本發明專利技術公開了一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,包括:離線關聯模塊,在線關聯模塊,元告警比較模塊,元告警優先級模塊,元告警聚類模塊,攻擊模式發現模塊,告警響應系統/工單模塊。通過本發明專利技術,采用大數據技術,將安全設備上報的告警聚合成元告警進行相關性分析,產生許多元告警。在告警相關性分析之后進行元告警優先級分析,分配元告警相應的告警級別;告警響應系統根據告警級別高/低及時通知和委派相關人員進行故障排查與修復,顯著地縮短了告警響應時間,消除了諸如IDS等信息安全設備產生的誤報。
【技術實現步驟摘要】
本專利技術涉及信息安全技術和大數據
,尤其涉及到信息系統的事件關聯與快速響應的方法與系統。。
技術介紹
本專利技術中包含的英文簡稱如下:IDS:Intrusion Detection Systems入侵檢測系統。LOF:Local Outlier Factor局部異常因子TTL:Time to Live該字段是指IP包被路由器丟棄之前允許通過的最大網段數量TOS:Type of Service業務類型ACG:Alert Correlation Graph告警關聯圖GED:Graph Edit Distance圖編輯距離DMZ:demilitarized zone隔離區、或非軍事化區App:Application應用程序最近的研究結果表明,幾乎所有的信息安全設備均采用日志文件來作為被遭受攻擊的證據(Verizon, 2014)。這表明,成功地分析如此海量的日志并進行攻擊/威脅檢測的任務是十分艱巨的。本專利提供了一種基于大數據的信息安全分析的框架。告警相關性分析是本框架的核心模塊,其主要功能是對各類信息安全設備(例如,防火墻、入侵檢測系統、UTM)上報的日志信息進行綜合關聯分析。由于入侵檢測系統,尤其是基于數字簽名的入侵檢測系統,會產生大量的誤報。采用大數據技術,將告警聚合成高層次結構的元告警進行相關性分析。通過告警相關性分析,系統將產生許多個元告警。元告警由多個從安全設備上報的告警所組成,這樣,顯著地減少了信息安全分析師所需要評估的告警的數量,并能夠有效地處理諸如IDS產生的大量誤報。本框架的另一個核心的模塊,就是在完成告警相關性分析之后,對元告警進行“優先級分析”。告警優先級分析就是給每個元告警分配一個與之相適應的表示其嚴重程度的告警級別,這個非常有助于告警響應系統/工單來決定處理這些元告警的先后順序。告警響應系統根據告警級別高/低來及時通知和委派相關人員進行故障排查與修復。告警通知的方式主要包括App、短信、郵件等多種方式。目前,已有的告警相關性分析技術,主要采用基于規則的模型。這種技術將網絡攻擊的各種特征抽取出來,形成攻擊特征描述庫,并基于描述庫將一次網絡攻擊從開始到結束整個過程的特征,構建出一個分析用的自動機模型,從而得出關聯分析規則,并以該關聯分析規則應用到信息安全檢測中。然而,基于規則模型的關聯分析技術主要采用狀態機的方法,這種“狀態機”式關聯分析具有很強的實時性和時序,必須與事件發生的真正時序一致,對觸發事件的時序要求很高。在復雜網絡環境中,受網絡傳輸延時和前端處理延時的影響,安全事件進入引擎的時序可能發生顛倒,而導致“狀態機”無法觸發,關聯分析引擎出現錯報或漏報。因此,現有的基于規則模型的關聯分析技術精確度存在缺陷,難以滿足諸如信息安全運維管理云平臺環境下的大數據量的關聯分析需求。為此,如何解決信息安全運維管理云平臺環境下的信息安全事件關聯分析所面臨的問題,以及設計出一種基于信息安全運維管理云平臺的信息安全事件自動關聯分析的方案,即成為尤其是信息安全運維管理平臺設計上必須要解決的一個重要課題。
技術實現思路
有鑒于此,本專利技術的主要目的在于提供一種信息安全事件日志自動關聯及快速響應的方法及系統。采用大數據技術,將安全設備上報的告警聚合成元告警進行相關性分析,產生許多元告警。在告警相關性分析之后進行元告警優先級分析,分配元告警相應的告警級別;告警響應系統根據告警級別高/低及時通知和委派相關人員進行故障排查與修改。為達到上述目的,本專利技術的技術方案是這樣實現的:本專利技術提供的一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,包括:離線關聯模塊,在線關聯模塊,元告警比較模塊,元告警優先級分析模塊,元告警聚類模塊,攻擊模式發現模塊,告警響應系統/工單模塊。上述方案中,所述離線關聯模塊,就是利用歷史告警構建告警相關性分析模型。上述方案中,所述在線關聯模塊,就是對每一個實時收到的告警進行相關性分析,生成大量的元告警。上述方案中,所述元告警比較模塊,采用一種定量的方法來測量每個元告警之間的差別。上述方案中,所述元告警優先級模塊,就是基于它與其它元告警的差別,給每個元告警分配一個優先級。上述方案中,所述元告警聚類模塊,將元告警組合成聚類。上述方案中,所述攻擊模式發現模塊,通過頻繁模式挖掘抽取每一個聚類的一些具有代表性的特征。上述方案中,所述告警響應系統/工單模塊,將嚴重程度高的告警,及時通過短信、App、郵件等方式通知到客戶,或通過工單及時委派專家和技術人員進行告警修復。進一步地,所述告警相關性分析模型,由兩個知識表所組成:相關強度表和相關約束表。對于任何兩個告警類型來說,和相關強度L(,)就是條件概率:L(,)=P() ,相關約束C就是兩個告警類型進行關聯的規則。進一步地,所述對每一個實時收到的告警進行相關性分析,若兩個告警和被稱謂相關,則滿足和兩個告警類型的關聯強度,和兩個告警類型的各自約束,至少之一對和都為真。進一步地,所述一種測量每個元告警之間的差別的定量方法,采用告警關聯圖ACG來描述每一個元告警的數據結構,圖編輯距離GED作為定量地計算兩個元告警之間差別的度量方法。進一步地,所述為每個元告警分配一個優先級,優先級共分為4級,與其它元告警高度相似的元告警一般被劃分為1或2級,而與其它元告警差別很大的元告警一般被劃分為3或4級。進一步地,所述將元告警組合成聚類,應用DBSCAN算法到元告警聚類過程中。進一步地,所述元告警差別的優先級,經過如下五步計算而獲得:(1)計算元告警的k-鄰居和k-距離;(2)計算元告警的可達距離;(3)計算元告警的局部可達密度;(4)計算元告警的局部異常因子;(5)計算元告警的差別程度LOF的優先級。本專利技術所提供的方法與系統,大大彌補了現有告警關聯量化的不足,顯著地縮短了告警響應時間,消除了諸如IDS等信息安全設備產生的誤報,提高了告警判斷的精確性和可信程度。附圖說明圖1為本專利技術所述的IDS安全設備的告警日志格式;圖2(a)為本專利技術所述的告警信息(發生時間、源IP、源端口、目標IP、目標端口、入侵類型);圖2(b)為本專利技術所述的元告警關聯圖;圖3為本專利技術所述的基于大數據的安全事件告警相關性分析框架;圖4(a)為本專利技術所述的一個告警關聯圖;圖4(b)為本專利技術所述的一個告警關聯圖之攻擊模式圖。具體實施方式下面是根據附圖和實例對本專利技術的進一步詳細說明:圖1就是某公司生產的IDS安全設備的告警日志格式。第1行表示的是告警類型、告警分類和告警優先級。第2行表示的是入侵發生時間,發送者和接收者的IP地址與端口號,以及TTL、網絡協議、業務類型和長度。圖1的日志采用6個屬性,這樣,每一個告警被表示成一個6維數組(,,,,,)。該6維數組的屬性分別是告警發生的時間、源IP、源端口、目標IP、目標端口和告警類型。這些屬性值或者是文本、IP地址、時間,或者是數字。一個告警類型為的告警,實際上就是當取值為時的一個告警實例。一般地,元告警被用在描述相關性告警之中。一個元告警包含了設備所上報的一個或以上的告警,其通過聚合或關聯系統被組合在一起的高層次結構的告警(或超級告警)。圖2(a)給出了一個入侵告警(,,,,,),在經過某種形式的關聯之后,如圖2(b)所示,它們本文檔來自技高網...
【技術保護點】
一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,包括:離線關聯模塊,在線關聯模塊,元告警比較模塊,元告警優先級分析模塊,元告警聚類模塊,攻擊模式發現模塊,告警響應系統/工單模塊。
【技術特征摘要】
2015.09.08 CN 20151056516581.一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,包括:離線關聯模塊,在線關聯模塊,元告警比較模塊,元告警優先級分析模塊,元告警聚類模塊,攻擊模式發現模塊,告警響應系統/工單模塊。2.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述離線關聯模塊,就是利用歷史告警構建告警相關性分析之模型。3.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述在線關聯模塊,就是對每一個實時收到的告警進行相關性分析,產生許多個元告警。4.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述元告警比較模塊,采用一種定量的方法來測量每個元告警之間的差別。5.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述元告警優先級分析模塊,就是基于它與其它元告警的差別,給每一個元告警分配一個優先級。6.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述元告警聚類模塊,將元告警組合成聚類。7.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述攻擊模式發現模塊,通過頻繁模式挖掘抽取每一個聚類的一些具有代表性的特征。8.如權利要求1所述一種基于大數據分析的信息安全事件自動關聯及快速響應的方法及系統,其特點在于,所述告警響應系統/工單模塊,將嚴重程度高的告警,及時通過短信、App、郵件等方式通知到客戶,或通過工單及時委派專家或技術人員...
【專利技術屬性】
技術研發人員:凌飛,李木金,
申請(專利權)人:南京聯成科技發展有限公司,
類型:發明
國別省市:江蘇;32
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。