將較大威脅模式的檢測形式稱為事件關聯。隨著網路攻擊方式的不斷成熟,事件關聯方法也不斷擴展,比如考慮源於更多類型安全設備的事件數據,考慮用戶特權和資產漏洞等額外事件上下文以及搜尋更複雜的威脅模式。
基本介紹
- 中文名:事件關聯
- 外文名:Event Correlation
- 定義:較大威脅模式的檢測形式
- 告警關聯技術:壓縮、過濾等
- 系統:計算機
- 套用學科:計算機原理
概述,事件關聯技術,故障和事件的定義,事件關聯,
概述
事件關聯通過整理大量離散事件數據並把其作為一個整體進行分析,找到需要立即引起注意的重要模式和事故,從而簡化威脅檢測方法。雖然早期事件關聯把注意力集中在減少事件數量從而簡化事件管理上,通常通過過濾、壓縮或歸納事件,較新的技術則使用狀態邏輯分析發生的事件流,同時進行模式識別以找到網路問題、故障、攻擊、入侵等。事件關聯在許多方面都很有用,比如通過多種方式為人工的安全評估提供便利:從各種各樣的源獲取更適合人類理解的大量事件數據,自動檢測已知的威脅模式的明確標誌從而讓檢測網路攻擊和破壞事件變得容易,以及通過事件標準化簡化對未知威脅模式的人工探測。
事件關聯技術
事件關聯技術是重要的故障定位策略,長期以來一直是研究的熱點。其基本思想是,通過關聯多個事件為某一單一概念事件來過濾不必要的及不相關的事件,為網路管理員提供更精簡的事件信息視圖,以準確、快速地識別故障源。
故障和事件的定義
(1)故障
故障(Fault)也稱故障源,即被管網路及其部件出現硬體或軟體方面的問題而不能提供正常的服務。
故障按其性質可分為以下兩類。
①硬故障:感測器失效、連線中斷等故障,一般可通過更換硬體或調試相關軟體以及重新初始化加以解決。
(2)事件
事件(Event)也稱告警,是故障的外在表現,即被管對象出現異常後狀態的改變。
事件按其性質可分為以下兩類。
①連通性事件:由Manager到被管對象的連線失敗,以致設備不再具有網路連通性,無法進行通信的事件。
②性能事件:設備的連線雖然存在,但由於被管對象與故障管理相關的MIB對象的值超過了預設的閾值而觸發的事件。例如,過高的IP數據報出錯率,可能暗示IP層協定實體的故障,可通過設定出錯率的最大閾值來觸發性能事件,產生告警。對於某些套用而言,網路系統資源性能的降低實質上也是一種故障。
故障與事件相互聯繫,故障是原因,事件是結果。告警是可以觀測和容易獲取的,而故障卻通常被掩蓋在大量告警背後。
事件關聯
事件關聯綜合被管網元在語義上的相關性,通過對告警信息在時間(Temporal)和空間(Spatial)上進行相關處理,減少告警訊息的數目,有助於發現引起故障的真正原因。對告警信息而言,其自身攜帶的時間戳是一個十分關鍵的信息。時間關聯過程就是從時間序列的角度來關聯告警序列,以便進行故障定位的。空間信息主要指的是網路的拓撲結構信息,它顯式地或隱式地包含在故障告警中。空間關聯過程就是從網路拓撲結構的角度來關聯告警序列,以便進行故障定位的。
典型的告警關聯方法如下。
1、壓縮:將多次發生的相同告警壓縮為一次同一類型的告警。
2、過濾:忽略掉不滿足給定條件的告警。
3、抑制:在特定的上下文中對某些告警進行抑制,如在級別高的告警發生時忽略級別低的告警。
4、計數:置換指定數目相同的重複告警為一個新類型告警。
5、概括:通過它的超類來引用該告警。
6、細化:用更加具體的子類告警來置換某告警。
