【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及基于属性的多模型联合事件分析。
技术介绍
随着Internet技术的高速发展,网络安全问题变得越来越敏感和重要,攻击者攻击手段和技术的日益复杂化、更具隐蔽性和分布性特点,使得对入侵意图的识别变得困难;冗余的、无关紧要的告警数据的泛滥给系统管理员带来了巨大的压力和错觉,甚至是漠视告警;有效关联技术和预警技术的缺乏导致攻击的漏报或误报,最终难于准确定位攻击意图,从而不能及时给出相应的对策,给系统带来巨大的损失。为了保障网络的可用性和网络上信息的机密性、完整性,防止来自外部或内部的攻击行为,网络管理者花费了大量的资源来购买防火墙、入侵检测系统(IDS)、虚拟专用网(VPN)网关和防病毒软件等网络安全工具,力图保障网络的安全。这些网络安全工具和网络设备都以日志和告警等形式记录了大量的网络安全数据,这些数据已经成为网络安全工作中防御、检测和响应的重要基础依据。然而,在现实网络环境中,这些海量、零星杂乱的安全数据,常常并不等于真实有效的安全信息,也不能单独构成有用的安全事件,更不能及时形成真正有指导意义的安全响应知识。因此,对这些海量的网络安全数据进行自动智能化的关联分析,揭示隐藏在事件背后的逻辑关系及其攻击意图,对各个攻击进行严重度排序并生成各种快速直观的分析报告,从而全面监控网络状况、有效指导网络安全管理、有效预防、阻断或减少安全威胁,是网络安全保障的一个极有价值并且十分必要的手段。只有这样,管理员才能及时发现网络中的攻击行为,修补脆弱点或阻止攻击。
技术实现思路
本专利技术为了解决现有网络环境复杂,网络日志海量且 ...
【技术保护点】
基于属性的多模型联合事件分析,其特征在于,通过对网络设备的日志进行统一采集,提取出事件的通用属性(源IP,目的IP,源端口,目的端口,协议),设计多种关联事件模型(统计事件模型,单事件模型,多事件模型),运用不同事件属性的布尔逻辑运算来分析出有价值的联合事件。具体流程为:s1.通过syslog或者snmptrap方式采集各种网络设备的日志;s2.对原始日志进行归并;s3.通过正则表达式匹配出单一事件,提取出事件属性;s4.定义关联事件模型;s5.根据事件模型定义,对事件属性进行布尔逻辑运算,得到联合事件;s6.告警,通知网络管理人员。其中,定义关联事件模型,本专利技术中将涉及到三种关联模型:统计事件模型,单事件模型,多事件模型。统计事件模型,通过预先定义统计事件模型策略,经过对比判断,确认是否满足联合事件定义;单事件模型,通过预先定义单事件模型策略,通过事件对比,经过布尔逻辑运算,既与或非运算过程,确认是否满足联合事件发生;多事件模型,通过预先定义多事件模型策略,通过事件对比,经过布尔逻辑运算,既或与非运算,确认是否满足联合时间的发生。
【技术特征摘要】
【专利技术属性】
技术研发人员:杨育斌,杨帆,柯宗贵,
申请(专利权)人:蓝盾信息安全技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。