一种用于安全管理中心的日志关联分析方法
【技术领域】
[0001]本发明属于网络安全技术领域,具体涉及一种用于安全管理中心的日志关联分析方法。
【背景技术】
[0002]云计算环境中部署了大量的业务系统,这些业务系统在互联网中需要不同种类的安全设备、安全软件来保护,而自这些不同安全设备、安全软件的海量的、实时的日志信息则表明了当前云计算环境中设备和业务系统的操作、访问及状态,无不体现了当前云计算环境下网络、资产的风险程度。
[0003]仅依赖于某些安全产品,不可能有效地保护自己的整体网络安全,信息安全作为一个整体,需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,才能有效地保障企业的网络安全和保护信息投资。
【发明内容】
[0004]本发明的目的是提供一种用于安全管理中心的日志关联分析方法,解决了现有技术中存在的网络安全级别低且防御不到位的问题。
[0005]本发明所采用的技术方案是,一种用于安全管理中心的日志关联分析方法,具体按照以下步骤实施:
[0006]步骤1、信息录入;
[0007]步骤2、目录关联;
[0008]步骤3、交叉关联;
[0009]步骤4、逻辑关联;
[0010]步骤5、风险评估;
[0011]步骤6、安全信息事件生成。
[0012]本发明的特点还在于,
[0013]步骤I具体为:
[0014]步骤(1.1)、首先,将资产录入安全管理中心的同时,将与资产相关的主机信息包括操作系统类型、服务、端口、漏洞信息同时录入安全管理中心系统;
[0015]步骤(1.2)、其次,录入安全设备日志字典,同时录入每条日志代表的攻击行为发生的优先级、可靠性、攻击行为适用的操作系统类型、针对的服务和端口 ;
[0016]步骤(1.3)、再次,定期地对已经录入的资产进行漏洞扫描,并将漏洞信息更新到安全管理中心中;
[0017]步骤(1.4)、然后,将安全设备描述攻击行为的日志类型与攻击行为针对的漏洞信息相关联,并储存在安全管理中心中;
[0018]步骤(1.5)、期间,在安全运维过程中,一旦遇到攻击行为,记录安全设备的响应顺序、安全设备间的响应间隔以及安全设备产生的日志信息,生成一条完整的关联规则链,关联规则链中的每一节点包含对应的安全设备类型和日志信息类型、攻击行为发生的可靠性以及与之后节点日志信息出现的时间间隔和优先级,有些不同的攻击行为之间存在前期行为相似后期行为不同的情况,那么反应到安全设备上则是前期响应相同后期响应不同,将这几种相似的攻击行为生成的完整的关联规则链的相同部分结合,不同部分分开,形成一种树状结构,即为关联规则树;
[0019]步骤(1.6)、最后,在安全运维过程中,将遇到的攻击行为记录到知识库当中,并根据攻击行为对当前网络内资产的威胁程度记录攻击行为的优先级。
[0020]步骤2具体为:
[0021]步骤(2.1)、当安全管理中心接收到所述步骤I送来的日志信息之后,会将其放入消息队列当中,并实时查询消息队列;
[0022]步骤(2.2)、从消息队列中顺序依次取出日志信息,进行目录关联即将日志信息代表的攻击行为与资产进行关联,当两者的操作系统类型、服务、端口相匹配时,每匹配一种特性,相应提高一级此类攻击行为发生的可靠性;
[0023]步骤(2.3)、当日志信息通过目录关联处理完成之后,重新被返还给安全管理中心。
[0024]步骤3具体为:
[0025]步骤(3.1)、安全管理中心将经过目录关联处理过后返回的日志信息进行交叉关联继续处理;
[0026]步骤(3.2)、首先从数据库中查询该条日志信息代表的攻击行为适用的漏洞种类,同时查询目标资产是否存该种类型的漏洞,如果存在,则会设置日志信息的可靠性为十级,同样,一旦漏洞信息并不适用,则会设置日志信息的可靠性为零级;
[0027]步骤(3.3)、当日志信息通过交叉关联处理完成之后,重新被返还给安全管理中心。
[0028]步骤4具体为:
[0029]步骤(4.1)、安全管理中心将经过交叉关联处理过后返回的日志信息进行逻辑关联继续处理;
[0030]步骤(4.2)、安全管理中心将每一条关联规则树分为多个层级,具体处理方法如下:
[0031]步骤(4.2.1)、当处理第一条日志信息的时候,安全管理中心首先会去匹配每一条关联规则树的根部节点,如果节点与日志类型相匹配,那么该条关联规则树自动前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
[0032]步骤(4.2.2)、当处理下一条日志信息的时候,如果能匹配到当前层级的某一个节点,那么该条关联规则树沿着这条树枝前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
[0033]步骤(4.2.3)、循环所述步骤(4.2.2),直到匹配到关联规则树的叶节点,或者超出当前一级的超时时间仍未匹配到下一级,结束步骤(4.2.2)的循环处理;
[0034]步骤(4.2.4)、如果匹配了关联规则树的一条完整的树枝,那么该类攻击行为的可靠性将为十级,优先级将为树叶节点所描述的优先级,代表此类攻击行为已经发生;
[0035]步骤(4.3)、当日志信息通过逻辑关联处理完成之后,重新被返还给安全管理中心。
[0036]步骤5具体为:
[0037]步骤(5.1)、安全管理中心将经过逻辑关联处理过后返回的日志信息进行交风险评估,继续处理;
[0038]步骤(5.2)、风险评估会对日志信息进行优先级修正:首先查询所述步骤I中描述的知识库中是否记录有日志信息描述的攻击行为种类,一旦两者匹配成功,则会设置日志信息的优先级为知识库中攻击行为的优先级。
[0039]步骤(5.3)、然后根据日志信息对资产进行危害级别、攻击级别的修正,日志信息的优先级,可靠性超过安全管理中心设置的阀值时,则被确定为一种攻击行为并产生告警,将其攻击目的所在网络域的危害级别升高一级,代表攻击行为会威胁同网络域内其他资产,将攻击发生源所在资产的攻击级别提高一级,代表对网络域内其他资产进行威胁。
[0040]步骤6具体为:
[0041]当步骤5执行完成后,最终将可靠性达到三级的日志信息作为告警信息,进行人工分析,并最终生成安全事件进行处理。
[0042]本发明的有益效果是,一种用于安全管理中心的日志关联分析方法,通过信息录入、目录关联、交叉关联、逻辑关联、风险评估、安全信息事件生成这几步骤,将安全管理中心系统所采集的日志信息与资产信息相关联,通过不断升级定制的关联规则进行综合的智能分析,去除大量没有响应价值的(误报的、低优先级的、低风险的、干扰性的)告警事件,精化出具备响应价值的安全事件,整个过程精细可控,网络安全性高。
【附图说明】
[0043]图1是本发明一种用于安全管理中心的日志关联分析方法的流程图。
【具体实施方式】
[0044]下面结合附图和【具体实施方式】对本发明进行详细说明。
[0045]本发明一种用于安全管理中心的日志关联分析方法,流程图如图1所示,具体按照以下步骤实施:
[0046]步骤1、信息录入,具体为:
[0047]步骤(1.1)、首先,将资产录入安全管理中心的同时,将与资产相关的主机信息包括操作系统类型、服务、端口、漏洞信息同时录入安全管理中心系统;
[0048]步骤(1.2)、其次,录入安全设备日志字典,同时录入每条日志代表的攻击行为发生的优先级、可靠性、攻击行为适用的操作系统类型、针对的服务和端口 ;
[0049]步骤(1.3)、再次,定期地对已经录入的资产进行漏洞扫描,并将漏洞信息更新到安全管理中心中;
[0050]步骤(1.4)、然后,将安全设备描述攻击行为的日志类型与攻击行为针对的漏洞信息相关联,并储存在安全管理中心中;
[0051]步骤(1.5)、期间,在安全运维过程中,一旦遇到攻击行为,记录安全设备的响应顺序、安全设备间的响应间隔以及安全设备产生的日志信息,生成一条完整的关联规则链,关联规则链中的每一节点包含对应的安全设备类型和日志信息类型、攻击行为发生的可靠性以及与之后节点日志信息出现的时间间隔和优先级,有些不同的攻击行为之间存在前期行为相似后期行为不同的情况,那么反应到安全设备上则是前期响应相同后期响应不同,将这几种相似的攻击行为生成的完整的关联规则链的相同部分结合,不同部分分开,形成一种树状结构,即为关联规则树;
[0052]步骤(1.6)、最后,在安全运维过程中,将遇到的攻击行为记录到知识库当中,并根据攻击行为对当前网络内资产的威胁程度记录攻击行为的优先级。
[0053]步骤2、目录关联,具体为:
[0054]步骤(2.1)、当安全管理中心接收到所述步骤I送来的日志信息之后,会将其放入消息队列当中,并实时查询消息队列;
[0055]步骤(2.2)、从消息队列中顺序依次取出日志信息,进行目录关联即将日志信息代表的攻击行为与资产进行关联,当两者的操作系统类型、服务、端口相匹配时,每匹配一种特性,相应提高一级此类攻击行为发生的可靠性;
[0056]步骤(2.3)、当日志信息通过目录关联处理完成之后,重新被返还给安全管理中心。
[0057]步骤3、