本发明专利技术提出了一种网络安全事件关联分析方法和系统,通过在底层组件上报安全事件及审计数据的报文格式中约定至少包含会话相关信息,基于会话相关信息这三个维度将安全事件进行关联聚合,并且包括会话相关信息的安全事件信息根据不同的聚合方式存储在后端数据库中,在前端界面中以一定排列形状呈现包含源I P地址和目的地I P地址的I P节点,并且依据安全事件将相互关联的源I P地址和目的地I P地址进行连线,以形成安全事件触发关系拓扑图。本发明专利技术通用性强,适用于各种类型的网络,且对网络安全事件关联进行直观的拓扑展示。
A network security event correlation analysis method and system
【技术实现步骤摘要】
一种网络安全事件关联分析方法和系统
本申请实施例涉及计算机
,具体涉及一种网络安全事件关联分析方法和系统。
技术介绍
随着现在网络通讯及信息技术的发展,网络环境下的信息安全越来越重要。而现有的服务端和客户端的通讯方式,大部分以接口形式传输,这也就导致了信息在传输的过程中,容易被泄露、篡改或者删除等,给信息安全带来了很大的威胁。因此,在接口通讯中,采用一种安全的校验技术,便显得尤为重要。安全事件关联分析技术作为企业网络安全管理的核心功能之一,其目的在于从看似“分散独立”的海量安全数据中寻找异常活动的逻辑关系,发现攻击意图、步骤、危害、风险等信息。在企业网络安全防护中,往往通过监测审计设备、入侵监测设备、采集器装置等,报告安全事件、获取网络报文信息、流量数据等信息。这些原始的事件信息和网络数据往往是松散的,需要对这些信息进行统计学分析,或者关联分析以提炼出更有知道意义的信息。其中,核心的部分就是事件关联分析引。可以将安全事件关联分析定义为:用方法和工具表示的形式框架,用来对多源数据进行分析、聚类、分类、关联、以获得高质量的安全事件信息。现有事件关联方式主要有:时间维度关联,攻击方式维度关联,存在以下问题:1.通过列表方式展示事件关联,但存在不够直观的问题。列表可以描述某一个角度的事件关联,但无法描述整体网络的事件关系。2.安全事件之间存在的横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动,前一个攻击活动为后者提供基本条件;一个攻击活动在多个安全设备上产生了安全事件;多个不同来源的安全事件其实是一次协作攻击,这些都缺乏有效的综合分析。
技术实现思路
本申请实施例提出了网络安全事件关联分析方法和系统来解决以上
技术介绍
部分提到的技术问题。第一方面,本申请实施例提供了一种网络安全事件关联分析方法,该方法包括以下步骤:S1:在底层组件上报安全事件及审计数据的报文格式中约定至少包含会话相关信息,会话相关信息至少包括会话流I、相关安全事件的源IP地址和目的IP地址;S2:基于会话流ID、源IP地址以及目的地IP地址这三个维度将安全事件进行关联聚合,并且包括会话相关信息的安全事件信息根据不同的聚合方式存储在后端数据库中;S3:在前端界面中以一定排列形状呈现包含源IP地址和目的地IP地址的IP节点,并且依据安全事件将相互关联的源IP地址和目的地IP地址进行连线,以形成安全事件触发关系拓扑图。进一步地,会话相关信息包括服务器IP、服务器端口、客户机IP、客户机端口和会话起始时间以及应用层协议。进一步地,其特征在于,审计数据包括协议审计数据和流量审计数据。进一步地,其特征在于,响应于用户将鼠标移动到IP节点处,对连接到IP节点的所有连线进行高亮显示。进一步地,其特征在于,响应于用户点击其中一条连接线,将连线所对应的安全事件的信息进行显示。根据本专利技术的第二方面,提出了一种计算机可读存储介质,其上存储有一或多个计算机程序,该一或多个计算机程序被计算机处理器执行时实施上述方法。第三方面,本申请实施例提供了一种网络安全事件关联分析系统,包括:安全事件上报单元:被配置为在底层组件上报安全事件及审计数据的报文格式中约定至少包含会话相关信息,会话相关信息至少包括会话流ID、相关安全事件的源IP地址和目的IP地址;安全事件聚合单元:被配置为基于会话流ID、源IP地址以及目的地IP地址这三个维度将安全事件进行关联聚合,并且包括会话相关信息的安全事件信息根据不用的聚合方式存储在后端数据库中;安全事件拓扑图单元:被配置为在前端界面中以一定排列形状呈现包含源IP地址和目的地IP地址的IP节点,并且依据安全事件将相互关联的源IP地址和目的地IP地址进行连线,以形成安全事件触发关系拓扑图。进一步地,安全事件拓扑图单元包括被配置为响应于用户将鼠标移动到IP节点处,对连接到IP节点的所有连线进行高亮显示。进一步地,安全事件拓扑图单元被配置为响应于用户点击其中一条连接线,将连线所对应的安全事件的信息进行显示。本申请提供的网络安全事件关联分析方法和系统,通过在底层组件上报安全事件及审计数据的报文格式中约定至少包含会话相关信息,基于会话相关信息这三个维度将安全事件进行关联聚合,并且包括会话相关信息的安全事件信息根据不同的聚合方式存储在后端数据库中,在前端界面中以一定排列形状呈现包含源IP地址和目的地IP地址的IP节点,并且依据安全事件将相互关联的源IP地址和目的地IP地址进行连线,以形成安全事件触发关系拓扑图。本专利技术具有以下优点:1.通用性强,本专利技术适用于各种类型的网络,且对网络安全事件关联进行直观的拓扑展示。2.表示直观,可以在拓扑图中直观的体现存在关联事件的攻击主机和被攻击主机的连接,以及相关主机的连接。3.可以展示更多的入侵攻击关联。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1是本申请可以应用于其中的示例性系统架构图;图2是根据本申请的网络安全事件关联分析方法的一个实施例的流程图;图3是根据本申请的网络安全事件关联分析方法和系统的安全事件聚合的效果图;图4是根据本申请的网络安全事件关联分析方法和网络安全事件的逻辑拓扑图;图5是根据本申请的网络安全事件关联分析方法和系统的安全事件系统的一个实施例的流程图;图6是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。具体实施方式下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关专利技术,而非对该专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关专利技术相关的部分。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。图1示出了可以应用本申请实施例的用于处理信息的方法或用于处理信息的装置的示例性系统架构100。如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。终端设备101、102、103可以是具有通信功能的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。本文档来自技高网...
【技术保护点】
1.一种网络安全事件关联分析方法,其特征在于,包括以下步骤:/nS1:在底层组件上报安全事件及审计数据的报文格式中约定至少包含会话相关信息,所述会话相关信息至少包括会话流ID、相关安全事件的源IP地址和目的IP地址;/nS2:基于所述会话流ID、所述源IP地址以及所述目的地IP地址这三个维度将所述安全事件进行关联聚合,并且包括所述会话相关信息的安全事件信息根据不同的聚合方式存储在后端数据中;/nS3:在前端界面中以一定排列形状呈现包含所述源IP地址和所述目的地IP地址的IP节点,并且依据所述安全事件将相互关联的源IP地址和目的地IP地址进行连线,以形成安全事件触发关系拓扑图。/n
【技术特征摘要】
1.一种网络安全事件关联分析方法,其特征在于,包括以下步骤:
S1:在底层组件上报安全事件及审计数据的报文格式中约定至少包含会话相关信息,所述会话相关信息至少包括会话流ID、相关安全事件的源IP地址和目的IP地址;
S2:基于所述会话流ID、所述源IP地址以及所述目的地IP地址这三个维度将所述安全事件进行关联聚合,并且包括所述会话相关信息的安全事件信息根据不同的聚合方式存储在后端数据中;
S3:在前端界面中以一定排列形状呈现包含所述源IP地址和所述目的地IP地址的IP节点,并且依据所述安全事件将相互关联的源IP地址和目的地IP地址进行连线,以形成安全事件触发关系拓扑图。
2.根据权利要求1所述的网络安全事件关联分析方法,其特征在于,所述会话相关信息包括服务器IP、服务器端口、客户机IP、客户机端口和会话起始时间以及应用层协议。
3.根据权利要求1所述的网络安全事件关联分析方法,其特征在于,所述审计数据包括协议审计数据和流量审计数据。
4.根据权利要求1所述的网络安全事件关联分析方法,其特征在于,响应于用户将鼠标移动到所述IP节点处,对连接到所述IP节点的所有连线进行高亮显示。
5.根据权利要求1所述的网络安全事件关联分析方法,其特征在于,响应于用户点击其中一条连接线,将所述连线所对应的安全事件的...
【专利技术属性】
技术研发人员:沈志淳,汪义舟,赵华,
申请(专利权)人:长扬科技北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。