CN104219193B - 安全事件关联分析方法及系统 - Google Patents
安全事件关联分析方法及系统 Download PDFInfo
- Publication number
- CN104219193B CN104219193B CN201310205117.9A CN201310205117A CN104219193B CN 104219193 B CN104219193 B CN 104219193B CN 201310205117 A CN201310205117 A CN 201310205117A CN 104219193 B CN104219193 B CN 104219193B
- Authority
- CN
- China
- Prior art keywords
- security incident
- trigger
- state machine
- sequence
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 66
- 230000001360 synchronised effect Effects 0.000 claims abstract description 37
- 238000012163 sequencing technique Methods 0.000 claims abstract description 21
- 230000007704 transition Effects 0.000 claims abstract description 13
- 238000010219 correlation analysis Methods 0.000 claims description 14
- 230000015572 biosynthetic process Effects 0.000 claims description 10
- 230000001186 cumulative effect Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 abstract description 7
- 238000012098 association analyses Methods 0.000 description 8
- 230000001960 triggered effect Effects 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 2
- 230000008713 feedback mechanism Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Alarm Systems (AREA)
Abstract
本发明涉及一种安全事件关联分析方法及系统,方法包括:接收安全运营中心采集到的安全事件记录;按照设备分组,形成依据安全事件发生时间排序的事件序列表,且当前分析指针指向尚未进入触发器的时间最早的安全事件记录;将当前分析指针指向的安全事件记录送入触发器进行状态机规则匹配,并将当前分析指针指向下一个时间顺序的安全事件记录;根据触发器内的安全事件记录的规则匹配情况进行计时器计时和状态跳转,并根据状态机的超时情况对触发器内的安全事件记录对应的设备进行计数;在计数结果达到阈值时,发送给同步调整器,以便同步调整器根据计数结果对事件序列表进行步长调整。本发明能够满足复杂网络环境下的安全事件关联分析的精度需求。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种安全事件关联分析方法及系统。
背景技术
在网络安全形势愈发严峻的今天,网络安全管理成为网络运营的重要内容。安全运营中心(Security Operations Centre,简称SOC)是对网络及安全设备与系统进行综合分析,实现安全事件集中管理和监控的技术支撑平台。SOC通过采集网络中设备与系统所产生的安全日志,经过分析处理,找到网络当前安全威胁与潜在的安全风险,从而及时发出预警,避免网络承受重大损失。SOC从网络中收集到的大量安全事件信息中,许多并不具有真实的威胁,有些可能是威胁实施前期的迹象,有些可能只是实质威胁产生的连带告警。
安全事件关联分析是从经过预处理的安全事件中抽取有用信息,通过关联处理相关性,把孤立的安全事件集合关联为一个安全事件链,其目标是在大量误报告警与低级别告警中找出真正威胁告警,帮助安全运维人员及时定位网络中潜在的安全隐患。
目前SOC采用的关联分析引擎机制主要采用状态机方法。“状态机”式关联分析引擎由网络安全事件即时驱动,满足预置条件的安全事件信息,可触发“状态机”的状态变迁。通过状态机状态记忆安全事件发生链,从而分析出安全事件的关联关系。“状态机”式关联分析引擎具有很强的实时性,但由于“状态机”要求网络安全事件进入关联分析引擎的时序,必须与事件发生的真正时序一致,对触发事件的时序要求很高。在复杂网络环境中,受网络传输延时和前端处理延时的影响,安全事件进入引擎的时序可能会发生颠倒,而导致“状态机”无法触发,关联分析引擎出现错报或漏报。因此,现有的关联分析引擎分析精度存在局限,难以满足复杂网络环境下的关联分析需求。
发明内容
本发明的目的是提出一种安全事件关联分析方法及系统,能够满足复杂网络环境下的安全事件关联分析的精度需求。
为实现上述目的,本发明提供了一种安全事件关联分析方法,包括:
接收安全运营中心采集到的安全事件记录;
按照所述安全事件记录对应的设备进行分组,并针对每个设备形成依据安全事件发生时间排序的事件序列表,且当前分析指针指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录;
将当前分析指针指向的安全事件记录送入触发器进行状态机的预设规则的匹配,并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录;
根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数;
在计数结果达到预设统计阈值时,将计数结果发送给同步调整器,以便所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。
进一步的,在所述接收安全运营中心采集到的安全事件记录之后,形成事件序列表之前还包括:
对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析;
对低重要度的事件进行过滤,并对相同安全事件进行合并和次数累加。
进一步的,在按照所述安全事件记录对应的设备进行分组,并针对于每个设备形成依据安全事件发生时间排序的事件序列表时,还包括:所述同步调整器将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。
进一步的,所述根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数的操作具体包括:
如果所述触发器中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态,则使所述触发器中的安全事件记录的状态机向警备态进行跳转,并启动计时器,然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理;
如果所述状态机已处于警备态,则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转,并判断跳转后的状态机是否已达到最终警备态,是则向外发出告警信息,所述状态机回复初始态;
如果所述状态机未达最终警备态,则判断所述计时器是否超时,如果超时,则所述状态机回复初始态,并对所述触发器内的安全事件记录对应的设备进行计数,否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。
进一步的,所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整的操作具体为:
所述同步调整器根据所述计数结果的正负和大小确定调整的步长值和调整方向,根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。
进一步的,在所述向外发出告警信息,所述状态机回复初始态的操作时,还包括:对所述触发器内的安全事件记录对应的设备进行正值计数;
在所述状态机超时时,对所述触发器内的安全事件记录对应的设备进行负值计数;
如果所述计数结果为负值,则所述同步调整器确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整;如果计数结果为正值,则保持所述时间指针不变。
为实现上述目的,本发明提供了一种安全事件关联分析系统,包括:
事件记录接收模块,用于接收安全运营中心采集到的安全事件记录;
序列表形成模块,用于按照所述安全事件记录对应的设备进行分组,并针对每个设备形成依据安全事件发生时间排序的事件序列表;
当前分析指针,用于指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录;
触发器,用于接收当前分析指针指向的安全事件记录,并进行状态机的预设规则的匹配,根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录;
计数模块,用于根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数,并在计数结果达到预设统计阈值时,将计数结果发送给同步调整器;
同步调整器,用于根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。
进一步的,还包括:
预处理模块,用于对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析,以及对低重要度的事件进行过滤,并对相同安全事件进行合并和次数累加。
进一步的,所述同步调整器还用于在按照所述安全事件记录对应的设备进行分组,并针对于每个设备形成依据安全事件发生时间排序的事件序列表时,将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。
进一步的,所述触发器具体包括:
规则匹配单元,用于接收当前分析指针指向的安全事件记录,并进行状态机的预设规则的匹配;
状态跳转单元,用于在所述触发器中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态时,则使所述触发器中的安全事件记录的状态机向警备态进行跳转,并启动计时器,然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理,如果所述状态机已处于警备态,则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转,并判断跳转后的状态机是否已达到最终警备态;
初始态返回单元,用于使所述状态机回复初始态;
告警单元,用于在跳转后的状态机已达到最终警备态时,向外发出告警信息,并触发所述初始态返回单元;
超时判断单元,用于在所述状态机未达最终警备态时,判断所述计时器是否超时,如果超时,则触发所述初始态返回单元,并触发所述计数模块,否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。
进一步的,所述同步调整器具体包括:
调整参数确定单元,用于根据所述计数结果的正负和大小确定调整的步长值和调整方向;
时间指针调整单元,用于根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。
进一步的,所述计数模块用于在向外发出告警信息,所述状态机回复初始态时,对所述触发器内的安全事件记录对应的设备进行正值计数,以及在所述状态机超时时,对所述触发器内的安全事件记录对应的设备进行负值计数;
所述调整参数确定单元用于在所述计数结果为负值时,确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整,在所述计数结果为正值时,保持所述时间指针不变。
基于上述技术方案,本发明将安全事件记录按照设备进行分组,形成针对于每个设备的事件序列表,这个事件序列表的排序关系是事件触发的依据,而通过触发器内的状态机的匹配和超时情况对相应设备的事件序列表进行步长调整,使其与安全事件发生的真实时序一致,避免因时序颠倒引起的安全事件因果关系失真问题,提高关联分析的准确性,从而满足复杂网络环境下的安全事件关联分析的精度需求。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明安全事件关联分析方法的一实施例的流程示意图。
图2为本发明安全事件关联分析方法的另一实施例的流程示意图。
图3为本发明安全事件关联分析系统的一实施例的结构示意图。
图4为本发明安全事件关联分析系统的另一实施例的结构示意图。
图5为本发明安全事件关联分析系统实施例中触发器的具体结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
如图1所示,为本发明安全事件关联分析方法的一实施例的流程示意图。在本实施例中,安全事件关联分析流程包括:
步骤101、接收安全运营中心采集到的安全事件记录;
步骤102、按照所述安全事件记录对应的设备进行分组,并针对每个设备形成依据安全事件发生时间排序的事件序列表,且当前分析指针指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录;
步骤103、将当前分析指针指向的安全事件记录送入触发器进行状态机的预设规则的匹配,并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录;
步骤104、根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数;
步骤105、在计数结果达到预设统计阈值时,将计数结果发送给同步调整器,以便所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。
在本实施例中,在接收安全运营中心采集到的安全事件记录之后,将安全事件记录按照设备进行分组,形成针对于每个设备的事件序列表,这个事件序列表的排序关系是事件触发的依据,而通过触发器内的状态机的匹配和超时情况对相应设备的事件序列表进行步长调整,使其与安全事件发生的真实时序一致,避免因时序颠倒引起的安全事件因果关系失真问题,提高关联分析的准确性,从而满足复杂网络环境下的安全事件关联分析的精度需求。
在步骤101中,安全运营中心所采集到的安全事件记录是一条条包含事件发生时间、报警设备、相关设备IP(攻击源、攻击目的等)、事件类型等详细信息的日志记录,在安全运营中心中一般可采用数据库形式进行存储,安全事件记录的具体内容可参考工信部的标准规范。
在步骤102中,安全事件记录要按照设备进行分组,每个设备都会形成一个对应的事件序列表,在事件序列表中的安全事件记录则按照安全事件的发生时间进行排序,其具体形式可采用双向链表、顺序表等各种现有的数据结构。而进入触发器的安全事件记录则由当前分析指针所指向的安全事件记录来确定,当前分析指针指向的是各个事件序列表中尚未进入触发器的时间最早的安全事件记录。
另外,在初始形成事件序列表时,同步调整器可以预先将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。
在步骤103中,当前分析指针指向的安全事件记录会被送入触发器进行状态机的预设规则的匹配,相应的,当前分析指针就会指向各个事件序列表中下一个时间顺序的安全事件记录。
在步骤104的状态机的预设规则匹配方面,除了要判断触发器中的安全事件记录是否匹配所述状态机的预设规则,还需要判断状态机当前所处的状态。如果匹配了规则,且状态机处于初始态,则使所述触发器中的安全事件记录的状态机向警备态进行跳转,并启动计时器,然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。
如果状态机已处于警备态,则使触发器中的安全事件记录的状态机向下一警备态进行跳转,并判断跳转后的状态机是否已达到最终警备态,是则向外发出告警信息,所述状态机回复初始态。
如果所述状态机未达最终警备态,则判断所述计时器是否超时,如果超时,则所述状态机回复初始态,并对所述触发器内的安全事件记录对应的设备进行计数,否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。
如果正常出发告警,则说明该设备的时序比较正常,而如果出现计时器超时,说明该安全事件并未正常触发报警,意味着可能存在时序颠倒的问题,需要进行同步调整。
通过步骤104的计数,在步骤105中可以在计数结果达到预设统计阈值时,将计数结果发送给同步调整器,以便所述同步调整器根据计数结果对触发器内的安全事件记录对应的设备的事件序列表进行步长调整。这种计数加步长调整是触发器与同步调整器之间的一种反馈机制,通过这种反馈机制可以使同步调整器来调整各个设备的事件序列表之间的同步关系,提高安全事件时序的准确度,而且通过同步调整还可以提高系统的稳定性。
具体来说,同步调整器可以根据计数结果的正负和大小确定调整的步长值和调整方向,根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。
进一步的,在向外发出告警信息,所述状态机回复初始态时,还可以对触发器内的安全事件记录对应的设备进行正值计数,以及在状态机超时时,对触发器内的安全事件记录对应的设备进行负值计数,通过这样累计计数结果,如果发送给同步调整器的计数结果为负值,则同步调整器确定时间指针的调整方向为向计数结果对应的设备的事件序列表的表头方向调整(即将时间指针的指向位置调整到时间更早的安全事件记录);如果计数结果为正值,则保持时间指针不变。
如图2所示,为本发明安全事件关联分析方法的另一实施例的流程示意图。与上一实施例相比,本实施例在步骤101和步骤102之间,还包括以下操作:
步骤101a、对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析;
步骤101b、对低重要度的事件进行过滤,并对相同安全事件进行合并和次数累加。
步骤101a和101b是安全事件记录的预处理过程,通过预处理过程可以将一些低重要的安全事件过滤出去,并将一些重复的安全事件记录进行合并和次数累加,从而减少不需处理或不必考虑的安全事件记录的数量,避免这些安全事件的处理占用过多的系统资源。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
如图3所示,为本发明安全事件关联分析系统的一实施例的结构示意图。在本实施例中,安全事件关联分析系统包括:事件记录接收模块1、序列表形成模块2、当前分析指针3、触发器4、计数模块5和同步调整器6。
事件记录接收模块1用于接收安全运营中心采集到的安全事件记录。序列表形成模块2用于按照所述安全事件记录对应的设备进行分组,并针对每个设备形成依据安全事件发生时间排序的事件序列表。
当前分析指针3用于指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录。触发器4用于接收当前分析指针3指向的安全事件记录,并进行状态机的预设规则的匹配,根据所述触发器4内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并将当前分析指针3指向所述各个事件序列表中下一个时间顺序的安全事件记录。
计数模块5用于根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数,并在计数结果达到预设统计阈值时,将计数结果发送给同步调整器6。同步调整器6用于根据所述计数结果对所述触发器5内的安全事件记录对应的设备的事件序列表进行步长调整。同步调整器还可以进一步在按照所述安全事件记录对应的设备进行分组,并针对于每个设备形成依据安全事件发生时间排序的事件序列表时,将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。
如图4所示,为本发明安全事件关联分析系统的另一实施例的结构示意图。与上一实施例相比,本实施例还包括预处理模块7,该模块用于对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析,以及对低重要度的事件进行过滤,并对相同安全事件进行合并和次数累加。
如图5所示,为本发明安全事件关联分析系统的又一实施例的结构示意图。与前述实施例相比,本实施例的触发器具体包括:规则匹配单元41、状态跳转单元42、初始态返回单元43、告警单元44和超时判断单元45。
规则匹配单元41用于接收当前分析指针3指向的安全事件记录,并进行状态机的预设规则的匹配。状态跳转单元42用于在所述触发器4中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态时,则使所述触发器4中的安全事件记录的状态机向警备态进行跳转,并启动计时器,然后将当前分析指针3指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器4进行处理,如果所述状态机已处于警备态,则使所述触发器4中的安全事件记录的状态机向下一警备态进行跳转,并判断跳转后的状态机是否已达到最终警备态。
初始态返回单元43用于使所述状态机回复初始态。告警单元44用于在跳转后的状态机已达到最终警备态时,向外发出告警信息,并触发所述初始态返回单元43。超时判断单元45用于在所述状态机未达最终警备态时,判断所述计时器是否超时,如果超时,则触发所述初始态返回单元43,并触发所述计数模块5,否则将当前分析指针3指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器4进行处理。
在另一个实施例中,同步调整器还可以进一步具体包括:
调整参数确定单元,用于根据所述计数结果的正负和大小确定调整的步长值和调整方向;
时间指针调整单元,用于根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。
在另一个实施例中,计数模块可以在向外发出告警信息,所述状态机回复初始态时,对所述触发器内的安全事件记录对应的设备进行正值计数,以及在所述状态机超时时,对所述触发器内的安全事件记录对应的设备进行负值计数。相应的,调整参数确定单元在所述计数结果为负值时,确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整,在所述计数结果为正值时,保持所述时间指针不变。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (12)
1.一种安全事件关联分析方法,包括:
接收安全运营中心采集到的安全事件记录;
按照所述安全事件记录对应的设备进行分组,并针对每个设备形成依据安全事件发生时间排序的事件序列表,且当前分析指针指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录;
将当前分析指针指向的安全事件记录送入触发器进行状态机的预设规则的匹配,并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录;
根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数;
在计数结果达到预设统计阈值时,将计数结果发送给同步调整器,以便所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。
2.根据权利要求1所述的安全事件关联分析方法,其中在所述接收安全运营中心采集到的安全事件记录之后,形成事件序列表之前还包括:
对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析;
对低重要度的事件进行过滤,并对相同安全事件进行合并和次数累加。
3.根据权利要求1所述的安全事件关联分析方法,其中在按照所述安全事件记录对应的设备进行分组,并针对于每个设备形成依据安全事件发生时间排序的事件序列表时,还包括:所述同步调整器将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。
4.根据权利要求1或3所述的安全事件关联分析方法,其中所述根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数的操作具体包括:
如果所述触发器中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态,则使所述触发器中的安全事件记录的状态机向警备态进行跳转,并启动计时器,然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理;
如果所述状态机已处于警备态,则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转,并判断跳转后的状态机是否已达到最终警备态,是则向外发出告警信息,所述状态机回复初始态;
如果所述状态机未达最终警备态,则判断所述计时器是否超时,如果超时,则所述状态机回复初始态,并对所述触发器内的安全事件记录对应的设备进行计数,否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。
5.根据权利要求4所述的安全事件关联分析方法,其中所述同步调整器根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整的操作具体为:
所述同步调整器根据所述计数结果的正负和大小确定调整的步长值和调整方向,根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。
6.根据权利要求5所述的安全事件关联分析方法,其中在所述向外发出告警信息,所述状态机回复初始态的操作时,还包括:对所述触发器内的安全事件记录对应的设备进行正值计数;
在所述状态机超时时,对所述触发器内的安全事件记录对应的设备进行负值计数;
如果所述计数结果为负值,则所述同步调整器确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整;如果计数结果为正值,则保持所述时间指针不变。
7.一种安全事件关联分析系统,包括:
事件记录接收模块,用于接收安全运营中心采集到的安全事件记录;
序列表形成模块,用于按照所述安全事件记录对应的设备进行分组,并针对每个设备形成依据安全事件发生时间排序的事件序列表;
当前分析指针,用于指向各个事件序列表中尚未进入触发器的时间最早的安全事件记录;
触发器,用于接收当前分析指针指向的安全事件记录,并进行状态机的预设规则的匹配,根据所述触发器内的安全事件记录对状态机的预设规则的匹配情况进行计时器计时和状态跳转,并将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录;
计数模块,用于根据状态机的超时情况对所述触发器内的安全事件记录对应的设备进行计数,并在计数结果达到预设统计阈值时,将计数结果发送给同步调整器;
同步调整器,用于根据所述计数结果对所述触发器内的安全事件记录对应的设备的事件序列表进行步长调整。
8.根据权利要求7所述的安全事件关联分析系统,其中还包括:
预处理模块,用于对所述安全运营中心采集到的安全事件记录所携带的信息按照标准属性字段进行解析,以及对低重要度的事件进行过滤,并对相同安全事件进行合并和次数累加。
9.根据权利要求7所述的安全事件关联分析系统,其中所述同步调整器还用于在按照所述安全事件记录对应的设备进行分组,并针对于每个设备形成依据安全事件发生时间排序的事件序列表时,将各个设备的事件序列表的时间指针分别指向表内尚未进入触发器的时间最早的安全事件记录。
10.根据权利要求7或9所述的安全事件关联分析系统,其中所述触发器具体包括:
规则匹配单元,用于接收当前分析指针指向的安全事件记录,并进行状态机的预设规则的匹配;
状态跳转单元,用于在所述触发器中的安全事件记录匹配所述状态机的预设规则,且所述状态机处于初始态时,则使所述触发器中的安全事件记录的状态机向警备态进行跳转,并启动计时器,然后将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理,如果所述状态机已处于警备态,则使所述触发器中的安全事件记录的状态机向下一警备态进行跳转,并判断跳转后的状态机是否已达到最终警备态;
初始态返回单元,用于使所述状态机回复初始态;
告警单元,用于在跳转后的状态机已达到最终警备态时,向外发出告警信息,并触发所述初始态返回单元;
超时判断单元,用于在所述状态机未达最终警备态时,判断所述计时器是否超时,如果超时,则触发所述初始态返回单元,并触发所述计数模块,否则将当前分析指针指向所述各个事件序列表中下一个时间顺序的安全事件记录送入触发器进行处理。
11.根据权利要求10所述的安全事件关联分析系统,其中所述同步调整器具体包括:
调整参数确定单元,用于根据所述计数结果的正负和大小确定调整的步长值和调整方向;
时间指针调整单元,用于根据确定的步长值和调整方向对所述计数结果对应的设备的事件序列表进行时间指针指向位置的调整。
12.根据权利要求10所述的安全事件关联分析系统,其中,所述计数模块用于在向外发出告警信息,所述状态机回复初始态时,对所述触发器内的安全事件记录对应的设备进行正值计数,以及在所述状态机超时时,对所述触发器内的安全事件记录对应的设备进行负值计数;
所述调整参数确定单元用于在所述计数结果为负值时,确定时间指针的调整方向为向所述计数结果对应的设备的事件序列表的表头方向调整,在所述计数结果为正值时,保持所述时间指针不变。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310205117.9A CN104219193B (zh) | 2013-05-29 | 2013-05-29 | 安全事件关联分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310205117.9A CN104219193B (zh) | 2013-05-29 | 2013-05-29 | 安全事件关联分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104219193A CN104219193A (zh) | 2014-12-17 |
| CN104219193B true CN104219193B (zh) | 2017-08-08 |
Family
ID=52100336
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310205117.9A Active CN104219193B (zh) | 2013-05-29 | 2013-05-29 | 安全事件关联分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104219193B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330533B (zh) * | 2016-01-21 | 2019-12-17 | 华南师范大学 | 一种大规模网络告警实时拓扑建立方法 |
| CN111144795A (zh) * | 2016-02-29 | 2020-05-12 | 飞救医疗科技(北京)有限公司 | 一种协同工作与质量控制方法与系统 |
| CN107291757B (zh) * | 2016-03-31 | 2020-01-10 | 华为技术有限公司 | 模式匹配的方法和模式匹配装置 |
| CN108628884B (zh) * | 2017-03-20 | 2022-03-25 | 华为技术有限公司 | 一种复杂事件处理方法、系统及其装置 |
| CN109902981A (zh) * | 2017-12-08 | 2019-06-18 | 北京京东尚科信息技术有限公司 | 用于进行数据分析的方法及装置 |
| CN111427633A (zh) * | 2020-02-28 | 2020-07-17 | 惠州市德赛西威汽车电子股份有限公司 | 一种汽车音响状态机及其管理方法 |
| CN112667660B (zh) * | 2020-12-24 | 2022-06-10 | 浙大网新科技股份有限公司 | 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399698A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种安全管理系统、装置和方法 |
| CN101697545B (zh) * | 2009-10-29 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
| CN101771582B (zh) * | 2009-12-28 | 2011-12-14 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法及系统 |
| CN102158355B (zh) * | 2011-03-11 | 2013-08-14 | 广州蓝科科技股份有限公司 | 一种可并发和断续分析的日志事件关联分析方法和装置 |
-
2013
- 2013-05-29 CN CN201310205117.9A patent/CN104219193B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104219193A (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104219193B (zh) | 安全事件关联分析方法及系统 | |
| CN110445807A (zh) | 网络安全态势感知系统及方法 | |
| CN106960172A (zh) | 人员识别处理方法、装置及系统 | |
| CN106681300B (zh) | 一种电力设备的数据聚类分析方法和系统 | |
| TW200530805A (en) | Database user behavior monitor system and method | |
| JP2012518846A (ja) | 異常挙動を予測するためのシステムおよび方法 | |
| CN110989521A (zh) | 一种生产线智能管理系统 | |
| CN101123721A (zh) | 一种智能视频监控系统及其监控方法 | |
| CN110751080A (zh) | 异常人员的聚集预警方法、系统及相关装置 | |
| EP3753801B1 (en) | Surveillance system for an infrastructure and/or a vehicle with event detection | |
| CN109063066A (zh) | 数据查询方法及装置、数据管理系统 | |
| CN107329877A (zh) | 机票业务监控执行系统及方法 | |
| CN110503249A (zh) | 一种由停电引起的投诉预测方法 | |
| CN100586202C (zh) | 故障定位的方法及装置 | |
| CN102541885A (zh) | 一种检测数据库阻塞的方法及装置 | |
| CN109993439A (zh) | 一种基于政府数据的质量检测方法 | |
| CN101339700A (zh) | 一种基于免疫算法的机场航班延误预警系统 | |
| CN103365963B (zh) | 数据库稽核系统合规性快速检验方法 | |
| CN102385632A (zh) | 一种日志自动分类通知方法及系统 | |
| CN107453906A (zh) | 一种存储管理系统监控告警的设置方法及装置 | |
| Robinson et al. | An evidence based earthquake detector using Twitter | |
| CN105933458A (zh) | 多级云监控平台 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| CN202230509U (zh) | 人脸识别的数据管理系统 | |
| CN114050654A (zh) | 一种变电站监控信息事件化告警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20141217 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000040 Denomination of invention: Method and System for Security Event Correlation Analysis Granted publication date: 20170808 License type: Common License Record date: 20240914 |
|
| EE01 | Entry into force of recordation of patent licensing contract |