[发明专利]事件规则关联分析方法及装置

说明书

技术领域

本发明涉及网络安全处理领域，更为具体地，涉及一种对事件规则关联进行并行分析处理的安全事件规则关联分析方法及装置。

背景技术

随着网络技术的日益发展，通过网络来传递信息正在成为一种趋势。然而，由于网络黑客经常利用木马程序非法侵入网络空间来窃取信息，因此，如何保证网络上的信息安全越来越受到重视。

为了保证网络上的信息安全，通常需要对威胁网络安全的任何一个行为进行报警，即产生安全事件。安全事件通常由安全系统生成，安全系统指的是对用户系统进行安全监测和保护的应用系统，比如入侵检测系统、漏洞扫描系统、审计系统、防火墙、UTM等。

各类安全系统通常都会产生大量的安全报警事件。来源不同的安全系统所产生的安全事件往往彼此重叠、关联或者相互依赖，而且数据量相当庞大。由于安全管理员需要应对大量具有冗余性且彼此关系错综的报警事件，从而使得安全管理工作变得越来越复杂。

此外，对于很多网络攻击行为，仅仅依靠单一的安全系统往往是无法监测到的。在这种情况下，只有将各安全系统所产生的报警事件进行关联分析和综合判断，才能准确地发现并及时地制止这些攻击。由此可见，要解决这些问题，必须要采用规则关联分析技术。

规则关联分析技术通常采用规则模型来描述攻击的前提与后续动作，以及所产生的报警等，并且需要对规则模型进行匹配。通常情况下，规则模型采用链式或树型结构，更为复杂地，可以采用网状结构，该模型中的每个节点为攻击场景中的一个环节。

目前，对规则模型进行匹配所采用的方式通常包括下述两种。

第一种方式是基于串行处理的规则关联分析技术，该技术对安全系统产生的报警事件与规则模型进行逐一的匹配。根据该匹配方式的，可以按照模型的顺序，调整模型的优先级，从而实现简单、调试方便。但是该匹配方式的处理效率低、吞吐量不高，从而很难实现真正的基于场景的规则关联分析。

第二种方式是基于并行处理的规则关联分析技术，该技术对上述串行处理技术进行了改进，从而可以同时处理多个规则模型。与串行处理相比，利用该基于并行处理的匹配方式，可以提高处理效率。但是，在该基于并行处理的匹配方式中，所有的规则都是均等的且没有优先级，从而也很难实现真正的基于场景的规则关联分析。

因此，需要一种高效的规则模型匹配方法。利用该方法，可以支持高效准确的匹配，并且能够实现基于场景的规则关联分析。

发明内容

鉴于上述问题，本发明提供了一种用于SOC(Security Operation Center，安全运维中心)系统的来基于多线程对事件进行规则关联分析的方法及装置，利用该方法及装置，可以利用多线程来对静态节点和在静态节点匹配成功时产生的动态节点进行匹配处理，由此可以同时对多个复杂规则模型进行匹配，从而支持高效准确的匹配，并且实现基于场景的规则关联分析。

根据本发明的一个方面，提供了一种用于SOC系统的基于多线程对事件进行规则关联分析的方法，包括：预先定义若干规则模型，每个规则模型包括静态节点和动态节点，静态节点为每个规则模型的头节点，动态节点为每个规则模型的除头节点外的其它节点；创建每帧包含第一部分和第二部分的帧结构；将SOC系统所采集的事件填入所创建的帧结构的各帧的第一部分中；在填入所述事件的同时，采用第一组线程来对所述每个规则模型中的各个静态节点和所创建的帧结构的各帧中填入的事件进行匹配并且在匹配成功时产生动态节点，并将所产生的动态节点填入其对应静态节点的相应帧的第二部分中；以及在进行所述静态节点与所述事件匹配的同时，采用第二组线程来对先前静态节点匹配成功后产生的动态节点与该动态节点所位于帧中的事件进行匹配，其中，如果动态节点与事件匹配成功后产生该动态节点后续的动态节点，则销毁该动态节点，并将该后续的动态节点放入该动态节点的相应帧中，同时根据该动态节点的预置行为产生告警事件。