浅谈安全管理平台中的事件关联分析

        在当今社会中，随着信息技术的迅猛发展，企业内部的网络环境正面临着复杂多变的信息安全问题。这里既有来自于互联网对企业内网的各种入侵和攻击威胁，也有来自于企业内网中的违规操作和信息泄漏。为了应对层出不究的网络攻击和系统漏洞，许多企业先后部署了防火墙、入侵检测与防护系统、漏洞扫描系统、病毒防护系统等安全产品。但由于这些安全产品都仅仅防堵来自某个方面的安全威胁，于是形成了一个个安全防御孤岛，无法产生协同效应。因此，就要求企业需要建立一套能够横向贯穿安全防线的统一安全管理平台，实现对全网IT资产整体安全风险的监控，真正让企业安全管理人员把握整体安全态势，实现有效地协同防御。

        要构建一个统一的安全管理平台，首先就需要将来自企业网络中各类IT资产及其安全防御设施运行过程中不断产生的各类安全数据和安全日志进行统一收集、分析，形成企业网络的整体安全态势。而在企业网络安全中，各种网络安全设备产生的安全数据和安全日志数据等信息往往过于离散和庞大，很难进行人工解读，难以及时发现攻击的时间、空间、意图和危害等因素；同时，也给安全管理平台的收集和分析带来了巨大的挑战。安全管理平台决不能简单地将这些海量的信息直接展示给用户，否则，用户面对这些海量的安全事件将束手无策，管理运维效率将不升反降。而且网络安全设备自身的不足也会导致严重的误报及漏报情况，这也会增加安全人员发现攻击行为的难度。在这种情况下，安全管理人员难以发现完整的攻击场景、时序和地域关系，及时有效地处理这些离散事件的难度变得越来越大，这就迫切需要对大量的离散事件进行分类、整合和关联。因此，安全事件关联分析技术应运而生。

        安全事件关联分析技术作为企业安全管理平台的核心功能之一，其目的在于从看似“分散独立”的海量安全数据中寻找异常活动的逻辑关系，发现攻击意图、步骤、危害、风险等信息。因此可以将安全事件关联分析定义为：用方法和工具表示的形式框架，用来对多源数据进行分析、聚类、分类、关联、以获得高质量的安全事件信息。

        在企业安全管理平台中，完整的事件关联分析应包括异构海量日志采集、日志范式化处理、事件的过滤归并、事件关联分析引擎、事件告警响应、事件存储与展示等几个部分。其中，最核心的部分就是事件关联分析引擎。

        企业安全管理平台采集异构海量日志，通过日志范式化和分类处理，将日志转换成标准格式，再经过进一步的过滤和归并后，将数据发送给关联分析引擎，经过关联分析引擎分析后生成告警。

        经过整个事件关联分析流程生成的告警数据，在加密压缩处理入库存储后，通过监控、统计、查询、追溯、报表等平台业务层展示功能为用户提供安全态势分析和安全运维服务。

        通过对流程图分析可以看出，在安全信息分析过程中，数据分析量是在逐层递减，但是数据价值是在逐层增加，通过关联分析引擎输出的告警可以较准确的定位网络攻击或预警潜在的安全威胁。

        下面介绍几种安全管理平台中，目前常用的事件关联分析方法：

• 基于规则的关联分析

        基于规则的关联分析是指按平台预先内置关联规则，或者用户自定义关联规则对安全事件进行有效的关联分析。平台接收到安全事件以后，通过事件特征与告警规则进行匹配，一旦匹配到符合条件的规则，规则就会被触发。在规则设定的时间窗，平台会将多条成功匹配规则的安全事件进行关联，并按规则设定进行告警。

        关联规则代表对攻击者攻击行为的模拟，将平台采集的海量安全日志归一化后，通过有效的字段组合(源IP，源端口、目的IP，目的端口，事件类型，协议以及其他有效数据)，进行综合匹配分析，关联规则必须是基于企业实际业务场景定制出来的，满足企业实际业务最真实的网络场景。

        基于规则的关联分析主要针对于已知安全事件的关联分析，当单独使用时有一定的误报率，并且对运算处理的要求比较高，能够检测的异常情况也比较有限。

• 基于统计的关联分析

        基于统计的关联分析，是在基于规则关联分析的基础上，从安全事件的各个属性出发，通过计算多个安全事件各属性之间的关系，对多条相关安全事件按规则设定的条件及阀值进行匹配，当这些安全事件符合一定的关系时将它们进行聚合，当这些关系符合一定条件时可以生成新的聚合告警。这种方法，通过判断多个安全事件之间的关系，利用其中一个或多个属性进行关联，归并大量重复的安全事件，从而实现安全事件关联的目的。

        利用基于统计关联的方法，我们可以将已经范式化的安全事件，按源IP、目的IP、攻击事件分类等等进行归类统计，一方面实现一段时间内安全事件数量趋势的统计分析，另一方面可以通过针对攻击事件的分类统计实现安全事件预警和事件追溯分析。例如，将攻击事件按攻击链模型的七个攻击阶段进行归类统计，具有一定关系（如IP地址、事件类型等）的多个安全事件，对应到攻击链的合适攻击阶段，即将这些事件标记上攻击链的攻击阶段，基于已经发现的攻击阶段进行推理，预测未来可能会发生的攻击事件，并可以通过平台进行告警、预警和追溯分析。

        通过基于统计的关联分析方法，可以大幅减少重复告警的数量，降低告警冗余度，从而提高关联分析的效率。

• 基于威胁情报的关联分析

        基于威胁情报数据的关联分析，是企业安全管理平台未来的主要发展趋势，依赖于威胁情报数据的新一代企业安全管理平台，可以大大提升安全事件分析效率，和对威胁行为的检测能力和响应速度。

        威胁情报分为战略情报和战术情报，从技术上可以分为基础数据情报、高级威胁情报和定制情报等，其中：

        基础数据情报：包括IP指纹、web指纹、IP信息、域名信息、漏洞库、样本库、IP信誉、域名信誉、URL信誉、文件信誉、C&C信誉等。

        高级威胁情报：包括高级威胁分析报告、安全事件分析报告、TTP分析报告等。

        定制情报：包括周期性威胁播报、热点威胁分析报告、行业威胁分析报告、资产威胁分析报告等。

        通常情况下，企业安全管理平台与部署在云端的威胁情报平台互联。经过安全管理平台的关联分析引擎生成的本地安全威胁告警，与云端威胁情报平台推送的威胁情报数据进行关联，通过对IP信誉、域名信誉、URL信誉、文件信誉、C&C信誉等多个维度的匹配，分析出安全威胁告警的可信程度，过滤掉告警中的噪音事件，从而增加了本地安全威胁告警的精准度，使得企业安全管理人员可以迅速定位威胁来源和相关联的资产和业务，并及时通过工单和处置流程进行快速响应；同时，利用威胁情报可以对攻击者进行深入分析和溯源取证。

        针对传统的防病毒、入侵检测防御等产品依赖签名技术来识别恶意攻击行为，对于恶意攻击行为早期破坏和高级持续性威胁（APT）攻击难以应对的情况，通过早期推送基于攻击特征的威胁情报并与安全管理平台基础数据集成，可以有效填补基于签名工具遗留的缺口，提高用户对未知威胁的发现和处置能力。

 

        本文阐述了安全事件关联分析在企业安全管理平台中的核心技术应用，以及常用的关联分析方法。传统的企业安全管理平台多是以基于规则的关联分析方法为主，其只能对已知的安全事件进行识别和关联分析，对于复杂的或未知的威胁攻击很难得以识别，同时使用单一的关联分析方法也无法对所有攻击进行有效且准确的识别和分析。因此，新一代的企业安全管理平台应该结合多种关联分析方法，进行优势互补，形成多层纵深的安全事件关联分析。

        未来的企业安全管理平台应当建立在大数据基础框架之下，结合威胁情报数据，进行基于实际场景的大数据安全事件关联分析。同时，建立资产、脆弱性、威胁风险三要素的关联关系，结合对机器学习、数据挖据算法、可视化分析及智能化分析等新技术的研究，实现企业安全管理平台的智能化关联分析和安全态势感知，从而更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。