安全事件关联方法、装置及网络服务器

暂无

安全事件关联方法、装置及网络服务器
技术领域
[0001] 本发明实施例涉及网络领域，尤其涉及一种安全事件关联方法、装置及网络服务器。
背景技术
[0002] 网络在人的日常生活中扮演了越来越重要的作用，同时在商业中的应用也越来越多。网络安全是网络应用中的重要问题，在网络中，安全事件管理平台用于管理告警器上报的告警信息。目前的安全事件管理平台中普遍存在以下问题：不能识别正常行为而引发误报；不能识别单个攻击行为引发多个告警器的重复告警；不能识别由多个步骤构成的复杂攻击行为。由于这些问题，会产生大量的日志文件和告警信息，使得真正的攻击信息被淹没在大量数据中。为了解决上述问题，现有技术提出了保持防火墙和入侵检测功能，维持反病毒软件在网络节点中的部署不变，采用一个中心节点集中接收这些告警信息，并对这些告警信息作关联分析处理，以减少误报、避免重复报警、增加攻击检测率，也就是所谓的攻击场景重建。
[0003] 具体地，现有技术提供了一种基于规则的方法，其基本思想是：将由人工分析得到的攻击场景分解为若干的攻击步骤，提取每个攻击步骤的特征，然后利用逻辑语言将这些步骤连结起来，产生对应与该攻击场景的一条关联规则；当新告警到来时，将新告警的属性与该关联规则所包括的每个步骤依次进行匹配，若该属性与其中部分步骤匹配成功，则将该部分步骤作为中间状态记录下来；当下一个新告警到来时，在中间状态的基础上，继续进行匹配，直至关联规则的所有步骤均匹配成功，则生成安全事件。该方法在匹配新告警属性时，需要记录中间状态，影响了匹配的速度，不能够实现实时匹 配。
发明内容
[0004] 本发明实施例提供了一种安全事件关联方法、装置及网络服务器，用以实现实时匹配。
[0005] 本发明实施例提供了一种安全事件关联方法，包括：
[0006] 当接收到新告警时，将所述新告警转化为事实；所述事实包括所述新告警的若干属性；
[0007] 在预置的规则库中，选择与所述事实有关的所有规则，构成规则集； [0008] 查询所述规则集中的规则，当查询出所述规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。
[0009] 本发明实施例提供了一种安全事件关联装置，包括：
[0010] 转化模块，用于当接收到新告警时，将所述新告警转化为事实；所述事实包括所述新告警的若干属性；
[0011] 规则集构成模块，用于在预置的规则库中，选择与所述事实有关的所有规则，构成规则集；
[0012] 事件获取模块，用于查询所述规则集中的规则，当查询出所述规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。
[0013] 本发明实施例提供了一种网络服务器，包括上述安全事件关联装置。 [0014] 本发明实施例当接收到新告警时，将新告警转化为事实，在预置的规则库中，选择与事实有关的所有规则形成规则集，顺序查询规则集中的规则，当查询出规则集中的某一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。本发明实施例中，一个事实对应一个规则集，通过查询该规则集中规则所包含的事实是否都已经发生来得到安全事件，不需要记录中间状态，处理速度较快，实现了安全事件的在线实时匹配。 附图说明
[0015] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0016] 图1为本发明实施例一安全事件关联方法的流程图；
[0017] 图2为本发明实施例二安全事件关联方法的流程图；
[0018] 图3为本发明实施例二安全事件关联方法中步骤210和步骤211的流程图； [0019] 图4为本发明实施例一安全事件关联装置的结构示意图；
[0020] 图5为本发明实施例二安全事件关联装置的结构示意图。
具体实施方式
[0021] 下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。 [0022] 图1为本发明实施例一安全事件关联方法的流程图。如图1所示，本实施例具体包括如下步骤：
[0023] 步骤101、当接收到新告警时，将新告警转化为事实；
[0024] 步骤102、在预置的规则库中，选择与事实有关的所有规则，构成规则集； [0025] 步骤103、查询规则集中的规则，当查询出规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。
[0026] 具体的，查询规则集中的规则可以按照设置的顺序进行查询。
[0027] 上述步骤在在线方式下执行，其中预置的规则库是在离线或在线方式下配置构成的，该设置的规则库中存储了多个规则。在以下本发明各个实施例中，至少两个均表述为多个。
[0028] 在上述步骤101中，当接收到新告警时，可以采用推理引擎将新告警转化为事实，该事实包括新告警的若干属性。
[0029] 在上述步骤102中，根据事实中包括的新告警的若干属性，将规则库中的多个规则与事实进行关联，得到与事实有关的规则构成的规则集，即一个事实对应一个规则集。 [0030] 在上述步骤103中，查询规则集中的规则，查询与事实匹配的规则，也就是查询所包含的所有事实都已经发生的规则，根据这条规则得到安全事件。
[0031] 本实施例所述的安全事件关联方法，在接收到新告警时，将新告警转化为事实，在预置的规则库中，选择与事实有关的所有规则形成规则集，顺序查询规则集中的规则，当查询出规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。
本发明实施例中，一个事实对应一个规则集，通过查询该规则集中规则所包含的事实是否都已经发生来得到安全事件，不需要记录中间状态，处理速度较快，实现了安全事件的在线实时匹配。
[0032] 图2为本发明实施例二安全事件关联方法的流程图。本实施例在实施例一的基础上，可以包括在离线或在线方式下预先配置规则库，具体地，该规则库的构建过程包括： [0033] 利用时间序列分析方法，对采集到的多个原始告警进行关联分析，得出一个以上攻击场景，将每个攻击场景分步骤转化为多个规则，构成该规则库。其中多个原始告警可以为预先在在线时从各种告警设备传送来的告警。
[0034] 进一步的，如图2所示，具体包括如下步骤：
[0035] 步骤201、根据预置规则，将采集到的多个原始告警进行重复告警融合处理。 [0036] 本步骤可以预先将采集到的多个原始告警的格式进行统一处理。
[0037] 具体地，本步骤可以根据预置的关于告警属性的规则，将采集到的多个原始告警进行重复告警融合处理；也就是说，本步骤利用告警属性的相似性，进行重复告警融合处理。通过重复告警融合处理，可以将几个重复的原始告警融合处理为需要的告警数量，具体可以保留其中一个，去除其他重复告警， 从而减少了重复告警。
[0038] 告警属性包括：告警标识(ID)、攻击类型、协议类型、源地址、目的地址、源端口、目的端口、时间、告警设备类型和优先级等。上述预置的关于告警属性的规则可以为：1)当两个原始告警除了时间以外，其他属性都相同，并且时间差在指定范围(如2s)内，则认为这两个原始告警是同一告警设备对同一攻击的重复告警，可以进行融合处理；2)当两个原始告警除了时间和告警设备类型以外，其他属性都相同，并且时间差在指定范围(如10s)内，则认为这两个原始告警是不同告警设备对同一攻击的重复告警，可以进行融合处理。 [0039] 步骤202、根据原始告警的属性，将多个原始告警进行聚类处理形成多个原始告警组。
[0040] 聚类处理是指将除了时间不同，其它属性都相同的原始告警归为一类，形成一个原始告警组，这样每一组原始告警组就是一个除了时间以外其他属性都相同的沿着时间轴分布的告警序列。
[0041] 步骤203、过滤多个原始告警组中的背景告警组，本步骤为可选步骤。 [0042] 聚类处理后的多个原始告警组中存在大量背景告警组，这些背景告警组为无用信息。本步骤可以采用“Ljung”盒测试方法来检测背景告警组，从而进行过滤，该方法具体为假设背景告警组具有随机特征，利用这些随机特征的自相关函数来检测背景告警组。本步骤也可以利用一些专家知识辨识背景告警组，还可以利用概率推理(甚至是认证技术)来检测背景告警组。
[0043] 步骤204、过滤多个原始告警组中优先级低于设定阈值的告警组，本步骤为可选步骤。
[0044] 本实施例可以根据系统的资产(如操作系统、协议类型或攻击类型等)计算每一个原始告警组的优先级，当优先级高于或等于设定阈值时则认为该原始告警组为需要进行后续处理的告警组，后续过程中只对这些告警组进行处理。
[0045] 当然本步骤为可选步骤，当不执行本步骤时，后续过程中也可以对所有原始告警组进行处理。
[0046] 步骤205、将每一个原始告警组进行时间序列化。
[0047] 本实施例预先设置了一个时间范围，用T表示。以T为单位，将每一个原始告警组划分为p段，统计每一个原始告警组中落在每一个时间单位T内的原始告警的数量，构成时间序列。
[0048] 步骤206、针对多个原始告警组中的任意两个原始告警组，利用格兰杰因果关系检验(Granger Causality Test，简称：GCT)模型计算该任意两个原始告警组对应时间序列之间的统计值，若统计值满足检验假设条件，则将两个原始告警组作为一个告警对关联起来。 [0049] GCT模型中又引入了自回归模型(Autoregressive Model，简称：AR模型)和自回归移动平均模型(Autoregressive Moving Average Model，简称：ARMA模型)，AR模型和ARMA模型都是利用时间序列过去的值拟合现在值，本步骤可以利用AR模型或ARMA模型。 [0050] 对于多个原始告警组中的任意两个原始告警组，计算两个原始告警组对应时间序列之间的统计值，具体地可以利用AR模型或ARMA模型在拟合过程中产生的误差作为输入值计算该统计值，如果两个时间序列的统计值满足检验假设条件，则将两个原始告警组作为一个告警对关联起来，并作记录。
[0051] 步骤207、根据步骤206得到的告警对，构建一个以上攻击场景。
[0052] 步骤206得到的是一个以上告警对，本步骤搜索这些告警对之间是否具有共同节点，如果有共同节点，则可以将它们关联起来，构成完整的攻击场景。
[0053] 举例来说，设步骤206得到的告警对为：A-＞B，B-＞C，C-＞D，其中A、B、C和D分别表示原始告警组，箭头“-＞”表示发生的时间顺序的方向；根据上述告警对可以构建的攻击场景为：A-＞B-＞C-＞D。设步骤206得到的告警对为：A-＞C，B-＞C，C-＞D，则可以构建的攻击场景为：A-＞C-＞D和B-＞C-＞D。
[0054] 步骤208、将每个攻击场景分步骤转化为多个规则。
[0055] 在推理引擎中，每个规则可以包括规则头部和规则体，规则头部可以用谓词来表示，该谓词由谓词名和参数组成，规则体是由一个或多个要查询的事实构成，是要查询的事实的抽象概括。本实施例中采用规则头部描述攻击场景，采用规则体表示该攻击场景所包括的攻击步骤的一种逻辑组合(包括逻辑与和/或逻辑非)。
[0056] 本实施例将每一个攻击场景分步骤转化为多个规则，下面以DDOS攻击场景为例，分析如何将攻击场景转化为规则。
[0057] DDOS一般分为以下几个步骤：
[0058] 第一步：“Sadmind_Ping”告警，攻击者发现可能受攻击的“Sandmind”服务； [0059] 第二步：“Sadmind_Amslverify_Overflow”告警，攻击者发起大量链接到受害主机，致使受害主机缓存溢出；
[0060] 第三步：“Rsh”告警，攻击者复制一段程序和一个.rhost文件并在受害主机系统上运行这段程序；
[0061] 第四步：“Mstream_Zombie”告警，DDOS因特网(Internet)中用于邮件收发的后台程序和DDOS主机(master)之间的通信。
[0062] 第五步：“Stream_Dos”告警，DDOS因特网(Internet)中用于邮件收发的后台程序发起的真实DDOS攻击。
[0063] 上述攻击场景可以表示为如下攻击序列：
[0064] xulieSadmind_Ping → Sadmind_Amslverify_Overflow → Rsh → Mstream_Zombie→Stream_Dos
[0065] 上述攻击场景可以分步骤转化为如下规则：
[0066] DDOS1(destIP，time)：-xulieSadmind_Ping(destIP，time)
[0067] DDOS2(destIP，time)：-xulieSadmind_Ping(destIP，time)，sadmind_Amslverify_Overflow(destIP，time)
[0068] DDOS3(destIP，time)：-xulieSadmind_Ping(destIP，time)，sadmind_Amslverify_Overflow(destIP，time)，rsh(destIP，time)
[0069] DDOS4(destIP，time)：-xulieSadmind_Ping(destIP，time)，sadmind_Amslverify_Overflow(destIP，time)，rsh(destIP，time)，mstream_Zombie(destIP，time) [0070] DDOS(destIP，time)：-xulieSadmind_Ping(destIP，time)，sadmind_Amslverify_Overflow_destIP，time)，rsh(destIP，time)，mstream_Zombie(destIP，time)，stream_Dos(destIP，time)
[0071] 上述规则冒号之前的内容为用于描述攻击场景的规则头部，冒号之后的内容为用于表示发生此攻击场景所包括的攻击步骤的一种逻辑组合的规则体，上述各个规则体中各部分内容的逻辑为“与”，例如：在DDOS2(destIP，time)：-xulieSadmind_Ping(destIP，time)，sadmind_Amslverify_Overflow(destIP，time)这 个 规 则 中，“xulieSadmind_Ping(destIP，time)”和“sadmind_Amslverify_Overflow(destIP，time)”的逻辑为“与”，表示发生攻击场景“DDOS2(destIP，time)”需要具备的攻击步骤为两个。
[0072] 上述第四个规则“DDOS4(destIP，time)”表示即将发生DDOS攻击，在这种攻击场景下可以发出预警，让管理员采取一定的措施作出补救，阻止攻击发生或降低攻击的危害。 [0073] 上述步骤201至208为预置规则库的过程，可以在离线方式或在线方式下执行，下面步骤209至211是在在线方式下执行。
[0074] 步骤209、当接收到新告警时，将新告警转化为事实。
[0075] 在推理引擎中，事实一般用谓词来表示，该谓词由谓词名和参数组成，可以包含多个参数以提供足够信息。本实施例中将新告警转化为以告警类型为名称、告警属性作为参数的事实，然后压入事实队列。其中，告警属性可以包括告警ID、协议类型、源地址、目的地址、源端口、目的端口、时间、告警设备类型、优先级或上述信息的任一组合。 [0076] 举例来说，接收到的新告警为：
[0077] [116:150:1](snort decoder)Sadmind_Ping[Priority ：
3]03/08-00:27:51.177806 127.93.72.86：5032- ＞ 131.84.1.31：26903 TCP TTL：
255TOS：0x8 ID：24726 IpLen：20 DgmLen：40 DF Seq：0x7BE9C279 Ack：0x0Win：0x4000 TcpLen：20
[0078] 该新告警转化的事实为：
[0079] Sadmind_Ping(24726，TCP，127.93.72.86：5032，131.84.1.31，177806，26903，
03/08-00:27:51，snort，3)
[0080] 其中，“Sadmind_Ping”为告警类型，“24726”为告警ID，“TCP”为协议类型，“127.93.72.86:5032”为源地址，“131.84.1.31”为目的地址，“177806”为源端口，“26903”为目的端口，“03/08-00:27:51”为时间，“snort”为告警设备类型，“3”为优先级。 [0081] 步骤210、在预置的规则库中，选择与事实有关的所有规则，构成规则集。 [0082] 步骤211、顺序查询规则集中的规则，当查询出规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。
[0083] 进一步的，根据得到的安全事件生成预警或高级报警。
[0084] 图3为本发明实施例二安全事件关联方法中步骤210和步骤211的流程图。如图
3所示，可以进一步包括如下步骤：
[0085] 步骤301、选择与步骤209得到的事实有关的所有规则，构成规则集。 [0086] 如果不存在与事实有关的规则，则构成的规则集为空。
[0087] 步骤302、判断规则集是否为空，若是，则执行步骤209；否则执行步骤303。 [0088] 步骤303、按照顺序选择规则集中的一条规则，查询该规则所包含的所有事实。 [0089] 本步骤中顺序为先选择规则集中所包含的事实较多的规则。
[0090] 步骤304、判断该规则所包含的所有事实是否都已经发生，若是，则执行步骤305；
否则执行步骤306。
[0091] 步骤305、生成预警或高级报警，执行步骤209。
[0092] 步骤306、在规则集中删除该规则，执行步骤302。
[0093] 下面以一个具体的例子来说明步骤301至306的技术方案。
[0094] 设事实为Sadmind_Ping(24726，TCP，127.93.72.86：5032，131.84.1.31，177806，
26903，03/08-00:27:51，snort，3)，在步骤301中，与该事实有关的规则包括步骤208中列出的五个规则，该五个规则构成规则集。在步骤302中判断出规则集不为空，跳转步骤303。在步骤303中，按照顺序先选择第五个规则，查询出该规则所包含的所有事实为“xulieSadmind_Ping(destIP，time)，sadmind_Amslverify_Overflow destIP，time)，rsh(destIP，time)，mstream_Zombie(destIP，time)，stream_Dos(destIP，time)”。在步骤
304中，判断这些事实是否都已经发生，如果是，跳转步骤305，得到第五个规则对应的安全事件，生成高级报警，表示已经发生DDOS攻击；如果不是，跳转步骤306，在规则集中删除第五个规则，跳转步骤302。
[0095] 接着，选择第四个规则，判断第四个规则包含的事实是否都已经发生，如果是，则得到第四个规则对应的安全事件，生成预警，表示即将发生DDOS攻击，让管理员采取一定的措施作出补救，阻止攻击发生或降低攻击的危害；如果不是，在规则集中删除第四个规则。
[0096] 依此类推，直至得到安全事件或规则集为空，跳转步骤209。
[0097] 通过以上分析可知，本实施例提供的安全事件关联方法具有如下优点： [0098] (1)本实施例中，一个事实对应一个规则集，该规则集中包括多个与事实有关的具体规则，若查询到该规则集中某一条规则所包含的事实都已经发生，则根据该条规则得到安全事件，本实施例不需要记录中间状态，处理速度较快，实现了在线实时匹配。 [0099] (2)本实施例利用时间序列分析方法，对采集到的多个原始告警进行关 联分析，得出一个以上攻击场景，不依赖于人工描述攻击场景，采集的告警数量大大增加，不需要知道攻击行为是怎么发生的或攻击步骤之间具有怎样的联系，如果攻击步骤一起发生的概率高，利用时间序列分析方法就可以发现告警之间的因果关系，进而发现未知攻击参与的攻击场景，从而分析得到的攻击场景全面，该攻击场景可以作为推理引擎的先验知识，增强了关联系统的识别能力；根据该全面的攻击场景转化的规则，对新告警转化的事实进行匹配，不能处理的新告警很少，提高了关联分析处理的效率。
[0100] (3)本实施例在进行关联分析处理之前，根据预置规则，将采集到的多个原始告警进行重复告警融合处理，减少了重复告警，为进一步的关联分析处理减小了数据压力，提供了关联的效率。
[0101] (4)本实施例通过过滤背景告警，可以滤除许多无用信息，使得关联分析处理在可能包含真正攻击的告警之间进行，提高了关联的效率。
[0102] (5)本实施例可以将优先级高于设定阈值的原始告警组进行统计，这样统计的数据量较少，降低计算的复杂度；本实施例可以将所有告警构成的原始告警组进行统计，这样可以保证系统的关联率。
[0103] (6)本实施例利用推理引擎实现的在线实时匹配方法具有预警或高级告警的功能，及时的给响应系统提供了有用信息，便于响应系统及时采取相应措施，以防止攻击对网络造成更为严重的危害。
[0104] 图4为本发明实施例一安全事件关联装置的结构示意图。如图4所示，本实施例具体包括：转化模块11、规则集构成模块12和事件获取模块13。其中：
[0105] 转化模块11，用于当接收到新告警时，将新告警转化为事实；
[0106] 规则集构成模块12，用于在预置的规则库中，选择与事实有关的所有规则，构成规则集；
[0107] 事件获取模块13，用于查询规则集中的规则，当查询出规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。
[0108] 具体的，当接收到新告警时，转化模块11可以采用推理引擎将新告警转化为事实，该事实包括新告警的若干属性；规则集构成模块12根据事实中包括的新告警的若干属性，将规则库中的多个规则与事实进行关联，得到与事实有关的规则构成的规则集，即一个事实对应一个规则集；事件获取模块13查询规则集中的规则，查询与事实匹配的规则，也就是查询所包含的所有事实都已经发生的规则，根据这条规则得到安全事件，具体的查询规则集中的规则可以按照设置的顺序进行查询。
[0109] 规则集构成模块12和事件获取模块13的处理过程可以参见图3。
[0110] 本实施例所述的安全事件关联装置，转化模块在接收到新告警时，将新告警转化为事实，规则集构成模块在预置的规则库中，选择与事实有关的所有规则形成规则集，事件获取模块查询规则集中的规则，当查询出规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。本实施例中，一个事实对应一个规则集，通过查询该规则集中规则所包含的事实是否都已经发生来得到安全事件，不需要记录中间状态，处理速度较快，实现了安全事件的在线实时匹配。
[0111] 图5为本发明实施例二安全事件关联装置的结构示意图。如图5所示，在上述装置实施例一的基础上，本实施例还可以包括：
[0112] 预置模块14，该预置模块14用于利用时间序列分析方法，对采集到的多个原始告警进行关联分析，得出一个以上攻击场景，将每个攻击场景分步骤转化为规则，构成规则库。
[0113] 进一步的，预置模块14可以具体包括：聚类单元15、时间序列化单元16、关联单元
17、构建单元18和规则转化单元19。其中：
[0114] 聚类单元15，用于根据原始告警的属性，将多个原始告警进行聚类处理形成多个原始告警组；
[0115] 时间序列化单元16，用于将每一个原始告警组进行时间序列化；
[0116] 关联单元17，用于针对多个原始告警组中的任意两个原始告警组，利用 GCT模型计算两个原始告警组对应时间序列之间的统计值；若统计值满足检验假设条件，则将两个原始告警组作为一个告警对关联起来；
[0117] 构建单元18，用于根据告警对，构建一个以上攻击场景；
[0118] 规则转化单元19，用于将每个攻击场景分步骤转化为规则，构成规则库。 [0119] 具体地，聚类单元15将除了时间不同，其它属性都相同的原始告警归为一类，形成一个原始告警组，这样每一组原始告警组就是一个除了时间以外其他属性都相同的沿着时间轴分布的告警序列。时间序列化单元16将每一个原始告警组划分为p段，统计每一个原始告警组中落在每一个时间单位T内的原始告警的数量，构成时间序列。关联单元17对于多个原始告警组中的任意两个原始告警组，计算两个原始告警组对应时间序列之间的统计值，具体地可以利用AR模型或ARMA模型在拟合过程中产生的误差作为输入值计算该统计值，如果两个时间序列的统计值满足检验假设条件，则将两个原始告警组作为一个告警对关联起来，并作记录。构建单元18搜索这些告警对之间是否具有共同节点，如果有共同节点，则可以将它们关联起来，构成完整的攻击场景。规则转化单元19将每一个攻击场景分步骤转化为多个规则，构成规则库。
[0120] 再进一步，预置模块14还可以包括：第一过滤单元20和第二过滤单元21。 [0121] 第一过滤单元20，用于过滤多个原始告警组中的背景告警组，将过滤后的多个原始告警组输出给第二过滤单元21。
[0122] 具体的，在另一种情况下，当在本实施例中不包括第二过滤单元21时，第一过滤单元20还可以将过滤后的多个原始告警组输出给时间序列化单元16。
[0123] 具体地，第一过滤单元20过滤通过聚类单元15得到的多个原始告警组中的背景告警组。通过过滤背景告警组，可以滤除许多无用信息，使得关联分析处理在可能包含真正攻击的告警之间进行，提高了关联的效率。
[0124] 第二过滤单元21，用于过滤多个原始告警组中优先级低于设定阈值的告警组，将过滤后的多个原始告警组输出给时间序列化单元16。
[0125] 具体地，在一种情况下，第二过滤单元21可以将通过第一过滤单元20过滤后的原始告警组进一步进行过滤后输出给时间序列化单元16。在另一种情况下，在没有第一过滤单元20时，第二过滤单元21也可以直接将在聚类单元15得到的多个原始告警组中选择优先级高于或等于设定阈值的告警组作为目标告警组，由目标告警组重新构成原始告警组，传递给时间序列化单元15去处理。也就是说，第一过滤单元20和第二过滤单元21可以同时存在，也可以只存在其中一个。通过这两个过滤单元对原始告警组的过滤，可以使统计的数据量较少，降低计算的复杂度。
[0126] 预置模块14还可以包括：融合单元22，该融合单元22用于根据预置规则，将采集到的多个原始告警进行重复告警融合处理。
[0127] 具体地，融合单元22可以根据预置的关于告警属性的规则，将采集到的多个原始告警进行重复告警融合处理；也就是说，融合单元22利用告警属性的相似性，进行重复告警融合处理。其中，若几个原始告警属于重复告警，融合处理可以具体为保留其中一个，去除其他重复告警，从而减少了重复告警，为进一步的关联分析处理减小了数据压力，提供了关联的效率。
[0128] 本实施例还可以包括：
[0129] 报警模块23，该报警模块23用于根据得到的安全事件生成预警或高级报警。 [0130] 具体的，报警模块23在得到安全事件后生成预警或高级报警，及时的给响应系统提供了有用信息，便于响应系统及时采取相应措施，以防止攻击对网络造成更为严重的危害。
[0131] 本实施例预置模块利用时间序列分析方法，对采集到的多个原始告警进行关联分析，得出一个以上攻击场景，不依赖于人工描述攻击场景，采集的告警数量大大增加，不需要知道攻击行为是怎么发生的或攻击步骤之间具有 怎样的联系，如果攻击步骤一起发生的概率高，利用时间序列分析方法就可以发现告警之间的因果关系，进而发现未知攻击参与的攻击场景，从而分析得到的攻击场景全面，该攻击场景可以作为推理引擎的先验知识，增强了关联系统的识别能力；根据该全面的攻击场景转化的规则，对新告警转化的事实进行匹配，不能处理的新告警很少，提高了关联分析处理的效率。匹配模块可以对新告警进行在线实时匹配，处理速度较快，实时性良好。
[0132] 本发明实施例还提供了一种包括上述安全事件关联装置的网络服务器。该网络服务器可以具体为各种监控设备、网关设备等，通过利用上述安全事件关联装置，实现了安全事件的在线实时匹配，且实时性良好。
[0133] 本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤，而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0134] 最后应说明的是：以上实施例仅用以说明本发明实施例的技术方案，而非对其限制；尽管参照前述实施例对本发明实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。