2019北京网络安适大会期间，奇安信集团颁布了面向实战化的态势感知与安适运营平台NGSOC(下文简称NGSOC)，NGSOC搭载了国内首款漫衍式流式关联分析引擎Sabre。本文将详细论述如何基于事件关联，还原网络打击的全貌，从而让网络打击无所遁形。

Sabre是什么？

Sabre是一个项目代号，即漫衍式流是关联分析引引擎的一个代号。严格的说是CEP技术在大数据范围的一个实现，CEP（庞大事件措置惩罚惩罚）是流式事件分析的一种通用技术。

网络打击是庞大的、多阶段、连续相当永劫间、跨多节点的动态过程，独立的日志源无法看到打击的全貌，而只能看到完整打击的一个片段，不进行关联，就无法把大量的片段组合起来完玉成景拼图。在实际使用场景中，用户经常会覆没在多个设备频繁告警中，无法通过智能手段将这些告警集中并进行关联措置惩罚惩罚。

  什么是事件？

我们这里所说的事件跟日常生活中的事件是不一样的，它是计算机世界中的事件，指的是由计算机系统在运行中所生成的一组数据。

举个例子，右面是个防火墙生成的事件，这是json的表示形式，整个事件是完全布局化的，由两部分构成。Key跟Value，Key叫做字段，Value叫做值，这是一个标准的布局化事件。对付计算机系统来说这样一条完全布局化的数据才可以被措置惩罚惩罚、被分析。一般情况下，从非布局化数据到布局化数据的过程，叫干事件的归一化。事件归一化之后，就会酿成这种形式。

对海量的布局化日志数据做分析，目的是发明难以琢磨的打击模式的技术，称之为事件关联技术。

在网络安适中，溯源一个打击事件的全貌，就像现实生活中的差人破案，以一般范例案例的侦查为例（指须综合运用多种侦查究法、手段的专案侦查），其一般措施如下：
 
1.初阶收集与案件有关的各类线索，如现场陈迹、遗留物品、被害人根基情况、作案手法工具特征等。

2.汇总案情，综合分析，作出判断（提出假说）

这是整个侦查事情中很关键的一个环节，是确定侦查标的目的，制考订确侦查打算的前提。

3.确定侦查标的目的、划定侦查范畴，布置分配侦查力量展开进一地势具体侦查，直到找到真凶，破案。
 
事件关联技术就是这里面的汇总案情进行综合分析的环节。

在网络安适世界为什么要干事件关联？

因为在我们此刻这个世界，现实中的网络打击长短常庞大的一个过程，它不是某个瞬间产生的一个事件，而是一个漫长的过程，一般来说，跨越非常长的时间段、非常多的网络节点，它在这个过程中会从A节点移动到B节点，再移动到C节点。好比，通过外部的系统缝隙，打击进来之后，要做提权，做横向移动，拿下你的域控，接着偷你的数据，最后留下后门。在整个过程中从网络角度看涉及到非常多的节点，而这个过程也不是在瞬间完成，往往要连续几个小时到几天甚至更长，而且是一个动态的过程，这会导致什么功效？

我们现有所有的检测体系，包孕网络界限的防火墙、WAF、IPS、终端，分袂只能看到整个打击过程中的某一个片段。那么怎么能从一系列的片段中，把整个打击过程完整的还原出来，这就是事件关联分析的感化，也是NGSOC的核心成果。

事件关联分析用什么技术来实现？用CEP技术。
 
什么是CEP？

CEP标准的学术名称叫庞大事件措置惩罚惩罚，如图是一个事件的出产和消费的措置惩罚惩罚模型和关系。左边是事件的出产者，右边是事件的消费者，而中间的就是事件措置惩罚惩罚。CEP的主要应用范围就是在事件措置惩罚惩罚上，这个事件措置惩罚惩罚会非常庞大，包孕模式发明，验证，数据富化及路由等等各类对照庞大的措置惩罚惩罚，在出产者跟消费者之间进行的很多计算都是要由CEP来完成。