安全事件关联分析方法及系统技术方案

本发明专利技术涉及一种安全事件关联分析方法及系统，方法包括：接收安全运营中心采集到的安全事件记录；按照设备分组，形成依据安全事件发生时间排序的事件序列表，且当前分析指针指向尚未进入触发器的时间最早的安全事件记录；将当前分析指针指向的安全事件记录送入触发器进行状态机规则匹配，并将当前分析指针指向下一个时间顺序的安全事件记录；根据触发器内的安全事件记录的规则匹配情况进行计时器计时和状态跳转，并根据状态机的超时情况对触发器内的安全事件记录对应的设备进行计数；在计数结果达到阈值时，发送给同步调整器，以便同步调整器根据计数结果对事件序列表进行步长调整。本发明专利技术能够满足复杂网络环境下的安全事件关联分析的精度需求。

【技术实现步骤摘要】
安全事件关联分析方法及系统
本专利技术涉及网络安全技术，尤其涉及一种安全事件关联分析方法及系统。
技术介绍
在网络安全形势愈发严峻的今天，网络安全管理成为网络运营的重要内容。安全运营中心（SecurityOperationsCentre，简称SOC）是对网络及安全设备与系统进行综合分析，实现安全事件集中管理和监控的技术支撑平台。SOC通过采集网络中设备与系统所产生的安全日志，经过分析处理，找到网络当前安全威胁与潜在的安全风险，从而及时发出预警，避免网络承受重大损失。SOC从网络中收集到的大量安全事件信息中，许多并不具有真实的威胁，有些可能是威胁实施前期的迹象，有些可能只是实质威胁产生的连带告警。安全事件关联分析是从经过预处理的安全事件中抽取有用信息，通过关联处理相关性，把孤立的安全事件集合关联为一个安全事件链，其目标是在大量误报告警与低级别告警中找出真正威胁告警，帮助安全运维人员及时定位网络中潜在的安全隐患。目前SOC采用的关联分析引擎机制主要采用状态机方法。“状态机”式关联分析引擎由网络安全事件即时驱动，满足预置条件的安全事件信息，可触发“状态机”的状态变迁。通过状态机状态记忆安全事件发生链，从而分析出安全事件的关联关系。“状态机”式关联分析引擎具有很强的实时性，但由于“状态机”要求网络安全事件进入关联分析引擎的时序，必须与事件发生的真正时序一致，对触发事件的时序要求很高。在复杂网络环境中，受网络传输延时和前端处理延时的影响，安全事件进入引擎的时序可能会发生颠倒，而导致“状态机”无法触发，关联分析引擎出现错报或漏报。因此，现有的关联分析引擎分析精度存在局限，难以满足复杂网络环境下的关联分析需求。
技术实现思路
本专利技术的目的是提出一种安全事件关联分析方法及系统，能够满足复杂网络环境下的安全事件关联分析的精度需求。为实现上述目的，本专利技术提供了一种安全事件关联分析方法，包括：接收安全运营中心采集到的安全事件记录；按照所述安全事件记录对应的设备进行分组，并针对每个设备形成依据安全事件发生时间排序的事件序列表，且当前分析指针指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录；将当前分析指针指向的安全事件记录送入触发器进行状态机的预设规则的匹配，并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录；根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转，并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数；在计数结果达到预设统计阈值时，将计数结果发送给同步调整器，以便所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。进一步的，在所述接收安全运营中心采集到的安全事件记录之后，形成事件序列表之前还包括：对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析；对低重要度的事件进行过滤，并对相同安全事件进行合并和次数累加。进一步的，在按照所述安全事件记录对应的设备进行分组，并针对于每个设备形成依据安全事件发生时间排序的事件序列表时，还包括：所述同步调整器将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。进一步的，所述根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转，并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数的操作具体包括：如果所述触发器中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态，则使所述触发器中的安全事件记录的状态机向警备态进行跳转，并启动计时器，然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理；如果所述状态机已处于警备态，则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转，并判断跳转后的状态机是否已达到最终警备态，是则向外发出告警信息，所述状态机回复初始态；如果所述状态机未达最终警备态，则判断所述计时器是否超时，如果超时，则所述状态机回复初始态，并对所述触发器内的安全事件记录对应的设备进行计数，否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。进一步的，所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整的操作具体为：所述同步调整器根据所述计数结果的正负和大小确定调整的步长值和调整方向，根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。进一步的，在所述向外发出告警信息，所述状态机回复初始态的操作时，还包括：对所述触发器内的安全事件记录对应的设备进行正值计数；在所述状态机超时时，对所述触发器内的安全事件记录对应的设备进行负值计数；如果所述计数结果为负值，则所述同步调整器确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整；如果计数结果为正值，则保持所述时间指针不变。为实现上述目的，本专利技术提供了一种安全事件关联分析系统，包括：事件记录接收模块，用于接收安全运营中心采集到的安全事件记录；序列表形成模块，用于按照所述安全事件记录对应的设备进行分组，并针对每个设备形成依据安全事件发生时间排序的事件序列表；当前分析指针，用于指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录；触发器，用于接收当前分析指针指向的安全事件记录，并进行状态机的预设规则的匹配，根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转，并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录；计数模块，用于根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数，并在计数结果达到预设统计阈值时，将计数结果发送给同步调整器；同步调整器，用于根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。进一步的，还包括：预处理模块，用于对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析，以及对低重要度的事件进行过滤，并对相同安全事件进行合并和次数累加。进一步的，所述同步调整器还用于在按照所述安全事件记录对应的设备进行分组，并针对于每个设备形成依据安全事件发生时间排序的事件序列表时，将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。进一步的，所述触发器具体包括：规则匹配单元，用于接收当前分析指针指向的安全事件记录，并进行状态机的预设规则的匹配；状态跳转单元，用于在所述触发器中的安全事件记录匹配所述状态机的预设规则，且所述状态机处于初始态时，则使所述触发器中的安全事件记录的状态机向警备态进行跳转，并启动计时器，然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理，如果所述状态机已处于警备态，则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转，并判断跳转后的状态机是否已达到最终警备态；初始态返回单元，用于使所述状态机回复初始态；告警单元，用于在跳转后的状态机已达到最终警备态时，向外发出告警信息，并触发所述初始态返回单元；超时判断单元，用于在所述状态机未达最终本文档来自技高网...

【技术保护点】
一种安全事件关联分析方法，包括：接收安全运营中心采集到的安全事件记录；按照所述安全事件记录对应的设备进行分组，并针对每个设备形成依据安全事件发生时间排序的事件序列表，且当前分析指针指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录；将当前分析指针指向的安全事件记录送入触发器进行状态机的预设规则的匹配，并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录；根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转，并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数；在计数结果达到预设统计阈值时，将计数结果发送给同步调整器，以便所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。

【技术特征摘要】
1.一种安全事件关联分析方法，包括：接收安全运营中心采集到的安全事件记录；按照所述安全事件记录对应的设备进行分组，并针对每个设备形成依据安全事件发生时间排序的事件序列表，且当前分析指针指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录；将当前分析指针指向的安全事件记录送入触发器进行状态机的预设规则的匹配，并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录；根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转，并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数；在计数结果达到预设统计阈值时，将计数结果发送给同步调整器，以便所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。2.根据权利要求1所述的安全事件关联分析方法，其中在所述接收安全运营中心采集到的安全事件记录之后，形成事件序列表之前还包括：对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析；对低重要度的事件进行过滤，并对相同安全事件进行合并和次数累加。3.根据权利要求1所述的安全事件关联分析方法，其中在按照所述安全事件记录对应的设备进行分组，并针对于每个设备形成依据安全事件发生时间排序的事件序列表时，还包括：所述同步调整器将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。4.根据权利要求1或3所述的安全事件关联分析方法，其中所述根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转，并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数的操作具体包括：如果所述触发器中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态，则使所述触发器中的安全事件记录的状态机向警备态进行跳转，并启动计时器，然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理；如果所述状态机已处于警备态，则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转，并判断跳转后的状态机是否已达到最终警备态，是则向外发出告警信息，所述状态机回复初始态；如果所述状态机未达最终警备态，则判断所述计时器是否超时，如果超时，则所述状态机回复初始态，并对所述触发器内的安全事件记录对应的设备进行计数，否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。5.根据权利要求4所述的安全事件关联分析方法，其中所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整的操作具体为：所述同步调整器根据所述计数结果的正负和大小确定调整的步长值和调整方向，根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。6.根据权利要求5所述的安全事件关联分析方法，其中在所述向外发出告警信息，所述状态机回复初始态的操作时，还包括：对所述触发器内的安全事件记录对应的设备进行正值计数；在所述状态机超时时，对所述触发器内的安全事件记录对应的设备进行负值计数；如果所述计数结果为负值，则所述同步调整器确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整；如果计数结果为正值，则保持所述时间指针不变。7.一种安...

【专利技术属性】
技术研发人员：樊宁，沈军，金华敏，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11