一种安全事件关联分析方法及系统的制作方法

文档序号:7760820阅读:189来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种安全事件关联分析方法及系统的制作方法
技术领域
本发明涉及网络安全技术领域,特别是涉及一种安全事件关联分析方法及系统。
背景技术
随着网络的发展,网络安全变得十分重要。为了防止网络攻击行为对网络安全造 成伤害,需要在网络中部署如入侵检测(ID,Intruion Detection)、防火墙等安全系统。当 发生网络攻击行为的时候,安全系统会产生大量安全事件。每一安全事件包括多个安全属 性,如攻击地址、攻击类型、攻击时间等。为了分析大量安全事件之间的相关关系,并由此产生抽象粒度更高、概括能力更 强的安全警报,需要一种能够自动关联分析安全事件的方案。现有技术中,采用的是一种基 于规则的安全事件因果分析方案,在所有安全事件产生之后对安全事件进行分析,主要处 理流程如下预先建立各种攻击步骤的前提(prerequisite)和结果(consequence);对前一安全事件的结果和后一安全事件的前提进行匹配以达到关联的目的;根据匹配情况生成安全警报。现有的安全事件的因果分析方法,能够识别安全事件之间的因果逻辑关系。但因 果分析方法是一种事后分析,需要在所有安全事件产生之后再进行分析,因而无法及时对 新产生的安全事件进行关联分析。虽然可以通过设定时间间隔定期对新产生的安全事件进 行关联分析,但如果时间间隔设定过短,无法获得足够数量的安全事件,将会导致关联分析 的结果可靠性降低。

发明内容
为解决上述技术问题,本发明实施例提供一种安全事件关联分析方法及系统,以 实现对网络安全事件的实时关联分析,技术方案如下一种安全事件关联分析方法,包括A、系统检测到安全事件后,判断系统中是否存在与所述检测到的安全事件相匹配 的状态机,如果是,执行步骤C,否则执行步骤B ;B、根据预先定义的安全事件序列树,在系统中创建与所述检测到的安全事件相匹 配的状态机,执行步骤C ;其中,所述安全事件序列树的每个节点对应所述状态机的一个状 态;C、如果系统检测到的安全事件满足所述状态机的迁移条件,则对该状态机进行状 态迁移;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量的、与状态 机当前状态相对应的安全事件;D、当所述状态机迁移至终态或所述状态机当前状态发生超时,结束所述状态机的 运行;E、根据所述状态机的运行记录,生成系统安全日志。
优选的,所述步骤A中,状态机与所述检测到的安全事件相匹配,具体为状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致。优选的,所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包括状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。优选的,所述步骤D包括当所述状态机迁移至终态或所述状态机当前状态发生超时时,使所述状态机的所 述当前状态失效并判断所述状态机是否还存在当前状态,如果否,则结束所述状态机的运 行。优选的,所述步骤D中,结束所述状态机的运行后还包括在系统中删除所述状态机。优选的,所述方法还包括当所述状态机迁移至终态后,生成安全警报。优选的,所述步骤E包括在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束的安全事件信 肩、ο相应于本发明所提供的方法,本发明还提供了一种安全事件关联分析系统,技术 方案如下一种安全事件关联分析系统,包括安全事件检测模块、匹配判断模块、状态机创 建模块、迁移模块、终态判断模块、终止模块、安全日志生成模块;安全事件检测模块,用于检测安全事件是否产生,如果产生,则发送一信号到所述 匹配判断模块;匹配判断模块,用于接收到所述安全事件检测模块发送的信号后,判断系统中是 否存在状态机与所述检测到的安全事件相匹配,如果是,则发送一信号到所述迁移模块,否 则发送一信号到所述状态机创建模块;状态机创建模块,用于接收到所述匹配判断模块发送的信号后,根据预先定义的 安全事件序列树,创建与所述安全事件相匹配的状态机,其中,所述安全事件序列树的每个 节点对应所述状态机的一个状态;迁移模块,用于接收到所述匹配判断模块发送的信号后,判断系统检测到的安全 事件是否满足所述状态机的迁移条件,如果是,则对状态机进行状态迁移,否则发送一信 号到所述终止模块;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量 的、与状态机当前状态相对应的安全事件;终态判断模块,用于判断所述状态机的当前状态是否为终态,如果是,则发送一信 号到终止模块,终止模块,用于在接收到所述迁移模块或终态判断模块发送的信号后结束所述状 态机的运行;安全日志生成模块,用于根据所述状态机的运行记录,生成系统安全日志。优选的,所述系统还包括状态机删除模块,用于在所述终止模块结束所述状态机的运行后,在系统中删除所述状态机。
优选的,所述系统还包括安全警报生成模块,用于当所述迁移模块将所述状态机 迁移至终态时,生成安全警报。由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态 的迁移,因此本发明所提供的安全事件关联分析方案能够实时地对新产生的安全事件产生 进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此 可以有效提高关联分析结果的可靠性。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他 的附图。图1为本发明实施例安全事件关联分析方法的一个安全事件序列树示意图;图2为本发明实施例安全事件关联分析方法的一种状态机示意图;图3为本发明实施例安全事件关联分析方法的另一个安全事件序列树示意图;图4为本发明实施例安全事件关联分析方法的另一种状态机示意图;图5为本发明实施例的一种安全事件关联分析方法流程图;图6为本发明实施例的另一种安全事件关联分析方法流程图;图7为本发明实施例安全事件关联分析方法的一个拒绝服务安全事件序列树示 意图;图8为本发明实施例安全事件关联分析方法的一种根据拒绝服务安全事件序列 树建立的状态机的示意图;图9为本发明实施例安全事件关联分析系统的结构示意图;图10为本发明实施例另一安全事件关联分析系统的结构示意图;图11为本发明实施例另一安全事件关联分析系统的结构示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明中的技术方案,下面对本发明实施例 中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实 施例,都应当属于本发明保护的范围。本发明实施例提供的一种安全事件关联分析方法包括以下步骤A、系统检测到安全事件后,判断系统中是否存在与所述检测到的安全事件相匹配 的状态机,如果是,执行步骤C,否则执行步骤B ;其中,所述状态机与所述检测到的安全事件相匹配,可以具体为状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致;需要说 明的是,此时该状态可以对预定义数量的安全事件进行聚类记录,当然,与所述检测到的安 全事件类型一致的状态还可以为多个。
所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包 括状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
本领域技术人员可知的是,所述安全事件,是安全系统基于各种攻击行为所产生 的一种记录,在安全事件中,可以包括攻击地址、攻击类型、攻击时间等安全属性。B、根据预先定义的安全事件序列树,在系统中创建与所述检测到的安全事件相匹 配的状态机,执行步骤C ;其中,所述安全事件序列树的每个节点对应所述状态机的一个状 态;其中,所述安全事件序列树可以根据历史安全事件及历史安全事件间的关系预先 定义,当然,所述安全事件序列树还可以进行更新,添加安全事件或删除安全事件;本领域 技术人员可知的是,所述安全事件序列树可以为多个。C、如果系统检测到的安全事件满足所述状态机的迁移条件,则对该状态机进行状 态迁移;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量的、与状态 机当前状态相对应的安全事件;需要说明的是,状态机的迁移条件未被满足即为没有在预定时间内,检测到预定 数量的、与状态机当前状态相对应的安全事件;因为状态机的当前状态会在预定时间等待 安全事件的发生,故当状态机的迁移条件未被满足时,状态机的当前状态必然出现超时的 情况。本领域技术人员可以理解的是,可以将当前状态的多个后续状态作为一个状态 集,当当前状态的迁移条件被满足时,可以向此状态集迁移。此状态集再根据后续新到达的 安全事件进行进一步的状态迁移。需要说明的是,状态机当前状态的迁移能反映出攻击活动的因果发展情况。D、当所述状态机迁移至终态或所述状态机当前状态发生超时时,结束所述状态机 的运行;需要说明的是,当所述状态机迁移至终态时,系统即可以根据状态机的运行记录 生成系统安全日志。当所述状态机迁移至终态时,系统还可以实时的根据系统安全日志生 成安全警报,所述安全警报可以包含状态机的运行记录;当然,在实际应用中,还可以根据 状态机状态迁移趋势所体现的安全事件发展趋势,提前对攻击活动的发展情况进行判断并 进行预警。此外,当所述状态机的运行结束后,还可以在系统中删除所述状态机。E、根据状态机的运行记录,生成系统安全日志。 其中,在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束等安全事 件信息;所述系统安全日志可以在状态机创建时生成,然后根据状态机运行记录实时或定 时更新,也可以在状态机迁移至终态或状态机结束运行后生成。 由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态 的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件产 生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因 此可以有效提高关联分析结果的可靠性。
为方便理解,现对本实施例的安全事件序列树和根据所述安全事件序列树建立的 状态机进行举例说明。图1为本实施例提供的一种安全事件序列树的示意图。如图1所示,本实施例提供的安全事件序列树包括第一安全事件101、第二安全 事件102、第三安全事件103、第四安全事件104、第五安全事件105和第六安全事件106。所 述第一安全事件101为安全事件序列树的根节点。所述第二安全事件102和第三安全事件 103为所述第一安全事件101的子节点。所述第四安全事件104为所述第二安全事件102 的子节点。所述第五安全事件105和第六安全事件106为所述第三安全事件103的子节点。 所述第四安全事件104、第五安全事件105和第六安全事件106作为所述安全事件序列树的 末端安全事件,不再有后续的安全事件发生,因而没有子节点,这些没有子节点的节点称为 安全事件序列树的叶子节点。本实施例中,安全事件的在树形结构中的父子位置关系是按照安全事件发生时间 的先后顺序进行排列的,举例来说,所述第二安全事件102和第三安全事件103在所述第一 安全事件101发生之后才会发生。同一安 全事件序列树上安全事件发生的先后代表着安全 事件的发展情况,以上面的例子来说,第二安全事件102和第三安全事件103为第一安全事 件101在不同情况下的发展结果。安全事件序列树中的父节点与子节点之间的发展关系也 体现了这点。当某安全事件不再有后续安全事件发生时,可以认定所述安全事件为安全事 件序列树的末端安全事件,即安全事件序列树的叶子节点。需要说明的是,以上安全事件序列树仅为本实施例安全事件序列树的一种,本领 域技术人员可知的,本实施例的安全事件序列树还可以为其他排列形式。图2为本实施例提供的根据图1所示安全事件序列树建立的一种状态机示意图。如图2所示,本实施提供的状态机包括第一状态201、第二状态202、第三状态 203、第四状态204、第五状态205和第六状态206。所述第一状态201为所述状态机的初态,所述第四状态204、第五状态205和第六 状态206为所述状态机的终态。本实施例提供的状态机与图1所示的安全事件序列树对应建立。第一状态201根 据第一安全事件101对应建立。第二状态202根据第二安全事件102对应建立。第三状态 203根据第三安全事件103对应建立。第四状态204根据第四安全事件104对应建立。第 五状态205根据第五安全事件105对应建立。第六状态206根据第六安全事件106对应建立。所述第一状态201依据第一安全事件101与第二安全事件102和第三安全事件 103之间的发展关系,在不同的迁移条件被满足时,向第二状态202或第三状态203迁移。 例如,第一状态201在第一迁移条件被满足时向第二状态202迁移,在第二迁移条件被满足 时,向第三状态203迁移。同理,根据安全事件之间的发展关系,第二状态202在迁移条件被 满足时,向第四状态204迁移;第三状态203在不同的迁移条件被满足时,向第五状态205 或第六状态206迁移。由于第四状态204、第五状态205和第六状态206为状态机的终态, 所以不再进行迁移。需要说明的是,当所述状态机迁移至终态并发生所述终态对应的安全 事件时,认为此时已经发生了危险程度较高的状况,因此系统还可以生成安全警报,所述安 全警报可以包含状态机的运行记录。本领域技术人员可知的是,“当前状态”是一个动态变量,随着状态机中状态的迁移而改变。 需要说明的是,以上迁移条件存储于状态机中除终态外每一状态中,当然,所述迁 移条件还可以同时存储于安全事件序列树中,本实施例在此并不做限定。其中,以上迁移条件可以为在预定时间内,检测到预定数量的、与状态机当前状 态相对应的安全事件。由图1和图2的对应关系可知,图2所示状态机的初态根据图1所示安全事件序 列树的根节点相应建立,图2所示状态机的终态根据图1所示安全事件序列树的叶子节点
相应建立。为方便理解,现举例说明假设有如图3所示的安全事件序列树,这是一种消耗文件传输协议(FTP,File Transfer Protocol)服务器磁盘空间的序列树,包括根节点301 :FTP认证失败,叶子节点 302 网络数据流(Net Flow)流量异常。假设在1秒内发生5次FTP认证失败后,将在短时 间内产生网络数据流(Net Flow)流量异常事件。当在1秒内发生5次FTP认证失败后产 生网络数据流(Net Flow)流量异常事件,则认为发生了消耗FTP服务器磁盘空间的安全事 件。系统将产生消耗FTP服务器磁盘空间的警报。如图3所示,叶子节点302为根节点301的子节点。根据图3所示的安全事件序列树建立如图4所示的状态机K。如图4所示,状态机K包括第一状态401和第二状态402,第一状态401为初态,第 二状态402为终态。第一状态401根据图3中根节点301相应建立,第二状态402根据图 3中叶子节点302相应建立。根据图3所示安全事件序列树中根节点301与叶子节点302 之间发展关系,得出第一状态401的迁移条件为在1秒内发生5次FTP认证失败事件,迁 移对象为第二状态402。当然,在本发明其他实施例中,本发明的安全事件关联分析方法还可以进一步细 化。图5所示为本发明实施例的一种安全事件关联分析方法流程图。如图5所示,本发明实施例的一种安全事件关联分析方法包括S501、实时对安全事件进行检测;S502、判断新的安全事件是否到达,如果是,则执行步骤S503,否则执行步骤 S501 ;S503、判断是否存在状态机与所检测到的安全事件相匹配,如果是,则执行步骤 S506,否则执行步骤S504 ;其中,所述状态机与所述检测到的安全事件相匹配,可以具体为状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致;需要说 明的是,此时该状态可以对预定义数量的安全事件进行聚类记录,当然,与所述检测到的安 全事件类型一致的状态还可以为多个。所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包 括状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
本领域技术人员可知的是,所述安全事件,是安全系统基于各种攻击行为所产生 的一种记录,在安全事件中,可以包括攻击地址、攻击类型、攻击时间等安全属性。
S504、判断是否有安全事件序列树与所检测到的安全事件匹配,如果是,则执行步 骤S505,否则执行步骤S511 ;其中,所述安全事件序列树与所检测到的安全事件匹配为安全事件序列树中的一 个安全事件与所检测到的安全事件攻击类型一致。S505、根据所述安全事件序列树建立新的状态机;其中,所述安全事件序列树可以根据历史安全事件及历史安全事件间的关系预先 定义,当然,所述安全事件序列树还可以进行更新,添加安全事件或删除安全事件;本领域 技术人员可知的是,所述安全事件序列树可以为多个。S506、判断是否所述新安全事件是否满足所述状态机当前状态的迁移条件,如果 是,则执行步骤S507,否则,执行步骤S509 ;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量的、与状态 机当前状态相对应的安全事件。需要说明的是,状态机的迁移条件未被满足即为没有在预定时间内,检测到预定 数量的、与状态机当前状态相对应的安全事件;因为状态机的当前状态会在预定时间等待 安全事件的发生,故当状态机的迁移条件未被满足时,状态机的当前状态必然出现超时的 情况。所以当状态机的当前状态出现超时时,可以判断所述当前状态的迁移条件未被满足。S507、根据所述状态机状态间的转移关系将当前状态转移;需要说明的是,状态机当前状态的迁移能反映出攻击活动的因果发展情况。S508、判断当前状态是否为终态,如果是,则执行步骤S509,否则执行步骤S501 ;需要说明的是,当所述状态机迁移至终态时,系统即可以根据状态机的运行记录 生成系统安全日志。当所述状态机迁移至终态时,系统还可以生成安全警报,所述安全警报 可以包含状态机的运行记录。S509、结束所述状态机的运行;S510、根据状态机的运行记录,生成系统安全日志;其中,在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束等安全事 件信息;所述系统安全日志可以在状态机创建时生成,然后根据状态机运行记录实时或定 时更新,也可以在状态机迁移至终态或状态机结束运行后生成。当所述状态机迁移至终态时,系统还可以实时的根据系统安全日志生成安全警 报,所述安全警报可以包含状态机的运行记录;当然,在实际应用中,还可以根据状态机状
态迁移趋势所体现的安全事件发展趋势,提前对攻击活动的发展情况进行判断并进行预
m 目。S511、系统结束运行。本领域技术人员可知的是,为了减轻系统运行负担,在结束状态机运行后,还可以 将所述状态机删除。这样,系统不用同时保留大量状态机,当再次检测到与所述状态机匹配 的安全事件时,只需根据安全事件序列树重新建立所述状态机即可。当然,本领域技术人员可以理解的是,当状态机迁移至终态、或系统检测到的安全 事件不满足状态机的迁移条件时,可以先使状态机当前状态失效,然后再结束状态机的运行。同时,为了防止状态机中状态集作为当前状态时,可能出现的由于其中一个当前状态失效而导致状态集中其他当前状态被迫停止工作的情况,可以在使状态机失效后增加判断状 态机是否有当前状态的步骤,以增加系统稳定性。具体方法如图6所示,包括S601、实时对安全事件进行检测;S602、判断新的安全事件是否到达,如果是,则执行步骤S603,否则执行步骤 S601 ;S603、判断是否存在状态机与所检测到的安全事件相匹配,如果是,则执行步骤 S606,否则执行步骤S604 ;其中,所述状态机与所述检测到的安全事件相匹配,可以具体为状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致;当然, 与所述检测到的安全事件类型一致的状态还可以为多个。所述状态机的某个状态所对应的 安全事件与所述检测到的安全事件类型一致,包括状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。本领域技术人员可知的是,所述安全事件,是安全系统基于各种攻击行为所产生 的一种记录,在安全事件中,可以包括攻击地址、攻击类型、攻击时间等安全属性。S604、判断是否有安全事件序列树与所检测到的安全事件匹配,如果是,则执行步 骤S605,否则执行步骤S613 ;其中,所述安全事件序列树与所检测到的安全事件匹配为安全事件序列树中的一 个安全事件与所检测到的安全事件攻击类型一致。S605、根据所述安全事件序列树建立新的状态机;其中,所述安全事件序列树可以根据历史安全事件及历史安全事件间的关系预先 定义,当然,所述安全事件序列树还可以进行更新,添加新的安全事件或删除旧的安全事 件;本领域技术人员可知的是,所述安全事件序列树可以为多个。S606、判断是否所述新安全事件是否满足所述状态机当前状态的迁移条件,如果 是,则执行步骤S607,否则,执行步骤S611 ;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量的、与状态 机当前状态相对应的安全事件;所述状态机的状态迁移条件还可以为在预定时间内,检 测到与状态机当前状态相对应的安全事件。S607、根据所述状态机状态间的转移关系将当前状态转移;S608、判断当前状态是否为终态,如果是,则执行步骤S609,否则执行步骤S601 ;需要说明的是,当所述状态机迁移至终态时,系统即可以根据状态机的运行记录 生成系统安全日志。当所述状态机迁移至终态时,系统还可以生成安全警报,所述安全警报 可以包含状态机的运行记录。S609、使当前状态失效;S610、判断所述状态机是否存在当前状态,如果是,则执行步骤S601,否则执行步 骤 S611 ;S611、结束所述状态机的运行;
S612、根据状态机的运行记录,生成系统安全日志;其中,在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束等安全事 件信息;所述系统安全日志可以在状态机创建时生成,然后根据状态机运行记录实时或定 时更新,也可以在状态机迁移至终态或状态机结束运行后生成。S613、系统结束运行。 由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态 的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件产 生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因 此可以有效提高关联分析结果的可靠性。为了进一步帮助理解本发明,现举一较为复杂的实例。图7所示为一种拒绝服务(D0S,Denial Of Service)安全事件序列树。根据图7 所示安全事件序列树构建如图8所示的状态机D。图7所示的安全事件序列树包括第一 安全事件701、第二安全事件702、第三安全事件703、第四安全事件704、第五安全事件705 和第六安全事件706。相应的,图8所示的状态机D包括第一状态801、第二状态802、第 三状态803、第四状态804、第五状态805和第六状态806。所述第一安全事件701为Port Scan (端口扫描)事件,第二安全事件为Syn_ flood (TCP建立连接同步数据包洪泛攻击)事件,第三安全事件为Sadmind_BOF(RPC服务 Sadmind缓冲区溢出攻击)事件,第四安全事件为Rsh_Reversion (在既得主机上安装拒绝 服务攻击软件Mstream)事件,第五安全事件为Mstream_Zombie (Mstream傀儡主机主控端 和受控端交互)事件,第六安全事件为Stream_D0S (傀儡主机发送TCP连接建立包,对目标 进行拒绝服务攻击)事件。当当前状态迁移至第四状态804时,如果发生与第四状态804所匹配的安全事件 即Rsh_Reversi0n事件并满足第四状态804的迁移条件时,状态机D的当前状态迁移到第 五状态805。在当前状态迁移至第四状态804时,如果发生Port Scan事件时,系统将根据 安全事件序列树重新创建一个状态机E与新产生的Port Scan事件匹配。当然,在实际应 用中,由于状态机的运行时间比较短,而且由于状态机运行时间内已有足够的Port Scan 事件被记录和关联分析,所以状态机当前状态从初态迁移后在状态机D运行过程中发生的 PortScan事件也可以不必统计。以图7所示安全事件序列树和图8所示状态机D举例来说,假设系统中不存在状 态机D,当安全事件Port Scan发生时,系统无法找到状态机与PortScan事件匹配。系统找 到与Port Scan事件匹配的图7所示的安全事件序列树,于是根据图7所示安全事件序列 树建立状态机D。状态机D的第一状态801可以与Port Scan事件匹配,于是第一状态801 作为当前状态,进一步判断第一状态801的迁移条件是否被满足,如果不满足,则结束状态 机D的运行;如果满足,则当前状态迁移至第二状态802和第三状态803组成的状态集。假 设后续发生SadmincLBOF事件,且第三状态803的迁移条件被满足,则迁移至第四状态804。 假设后续再次发生Port Scan事件,系统无法找到状态机的当前状态与Port Scan事件匹 配,所以再次根据图7所示安全事件序列树建立一新的状态机与其匹配。当然,系统也可以 在状态机D运行期间内忽略PortScan事件的发生。假设后续接连发生RSh_ReverSion事 件、Mstream_Zombie事件和Stream_Dos事件,且第四状态机804、第五状态机805和第六状态机806的迁移条件先后被满足,则状态机的当前状态在经过第五状态805后迁移至终态 第六状态806,系统使第六状态806失效。这时,如果状态机D中还有当前状态(如第二 状态802和第三状态803组成的状态集中第二状态802依然作为当前状态工作),则继续等 待安全事件的发生。如果不存在当前状态,则结束状态机D的运行,并根据状态机D的运行 记录,生成系统安全日志。
当然,还可以在状态机D运行结束后生成安全警报。由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态 的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件产 生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因 此可以有效提高关联分析结果的可靠性。通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可 借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质 上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品 可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备 (可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些 部分所述的方法。相应于本发明提供的安全事件关联分析方法,本发明还提供了一种安全事件关联 分析系统。如图9所示,本实施例的安全事件关联分析系统包括安全事件检测模块901、匹配判断模块902、状态机创建模块903、迁移模块904、终 态判断模块905、终止模块906、安全日志生成模块907 ;安全事件检测模块901,用于检测安全事件是否产生,如果产生,则发送一信号到 所述匹配判断模块902;匹配判断模块902,用于接收到所述安全事件检测模块901发送的信号后,判断系 统中是否存在状态机与所述检测到的安全事件相匹配,如果是,则发送一信号到所述迁移 模块904,否则发送一信号到所述状态机创建模块903 ;所述状态机与所述检测到的安全事件相匹配,包括状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。状态机创建模块903,用于接收到所述匹配判断模块902发送的信号后,根据预先 定义的安全事件序列树,创建与所述安全事件相匹配的状态机,其中,所述安全事件序列树 的每个节点对应所述状态机的一个状态;迁移模块904,用于接收到所述匹配判断模块902发送的信号后,判断系统检测到 的安全事件是否满足所述状态机的迁移条件,如果是,则对状态机进行状态迁移,否则发送 一信号到所述终止模块906 ;其中,所述状态机的状态迁移条件为在预定时间内,检测到 预定数量的、与状态机当前状态相对应的安全事件。需要说明的是,状态机的迁移条件未被满足即为没有在预定时间内,检测到预定 数量的、与状态机当前状态相对应的安全事件;因为状态机的当前状态会在预定时间等待 安全事件的发生,故当状态机的迁移条件未被满足时,状态机的当前状态必然出现超时的情况。所以当状态机的当前状态出现超时时,可以判断所述当前状态的迁移条件未被满足。需要说明的是,状态机当前状态的迁移能反映出攻击活动的因果发展情况。终态判断模块905,用于判断所述状态机的当前状态是否为终态,如果是,则发送 一信号到终止模块906;终止模块906,用于在接收到所述迁移模块904或终态判断模块905发送的信号后 结束所述状态机的运行;
安全日志生成模块907,用于根据状态机的运行记录,生成系统安全日志。图9中终止模块906与安全日志生成模块907相连,需要说明的是,安全日志的生 成的过程可以为由除安全日志生成模块907以外的模块实时记录状态机的运行数据,最 后经由终止模块906将状态机的运行记录输出给安全日志生成模块907,由安全日志生成 模块907生成安全日志。当然,安全日志的生成过程还可以为除安全日志生成模块907以 外模块实时将系统运行记录输出给安全日志生成模块907,由安全日志生成模块907生成 安全日志。本领域技术人员可以理解的是,以上所述安全日志的生成过程的改变将带来的 系统连接关系的改变,这些连接关系也在本发明的公开范围内。由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态 的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件进 行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此可 以有效提高关联分析结果的可靠性。本领域技术人员可知的是,为了减轻系统运行负担,还可以添加状态机删除模块, 用于在结束状态机运行后,将所述状态机删除。如图10所示,在图9所示的系统结构示意图中添加了状态机删除模块908。终止模块906在终止状态机运行后输出一信号到状态机删除模块908,状态机删 除模块908在收到所述信号后将所述状态机删除。本领域技术人员可知的是,为了使技术人员及时得到系统的安全日志,还可以增 加安全警报生成模块,用于在所述状态机迁移至终态时,生成安全警报。如图11所示,在图9所示的系统结构示意图中添加了安全警报生成模块909。终止模块906在终止状态机运行后输出一信号到安全警报生成模块909,安全警 报生成模块909在收到所述信号后生成安全警报。需要说明的是,所述安全日志生成模块907生成的安全日志可以在安全警报生成 模块909生成的安全警报中显示。为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本 发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部 分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实 施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例 的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明 的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是 物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要 选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可用于众多通用或专用的计算系统环境或配置中。例如个人计算机、服务 器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶 盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的 分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序 模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组 件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由 通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以 位于包括存储设备在内的本地和远程计算机存储介质中。以上所述仅是本发明的具体实施方式
,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视为本发明的保护范围。
权利要求
一种安全事件关联分析方法,其特征在于,包括A、系统检测到安全事件后,判断系统中是否存在与所述检测到的安全事件相匹配的状态机,如果是,执行步骤C,否则执行步骤B;B、根据预先定义的安全事件序列树,在系统中创建与所述检测到的安全事件相匹配的状态机,执行步骤C;其中,所述安全事件序列树的每个节点对应所述状态机的一个状态;C、如果系统检测到的安全事件满足所述状态机的迁移条件,则对该状态机进行状态迁移;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;D、当所述状态机迁移至终态或所述状态机当前状态发生超时,结束所述状态机的运行;E、根据所述状态机的运行记录,生成系统安全日志。
2.根据权利要求1所述的方法,其特征在于,所述步骤A中,状态机与所述检测到的安 全事件相匹配,具体为状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致。
3.根据权利要求2所述的方法,其特征在于,所述状态机的某个状态所对应的安全事 件与所述检测到的安全事件类型一致,包括状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
4.根据权利要求1所述的方法,其特征在于,所述步骤D包括当所述状态机迁移至终态或所述状态机当前状态发生超时时,使所述状态机的所述当 前状态失效并判断所述状态机是否还存在当前状态,如果否,则结束所述状态机的运行。
5.根据权利要求1所述的方法,其特征在于,所述步骤D中,结束所述状态机的运行后 还包括在系统中删除所述状态机。
6.根据权利要求1所述的方法,其特征在于,还包括当所述状态机迁移至终态后,生成安全警报。
7.根据权利要求1所述的方法,其特征在于,所述步骤E包括在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束的安全事件信息。
8.一种安全事件关联分析系统,其特征在于,包括安全事件检测模块、匹配判断模 块、状态机创建模块、迁移模块、终态判断模块、终止模块、安全日志生成模块;安全事件检测模块,用于检测安全事件是否产生,如果产生,则发送一信号到所述匹配 判断模块;匹配判断模块,用于接收到所述安全事件检测模块发送的信号后,判断系统中是否存 在状态机与所述检测到的安全事件相匹配,如果是,则发送一信号到所述迁移模块,否则发 送一信号到所述状态机创建模块;状态机创建模块,用于接收到所述匹配判断模块发送的信号后,根据预先定义的安全 事件序列树,创建与所述安全事件相匹配的状态机,其中,所述安全事件序列树的每个节点 对应所述状态机的一个状态;迁移模块,用于接收到所述匹配判断模块发送的信号后,判断系统检测到的安全事件是否满足所述状态机的迁移条件,如果是,则对状态机进行状态迁移,否则发送一信号到所 述终止模块;其中,所述状态机的状态迁移条件为在预定时间内,检测到预定数量的、与 状态机当前状态相对应的安全事件;终态判断模块,用于判断所述状态机的当前状态是否为终态,如果是,则发送一信号到 终止模块,终止模块,用于在接收到所述迁移模块或终态判断模块发送的信号后结束所述状态机 的运行;安全日志生成模块,用于根据所述状态机的运行记录,生成系统安全日志。
9.根据权利要求8所述的系统,其特征在于,还包括状态机删除模块,用于在所述终止 模块结束所述状态机的运行后,在系统中删除所述状态机。
10.根据权利要求8所述的系统,其特征在于,还包括安全警报生成模块,用于当所述 迁移模块将所述状态机迁移至终态时,生成安全警报。
全文摘要
本发明公开了一种安全事件关联分析方法及系统,采用状态机实时记录安全事件的发展。当新到达的安全事件能够和状态机相匹配时,根据状态机的迁移条件判断是否进行状态迁移操作;当无法找到状态机与之匹配时,根据预先定义的安全事件序列树建立新的状态机与之匹配。当状态机迁移至终态或发生超时时,结束状态机运行并生成系统安全日志。状态机实时记录从开始到终态之间的安全事件的信息,进而可以有效提高关联分析结果的可靠性。
文档编号H04L12/26GK101958897SQ201010292868
公开日2011年1月26日 申请日期2010年9月27日 优先权日2010年9月27日
发明者冯学伟, 况晓辉, 唐剑, 崔益民, 方兰, 明亮, 李津, 李远玲, 王东霞, 王春雷, 陈杰, 马国庆, 黄敏桓 申请人:北京系统工程研究所
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王东霞;马国庆;李津;冯学伟;王春雷;方兰;李远玲;黄敏桓;况晓辉;明亮;陈杰;崔益民;唐剑
  • 技术所有人:北京系统工程研究所
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2