[发明专利]一种网络安全事件关联方法

说明书

本发明公开了一种网络安全事件关联方法，先对原始安全事件进行分类，分别获取单条原始安全事件的IP地址、端口号、时间戳、原始安全事件分类以及警报内容等属性值，再对不同原始安全事件属性值的相似度进行判断，通过原始安全事件间的相似程度对原始安全事件进行关联处理，把有内在联系的超警报关联起来；本发明方法依赖原始安全事件之间的相似程度对网络安全事件进行聚类，能够更好地把有内在联系的超警报关联起来。

技术领域

本发明属于计算机信息安全技术领域，涉及一种针对入侵检测系统的后处理方法，具体涉及一种能自动寻找入侵检测系统中产生的原始安全事件之间关联并得到超警报信息的方法。

背景技术

入侵检测系统作为一种网络安全设备，部署的目的是为了通知管理员针对网络服务与数据的威胁，然而入侵检测系统的输出被认为等级较低，因为一次较简单的攻击可以由多个原始安全事件组成，这样就让入侵警报信息的分析工作变得非常的困难：管理员需要尝试从收集的警报信息中重构由潜在攻击组成的整个攻击模式，而这些收集到的信息中必然包括一些虚假的报警信息。

比如，网络管理人员想要从一定数量的信息中分析构成一个分布式拒绝攻击类别的攻击，或者相似的网络攻击，由于源IP地址能够被轻易地伪造，而攻击者能够将真正被攻击的宿IP地址掩盖在一系列IP地址中，所以这些信息源中有大量的虚假报警信息。

事件关联系统是后处理模块，它能让检测分析专家从入侵检测系统的输出中找到那些最重要的警报，有效地过滤虚假报警。然而，一般来说，在攻击模式随着时间发生变化的情况下，在创建系统和维护系统的时候，这样的模块要求人工参与程度很高。

现有网络安全事件关联方法和系统的研究主要集中在以下两个方面：

1，制定规则。绝大部分正在运行的事件关联系统必须依赖规则库，尤其是条件库和结果库。这种方法主要缺陷有两点：规则库庞大。为了维护正确的规则库需要进行大量工作，当攻击方法发生变化以后，还需要维护更多新的规则，而许多旧的规则将变成冗余规则；这些冗余规则一旦没有正确处理，会在一定程度上影响系统执行效率，而当冗余规则数量过多时候，系统性能会显著下降。

2，统计的关联方法在完成事件关联的过程中，无法解释分类的结果。特别是基于监督学习的统计算法，由于无法对学习过程进行总结和归纳，很难对分类的过程和原因进行归类，尤其是当出现新类型的攻击方式以后，此前的模型需要重新学习以适应新的环境。而明确有新类型出现的情况太少，导致重新学习的时间和重新学习的数据集很难确定。

申请号为201410619507.5的中国专利“一种网络安全事件关联分析系统”通过将实时发生的网络安全事件与样本安全事件作对比，确定实时发生的网络安全事件的发展趋势，保证网络信息安全，该专利没有对安全事件进行关联分析。

申请号为201410619562.4的中国专利“一种改进的网络安全事件关联分析系统”同上一个专利类似，改变了性能参数的关联计算方法，但是仅仅做了一点修正。

申请号为201010292868.5的中国专利“一种安全事件关联分析方法及系统”公开了：

A、系统检测到安全事件后，判断系统中是否存在与所述检测到的安全事件相匹配的状态机，如果是，执行步骤C，否则执行步骤B；

B、根据预先定义的安全事件序列树，在系统中创建与所述检测到的安全事件相匹配的状态机，执行步骤C；其中，所述安全事件序列树的每个节点对应所述状态机的一个状态，同一安全事件序列树上安全事件发生的先后代表着安全事件的发展情况；

C、如果系统检测到的安全事件满足所述状态机的迁移条件，则对该状态机进行状态迁移；其中，所述状态机的状态迁移条件为：在预定时间内，检测到预定数量的、与状态机当前状态相对应的安全事件；

D、当所述状态机迁移至终态或所述状态机当前状态发生超时，结束所述状态机的运行；