CN102685095A - 基于风险级别事件处理的方法及系统 - Google Patents
基于风险级别事件处理的方法及系统 Download PDFInfo
- Publication number
- CN102685095A CN102685095A CN2011104402096A CN201110440209A CN102685095A CN 102685095 A CN102685095 A CN 102685095A CN 2011104402096 A CN2011104402096 A CN 2011104402096A CN 201110440209 A CN201110440209 A CN 201110440209A CN 102685095 A CN102685095 A CN 102685095A
- Authority
- CN
- China
- Prior art keywords
- incident
- state
- event
- termination
- overtime
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提出基于风险级别事件处理的方法及系统,主要通过提取事件状态来建立状态自动机,由状态自动机对输入的事件进行处理,其中包括,对于输入事件是否在事件表中进行快速判断,如果在事件表中则找到对应的状态转移函数,通过状态转移函数对事件进行再次判断完成是否为风险事件并向客户端反馈;所发明的系统由接收模块、建立模块、查询模块、判断模块组成,通过接收模块完成事件状态提取并由建立模块建立了状态自动机,由查询模块来确定输入事件是否在状态自动机中事件表中并进行相应操作,判断模块确定当前文件是否超时文件并进行相应处理,最后由处理模块分析哪些事件需要向客户端发送。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于风险级别事件处理的方法及系统。
背景技术
在目前我们所应用的网络安全处理系统中,都会给每一个事件配置一个相应的风险等级,在检测到该事年发生后只需要查表就可以得到这个事件的风险级别。用户查看事件记录时往往会忽略一些事件,即用户认为风险级别低的风险事件,甚至用户会通过设置来过滤掉这些低风险事件。就是因为这些低风险事件的忽略而一些更为高级的事件可能会被屏蔽,与此同时引擎检测往往只是针对一个事物进行判断并不能做出对事物相关性的判断。那么,如何以对网络行为做出全面分析,使网络安全可以更有效更全的监管成为当今急需解决的问题。
发明内容
本发明提出基于风险级别事件处理的方法及系统,可以有效提示用户对风险事件处理,以保证最大效果的网络安全,具体发明如下:
一种基于风险级别事件处理的方法,所述的风险级别事件包括:用户机存在的漏洞为高风险级别文件、未安装漏洞补丁、系统未及时升级为低风险级别文件,其特征在于,包括:
一种基于风险级别事件处理的方法,包括:
建立状态自动机,其中,所述的状态自动机包括:状态集合、事件表、状态转移表;
接收客户端发送的事件并提取事件状态;
查询事件是否在事件表中;
如果在事件表中,则找到事件对应的状态转移表并将事件及事件状态存储到状态集合;
如果不在事件表中,则屏蔽事件;
根据事件对应的状态转移表判定事件是否超时;
如果事件超时,则判断事件是否为终止状态;
如果事件是终止状态,则对状态集合中事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
如果事件不是终止状态,则接收下一事件;
如果事件未超时,则接收下一事件。
所述的事件状态包括:事件行为状态、事件属性;
所述的事件行为状态包括:事件风险状态级别标识、事件状态转移标识;
所述的事件属性包括:事件风险状态序列、事件实时状态显示标识。
所述的状态转移表包括:事件开始状态、事件运行状态、事件终止状态;每一个事件运行状态都有一个事件终止状态。
所述的状态集合包括:事件的存储、事件运行状态的存储、事件终止状态的存储。
所述的根据事件对应的状态转移表判定事件是否超时是预设一个事件状态运行时间;
如果事件超出预设运行时间,则确定事件为超时事件;
如果事件未超出预设运行时,则确定事件为未超时事件。
一种基于风险级别事件处理的系统,其特征在于,包括:
建立模块,用于建立状态自动机,其中,所述的状态自动机包括:状态集合、事件表、状态转移表;
接收模块,接收客户端发送的事件并提取事件状态;
查询模块,查询事件是否在事件表中,
如果在事件表中,则找到事件对应的状态转移表并将事件状态存储到状态集合;
如果不在事件表中,则屏蔽事件;
判断模块,根据事件对应的状态转移表判定事件是否超时,
如果事件超时,则判断事件是否为终止状态;
如果事件是终止状态,则对状态集合中的事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
如果事件不是终止状态,则接收下一事件;
如果事件未超时,则接收下一事件。
所述的事件状态包括:事件行为状态、事件属性;
所述的事件行为状态包括:事件风险状态级别标识、事件状态转移标识;
所述的事件属性包括:事件风险状态序列、事件实时状态显示标识。
所述的状态转移表包括:事件开始状态、事件运行状态、事件终止状态;每一个事件运行状态都有一个事件终止状态。
所述的状态集合包括:事件的存储、事件运行状态的存储、事件终止状态的存储。
所述的根据事件对应的状态转移表判定事件是否超时是预设一个事件状态运行时间;
如果事件超出预设运行时间,则确定事件为超时事件;
如果事件未超出预设运行时,则确定事件为未超时事件。
本发明提出基于风险级别事件处理的方法及系统,主要通过提取事件状态来建立状态自动机,由状态自动机对输入的事件进行处理,其中包括,对于输入事件是否在事件表中进行快速判断,如果在事件表中则找到对应的状态转移函数,通过状态转移函数对事件进行再次判断完成是否为风险事件并向客户端反馈;所发明的系统由接收模块、建立模块、查询模块、判断模块组成,通过接收模块完成事件状态提取并由建立模块建立了状态自动机,由查询模块来确定输入事件是否在状态自动机中事件表中并进行相应操作,判断模块确定当前文件是否超时文件并进行相应处理,最后由处理模块分析哪些事件需要向客户端发送。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于风险级别事件处理的方法流程图;
图2为一种基于风险级别事件处理的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
一种基于风险级别事件处理的方法,如图1所示,包括:
S101根据事件状态建立状态自动机,其中,所述的状态自动机包括:状态集合、事件表、状态转移表;
S102接收客户端发送的事件并提取事件状态;
S103查询事件是否在事件表中,
如果在事件表中,则执行步骤S104找到事件对应的状态转移表并将事件及事件状态存储到状态集合;
如果不在事件表中,则执行步骤S105屏蔽事件;
由于每一个事件状态的提取都会由此事件对应的状态转移表,如果事件在事件表中,就会得到对应的状态转移表。
S104找到事件对应的状态转移表;
S105屏蔽事件;
S106根据事件对应的状态转移表判定事件是否超时;
如果事件超时,则执行步骤S107判断事件是否为终止状态;
如果事件是终止状态,则执行步骤S108对状态集合中事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
如果事件不是终止状态,则执行步骤S109接收下一事件;
如果事件未超时,则执行步骤S109接收下一事件。
S107判断事件是否为终止状态;
S108对状态集合中事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
S109接收下一事件;
此处是只对终止状态这前的所有事件合成一个大的事件,由于用户会对低级风险事件忽略,当形成许多低风险事件组合在一起后就自动成为一个高风险事件反馈给客户端,而高风险事件组合也会更快速地反馈给客户端;这样就相当于用解决低风险事件时间来处理高风险事件。
所述的事件状态包括:事件行为状态、事件属性;
所述的事件行为状态包括:事件风险状态级别标识、事件状态转移标识;
所述的事件属性包括:事件风险状态序列、事件实时状态显示标识。
所述的状态转移表包括:事件开始状态、事件运行状态、事件终止状态;每一个事件运行状态都有一个事件终止状态。
举例:对上述所提状态自动机表示为:M=(Q,Σ,δ),其中,
M表示状态自动机;
Q=(qm,F)为状态集合,其中m=0,1,2,..n,当m=0时q0为初始状态,F=(f1,f2,f3,…fn)为终止状态集合,qm为一个事件状态, fn为一个事件终止状态,每一个事件状态都有一个事件终止状态;
δ=P(qm, fn)为状态转移表。
所述的状态集合包括:事件的存储、事件运行状态的存储、事件终止状态的存储。
所述的根据事件对应的状态转移表判定事件是否超时是预设一个事件状态运行时间;
如果事件超出预设运行时间,则确定事件为超时事件;
如果事件未超出预设运行时,则确定事件为未超时事件。
由于是预设接收的事件时间来确定是否超时,所以如果当前文件超时,那么在此之后的文件也必定是超时的。
一种基于风险级别事件处理的系统,如图2所示,包括:
201建立模块,根据事件状态建立状态自动机,其中,所述的状态自动机包括:状态集合、事件表、状态转移函数;
202接收模块,接收客户端发送的事件并提取事件状态;
203查询模块,查询事件是否在事件表中;
如果在事件表中,则找到事件对应的状态转移函数并将事件及事件状态存储到状态集合;
如果不在事件表中,则屏蔽事件;
204判断模块,根据事件对应的状态转移函数判定事件是否超时,
如果事件超时,则判断事件是否为终止状态;
如果事件是终止状态,则对状态集合中事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
如果事件不是终止状态,则接收下一事件;
如果事件未超时,则接收下一事件。
所述的事件状态包括:事件行为状态、事件属性;
所述的事件行为状态包括:事件风险状态级别标识、事件状态转移标识;
所述的事件属性包括:事件风险状态序列、事件实时状态显示标识。
所述的状态转移表包括:事件开始状态、事件运行状态、事件终止状态;每一个事件运行状态都有一个事件终止状态。
所述的状态集合包括:事件的存储、事件运行状态的存储、事件终止状态的存储。
所述的根据事件对应的状态转移表判定事件是否超时是预设一个事件状态运行时间;
如果事件超出预设运行时间,则确定事件为超时事件;
如果事件未超出预设运行时,则确定事件为未超时事件。
本发明提出了基于风险级别事件处理的方法及系统,所提出的方法是首先根据接收的事件提取事件状态,通过提取的事件状态构建状态自动机;再由状态自动机状态当前输入的事件是否在状态自动机中的事件表里,如果存在,则找到相应的状态转移函数,如果不存在则屏蔽该事件;再根据事件所找到相应的状态转移函数来判断事件是否为超时文件,如果不是超时文件则继续接收事件,如果是超时文件则终止事件输入并重新启动状态自动机后,将终止事件定为第一个事件的状态录入到状态集合,再判断此超时文件是否为终止状态,如果是终止状态则把事件进行合并发反馈给客户端,使客户端可以及时对风险事件进行处理。所提出的系统是由接收模块、建立模块、查询模块、判断模块、处理模块组成,通过接收模块完成事件状态提取并由建立模块建立了状态自动机,由查询模块来确定输入事件是否在状态自动机中事件表中并进行相应操作,判断模块确定当前文件是否超时文件并进行相应处理并分析哪些事件需要向客户端发送。通过本发明可以有效弥补引擎检测的不足,也可以分析出一些网络行为的真实目的,来做到对网络事件更为有效的监管。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1.一种基于风险级别事件处理的方法,其特征在于,包括:
建立状态自动机,其中,所述的状态自动机包括:状态集合、事件表、状态转移表;
接收客户端发送的事件并提取事件状态;
查询事件是否在事件表中;
如果在事件表中,则找到事件对应的状态转移表并将事件及事件状态存储到状态集合;
如果不在事件表中,则屏蔽事件;
根据事件对应的状态转移表判定事件是否超时;
如果事件超时,则判断事件是否为终止状态;
如果事件是终止状态,则对状态集合中事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
如果事件不是终止状态,则接收下一事件;
如果事件未超时,则接收下一事件。
2.如权利要求1所述的方法,其特征在于,所述的事件状态包括:事件行为状态、事件属性;
所述的事件行为状态包括:事件风险状态级别标识、事件状态转移标识;
所述的事件属性包括:事件风险状态序列、事件实时状态显示标识。
3.如权利要求1所述的方法,其特征在于,所述的状态转移表包括:事件开始状态、事件运行状态、事件终止状态;每一个事件运行状态都有一个事件终止状态。
4.如权利要求1所述的方法,其特征在于,所述的状态集合包括:事件的存储、事件运行状态的存储、事件终止状态的存储。
5.如权利要求1所述的方法,其特征在于,所述的根据事件对应的状态转移表判定事件是否超时是预设一个事件状态运行时间;
如果事件超出预设运行时间,则确定事件为超时事件;
如果事件未超出预设运行时,则确定事件为未超时事件。
6.一种基于风险级别事件处理的系统,其特征在于,包括:
建立模块,用于建立状态自动机,其中,所述的状态自动机包括:状态集合、事件表、状态转移表;
接收模块,接收客户端发送的事件并提取事件状态;
查询模块,查询事件是否在事件表中,
如果在事件表中,则找到事件对应的状态转移表并将事件状态存储到状态集合;
如果不在事件表中,则屏蔽事件;
判断模块,根据事件对应的状态转移表判定事件是否超时,
如果事件超时,则判断事件是否为终止状态;
如果事件是终止状态,则对状态集合中的事件进行合并,并将合并的事件定义为高风险文件反馈给客户端;
如果事件不是终止状态,则接收下一事件;
如果事件未超时,则接收下一事件。
7.如权利要求6所述的系统,其特征在于,所述的事件状态包括:事件行为状态、事件属性;
所述的事件行为状态包括:事件风险状态级别标识、事件状态转移标识;
所述的事件属性包括:事件风险状态序列、事件实时状态显示标识。
8.如权利要求6所述的系统,其特征在于,所述的状态转移表包括:事件开始状态、事件运行状态、事件终止状态;每一个事件运行状态都有一个事件终止状态。
9.如权利要求6所述的系统,其特征在于,所述的状态集合包括:事件的存储、事件运行状态的存储、事件终止状态的存储。
10.如权利要求6所述的系统,其特征在于,其特征在于,所述的根据事件对应的状态转移表判定事件是否超时是预设一个事件状态运行时间;
如果事件超出预设运行时间,则确定事件为超时事件;
如果事件未超出预设运行时,则确定事件为未超时事件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104402096A CN102685095A (zh) | 2011-12-26 | 2011-12-26 | 基于风险级别事件处理的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104402096A CN102685095A (zh) | 2011-12-26 | 2011-12-26 | 基于风险级别事件处理的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102685095A true CN102685095A (zh) | 2012-09-19 |
Family
ID=46816466
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011104402096A Pending CN102685095A (zh) | 2011-12-26 | 2011-12-26 | 基于风险级别事件处理的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102685095A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108269200A (zh) * | 2017-12-29 | 2018-07-10 | 深圳市科陆电子科技股份有限公司 | 一种基于状态机控制模型的告警事件处理方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020194269A1 (en) * | 2001-06-18 | 2002-12-19 | Yutaka Owada | Distributed processing system, distributed processing method and client terminal capable of using the method |
CN101222360A (zh) * | 2008-01-22 | 2008-07-16 | 中兴通讯股份有限公司 | 用于建立告警规则关联的规则引擎系统及方法 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
CN101958897A (zh) * | 2010-09-27 | 2011-01-26 | 北京系统工程研究所 | 一种安全事件关联分析方法及系统 |
CN101957751A (zh) * | 2010-06-04 | 2011-01-26 | 福建星网锐捷网络有限公司 | 一种状态机的实现方法及装置 |
-
2011
- 2011-12-26 CN CN2011104402096A patent/CN102685095A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020194269A1 (en) * | 2001-06-18 | 2002-12-19 | Yutaka Owada | Distributed processing system, distributed processing method and client terminal capable of using the method |
CN101222360A (zh) * | 2008-01-22 | 2008-07-16 | 中兴通讯股份有限公司 | 用于建立告警规则关联的规则引擎系统及方法 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
CN101957751A (zh) * | 2010-06-04 | 2011-01-26 | 福建星网锐捷网络有限公司 | 一种状态机的实现方法及装置 |
CN101958897A (zh) * | 2010-09-27 | 2011-01-26 | 北京系统工程研究所 | 一种安全事件关联分析方法及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108269200A (zh) * | 2017-12-29 | 2018-07-10 | 深圳市科陆电子科技股份有限公司 | 一种基于状态机控制模型的告警事件处理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103838637A (zh) | 基于数据挖掘的终端自主故障诊断与恢复方法 | |
CN102088679A (zh) | 自学习的移动终端智能化短信防火墙的工作方法及系统 | |
CN105511727B (zh) | 一种消息处理方法及装置 | |
CN105450853A (zh) | 一种预防聊天信息错发的方法、装置及移动终端 | |
CN104038373A (zh) | 信息预警与自修复系统及方法 | |
CN104965829A (zh) | 终端应用分类方法、服务器及系统 | |
CN103699464A (zh) | 通讯终端自动测试方法及测试装置 | |
CN104461576A (zh) | 一种信息处理方法和电子设备 | |
CN104915252A (zh) | 一种进程端口管理装置及方法 | |
CN102098640B (zh) | 一种识别并阻止设备发送垃圾短信的方法、设备和系统 | |
CN103761879B (zh) | 一种车辆套牌识别方法及系统 | |
CN102946400B (zh) | 一种基于行为分析的海量短信内容安全过滤方法和系统 | |
CN102685095A (zh) | 基于风险级别事件处理的方法及系统 | |
CN101854369A (zh) | 远程信息通知系统和方法 | |
CN105430623A (zh) | Rcs垃圾消息的监控方法、装置及系统 | |
CN109039427B (zh) | 一种船舶监控管理装置 | |
CN103746842A (zh) | 一种检测线卡故障重起的方法及系统 | |
CN106899947A (zh) | 短消息清理方法和装置 | |
CN106330768A (zh) | 一种基于云计算的应用识别方法 | |
CN112491596B (zh) | 一种基于云端的故障处理方法及装置 | |
CN213399565U (zh) | 充电电路和电子设备 | |
CN104683973A (zh) | 基于智能终端的自动配置管理方法及系统 | |
CN103812720B (zh) | 一种网络加速管理方法及装置 | |
CN101651574B (zh) | 确定业务信息并利用该业务信息进行报警的方法和设备 | |
CN104185155A (zh) | 一种通话处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB02 | Change of applicant information |
Address after: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Applicant after: Beijing Antiy Electronic Installation Co., Ltd. Address before: 100084, 2B-521, bright city, No. 1, Nongda South Road, Beijing, Haidian District Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120919 |