CN201491020U - 基于事件分类和规则树的关联分析装置 - Google Patents
基于事件分类和规则树的关联分析装置 Download PDFInfo
- Publication number
- CN201491020U CN201491020U CN2009201826193U CN200920182619U CN201491020U CN 201491020 U CN201491020 U CN 201491020U CN 2009201826193 U CN2009201826193 U CN 2009201826193U CN 200920182619 U CN200920182619 U CN 200920182619U CN 201491020 U CN201491020 U CN 201491020U
- Authority
- CN
- China
- Prior art keywords
- event
- association analysis
- engine
- event classification
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012098 association analyses Methods 0.000 title claims abstract description 30
- 230000004044 response Effects 0.000 claims abstract description 10
- 238000010219 correlation analysis Methods 0.000 claims description 32
- 238000007781 pre-processing Methods 0.000 claims description 12
- 238000000034 method Methods 0.000 abstract description 8
- 238000012545 processing Methods 0.000 abstract description 7
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 230000007246 mechanism Effects 0.000 abstract description 4
- 230000008569 process Effects 0.000 abstract description 3
- 238000005457 optimization Methods 0.000 abstract description 2
- 206010000117 Abnormal behaviour Diseases 0.000 abstract 2
- 206010001488 Aggression Diseases 0.000 abstract 2
- 208000012761 aggressive behavior Diseases 0.000 abstract 2
- 230000016571 aggressive behavior Effects 0.000 abstract 1
- 230000006399 behavior Effects 0.000 abstract 1
- 238000005728 strengthening Methods 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 8
- 238000010224 classification analysis Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012351 Integrated analysis Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012097 association analysis method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本实用新型提供了一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块。该关联分析装置在复杂网络环境下自动、及时的分析和发现网络中可能存在的各种攻击行为及异常情况,并及时将关联分析结果通知管理人员,从而实现网络的加固和优化。本实用新型引入事件的分类预处理机制,提高了关联分析的准确度,同时对于攻击及异常行为发现过程可以进行详细的描述,还提供对攻击及异常行为的处理方法,提高安全事件处理效率。
Description
【技术领域】
本实用新型涉及网络安全管理领域,特别涉及一种基于事件分类和规则树的安全事件的关联分析方法和装置。
【背景技术】
随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大,企业越来越依赖信息和网络技术来支持他们在全球市场中的迅速成长和扩大。但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒。现有的网络安全设备,如:防火墙,入侵检测***,杀毒软件等,在网络异常的情况下会产生各种各样的告警信息,加上服务器本身的***和应用程序的产生的告警,这些告警错综复杂,而且数量庞大。但是对于每种网络的异常情况在单一的网络设备上是不能确定的,只有将各种设备的告警综合在一起才分析才有可能确定异常的情况。而这个工作对于网络管理员来说是不可能完成的,只有通过关联分析才能准确的发现这些异常情况并且对异常情况提出解决方案。
而现有的关联分析产品主要是安全管理中心(SOC)或者是安全信息管理***(SIM),其主要是实现了以下的五功能:事件采集、事件储存、事件查询、事件关联分析以及告警通知。
现有的分析方法存在以下的局限性:
1.分析的信息不全面:没有实现和一些边缘信息的关联,如:漏洞信息和端口信息。因为有些告警是有针对性的,可能是对某个漏洞,但是网络安全设备产生这个攻击告警时,告警的目标IP并没有这个漏洞,这可能导致一些误报情况的出现;
2.分析规则的描述性不足:通常只描述日志事件的五元组属性的匹配关系,对于具体的事件类型,事件发生频度,以及多个事件复杂的逻辑和时序关系无法或者很难准确描述;
3.没有提供告警解决方案:用户接到告警后仍然需要到实际的环境中寻找具体的出错和解决方案,这样达不到告警处理的实时性。
【实用新型内容】
本实用新型要解决的技术问题,在于提供一种基于事件分类和规则树的关联分析装置,能从海量的网络信息中发现异常情况,生成日志,并且将这些日志关联成告警,并及时将告警的内容和解决方案以邮件等通知方式发送给管理员,管理员只需要及时根据其中的解决方案进行网络的改进,就可以发现当前网络中存在的隐患,从而实现网络的加固和优化。
本实用新型是这样实现的:一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块;所述事件分类知识库、所述事件分类引擎、所述事件预处理引擎、所述关联分析引擎以及告警响应模块依次连接,所述关联分析规则库则连接至所述关联分析引擎。
本实用新型的优点在于:
(1)实现了分析结果和结果处理机制的融合,即在分析规则满足的情况下产生告警的同时生成该告警的解决方案,这样实现了处理告警的实时性和精确性。
(2)基于事件分类的树形分析规则使得规则的配置更为灵活多变,规则中各个子项的关系一目了然。
(3)预处理机制中实现了基于漏洞,端口打开的检测,IP地址的NAT映射的转换,能够减小各种安全设备事件的误报的概率,为分析提供更多有用的信息。
(4)与原始的以安全设备(例如IDS)为起点的关联分析机制相比,现实了一些非告警事件和告警事件的关联,以事件分类为起点的关联实现了关联分析的多样化,合理化。
【附图说明】
下面参照附图结合实施例对本实用新型作进一步的说明。
图1是关联分析装置的内部结构图。
图2是利用本实用新型关联分析装置进行关联分析方法的流程图。
【具体实施方式】
请参阅图1所示,本实用新型的一种基于事件分类和规则树的关联分析装置,包括一事件分类知识库1、一关联分析规则库2、一事件分类引擎3、一事件预处理引擎4、一关联分析引擎5以及一告警响应模块6;所述事件分类知识库1、所述事件分类引擎3、所述事件预处理引擎4、所述关联分析引擎5以及告警响应模块6依次连接,所述关联分析规则库2则连接至所述关联分析引擎5。其中,
所述事件分类知识库1:用于存放事件分类的详细规则;
所述关联分析规则库2:用于存放关联分析的规则信息;
所述事件分类引擎3:用于接收原始日志事件,并结合所述事件分类知识库1,进行事件的分类分析;
所述事件预处理引擎4:用于对日志事件中的一些内容进行确认和转换;
所述关联分析引擎5:用于输入来自所述事件分类引擎3和所述事件预处理引擎4的输出信息,根据所述关联分析规则库2的信息,输出关联分析结果。
所述告警响应模块6:用于对所述关联分析引擎5输出的高危的关联分析结果和结果的处理方案,及时进行通知响应。
如图2所示,利用本实用新型关联分析装置进行关联分析方法的具体流程,包括以下步骤:
(10)收集原始日志事件:由所述事件分类引擎3进行,其原始日志事件可以来源于各种安全设备、网络设备、主机服务器或者应用***等;可以是直接采集目标设备的日志,也可以是由第三方日志服务器转发来的日志,为了保证关联分析的准确性,建议对各日志来源设备和采集设备之间进行时间同步。
(20)对原始事件进行规范化:由于原始日志事件格式各异,直接进行分析处理有很大难度,处理的初期将对原始事件进行规范化处理,将格式各异、等级定义不同的事件转换为格式和字段统一的内部事件格式,为下一步的关联分析做好准备。
(30)对规范化事件进行分类分析:由所述事件分类引擎3在规范化事件的基础上,根据***内建的事件分类知识库,对日志事件进行分类分析。事件分类对各种类型的日志事件进行了详尽的归类定义,包括事件含义、等级以及对应漏洞等信息都有具体规定,这些信息将作为关联分析的重要数据来源。
(40)对事件进行预处理:由于原始日志事件中的一些信息可能存在不准确的情况,所述事件预处理引擎4在关联分析的前期需要对这些不确定的因素进行一次确认的过程,为关联分析提供更为准确的事件源。
(50)规则树建立:所述关联分析引擎5根据***的所述关联分析规则库2,建立规则树;规则树可以描述的逻辑关系包括:与、或和时序;当事件到来时,将按照已经建立好的逻辑规则树进行逐一匹配。
(61)判断匹配事件会话五元组是否符合规则:根据事件会话的源IP、源端口、目的IP、目的端口以及协议条件,判断日志事件是否符合关联分析规则。
(62)判断匹配事件发生频度是否符合规则:根据一段时间范围内的日志事件重复次数,判断日志事件是否符合关联分析规则。
(63)判断匹配事件分类是否符合规则:根据具体的事件分类信息判断日志事件是否符合关联分析。
(7)判断事件会话是否符合关联分析规则:所述关联分析引擎5根据上述(61)、(62)、(63)三个条件,并综合事件会话的上下文,判断事件会话是否匹配完整的关联分析规则。
(8)关联分析告警:所述告警响应模块6根据关联分析结果以及告警条件,进行关联分析告警及响应,如发送邮件、工单等。
本实用新型提供了基于事件分类及规则树的关联分析方法和装置,采用对收集来的日志事件进行事件分类分析,并采用基于规则树的方式进行各种不同类别事件之间的逻辑关联分析,结合事件会话的五元组信息、发生频度以及上下文信息,综合分析得出关联后的安全事件是否存在攻击及异常行为的检测结果。对于具有高危等级的安全事件进行告警和响应。
Claims (1)
1.一种基于事件分类和规则树的关联分析装置,其特征在于:包括一事件分类知识库、一关联分析规则库、一事件分类引擎、一事件预处理引擎、一关联分析引擎以及一告警响应模块;
所述事件分类知识库、所述事件分类引擎、所述事件预处理引擎、所述关联分析引擎以及告警响应模块依次连接,所述关联分析规则库则连接至所述关联分析引擎。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009201826193U CN201491020U (zh) | 2009-08-20 | 2009-08-20 | 基于事件分类和规则树的关联分析装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009201826193U CN201491020U (zh) | 2009-08-20 | 2009-08-20 | 基于事件分类和规则树的关联分析装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN201491020U true CN201491020U (zh) | 2010-05-26 |
Family
ID=42429885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009201826193U Expired - Fee Related CN201491020U (zh) | 2009-08-20 | 2009-08-20 | 基于事件分类和规则树的关联分析装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN201491020U (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790706A (zh) * | 2012-07-27 | 2012-11-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
CN103544429A (zh) * | 2012-07-12 | 2014-01-29 | ***股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制***有限责任公司 | 用于电力二次***内网安全监视平台的告警解析归并方法 |
CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际***应用有限公司 | 关联分析方法和关联分析*** |
CN105812247A (zh) * | 2016-05-04 | 2016-07-27 | 北京思特奇信息技术股份有限公司 | 一种通过电子邮件处理业务告警信息的方法及*** |
CN108229175A (zh) * | 2017-12-28 | 2018-06-29 | 中国科学院信息工程研究所 | 一种多维异构取证信息的关联分析***及方法 |
CN109410109A (zh) * | 2018-10-19 | 2019-03-01 | 智器云南京信息科技有限公司 | 一种基于大数据的伴随事件分析方法及*** |
CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置***及其方法 |
CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及*** |
CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
CN113449290A (zh) * | 2021-06-16 | 2021-09-28 | 中国工程物理研究院计算机应用研究所 | 一款内网多元数据关联分析引擎软件 |
-
2009
- 2009-08-20 CN CN2009201826193U patent/CN201491020U/zh not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103544429B (zh) * | 2012-07-12 | 2016-12-21 | ***股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
CN103544429A (zh) * | 2012-07-12 | 2014-01-29 | ***股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
CN102790706B (zh) * | 2012-07-27 | 2015-01-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
CN102790706A (zh) * | 2012-07-27 | 2012-11-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制***有限责任公司 | 用于电力二次***内网安全监视平台的告警解析归并方法 |
CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际***应用有限公司 | 关联分析方法和关联分析*** |
CN105812247A (zh) * | 2016-05-04 | 2016-07-27 | 北京思特奇信息技术股份有限公司 | 一种通过电子邮件处理业务告警信息的方法及*** |
CN108229175A (zh) * | 2017-12-28 | 2018-06-29 | 中国科学院信息工程研究所 | 一种多维异构取证信息的关联分析***及方法 |
CN109410109A (zh) * | 2018-10-19 | 2019-03-01 | 智器云南京信息科技有限公司 | 一种基于大数据的伴随事件分析方法及*** |
CN109410109B (zh) * | 2018-10-19 | 2020-10-16 | 智器云南京信息科技有限公司 | 一种基于大数据的伴随事件分析方法及*** |
CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置***及其方法 |
CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及*** |
CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
CN113449290A (zh) * | 2021-06-16 | 2021-09-28 | 中国工程物理研究院计算机应用研究所 | 一款内网多元数据关联分析引擎软件 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN201491020U (zh) | 基于事件分类和规则树的关联分析装置 | |
US11606373B2 (en) | Cyber threat defense system protecting email networks with machine learning models | |
US20210273960A1 (en) | Cyber threat defense system and method | |
CN108471429B (zh) | 一种网络攻击告警方法及*** | |
EP4275168A1 (en) | An ai cybersecurity system monitoring wireless data transmissions | |
US11985142B2 (en) | Method and system for determining and acting on a structured document cyber threat risk | |
CN112738016A (zh) | 一种面向威胁场景的智能化安全事件关联分析*** | |
CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
CA2762677C (en) | Multiple hypothesis tracking | |
CN112651006A (zh) | 一种电网安全态势感知平台架构 | |
Paudel et al. | Detecting dos attack in smart home iot devices using a graph-based approach | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
US20220224724A1 (en) | Artificial intelligence based analyst as an evaluator | |
CN111709034A (zh) | 基于机器学习的工控环境智能安全检测***与方法 | |
CA2762688A1 (en) | Multiple hypothesis tracking | |
WO2019084072A1 (en) | GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM | |
CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、***及装置 | |
CN113315771A (zh) | 一种基于工业控制***的安全事件告警装置和方法 | |
Al-Mamory et al. | A survey on IDS alerts processing techniques | |
CN115333915B (zh) | 一种面向异构主机的网络管控*** | |
CN116405241A (zh) | 一种网络安全设备告警的时序关联分析方法及*** | |
CN116668054A (zh) | 一种安全事件协同监测预警方法、***、设备及介质 | |
Protic et al. | WK-FNN design for detection of anomalies in the computer network traffic | |
Zhou et al. | Fingerprinting IIoT devices through machine learning techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 Termination date: 20170820 |