关联规则用于对一段时间内采集器上报的日志，按照一定的规则进行关联分析，匹配“关联规则”的日志将会输出一个安全事件，并在安全事件页面进行展示。 以便用户可实时监控整网安全情况，用户也可以根据事件的描述、关注点等字段进行有针对性的排查并采取相应的措施，确保网络安全。系统支持以下两种类型的关联规则：

·            自定义关联规则：用户可根据实际需求自定义关联规则并对其进行管理，包括新增、删除、启用、停用关联规则。

·            预定义关联规则：系统内置的关联规则算法，可以在海量日志和流量中关联分析出异常信息。系统预定义关联规则如下：

○          外网漏洞利用攻击

○          该关联规则用于对一段时间内，系统对接收到的外网攻击者利用内网主机漏洞来进行攻击活动的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          内网漏洞利用攻击

○          该关联规则用于对一段时间内，系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及 X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          外网投递恶意程序

○          该关联规则用于对一段时间内，系统对接收到的外网攻击者向内网主机投递恶意文件来进行攻击活动的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          外网拒绝服务攻击

○          该关联规则用于对一段时间内，系统对接收到的外网攻击者向内网主机发起FLOOD攻击的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名相同的日志聚合成一条，生成一个安全事件。

○          外网畸形报文攻击

○          该关联规则用于对一段时间内，系统对接收到的攻击者在外网向内网主机发起畸形协议或者数据攻击的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          外网扫描探测攻击

○          该关联规则用于对一段时间内，系统对接收到的外网攻击源向内网主机发起地址扫描侦察攻击的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          多设备暴力破解

○          该关联规则用于对一段时间内，系统对接收到的攻击者在外网向内网主机多次请求登录失败的日志进行解析聚合，并将用户登录IP相同的日志聚合成一条，生成一个安全事件。

○          外网暴力破解

○          该关联规则用于对一段时间内，系统对接收到的攻击者在外网向内网主机多次发起暴力破解的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          单设备多次登录失败

○          该关联规则用于对一段时间内，系统对接收到的攻击者在外网通过单台设备向内网主机多次（50次以上）请求登录失败的日志进行解析聚合，并将产生日志设备IP相同的日志聚合成一条，生成一个安全事件。

○          单主机暴力破解成功

○          此规则为嵌套规则，单主机暴力破解成功规则里嵌套单主机被单一源暴力破解成功规则。其中，单主机被单一源暴力破解成功规则是将一段时间内，系统接收到的攻击者（一个来源）多次登录主机失败尝试后，最后登录成功的日志聚合成一条，生成一个安全事件； 单主机暴力破解成功规则是将一段时间内，系统接收到的攻击者（多个来源）多次登录主机失败尝试后，最后登录成功的日志聚合成一条，生成一个安全事件。 当“单主机被单一源暴力破解成功规则”有符合匹配规则的安全事件生成时，不输出“单主机暴力破解成功”规则生成的安全事件； 当“单主机被单一源暴力破解成功规则”没有符合匹配规则的安全事件生成时，输出“单主机暴力破解成功”规则生成的安全事件。

○          恶意网站访问

○          该关联规则用于对一段时间内，系统对接收到的用户或者主机在内网访问恶意网站的日志进行解析聚合，并将攻击子分类、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          源主机存在恶意文件

○          该关联规则用于对一段时间内，系统对接收到的内网主机存在恶意文件的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条，并根据攻击子分类生成对应的安全事件。

○          目的主机存在恶意文件

○          该关联规则用于对一段时间内，系统对接收到的内网主机存在恶意文件的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，并根据攻击子分类生成对应的安全事件。

○          内网暴力破解

○          该关联规则用于对一段时间内，系统对接收到的内网主机发起暴力破解来进行权限获取的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          内网畸形报文攻击

○          该关联规则用于对一段时间内，系统对接收到的攻击者在内网通过内网主机发起畸形协议或者数据攻击的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          内网扫描攻击

○          该关联规则用于对一段时间内，系统对接收到的攻击者在内网通过内网主机发起地址扫描侦察攻击的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          恶意主机外联

○          该规则用于对流量探针、终端主机上报的内网主机访问特定外网主机（被列入系统威胁情报中的C&C、网络蠕虫、远控木马等IP库里的外网主机IP）的日志进行解析聚合，并将源IP、目的IP相同的日志聚合成一条，生成一个安全事件。

○          恶意域名事件

○          该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网域名（被列入系统威胁情报中的C&C、网络蠕虫、远控木马等域名库里的外网域名）的日志进行解析聚合，并将源IP、访问域名相同的日志聚合成一条，并根据攻击子分类生成对应的安全事件。

○          内部发起恶意通信

○          该关联规则用于对一段时间内，系统对接收到的攻击者在内网主机发起恶意通信请求的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值同的日志聚合成一条，并根据攻击子分类生成对应的安全事件。

○          外部发起恶意通信尝试

○          该关联规则用于对一段时间内，系统对接收到的攻击者在外网尝试向内网主机发起恶意通信的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          恶意URL事件

○          该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网URL（被列入系统威胁情报中的C&C、网络蠕虫、远控木马等URL库里的外网URL）的日志进行解析聚合，并将源IP、访问URL相同的日志聚合成一条，生成一个安全事件。

○          内网访问风险主机

○          该关联规则用于对一段时间内，系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合，并将攻击分类、攻击子分类、目的IP及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          目的主机存在风险

○          该关联规则用于对一段时间内，系统对接收到的攻击者在外网利用内网主机漏洞来进行攻击活动的日志进行解析聚合，并将攻击分类、攻击子分类、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          恶意通信成功

○          该关联规则用于对一段时间内，系统对接收到的攻击者向内网主机发起恶意通信日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，并根据攻击子分类生成对应的安全事件。

○          主机配置风险

○          该关联规则用于对一段时间内，系统对接收到的内网主机存在配置风险的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          源主机疑似感染恶意程序

○          该关联规则用于对一段时间内，系统对接收到的内网主机存在恶意文件的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值的日志聚合成一条，生成一个安全事件。

○          终端MD5情报

○          该规则用于对终端上报的内网主机存在操作恶意文件（即文件MD5值在系统威胁情报中恶意文件库里的文件）行为的日志进行解析聚合，并将终端MAC地址、文件MD5值相同的日志聚合成一条，生成一个安全事件。

○          内网弱口令登录

○          该关联规则用于对一段时间内，系统对接收到的攻击者在内网利用内网主机弱口令来进行攻击活动的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          外网弱口令登录

○          该关联规则用于对一段时间内，系统对接收到的外网攻击者利用内网主机弱口令来进行攻击活动的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          外网风险访问

○          该关联规则用于对一段时间内，系统对接收到的外网攻击者利用内网主机开放端口来进行攻击活动的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

○          内网暴破成功

○          该关联规则用于对一段时间内，系统对接收到的内网主机向内网主机发起暴力破解并成功获取权限的日志进行解析聚合，并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条，生成一个安全事件。

本章包含如下内容：

·            新增自定义关联规则

·            查看关联规则

·            删除自定义关联规则

·            启用关联规则

·            停用关联规则

该功能用于新增自定义关联规则。主要包括规则定义、事件输出和规则配置三个部分。

操作步骤

1.        选择“配置中心 > 关联规则”进入关联规则页面。

2.        单击<新增>按钮进入新增关联规则页面，配置相关参数后单击<确认>按钮完操作。

3.        对于已配置的规则可通过启用和停用按钮改变规则的状态。

参数说明

规则定义

·            规则名称：规则的唯一标识，不能重复，长度为1～20个字，不能包含特殊字符“{!_|<>/\%&'",;:*=?#}”。

·            规则描述：规则的描述，通过合理编写描述信息，便于管理员快速理解和识别该规则。

·            时间窗：规则匹配事件的时间段，只有在时间窗内到达系统的事件才会进行匹配。时间窗单位可选分钟、小时，必须是正整数。选择分钟，时间窗长度可输入1-60分钟，选择小时，时间窗长度可输入1-24小时。

·            溯源描述：规则生成安全事件后在溯源分析中的描述，可直接描述或通过在特定字段前后加占位符%来进行变量替换，例如：%攻击源%向%攻击目的%发起暴力破解尝试，共登录%攻击次数%次。

·            风险危害：该规则生成的安全事件的风险危害，例如，"危害：主机很可能已被黑客控制，正与黑客主机通信。原理：内部主机失陷后会直接或者通过隧道等方式外联黑客主机，甚至被当成肉鸡攻击互联网其他主机,通过本地主机是否发起恶意通信进行检测。"

·            处置建议：该规则生成的安全事件的处置建议，例如，"如果主机是普通PC或服务器无相关代理服务，则建议使用杀毒工具进行全盘查杀。"

事件输出

·            事件名称：该规则生成的安全事件的名称，长度为1～20个字符，可文字描述或通过在特定字段前后加占位符%来进行变量替换，例如：%攻击类型%攻击。

·            事件描述：该规则生成的安全事件的详细描述，可直接描述或通过在特定字段前后加占位符%来进行变量替换，例如：发现%攻击目的%遭受%攻击类型%攻击，攻击名称为%攻击名称%。

·            威胁等级：该规则生成的安全事件的威胁等级，可选择低危、中危、高危、严重和默认。其中选择默认时，将展示日志本身的威胁等级。

·            关注点：该规则生成的安全事件的关注点，可选择关注源或目的。通过关注点字段用户可以关注资产的安全状态。

·            攻击阶段：该规则生成安全事件时，该事件所属攻击链环节，攻击阶段总共分为扫描侦查、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏。

·            确信度：该规则生成的安全事件的可信程度，包括已失陷、高可疑、低可疑。

规则配置

用于匹配原始日志的子规则。点击<添加>按钮进入新增子规则页面，配置相关参数后单击<确认>按钮完操作；点击<移除>按钮可删除已配置的子规则。

·            子规则名称：子规则的唯一标识，不能重复，不能包含字符“{}!_|<>/\%&'",;:*=?#”。

·            子规则描述：子规则的详细描述，通过合理编写描述信息，便于管理员快速理解和识别该规则。

·            条件属性：该规则只对此类型的日志进行匹配。

·            聚合：用于对满足条件的日志聚合上报事件。例如，若设备采集到100条满足匹配条件的暴力破解攻击日志，若未配置聚合功能，则对100条攻击日志均上报事件，若配置了聚合功能，则根据聚合条件的配置上报事件。系统默认未开启聚合功能。

○          分组字段选择：根据所选的“关键字段”对所有满足匹配条件的日志进行首次分组聚合，关键字段取值相同的日志为一组，每组聚合为一条日志。例如， 对于设备收到的100条满足匹配条件的暴力破解攻击日志，若需要根据攻击源聚合上报日志，则可以将分组字段选择配置为“用户登录IP”。

○          分组字段统计次数：若根据分组字段聚合后的日志条数大于或等于配置的分组字段统计次数，且未配置解析字段选择，则将聚合日志上报为事件， 若配置了解析字段选择则继续匹配解析字段条件；否则分组字段匹配失败，不上报事件。例如：对于设备收到的100条满足匹配条件的暴力破解攻击日志， 假设配置的分组字段选择为“用户登录IP”，分组字段统计次数为10。即根据用户登录IP地址对设备收到的100条暴力破解日志进行分组， 若分组个数大于等于10（登录用户的个数大于等于10），则上报事件，否则认为攻击规模不具有威胁性，不上报日志。

○          解析字段选择：配置解析字段后，系统将根据解析字段所选的关键字对首次分组聚合的日志进行二次聚合，关键字段取值相同的日志为一组，每组聚合为一条日志。 例如，假设经过首次聚合后，聚合输出20条来自不同登录IP的暴力破解攻击日志。若需要根据产生日志的设备IP再次聚合，则可以将解析字段选择配置为“产生日志的设备IP”。

○          解析字段相同值统计次数：若聚合后的日志条数大于或等于配置的解析字段相同值统计次数，则继续进行后续判断。例如，假设经过首次聚合后， 聚合输出20条来自不同登录IP的暴力破解攻击日志。若配置解析字段选择为“产生日志的设备IP”，解析字段相同值统计次数为1。即根据产生日志的设备IP地址对首次聚合后的攻击日志 再次进行聚合，若再次聚合后的日志条数大于等于1（产生日志的设备个数大于等于1），则继续匹配解析字段不同值最小个数，否则认为攻击规模不具有威胁性，不上报日志。

○          解析字段不同值最小个数：经过解析字段聚合后生成的日志条数，如果大于或等于配置的解析字段不同值最小个数，则在聚合的日志中依据继承策略选择一条日志上报为事件； 否则不上报事件。例如，假设经过再次聚合后，聚合输出12条来自不同日志设备的暴力破解攻击日志。若配置解析字段不同值最小个数为10，则判断上一步聚合后的日志条数12大于10（产生日志的设备个数大于10），则依据继承策略选择一条日志上报事件，否则认为攻击规模不具有威胁性，不上报日志。

○          继承策略：指定聚合日志输出和上报事件的时间依据。若选择“最早时间”，则选择产生时间最早的日志为聚合日志或上报事件； 若选择“最晚时间”，则选择产生时间最晚的日志为聚合日志或上报事件。

·            匹配条件

○          设置匹配条件间的逻辑关系：用于设置多个条件之间的逻辑关系，可选择与、或和自定义。在使用自定义的逻辑关系时，可使用OR和AND来组合成逻辑表达式，例如，1 and (2 or 3) and 4。

○          设置匹配条件：指定匹配条件的关键字段和实际取值之间连接关系，包括：“=”、“！=”、“>”、“<”、“>=”、“<=”、“INLIST”、“NOTINLIST”、“IN”。其中，选择“INLIST”和“NOTINLIST”时指定关联列表，表示该关键字段的值是否存在指定的“关联列表”中；选择“IN” 可选择多个匹配字段。

○          添加匹配条件：点击按钮可以增加一个匹配条件， 点击按钮可以删除一个匹配条件。

·            子规则关系：一个关联规则下可添加多个子规则，多个子规则之间的匹配顺序可以选择全部匹配、任一匹配或顺序匹配。只有配置了多个子规则时才显示该字段。

配置举例

例如，用户需要自定义一条关联规则，用于根据流量日志来分析内网主机之间频繁访问的情况。该规则中要求一个内网IP至少访问其他内网IP 500次，且访问次数不少于50次的内网IP数至少为10个。自定义关联规则的操作步骤如下：

1.        单击<新增>按钮，进入新增关联规则页面，配置如下参数。

规则定义

○          规则名称：内网主机频繁访问

○          时间窗：1分钟

○          溯源描述：【%规则名称%】 %源IP% 发起频繁访问

○          风险危害：频繁访问

○          处置建议：关注主机安全

事件输出

○          事件名称：内网主机频繁访问

○          事件描述：内网主机频繁访问

○          威胁等级：默认

○          关注点：源

○          攻击阶段：其他

○          确信度：低可疑

2.        单击<添加>按钮，进入新增子规则页面，配置如下参数。

规则配置

○          子规则名称：内网主机频繁访问

○          条件属性：网络流量日志

○          聚合：勾选复选框

§  分组字段选择：源IP

§  分组字段统计次数：500

§  解析字段选择：目的IP

§  解析字段相同值统计次数：50

§  解析字段不同值最小个数：10

§  继承策略：最晚时间

○          匹配条件：与

§  第1个匹配条件：三个下拉框中分别选择日志子分类、IN、会话结束,会话开始&结束

§  第2个匹配条件：三个下拉框中分别选择源内外网标识、IN、内网

§  第3个匹配条件：三个下拉框中分别选择目的内外网标识、IN、内网。

3.        单击<确认>按钮，完成子规则配置。

4.        单击<确认>按钮，完成自定义关联规则配置。

注意事项

·            通过特定字段前后加占位符%方式表示安全事件信息时，特定字段将被替换为该字段的实际取值。

○          事件名称、事件描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型。

○          溯源描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型、事件名称、事件描述、规则名称、攻击次数。

其中攻击源、攻击目的若已配置资产名或用户名，则展示资产名或用户名，否则展示为IP地址。

·            建议不要配置过长的时间窗，否则会影响匹配性能。

·            关联规则停用后，不会影响停用前匹配的数据展示。

该功能用于查看已配置的关联规则。

操作步骤

1.        选择“配置中心 > 关联规则”进入关联规则页面。

2.        支持按规则名称、事件名称、启用状态、威胁等级检索关联规则，输入查询条件，单击<查询>按钮页面将展示满足查询条件的关联规则信息； 单击<重置>按钮可重置查询条件。默认展示所有关联规则。

参数说明

·            规则名称：关联规则的唯一标识。

·            类型：关联规则的类型，包括自定义和预定义。

·            事件名称：该关联规则生成的安全事件的名称。

·            事件描述：该关联规则生成的安全事件的描述信息，合理的描述信息有利于管理员快速了解该事件。

·            威胁等级：该关联规则生成的安全事件的严重等级。

·            命中次数：日志成功匹配该关联规则生成的安全事件数，点击次数可查看命中该规则的安全事件信息。

·            启用状态：关联规则的使用状态，包括启用和停用。

该功能用于删除自定义关联规则。

操作步骤

1.        选择“配置中心 > 关联规则”进入关联规则页面。

2.        选中多条规则，单击<删除>按钮可批量删除规则； 单击操作列的按钮可删除选中的规则。

注意事项

·            删除规则时，若白名单中“规则名称”字段引用的关联规则均被删除，那么，该白名单也将被同步删除。

该功能用于启用关联规则。

操作步骤

1.        选择“配置中心 > 关联规则”进入关联规则页面。

2.        选中多条状态为“停用”规则，单击页面中的<启用>按钮可批量启用规则。

注意事项

·            批量启用关联规则时，一次最多只能启用单页面能展示的所有关联规则。

该功能用于停用关联规则。

操作步骤

1.        选择“配置中心 > 关联规则”进入关联规则页面。

2.        选中一条或多条状态为“启用”的规则，单击页面中的<停用>按钮可批量停用规则。

注意事项

批量停用关联规则时，一次最多只能停用单页面能展示的所有关联规则。