安全事件的智能關(guān)聯(lián)分析方法與裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本公開涉及網(wǎng)絡(luò)安全領(lǐng)域�,特別地,涉及一種安全事件的智能關(guān)聯(lián)分析方法與裝 置�。
【背景技術(shù)】
[0002] 在網(wǎng)絡(luò)安全形勢愈發(fā)嚴(yán)峻的今天,網(wǎng)絡(luò)安全管理成為網(wǎng)絡(luò)運(yùn)營的重要內(nèi)容����。 S0C(Security Operations Centre,安全運(yùn)營中心)是對網(wǎng)絡(luò)及安全設(shè)備與系統(tǒng)進(jìn)行綜合 分析,實(shí)現(xiàn)安全事件集中管理和監(jiān)控的技術(shù)支撐平臺(tái)�。S0C通過采集網(wǎng)絡(luò)中設(shè)備與系統(tǒng)所產(chǎn) 生的安全日志,經(jīng)過分析處理�����,找到網(wǎng)絡(luò)當(dāng)前安全威脅與潛在的安全風(fēng)險(xiǎn),從而及時(shí)發(fā)出預(yù) 警�,避免網(wǎng)絡(luò)承受重大損失。S0C從網(wǎng)絡(luò)中收集到的大量安全事件信息中�����,許多并不具有真 實(shí)的威脅����,有些可能是威脅實(shí)施前期的跡象,有些可能只是實(shí)質(zhì)威脅產(chǎn)生的連帶告警��。安全 事件關(guān)聯(lián)分析是從經(jīng)過預(yù)處理的安全事件中抽取有用信息�,通過關(guān)聯(lián)處理相關(guān)性,把孤立 的安全事件集合關(guān)聯(lián)為一個(gè)安全事件鏈�,其目標(biāo)是在大量誤報(bào)告警與低級別告警中找出真 正威脅告警,幫助安全運(yùn)維人員及時(shí)定位網(wǎng)絡(luò)中潛在的安全隱患�����。
[0003] 目前智能S0C關(guān)聯(lián)分析引擎機(jī)制主要采用"推理機(jī)"方法�。"推理機(jī)"式關(guān)聯(lián)分析 引擎工作原理是預(yù)置先驗(yàn)訓(xùn)練出的推理模型,采集到安全事件后將提取屬性信息分別與推 理模型的各條規(guī)則特征進(jìn)行匹配,滿足則進(jìn)行記錄����,直至推理模型所有規(guī)則特征匹配度達(dá) 到閾值,觸發(fā)告警����。"推理機(jī)"式關(guān)聯(lián)分析引擎不會(huì)遺漏任何安全事件及安全事件攜帶的任 何信息���,分析精度高���,但由于S0C對全網(wǎng)安全事件的分析涉及多設(shè)備、多協(xié)議����、多攻擊類型, 采用傳統(tǒng)"推理機(jī)"關(guān)聯(lián)分析引擎則需要建設(shè)大量的攻擊模型�,分析精細(xì)復(fù)雜,需占用非常 多的計(jì)算空間時(shí)間代價(jià)�,導(dǎo)致分析效率很低。電信網(wǎng)絡(luò)環(huán)境中安全事件海量�,低效率的推理 機(jī)式關(guān)聯(lián)分析引擎效率無法支持。
【發(fā)明內(nèi)容】
[0004] 本公開鑒于以上問題中的至少一個(gè)提出了新的技術(shù)方案��。
[0005] 本公開在其一個(gè)方面提供了一種安全事件的智能關(guān)聯(lián)分析方法,其提高了關(guān)聯(lián)分 析的效率���。
[0006] 本公開在其另一方面提供了一種安全事件的智能關(guān)聯(lián)分析裝置����,其提高了關(guān)聯(lián)分 析的效率�。
[0007] 根據(jù)本公開,提供一種安全事件的智能關(guān)聯(lián)分析方法�,包括:
[0008] 對實(shí)時(shí)采集到的安全事件進(jìn)行屬性特征的分解與屬性特征值的標(biāo)準(zhǔn)化;
[0009] 利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)�,以確定攻擊類別。
[0010] 在本公開的一些實(shí)施例中�,通過下述方式生成統(tǒng)一推理結(jié)構(gòu):
[0011] 匯集攻擊模型庫和安全事件訓(xùn)練樣本;
[0012] 將安全事件訓(xùn)練樣本分解為特征庫����;
[0013] 計(jì)算特征庫中各特征與攻擊的關(guān)聯(lián)概率;
[0014] 基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進(jìn)行分級�����,形成統(tǒng)一推理結(jié)構(gòu)的各級節(jié)點(diǎn)�����;
[0015] 訓(xùn)練計(jì)算滿足判決精度要求的各級節(jié)點(diǎn)的置信值,并確定分類閾值和分類正確 率�。
[0016] 在本公開的一些實(shí)施例中,利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理 結(jié)構(gòu)�,以確定攻擊類別包括:
[0017] 自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點(diǎn)開始將標(biāo)準(zhǔn)化后的屬性特征值與統(tǒng)一推理結(jié)構(gòu)中的各 級節(jié)點(diǎn)的特征規(guī)則進(jìn)行比對;
[0018] 如果標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配���,則將根節(jié)點(diǎn)至當(dāng)前節(jié)點(diǎn)的置信值 相疊加�,形成攻擊置信值���;
[0019] 在遍歷了統(tǒng)一推理結(jié)構(gòu)后,根據(jù)攻擊置信值所處的置信空間確定攻擊類別��。
[0020] 在本公開的一些實(shí)施例中���,所述方法還包括:
[0021] 針對一個(gè)標(biāo)準(zhǔn)化后的屬性特征值����,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點(diǎn)遍歷開始啟動(dòng)定時(shí) 器�;
[0022] 如果定時(shí)器超時(shí),則對所述一個(gè)標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清零���。
[0023] 在本公開的一些實(shí)施例中�,安全事件的屬性特征包括源IP地址與端口、目的IP地 址與端口���、事件類別�、事件名稱��、事件等級�、事件涉及的設(shè)備以及事件發(fā)生的時(shí)間。
[0024] 根據(jù)本公開�����,還提供了一種安全事件的智能關(guān)聯(lián)分析裝置��,包括:
[0025] 事件采集單元�����,用于對實(shí)時(shí)采集到的安全事件進(jìn)行屬性特征的分解與屬性特征值 的標(biāo)準(zhǔn)化�;
[0026] 類別判斷單元,用于利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)�����, 以確定攻擊類別�。
[0027] 在本公開的一些實(shí)施例中�����,所述安全事件的智能關(guān)聯(lián)分析裝置還包括統(tǒng)一推理結(jié) 構(gòu)生成單元����,所述統(tǒng)一推理結(jié)構(gòu)生成單元包括:
[0028] 匯集子單元��,用于匯集攻擊模型庫和安全事件訓(xùn)練樣本��;
[0029] 樣本分解子單元�����,用于將安全事件訓(xùn)練樣本分解為特征庫����;
[0030] 關(guān)聯(lián)概率計(jì)算子單元�,用于計(jì)算特征庫中各特征與攻擊的關(guān)聯(lián)概率;
[0031] 結(jié)構(gòu)形成子單元�����,用于基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進(jìn)行分級�,形成統(tǒng)一推 理結(jié)構(gòu)的各級節(jié)點(diǎn)�����;
[0032] 置信值確定子單元�,用于訓(xùn)練計(jì)算滿足判決精度要求的各級節(jié)點(diǎn)的置信值���,并確 定分類閾值和分類正確率����。
[0033] 在本公開的一些實(shí)施例中���,所述類別判斷單元包括:
[0034] 比對子單元�����,用于自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點(diǎn)開始將標(biāo)準(zhǔn)化后的屬性特征值與統(tǒng)一 推理結(jié)構(gòu)中的各級節(jié)點(diǎn)的特征規(guī)則進(jìn)行比對�����;
[0035] 攻擊置信值計(jì)算子單元�,用于如果標(biāo)準(zhǔn)化后的屬性特征值與特征規(guī)則相匹配��,則 將根節(jié)點(diǎn)至當(dāng)前節(jié)點(diǎn)的置信值相疊加�����,形成攻擊置信值;
[0036] 類別確定子單元����,用于在遍歷了統(tǒng)一推理結(jié)構(gòu)后,根據(jù)攻擊置信值所處的置信空 間確定攻擊類別����。
[0037] 在本公開的一些實(shí)施例中,所述安全事件的智能關(guān)聯(lián)分析裝置還包括:
[0038] 定時(shí)器���,用于針對一個(gè)標(biāo)準(zhǔn)化后的屬性特征值����,在自統(tǒng)一推理結(jié)構(gòu)的根節(jié)點(diǎn)遍歷 開始啟動(dòng)定時(shí)器�,如果定時(shí)器超時(shí),則對所述一個(gè)標(biāo)準(zhǔn)化后的屬性特征值的攻擊置信值清
[0039] 在本公開的一些實(shí)施例中�����,安全事件的屬性特征包括源IP地址與端口��、目的IP地 址與端口�、事件類別、事件名稱�、事件等級、事件涉及的設(shè)備以及事件發(fā)生的時(shí)間�。
[0040] 在本公開的技術(shù)方案中,通過離線生成的統(tǒng)一推理結(jié)構(gòu)提高了對實(shí)時(shí)采集的安全 事件的關(guān)聯(lián)分析效率���,節(jié)省了計(jì)算空間����、時(shí)間代價(jià)�����,實(shí)現(xiàn)了精度和效率的平衡��。
【附圖說明】
[0041] 此處所說明的附圖用來提供對本公開的進(jìn)一步理解���,構(gòu)成本申請的一部分����。在附 圖中:
[0042] 圖1是本公開一個(gè)實(shí)施例的安全事件的智能關(guān)聯(lián)分析方法的流程示意圖����。
[0043] 圖2是本公開一個(gè)實(shí)施例的樹形統(tǒng)一推理結(jié)構(gòu)的示意圖�。
[0044] 圖3是本公開一個(gè)實(shí)施例的安全事件的智能關(guān)聯(lián)分析裝置的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0045] 下面將參照附圖描述本公開��。要注意的是�����,以下的描述在本質(zhì)上僅是解釋性和示 例性的�����,決不作為對本公開及其應(yīng)用或使用的任何限制��。除非另外特別說明���,否則�,在實(shí)施 例中闡述的部件和步驟的相對布置以及數(shù)字表達(dá)式和數(shù)值并不限制本公開的范圍����。另外, 本領(lǐng)域技術(shù)人員已知的技術(shù)�、方法和裝置可能不被詳細(xì)討論�,但在適當(dāng)?shù)那闆r下意在成為 說明書的一部分���。
[0046] 圖1是本公開一個(gè)實(shí)施例的安全事件的智能關(guān)聯(lián)分析方法的流程示意圖。
[0047] 如圖1所示����,該實(shí)施例可以包括以下步驟:
[0048] S102,對實(shí)時(shí)采集到的安全事件進(jìn)行屬性特征的分解與屬性特征值的標(biāo)準(zhǔn)化;
[0049] 其中���,安全事件的屬性特征可以包括但不限于源IP地址與端口���、目的IP地址與端 口、事件類別�����、事件名稱���、事件等級�、事件涉及的設(shè)備以及事件發(fā)生的時(shí)間��。
[0050] S104,利用標(biāo)準(zhǔn)化后的屬性特征值遍歷離線生成的統(tǒng)一推理結(jié)構(gòu)�,以確定攻擊類 另IJ,其中,統(tǒng)一推理結(jié)構(gòu)可以為樹形結(jié)構(gòu)��。
[0051] 在該實(shí)施例中�,通過離線生成的統(tǒng)一推理結(jié)構(gòu)提高了對實(shí)時(shí)采集的安全事件的關(guān) 聯(lián)分析效率,節(jié)省了計(jì)算空間����、時(shí)間代價(jià),實(shí)現(xiàn)了精度和效率的平衡����。
[0052] 在一個(gè)實(shí)例中,可以通過下述方式生成統(tǒng)一推理結(jié)構(gòu):
[0053] 匯集攻擊模型庫和安全事件訓(xùn)練樣本���;將安全事件訓(xùn)練樣本分解為特征庫����;計(jì)算 特征庫中各特征與攻擊的關(guān)聯(lián)概率�����;基于樹結(jié)構(gòu)根據(jù)關(guān)聯(lián)概率對各特征進(jìn)行分級�����,形成統(tǒng) 一推理結(jié)構(gòu)的各級節(jié)點(diǎn);訓(xùn)練計(jì)算滿足判決精度要求的各級節(jié)點(diǎn)的置信值��,并確定分類閾 值和分類正確率��。
[0054] 需要指出的是��,上述統(tǒng)一推理結(jié)構(gòu)是基于安全事件訓(xùn)練樣本在離線狀態(tài)下預(yù)先訓(xùn) 練出的結(jié)構(gòu)���,在獲