CN115296849B - 关联告警方法及系统、存储介质和电子设备 - Google Patents

关联告警方法及系统、存储介质和电子设备 Download PDF

Info

Publication number
CN115296849B
CN115296849B CN202210794127.XA CN202210794127A CN115296849B CN 115296849 B CN115296849 B CN 115296849B CN 202210794127 A CN202210794127 A CN 202210794127A CN 115296849 B CN115296849 B CN 115296849B
Authority
CN
China
Prior art keywords
alarm
event
events
association
alarm event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210794127.XA
Other languages
English (en)
Other versions
CN115296849A (zh
Inventor
李岳昆
汪来富
刘东鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210794127.XA priority Critical patent/CN115296849B/zh
Publication of CN115296849A publication Critical patent/CN115296849A/zh
Application granted granted Critical
Publication of CN115296849B publication Critical patent/CN115296849B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)

Abstract

本公开涉及互联网技术领域,涉及关联告警方法及系统、计算机可读存储介质和电子设备,包括:根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;基于所述关联告警事件执行关联告警。本公开实施例能挖掘离散的告警事件之间具有时序性和逻辑性的关联关系,以将低维度告警事件融合为高维度事件执行关联告警,降低入侵事件的告警误报率。

Description

关联告警方法及系统、存储介质和电子设备
技术领域
本公开涉及互联网技术领域,更具体地,涉及一种关联告警方法、关联告警系统、计算机可读存储介质和电子设备。
背景技术
随着互联网技术领域的发展,信息安全与用户隐私受到广泛关注,入侵检测系统(Intrusion Detection System,简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
然而,相关技术的入侵检测系统容易产生大量的误报告警事件,影响系统告警的精确度,降低入侵检测系统的可信度。
需要说明的是,在上述背景技术部分发明的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种关联告警方法及系统、计算机存储介质和电子设备,进而至少在一定程度上克服由于相关技术的限制而导致的入侵检测系统的告警精确度低等技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种关联告警方法,包括:
根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
基于所述关联告警事件执行关联告警。
在本公开的一种示例性实施例中,在所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集之前,所述方法还包括:
提取所述告警事件的事件描述特征;
根据所述事件描述特征,对所述告警事件进行预过滤处理。
在本公开的一种示例性实施例中,所述根据所述事件描述特征,对所述告警事件进行预过滤处理,包括:
根据所述事件描述特征,按照预设的过滤规则从所述告警事件中确定错误事件和冗余事件;
对所述错误事件的事件描述特征进行调整或删除;
将所述冗余事件进行合并,根据得到的合并冗余事件更新所述告警事件。
在本公开的一种示例性实施例中,所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集,包括:
基于所述告警事件描述特征,按照预设的聚类策略对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类;
根据聚类结果将所述告警事件分为对应于不同告警类别的告警事件集。
在本公开的一种示例性实施例中,所述基于所述告警事件描述特征,按照预设的聚类策略,对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类,包括:
若存在至少两个目标告警事件的事件类型、源互联网协议地址和所属网段相同,并且所述至少两个目标告警事件对应子网段在预设时长内的受攻击主机数量和超过数量阈值,合并所述两个目标告警事件。
在本公开的一种示例性实施例中,所述对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件,包括:
针对任一所述告警事件,采用关联谓词标识所述告警事件的前提条件和事件结果,生成前提集和后果集;
根据所述前提集和后果集,确定各所述告警事件的因果关联关系;
将具有因果关联关系的告警事件进行融合,生成所述关联告警事件。
在本公开的一种示例性实施例中,所述因果关联关系包括直接关联和间接关联,所述根据所述前提集和后果集,确定各所述告警事件的因果关联关系,包括:
在满足预设的超报警关联限制条件时,若对应于同一告警事件集的不同告警事件之间,存在第一目标告警事件的后果集与第二目标告警事件的前提集相等,则所述第一目标告警事件与所述第二目标告警事件为直接关联;
若存在至少两个第三目标告警事件的前提集或后果集存在交集,且所述至少两个第三目标告警事件分别对应于不同的告警事件集,则确定所述至少两个第三目标告警事件为间接关联。
在本公开的一种示例性实施例中,所述基于所述关联告警事件执行关联告警,包括:
若所述关联告警事件对应的告警事件的数量大于预设数量阈值,则基于所述关联告警事件执行关联告警。
在本公开的一种示例性实施例中,所述方法还包括:保存设定周期内的历史关联告警事件;
所述基于所述关联告警事件执行关联告警,还包括:
若当前告警事件与所述历史关联告警事件中的部分告警事件存在关联关系,根据所述历史关联告警事件和所述当前告警事件生成预留告警事件;
对所述预留告警事件进行监控,若存在新的当前告警事件使得所述预留告警事件与所述历史关联告警事件的相似度高于预设相似度阈值,则基于所述历史关联告警事件执行关联告警。
根据本公开的一个方面,提供一种关联告警系统,所述系统包括:
过滤处理模块,用于根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
分析模块,用于对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
告警模块,用于基于所述关联告警事件执行关联告警。
根据本公开的一个方面,提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的方法。
根据本公开的一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的方法。
本公开的示例性实施例中的关联告警方法,基于不同的告警事件属于攻击策略的不同攻击阶段,从而根据事件描述特征先将告警事件按类别分为不同的告警事件集,进而针对告警事件集中的告警事件,以挖掘告警事件之间的关联关系为切入,寻求大量离散的单个告警事件的逻辑关联关系,以将单个告警事件融合为同一攻击策略下的不同步骤或阶段,生成关联告警事件,实现攻击过程的重建,以高维度的关联告警事件执行警告,避免产生大量离散的告警事件,从而降低告警误报率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
通过参考附图阅读下文的详细描述,本公开示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本公开的若干实施方式,其中:
图1示出了根据本公开示例性实施例所涉及的一种关联告警方法的流程图;
图2示出了根据本公开示例性实施例的一种对告警事件进行分组的实现方式的流程图;
图3示出了根据本公开示例性实施例的一种告警事件的关联分析实现方式的流程图;
图4示出了根据本公开示例性实施例的一种应用场景下关联告警方法的流程示意图;
图5示出了根据本公开示例性实施例的一种关联告警系统的结构示意图;
图6示出了根据本公开示例性实施例的电子设备的框图。
在附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
现在将参考附图更全面地描述示例性实施方式。然而,示例性实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施例使得本公开将更加全面和完整,并将示例性实施方式的构思全面地传达给本领域的技术人员。图中相同的附图标记表示相同或类似的结构,因而将省略它们的详细描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知结构、方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个软件硬化的模块中实现这些功能实体或功能实体的一部分,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
在本领域的相关技术中,入侵检测系统依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
但是,入侵检测系统容易产生大量离散的误报事件和遗漏事件,大量堆砌的误报事件影响系统的告警分析,加大入侵检测难度,而遗漏事件则为网络或系统带来安全隐患。
基于此,在本公开示例性实施例中,首先提供了一种关联告警方法。如图1示出了根据本公开实施例的一种关联告警方法的流程图。如图1所示,本公开实施例的关联告警方法可以包括步骤S110和步骤S130:
步骤S110:根据告警事件的事件描述特征,将告警事件分为对应于不同告警类别的告警事件集;
步骤S120:对告警事件集中的告警事件进行关联关系分析,并根据分析结果对告警事件集中的告警事件进行融合处理,生成关联告警事件;
步骤S130:基于关联告警事件执行关联告警。
根据本公开实施例的关联告警方法,基于不同的告警事件属于攻击策略的不同攻击阶段,从而根据事件描述信息先将告警事件按类别分为不同的告警事件集,进而针对告警事件集中的告警事件,以挖掘告警事件之间的关联关系为切入,寻求大量离散的单个告警事件的逻辑关联关系,以将单个告警事件融合为同一攻击策略下的不同步骤或阶段,生成关联告警事件,实现攻击过程的重建,以高维度的关联告警事件执行警告,避免产生大量离散的告警事件,从而降低告警误报率。
下面结合图1对本公开实施例的关联告警方法进行详细阐述。
在步骤S110中,根据告警事件的事件描述特征,将告警事件分为对应于不同告警类别的告警事件集。
在本公开的示例性实施例中,事件描述特征为根据告警事件提取得到,用于反映事件内容的属性信息,至少包括告警事件的事件标识、事件类别、源互联网协议IP地址、源端口、目标IP地址、目标端口、发生时间(包括触发时间和结束时间)、发生次数、IP地址所属网段信息等。其中,可以对告警事件进行实体对象的提取,以获得告警事件的事件描述特征。
在一些可能的实施方式中,可以根据提取到的事件描述特征,按照预设的告警事件结构表示各告警事件。例如,预设的告警事件结构可以为<事件标识,事件类别,源IP,目标IP,源端口,目标端口,发生次数>,当然,可根据实际告警应用场景,确定不同的告警事件结构,本公开实施例对此不做特殊限定。
值得说明的是,将告警事件分为对应于不同告警类别的告警事件集,是结合事件类别和其它事件描述特征共同分析决策,将具有相互关联或协同关联的告警事件划分相同的告警事件集。
在实际实施时,在根据告警事件的事件描述特征,将告警事件分为对应于不同告警类别的告警事件集之前,还可以先提取告警事件的事件描述特征,然后对告警事件进行预过滤处理,以将影响关联关系分析的告警事件进行过滤,避免影响关联关系分析的准确性。
影响关联关系分析的告警事件至少包括错误事件和冗余事件,可以根据事件描述特征,按照预设的过滤规则从告警事件中确定错误事件和冗余事件。
错误事件是指具有系统时间错误的事件和地址错误的事件。例如,在分布式系统中,硬件环境差异或人为因素干扰等导致各子系统的系统时间不一致,则需要统一时钟标准。示例性的,若告警事件的触发时间满足以下公式,则将该告警事件E的触发时间和结束时间设置为系统当前时间:
|E.beginTime-T_now|>T_1(1)
其中,E.beginTime为告警事件E的触发时间,T_now为系统当前时间,T_1为预设的时间错误判定阈值,结合具体告警场景确定。
由于后续的关联关系分析需要考虑各告警事件的具有时序性和逻辑关联性,通过对告警事件的发生时间进行调整,可以避免因发生时间的偏差影响关联关系的准确性。
地址错误的事件是指使用伪造地址的方式发起的事件,此类事件影响关联关系分析的准确性。例如,通常黑客在进行操作系统DOS攻击时,通过采用伪造地址掩饰自身信息,从而使得大量源IP端口错误,如虚拟元地址127.0.0.1,则将此类告警事件进行筛除。
在实际实施时,可以维护地址黑白名单,若在实际入侵检测时存在黑名单的虚拟元地址,则直接将此类告警事件丢弃,从而防止伪造地址对关联关系分析的准确性的影响。
冗余事件是指在预设时长间隔内频繁发生的重复事件或并发事件,此类告警事件的发生次数对关联关系分析的影响不大,因此可以对冗余事件进行合并,生成新的告警事件,亦即根据得到的合并冗余事件更新告警事件。
示例性的,对于任意两个告警事件E1和E2,若至少存在事件标识、事件类别、源互联网协议IP地址、源端口、目标IP地址、目标端口相同,并且两个告警事件E1和E2的时间戳差(发生时间间隔)小于预设的时间阈值,则表征该两个告警事件E1和E2重复,则将两个告警事件E1和E2进行合并为新的告警事件E3,即Repetitive(E1,E2)。
对于任意两个告警事件E1和E2,若至少存在事件类别、源互联网协议IP地址、源端口、目标IP地址、目标端口相同,事件标识不同,并且两个告警事件E1和E2的时间戳差(发生时间间隔)小于预设的时间阈值,则表征该两个告警事件E1和E2并发,则将两个告警事件E1和E2进行合并为新的告警事件E3,即Concurrent(E1,E2)。
值得说明的是,在将至少两个告警事件E1和E2进行合并后,还可以通过事件描述特征中的发生次数,记录合并前的告警事件对应的发生次数。例如,N个告警事件合并后的告警事件E3的事件描述特征中包括发生次数N。
本公开示例性实施例通过将冗余事件进行合并,避免重复分析大量告警事件,提高后续关联关系的分析效率。
在本公开一示例性实施例中,提供一种对告警事件进行分组的实现方式。根据告警事件的事件描述特征,将告警事件分为对应于不同告警类别的告警事件集可以包括如下步骤S210至步骤S220:
步骤S210:基于告警事件描述特征,按照预设的聚类策略对告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类。
在本示例性实施例中,可以基于告警事件描述特征,按照预设的聚类策略,将具有互相关联或协同关联的告警事件进行聚类。
示例性的,若存在至少两个目标告警事件的事件类型、源互联网协议地址和所属网段相同,并且至少两个目标告警事件对应子网段在预设时长内的受攻击主机数量和超过数量阈值,合并两个目标告警事件,亦即将该至少两个目标告警事件划分至同一类别的告警事件集。
举例而言,若存在告警事件A和告警事件B的事件类型相同,告警事件A和告警事件B的目标IP属于同一网段,且告警事件A和告警事件B的对应子网段在一周内受攻击数量和,超过数量阈值,则将两个告警事件的子网段合并,亦即将告警事件A和告警事件B合并至同一告警事件集。
步骤S220:根据聚类结果将告警事件分为对应于不同告警类别的告警事件集。
在本示例性实施例中可以根据聚类结果,将属于各类别的告警事件划分至不同的告警事件集,使得每个类别的告警事件各成体系,互不干涉,以便分别对各告警事件集内的告警事件进行关联关系分析。
此外,还可以将根据聚类结果将告警事件分为对应于不同告警类别的告警事件集存储于本地,以便进行后续的关联关系分析。
在步骤120中,对告警事件集中的告警事件进行关联关系分析,并根据分析结果对告警事件集中的告警事件进行融合处理,生成关联告警事件。
在本公开的示例性实施例中,关联关系分析是挖掘离散的单个告警事件之间的时序性和逻辑关联性,大多数的攻击事件并非绝对独立,而是攻击策略的不同步骤或阶段,通过对告警事件集中的告警事件进行关联关系分析,以重建攻击过程,将属于同一攻击过程的告警事件进行融合,生成高维度的关联告警事件,避免告警事件的误报。
其中,在本公开一示例性实施例中,提供一种告警事件的关联分析实现方式。对告警事件集中的告警事件进行关联关系分析,并根据分析结果对告警事件集中的告警事件进行融合处理,生成关联告警事件,可以包括以下步骤S310至步骤S330:
步骤S310:针对任一告警事件,采用关联谓词标识告警事件的前提条件和事件结果,生成前提集和后果集。
在本示例性实施例中,可以针对任一告警事件,以关联谓词作为基础结构,标识告警事件的前提条件和事件结果。举例而言,若告警事件为用于发现系统漏洞以进行后续的缓存溢出(buffer_overflow)攻击,则使用关联谓词VulnerableToBufferOverflow(IP,port)来表示攻击者发现该IP地址下主机该port端口上容易受到buffer_overflow攻击。
采用关联谓词标识告警事件的前提条件和事件结果,得到各告警事件所对应的前提集和后果集。
步骤S320:根据前提集和后果集,确定各告警事件的因果关联关系。
在本示例性实施例中,在得到各告警事件集中告警事件的前提集和后果集后,可以基于前提集和后果集,采用超报警(Hyper-Alert)的方法,确定各告警事件的因果关联关系。
其中,可以通过超报警类型标识告警事件的前提和后果,如type T定义为一个三元组(fact,prerequisite,consequence),其中fact是属性名集合,表示根据告警事件报告的信息,prerequisite表示攻击成功的必要条件,consequence表示攻击成功的可能后果。其中,prerequisite和consequence是由关联谓词和逻辑运算符组成的表达式,标识超报警的前提集和后果集。
在实际实施时,首先预设超报警关联限制条件:对于任意两个告警事件h1和h2,若满足以下超报警关联限制条件,则h1为h2的准备条件:
存在p∈P(h2),p∈C(h1),且h1.end_time<h2.begin_time,则h1对应的告警事件为h2对应的告警事件的准备条件,其中,P(h)为前提集,C(h)为后果集。
进一步的,基于预设的超报警关联限制条件,根据各告警事件的前提集和后果集,确定各告警事件的因果关联关系。其中,因果关联关系包括直接关联和间接关联。
示例性的,在满足预设的超报警关联限制条件时,若对应于同一告警事件集的不同告警事件之间,存在第一目标告警事件的后果集与第二目标告警事件的前提集相等,则第一目标告警事件与第二目标告警事件为直接关联,亦即若对应于同一告警事件集的不同告警事件满足以下条件,则告警事件直接关联:h1.c=h2.p;其中,h1.c为第一目标告警事件的后果集,h2.p为第二目标告警事件的前提集。
示例性的,若存在至少两个第三目标告警事件的前提集或后果集存在交集,且至少两个第三目标告警事件分别对应于不同的告警事件集,则确定该至少两个第三目标告警事件为间接关联,亦即若第三目标告警事件h1和h2满足以下条件,则告警事件间接关联:
对于告警事件h1,h2,若h1通过关联规则R与事件类别T直接关联,对于任意i∈[1,n-1],告警事件Ti和告警事件Ti+1通过关联规则Ri直接关联,告警事件Tn通过关联规则Rn与h2直接关联,则h1与h2间接关联。其中,关联规则R、Ri和Rn根据具体关联情况确定,本公开实施例对其具体内容不做特殊限定。
举例而言,若存在关联链路1={a,b,c,d,e},关联链路2={a,b,f,g},由于告警事件a的后果集与告警事件g的前提集存在交集,即告警事件b,则告警事件a和告警事件b为间接关联。
通过本公开实施例确定各告警事件之间的直间关联关系或间接关联关系,在满足预设的超报警关联限制条件时,可以将具备明显时序性和逻辑关联性的告警事件进行关联,避免误报的发生,而在满足预设的超报警关联限制条件下,通过挖掘告警事件之间的直接关联关系和间接关联关系,可进一步的挖掘各告警事件之间的隐含关联关系,避免漏报告警事件的发生。
步骤S330:将具有因果关联关系的告警事件进行融合,生成关联告警事件。
在本示例性实施例中,可以将具有因果关联关系的告警事件融合,生成关联告警事件,从而将大量离散的低维度的单个告警事件,融合为具有逻辑关联关系的高维度关联告警事件,以重建攻击工程,方便寻求攻击策略的整体情况,以进行整体告警,降低误报率和漏报率。
在本公开一示例性实施例中,基于关联告警事件执行关联告警可以是若关联告警事件对应的告警事件的数量大于预设数量阈值,则基于关联告警事件执行关联告警,针对告警事件的数量满足预设数量阈值的关联告警事件执行关联告警,既可以将具有关联关系的多个离散告警事件以高维度告警事件发出,降低误报率,同时确保关联告警事件为满足预警需求的高维度事件。
例如,若关联告警事件对应的告警事件的数量为2,包括告警事件G和告警事件F,满足高维度告警事件的预设数量阈值为5,则对于该关联告警事件暂时不执行关联告警,当该关联告警事件对应的告警事件的数量大于或等于5,才执行联合告警。
本公开示例性实施例还可以保存设定周期内的历史关联告警事件,亦即将设定周期内的历史关联告警事件进行保存,作为高维度的关联告警事件模板,以通过模板匹配的方式进行关联告警。
具体而言,基于关联告警事件执行关联告警可以包括:
若当前告警事件与历史关联告警事件中的部分告警事件存在关联关系,根据历史关联告警事件和当前告警事件生成预留告警事件;
对预留告警事件进行监控,若存在新的当前告警事件使得预留告警事件与历史关联告警事件的相似度高于预设相似度阈值,则基于历史关联告警事件执行关联告警。
其中,以历史关联告警事件为关联告警事件模板,在入侵事件进行监测的过程中,若存在当前告警事件,且该当前告警事件与历史关联告警事件中的部分告警事件存在关联关系,例如当前告警事件与历史关联告警事件中的部分告警事件具有直接关联关系,又如,当前告警事件与历史关联告警事件中的部分告警事件具有间接关联关系,再如,当前告警事件与历史关联告警事件中的部分告警事件为相同告警事件,则可以根据当前告警事件和历史关联告警事件生成预留告警事件。预留告警事件是指在历史关联告警事件中预留监测事件,预留监测事件是除当前告警事件外的告警事件。
示例性的,若历史关联告警事件为f1=a,b,c,d,e,f,监测到当前告警事件为a,b,由于告警事件a和告警事件b并不属于可以执行的关联告警事件,则生成的预留告警事件可以为f2=a,b,_,_,_,_,并对预留告警事件f2=a,b,_,_,_,_进行监控,若存在新的告警事件X使得预留告警事件f2与历史关联告警事件为f1的相似度高于预设相似度阈值,则基于历史关联告警事件为f1执行关联告警。新的告警事件X可以为f3=c、f3=c,d、f3=c,d,e、f3=c,d,f、f3=d,f、f3=c,f或f3=c,d,e,f等。
在实际实施时,预留告警事件与历史关联告警事件的相似度可以通过比较预留告警事件和历史关联告警事件中相同告警事件的数量,以及相同告警事件之间的关联关系。例如,相同告警事件的数量大于历史关联告警事件中告警事件的80%,且相同告警事件之间的关联关系符合预设的超报警关联限制条件、直接关联或间接关联中的至少一种,则预留告警事件与历史关联告警事件的相似度为80%,当然,可以根据实际告警需求选择不同的相似度计算方法,本公开实施例包括但不限于上述的相似度计算方法。
通过生成预留告警事件并进行监控,可加强针对存在漏报可能的告警事件的监控,以在基于关联关系分析的关联告警的同时,降低漏报率。
图4示出了应用场景下关联告警方法的流程示意图,下面结合应用场景,对本公开实施例的关联告警方法进行说明。
步骤S410:采集IDS系统的原始告警事件日志,以获取告警事件。
其中,告警事件可以包括历史告警事件,也可以包括流处理过程的实时告警事件。
步骤S420:提取各告警事件的事件描述特征,并根据事件描述特征,对告警事件进行预过滤处理。
其中,可以根据事件描述特征构建告警事件的多元组信息,多元组中的各元素对象为事件描述特征,基于多元组信息对错误事件和冗余事件进行清洗。
步骤S430:使用预设聚类算法对预过滤处理后的告警事件进行聚类处理,将告警事件分为对应于不同告警类别的告警事件集。
其中,得到告警事件集后,可以将告警事件集存储于本地,以便使用超报警的方法进行告警因果分析。
步骤S440:对告警事件集中的告警事件进行关联关系分析,并根据分析结果对告警事件集中的告警事件进行融合处理,生成关联告警事件。
步骤S450:将融合为高维度的关联告警事件,执行关联告警。
由以上可知,通过本公开实施例的关联告警方法,基于不同的告警事件属于攻击策略的不同攻击阶段,从而根据事件描述信息先将告警事件按类别分为不同的告警事件集,进而针对告警事件集中的告警事件,以挖掘告警事件之间的关联关系为切入,寻求大量离散的单个告警事件的逻辑关联关系,以将单个告警事件融合为同一攻击策略下的不同步骤或阶段,生成关联告警事件,实现攻击过程的重建,以高维度的关联告警事件执行警告,避免产生大量离散的告警事件,从而降低告警误报率。
此外,根据本公开的示例性实施例,还提供一种关联告警系统,如图5所示,该系统500包括:
过滤处理模块510,用于根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
分析模块520,用于对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
告警模块530,用于基于所述关联告警事件执行关联告警。
在本公开一示例性实施例中,关联告警系统500还包括:
特征提取模块,用于提取告警事件的事件描述特征;
预过滤模块,用于根据事件描述特征,对告警事件进行预过滤处理。
在本公开一示例性实施例中,预过滤模块可以包括:
事件筛选单元,用于根据事件描述特征,按照预设的过滤规则从告警事件中确定错误事件和冗余事件;
第一过滤单元,用于对错误事件的事件描述特征进行调整或删除;
第二过滤单元,用于将冗余事件进行合并,根据得到的合并冗余事件更新所述告警事件。
在本公开一示例性实施例中,过滤处理模块510可以包括:
聚类单元,用于基于告警事件描述特征,按照预设的聚类策略对告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类;
事件划分单元,用于根据聚类结果将告警事件分为对应于不同告警类别的告警事件集。
在本公开一示例性实施例中,分析模块520被配置为:
若存在至少两个目标告警事件的事件类型、源互联网协议地址和所属网段相同,并且所述两个目标告警事件对应子网段在预设时长内的受攻击主机数量和超过数量阈值,合并两个目标告警事件。
在本公开一示例性实施例中,分析模块520可以包括:
信息提取单元,用于针对任一所述告警事件,采用关联谓词标识告警事件的前提条件和事件结果,生成前提集和后果集;
关系确定单元,用于根据前提集和后果集,确定各告警事件的因果关联关系;
事件融合单元,用于将具有因果关联关系的告警事件进行融合,生成关联告警事件。
在本公开一示例性实施例中,因果关联关系包括直接关联和间接关联,关系确定单元被配置为:
在满足预设的超报警关联限制条件时,若对应于同一告警事件集的不同告警事件之间,存在第一目标告警事件的后果集与第二目标告警事件的前提集相等,则第一目标告警事件与第二目标告警事件为直接关联;
若存在至少两个第三目标告警事件的前提集或后果集存在交集,且至少两个第三目标告警事件分别对应于不同的告警事件集,则确定至少两个第三目标告警事件为间接关联。
在本公开一示例性实施例中,告警模块530被配置为:
若关联告警事件对应的告警事件的数量大于预设数量阈值,则基于所述关联告警事件执行关联告警。
在本公开一示例性实施例中,关联告警系统500还包括:存储模块,用于保存设定周期内的历史关联告警事件;
告警模块530还可以包括:
事件生成单元,用于若当前告警事件与历史关联告警事件中的部分告警事件存在关联关系,根据历史关联告警事件和当前告警事件生成预留告警事件;
关联告警单元,用于对预留告警事件进行监控,若存在新的当前告警事件使得预留告警事件与历史关联告警事件的相似度高于预设相似度阈值,则基于历史关联告警事件执行关联告警。
由于本公开的示例性实施例的关联告警系统的各个功能模块(单元)的具体细节在上述关联告警方法的发明实施例中已经详细说明,因此不再赘述。
应当注意,尽管在上文详细描述中提及了关联告警系统的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,在本公开示例性实施方式中,还提供了一种能够实现上述方法的计算机存储介质。其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施例的步骤。
本公开实施例还提供用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施例、完全的软件实施例(包括固件、微代码等),或硬件和软件方面结合的实施例,这里可以统称为“电路”、“模块”或“系统”。
下面参照图6来描述根据本公开的这种实施例的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630、显示单元640。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施例的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)621和/或高速缓存存储单元622,还可以进一步包括只读存储单元(ROM)623。
存储单元620还可以包括具有一组(至少一个)程序模块625的程序/实用工具624,这样的程序模块625包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器660通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施例的方法。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。

Claims (9)

1.一种关联告警方法,其特征在于,包括:
根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
基于所述关联告警事件执行关联告警;
所述对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件,包括:
针对任一所述告警事件,采用关联谓词标识所述告警事件的前提条件和事件结果,生成前提集和后果集;
根据所述前提集和后果集,确定各所述告警事件的因果关联关系;
将具有因果关联关系的告警事件进行融合,生成所述关联告警事件。
2.根据权利要求1所述的方法,其特征在于,在所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集之前,所述方法还包括:
提取所述告警事件的事件描述特征;
根据所述事件描述特征,对所述告警事件进行预过滤处理。
3.根据权利要求2所述的方法,其特征在于,所述根据所述事件描述特征,对所述告警事件进行预过滤处理,包括:
根据所述事件描述特征,按照预设的过滤规则从所述告警事件中确定错误事件和冗余事件;
对所述错误事件的事件描述特征进行调整或删除;
将所述冗余事件进行合并,根据得到的合并冗余事件更新所述告警事件。
4.根据权利要求1所述的方法,其特征在于,所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集,包括:
基于所述告警事件描述特征,按照预设的聚类策略对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类;
根据聚类结果将所述告警事件分为对应于不同告警类别的告警事件集。
5.根据权利要求4所述的方法,其特征在于,所述基于所述告警事件描述特征,按照预设的聚类策略,对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类,包括:
若存在至少两个目标告警事件的事件类型、源互联网协议地址和所属网段相同,并且所述至少两个目标告警事件对应子网段在预设时长内的受攻击主机数量和超过数量阈值,合并所述两个目标告警事件。
6.根据权利要求1所述的方法,其特征在于,所述因果关联关系包括直接关联和间接关联,所述根据所述前提集和后果集,确定各所述告警事件的因果关联关系,包括:
在满足预设的超报警关联限制条件时,若对应于同一告警事件集的不同告警事件之间,存在第一目标告警事件的后果集与第二目标告警事件的前提集相等,则所述第一目标告警事件与所述第二目标告警事件为直接关联;
若存在至少两个第三目标告警事件的前提集或后果集存在交集,且所述至少两个第三目标告警事件分别对应于不同的告警事件集,则确定所述至少两个第三目标告警事件为间接关联。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述基于所述关联告警事件执行关联告警,包括:
若所述关联告警事件对应的告警事件的数量大于预设数量阈值,则基于所述关联告警事件执行关联告警。
8.根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:保存设定周期内的历史关联告警事件;
所述基于所述关联告警事件执行关联告警,还包括:
若当前告警事件与所述历史关联告警事件中的部分告警事件存在关联关系,根据所述历史关联告警事件和所述当前告警事件生成预留告警事件;
对所述预留告警事件进行监控,若存在新的当前告警事件使得所述预留告警事件与所述历史关联告警事件的相似度高于预设相似度阈值,则基于所述历史关联告警事件执行关联告警。
9.一种关联告警系统,其特征在于,包括:
过滤处理模块,用于根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
分析模块,用于对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
告警模块,用于基于所述关联告警事件执行关联告警;
所述对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件,包括:
针对任一所述告警事件,采用关联谓词标识所述告警事件的前提条件和事件结果,生成前提集和后果集;
根据所述前提集和后果集,确定各所述告警事件的因果关联关系;
将具有因果关联关系的告警事件进行融合,生成所述关联告警事件。
CN202210794127.XA 2022-07-05 2022-07-05 关联告警方法及系统、存储介质和电子设备 Active CN115296849B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210794127.XA CN115296849B (zh) 2022-07-05 2022-07-05 关联告警方法及系统、存储介质和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210794127.XA CN115296849B (zh) 2022-07-05 2022-07-05 关联告警方法及系统、存储介质和电子设备

Publications (2)

Publication Number Publication Date
CN115296849A CN115296849A (zh) 2022-11-04
CN115296849B true CN115296849B (zh) 2024-03-19

Family

ID=83821495

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210794127.XA Active CN115296849B (zh) 2022-07-05 2022-07-05 关联告警方法及系统、存储介质和电子设备

Country Status (1)

Country Link
CN (1) CN115296849B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117560389A (zh) * 2023-10-13 2024-02-13 陕西小保当矿业有限公司 一种矿山工业互联网平台告警融合方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1472916A (zh) * 2003-06-24 2004-02-04 北京邮电大学 大规模分布式入侵检测系统的数据融合机制
JP2011176554A (ja) * 2010-02-24 2011-09-08 Kddi R & D Laboratories Inc 監視装置、監視方法及びプログラム
CN102355361A (zh) * 2011-06-30 2012-02-15 江苏南大苏富特科技股份有限公司 基于报警信息的安全评估方法
CN113569116A (zh) * 2021-07-31 2021-10-29 中国电子科技集团公司第十五研究所 基于属性相关性的网络告警信息聚类方法
CN113946461A (zh) * 2018-06-15 2022-01-18 华为技术有限公司 一种故障根因分析的方法及装置
CN114238013A (zh) * 2021-12-03 2022-03-25 东软集团股份有限公司 一种告警聚合方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9571334B2 (en) * 2015-01-26 2017-02-14 CENX, Inc. Systems and methods for correlating alarms in a network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1472916A (zh) * 2003-06-24 2004-02-04 北京邮电大学 大规模分布式入侵检测系统的数据融合机制
JP2011176554A (ja) * 2010-02-24 2011-09-08 Kddi R & D Laboratories Inc 監視装置、監視方法及びプログラム
CN102355361A (zh) * 2011-06-30 2012-02-15 江苏南大苏富特科技股份有限公司 基于报警信息的安全评估方法
CN113946461A (zh) * 2018-06-15 2022-01-18 华为技术有限公司 一种故障根因分析的方法及装置
CN113569116A (zh) * 2021-07-31 2021-10-29 中国电子科技集团公司第十五研究所 基于属性相关性的网络告警信息聚类方法
CN114238013A (zh) * 2021-12-03 2022-03-25 东软集团股份有限公司 一种告警聚合方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN115296849A (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
EP3205072B1 (en) Differential dependency tracking for attack forensics
US10915626B2 (en) Graph model for alert interpretation in enterprise security system
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
EP4064097A1 (en) Blockchain-based host security monitoring method and apparatus, medium and electronic device
CN113872965B (zh) 一种基于Snort引擎的SQL注入检测方法
CN112272186A (zh) 一种网络流量检测框架、方法及电子设备和存储介质
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN109450869B (zh) 一种基于用户反馈的业务安全防护方法
CN115296849B (zh) 关联告警方法及系统、存储介质和电子设备
CN112769775A (zh) 一种威胁情报关联分析方法、系统、设备及计算机介质
CN115086064A (zh) 基于协同入侵检测的大规模网络安全防御系统
CN112738003A (zh) 恶意地址管理方法和装置
CN114189390A (zh) 一种域名检测方法、系统、设备及计算机可读存储介质
CN112887289A (zh) 一种网络数据处理方法、装置、计算机设备及存储介质
CN110555308B (zh) 一种终端应用行为跟踪和威胁风险评估方法及系统
CN115664822A (zh) 行为画像构建方法、装置、电子设备及存储介质
CN112910842B (zh) 一种基于流量还原的网络攻击事件取证方法与装置
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
CN109218305B (zh) 基于报警聚合的网络取证方法及装置
CN114584391A (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
Meenakshi et al. Literature survey on log-based anomaly detection framework in cloud
KR20230000376A (ko) 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법
CN114154160B (zh) 容器集群监测方法、装置、电子设备及存储介质
CN110166421B (zh) 基于日志监控的入侵控制方法、装置及终端设备
CN114553580B (zh) 基于规则泛化和攻击重构网络攻击检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant