CN109255237B - 安全事件关联分析方法及装置 - Google Patents

安全事件关联分析方法及装置 Download PDF

Info

Publication number
CN109255237B
CN109255237B CN201811012752.4A CN201811012752A CN109255237B CN 109255237 B CN109255237 B CN 109255237B CN 201811012752 A CN201811012752 A CN 201811012752A CN 109255237 B CN109255237 B CN 109255237B
Authority
CN
China
Prior art keywords
event
rule tree
rule
value
root node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811012752.4A
Other languages
English (en)
Other versions
CN109255237A (zh
Inventor
高飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Big Data Technologies Co Ltd
Original Assignee
New H3C Big Data Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Big Data Technologies Co Ltd filed Critical New H3C Big Data Technologies Co Ltd
Priority to CN201811012752.4A priority Critical patent/CN109255237B/zh
Publication of CN109255237A publication Critical patent/CN109255237A/zh
Application granted granted Critical
Publication of CN109255237B publication Critical patent/CN109255237B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种安全事件关联分析方法及装置。所述方法包括:接收第一事件,第一事件包括属性值,对第一事件的属性值进行哈希运算,获取第一哈希值,获取规则树数组,当规则树数组中存在与第一哈希值相等的第一数值,则获取所述第一数值对应的规则树,遍历第一数值对应的规则树对第一事件进行匹配,若在第一时间内完成所述第一事件从规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。本公开在数据存储前完成相应的规则树的匹配,相比于事后进行综合数据关联分析能够实时识别安全事件、节约存储空间;同时基于规则树的根节点构建规则树数组,以此能够实现快速匹配,更快的发现具体有效的安全事件。

Description

安全事件关联分析方法及装置
技术领域
本公开涉及计算机技术领域,尤其涉及一种安全事件关联分析方法及装置。
背景技术
日志记录计算机犯罪的大量“痕迹”,是计算机和网络系统用于记录发生在计算机本地系统或者网络中的事件的重要审计凭据,是打击计算机犯罪非常重要的线索和证据来源。
随着企业信息化建设以及互联网的发展,企业的信息安全愈来愈加重要。随之而带来的信息安全审计、安全运维中心的建设等也扮演着重要的角色。安全运维中心的建设,除了传统的多种安全设备的防护建设以外,也越来越重视基于多源审计日志的综合安全事件分析。
发明内容
鉴于此,本公开提供了一种安全事件关联分析方法和装置,用以解决安全事件分析的问题。
根据本公开的一方面,提供了一种安全事件关联分析方法,所述方法包括:
接收第一事件,所述第一事件包括属性值;
对所述第一事件的属性值进行哈希运算,获取第一哈希值;
获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系;
当所述规则树数组中存在与所述第一哈希值相等的第一数值,则获取所述第一数值对应的规则树;
遍历所述第一数值对应的规则树对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
根据本公开的另一方面,提供了一种安全事件关联分析装置,所述装置包括:
接收模块,用于接收第一事件,所述第一事件包括属性值;
第一运算模块,连接于所述接收模块,用于对所述第一事件的属性值进行哈希运算,获取第一哈希值;
第一获取模块,用于获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系;
第二获取模块,连接于所述第一获取模块及所述运算模块,用于当所述规则树数组中存在与所述第一哈希值相等的第一数值,则获取所述第一数值对应的规则树;
匹配模块,连接于所述第二获取模块,用于遍历所述第一数值对应的规则树对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
根据本发明的再一方面,提供了一种安全事件关联分析装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述安全事件关联分析方法。
本公开的提供的技术方案可以包括以下有益效果:
基于规则树的根节点构建规则树数组,可以利用大量的关联规则,实现快速匹配,从而实现对安全事件的实时识别,且,在数据存储前完成相应的规则树的匹配,采用事前分析的方法,可以节约存储空间。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出了本公开一实施方式的安全事件关联分析方法的流程图;
图2a示出了本公开一实施方式的规则树集合的示意图;
图2b示出了本公开一实施方式的规则树的示意图;
图3示出了本公开一实施方式的安全事件关联分析方法的流程图;
图4示出了本公开另一实施方式的规则树的示意图;
图5示出了本公开一实施方式的安全事件关联分析装置的框图;
图6示出了本公开又一实施方式的安全事件关联分析装置的框图;
图7示出了本公开一实施方式的安全事件关联分析装置的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
如何充分利用日志资源发掘有效的计算机证据,是一个非常重要的亟待解决的问题,面对大量的不同来源的各种日志等数据,如何快速定位并发现一些重要的安全隐患,即安全事件,也是当下一个非常重要的亟需解决的问题。
关联分析可用于解决上述问题。关联分析是指对网络全局的安全事件数据进行自动、连续分析,根据用户定义的、可配置的规则来识别网络威胁和复杂的攻击模式,从而可以确定事件真实性、进行事件分级并对事件进行有效响应。
关联分析可以采用大量的不同来源的日志中发现一些真正有效的安全事件。关联分析可分为事前关联、事后关联,事后关联一般表示在所有事件发生后并统一存储后,通过定时触发等方式进行综合分析。而事前关联,一般表示在持续的事件发生的过程中,基于现有规则进行关联的一种方法。所以相对事后关联,事前关联能够提高分析的实时性,从而利于及时的响应。
然而,现有技术在进行关联分析时,通常是先采集各种数据,然后存储之后进行离线数据关联分析,采用这种方法,会有如下几个问题存在:
1、对于要求快速甄别的特定安全事件,无法快速做出分析判断,也即实时性不够。
2、需要存储大量的日志事件,造成一定的存储空间浪费。
针对以上问题,本公开提出了一种安全事件关联分析方法,以对安全事件进行实时分析、快速判断,并显著减小存储空间的使用,从而节约存储资源。
请参阅图1,图1示出了根据本公开一实施方式的安全事件关联分析方法的流程图。
当前针对多源的各种审计日志事件分析,人们已经积累了大量的关联规则(例如,通过经验积累、机器学习等方式获得),而如何充分利用这些关联规则,实时快速发现特定的安全事件,然后做出及时的响应,以此来减少企业的损失,是当前研究的一大课题。
关联规则能够根据一系列发生的事件(一般都是日志记录)确定,这些事件不仅有时间上的时序关系,也有内容上的关联(比如同一个目的IP等),这样的关系或关联可能会引起某一个安全事件发生,这些事件及它们之间的关系组成关联规则。
本公开的安全事件关联分析方法可以应用于服务器、终端中,主要针对大量的关联规则,快速匹配关联规则,实时发现安全事件问题,终端例如可以包括移动终端、计算机等。
如图1所示,所述方法可以包括:
步骤S110,接收第一事件,所述第一事件包括属性值;
在一种可能的实施方式中,可以将获取的第一事件加载到内存中,在内存中直接运算,以提高运算速度及运算的实时性。
在一种可能的实施方式中,所述第一事件可以包括按照时间顺序发生的多个事件。
在一种可能的实施方式中,可以通过检测终端、服务器的日志接收第一事件,比如说,服务器、终端通常会运行防火墙、IDS(Intrusion Detection Systems,入侵检测系统)等服务,在一定时间内,可以监控防火墙、IDS的日志,从而接收第一事件。
在一种可能的实现方式中,所述属性值包括事件的类型,例如第一事件可为IDS记录的端口扫描事件,此时第一事件的类型为端口扫描(portscan),所述属性值还可以包括事件发生的源IP地址、事件发生的目的IP地址、事件发生的源IP地址与目的IP地址的关系中的任意组合。
步骤S120,对所述第一事件的属性值进行哈希运算,获取第一哈希值。
对获取的第一事件进行分析,得到所述第一事件的属性值,也即所述第一事件的类型(如端口扫描等),对属性值进行哈希运算,将运算的结果作为所述第一哈希值。
通过对第一事件的属性值进行哈希运算,可以获得第一事件属性值的唯一标识码(第一哈希值),第一哈希值与第一事件的属性值具有一一对应的关系。不同的事件具有不同的属性值,当对这些不同的事件分别进行哈希运算,可以获得这些事件各自的哈希值,他们之间互不相同。因此,若两个事件的属性值在哈希运算后得到的哈希值相同,则两个事件的属性值相同。
在一种可能的实施方式中,可以在一个时间段中对第一事件进行监测,例如可以在24小时、48小时的时间段中对第一事件进行监测,可以对所述第一事件中第一个发生的事件的属性值进行哈希运算,获取第一哈希值。在一种可能的实施方式中,可以根据事件的发生时间确定第一个发生的时间。第一事件可以包括多个相关事件,因此可以对这些相关事件中最先发生的事件进行哈希运算。通过将第一事件中最先发生的事件的属性值进行哈希运算获得第一哈希值,通过第一哈希值可以实现第一事件与规则树数组、规则树的快速匹配。
步骤S130,获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系。
其中,叶子节点是指规则树的终端节点,叶子节点没有子节点。一个规则树可以包括一个或多个叶子节点。当然,根节点的下一级也可以包括非叶子节点的子节点,该子节点也可以包括下一级的子节点。在一种可能的实施方式中,可以将获取的规则树数组加载到内存中,在内存中直接运算,以提高运算速度及运算的实时性。
关联规则多种多样,每一个关联规则与一个或一种安全事件相对应。
请参阅图2a、2b,图2a示出了根据本公开一实施方式的规则树集合的示意图,图2b示出了根据本公开一实施方式的规则树的示意图。
如图2a所示,多个规则树(T1,T2,T3…Tn)构成了一个规则树集合,每一个规则树都包括一个根节点(E1,E2,E3…En)及任意数目的子节点。每一个规则树都对应着一个或者多个关联规则,如2b所示的规则树包括两个关联规则(虚线框内)。其中,规则树和规则树集合的构建过程将在下文中介绍。
在一种可能的实施方式中,规则树数组可以是预先建立并存储的。例如,可以将图2a所示的规则树集合中的每一个规则树的根节点的事件的属性值进行哈希运算,得到多个哈希值形成哈希数组,将该哈希数组作为所述的规则树数组。
步骤S140,当所述规则树数组中存在与所述第一哈希值相等的数值,则获取该数值对应的规则树。在一种可能的实现方式中,可以判断所述规则树数组中是否存在与所述第一哈希值相等的数值。例如,将对第一事件进行哈希运算后得到的第一哈希值与获取的规则树数组中的值进行一一对比,从而判断所述规则树数组中是否存在与所述第一哈希值相等的数值。
规则树数组中的每一个数值都是对规则树集合中每一个规则树的根节点的属性值进行哈希运算后得到的,所以规则树数组中的数值与规则树集合中的规则树一一对应。
在所述规则树数组中存在与所述第一哈希值相等的第一数值时,可以通过获取所述第一数值对应的规则树,因为每一个规则树可以包括多个关联规则,每一个关联规则都对应一件安全事件,因此,可以根据该规则树确定第一事件是否为安全事件。
步骤是150,遍历所述第一数值对应的规则树对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述第一数值对应的规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
在一种可能的实施方式中,所述第一时间可以表示匹配的时间周期,时间周期的值可为6小时,12小时,24小时等任意的时间。
在一种可能的实施方式中,可以将所述第一事件中第二个发生的事件的属性值与所述规则树的根节点连接的节点的值进行比较;
若第二个发生的事件的属性值与所述规则树的根节点连接的节点的值相等,则按照所述第一事件包括的多个事件发生的时间顺序继续比较下一个事件的属性值与对应的节点的值,直到所述第一事件中的其中一个事件的属性值与所述规则树的任意一个叶子节点的值相同,则将所述第一事件作为安全事件。
假设第一数值对应的规则树为第一规则树,则从第一规则树的根节点到该第一规则树的任意一个叶子节点都代表着一个关联规则,当完成第一事件从第一规则树的根节点到任意一个叶子节点的匹配,则第一事件符合第一规则树的这个关联规则,因此,可以将第一事件作为安全事件。
根据本公开的安全事件关联分析方法,基于规则树的根节点构建规则树数组,可以利用大量的关联规则,实现快速匹配,从而实现对安全事件的实时识别,且,在数据存储前完成相应的规则树的匹配,采用事前分析的方法,可以节约存储空间。
请参阅图3,图3示出了根据本公开一实施方式的安全事件关联分析方法的流程图。
图3中所示的方法为构建规则树、规则树集合以及规则树数组的过程,如图3所示,所述方法可以包括:
步骤S201,根据至少一个关联规则构建规则树,所述规则树的根节点中包括与根节点对应的相关事件的属性值。
在一种可能的实施方式中,每一个规则树都可以包括至少一个关联规则。
由上文可知,一个关联规则可以表示安全事件与相关事件之间的关联关系,也就是一个关联规则对应一个安全事件,而一个安全事件可以包括按照时间顺序发生的多个相关事件。
在一种可能的实施方式中,根据至少一个关联规则构建规则树可以包括如下步骤:
针对每一个关联规则,可以根据该关联规则关联的多个事件的发生顺序确定所述规则树从根节点到叶子节点的顺序;
根据所述根节点到叶子节点的顺序构建对应的规则树。
在一个示例中,可以将关联的多个事件中第一个发生的事件的属性值作为根节点,将依次发生的其他事件的属性值及其他事件的属性值与第一个发生的事件的属性值的关系作为与根节点相连接的子节点,可以将最后一个发生的事件的属性值和/或最后一个发生的事件的属性值与第一个事件发生的事件的属性值的关系作为规则树的叶子节点。
请参阅图2b,可以根据两个关联规则建立如图2b所示的规则树,在同一个规则树中,不同的关联规则具有相同的根节点,也即,不同的安全事件可以由相同的事件引起。
步骤S202,建立规则树集合,所述规则树集合中包括多个所述规则树。
关联规则多种多样,因此可以根据大量的关联规则构建多个规则树,从而将多个规则树建立为规则树集合。
如图2a所示,规则树集合可以包括多个规则树(E1,E2,E3…En)。
步骤S203,对所述规则树集合中的每一个规则树的根节点中相关事件的属性值进行哈希运算得到每一个规则树对应的运算结果。
规则树的树根节点可以包括与根节点对应的相关事件的相关信息,例如可以包括事件的属性值(例如事件的类型),可以对规则树集合中的每一个规则树的树根节点的属性值进行哈希运算,从而得到与每一个规则树对应的运算结果。
可以对如图2所示的多个规则树的树根节点(E1,E2,E3…En)进行哈希运算,从而得到对应的运算结果(HE1,HE2,HE3,…HEn)。
步骤S204,根据每一个规则树对应的运算结果建立所述规则树数组。
根据运算结果(HE1,HE2,HE3,…HEn)建立规则树数组Array=(HE1,HE2,HE3,…HEn),规则树数组Array中的每一个值都与图2a所示的规则树集合中的规则树一一对应。
通过步骤S201-S204可以将多个关联规则转换为规则树集合及与规则树集合中的规则树一一对应的规则树数组,利用这个特性可以实现在数据存储前,完成相应的规则树的匹配,同时能够更快的实时发现具体的有效的安全事件。
步骤S110,接收第一事件及规则树数组,所述第一事件包括属性值;
其中,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系。
步骤S120,对所述第一事件的属性值进行哈希运算,获取第一哈希值。
步骤S130,当所述规则树数组中存在所述第一哈希值,根据所述第一哈希值获取对应的规则树。
步骤140,在第一时间内,遍历所述规则树对所述第一事件进行匹配,若所述第一事件完成从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
步骤S110-步骤S140的具体过程可以参见上文关于附图1的描述部分,不再赘述。
下面结合具体的示例对上述安全事件关联方法进行说明。
请参阅图4,图4示出了根据本公开另一实施方式的规则树的示意图。
举例而言,在一个示例中,服务器或者终端可以从防火墙和IDS(IntrusionDetection Systems,入侵检测系统)中接收日志数据。接收日志数据,第一个事件(事件1)是由IDS产生,事件是一个端口扫描事件(portscan);第二个事件(事件2)由防火墙产生,有人企图访问一台主机,这台主机存在防火墙策略,防火墙策略为:除了某些特定的主机,排除其他一切主机访问,所以,该主机产生了一条拒绝访问事件(fw.reject)。若连续发生两次同样的事件,则意味着有人在探查尝试之后,企图破坏防火墙的安全事件发生。针对这个安全事件,可以用如下关联规则来表达:
1、当有端口扫描事件发生时,即第一个事件的事件类型EventType=portscan;
2、当有主机防火墙的拒绝访问事件发生时,即第二个事件的事件类型EventType=fw.reject,同时第一个事件的源IP(E1.srcip)和第二个事件的源IP(E2.srcip)相同,且第一个事件的目的IP(E1.dstip)和第二个事件的目的IP(E2.dstip)相同,即E1.srcip=E2.srcip and E1.dstip=E2.dstip。
针对上述的关联规则,服务器或者终端可以构建一颗包含两个节点的规则树(图4),其中按照第一个事件和第二个事件的发生顺序确定规则树从根节点到叶子节点的顺序:首先发生的第一个事件为根节点为事件1(EventType=portscan),随后发生的第二个事件为事件2(EventType=fw.reject,E1.srcip=E2.srcip and E1.dstip=E2.dstip),然后根据上述顺序构建如图4所示的规则树。
对如图4所示的规则树的根节点计算哈希值,服务器或者终端可以得到第一个事件的事件类型EventType=portscan的哈希值HE1
服务器或者终端可以将哈希值HE1作为写入规则树数组Array=(HE1)。
以上的例子以一个关联规则为例对规则树的构造及规则树数组的构建进行了说明,但以上描述是示例性的,不应当视作对本公开的限制。
在构建完规则树数组后,若在检测时间内(第一时间)若出现了上述第一个事件,则获取第一个事件的属性值(例如,属性值可以为事件类型),并对第一个事件的属性值进行哈希运算,获取对应的第一哈希值,将第一哈希值与规则树数组Array中的值进行对比,确定规则树数组Array中存在与第一哈希值相等的第一数值,根据该第一数值可以获取到图4所示的规则树。
在检测时间内,若出现了上述的第二个事件,则根据图4所示的规则树,对第二个事件的类型,对第一个事件、第二个事件的源IP、目的IP进行匹配,若与图4所述规则树的关联规则匹配(匹配到了叶子节点),则将第一个事件、第二个事件作为安全事件,例如,当有主机防火墙的拒绝访问事件发生时,即事件类型EventType=fw.reject,同时第一个事件的源IP(E1.srcip)和第二个事件的源IP(E2.srcip)相同,且第一个事件的目的IP(E1.dstip)和第二个事件的目的IP(E2.dstip)相同,即E1.srcip=E2.srcip andE1.dstip=E2.dstip,则认为叶子节点匹配完成,将第一个事件、第二个事件作为安全事件。
举例而言,在又一个示例中,服务器或者终端可以检测攻击者利用Telnet等服务进行两次跳转,通过跳转主机进入网络系统内部的攻击行为。请参阅图4,针对这个安全事件描述,用如下关联规则来表达:
当检测到一次远程登录事件,即第一个事件(事件1)的事件类型EventType=Telnet;
在检测到又一次远程登录事件,即第二个事件(事件2)的事件类型EventType=Telnet,并且第二个事件的源IP等于第一个事件的目的IP,并且目的IP存在与被禁止从外部访问的的主机列表中,即E1.dstip=E2.srcip,此时说明攻击者以第一台主机为跳板,登录到了真正的目标主机。
当如上两个事件按顺序发生时,即意味着一个安全事件,同理可以构建类似第一个的关联规则的规则树。
针对上述的关联规则,服务器或者终端可以构建一颗包含两个节点的规则树(图4),其中按照第一个事件和第二个事件的发生顺序确定规则树从根节点到叶子节点的顺序:首先发生的第一个事件为根节点为事件1(EventType=Telnet),随后发生的第二个事件为事件2(EventType=Telnet,E1.dstip=E2.srcip,目的IP存在与被禁止从外部访问的的主机列表中),然后根据上述顺序构建如图4所示的规则树。
针对当前示例进行的安全事件检测过程与前述的检测过程类似,在此不再赘述。
举例而言,在又一个示例中,可以通过防火墙和IDS日志的关联,确认对目标主机的SSH漏洞攻击,具体规则描述如下:
检测到一次防火墙SSH访问事件,第一个事件的事件类型EventType=fw_ssh;
检测到又一次SSH漏洞攻击事件,第二个事件的事件类型EventType=fw_ssh,且第二个事件的源IP等于第一个事件的源IP,第二事件的目的IP等于第一个事件的目的IP,即E1.srcip=E2.srcip and E1.dstip=E2.dstip,说明第一次SSH访问试一次恶意攻击事件。
当如上两个事件按顺序发生时,即意味着一个安全事件,同理可以构建类似第一个的关联规则的规则树。
针对上述的关联规则,服务器或者终端可以构建一颗包含两个节点的规则树(图4),其中按照第一个事件和第二个事件的发生顺序确定规则树从根节点到叶子节点的顺序:首先发生的第一个事件为根节点为事件1(EventType=fw_ssh),随后发生的第二个事件为事件2(EventType=fw_ssh,E1.srcip=E2.srcip and E1.dstip=E2.dstip),然后根据上述顺序构建如图4所示的规则树。
针对当前示例进行的安全事件检测过程与前述的检测过程类似,在此不再赘述。
应该明白,本公开所述的第一事件包括多个事件,以上以第一个事件、第二个事件进行了举例,但并不用于限制本公开,所述的第一事件还可以包括第三个事件、第四个事件或者其他任意数目的事件(连续发生的事件)。
当如上两个事件按顺序发生时,即意味着一个安全事件。
通过以上安全事件关联分析方法,本公开在数据存储前完成相应的规则树的匹配,相比于事后进行综合数据关联分析能够实时识别安全事件、节约存储空间;同时基于规则树的根节点构建规则树数组,以此能够实现快速匹配,更快的发现具体有效的安全事件。
请参阅图5,图5示出了根据本公开一实施方式的安全事件关联分析装置的框图。
如图5所示,所述装置包括:
接收模块10,用于接收第一事件,所述第一事件包括属性值。
第一运算模块20,连接于所述接收模块,用于对所述第一事件的属性值进行哈希运算,获取第一哈希值。
第一获取模块30,用于获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系。
第二获取模块40,连接于所述第一获取模块及所述运算模块,用于当所述规则树数组中存在与所述第一哈希值相等的第一数值,则获取所述第一数值对应的规则树。
匹配模块50,连接于所述第二获取模块,用于遍历所述第一数值对应的规则树对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
应该说明的是,上述的安全事件关联分析装置为前述的安全事件关联分析方法对应的装置项,其具体描述请参考之前对方法的介绍,此处不再赘述。
通过以上安全事件关联分析方法,本公开在数据存储前完成相应的规则树的匹配,相比于事后进行综合数据关联分析能够实时识别安全事件、节约存储空间;同时基于规则树的根节点构建规则树数组,以此能够实现快速匹配,更快的发现具体有效的安全事件。
请参阅图6,图6示出了根据本公开一实施方式的安全事件关联分析装置的框图。
如图6所示,所述装置包括构建模块60、第一建立模块70、第二运算模块80、第二建立模块90、接收模块10、第一运算模块20、第一获取模块30、第二获取模块40及匹配模块50。
构建模块60,用于根据至少一个关联规则构建规则树,所述规则树的根节点中包括与根节点对应的相关事件的属性值。
在一种可能的实施方式中,所述属性值包括事件的类型、事件发生的源IP地址、事件发生的目的IP地址、事件发生的源IP地址与目的IP地址的关系中的任意组合。
如图6所示,在一种可能的实施方式中,所述构建模块60,包括第二确定子模块601及构建子模块602:
第二确定子模块601,用于针对每一个关联规则,根据该关联规则关联的多个事件的发生顺序确定所述规则树从根节点到叶子节点的顺序;
构建子模块602,连接于所述第二确定子模块604,用于根据所述根节点到叶子节点的顺序构建对应的规则树。
第一建立模块70,连接于所述构建模块60,用于建立规则树集合,所述规则树集合中包括多个所述规则树。
第二运算模块80,连接于所述建立模块70,用于对所述规则树集合中的每一个规则树的根节点中相关事件的属性值进行哈希运算得到每一个规则树对应的运算结果。
第二建立模块90,连接于所述第二运算模块80,用于根据每一个规则树对应的运算结果建立所述规则树数组。
接收模块10,连接于第二建立模块90,用于接收第一事件,所述第一事件包括属性值。
第一运算模块20,连接于所述接收模块,用于对所述第一事件的属性值进行哈希运算,获取第一哈希值。
在一种可能的实施方式中,第一运算模块20还用于对所述第一事件中第一个发生的事件的属性值进行哈希运算,获取第一哈希值。
第一获取模块30,用于获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系。
第二获取模块40,连接于所述第一获取模块及所述运算模块,用于当所述规则树数组中存在与所述第一哈希值相等的第一数值,则获取所述第一数值对应的规则树。
匹配模块50,连接于所述第二获取模块,用于遍历所述第一数值对应的规则树对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
在一种可能的实施方式中,匹配模块50包括比较子模块501及第一确定子模块502。
其中,比较子模块501,用于将所述第一事件中第二个发生的事件的属性值与所述规则树的根节点连接的节点的值进行比较;
第一确定子模块502,连接于所述比较子模块501,用于在第二个发生的事件的属性值与所述规则树的根节点连接的节点的值相等时,按照所述第一事件包括的多个事件发生的时间顺序继续比较下一个事件的属性值与对应的节点的值,直到所述第一事件中的其中一个事件的属性值与所述规则树的任意一个叶子节点的值相同,并将所述第一事件作为安全事件。
应该说明的是,上述的安全事件关联分析装置为前述的安全事件关联分析方法对应的装置项,其具体描述请参考之前对方法的介绍,此处不再赘述。
通过以上安全事件关联分析方法,本公开在数据存储前完成相应的规则树的匹配,相比于事后进行综合数据关联分析能够实时识别安全事件、节约存储空间;同时基于规则树的根节点构建规则树数组,以此能够实现快速匹配,更快的发现具体有效的安全事件。
请参阅图7,图7示出了根据本公开一实施方式的安全事件关联分析装置900的框图。
参照图7,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与安全事件关联分析逻辑对应的机器可执行指令以执行上文所述的安全事件关联分析方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储系统,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (13)

1.一种安全事件关联分析方法,其特征在于,所述方法包括:
接收第一事件,所述第一事件包括属性值;
在第一事件被存储之前,对所述第一事件的属性值进行哈希运算,获取第一哈希值;
获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系;
当所述规则树数组中存在与所述第一哈希值相等的第一数值,则获取所述第一数值对应的规则树;
遍历所述第一数值对应的规则树以在所述第一事件被存储之前对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
2.根据权利要求1所述的安全事件关联分析方法,其特征在于,对所述第一事件的属性值进行哈希运算,获取第一哈希值,包括:
对所述第一事件中第一个发生的事件的属性值进行哈希运算,获取第一哈希值。
3.根据权利要求2所述的安全事件关联分析方法,其特征在于,所述第一事件包括按照时间顺序发生的多个事件;
遍历所述第一数值对应的规则树对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件,包括:
将所述第一事件中第二个发生的事件的属性值与所述规则树的根节点连接的节点的值进行比较;
若第二个发生的事件的属性值与所述规则树的根节点连接的节点的值相等,则按照所述第一事件包括的多个事件发生的时间顺序继续比较下一个事件的属性值与对应的节点的值,直到所述第一事件中的其中一个事件的属性值与所述规则树的任意一个叶子节点的值相同,则将所述第一事件作为安全事件。
4.根据权利要求1所述的安全事件关联分析方法,其特征在于,所述方法还包括:
根据至少一个关联规则构建规则树,所述规则树的根节点中包括与根节点对应的相关事件的属性值;
建立规则树集合,所述规则树集合中包括多个所述规则树;
对所述规则树集合中的每一个规则树的根节点中相关事件的属性值进行哈希运算得到每一个规则树对应的运算结果;
根据每一个规则树对应的运算结果建立所述规则树数组。
5.根据权利要求4所述的安全事件关联分析方法,其特征在于,根据至少一个关联规则构建规则树,包括:
针对每一个关联规则,根据该关联规则关联的多个事件的发生顺序确定所述规则树从根节点到叶子节点的顺序;
根据所述根节点到叶子节点的顺序构建对应的规则树。
6.根据权利要求1-5任意一项所述的安全事件关联分析方法,其特征在于,所述属性值包括事件的类型、事件发生的源IP地址、事件发生的目的IP地址、事件发生的源IP地址与目的IP地址的关系中的任意组合。
7.一种安全事件关联分析装置,其特征在于,所述装置包括:
接收模块,用于接收第一事件,所述第一事件包括属性值;
第一运算模块,连接于所述接收模块,用于在第一事件被存储之前,对所述第一事件的属性值进行哈希运算,获取第一哈希值;
第一获取模块,用于获取规则树数组,所述规则树数组中的每一个数值分别对应一个规则树,所述规则树包括根节点及至少一个叶子节点,从所述规则树的根节点到所述规则树的任意一个叶子节点分别对应一个关联规则,关联规则表示安全事件与相关事件之间的关联关系;
第二获取模块,连接于所述第一获取模块及所述运算模块,用于当所述规则树数组中存在与所述第一哈希值相等的第一数值,则获取所述第一数值对应的规则树;
匹配模块,连接于所述第二获取模块,用于遍历所述第一数值对应的规则树以在所述第一事件被存储之前对所述第一事件进行匹配,若在第一时间内完成所述第一事件从所述规则树的根节点到任意一个叶子节点的匹配,则将第一事件作为安全事件。
8.根据权利要求7所述的装置,其特征在于,所述第一运算模块还用于对所述第一事件中第一个发生的事件的属性值进行哈希运算,获取第一哈希值。
9.根据权利要求8所述的装置,其特征在于,所述第一事件包括按照时间顺序发生的多个事件,所述匹配模块还包括:
比较子模块,用于将所述第一事件中第二个发生的事件的属性值与所述规则树的根节点连接的节点的值进行比较;
第一确定子模块,连接于所述比较子模块,用于在第二个发生的事件的属性值与所述规则树的根节点连接的节点的值相等时,按照所述第一事件包括的多个事件发生的时间顺序继续比较下一个事件的属性值与对应的节点的值,直到所述第一事件中的其中一个事件的属性值与所述规则树的任意一个叶子节点的值相同,并将所述第一事件作为安全事件。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
构建模块,用于根据至少一个关联规则构建规则树,所述规则树的根节点中包括与根节点对应的相关事件的属性值;
第一建立模块,连接于所述构建模块,用于建立规则树集合,所述规则树集合中包括多个所述规则树;
第二运算模块,连接于所述建立模块,用于对所述规则树集合中的每一个规则树的根节点中相关事件的属性值进行哈希运算得到每一个规则树对应的运算结果;
第二建立模块,连接于所述第二运算模块,用于根据每一个规则树对应的运算结果建立所述规则树数组。
11.根据权利要求10所述的装置,其特征在于,所述构建模块,包括:
第二确定子模块,用于针对每一个关联规则,根据该关联规则关联的多个事件的发生顺序确定所述规则树从根节点到叶子节点的顺序;
构建子模块,用于根据所述根节点到叶子节点的顺序构建对应的规则树。
12.根据权利要求7-10任意一项所述的装置,其特征在于,
所述属性值包括事件的类型、事件发生的源IP地址、事件发生的目的IP地址、事件发生的源IP地址与目的IP地址的关系中的任意组合。
13.一种安全事件关联分析装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行如权利要求1-6任一项所述的安全事件关联分析方法。
CN201811012752.4A 2018-08-31 2018-08-31 安全事件关联分析方法及装置 Active CN109255237B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811012752.4A CN109255237B (zh) 2018-08-31 2018-08-31 安全事件关联分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811012752.4A CN109255237B (zh) 2018-08-31 2018-08-31 安全事件关联分析方法及装置

Publications (2)

Publication Number Publication Date
CN109255237A CN109255237A (zh) 2019-01-22
CN109255237B true CN109255237B (zh) 2020-10-09

Family

ID=65049829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811012752.4A Active CN109255237B (zh) 2018-08-31 2018-08-31 安全事件关联分析方法及装置

Country Status (1)

Country Link
CN (1) CN109255237B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109617927B (zh) * 2019-01-30 2021-04-16 新华三信息安全技术有限公司 一种匹配安全策略的方法及装置
CN110493188A (zh) * 2019-07-12 2019-11-22 中国电子科技集团公司电子科学研究院 一种处理网络安全事件的方法、相关装置及存储介质
CN111538741B (zh) * 2020-03-23 2021-04-02 重庆特斯联智慧科技股份有限公司 一种面向警情大数据的深度学习分析方法及系统
CN111563264A (zh) * 2020-04-21 2020-08-21 仲恺农业工程学院 基于大数据信息安全事件自动关联及快速响应系统及方法
CN112788039B (zh) * 2021-01-15 2023-07-25 合肥浩瀚深度信息技术有限公司 一种DDoS攻击识别方法、装置及存储介质
CN113343228B (zh) * 2021-06-30 2023-11-10 北京天融信网络安全技术有限公司 事件可信度分析方法、装置、电子设备及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571469B (zh) * 2010-12-23 2014-11-19 北京启明星辰信息技术股份有限公司 攻击检测方法和装置
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system

Also Published As

Publication number Publication date
CN109255237A (zh) 2019-01-22

Similar Documents

Publication Publication Date Title
CN109255237B (zh) 安全事件关联分析方法及装置
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN108494746B (zh) 一种网络端口流量异常检测方法及系统
CN109660539B (zh) 失陷设备识别方法、装置、电子设备及存储介质
CN106161451B (zh) 防御cc攻击的方法、装置及系统
EP3588898A1 (en) Defense against apt attack
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
US20180075240A1 (en) Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
CN106534051B (zh) 一种针对访问请求的处理方法和装置
CN110474885B (zh) 基于时间序列与ip地址的报警关联分析方法
US8516573B1 (en) Method and apparatus for port scan detection in a network
US11481478B2 (en) Anomalous user session detector
CN107426196B (zh) 一种识别web入侵的方法及系统
US20210360013A1 (en) Detection method for malicious domain name in domain name system and detection device
CN108449349B (zh) 防止恶意域名攻击的方法及装置
US20150026806A1 (en) Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack
US20230247043A1 (en) Techniques for detecting cybersecurity vulnerabilities in a cloud based computing environment based on forensic analysis of cloud logs
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
WO2021018440A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
CN106411951B (zh) 网络攻击行为检测方法及装置
US11870693B2 (en) Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology
CN112583827B (zh) 一种数据泄露检测方法及装置
CN110430199B (zh) 识别物联网僵尸网络攻击源的方法与系统
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant