CN111600898A - 基于规则引擎的安全告警生成方法、装置及系统 - Google Patents
基于规则引擎的安全告警生成方法、装置及系统 Download PDFInfo
- Publication number
- CN111600898A CN111600898A CN202010440131.7A CN202010440131A CN111600898A CN 111600898 A CN111600898 A CN 111600898A CN 202010440131 A CN202010440131 A CN 202010440131A CN 111600898 A CN111600898 A CN 111600898A
- Authority
- CN
- China
- Prior art keywords
- rule
- data
- alarm
- event
- safety alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000007781 pre-processing Methods 0.000 claims abstract description 14
- 238000012098 association analyses Methods 0.000 claims abstract description 9
- 230000000007 visual effect Effects 0.000 claims abstract description 4
- 230000004044 response Effects 0.000 claims description 17
- 230000009471 action Effects 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 4
- 230000002708 enhancing effect Effects 0.000 claims description 3
- 238000010219 correlation analysis Methods 0.000 claims description 2
- 239000000284 extract Substances 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004138 cluster model Methods 0.000 description 2
- 238000013079 data visualisation Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24568—Data stream processing; Continuous queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于规则引擎的安全告警生成方法、装置及系统,所述方法包括以下步骤:对网络中的设备及系统进行数据采集;将采集到的数据进行预处理;将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示。本发明可对整个安全防线进行监控和管理,实现对多源安全事件的预警。
Description
技术领域
本发明涉及一种基于规则引擎的安全告警生成方法、装置及系统属于网络信息安全技术领域。
背景技术
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、Web防火墙、入侵检测系统、漏洞扫描系统、桌面终端管系统等等。这种被动的安全建设只能抵御单一的安全威胁。由于这些安全系统都是为了抵御某个方面的安全威胁,于是形成了一个个安全防御孤岛,无法产生协同效应。另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前企业信息安全管理提出了严峻的挑战。
综上所述,对于不同设备、不同系统中的异构数据源,现有技术中的安全告警方法只针对单一的、确定的安全日志。并且现有的安全告警系统没有形成一套统一流程来完成多源数据采集、数据格式化、关联规则分析、告警生成以及设备联动响应,不利于多源安全事件的预警。现有技术中的安全告警方法通常是将海量安全事件直接推送给用户,面对海量安全事件,用户无法捕捉新的更严重的安全事件,从而导致管理运维效率大大降低。
发明内容
本发明是提供一种基于规则引擎的安全告警生成方法、装置及系统,可对整个安全防线进行监控和管理,实现对多源安全事件的预警。
为达到上述目的,本发明所采用的技术方案是:一种基于规则引擎的安全告警生成方法,包括以下步骤:对网络中的设备及系统进行数据采集;将采集到的数据进行预处理;将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示。
进一步地,所述数据采集的方式包括离线采集和实时采集;所述离线采集方法通过离线定时任务从设备中抽取数据;所述实时采集方式包括实时的消息订阅或者接收设备发送的日志。
进一步地,所述将采集到的数据进行预处理包括以下步骤:对采集到的数据进行解析、过滤、去重、降噪、增强和格式规范化;将格式规范化后的数据进行存储。
进一步地,所述将经过预处理后的数据与规则库内的预设规则进行关联分析,包括以下步骤:规则引擎读取并解析规则库,并对预设的规则进行编译加载;将预处理后的数据生成特征向量数据流和待分析的实时事件流;所述特征向量数据流输入到特征向量模型规则中,与所述预设的规则进行匹配;规则引擎订阅待分析的实时事件流,并将所述待分析的实时事件流与所述预设的规则进行关联规则匹配。
进一步地,所述特征向量模型规则的建立包括以下步骤:将预处理后的数据进行特征工程计算生成训练数据和测试数据;对所述训练数据和测试数据进行交叉训练评估生成特征向量模型规则。
进一步地,所述预设规则中的告警条件包括:单事件规则:对某一时刻或时间窗口的单一事件源进行条件过滤,满足所述条件发生次数达到阀值,则生成安全告警;统计关联规则:对实时事件流中一段事件窗口的行为与基线进行异常匹配,如果偏离基线超过阀值,则生成安全告警;所述基线为一段事件发生的多种事件源建立的统计基线;时序关联规则:定义事件发生的时序,形成时序关联规则,若实时事件流中一段事件窗口满足时序规则,则生成安全告警;模型规则:对事件流中一段事件窗口的事件数据进行特征向量计算,若所述特征向量满足所述特征向模型规则中定义的生成告警条件,则生成安全告警。
进一步地,生成安全告警后,对所述安全告警进行响应动作。
进一步地,所述响应动作包括:联动防火墙设备对IP的封禁、业务用户权限调整、端口封禁、进程的删除和文件删除隔离。
本发明提供了一种基于规则引擎的安全告警生成装置,包括:数据采集单元,用于安全设备中数据的采集;预处理单元,用于将采集到的数据进行预处理;分析单元,用于将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警;显示单元,对生成的安全告警进行可视化展示。
可选地,还包括安全告警处置模块,所述安全告警处置模块,用于实现安全告警的响应动作。
本发明提供了一种基于规则引擎的安全告警生成系统,包括:存储介质和处理器;所述存储介质用于存储指令;所述处理器用于根据所述指令进行操作以执行上述任意一项方法的步骤。
与现有技术相比,本发明的有益效果:本发明通过对网络中的设备及系统进行数据采集,并将采集到的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示,从而贯穿了各个孤立的安全防线,实现对全网设备运行的监控、网络的监控以及安全的监控,并可实现对多源安全事件的预警。
附图说明
图1为本发明实施例提供的一种基于规则引擎的安全告警生成方法的流程示意图;
图2为本发明实施例提供的一种基于规则引擎的安全告警生成系统的逻辑架构示意图。
具体实施方式
为了更好的理解本发明的实质,下面结合具体实施例和附图对本发明作进一步的阐述。
实施例1
本发明实施例中提供了一种基于规则引擎的安全告警生成方法,如图1所示,包括以下步骤:
步骤一、对网络中的设备及系统进行数据采集。
具体地,数据采集的方式包括离线采集和实时采集。
对网络中的设备进行离线数据采集包括:从安全设备、路由器、交换机、主机终端等设备中,通过离线定时任务从业务系统批量非实时拉取数据。所述数据包括网络流量、主机数据、业务数据和威胁情报等。
对网络中的系统进行实时数据采集包括:从web防火墙、路由器、交换机、入侵检测系统、防病毒服务器、桌面管理系统、主机审计系统、数据库审计系统、应用程序审计系统中,通过实时的消息topic订阅或者接收设备发送的syslog日志进行数据采集 。
步骤二、将采集到的数据进行预处理。
具体地,预处理包括以下步骤:对采集到的数据进行解析、过滤、去重、降噪、增强和格式规范化;将格式规范化后的数据进行存储。
步骤三、将经过预处理后的数据与规则库内的预设规则进行关联分析。
具体地,将经过预处理后的数据与规则库内的预设规则进行关联分析包括以下步骤:规则引擎读取并解析规则库,并对预设的规则进行编译加载;将预处理后的数据生成特征向量数据流和待分析的实时事件流;所述特征向量数据流输入到特征向量模型规则中,与所述预设的规则进行匹配;规则引擎订阅待分析的实时事件流,并将所述待分析的实时事件流与所述预设的规则进行关联规则匹配。
1、规则引擎读取并解析规则库,并对预设的规则进行编译加载包括以下步骤:规则库中的预设规则通过规则配置端进行创建,并以json格式存储在Mysql数据库中,所述规则包括:规则名称、规则编号、规则类型、规则描述、规则启用状态、规则语句、告警级别、告警响应动作。规则除了规则语句还定义了告警级别以及告警响应动作,通过该字段为后续安全事件自动化的处置策略配置提供了配置依据。规则引擎启动后会预先加载这部分规则,当规则有变时更时,会发送rpc消息通知规则引擎重新加载规则库以达到动态实时响应规则变更。规则引擎从规则库中读取并解析,生成预设规则执行的有向无环图;规则引擎中的词法语法分析器将规则有向无环图翻译成FlinkCep的java代码。
2、将预处理后的数据生成特征向量模型规则包括以下步骤: 通过对预处理后的数据进行特征工程计算生成训练数据和测试数据,模型训练和模型评估对训练数据和测试数据进行交叉训练评估生成最优模型参数,从而建立特征向量模型规则。
3、将预处理后的数据生成待分析的实时事件流包括以下步骤:将经过了预处理的数据推送到kafka消息队列中生成待分析的实时事件流。所述实时事件流为json格式数据,其定义字段包括:事件类型、事件来源、设备ip、事件时间、源ip、目的ip、日志内容以及根据不同事件类型自定义的字段。
4、将特征向量数据流输入到特征向量模型规则中进行模型规则匹配包括以下步骤:将步骤2中的特征向量模型规则上线,通过在线模型预测任务,对待分析的事件流中一段事件窗口的事件数据经过特征工程计算,生成特征向量。将所述特征向量输入到特征向量模型规则中进行分析计算。
5、规则引擎订阅待分析的实时事件流,并将所述待分析的实时事件流与所述预设的规则进行关联规则匹配。
关联规则匹配通过FlinkCep实现。具体地,规则引擎调用maven命令将预设规则的java代码打包成jar包,通过任务调度器将jar包提交到flink-on-yarn上执行关联规则匹配。规则引擎中的事件流订阅器通过订阅待分析的实时事件流的topic数据作为FlinkCep任务的输入流与FlinkCep规则进行实时规则匹配,一旦触发告警生成条件则将安全告警事件输出到安全告警消息队列的topic中。
步骤四、响应于所述预设规则中的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示。
1、预设规则中的告警条件包括:
单事件规则:对某一时刻或时间窗口的单一事件源进行条件过滤,满足所述条件发生次数达到阀值,则生成安全告警;
统计关联规则:对实时事件流中一段事件窗口的行为与基线进行异常匹配,如果偏离基线超过阀值,则生成安全告警;所述基线为一段事件发生的多种事件源建立的统计基线;
时序关联规则:定义事件发生的时序,形成时序关联规则,若实时事件流中一段事件窗口满足时序规则,则生成安全告警;
模型规则:对事件流中一段事件窗口的事件数据进行特征向量计算,若所述特征向量满足所述特征向模型规则中定义的生成告警条件,则生成安全告警。比如对于聚类模型中对于偏离大量事件的离群孤立点事件定义为安全告警。
2、安全告警模型包含的字段定义为:告警名称、告警类型、告警描述、告警来源、告警开始时间、告警结束时间、源ip、目的ip以及根据告警类型自定义的字段。
3、安全告警进行可视化展示包括以下步骤:将原始数据和安全告警数据对应的消息队列topic中的数据流存储到Elasticsearch中,信息展示模块通过检索Elasticsearch中的原始数据以及安全告警数据,按照时间、事件类型、设备ip等多个维度通过WEB报表对原始数据、安全告警进行数据可视化展示。
步骤五、生成安全告警后,对所述安全告警进行响应动作。
响应动作包括:联动防火墙设备对IP的封禁、业务用户权限调整、端口封禁、进程的删除和文件删除隔离。
实施例2
基于与实施例1相同的发明构思,本发明还提供了一种基于规则引擎的安全告警生成装置,包括:
数据采集单元,用于设备中数据的采集;预处理单元,用于将采集到的数据进行预处理;分析单元,用于将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警;显示单元,对生成的安全告警进行可视化展示;安全告警处置模块,用于实现安全告警的响应动作。具体地:
1、数据采集单元,通过数据采集任务实现数据采集,所述数据采集任务包括离线采集任务和实时采集任务。离线采集任务从设备中抽取数据;实时采集任务包括实时的消息订阅或者接收设备发送的日志。数据采集单元将采集到的原始数据推送到消息队列对应的topic中。
2、预处理单元,通过数据处理任务对原始数据进行预处理。所述数据任务是一个Flink分布式ETL任务,订阅原始数据的topic,并通过ETL任务对原始数据进行解析、过滤、去重、降噪、增强,最终生成格式规范统一的数据,并将规范化的数据进行存储。所述存储,包括两种方式,一种是将数据持久化的存储在分布式数据库中,这部分数据用来做离线数据分析任务,比如基线计算、特征工程、模型训练等任务;一种是通过分布式消息队列推送到相应的topic中生成事件数据流,这部分数据用来与规则库中的规则做规则匹配。
3、分析单元,包括规则引擎和任务调度引擎2个组件,规则引擎具有规则的加载、统计指标计算、关联规则匹配、安全告警生成功能,任务调度引擎对实时事件流数据订阅、规则加载、关联规则匹配、离线批处理任务、安全告警输出等任务进行编排管理。
具体地,规则引擎加载规则并通过语法词法翻译器将规则语句翻译成java代码并打包成提交到flink-on-yarn上执行。通过Flink离线批处理任务做统计指标计算、特征工程、模型训练等。通过Flink实时任务订阅待分析实时事件流,通过滑动窗口聚合事件并输入到规则引擎中做模式匹配,响应于预设规则中的告警条件,生成安全告警。所述任务调度引擎选择Azkaban对实时事件流数据订阅、规则加载、关联规则匹配、离线批处理任务、安全告警输出等任务进行编排管理。
预设规则中的告警条件包括:单事件规则:对某一时刻或时间窗口的单一事件源进行条件过滤,满足所述条件发生次数达到阀值,则生成安全告警;
统计关联规则:对实时事件流中一段事件窗口的行为与基线进行异常匹配,如果偏离基线超过阀值,则生成安全告警;所述基线为一段事件发生的多种事件源建立的统计基线,如平均值和方差;
时序关联规则:定义事件发生的时序,形成时序关联规则,若实时事件流中一段事件窗口满足时序规则,则生成安全告警;
模型规则:对事件流中一段事件窗口的事件数据进行特征向量计算,若所述特征向量满足所述特征向模型规则中定义的生成告警条件,则生成安全告警。比如聚类模型中对于偏离大量事件的离群孤立点事件定义为安全告警。
4、显示单元,通过WEB报表对原始数据、安全告警从多个维度进行数据可视化展示,更直观的展示安全告警。
5、安全告警处置模块,通过任务调度引擎对安全告警的监测、预警方式、调查、取证、报告、响应动作等任务进行策略编排实现对安全告警的响应动作。所述响应动作包括:联动防火墙设备对IP的封禁、业务用户权限调整、端口封禁、进程的删除、文件删除隔离等操作。
本发明的装置对数据采集任务、数据处理任务、实时事件流订阅任务、统计指标计算任务、关联规则匹配任务、安全告警响应等任务提供了灵活的图形化编排以及任务参数配置接口。
实施例3
基于与实施例1相同的发明构思,本发明还提供了一种基于规则引擎的安全告警生成系统,如图2所示包括:
存储介质和处理器;所述存储介质用于存储指令;所述处理器用于根据所述指令进行操作以执行实施例1中所述方法的步骤。
本发明提供了一种基于规则引擎的实时安全告警生成方法以及系统,对于不同设备、不同系统中的异构数据源,建立了一套统一流程完成多源数据采集、数据格式化、关联规则分析、告警生成以及设备联动响应的完整安全告警系统,使用户面对海量安全事件能够通过关联规则配置快速发现隐藏在其中的更为严重的安全事件,同时通过安全处置策略的配置,快速建立对各种安全设备的协同联动效应,大大提高了安全人员的运维管理效率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指
令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。
Claims (11)
1.一种基于规则引擎的安全告警生成方法,其特征在于,包括以下步骤:
对网络中的设备及系统进行数据采集;
将采集到的数据进行预处理;
将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示。
2.根据权利要求1所述基于规则引擎的安全告警生成方法,其特征在于:所述数据采集的方式包括离线采集和实时采集;所述离线采集方法通过离线定时任务从设备中抽取数据;所述实时采集方式包括实时的消息订阅或者接收设备发送的日志。
3.根据权利要求1所述基于规则引擎的安全告警生成方法,其特征在于:所述将采集到的数据进行预处理包括以下步骤:
对采集到的数据进行解析、过滤、去重、降噪、增强和格式规范化;
将格式规范化后的数据进行存储。
4.根据权利要求1所述基于规则引擎的安全告警生成方法,其特征在于:所述将经过预处理后的数据与规则库内的预设规则进行关联分析,包括以下步骤:
规则引擎读取并解析规则库,并对预设的规则进行编译加载;
将预处理后的数据生成特征向量数据流和待分析的实时事件流;
所述特征向量数据流输入到特征向量模型规则中,与所述预设的规则进行匹配;
规则引擎订阅待分析的实时事件流,并将所述待分析的实时事件流与所述预设的规则进行关联规则匹配。
5.根据权利要求4所述基于规则引擎的安全告警生成方法,其特征在于:所述特征向量模型规则的建立包括以下步骤:
将预处理后的数据进行特征工程计算生成训练数据和测试数据;
对所述训练数据和测试数据进行交叉训练评估生成特征向量模型规则。
6.根据权利要求1所述基于规则引擎的安全告警生成方法,其特征在于:所述预设规则中的告警条件包括:
单事件规则:对某一时刻或时间窗口的单一事件源进行条件过滤,满足所述条件发生次数达到阀值,则生成安全告警;
统计关联规则:对实时事件流中一段事件窗口的行为与基线进行异常匹配,如果偏离基线超过阀值,则生成安全告警;所述基线为一段事件发生的多种事件源建立的统计基线;
时序关联规则:定义事件发生的时序,形成时序关联规则,若实时事件流中一段事件窗口满足时序规则,则生成安全告警;
模型规则:对事件流中一段事件窗口的事件数据进行特征向量计算,若所述特征向量满足所述特征向模型规则中定义的生成告警条件,则生成安全告警。
7.根据权利要求1所述基于规则引擎的安全告警生成方法,其特征在于:生成安全告警后,对所述安全告警进行响应动作。
8.根据权利要求7所述基于规则引擎的安全告警生成方法,其特征在于:所述响应动作包括:联动防火墙设备对IP的封禁、业务用户权限调整、端口封禁、进程的删除和文件删除隔离。
9.一种基于规则引擎的安全告警生成装置,其特征在于,包括:
数据采集单元,用于安全设备中数据的采集;
预处理单元,用于将采集到的数据进行预处理;
分析单元,用于将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警;
显示单元,对生成的安全告警进行可视化展示。
10.根据权利要求9所述基于规则引擎的安全告警生成装置,其特征在于,还包括安全告警处置模块,所述安全告警处置模块,用于实现安全告警的响应动作。
11.一种基于规则引擎的安全告警生成系统,其特征在于,包括:存储介质和处理器;所述存储介质用于存储指令;所述处理器用于根据所述指令进行操作以执行权利要求1至8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010440131.7A CN111600898A (zh) | 2020-05-22 | 2020-05-22 | 基于规则引擎的安全告警生成方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010440131.7A CN111600898A (zh) | 2020-05-22 | 2020-05-22 | 基于规则引擎的安全告警生成方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111600898A true CN111600898A (zh) | 2020-08-28 |
Family
ID=72186152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010440131.7A Pending CN111600898A (zh) | 2020-05-22 | 2020-05-22 | 基于规则引擎的安全告警生成方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111600898A (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112214372A (zh) * | 2020-09-16 | 2021-01-12 | 广州海颐信息安全技术有限公司 | 一种敏感sql集中控制系统 |
| CN112636962A (zh) * | 2020-12-15 | 2021-04-09 | 广东华兴银行股份有限公司 | 一种提高网络监控效率的方法、设备及介质 |
| CN112685394A (zh) * | 2020-12-25 | 2021-04-20 | 北京鼎普科技股份有限公司 | 一种基于Flink的实时威胁情报关联方法、装置、系统 |
| CN112925694A (zh) * | 2021-03-05 | 2021-06-08 | 重庆允成互联网科技有限公司 | 一种基于规则引擎的集中式告警通知系统及方法 |
| CN113094034A (zh) * | 2021-04-02 | 2021-07-09 | 上海中通吉网络技术有限公司 | 基于规则引擎的企业bi平台及其架构方法、设备 |
| CN113297183A (zh) * | 2021-07-21 | 2021-08-24 | 国网汇通金财(北京)信息科技有限公司 | 一种时间窗口的告警分析方法及装置 |
| CN113434366A (zh) * | 2021-06-28 | 2021-09-24 | 中国建设银行股份有限公司 | 一种事件处理方法和系统 |
| CN113485206A (zh) * | 2021-08-06 | 2021-10-08 | 时代云英(重庆)科技有限公司 | 一种可扩展的物联网系统及方法 |
| CN113704322A (zh) * | 2021-08-17 | 2021-11-26 | 北京国电通网络技术有限公司 | 基于云边协同的数据采集方法、装置和介质 |
| CN113726744A (zh) * | 2021-08-02 | 2021-11-30 | 南京南瑞信息通信科技有限公司 | 基于任务编排的可视化安全告警处置系统与方法 |
| CN113765915A (zh) * | 2021-09-06 | 2021-12-07 | 杭州安恒信息技术股份有限公司 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
| CN113852640A (zh) * | 2021-09-29 | 2021-12-28 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
| CN114048856A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
| CN114124453A (zh) * | 2021-10-20 | 2022-03-01 | 国能信息技术有限公司 | 网络安全信息的处理方法、装置、电子设备及储存介质 |
| CN114205215A (zh) * | 2021-12-06 | 2022-03-18 | 湖北天融信网络安全技术有限公司 | 一种数据预分析方法及装置 |
| CN114500543A (zh) * | 2022-01-13 | 2022-05-13 | 徐工汉云技术股份有限公司 | 一种基于分布式的弹性边缘采集系统及其应用方法 |
| CN114531306A (zh) * | 2022-04-24 | 2022-05-24 | 北京安博通金安科技有限公司 | 一种基于威胁行为的实时检测方法与系统 |
| CN115221009A (zh) * | 2022-09-19 | 2022-10-21 | 中国人寿保险股份有限公司上海数据中心 | 一种信创数据库的监控告警集成系统及其实现方法 |
| CN115221010A (zh) * | 2022-09-20 | 2022-10-21 | 北京中安星云软件技术有限公司 | 一种基于Flink的审计日志规则匹配方法及系统 |
| CN115567370A (zh) * | 2022-11-10 | 2023-01-03 | 广州信安数据有限公司 | 基于实时事件数据的自动化告警方法、存储介质及系统 |
| CN116436772A (zh) * | 2023-06-08 | 2023-07-14 | 上海观安信息技术股份有限公司 | 实时告警方法和装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| CN103546312A (zh) * | 2013-08-27 | 2014-01-29 | 中国航天科工集团第二研究院七〇六所 | 一种海量多源异构日志关联分析方法 |
| CN107147639A (zh) * | 2017-05-08 | 2017-09-08 | 国家电网公司 | 一种基于复杂事件处理的实时安全预警方法 |
| CN110213108A (zh) * | 2019-06-11 | 2019-09-06 | 四川久远国基科技有限公司 | 一种网络安全态势感知预警方法及系统 |
| CN110300100A (zh) * | 2019-05-28 | 2019-10-01 | 西安交大捷普网络科技有限公司 | 日志审计的关联分析方法与系统 |
| CN110659307A (zh) * | 2019-09-06 | 2020-01-07 | 西安交大捷普网络科技有限公司 | 一种事件流的关联分析方法与系统 |
-
2020
- 2020-05-22 CN CN202010440131.7A patent/CN111600898A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| CN103546312A (zh) * | 2013-08-27 | 2014-01-29 | 中国航天科工集团第二研究院七〇六所 | 一种海量多源异构日志关联分析方法 |
| CN107147639A (zh) * | 2017-05-08 | 2017-09-08 | 国家电网公司 | 一种基于复杂事件处理的实时安全预警方法 |
| CN110300100A (zh) * | 2019-05-28 | 2019-10-01 | 西安交大捷普网络科技有限公司 | 日志审计的关联分析方法与系统 |
| CN110213108A (zh) * | 2019-06-11 | 2019-09-06 | 四川久远国基科技有限公司 | 一种网络安全态势感知预警方法及系统 |
| CN110659307A (zh) * | 2019-09-06 | 2020-01-07 | 西安交大捷普网络科技有限公司 | 一种事件流的关联分析方法与系统 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112214372A (zh) * | 2020-09-16 | 2021-01-12 | 广州海颐信息安全技术有限公司 | 一种敏感sql集中控制系统 |
| CN112636962A (zh) * | 2020-12-15 | 2021-04-09 | 广东华兴银行股份有限公司 | 一种提高网络监控效率的方法、设备及介质 |
| CN112685394A (zh) * | 2020-12-25 | 2021-04-20 | 北京鼎普科技股份有限公司 | 一种基于Flink的实时威胁情报关联方法、装置、系统 |
| CN112925694A (zh) * | 2021-03-05 | 2021-06-08 | 重庆允成互联网科技有限公司 | 一种基于规则引擎的集中式告警通知系统及方法 |
| CN113094034A (zh) * | 2021-04-02 | 2021-07-09 | 上海中通吉网络技术有限公司 | 基于规则引擎的企业bi平台及其架构方法、设备 |
| CN113434366A (zh) * | 2021-06-28 | 2021-09-24 | 中国建设银行股份有限公司 | 一种事件处理方法和系统 |
| CN113297183A (zh) * | 2021-07-21 | 2021-08-24 | 国网汇通金财(北京)信息科技有限公司 | 一种时间窗口的告警分析方法及装置 |
| CN113726744A (zh) * | 2021-08-02 | 2021-11-30 | 南京南瑞信息通信科技有限公司 | 基于任务编排的可视化安全告警处置系统与方法 |
| CN113485206A (zh) * | 2021-08-06 | 2021-10-08 | 时代云英(重庆)科技有限公司 | 一种可扩展的物联网系统及方法 |
| CN113704322A (zh) * | 2021-08-17 | 2021-11-26 | 北京国电通网络技术有限公司 | 基于云边协同的数据采集方法、装置和介质 |
| CN113704322B (zh) * | 2021-08-17 | 2023-08-01 | 北京国电通网络技术有限公司 | 基于云边协同的数据采集方法、装置和介质 |
| CN113765915A (zh) * | 2021-09-06 | 2021-12-07 | 杭州安恒信息技术股份有限公司 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
| CN113852640A (zh) * | 2021-09-29 | 2021-12-28 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
| CN113852640B (zh) * | 2021-09-29 | 2023-06-09 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
| CN114124453A (zh) * | 2021-10-20 | 2022-03-01 | 国能信息技术有限公司 | 网络安全信息的处理方法、装置、电子设备及储存介质 |
| CN114205215A (zh) * | 2021-12-06 | 2022-03-18 | 湖北天融信网络安全技术有限公司 | 一种数据预分析方法及装置 |
| CN114048856A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
| CN114048856B (zh) * | 2022-01-11 | 2022-05-03 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
| CN114500543A (zh) * | 2022-01-13 | 2022-05-13 | 徐工汉云技术股份有限公司 | 一种基于分布式的弹性边缘采集系统及其应用方法 |
| CN114500543B (zh) * | 2022-01-13 | 2024-01-23 | 徐工汉云技术股份有限公司 | 一种基于分布式的弹性边缘采集系统及其应用方法 |
| CN114531306A (zh) * | 2022-04-24 | 2022-05-24 | 北京安博通金安科技有限公司 | 一种基于威胁行为的实时检测方法与系统 |
| CN115221009A (zh) * | 2022-09-19 | 2022-10-21 | 中国人寿保险股份有限公司上海数据中心 | 一种信创数据库的监控告警集成系统及其实现方法 |
| CN115221010A (zh) * | 2022-09-20 | 2022-10-21 | 北京中安星云软件技术有限公司 | 一种基于Flink的审计日志规则匹配方法及系统 |
| CN115567370A (zh) * | 2022-11-10 | 2023-01-03 | 广州信安数据有限公司 | 基于实时事件数据的自动化告警方法、存储介质及系统 |
| CN115567370B (zh) * | 2022-11-10 | 2023-03-14 | 广州信安数据有限公司 | 基于实时事件数据的自动化告警方法、存储介质及系统 |
| CN116436772A (zh) * | 2023-06-08 | 2023-07-14 | 上海观安信息技术股份有限公司 | 实时告警方法和装置、电子设备及存储介质 |
| CN116436772B (zh) * | 2023-06-08 | 2023-08-11 | 上海观安信息技术股份有限公司 | 实时告警方法和装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111600898A (zh) | 基于规则引擎的安全告警生成方法、装置及系统 | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| EP3528463B1 (en) | An artificial intelligence cyber security analyst | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN110740141A (zh) | 一体化网络安全态势感知方法、装置及计算机设备 | |
| Ramaki et al. | Real time alert correlation and prediction using Bayesian networks | |
| CN110213077A (zh) | 一种确定电力监控系统安全事件的方法、装置及系统 | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| Ficco et al. | A generic intrusion detection and diagnoser system based on complex event processing | |
| EP4224795A1 (en) | Cyber defence system | |
| US20230011004A1 (en) | Cyber security sandbox environment | |
| WO2019084072A1 (en) | GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM | |
| US20150358292A1 (en) | Network security management | |
| CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
| Lin et al. | Real-time intrusion alert correlation system based on prerequisites and consequence | |
| Perrochon et al. | Enlisting event patterns for cyber battlefield awareness | |
| CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
| Laue et al. | A SIEM architecture for multidimensional anomaly detection | |
| Al Balushi et al. | OSCIDS: An Ontology based SCADA Intrusion Detection Framework. | |
| Sun et al. | Intelligent log analysis system for massive and multi-source security logs: MMSLAS design and implementation plan | |
| Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
| Polozhentsev et al. | Novel Cyber Incident Management System for 5G-based Critical Infrastructures | |
| Cui | A toolkit for intrusion alerts correlation based on prerequisites and consequences of attacks | |
| Naukudkar et al. | Enhancing performance of security log analysis using correlation-prediction technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200828 |
|
| RJ01 | Rejection of invention patent application after publication |