keywords
event
model
attribute
strategy
joint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510698875.8A
Other languages
English (en)
Inventor
杨育斌
杨帆
柯宗贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bluedon Information Security Technologies Co Ltd
Original Assignee
Bluedon Information Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bluedon Information Security Technologies Co Ltd filed Critical Bluedon Information Security Technologies Co Ltd
Priority to CN201510698875.8A priority Critical patent/CN105407083A/zh
Publication of CN105407083A publication Critical patent/CN105407083A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于属性的多模型联合事件分析的方法,该方法通过对各种网络设备的日志进行统一采集,提取出事件的通用属性(源IP,目的IP,源端口,目的端口,协议),设计多种关联事件模型(统计事件模型,单事件模型,多事件模型),运用不同事件属性的布尔逻辑运算来分析出有价值的联合事件。

Description

基于属性的多模型联合事件分析
技术领域
本发明涉及信息安全技术领域,尤其涉及基于属性的多模型联合事件分析。
背景技术
随着Internet技术的高速发展,网络安全问题变得越来越敏感和重要,攻击者攻击手段和技术的日益复杂化、更具隐蔽性和分布性特点,使得对入侵意图的识别变得困难;冗余的、无关紧要的告警数据的泛滥给系统管理员带来了巨大的压力和错觉,甚至是漠视告警;有效关联技术和预警技术的缺乏导致攻击的漏报或误报,最终难于准确定位攻击意图,从而不能及时给出相应的对策,给系统带来巨大的损失。
为了保障网络的可用性和网络上信息的机密性、完整性,防止来自外部或内部的攻击行为,网络管理者花费了大量的资源来购买防火墙、入侵检测系统(IDS)、虚拟专用网(VPN)网关和防病毒软件等网络安全工具,力图保障网络的安全。这些网络安全工具和网络设备都以日志和告警等形式记录了大量的网络安全数据,这些数据已经成为网络安全工作中防御、检测和响应的重要基础依据。
然而,在现实网络环境中,这些海量、零星杂乱的安全数据,常常并不等于真实有效的安全信息,也不能单独构成有用的安全事件,更不能及时形成真正有指导意义的安全响应知识。因此,对这些海量的网络安全数据进行自动智能化的关联分析,揭示隐藏在事件背后的逻辑关系及其攻击意图,对各个攻击进行严重度排序并生成各种快速直观的分析报告,从而全面监控网络状况、有效指导网络安全管理、有效预防、阻断或减少安全威胁,是网络安全保障的一个极有价值并且十分必要的手段。只有这样,管理员才能及时发现网络中的攻击行为,修补脆弱点或阻止攻击。
发明内容
本发明为了解决现有网络环境复杂,网络日志海量且多样,很难从这些海量日志中提取出真正有效的安全信息,而传统的规则库的方式进行关联分析又给网络管理人员带来了巨大的工作量的难题,采用了通过对事件属性进行逻辑关联,结合多种关联模型进行联合分析的方案,从而实现了简便而智能的在海量日志中分析并提取出有价值的关联事件。
本发明通过对各种网络设备的日志进行统一采集,提取出事件的通用属性(源IP,目的IP,源端口,目的端口,协议),设计多种关联事件模型(本发明中提到三种关联模型:统计事件模型,单事件模型,多事件模型),运用不同事件属性的布尔逻辑运算来分析出有价值的联合事件。具体流程:
s1.通过syslog或者snmptrap方式采集各种网络设备的日志;
s2.对原始日志进行归并;
s3.通过正则表达式匹配出单一事件,提取出事件属性;
s4.定义关联事件模型;
s5.根据事件模型定义,对事件属性进行布尔逻辑运算,得到联合事件;
s6.告警,通知网络管理人员。
其中,定义关联事件模型,本发明中涉及到三种关联模型:统计事件模型,单事件模型,多事件模型;
统计事件模型,通过预先定义统计事件模型策略,经过对比判断,确认是否满足联合事件定义;
单事件模型,通过预先定义单事件模型策略,通过事件对比,经过布尔逻辑运算,既与或非运算过程,确认是否满足联合事件发生;
多事件模型,通过预先定义多事件模型策略,通过事件对比,经过布尔逻辑运算,既或与非运算,确认是否满足联合时间的发生。
本发明技术方案带来的有益效果:
本发明提出的基于属性的多模型联合事件分析方法,利用基于事件属性多模型算法的高效匹配来提高效率。通过对比实验,证明了此方法不仅可以从海量日志中提取出有意义的事件,而且可以简便快速的将这些事件进行关联分析,找到网络中已发生的或者潜在的威胁,从而为网络管理人员提供及时可靠的判断依据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明产品的总流程图;
图2是本发明产品的统计事件模型处理流程图;
图3是本发明产品的单事件模型处理流程图;
图4是本发明产品的多事件模型处理流程图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明通过对各种网络设备的日志进行统一采集,提取出事件的通用属性(源IP,目的IP,源端口,目的端口,协议),设计多种关联事件模型(本发明中提到三种关联模型:统计事件模型,单事件模型,多事件模型),运用不同事件属性的布尔逻辑运算来分析出有价值的联合事件。
如图1所示为本发明的总流程图,其具体实现步骤如下:
s1.通过syslog或者snmptrap等方式采集各种网络设备的日志;
s2.对原始日志进行归并;
s3.通过正则表达式匹配出单一事件,提取出事件属性;
s4定义关联事件模型;
s5根据事件模型定义,对事件属性进行布尔逻辑运算,得到联合事件;
s6告警,通知网络管理人员。
统计事件模型,通过预先定义统计事件模型策略,经过对比判断,确认是否满足联合事件定义。图2是本发明产品的统计事件模型处理流程图,其具体实现步骤如下:
s1.预先定义统计事件模型策略;
s2.事件类型判断模块对事件采集模块采集到的事件进行对比判断,看该事件是否是统计事件模型策略中已定义的事件;
s3.如果不是策略中定义的事件则丢弃;
s4.如果是策略中定义的事件则事件计数器+1;
s5.判断事件计数器事件数量是否达到统计模型策略中设置的数量值;
s6.未达到,继续等待下一个事件;
s7.达到,则满足联合事件定义,联合事件发生。
单事件模型,通过预先定义单事件模型策略,通过事件对比,经过布尔逻辑运算,既与或非运算过程,确认是否满足联合事件发生。图3是本发明产品的单事件模型处理流程图,其具体实现步骤如下:
s1.预先定义单事件模型策略;
s2.事件类型判断模块对事件采集模块采集到的事件进行对比判断,看该事件是否是单事件模型策略中已定义的事件;
s3.如果不是策略中定义的事件则丢弃;
s4.如果是策略中定义的事件则对事件属性值进行对比,是否满足策略定义中的条件;
s5.如果不满足,则该事件不满足联合事件,丢弃;
s6.如果满足,则对事件定义中的多个属性进行逻辑布尔运行,既与或非运算,看是否多个事件属性都满足定义条件;
s7.否,则该事件不满足联合事件,丢弃;
s8是,则满足联合事件定义,联合事件发生。
多事件模型,通过预先定义多事件模型策略,通过事件对比,经过布尔逻辑运算,既或与非运算,确认是否满足联合时间的发生。图4是本发明产品的多事件模型处理流程图,其具体实现步骤如下:
s1.预先定义多事件模型策略;
s2.事件类型判断模块对事件采集模块采集到的事件进行对比判断,看该事件是否是多事件模型策略中已定义的事件;
s3.如果不是策略中定义的事件则丢弃;
s4.如果是策略中定义的事件则对事件属性值进行对比,是否满足策略定义中的条件;
s5.如果不满足,则该事件不满足联合事件,丢弃;
s6.如果满足,则对事件定义中的多个属性进行逻辑布尔运行,既与或非运算,看是否多个事件属性都满足定义条件;
s7.否,则该事件不满足联合事件,丢弃;
s8.是,策略中定义的事件则事件计数器+1;
s9.判断事件计数器事件数量是否达到统计模型策略中设置的数量值;
s10.未达到,继续等待下一个事件;
s11.达到,则此单个事件满足多事件模型定义,加入事件队列;
s12.判断事件队列中是否已定义事件都已经满足条件地发生了;
s13.否,则继续等待下一个事件,直至超时退出;
s14.是,则满足联合事件定义,联合事件发生。
本发明保护了基于属性的多模型联合事件分析方法,主要为统计事件模型分析,单事件模型分析和多事件模型分析;关联分析是基于事件属性的,常见的事件属性有源IP、目的IP、源端口、目的端口、协议、用户名、域、位置等;针对事件属性设计了分析模型,本发明中讲述的有统计事件模型,单事件模型和多事件模型。
以上对本发明实施例所提供的基于属性的多模型联合事件分析进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (4)

1.基于属性的多模型联合事件分析,其特征在于,通过对网络设备的日志进行统一采集,提取出事件的通用属性(源IP,目的IP,源端口,目的端口,协议),设计多种关联事件模型(统计事件模型,单事件模型,多事件模型),运用不同事件属性的布尔逻辑运算来分析出有价值的联合事件。具体流程为:
s1.通过syslog或者snmptrap方式采集各种网络设备的日志;
s2.对原始日志进行归并;
s3.通过正则表达式匹配出单一事件,提取出事件属性;
s4.定义关联事件模型;
s5.根据事件模型定义,对事件属性进行布尔逻辑运算,得到联合事件;
s6.告警,通知网络管理人员。
其中,定义关联事件模型,本发明中将涉及到三种关联模型:统计事件模型,单事件模型,多事件模型。
统计事件模型,通过预先定义统计事件模型策略,经过对比判断,确认是否满足联合事件定义;
单事件模型,通过预先定义单事件模型策略,通过事件对比,经过布尔逻辑运算,既与或非运算过程,确认是否满足联合事件发生;
多事件模型,通过预先定义多事件模型策略,通过事件对比,经过布尔逻辑运算,既或与非运算,确认是否满足联合时间的发生。
2.根据权利要求1所述的方法,其特征在于,关联分析是基于事件属性的,常见的事件属性有,源IP,目的IP,源端口,目的端口,协议,用户名,域,位置。
3.根据权利要求1所述的方法,其特征在于,关联事件模型是针对事件属性设计的分析模型,分别为统计事件模型,单事件模型和多事件模型。
4.根据权利要求1所述的产品,其特征在于,通过预先定义统计事件模型策略,多事件模型策略,单事件模型策略,经过布尔逻辑运算,确认是否满足联合事件的发生。
CN201510698875.8A 2015-10-21 2015-10-21 基于属性的多模型联合事件分析 Pending CN105407083A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510698875.8A CN105407083A (zh) 2015-10-21 2015-10-21 基于属性的多模型联合事件分析

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510698875.8A CN105407083A (zh) 2015-10-21 2015-10-21 基于属性的多模型联合事件分析

Publications (1)

Publication Number Publication Date
CN105407083A true CN105407083A (zh) 2016-03-16

Family

ID=55472338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510698875.8A Pending CN105407083A (zh) 2015-10-21 2015-10-21 基于属性的多模型联合事件分析

Country Status (1)

Country Link
CN (1) CN105407083A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106202004A (zh) * 2016-07-13 2016-12-07 上海轻维软件有限公司 基于正则表达及分隔符的组合式数据切割方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106202004A (zh) * 2016-07-13 2016-12-07 上海轻维软件有限公司 基于正则表达及分隔符的组合式数据切割方法
CN106202004B (zh) * 2016-07-13 2019-10-11 上海轻维软件有限公司 基于正则表达及分隔符的组合式数据切割方法

Similar Documents

Publication Publication Date Title
US11212299B2 (en) System and method for monitoring security attack chains
CN102790706B (zh) 海量事件安全分析方法及装置
CN105681298A (zh) 公共信息平台中的数据安全异常监测方法及系统
CN108270716A (zh) 一种基于云计算的信息安全审计方法
CN105009132A (zh) 基于置信因子的事件关联
CN102611713B (zh) 基于熵运算的网络入侵检测方法和装置
CN103607388A (zh) 一种apt威胁预测方法及系统
CN105100122A (zh) 一种基于大数据分析的威胁检测和预警的方法及系统
Wang et al. Automatic multi-step attack pattern discovering
Javed et al. A partition-driven integrated security architecture for cyberphysical systems
CN114357447A (zh) 攻击者威胁评分方法及相关装置
Kumar et al. Unsupervised outlier detection technique for intrusion detection in cloud computing
KR20180086919A (ko) 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
CN112596984B (zh) 业务弱隔离环境下的数据安全态势感知系统
CN109981594A (zh) 基于大数据的网络安全态势感知方法
CN116208514B (zh) 一种多阶段攻击的防御趋势预测方法、系统、设备及介质
CN105407083A (zh) 基于属性的多模型联合事件分析
CN110460558B (zh) 一种基于可视化的攻击模型发现的方法及系统
Elshoush An innovative framework for collaborative intrusion alert correlation
Zhong et al. How to use experience in cyber analysis: An analytical reasoning support system
CN107835153B (zh) 一种脆弱性态势数据融合方法
Li et al. The research on network security visualization key technology
CN114221805A (zh) 一种工业互联网数据的监测方法、装置、设备及介质
Kai et al. Development of qualification of security status suitable for cloud computing system
CN118101337B (zh) 一种基于情报协同的铁路网络空间智能防御方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160316