云計算網絡中的安全事件分析方法及系統的制作方法

云計算網絡中的安全事件分析方法及系統的制作方法
【專利摘要】本發明提供了一種云計算網絡中的安全事件分析方法，包括：判斷攻擊場景的類型；當判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進行分析。此外，本發明還提供了一種基于云計算網絡的安全事件分析系統。本發明能夠實現將攻擊場景的類型為簡單攻擊過程的攻擊從狀態機模型中釋放出來，從而提高安全事件分析的效率。
【專利說明】云計算網絡中的安全事件分析方法及系統
【技術領域】
[0001]本發明涉及云計算計算領域，更具體地，涉及一種云計算網絡中的安全事件分析方法以及一種基于云計算網絡的安全事件分析系統。
【背景技術】
[0002]目前在SOC(安全管理平臺)中，常用的安全事件關聯分析模型有狀態機模型和統計模型。狀態機模型對于多步攻擊采用多個相關聯的狀態描述，一個狀態切換到下一個狀態需要滿足一些條件，也就是攻擊特征。在安全事件流中匹配狀態變遷條件，如果匹配條件，則說明滿足了該階段的攻擊特征，變換到下個狀態，如果不滿足，則丟棄，直到超時或者所有狀態變遷完成，則表示發生了當前狀態所表示的攻擊。在匹配過程中，把相關安全事件信息保存，即可達到事后攻擊回放的效果。
[0003]統計模型是基于數據庫的，即通過統計規則，對存儲在數據庫中的大量安全事件進行挖掘，從中挖掘出統計規則的數據。統計規則描述的是安全攻擊的特征。通過統計，能夠挖掘出是否有攻擊發生以及攻擊相關的信息。
[0004]使用狀態機模型分析安全事件時，存在以下問題:1.當定義過多的安全攻擊場景時，需對安全事件進行各個攻擊場景匹配，導致系統的檢查效率明顯下降；2.當攻擊者進行協同攻擊時，需保持過多的安全狀態，導致系統的檢查效率降低。使用統計模型時，存在以下問題:1.非實時，因為統計模型是基于數據庫的，安全事件在存儲到數據庫中后再按照統計規則統計，這延遲了攻擊發現的時間；2.效率問題，統計是在文件系統中完成的，這比基于內存的分析效率要低。

【發明內容】

[0005]針對相關技術中的問題，本發明提出一種云計算網絡中的安全事件分析方法、以及一種基于云計算網絡的安全事件分析系統，從而能夠實現將攻擊類型為簡單攻擊過程的攻擊場景從狀態機模型中分離。
[0006]為實現上述目的，一方面，本發明提供了一種云計算網絡中的安全事件分析方法，包括:判斷攻擊場景的類型；當判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進行分析。
[0007]根據本發明，該分析方法還包括:當判斷出攻擊場景的類型為復雜攻擊過程時，采用狀態機模型或者統計模型對安全事件流進行分析。
[0008]根據本發明，上述的采用基于字符串匹配的模型對安全事件流進行分析，包括:將安全事件流中的安全事件與預定義的字符串匹配規則進行匹配；如果匹配不成功，則丟棄所述安全事件；如果匹配成功，則根據該字符串匹配規則中的攻擊事件屬性生成對應的攻擊事件。
[0009]根據本發明，該分析方法還包括:基于攻擊特征定義上述字符串匹配規則；和/或對所定義的xml文本格式的字符串匹配規則處理成json文本格式，并且處理后的所有的字符串匹配規則存放到一個文件中。
[0010]根據本發明，判斷攻擊場景的類型包括:識別攻擊特征為多步攻擊特征還是單步攻擊特征；當攻擊特征識別為單步攻擊特征時，判斷攻擊場景的類型為簡單攻擊過程；當攻擊特征識別為多步攻擊特征時，判斷攻擊場景的類型為多步攻擊特征。
[0011]根據本發明，在判斷攻擊場景的類型之前，還包括:確定要識別的攻擊范圍。
[0012]另一方面，本發明還提供了一種基于云計算網絡的安全事件分析系統，包括:判斷模塊，用于判斷攻擊場景的類型；分析模塊，用于當判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進行分析。
[0013]根據本發明，分析模塊，還用于當判斷出攻擊場景的類型為復雜攻擊過程時，采用狀態機模型或者統計模型對安全事件流進行分析。
[0014]根據本發明，分析模塊采用基于字符串匹配的模型對安全事件流進行分析，包括:將安全事件流中的安全事件與預定義的字符串匹配規則進行匹配；如果匹配不成功，則丟棄安全事件；如果匹配成功，則根據上述字符串匹配規則中的攻擊事件屬性生成對應的攻擊事件。
[0015]根據本發明，判斷模塊判斷攻擊場景的類型包括:識別攻擊特征為多步攻擊特征還是單步攻擊特征；當攻擊特征識別為單步攻擊特征時，判斷上述攻擊場景的類型為簡單攻擊過程；當攻擊特征識別為多步攻擊特征時，判斷上述攻擊場景的類型為多步攻擊特征。
[0016]相比于現有技術，本發明的有益效果為:
[0017]在本發明的云計算網絡中的安全事件分析方法和系統中，針對簡單攻擊過程類型的攻擊場景采用了基于字符串匹配的模型來進行分析，在該分析方法實際應用中，可以使得簡單攻擊過程從狀態機模型中釋放出來，改為利用基于字符串匹配的模型。因此，本發明的方法可以減少狀態機模型中的場景數目以及狀態機模型中需要維護的狀態數，從而提高狀態機模型的效率。
[0018]另外，本發明的分析方法和系統可以加快攻擊場景的整體匹配效率以及內存占用率，同時簡化了部分規則的編寫。通過加快效率，可以有效地提高系統分析的實時性以及準確性。
[0019]進一步，本發明的分析方法和系統提出了一種基于字符串匹配的關聯方式，同時提出了采用json中間狀態來處理規則，有效地提高了規則的加載速度和內存占用。
【專利附圖】

【附圖說明】
[0020]圖1是本發明云計算網絡中的安全事件分析方法一個實施例的示意圖；
[0021]圖2是本發明云計算網絡中的安全事件分析方法另一實施例的示意圖；
[0022]圖3是本發明云計算網絡中的安全事件分析方法另一實施例的示意圖；
[0023]圖4是本發明云計算網絡中的安全事件分析方法又一實施例的示意圖；
[0024]圖5是本發明云計算網絡中的安全事件分析系統一個實施例的示意圖。
【具體實施方式】
[0025]下面結合附圖對本發明作進一步的說明。
[0026]如圖1所示，本發明一可選實施例的云計算網絡中的安全事件分析方法包括:[0027]S101，判斷攻擊場景的類型；
[0028]S102，當判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進行分析。
[0029]如圖2所示，本發明一可選實施例的云計算網絡中的安全事件分析方法包括:
[0030]S202，當判斷出攻擊場景的類型為復雜攻擊過程時，采用狀態機模型或者統計模型對安全事件流進行分析。
[0031]具體地，上述的攻擊場景是指入侵者為達到入侵目的所采取的一系列攻擊步驟。本發明的分析方法針對簡單攻擊過程類型的攻擊場景采用了基于字符串匹配的模型來進行分析。在該分析方法實際應用中，可以使得簡單攻擊過程從狀態機模型中釋放出來，改為利用基于字符串匹配的模型進行分析。因此，本發明的方法可以減少狀態機模型中的場景數目以及狀態機模型中需要維護的狀態數，從而提高狀態機模型的效率。
[0032]根據本發明，在判斷攻擊場景的類型之前，還包括:確定要識別的攻擊范圍。具體而言，攻擊范圍是指對哪些攻擊進行識別，比如說僅對SQL注入攻擊、SYN Flood攻擊、XSS攻擊進行識別，其它的攻擊不識別，等等。
[0033]優選地，如圖3所示，在本發明一可選實施例的云計算網絡中的安全事件分析方法中，采用基于字符串匹配的模型對安全事件流進行分析，包括:
[0034]S301，將安全事件流中的安全事件與預定義的字符串匹配規則進行匹配；
[0035]S302，如果匹配不成功，則丟棄安全事件；
[0036]S303,如果匹配成功，則根據字符串匹配規則中的攻擊事件屬性生成對應的攻擊事件。
[0037]如圖4所示，更詳細地，在本發明云計算網絡中的安全事件分析方法又一實施例中，該方法還包括:
[0038]S401，基于攻擊特征定義字符串匹配規則；和/或
[0039]S402，對所定義的xml文本格式的字符串匹配規則處理成json文本格式，并且處理后的所有的字符串匹配規則存放到一個文件中。
[0040]換句話說，就是把規則處理成為一種中間格式，便于規則引擎快速加載。通過這種方式，可以減少多次讀取文件所引起的io性能消耗；同時使用json的簡單性以及靈活性能夠有效的減少規則集的大小。
[0041]在本發明云計算網絡中的安全事件分析方法的另一個可選實施例中，在進行步驟SlOl時，判斷攻擊場景的類型包括:
[0042]識別攻擊特征為多步攻擊特征還是單步攻擊特征；
[0043]當攻擊特征識別為單步攻擊特征時，判斷攻擊場景的類型為簡單攻擊過程；
[0044]當攻擊特征識別為多步攻擊特征時，判斷攻擊場景的類型為多步攻擊特征。
[0045]對于本發明的云計算網絡中的安全事件分析方法來說，首先需要判斷攻擊場景的類型，即，明確哪些攻擊需要在環境中識別。然后需要對攻擊場景進行分類，分為復雜的攻擊過程和簡單的攻擊過程，相應的判斷標準為是否為多步攻擊特征，當攻擊狀態特征大于I時則為復雜攻擊過程；等于I時則為簡單攻擊過程。具體地，對攻擊場景類型的判斷可通過如下步驟進行:首先識別攻擊特征為多步攻擊特征還是單步攻擊特征。當攻擊特征識別為單步攻擊特征時，則可以判斷攻擊場景的類型為簡單攻擊過程；當攻擊特征識別為多步攻擊特征時，則可以判斷攻擊場景的類型為多步攻擊特征，即攻擊場景類型為復雜攻擊過程。
[0046]進一步，當判斷出攻擊場景的類型為簡單攻擊過程時，則采用基于字符串匹配的模型對安全事件流進行分析；當判斷出攻擊場景的類型為復雜攻擊過程時，則采用狀態機模型或者統計模型對安全事件流進行分析。
[0047]一方面對于復雜攻擊過程，仍然采用狀態機模型進行分析；另一方面，對于簡單攻擊過程，則使用本發明的基于字符串匹配的關聯分析方法來進行分析，在安全事件流經過規則時，如果匹配規則中定義的條件，則完成匹配過程。上述的基于字符串匹配的關聯分析方法如下:
[0048]1.進行規則語法定義:
[0049]根據攻擊特征定義規則語法,其中包含strmatch、result元素；具體的語法定義如下：
【權利要求】
1.一種云計算網絡中的安全事件分析方法，包括: 判斷攻擊場景的類型； 當判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進行分析。
2.根據權利要求1所述的安全事件分析方法，其特征在于，所述方法還包括: 當判斷出攻擊場景的類型為復雜攻擊過程時，采用狀態機模型或者統計模型對安全事件流進行分析。
3.根據權利要求1所述的安全事件分析方法，其特征在于，采用基于字符串匹配的模型對安全事件流進行分析，包括: 將安全事件流中的安全事件與預定義的字符串匹配規則進行匹配； 如果匹配不成功，則丟棄所述安全事件； 如果匹配成功，則根據所述字符串匹配規則中的攻擊事件屬性生成對應的攻擊事件。
4.根據權利要求3所述的安全事件分析方法，其特征在于，所述方法還包括: 基于攻擊特征定義所述字符串匹配規則；和/或 對定義的為xml文本格式的字符串匹配規則處理成json文本格式，并且處理后的所有的字符串匹配規則存放到一個文件中。
5.根據權利要求1所述的安全事件分析方法，其特征在于，判斷攻擊場景的類型包括: 識別攻擊特征為多步攻擊特征還是單步攻擊特征； 當攻擊特征識別為單步攻擊特征時，判斷所述攻擊場景的類型為簡單攻擊過程； 當攻擊特征識別為多步攻擊特征時，判斷所述攻擊場景的類型為多步攻擊特征。
6.根據權利要求1所述的安全事件分析方法，其特征在于，在判斷攻擊場景的類型之前，還包括:確定要識別的攻擊范圍。
7.一種基于云計算網絡的安全事件分析系統，包括: 判斷模塊，用于判斷攻擊場景的類型； 分析模塊，用于當判斷出攻擊場景的類型為簡單攻擊過程時，采用基于字符串匹配的模型對安全事件流進行分析。
8.根據權利要求7所述的安全事件分析系統，其特征在于，所述分析模塊，還用于當判斷出攻擊場景的類型為復雜攻擊過程時，采用狀態機模型或者統計模型對安全事件流進行分析。
9.根據權利要求7所述的安全事件分析系統，其特征在于，所述分析模塊采用基于字符串匹配的模型對安全事件流進行分析，包括: 將安全事件流中的安全事件與預定義的字符串匹配規則進行匹配； 如果匹配不成功，則丟棄所述安全事件； 如果匹配成功，則根據所述字符串匹配規則中的攻擊事件屬性生成對應的攻擊事件。
10.根據權利要求7所述的安全事件分析系統，其特征在于，所述判斷模塊判斷攻擊場景的類型包括: 識別攻擊特征為多步攻擊特征還是單步攻擊特征； 當攻擊特征識別為單步攻擊特征時，判斷所述攻擊場景的類型為簡單攻擊過程； 當攻擊特征識別為多步攻擊特征時，判斷所述攻擊場景的類型為多步攻擊特征。
【文檔編號】H04L29/06GK103746991SQ201410001398
【公開日】2014年4月23日 申請日期:2014年1月2日 優先權日:2014年1月2日
【發明者】鄭勇, 王軍林, 唐明, 徐博 申請人:曙光云計算技術有限公司