基于关联规则的安全事件关联行为分析方法、系统及设备
文献发布时间:2023-06-19 19:33:46
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于关联规则的安全事件关联行为分析方法、系统及设备。
背景技术
随着网络规模的日益扩大,网络安全事件呈指数级增长,安全事件相互之间存在错综复杂的关系。
现有的技术中通过安全设备对网络攻击行为进行过滤和阻断,例如IPS拥有数目众多的过滤器,能够防止各种攻击;如果发现新的攻击,需要创建一个新的过滤器,这些过滤器的设计擅长于检查源与目标之间网络流量的流动中的数据包的内容而产生告警。WAF就是拦截有害请求和伪装响应,它对接收到的数据包进行正则匹配过滤。不同的安全设备擅长于各自的领域,能够发现安全设备已有的过滤规则的攻击,但仅限于通过报文内容发现因果关系和先验知识的推理进行过滤;安全设备的分析依赖于报文内容的结构特征,局限于某个时间点的数据属性内容不符合正常的报文内容,容易让安全分析产生一叶障目的错觉。例如,有些安全事件由同一个攻击行为产生,有些存在因果关系,还有的安全事件是由一系列的攻击行为组成的复杂攻击。网络安全事件关联分析技术需要将各种复杂的网络安全事件进行充分关联,找出它们之间的关系,去掉冗余后给出完整的事件描述,以及时发现网络攻击者的入侵行为。网络攻击是复杂、多阶段、持续时间段、跨多个节点的动态过程,安全分析人员仅凭独立的设备日志源无法看清攻击全貌,而只能看到完整的攻击的一个片段,无法形成完整的证据链闭环,导致研判分析失误,错误引导客户方进行了无效补救措施,错过最佳阻断攻击时间,导致企业蒙受巨大经济损失。
综上,现有技术中对网络攻击进行分析时无法对完整的网络攻击场景进行还原,容易导致判研分析失误。
发明内容
有鉴于此,有必要提供一种基于关联规则的安全事件关联行为分析方法、系统及设备,解决现有技术中无法对完整的网络攻击场景进行还原,导致容易出现判研分析失误的技术问题。
为了解决上述技术问题,一方面,本发明提供了一种基于关联规则的安全事件关联行为分析方法,包括:
1、一种基于关联规则的安全事件关联行为分析方法,其特征在于,包括:
获取各网络安全设备产生的单维度告警日志;
确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志;
根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则;
基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列;
基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联的日志数据构成关联日志数据集;
基于预设的聚合规则对所述关联日志数据集进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图;
根据所述攻击全景拼图进行分析判研,确定安全事件的解决方案。
在一些可能实现的方式中,所述确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志,包括:
根据所述单维度告警日志对应的各安全事件分别进行威胁场景建模,根据所述威胁场景建模确定每个单维度告警日志的威胁场景类型;
根据所述威胁场景类型在所述单维度告警日志中筛选出符合威胁场景的相关告警日志。
在一些可能实现的方式中,所述根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则,包括:
解析所述相关告警日志的日志属性,确定所述相关告警日志对应的攻击行为特征;
根据所述攻击行为特征建立对应的日志过滤规则,根据所述日志过滤规则确定安全事件关联规则。
在一些可能实现的方式中,所述攻击行为特征,包括:网络设备类型、源IP、目的IP、源端口、目的端口、协议类型和时间。
在一些可能实现的方式中,所述根据所述攻击行为特征建立对应的日志过滤规则,根据所述日志过滤规则确定安全事件关联规则,包括:
获取任意两个相关告警日志,根据第一告警日志建立第一日志过滤规则,根据第二告警日志建立第二日志过滤规则;
将所述第一日志过滤规则和第二日志过滤规则分别与资产漏洞数据集进行实时动态碰撞,确认被访问的两种网络安全设备均存在可利用的漏洞时,确定第一关联条件;
当所述第一日志过滤规则与第二日志过滤规则通过日志连接的方式同时确定访问的两种网络安全设备均检测到了相同可利用漏洞时,确定第二关联条件;
当同时确定所述第一关联条件与第二关联条件时,所述第一告警日志与第二告警日志关联成功。
在一些可能实现的方式中,所述基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列,包括:
基于预设的滑动时间窗口聚合窗口内各网络安全设备对应的相关告警日志,并进行归一化处理,得到统一格式的相关告警日志;
对所述统一格式的相关告警日志按安全事件的开始事件进行排序,在预设的滑动时间窗内得到统一格式的告警日志队列。
在一些可能实现的方式中,所述基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联日志数据,包括:
基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行对比碰撞,完成所述告警日志队列中任意两个告警日志的关联分析,同时确定所述第一关联条件与第二关联条件的两个告警日志关联成功,输出对应的关联日志数据。
在一些可能实现的方式中,所述基于预设的聚合规则对所述关联日志数据集进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图,包括:
对所述关联日志数据集中对应的事件之间存在的相似关系、因果关系的关联日志数据进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类;
对所述关联日志数据聚类中的告警日志属性进行解析,还原攻击全景拼图。
另一方面,本发明还提供了一种基于关联规则的安全事件关联行为分析系统,包括:
数据获取模块,用于获取各网络安全设备产生的单维度告警日志;
数据筛选模块,用于确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志;
规则建立模块,用于根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则;
数据整理模块,用于基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列;
关联分析模块,用于基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联的日志数据构成关联日志数据集;
聚类处理模块,用于基于预设的聚合规则对所述关联日志数据集进行统计聚合,得到关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图;
判研决策模块,用于根据所述攻击全景拼图进行分析判研,确定安全事件的解决方案。
最后,本发明还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时,实现上述实现方式中所述的基于关联规则的安全事件关联行为分析方法。
采用上述实施例的有益效果是:本发明提供的基于关联规则的安全事件关联行为分析方法,通过收集各网络安全设备的告警日志,根据复杂的安全事件场景,进行对真实告警事件进行关联规则建模,将多种网络安全设备的告警日志进行关联,将攻击片段进行溯源分析,得到攻击全景拼图。传统的技术例如flink的join算子技术,只能解决两个事件进行关联,无法实现2个以上的安全事件进行关联,本发明中能够对有关联的事件进行多关联还原更为复杂的攻击链路关系,为后续网络攻击的判研分析提供正确的方向;同时解决了由人为分析单维度的告警产生的的一叶障目的局限性,提高了感知网络攻击的准确度,降低了由于误报率高,导致研判的工作量大且容易失误,通过建立的关联规则和预设的聚合规则,将人为判断尽量交由程序完成,实现了一定的智能感知能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于关联规则的安全事件关联行为分析方法一实施例的流程示意图;
图2为本发明提供的基于关联规则的安全事件关联行为分析系统一实施例的结构示意图;
图3为本发明提供的电子设备一实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,示意性的附图并未按实物比例绘制。本发明中使用的流程图示出了根据本发明的一些实施例实现的操作。应当理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本发明内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器系统和/或微控制器系统中实现这些功能实体。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在对具体的实施例进行描述之前,对本发明中的专有名词进行解释:
Agent主机安全服务(Host Security Service,HSS):用于执行检测任务,全量扫描主机/容器;实时监测主机/容器的安全状态,并将收集的主机/容器信息上报给云端防护中心。Agent分为Linux版本和Windows版本,需要根据主机的OS版本,选择对应版本进行安装。
WAF(Web Application Firewall)Web应用防火墙:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略还专门为Web应用提供保护的一款产品。与传统防火钱不同,WAF工作在应用层。
IPS(Intrusion Prevention System)入侵预防系统:IPS是对防病毒软件和防火墙的补充,入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
IDS(Intrusion Detection System)入侵检测系统:依照一定的安全策略,通过软件、硬件、对网络、系统的运行状况进行监视尽可能的发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
Webshell命令执行环境:就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
基于上述名词描述,现有技术中,开源大数据分析框架只能完成两个事件之间的关联,例如通常的关联规则挖掘可以从数据集中发现项与项(item与item)之间的关系,它在我们的生活中有很多应用场景,应用在网络安全中也是非常常见,而本发明旨在提出一种多场景支持,支持多事件关联,可以满足复杂的网络情况的安全事件关联行为分析方法。
以下分别对具体实施例进行详细说明,需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本发明实施例提供了一种基于关联规则的安全事件关联行为分析方法、系统及设备。
如图1所示,图1为本发明提供的基于关联规则的安全事件关联行为分析方法一实施例的流程示意图,该基于关联规则的安全事件关联行为分析方法包括:
S101、获取各网络安全设备产生的单维度告警日志;
S102、确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志;
S103、根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则;
S104、基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列;
S105、基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联的日志数据构成关联日志数据集;
S106、基于预设的聚合规则对所述关联日志数据集进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图;
S107、根据所述攻击全景拼图进行分析判研,确定安全事件的解决方案。
与现有技术相比,本发明提供的基于关联规则的安全事件关联行为分析方法,通过收集各网络安全设备的告警日志,根据复杂的安全事件场景,进行对真实告警事件进行关联规则建模,将多种网络安全设备的告警日志进行关联,将攻击片段进行溯源分析,得到攻击全景拼图。传统的技术例如flink的join算子技术,只能解决两个事件进行关联,无法实现2个以上的安全事件进行关联,本发明中能够对有关联的事件进行多关联还原更为复杂的攻击链路关系,为后续网络攻击的判研分析提供正确的方向;同时解决了由人为分析单维度的告警产生的的一叶障目的局限性,提高了感知网络攻击的准确度,降低了由于误报率高,导致研判的工作量大且容易失误,通过建立的关联规则和预设的聚合规则,将人为判断尽量交由程序完成,实现了一定的智能感知能力。
可选的,在本发明具体的实施例中,步骤S101中,获取各网络安全设备产生的单维度告警日志,其中,网络安全设备包括:Web应用防火墙WAF、入侵预防系统IPS、入侵检测系统IDS、主机安全服务AGENT以及其他设备。
需要说明的是,网络安全设备是用于监控某单位或政府机构所有的计算机资产(包括windows电脑、服务器等),当发现这些计算机资产生异常会在安全设备上产生对应的异常告警。
通过日志采集的方式实时收集网络安全设备的单维度告警日志,目的是为进行深层次的关联分析提供基本数据。
进一步地,在本发明的一些实施例中,步骤S102中,确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志,包括:
根据所述单维度告警日志对应的各安全事件分别进行威胁场景建模,根据所述威胁场景建模确定每个单维度告警日志的威胁场景类型;
根据所述威胁场景类型在所述单维度告警日志中筛选出符合威胁场景的相关告警日志。
在本发明具体的实施例中,以IDS的告警日志为例,通过获取告警日志的目的IP,确定对应的网络安全设备为主机IDS,通过检测Webshell是否被入侵或出现异常,当未检测到Webshell时,判定为非相关告警事件,当检测到Webshell时,判定为相关告警事件。
进一步地,在本发明的一些实施例中,步骤S103中,根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则,包括:
解析所述相关告警日志的日志属性,确定所述相关告警日志对应的攻击行为特征;
根据所述攻击行为特征建立对应的日志过滤规则,根据所述日志过滤规则确定安全事件关联规则。
攻击行为特征,包括:网络设备类型、源IP、目的IP、源端口、目的端口、协议类型和时间。
根据所述攻击行为特征建立对应的日志过滤规则,根据所述日志过滤规则确定安全事件关联规则,包括:
获取任意两个相关告警日志,根据第一告警日志建立第一日志过滤规则,根据第二告警日志建立第二日志过滤规则;
将所述第一日志过滤规则和第二日志过滤规则分别与资产漏洞数据集进行实时动态碰撞,确认被访问的两种网络安全设备均存在可利用的漏洞时,确定第一关联条件;
当所述第一日志过滤规则与第二日志过滤规则通过日志连接的方式同时确定访问的两种网络安全设备均检测到了相同可利用漏洞时,确定第二关联条件;
当同时确定所述第一关联条件与第二关联条件时,所述第一告警日志与第二告警日志关联成功。
在本发明具体的实施例中,以第一告警日志和第二告警日志分别为WAF告警事件和IDS告警事件为例,其中,根据第一告警日志对应的第一日志过滤规则设置为WAF目的IP、漏洞表、资产IP,根据第二告警日志对应的第二日志过滤规则设置为IDS目的IP、漏洞表、资产IP,第一日志过滤规则和第二日志过滤规则分别通过与资产漏洞数据集进行实时动态碰撞,确认了被访问服务器(目的IP)存在可利用的漏洞时,数据有效且符合场景被提取出来;但当前还不能确认第一告警日志和第二告警日志对应的攻击是否在同一个攻击链路中,通过日志连接(第一日志过滤规则的目的IP=第二日志过滤规则的目的IP)的方式确定了两种安全设备都检测到了相同可利用漏洞时,说明从WAF维度检测到了的数据和IDS维度检测到的数据是同一个攻击的作案动机相同,此时完成了攻击全景拼图一半。
进一步地,在本发明的一些实施例中,步骤S104中,基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列,包括:
基于预设的滑动时间窗口聚合窗口内各网络安全设备对应的相关告警日志,并进行归一化处理,得到统一格式的相关告警日志;
对所述统一格式的相关告警日志按安全事件的开始事件进行排序,在预设的滑动时间窗内得到统一格式的告警日志队列。
需要说明的是,由于是实时数据,没有一个临时分析边界范围是无法做数据的复杂关联处理的,所以将得到的多种相关告警日志合并归一化,并保障在一定时间窗口,聚焦相近安全事件做临近分析。实时数据在滑动窗口中,有可能因为网络抖动引起延迟,导致临近事件分析跨度过大,没有框定进入同一个窗口维度中分析数据,所以相近事件上的数据进行排序,做好预处理数据的乱序处理问题。
进一步地,在本发明的一些实施例中,步骤S105中,基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联日志数据,包括:
基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行对比碰撞,完成所述告警日志队列中任意两个告警日志的关联分析,同时确定所述第一关联条件与第二关联条件的两个告警日志关联成功,输出对应的关联日志数据。
在本发明具体的实施例中,通过选取5分钟时间范围内时间窗口中获取到告警日志队列,基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,整个关联处理流程类似于关系型数据库的内关联,但关系型数据库针对的是数据库存储的数据(离线),而网络安全数据挖掘针对是实时数据流的内存中关联,具有查询快,实时效果更优的更适合安全事件的实时性需求。
进一步地,在本发明的一些实施例中,步骤S106中,基于预设的聚合规则对所述关联日志数据集进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图,包括:
对所述关联日志数据集中对应的事件之间存在的相似关系、因果关系的关联日志数据进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类;
对所述关联日志数据聚类中的告警日志属性进行解析,还原攻击全景拼图。
其中,预设的聚类条件为根据告警日志的源IP,目的IP进行分组,默认的统计方法为计数,当聚类统计的计数结果大于等于1时,输出关联日志数据聚类,通过日志统计聚合源ip和目的ip之后,才能真正确定网络攻击源头是由谁发起的、目的是什么、攻击结果是什么,形成了攻击的全景拼图。
需要说明的是,对关联日志数据集进行统计聚合时,可以根据告警日志之间的属性(如:源IP、目的IP、源端口、目的端口、协议类型、时间等)相似性度量,对安全事件进行分类合并,实现报警信息的精简。本发明提供的基于关联规则的安全事件关联行为分析方法,除上述的对各网络安全设备告警进行关联分析外,还能对网络和主机进行关联分析,该类方法提取表征网络流量和主机异常的特征,通过共同属性特征的综合关联,实现对网络安全的监测。同时能对不同领域安全事件进行关联分析,该类方法综合利用来自不同领域的各类安全事件间的内在联系,对安全事件进行关联分析,实现网络攻击检测。
本发明实施例通过对海量且不断产生的主机日志、防火墙日志、入侵告警等安全告警数据,应用大数据处理技术,过滤与系统无关的虚假安全事件和冗余安全事件,通过事件之间存在的相似关系、因果关系等对事件进行聚合处理,获得更精简准确的安全报警。例如,通过报警记录之间的属性(源IP、目的IP、源端口、目的端口、协议类型、时间等)相似性度量,对安全事件进行分类合并,实现报警信息的精简。
通过上述技术方案,实现了IDS和WAF安全设备之间的关联告警,从而分析得出网络攻击的目的ip是xxxx.xxxx.xxxx.xxxx的主机上的网站被利用攻击了。本专利以网站被利用攻击为例,论述了一种基于关联规则实时挖掘多种安全事件的关联行为分析方法,具备关联规则灵活自定义的设计,不止于一种场景,而是满足多种对象关联,如全设备报警关联分析、不同领域安全事件关联分析;关联规则的配置是根据实际攻击的数据特征来决定的,具备的通用性较强。
为了更好实施本发明实施例中的基于关联规则的安全事件关联行为分析方法,在基于关联规则的安全事件关联行为分析方法的基础之上,对应的,本发明实施例还提供了一种基于关联规则的安全事件关联行为分析系统,如图2所示,基于关联规则的安全事件关联行为分析系统200包括:
数据获取模块201,用于获取各网络安全设备产生的单维度告警日志;
数据筛选模块202,用于确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志;
规则建立模块203,用于根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则;
数据整理模块204,用于基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列;
关联分析模块205,用于基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联的日志数据构成关联日志数据集;
聚类处理模块206,用于基于预设的聚合规则对所述关联日志数据集进行统计聚合,得到关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图;
判研决策模块207,用于根据所述攻击全景拼图进行分析判研,确定安全事件的解决方案。
上述实施例提供的基于关联规则的安全事件关联行为分析系统200可实现上述基于关联规则的安全事件关联行为分析方法实施例中描述的技术方案,上述各模块或单元具体实现的原理可参见上述基于关联规则的安全事件关联行为分析方法实施例中的相应内容,此处不再赘述。
如图3所示,本发明还相应提供了一种电子设备300。该电子设备300包括处理器301、存储器302及显示器303。图3仅示出了电子设备300的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
处理器301在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器302中存储的程序代码或处理数据,例如本发明中的基于关联规则的安全事件关联行为分析程序。
在一些实施例中,处理器301可以是单个服务器或服务器组。服务器组可为集中式或分布式的。在一些实施例中,处理器301可为本地的或远程的。在一些实施例中,处理器301可实施于云平台。在一实施例中,云平台可包括私有云、公共云、混合云、社区云、分布式云、内部间、多重云等,或以上的任意组合。
存储器302在一些实施例中可以是电子设备300的内部存储单元,例如电子设备300的硬盘或内存。存储器302在另一些实施例中也可以是电子设备300的外部存储设备,例如电子设备300上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,存储器302还可既包括电子设备300的内部储存单元也包括外部存储设备。存储器302用于存储安装电子设备300的应用软件及各类数据。
显示器303在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器303用于显示在电子设备300的信息以及用于显示可视化的用户界面。电子设备300的部件301-303通过系统总线相互通信。
在一实施例中,当处理器301执行存储器302中的基于关联规则的安全事件关联行为分析程序时,可实现以下步骤:
获取各网络安全设备产生的单维度告警日志;
确定每个单维度告警日志的威胁场景类型,根据所述威胁场景类型筛选出符合威胁场景的相关告警日志;
根据所述相关告警日志对应的攻击行为特征进行关联规则建模,确定安全事件关联规则;
基于预设的滑动时间窗聚合所述相关告警日志进行归一化,并按时间进行排序,得到统一格式的告警日志队列;
基于所述安全事件关联规则对告警日志队列中的告警日志逐一进行关联分析,输出关联的日志数据构成关联日志数据集;
基于预设的聚合规则对所述关联日志数据集进行统计聚合,输出统计聚合中符合设定阈值的关联日志数据聚类,根据所述关联日志数据聚类得到攻击全景拼图;
根据所述攻击全景拼图进行分析判研,确定安全事件的解决方案。
应当理解的是:处理器301在执行存储器302中的基于关联规则的安全事件关联行为分析程序时,除了上面的功能之外,还可实现其它功能,具体可参见前面相应方法实施例的描述。
进一步地,本发明实施例对提及的电子设备300的类型不做具体限定,电子设备300可以为手机、平板电脑、个人数字助理(personal digital assistant,PDA)、可穿戴设备、膝上型计算机(laptop)等便携式电子设备。便携式电子设备的示例性实施例包括但不限于搭载IOS、android、microsoft或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备,诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是,在本发明其他一些实施例中,电子设备300也可以不是便携式电子设备,而是具有触敏表面(例如触控面板)的台式计算机。
相应地,本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质用于存储计算机可读取的程序或指令,程序或指令被处理器执行时,能够实现上述各方法实施例提供的基于关联规则的安全事件关联行为分析方法中的步骤或功能。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件(如处理器,控制器等)来完成,计算机程序可存储于计算机可读存储介质中。其中,计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上对本发明所提供一种基于关联规则的安全事件关联行为分析方法、装系统、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。