【技术实现步骤摘要】
一种基于规则的网络安全事件关联分析方法和系统
[0001]本专利技术属于涉及信息
,尤其涉及一种基于规则的网络安全事件关 联分析方法和系统。
技术介绍
[0002]随着社会信息化进程的发展,越来越多的信息采用数子化的方式进行存储 和发送,这种模式保障了数据传输的实时性和高效性,但也造成了通信网络非 常容易受到攻击。
[0003]当前网络攻击技术的复杂化、隐蔽化及分布化,一个攻击过程由多个攻击 阶段、通过不同的网络节点实施。网络系统中部署的各种主机、应用、网络设 备、安全设备每天产生大量的数据,记录系统中发生的各种安全事件。然而, 海量的安全数据存在大量的冗余,不易直接管理,而且依靠单个事件的记录无 法反映整个攻击威胁的全貌。一个有效的解决办法就是通过一套网络安全事件 的关联分析方法,对数据进行关联分析,挖掘数据之间的本质联系,从而及时 有效地从海量零乱的数据中发现潜在的安全威胁及其攻击意图,继而采取防御 措施确保网络安全。
[0004]目前常用的网络安全事件关联分析算法有基于因果关联的分析算法和基 于推...
【技术保护点】
【技术特征摘要】
1.一种基于规则的网络安全事件关联分析方法,其特征在于,包括:通过基于规则的关联分析算法,对解析后的日志和流量记录进行过滤、信息字段提取、数据归并去除冗余数据、降低数据维度、聚合同一类型网络安全事件,以形成事件队列;利用树形规则中节点之间的关系来定义同一攻击场景的关联关系,将零散存在的数据记录组织成为一个完整的攻击场景;将事件队列中的记录信息与树形规则匹配,实现多源记录信息向关联规则的映射,根据映射找到关联的记录信息,重建攻击过程。2.根据权利要求1所述的基于规则的网络安全事件关联分析方法,其特征在于,所述方法包括:建立过滤规则库,基于过滤规则库的过滤规则对数据进行过滤,去除错误的和重复的信息;其中规则库中包括至少一棵规则树,用于描述一次攻击场景,用来匹配数据记录信息,实现关联分析;每一层树节点都是一条规则,每一条规则里都有匹配关联规则所需的条件;进行信息字段提取,预定义特征字段,通过正则表达式从属性字段中选择代表数据记录的最优属性子集;进行数据合并,把表示同一攻击事件的多角度的数据记录合并为一条记录;用于建立数据队列表,收集数据预处理模块处理后的数据记录,按照时间顺序以事件队列的方式进行存放;对多源记录信息向关联规则的映射,将孤立的信息关联成威胁场景安全事件;对攻击过程进行重建,以用于利用异常流量的时间特征映射出日志时间特征,通过时间进行匹配,确定具体的日志状态;再推断出具体的网络设备,在此时间段所有记录的日志事件用于攻击路径还原。3.根据权利要求2所述的基于规则的网络安全事件关联分析方法,其特征在于,其中该规则库为xml数据格式构建关联规则;其中关联规则中包含序列关系、并列关系和选择关系三种组织关系。4.根据权利要求3所述的基于规则的网络安全事件关联分析方法,其特征在于,其中预定义特征字段包括以下的任意一个:安全设备标识、安全事件标识、安全事件捕获时间、源主机IP、源端口、目的主机IP、目的端口、安全事件类型、采集代理位置、安全事件的优先级、协议、用户名、用户密码、文件名、安全日志内容、事件相关主机IP、操作系统类型、相关端口、相关端口的状态、服务名、应用程序名、扩展字段。5.根据权利要求3所述的基于规则的网络安全事件关联分析方法,其特征在于,所述网络安全事件通过以下方式获取:针对每种日志,制定正则捕获组组成的正则表达式,多条正则表达式构成特征字段提取特征库,从日志数据文件中读取日志记录,与提取规则库中的正则表达式进行匹配,符合正则表达式的记录,通过正则表达式的正则捕获组得到日志记录的各信息字段,不符合正则表达式的日志记录匹配日志提取规则库中的下一条规则,直到规则库中所有规则匹配完毕,仍不通过的记录作丢弃处理;其中,正则表达式为:^(\\S+))(\\S+)\\[([\\w:]+\\s[+\\
‑
]\\d{4}\\)(\\S+)(\\S+)(S+)(\\d{3})(\\d+)
提取Apache日志源IP、用户标识、用户名字、访问日期、访问网站所使用的方法、及请求的资源和使用的协议、网站响应码、以及会话发送的字节数;数据合并基于相似度的关联分析算法,比较每条记录属性的相似度,相似度取值范围为[0,1],相似度取值越大,属性之间越相似;1代表两个属性完全匹配,0代表两个属性完全不匹配;先对每个属性都进行比较,然后再通过整体的相似度比较公式来技术两条记录之间的相似度;通过设定门限值,当两条记录的相似度大于门限值则判定两条记录是相似的,将特征值合并到一条记录。6.根据权利要...
【专利技术属性】
技术研发人员:蒋旭东,喻宜,张东,张国兰,
申请(专利权)人:北京许继电气有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。