[发明专利]一种针对高级持续攻击的安全问题交叉关系方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种针对高级持续攻击的安全问题交叉关系方法及系统。

背景技术

交叉关联分析是信息安全问题分析的主要方法，它本质上是将不同类型(包括设备或系统种类不同、性质不同、时间跨度不同等)的安全问题进行汇总而发现它们之间可能存在的逻辑关系，并通过一定的告警和响应(如邮件、短信等)方式提醒用户。

目前，市场上较为成熟的SIEMS(Security Information Event Management System，即安全信息事件管理系统)产品一般都提供关联分析功能，主要包括两种类型：其一为同种性质的安全问题关联，如仅关联分析运行日志或攻击事件；其二为可以关联分析不同类型的安全问题，如运行日志和漏洞之间可能存在的问题，一般是某种特定的日志和某种特定的漏洞之间的关联关系，这样做的目的可以有效地降低系统误报率。但它们都存在一定的问题(如卓豪的ManageEngine、Alien Vault的OSSIM等)，表现在如下几点：

1)一般仅支持同种安全问题的关联分析；

2)即使支持交叉关联，但也仅局限在固定类型的安全问题交叉关联分析，如运行日志和漏洞之间，很难进行扩展，如运行日志和安全配置问题(安全配置问题是指系统上存在的、固有的配置问题，如密码长度过短、复杂度过低等)之间的关联；

3)一般关联分析支持的时间范围有限，即基本均是实时分析，其分析的时间跨度不会超过24小时，这对于分析和防范高级持续攻击是无能为力的(高级持续攻击，即Advanced Persistant Threat，缩写为APT)，因为其攻击特征不太明显，而且攻击者可能会综合使用各种手段，加之攻击持续时间长，有的可能会到达一年以上；另外，攻击的频率较低，通过概率统计分析也无法发现。

综上所述，想通过传统的交叉关联分析是很难发现高级持续攻击，从而本发明提出了一种新的针对高级持续攻击的安全问题交叉关系方法及系统。

发明内容

本发明所要解决的技术问题是提供一种针对高级持续攻击的安全问题交叉关系方法及系统，用于解决传统的交叉关联分析是很难发现高级持续攻击的技术问题。

本发明解决上述技术问题的技术方案如下：一种针对高级持续攻击的安全问题交叉关联方法，包括：

步骤1，采集安全问题；

步骤2，对不同的安全问题进行统一定义，包括：使用不同的代码定义安全问题的类型，再定义各种类型的安全问题所包含的字段，并定义各字段所支持的运算符号；

步骤3，根据关联需求，对统一定义后的安全问题进行筛选，再基于安全问题所包含的字段对筛选出的安全问题进行分组，并对每组安全问题的相关字段进行关系运算，获得不同安全问题的交叉关联关系。

对应地，本发明的技术方案还包括针对高级持续攻击的安全问题交叉关联系统，包括依次连接的采集部件、格式定义部件和交叉关联分析部件：

采集部件，其用于采集安全问题；

格式定义部件，其用于对不同的安全问题进行统一定义，包括：使用不同的代码定义安全问题的类型，再定义每种安全问题所包含的字段，并定义各字段所支持的运算符号；

交叉关联分析部件，其用于根据关联需求，对统一定义后的安全问题进行筛选，再基于安全问题所包含的字段对筛选出的安全问题进行分组，并对每组安全问题的相关字段进行关系运算，获得不同安全问题的交叉关联关系。

本发明的有益效果是：

一、通过利用统一定义的安全问题格式，解决了不同类型安全问题之间交叉关联的一致性，即使增加其它类型的安全问题，如安全配置或策略的变更问题(例如用户口令文件变化、防火墙访问控制策略变化、入侵检测策略变化等)，只要进行相关数据定义即可，而不用进行重复开发。

二、由于采用了数据暂存的技术，且可以利用外部存储(磁盘存储)，故可以支持长时间地交叉关联分析，因此能对发现高级持续攻击提供良好支撑；由于对多种安全问题进行综合分析，故结果更为可靠。

三、由于本身就支持对各类安全问题的筛选、分组和暂存，故这些数据也可以作为统计报表的来源，从而提高了系统复用程度，能够良好地支持多数场景对于数据统计的要求。

附图说明

图1为本发明所述针对高级持续攻击的安全问题交叉关联方法的流程示意图；

图2为本发明所述针对高级持续攻击的安全问题交叉关联系统的结构示意图。

具体实施方式