CN110896386B

CN110896386B - 识别安全威胁的方法、装置、存储介质、处理器和终端

Info

Publication number: CN110896386B
Application number: CN201811061492.XA
Authority: CN
Inventors: 唐文
Original assignee: Siemens Ltd China
Current assignee: Siemens Ltd China
Priority date: 2018-09-12
Filing date: 2018-09-12
Publication date: 2022-05-10
Anticipated expiration: 2038-09-12
Also published as: US20200084235A1; US11405416B2; CN110896386A; EP3623983A1

Abstract

本发明涉及识别安全威胁的方法、装置、存储介质、处理器和终端。该方法包括：收集安全相关的多个安全事件，每个安全事件包括多个字段；针对多个安全事件中的第一安全事件，根据第一安全事件的多个字段中的一个或多个字段，从多个安全事件中检索与第一安全事件相关的一个或多个第二安全事件，并且一个或多个第二安全事件与第一安全事件构成事件图；计算事件图的权重；以及根据权重对事件图排序。

Description

识别安全威胁的方法、装置、存储介质、处理器和终端

技术领域

本发明涉及运营环境中的安全威胁识别领域，尤其涉及识别安全威胁的方法、装置、存储介质、处理器和终端。

背景技术

运营技术(OT)涉及检测或造成在企业中经由直接监控和/或控制物理设备、过程和事件而产生的变化的硬件和软件。运营技术使用计算机来监控或者改变***，尤其是工业控制***(ICS)的物理状态，这些***为基于计算机的设施、***和设备，用于远程监控和/或控制关键过程和物理功能。这项技术已经普遍地展现出传统IT***和工业控制***环境之间的技术上和功能上的差异。运营技术包括SCADA、DCS、包含计算机化的加工工具的计算机数字控制(CNC)***以及科学设备(例如，数字示波器)。

运营技术***传统上是为实现生成效率、操作效率和可靠性而设计的封闭***，其并不注重安全性。这些***依赖于专用网络和硬件，被长期认为不会受到网络攻击的影响。然而随着自动化制造和过程控制技术的发展，在过去几年，对ICS/OT计算机环境的保护要求变得越来越重要。IT 技术的广泛应用、向开放***的进化、合资企业的数量增长、联合合伙及外包服务、智能ICS设备的增长、与其他设备/软件的连接增加、与外部的连接增加以及网络入侵事件的快速增加等等都会造成网络攻击的威胁增加。

目前存在多种不同的安全技术，例如IDS/IPS、SIEM等，这些技术作为防火墙或杀毒软件的补充，用于应对近年来日益增加的网络安全事件。然而，IDS/IPS和SIEM都会存在高误报率的情况，也即将合法的行为或模式识别成攻击行为或模式。由于在真实的网络环境中会生成大量的误报，安全工程师或分析师不得不花大量的精力和时间来验证这些误报信息或者选择性地忽略过多的误报，即使在这些误报中存在一些实际上为真实的攻击警报。

在将IDS/IPS或SIEM应用至运营环境中(例如工业控制***)的同时，由于在运营环境中能够从误报中识别出真实攻击或安全风险的安全专业人员更加稀缺，这种问题变得愈发严重。

发明内容

本发明的实施例提供了识别安全威胁的方法、装置、存储介质、处理器和终端，以至少解决为了在运营环境中识别安全攻击或不当行为而造成的误报率高的问题。

根据本申请实施例的一个方面，提供了识别安全威胁的方法，包括：收集安全相关的多个安全事件，每个安全事件包括多个字段；针对多个安全事件中的第一安全事件，根据第一安全事件的多个字段中的一个或多个字段，从多个安全事件中检索与第一安全事件相关的一个或多个第二安全事件，并且一个或多个第二安全事件与第一安全事件构成事件图；计算事件图的权重；以及根据权重对事件图排序。

本发明提供了一种能够确定相连的安全事件之间的关系、识别确实相关的关键行为并由此减少误报的关联分析方案，该方案能够提供对运营环境中的安全进行有效监控，以改善其安全态势。与高动态的IT环境不同， IT环境是基于人之间的交互，因此是高度不可预测，而运营环境是基于机器与机器之间的交互，因此其本质是确定性的。在运营环境中，实际上为误报的安全警报通常是孤立的且随机的事件。而真实的攻击或者不当行为则由彼此相连的行为组成。这些行为触发安全监控并且生成安全告警或者警报，同时这些安全事件会表现为相关联安全事件的序列或图。在这些关联的事件图中，由威胁行为造成的安全事件由相连的因果关系组成。因此，本发明提供了一种将安全事件关联成事件图的递归因果关联的方法，以识别运营环境中发生的安全攻击或不当行为，进而降低误报率。根据本发明的方法可直接被集成到IDS/IPS、SIEM等解决方案中。

根据本申请的示例性实施例的方法，还包括：根据转换规则转换每个安全事件，以将每个安全事件的多个字段映射成一个或多个特征集。通过这样的转换规则，原始安全事件的字段可被依次处理，以为检索相关联的事件的步骤做准备。

根据本申请的示例性实施例的方法，一个或多个特征集具有上下文信息。转换之间的多个字段不具备上下文信息，但是根据转换规则转换后的一个或多个特征集具备上下文信息，利用这些上下文信息检索相关联的事件效率提高。

根据本申请的示例性实施例的方法，多个特征集之间存在主谓宾关系。因此，多个特征集具有期望的关系，便于在后续的步骤中进行安全事件的因果关系关联。

根据本申请的示例性实施例的方法，转换规则包括以下至少一项：将一个或多个字段直接用作为一个或多个特征集；对一个或多个字段进行解释；以及提取一个或多个字段的一部分作为一个或多个特征集。转换规则适应于具有不同类型信息的字段的安全事件，并顺利地将这些字段转换成具有期望关系的多个特征集。

根据本申请的示例性实施例的方法，根据第一安全事件的多个字段中的一个或多个字段，从多个安全事件中检索与第一安全事件相关的一个或多个第二安全事件，包括：通过将第一安全事件的一个或多个特征集中的一个或多个特征与第二安全事件的一个或多个特征集中的一个或多个特征进行匹配，检索与第一安全事件相关的一个或多个第二安全事件。转换后的安全事件的每个特征可作为在数据库中检索相关联安全事件的依据，这些特征表征了相关联安全事件之间的因果关系。

根据本申请的示例性实施例的方法，检索与第一安全事件相关的一个或多个第二安全事件，包括：检索引发第一安全事件的一个或多个原因事件和由第一安全事件引发的一个或多个结果事件。多个安全事件中的具有因果关系的关联事件被连接起来，并且检索出的原因事件和结果事件与第一安全事件构成相关联的安全事件的序列或者事件图。

根据本申请的示例性实施例的方法，特征包括：时间信息、主体信息和客体信息。根据这些信息可确定在前或者在后发生的安全事件中哪些安全事件是具有因果关系的，例如，在前发生的安全事件中，如果第一安全事件的主体信息与第二安全事件的客体信息匹配，则第二安全事件可能是造成第一安全事件的原因事件；如果第一安全事件的客体信息与第二安全事件的主体信息匹配，则第二安全事件可能是由第一安全事件所造成的结果事件。

根据本申请的示例性实施例的方法，计算事件图的权重，包括：预设多个安全级别，其中，每个安全事件属于多个安全级别中的一个安全级别，并且为每个安全级别分配一个权重，以根据多个安全事件的安全级别的权重，计算事件图的权重。事件图的权重取决于相关联安全事件的安全级别，如果相关联的安全事件的安全级别的权重越大，那么事件图的权重越大。

根据本申请的示例性实施例的方法，根据多个安全事件的安全级别的权重计算事件图的权重，包括：根据一个或多个第二安全事件的安全级别的权重，计算事件图的权重。事件图的权重取决于原因事件和结果事件的安全级别的权重，即如果相关联的原因事件和结果事件的权重越大，那么事件图的权重越大。事件图的权重越大，那么安全事件是攻击或者不当行为的概率越大，则应该优先处理。

根据本申请的示例性实施例的方法，第一安全事件是属于多个安全级别中的至少一个安全级别的安全事件。在检索相关安全事件的时候，可针对多个安全事件中的、被识别为具有高度可疑的安全事件进行检索，获得与其相关的安全事件及因果关系。

根据本申请的示例性实施例的方法，收集安全相关的多个安全事件，包括：收集多个安全日志，并将收集的多个安全日志聚合成一个安全事件。安全日志可来自不同的硬件或软件平台，并且安全事件进而由多个类似或相关的安全日志聚合而成。

根据本申请实施例的另一个方面，提供了识别安全威胁的装置，包括：收集单元，收集安全相关的多个安全事件，每个安全事件包括多个字段；检索单元，针对多个安全事件中的第一安全事件，根据第一安全事件的多个字段中的一个或多个字段，从多个安全事件中检索与第一安全事件相关的一个或多个第二安全事件，并且一个或多个第二安全事件与第一安全事件构成事件图；计算单元，计算事件图的权重；以及排序单元，根据权重对事件图排序。根据本发明的装置能够提供对运营环境中的安全进行有效监控，以改善其安全态势，而且能够将安全事件关联成事件图，以识别运营环境中发生的安全攻击或不当行为，进而降低误报率。

根据本申请的示例性实施例的装置，还包括：转换单元，根据转换规则转换每个安全事件，以将每个安全事件的多个字段映射成一个或多个特征集。通过这样的转换规则，原始安全事件的字段可被依次处理，以为检索相关联的事件的步骤做准备。

根据本申请的示例性实施例的装置，一个或多个特征集具有上下文信息。转换之间的多个字段不具备上下文信息，但是根据转换规则转换后的一个或多个特征集具备上下文信息，利用这些上下文信息检索相关联的事件效率提高。

根据本申请的示例性实施例的装置，多个特征集之间存在主谓宾关系。因此，多个特征集具有期望的关系，便于在后续的步骤中进行安全事件的因果关系关联。

根据本申请的示例性实施例的装置，转换单元进一步用于以下至少一项：将一个或多个字段直接用作为一个或多个特征集；对一个或多个字段进行解释；以及提取一个或多个字段的一部分作为一个或多个特征集。转换规则适应于具有不同类型信息的字段的安全事件，并顺利地将这些字段转换成具有期望关系的多个特征集。

根据本申请的示例性实施例的装置，检索单元进一步用于通过将第一安全事件的一个或多个特征集中的一个或多个特征与第二安全事件的一个或多个特征集中的一个或多个特征进行匹配，检索与第一安全事件相关的一个或多个第二安全事件。转换后的安全事件的每个特征可作为在数据库中检索相关联安全事件的依据，这些特征表征了相关联安全事件之间的因果关系。

根据本申请的示例性实施例的装置，检索单元进一步用于检索引发第一安全事件的一个或多个原因事件和由第一安全事件引发的一个或多个结果事件。多个安全事件中的具有因果关系的关联事件被连接起来，并且检索出的原因事件和结果事件与第一安全事件构成相关联的安全事件的序列或者事件图。

根据本申请的示例性实施例的装置，特征包括：时间信息、主体信息和客体信息。根据这些信息可确定在前或者在后发生的安全事件中哪些安全事件是具有因果关系的。

根据本申请的示例性实施例的装置，计算单元进一步用于预设多个安全级别，其中，每个安全事件属于多个安全级别中的一个安全级别，并且为每个安全级别分配一个权重，以根据多个安全事件的安全级别的权重，计算事件图的权重。事件图的权重取决于相关联安全事件的安全级别，如果相关联的安全事件的安全级别的权重越大，那么事件图的权重越大。

根据本申请的示例性实施例的装置，计算单元进一步用于根据一个或多个第二安全事件的安全级别的权重，计算事件图的权重。事件图的权重取决于原因事件和结果事件的安全级别的权重，即如果相关联的原因事件和结果事件的权重越大，那么事件图的权重越大。事件图的权重越大，那么安全事件是攻击或者不当行为的概率越大，则应该优先处理。

根据本申请的示例性实施例的装置，第一安全事件是属于多个安全级别中的至少一个安全级别的安全事件。在检索相关安全事件的时候，可针对多个安全事件中的、被识别为具有高度可疑的安全事件进行检索，获得与其相关的安全事件及因果关系。

根据本申请的示例性实施例的装置，收集单元进一步用于收集多个安全日志，并将收集的多个安全日志聚合成一个安全事件。安全日志可来自不同的硬件或软件平台，进而由聚合单元将多个类似或相关的安全日志聚合成安全事件。

根据本申请实施例的另一个方面，提供了存储介质，其特征在于，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述任一项的方法。

根据本申请实施例的另一个方面，提供了处理器，其特征在于，处理器用于运行程序，其中，程序运行时执行上述任一项的方法。

根据本申请实施例的另一个方面，提供了终端，包括：一个或多个处理器、存储器以及一个或多个程序，其中，一个或多个程序被存储在存储器中，并且被配置为由一个或多个处理器执行，一个或多个程序执行上述任一项的方法。

根据本申请实施例的另一个方面，提供了计算机程序产品，计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可执行指令，计算机可执行指令在被执行时使至少一个处理器执行上述任一项的方法。

附图说明

附图构成本说明书的一部分，用于帮助进一步理解本发明。这些附图图解了本发明的实施例，并与说明书一起用来说明本发明的原理。在附图中相同的部件用相同的标号表示。图中示出：

图1示出根据本发明的实施例的识别安全威胁的方法的流程示意图；

图2示出根据本发明的示例性实施例的识别安全威胁的方法的流程示意图；

图3示出根据本发明的实施例的识别安全威胁的装置的结构示意图；

图4示出根据本发明的示例性实施例的识别安全威胁的装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明的方案，下面将结合本发明的实施例中的附图，对本发明的实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他方案，都应当属于本发明的保护范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

图1示出根据本发明的实施例的识别安全威胁的方法的流程示意图。根据本申请实施例的识别安全威胁的方法包括：

步骤S101，收集安全相关的多个安全事件，每个安全事件包括多个字段。在本申请的实施例中，安全事件包含不同的字段，字段包括但不限于时间戳、主机名、IP地址、动作、状态、文件名或进程名等。每个安全事件对应于发生的重要安全活动。每个安全事件具有向对象或目标实施动作的行为源。

步骤S103，针对多个安全事件中的第一安全事件，根据第一安全事件的多个字段中的一个或多个字段，从多个安全事件中检索与第一安全事件相关的一个或多个第二安全事件，并且一个或多个第二安全事件与第一安全事件构成事件图。在所收集的安全事件中确定相连或者相关联的安全事件，这些安全事件并不是孤立或者随机的事件，而且检索所获得的彼此相连的安全事件组成了真实的攻击或者不当行为。根据本申请实施例的方法会将关联的安全事件连接起来，以构成事件链或者行为链。对于检索所获得的关联的安全事件，这些安全事件会被添加至相连安全事件中。重复检索过程，直至没有新的事件能够被关联至当前的事件图中。

步骤S105，计算事件图的权重。例如，采用预定的关联函数来计算潜在关联的事件关系的权重，以获得由关联的事件所构成的事件图的权重，以在权重方面区别多个事件图。例如，相互连接在一起的安全事件的数量越多，彼此关系或者事件连接的权重越大，那么事件图的权重可能越大，并且这些安全事件是孤立的安全事件和随机的安全事件(即误报)的概率就越小。

步骤S107，以及根据权重对事件图排序。具有不同权重的事件图会根据不同的优先级展现给专业人员或者安全工程师，因此这些事件图可以预定的优先级被处理，例如先处理优先级最高的事件图。对于处理监控运营事件的安全事件的安全工程师和分析师而言，他们可容易地决定先处理具有更高权重的事件图，因为该事件图中的安全事件的集合是误报的可能性更低。

图2示出根据本发明的示例性实施例的识别安全威胁的方法的流程示意图。如图2所示，在步骤S201中，收集多个安全日志，并将收集的多个安全日志聚合成一个安全事件。针对原始的安全日志，例如，Windows 事件日志、防火墙、网络交换器、路由器或其它源的syslog日志，采用直观的方式来聚合相似或相关的安全日志，并将这些安全日志聚合成安全事件。例如，可从因为访问主机的不同端口而生成的上千个安全日志来聚合端口扫描事件。聚合规则还包括但不限于不同的扫描、资源列举、账户暴力、DoS等。在本实施例中，由例如但不限于ArcSight SmartConnector、 McAfee Receiver或者开源的Logstash等日志收集器来收集工作站(包括操作站、工程师站及其它Windows服务器)的Windows事件日志。日志的格式为CEF格式。在本实施例中待处理和关联的Windows事件日志的类型包括但不限于：主机登录、目录服务状态、主机登出、域登录、管理员登录、网络登录、进程状态、对象访问状态、验证、服务状态、登录、应用程序状态、数据库、审计状态、用户账户、安全策略状态、策略、账户变更、密码变更/重置、账户解锁、***配置、***状态、账户删除/关闭、账户创建/启用、优先级变更、非管理员、日志状态、文件状态、其它应用程序事件、账户锁定、管理的、防火墙规则/ACL、访问拒绝。因此，在本实施例中，可采用现有的方法(例如，由SIEM提供的方法)来将相似或相关的Windows安全日志聚合成安全事件。事件包括但不限于连续登录尝试失败(从相同的源到相同的目标主机)、顺序端口连接尝试、顺序文件/目录访问等。

在步骤S203中，根据转换规则转换每个安全事件，以将每个安全事件的多个字段映射成一个或多个特征集。在本实施例中，采用YAML格式的转换配置文件来构建主谓宾关系。将安全事件的原始字段映射成例如以下所示的具有上下文信息的主谓宾关系，用于进行后续步骤的安全事件之间的因果关联：<源，动作，目标>，即每个安全事件具有作为向对象或目标实施动作的行为源的主体。例如但不限于，源IP访问另一个IP的特定端口等。为了进行安全事件(字段)的转换并构建主谓宾上下文，可采用以下定义映射规则的转换配置：

·直接将事件的字段映射成源、目标或行为的特征，例如：

映射_字段：原始_字段

其中，“原始_字段”为原始CEF事件日志中的字段名，“映射_字段”为转换后的新的字段名。在处理过程中，如果原始事件记录的字段名与“原始_字段”模式匹配，则将字段值加入由“映射_字段”定义的新字段名中。而且，其允许多个原始字段被映射到相同的映射字段中(通过“；”分隔)。

·告知转换函数如何解释事件的字段，例如将时间戳字段从epoch格式转换为“年-月-日时：分：秒”的格式。该转换规则不仅映射字段名，而且还告知如何解释事件字段，例如，用于时间戳的映射规则为：

时间戳：rt<”EPOCH”>

其意味着原始字段“rt”是Linux的epoch格式，需要将其从epoch 格式转换为“年-月-日时：分：秒”的格式。

·采用正则表达式将原始事件的字段的一部分提取出来作为源、目标或动作的特征。例如，映射规则为：

src_ip:ORIGINAL_DATA[“^((2[0-4]\d[25[0-5]\[01]？\d\d？)\){3} (2[0-4]\d\25[0-5]\[01]？\d\d？)”]

其意味着采用了正则表达式来从ORIGINAL_DATA中提取IP地址。

在该配置中，通过将与原始字段映射成带有src_、act_、dst_前缀的字段，原始事件(日志)记录的字段被转换成具有上下文信息的主谓宾关系。对于在该配置中未定义的字段，将字段映射至带有“其他”名字的默认字段中。基于这些转换规则，原始安全事件的字段可顺序地被处理并转换为新的具有主谓宾关系的上下文信息的字段，用于后续的递归因果关联。多个字段可被映射成“源“、“动作”、“目标”,因此“源“、“动作”、“目标”分别包括相应的特征集。在步骤S201和S203后，所有的安全事件会被存储至ElasticSearch中，以<src_前缀字段、act_前缀字段、dst_前缀字段、其他字段>的格式存储，并且基于不同的查询条件搜索和检索。

在根据本申请的实施例中，以上描述的步骤S201和步骤S203的执行顺序可以交换，即可先执行步骤S203，再执行步骤S201。

在步骤S205中，预设多个安全级别，其中，每个安全事件属于多个安全级别中的一个安全级别，并且为每个安全级别分配一个权重，以根据多个安全事件的安全级别的权重，计算事件图的权重。根据一个或多个第二安全事件的安全级别的权重，计算事件图的权重。第一安全事件是属于多个安全级别中的至少一个安全级别的安全事件。在该步骤中，在安全事件转换之后，可采用标准模式匹配和/或事件关联方法(从SIEM中可配置) 来确定可疑的事件，例如：

·怀疑的安全事件，其可由正常操作、不当行为或攻击所生成，这些安全事件将被标记为告警。在本实施例中，告警事件包括但不限于连续登录失败、添加新账户等。

·确定的攻击事件，其由攻击或不当行为触发，这些安全事件将被标记为警报。在本实施例中，警报事件包括但不限于使用mimikatz、利用漏洞、执行恶意程序等。

·对于告警和警报之外的安全事件，这些安全事件被标记为一般事件。

在该实施例中，对识别出的每个事件类型分配初始权重，例如：

·一般事件的权重为1；

·告警事件的权重为2；

·警报事件的权重为4。

在步骤S207中，通过将第一安全事件的一个或多个特征集中的一个或多个特征与第二安全事件的一个或多个特征集中的一个或多个特征进行匹配，检索与第一安全事件相关的一个或多个第二安全事件。检索引发第一安全事件的一个或多个原因事件和由第一安全事件引发的一个或多个结果事件。如果多于两个安全事件被连接起来，并形成树形结构的事件图，则：

·将一个安全事件的目标特征集的一个或多个特征与多个其它安全事件的源特征集的特征关联；或者

·将一个安全事件的源特征集的一个或多个特征与多个其它安全事件的目标特征集的特征关联。

在该步骤中，会基于因果分析将连接的安全事件关联成事件图。例如，针对安全级别被分级为告警和警报的每一个安全事件，进行以下的关联，以识别出关联的事件图：

·将安全事件放入事件队列中，所有待处理的安全事件都被存储在该队列中。

·从队列中取出第一安全事件。

·针对第一安全事件的以“src_”名字开头的每个源字段(源特征)，在ElasticSearch数据库中检索符合以下条件的第二安全事件：

第二安全事件的时间戳小于第一安全事件的时间戳，即第二安全事件发生在第一安全事件之前；

第一安全事件的字段(“src_”)的值与第二安全事件的目标字段(以“dst_”开头)相等或者为其一部分；

因此，第二安全事件为引起第一安全事件发生的原因事件。而且，可能存在多个作为第一安全事件的原因事件的第二安全事件。将一对或多对相连的安全事件保留为事件图的一部分，并且将所有关联的第二安全事件增补到事件队列中。

·针对第一安全事件的以“dst_”名字开头的每个目标字段(即目标特征)，在ElasticSearch数据库中检索符合以下条件的第三安全事件：

第三安全事件的时间戳大于第一安全事件的时间戳，即第三安全事件发生在第一安全事件之后；

第一安全事件的字段(“dst_”)的值与第三安全事件的目标字段(以“src_”开头)相等或者为其一部分：

因此，第三安全事件为由第一安全事件引起的结果事件。而且，可能存在多个作为由第一安全事件引起的第三安全事件。将一对或多对相连的安全事件保留为事件图的一部分，并将所有关联的第三安全事件增补到事件队列中。

重复以上步骤S203至S207，直至待处理的安全事件的队列为空。最终，事件图中的安全事件会连接在一起。

在步骤S209中，计算事件图的权重。在该步骤中，计算不同事件图的关联事件的权重，在该实施例中，采用以下权重函数：

针对每个因果关系对，v是结果事件的权重，w_i是原因事件的权重。由于可能存在多个原因事件，因此使用总和来计算树形子事件图的组合权重。

例如，对于每个为因果关系(原因和结果)的事件对，可通过以下方式计算事件对的权重：

·如果候选安全事件对中的两个安全事件都为警报，则该事件对的权重为4x4＝16；

·如果一个安全事件为警报，另一个为告警，则事件对的权重为4x2＝8；

·如果一个安全事件为警报，另一个为一般事件，则事件对的权重为4x1＝4；

·如果两个安全事件为告警，则事件对的权重为2x2＝4；

·如果一个安全事件为告警，另一个为一般事件，则事件对的权重为2x1＝2；

·如果两个安全事件为一般事件，则事件对的权重为1x1＝1；

在本申请实施例中，可设定阈值来去除具有低权重的事件路径或事件图，如果计算的权重第一阈值，则不会将安全事件关联起来，以降低计算量。例如，如果组合权重低于该阈值，则略过该子图，即不关联。如果阈值等于2，则意味着将具有至少一个告警或警报安全事件的子图组合成更大的事件图，并且避免将正常的安全事件连接成更大的事件图，以避免误报。

在步骤211中，根据事件图的权重对事件图排序。在该步骤中，具有更高权重的事件图会优先处理。因此，安全工程师或安全分析师可更容易的决定处理具有更高权重的事件图，因为事件图中的这些安全事件是误报的可能性更低。

图3示出根据本发明的实施例的识别安全威胁的装置的结构示意图。如图3所示，装置100包括收集单元101，其收集安全相关的多个安全事件，每个安全事件包括多个字段；检索单元103，其针对多个安全事件中的第一安全事件，根据第一安全事件的多个字段中的一个或多个字段，从多个安全事件中检索与第一安全事件相关的一个或多个第二安全事件，并且一个或多个第二安全事件与第一安全事件构成事件图；计算单元105，其计算事件图的权重；以及排序单元107，其根据权重对事件图排序。图 3中描述的装置100及其内部单元执行如图1所示的识别安全威胁的方法，此处不再赘述。

图4示出根据本发明的示例性实施例的识别安全威胁的装置的结构示意图。与图3所示出的装置100相比，图4中的装置100还包括转换单元 109，根据转换规则转换每个安全事件，以将每个安全事件的多个字段映射成一个或多个特征集。而且，转换单元109还用于实施以下至少一项：将一个或多个字段直接实施为一个或多个特征集；对一个或多个字段进行解释；以及提取一个或多个字段的一部分作为一个或多个特征集。在图4 示出的示例性实施例中，检索单元103进一步用于检索引发第一安全事件的一个或多个原因事件和由第一安全事件引发的一个或多个结果事件。计算单元105进一步用于预设多个安全级别，其中，每个安全事件属于多个安全级别中的一个安全级别，并且为每个安全级别分配一个权重，以根据多个安全事件的安全级别的权重，计算事件图的权重。图4中描述的装置 100及其内部单元执行如图2所示的识别安全威胁的方法，此处不再赘述。

根据本申请的另一个实施例，提供了存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述识别安全威胁的方法。

根据本申请的另一个实施例，提供了处理器，处理器用于运行程序，其中，程序运行时执行上述识别安全威胁的方法。

根据本申请的另一个实施例，提供了终端，包括：一个或多个处理器、存储器以及一个或多个程序，其中，一个或多个程序被存储在存储器中，并且被配置为由一个或多个处理器执行，一个或多个程序执行上述识别安全威胁的方法。

根据本申请的另一个实施例，还提供了计算机程序产品，所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可执行指令，所述计算机可执行指令在被执行时使至少一个处理器执行上述识别安全威胁的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元或模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或模块或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，模块或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元或模块可以是或者也可以不是物理上分开的，作为单元或模块显示的部件可以是或者也可以不是物理单元或模块，即可以位于一个地方，或者也可以分布到多个网络单元或模块上。可以根据实际的需要选择其中的部分或者全部单元或模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元或模块可以集成在一个处理单元或模块中，也可以是各个单元或模块单独物理存在，也可以两个或两个以上单元或模块集成在一个单元或模块中。上述集成的单元或模块既可以采用硬件的形式实现，也可以采用软件功能单元或模块的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims

1.识别安全威胁的方法，其特征在于，包括：

收集安全相关的多个安全事件，每个安全事件包括多个字段；

针对所述多个安全事件中的第一安全事件，根据所述第一安全事件的所述多个字段中的一个或多个字段，从所述多个安全事件中检索与所述第一安全事件相关的一个或多个第二安全事件，并且所述一个或多个第二安全事件与所述第一安全事件构成事件图；

计算所述事件图的权重,其中，相互关联的安全事件数量越多，事件连接的权重越大，则事件图的权重越大；以及

根据所述权重对所述事件图排序。

2.根据权利要求1所述的方法，其特征在于，还包括：

根据转换规则转换每个安全事件，以将每个安全事件的所述多个字段映射成一个或多个特征集。

3.根据权利要求2所述的方法，其特征在于，所述转换规则包括以下至少一项：

将一个或多个字段直接用作为所述一个或多个特征集；

对一个或多个字段进行解释；以及

提取一个或多个字段的一部分作为所述一个或多个特征集。

4.根据权利要求2或3所述的方法，其特征在于，根据所述第一安全事件的所述多个字段中的一个或多个字段，从所述多个安全事件中检索与所述第一安全事件相关的一个或多个第二安全事件，包括：

通过将所述第一安全事件的所述一个或多个特征集中的一个或多个特征与所述第二安全事件的所述一个或多个特征集中的一个或多个特征进行匹配，检索与所述第一安全事件相关的一个或多个第二安全事件。

5.根据权利要求4所述的方法，其特征在于，检索与所述第一安全事件相关的一个或多个第二安全事件，包括：

检索引发所述第一安全事件的一个或多个原因事件和由所述第一安全事件引发的一个或多个结果事件。

6.根据权利要求1～3任一项所述的方法，其特征在于，计算所述事件图的权重，包括：

预设多个安全级别，其中，每个安全事件属于所述多个安全级别中的一个安全级别，并且为每个安全级别分配一个权重，以根据所述多个安全事件的安全级别的权重，计算所述事件图的权重。

7.根据权利要求6所述的方法，其特征在于，所述第一安全事件是属于所述多个安全级别中的至少一个安全级别的安全事件。

8.根据权利要求1～3任一项所述的方法，其特征在于，收集安全相关的多个安全事件，包括：

收集多个安全日志，并将收集的所述多个安全日志聚合成一个安全事件。

9.识别安全威胁的装置，其特征在于，包括用于实现权利要求1-8中任一个的方法的各步骤的单元。

10.存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行根据权利要求1至8中任一项所述的方法。

11.处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行根据权利要求1至8中任一项所述的方法。

12.终端，包括：一个或多个处理器、存储器以及一个或多个程序，其中，所述一个或多个程序被存储在所述存储器中，并且被配置为由所述一个或多个处理器执行，所述一个或多个程序执行根据权利要求1至8中任一项所述的方法。