CN101753332B - 事件关联分析方法和系统 - Google Patents
事件关联分析方法和系统 Download PDFInfo
- Publication number
- CN101753332B CN101753332B CN2008101794991A CN200810179499A CN101753332B CN 101753332 B CN101753332 B CN 101753332B CN 2008101794991 A CN2008101794991 A CN 2008101794991A CN 200810179499 A CN200810179499 A CN 200810179499A CN 101753332 B CN101753332 B CN 101753332B
- Authority
- CN
- China
- Prior art keywords
- rule
- incident
- mentioned
- processing unit
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出一种事件关联分析方法与其对应的系统。上述方法用于上述系统。该系统包括多个处理单元,每一处理单元执行多个指令序列。上述事件关联分析方法包括下列步骤:根据一事件所对应的规则群代号,将事件分派至上述多个处理单元其中之一。然后,根据上述事件所对应的规则类型,将事件分派至处理单元的多个指令序列其中之一,由该指令序列分析该事件。上述规则群代号与规则类型为根据该事件的来源代号与事件类型而决定。
Description
技术领域
本发明是有关于事件关联分析(event correlation analysis)技术,且特别是有关于在平行架构上进行事件关联分析的方法、系统、电脑程序产品、以及电脑可读取的记录媒体。
背景技术
在一个网络环境下,各种网络装置、主机等,都会产生大量的事件来反应目前网络或自身的状况。这些事件可以做为信息安全分析的依据,以期更精准的判断发生了什么事,以及危害程度。因此,信息安全中心(SOC:securityoperation center)的架构便应运而生。在此架构中,事件关联(event correlation)分析系统依据关联规则将网络上的各个装置发出的警讯(alert)事件,关联整合成一个独立的信息安全案件,以供相关人员进行分析或应变处理。
一般来说一个事件关联分析系统,其关联规则的逻辑会分成六个区段,分别是:开始阶段、过滤阶段、酝酿阶段、成案阶段、并案阶段以及最后的终止阶段。举个判断阻绝服务(DoS:denial of service)攻击的关联规则的例子加以说明。在开始阶段是接收来自各个装置所发出的DoS信息安全事件,然而这些事件之中并不是每个都是正确或是有可信度的警报。因此在跟着的过滤阶段中便会将没意义或是比较没辨识性的事件加以过滤去除掉,只留下比较有代表性的事件进行分析。当该DoS事件通过了过滤阶段所订定的筛选条件后跟着便开始进入了案件的酝酿阶段。这里所谓的酝酿阶段指的是在某段时间中接收到一定数量通过了过滤阶段后的信息安全事件。当酝酿阶段达到了事前所设定的门槛值(例如每分钟100个事件)之后,该案件便开始进入成案阶段,而在成案阶段时如果还是有后续的事件通过了之前过滤阶段所设定的过滤条件,该关联规则便会将其并案处理,而不会再产生新的案件。最后,直到信息安全处理人员接收到该案件发生的讯息并做完后续的处理动作之后,才会对该案件下结案通知,如此该案件才会进入到终止阶段,完成了整个关联程序。
在关联一些特定的攻击行为时,有时候需要的往往不只是一种事件类型而已。例如当黑客利用网络环境探查程序对服务器所开放的服务进行探查时,网络环境探查程序会先对服务器进行大规模的服务端口扫描(port scan),之后再特别针对有开放连结的服务端口进行更进一步的标志撷取(banner grabbing)探测。为了检测这种异常行为,关联规则便需要在过滤阶段里头针对大规模服务端口扫描以及服务端口标志撷取这两个事件进行过滤,接着将其送到的后的酝酿阶段加以后续的统计。
因为网络事件众多,产业界的信息安全中心每天均需收集大量的信息安全事件资料,并且以即时(real-time)速度分析这些资料,事件关联分析的效能便成为一个重要议题。特别是目前处理器(processor)的主流已经走向多核心(multi-core)之际,如何有效率的配置工作到多个核心,以充分发挥所有核心的运算能力,会对整体效能有重大的影响。目前的技术有下列三项缺点。
第一,一般事件关联分析系统中,由排程模组(scheduling module)将事件分派到处理器的各核心处理,只考虑到核心的工作配置,并未包含核心内线程(thread)的工作配置。较差的配置方式可能使多个线程执行同一规则,使多个线程因竞争问题而彼此等待,影响效能。
第二,传统技术未依照事件所对应的规则来分群,使得待分析的事件可能占用多个核心的高速缓冲存储器(cache memory),并影响高速缓冲的效能。
第三,传统技术的单一个关联规则只能循序分析,在同类型的事件大量涌入时可能会使执行该规则的核心负载过重,造成核心负载不平衡。
发明内容
本发明提供一种事件关联分析方法,可提高事件关联分析的效能,并解决因同类型事件大量涌入而使核心负载不平衡的问题。
本发明另提供一种事件关联分析系统,可执行上述方法,进而提高事件关联分析的效能,并且避免核心负载不平衡的问题。
本发明提出一种事件关联分析方法,用于一事件关联分析系统。该事件关联分析系统包括多个处理单元,每一处理单元执行多个指令序列(instructionsequence)。上述事件关联分析方法包括下列步骤:根据一事件所对应的规则群代号,将事件分派至上述多个处理单元其中之一。然后,根据上述事件所对应的规则类型,将事件分派至处理单元的多个指令序列其中之一,由该指令序列分析该事件。上述规则群代号与规则类型为根据该事件的来源代号与事件类型而决定。
在本发明的一实施例中,上述的规则群包括多个规则,其中任何两个规则皆对应至少一个相同的来源代号与事件类型组合的事件。
在本发明的一实施例中,上述的事件关联分析方法更包括下列步骤:根据一事件的分析产生新事件,并决定上述新事件所对应的规则群代号和规则类型。若新事件和原事件对应不同的处理单元,则根据新事件的规则群代号,将新事件分派至另一个处理单元。
在本发明的一实施例中,上述的根据规则群代号将事件分派至上述多个处理单元其中之一的步骤包括下列步骤:将规则群代号输入一杂凑函数(hashfunction),然后根据杂凑函数的输出值将事件分派至上述多个处理单元其中之一。此外,上述事件关联分析方法更包括下列步骤:监视上述多个处理单元的负载状况,并且根据上述多个处理单元的负载状况调整上述杂凑函数。
在本发明的一实施例中,对应同一规则群的事件皆分派到上述多个处理单元之中的同一处理单元,而且在每一上述处理单元中,对应同一规则类型的事件皆分派到上述多个指令序列之中的同一指令序列。
在本发明的一实施例中,若一事件对应一规则群的多个规则类型,则将上述事件分派至对应上述多个规则类型的每一个指令序列。
在本发明的一实施例中,上述的杂凑函数依照一负载平衡演算法(loadbalancing algorithm),将对应同一规则的多个事件散开分派至上述多个处理单元的一子集合。
在本发明的一实施例中,若一预设条件不成立,则上述杂凑函数将对应一规则的事件皆分派到上述多个处理单元之中的同一处理单元。此预设条件为根据该处理单元的负载状况而决定。反之,若上述预设条件成立,则上述杂凑函数将对应上述规则的多个事件散开分派至上述多个处理单元的一子集合。
在本发明的一实施例中,若对应一第一规则群以及一第二规则群的事件皆分派至上述多个处理单元其中的第一处理单元,而且一预设条件成立,则上述杂凑函数将对应第二规则群的事件改分派至上述多个处理单元其中的第二处理单元。上述预设条件为根据第一规则群在第一处理单元所造成的负载状况而决定。
本发明另提出一种事件关联分析系统,包括第一分派模组(dispatchermodule)以及多个处理单元。上述多个处理单元耦接于第一分派模组。每一上述处理单元包括一第二分派模组,并执行多个指令序列。其中,第一分派模组根据一事件所对应的规则群代号将该事件分派至上述多个处理单元其中之一。接收该事件的处理单元的第二分派模组根据该事件所对应的规则类型,将该事件分派至该处理单元的上述多个指令序列其中之一,由该指令序列分析该事件。该事件的规则群代号与规则类型为根据该事件的来源代号与事件类型而决定。
基于上述,本发明采用处理单元与指令序列的两阶段事件分派机制。本发明将对应同一规则群的事件全分派至同一处理单元,使同一规则群的事件资料皆储存在同一个处理单元的储存装置,可提高储存装置效能。本发明将对应同一规则的事件全分派至同一指令序列进行分析,可避免多个指令序列之间的竞争问题,提高事件关联分析的效率。若同一规则的事件大量涌入,使单一处理单元的负载过高,本发明可将同一规则的事件散开分派至多个处理单元,以避免单一处理单元的负载过重。
附图说明
为让本发明的上述目的、特征和优点能更明显易懂,以下结合附图对本发明的具体实施方式作详细说明,其中:
图1是依照本发明一实施例的一种事件关联分析系统的方块图。
图2绘示依照本发明一实施例的一种事件对应查询表。
图3是依照本发明一实施例的一种事件关联分析方法的流程图。
主要元件符号说明:
100:事件关联分析系统
110:核心分派模组
120:负载监视模组
130、140、150:核心
131:线程分派模组
132:高速缓冲存储器
133-135:线程
310-390:流程图步骤
具体实施方式
图1为根据本发明一实施例的事件关联分析系统100的方块图。事件关联分析系统100建构在一个多核心处理器上,包括核心分派模组(core dispatcher)110、负载监视模组(load watcher)120、以及上述处理器的核心130、140、150。虽然图1仅绘示三个核心,本发明并不限制核心的数量。每一个核心都有相同的结构。以核心130为例,核心130包括线程分派模组(thread dispatcher)131以及高速缓冲存储器132。每一个核心同时执行多个线程,例如核心130的线程133、134、135。负载监视模组120耦接于核心分派模组110。每一个核心皆耦接于核心分派模组110以及负载监视模组120。
核心分派模组110、负载监视模组120、以及每个核心的线程分派模组都可以是硬件或软件。在本实施例,上述三种模组都是软件。线程分派模组由各自所属的核心执行。
本实施例的特色之一是核心与线程的两阶段事件分派。核心分派模组110负责将事件分派至事件关联分析系统100的多个核心其中之一。当一个核心接收到分派的事件之后,则由其中的线程分派模组将事件分派到上述核心所执行多个线程其中之一,由线程来分析事件。事件分派到哪个核心,以及分派到哪个线程,是根据一个事先制定的查询表而决定。
图2绘示上述查询表的一个范例。图2的查询表中,每一笔记录包括来源代号(source ID)、事件类型(event ID)、规则群代号(equivalence class ID)、以及规则类型(rule type)这四个栏位。
来源代号代表产生事件的来源,可以是某个装置或软件。事件类型代表事件的分类。举例而言,如果入侵检测系统(IDS:intrusion detection system)检测到入侵事件,其来源代号就是入侵检测系统的代号,事件类型就是一个表示入侵事件的代号。如果某一个电脑或设备的管理员(administrator)帐号被外人登入,来源代号就是遭受登入的电脑或设备的代号,事件类型就是另一个代号,表示管理员帐号被外人登入。每个事件的资料都包括一个来源代号和一个事件类型,根据来源代号和事件类型,可以在查询表中查出此事件所对应的规则群代号和规则类型。上述的规则群代号和规则类型,就是在各核心之间以及各线程之间分派事件的依据。上述规则类型也可以视为规则的代号。
事件关联分析系统100的使用者必须在事前设计规则,并且剖析规则,了解每个规则会分析到哪个来源及哪个类型的事件,即可得知规则与事件的对应关系,做为划分规则群的依据。规则群的建立是参考每个规则处理的事件,建立的方式如下:如果两个不同的规则Ri和Rj,会处理一组具有共同的来源代号和事件类型的事件,则Ri和Rj具有一种关系。依据集合论(set theory),很容易证明这样的关系具有反身(reflexive)、对称(symmetric)、以及递移(transitive)的特性,因此可以把整个规则集合分割成多个规则群。每一个规则群可以包括一个或多个规则。如果一个规则群包括多个规则,其中任何两个规则都会对应至少一个相同的来源代号与事件类型组合的事件。
例如在图2的查询表中,「DCOM安全漏洞」和「WINCMD安全漏洞」这两条规则因为都会分析到来源代号为1001而且事件类型为213的事件,所以归属在同一个规则群,其规则群代号为85。上述DCOM是微软公司(MicrosoftCorporation)的分散式组成物件模型(distributed component object model)技术的缩写,WINCMD是可在微软公司的Windows操作系统执行的一个工具程序。举另一个例子,当入侵检测系统检测到针对微软安全性弱点(Windows Bulletins)的攻击时,受害主机的操作系统版本信息可以看成另一个事件,和攻击事件一起送入事件关联分析系统100。因为攻击事件与版本信息隶属同一规则,所以必然属于同一个规则群。
制定了查询表之后,就可以进行事件关联分析。图3是本实施例的事件关联分析系统100所执行的事件关联分析方法的流程图。每当事件关联分析系统100接收到一个事件,就根据事件的来源代号与事件类型,查询如图2所示的查询表,以决定事件所对应的规则群代号与规则类型(步骤310)。步骤310的查表动作可以由核心分派模组110执行,也可以由事件关联分析系统100的另一个独立模组(未绘示于图中)执行,这个独立模组可以是硬件或软件。此外,步骤310的查表动作也可以由一个外部系统或由人工执行,然后将查询所得的规则群代号与规则类型附在事件本身,再将事件传送至事件关联分析系统100的核心分派模组110。
接下来,核心分派模组110接收事件(步骤320),将事件的规则群代号输入一个杂凑函数(步骤330),并且依照杂凑函数的输出值,将事件分派到核心130、140、150其中之一(步骤340)。上述杂凑函数决定事件与核心130、140、150之间的对应关系。本实施例中,核心分派模组110的杂凑函数会将对应同一规则群的事件,分派到同一个核心。
由于需要分析这个事件的规则都在同一个规则群中,所以也就都在同一个核心执行。因此该事件的资料只需占用一个核心的高速缓冲存储器。在一般核心内高速缓冲存储器很有限的状况下,能够有效节省高速缓冲存储器的使用。换个角度看,因为同一个规则群内的规则可能有共同要分析的事件,因此共同的事件资料就可在同一个核心的高速缓冲存储器内获得。而且因为能有效节省高速缓冲存储器的空间,所以高速缓冲存储器能容纳更多的事件资料,对高速缓冲存储器的命中率更有帮助。在目前处理器与一般存储器速度差距逐渐拉大的情形下,能有效地在高速缓冲存储器中获得需要分析的事件资料,对事件关联分析系统100的整体效能有很大影响。
假设核心分派模组110将上述事件分派到核心130,这个事件会由线程分派模组131接收(步骤350)。线程分派模组131会根据事件的规则群代号,检查事件是否该由核心130处理(步骤360),如果不是,线程分派模组131会将事件传送至核心分派模组110(步骤320),让核心分派模组110将事件分派至正确的核心。
若事件确实该由核心130处理,则线程分派模组131根据事件所对应的规则类型,查表依据哪些规则会分析该事件,将事件分派到核心130所执行的一个或多个线程(步骤370)。在每一个核心中,每个规则类型都对应到一个线程,接收到事件的线程会执行规则,进行事件分析(步骤380)。
线程分派模组131会将对应同一个规则类型的事件都分派到同一个线程,也就是一个规则对应一个线程。因此规则在分析事件时所需要的储存中间状态的资料结构,就都是在同一个线程以内。如此可避免与其他线程共享资料,可以减少线程之间为了竞争问题所做的等待,因而得到整体效能上的提高。
如果有多条规则需要分析同一事件,这个事件会对应到规则群中的多个规则类型,而且线程分派模组131会将此事件分派到对应上述多个规则类型的每一个线程。执行规则时,线程会用到该事件的资料,该事件的资料会进入高速缓冲存储器132,让分析该事件的多个线程共用。
每一个线程内的规则会先过滤掉无意义或多余的事件,再进行包括酝酿阶段、成案阶段、并案阶段的事件分析。当规则需要分析的事件均已完成,则在并案后,事件关联分析系统100会将案件通知信息安全处理人员,做最后的处理。
一个事件的分析可能会产生后续的新事件。如图3所示,若产生新事件,分析原事件的线程会决定新事件所对应的规则群代号和规则类型(步骤390),然后将新事件传送至线程分派模组131(步骤350)。线程分派模组131根据新事件的规则群代号,检查新事件是否应该由核心130处理(步骤360)。如果原事件和新事件对应同一核心,线程分派模组131会用前述的查表方式,将新事件分派到线程130、140、150其中之一。如果新事件对应不同的核心,线程分派模组131会将新事件传送至核心分派模组110(步骤320)。由核心分派模组110根据新事件的规则群代号,将新事件分派至正确的核心。
负载监视模组120的作用是监视核心130、140、150的负载状况,并根据上述核心的负载状况调整核心分派模组110的杂凑函数,尽量使上述核心的负载平衡。举例而言,一般情况下,规则群的数量通常大于核心数量,所以每一个核心通常要分析不只一个规则群的事件。如果有某一个核心的某一个规则群事件特别多,负载太重,使得预设的条件成立,则负载监视模组120可以调整核心分派模组110的杂凑函数,使核心分派模组110将上述核心的事件较少的其他规则群改分派到其他核心,以使各核心的负载平衡。上述预设条件可依据传统的负载平衡技术来决定,例如可根据事件特别多的那个规则群在所属核心所造成的负载状况而决定。
如果有对应同一规则的事件大量涌入,可能会使某个核心的负载提高到即使只处理一个规则群,也无法即时分析的程度。这时候可以事前将有大量事件涌入的规则分成几个独立的子规则,分散到几个核心去平行处理。在这种情况下,负载监视模组120会在所有核心中选出一个子集合,调整核心分派模组110的杂凑函数,使核心分派模组110根据调整后的杂凑函数,将上述对应同一规则的大量事件散开分派到上述子集合的多个核心。调整后的杂凑函数可以使用传统的负载平衡演算法,决定子集合包含哪些核心,以及如何将上述的大量事件分派到子集合内的核心。
下面举一个子规则的范例,例如阻绝服务(DoS)攻击。为了避免同一类型的攻击事件被分派到同一核心,使得该核心负载过重,可以把分析阻绝服务攻击事件的规则分成几个独立的子规则,由各子规则处理过滤及酝酿等先期工作。举例来说,如果检测SYN泛滥攻击(SYN flooding,阻绝服务攻击的一种)的门槛值(threshold)如下:
门槛值:在10秒内收到了超过500个未完成连线的SYN封包的事件,就视为SYN泛滥攻击。
这里就可以让每个独立的子规则分别过滤并计算5秒内这类事件的个数。这些子规则由不同的核心分析。核心分派模组110可以用一般的负载平衡方式,例如轮流分派(round-robin),把这类事件分散到个别的子规则统计。各子规则把累计出来的事件个数部分总和及相关资料包装在一个新产生的事件中,例如一条子规则回报10秒内有100个此类事件,另一条回报80个等,再送回核心分派模组110或同一核心的线程分派模组,以分派这些新事件到汇整的规则。这时候的事件数量已经比原始事件大幅减少。汇整的规则会把来自各子规则的部分总和加总,统计出所有事件的个数,就可以知道是否有超过上述的门槛值,以决定是否成案以及进行后续的并案动作,并产生最后的案件。因为事件是交给分散在不同核心的子规则分析,可以避免单一核心负载过重。
又如在前述网络环境探查程序的例子中,因为可能不只一种事件类型。这时各子规则可以就各自收到的不同事件类型的事件先进行过滤,并就自己收到的部分分析服务端口的扫描范围。再把这些结果产生一个新的事件,送回给前端的核心分派模组或线程分派模组,分派到汇整的规则以进行后续的阶段。
子规则怎么切割,是使用者事先制定的。例如可以事先切割较复杂、工作量较大的规则。或评估实际系统高速缓冲存储器的效能,决定适当的子规则数目且/或什么情况下该做子规则的负载平衡,以调校最佳化的效能。
子规则可以一开始就启用,或视核心的负载状况而动态启用。例如可以根据核心的负载状况制定一个预设条件,由负载监视模组120检查这个预设条件。如果预设条件不成立,表示核心负载还在可接受范围,核心分派模组110可根据原先的杂凑函数,将对应同一规则的事件皆分派到同一个核心。反之,如果预设条件成立,表示有单一核心负载过高,负载监视模组120就会调整杂凑函数,使核心分派模组110将对应同一规则的大量事件散开分派至多个核心。
以上实施例的事件关联分析系统是建构在多核心处理器之上,在本发明的其他实施例中,可以采用其他设计。例如事件关联分析系统可以建构在包括多个处理单元的硬件系统上,每个处理单元包括一个储存装置,并执行多个指令序列。如果上述硬件系统是多核心处理器,处理单元就是处理器的核心,储存装置就是核心的高速缓冲存储器,指令序列就是线程。如果上述硬件系统是多处理器电脑,处理单元就是电脑的处理器,储存装置就是处理器的高速缓冲存储器,指令序列就是处理器执行的程序(process)或线程。上述硬件系统也可以是多个电脑组成的网络,在这种情况下,处理单元就是网络中的电脑,储存装置就是电脑的存储器,指令序列就是电脑执行的程序或线程。
以上实施例的事件关联分析方法可以由一个电脑程序产品执行,而上述电脑程序产品可以由以上实施例的事件关联分析系统执行,也可以储存在任何一种电脑可读取的记录媒体中。
相对于传统技术,本发明将分析规则依所处理的事件适当分群,使得待分析的事件只需要占用一个处理单元的储存装置,不会占用多个处理单元的储存装置,故能减少储存装置的占用,并提高储存装置的命中率和效率。
本发明采用两阶段的事件分派机制。除了将事件分派至相关分析规则所在的处理单元,也依分析规则再将事件分派至指令序列。如此每个指令序列可拥有各自独立的内部资料结构(例如计数器、计时器、连线表、各种状态等等),可避免指令序列因存取资料的竞争问题而彼此等待,提高事件分析的效能。本发明的两阶段分派机制也方便处理计时器相关的规则(例如十分钟内的事件发生个数)与规则间的连系(例如一个规则分析完事件后再交给下一个规则)。
本发明可以考虑多个处理单元的平行执行,将原本一个规则的分析工作分摊至在多个不同处理单元的独立子规则分析,再把各自的部分分析结果包成新的事件,交由一条汇整的规则产生最后的结果。因此可以避免同类型的事件大量涌入时可能会使执行该规则的处理单元负载过重,达到负载平衡的目的。
虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作些许的修改和完善,因此本发明的保护范围当以权利要求书所界定的为准。
Claims (22)
1.一种事件关联分析方法,用于一事件关联分析系统,该事件关联分析系统包括多个处理单元,每一上述处理单元执行多个指令序列,该事件关联分析方法包括:
根据一第一事件所对应的规则群代号将该第一事件分派至上述多个处理单元其中之一;以及
根据该第一事件所对应的规则类型将该第一事件分派至该处理单元的上述多个指令序列其中之一,由该指令序列分析该第一事件,其中该规则群代号与该规则类型为根据该第一事件的来源代号与事件类型而决定。
2.如权利要求1所述的事件关联分析方法,其特征在于,该规则群包括多个规则,上述多个规则当中任何两个规则皆对应至少一个相同的来源代号与事件类型组合的事件。
3.如权利要求1所述的事件关联分析方法,其特征在于,该规则群代号与该规则类型为根据该来源代号与该事件类型查询一查询表而决定。
4.如权利要求1所述的事件关联分析方法,其特征在于,更包括:
根据该第一事件的分析产生一第二事件,并决定该第二事件所对应的规则群代号和规则类型;以及
若该第二事件和该第一事件对应不同的处理单元,则根据该第二事件的规则群代号,将该第二事件分派至上述多个处理单元其中的另一个处理单元。
5.如权利要求1所述的事件关联分析方法,其特征在于,根据该规则群代号将该第一事件分派至上述多个处理单元其中之一的步骤包括:
将该规则群代号输入一杂凑函数;以及
根据该杂凑函数的输出值将该第一事件分派至上述多个处理单元其中之一;
而且该事件关联分析方法更包括:
监视上述多个处理单元的负载状况;以及
根据上述多个处理单元的负载状况调整该杂凑函数。
6.如权利要求5所述的事件关联分析方法,其特征在于,对应同一规则群的事件皆分派到上述多个处理单元之中的同一处理单元,而且在每一上述处理单元中,对应同一规则类型的事件皆分派到上述多个指令序列之中的同一指令序列。
7.如权利要求6所述的事件关联分析方法,其特征在于,若该第一事件对应该规则群的多个规则类型,则将该第一事件分派至对应上述多个规则类型的每一上述指令序列。
8.如权利要求5所述的事件关联分析方法,其特征在于,更包括:
该杂凑函数依照一负载平衡演算法,将对应同一规则的多个事件散开分派至上述多个处理单元的一子集合。
9.如权利要求5所述的事件关联分析方法,其特征在于,更包括:
若一预设条件不成立,则该杂凑函数将对应一规则的事件皆分派到上述多个处理单元之中的同一处理单元,其中该预设条件为根据该处理单元的负载状况而决定;以及
若该预设条件成立,则该杂凑函数将对应该规则的多个事件散开分派至上述多个处理单元的一子集合。
10.如权利要求5所述的事件关联分析方法,其特征在于,更包括:
若对应一第一规则群以及一第二规则群的事件皆分派至上述多个处理单元其中的一第一处理单元,而且一预设条件成立,则该杂凑函数将对应该第二规则群的事件改分派至上述多个处理单元其中的一第二处理单元,该预设条件为根据该第一规则群在该第一处理单元所造成的负载状况而决定。
11.一种事件关联分析系统,包括:
一第一分派模组;以及
多个处理单元,耦接于该第一分派模组,每一上述处理单元包括一第二分派模组,并执行多个指令序列;其中
该第一分派模组根据该第一事件所对应的规则群代号将该第一事件分派至上述多个处理单元其中之一;
接收该第一事件的该处理单元的该第二分派模组根据该第一事件所对应的规则类型将该第一事件分派至该处理单元的上述多个指令序列其中之一,由该指令序列分析该第一事件;
该规则群代号与该规则类型为根据该第一事件的来源代号与事件类型而决定。
12.如权利要求11所述的事件关联分析系统,其特征在于,该规则群包括多个规则,上述多个规则当中任何两个规则皆对应至少一个相同的来源代号与事件类型组合的事件。
13.如权利要求11所述的事件关联分析系统,其特征在于,该规则群代号与该规则类型为根据该来源代号与该事件类型查询一查询表而决定。
14.如权利要求11所述的事件关联分析系统,其特征在于,该规则群代号与该规则类型为该事件关联分析系统所决定。
15.如权利要求11所述的事件关联分析系统,其特征在于,该规则群代号与该规则类型为一外部系统所决定,该外部系统将该规则群代号与该规则类型并入该第一事件,然后将该第一事件传送至该事件关联分析系统。
16.如权利要求11所述的事件关联分析系统,其特征在于,接收该第一事件的该指令序列根据该第一事件的分析产生一第二事件,决定该第二事件所对应的规则群代号和规则类型,并且将该第二事件传送至该第二分派模组;若该第二事件和该第一事件对应不同的处理单元,则该第二分派模组将该第二事件传送至该第一分派模组,该第一分派模组根据该第二事件的规则群代号,将该第二事件分派至上述多个处理单元其中的另一个处理单元。
17.如权利要求11所述的事件关联分析系统,其特征在于,该第一分派模组将该规则群代号输入一杂凑函数,并根据该杂凑函数的输出值将该第一事件分派至上述多个处理单元其中之一,而且该事件关联分析系统更包括:
一负载监视模组,耦接于该第一分派模组以及上述多个处理单元,监视上述多个处理单元的负载状况,并根据上述多个处理单元的负载状况调整该杂凑函数。
18.如权利要求17所述的事件关联分析系统,其特征在于,该第一分派模组将对应同一规则群的事件皆分派到上述多个处理单元之中的同一处理单元,而且在每一上述处理单元中,该第二分派模组将对应同一规则类型的事件皆分派到上述多个指令序列之中的同一指令序列。
19.如权利要求18所述的事件关联分析系统,其特征在于,若该第一事件对应该规则群的多个规则类型,则该第二分派模组将该第一事件分派至对应上述多个规则类型的每一上述指令序列。
20.如权利要求17所述的事件关联分析系统,其特征在于,该第一分派模组根据该杂凑函数包括的一负载平衡演算法,将对应同一规则的多个事件散开分派至上述多个处理单元的一子集合。
21.如权利要求17所述的事件关联分析系统,其特征在于,若一预设条件不成立,则该第一分派模组根据该杂凑函数将对应一规则的事件皆分派到上述多个处理单元之中的同一处理单元,其中该预设条件为根据该处理单元的负载状况而决定;若该预设条件成立,则该第一分派模组根据该杂凑函数将对应该规则的多个事件散开分派至上述多个处理单元的一子集合。
22.如权利要求17所述的事件关联分析系统,其特征在于,若对应一第一规则群以及一第二规则群的事件皆分派至上述多个处理单元其中的一第一处理单元,而且一预设条件成立,则该第一分派模组根据该杂凑函数将对应该第二规则群的事件改分派至上述多个处理单元其中的一第二处理单元,该预设条件为根据该第一规则群在该第一处理单元所造成的负载状况而决定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101794991A CN101753332B (zh) | 2008-12-03 | 2008-12-03 | 事件关联分析方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101794991A CN101753332B (zh) | 2008-12-03 | 2008-12-03 | 事件关联分析方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101753332A CN101753332A (zh) | 2010-06-23 |
CN101753332B true CN101753332B (zh) | 2012-08-22 |
Family
ID=42479773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101794991A Active CN101753332B (zh) | 2008-12-03 | 2008-12-03 | 事件关联分析方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101753332B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103164400A (zh) * | 2011-12-08 | 2013-06-19 | 中国移动通信集团浙江有限公司 | 关联分析方法、装置及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1937574A (zh) * | 2005-09-19 | 2007-03-28 | 北京大学 | 对网络流进行分类、状态跟踪和报文处理的装置和方法 |
CN101175033A (zh) * | 2007-11-27 | 2008-05-07 | 中兴通讯股份有限公司 | 报文保序方法及其装置 |
-
2008
- 2008-12-03 CN CN2008101794991A patent/CN101753332B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1937574A (zh) * | 2005-09-19 | 2007-03-28 | 北京大学 | 对网络流进行分类、状态跟踪和报文处理的装置和方法 |
CN101175033A (zh) * | 2007-11-27 | 2008-05-07 | 中兴通讯股份有限公司 | 报文保序方法及其装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101753332A (zh) | 2010-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220292190A1 (en) | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions | |
US20120284795A1 (en) | Method and system for regulating host security configuration | |
CN103701783B (zh) | 一种预处理单元、由其构成的数据处理系统以及处理方法 | |
WO2014039811A1 (en) | Threat detection for return oriented programming | |
CA2607540A1 (en) | Host intrusion prevention server | |
CN103178988B (zh) | 一种性能优化的虚拟化资源的监控方法和系统 | |
CN111935074A (zh) | 一种一体化网络安全检测方法及装置 | |
CN110708316A (zh) | 针对企业网络安全运营管理的方法以及系统架构 | |
Jie et al. | Industrial control system security | |
CN114338188A (zh) | 一种基于进程行为序列分片的恶意软件智能云检测系统 | |
CN116455649A (zh) | 一种进出口贸易数据交换系统 | |
CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
CN101753332B (zh) | 事件关联分析方法和系统 | |
Ehis | Optimization of Security Information and Event Management (SIEM) Infrastructures, and Events Correlation/Regression Analysis for Optimal Cyber Security Posture | |
US20200067985A1 (en) | Systems and methods of interactive and intelligent cyber-security | |
US10110440B2 (en) | Detecting network conditions based on derivatives of event trending | |
CN106790211B (zh) | 一种预测恶意软件感染的统计预测系统和方法 | |
CN110460558B (zh) | 一种基于可视化的攻击模型发现的方法及系统 | |
CN110650126A (zh) | 一种防网站流量攻击方法、装置以及智能终端、存储介质 | |
CN115913658A (zh) | 一种基于soar聚类联动应用服务的控制方法和装置 | |
CN114884748A (zh) | 网络攻击的监控方法、装置、电子设备及存储介质 | |
CN114584346B (zh) | 日志流的处理方法、系统、终端设备及存储介质 | |
Brunner | Processing intrusion data with machine learning and MapReduce | |
CN109150871A (zh) | 安全检测方法、装置、电子设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |