1 为什么需要安全事件关联分析？ 1.1 安全建设的新阶段

　　信息系统的安全建设已经从过去的局部优化阶段进入了整体优化的阶段。

　　当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和泄漏。为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。这种被动的安全建设过程就像是挖壕沟，为了抵御某一方面的安全威胁，客户不断地把壕沟加深，并开凿了一条又一条的壕沟。由于这些安全系统都仅仅防堵来自某个方面的安全威胁，于是形成了一个个安全防御孤岛，无法产生协同效应。另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前企业信息安全管理提出了严峻的挑战。这些内因外因合起来，都要求企业和组织建立一套横向贯穿孤立的安全防线的整体安全管理平台，实现对全网IT资源运行的监控、安全的监控、风险的监控，真正让企业管理者把握整体安全态势，实现有效地协同防御。

　　要构建一个统一的安全管理平台，首先就需要将来自企业和组织中复杂IT资源及其安全防御设施运行过程中不断产生的各类安全日志和事件进行统一收集、分析，构建一幅企业和组织的整体安全态势图。

　　对于一个典型的用户而言，经过较为系统的安全建设后，都会部署较多的安全产品。这些安全产品每天产生的事件量是巨大的，如下表所示：

表1：典型用户的日志每日产生量分析

　　显然，对于安全管理平台而言，收集和分析上述海量的安全事件是一个巨大的挑战，而能否做到这点将直接决定一个安全管理平台的成败。同时，安全管理平台决不能简单地将这些海量的信息直接展示给客户，否则，用户面对这些海量的安全事件将束手无策，管理运维效率将不升反降。此外，大量的安全事件汇聚到一起，根据其安全属性的相关性，可能隐含了新的更严重的安全事件，这种相关性是管理人员难以用肉眼观察出来的。安全管理平台的目标就是要收集这些海量事件，并通过有效的分析手段输出很少量的、真正值得管理员关注的安全事件。

　　那么，如何才能有效地分析这些海量的异构安全事件？安全事件关联分析应运而生。

　　什么叫做信息安全事件？根据ISO18044和ISO27001，信息安全事件是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违反或某些防护措施失效，或者一种可能与安全相关但以前未知的情况。

　　在本文中，信息安全事件简称事件，尤指由IT系统自动产生的各种事件。

　　IT范畴内的事件关联分析（Event Correlation Analysis）最早来自网络管理领域，通过综合分析各种网络告警信息，用于寻找网络故障的根本原因。

　　定义1（来自Wiki百科）：事件关联是指找出大量事件中存在的关系，并从这些大量事件中抽取出真正重要的少量事件。

　　伴随着网络安全的发展，尤其是受到传统IDS大量漏报、误报、错报安全事件的影响，出现了基于网络安全数据融合技术的分布式IDS。而伴随着前面所述的安全建设新阶段的到来，安全信息与事件管理系统（SIEM）和安全管理平台（SOC）也纷纷出现。在这些系统的设计中都逐步引入了事件关联分析的概念。

　　定义2：事件关联分析是指用户将海量的来自异构数据库源的安全事件进行相关性分析，定位真正的安全事故点的过程。

　　定义3（来自NIST SP800-92）：事件关联是指在两个或更多个日志（事件）中找到它们之间的关系。

　　根据上述定义，事件关联分析包括两层含义：

　　1) 将大量的安全事件过滤、压缩、归并，提取出少量的、或者是概括性的重要安全事件，相当于“关联分析中的事件量变”；

　　2) 从大量的安全事件之中发掘隐藏的相