专利名称:安全事件关联分析方法和系统的制作方法
技术领域:
本发明涉及网络安全技术领域,具体涉及一种安全事件关联分析方法和系统。
背景技术:
随着计算机技术和网络技术的发展,安全性问题越来越受到重视。常见的安全设备有防火墙、入侵检测系统(IDSIntrusion Detection System)、证书授权(CACertificate Authority)系统、完整性检查工具、杀毒软件等。这些安全组件会在异常情况出现时产生报警信息。此外,一些系统和应用程序也会产生安全相关的日志。这些报警信息和日志通称为原始报警事件。来源不同的原始报警事件往往彼此重叠、关联或者相互依赖,而且数据量庞大,使得安全管理工作变得越来越复杂,安全管理员需要应对大量具有冗余性且彼此关系错综的报警信息;此外,很多网络攻击行为仅依靠单一的安全组件是无法检测到的,只有将各组件产生的事件报警进行关联分析和综合判断,才能准确发现并及时制止这些攻击。要解决这些问题,必须采用关联分析技术,目前主要的关联分析技术包括如下几种一、斯坦福国际研究所(SRI InternationalStanford Research InstituteInternational)的系统设计实验室提出的基于攻击建模的规则关联方法。设计步骤为建立详细的攻击描述库,从条件、环境等多个角度对每种攻击进行描述;建立用于分析攻击特征的自动机,对攻击描述库进行处理,产生关联规则;建立报警匹配机,根据关联规则对原始报警事件进行模式匹配并产生安全事件。
此方法的缺点在于依赖于对攻击场景预先进行合理准确的描述,如果攻击过程中包含未知的或未被检测到的攻击步骤,则无法进行关联处理,因此对于新的或未知的攻击方式没有防范能力。
二、基于前提/结果的关联技术。该技术是对上述SRI关联技术的改进,主要处理流程如下预先建立各种攻击步骤的前提(prerequisites)和结果(consequences);对前面报警的结果和后续报警的前提进行匹配以达到关联目的;根据匹配情况建立多步攻击的场景。
该方法使用超报警(Hyper-Alert)来表示报警的前提和结果,生成的攻击场景用超报警关联图(Hyper-Alert Correlation Graph)来表示,在关联图的基础上,可进一步进行基于人机交互的事件分析功能。这种方法不再依赖于预先定义的攻击场景,但关联性能取决于对攻击的建模,即针对每项报警设定的前提和结果,对于新的或未知的攻击模式仍然缺乏识别和防范能力。
三、聚类关联技术。聚类关联采用的是一种算法,而不是规则匹配的方式关联。这种方法的处理方式如下针对事件中每个字段设计相似性函数,用于计算两个事件的对应字段之间的相似程度;在上一步的基础上,针对事件本身设计相似性函数,用于计算两个事件之间相似的程度;处理原始报警事件时,将彼此相似的事件关联起来,利用调节函数参数的方法,从不同角度得到不同层次的结果。
此方法的缺点在于采用统计的方式进行处理,得出的结果往往缺乏明确的实际意义。
发明内容
本发明的目的在于提供一种既具有未知攻击防范能力又能够尽量获得准确结论的安全事件关联分析方法和系统。
为达到本发明的目的,所采取的技术方案是一种安全事件关联分析方法,包括收集原始报警事件;对原始报警事件分别进行基于规则的关联分析和基于统计的关联分析;对规则关联和统计关联分别产生的安全事件进行仲裁,获得唯一的安全事件。
优选的是,在对原始报警事件进行关联分析之前,还按照预置的过滤规则对原始报警事件进行过滤。
进一步优选的是,缓存收集到的原始报警事件,按照预置的过滤规则直接从缓存队列中将满足过滤规则的原始报警事件删除,然后再对缓存中的原始报警事件进行关联分析。
所述基于统计的关联分析优选包括统计原始报警事件在指定属性上的分布;当某个或某几个属性层面上原始报警事件的累计威胁度超过阈值时,产生安全事件。
所述指定属性可包括源地址、目的地址、协议和端口三个属性。
优选的是,在基于统计的关联分析产生安全事件后,还对所述安全事件对应的原始报警事件序列进行数据挖掘,产生基于规则的关联分析适用的关联规则。
所述数据挖掘优选包括以支持度大于指定阈值为判断依据,找出原始报警事件序列中表明攻击过程的事件类型序列作为规则序列;对于每条规则序列,针对其各个节点的各个属性,分别统计所有实例的对应值,将大于最小置信度的值作为该属性的备选项;对于每条规则序列,统计所有实例不同节点属性值之间的相似关系,确定规则中属性的依赖关系。
本发明还提供一种安全事件关联分析系统,包括事件队列模块、规则关联模块、统计关联模块、结构分析模块;所述事件队列模块收集和缓存原始报警事件,分别提供给所述规则关联模块和统计关联模块;所述规则关联模块按照预置的关联规则对原始报警事件进行模式匹配,根据匹配结果产生安全事件;所述统计关联模块统计原始报警事件基于属性的分布,根据统计结果产生安全事件;所述结构分析模块从所述规则关联模块和统计关联模块接收安全事件,进行仲裁获得唯一的安全事件。
优选的是,上述安全事件关联分析系统还包括事件过滤模块,所述事件过滤模块按照预置的过滤规则对所述事件队列模块收集的原始报警事件进行过滤,将满足过滤规则的原始报警事件从队列中删除。
优选的是,上述安全事件关联分析系统还包括规则挖掘模块和引擎控制模块;所述规则挖掘模块接收所述统计关联模块产生的安全事件,对所述安全事件对应的原始报警事件序列进行数据挖掘,产生关联规则,上报给所述引擎控制模块;所述引擎控制模块将所述规则挖掘模块生成的关联规则,直接或提交控制台确认后动态更新到所述规则关联模块中。
采用上述技术方案,本发明有益的技术效果在于1)本发明采用规则关联和统计关联并行的方法,通过仲裁获得唯一的安全事件,使得两种关联方式的优缺点彼此互补,既能够获得既知攻击的准确检测又保持了对未知攻击的防范能力;并且,当某个关联方式出现故障无法工作时,另一个仍然可以继续处理原始报警事件,提高了系统的健壮性;2)本发明进一步采用将对统计关联进行数据挖掘获得的规则应用于规则关联的方法,既避免了统计关联的模糊性又赋予了规则关联对未知攻击的检测能力,使得整个检测体系能够不断自学习和发展,更加适应复杂网络安全环境的需要;3)本发明还提供了基于属性分布的统计关联方法,使原始报警事件的聚类分析更加方便和灵活,同时也具有更为明确的含义,便于快速准确的获得所关心的相关事件组;4)本发明所提供的优选的数据挖掘方法能够准确全面的对统计获得的安全事件所隐含的多步攻击行为进行分析,提高系统对未知攻击的检测识别能力。
下面通过具体实施方式
并结合附图对本发明作进一步的详细说明。
图1是本发明实施例一安全事件关联分析方法流程示意图;图2是本发明实施例一规则关联中的攻击逻辑图示例;图3是本发明实施例一统计关联所使用的Matrix结构示意图;图4是本发明实施例二安全事件关联分析方法流程示意图;图5是本发明实施例三安全事件关联分析系统模块结构示意图;图6是本发明实施例四安全事件关联分析系统模块结构示意图。
具体实施例方式
本发明提供了一种安全事件关联分析方法和系统,其核心思想是,采用规则关联和统计关联并行机制,通过仲裁获得唯一的安全事件,以实现两种关联方式的优势互补,弥补各自的缺陷。本发明进一步提出,将对统计关联进行数据挖掘获得的规则应用于规则关联,从更深层次上进行两种关联方式的融合,既避免了统计关联的模糊性又赋予了规则关联对未知攻击的检测能力,提高整个检测体系的自学习能力。本发明还提供了优选的统计关联方法和数据挖掘方法,来提高相应处理过程的效率和准确度。以下分别对本发明方法和系统进行详细说明。
实施例一、一种安全事件关联分析方法,流程如图1所示,包括A1、收集原始报警事件;原始报警事件来自于各种安全设备或管理程序,例如防火墙、IDS、杀毒软件、系统日志等,原始报警事件的采集可以是集中式的也可以来源于分布式系统,为便于进行后续过程的处理,最好对收集到的原始报警事件进行缓存和过滤,包括A11、缓存收集到的原始报警事件;通常可以将原始报警事件按照时间顺序以事件队列的形式进行存放;A12、按照预置的过滤规则对原始报警事件进行过滤;此步骤对原始报警事件进行简单的处理,例如去除错误和重复的报警,或使用一些简单的规则使报警信息的收集具有一定的目的性或倾向性,以减少后续过程的处理量等;例如,某个内部网络只使用了192.168.0.1~192.168.0.64的地址空间,则可采用一个去除规则“过滤目的地址不在192.168.0.1~192.168.0.64内的报警”,将所有错误和无关的报警信息过滤掉;又如,当事件处理繁忙时,为了兼顾安全性和效率,可以定制规则“忽略威胁级别小于5的报警”以避免大量的低级别报警事件对系统处理资源的消耗;再如,在上例中,若目的地址192.168.0.1是受重点保护的服务器,需要收集任何级别的报警事件以便全面保护,则可进一步定制规则“保留目的地址为192.168.0.1的报警”,使指向该服务器的报警事件能够全部获得处理;A13、将满足过滤规则的原始报警事件从缓存队列中删除,当然,为保留完整的安全数据信息,也可以将所有的原始报警事件备份到数据库中;A2、对原始报警事件分别进行基于规则的关联分析和基于统计的关联分析;两种关联分析方式可以同时或异步的运行,各自读取事件队列中的原始报警事件进行处理,具体说明如下A21、基于规则的关联分析,可采用现有的各种规则匹配分析方式,本例中采用组织形式匹配的方式,将原始报警事件序列与预置的描述复合攻击的关联规则进行模式匹配,一旦符合则产生安全事件;为保证对逻辑结果的准确表现,从本质上反映复合攻击的组织形式,本发明采用严格定义的规则语法来描述关联规则,定义关联规则中一组单步攻击包含如下三种组织关系序列关系以“SEQ”表示,单步攻击之间有严格的因果关系,后一个单步攻击必须建立在前一个单步攻击的基础上;并列关系以“AND”表示,单步攻击之间没有直接关系,但是必须都完成后才能进行下一步攻击;选择关系以“OR”表示,数种单步攻击可实现相同效果,完成任何一种即可进行下一步攻击;关联规则的组织即反映以上三种关系。每个规则项必须有“类型”属性,其值为“SEQ”、“AND”、“OR”或“NONE”。前3者表示其下属规则项的组织关系,不是真正的匹配项,而“NONE”则表示实际的关联匹配项。所有规则项以严格的树型结构来组织,每个叶节点必须是“NONE”类型的规则项,而每个非叶节点必须是“SEQ”、“AND”或“OR”类型的规则项。图2以攻击逻辑图的形式给出了上述规则语法表示的关联规则的一个示例。图2中规则项2、3、4、6、7为叶节点,是真正的匹配项,其类型为“NONE”;规则项0、1、5为非叶节点,规则项1的类型为“OR”,表示匹配项2、3只需择一完成;规则项5的类型为“AND”,表示匹配项6、7需全部完成;规则项0的类型为“SEQ”,表示规则项1、4、5所对应事件应顺序完成。规则项之间的连线表示彼此之间的关系,图2中单实线箭头表示该箭头所指向的节点是该箭头起始节点的父节点(parent),双线箭头表示该箭头所指向的节点是该箭头起始节点的子节点(child),虚线箭头表示该箭头所指向的节点是该箭头起始节点的下一个兄弟节点,“null”则表示箭头指向为空。
此外,还可以使用预定义的关键字,在关联规则中表示原始报警事件属性之间的联系,例如用occurrence和count表示对重复出现的报警次数进行统计;用timeout表示事件之间的间隔时间;另外,还可使用规则引用的方式,以之前发生的报警事件的属性(例如源地址、目的地址等)来表示后续需要匹配的报警事件的属性。
将原始报警事件序列与按照上述规则语法进行描述的关联规则进行模式匹配,即可获得具有准确含义的安全事件;A22、基于统计的关联分析,可采用现有的聚类关联技术,但一般需要耗费相当多的时间和资源,本实施例中采用本发明提供的优选统计关联方法,包括A221、统计原始报警事件在指定属性上的分布;从实际应用角度考虑,原始报警事件的属性中有三个方面最为重要源地址、目的地址、协议和端口,也就是说所关注的是对特定目标的攻击程度、从特定来源发起的攻击、攻击所针对的协议和端口,当然也包括上述属性的组合结果;基于这三个属性的统计空间可以用图3所示的数据结构来表示,在本文中称其为Matrix结构。在该结构中,由三条双向链表来表示三个维度,分别代表源地址、目的地址、协议和端口。由每两个维度引出的节点,例如图3中的A节点,构成三个二维双向链表,作为Matrix的三个面,表示任意两个属性组合的结果。由这些面引出的节点,例如图3中的B节点,构成一个三维双向链表,表示同时关注三个属性的情况;每一个进行处理的原始报警事件都被加入到Matrix结构中,其在Matrix中的位置分布决定了其在不同属性层面上的威胁程度;A222、当某个或某几个属性层面上原始报警事件的累计威胁度超过阈值时,产生安全事件;这些统计累积产生的异常情况由于与三个属性密切相关,因此可以通过对其分布区域的分析赋予相应的安全事件较为明确的含义,主要表现为以下几种类型强针对性攻击由较集中的攻击来源,针对单一的目标地址和端口进行的攻击。例如攻击者对特定主机上可能存在漏洞的服务多次尝试进行攻击;
端口分散式攻击由较集中的攻击来源,针对单一的目标地址的不同端口进行的攻击;例如端口扫描;来源分散式攻击由较分散的攻击来源,针对单一的目标地址和端口进行的攻击;例如分布式拒绝服务(DDoS)攻击;目的分散式攻击由较集中的攻击来源,针对分散目标地址的单一端口进行的攻击;例如主机扫描;来源集中式攻击由较集中的攻击来源,针对分散的目标地址和端口进行的攻击;例如病毒或蠕虫传播的初始阶段;目的集中式攻击由较分散的攻击来源,针对单一目标地址的不同端口进行的攻击;例如很多分布式攻击行为都呈现这一特征;端口集中式攻击由较分散的攻击来源,针对分散目标地址的同一端口进行的攻击;例如蠕虫传播,或DDoS攻击之前自动寻找傀儡机的过程;采用上述基于Matrix数据结构的统计关联分析方法,能够快速有效的进行数据处理,产生有意义的安全事件,并能够获得范围准确且覆盖全面的对应事件组,与现有统计关联方法相比具有高效、准确的优点;A3、对规则关联和统计关联分别产生的安全事件进行仲裁,获得唯一的安全事件;由于规则关联和统计关联采用并行机制,各自依据不同的方式对原始报警事件队列进行处理,有可能产生重复甚至相互冲突的安全事件报告,通过仲裁可以解决这种情况,获得唯一的安全事件;仲裁可采用对双方产生的安全事件进行结构分析和比对的方法,摈弃掉相较而言含义不清无明显意义的结果,由于规则关联的结果具有含义明确、可信度较高的特点,因此在实际应用中可以以规则关联的结果为主要导向,而当出现未知攻击,通过规则关联未产生安全事件而通过统计关联获得了具有一定意义的安全事件时,以统计关联的结果为准。
实施例二、一种安全事件关联分析方法,流程如图4所示,包括B1、收集原始报警事件;B21、对原始报警事件进行基于规则的关联分析;B22、对原始报警事件进行基于统计的关联分析;
B3、对规则关联和统计关联分别产生的安全事件进行仲裁,获得唯一的安全事件;上述步骤的具体执行方法与实施例一中的相应步骤相同,本实施例与实施例一的区别之处在于,在步骤B22对原始报警事件进行统计关联并产生安全事件后,还利用对安全事件的数据挖掘获得规则关联分析中适用的关联规则,具体可采用如下方法B231、以支持度大于指定阈值为判断依据,找出原始报警事件序列中表明攻击过程的事件类型序列作为规则序列;每个由统计关联产生的安全事件,都是一个原始报警事件的集合。集合中的事件可以按发生时间进行排序,其类型产生一个事件类型序列。在这些序列中,有的事件是攻击过程的一部分,而有的只是误报。当一种新的攻击序列出现,并在短时间内发生了多次时,该攻击所形成的事件类型序列,就会出现在多个安全事件中。然而,由于存在误报事件,对应攻击过程的事件类型序列往往只是该序列的一个子序列。因此需要消除误报的影响,找出真正表明攻击过程的事件类型序列,支持度作为某子序列在整个事件序列中的出现频度,是一个较好的判断依据,当支持度大于一定值时,可以认为该子序列可能代表了某种攻击过程。具体可采用如下处理过程1)按照发生时间,对每个安全事件所对应的原始报警事件进行排序;2)寻找所有安全事件中出现频率大于最小支持度的原始事件类型,作为基本类型集,优化上一步产生的序列,去除所有非基本类型单元;3)以基本类型集作为一阶频繁集,将其中的项组合而产生二阶备选集,按照备选集遍历事件类型序列而找出二阶频繁集,以此类推,产生三阶备选集和频繁集等等,直到找出全部频繁集。由于关联分析主要用于检测有多个步骤的复合攻击,因此,还可以限定所寻找规则序列的长度大于指定值。
B232、对于每条规则序列进行纵向关联,即,针对其各个节点的各个属性,分别统计所有实例的对应值,将大于最小置信度的值作为该属性的备选项;规则中的每个节点都具有源地址、目的地址、协议、源端口、目的端口、发生时间等属性。因此,进行数据挖掘的一个主要目的就是获得这些属性的可能值,假设在上一步骤中得到长度为M规则序列RS,其对应N个原始报警事件中的子序列,称为RS的N个实例,分别记为S1,S2…SN。可以采用置信度作为规则序列各节点属性的选择依据,置信度是某属性值在所有实例中的出现频度。针对规则中每个节点的每个属性,统计其所有实例中的对应值,将所有超过最小置信度的值作为该属性的备选项。例如,特定步骤的攻击可能主要针对特定端口或特定的服务器,那么规则中该项的端口属性或地址属性就应该为对应出现频度最高的值。
B233、对于每条规则序列进行横向关联,即,统计所有实例不同节点属性值之间的相似关系,确定规则中属性的依赖关系;规则中的各个节点不仅在排列顺序上相关,其各自属性值往往也相互关联。例如多步攻击中,后一步攻击往往与前一步针对同一目标地址,而蠕虫传播往往针对不同目标的同一端口等等。因此需要针对规则的所有实例,统计其中不同节点属性值间的相似关系,从而明确规则中属性的依赖关系。
这样确定了各个规则项的属性以及属性间的依赖关系,即可生成可用于规则分析中的关联规则。当然,由数据挖掘自动获得的关联规则也有可能是含义模糊或无意义的,为保证规则的有效性可以将挖掘出的规则提交给管理员进行确认后,再应用到规则关联中。当然,为保证安全系统对突发未知攻击的防卫能力,也可以采用将挖掘到的规则即时应用到规则关联分析中,但限制其生效时间,或根据其在设定使用时间内被有效匹配的频度来确定其有效周期等策略。
本实施例将统计关联对未知攻击的侦测能力进一步强化为规则关联的准确判断,使得本发明安全事件关联分析方法能够有自学习和发展的能力,以适应于快速发展且多变的攻击技术,提高了系统的自动防卫能力和水平。
实施例三、一种安全事件关联分析系统,如图5所示,包括事件队列模块11、规则关联模块12、统计关联模块13、结构分析模块14、事件过滤模块15;事件队列模块11收集原始报警事件,将原始报警事件分别提供给规则关联模块12和统计关联模块13;事件过滤模块15按照预置的过滤规则对事件队列模块11收集的原始报警事件进行过滤,并将满足过滤规则的原始报警事件从事件队列中删除;规则关联模块12按照预置的关联规则对原始报警事件进行模式匹配,根据匹配结果产生安全事件;统计关联模块13统计原始报警事件基于属性的分布,根据统计结果产生安全事件;结构分析模块14从规则关联模块12和统计关联模块13接收安全事件,进行仲裁获得唯一的安全事件。
本实施例安全事件关联分析系统可适用实施例一中所提供的安全事件关联分析方法。
实施例四、一种安全事件关联分析系统,如图6所示,包括事件队列模块21、规则关联模块22、统计关联模块23、结构分析模块24、事件过滤模块25、规则挖掘模块26和引擎控制模块27;事件队列模块21从引擎控制模块27获取原始报警事件并缓存,将原始报警事件分别提供给规则关联模块22和统计关联模块23;事件过滤模块25按照预置的过滤规则对事件队列模块21收集的原始报警事件进行过滤,并将满足过滤规则的原始报警事件从事件队列中删除;规则关联模块22按照预置的关联规则对原始报警事件进行模式匹配,根据匹配结果产生安全事件;统计关联模块23统计原始报警事件基于属性的分布,根据统计结果产生安全事件;结构分析模块24从规则关联模块22和统计关联模块23接收安全事件,进行仲裁获得唯一的安全事件,并上报给引擎控制模块27。
规则挖掘模块26接收统计关联模块23产生的安全事件,从事件队列模块21中获取所述安全事件对应的原始报警事件序列并进行数据挖掘,产生关联规则,上报给引擎控制模块27;引擎控制模块27执行整个系统与外部的操作接口工作以及对系统内各模块的控制工作,包括常规的接收原始报警事件并缓存入事件队列模块21,将结构分析模块24产生的唯一安全事件提交给控制台,以及控制其他各个模块的运作(控制线未在图6中画出)等;在本实施例中,引擎控制模块27还将规则挖掘模块26生成的关联规则,直接或提交控制台确认后动态更新到规则关联模块22中。
本实施例安全事件关联分析系统可适用实施例二中所提供的安全事件关联分析方法。
以上对本发明所提供的安全事件关联分析方法和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种安全事件关联分析方法,其特征在于,包括收集原始报警事件;对原始报警事件分别进行基于规则的关联分析和基于统计的关联分析;对规则关联和统计关联分别产生的安全事件进行仲裁,获得唯一的安全事件。
2.根据权利要求1所述的安全事件关联分析方法,其特征在于在对原始报警事件进行关联分析之前,还按照预置的过滤规则对原始报警事件进行过滤。
3.根据权利要求2所述的安全事件关联分析方法,其特征在于缓存收集到的原始报警事件,按照预置的过滤规则直接从缓存队列中将满足过滤规则的原始报警事件删除,然后再对缓存中的原始报警事件进行关联分析。
4.根据权利要求1所述的安全事件关联分析方法,其特征在于,所述基于统计的关联分析包括统计原始报警事件在指定属性上的分布;当某个或某几个属性层面上原始报警事件的累计威胁度超过阈值时,产生安全事件。
5.根据权利要求4所述的安全事件关联分析方法,其特征在于所述指定属性包括源地址、目的地址、协议和端口三个属性。
6.根据权利要求1~5任意一项所述的安全事件关联分析方法,其特征在于在基于统计的关联分析产生安全事件后,还对所述安全事件对应的原始报警事件序列进行数据挖掘,产生基于规则的关联分析适用的关联规则。
7.根据权利要求6所述的安全事件关联分析方法,其特征在于,所述数据挖掘包括以支持度大于指定阈值为判断依据,找出原始报警事件序列中表明攻击过程的事件类型序列作为规则序列;对于每条规则序列,针对其各个节点的各个属性,分别统计所有实例的对应值,将大于最小置信度的值作为该属性的备选项;对于每条规则序列,统计所有实例不同节点属性值之间的相似关系,确定规则中属性的依赖关系。
8.一种安全事件关联分析系统,其特征在于包括事件队列模块、规则关联模块、统计关联模块、结构分析模块;所述事件队列模块收集和缓存原始报警事件,分别提供给所述规则关联模块和统计关联模块;所述规则关联模块按照预置的关联规则对原始报警事件进行模式匹配,根据匹配结果产生安全事件;所述统计关联模块统计原始报警事件基于属性的分布,根据统计结果产生安全事件;所述结构分析模块从所述规则关联模块和统计关联模块接收安全事件,进行仲裁获得唯一的安全事件。
9.根据权利要求8所述的安全事件关联分析系统,其特征在于还包括事件过滤模块,所述事件过滤模块按照预置的过滤规则对所述事件队列模块收集的原始报警事件进行过滤,将满足过滤规则的原始报警事件从队列中删除。
10.根据权利要求8或9所述的安全事件关联分析系统,其特征在于还包括规则挖掘模块和引擎控制模块;所述规则挖掘模块接收所述统计关联模块产生的安全事件,对所述安全事件对应的原始报警事件序列进行数据挖掘,产生关联规则,上报给所述引擎控制模块;所述引擎控制模块将所述规则挖掘模块生成的关联规则,直接或提交控制台确认后动态更新到所述规则关联模块中。
全文摘要
本发明公开了一种安全事件关联分析方法和系统,其核心思想是,采用规则关联和统计关联并行机制,通过仲裁获得唯一的安全事件,以实现两种关联方式的优势互补,弥补各自的缺陷。本发明进一步提出,将对统计关联进行数据挖掘获得的规则应用于规则关联,从更深层次上进行两种关联方式的融合,既避免了统计关联的模糊性又赋予了规则关联对未知攻击的检测能力,提高整个检测体系的自学习能力。本发明还提供了优选的统计关联方法和数据挖掘方法,来提高相应处理过程的效率和准确度。
文档编号H04L12/26GK1878093SQ200610103520
公开日2006年12月13日 申请日期2006年7月19日 优先权日2006年7月19日
发明者连一峰, 鲍旭华, 汪波, 徐君, 李闻, 冯萍慧, 吴强, 胡安平 申请人:华为技术有限公司