本发明属于计算机信息安全技术领域， 特别是涉及一种面向电子政务内网的综合网络监测的安全事件分析方法。

  随着电子政务内网的规模日渐庞大，对网络做全面监控、保障信息安全的工作日益复杂。为了可以实际做到全面感知内网发生的情况，尤其是安全状况，相关管理部门采用了众多网络管理工具对网络进行监控与管理。

  对于目前实施保护的重要信息系统均借助多种类多厂商安全设备，这些设备与被保护对象共同构成多源异构高并发数据环境。为了有效地完成对数据环境的安全感知，需要一种通用事件采集设备，对采集事件知识化与体系化。

  在网络监测的应用场景里，网络安全管理工具会直接或者间接地借助各类网络安全设备，通过综合各方面采集得到的日志信息，管理员能够充分理解网络安全态势。

  目前，网络安全监管存在一定的问题。其中，最关键的是如何理解采集的日志信息集合。针对不同厂商的不同设备，如何衡量日志信息的信息量与内容是理解网络安全态势的基础。

  另外，针对电子政务内网的应用场景，如何针对重要事件进行分类缺乏有效规范及技术实现方案。

  本发明的目的是提供一种适用于网络安全设备监测的安全事件分析方法，从而满足对网络中采集日志信息的高效融合的要求，进而解释网络中发生的各种态势。

  本发明解决其技术问题所采用的技术方案是：一种网络安全设备监测的安全事件分析方法，包括如下步骤

  根据日志报文中某个关键字，辨别该日志报文是应用日志、系统日志、还是安全日志；所述的应用日志为安全设备与其系统的基本功能组件对外提供服务所产生的日志；所述的系统日志为安全设备与其系统的硬/软部件、组件的状态发生改变所产生的日志，包括系统更新，硬/软部件、组件的开启、关闭、不可用或出现故障等所产生的日志；所述的安全日志为安全设备在其系统自身的安全机制运行中产生的日志，以及管理员登入、登出系统、进行系统配置管理、进行授权管理所产生的日志；

  将上述日志分成普通事件、异常事件和安全事件；所述的普通事件代表正常的网络记录；所述的异常事件代表违反网络管理规则或者明显与正常行为存在一定的差异的事件；所述的安全事件代表通过网络安全设备或者别的技术手段捕获到网络中危害信息安全与系统安全的事件；

  从普通事件的集合中通过异常识别方法寻找出异常事件，将找到的异常事件与从网络中直接搜集到的异常事件组成异常事件的集合，即将所有异常事件以规格化的方式存放在一起；

  从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件，即可将找到的安全事件与从网络直接搜集到的安全事件组成安全事件的集合。

  进一步，所述的步骤b）中，计算机设备在运行过程中产生的正常性能采样点数据被分类为普通事件，产生的异常性能采样点数据被分类为异常事件。

  进一步，所述的步骤b）中，计算机设备在运行过程中将产生的正常流量采样点数据被分类为普通事件，产生的异常流量采样点数据被分类为异常事件。

  进一步，所述步骤d）中的安全事件的集合由直接取证过程与间接取证过程得到的结果集合组成；所述的间接取证过程为通过威胁行为模型与违规操作行为模型进行安全事件识别的过程，所述的安全事件间接取证部分包括异常事件集合与安全事件集合的交集部分；所述的直接取证过程为直接从网络安全设备中读取安全事件的过程。

  所述的一种网络安全设备监测的安全事件分析方法，其安全设备包括入侵检测类设备、病毒检测类设备、防火墙类设备、安全审计类设备、计算机及网络设备。

  进一步，所述的防火墙类设备包括软硬件防火墙、单一主机防火墙、路由器集成防火墙和分布式防火墙。

  进一步，所述的安全审计类设备包括统一用户管理模块、统一授权管理模块、统一访问控制管理摸、主机监控审计模块、网络行为审计模块和数据库审计。

  进一步，所述的计算机及网络设备包括Windows服务器、Linux服务器和三层交换机。

  本发明的有益效果是：通过识别网络环境中各类设备产生的日志，用事件详细分类解释网络状况，针对所有事件集合，明确地给出了事件的详细分类情况，便于管理人员理解网络中实时发生的事件状态，对网络中各类事态有通用的衡量标准；对纳入事件体系的事态有进一步量化的基础；事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实；具体详细的事件分类易于完成信息的识别。

  参照图1所示，本发明公开了一种面向电子政务内网、适用于网络安全监测的事件分析方法，其基本适用环境中，应该包括以下安全设备：

  （1）入侵检测类设备，包括网络IDS（入侵检测系统）、主机IDS、IPS等设备。

  （3）防火墙类设备，包括软硬件防火墙、单一主机防火墙、路由器集成防火墙、分布式防火墙等。

  （4）安全审计类设备，包括统一用户管理、统一授权管理、统一访问控制管理、主机监控审计、网络行为审计、数据库审计等。

  （5）计算机及网络设备，包括Windows服务器、Linux服务器、三层交换机等。

  （2）系统日志：安全设备与系统的硬/软部件、组件的状态发生改变所产生的日志，包括系统更新，硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志。计算机设备在运行过程中将会产生系统日志。系统日志根据异常识别模型（异常识别模型是为了检测安全设备工作产生的日志是否违背正常工作状态而设计的模型。该模型根据实际需求可以简化，例如利用关键字识别异常日志，也可以用学术界讨论中的复杂模型）分为正常的系统日志和异常系统日志。

  （3）安全日志：安全设备与系统自身的安全机制运行中产生的日志，以及管理员登入、登出系统，进行系统配置管理，进行授权管理所产生的日志。

  同时，计算机设备在运行过程中将产生性能数据。根据性能异常识别模型分为异常状态与正常状态，其中正常性能采样点数据（当该时间点被异常识别模型识别为正常的时候，在该时间点与主机性能相关的数值将被记录下来，作为事件，下同）被分类为普通事件，异常性能采样点数据被分类为异常事件。其中，性能异常识别模型是根据历史数据或正常状态下性能状态，寻找出与正常状态相差过大的数据。性能异常识别模型能够很简单，如设定阈值来判断异常与否；也能够用比较复杂的数学模型。

  另外，计算机设备在运行过程中将产生流量数据。根据流量异常识别模型分为异常状态与正常状态。其中正常流量采样点数据被分类为普通事件，异常流量采样点数据被分类为异常事件。

  然后，各类安全设备的异常日志合并成一份该类设备的异常日志，即：入侵检测类设备的异常系统日志与异常安全日志合并成一份入侵检测设备异常日志；病毒检测类设备的异常系统日志与异常安全日志合并成一份病毒检测设备异常日志；入侵检测类设备和病毒检测类设备的应用日志将直接识别为安全事件；防火墙类设备的异常应用日志、异常系统日志和异常安全日志合并成一份防火墙设备异常日志；安全审计类设备的异常应用日志、异常系统日志和异常安全日志合并成一份安全审计设备异常日志。

  同理，网络设备在运行过程中将会产生系统日志。系统日志根据异常识别模型分为正常的系统日志和异常系统日志。其中，正常的系统日志划归为普通事件，异常系统日志划归为异常事件；同时，网络设备在运行过程中将产生性能数据。根据性能异常识别模型分为异常状态与正常状态，其中正常性能采样点数据被分类为普通事件，异常性能采样点数据被分类为异常事件；另外，网络设备在运行过程中将产生流量数据。根据流量异常识别模型分为异常状态与正常状态。其中正常流量采样点数据被分类为普通事件，异常流量采样点数据被分类为异常事件。

  将上述各类日志转化为事件：所有的正常日志构成的集合称为事件源，所有异常日志构成的集合称为异常事件。从日志到指标体系的转化过程便是将上述所有日志均能够按照事件体系的结构分成普通事件、异常事件和安全事件，对入侵检测和病毒检测所产生的应用日志直接识别为安全事件。

  参照图2所示，其中1代表所有异常事件的集合。通过威胁行为模型与违规操作行为模型进行安全事件识别的过程被称为间接取证过程。该过程与直接从网络安全设备中读取安全事件的直接取证过程（直接从网络安全设备中读取安全事件）相对应。其中，威胁行为模型和为用户定义违规操作行为模型：如果复杂一点可以由数学建模完成，如果简单一点可以由网络管理员指定哪些行为是威胁/违规操作行为。

  2代表所有安全事件的集合，由直接取证过程与间接取证过程得到的结果集合组成。异常事件集合中除去通过间接取证的结果集以外，分为异常识别模型处理结果与用户定义异常。

  3代表异常识别模型处理结果集合，包括性能异常模型和流量异常模型识别的结果集合。

  4代表通过用户自定义的阈值或者行为规范识别出的异常事件集合。3与4处于对等的地位。

  异常事件集合∩安全事件集合=违规操作行为集合+威胁行为集合，即异常事件集合与安全事件集合的交集部分构成了安全事件中间接取证部分，而安全事件集合剩余的即为安全事件中直接取证部分，即：

  安全审计类设备所记录的异常应用日志均识别为“异常事件-行为异常-违规操作行为”。

  所有安全设备记录的异常系统日志依据消息来源方式识别为“异常事件-性能与状态异常”和“异常事件-性能服务告警”。

  所有安全设备记录的异常安全日志均识别为“异常事件-安全机制执行告警”。

  除了从入侵检测类设备以及病毒检测类设备直接识别为安全事件的情况外，异常事件中识别为威胁行为的直接转化为安全事件。

  本发明对网络中各类事态有通用的衡量标准；对纳入事件体系的事态有进一步量化的基础；事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实，将网络环境中产生的每条日志（或若干条日志组成的集合）对应事件体系中的某一类事件，从普通事件的集合中通过异常识别方法寻找出异常事件，该部分异常事件与从网络中直接搜集到的异常事件组成异常事件的集合，再从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件，该部分安全事件与从网络直接搜集到的安全事件组成安全事件的集合。识别出威胁行为的异常事件即转化为安全事件，即从结果判断，如果有符合威胁行为结果的，也识别为安全事件。

  普通事件代表正常的网络记录；如图4所示，它包括身份认证、授权管理、访问控制和操作行为等。

  异常事件是指违反网络管理规则或者明显与正常行为存在差异的事件；如图5所示，它包括性能与状态异常、流量异常、行为异常、系统服务异常、安全机制执行异常和其他异常日志；所述的性能与状态异常按二级分类又包括设备故障和性能故障，而设备故障按三级分类又包括部件故障和设备不可用；所述的行为异常按二级分类又包括威胁行为和违规操作行为。

  如图6所示，所述的威胁行为包括感染、缓冲区溢出漏洞、探测、欺骗、遍历、并发以及其他行为；其中所述的感染行为又包括病毒、蠕虫和木马；其中所述的探测行为又包括包嗅探、端口映射和安全扫描；所述的欺骗行为又包括网络地址欺骗、物理地址欺骗、域名服务器欺骗、任务劫持、跨站脚本攻击、隐藏区操作以及输入参数欺骗；所述的遍历行为又包括强力破解、字典攻击和旋转门把攻击；所述的并发行为又包括泛洪攻击和分布式拒绝服务攻击。

  如图7所示，所述的违规操作行为包括非法用户接入、非授权用户登录、合法用户非正常时间段登录、合法用户登录认证重鉴别和鉴别失败的行为、非授权用户访问、授权用户越权访问、授权用户非正常时间点访问、移动存储（光电）介质违规输入/输出、非法设备接入、设备在非授权区域接入、设备违规外联以及其他行为。

  安全事件是指通过网络安全设备或者其它技术方法捕获到网络中危害信息安全与系统安全的事件；如图8所示，它包括有害程序事件和网络攻击事件，所述的有害程序事件按二级分类又包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件以及其他有害程序攻击事件；所述的网络攻击事件按二级分类又包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件以及其他网络攻击事件。

  通过以上识别过程，承载该方法的采集设备将被保护环境中事件归一化和标准化，满足理解环境完成态势感知的前提条件。

  上述实施例仅例示性说明本发明的原理及其功效，以及部分运用的实施例，对于本领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还能做出若干变形和改进，这些都属于本发明的保护范围。