专利名称:基于事件分类和规则树的关联分析装置的制作方法
技术领域:
基于事件分类和规则树的关联分析装置
技术领域:
本实用新型涉及网络安全管理领域,特别涉及一种基于事件分类和规则树的安全
事件的关联分析方法和装置。背景技术:
随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大, 企业越来越依赖信息和网络技术来支持他们在全球市场中的迅速成长和扩大。但随之而来 的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒。现有的网络安全设备,如防火墙, 入侵检测系统,杀毒软件等,在网络异常的情况下会产生各种各样的告警信息,加上服务器 本身的系统和应用程序的产生的告警,这些告警错综复杂,而且数量庞大。但是对于每种网 络的异常情况在单一的网络设备上是不能确定的,只有将各种设备的告警综合在一起才分 析才有可能确定异常的情况。而这个工作对于网络管理员来说是不可能完成的,只有通过 关联分析才能准确的发现这些异常情况并且对异常情况提出解决方案。 而现有的关联分析产品主要是安全管理中心(S0C)或者是安全信息管理系统 (SIM),其主要是实现了以下的五功能事件采集、事件储存、事件查询、事件关联分析以及
告警通知。
现有的分析方法存在以下的局限性 1.分析的信息不全面没有实现和一些边缘信息的关联,如漏洞信息和端口信 息。因为有些告警是有针对性的,可能是对某个漏洞,但是网络安全设备产生这个攻击告警 时,告警的目标IP并没有这个漏洞,这可能导致一些误报情况的出现; 2.分析规则的描述性不足通常只描述日志事件的五元组属性的匹配关系,对于 具体的事件类型,事件发生频度,以及多个事件复杂的逻辑和时序关系无法或者很难准确 描述; 3.没有提供告警解决方案用户接到告警后仍然需要到实际的环境中寻找具体 的出错和解决方案,这样达不到告警处理的实时性。
实用新型内容
本实用新型要解决的技术问题,在于提供一种基于事件分类和规则树的关联分析 装置,能从海量的网络信息中发现异常情况,生成日志,并且将这些日志关联成告警,并及 时将告警的内容和解决方案以邮件等通知方式发送给管理员,管理员只需要及时根据其中 的解决方案进行网络的改进,就可以发现当前网络中存在的隐患,从而实现网络的加固和 优化。 本实用新型是这样实现的一种基于事件分类和规则树的关联分析装置,包括一 事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引 擎以及一告警响应模块;所述事件分类知识库、所述事件分类引擎、所述事件预处理引擎、 所述关联分析引擎以及告警响应模块依次连接,所述关联分析规则库则连接至所述关联分析引擎。 本实用新型的优点在于 (1)实现了分析结果和结果处理机制的融合,即在分析规则满足的情况下产生告
警的同时生成该告警的解决方案,这样实现了处理告警的实时性和精确性。
(2)基于事件分类的树形分析规则使得规则的配置更为灵活多变,规则中各个子
项的关系一目了然。
(3)预处理机制中实现了基于漏洞,端口打开的检测,IP地址的NAT映射的转换,
能够减小各种安全设备事件的误报的概率,为分析提供更多有用的信息。
(4)与原始的以安全设备(例如IDS)为起点的关联分析机制相比,现实了一些非
告警事件和告警事件的关联,以事件分类为起点的关联实现了关联分析的多样化,合理化。
下面参照附图结合实施例对本实用新型作进一步的说明。
图1是关联分析装置的内部结构图。 图2是利用本实用新型关联分析装置进行关联分析方法的流程图。
具体实施方式
请参阅图1所示,本实用新型的一种基于事件分类和规则树的关联分析装置,包 括一事件分类知识库1、一关联分析规则库2、一事件分类引擎3、一事件预处理引擎4、一关 联分析引擎5以及一告警响应模块6 ;所述事件分类知识库1、所述事件分类引擎3、所述事 件预处理引擎4、所述关联分析引擎5以及告警响应模块6依次连接,所述关联分析规则库 2则连接至所述关联分析引擎5。其中, 所述事件分类知识库1 :用于存放事件分类的详细规则; 所述关联分析规则库2 :用于存放关联分析的规则信息; 所述事件分类引擎3 :用于接收原始日志事件,并结合所述事件分类知识库l,进 行事件的分类分析; 所述事件预处理引擎4 :用于对日志事件中的一些内容进行确认和转换; 所述关联分析引擎5:用于输入来自所述事件分类引擎3和所述事件预处理引擎4
的输出信息,根据所述关联分析规则库2的信息,输出关联分析结果。 所述告警响应模块6 :用于对所述关联分析引擎5输出的高危的关联分析结果和 结果的处理方案,及时进行通知响应。 如图2所示,利用本实用新型关联分析装置进行关联分析方法的具体流程,包括 以下步骤 (10)收集原始日志事件由所述事件分类引擎3进行,其原始日志事件可以来源 于各种安全设备、网络设备、主机服务器或者应用系统等;可以是直接采集目标设备的日 志,也可以是由第三方日志服务器转发来的日志,为了保证关联分析的准确性,建议对各日 志来源设备和采集设备之间进行时间同步。 (20)对原始事件进行规范化由于原始日志事件格式各异,直接进行分析处理有 很大难度,处理的初期将对原始事件进行规范化处理,将格式各异、等级定义不同的事件转换为格式和字段统一的内部事件格式,为下一步的关联分析做好准备。 (30)对规范化事件进行分类分析由所述事件分类引擎3在规范化事件的基础 上,根据系统内建的事件分类知识库,对日志事件进行分类分析。事件分类对各种类型的日 志事件进行了详尽的归类定义,包括事件含义、等级以及对应漏洞等信息都有具体规定,这 些信息将作为关联分析的重要数据来源。 (40)对事件进行预处理由于原始日志事件中的一些信息可能存在不准确的情 况,所述事件预处理引擎4在关联分析的前期需要对这些不确定的因素进行一次确认的过 程,为关联分析提供更为准确的事件源。 (50)规则树建立所述关联分析引擎5根据系统的所述关联分析规则库2,建立规 则树;规则树可以描述的逻辑关系包括与、或和时序;当事件到来时,将按照已经建立好 的逻辑规则树进行逐一匹配。 (61)判断匹配事件会话五元组是否符合规则根据事件会话的源IP、源端口、目 的IP、目的端口以及协议条件,判断日志事件是否符合关联分析规则。 (62)判断匹配事件发生频度是否符合规则根据一段时间范围内的日志事件重 复次数,判断日志事件是否符合关联分析规则。 (63)判断匹配事件分类是否符合规则根据具体的事件分类信息判断日志事件 是否符合关联分析。 (7)判断事件会话是否符合关联分析规则所述关联分析引擎5根据上述(61)、 (62) 、(63)三个条件,并综合事件会话的上下文,判断事件会话是否匹配完整的关联分析规 则。 (8)关联分析告警所述告警响应模块6根据关联分析结果以及告警条件,进行关 联分析告警及响应,如发送邮件、工单等。 本实用新型提供了基于事件分类及规则树的关联分析方法和装置,采用对收集来 的日志事件进行事件分类分析,并采用基于规则树的方式进行各种不同类别事件之间的逻 辑关联分析,结合事件会话的五元组信息、发生频度以及上下文信息,综合分析得出关联后 的安全事件是否存在攻击及异常行为的检测结果。对于具有高危等级的安全事件进行告警 和响应。
权利要求一种基于事件分类和规则树的关联分析装置,其特征在于包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块;所述事件分类知识库、所述事件分类引擎、所述事件预处理引擎、所述关联分析引擎以及告警响应模块依次连接,所述关联分析规则库则连接至所述关联分析引擎。
专利摘要本实用新型提供了一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块。该关联分析装置在复杂网络环境下自动、及时的分析和发现网络中可能存在的各种攻击行为及异常情况,并及时将关联分析结果通知管理人员,从而实现网络的加固和优化。本实用新型引入事件的分类预处理机制,提高了关联分析的准确度,同时对于攻击及异常行为发现过程可以进行详细的描述,还提供对攻击及异常行为的处理方法,提高安全事件处理效率。
文档编号H04L29/06GK201491020SQ200920182619
公开日2010年5月26日 申请日期2009年8月20日 优先权日2009年8月20日
发明者唐敏, 涂大志, 王丰, 邓文涛 申请人:福建富士通信息软件有限公司