CN101958897B - 一种安全事件关联分析方法及系统 - Google Patents
一种安全事件关联分析方法及系统 Download PDFInfo
- Publication number
- CN101958897B CN101958897B CN 201010292868 CN201010292868A CN101958897B CN 101958897 B CN101958897 B CN 101958897B CN 201010292868 CN201010292868 CN 201010292868 CN 201010292868 A CN201010292868 A CN 201010292868A CN 101958897 B CN101958897 B CN 101958897B
- Authority
- CN
- China
- Prior art keywords
- state machine
- security incident
- state
- module
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种安全事件关联分析方法及系统,采用状态机实时记录安全事件的发展。当新到达的安全事件能够和状态机相匹配时,根据状态机的迁移条件判断是否进行状态迁移操作;当无法找到状态机与之匹配时,根据预先定义的安全事件序列树建立新的状态机与之匹配。当状态机迁移至终态或发生超时时,结束状态机运行并生成系统安全日志。状态机实时记录从开始到终态之间的安全事件的信息,进而可以有效提高关联分析结果的可靠性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种安全事件关联分析方法及系统。
背景技术
随着网络的发展,网络安全变得十分重要。为了防止网络攻击行为对网络安全造成伤害,需要在网络中部署如入侵检测(ID,Intruion Detection)、防火墙等安全系统。当发生网络攻击行为的时候,安全系统会产生大量安全事件。每一安全事件包括多个安全属性,如攻击地址、攻击类型、攻击时间等。
为了分析大量安全事件之间的相关关系,并由此产生抽象粒度更高、概括能力更强的安全警报,需要一种能够自动关联分析安全事件的方案。现有技术中,采用的是一种基于规则的安全事件因果分析方案,在所有安全事件产生之后对安全事件进行分析,主要处理流程如下:
预先建立各种攻击步骤的前提(prerequisite)和结果(consequence);
对前一安全事件的结果和后一安全事件的前提进行匹配以达到关联的目的;
根据匹配情况生成安全警报。
现有的安全事件的因果分析方法,能够识别安全事件之间的因果逻辑关系。但因果分析方法是一种事后分析,需要在所有安全事件产生之后再进行分析,因而无法及时对新产生的安全事件进行关联分析。虽然可以通过设定时间间隔定期对新产生的安全事件进行关联分析,但如果时间间隔设定过短,无法获得足够数量的安全事件,将会导致关联分析的结果可靠性降低。
发明内容
为解决上述技术问题,本发明实施例提供一种安全事件关联分析方法及系统,以实现对网络安全事件的实时关联分析,技术方案如下:
一种安全事件关联分析方法,包括:
A、系统检测到安全事件后,判断系统中是否存在与所述检测到的安全事件相匹配的状态机,如果是,执行步骤C,否则执行步骤B;
B、根据预先定义的安全事件序列树,在系统中创建与所述检测到的安全事件相匹配的状态机,执行步骤C;其中,所述安全事件序列树的每个节点对应所述状态机的一个状态;
C、如果系统检测到的安全事件满足所述状态机的迁移条件,则对该状态机进行状态迁移;其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;
D、当所述状态机迁移至终态或所述状态机当前状态发生超时,结束所述状态机的运行;
E、根据所述状态机的运行记录,生成系统安全日志。
优选的,所述步骤A中,状态机与所述检测到的安全事件相匹配,具体为:
状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致。
优选的,所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包括:
状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或
状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
优选的,所述步骤D包括:
当所述状态机迁移至终态或所述状态机当前状态发生超时时,使所述状态机的所述当前状态失效并判断所述状态机是否还存在当前状态,如果否,则结束所述状态机的运行。
优选的,所述步骤D中,结束所述状态机的运行后还包括:
在系统中删除所述状态机。
优选的,所述方法还包括:
当所述状态机迁移至终态后,生成安全警报。
优选的,所述步骤E包括:
在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束的安全事件信息。
相应于本发明所提供的方法,本发明还提供了一种安全事件关联分析系统,技术方案如下:
一种安全事件关联分析系统,包括:安全事件检测模块、匹配判断模块、状态机创建模块、迁移模块、终态判断模块、终止模块、安全日志生成模块;
安全事件检测模块,用于检测安全事件是否产生,如果产生,则发送一信号到所述匹配判断模块;
匹配判断模块,用于接收到所述安全事件检测模块发送的信号后,判断系统中是否存在状态机与所述检测到的安全事件相匹配,如果是,则发送一信号到所述迁移模块,否则发送一信号到所述状态机创建模块;
状态机创建模块,用于接收到所述匹配判断模块发送的信号后,根据预先定义的安全事件序列树,创建与所述安全事件相匹配的状态机,其中,所述安全事件序列树的每个节点对应所述状态机的一个状态;
迁移模块,用于接收到所述匹配判断模块发送的信号后,判断系统检测到的安全事件是否满足所述状态机的迁移条件,如果是,则对状态机进行状态迁移,否则发送一信号到所述终止模块;其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;
终态判断模块,用于判断所述状态机的当前状态是否为终态,如果是,则发送一信号到终止模块,
终止模块,用于在接收到所述迁移模块或终态判断模块发送的信号后结束所述状态机的运行;
安全日志生成模块,用于根据所述状态机的运行记录,生成系统安全日志。
优选的,所述系统还包括状态机删除模块,用于在所述终止模块结束所述状态机的运行后,在系统中删除所述状态机。
优选的,所述系统还包括安全警报生成模块,用于当所述迁移模块将所述状态机迁移至终态时,生成安全警报。
由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态的迁移,因此本发明所提供的安全事件关联分析方案能够实时地对新产生的安全事件产生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此可以有效提高关联分析结果的可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例安全事件关联分析方法的一个安全事件序列树示意图;
图2为本发明实施例安全事件关联分析方法的一种状态机示意图;
图3为本发明实施例安全事件关联分析方法的另一个安全事件序列树示意图;
图4为本发明实施例安全事件关联分析方法的另一种状态机示意图;
图5为本发明实施例的一种安全事件关联分析方法流程图;
图6为本发明实施例的另一种安全事件关联分析方法流程图;
图7为本发明实施例安全事件关联分析方法的一个拒绝服务安全事件序列树示意图;
图8为本发明实施例安全事件关联分析方法的一种根据拒绝服务安全事件序列树建立的状态机的示意图;
图9为本发明实施例安全事件关联分析系统的结构示意图;
图10为本发明实施例另一安全事件关联分析系统的结构示意图;
图11为本发明实施例另一安全事件关联分析系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明实施例提供的一种安全事件关联分析方法包括以下步骤:
A、系统检测到安全事件后,判断系统中是否存在与所述检测到的安全事件相匹配的状态机,如果是,执行步骤C,否则执行步骤B;
其中,所述状态机与所述检测到的安全事件相匹配,可以具体为:
状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致;需要说明的是,此时该状态可以对预定义数量的安全事件进行聚类记录,当然,与所述检测到的安全事件类型一致的状态还可以为多个。
所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包括:
状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或
状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
本领域技术人员可知的是,所述安全事件,是安全系统基于各种攻击行为所产生的一种记录,在安全事件中,可以包括攻击地址、攻击类型、攻击时间等安全属性。
B、根据预先定义的安全事件序列树,在系统中创建与所述检测到的安全事件相匹配的状态机,执行步骤C;其中,所述安全事件序列树的每个节点对应所述状态机的一个状态;
其中,所述安全事件序列树可以根据历史安全事件及历史安全事件间的关系预先定义,当然,所述安全事件序列树还可以进行更新,添加安全事件或删除安全事件;本领域技术人员可知的是,所述安全事件序列树可以为多个。
C、如果系统检测到的安全事件满足所述状态机的迁移条件,则对该状态机进行状态迁移;其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;
需要说明的是,状态机的迁移条件未被满足即为没有在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;因为状态机的当前状态会在预定时间等待安全事件的发生,故当状态机的迁移条件未被满足时,状态机的当前状态必然出现超时的情况。
本领域技术人员可以理解的是,可以将当前状态的多个后续状态作为一个状态集,当当前状态的迁移条件被满足时,可以向此状态集迁移。此状态集再根据后续新到达的安全事件进行进一步的状态迁移。
需要说明的是,状态机当前状态的迁移能反映出攻击活动的因果发展情况。
D、当所述状态机迁移至终态或所述状态机当前状态发生超时时,结束所述状态机的运行;
需要说明的是,当所述状态机迁移至终态时,系统即可以根据状态机的运行记录生成系统安全日志。当所述状态机迁移至终态时,系统还可以实时的根据系统安全日志生成安全警报,所述安全警报可以包含状态机的运行记录;当然,在实际应用中,还可以根据状态机状态迁移趋势所体现的安全事件发展趋势,提前对攻击活动的发展情况进行判断并进行预警。
此外,当所述状态机的运行结束后,还可以在系统中删除所述状态机。
E、根据状态机的运行记录,生成系统安全日志。
其中,在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束等安全事件信息;所述系统安全日志可以在状态机创建时生成,然后根据状态机运行记录实时或定时更新,也可以在状态机迁移至终态或状态机结束运行后生成。
由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件产生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此可以有效提高关联分析结果的可靠性。
为方便理解,现对本实施例的安全事件序列树和根据所述安全事件序列树建立的状态机进行举例说明。
图1为本实施例提供的一种安全事件序列树的示意图。
如图1所示,本实施例提供的安全事件序列树包括:第一安全事件101、第二安全事件102、第三安全事件103、第四安全事件104、第五安全事件105和第六安全事件106。所述第一安全事件101为安全事件序列树的根节点。所述第二安全事件102和第三安全事件103为所述第一安全事件101的子节点。所述第四安全事件104为所述第二安全事件102的子节点。所述第五安全事件105和第六安全事件106为所述第三安全事件103的子节点。所述第四安全事件104、第五安全事件105和第六安全事件106作为所述安全事件序列树的末端安全事件,不再有后续的安全事件发生,因而没有子节点,这些没有子节点的节点称为安全事件序列树的叶子节点。
本实施例中,安全事件的在树形结构中的父子位置关系是按照安全事件发生时间的先后顺序进行排列的,举例来说,所述第二安全事件102和第三安全事件103在所述第一安全事件101发生之后才会发生。同一安全事件序列树上安全事件发生的先后代表着安全事件的发展情况,以上面的例子来说,第二安全事件102和第三安全事件103为第一安全事件101在不同情况下的发展结果。安全事件序列树中的父节点与子节点之间的发展关系也体现了这点。当某安全事件不再有后续安全事件发生时,可以认定所述安全事件为安全事件序列树的末端安全事件,即安全事件序列树的叶子节点。
需要说明的是,以上安全事件序列树仅为本实施例安全事件序列树的一种,本领域技术人员可知的,本实施例的安全事件序列树还可以为其他排列形式。
图2为本实施例提供的根据图1所示安全事件序列树建立的一种状态机示意图。
如图2所示,本实施提供的状态机包括:第一状态201、第二状态202、第三状态203、第四状态204、第五状态205和第六状态206。
所述第一状态201为所述状态机的初态,所述第四状态204、第五状态205和第六状态206为所述状态机的终态。
本实施例提供的状态机与图1所示的安全事件序列树对应建立。第一状态201根据第一安全事件101对应建立。第二状态202根据第二安全事件102对应建立。第三状态203根据第三安全事件103对应建立。第四状态204根据第四安全事件104对应建立。第五状态205根据第五安全事件105对应建立。第六状态206根据第六安全事件106对应建立。
所述第一状态201依据第一安全事件101与第二安全事件102和第三安全事件103之间的发展关系,在不同的迁移条件被满足时,向第二状态202或第三状态203迁移。例如,第一状态201在第一迁移条件被满足时向第二状态202迁移,在第二迁移条件被满足时,向第三状态203迁移。同理,根据安全事件之间的发展关系,第二状态202在迁移条件被满足时,向第四状态204迁移;第三状态203在不同的迁移条件被满足时,向第五状态205或第六状态206迁移。由于第四状态204、第五状态205和第六状态206为状态机的终态,所以不再进行迁移。需要说明的是,当所述状态机迁移至终态并发生所述终态对应的安全事件时,认为此时已经发生了危险程度较高的状况,因此系统还可以生成安全警报,所述安全警报可以包含状态机的运行记录。本领域技术人员可知的是,“当前状态”是一个动态变量,随着状态机中状态的迁移而改变。
需要说明的是,以上迁移条件存储于状态机中除终态外每一状态中,当然,所述迁移条件还可以同时存储于安全事件序列树中,本实施例在此并不做限定。
其中,以上迁移条件可以为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件。
由图1和图2的对应关系可知,图2所示状态机的初态根据图1所示安全事件序列树的根节点相应建立,图2所示状态机的终态根据图1所示安全事件序列树的叶子节点相应建立。
为方便理解,现举例说明:
假设有如图3所示的安全事件序列树,这是一种消耗文件传输协议(FTP,File Transfer Protocol)服务器磁盘空间的序列树,包括根节点301:FTP认证失败,叶子节点302:网络数据流(Net Flow)流量异常。假设在1秒内发生5次FTP认证失败后,将在短时间内产生网络数据流(Net Flow)流量异常事件。当在1秒内发生5次FTP认证失败后产生网络数据流(Net Flow)流量异常事件,则认为发生了消耗FTP服务器磁盘空间的安全事件。系统将产生消耗FTP服务器磁盘空间的警报。
如图3所示,叶子节点302为根节点301的子节点。
根据图3所示的安全事件序列树建立如图4所示的状态机K。
如图4所示,状态机K包括第一状态401和第二状态402,第一状态401为初态,第二状态402为终态。第一状态401根据图3中根节点301相应建立,第二状态402根据图3中叶子节点302相应建立。根据图3所示安全事件序列树中根节点301与叶子节点302之间发展关系,得出第一状态401的迁移条件为:在1秒内发生5次FTP认证失败事件,迁移对象为第二状态402。
当然,在本发明其他实施例中,本发明的安全事件关联分析方法还可以进一步细化。
图5所示为本发明实施例的一种安全事件关联分析方法流程图。
如图5所示,本发明实施例的一种安全事件关联分析方法包括:
S501、实时对安全事件进行检测;
S502、判断新的安全事件是否到达,如果是,则执行步骤S503,否则执行步骤S501;
S503、判断是否存在状态机与所检测到的安全事件相匹配,如果是,则执行步骤S506,否则执行步骤S504;
其中,所述状态机与所述检测到的安全事件相匹配,可以具体为:
状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致;需要说明的是,此时该状态可以对预定义数量的安全事件进行聚类记录,当然,与所述检测到的安全事件类型一致的状态还可以为多个。
所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包括:
状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或
状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
本领域技术人员可知的是,所述安全事件,是安全系统基于各种攻击行为所产生的一种记录,在安全事件中,可以包括攻击地址、攻击类型、攻击时间等安全属性。
S504、判断是否有安全事件序列树与所检测到的安全事件匹配,如果是,则执行步骤S505,否则执行步骤S511;
其中,所述安全事件序列树与所检测到的安全事件匹配为安全事件序列树中的一个安全事件与所检测到的安全事件攻击类型一致。
S505、根据所述安全事件序列树建立新的状态机;
其中,所述安全事件序列树可以根据历史安全事件及历史安全事件间的关系预先定义,当然,所述安全事件序列树还可以进行更新,添加安全事件或删除安全事件;本领域技术人员可知的是,所述安全事件序列树可以为多个。
S506、判断是否所述新安全事件是否满足所述状态机当前状态的迁移条件,如果是,则执行步骤S507,否则,执行步骤S509;
其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件。
需要说明的是,状态机的迁移条件未被满足即为没有在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;因为状态机的当前状态会在预定时间等待安全事件的发生,故当状态机的迁移条件未被满足时,状态机的当前状态必然出现超时的情况。所以当状态机的当前状态出现超时时,可以判断所述当前状态的迁移条件未被满足。
S507、根据所述状态机状态间的转移关系将当前状态转移;
需要说明的是,状态机当前状态的迁移能反映出攻击活动的因果发展情况。
S508、判断当前状态是否为终态,如果是,则执行步骤S509,否则执行步骤S501;
需要说明的是,当所述状态机迁移至终态时,系统即可以根据状态机的运行记录生成系统安全日志。当所述状态机迁移至终态时,系统还可以生成安全警报,所述安全警报可以包含状态机的运行记录。
S509、结束所述状态机的运行;
S510、根据状态机的运行记录,生成系统安全日志;
其中,在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束等安全事件信息;所述系统安全日志可以在状态机创建时生成,然后根据状态机运行记录实时或定时更新,也可以在状态机迁移至终态或状态机结束运行后生成。
当所述状态机迁移至终态时,系统还可以实时的根据系统安全日志生成安全警报,所述安全警报可以包含状态机的运行记录;当然,在实际应用中,还可以根据状态机状态迁移趋势所体现的安全事件发展趋势,提前对攻击活动的发展情况进行判断并进行预警。
S511、系统结束运行。
本领域技术人员可知的是,为了减轻系统运行负担,在结束状态机运行后,还可以将所述状态机删除。这样,系统不用同时保留大量状态机,当再次检测到与所述状态机匹配的安全事件时,只需根据安全事件序列树重新建立所述状态机即可。
当然,本领域技术人员可以理解的是,当状态机迁移至终态、或系统检测到的安全事件不满足状态机的迁移条件时,可以先使状态机当前状态失效,然后再结束状态机的运行。同时,为了防止状态机中状态集作为当前状态时,可能出现的由于其中一个当前状态失效而导致状态集中其他当前状态被迫停止工作的情况,可以在使状态机失效后增加判断状态机是否有当前状态的步骤,以增加系统稳定性。
具体方法如图6所示,包括:
S601、实时对安全事件进行检测;
S602、判断新的安全事件是否到达,如果是,则执行步骤S603,否则执行步骤S601;
S603、判断是否存在状态机与所检测到的安全事件相匹配,如果是,则执行步骤S606,否则执行步骤S604;
其中,所述状态机与所述检测到的安全事件相匹配,可以具体为:
状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致;当然,与所述检测到的安全事件类型一致的状态还可以为多个。所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包括:
状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或
状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
本领域技术人员可知的是,所述安全事件,是安全系统基于各种攻击行为所产生的一种记录,在安全事件中,可以包括攻击地址、攻击类型、攻击时间等安全属性。
S604、判断是否有安全事件序列树与所检测到的安全事件匹配,如果是,则执行步骤S605,否则执行步骤S613;
其中,所述安全事件序列树与所检测到的安全事件匹配为安全事件序列树中的一个安全事件与所检测到的安全事件攻击类型一致。
S605、根据所述安全事件序列树建立新的状态机;
其中,所述安全事件序列树可以根据历史安全事件及历史安全事件间的关系预先定义,当然,所述安全事件序列树还可以进行更新,添加新的安全事件或删除旧的安全事件;本领域技术人员可知的是,所述安全事件序列树可以为多个。
S606、判断是否所述新安全事件是否满足所述状态机当前状态的迁移条件,如果是,则执行步骤S607,否则,执行步骤S611;
其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;所述状态机的状态迁移条件还可以为:在预定时间内,检测到与状态机当前状态相对应的安全事件。
S607、根据所述状态机状态间的转移关系将当前状态转移;
S608、判断当前状态是否为终态,如果是,则执行步骤S609,否则执行步骤S601;
需要说明的是,当所述状态机迁移至终态时,系统即可以根据状态机的运行记录生成系统安全日志。当所述状态机迁移至终态时,系统还可以生成安全警报,所述安全警报可以包含状态机的运行记录。
S609、使当前状态失效;
S610、判断所述状态机是否存在当前状态,如果是,则执行步骤S601,否则执行步骤S611;
S611、结束所述状态机的运行;
S612、根据状态机的运行记录,生成系统安全日志;
其中,在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束等安全事件信息;所述系统安全日志可以在状态机创建时生成,然后根据状态机运行记录实时或定时更新,也可以在状态机迁移至终态或状态机结束运行后生成。
S613、系统结束运行。
由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件产生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此可以有效提高关联分析结果的可靠性。
为了进一步帮助理解本发明,现举一较为复杂的实例。
图7所示为一种拒绝服务(DOS,Denial Of Service)安全事件序列树。根据图7所示安全事件序列树构建如图8所示的状态机D。图7所示的安全事件序列树包括:第一安全事件701、第二安全事件702、第三安全事件703、第四安全事件704、第五安全事件705和第六安全事件706。相应的,图8所示的状态机D包括:第一状态801、第二状态802、第三状态803、第四状态804、第五状态805和第六状态806。
所述第一安全事件701为Port Scan(端口扫描)事件,第二安全事件为Syn_flood(TCP建立连接同步数据包洪泛攻击)事件,第三安全事件为Sadmind_BOF(RPC服务Sadmind缓冲区溢出攻击)事件,第四安全事件为Rsh_Reversion(在既得主机上安装拒绝服务攻击软件Mstream)事件,第五安全事件为Mstream_Zombie(Mstream傀儡主机主控端和受控端交互)事件,第六安全事件为Stream_Dos(傀儡主机发送TCP连接建立包,对目标进行拒绝服务攻击)事件。
当当前状态迁移至第四状态804时,如果发生与第四状态804所匹配的安全事件即Rsh_Reversion事件并满足第四状态804的迁移条件时,状态机D的当前状态迁移到第五状态805。在当前状态迁移至第四状态804时,如果发生Port Scan事件时,系统将根据安全事件序列树重新创建一个状态机E与新产生的Port Scan事件匹配。当然,在实际应用中,由于状态机的运行时间比较短,而且由于状态机运行时间内已有足够的Port Scan事件被记录和关联分析,所以状态机当前状态从初态迁移后在状态机D运行过程中发生的PortScan事件也可以不必统计。
以图7所示安全事件序列树和图8所示状态机D举例来说,假设系统中不存在状态机D,当安全事件Port Scan发生时,系统无法找到状态机与PortScan事件匹配。系统找到与Port Scan事件匹配的图7所示的安全事件序列树,于是根据图7所示安全事件序列树建立状态机D。状态机D的第一状态801可以与Port Scan事件匹配,于是第一状态801作为当前状态,进一步判断第一状态801的迁移条件是否被满足,如果不满足,则结束状态机D的运行;如果满足,则当前状态迁移至第二状态802和第三状态803组成的状态集。假设后续发生Sadmind_BOF事件,且第三状态803的迁移条件被满足,则迁移至第四状态804。假设后续再次发生Port Scan事件,系统无法找到状态机的当前状态与Port Scan事件匹配,所以再次根据图7所示安全事件序列树建立一新的状态机与其匹配。当然,系统也可以在状态机D运行期间内忽略PortScan事件的发生。假设后续接连发生Rsh_Reversion事件、Mstream_Zombie事件和Stream_Dos事件,且第四状态机804、第五状态机805和第六状态机806的迁移条件先后被满足,则状态机的当前状态在经过第五状态805后迁移至终态第六状态806,系统使第六状态806失效。这时,如果状态机D中还有当前状态(如:第二状态802和第三状态803组成的状态集中第二状态802依然作为当前状态工作),则继续等待安全事件的发生。如果不存在当前状态,则结束状态机D的运行,并根据状态机D的运行记录,生成系统安全日志。
当然,还可以在状态机D运行结束后生成安全警报。
由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件产生进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此可以有效提高关联分析结果的可靠性。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
相应于本发明提供的安全事件关联分析方法,本发明还提供了一种安全事件关联分析系统。
如图9所示,本实施例的安全事件关联分析系统包括:
安全事件检测模块901、匹配判断模块902、状态机创建模块903、迁移模块904、终态判断模块905、终止模块906、安全日志生成模块907;
安全事件检测模块901,用于检测安全事件是否产生,如果产生,则发送一信号到所述匹配判断模块902;
匹配判断模块902,用于接收到所述安全事件检测模块901发送的信号后,判断系统中是否存在状态机与所述检测到的安全事件相匹配,如果是,则发送一信号到所述迁移模块904,否则发送一信号到所述状态机创建模块903;
所述状态机与所述检测到的安全事件相匹配,包括:
状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或
状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
状态机创建模块903,用于接收到所述匹配判断模块902发送的信号后,根据预先定义的安全事件序列树,创建与所述安全事件相匹配的状态机,其中,所述安全事件序列树的每个节点对应所述状态机的一个状态;
迁移模块904,用于接收到所述匹配判断模块902发送的信号后,判断系统检测到的安全事件是否满足所述状态机的迁移条件,如果是,则对状态机进行状态迁移,否则发送一信号到所述终止模块906;其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件。
需要说明的是,状态机的迁移条件未被满足即为没有在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;因为状态机的当前状态会在预定时间等待安全事件的发生,故当状态机的迁移条件未被满足时,状态机的当前状态必然出现超时的情况。所以当状态机的当前状态出现超时时,可以判断所述当前状态的迁移条件未被满足。
需要说明的是,状态机当前状态的迁移能反映出攻击活动的因果发展情况。
终态判断模块905,用于判断所述状态机的当前状态是否为终态,如果是,则发送一信号到终止模块906;
终止模块906,用于在接收到所述迁移模块904或终态判断模块905发送的信号后结束所述状态机的运行;
安全日志生成模块907,用于根据状态机的运行记录,生成系统安全日志。
图9中终止模块906与安全日志生成模块907相连,需要说明的是,安全日志的生成的过程可以为:由除安全日志生成模块907以外的模块实时记录状态机的运行数据,最后经由终止模块906将状态机的运行记录输出给安全日志生成模块907,由安全日志生成模块907生成安全日志。当然,安全日志的生成过程还可以为:除安全日志生成模块907以外模块实时将系统运行记录输出给安全日志生成模块907,由安全日志生成模块907生成安全日志。本领域技术人员可以理解的是,以上所述安全日志的生成过程的改变将带来的系统连接关系的改变,这些连接关系也在本发明的公开范围内。
由于状态机的当前状态能够实时地根据新产生的安全事件和迁移条件进行状态的迁移,因此本实施例所提供的安全事件关联分析方法能够实时地对新产生的安全事件进行匹配和记录。另一方面,由于状态机记录了从开始到终态之间的安全事件的信息,因此可以有效提高关联分析结果的可靠性。
本领域技术人员可知的是,为了减轻系统运行负担,还可以添加状态机删除模块,用于在结束状态机运行后,将所述状态机删除。
如图10所示,在图9所示的系统结构示意图中添加了状态机删除模块908。
终止模块906在终止状态机运行后输出一信号到状态机删除模块908,状态机删除模块908在收到所述信号后将所述状态机删除。
本领域技术人员可知的是,为了使技术人员及时得到系统的安全日志,还可以增加安全警报生成模块,用于在所述状态机迁移至终态时,生成安全警报。
如图11所示,在图9所示的系统结构示意图中添加了安全警报生成模块909。
终止模块906在终止状态机运行后输出一信号到安全警报生成模块909,安全警报生成模块909在收到所述信号后生成安全警报。
需要说明的是,所述安全日志生成模块907生成的安全日志可以在安全警报生成模块909生成的安全警报中显示。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种安全事件关联分析方法,其特征在于,包括:
A、系统检测到安全事件后,判断系统中是否存在与所述检测到的安全事件相匹配的状态机,如果是,执行步骤C,否则执行步骤B;
B、根据预先定义的安全事件序列树,在系统中创建与所述检测到的安全事件相匹配的状态机,执行步骤C;其中,所述安全事件序列树的每个节点对应所述状态机的一个状态,同一安全事件序列树上安全事件发生的先后代表着安全事件的发展情况;
C、如果系统检测到的安全事件满足所述状态机的迁移条件,则对该状态机进行状态迁移;其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;
D、当所述状态机迁移至终态或所述状态机当前状态发生超时,结束所述状态机的运行;
E、根据所述状态机的运行记录,生成系统安全日志。
2.根据权利要求1所述的方法,其特征在于,所述步骤A中,状态机与所述检测到的安全事件相匹配,具体为:
状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致。
3.根据权利要求2所述的方法,其特征在于,所述状态机的某个状态所对应的安全事件与所述检测到的安全事件类型一致,包括:
状态机的初态所对应的安全事件与所述检测到的安全事件类型一致,或
状态机的当前状态所对应的安全事件与所述检测到的安全事件类型一致。
4.根据权利要求1所述的方法,其特征在于,所述步骤D包括:
当所述状态机迁移至终态或所述状态机当前状态发生超时时,使所述状态机的所述当前状态失效并判断所述状态机是否还存在当前状态,如果否,则结束所述状态机的运行。
5.根据权利要求1所述的方法,其特征在于,所述步骤D中,结束所述状态机的运行后还包括:
在系统中删除所述状态机。
6.根据权利要求1所述的方法,其特征在于,还包括:
当所述状态机迁移至终态后,生成安全警报。
7.根据权利要求1所述的方法,其特征在于,所述步骤E包括:
在系统安全日志中,记录触发状态机创建、状态迁移以及运行结束的安全事件信息。
8.一种安全事件关联分析系统,其特征在于,包括:安全事件检测模块、匹配判断模块、状态机创建模块、迁移模块、终态判断模块、终止模块、安全日志生成模块;
安全事件检测模块,用于检测安全事件是否产生,如果产生,则发送一信号到所述匹配判断模块;
匹配判断模块,用于接收到所述安全事件检测模块发送的信号后,判断系统中是否存在状态机与所述检测到的安全事件相匹配,如果是,则发送一信号到所述迁移模块,否则发送一信号到所述状态机创建模块;
状态机创建模块,用于接收到所述匹配判断模块发送的信号后,根据预先定义的安全事件序列树,创建与所述安全事件相匹配的状态机,其中,所述安全事件序列树的每个节点对应所述状态机的一个状态,同一安全事件序列树上安全事件发生的先后代表着安全事件的发展情况;
迁移模块,用于接收到所述匹配判断模块发送的信号后,判断系统检测到的安全事件是否满足所述状态机的迁移条件,如果是,则对状态机进行状态迁移,否则发送一信号到所述终止模块;其中,所述状态机的状态迁移条件为:在预定时间内,检测到预定数量的、与状态机当前状态相对应的安全事件;
终态判断模块,用于判断所述状态机的当前状态是否为终态,如果是,则发送一信号到终止模块,
终止模块,用于在接收到所述迁移模块或终态判断模块发送的信号后结束所述状态机的运行;
安全日志生成模块,用于根据所述状态机的运行记录,生成系统安全日志。
9.根据权利要求8所述的系统,其特征在于,还包括状态机删除模块,用于在所述终止模块结束所述状态机的运行后,在系统中删除所述状态机。
10.根据权利要求8所述的系统,其特征在于,还包括安全警报生成模块,用于当所述迁移模块将所述状态机迁移至终态时,生成安全警报。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010292868 CN101958897B (zh) | 2010-09-27 | 2010-09-27 | 一种安全事件关联分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010292868 CN101958897B (zh) | 2010-09-27 | 2010-09-27 | 一种安全事件关联分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101958897A CN101958897A (zh) | 2011-01-26 |
| CN101958897B true CN101958897B (zh) | 2013-10-09 |
Family
ID=43486003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010292868 Expired - Fee Related CN101958897B (zh) | 2010-09-27 | 2010-09-27 | 一种安全事件关联分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101958897B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685095A (zh) * | 2011-12-26 | 2012-09-19 | 北京安天电子设备有限公司 | 基于风险级别事件处理的方法及系统 |
| CN103269337B (zh) * | 2013-04-27 | 2016-08-10 | 中国科学院信息工程研究所 | 数据处理方法及装置 |
| US9477835B2 (en) * | 2013-10-08 | 2016-10-25 | Crowdstrike, Inc. | Event model for correlating system component states |
| CN103746991B (zh) * | 2014-01-02 | 2017-03-15 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及系统 |
| CN105184575B (zh) * | 2015-07-17 | 2019-06-18 | 中国科学院计算技术研究所 | 交易系统构建方法、交易流程控制装置及第三方交易平台 |
| CN106293895B (zh) * | 2016-08-03 | 2019-12-24 | 深圳中兴网信科技有限公司 | 离散事件关联处理方法和离散事件关联处理装置 |
| CN108062076B (zh) * | 2016-11-09 | 2020-10-27 | 株式会社东芝 | 数据收集系统、处理系统以及存储介质 |
| CN110376957B (zh) * | 2019-07-04 | 2020-09-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN111338609B (zh) * | 2020-03-02 | 2023-07-25 | 广州市百果园信息技术有限公司 | 信息获取方法、装置、存储介质及终端 |
| CN112437070B (zh) * | 2020-11-16 | 2022-11-15 | 深圳市永达电子信息股份有限公司 | 一种基于操作生成树状态机完整性验证计算方法及系统 |
| CN112712125B (zh) * | 2020-12-31 | 2022-09-06 | 山石网科通信技术股份有限公司 | 事件流的模式匹配方法、装置、存储介质及处理器 |
| CN112866220B (zh) * | 2021-01-07 | 2022-08-23 | 深圳市永达电子信息股份有限公司 | 一种基于cia状态机的安全管控方法及系统 |
| CN113079172B (zh) * | 2021-04-13 | 2022-08-16 | 宁波和利时信息安全研究院有限公司 | 一种审计策略的匹配方法及装置 |
| CN113259364B (zh) * | 2021-05-27 | 2021-10-22 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN116977048A (zh) * | 2023-09-25 | 2023-10-31 | 天津金城银行股份有限公司 | 状态机系统、交易状态管理方法及银行交易系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
-
2010
- 2010-09-27 CN CN 201010292868 patent/CN101958897B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101958897A (zh) | 2011-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101958897B (zh) | 一种安全事件关联分析方法及系统 | |
| Babiceanu et al. | Cyber resilience protection for industrial internet of things: A software-defined networking approach | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| CN117879970A (zh) | 一种网络安全防护方法及系统 | |
| CN109040235B (zh) | 一种基于区块链技术的工业控制系统操作记录的存储方法 | |
| CN102790706A (zh) | 海量事件安全分析方法及装置 | |
| CN105743880A (zh) | 一种数据分析系统 | |
| CN110474870B (zh) | 基于区块链的网络主动防御方法、系统及计算机可读存储介质 | |
| CN101447113A (zh) | 构建基于Internet浏览器的自助终端客户端的方法 | |
| CN103618762A (zh) | 一种基于aop的企业服务总线状态预处理系统及方法 | |
| CN105863733A (zh) | 适用于煤矿的直通式瓦斯超限监控管理系统及使用方法 | |
| CN103973476A (zh) | 网关、网关热备份系统及方法 | |
| JP4751379B2 (ja) | 自動セキュリティ・プラットフォーム | |
| CN110456765A (zh) | 工控指令的时序模型生成方法、装置及其检测方法、装置 | |
| CN105607985A (zh) | 基于Qt图形界面软件的操作日志记录方法及系统 | |
| Liu et al. | RAPID: real-time alert investigation with context-aware prioritization for efficient threat discovery | |
| CN103678125A (zh) | 一种代码调试方法及调试系统 | |
| CN105553743A (zh) | 获得日志的方法、系统、第一网络设备及第三网络设备 | |
| EP4009586A1 (en) | A system and method for automatically neutralizing malware | |
| CN102469098A (zh) | 信息安全防护主机 | |
| CN102968479A (zh) | 跨安全区数据库备份方法 | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| CN112583820A (zh) | 一种基于攻击拓扑的电力攻击测试系统 | |
| CN113852623B (zh) | 一种病毒工控行为检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131009 Termination date: 20140927 |
|
| EXPY | Termination of patent right or utility model |