一种基于安全管理平台的改进交叉关联方法及系统的制作方法

一种基于安全管理平台的改进交叉关联方法及系统的制作方法
【专利摘要】本发明提供了一种基于安全管理平台的改进交叉关联方法及系统，该方法包括在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state。本发明提高了交叉关联算法的正确性和有效性，降低了安全管理平台产生误告警以及冗余告警信息的概率。
【专利说明】一种基于安全管理平台的改进交叉关联方法及系统

【技术领域】
[0001] 本发明涉及计算机【技术领域】，具体涉及一种基于安全管理平台的改进交叉关联方 法及系统。

【背景技术】
[0002] 安全管理平台集成了多种网络安全设备例如防火墙，入侵检测工具，漏扫工具，资 产扫描工具等的日志信息，并根据不同的算法提取出有效的日志，转换成安全事件进行关 联分析，并根据一定的计算公式计算事件的风险值，产生新的告警信息。为了减少无效的报 警，将入侵检测获得的信息与漏洞扫描获得的信息进行关联，判断系统是否容易受到某种 安全事件的威胁，从而决定是否产生相应的报警。这种关联方法也称为漏洞关联，在一定程 度上有助于识别系统中的误报警。除了将入侵检测信息与漏洞信息进行关联外，现有的安 全管理平台还增加了其他安全检测信息之间的关联，比如防火墙与漏洞信息之间的关联， 这种关联方法也可以统一的称为交叉关联方法。
[0003] 现有的交叉关联技术在上报的安全事件出现较大的时间延误或者某个漏洞已经 被处理，但未及时更新的情况时，容易造成重复处理，或错误的处理，降低了交叉关联的效 率。


【发明内容】

[0004] 针对现有技术的不足，本发明提供一种基于安全管理平台的改进交叉关联方法及 系统，提高了交叉关联算法的正确性和有效性，降低了安全管理平台产生误告警以及冗余 告警信息的概率。
[0005] 为实现上述目的，本发明通过以下技术方案予以实现：
[0006] -种基于安全管理平台的改进交叉关联方法，该方法包括：
[0007] S1.在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使 改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_ reference、关联事件类型号sid_reference、关联事件状态state ;其中，所述关联事件状 态 state 的值为 old、closed 或 new ;
[0008] S2.对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进 的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；否则， 丢弃该事件；
[0009] S3.判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则 判断关联事件状态state,若state为new,执行步骤S4 ;若state为old,执行步骤S5 ;若 state为closed,执行步骤S6 ;如果ip不匹配，则丢弃该关联事件；
[0010] S4.提升所述关联事件的优先级；
[0011] S5.判断state为old状态持续时间是否超过预设的阈值，若是，丢弃该关联事件； 否则，提升所述关联事件的优先级；
[0012] S6.丢弃该关联事件。
[0013] 优选地，所述事件的目的ip为受攻击的主机ip或网段ip。
[0014] 优选地，该方法还包括：对于状态为closed的事件，根据该事件设备号id、事件类 型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。
[0015] 优选地，该方法还包括：每隔设定的时间间隔，将交叉关联表中状态为closed的 事件记录清除。
[0016] 优选地，该方法还包括：判断关联事件是否产生告警，若产生告警，则存储两个关 联事件，其中，判断关联事件是否产生告警的方法为：
[0017] S51.设定告警阈值；
[0018] S52.获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根 据公式：risk =(可靠性*优先级*ip主机重要性）/预设值，分别计算该关联事件在源 ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险 值；
[0019] S53.判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警， 否则，不告警。
[0020] 一种基于安全管理平台的改进交叉关联系统，该系统包括：
[0021] 交叉关联表设置模块，用于在传统的交叉关联表的基础之上增加事件目的ip和 状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型 号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态 state ;其中，所述关联事件状态state的值为old、closed或new ;
[0022] 改进交叉关联表更新模块，用于对于状态为new的事件，根据该事件设备号id、事 件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述 改进的交叉关联表中；
[0023] 匹配判断模块，用于判断所述事件的目的ip与其关联事件的目的ip是否匹配，如 果ip匹配，则执行关联状态判断模块；如果ip不匹配，则执行第二执行模块；
[0024] 关联状态判断模块，用于判断关联事件状态state，若state为new，执行第一执行 模块；若state为old,执行超时判断模块；若state为closed,执行第二执行模块；
[0025] 超时判断模块，用于判断state为old状态持续时间是否超过预设的阈值，若是， 执行第二执行模块；否则，执行第一执行模块；
[0026] 第一执行模块，用于提升所述关联事件的优先级；
[0027] 第二执行模块，用于丢弃该关联事件。
[0028] 优选地，所述事件的目的ip为受攻击的主机ip或网段ip。
[0029] 优选地，该系统还包括closed状态事件处理模块，用于对状态为closed的事件， 根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将 关联事件的状态改为closed。
[0030] 优选地，该系统还包括记录清除模块，用于每隔设定的时间间隔，将交叉关联表中 状态为closed的事件记录清除。
[0031] 优选地，该系统还包括告警模块，包括告警判断单元和存储单元，告警判断单元用 于判断关联事件是否产生告警，若产生告警，并则执行存储单元；
[0032] 存储单元，用于存储两个关联事件；
[0033] 其中，告警判断单元包括：
[0034] 告警阈值设定子单元，用于设定告警阈值；
[0035] 风险值计算子单元，用于获取所述关联事件的优先级、可靠性、源ip和目地ip主 机的资产重要性，根据公式：risk =(可靠性*优先级*ip主机重要性）/预设值，分别计 算该关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所 述关联事件的风险值；
[0036] 判断子单元，用于判断所述关联事件的风险值是否超过设定的告警阈值，若超过， 则产生告警，否则，不告警。
[0037] 本发明至少具有如下的有益效果：
[0038] 现有技术不能实时的对安全事件进行处理，需要经常更新漏洞库，以保证关联的 正确性。本发明在关联方法中考虑了安全事件的状态，能够保证对系统实时安全状态的处 理，以受攻击主机的ip做为关联的一个条件，则能够更产生更准确的关联结果，减少误报 和冗余告警事件，减轻安全管理平台处理报警的压力。

【专利附图】

【附图说明】
[0039] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明 的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据 这些附图获得其他的附图。
[0040] 图1是本发明一个实施例中基于安全管理平台的改进交叉关联的流程图；
[0041] 图2是本发明一个实施例中基于安全管理平台的改进交叉关联系统的结构示意 图。

【具体实施方式】
[0042] 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例 中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是 本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0043] 交叉关联算法是关联分析模块的一个重要的算法，其主要思想是根据交叉关联表 判断两个事件是否相关，从而产生新的关联事件。传统的交叉关联表中只有确定事件类别 的id (产生事件的设备号）和sid (该设备产生的事件类型号）属性对，以及与之相关联事 件的属性对。详细的关联表如下：
[0044] 表一：传统的交叉关联表 [0045]

【权利要求】
1. 一种基于安全管理平台的改进交叉关联方法，其特征在于，该方法包括：
51. 在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改 进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_ reference、关联事件类型号sid_reference、关联事件状态state ;其中，所述关联事件状 态 state 的值为 old、closed 或 new ;
52. 对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交 叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；否则，丢弃 该事件；
53. 判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则判断 关联事件状态state,若state为new,执行步骤S4 ;若state为old,执行步骤S5 ;若state 为closed,执行步骤S6 ;如果ip不匹配，则丢弃该关联事件；
54. 提升所述关联事件的优先级；
55. 判断state为old状态持续时间是否超过预设的阈值，若是，丢弃该关联事件；否 贝1J，提升所述关联事件的优先级；
56. 丢弃该关联事件。
2. 根据权利要求1所述的方法，其特征在于，所述事件的目的ip为受攻击的主机ip或 网段ip。
3. 根据权利要求1所述的方法，其特征在于，该方法还包括：对于状态为closed的事 件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事 件，将关联事件的状态改为closed。
4. 根据权利要求1所述的方法，其特征在于，该方法还包括：每隔设定的时间间隔，将 交叉关联表中状态为closed的事件记录清除。
5. 根据权利要求1所述的方法，其特征在于，该方法还包括：判断关联事件是否产生告 警，若产生告警，则存储两个关联事件，其中，判断关联事件是否产生告警的方法为：
551. 设定告警阈值；
552. 获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根据公 式：risk =(可靠性*优先级*ip主机重要性）/预设值，分别计算该关联事件在源ip和 目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险值；
553. 判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否 贝1J，不告警。
6. -种基于安全管理平台的改进交叉关联系统，其特征在于，该系统包括： 交叉关联表设置模块，用于在传统的交叉关联表的基础之上增加事件目的ip和状态 state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、 关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state ;其 中，所述关联事件状态state的值为old、closed或new ; 改进交叉关联表更新模块，用于对于状态为new的事件，根据该事件设备号id、事件类 型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进 的受叉关联表中； 匹配判断模块，用于判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip 匹配，则执行关联状态判断模块；如果ip不匹配，则执行第二执行模块； 关联状态判断模块，用于判断关联事件状态state，若state为new，执行第一执行模 块；若state为old,执行超时判断模块；若state为closed,执行第二执行模块； 超时判断模块，用于判断state为old状态持续时间是否超过预设的阈值，若是，执行 第二执行模块；否则，执行第一执行模块； 第一执行模块，用于提升所述关联事件的优先级； 第二执行模块，用于丢弃该关联事件。
7. 根据权利要求6所述的系统，其特征在于，所述事件的目的ip为受攻击的主机ip或 网段ip。
8. 根据权利要求6所述的系统，其特征在于，该系统还包括closed状态事件处理模块， 用于对状态为closed的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉 关联表，若查找到关联事件，将关联事件的状态改为closed。
9. 根据权利要求6所述的系统，其特征在于，该系统还包括记录清除模块，用于每隔设 定的时间间隔，将交叉关联表中状态为closed的事件记录清除。
10. 根据权利要求6所述的系统，其特征在于，该系统还包括告警模块，包括告警判断 单元和存储单元，告警判断单元用于判断关联事件是否产生告警，若产生告警，并则执行存 储单元； 存储单元，用于存储两个关联事件； 其中，告警判断单元包括： 告警阈值设定子单元，用于设定告警阈值； 风险值计算子单元，用于获取所述关联事件的优先级、可靠性、源ip和目地ip主机的 资产重要性，根据公式：risk =(可靠性*优先级*ip主机重要性）/预设值，分别计算该 关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关 联事件的风险值； 判断子单元，用于判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产 生告警，否则，不告警。
【文档编号】H04L29/06GK104052739SQ201410218900
【公开日】2014年9月17日 申请日期:2014年5月22日 优先权日:2014年5月22日
【发明者】刘仙凤 申请人:汉柏科技有限公司