[发明专利]一种基于大数据的信息安全事件自动关联及快速响应系统

摘要

本发明公开了一种基于大数据分析的信息安全事件自动关联及快速响应的方法及系统，包括：离线关联模块,在线关联模块,元告警比较模块,元告警优先级模块,元告警聚类模块,攻击模式发现模块,告警响应系统/工单模块。通过本发明，采用大数据技术，将安全设备上报的告警聚合成元告警进行相关性分析，产生许多元告警。在告警相关性分析之后进行元告警优先级分析，分配元告警相应的告警级别；告警响应系统根据告警级别高/低及时通知和委派相关人员进行故障排查与修复，显著地缩短了告警响应时间，消除了诸如IDS等信息安全设备产生的误报。

主权项

1.一种基于大数据的信息安全事件自动关联及快速响应系统，其特征在于，采用大数据技术，将告警聚合成高层次结构的元告警进行相关性分析，在完成元告警相关性分析之后，对元告警进行“优先级分析”，决定处理这些元告警的先后顺序，所述系统，还包括：离线关联模块，在线关联模块，元告警比较模块，元告警优先级分析模块，元告警聚类模块，攻击模式发现模块，告警响应系统或工单模块；所述离线关联模块，就是利用历史告警构建告警相关性分析之模型；该相关性分析模型由离线相关性分析组件来构建，并且，周期性地由在线关联组件来使用和更新；所述告警相关性分析之模型，由两个知识表所组成：相关强度表、相关约束表，对于任何两个告警类型来说，和相关强度L(, )就是条件概率：L(, )=P(→∣C) ，相关约束C就是两个告警类型进行关联的规则，每一个告警被表示成一个6维数组a1，a2，a3，a4，a5，a6，该6维数组的属性分别是告警发生的时间、源IP、源端口、目标IP、目标端口和告警类型，一个告警类型为的告警，就是当取值为a6时的一个告警实例；所述在线关联模块，就是对每一个实时收到的告警进行相关性分析，产生许多个元告警，在告警a1之前的秒时间之内发生的告警S=｛a1，a2...，an｝，对每一个实时收到的告警进行相关性分析，为了确定和S里的告警是否相关，它们的告警类型被抽取和用作发现相关强度和约束，每一个被分析的历史告警存储在数据库节点里；所述对每一个实时收到的告警进行相关性分析，若两个告警和被称为相关，则满足和两个告警类型的关联强度≥，和两个告警的各自约束，至少之一对和都为真，也就是说，对每一对的告警类型，计算所有可能的组合属性，生成一些相关约束，对于每一个相关约束C，至少存在一个相关约束C，在该条件C之下，发送在之前的概率≥θ；所述告警响应系统或工单模块，将元告警优先级高的告警，通过短信、App、邮件方式通知到客户，或通过工单及时委派专家或技术人员进行告警修复。