CN106254125A - 基于大数据的安全事件相关性分析的方法及系统 - Google Patents
基于大数据的安全事件相关性分析的方法及系统 Download PDFInfo
- Publication number
- CN106254125A CN106254125A CN201610682374.5A CN201610682374A CN106254125A CN 106254125 A CN106254125 A CN 106254125A CN 201610682374 A CN201610682374 A CN 201610682374A CN 106254125 A CN106254125 A CN 106254125A
- Authority
- CN
- China
- Prior art keywords
- alarm
- unit
- analysis
- big data
- security incident
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于大数据的安全事件相关性分析的方法及系统,一种基于告警关联图的方法及系统,包括事件归并、结构化分析、入侵路径分析和行为分析。通过本发明,可以帮助客户发现真正的安全威胁事件,能够降低安全运维服务平台的告警误报率和告警漏报率,也提升了安全运维服务平台的性能。
Description
技术领域
本发明涉及信息安全、大数据应用技术领域,尤其涉及到基于告警关联图的安全事件相关性分析的实现方法。
背景技术
本发明中包含的英文简称如下:
SOC:Security Operation Center安全管理中心
IDS:Intrusion Detection Systems入侵检测系统
SNMP:Simple Network Management Protocol简单网络管理协议
CLF:Common Log Format 普通日志格式
JSON:JavaScript Object Notation JAVA脚本对象符号
HDFS:Hadoop Distribute File SystemHadoop分布式文件系统。
安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行,是企业一切市场经营活动和正常运作的基础。
当前,企业IT系统都不同程度地部署了各种不同的业务系统和安全设备,有效地提高了劳动生产率,降低了运营成本,已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面,因为一旦网络及各业务系统出现安全事件或故障,如果不能及时发现、及时处理、及时恢复,这势必直接影响承载在其上所有业务的运行,影响企业的正常运营秩序,涉及到用户的系统将直接导致用户投诉,满意度下降,企业形象受到损害,对于企业网络的安全保障就显得格外重要;另一方面,由于各种网络攻击技术也变得越来越先进,越来越普及化,企业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行;日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护,不断追求多层次、立体化的安全防御体系,建设安全运维服务中心,实时跟踪系统事件和实时检测各种安全攻击、及时采取相应的控制动作,消除或缩减攻击所造成的损失,尽一切可能来保护企业网络及业务系统正常运营。
然而,被用来执行安全运维服务任务的各种设备、数据库、中间件、操作系统和Web服务器等所产生的日志,随着企业IT系统规模的不断扩大,尤其是它的种类和数量正经历了巨大规模的上升,从而使日志存储、日志分析和问题跟踪变得越来越困难。企业IT系统的日志规模的这样海量地增长,迫使安全运维服务提供商采用Hadoop/Spark这样的大数据架构来对日志进行集中存储、对日志进行集中处理和日志分析,对系统事件进行实时跟踪,对安全攻击进行实时检测。
目前,已有的基于大数据的安全事件相关性分析的实现方法,缺乏告警关联图(或事件关联图),存在告警漏报和告警误报大的缺陷,已无法胜任当前企业的安全运维服务平台对告警准确率的任务。因此,迫切需要一种全新的安全事件相关性分析方法来对海量日志和漏洞信息等进行实时分析和管理。
为此,如何利用信息化手段提高企业的运营效益,优化企业信息系统,使得它能够为各类企业提供专业的和高性价比的信息安全运维服务,即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。
发明内容
本发明提供了一种基于大数据的安全事件相关性分析的方法及系统,以解决现有技术问题只是简单的事件归并,存在漏报和误报大的缺陷。
本发明的一种基于大数据的安全事件相关性分析的方法及系统,应用于能够为多个企业提供各种安全服务和运维监控服务的安全运维监控服务平台中。
所述安全服务包括配置管理、安全风险评估、威胁检测、漏洞扫描、防病毒等。
所述运维监控服务包括配置管理、故障管理、性能管理、问题管理、变更管理等。
所述方法及系统包括事件归并、结构化分析、入侵路径分析和行为分析。
所述事件归并,通过引用事件归并规则,生成告警关联图(或元告警);
所述结构化分析,通过与漏洞库模型进行匹配,提高事件/告警的压缩率和优化告警关联图(或元告警);
所述入侵路径分析,根据与系统实时运行状态的匹配,来进一步提高告警的压缩率和进一步优化告警关联图(或元告警);
所述行为分析,通过与安全配置库进行匹配,更进一步提高告警的压缩率和更进一步优化告警关联图(或元告警)。
优选地,通过告警关联图(或元告警)之间比较,可以划分告警关联图(或元告警)的告警级别,为后续派工单等流程提供依据。
优选地,通过告警关联图(或元告警)的聚合,可以压缩告警关联图(或元告警)的数量,从而提升安全运维服务平台的性能。
本发明的安全事件相关性分析,一种基于告警关联图(或元告警meta-alert)的方法及系统,包括事件归并技术、结构化分析技术、入侵路径分析技术和行为分析技术。通过本发明,可以帮助客户发现真正的安全威胁事件,能够降低安全运维服务平台的告警误报率和告警漏报率,也提升了安全运维服务平台的性能。
附图说明
图1为本发明所述的一种基于大数据的安全事件相关性分析的方法的示意图。
图2为本发明所述的一种基于大数据的安全事件相关性分析的方法的告警关联图的示意图。
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
在整个安全事件管理过程中,系统收集各种安全设备,主机设备和网络设备等的产生的事件信息,然后,从这些安全信息、主机信息和网络信息等中找出那些可能造成威胁的安全事件,并且对被识别出的安全威胁进行分析评估,以确定真正的威胁根源。
由于安全事件数量庞大,种类繁多,而且很多的安全事件具有很强的隐蔽性。因此,如何发现真正可能带来威胁的安全事件,以及排除掉绝大多数的垃圾事件,是安全事件管理的底层核心。通过建立告警关联图,就是为了能够准确、有效的发现安全事件及安全威胁,并呈现给客户,帮助客户发现真正的安全威胁事件。
为了实现事件相关性分析的目的,并产生简单的,合成的和准确的告警事件。为了产生这样的合格的事件,一般地来说,将执行五个关联操作:
第一个操作是过滤重复的事件,将各个设备发送的重复信息合成一条(或间隔很短的同一个事件),这既包括一个设备来的重复信息,也包括跨设备的重复信息。
第二个操作是序列模式匹配,也是事件相关性分析引擎执行的最常见的操作。它的目的是识别具有入侵特征的消息序列。它可以识别正在进行的入侵的全过程,以及复杂的入侵场景。
第三个操作是时间模式匹配,它是入侵分析的另一个重要维度:时间。例如,DDOS的一个特征就是几乎在同一个时刻内,具有不同IP的设备向同一个目标IP发起端口扫描。
第四个操作是临界风险分析,它提供了通过目标系统的漏洞、系统状态来检测入侵。在安全运维服务平台上通过与漏洞匹配、系统状态匹配生成告警;另一方面,它提供对业务(或企业IT系统)的影响程度的分析,这有助于派工单优先级别的制定。
第五个操作是安全策略匹配,它是基于行为的过滤器。消除与安全策略匹配的事件。
图1为本发明所述的一种基于大数据的安全事件相关性分析的方法及系统的示意图。
通过事件相关性分析,可以准确地判断被管网络及其设备发生了什么事件。
面对每天检测到的海量日志文件和告警信息,采用相关性分析是十分必要的。
相关性分析,通过对来自不同安全设备和网络设备的日志信息和告警信息进行实时的关联分析,精准地定位告警与事件,发现和预测网络攻击。相关性分析的整个过程都是在内存中进行的,并根据威胁程度的大小对安全事件进行排序,对不同威胁程度的安全事件和告警通过不同颜色来着重显示等。
由图1所示,相关性分析是安全运维服务平台中最复杂的部分,涉及各种分析技术,包括事件归并技术、结构化分析技术、入侵路径分析技术和行为分析技术。
事件归并技术包括:
(1)根据事件名称进行归并分析;
(2)根据事件的类型进行归并分析;
(3)根据源进程进行归并分析;
(4)根据目标进程进行归并分析;
(5)根据攻击源进行归并分析;
(6)根据攻击目标地址进行归并分析;
(7)根据事件的原始时间进行归并;
(8)根据事件的进入安全运维服务平台的时间进行归并;
(9)根据受攻击的设备类型进行归并分析;
(10)根据受攻击的系统类型及版本信息进行归并分析;
(11)根据特定时间要求和用户策略进行横向事后关联分析。
以上归并条件可以多个一起使用,包括生成告警关联图(或事件关联图)等归并结果。
结构化分析技术,一方面,通过与漏洞库模型进行匹配,通过事件资产和资产上具有的漏洞匹配来进一步提高事件/告警的压缩率;另一方面,通过结构化分析可以进一步优化产生告警关联图(或攻击图)等,精准检测和预测网络及其设备是否存在正在进行的安全攻击事件,以此为管理监控人员更加准确的、及时的和提前定位事件关注的焦点,而且可以提升安全运维服务平台性能,降低平台的告警误报率和告警漏报率。
入侵路径分析技术,根据与系统实时运行状态的匹配是否,来进一步优化告警关联图,提升安全运维服务平台性能,降低平台的告警误报率和告警漏报率。系统运行异常的业务,可能遭到黑客攻击,也可能由于设备发送故障,等。如果入侵路径上的业务运行状态异常,则说明可能遭到攻击。
行为分析技术,通过与安全配置库进行匹配,通过事件资产和资产上所配置的安全策略的漏洞匹配是否,来进一步优化告警关联图,也进一步提高了告警/事件的压缩率,以此为管理监控人员更加准确的定位事件关注的焦点,并且可以进一步地提升安全运维服务平台性能,降低平台的告警误报率和告警漏报率。
图2为本发明所述的一种基于大数据的安全事件相关性分析的方法的告警关联图的示意图。
告警关联图(或元告警meta-alert),一般由多个原始告警所组成,且这些原始告警之间具有关系,它们之间不是孤立的,或具有先后的时序性。这样便于发现安全攻击模型和攻击路径;另一方面,也大大地压缩了原始告警的数量。
告警关联图(或元告警)之间通过比较,可以划分告警关联图(或元告警)的告警级别,为后续派工单等流程提供依据。
告警关联图(或元告警)聚合,可以压缩告警关联图(或元告警)的数量,从而提升安全运维服务平台的性能、降低系统建设成本。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (7)
1.本发明提供了基于大数据的安全事件相关性分析的方法及系统,所述方法及系统包括事件归并、结构化分析、入侵路径分析和行为分析。
2.如权利要求1所述的一基于大数据的安全事件相关性分析的方法及系统,所述事件归并,通过引用事件归并规则,生成告警关联图(或元告警)。
3.如权利要求1所述的一基于大数据的安全事件相关性分析的方法及系统,所述结构化分析,通过与漏洞库模型匹配,压缩告警的数量和优化告警关联图(或元告警)。
4.如权利要求1所述的一基于大数据的安全事件相关性分析的方法及系统,所述入侵路径分析,根据与系统实时运行状态的匹配,来进一步压缩告警的数量和进一步优化告警关联图(或元告警)。
5.如权利要求1所述的一基于大数据的安全事件相关性分析的方法及系统,所述行为分析,通过与安全配置库匹配,进一步提高告警的压缩率和进一步优化告警关联图(或元告警)。
6.如权利要求2所述的一基于大数据的安全事件相关性分析的方法及系统,所述告警关联图(或元告警),通过告警关联图(或元告警)之间比较,可以划分告警关联图(或元告警)的告警级别。
7.如权利要求2所述的一基于大数据的安全事件相关性分析的方法及系统,所述告警关联图(或元告警),通过告警关联图(或元告警)的聚合,可以压缩告警关联图(或元告警)的数量,从而提升安全运维服务平台的性能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610682374.5A CN106254125A (zh) | 2016-08-18 | 2016-08-18 | 基于大数据的安全事件相关性分析的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610682374.5A CN106254125A (zh) | 2016-08-18 | 2016-08-18 | 基于大数据的安全事件相关性分析的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106254125A true CN106254125A (zh) | 2016-12-21 |
Family
ID=57591602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610682374.5A Pending CN106254125A (zh) | 2016-08-18 | 2016-08-18 | 基于大数据的安全事件相关性分析的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106254125A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN114186227A (zh) * | 2021-12-08 | 2022-03-15 | 上海观安信息技术股份有限公司 | 安全告警转化为安全事件的方法、装置及存储介质 |
| CN115174251A (zh) * | 2022-07-19 | 2022-10-11 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统 |
| CN105847029A (zh) * | 2015-09-08 | 2016-08-10 | 南京联成科技发展有限公司 | 一种基于大数据分析的信息安全事件自动关联及快速响应的方法及系统 |
-
2016
- 2016-08-18 CN CN201610682374.5A patent/CN106254125A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| CN105847029A (zh) * | 2015-09-08 | 2016-08-10 | 南京联成科技发展有限公司 | 一种基于大数据分析的信息安全事件自动关联及快速响应的方法及系统 |
| CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN108268354B (zh) * | 2016-12-30 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN111726342B (zh) * | 2020-06-08 | 2022-08-02 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN114186227A (zh) * | 2021-12-08 | 2022-03-15 | 上海观安信息技术股份有限公司 | 安全告警转化为安全事件的方法、装置及存储介质 |
| CN115174251A (zh) * | 2022-07-19 | 2022-10-11 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
| CN115174251B (zh) * | 2022-07-19 | 2023-09-05 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106254125A (zh) | 基于大数据的安全事件相关性分析的方法及系统 | |
| CN101201786B (zh) | 一种故障日志监控方法及装置 | |
| CN105049291A (zh) | 一种检测网络流量异常的方法 | |
| CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| CN114363044B (zh) | 一种分层告警方法、系统、存储介质和终端 | |
| CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
| CN107277080A (zh) | 一种基于安全即服务的互联网风险管理方法及系统 | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN107809321B (zh) | 一种安全风险评估和告警生成的实现方法 | |
| CN116346433A (zh) | 电力系统网络安全态势检测方法及系统 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| CN107682166B (zh) | 基于大数据的安全运维服务平台远程数据采集的实现方法 | |
| CN111726355A (zh) | 一种基于大数据的网络安全态势感知系统 | |
| JP2005202664A (ja) | 不正アクセス統合対応システム | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
| CN106330532A (zh) | 网络信息处理方法及系统、网络管理设备、网络监控设备 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| CN113904920A (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 210000, Nanjing high tech Zone, Jiangsu, Nanjing Software Park, No. 99 unity Road, Eagle building, block A, 14 floor Applicant after: Nanjing Liancheng science and technology development Limited by Share Ltd Address before: A small road in Yuhuatai District of Nanjing City, Jiangsu province 210000 Building No. 158 Building 1 new ideal Applicant before: NANJING LIANCHENG TECHNOLOGY DEVELOPMENT CO., LTD. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 210000 14F, building A, Eagle building, 99 solidarity Road, Nanjing Software Park, Nanjing hi tech Zone, Jiangsu Applicant after: Nanjing Liancheng science and technology development Limited by Share Ltd Address before: 210000, Nanjing high tech Zone, Jiangsu, Nanjing Software Park, No. 99 unity Road, Eagle building, block A, 14 floor Applicant before: Nanjing Liancheng science and technology development Limited by Share Ltd |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161221 |
|
| RJ01 | Rejection of invention patent application after publication |