包括原始事件和/或原始流量。該原始數(shù)據(jù)可以是實(shí)時(shí)的原始數(shù)據(jù)。接收模塊可接收經(jīng)過預(yù)處理的原始數(shù)據(jù)。
[0066]圖3為本發(fā)明實(shí)施例二中關(guān)聯(lián)分析過程的示意圖,如圖3所示,Event表示原始數(shù)據(jù),圖3中列舉了原始數(shù)據(jù)Event 1-1、Eventl-2、Eventl-3、Event2和Event3。其中,原始數(shù)據(jù)Event 1-1、Event 1-2、Event 1-3可以看做是原始數(shù)據(jù)Event I這種類型的數(shù)據(jù)連續(xù)發(fā)生了 3次。
[0067]步驟202、規(guī)則更新模塊對(duì)實(shí)時(shí)關(guān)聯(lián)規(guī)則進(jìn)行更新處理并將更新后的實(shí)時(shí)關(guān)聯(lián)規(guī)則存入關(guān)聯(lián)規(guī)則集,以供實(shí)時(shí)分析模塊從關(guān)聯(lián)規(guī)則集中獲取實(shí)時(shí)關(guān)聯(lián)規(guī)則。
[0068]本實(shí)施例中,規(guī)則更新模塊可按照設(shè)定周期對(duì)實(shí)時(shí)關(guān)聯(lián)規(guī)則進(jìn)行更新處理并將更新后的實(shí)時(shí)關(guān)聯(lián)規(guī)則存入關(guān)聯(lián)規(guī)則集。當(dāng)實(shí)時(shí)分析模塊需要根據(jù)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行處理,可直接從關(guān)聯(lián)規(guī)則集中獲取實(shí)時(shí)關(guān)聯(lián)規(guī)則。
[0069]步驟203、實(shí)時(shí)分析模塊對(duì)原始數(shù)據(jù)中的無效事件進(jìn)行過濾以及對(duì)原始數(shù)據(jù)中的重復(fù)事件進(jìn)行合并。
[0070]本實(shí)施例中,接收模塊原始數(shù)據(jù)中包括無效事件和重復(fù)事件,因此在對(duì)原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理之前,需要首先對(duì)無效事件進(jìn)行過濾以去除掉無效事件,并對(duì)重復(fù)事件進(jìn)行合并以減少原始數(shù)據(jù)的數(shù)量,從而減少了實(shí)時(shí)分析模塊對(duì)事件處理的負(fù)擔(dān)量。
[0071]步驟204、實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,按照時(shí)間窗或者數(shù)量窗對(duì)經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。
[0072]例如:時(shí)間窗可以為10分鐘,數(shù)量窗可以為100個(gè)。則實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,可對(duì)時(shí)間窗所表示的時(shí)間段內(nèi)的經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理;或者實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,可對(duì)數(shù)量窗所表示的數(shù)量個(gè)經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理。實(shí)時(shí)分析模塊生成關(guān)聯(lián)數(shù)據(jù)之后,將該關(guān)聯(lián)數(shù)據(jù)輸出至大數(shù)據(jù)分析模塊。
[0073]可選地,實(shí)時(shí)關(guān)聯(lián)規(guī)則可以為對(duì)關(guān)鍵屬性相同的數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理,其中,關(guān)鍵屬性可包括事件類型、源IP和目的IP等,則實(shí)時(shí)分析模塊可對(duì)關(guān)鍵屬性相同的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù),具體地,實(shí)時(shí)分析模塊可對(duì)事件類型、源IP、目的IP均相同的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。此種情況為統(tǒng)計(jì)關(guān)聯(lián),被關(guān)聯(lián)的原始數(shù)據(jù)發(fā)生的時(shí)間可以不同。如圖3所示,Cep表示關(guān)聯(lián)數(shù)據(jù),圖3中列舉了關(guān)聯(lián)數(shù)據(jù)Cepl、Cepl2、Cepl23<Xepl是由原始數(shù)據(jù)Eventl-1、Eventl-2、Eventl-3關(guān)聯(lián)而形成,其中,原始數(shù)據(jù)Event 1-1、Eventl_2、Eventl-3為事件類型相同的數(shù)據(jù),原始數(shù)據(jù)Eventl-l、Eventl-2、Eventl-3進(jìn)行關(guān)聯(lián)為統(tǒng)計(jì)關(guān)聯(lián)。
[0074]可選地,實(shí)時(shí)關(guān)聯(lián)規(guī)則可以為對(duì)關(guān)鍵屬性相同的數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理,其中,關(guān)鍵屬性可包括源IP或者目的IP,則實(shí)時(shí)分析模塊可對(duì)源IP相同的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)或者實(shí)時(shí)分析模塊可對(duì)目的IP相同的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。此種情況為復(fù)雜關(guān)聯(lián),被關(guān)聯(lián)的原始數(shù)據(jù)的事件類型是不同的,且被關(guān)聯(lián)的原始數(shù)據(jù)之間具備前后發(fā)生的因果關(guān)系或者具備時(shí)序關(guān)聯(lián)。如圖3所示,Cepl2是由原始數(shù)據(jù)Eventl-1和Event2關(guān)聯(lián)而形成,Cepl23是由原始數(shù)據(jù)Event3和關(guān)聯(lián)數(shù)據(jù)C印12關(guān)聯(lián)而形成,其中,Cepl2為源IP或目的IP相同的但事件類型不同的Eventl-1和Event2關(guān)聯(lián)而形成,Cepl23為源IP或目的IP相同的但事件類型不同的Event3、Eventl-l和Event2關(guān)聯(lián)而形成。
[0075]步驟205、實(shí)時(shí)分析模塊將關(guān)聯(lián)數(shù)據(jù)存入關(guān)聯(lián)結(jié)果集。
[0076]本實(shí)施例中,關(guān)聯(lián)結(jié)果集可用于保存關(guān)聯(lián)數(shù)據(jù)。
[0077]圖4為本發(fā)明實(shí)施例二中數(shù)據(jù)存儲(chǔ)示意圖,如圖4所示,關(guān)聯(lián)數(shù)據(jù)可以原始數(shù)據(jù)與關(guān)聯(lián)數(shù)據(jù)關(guān)系表的形式存入關(guān)聯(lián)結(jié)果集,該原始數(shù)據(jù)與關(guān)聯(lián)數(shù)據(jù)關(guān)系表既存儲(chǔ)了關(guān)聯(lián)數(shù)據(jù)又能體現(xiàn)出原始數(shù)據(jù)和關(guān)聯(lián)數(shù)據(jù)的對(duì)應(yīng)關(guān)系。例如= Cepl對(duì)應(yīng)于原始數(shù)據(jù)Eventl-1、Event 1-2、Event 1-3,這表明 Cepl是由原始數(shù)據(jù) Event 1-1、Eventl-2、Eventl_3 關(guān)聯(lián)而形成;Cepl 2對(duì)應(yīng)于原始數(shù)據(jù)Event 1-1和Event2,這表明Cep 12是由原始數(shù)據(jù)Event 1-1和Event2關(guān)聯(lián)而形成;Cepl23對(duì)應(yīng)于原始數(shù)據(jù)Event3和關(guān)聯(lián)數(shù)據(jù)Cepl2,這表明Cepl23是由原始數(shù)據(jù)Event3和關(guān)聯(lián)數(shù)據(jù)Cepl2關(guān)聯(lián)而形成。
[0078]步驟206、大數(shù)據(jù)分析模塊對(duì)原始數(shù)據(jù)集進(jìn)行分析生成并實(shí)時(shí)更新分析規(guī)則,原始數(shù)據(jù)集中存儲(chǔ)有所述原始數(shù)據(jù)。
[0079]如圖4所示,原始數(shù)據(jù)可以原始數(shù)據(jù)表的形式存入原始數(shù)據(jù)集中,原始數(shù)據(jù)表中存儲(chǔ)有原始數(shù)據(jù) Eventl-1、Eventl-2、Eventl-3、Event2和Event30
[0080]本實(shí)施例中,大數(shù)據(jù)分析模塊可對(duì)原始數(shù)據(jù)集中的原始數(shù)據(jù)進(jìn)行分析生成分析模塊集,并且可實(shí)時(shí)根據(jù)原始數(shù)據(jù)集中的原始數(shù)據(jù)對(duì)分析規(guī)則進(jìn)行更新。大數(shù)據(jù)分析模塊生成的分析規(guī)則可供持續(xù)分析模塊判斷關(guān)聯(lián)數(shù)據(jù)是否異常。
[0081]步驟207、持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若是則執(zhí)行步驟208,若否則流程結(jié)束。
[0082]本步驟具體可包括:持續(xù)分析模塊根據(jù)關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和特征信息,通過分析規(guī)則判斷存儲(chǔ)在內(nèi)存隊(duì)列中的關(guān)聯(lián)數(shù)據(jù)是否異常。
[0083]本實(shí)施例中,分析規(guī)則為判別異常的規(guī)則,持續(xù)分析模塊將關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和特征信息與分析規(guī)則進(jìn)行匹配,若匹配成功則表明判斷出關(guān)聯(lián)數(shù)據(jù)異常;若匹配失敗則表明判斷出關(guān)聯(lián)數(shù)據(jù)正常。
[0084]本實(shí)施例中,所述數(shù)據(jù)屬性包括攻擊源IP、目的IP、源端口、目的端口、事件數(shù)量、事件級(jí)別和/或事件類型;所述特征信息包括情報(bào)信息、被攻擊資產(chǎn)的漏洞信息、暴露面信息、資產(chǎn)價(jià)值信息和/或資產(chǎn)上運(yùn)行的業(yè)務(wù)的應(yīng)用信息。其中,情報(bào)信息可包括惡意IP、惡意URL、漏洞信息、攻擊者特征和/或攻擊行為特征;暴露面信息是指內(nèi)網(wǎng)暴露在外網(wǎng)的存在風(fēng)險(xiǎn)的配置信息,例如:IP、端口和或服務(wù)等。需要說明的是:情報(bào)信息中的漏洞信息包括的是所有的漏洞信息,而特征信息中的漏洞信息包括的是被攻擊資產(chǎn)的漏洞信息。本實(shí)施例中,可設(shè)置資產(chǎn)庫、資產(chǎn)漏洞庫、暴露面庫和/或情報(bào)庫,資產(chǎn)庫可用于存儲(chǔ)資產(chǎn)價(jià)值信息和資產(chǎn)上運(yùn)行的業(yè)務(wù)的應(yīng)用信息,資產(chǎn)漏洞庫可用于存儲(chǔ)漏洞信息,暴露面庫用于存儲(chǔ)暴露面信息,情報(bào)庫可用于存儲(chǔ)情報(bào)信息。當(dāng)持續(xù)分析模塊需要數(shù)據(jù)屬性和特征信息時(shí),可直接從上述資產(chǎn)庫、資產(chǎn)漏洞庫、暴露面庫和情報(bào)庫中獲取。
[0085]本實(shí)施例中,可建立一個(gè)內(nèi)存隊(duì)列,將關(guān)聯(lián)數(shù)據(jù)存儲(chǔ)于內(nèi)存隊(duì)列中。持續(xù)分析模塊可直接判斷存儲(chǔ)在內(nèi)存隊(duì)列中的關(guān)聯(lián)數(shù)據(jù)是否異常。
[0086]持續(xù)分析模塊可根據(jù)關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和被攻擊資產(chǎn)的特征信息,通過分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。其中,關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容可包括:關(guān)聯(lián)數(shù)據(jù)是否包含惡意IP、惡意URL和/或惡意Email地址,若判斷出關(guān)聯(lián)數(shù)據(jù)包含惡意IP、惡意URL和惡意Ema i I地址中的任意一種,則判斷出關(guān)聯(lián)數(shù)據(jù)攜帶惡意內(nèi)容;關(guān)聯(lián)數(shù)據(jù)是否為異常行為可包括:關(guān)聯(lián)數(shù)據(jù)是否針對(duì)漏洞、是否針對(duì)核心資產(chǎn)和/或是否針對(duì)不允許開放的服務(wù),若判斷出關(guān)聯(lián)數(shù)據(jù)針對(duì)漏洞、針對(duì)核心資產(chǎn)和針對(duì)不允許開放的服務(wù)中的任意一種,則判斷出關(guān)聯(lián)數(shù)據(jù)為異常行為。若判斷出關(guān)聯(lián)數(shù)據(jù)攜帶惡意內(nèi)容,則表明關(guān)聯(lián)數(shù)據(jù)異常;若判斷出關(guān)聯(lián)數(shù)據(jù)為異常行為,則表明關(guān)聯(lián)數(shù)據(jù)異常。
[0087]步驟208、持續(xù)分析模塊生成告警事件。
[0088]本實(shí)施例中,告警事件可包括告警級(jí)別、攻擊能力、攻擊方向、持續(xù)事件。
[0089]本步驟具體可包括:
[0090]步驟2081、持續(xù)分析模塊根據(jù)關(guān)聯(lián)數(shù)據(jù)生成與關(guān)聯(lián)數(shù)據(jù)對(duì)應(yīng)的告警記錄。
[0091 ]本實(shí)施例中,每一個(gè)關(guān)聯(lián)數(shù)據(jù)均對(duì)應(yīng)于一條告警記錄,當(dāng)持續(xù)分析模塊判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí),則生成一條與關(guān)聯(lián)事件對(duì)應(yīng)的告警記錄。
[0092]步驟2082、持續(xù)分析模塊根據(jù)告警記錄生成告警事件。
[0093]本實(shí)施例中,持續(xù)分析模塊可對(duì)告警記錄進(jìn)行聚合處理生成告警事件。具體地,持續(xù)分析模塊根據(jù)聚合條件生成告警事件。例如:聚合條件為具有相同源IP的告警記錄進(jìn)行聚合、具有相同目的IP的告警記錄進(jìn)行聚合或者具有相同源IP和目的IP的告警記錄進(jìn)行聚合。則持續(xù)分析模塊對(duì)具有相同源IP的告警記錄進(jìn)行聚合處理生成告警事件,這可以表明同一個(gè)攻擊源對(duì)多個(gè)不同的目標(biāo)在持續(xù)的一段時(shí)間內(nèi)陸續(xù)發(fā)動(dòng)了相同或不同類型的攻擊事件;或者持續(xù)分析模塊對(duì)具有相同目的IP的告警記錄進(jìn)行聚合處理生成告警事件,這表明不同的攻擊源針對(duì)同一個(gè)目標(biāo)在持續(xù)的一段時(shí)間內(nèi)陸續(xù)發(fā)動(dòng)了相同或不同類型的攻擊事件;或者持續(xù)分析模塊對(duì)具有相同目的源IP和相同目的IP的告警記錄進(jìn)行聚合處理生成告警事件,這表明同一個(gè)攻擊源針對(duì)同一個(gè)目標(biāo)在一段時(shí)間內(nèi)陸續(xù)發(fā)生了相同或不同類型的事件。生成一個(gè)告警事件的告警記錄可以為一個(gè)或者多個(gè)。當(dāng)聚合條件的告警記錄的數(shù)量僅為一個(gè)時(shí),則可以直接對(duì)一個(gè)告警記錄進(jìn)行聚合處理,即:直接根據(jù)該告警記錄生成告警事件,圖3中所示的就是這種情況。
[0094]例如:某個(gè)源IP—周前對(duì)我的