專利名稱:一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)���。
背景技術(shù):
隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)安全變得十分重要����。為了防止網(wǎng)絡(luò)攻擊行為對(duì)網(wǎng)絡(luò)安全造 成傷害�����,需要在網(wǎng)絡(luò)中部署如入侵檢測(cè)(ID����,Intruion Detection)���、防火墻等安全系統(tǒng)���。當(dāng) 發(fā)生網(wǎng)絡(luò)攻擊行為的時(shí)候,安全系統(tǒng)會(huì)產(chǎn)生大量安全事件���。每一安全事件包括多個(gè)安全屬 性����,如攻擊地址���、攻擊類型���、攻擊時(shí)間等����。為了分析大量安全事件之間的相關(guān)關(guān)系����,并由此產(chǎn)生抽象粒度更高、概括能力更 強(qiáng)的安全警報(bào)���,需要一種能夠自動(dòng)關(guān)聯(lián)分析安全事件的方案?���,F(xiàn)有技術(shù)中�����,采用的是一種基 于規(guī)則的安全事件因果分析方案�����,在所有安全事件產(chǎn)生之后對(duì)安全事件進(jìn)行分析��,主要處 理流程如下預(yù)先建立各種攻擊步驟的前提(prerequisite)和結(jié)果(consequence)�;對(duì)前一安全事件的結(jié)果和后一安全事件的前提進(jìn)行匹配以達(dá)到關(guān)聯(lián)的目的;根據(jù)匹配情況生成安全警報(bào)?�,F(xiàn)有的安全事件的因果分析方法,能夠識(shí)別安全事件之間的因果邏輯關(guān)系���。但因 果分析方法是一種事后分析,需要在所有安全事件產(chǎn)生之后再進(jìn)行分析�,因而無法及時(shí)對(duì) 新產(chǎn)生的安全事件進(jìn)行關(guān)聯(lián)分析。雖然可以通過設(shè)定時(shí)間間隔定期對(duì)新產(chǎn)生的安全事件進(jìn) 行關(guān)聯(lián)分析����,但如果時(shí)間間隔設(shè)定過短,無法獲得足夠數(shù)量的安全事件�,將會(huì)導(dǎo)致關(guān)聯(lián)分析 的結(jié)果可靠性降低。
發(fā)明內(nèi)容
為解決上述技術(shù)問題���,本發(fā)明實(shí)施例提供一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)��,以 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的實(shí)時(shí)關(guān)聯(lián)分析��,技術(shù)方案如下一種安全事件關(guān)聯(lián)分析方法�����,包括A����、系統(tǒng)檢測(cè)到安全事件后,判斷系統(tǒng)中是否存在與所述檢測(cè)到的安全事件相匹配 的狀態(tài)機(jī),如果是�,執(zhí)行步驟C,否則執(zhí)行步驟B �����;B��、根據(jù)預(yù)先定義的安全事件序列樹����,在系統(tǒng)中創(chuàng)建與所述檢測(cè)到的安全事件相匹 配的狀態(tài)機(jī)��,執(zhí)行步驟C �;其中,所述安全事件序列樹的每個(gè)節(jié)點(diǎn)對(duì)應(yīng)所述狀態(tài)機(jī)的一個(gè)狀 態(tài)��;C��、如果系統(tǒng)檢測(cè)到的安全事件滿足所述狀態(tài)機(jī)的遷移條件��,則對(duì)該狀態(tài)機(jī)進(jìn)行狀 態(tài)遷移�;其中,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi)��,檢測(cè)到預(yù)定數(shù)量的、與狀態(tài) 機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件��;D�����、當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)或所述狀態(tài)機(jī)當(dāng)前狀態(tài)發(fā)生超時(shí)����,結(jié)束所述狀態(tài)機(jī)的 運(yùn)行�����;E����、根據(jù)所述狀態(tài)機(jī)的運(yùn)行記錄,生成系統(tǒng)安全日志�。
優(yōu)選的,所述步驟A中��,狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配���,具體為狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致���。優(yōu)選的�,所述狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致����,包括狀態(tài)機(jī)的初態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致,或狀態(tài)機(jī)的當(dāng)前狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致�。優(yōu)選的,所述步驟D包括當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)或所述狀態(tài)機(jī)當(dāng)前狀態(tài)發(fā)生超時(shí)時(shí)�,使所述狀態(tài)機(jī)的所 述當(dāng)前狀態(tài)失效并判斷所述狀態(tài)機(jī)是否還存在當(dāng)前狀態(tài),如果否���,則結(jié)束所述狀態(tài)機(jī)的運(yùn) 行���。優(yōu)選的,所述步驟D中��,結(jié)束所述狀態(tài)機(jī)的運(yùn)行后還包括在系統(tǒng)中刪除所述狀態(tài)機(jī)�。優(yōu)選的,所述方法還包括當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)后�,生成安全警報(bào)。優(yōu)選的����,所述步驟E包括在系統(tǒng)安全日志中�,記錄觸發(fā)狀態(tài)機(jī)創(chuàng)建��、狀態(tài)遷移以及運(yùn)行結(jié)束的安全事件信 肩�����、ο相應(yīng)于本發(fā)明所提供的方法����,本發(fā)明還提供了一種安全事件關(guān)聯(lián)分析系統(tǒng)�����,技術(shù) 方案如下一種安全事件關(guān)聯(lián)分析系統(tǒng)���,包括安全事件檢測(cè)模塊����、匹配判斷模塊��、狀態(tài)機(jī)創(chuàng) 建模塊�����、遷移模塊、終態(tài)判斷模塊�、終止模塊、安全日志生成模塊���;安全事件檢測(cè)模塊���,用于檢測(cè)安全事件是否產(chǎn)生,如果產(chǎn)生�����,則發(fā)送一信號(hào)到所述 匹配判斷模塊���;匹配判斷模塊��,用于接收到所述安全事件檢測(cè)模塊發(fā)送的信號(hào)后���,判斷系統(tǒng)中是 否存在狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配,如果是�,則發(fā)送一信號(hào)到所述遷移模塊,否 則發(fā)送一信號(hào)到所述狀態(tài)機(jī)創(chuàng)建模塊��;狀態(tài)機(jī)創(chuàng)建模塊,用于接收到所述匹配判斷模塊發(fā)送的信號(hào)后���,根據(jù)預(yù)先定義的 安全事件序列樹�����,創(chuàng)建與所述安全事件相匹配的狀態(tài)機(jī)�,其中�,所述安全事件序列樹的每個(gè) 節(jié)點(diǎn)對(duì)應(yīng)所述狀態(tài)機(jī)的一個(gè)狀態(tài);遷移模塊����,用于接收到所述匹配判斷模塊發(fā)送的信號(hào)后,判斷系統(tǒng)檢測(cè)到的安全 事件是否滿足所述狀態(tài)機(jī)的遷移條件�����,如果是��,則對(duì)狀態(tài)機(jī)進(jìn)行狀態(tài)遷移�,否則發(fā)送一信 號(hào)到所述終止模塊���;其中����,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi),檢測(cè)到預(yù)定數(shù)量 的�����、與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件��;終態(tài)判斷模塊���,用于判斷所述狀態(tài)機(jī)的當(dāng)前狀態(tài)是否為終態(tài)�����,如果是���,則發(fā)送一信 號(hào)到終止模塊,終止模塊����,用于在接收到所述遷移模塊或終態(tài)判斷模塊發(fā)送的信號(hào)后結(jié)束所述狀 態(tài)機(jī)的運(yùn)行;安全日志生成模塊���,用于根據(jù)所述狀態(tài)機(jī)的運(yùn)行記錄���,生成系統(tǒng)安全日志���。優(yōu)選的,所述系統(tǒng)還包括狀態(tài)機(jī)刪除模塊��,用于在所述終止模塊結(jié)束所述狀態(tài)機(jī)的運(yùn)行后��,在系統(tǒng)中刪除所述狀態(tài)機(jī)���。
優(yōu)選的���,所述系統(tǒng)還包括安全警報(bào)生成模塊,用于當(dāng)所述遷移模塊將所述狀態(tài)機(jī) 遷移至終態(tài)時(shí)���,生成安全警報(bào)��。由于狀態(tài)機(jī)的當(dāng)前狀態(tài)能夠?qū)崟r(shí)地根據(jù)新產(chǎn)生的安全事件和遷移條件進(jìn)行狀態(tài) 的遷移���,因此本發(fā)明所提供的安全事件關(guān)聯(lián)分析方案能夠?qū)崟r(shí)地對(duì)新產(chǎn)生的安全事件產(chǎn)生 進(jìn)行匹配和記錄�。另一方面,由于狀態(tài)機(jī)記錄了從開始到終態(tài)之間的安全事件的信息���,因此 可以有效提高關(guān)聯(lián)分析結(jié)果的可靠性�����。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地���,下面描述中的附圖僅僅是本 發(fā)明中記載的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,還可以根據(jù)這些附圖獲得其他 的附圖���。圖1為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析方法的一個(gè)安全事件序列樹示意圖;圖2為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析方法的一種狀態(tài)機(jī)示意圖����;圖3為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析方法的另一個(gè)安全事件序列樹示意圖;圖4為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析方法的另一種狀態(tài)機(jī)示意圖�;圖5為本發(fā)明實(shí)施例的一種安全事件關(guān)聯(lián)分析方法流程圖;圖6為本發(fā)明實(shí)施例的另一種安全事件關(guān)聯(lián)分析方法流程圖��;圖7為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析方法的一個(gè)拒絕服務(wù)安全事件序列樹示 意圖;圖8為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析方法的一種根據(jù)拒絕服務(wù)安全事件序列 樹建立的狀態(tài)機(jī)的示意圖��;圖9為本發(fā)明實(shí)施例安全事件關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖����;圖10為本發(fā)明實(shí)施例另一安全事件關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖;圖11為本發(fā)明實(shí)施例另一安全事件關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明中的技術(shù)方案�����,下面對(duì)本發(fā)明實(shí)施例 中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�, 而不是全部的實(shí)施例�����?��;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí) 施例�,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例提供的一種安全事件關(guān)聯(lián)分析方法包括以下步驟A���、系統(tǒng)檢測(cè)到安全事件后�����,判斷系統(tǒng)中是否存在與所述檢測(cè)到的安全事件相匹配 的狀態(tài)機(jī)���,如果是,執(zhí)行步驟C���,否則執(zhí)行步驟B �;其中����,所述狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配,可以具體為狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致����;需要說 明的是�,此時(shí)該狀態(tài)可以對(duì)預(yù)定義數(shù)量的安全事件進(jìn)行聚類記錄���,當(dāng)然���,與所述檢測(cè)到的安 全事件類型一致的狀態(tài)還可以為多個(gè)。
所述狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致��,包 括狀態(tài)機(jī)的初態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致�,或狀態(tài)機(jī)的當(dāng)前狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致。
本領(lǐng)域技術(shù)人員可知的是�,所述安全事件,是安全系統(tǒng)基于各種攻擊行為所產(chǎn)生 的一種記錄����,在安全事件中,可以包括攻擊地址�、攻擊類型、攻擊時(shí)間等安全屬性�����。B、根據(jù)預(yù)先定義的安全事件序列樹�,在系統(tǒng)中創(chuàng)建與所述檢測(cè)到的安全事件相匹 配的狀態(tài)機(jī),執(zhí)行步驟C �����;其中�,所述安全事件序列樹的每個(gè)節(jié)點(diǎn)對(duì)應(yīng)所述狀態(tài)機(jī)的一個(gè)狀 態(tài)��;其中��,所述安全事件序列樹可以根據(jù)歷史安全事件及歷史安全事件間的關(guān)系預(yù)先 定義��,當(dāng)然����,所述安全事件序列樹還可以進(jìn)行更新,添加安全事件或刪除安全事件�;本領(lǐng)域 技術(shù)人員可知的是,所述安全事件序列樹可以為多個(gè)���。C��、如果系統(tǒng)檢測(cè)到的安全事件滿足所述狀態(tài)機(jī)的遷移條件��,則對(duì)該狀態(tài)機(jī)進(jìn)行狀 態(tài)遷移��;其中�,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi),檢測(cè)到預(yù)定數(shù)量的�、與狀態(tài) 機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件;需要說明的是��,狀態(tài)機(jī)的遷移條件未被滿足即為沒有在預(yù)定時(shí)間內(nèi)�����,檢測(cè)到預(yù)定 數(shù)量的���、與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件���;因?yàn)闋顟B(tài)機(jī)的當(dāng)前狀態(tài)會(huì)在預(yù)定時(shí)間等待 安全事件的發(fā)生,故當(dāng)狀態(tài)機(jī)的遷移條件未被滿足時(shí)�,狀態(tài)機(jī)的當(dāng)前狀態(tài)必然出現(xiàn)超時(shí)的 情況。本領(lǐng)域技術(shù)人員可以理解的是����,可以將當(dāng)前狀態(tài)的多個(gè)后續(xù)狀態(tài)作為一個(gè)狀態(tài) 集,當(dāng)當(dāng)前狀態(tài)的遷移條件被滿足時(shí)���,可以向此狀態(tài)集遷移���。此狀態(tài)集再根據(jù)后續(xù)新到達(dá)的 安全事件進(jìn)行進(jìn)一步的狀態(tài)遷移����。需要說明的是����,狀態(tài)機(jī)當(dāng)前狀態(tài)的遷移能反映出攻擊活動(dòng)的因果發(fā)展情況�����。D���、當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)或所述狀態(tài)機(jī)當(dāng)前狀態(tài)發(fā)生超時(shí)時(shí)���,結(jié)束所述狀態(tài)機(jī) 的運(yùn)行;需要說明的是��,當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí)�����,系統(tǒng)即可以根據(jù)狀態(tài)機(jī)的運(yùn)行記錄 生成系統(tǒng)安全日志。當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí)�,系統(tǒng)還可以實(shí)時(shí)的根據(jù)系統(tǒng)安全日志生 成安全警報(bào),所述安全警報(bào)可以包含狀態(tài)機(jī)的運(yùn)行記錄���;當(dāng)然����,在實(shí)際應(yīng)用中���,還可以根據(jù) 狀態(tài)機(jī)狀態(tài)遷移趨勢(shì)所體現(xiàn)的安全事件發(fā)展趨勢(shì)�����,提前對(duì)攻擊活動(dòng)的發(fā)展情況進(jìn)行判斷并 進(jìn)行預(yù)警�。此外���,當(dāng)所述狀態(tài)機(jī)的運(yùn)行結(jié)束后�,還可以在系統(tǒng)中刪除所述狀態(tài)機(jī)��。E�����、根據(jù)狀態(tài)機(jī)的運(yùn)行記錄,生成系統(tǒng)安全日志����。 其中,在系統(tǒng)安全日志中�����,記錄觸發(fā)狀態(tài)機(jī)創(chuàng)建�、狀態(tài)遷移以及運(yùn)行結(jié)束等安全事 件信息;所述系統(tǒng)安全日志可以在狀態(tài)機(jī)創(chuàng)建時(shí)生成����,然后根據(jù)狀態(tài)機(jī)運(yùn)行記錄實(shí)時(shí)或定 時(shí)更新��,也可以在狀態(tài)機(jī)遷移至終態(tài)或狀態(tài)機(jī)結(jié)束運(yùn)行后生成����。 由于狀態(tài)機(jī)的當(dāng)前狀態(tài)能夠?qū)崟r(shí)地根據(jù)新產(chǎn)生的安全事件和遷移條件進(jìn)行狀態(tài) 的遷移,因此本實(shí)施例所提供的安全事件關(guān)聯(lián)分析方法能夠?qū)崟r(shí)地對(duì)新產(chǎn)生的安全事件產(chǎn) 生進(jìn)行匹配和記錄���。另一方面�,由于狀態(tài)機(jī)記錄了從開始到終態(tài)之間的安全事件的信息��,因 此可以有效提高關(guān)聯(lián)分析結(jié)果的可靠性。
為方便理解��,現(xiàn)對(duì)本實(shí)施例的安全事件序列樹和根據(jù)所述安全事件序列樹建立的 狀態(tài)機(jī)進(jìn)行舉例說明�。圖1為本實(shí)施例提供的一種安全事件序列樹的示意圖。如圖1所示��,本實(shí)施例提供的安全事件序列樹包括第一安全事件101���、第二安全 事件102���、第三安全事件103、第四安全事件104�、第五安全事件105和第六安全事件106。所 述第一安全事件101為安全事件序列樹的根節(jié)點(diǎn)�����。所述第二安全事件102和第三安全事件 103為所述第一安全事件101的子節(jié)點(diǎn)����。所述第四安全事件104為所述第二安全事件102 的子節(jié)點(diǎn)。所述第五安全事件105和第六安全事件106為所述第三安全事件103的子節(jié)點(diǎn)�����。 所述第四安全事件104、第五安全事件105和第六安全事件106作為所述安全事件序列樹的 末端安全事件�����,不再有后續(xù)的安全事件發(fā)生��,因而沒有子節(jié)點(diǎn)���,這些沒有子節(jié)點(diǎn)的節(jié)點(diǎn)稱為 安全事件序列樹的葉子節(jié)點(diǎn)����。本實(shí)施例中����,安全事件的在樹形結(jié)構(gòu)中的父子位置關(guān)系是按照安全事件發(fā)生時(shí)間 的先后順序進(jìn)行排列的,舉例來說���,所述第二安全事件102和第三安全事件103在所述第一 安全事件101發(fā)生之后才會(huì)發(fā)生。同一安 全事件序列樹上安全事件發(fā)生的先后代表著安全 事件的發(fā)展情況��,以上面的例子來說��,第二安全事件102和第三安全事件103為第一安全事 件101在不同情況下的發(fā)展結(jié)果���。安全事件序列樹中的父節(jié)點(diǎn)與子節(jié)點(diǎn)之間的發(fā)展關(guān)系也 體現(xiàn)了這點(diǎn)��。當(dāng)某安全事件不再有后續(xù)安全事件發(fā)生時(shí)�����,可以認(rèn)定所述安全事件為安全事 件序列樹的末端安全事件���,即安全事件序列樹的葉子節(jié)點(diǎn)��。需要說明的是����,以上安全事件序列樹僅為本實(shí)施例安全事件序列樹的一種����,本領(lǐng) 域技術(shù)人員可知的,本實(shí)施例的安全事件序列樹還可以為其他排列形式�。圖2為本實(shí)施例提供的根據(jù)圖1所示安全事件序列樹建立的一種狀態(tài)機(jī)示意圖。如圖2所示��,本實(shí)施提供的狀態(tài)機(jī)包括第一狀態(tài)201�、第二狀態(tài)202、第三狀態(tài) 203��、第四狀態(tài)204、第五狀態(tài)205和第六狀態(tài)206���。所述第一狀態(tài)201為所述狀態(tài)機(jī)的初態(tài)��,所述第四狀態(tài)204�����、第五狀態(tài)205和第六 狀態(tài)206為所述狀態(tài)機(jī)的終態(tài)�����。本實(shí)施例提供的狀態(tài)機(jī)與圖1所示的安全事件序列樹對(duì)應(yīng)建立����。第一狀態(tài)201根 據(jù)第一安全事件101對(duì)應(yīng)建立��。第二狀態(tài)202根據(jù)第二安全事件102對(duì)應(yīng)建立���。第三狀態(tài) 203根據(jù)第三安全事件103對(duì)應(yīng)建立。第四狀態(tài)204根據(jù)第四安全事件104對(duì)應(yīng)建立����。第 五狀態(tài)205根據(jù)第五安全事件105對(duì)應(yīng)建立���。第六狀態(tài)206根據(jù)第六安全事件106對(duì)應(yīng)建立。所述第一狀態(tài)201依據(jù)第一安全事件101與第二安全事件102和第三安全事件 103之間的發(fā)展關(guān)系���,在不同的遷移條件被滿足時(shí),向第二狀態(tài)202或第三狀態(tài)203遷移。 例如,第一狀態(tài)201在第一遷移條件被滿足時(shí)向第二狀態(tài)202遷移�,在第二遷移條件被滿足 時(shí),向第三狀態(tài)203遷移�。同理,根據(jù)安全事件之間的發(fā)展關(guān)系�,第二狀態(tài)202在遷移條件被 滿足時(shí)����,向第四狀態(tài)204遷移����;第三狀態(tài)203在不同的遷移條件被滿足時(shí)����,向第五狀態(tài)205 或第六狀態(tài)206遷移�����。由于第四狀態(tài)204�、第五狀態(tài)205和第六狀態(tài)206為狀態(tài)機(jī)的終態(tài)�����, 所以不再進(jìn)行遷移��。需要說明的是�����,當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)并發(fā)生所述終態(tài)對(duì)應(yīng)的安全 事件時(shí)��,認(rèn)為此時(shí)已經(jīng)發(fā)生了危險(xiǎn)程度較高的狀況,因此系統(tǒng)還可以生成安全警報(bào)�����,所述安 全警報(bào)可以包含狀態(tài)機(jī)的運(yùn)行記錄�����。本領(lǐng)域技術(shù)人員可知的是�,“當(dāng)前狀態(tài)”是一個(gè)動(dòng)態(tài)變量��,隨著狀態(tài)機(jī)中狀態(tài)的遷移而改變����。 需要說明的是,以上遷移條件存儲(chǔ)于狀態(tài)機(jī)中除終態(tài)外每一狀態(tài)中���,當(dāng)然��,所述遷 移條件還可以同時(shí)存儲(chǔ)于安全事件序列樹中��,本實(shí)施例在此并不做限定����。其中,以上遷移條件可以為在預(yù)定時(shí)間內(nèi)��,檢測(cè)到預(yù)定數(shù)量的����、與狀態(tài)機(jī)當(dāng)前狀 態(tài)相對(duì)應(yīng)的安全事件���。由圖1和圖2的對(duì)應(yīng)關(guān)系可知,圖2所示狀態(tài)機(jī)的初態(tài)根據(jù)圖1所示安全事件序 列樹的根節(jié)點(diǎn)相應(yīng)建立�,圖2所示狀態(tài)機(jī)的終態(tài)根據(jù)圖1所示安全事件序列樹的葉子節(jié)點(diǎn)
相應(yīng)建立。為方便理解,現(xiàn)舉例說明假設(shè)有如圖3所示的安全事件序列樹,這是一種消耗文件傳輸協(xié)議(FTP�����,F(xiàn)ile Transfer Protocol)服務(wù)器磁盤空間的序列樹,包括根節(jié)點(diǎn)301 :FTP認(rèn)證失敗�����,葉子節(jié)點(diǎn) 302 網(wǎng)絡(luò)數(shù)據(jù)流(Net Flow)流量異常���。假設(shè)在1秒內(nèi)發(fā)生5次FTP認(rèn)證失敗后�����,將在短時(shí) 間內(nèi)產(chǎn)生網(wǎng)絡(luò)數(shù)據(jù)流(Net Flow)流量異常事件�。當(dāng)在1秒內(nèi)發(fā)生5次FTP認(rèn)證失敗后產(chǎn) 生網(wǎng)絡(luò)數(shù)據(jù)流(Net Flow)流量異常事件�����,則認(rèn)為發(fā)生了消耗FTP服務(wù)器磁盤空間的安全事 件�。系統(tǒng)將產(chǎn)生消耗FTP服務(wù)器磁盤空間的警報(bào)。如圖3所示�,葉子節(jié)點(diǎn)302為根節(jié)點(diǎn)301的子節(jié)點(diǎn)。根據(jù)圖3所示的安全事件序列樹建立如圖4所示的狀態(tài)機(jī)K�。如圖4所示,狀態(tài)機(jī)K包括第一狀態(tài)401和第二狀態(tài)402���,第一狀態(tài)401為初態(tài)�����,第 二狀態(tài)402為終態(tài)�。第一狀態(tài)401根據(jù)圖3中根節(jié)點(diǎn)301相應(yīng)建立,第二狀態(tài)402根據(jù)圖 3中葉子節(jié)點(diǎn)302相應(yīng)建立����。根據(jù)圖3所示安全事件序列樹中根節(jié)點(diǎn)301與葉子節(jié)點(diǎn)302 之間發(fā)展關(guān)系,得出第一狀態(tài)401的遷移條件為在1秒內(nèi)發(fā)生5次FTP認(rèn)證失敗事件�,遷 移對(duì)象為第二狀態(tài)402。當(dāng)然�����,在本發(fā)明其他實(shí)施例中�,本發(fā)明的安全事件關(guān)聯(lián)分析方法還可以進(jìn)一步細(xì) 化�。圖5所示為本發(fā)明實(shí)施例的一種安全事件關(guān)聯(lián)分析方法流程圖。如圖5所示���,本發(fā)明實(shí)施例的一種安全事件關(guān)聯(lián)分析方法包括S501��、實(shí)時(shí)對(duì)安全事件進(jìn)行檢測(cè)��;S502�、判斷新的安全事件是否到達(dá),如果是�,則執(zhí)行步驟S503,否則執(zhí)行步驟 S501 �����;S503���、判斷是否存在狀態(tài)機(jī)與所檢測(cè)到的安全事件相匹配�,如果是��,則執(zhí)行步驟 S506��,否則執(zhí)行步驟S504 ��;其中���,所述狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配�,可以具體為狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致����;需要說 明的是,此時(shí)該狀態(tài)可以對(duì)預(yù)定義數(shù)量的安全事件進(jìn)行聚類記錄,當(dāng)然�����,與所述檢測(cè)到的安 全事件類型一致的狀態(tài)還可以為多個(gè)�。所述狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致,包 括狀態(tài)機(jī)的初態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致��,或狀態(tài)機(jī)的當(dāng)前狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致�。
本領(lǐng)域技術(shù)人員可知的是,所述安全事件��,是安全系統(tǒng)基于各種攻擊行為所產(chǎn)生 的一種記錄����,在安全事件中,可以包括攻擊地址�、攻擊類型、攻擊時(shí)間等安全屬性�����。
S504�、判斷是否有安全事件序列樹與所檢測(cè)到的安全事件匹配�,如果是,則執(zhí)行步 驟S505,否則執(zhí)行步驟S511 ��;其中�,所述安全事件序列樹與所檢測(cè)到的安全事件匹配為安全事件序列樹中的一 個(gè)安全事件與所檢測(cè)到的安全事件攻擊類型一致。S505��、根據(jù)所述安全事件序列樹建立新的狀態(tài)機(jī)����;其中,所述安全事件序列樹可以根據(jù)歷史安全事件及歷史安全事件間的關(guān)系預(yù)先 定義����,當(dāng)然,所述安全事件序列樹還可以進(jìn)行更新�����,添加安全事件或刪除安全事件�;本領(lǐng)域 技術(shù)人員可知的是,所述安全事件序列樹可以為多個(gè)��。S506�����、判斷是否所述新安全事件是否滿足所述狀態(tài)機(jī)當(dāng)前狀態(tài)的遷移條件,如果 是�,則執(zhí)行步驟S507,否則���,執(zhí)行步驟S509 �;其中�,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi),檢測(cè)到預(yù)定數(shù)量的�����、與狀態(tài) 機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件���。需要說明的是�,狀態(tài)機(jī)的遷移條件未被滿足即為沒有在預(yù)定時(shí)間內(nèi)�����,檢測(cè)到預(yù)定 數(shù)量的��、與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件����;因?yàn)闋顟B(tài)機(jī)的當(dāng)前狀態(tài)會(huì)在預(yù)定時(shí)間等待 安全事件的發(fā)生,故當(dāng)狀態(tài)機(jī)的遷移條件未被滿足時(shí)���,狀態(tài)機(jī)的當(dāng)前狀態(tài)必然出現(xiàn)超時(shí)的 情況���。所以當(dāng)狀態(tài)機(jī)的當(dāng)前狀態(tài)出現(xiàn)超時(shí)時(shí)����,可以判斷所述當(dāng)前狀態(tài)的遷移條件未被滿足���。S507�����、根據(jù)所述狀態(tài)機(jī)狀態(tài)間的轉(zhuǎn)移關(guān)系將當(dāng)前狀態(tài)轉(zhuǎn)移����;需要說明的是��,狀態(tài)機(jī)當(dāng)前狀態(tài)的遷移能反映出攻擊活動(dòng)的因果發(fā)展情況�����。S508、判斷當(dāng)前狀態(tài)是否為終態(tài),如果是����,則執(zhí)行步驟S509�,否則執(zhí)行步驟S501 ����;需要說明的是,當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí),系統(tǒng)即可以根據(jù)狀態(tài)機(jī)的運(yùn)行記錄 生成系統(tǒng)安全日志。當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí)��,系統(tǒng)還可以生成安全警報(bào)���,所述安全警報(bào) 可以包含狀態(tài)機(jī)的運(yùn)行記錄��。S509、結(jié)束所述狀態(tài)機(jī)的運(yùn)行;S510����、根據(jù)狀態(tài)機(jī)的運(yùn)行記錄��,生成系統(tǒng)安全日志;其中,在系統(tǒng)安全日志中,記錄觸發(fā)狀態(tài)機(jī)創(chuàng)建�����、狀態(tài)遷移以及運(yùn)行結(jié)束等安全事 件信息;所述系統(tǒng)安全日志可以在狀態(tài)機(jī)創(chuàng)建時(shí)生成��,然后根據(jù)狀態(tài)機(jī)運(yùn)行記錄實(shí)時(shí)或定 時(shí)更新,也可以在狀態(tài)機(jī)遷移至終態(tài)或狀態(tài)機(jī)結(jié)束運(yùn)行后生成。當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí)�,系統(tǒng)還可以實(shí)時(shí)的根據(jù)系統(tǒng)安全日志生成安全警 報(bào),所述安全警報(bào)可以包含狀態(tài)機(jī)的運(yùn)行記錄����;當(dāng)然���,在實(shí)際應(yīng)用中,還可以根據(jù)狀態(tài)機(jī)狀
態(tài)遷移趨勢(shì)所體現(xiàn)的安全事件發(fā)展趨勢(shì)���,提前對(duì)攻擊活動(dòng)的發(fā)展情況進(jìn)行判斷并進(jìn)行預(yù)
m 目�����。S511��、系統(tǒng)結(jié)束運(yùn)行���。本領(lǐng)域技術(shù)人員可知的是,為了減輕系統(tǒng)運(yùn)行負(fù)擔(dān)�����,在結(jié)束狀態(tài)機(jī)運(yùn)行后����,還可以 將所述狀態(tài)機(jī)刪除。這樣��,系統(tǒng)不用同時(shí)保留大量狀態(tài)機(jī)�����,當(dāng)再次檢測(cè)到與所述狀態(tài)機(jī)匹配 的安全事件時(shí),只需根據(jù)安全事件序列樹重新建立所述狀態(tài)機(jī)即可。當(dāng)然���,本領(lǐng)域技術(shù)人員可以理解的是����,當(dāng)狀態(tài)機(jī)遷移至終態(tài)、或系統(tǒng)檢測(cè)到的安全 事件不滿足狀態(tài)機(jī)的遷移條件時(shí),可以先使?fàn)顟B(tài)機(jī)當(dāng)前狀態(tài)失效,然后再結(jié)束狀態(tài)機(jī)的運(yùn)行。同時(shí),為了防止?fàn)顟B(tài)機(jī)中狀態(tài)集作為當(dāng)前狀態(tài)時(shí)�����,可能出現(xiàn)的由于其中一個(gè)當(dāng)前狀態(tài)失效而導(dǎo)致狀態(tài)集中其他當(dāng)前狀態(tài)被迫停止工作的情況,可以在使?fàn)顟B(tài)機(jī)失效后增加判斷狀 態(tài)機(jī)是否有當(dāng)前狀態(tài)的步驟�,以增加系統(tǒng)穩(wěn)定性���。具體方法如圖6所示,包括S601、實(shí)時(shí)對(duì)安全事件進(jìn)行檢測(cè)�����;S602、判斷新的安全事件是否到達(dá)�����,如果是��,則執(zhí)行步驟S603,否則執(zhí)行步驟 S601 ;S603、判斷是否存在狀態(tài)機(jī)與所檢測(cè)到的安全事件相匹配�����,如果是,則執(zhí)行步驟 S606,否則執(zhí)行步驟S604 ;其中��,所述狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配,可以具體為狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致;當(dāng)然�, 與所述檢測(cè)到的安全事件類型一致的狀態(tài)還可以為多個(gè)����。所述狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的 安全事件與所述檢測(cè)到的安全事件類型一致����,包括狀態(tài)機(jī)的初態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致����,或狀態(tài)機(jī)的當(dāng)前狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致�����。本領(lǐng)域技術(shù)人員可知的是��,所述安全事件,是安全系統(tǒng)基于各種攻擊行為所產(chǎn)生 的一種記錄,在安全事件中,可以包括攻擊地址��、攻擊類型���、攻擊時(shí)間等安全屬性。S604�����、判斷是否有安全事件序列樹與所檢測(cè)到的安全事件匹配�,如果是,則執(zhí)行步 驟S605��,否則執(zhí)行步驟S613 �;其中,所述安全事件序列樹與所檢測(cè)到的安全事件匹配為安全事件序列樹中的一 個(gè)安全事件與所檢測(cè)到的安全事件攻擊類型一致��。S605�����、根據(jù)所述安全事件序列樹建立新的狀態(tài)機(jī)���;其中�����,所述安全事件序列樹可以根據(jù)歷史安全事件及歷史安全事件間的關(guān)系預(yù)先 定義����,當(dāng)然�����,所述安全事件序列樹還可以進(jìn)行更新�,添加新的安全事件或刪除舊的安全事 件;本領(lǐng)域技術(shù)人員可知的是���,所述安全事件序列樹可以為多個(gè)�����。S606���、判斷是否所述新安全事件是否滿足所述狀態(tài)機(jī)當(dāng)前狀態(tài)的遷移條件��,如果 是����,則執(zhí)行步驟S607�����,否則�����,執(zhí)行步驟S611 ���;其中��,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi)���,檢測(cè)到預(yù)定數(shù)量的、與狀態(tài) 機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件����;所述狀態(tài)機(jī)的狀態(tài)遷移條件還可以為在預(yù)定時(shí)間內(nèi)��,檢 測(cè)到與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件。S607����、根據(jù)所述狀態(tài)機(jī)狀態(tài)間的轉(zhuǎn)移關(guān)系將當(dāng)前狀態(tài)轉(zhuǎn)移;S608��、判斷當(dāng)前狀態(tài)是否為終態(tài)�,如果是,則執(zhí)行步驟S609���,否則執(zhí)行步驟S601 ��;需要說明的是�,當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí)��,系統(tǒng)即可以根據(jù)狀態(tài)機(jī)的運(yùn)行記錄 生成系統(tǒng)安全日志��。當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)時(shí)��,系統(tǒng)還可以生成安全警報(bào)���,所述安全警報(bào) 可以包含狀態(tài)機(jī)的運(yùn)行記錄���。S609��、使當(dāng)前狀態(tài)失效�����;S610�、判斷所述狀態(tài)機(jī)是否存在當(dāng)前狀態(tài)����,如果是,則執(zhí)行步驟S601��,否則執(zhí)行步 驟 S611 �;S611、結(jié)束所述狀態(tài)機(jī)的運(yùn)行�;
S612、根據(jù)狀態(tài)機(jī)的運(yùn)行記錄����,生成系統(tǒng)安全日志;其中�,在系統(tǒng)安全日志中����,記錄觸發(fā)狀態(tài)機(jī)創(chuàng)建�����、狀態(tài)遷移以及運(yùn)行結(jié)束等安全事 件信息�;所述系統(tǒng)安全日志可以在狀態(tài)機(jī)創(chuàng)建時(shí)生成�����,然后根據(jù)狀態(tài)機(jī)運(yùn)行記錄實(shí)時(shí)或定 時(shí)更新����,也可以在狀態(tài)機(jī)遷移至終態(tài)或狀態(tài)機(jī)結(jié)束運(yùn)行后生成。S613�����、系統(tǒng)結(jié)束運(yùn)行�����。 由于狀態(tài)機(jī)的當(dāng)前狀態(tài)能夠?qū)崟r(shí)地根據(jù)新產(chǎn)生的安全事件和遷移條件進(jìn)行狀態(tài) 的遷移���,因此本實(shí)施例所提供的安全事件關(guān)聯(lián)分析方法能夠?qū)崟r(shí)地對(duì)新產(chǎn)生的安全事件產(chǎn) 生進(jìn)行匹配和記錄�。另一方面,由于狀態(tài)機(jī)記錄了從開始到終態(tài)之間的安全事件的信息���,因 此可以有效提高關(guān)聯(lián)分析結(jié)果的可靠性�����。為了進(jìn)一步幫助理解本發(fā)明���,現(xiàn)舉一較為復(fù)雜的實(shí)例。圖7所示為一種拒絕服務(wù)(D0S���,Denial Of Service)安全事件序列樹���。根據(jù)圖7 所示安全事件序列樹構(gòu)建如圖8所示的狀態(tài)機(jī)D。圖7所示的安全事件序列樹包括第一 安全事件701��、第二安全事件702�、第三安全事件703、第四安全事件704��、第五安全事件705 和第六安全事件706�。相應(yīng)的��,圖8所示的狀態(tài)機(jī)D包括第一狀態(tài)801�、第二狀態(tài)802���、第 三狀態(tài)803����、第四狀態(tài)804���、第五狀態(tài)805和第六狀態(tài)806�。所述第一安全事件701為Port Scan (端口掃描)事件����,第二安全事件為Syn_ flood (TCP建立連接同步數(shù)據(jù)包洪泛攻擊)事件����,第三安全事件為Sadmind_BOF(RPC服務(wù) Sadmind緩沖區(qū)溢出攻擊)事件,第四安全事件為Rsh_Reversion (在既得主機(jī)上安裝拒絕 服務(wù)攻擊軟件Mstream)事件����,第五安全事件為Mstream_Zombie (Mstream傀儡主機(jī)主控端 和受控端交互)事件,第六安全事件為Stream_D0S (傀儡主機(jī)發(fā)送TCP連接建立包����,對(duì)目標(biāo) 進(jìn)行拒絕服務(wù)攻擊)事件�����。當(dāng)當(dāng)前狀態(tài)遷移至第四狀態(tài)804時(shí)����,如果發(fā)生與第四狀態(tài)804所匹配的安全事件 即Rsh_Reversi0n事件并滿足第四狀態(tài)804的遷移條件時(shí)���,狀態(tài)機(jī)D的當(dāng)前狀態(tài)遷移到第 五狀態(tài)805���。在當(dāng)前狀態(tài)遷移至第四狀態(tài)804時(shí),如果發(fā)生Port Scan事件時(shí)��,系統(tǒng)將根據(jù) 安全事件序列樹重新創(chuàng)建一個(gè)狀態(tài)機(jī)E與新產(chǎn)生的Port Scan事件匹配��。當(dāng)然���,在實(shí)際應(yīng) 用中��,由于狀態(tài)機(jī)的運(yùn)行時(shí)間比較短��,而且由于狀態(tài)機(jī)運(yùn)行時(shí)間內(nèi)已有足夠的Port Scan 事件被記錄和關(guān)聯(lián)分析��,所以狀態(tài)機(jī)當(dāng)前狀態(tài)從初態(tài)遷移后在狀態(tài)機(jī)D運(yùn)行過程中發(fā)生的 PortScan事件也可以不必統(tǒng)計(jì)�。以圖7所示安全事件序列樹和圖8所示狀態(tài)機(jī)D舉例來說,假設(shè)系統(tǒng)中不存在狀 態(tài)機(jī)D���,當(dāng)安全事件Port Scan發(fā)生時(shí)�,系統(tǒng)無法找到狀態(tài)機(jī)與PortScan事件匹配�����。系統(tǒng)找 到與Port Scan事件匹配的圖7所示的安全事件序列樹���,于是根據(jù)圖7所示安全事件序列 樹建立狀態(tài)機(jī)D����。狀態(tài)機(jī)D的第一狀態(tài)801可以與Port Scan事件匹配��,于是第一狀態(tài)801 作為當(dāng)前狀態(tài)��,進(jìn)一步判斷第一狀態(tài)801的遷移條件是否被滿足��,如果不滿足����,則結(jié)束狀態(tài) 機(jī)D的運(yùn)行;如果滿足�����,則當(dāng)前狀態(tài)遷移至第二狀態(tài)802和第三狀態(tài)803組成的狀態(tài)集�����。假 設(shè)后續(xù)發(fā)生SadmincLBOF事件�����,且第三狀態(tài)803的遷移條件被滿足����,則遷移至第四狀態(tài)804。 假設(shè)后續(xù)再次發(fā)生Port Scan事件���,系統(tǒng)無法找到狀態(tài)機(jī)的當(dāng)前狀態(tài)與Port Scan事件匹 配�,所以再次根據(jù)圖7所示安全事件序列樹建立一新的狀態(tài)機(jī)與其匹配�����。當(dāng)然,系統(tǒng)也可以 在狀態(tài)機(jī)D運(yùn)行期間內(nèi)忽略PortScan事件的發(fā)生�����。假設(shè)后續(xù)接連發(fā)生RSh_ReverSion事 件��、Mstream_Zombie事件和Stream_Dos事件����,且第四狀態(tài)機(jī)804、第五狀態(tài)機(jī)805和第六狀態(tài)機(jī)806的遷移條件先后被滿足����,則狀態(tài)機(jī)的當(dāng)前狀態(tài)在經(jīng)過第五狀態(tài)805后遷移至終態(tài) 第六狀態(tài)806,系統(tǒng)使第六狀態(tài)806失效�。這時(shí),如果狀態(tài)機(jī)D中還有當(dāng)前狀態(tài)(如第二 狀態(tài)802和第三狀態(tài)803組成的狀態(tài)集中第二狀態(tài)802依然作為當(dāng)前狀態(tài)工作)�����,則繼續(xù)等 待安全事件的發(fā)生�。如果不存在當(dāng)前狀態(tài),則結(jié)束狀態(tài)機(jī)D的運(yùn)行�,并根據(jù)狀態(tài)機(jī)D的運(yùn)行 記錄���,生成系統(tǒng)安全日志�����。
當(dāng)然��,還可以在狀態(tài)機(jī)D運(yùn)行結(jié)束后生成安全警報(bào)���。由于狀態(tài)機(jī)的當(dāng)前狀態(tài)能夠?qū)崟r(shí)地根據(jù)新產(chǎn)生的安全事件和遷移條件進(jìn)行狀態(tài) 的遷移�,因此本實(shí)施例所提供的安全事件關(guān)聯(lián)分析方法能夠?qū)崟r(shí)地對(duì)新產(chǎn)生的安全事件產(chǎn) 生進(jìn)行匹配和記錄��。另一方面�,由于狀態(tài)機(jī)記錄了從開始到終態(tài)之間的安全事件的信息,因 此可以有效提高關(guān)聯(lián)分析結(jié)果的可靠性�����。通過以上的實(shí)施方式的描述可知���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可 借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)���。基于這樣的理解�,本發(fā)明的技術(shù)方案本質(zhì) 上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計(jì)算機(jī)軟件產(chǎn)品 可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如ROM/RAM���、磁碟���、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備 (可以是個(gè)人計(jì)算機(jī)��,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些 部分所述的方法。相應(yīng)于本發(fā)明提供的安全事件關(guān)聯(lián)分析方法�����,本發(fā)明還提供了一種安全事件關(guān)聯(lián) 分析系統(tǒng)��。如圖9所示���,本實(shí)施例的安全事件關(guān)聯(lián)分析系統(tǒng)包括安全事件檢測(cè)模塊901��、匹配判斷模塊902��、狀態(tài)機(jī)創(chuàng)建模塊903����、遷移模塊904��、終 態(tài)判斷模塊905���、終止模塊906����、安全日志生成模塊907 ��;安全事件檢測(cè)模塊901����,用于檢測(cè)安全事件是否產(chǎn)生,如果產(chǎn)生�����,則發(fā)送一信號(hào)到 所述匹配判斷模塊902;匹配判斷模塊902�����,用于接收到所述安全事件檢測(cè)模塊901發(fā)送的信號(hào)后,判斷系 統(tǒng)中是否存在狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配�����,如果是�,則發(fā)送一信號(hào)到所述遷移 模塊904,否則發(fā)送一信號(hào)到所述狀態(tài)機(jī)創(chuàng)建模塊903 ����;所述狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配,包括狀態(tài)機(jī)的初態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致���,或狀態(tài)機(jī)的當(dāng)前狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致�。狀態(tài)機(jī)創(chuàng)建模塊903��,用于接收到所述匹配判斷模塊902發(fā)送的信號(hào)后�����,根據(jù)預(yù)先 定義的安全事件序列樹�����,創(chuàng)建與所述安全事件相匹配的狀態(tài)機(jī)��,其中,所述安全事件序列樹 的每個(gè)節(jié)點(diǎn)對(duì)應(yīng)所述狀態(tài)機(jī)的一個(gè)狀態(tài)�����;遷移模塊904�����,用于接收到所述匹配判斷模塊902發(fā)送的信號(hào)后����,判斷系統(tǒng)檢測(cè)到 的安全事件是否滿足所述狀態(tài)機(jī)的遷移條件�����,如果是����,則對(duì)狀態(tài)機(jī)進(jìn)行狀態(tài)遷移,否則發(fā)送 一信號(hào)到所述終止模塊906 ����;其中,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi)����,檢測(cè)到 預(yù)定數(shù)量的���、與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件。需要說明的是�����,狀態(tài)機(jī)的遷移條件未被滿足即為沒有在預(yù)定時(shí)間內(nèi)���,檢測(cè)到預(yù)定 數(shù)量的��、與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件�;因?yàn)闋顟B(tài)機(jī)的當(dāng)前狀態(tài)會(huì)在預(yù)定時(shí)間等待 安全事件的發(fā)生�,故當(dāng)狀態(tài)機(jī)的遷移條件未被滿足時(shí),狀態(tài)機(jī)的當(dāng)前狀態(tài)必然出現(xiàn)超時(shí)的情況����。所以當(dāng)狀態(tài)機(jī)的當(dāng)前狀態(tài)出現(xiàn)超時(shí)時(shí),可以判斷所述當(dāng)前狀態(tài)的遷移條件未被滿足��。需要說明的是��,狀態(tài)機(jī)當(dāng)前狀態(tài)的遷移能反映出攻擊活動(dòng)的因果發(fā)展情況。終態(tài)判斷模塊905���,用于判斷所述狀態(tài)機(jī)的當(dāng)前狀態(tài)是否為終態(tài)����,如果是�,則發(fā)送 一信號(hào)到終止模塊906;終止模塊906,用于在接收到所述遷移模塊904或終態(tài)判斷模塊905發(fā)送的信號(hào)后 結(jié)束所述狀態(tài)機(jī)的運(yùn)行�����;
安全日志生成模塊907���,用于根據(jù)狀態(tài)機(jī)的運(yùn)行記錄,生成系統(tǒng)安全日志����。圖9中終止模塊906與安全日志生成模塊907相連,需要說明的是���,安全日志的生 成的過程可以為由除安全日志生成模塊907以外的模塊實(shí)時(shí)記錄狀態(tài)機(jī)的運(yùn)行數(shù)據(jù)���,最 后經(jīng)由終止模塊906將狀態(tài)機(jī)的運(yùn)行記錄輸出給安全日志生成模塊907,由安全日志生成 模塊907生成安全日志����。當(dāng)然��,安全日志的生成過程還可以為除安全日志生成模塊907以 外模塊實(shí)時(shí)將系統(tǒng)運(yùn)行記錄輸出給安全日志生成模塊907�����,由安全日志生成模塊907生成 安全日志��。本領(lǐng)域技術(shù)人員可以理解的是�,以上所述安全日志的生成過程的改變將帶來的 系統(tǒng)連接關(guān)系的改變�����,這些連接關(guān)系也在本發(fā)明的公開范圍內(nèi)���。由于狀態(tài)機(jī)的當(dāng)前狀態(tài)能夠?qū)崟r(shí)地根據(jù)新產(chǎn)生的安全事件和遷移條件進(jìn)行狀態(tài) 的遷移���,因此本實(shí)施例所提供的安全事件關(guān)聯(lián)分析方法能夠?qū)崟r(shí)地對(duì)新產(chǎn)生的安全事件進(jìn) 行匹配和記錄。另一方面���,由于狀態(tài)機(jī)記錄了從開始到終態(tài)之間的安全事件的信息���,因此可 以有效提高關(guān)聯(lián)分析結(jié)果的可靠性��。本領(lǐng)域技術(shù)人員可知的是���,為了減輕系統(tǒng)運(yùn)行負(fù)擔(dān),還可以添加狀態(tài)機(jī)刪除模塊��, 用于在結(jié)束狀態(tài)機(jī)運(yùn)行后�����,將所述狀態(tài)機(jī)刪除��。如圖10所示����,在圖9所示的系統(tǒng)結(jié)構(gòu)示意圖中添加了狀態(tài)機(jī)刪除模塊908���。終止模塊906在終止?fàn)顟B(tài)機(jī)運(yùn)行后輸出一信號(hào)到狀態(tài)機(jī)刪除模塊908�,狀態(tài)機(jī)刪 除模塊908在收到所述信號(hào)后將所述狀態(tài)機(jī)刪除���。本領(lǐng)域技術(shù)人員可知的是���,為了使技術(shù)人員及時(shí)得到系統(tǒng)的安全日志�����,還可以增 加安全警報(bào)生成模塊���,用于在所述狀態(tài)機(jī)遷移至終態(tài)時(shí),生成安全警報(bào)��。如圖11所示�����,在圖9所示的系統(tǒng)結(jié)構(gòu)示意圖中添加了安全警報(bào)生成模塊909�����。終止模塊906在終止?fàn)顟B(tài)機(jī)運(yùn)行后輸出一信號(hào)到安全警報(bào)生成模塊909�����,安全警 報(bào)生成模塊909在收到所述信號(hào)后生成安全警報(bào)�。需要說明的是,所述安全日志生成模塊907生成的安全日志可以在安全警報(bào)生成 模塊909生成的安全警報(bào)中顯示����。為了描述的方便���,描述以上裝置時(shí)以功能分為各種單元分別描述。當(dāng)然���,在實(shí)施本 發(fā)明時(shí)可以把各單元的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)���。本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部 分互相參見即可�,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其��,對(duì)于系統(tǒng)實(shí) 施例而言�,由于其基本相似于方法實(shí)施例,所以描述得比較簡(jiǎn)單����,相關(guān)之處參見方法實(shí)施例 的部分說明即可��。以上所描述的系統(tǒng)實(shí)施例僅僅是示意性的�,其中所述作為分離部件說明 的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是 物理單元���,即可以位于一個(gè)地方�,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?����?梢愿鶕?jù)實(shí)際的需要 選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的�����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下����,即可以理解并實(shí)施。
本發(fā)明可用于眾多通用或?qū)S玫挠?jì)算系統(tǒng)環(huán)境或配置中���。例如個(gè)人計(jì)算機(jī)�����、服務(wù) 器計(jì)算機(jī)�、手持設(shè)備或便攜式設(shè)備�、平板型設(shè)備、多處理器系統(tǒng)�、基于微處理器的系統(tǒng)���、置頂 盒、可編程的消費(fèi)電子設(shè)備����、網(wǎng)絡(luò)PC、小型計(jì)算機(jī)����、大型計(jì)算機(jī)、包括以上任何系統(tǒng)或設(shè)備的 分布式計(jì)算環(huán)境等等����。本發(fā)明可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述,例如程序 模塊���。一般地�,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程���、程序���、對(duì)象���、組 件��、數(shù)據(jù)結(jié)構(gòu)等等��。也可以在分布式計(jì)算環(huán)境中實(shí)踐本發(fā)明�����,在這些分布式計(jì)算環(huán)境中����,由 通過通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來執(zhí)行任務(wù)。在分布式計(jì)算環(huán)境中���,程序模塊可以 位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中��。以上所述僅是本發(fā)明的具體實(shí)施方式
���,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說��,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng) 視為本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
一種安全事件關(guān)聯(lián)分析方法�����,其特征在于�,包括A、系統(tǒng)檢測(cè)到安全事件后�����,判斷系統(tǒng)中是否存在與所述檢測(cè)到的安全事件相匹配的狀態(tài)機(jī)�,如果是,執(zhí)行步驟C�,否則執(zhí)行步驟B;B��、根據(jù)預(yù)先定義的安全事件序列樹�����,在系統(tǒng)中創(chuàng)建與所述檢測(cè)到的安全事件相匹配的狀態(tài)機(jī),執(zhí)行步驟C����;其中�����,所述安全事件序列樹的每個(gè)節(jié)點(diǎn)對(duì)應(yīng)所述狀態(tài)機(jī)的一個(gè)狀態(tài)��;C�����、如果系統(tǒng)檢測(cè)到的安全事件滿足所述狀態(tài)機(jī)的遷移條件���,則對(duì)該狀態(tài)機(jī)進(jìn)行狀態(tài)遷移���;其中,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi)����,檢測(cè)到預(yù)定數(shù)量的、與狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件���;D��、當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)或所述狀態(tài)機(jī)當(dāng)前狀態(tài)發(fā)生超時(shí)��,結(jié)束所述狀態(tài)機(jī)的運(yùn)行����;E、根據(jù)所述狀態(tài)機(jī)的運(yùn)行記錄�,生成系統(tǒng)安全日志。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述步驟A中�����,狀態(tài)機(jī)與所述檢測(cè)到的安 全事件相匹配�,具體為狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述狀態(tài)機(jī)的某個(gè)狀態(tài)所對(duì)應(yīng)的安全事 件與所述檢測(cè)到的安全事件類型一致,包括狀態(tài)機(jī)的初態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致��,或狀態(tài)機(jī)的當(dāng)前狀態(tài)所對(duì)應(yīng)的安全事件與所述檢測(cè)到的安全事件類型一致。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述步驟D包括當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)或所述狀態(tài)機(jī)當(dāng)前狀態(tài)發(fā)生超時(shí)時(shí)����,使所述狀態(tài)機(jī)的所述當(dāng) 前狀態(tài)失效并判斷所述狀態(tài)機(jī)是否還存在當(dāng)前狀態(tài)�����,如果否���,則結(jié)束所述狀態(tài)機(jī)的運(yùn)行�。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述步驟D中,結(jié)束所述狀態(tài)機(jī)的運(yùn)行后 還包括在系統(tǒng)中刪除所述狀態(tài)機(jī)�����。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于����,還包括當(dāng)所述狀態(tài)機(jī)遷移至終態(tài)后,生成安全警報(bào)�����。
7.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述步驟E包括在系統(tǒng)安全日志中,記錄觸發(fā)狀態(tài)機(jī)創(chuàng)建����、狀態(tài)遷移以及運(yùn)行結(jié)束的安全事件信息。
8.一種安全事件關(guān)聯(lián)分析系統(tǒng)���,其特征在于�����,包括安全事件檢測(cè)模塊���、匹配判斷模 塊����、狀態(tài)機(jī)創(chuàng)建模塊�、遷移模塊、終態(tài)判斷模塊���、終止模塊、安全日志生成模塊�;安全事件檢測(cè)模塊,用于檢測(cè)安全事件是否產(chǎn)生���,如果產(chǎn)生�����,則發(fā)送一信號(hào)到所述匹配 判斷模塊����;匹配判斷模塊��,用于接收到所述安全事件檢測(cè)模塊發(fā)送的信號(hào)后,判斷系統(tǒng)中是否存 在狀態(tài)機(jī)與所述檢測(cè)到的安全事件相匹配���,如果是��,則發(fā)送一信號(hào)到所述遷移模塊���,否則發(fā) 送一信號(hào)到所述狀態(tài)機(jī)創(chuàng)建模塊;狀態(tài)機(jī)創(chuàng)建模塊�,用于接收到所述匹配判斷模塊發(fā)送的信號(hào)后,根據(jù)預(yù)先定義的安全 事件序列樹��,創(chuàng)建與所述安全事件相匹配的狀態(tài)機(jī)��,其中�����,所述安全事件序列樹的每個(gè)節(jié)點(diǎn) 對(duì)應(yīng)所述狀態(tài)機(jī)的一個(gè)狀態(tài)���;遷移模塊���,用于接收到所述匹配判斷模塊發(fā)送的信號(hào)后,判斷系統(tǒng)檢測(cè)到的安全事件是否滿足所述狀態(tài)機(jī)的遷移條件��,如果是,則對(duì)狀態(tài)機(jī)進(jìn)行狀態(tài)遷移�����,否則發(fā)送一信號(hào)到所 述終止模塊�����;其中��,所述狀態(tài)機(jī)的狀態(tài)遷移條件為在預(yù)定時(shí)間內(nèi)����,檢測(cè)到預(yù)定數(shù)量的、與 狀態(tài)機(jī)當(dāng)前狀態(tài)相對(duì)應(yīng)的安全事件�;終態(tài)判斷模塊����,用于判斷所述狀態(tài)機(jī)的當(dāng)前狀態(tài)是否為終態(tài),如果是�����,則發(fā)送一信號(hào)到 終止模塊���,終止模塊�����,用于在接收到所述遷移模塊或終態(tài)判斷模塊發(fā)送的信號(hào)后結(jié)束所述狀態(tài)機(jī) 的運(yùn)行����;安全日志生成模塊,用于根據(jù)所述狀態(tài)機(jī)的運(yùn)行記錄�����,生成系統(tǒng)安全日志��。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其特征在于,還包括狀態(tài)機(jī)刪除模塊����,用于在所述終止 模塊結(jié)束所述狀態(tài)機(jī)的運(yùn)行后,在系統(tǒng)中刪除所述狀態(tài)機(jī)��。
10.根據(jù)權(quán)利要求8所述的系統(tǒng)����,其特征在于���,還包括安全警報(bào)生成模塊,用于當(dāng)所述 遷移模塊將所述狀態(tài)機(jī)遷移至終態(tài)時(shí)���,生成安全警報(bào)����。
全文摘要
本發(fā)明公開了一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)���,采用狀態(tài)機(jī)實(shí)時(shí)記錄安全事件的發(fā)展��。當(dāng)新到達(dá)的安全事件能夠和狀態(tài)機(jī)相匹配時(shí)���,根據(jù)狀態(tài)機(jī)的遷移條件判斷是否進(jìn)行狀態(tài)遷移操作;當(dāng)無法找到狀態(tài)機(jī)與之匹配時(shí)����,根據(jù)預(yù)先定義的安全事件序列樹建立新的狀態(tài)機(jī)與之匹配�。當(dāng)狀態(tài)機(jī)遷移至終態(tài)或發(fā)生超時(shí)時(shí),結(jié)束狀態(tài)機(jī)運(yùn)行并生成系統(tǒng)安全日志����。狀態(tài)機(jī)實(shí)時(shí)記錄從開始到終態(tài)之間的安全事件的信息�����,進(jìn)而可以有效提高關(guān)聯(lián)分析結(jié)果的可靠性�。
文檔編號(hào)H04L12/26GK101958897SQ201010292868
公開日2011年1月26日 申請(qǐng)日期2010年9月27日 優(yōu)先權(quán)日2010年9月27日
發(fā)明者馮學(xué)偉, 況曉輝, 唐劍, 崔益民, 方蘭, 明亮, 李津, 李遠(yuǎn)玲, 王東霞, 王春雷, 陳杰, 馬國(guó)慶, 黃敏桓 申請(qǐng)人:北京系統(tǒng)工程研究所