复杂事件处理概念
复合事件是由史丹佛大学的David Luckham 与Brian Fraseca 所提出,David Luckham 与Brian Fraseca 于1990年提出复合事件架构,使用模式比对、事件的相互关系、事件间的聚合关系,目的从事件云(event cloud)中找出有意义的事件,使得IT 架构可以更能弹性使用事件驱动架构,并且能使企业更能快速的开发出更复杂的逻辑架构。
复杂事件处理简介
这里基于本公司日志数据分析的一个产品,借助CEP复杂事件处理的概念进行设计。
近年来,各大企业建立的安全防御线(即安全设备、监控设备等形成的安全防护线)中产生的日志数据大幅增加,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应,因此如何处理这些数据成为一个急需解决的问题,从这里引用复杂事件处理的概念,能够实时地从源源不断的海量数据中提取出感兴趣及更高层次的信息,出现了复杂事件处理系统,用户预先在系统中定义需要检测的复杂事件模式,具体的一种案例模式来说就是对日志数据进行以源ip、目的ip、类型等维度进行复杂的关联分析处理、包含去重、合并等对原始日志数据进行筛选、统计、关联分析出具有威胁的日志数据。
复杂事件处理案例
1、口令猜测威胁事件分析
(1)特征提取
通常我们常见的穷举法(或称暴力法)来破解用户的密码、或者植入特洛伊木马程序或病毒程序盗取客户信息,这里我就以穷举法进行特征提取:
1)一般攻击者先得到该主机上的某个合法用户的帐号
2)猜测密码,循环穷举验证是否登录成功
3)一次次登录失败
4)目的IP不等于0.0.0.0
(2)分析事件重定义
首先日志数据的分析过程:日志数据-归一化原始事件-复杂关联分析事件--威胁事件
归一化原始事件:通过参数类型定义、正则匹配等,无论是口令穷举、登录失败统一重定义为口令猜测
复杂关联分析事件:通过一定的关联规则:条件筛选、合并去重维度、时间窗、类型定义等
威胁事件:通过威胁规则的复杂关联分析事件进行重定义,生成可以可视化、可追溯、可跟踪、可处置等威胁事件
(3)平台展示并处置流程
通过页面展示、权限、追溯等对威胁事件进行处置
2、复杂持续攻击过程案例
下面这个场景攻击方式,攻击者首先通过漏洞扫描工具找到系统漏洞(如:端口漏洞、Web漏洞),然后通过分析系统漏洞,制作系统密码、权限破解的工具进行暴力破解、sql注入等,获取密码、权限等,成功登陆系统或获取权限(SSH登陆成功),安装病毒程序或工具进行木马远程控制活动,获取机密文件、超权限操作等,最后传输机密文件、资料等给外网,得到资料。
特征提取:
1) 侦查:如端口漏洞扫描、Web漏洞扫描等;
2) 定向攻击:口令穷举、口令猜测、Sql注入攻击等;
3) 攻陷+入侵:口令猜测成功、系统登录成功等;
4) 安装攻击工具:感染木马、病毒等;
5) 恶意活动:远程控制、信息泄露、数据篡改、可疑文件传输等;
