云計算網(wǎng)絡(luò)中的安全事件分析方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種云計算網(wǎng)絡(luò)中的安全事件分析方法，包括：判斷攻擊場景的類型；當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進(jìn)行分析。此外，本發(fā)明還提供了一種基于云計算網(wǎng)絡(luò)的安全事件分析系統(tǒng)。本發(fā)明能夠?qū)崿F(xiàn)將攻擊場景的類型為簡單攻擊過程的攻擊從狀態(tài)機(jī)模型中釋放出來，從而提高安全事件分析的效率。
【專利說明】云計算網(wǎng)絡(luò)中的安全事件分析方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算計算領(lǐng)域，更具體地，涉及一種云計算網(wǎng)絡(luò)中的安全事件分析方法以及一種基于云計算網(wǎng)絡(luò)的安全事件分析系統(tǒng)。
【背景技術(shù)】
[0002]目前在SOC(安全管理平臺)中，常用的安全事件關(guān)聯(lián)分析模型有狀態(tài)機(jī)模型和統(tǒng)計模型。狀態(tài)機(jī)模型對于多步攻擊采用多個相關(guān)聯(lián)的狀態(tài)描述，一個狀態(tài)切換到下一個狀態(tài)需要滿足一些條件，也就是攻擊特征。在安全事件流中匹配狀態(tài)變遷條件，如果匹配條件，則說明滿足了該階段的攻擊特征，變換到下個狀態(tài)，如果不滿足，則丟棄，直到超時或者所有狀態(tài)變遷完成，則表示發(fā)生了當(dāng)前狀態(tài)所表示的攻擊。在匹配過程中，把相關(guān)安全事件信息保存，即可達(dá)到事后攻擊回放的效果。
[0003]統(tǒng)計模型是基于數(shù)據(jù)庫的，即通過統(tǒng)計規(guī)則，對存儲在數(shù)據(jù)庫中的大量安全事件進(jìn)行挖掘，從中挖掘出統(tǒng)計規(guī)則的數(shù)據(jù)。統(tǒng)計規(guī)則描述的是安全攻擊的特征。通過統(tǒng)計，能夠挖掘出是否有攻擊發(fā)生以及攻擊相關(guān)的信息。
[0004]使用狀態(tài)機(jī)模型分析安全事件時，存在以下問題:1.當(dāng)定義過多的安全攻擊場景時，需對安全事件進(jìn)行各個攻擊場景匹配，導(dǎo)致系統(tǒng)的檢查效率明顯下降；2.當(dāng)攻擊者進(jìn)行協(xié)同攻擊時，需保持過多的安全狀態(tài)，導(dǎo)致系統(tǒng)的檢查效率降低。使用統(tǒng)計模型時，存在以下問題:1.非實時，因為統(tǒng)計模型是基于數(shù)據(jù)庫的，安全事件在存儲到數(shù)據(jù)庫中后再按照統(tǒng)計規(guī)則統(tǒng)計，這延遲了攻擊發(fā)現(xiàn)的時間；2.效率問題，統(tǒng)計是在文件系統(tǒng)中完成的，這比基于內(nèi)存的分析效率要低。

【發(fā)明內(nèi)容】

[0005]針對相關(guān)技術(shù)中的問題，本發(fā)明提出一種云計算網(wǎng)絡(luò)中的安全事件分析方法、以及一種基于云計算網(wǎng)絡(luò)的安全事件分析系統(tǒng)，從而能夠?qū)崿F(xiàn)將攻擊類型為簡單攻擊過程的攻擊場景從狀態(tài)機(jī)模型中分離。
[0006]為實現(xiàn)上述目的，一方面，本發(fā)明提供了一種云計算網(wǎng)絡(luò)中的安全事件分析方法，包括:判斷攻擊場景的類型；當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進(jìn)行分析。
[0007]根據(jù)本發(fā)明，該分析方法還包括:當(dāng)判斷出攻擊場景的類型為復(fù)雜攻擊過程時，采用狀態(tài)機(jī)模型或者統(tǒng)計模型對安全事件流進(jìn)行分析。
[0008]根據(jù)本發(fā)明，上述的采用基于字符串匹配的模型對安全事件流進(jìn)行分析，包括:將安全事件流中的安全事件與預(yù)定義的字符串匹配規(guī)則進(jìn)行匹配；如果匹配不成功，則丟棄所述安全事件；如果匹配成功，則根據(jù)該字符串匹配規(guī)則中的攻擊事件屬性生成對應(yīng)的攻擊事件。
[0009]根據(jù)本發(fā)明，該分析方法還包括:基于攻擊特征定義上述字符串匹配規(guī)則；和/或?qū)λx的xml文本格式的字符串匹配規(guī)則處理成json文本格式，并且處理后的所有的字符串匹配規(guī)則存放到一個文件中。
[0010]根據(jù)本發(fā)明，判斷攻擊場景的類型包括:識別攻擊特征為多步攻擊特征還是單步攻擊特征；當(dāng)攻擊特征識別為單步攻擊特征時，判斷攻擊場景的類型為簡單攻擊過程；當(dāng)攻擊特征識別為多步攻擊特征時，判斷攻擊場景的類型為多步攻擊特征。
[0011]根據(jù)本發(fā)明，在判斷攻擊場景的類型之前，還包括:確定要識別的攻擊范圍。
[0012]另一方面，本發(fā)明還提供了一種基于云計算網(wǎng)絡(luò)的安全事件分析系統(tǒng)，包括:判斷模塊，用于判斷攻擊場景的類型；分析模塊，用于當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進(jìn)行分析。
[0013]根據(jù)本發(fā)明，分析模塊，還用于當(dāng)判斷出攻擊場景的類型為復(fù)雜攻擊過程時，采用狀態(tài)機(jī)模型或者統(tǒng)計模型對安全事件流進(jìn)行分析。
[0014]根據(jù)本發(fā)明，分析模塊采用基于字符串匹配的模型對安全事件流進(jìn)行分析，包括:將安全事件流中的安全事件與預(yù)定義的字符串匹配規(guī)則進(jìn)行匹配；如果匹配不成功，則丟棄安全事件；如果匹配成功，則根據(jù)上述字符串匹配規(guī)則中的攻擊事件屬性生成對應(yīng)的攻擊事件。
[0015]根據(jù)本發(fā)明，判斷模塊判斷攻擊場景的類型包括:識別攻擊特征為多步攻擊特征還是單步攻擊特征；當(dāng)攻擊特征識別為單步攻擊特征時，判斷上述攻擊場景的類型為簡單攻擊過程；當(dāng)攻擊特征識別為多步攻擊特征時，判斷上述攻擊場景的類型為多步攻擊特征。
[0016]相比于現(xiàn)有技術(shù)，本發(fā)明的有益效果為:
[0017]在本發(fā)明的云計算網(wǎng)絡(luò)中的安全事件分析方法和系統(tǒng)中，針對簡單攻擊過程類型的攻擊場景采用了基于字符串匹配的模型來進(jìn)行分析，在該分析方法實際應(yīng)用中，可以使得簡單攻擊過程從狀態(tài)機(jī)模型中釋放出來，改為利用基于字符串匹配的模型。因此，本發(fā)明的方法可以減少狀態(tài)機(jī)模型中的場景數(shù)目以及狀態(tài)機(jī)模型中需要維護(hù)的狀態(tài)數(shù)，從而提高狀態(tài)機(jī)模型的效率。
[0018]另外，本發(fā)明的分析方法和系統(tǒng)可以加快攻擊場景的整體匹配效率以及內(nèi)存占用率，同時簡化了部分規(guī)則的編寫。通過加快效率，可以有效地提高系統(tǒng)分析的實時性以及準(zhǔn)確性。
[0019]進(jìn)一步，本發(fā)明的分析方法和系統(tǒng)提出了一種基于字符串匹配的關(guān)聯(lián)方式，同時提出了采用json中間狀態(tài)來處理規(guī)則，有效地提高了規(guī)則的加載速度和內(nèi)存占用。
【專利附圖】

【附圖說明】
[0020]圖1是本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析方法一個實施例的示意圖；
[0021]圖2是本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析方法另一實施例的示意圖；
[0022]圖3是本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析方法另一實施例的示意圖；
[0023]圖4是本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析方法又一實施例的示意圖；
[0024]圖5是本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析系統(tǒng)一個實施例的示意圖。
【具體實施方式】
[0025]下面結(jié)合附圖對本發(fā)明作進(jìn)一步的說明。
[0026]如圖1所示，本發(fā)明一可選實施例的云計算網(wǎng)絡(luò)中的安全事件分析方法包括:[0027]S101，判斷攻擊場景的類型；
[0028]S102，當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進(jìn)行分析。
[0029]如圖2所示，本發(fā)明一可選實施例的云計算網(wǎng)絡(luò)中的安全事件分析方法包括:
[0030]S202，當(dāng)判斷出攻擊場景的類型為復(fù)雜攻擊過程時，采用狀態(tài)機(jī)模型或者統(tǒng)計模型對安全事件流進(jìn)行分析。
[0031]具體地，上述的攻擊場景是指入侵者為達(dá)到入侵目的所采取的一系列攻擊步驟。本發(fā)明的分析方法針對簡單攻擊過程類型的攻擊場景采用了基于字符串匹配的模型來進(jìn)行分析。在該分析方法實際應(yīng)用中，可以使得簡單攻擊過程從狀態(tài)機(jī)模型中釋放出來，改為利用基于字符串匹配的模型進(jìn)行分析。因此，本發(fā)明的方法可以減少狀態(tài)機(jī)模型中的場景數(shù)目以及狀態(tài)機(jī)模型中需要維護(hù)的狀態(tài)數(shù)，從而提高狀態(tài)機(jī)模型的效率。
[0032]根據(jù)本發(fā)明，在判斷攻擊場景的類型之前，還包括:確定要識別的攻擊范圍。具體而言，攻擊范圍是指對哪些攻擊進(jìn)行識別，比如說僅對SQL注入攻擊、SYN Flood攻擊、XSS攻擊進(jìn)行識別，其它的攻擊不識別，等等。
[0033]優(yōu)選地，如圖3所示，在本發(fā)明一可選實施例的云計算網(wǎng)絡(luò)中的安全事件分析方法中，采用基于字符串匹配的模型對安全事件流進(jìn)行分析，包括:
[0034]S301，將安全事件流中的安全事件與預(yù)定義的字符串匹配規(guī)則進(jìn)行匹配；
[0035]S302，如果匹配不成功，則丟棄安全事件；
[0036]S303,如果匹配成功，則根據(jù)字符串匹配規(guī)則中的攻擊事件屬性生成對應(yīng)的攻擊事件。
[0037]如圖4所示，更詳細(xì)地，在本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析方法又一實施例中，該方法還包括:
[0038]S401，基于攻擊特征定義字符串匹配規(guī)則；和/或
[0039]S402，對所定義的xml文本格式的字符串匹配規(guī)則處理成json文本格式，并且處理后的所有的字符串匹配規(guī)則存放到一個文件中。
[0040]換句話說，就是把規(guī)則處理成為一種中間格式，便于規(guī)則引擎快速加載。通過這種方式，可以減少多次讀取文件所引起的io性能消耗；同時使用json的簡單性以及靈活性能夠有效的減少規(guī)則集的大小。
[0041]在本發(fā)明云計算網(wǎng)絡(luò)中的安全事件分析方法的另一個可選實施例中，在進(jìn)行步驟SlOl時，判斷攻擊場景的類型包括:
[0042]識別攻擊特征為多步攻擊特征還是單步攻擊特征；
[0043]當(dāng)攻擊特征識別為單步攻擊特征時，判斷攻擊場景的類型為簡單攻擊過程；
[0044]當(dāng)攻擊特征識別為多步攻擊特征時，判斷攻擊場景的類型為多步攻擊特征。
[0045]對于本發(fā)明的云計算網(wǎng)絡(luò)中的安全事件分析方法來說，首先需要判斷攻擊場景的類型，即，明確哪些攻擊需要在環(huán)境中識別。然后需要對攻擊場景進(jìn)行分類，分為復(fù)雜的攻擊過程和簡單的攻擊過程，相應(yīng)的判斷標(biāo)準(zhǔn)為是否為多步攻擊特征，當(dāng)攻擊狀態(tài)特征大于I時則為復(fù)雜攻擊過程；等于I時則為簡單攻擊過程。具體地，對攻擊場景類型的判斷可通過如下步驟進(jìn)行:首先識別攻擊特征為多步攻擊特征還是單步攻擊特征。當(dāng)攻擊特征識別為單步攻擊特征時，則可以判斷攻擊場景的類型為簡單攻擊過程；當(dāng)攻擊特征識別為多步攻擊特征時，則可以判斷攻擊場景的類型為多步攻擊特征，即攻擊場景類型為復(fù)雜攻擊過程。
[0046]進(jìn)一步，當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，則采用基于字符串匹配的模型對安全事件流進(jìn)行分析；當(dāng)判斷出攻擊場景的類型為復(fù)雜攻擊過程時，則采用狀態(tài)機(jī)模型或者統(tǒng)計模型對安全事件流進(jìn)行分析。
[0047]一方面對于復(fù)雜攻擊過程，仍然采用狀態(tài)機(jī)模型進(jìn)行分析；另一方面，對于簡單攻擊過程，則使用本發(fā)明的基于字符串匹配的關(guān)聯(lián)分析方法來進(jìn)行分析，在安全事件流經(jīng)過規(guī)則時，如果匹配規(guī)則中定義的條件，則完成匹配過程。上述的基于字符串匹配的關(guān)聯(lián)分析方法如下:
[0048]1.進(jìn)行規(guī)則語法定義:
[0049]根據(jù)攻擊特征定義規(guī)則語法,其中包含strmatch、result元素；具體的語法定義如下：
【權(quán)利要求】
1.一種云計算網(wǎng)絡(luò)中的安全事件分析方法，包括: 判斷攻擊場景的類型； 當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進(jìn)行分析。
2.根據(jù)權(quán)利要求1所述的安全事件分析方法，其特征在于，所述方法還包括: 當(dāng)判斷出攻擊場景的類型為復(fù)雜攻擊過程時，采用狀態(tài)機(jī)模型或者統(tǒng)計模型對安全事件流進(jìn)行分析。
3.根據(jù)權(quán)利要求1所述的安全事件分析方法，其特征在于，采用基于字符串匹配的模型對安全事件流進(jìn)行分析，包括: 將安全事件流中的安全事件與預(yù)定義的字符串匹配規(guī)則進(jìn)行匹配； 如果匹配不成功，則丟棄所述安全事件； 如果匹配成功，則根據(jù)所述字符串匹配規(guī)則中的攻擊事件屬性生成對應(yīng)的攻擊事件。
4.根據(jù)權(quán)利要求3所述的安全事件分析方法，其特征在于，所述方法還包括: 基于攻擊特征定義所述字符串匹配規(guī)則；和/或 對定義的為xml文本格式的字符串匹配規(guī)則處理成json文本格式，并且處理后的所有的字符串匹配規(guī)則存放到一個文件中。
5.根據(jù)權(quán)利要求1所述的安全事件分析方法，其特征在于，判斷攻擊場景的類型包括: 識別攻擊特征為多步攻擊特征還是單步攻擊特征； 當(dāng)攻擊特征識別為單步攻擊特征時，判斷所述攻擊場景的類型為簡單攻擊過程； 當(dāng)攻擊特征識別為多步攻擊特征時，判斷所述攻擊場景的類型為多步攻擊特征。
6.根據(jù)權(quán)利要求1所述的安全事件分析方法，其特征在于，在判斷攻擊場景的類型之前，還包括:確定要識別的攻擊范圍。
7.一種基于云計算網(wǎng)絡(luò)的安全事件分析系統(tǒng)，包括: 判斷模塊，用于判斷攻擊場景的類型； 分析模塊，用于當(dāng)判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進(jìn)行分析。
8.根據(jù)權(quán)利要求7所述的安全事件分析系統(tǒng)，其特征在于，所述分析模塊，還用于當(dāng)判斷出攻擊場景的類型為復(fù)雜攻擊過程時，采用狀態(tài)機(jī)模型或者統(tǒng)計模型對安全事件流進(jìn)行分析。
9.根據(jù)權(quán)利要求7所述的安全事件分析系統(tǒng)，其特征在于，所述分析模塊采用基于字符串匹配的模型對安全事件流進(jìn)行分析，包括: 將安全事件流中的安全事件與預(yù)定義的字符串匹配規(guī)則進(jìn)行匹配； 如果匹配不成功，則丟棄所述安全事件； 如果匹配成功，則根據(jù)所述字符串匹配規(guī)則中的攻擊事件屬性生成對應(yīng)的攻擊事件。
10.根據(jù)權(quán)利要求7所述的安全事件分析系統(tǒng)，其特征在于，所述判斷模塊判斷攻擊場景的類型包括: 識別攻擊特征為多步攻擊特征還是單步攻擊特征； 當(dāng)攻擊特征識別為單步攻擊特征時，判斷所述攻擊場景的類型為簡單攻擊過程； 當(dāng)攻擊特征識別為多步攻擊特征時，判斷所述攻擊場景的類型為多步攻擊特征。
【文檔編號】H04L29/06GK103746991SQ201410001398
【公開日】2014年4月23日 申請日期:2014年1月2日 優(yōu)先權(quán)日:2014年1月2日
【發(fā)明者】鄭勇, 王軍林, 唐明, 徐博 申請人:曙光云計算技術(shù)有限公司