[发明专利]一种基于复杂事件处理的网络安全关联分析方法

说明书

技术领域

本发明属于网络安全技术领域，特别是一种基于复杂事件处理的网络安全关联分析方法。

背景技术

网络的快速发展，方便人们生活的同时也给人们带来了许多困扰。随着网络规模的不断扩大，网络攻击破坏行为日益频繁，网络安全形势也日趋严峻。虽然目前网络中有从硬件到软件的层层防护，但一般情况下仅靠这些措施仍然无法准确及时的发现攻击对象发起的各类攻击。特别是在复杂网络环境下，攻击者如果已经获知部分信息，就很容易通过伪造或者借助少量信息试探的方式来获得更多重要信息。与此行为相关的诸多安全事件之间往往具有错综复杂的逻辑关系，而这类异常行为却不易被现有防护察觉。因此，需要综合关联分析这些事件来发现并防范这类危险行为的发生。

基于复杂事件处理的网络安全关联分析技术是通过对直接来自事件源(指各类安全防护设备或计算机系统、各类软件等)的原子安全事件以及由其合成的复杂事件进行多级关联分析的技术，该技术可以找到潜在的网络威胁，从而达到维护网络安全的目的。

目前开展网络安全分析的研究主要包括：一是单独研究某类型的防护。比如针对入侵检测，单独研究其防护效果；二是采用复杂的数学方法或模型，借助大量的历史安全事件进行网络安全状态挖掘分析。但目前的研究还存在以下不足：

未对各类网络安全事件进行全面综合分析；

各类数学挖掘算法或模型一般采用大量历史数据，而且通常

比较复杂导致执行效率不高，不利于及时分析当前的网络安全状况。

在进行下文阐述之前，先介绍两个概念：

原子事件：是指不能被分解为更小的事件，且所包含的信息有限。本文所指的原子事件特指网络安全领域中包括计算机系统日志、各类软件以及各类网络安全防护设备产生并经过统一格式化后的事件。

复杂事件：是指由原子事件或复杂事件以及定义在这些事件上的约束规则组成的事件。复杂事件包含两部分，<Element，Restraint>。其中Element是复杂事件的组成元素，Restraint是复杂事件的约束规则。约束规则通常由一些运算符组成，包括求交运算(And)、求并运算(Or)、求非运算(Not)以及序列运算(Seq)。从本质上来说，原子事件也可以看成是不带Restraint约束规则的特殊复杂事件。

发明内容

本发明就是为了解决上述问题，提出一种基于复杂事件处理的网络安全关联分析方法，将来自不同网络事件源的不同事件进行关联起来分析。这里兼顾了安全事件本身对整个网络的威胁影响以及直接受攻击设备或软件等重要性的考量，通过多级规则对同一个对象系列操作所产生安全事件的多级分析，可以累计每条安全事件风险值达到整体分析该对象的目的。通过对网络安全事件的统一格式化，本发明能够做到对同一事件源的同类数据或不同事件源之间的异构数据进行关联分析。

本文所指的复杂事件特指网络安全领域中的事件，其主要包含四个属性集，即用于区分事件的相关标示符集合、描述事件的属性集、作用于属性集上的约束以及事件风险集等。其中风险集包含两个元素，即威胁度及重要度两个；威胁度是事件威胁网络的度量值，重要度是指相关联设备或软件对整个网络以及办公重要性的大小度量值。

关联规则是作用于事件上的约束条件，一条关联规则可以包含多级，每级规则在对事件进行匹配之后会生成一条新的事件，该新事件的风险集部分会根据规则赋值。通过对新事件的风险集进行累积求和计算可以判断导致该新事件生成的所有事件是否存在威胁。

图1是针对网络安全提出的关联分析流程算法(这里仅仅列出了两级规则算法，多级规则依此类推)：

本发明方法的具体步骤如下：

步骤1：通过安全事件模型将网络安全事件进行统一格式化转换；

步骤2：经过格式化后的事件进行一级规则匹配。具体匹配过程可以是，输入的各类安全事件根据匹配规则，对该事件的特定属性字段进行过滤、相同或相近事件进行聚合等事件提取操作，生成新的合成事件，并根据规则赋值给合成事件中的风险集；

步骤3：根据第2步合成事件中的风险集，对两个元素即威胁度及重要度两个进行求积运算。同时把计算结果与关联规则中的告警门限值进行比较，如果超过了关联规则设定的告警门限值，则直接告警，提醒用户及时处理网络安全告警；否则，继续进行二级规则匹配计算；

步骤4：二级规则匹配过程同一级规则匹配类似；