[发明专利]一种面向威胁场景的智能化安全事件关联分析系统

权利要求书

1.一种面向威胁场景的智能化安全事件关联分析系统，其特征在于包括海量格式事件存储模块、分析模块、可视化展示模块；

所述海量格式事件存储模块支持单个事件采集器和多个事件采集器，借助硬件多核特性，采用并行事件流水线采集方式采集海量日志数据，并采用了异步非阻塞的事件采集方式，借助高速缓存快速地进行事件并行流水线处理；

所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块；

所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块；

所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配，识别已知模式的攻击和违规的过程，支持建立单事件规则和多事件规则，实现单事件关联和多事件关联；所述单事件关联是通过单事件关联，对符合单一规则的事件流进行规则匹配；所述多事件关联是通过多事件关联，对符合多个规则的事件流进行复杂事件规则匹配，所述多个规则称作组合规则，具体采用如下方式进行分析匹配：

(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配；

(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(Continuous QueryLanguage持续查询语言)的语法编译；

所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联，透过信息相关性分析，识别安全威胁，具体包括如下分析内容：

(2.1)基于资产的情境关联：将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联，所述资产类型包括用户自定义资产类型；

(2.2)基于弱点的情境关联：将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联，包括端口关联和漏洞编号关联；

(2.3)基于网络告警的情境关联：将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联；

(2.4)基于拓扑的情境关联：根据网络故障沿网络拓扑水平传播的特性，通过对大量网络告警事件在拓扑空间中的分布，以及传播时间上的顺序，自动进行网络根本故障源诊断；

所述基于行为的关联分析模块具体包括如下分析内容：

(3.1)动态基线分析：根据历史数据，首先建立一个单周期数据库轮廓基线，该单周期数据库轮廓基线是一条曲线，由若干数据轮廓点组成，每个轮廓点代表一个采样时点，一个新的实际测量值如果没有超过基线范围，则通过加权平均算法更新旧的轮廓值；如果新的实际测量值超过基线范围则丢弃，不参与新轮廓值计算；如此往复循环，基线始终处于动态变化中；

(3.2)预测分析：采用基于时间窗置信区间的检测模型，在实际运行中不断自我调整和逼近，自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而提高了对异常行为报警的准确性；

所述综合威胁分析模块包括如下内容：系统采用基于场景的分析方式，其中，场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值；行为分析的主体就是资产IP；行为分析指标表征某种行为的关键指标，通过对这些指标的监控与分析发现可疑的行为，包括将某种类型或特征的事件的数量或比例作为特征指标；

所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式，再通过实时的模式匹配和攻击关联来实现在线攻击意图识别，具体包括：在历史数据仓库中进行数据挖掘，通过过滤掉趋势项和周期项告警，再根据主要属性信息对告警进行分类，对分类后的告警类别进行攻击类型识别从而产生高级安全事件，并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集，再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式；不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式，再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别；

所述攻击路径分析模块采用启发式场景重建技术，具体包括如下内容：

(4.1)对于汇总到的报警事件，首先基于已有的攻击场景知识库进行报警事件间的关联；

(4.2)对于匹配中的攻击序列，如果新接收到的报警可以与现有攻击序列匹配，则直接进行关联；如果不能与现有攻击序列匹配，但能够与某个攻击序列的后续事件匹配，则将新接收到的报警与该序列匹配，并产生一个“虚报警”标志缺失的事件类型；

(4.3)根据攻击路径图的描述确定虚报警的事件类型，并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述，再利用原始数据进行回溯分析，查找是否存在漏报的报警事件，如果找到则将其重新加入到攻击序列中，直至匹配完整个攻击路径图；

所述Web攻击深度分析模块包括如下内容：从会话状态、请求数据、响应数据分析、身份认证、文件上传、访问频率、WAF攻击日志、暗网连接利用模糊综合评价法，基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析，挖掘传统手段漏报的攻击；

所述网络流量元数据行为分析模块具体包括如下内容：通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线，自动发现设备互联关系，预测网络拥挤，并采用支持网络优化决策，以及基于基线发现网络异常；

所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析；

所述可视化展示模块包括如下内容：生成展示一幅审计数据源的拓扑图，反映审计数据源的网络拓扑关系，并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量，管理员点击拓扑节点可以查询日志和告警信息详情。