關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,特別涉及一種關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)。
【背景技術(shù)】
[0002]當(dāng)前,隨著信息技術(shù)領(lǐng)域的發(fā)展,攻擊手段和技術(shù)日益復(fù)雜化,對(duì)于一次入侵事件往往需要多個(gè)步驟才能完成,尤其近年來世界各地頻繁報(bào)出高級(jí)持續(xù)性威脅(AdvancedPersistent Threat,簡(jiǎn)稱:APT)事件,APT事件指的是針對(duì)特定對(duì)象進(jìn)行的長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)且具有極強(qiáng)隱蔽能力的網(wǎng)絡(luò)攻擊行為,此類事件周期長(zhǎng)達(dá)幾年,且可繞過邊界檢測(cè)設(shè)備。
[0003]但是,現(xiàn)有技術(shù)中存在如下技術(shù)問題:現(xiàn)有技術(shù)的方案為傳統(tǒng)的基于特征匹配的檢測(cè)技術(shù)及基于單時(shí)間點(diǎn)或短暫時(shí)間片段的事件分析技術(shù),但是現(xiàn)有技術(shù)的方案僅能進(jìn)行短周期的關(guān)聯(lián)分析,無法實(shí)現(xiàn)長(zhǎng)期的關(guān)聯(lián)分析,從而無法發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供一種關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng),用于能夠發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
[0005]為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種關(guān)聯(lián)分析方法,包括:
[0006]接收模塊接收原始數(shù)據(jù);
[0007]實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù);
[0008]持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件。
[0009]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常包括:
[0010]所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。
[0011]可選地,所述原始數(shù)據(jù)包括原始事件和/或原始流量。
[0012]可選地,所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù)包括:
[0013]所述實(shí)時(shí)分析模塊對(duì)所述原始數(shù)據(jù)中的無效事件進(jìn)行過濾以及對(duì)所述原始數(shù)據(jù)中的重復(fù)事件進(jìn)行合并;
[0014]所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,按照時(shí)間窗或者數(shù)量窗對(duì)經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。
[0015]可選地,所述實(shí)時(shí)關(guān)聯(lián)規(guī)則為對(duì)關(guān)鍵屬性相同的數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理。
[0016]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常包括:
[0017]所述持續(xù)分析模塊根據(jù)所述關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和特征信息,通過所述分析規(guī)則判斷存儲(chǔ)在內(nèi)存隊(duì)列中的關(guān)聯(lián)數(shù)據(jù)是否異常。
[0018]可選地,所述數(shù)據(jù)屬性包括攻擊源IP、目的IP、源端口、目的端口、事件數(shù)量、事件級(jí)別和/或事件類型。
[0019]可選地,所述特征信息包括情報(bào)信息、被攻擊資產(chǎn)的漏洞信息、暴露面信息、資產(chǎn)價(jià)值信息和/或資產(chǎn)上運(yùn)行的業(yè)務(wù)的應(yīng)用信息。
[0020]可選地,所述若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件包括:
[0021 ]根據(jù)關(guān)聯(lián)數(shù)據(jù)生成與關(guān)聯(lián)數(shù)據(jù)對(duì)應(yīng)的告警記錄;
[0022]根據(jù)告警記錄生成告警事件。
[0023]可選地,所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理之前還包括:
[0024]規(guī)則更新模塊對(duì)所述實(shí)時(shí)關(guān)聯(lián)規(guī)則進(jìn)行更新處理并將更新后的實(shí)時(shí)關(guān)聯(lián)規(guī)則存入關(guān)聯(lián)規(guī)則集,以供所述實(shí)時(shí)分析模塊從所述關(guān)聯(lián)規(guī)則集中獲取所述實(shí)時(shí)關(guān)聯(lián)規(guī)則。
[0025]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常之前包括:
[0026]大數(shù)據(jù)分析模塊對(duì)原始數(shù)據(jù)集進(jìn)行分析生成并實(shí)時(shí)更新所述分析規(guī)則,所述原始數(shù)據(jù)集中存儲(chǔ)有所述原始數(shù)據(jù)。
[0027]可選地,所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理之后還包括:
[0028]實(shí)時(shí)分析模塊將所述關(guān)聯(lián)數(shù)據(jù)存入關(guān)聯(lián)結(jié)果集。
[0029]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件之后包括:
[0030]所述持續(xù)分析模塊若判定出所述告警事件為第一次發(fā)生時(shí),將所述告警事件存入告警事件集并將觸發(fā)所述告警事件的告警記錄存入攻擊過程集;
[0031]所述持續(xù)分析模塊若判定出再次發(fā)生與所述告警事件相關(guān)的其它事件時(shí),更新所述告警事件集中的所述告警事件并將此次觸發(fā)所述其它事件的告警記錄存入攻擊過程集。
[0032]為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種關(guān)聯(lián)分析系統(tǒng),包括:
[0033]接收模塊,用于接收原始數(shù)據(jù);
[0034]實(shí)時(shí)分析模塊,用于根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù);
[0035]持續(xù)分析模塊,用于根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件。
[0036]可選地,其特征在于,所述持續(xù)分析模塊具體用于根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。
[0037]可選地,所述實(shí)時(shí)分析模塊具體用于對(duì)所述原始數(shù)據(jù)中的無效事件進(jìn)行過濾以及對(duì)所述原始數(shù)據(jù)中的重復(fù)事件進(jìn)行合并;根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,按照時(shí)間窗或者數(shù)量窗對(duì)經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。
[0038]可選地,所述持續(xù)分析模塊具體用于根據(jù)所述關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和特征信息,通過所述分析規(guī)則判斷存儲(chǔ)在內(nèi)存隊(duì)列中的關(guān)聯(lián)數(shù)據(jù)是否異常。
[0039]可選地,還包括:
[0040]規(guī)則更新模塊,用于對(duì)所述實(shí)時(shí)關(guān)聯(lián)規(guī)則進(jìn)行更新處理并將更新后的實(shí)時(shí)關(guān)聯(lián)規(guī)則存入關(guān)聯(lián)規(guī)則集,以供所述實(shí)時(shí)分析模塊從所述關(guān)聯(lián)規(guī)則集中獲取所述實(shí)時(shí)關(guān)聯(lián)規(guī)則。[0041 ] 可選地,還包括:
[0042]大數(shù)據(jù)分析模塊,用于對(duì)原始數(shù)據(jù)集進(jìn)行分析生成并實(shí)時(shí)更新所述分析規(guī)則,所述原始數(shù)據(jù)集中存儲(chǔ)有所述原始數(shù)據(jù)。
[0043]可選地,實(shí)時(shí)分析模塊還用于將所述關(guān)聯(lián)數(shù)據(jù)存入關(guān)聯(lián)結(jié)果集。
[0044]可選地,所述持續(xù)分析模塊還用于若判定出所述告警事件為第一次發(fā)生時(shí),將所述告警事件存入告警事件集并將觸發(fā)所述告警事件的告警記錄存入攻擊過程集;若判定出再次發(fā)生與所述告警事件相關(guān)的其它事件時(shí),更新所述告警事件集中的所述告警事件并將此次觸發(fā)所述其它事件的告警記錄存入攻擊過程集。
[0045]本發(fā)明具有以下有益效果:
[0046]本發(fā)明提供的關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)的技術(shù)方案中,接收模塊接收原始數(shù)據(jù),實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù),持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件,實(shí)現(xiàn)了長(zhǎng)期的關(guān)聯(lián)分析,從而能夠發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
【附圖說明】
[0047]圖1為本發(fā)明實(shí)施例一提供的一種關(guān)聯(lián)分析方法的流程圖;
[0048]圖2為本發(fā)明實(shí)施例二提供的一種關(guān)聯(lián)分析方法的流程圖;
[0049]圖3為本發(fā)明實(shí)施例二中關(guān)聯(lián)分析過程的示意圖;
[0050]圖4為本發(fā)明實(shí)施例二中數(shù)據(jù)存儲(chǔ)示意圖;
[0051]圖5為本發(fā)明實(shí)施例二中告警事件追溯到原始數(shù)據(jù)的示意圖;
[0052]圖6為本發(fā)明實(shí)施例三提供的一種關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖;
[0053]圖7為本發(fā)明實(shí)施例四提供的一種關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0054]為使本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明的技術(shù)方案,下面結(jié)合附圖對(duì)本發(fā)明提供的進(jìn)行詳細(xì)描述。
[0055]圖1為本發(fā)明實(shí)施例一提供的一種關(guān)聯(lián)分析方法的流程圖,如圖1所示,該方法包括:
[0056]步驟101、接收模塊接收原始數(shù)據(jù)。
[0057]本實(shí)施例中,原始數(shù)據(jù)可包括原始事件和/或原始流量。該原始數(shù)據(jù)可以是實(shí)時(shí)的原始數(shù)據(jù)。接收模塊可接收經(jīng)過預(yù)處理的原始數(shù)據(jù)。
[0058]本實(shí)施例中,在接收模塊接收原始數(shù)據(jù)之前,還可以由預(yù)處理模塊對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理。由于預(yù)處理之前的原始數(shù)據(jù)的格式不同,因此需要通過預(yù)處理過程對(duì)原始數(shù)據(jù)進(jìn)行格式處理。具體地,預(yù)處理模塊可原始數(shù)據(jù)進(jìn)行解析,提取出原始數(shù)據(jù)的屬性和值,對(duì)屬性和值按照預(yù)定的格式進(jìn)行規(guī)范化處理,以得出經(jīng)過預(yù)處理的原始數(shù)據(jù)。經(jīng)過預(yù)處理的原始數(shù)據(jù)具備相同的格式,從而便于后續(xù)步驟對(duì)原始數(shù)據(jù)進(jìn)行處理。
[0059]步驟102、實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù)。
[0060]步驟103、持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件。
[0061 ]本步驟具體包括:持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。
[0062]本實(shí)施例提供的關(guān)聯(lián)分析方法的技術(shù)方案中,接收模塊接收原始數(shù)據(jù),實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù),持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件,實(shí)現(xiàn)了長(zhǎng)期的關(guān)聯(lián)分析,從而能夠發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
[0063]圖2為本發(fā)明實(shí)施例二提供的一種關(guān)聯(lián)分析方法的流程圖,如圖2所示,該方法包括:
[0064]步驟201、接收模塊接收原始數(shù)據(jù)。
[0065]本實(shí)施例中,原始數(shù)據(jù)可