本发明专利技术涉及一种针对高级持续攻击的安全问题交叉关联方法及系统,所述方法包括:步骤1,采集安全问题;步骤2,对不同的安全问题进行统一定义,包括:使用不同的代码定义安全问题的类型,再定义各种类型的安全问题所包含的字段,并定义各字段所支持的运算符号;步骤3,根据关联需求,对统一定义后的安全问题进行筛选,再基于安全问题所包含的字段对筛选出的安全问题进行分组,并对每组安全问题的相关字段进行关系运算,获得不同安全问题的交叉关联关系。本发明专利技术对不同的安全问题进行统一处理,且支持长时间的关联分析。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及一种针对高级持续攻击的安全问题交叉关联方法及系统,所述方法包括:步骤1,采集安全问题;步骤2,对不同的安全问题进行统一定义,包括:使用不同的代码定义安全问题的类型,再定义各种类型的安全问题所包含的字段,并定义各字段所支持的运算符号;步骤3,根据关联需求,对统一定义后的安全问题进行筛选,再基于安全问题所包含的字段对筛选出的安全问题进行分组,并对每组安全问题的相关字段进行关系运算,获得不同安全问题的交叉关联关系。本专利技术对不同的安全问题进行统一处理,且支持长时间的关联分析。【专利说明】一种针对高级持续攻击的安全问题交叉关系方法及系统
本专利技术涉及信息安全
,特别是涉及一种针对高级持续攻击的安全问题交 叉关系方法及系统。
技术介绍
交叉关联分析是信息安全问题分析的主要方法,它本质上是将不同类型(包括设 备或系统种类不同、性质不同、时间跨度不同等)的安全问题进行汇总而发现它们之间可 能存在的逻辑关系,并通过一定的告警和响应(如邮件、短信等)方式提醒用户。 目前,市场上较为成熟的 SIEMS (Security Information Event Management System,即安全信息事件管理系统)产品一般都提供关联分析功能,主要包括两种类型:其 一为同种性质的安全问题关联,如仅关联分析运行日志或攻击事件;其二为可以关联分析 不同类型的安全问题,如运行日志和漏洞之间可能存在的问题,一般是某种特定的日志和 某种特定的漏洞之间的关联关系,这样做的目的可以有效地降低系统误报率。但它们都存 在一定的问题(如卓豪的ManageEngine、Alien Vault的0SSIM等),表现在如下几点: 1) 一般仅支持同种安全问题的关联分析; 2)即使支持交叉关联,但也仅局限在固定类型的安全问题交叉关联分析,如运行 日志和漏洞之间,很难进行扩展,如运行日志和安全配置问题(安全配置问题是指系统上 存在的、固有的配置问题,如密码长度过短、复杂度过低等)之间的关联; 3) -般关联分析支持的时间范围有限,即基本均是实时分析,其分析的时间跨 度不会超过24小时,这对于分析和防范高级持续攻击是无能为力的(高级持续攻击,即 Advanced Persistant Threat,缩写为APT),因为其攻击特征不太明显,而且攻击者可能会 综合使用各种手段,加之攻击持续时间长,有的可能会到达一年以上;另外,攻击的频率较 低,通过概率统计分析也无法发现。 综上所述,想通过传统的交叉关联分析是很难发现高级持续攻击,从而本专利技术提 出了一种新的针对高级持续攻击的安全问题交叉关系方法及系统。
技术实现思路
本专利技术所要解决的技术问题是提供一种针对高级持续攻击的安全问题交叉关系 方法及系统,用于解决传统的交叉关联分析是很难发现高级持续攻击的技术问题。 本专利技术解决上述技术问题的技术方案如下:一种针对高级持续攻击的安全问题交 叉关联方法,包括 : 步骤1,采集安全问题; 步骤2,对不同的安全问题进行统一定义,包括:使用不同的代码定义安全问题的 类型,再定义各种类型的安全问题所包含的字段,并定义各字段所支持的运算符号; 步骤3,根据关联需求,对统一定义后的安全问题进行筛选,再基于安全问题所包 含的字段对筛选出的安全问题进行分组,并对每组安全问题的相关字段进行关系运算,获 得不同安全问题的交叉关联关系。 对应地,本专利技术的技术方案还包括针对高级持续攻击的安全问题交叉关联系统, 包括依次连接的采集部件、格式定义部件和交叉关联分析部件: 采集部件,其用于采集安全问题; 格式定义部件,其用于对不同的安全问题进行统一定义,包括:使用不同的代码 定义安全问题的类型,再定义每种安全问题所包含的字段,并定义各字段所支持的运算符 号; 交叉关联分析部件,其用于根据关联需求,对统一定义后的安全问题进行筛选,再 基于安全问题所包含的字段对筛选出的安全问题进行分组,并对每组安全问题的相关字段 进行关系运算,获得不同安全问题的交叉关联关系。 本专利技术的有益效果是: 一、通过利用统一定义的安全问题格式,解决了不同类型安全问题之间交叉关联 的一致性,即使增加其它类型的安全问题,如安全配置或策略的变更问题(例如用户口令 文件变化、防火墙访问控制策略变化、入侵检测策略变化等),只要进行相关数据定义即可, 而不用进行重复开发。 二、由于采用了数据暂存的技术,且可以利用外部存储(磁盘存储),故可以支持 长时间地交叉关联分析,因此能对发现高级持续攻击提供良好支撑;由于对多种安全问题 进行综合分析,故结果更为可靠。 三、由于本身就支持对各类安全问题的筛选、分组和暂存,故这些数据也可以作为 统计报表的来源,从而提高了系统复用程度,能够良好地支持多数场景对于数据统计的要 求。 【专利附图】【附图说明】 图1为本专利技术所述针对高级持续攻击的安全问题交叉关联方法的流程示意图; 图2为本专利技术所述针对高级持续攻击的安全问题交叉关联系统的结构示意图。 【具体实施方式】 以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并 非用于限定本专利技术的范围。 如图1所示,本实施例给出了一种针对高级持续攻击的安全问题交叉关联方法, 包括: 步骤1,采集安全问题; 步骤2,对不同的安全问题进行统一定义,包括:使用不同的代码定义安全问题的 类型,再定义各种类型安全问题所包含的字段,并定义各字段所支持的运算符号; 步骤3,根据关联需求,对统一定义后的安全问题进行筛选,再基于安全问题所包 含的字段对筛选出的安全问题进行分组,并对每组安全问题的相关字段进行关系运算,获 得不同安全问题的交叉关联关系; 步骤4,对存在交叉关联关系的安全问题,生成该安全问题所对应的告警信息。 其中,所述步骤3还包括对所有安全问题数据进行暂存,且进行暂存的方式包括 将安全问题数据临时存放在内存中,或将安全问题数据同步到磁盘中。 对应地,如图2所示,本实施例同时给出了针对高级持续攻击的安全问题交叉关 联系统,包括依次连接的采集部件、格式定义部件和交叉关联分析部件,还包括数据暂存部 件和告警信息生成部件: 所述采集部件,其用于采集安全问题; 所述格式定义部件,其用于对不同的安全问题进行统一定义,包括:使用不同的代 码定义安全问题的类型,再定义各种类型的安全问题所包含的字段,并定义各字段所支持 的运算符号; 所述交叉关联分析部件,其用于根据关联需求,对统一定义后的安全问题进行筛 选,再基于安全问题所包含的字段对筛选出的安全问题进行分组,并对每组安全问题的相 关字段进行关系运算,获得不同安全问题的交叉关联关系; 所述数据暂存部件,其用于对所有安全问题数据进行暂存,且进行暂存的方式包 括将安全问题数据临时存放在内存中,或将安全问题数据同步到磁盘中; 所述告警信息生成部件,其用于对存在交叉关联关系的安全问题,生成该安全问 题所对应的告警信息。 基于如图1所示的方法流程及如图2所示的系统结构,本实施例的具体实施过程 分为以下几个部分。 -、安全本文档来自技高网...
【技术保护点】
一种针对高级持续攻击的安全问题交叉关联方法,其特征在于,包括:步骤1,采集安全问题;步骤2,对不同的安全问题进行统一定义,包括:使用不同的代码定义安全问题的类型,再定义各种类型的安全问题所包含的字段,并定义各字段所支持的运算符号;步骤3,根据关联需求,对统一定义后的安全问题进行筛选,再基于安全问题所包含的字段对筛选出的安全问题进行分组,并对每组安全问题的相关字段进行关系运算,获得不同安全问题的交叉关联关系。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈虎,唐开达,
申请(专利权)人:北京江南天安科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。