更新时间:2022-09-15 11:56
将较大威胁模式的检测形式称为事件关联。随着网络攻击方式的不断成熟,事件关联方法也不断扩展,比如考虑源于更多类型安全设备的事件数据,考虑用户特权和资产漏洞等额外事件上下文以及搜索更复杂的威胁模式。
事件关联通过整理大量离散事件数据并把其作为一个整体进行分析,找到需要立即引起注意的重要模式和事故,从而简化威胁检测方法。虽然早期事件关联把注意力集中在减少事件数量从而简化事件管理上,通常通过过滤、压缩或归纳事件,较新的技术则使用状态逻辑分析发生的事件流,同时进行模式识别以找到网络问题、故障、攻击、入侵等。事件关联在许多方面都很有用,比如通过多种方式为人工的安全评估提供便利:从各种各样的源获取更适合人类理解的大量事件数据,自动检测已知的威胁模式的明确标志从而让检测网络攻击和破坏事件变得容易,以及通过事件标准化简化对未知威胁模式的人工探测。
事件关联技术是重要的故障定位策略,长期以来一直是研究的热点。其基本思想是,通过关联多个事件为某一单一概念事件来过滤不必要的及不相关的事件,为网络管理员提供更精简的事件信息视图,以准确、快速地识别故障源。
故障和事件的定义
(1)故障
故障(Fault)也称故障源,即被管网络及其部件出现硬件或软件方面的问题而不能提供正常的服务。
故障按其性质可分为以下两类。
①硬故障:传感器失效、连接中断等故障,一般可通过更换硬件或调试相关软件以及重新初始化加以解决。
②软故障:由网络拥塞、软件失常、资源耗尽、交换效率下降等问题引起的故障。
(2)事件
事件(Event)也称告警,是故障的外在表现,即被管对象出现异常后状态的改变。
事件按其性质可分为以下两类。
①连通性事件:由Manager到被管对象的连接失败,以致设备不再具有网络连通性,无法进行通信的事件。
②性能事件:设备的连接虽然存在,但由于被管对象与故障管理相关的MIB对象的值超过了预设的阈值而触发的事件。例如,过高的IP数据报出错率,可能暗示IP层协议实体的故障,可通过设置出错率的最大阈值来触发性能事件,产生告警。对于某些应用而言,网络系统资源性能的降低实质上也是一种故障。
故障与事件相互联系,故障是原因,事件是结果。告警是可以观测和容易获取的,而故障却通常被掩盖在大量告警背后。
事件关联
事件关联综合被管网元在语义上的相关性,通过对告警信息在时间(Temporal)和空间(Spatial)上进行相关处理,减少告警消息的数目,有助于发现引起故障的真正原因。对告警信息而言,其自身携带的时间戳是一个十分关键的信息。时间关联过程就是从时间序列的角度来关联告警序列,以便进行故障定位的。空间信息主要指的是网络的拓扑结构信息,它显式地或隐式地包含在故障告警中。空间关联过程就是从网络拓扑结构的角度来关联告警序列,以便进行故障定位的。
典型的告警关联方法如下。
1、压缩:将多次发生的相同告警压缩为一次同一类型的告警。
2、过滤:忽略掉不满足给定条件的告警。
3、抑制:在特定的上下文中对某些告警进行抑制,如在级别高的告警发生时忽略级别低的告警。
4、计数:置换指定数目相同的重复告警为一个新类型告警。
5、概括:通过它的超类来引用该告警。
6、细化:用更加具体的子类告警来置换某告警。