CN201491020U - 基于事件分类和规则树的关联分析装置 - Google Patents
基于事件分类和规则树的关联分析装置 Download PDFInfo
- Publication number
- CN201491020U CN201491020U CN2009201826193U CN200920182619U CN201491020U CN 201491020 U CN201491020 U CN 201491020U CN 2009201826193 U CN2009201826193 U CN 2009201826193U CN 200920182619 U CN200920182619 U CN 200920182619U CN 201491020 U CN201491020 U CN 201491020U
- Authority
- CN
- China
- Prior art keywords
- association analysis
- event
- engine
- event classification
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本实用新型提供了一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块。该关联分析装置在复杂网络环境下自动、及时的分析和发现网络中可能存在的各种攻击行为及异常情况,并及时将关联分析结果通知管理人员,从而实现网络的加固和优化。本实用新型引入事件的分类预处理机制,提高了关联分析的准确度,同时对于攻击及异常行为发现过程可以进行详细的描述,还提供对攻击及异常行为的处理方法,提高安全事件处理效率。
Description
【技术领域】
本实用新型涉及网络安全管理领域,特别涉及一种基于事件分类和规则树的安全事件的关联分析方法和装置。
【背景技术】
随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大,企业越来越依赖信息和网络技术来支持他们在全球市场中的迅速成长和扩大。但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒。现有的网络安全设备,如:防火墙,入侵检测系统,杀毒软件等,在网络异常的情况下会产生各种各样的告警信息,加上服务器本身的系统和应用程序的产生的告警,这些告警错综复杂,而且数量庞大。但是对于每种网络的异常情况在单一的网络设备上是不能确定的,只有将各种设备的告警综合在一起才分析才有可能确定异常的情况。而这个工作对于网络管理员来说是不可能完成的,只有通过关联分析才能准确的发现这些异常情况并且对异常情况提出解决方案。
而现有的关联分析产品主要是安全管理中心(SOC)或者是安全信息管理系统(SIM),其主要是实现了以下的五功能:事件采集、事件储存、事件查询、事件关联分析以及告警通知。
现有的分析方法存在以下的局限性:
1.分析的信息不全面:没有实现和一些边缘信息的关联,如:漏洞信息和端口信息。因为有些告警是有针对性的,可能是对某个漏洞,但是网络安全设备产生这个攻击告警时,告警的目标IP并没有这个漏洞,这可能导致一些误报情况的出现;
2.分析规则的描述性不足:通常只描述日志事件的五元组属性的匹配关系,对于具体的事件类型,事件发生频度,以及多个事件复杂的逻辑和时序关系无法或者很难准确描述;
3.没有提供告警解决方案:用户接到告警后仍然需要到实际的环境中寻找具体的出错和解决方案,这样达不到告警处理的实时性。
【实用新型内容】
本实用新型要解决的技术问题,在于提供一种基于事件分类和规则树的关联分析装置,能从海量的网络信息中发现异常情况,生成日志,并且将这些日志关联成告警,并及时将告警的内容和解决方案以邮件等通知方式发送给管理员,管理员只需要及时根据其中的解决方案进行网络的改进,就可以发现当前网络中存在的隐患,从而实现网络的加固和优化。
本实用新型是这样实现的:一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块;所述事件分类知识库、所述事件分类引擎、所述事件预处理引擎、所述关联分析引擎以及告警响应模块依次连接,所述关联分析规则库则连接至所述关联分析引擎。
本实用新型的优点在于:
(1)实现了分析结果和结果处理机制的融合,即在分析规则满足的情况下产生告警的同时生成该告警的解决方案,这样实现了处理告警的实时性和精确性。
(2)基于事件分类的树形分析规则使得规则的配置更为灵活多变,规则中各个子项的关系一目了然。
(3)预处理机制中实现了基于漏洞,端口打开的检测,IP地址的NAT映射的转换,能够减小各种安全设备事件的误报的概率,为分析提供更多有用的信息。
(4)与原始的以安全设备(例如IDS)为起点的关联分析机制相比,现实了一些非告警事件和告警事件的关联,以事件分类为起点的关联实现了关联分析的多样化,合理化。
【附图说明】
下面参照附图结合实施例对本实用新型作进一步的说明。
图1是关联分析装置的内部结构图。
图2是利用本实用新型关联分析装置进行关联分析方法的流程图。
【具体实施方式】
请参阅图1所示,本实用新型的一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库1、一关联分析规则库2、一事件分类引擎3、一事件预处理引擎4、一关联分析引擎5以及一告警响应模块6;所述事件分类知识库1、所述事件分类引擎3、所述事件预处理引擎4、所述关联分析引擎5以及告警响应模块6依次连接,所述关联分析规则库2则连接至所述关联分析引擎5。其中,
所述事件分类知识库1:用于存放事件分类的详细规则;
所述关联分析规则库2:用于存放关联分析的规则信息;
所述事件分类引擎3:用于接收原始日志事件,并结合所述事件分类知识库1,进行事件的分类分析;
所述事件预处理引擎4:用于对日志事件中的一些内容进行确认和转换;
所述关联分析引擎5:用于输入来自所述事件分类引擎3和所述事件预处理引擎4的输出信息,根据所述关联分析规则库2的信息,输出关联分析结果。
所述告警响应模块6:用于对所述关联分析引擎5输出的高危的关联分析结果和结果的处理方案,及时进行通知响应。
如图2所示,利用本实用新型关联分析装置进行关联分析方法的具体流程,包括以下步骤:
(10)收集原始日志事件:由所述事件分类引擎3进行,其原始日志事件可以来源于各种安全设备、网络设备、主机服务器或者应用系统等;可以是直接采集目标设备的日志,也可以是由第三方日志服务器转发来的日志,为了保证关联分析的准确性,建议对各日志来源设备和采集设备之间进行时间同步。
(20)对原始事件进行规范化:由于原始日志事件格式各异,直接进行分析处理有很大难度,处理的初期将对原始事件进行规范化处理,将格式各异、等级定义不同的事件转换为格式和字段统一的内部事件格式,为下一步的关联分析做好准备。
(30)对规范化事件进行分类分析:由所述事件分类引擎3在规范化事件的基础上,根据系统内建的事件分类知识库,对日志事件进行分类分析。事件分类对各种类型的日志事件进行了详尽的归类定义,包括事件含义、等级以及对应漏洞等信息都有具体规定,这些信息将作为关联分析的重要数据来源。
(40)对事件进行预处理:由于原始日志事件中的一些信息可能存在不准确的情况,所述事件预处理引擎4在关联分析的前期需要对这些不确定的因素进行一次确认的过程,为关联分析提供更为准确的事件源。
(50)规则树建立:所述关联分析引擎5根据系统的所述关联分析规则库2,建立规则树;规则树可以描述的逻辑关系包括:与、或和时序;当事件到来时,将按照已经建立好的逻辑规则树进行逐一匹配。
(61)判断匹配事件会话五元组是否符合规则:根据事件会话的源IP、源端口、目的IP、目的端口以及协议条件,判断日志事件是否符合关联分析规则。
(62)判断匹配事件发生频度是否符合规则:根据一段时间范围内的日志事件重复次数,判断日志事件是否符合关联分析规则。
(63)判断匹配事件分类是否符合规则:根据具体的事件分类信息判断日志事件是否符合关联分析。
(7)判断事件会话是否符合关联分析规则:所述关联分析引擎5根据上述(61)、(62)、(63)三个条件,并综合事件会话的上下文,判断事件会话是否匹配完整的关联分析规则。
(8)关联分析告警:所述告警响应模块6根据关联分析结果以及告警条件,进行关联分析告警及响应,如发送邮件、工单等。
本实用新型提供了基于事件分类及规则树的关联分析方法和装置,采用对收集来的日志事件进行事件分类分析,并采用基于规则树的方式进行各种不同类别事件之间的逻辑关联分析,结合事件会话的五元组信息、发生频度以及上下文信息,综合分析得出关联后的安全事件是否存在攻击及异常行为的检测结果。对于具有高危等级的安全事件进行告警和响应。
Claims (1)
1.一种基于事件分类和规则树的关联分析装置,其特征在于:包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块;
所述事件分类知识库、所述事件分类引擎、所述事件预处理引擎、所述关联分析引擎以及告警响应模块依次连接,所述关联分析规则库则连接至所述关联分析引擎。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009201826193U CN201491020U (zh) | 2009-08-20 | 2009-08-20 | 基于事件分类和规则树的关联分析装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009201826193U CN201491020U (zh) | 2009-08-20 | 2009-08-20 | 基于事件分类和规则树的关联分析装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201491020U true CN201491020U (zh) | 2010-05-26 |
Family
ID=42429885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009201826193U Expired - Fee Related CN201491020U (zh) | 2009-08-20 | 2009-08-20 | 基于事件分类和规则树的关联分析装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201491020U (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790706A (zh) * | 2012-07-27 | 2012-11-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
| CN103544429A (zh) * | 2012-07-12 | 2014-01-29 | 中国银联股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
| CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制系统有限责任公司 | 用于电力二次系统内网安全监视平台的告警解析归并方法 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN105812247A (zh) * | 2016-05-04 | 2016-07-27 | 北京思特奇信息技术股份有限公司 | 一种通过电子邮件处理业务告警信息的方法及系统 |
| CN108229175A (zh) * | 2017-12-28 | 2018-06-29 | 中国科学院信息工程研究所 | 一种多维异构取证信息的关联分析系统及方法 |
| CN109410109A (zh) * | 2018-10-19 | 2019-03-01 | 智器云南京信息科技有限公司 | 一种基于大数据的伴随事件分析方法及系统 |
| CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
| CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
| CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113449290A (zh) * | 2021-06-16 | 2021-09-28 | 中国工程物理研究院计算机应用研究所 | 一款内网多元数据关联分析引擎软件 |
-
2009
- 2009-08-20 CN CN2009201826193U patent/CN201491020U/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103544429B (zh) * | 2012-07-12 | 2016-12-21 | 中国银联股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
| CN103544429A (zh) * | 2012-07-12 | 2014-01-29 | 中国银联股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
| CN102790706B (zh) * | 2012-07-27 | 2015-01-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
| CN102790706A (zh) * | 2012-07-27 | 2012-11-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
| CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制系统有限责任公司 | 用于电力二次系统内网安全监视平台的告警解析归并方法 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN105812247A (zh) * | 2016-05-04 | 2016-07-27 | 北京思特奇信息技术股份有限公司 | 一种通过电子邮件处理业务告警信息的方法及系统 |
| CN108229175A (zh) * | 2017-12-28 | 2018-06-29 | 中国科学院信息工程研究所 | 一种多维异构取证信息的关联分析系统及方法 |
| CN109410109A (zh) * | 2018-10-19 | 2019-03-01 | 智器云南京信息科技有限公司 | 一种基于大数据的伴随事件分析方法及系统 |
| CN109410109B (zh) * | 2018-10-19 | 2020-10-16 | 智器云南京信息科技有限公司 | 一种基于大数据的伴随事件分析方法及系统 |
| CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
| CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
| CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113449290A (zh) * | 2021-06-16 | 2021-09-28 | 中国工程物理研究院计算机应用研究所 | 一款内网多元数据关联分析引擎软件 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN201491020U (zh) | 基于事件分类和规则树的关联分析装置 | |
| Khare et al. | Big data in IoT | |
| Goldman et al. | Information modeling for intrusion report aggregation | |
| CN109361643B (zh) | 一种恶意样本的深度溯源方法 | |
| CN110445807A (zh) | 网络安全态势感知系统及方法 | |
| CN108270785A (zh) | 一种基于知识图谱的分布式安全事件关联分析方法 | |
| US7864037B2 (en) | Pattern-driven communication architecture | |
| CN107666410A (zh) | 网络安全分析系统 | |
| CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及系统 | |
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| CN106371986A (zh) | 一种日志处理运维监控系统 | |
| CN106777222B (zh) | 基于轻量级领域本体的安全设备威胁情报共享方法 | |
| US8086547B2 (en) | Data pattern generation, modification and management utilizing a semantic network-based graphical interface | |
| CN105637519A (zh) | 使用行为辨识系统的认知信息安全性 | |
| CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
| CN113612763B (zh) | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 | |
| CN101242278A (zh) | 网络多步攻击意图在线识别方法 | |
| EP2517437A1 (en) | Intrusion detection in communication networks | |
| CN111988339A (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| CN101119241A (zh) | 一种基于状态检测的协议异常检测方法及系统 | |
| US20220342988A1 (en) | System and method of situation awareness in industrial control systems | |
| CN113347170B (zh) | 一种基于大数据框架的智能分析平台设计方法 | |
| CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
| WO2019084072A1 (en) | GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM | |
| CN113849553A (zh) | 基于物联网设备数据采集的变电站数据采集与处理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 Termination date: 20170820 |