CN112738016A - 一种面向威胁场景的智能化安全事件关联分析系统 - Google Patents

Abstract

本发明提供一种面向威胁场景的智能化安全事件关联分析系统，包括海量格式事件存储模块、分析模块、可视化展示模块；所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块。本发明所提供的分析系统可以汇总和合理化威胁数据自动筛选出攻陷指标(IOC)作为可机读威胁情报(MRTI)，并且使用现存的日志对比匹配以便轻松发现不常见的趋势或线索，并对其有效执行操作。通过将团队、流程和工具结合在一起，系统平台为安全团队提供了对于威胁来自哪里前所未有的视野，并可以从头到尾跟踪整个事件，通过报告，可指导安全响应并进行阻断。

Description

一种面向威胁场景的智能化安全事件关联分析系统

技术领域

本发明涉及网络安全分析，具体涉及一种面向威胁场景的智能化安全事件关联分析系统。

背景技术

随着网络规模的不断扩大，现在的网络在社会生活中已经扮演着越来越重要的角色；同时，网络安全问题也日益突出，并逐渐成为网络服务和应用进一步发展所亟需解决的关键问题。此外，随着网络入侵和攻击行为向着分布化、规模化、复杂化、间接化等趋势的发展，网络病毒和Dos/DDos攻击等构成的威胁和造成的损失越来越大，很多科研人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法对整个网络安全状况进行实时监控的。

众所周知，随着业务和IT基础设施的规模不断扩大，以及新的技术的发展，国内电网电力通信网络的规模越来越大，传统的基于关系型数据库技术的安全事件和信息管理系统及类似的日志审计系统或安全管理系统都无法满足高速海量事件的处理要求。主要体现在超过一定事件数量规模后，传统的事件管理技术无法完成对所有信息事件的实时采集和存储，受限于单台系统的计算能力，海量的实时数据无法得到有效的关联分析，会产生漏报和误报，导致无法有效发现安全攻击。历史数据无法得到有效的分析，采用关系型数据库技术在对海量数据进行历史查询和检索时耗时很长，生成报表往往需要耗费数小时，这些已无法满足安全分析人员日常的安全工作的要求。

当前国内的分析系统基本上是建立在各个不同生产环节上，辅以一些常用、简便的工具，如数据库、报表工具，甚至Excel(数据表格工具)等，直接对生产数据进行分析，来了解企业的经营运行情况。其不可避免的问题在于，企业中的数据源是分散的，在此基础上建立的分析系统必然是孤立的。而在这一个个“信息孤岛”之间缺乏有效的关联和综合分析，无法形成企业数据的统一视图。在分析角度和深度，以及关联分析和预测分析方面比较薄弱。

因此，电力通信网络中亟需能够实现敏捷和快速反应的方式应对不断发展的、大批量、高优先级的威胁的分析系统，并能够实现从“全球化”的角度进行综合分析和研究。

发明内容

为了解决上述现有技术中存在的问题，本发明的目的是提供一种面向威胁场景的智能化安全事件关联分析系统，能够实现对电力通信网络中的各类实时和历史网络威胁事件进行分析和检测，提供可视化分析报告。

为了达到上述发明目的，本发明的技术方案以如下方式实现：

一种面向威胁场景的智能化安全事件关联分析系统，包括海量格式事件存储模块、分析模块、可视化展示模块；

所述海量格式事件存储模块支持单个事件采集器和多个事件采集器，借助硬件多核特性，采用并行事件流水线采集方式采集海量日志数据，并采用了异步非阻塞的事件采集方式，借助高速缓存快速地进行事件并行流水线处理。大大提升了事件的采集和预处理的性能；

所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、 Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块；

本发明的分析系统还提供可视化展示模块，用户通过内设的可视化编辑器自定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。

所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块；

所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配，识别已知模式的攻击和违规的过程，支持建立单事件规则和多事件规则，实现单事件关联和多事件关联；所述单事件关联是通过单事件关联，对符合单一规则的事件流进行规则匹配；所述多事件关联是通过多事件关联，对符合多个规则的事件流进行复杂事件规则匹配，所述多个规则称作组合规则，具体采用如下方式进行分析匹配：

(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配；

(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(ContinuousQuery Language 持续查询语言)的语法编译；CQL语法格式与SQL类似，具有独立的语法关键字，例如表示时序、时间窗口；

所述规则的逻辑表达式包括以下运算符或关键字但不限于：等于、不等于、大于、小于、不大于、不小于、位于、之间、属于、包含、FollowBy。

所述规则支持统计计数功能，并指定在统计时的固定和变动的事件属性，以及关联出达到一定统计规则的事件。

所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联，透过信息相关性分析，识别安全威胁，具体包括如下分析内容：

(2.1)基于资产的情境关联：将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联，所述资产类型包括用户自定义资产类型；

(2.2)基于弱点的情境关联：将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联，包括端口关联和漏洞编号关联；

(2.3)基于网络告警的情境关联：将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联；

(2.4)基于拓扑的情境关联：根据网络故障沿网络拓扑水平传播的特性，通过对大量网络告警事件在拓扑空间中的分布，以及传播时间上的顺序，自动进行网络根本故障源(Root Cause)诊断；

所述基于行为的关联分析模块具体包括如下分析内容：

(3.1)动态基线分析：根据历史数据，首先建立一个单周期数据库轮廓基线，该单周期数据库轮廓基线是一条曲线，由若干数据轮廓点组成，每个轮廓点代表一个采样时点，一个新的实际测量值如果没有超过基线范围，则通过加权平均算法更新旧的轮廓值；如果新的实际测量值超过基线范围则丢弃，不参与新轮廓值计算；如此往复循环，基线始终处于动态变化中；

(3.2)预测分析：采用基于时间窗置信区间的检测模型，在实际运行中不断自我调整和逼近，自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而提高了对异常行为报警的准确性。

所述综合威胁分析模块包括如下内容：系统采用基于场景的分析方式，其中，场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值；行为分析的主体就是资产IP；行为分析指标表征某种行为的关键指标，通过对这些指标的监控与分析发现可疑的行为，包括将某种类型或特征的事件的数量或比例作为特征指标。例如：用户会关注Apache服务器日志的数量突变，关注路由器日志数量的突变，关注配置变更类日志的数量突变，关注登录类日志的数量突变。

所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式，再通过实时的模式匹配和攻击关联来实现在线攻击意图识别，具体包括：在历史数据仓库中进行数据挖掘，通过过滤掉趋势项和周期项告警，再根据主要属性信息对告警进行分类，对分类后的告警类别进行攻击类型识别从而产生高级安全事件，并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集，再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式；不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式，再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别等。

所述攻击路径分析模块采用启发式场景重建技术，具体包括如下内容：

(4.1)对于汇总到的报警事件，首先基于已有的攻击场景知识库进行报警事件间的关联；

(4.2)对于匹配中的攻击序列，如果新接收到的报警可以与现有攻击序列匹配，则直接进行关联；如果不能与现有攻击序列匹配，但能够与某个攻击序列的后续事件匹配，则将新接收到的报警与该序列匹配，并产生一个“虚报警”标志缺失的事件类型；

(4.3)根据攻击路径图的描述确定虚报警的事件类型，并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述，再利用原始数据进行回溯分析，查找是否存在漏报的报警事件，如果找到则将其重新加入到攻击序列中，直至匹配完整个攻击路径图；

通过对对外门户网站的WEB访问日志分析发现针对Web攻击行为，能发现Web攻击行为并可进行攻击追溯，定位受到Web攻击的Web应用；对口令探测行为的检测分析能力；还至少包括：僵尸网络行为检测，扫描行为检测，口令探测行为检测，ARP欺骗行为检测，DDOS攻击行为检测，恶意信息发布行为检测，访问恶意网站行为检测，窃取敏感信息行为检测等。

所述Web攻击深度分析模块包括如下内容：从会话状态(非法cookie/cookie参数篡改/强制会话过期/会话有效期内位置变更/会话有效期内浏览器变更等)、请求数据(畸形请求体/多次编码/编码异常/异常请求方法/非法URI数据/异常请求头/参数异常/字符集异常)，响应数据分析(异常响应头/错误码/标题变更/动态内容变更/响应时延等)，身份认证(默认用户名/密码/多个用户名/高频登陆尝试/登陆失败)，文件上传(文件大小异常/数量异常/后缀异常),访问频率(请求响应延迟、异常请求间隔、异常请求流程/资源利用增加)，WAF攻击日志，暗网连接(恶意域名/主机/URL等)利用模糊综合评价法，基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析，挖掘传统手段漏报的攻击。

所述网络流量元数据行为分析模块具体包括如下内容：通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线，自动发现设备互联关系，预测网络拥挤，并采用支持网络优化决策，以及基于基线发现网络异常。

所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析。

僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。即骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

所述僵尸网络监测发现是依据以下判定标准进行判定为僵尸网络：

(5.1)Bot和BotMaster之间通信一次连接传输的数据量偏少，数据包偏小；

(5.2)数据包大小较为固定，种类偏少；

(5.3)Bot和BotMaster之间存在Beacon行为，表现在两次访问的间隔比较一致上，但不同主机的心跳周期可能不一致；

(5.4)Bot会因为与BotMaster失联而反复请求连接，导致两个方向上的Flow数量存在较大差异；

(5.5)Bot和BotMaster之间的通信在时间分布上较为均匀，受Day/Night的影响较小；

(5.6)Bot会受到BotMaster控制从而从事恶意活动，如DDoS、Spam、PE Download、攻击行为等；

(5.7)不同Bot访问BotMaster之间的行为序列存在相似性。

所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力，发现失陷主机。

所述慢扫描监测利用大数据技术识别慢扫描攻击。不同于快扫描攻击，它会使用一种低调慢速半连接的攻击程序绕过安全设备的监测获得所能获取的资源。由于对于常规的安全设备来说，由于只能监测一小段时间内的数据信息，导致无法识别慢扫描的相关攻击行为。而大数据技术允许存储大量、长时的底层数据内容，并提供高效的查询与分析能力，可准确识别该类慢扫描攻击。

所述恶意邮件发现和扩散分析利用全网监测能力和APT对恶意文件的分析能力基于收件人与发件人的关系关联分析恶意文件的扩散和影响。

所述可视化展示模块包括如下内容：

生成展示一幅审计数据源的拓扑图，反映审计数据源的网络拓扑关系，并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量，管理员点击拓扑节点可以查询日志和告警信息详情。

针对安全数据，管理员可以对其源目的IP地址进行追踪，并在展示的世界地图上标注出来。

管理员也可以对一段时间内的日志进行行为分析，通过生成一幅行为分析图形象化地展示海量日志之间的关联关系，从宏观的角度来协助定位安全问题。

能够从宏观的角度对客户的整体网络安全进行评估，对整体安全管理建设的水平进行评估，为客户提升安全防护能力提供决策支持，同时也为客户提升信息安全管理体系建设成熟度提供决策支持。

通过对一组表征某个安全域或者业务系统安全管理建设水平的层次化指标的计算，得到该安全域或者业务系统的安全管理建设水平评级，以此来表明该安全域或业务系统的信息安全管理体系的建设成熟度。

将表征安全管理建设水平的这套层次化指标称作关键管理指标，每个指标项都建立了一个针对某类安全事件的度量标准。

能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线，并能够进行环比分析，以及跨安全域或业务系统的同比分析。对于每个关键管理指标都支持指标项的下钻，实现从宏观到微观的聚焦。

本发明所提供的分析系统可以汇总和合理化威胁数据自动筛选出攻陷指标(IOC)作为可机读威胁情报(MRTI)，并且使用现存的日志对比匹配以便轻松发现不常见的趋势或线索，并对其有效执行操作。通过将团队、流程和工具结合在一起，系统平台为安全团队提供了对于威胁来自哪里前所未有的视野，并可以从头到尾跟踪整个事件，通过报告，可指导安全响应并进行阻断。节省了追踪传统态势感知平台产生的误报所花的大量时间。

附图说明

图1是本发明面向威胁场景的智能化安全事件关联分析系统的事件关联分析模块示意图；

图2是本发明Web攻击深度分析模块示意图。

具体实施方式

本申请提供一种面向威胁场景的智能化安全事件关联分析系统，包括海量格式事件存储模块、分析模块、可视化展示模块；

采用分布式海量日志采集技术，能够同时支持单个事件采集器和多个事件采集器。借助分布式采集器进一步提升事件采集的性能表现。所述海量格式事件存储模块支持单个事件采集器和多个事件采集器，借助硬件多核特性，采用并行事件流水线采集方式采集海量日志数据，并采用了异步非阻塞的事件采集方式，借助高速缓存快速地进行事件并行流水线处理。大大提升了事件的采集和预处理的性能；

借助内置的分布式事件存取代理，系统能够将海量事件进行分布式并行存储，一方面提升了存储的性能，另一方面也提升的存储的容量。

针对海量事件的大数据分析可以包括数据获取、数据整理、数据分析、数据存储、数据可视化等诸多方面。而数据分析又可以进一步划分为数据实时分析、数据检索、数据历史分析。数据分析是BDA (大数据分析)的核心。

在数据实时分析方面，本系统采用了基于流处理技术的CEP引擎。流处理在进行实时分析的时候具有天然的优势，尤其是在相对于基于数据的分析的时候。流具有很高的实时性。

在数据历史分析方面，启明星辰态势感知平台既支持批处理式分析，也支持交互式分析。本系统采用了数据自动聚合技术(也称作数据抽取技术)来提升海量数据的历史分析效率。

在数据检索(数据查询)方面，本系统采用了独有的任务驱动的分段式事件查询技术。

本系统还采用分布式查询技术，通过并行查询提升查询速度。而上层则采用了任务驱动的分段式事件查询技术。该技术具有三个特征：任务驱动的、分段式查询、渐进式加载，大大提升了查询速度和用户体验。

本系统还构建智能化安全事件关联分析算法

智能化的安全事件分析主要透过智能化的安全事件关联分析来体现。事件关联是指找出大量事件中存在的关系，并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统提供了三种事件关联分析模块，分别是：基于规则的关联分析、基于情境的关联分析和基于行为的关联分析。三种事件关联分析模块的具体相关内容如图1所示。

所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、 Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块。

本发明的分析系统还提供可视化展示模块，用户通过内设的可视化编辑器自定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。

智能化的安全事件分析主要透过智能化的安全事件关联分析来体现。事件关联是指找出大量事件中存在的关系，并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统提供了三种事件关联分析模块，分别是：基于规则的关联分析、基于情境的关联分析和基于行为的关联分析。三种事件关联分析模块的具体相关内容如图1所示，所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块。

所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配，识别已知模式的攻击和违规的过程，支持建立单事件规则和多事件规则，实现单事件关联和多事件关联；所述单事件关联是通过单事件关联，对符合单一规则的事件流进行规则匹配；所述多事件关联是通过多事件关联，对符合多个规则的事件流进行复杂事件规则匹配，所述多个规则称作组合规则，具体采用如下方式进行分析匹配：

(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配；

(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(ContinuousQuery Language 持续查询语言)的语法编译；CQL语法格式与SQL类似，具有独立的语法关键字，例如表示时序、时间窗口；

所述规则的逻辑表达式所包括以下运算符或关键字但不限于：等于、不等于、大于、小于、不大于、不小于、位于、之间、属于、包含、FollowBy。

所述规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。

所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联，透过信息相关性分析，识别安全威胁，具体包括如下分析内容：

(2.1)基于资产的情境关联：将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联，所述资产类型包括用户自定义资产类型；

(2.2)基于弱点的情境关联：将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联，包括端口关联和漏洞编号关联；

(2.3)基于网络告警的情境关联：将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联；

(2.4)基于拓扑的情境关联：根据网络故障沿网络拓扑水平传播的特性，通过对大量网络告警事件在拓扑空间中的分布，以及传播时间上的顺序，自动进行网络根本故障源(Root Cause)诊断；

为各类数据建立各自具体的基线，为他们的IT计算环境提供更好的信息和更快的异常活动的检测，从而管理员可以自定义事件基线，更有针对性地观察事件行为趋势，对可疑行为进行预警，基于此，所述基于行为的关联分析模块具体包括如下分析内容：

(3.1)动态基线分析：根据历史数据计算得出周期性基线，首先建立一个单周期数据库轮廓线，这条曲线由若干数据轮廓点组成，每个轮廓点代表一个采样时点，一个新的实际测量值如果没有超过基线范围，则通过加权平均算法更新旧的轮廓值；如果新的实际测量值超过基线范围则丢弃，不参与新轮廓值计算；如此往复循环，基线始终处于动态变化中；

(3.2)预测分析：采用基于时间窗置信区间的检测模型，在实际运行中不断自我调整和逼近，自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而提高了对异常行为报警的准确性。

所述综合威胁分析模块包括如下内容：系统采用基于场景的分析方式，其中，场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值；行为分析的主体就是资产IP；行为分析指标表征某种行为的关键指标，通过对这些指标的监控与分析发现可疑的行为，包括将某种类型或特征的事件的数量或比例作为特征指标。例如：用户会关注Apache服务器日志的数量突变，关注路由器日志数量的突变，关注配置变更类日志的数量突变，关注登录类日志的数量突变。

系统内置14种行为分析场景的模板，用户可以根据自身需求对模板进行实例化，建立任意数量的分析场景实例。

系统还包括监测与评估模块，对已知威胁事件的恶性攻击行为进行准确高效的检测，将检测结果报送系统的监测与评估模块进行监测评估，实现对于威胁事件线索挖掘，为系统运营提供数据支撑，从而对威胁进行有效处理；所述已知威胁包括：病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量。

对恶意代码的未知威胁事件的恶性攻击行为进行细粒度检测，具体是：对未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测、多类型未知漏洞(0-day)采用利用行为的检测。

采用静态检测和动态检测的双重检测或多种检测引擎，检测出APT攻击的核心步骤，将检测结果报送系统进行综合威胁分析，实现对于威胁事件线索挖掘，为系统运营提供数据支撑，有效发现APT 攻击。多种检测引擎包括：二进制检测、堆喷检测、ROP利用检测、敏感API检测、堆栈检测、Shell code检测、沙箱检测。

所述动态沙箱检测引擎具有多种虚拟机环境，模拟应用程序的执行以及恶意文件中攻击代码的执行，恶意文件的所有内容均被监视记录下来。从而可以知道该攻击事件的内容和意图。记录的行为包括注册表操作、文件操作、漏洞利用方式、API调用序列、网络行为、进程线程操作、其它危害系统的行为、恶意文件所含PE文件的详细行为报告。

威胁态势分析，也称作威胁KPI分析。系统通过对一组关键威胁指标的计算得到一个威胁指数，并以此随时间描述出一条威胁指数曲线，从而表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋势。

系统建立了一套动态的多维威胁指标体系，通过帕累托分析法，对当前的威胁成因进行辨别，实现对关键威胁因素从宏观到中观，再到微观的层层下钻，直至定位到导致威胁态势异常的关键安全事件。

信息安全产品包括防火墙、安全路由器、入侵检测系统、主机安全系统和防病毒系统等，产生了庞大冗余、分散独立的告警和日志等安全事件数据，这些事件数据错漏混杂，命中率低，给安全运维团队准确、快速响应事件带来巨大挑战。

因此，所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式，再通过实时的模式匹配和攻击关联来实现在线攻击意图识别，具体包括：在历史数据仓库中进行数据挖掘，通过过滤掉趋势项和周期项告警，再根据主要属性信息对告警进行分类，对分类后的告警类别进行攻击类型识别从而产生高级安全事件，并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集，再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式。不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式，再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别等。

一次完整的APT攻击过程，包括攻击前的试探、攻击实施和权限获取、敏感数据收集和回传、日志清除等阶段，在每个阶段都有可能触发实时监测子系统产生一条或者多条独立的报警信息。这些报警信息孤立来看威胁程度都不高，很容易淹没在海量报警信息中；但如果关联起来，则有可能标志着一次目标明确的APT行为。

对现有APT攻击场景进行总结，建立全面的场景知识库，然后基于汇总的实时报警信息检测潜在的APT攻击行为。采用攻击场景知识库的方式建立APT攻击场景，在实际环境中由于攻击手段和网络环境的复杂性，进行场景匹配时往往会因为报警事件的缺失导致无法进行完整攻击路径图的匹配，进而导致建立APT场景失败。因此，所述攻击路径分析模块采用启发式场景重建技术解决该问题，具体包括如下内容：

(4.1)对于汇总到的报警事件，首先基于已有的攻击场景知识库进行报警事件间的关联；

(4.2)对于匹配中的攻击序列，如果新接收到的报警可以与现有攻击序列匹配，则直接进行关联；如果不能与现有攻击序列匹配，但能够与某个攻击序列的后续事件匹配，则将新接收到的报警与该序列匹配，并产生一个“虚报警”标志缺失的事件类型；

(4.3)根据攻击路径图的描述确定虚报警的事件类型，并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述，再利用原始数据进行回溯分析，查找是否存在漏报的报警事件，如果找到则将其重新加入到攻击序列中，直至匹配完整个攻击路径图；

通过对对外门户网站的WEB访问日志分析发现针对Web攻击行为，能发现Web攻击行为并可进行攻击追溯，定位受到Web攻击的Web应用；对口令探测行为的检测分析能力；还至少包括：僵尸网络行为检测，扫描行为检测，口令探测行为检测，ARP欺骗行为检测，DDOS攻击行为检测，恶意信息发布行为检测，访问恶意网站行为检测，窃取敏感信息行为检测等。

所述Web攻击深度分析模块包括如下内容：从会话状态(非法cookie/cookie参数篡改/强制会话过期/会话有效期内位置变更/会话有效期内浏览器变更等)、请求数据(畸形请求体/多次编码/编码异常/异常请求方法/非法URI数据/异常请求头/参数异常/字符集异常)，响应数据分析(异常响应头/错误码/标题变更/动态内容变更/响应时延等)，身份认证(默认用户名/密码/多个用户名/高频登陆尝试/登陆失败)，文件上传(文件大小异常/数量异常/后缀异常),访问频率(请求响应延迟、异常请求间隔、异常请求流程/资源利用增加)，WAF攻击日志，暗网连接(恶意域名/主机/URL等)利用模糊综合评价法，基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析，挖掘传统手段漏报的攻击。

系统采用流(Flow)分析的思想和相关技术手段进行流信息监控、流拓扑展示、制定流合规检测策略、发现异常流量及应用行为、进行流信息全存储，从而保证网络的正常、有序，从流安全角度辅助防范APT攻击。与传统分析技术相比具有分析的数据历史周期长、分析响应速度快。可自动持续地分析资产的访问/被访问行为，并判定资产运行了什么服务、开启了什么应用和端口、和谁通讯最频繁等资产信息。

所述网络流量元数据行为分析模块具体包括如下内容：通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线，自动发现设备互联关系，预测网络拥挤，并采用支持网络优化决策，以及基于基线发现网络异常。

所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析。

僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。即骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

所述僵尸网络监测发现是依据以下判定标准进行判定为僵尸网络：

(5.1)Bot和BotMaster之间通信一次连接传输的数据量偏少，数据包偏小；

(5.2)数据包大小较为固定，种类偏少；

(5.3)Bot和BotMaster之间存在Beacon行为，表现在两次访问的间隔比较一致上，但不同主机的心跳周期可能不一致；

(5.4)Bot会因为与BotMaster失联而反复请求连接，导致两个方向上的Flow数量存在较大差异；

(5.5)Bot和BotMaster之间的通信在时间分布上较为均匀，受Day/Night的影响较小；

(5.6)Bot会受到BotMaster控制从而从事恶意活动，如DDoS、Spam、PE Download、攻击行为等；

(5.7)不同Bot访问BotMaster之间的行为序列存在相似性。

所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力，发现失陷主机。

所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力，发现失陷主机。

所述慢扫描监测利用大数据技术识别慢扫描攻击。不同于快扫描攻击，它会使用一种低调慢速半连接的攻击程序绕过安全设备的监测获得所能获取的资源。由于对于常规的安全设备来说，由于只能监测一小段时间内的数据信息，导致无法识别慢扫描的相关攻击行为。而大数据技术允许存储大量、长时的底层数据内容，并提供高效的查询与分析能力，可准确识别该类慢扫描攻击。

所述恶意邮件发现和扩散分析利用全网监测能力和APT对恶意文件的分析能力基于收件人与发件人的关系关联分析恶意文件的扩散和影响。

所述可视化展示模块包括如下内容：

生成展示一幅审计数据源的拓扑图，反映审计数据源的网络拓扑关系，并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量，管理员点击拓扑节点可以查询日志和告警信息详情。

针对安全数据，管理员可以对其源目的IP地址进行追踪，并在展示的世界地图上标注出来。

管理员也可以对一段时间内的日志进行行为分析，通过生成一幅行为分析图形象化地展示海量日志之间的关联关系，从宏观的角度来协助定位安全问题。

能够从宏观的角度对客户的整体网络安全进行评估，对整体安全管理建设的水平进行评估，为客户提升安全防护能力提供决策支持，同时也为客户提升信息安全管理体系建设成熟度提供决策支持。

通过对一组表征某个安全域或者业务系统安全管理建设水平的层次化指标的计算，得到该安全域或者业务系统的安全管理建设水平评级，以此来表明该安全域或业务系统的信息安全管理体系的建设成熟度。

将表征安全管理建设水平的这套层次化指标称作关键管理指标，每个指标项都建立了一个针对某类安全事件的度量标准。

能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线，并能够进行环比分析，以及跨安全域或业务系统的同比分析。对于每个关键管理指标都支持指标项的下钻，实现从宏观到微观的聚焦。

本发明所提供的分析系统能够提供高效的威胁情报，精准发现内部失陷主机，帮助安全团队快速并准确定位威胁所在，提供威胁相关的丰富的上下文信息以供分析和响应，帮助客户实现以下检测目标:

1.以结果驱动的数据收集体系。

威胁情报中心是以实际的检测和分析能力输出作为驱动，与态势感知平台最大的差别在于不是数据的吸尘器，收集过多的数据只会产生更大的噪声，并对影响性能。仅收集必要的多源数据，极大降低了投入和运维成本，缩短建设周期，可快速见效，有助于帮助管理层逐步树立对大数据安全建设的信息。这也是国内知名威胁情报公司定位于聚焦威胁，情报驱动的初衷。

2.能够快速准确的检测威胁，发现被控主机。

要基于海量数据和强大分析师团队提取遍布全球的恶意域名、IP等攻击基础设施在网络流量中准确发现失陷主机与被控端的连接。此外应用深度学习方法的DGA算法，发现对恶意动态生成域名的访问。TIP还在通过在主机端指定目录和进程中进行恶意软件和木马的发现，进一步帮助定位失陷主机。

3.结合威胁情报数据和海量基础数据提升客户对威胁事件的分析能力。

有效的将企业安全分析所需的海量网络基础数据、黑客组织画像等基础能力植入本地TIP平台，帮助客户形成一整套用于威胁分析的能力体系。

通过将态势感知平台与威胁情报平台相结合，企业可以将所有人、过程和技术统一在智能驱动的防御背后，获得强大的效果:

识别重要威胁:汇集企业内部日志，并将其与威胁情报相结合，以快速识别哪些反馈最适合企业环境。

更好地了解威胁的本质:超越态势感知平台的能力，为警报和事件添加情景和关联丰富的上下文，帮助企业更好地了解风险，做出更有针对性的反映。

丰富企业内部能力:通过共享威胁数据，并使用可靠的情报来源丰富企业能力。

数据共享和存储:将平台用作历史威胁数据的知识库，帮助应对重新出现或持续存在的威胁。

优化工作流程和编排:使用平台工作流程，通过与其他安全基础架构的集成来驱动行动，将自身的事件数据转化为内部威胁情报(这是最有价值的情报)。并且从一个中心平台来消除碎片化，管理企业安全基础架构。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (6)

1.一种面向威胁场景的智能化安全事件关联分析系统，其特征在于包括海量格式事件存储模块、分析模块、可视化展示模块；

所述海量格式事件存储模块支持单个事件采集器和多个事件采集器，借助硬件多核特性，采用并行事件流水线采集方式采集海量日志数据，并采用了异步非阻塞的事件采集方式，借助高速缓存快速地进行事件并行流水线处理；

所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块；

所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块；

所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配，识别已知模式的攻击和违规的过程，支持建立单事件规则和多事件规则，实现单事件关联和多事件关联；所述单事件关联是通过单事件关联，对符合单一规则的事件流进行规则匹配；所述多事件关联是通过多事件关联，对符合多个规则的事件流进行复杂事件规则匹配，所述多个规则称作组合规则，具体采用如下方式进行分析匹配：

(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配；

(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(Continuous QueryLanguage持续查询语言)的语法编译；

所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联，透过信息相关性分析，识别安全威胁，具体包括如下分析内容：

(2.1)基于资产的情境关联：将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联，所述资产类型包括用户自定义资产类型；

(2.2)基于弱点的情境关联：将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联，包括端口关联和漏洞编号关联；

(2.3)基于网络告警的情境关联：将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联；

(2.4)基于拓扑的情境关联：根据网络故障沿网络拓扑水平传播的特性，通过对大量网络告警事件在拓扑空间中的分布，以及传播时间上的顺序，自动进行网络根本故障源诊断；

所述基于行为的关联分析模块具体包括如下分析内容：

(3.1)动态基线分析：根据历史数据，首先建立一个单周期数据库轮廓基线，该单周期数据库轮廓基线是一条曲线，由若干数据轮廓点组成，每个轮廓点代表一个采样时点，一个新的实际测量值如果没有超过基线范围，则通过加权平均算法更新旧的轮廓值；如果新的实际测量值超过基线范围则丢弃，不参与新轮廓值计算；如此往复循环，基线始终处于动态变化中；

(3.2)预测分析：采用基于时间窗置信区间的检测模型，在实际运行中不断自我调整和逼近，自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而提高了对异常行为报警的准确性；

所述综合威胁分析模块包括如下内容：系统采用基于场景的分析方式，其中，场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值；行为分析的主体就是资产IP；行为分析指标表征某种行为的关键指标，通过对这些指标的监控与分析发现可疑的行为，包括将某种类型或特征的事件的数量或比例作为特征指标；

所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式，再通过实时的模式匹配和攻击关联来实现在线攻击意图识别，具体包括：在历史数据仓库中进行数据挖掘，通过过滤掉趋势项和周期项告警，再根据主要属性信息对告警进行分类，对分类后的告警类别进行攻击类型识别从而产生高级安全事件，并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集，再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式；不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式，再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别；

所述攻击路径分析模块采用启发式场景重建技术，具体包括如下内容：

(4.1)对于汇总到的报警事件，首先基于已有的攻击场景知识库进行报警事件间的关联；

(4.2)对于匹配中的攻击序列，如果新接收到的报警可以与现有攻击序列匹配，则直接进行关联；如果不能与现有攻击序列匹配，但能够与某个攻击序列的后续事件匹配，则将新接收到的报警与该序列匹配，并产生一个“虚报警”标志缺失的事件类型；

(4.3)根据攻击路径图的描述确定虚报警的事件类型，并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述，再利用原始数据进行回溯分析，查找是否存在漏报的报警事件，如果找到则将其重新加入到攻击序列中，直至匹配完整个攻击路径图；

所述Web攻击深度分析模块包括如下内容：从会话状态、请求数据、响应数据分析、身份认证、文件上传、访问频率、WAF攻击日志、暗网连接利用模糊综合评价法，基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析，挖掘传统手段漏报的攻击；

所述网络流量元数据行为分析模块具体包括如下内容：通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线，自动发现设备互联关系，预测网络拥挤，并采用支持网络优化决策，以及基于基线发现网络异常；

所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析；

所述可视化展示模块包括如下内容：生成展示一幅审计数据源的拓扑图，反映审计数据源的网络拓扑关系，并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量，管理员点击拓扑节点可以查询日志和告警信息详情。

2.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统，其特征在于：所述规则的逻辑表达式包括以下运算符或关键字但不限于：等于、不等于、大于、小于、不大于、不小于、位于、之间、属于、包含、FollowBy。

3.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统，其特征在于：所述规则支持统计计数功能，并指定在统计时的固定和变动的事件属性，以及关联出达到一定统计规则的事件。

4.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统，其特征在于：所述僵尸网络监测发现是依据以下判定标准进行判定为僵尸网络：

(5.1)Bot和BotMaster之间通信一次连接传输的数据量偏少，数据包偏小；

(5.2)数据包大小较为固定，种类偏少；

(5.3)Bot和BotMaster之间存在Beacon行为，表现在两次访问的间隔比较一致上；

(5.4)Bot会因为与BotMaster失联而反复请求连接，导致两个方向上的Flow数量存在较大差异；

(5.5)Bot和BotMaster之间的通信在时间分布上较为均匀，受Day/Night的影响较小；

(5.6)Bot会受到BotMaster控制从而从事恶意活动；

(5.7)不同Bot访问BotMaster之间的行为序列存在相似性。

5.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统，其特征在于：所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力，发现失陷主机。

6.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统，其特征在于：所述可视化展示模块还能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线，并能够进行环比分析，以及跨安全域或业务系统的同比分析，对于每个关键管理指标都支持指标项的下钻，实现从宏观到微观的聚焦。

Images