一种基于安全管理平台的改进交叉关联方法及系统.pdf

本发明提供了一种基于安全管理平台的改进交叉关联方法及系统，该方法包括在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state。本发明提高了交叉关联算法的正确性和有效性，降低了安全管理平台产生误告警以及冗余告警信息的概率。

权利要求书1.  一种基于安全管理平台的改进交叉关联方法，其特征在于，该方法包括：S1.在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state；其中，所述关联事件状态state的值为old、closed或new；S2.对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；否则，丢弃该事件；S3.判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则判断关联事件状态state，若state为new，执行步骤S4；若state为old，执行步骤S5；若state为closed，执行步骤S6；如果ip不匹配，则丢弃该关联事件；S4.提升所述关联事件的优先级；S5.判断state为old状态持续时间是否超过预设的阈值，若是，丢弃该关联事件；否则，提升所述关联事件的优先级；S6.丢弃该关联事件。2.  根据权利要求1所述的方法，其特征在于，所述事件的目的ip为受攻击的主机ip或网段ip。3.  根据权利要求1所述的方法，其特征在于，该方法还包括：对于状态为closed的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。4.  根据权利要求1所述的方法，其特征在于，该方法还包括：每隔设定的时间间隔，将交叉关联表中状态为closed的事件记录清除。5.  根据权利要求1所述的方法，其特征在于，该方法还包括：判断关联事件是否产生告警，若产生告警，则存储两个关联事件，其中，判断关联事件是否产生告警的方法为：S51.设定告警阈值；S52.获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根据公式：risk＝(可靠性*优先级*ip主机重要性)/预设值，分别计算该关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险值；S53.判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否则，不告警。6.  一种基于安全管理平台的改进交叉关联系统，其特征在于，该系统包括：交叉关联表设置模块，用于在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state；其中，所述关联事件状态state的值为old、closed或new；改进交叉关联表更新模块，用于对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；匹配判断模块，用于判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则执行关联状态判断模块；如果ip不匹配，则执行第二执行模块；关联状态判断模块，用于判断关联事件状态state，若state为new，执行第一执行模块；若state为old，执行超时判断模块；若state为closed，执行第二执行模块；超时判断模块，用于判断state为old状态持续时间是否超过预设的阈值，若是，执行第二执行模块；否则，执行第一执行模块；第一执行模块，用于提升所述关联事件的优先级；第二执行模块，用于丢弃该关联事件。7.  根据权利要求6所述的系统，其特征在于，所述事件的目的ip为受攻击的主机ip或网段ip。8.  根据权利要求6所述的系统，其特征在于，该系统还包括closed状态事件处理模块，用于对状态为closed的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。9.  根据权利要求6所述的系统，其特征在于，该系统还包括记录清除模块，用于每隔设定的时间间隔，将交叉关联表中状态为closed的事件记录清除。10.  根据权利要求6所述的系统，其特征在于，该系统还包括告警模块，包括告警判断单元和存储单元，告警判断单元用于判断关联事件是否产生告警，若产生告警，并则执行存储单元；存储单元，用于存储两个关联事件；其中，告警判断单元包括：告警阈值设定子单元，用于设定告警阈值；风险值计算子单元，用于获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根据公式：risk＝(可靠性*优先级*ip主机重要性)/预设值，分别计算该关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险值；判断子单元，用于判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否则，不告警。

说明书一种基于安全管理平台的改进交叉关联方法及系统
技术领域
本发明涉及计算机技术领域，具体涉及一种基于安全管理平台的改进交叉关联方法及系统。
背景技术
安全管理平台集成了多种网络安全设备例如防火墙，入侵检测工具，漏扫工具，资产扫描工具等的日志信息，并根据不同的算法提取出有效的日志，转换成安全事件进行关联分析，并根据一定的计算公式计算事件的风险值，产生新的告警信息。为了减少无效的报警，将入侵检测获得的信息与漏洞扫描获得的信息进行关联，判断系统是否容易受到某种安全事件的威胁，从而决定是否产生相应的报警。这种关联方法也称为漏洞关联，在一定程度上有助于识别系统中的误报警。除了将入侵检测信息与漏洞信息进行关联外，现有的安全管理平台还增加了其他安全检测信息之间的关联，比如防火墙与漏洞信息之间的关联，这种关联方法也可以统一的称为交叉关联方法。
现有的交叉关联技术在上报的安全事件出现较大的时间延误或者某个漏洞已经被处理，但未及时更新的情况时，容易造成重复处理，或错误的处理，降低了交叉关联的效率。
发明内容
针对现有技术的不足，本发明提供一种基于安全管理平台的改进交叉关联方法及系统，提高了交叉关联算法的正确性和有效性，降低了安全管理平台产生误告警以及冗余告警信息的概率。
为实现上述目的，本发明通过以下技术方案予以实现：
一种基于安全管理平台的改进交叉关联方法，该方法包括：
S1.在传统的交叉关联表的基础之上增加事件目的ip和状态state 两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state；其中，所述关联事件状态state的值为old、closed或new；
S2.对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；否则，丢弃该事件；
S3.判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则判断关联事件状态state，若state为new，执行步骤S4；若state为old，执行步骤S5；若state为closed，执行步骤S6；如果ip不匹配，则丢弃该关联事件；
S4.提升所述关联事件的优先级；
S5.判断state为old状态持续时间是否超过预设的阈值，若是，丢弃该关联事件；否则，提升所述关联事件的优先级；
S6.丢弃该关联事件。
优选地，所述事件的目的ip为受攻击的主机ip或网段ip。
优选地，该方法还包括：对于状态为closed的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。
优选地，该方法还包括：每隔设定的时间间隔，将交叉关联表中状态为closed的事件记录清除。
优选地，该方法还包括：判断关联事件是否产生告警，若产生告警，则存储两个关联事件，其中，判断关联事件是否产生告警的方法为：
S51.设定告警阈值；
S52.获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根据公式：risk＝(可靠性*优先级*ip主机重要性)/预设值，分别计算该关联事件在源ip和目的ip主机上对应的风险值，比较这两 个风险值，取较大的作为所述关联事件的风险值；
S53.判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否则，不告警。
一种基于安全管理平台的改进交叉关联系统，该系统包括：
交叉关联表设置模块，用于在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state；其中，所述关联事件状态state的值为old、closed或new；
改进交叉关联表更新模块，用于对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；
匹配判断模块，用于判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则执行关联状态判断模块；如果ip不匹配，则执行第二执行模块；
关联状态判断模块，用于判断关联事件状态state，若state为new，执行第一执行模块；若state为old，执行超时判断模块；若state为closed，执行第二执行模块；
超时判断模块，用于判断state为old状态持续时间是否超过预设的阈值，若是，执行第二执行模块；否则，执行第一执行模块；
第一执行模块，用于提升所述关联事件的优先级；
第二执行模块，用于丢弃该关联事件。
优选地，所述事件的目的ip为受攻击的主机ip或网段ip。
优选地，该系统还包括closed状态事件处理模块，用于对状态为closed的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。
优选地，该系统还包括记录清除模块，用于每隔设定的时间间隔，将交叉关联表中状态为closed的事件记录清除。
优选地，该系统还包括告警模块，包括告警判断单元和存储单元，告警判断单元用于判断关联事件是否产生告警，若产生告警，并则执行存储单元；
存储单元，用于存储两个关联事件；
其中，告警判断单元包括：
告警阈值设定子单元，用于设定告警阈值；
风险值计算子单元，用于获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根据公式：risk＝(可靠性*优先级*ip主机重要性)/预设值，分别计算该关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险值；
判断子单元，用于判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否则，不告警。
本发明至少具有如下的有益效果：
现有技术不能实时的对安全事件进行处理，需要经常更新漏洞库，以保证关联的正确性。本发明在关联方法中考虑了安全事件的状态，能够保证对系统实时安全状态的处理，以受攻击主机的ip做为关联的一个条件，则能够更产生更准确的关联结果，减少误报和冗余告警事件，减轻安全管理平台处理报警的压力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中基于安全管理平台的改进交叉关联的流程图；
图2是本发明一个实施例中基于安全管理平台的改进交叉关联系 统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
交叉关联算法是关联分析模块的一个重要的算法，其主要思想是根据交叉关联表判断两个事件是否相关，从而产生新的关联事件。传统的交叉关联表中只有确定事件类别的id(产生事件的设备号)和sid(该设备产生的事件类型号)属性对，以及与之相关联事件的属性对。详细的关联表如下：
表一：传统的交叉关联表
idsidid_referencesid_reference10011100211001110031
本发明在传统的交叉关联表中增加了事件目的ip(受攻击的设备)和state(事件状态)属性，具体地见下面改进的交叉关联表。
表二：改进的交叉关联表
ipidsidid_referencesid_referencestate1.1.1.11001110031new1.1.1.21001110021closed
上表中包含{ip,id,sid,id_reference,sid_referenc,state}属性的记录就代表两个相关联的安全事件。State的值为old、closed或new。
参见图1，本发明实施例提出了一种基于安全管理平台的改进交叉关联方法，该方法包括：
步骤101：在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state；其中，所述关联事件状态state的值为old、closed或new。
步骤102：对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中，否则，丢弃该事件。
在本步骤中，所述事件的目的ip为受攻击的主机ip或网段ip。
步骤103：判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则判断关联事件状态state，若state为new，执行步骤104；若state为old，执行步骤105；若state为closed，执行步骤106；如果ip不匹配，则丢弃该关联事件。
步骤104：提升所述关联事件的优先级。
步骤105：判断state为old状态持续时间是否超过预设的阈值，若是，丢弃该关联事件；否则，提升所述关联事件的优先级。
步骤106：丢弃该关联事件。
另外，如果系统收到的上报事件的状态为closed(比如漏扫工具检测到某个漏洞已经被补上，需要更新漏扫事件的状态为closed)，则需要根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。
另外，每隔设定的时间间隔，将交叉关联表中状态为closed的事件记录清除。
另外，该方法还包括判断所述关联事件是否产生告警，若产生告警，则存储两个关联事件，方便追溯告警源头。其中，判断关联事件是否产生告警的方法为：
1.设定告警阈值；
2.获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资 产重要性，根据公式：risk＝(可靠性*优先级*ip主机重要性)/预设值，分别计算该关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险值；
3.判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否则，不告警。
本发明实施例在关联方法中考虑了安全事件的状态，能够保证对系统实时安全状态的处理，另外该方法以受攻击主机的ip做为关联的一个条件，则能够产生更准确的关联结果，减少误报和冗余告警事件，减轻安全管理平台处理报警的压力。
参见图2，本发明另一个实施例还提出了一种基于安全管理平台的改进交叉关联系统，该系统包括：
交叉关联表设置模块201，用于在传统的交叉关联表的基础之上增加事件目的ip和状态state两项内容，使改进的交叉关联表包含：事件目的ip、事件设备号id、事件类型号sid、关联事件设备号id_reference、关联事件类型号sid_reference、关联事件状态state；其中，所述关联事件状态state的值为old、closed或new；
改进交叉关联表更新模块202，用于对于状态为new的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将该事件目的ip存入所述改进的交叉关联表中；
匹配判断模块203，用于判断所述事件的目的ip与其关联事件的目的ip是否匹配，如果ip匹配，则执行关联状态判断模块；如果ip不匹配，则执行第二执行模块；
关联状态判断模块204，用于判断关联事件状态state，若state为new，执行第一执行模块；若state为old，执行超时判断模块；若state为closed，执行第二执行模块；
超时判断模块205，用于判断state为old状态持续时间是否超过预设的阈值，若是，执行第二执行模块；否则，执行第一执行模块；
第一执行模块206，用于提升所述关联事件的优先级；
第二执行模块207，用于丢弃该关联事件。
其中，所述事件的目的ip为受攻击的主机ip或网段ip。
另外，该系统还包括closed状态事件处理模块208，用于对状态为closed的事件，根据该事件设备号id、事件类型号sid查找所述改进的交叉关联表，若查找到关联事件，将关联事件的状态改为closed。
另外，该系统还包括记录清除模块209，用于每隔设定的时间间隔，将交叉关联表中状态为closed的事件记录清除。
另外，该系统还包括告警模块210，包括告警判断单元和存储单元，告警判断单元用于判断关联事件是否产生告警，若产生告警，并则执行存储单元；
存储单元，用于存储两个关联事件；
其中，告警判断单元包括：
告警阈值设定子单元，用于设定告警阈值；
风险值计算子单元，用于获取所述关联事件的优先级、可靠性、源ip和目地ip主机的资产重要性，根据公式：risk＝(可靠性*优先级*ip主机重要性)/预设值，分别计算该关联事件在源ip和目的ip主机上对应的风险值，比较这两个风险值，取较大的作为所述关联事件的风险值；
判断子单元，用于判断所述关联事件的风险值是否超过设定的告警阈值，若超过，则产生告警，否则，不告警。
本发明实施例的告警模块用于判断所述关联事件是否产生告警，若产生告警，则存储两个关联事件，以方便追溯告警源头。
本发明实施例所述基于安全管理平台的改进交叉关联系统在进行事件关联时考虑了安全事件的状态，能够保证对系统实时安全状态的处理，另外，以受攻击主机的ip做为关联的一个条件，则能够产生更准确的关联结果，减少误报和冗余告警事件，减轻安全管理平台处理报警的压力。
以上实施例仅用于说明本发明的技术方案，而非对其限制；尽管 参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。