CN113114628A - 一种基于事件关联模型和分层次的实时安全告警关联算法 - Google Patents

一种基于事件关联模型和分层次的实时安全告警关联算法 Download PDF

Info

Publication number
CN113114628A
CN113114628A CN202110299545.7A CN202110299545A CN113114628A CN 113114628 A CN113114628 A CN 113114628A CN 202110299545 A CN202110299545 A CN 202110299545A CN 113114628 A CN113114628 A CN 113114628A
Authority
CN
China
Prior art keywords
module
processing module
correlation
data
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110299545.7A
Other languages
English (en)
Inventor
叶思斯
张华兵
林志达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd, Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202110299545.7A priority Critical patent/CN113114628A/zh
Publication of CN113114628A publication Critical patent/CN113114628A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开一种基于事件关联模型和分层次的实时安全告警关联算法,包括安全组件模块、二级处理模块和关联分析知识库模块,所述安全组件模块与告警数据收集模块相连接,所述告警数据收集模块与代理端模块相连接,所述代理端模块与配置分析处理模块相连接,所述配置分析处理模块与一级处理模块相连接。该基于事件关联模型和分层次的实时告警关联系统,安全组件模块产生原始数据,告警数据收集模块对原始数据进行收集推送,代理端模块对原始数据进行预处理,配置分析处理模块对预处理后的数据进行配置,关联分析结果处理模块将分析的数据结果整理发送给告警联动模块,告警联动模块根据结果是否异常选择性推送给工作人员。

Description

一种基于事件关联模型和分层次的实时安全告警关联算法
技术领域
本发明涉及关联系统技术领域,具体为一种基于事件关联模型和分层次的实时安全告警关联算法。
背景技术
关联是指将所有系统中的事件以统一格式综合到一起进行观察。在网络安全领域中,关联分析是指对网络全局的安全事件数据进行自动、连续分析,根据用户定义的、可配置的规则来识别网络威胁和复杂的攻击模式,从而可以确定事件真实性、进行事件分级并对事件进行有效响应,告警是对构成网络的软硬系统的设备组件出现错误或异常状态时的事件记录。
在网络安全领域中,系统会遭受到一些网络威胁和攻击,所以需要对系统异常情况进行告警,从而需要一种基于事件关联模型和分层次的实时安全告警关联系统来满足当前需要。
发明内容
本发明的目的在于提供一种基于事件关联模型和分层次的实时安全告警关联算法,以解决上述背景技术提出的在网络安全领域中,系统会遭受到一些网络威胁和攻击,所以需要对系统异常情况进行告警,从而需要一种基于事件关联模型和分层次的实时安全告警关联系统来满足当前需要的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于事件关联模型和分层次的实时安全告警关联系统,包括安全组件模块、二级处理模块和关联分析知识库模块,所述安全组件模块与告警数据收集模块相连接,所述告警数据收集模块与代理端模块相连接,所述代理端模块与配置分析处理模块相连接,所述配置分析处理模块与一级处理模块相连接;所述二级处理模块与配置分析处理模块相连接,所述配置分析处理模块与三级处理模块相连接,所述三级处理模块与关联分析结果处理模块相连接,所述关联分析结果处理模块与告警联动模块相连接,所述关联分析结果处理模块与关联分析引擎模块相连接,所述关联分析知识库模块与关联分析引擎模块相连接。
一种基于事件关联模型和分层次的实时安全告警关联系统的关联算法:在使用基于事件关联模型和分层次的实时告警关联系统,首先安全组件模块1产生原始数据,告警数据收集模块2对原始数据进行收集推送,代理端模块3对原始数据进行预处理,配置分析处理模块4对预处理后的数据进行配置,推送至下级梳理分析,一级处理模块5对数据按域进行第一级处理,二级处理模块6对数据按网元类型进行第二级处理,三级处理模块7对数据按节点进行第三级处理,处理完成的数据推送至关联分析结果处理模块8,关联分析结果处理模块8将分析的数据结果整理发送给告警联动模块9,告警联动模块9根据结果是否异常选择性推送给工作人员,关联分析结果处理模块8将处理完成的数据根据关联分析引擎模块10进行检索,关联分析知识库模块11根据检索提示进行知识库匹配,使数据与事件关联关系之间进行规则推理,提高结果的精准度。
优选的,所述代理端模块基于Windows7、Windows8和Windows10系统为框架,且采用220V居民用电。
优选的,所述一级处理模块的分别两端与配置分析处理模块和关联分析结果处理模块垂直连接,且一级处理模块按域进行一级处理。
优选的,所述二级处理模块按网元类型进行二级处理,且三级处理模块按节点进行三级处理。
优选的,所述关联分析结果处理模块采用关联分析方法,且关联分析结果处理模块中的数据源相互独立。
优选的,所述告警联动模块采用数据网络与无线网络,且使用邮箱推送。
优选的,所述关联分析引擎模块和关联分析知识库模块垂直连接,且关联分析知识库模块具有独立性。
与现有技术相比,本发明的有益效果是:
有益效果1.该基于事件关联模型和分层次的实时告警关联系统,安全组件模块产生原始数据,告警数据收集模块对原始数据进行收集推送,代理端模块对原始数据进行预处理,配置分析处理模块对预处理后的数据进行配置,推送至下级梳理分析,一级处理模块对数据按域进行第一级处理,二级处理模块对数据按网元类型进行第二级处理,三级处理模块对数据按节点进行第三级处理,处理完成的数据推送至关联分析结果处理模块,关联分析结果处理模块将分析的数据结果整理发送给告警联动模块,告警联动模块根据结果是否异常选择性推送给工作人员。
有益效果2.该基于事件关联模型和分层次的实时告警关联系统,关联分析结果处理模块将处理完成的数据根据关联分析引擎模块进行检索,关联分析知识库模块根据检索提示进行知识库匹配,使数据与事件关联关系之间进行规则推理,提高结果的精准度。
附图说明
图1为本发明主视示意图;
图2为本发明流程示意图;
图3为本发明原理示意图。
图中:1、安全组件模块;2、告警数据收集模块;3、代理端模块;4、配置分析处理模块;5、一级处理模块;6、二级处理模块;7、三级处理模块;8、关联分析结果处理模块;9、告警联动模块;10、关联分析引擎模块;11、关联分析知识库模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-3,本发明提供一种技术方案:一种基于事件关联模型和分层次的实时安全告警关联系统,包括安全组件模块1、告警数据收集模块2、代理端模块3、配置分析处理模块4、一级处理模块5、二级处理模块6、三级处理模块7、关联分析结果处理模块8、告警联动模块9、关联分析引擎模块10和关联分析知识库模块11,所述安全组件模块1与告警数据收集模块2相连接,所述告警数据收集模块2与代理端模块3相连接,所述代理端模块3基于Windows7、Windows8和Windows10系统为框架,且采用220V居民用电,便于提高该系统的实用性,增加使用范围,所述代理端模块3与配置分析处理模块4相连接,所述配置分析处理模块4与一级处理模块5相连接,所述一级处理模块5的分别两端与配置分析处理模块4和关联分析结果处理模块8垂直连接,且一级处理模块5按域进行一级处理,便于对数据进行第一层梳理,提高分析精度;
所述二级处理模块6与配置分析处理模块4相连接,所述二级处理模块6按网元类型进行二级处理,且三级处理模块7按节点进行三级处理,便于对数据进行进一步分析,防止结果错误,所述配置分析处理模块4与三级处理模块7相连接,所述三级处理模块7与关联分析结果处理模块8相连接,所述关联分析结果处理模块8采用关联分析方法,且关联分析结果处理模块8中的数据源相互独立,便于对数据进行匹配分析,防止结果遗落,所述关联分析结果处理模块8与告警联动模块9相连接,所述告警联动模块9采用数据网络与无线网络,且使用邮箱推送,便于对使用者进行告警提醒,提高响应速度,所述关联分析结果处理模块8与关联分析引擎模块10相连接,所述关联分析引擎模块10和关联分析知识库模块11垂直连接,且关联分析知识库模块11具有独立性,使关联分析知识库模块11与关联分析结果处理模块8之间互补,不会造成影响,所述关联分析知识库模块11与关联分析引擎模块10相连接。
进一步的,安全组件模块1产生原始数据。
进一步的,告警数据收集模块2对原始数据进行收集推送。
进一步的,代理端模块3对原始数据进行预处理。
进一步的,配置分析处理模块4对预处理后的数据进行配置,推送至下级梳理分析。
进一步的,一级处理模块5对数据按域进行第一级处理,二级处理模块6对数据按网元类型进行第二级处理,三级处理模块7对数据按节点进行第三级处理。
进一步的,关联分析结果处理模块8将分析的数据结果整理发送给告警联动模块9。
进一步的,告警联动模块9根据结果是否异常选择性推送给工作人员。
一种基于事件关联模型和分层次的实时安全告警关联系统的关联算法:在使用基于事件关联模型和分层次的实时告警关联系统,首先安全组件模块1产生原始数据,告警数据收集模块2对原始数据进行收集推送,代理端模块3对原始数据进行预处理,配置分析处理模块4对预处理后的数据进行配置,推送至下级梳理分析,一级处理模块5对数据按域进行第一级处理,二级处理模块6对数据按网元类型进行第二级处理,三级处理模块7对数据按节点进行第三级处理,处理完成的数据推送至关联分析结果处理模块8,关联分析结果处理模块8将分析的数据结果整理发送给告警联动模块9,告警联动模块9根据结果是否异常选择性推送给工作人员,关联分析结果处理模块8将处理完成的数据根据关联分析引擎模块10进行检索,关联分析知识库模块11根据检索提示进行知识库匹配,使数据与事件关联关系之间进行规则推理,提高结果的精准度,这就是基于事件关联模型和分层次的实时告警关联系统的特点,本说明中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于事件关联模型和分层次的实时安全告警关联系统,包括安全组件模块(1)、二级处理模块(6)和关联分析知识库模块(11),其特征在于:所述安全组件模块(1)与告警数据收集模块(2)相连接,所述告警数据收集模块(2)与代理端模块(3)相连接,所述代理端模块(3)与配置分析处理模块(4)相连接,所述配置分析处理模块(4)与一级处理模块(5)相连接;
所述二级处理模块(6)与配置分析处理模块(4)相连接,所述配置分析处理模块(4)与三级处理模块(7)相连接,所述三级处理模块(7)与关联分析结果处理模块(8)相连接,所述关联分析结果处理模块(8)与告警联动模块(9)相连接,所关联分析结果处理模块(8)与关联分析引擎模块(10)相连接,所述关联分析知识库模块(11)与关联分析引擎模块(10)相连接。
2.根据权利要求1所述的一种基于事件关联模型和分层次的实时安全告警关联系统,其特征在于:所述代理端模块(3)基于Windows7、Windows8和Windows10系统为框架,且采用220V居民用电。
3.根据权利要求1所述的一种基于事件关联模型和分层次的实时安全告警关联系统,其特征在于:所述一级处理模块(5)的分别两端与配置分析处理模块(4)和关联分析结果处理模块(8)垂直连接,且一级处理模块(5)按域进行一级处理。
4.根据权利要求1所述的一种基于事件关联模型和分层次的实时安全告警关联系统,其特征在于:所述二级处理模块(6)按网元类型进行二级处理,且三级处理模块(7)按节点进行三级处理。
5.根据权利要求1所述的一种基于事件关联模型和分层次的实时安全告警关联系统,其特征在于:所述关联分析结果处理模块(8)采用关联分析方法,且关联分析结果处理模块(8)中的数据源相互独立。
6.根据权利要求1所述的一种基于事件关联模型和分层次的实时安全告警关联系统,其特征在于:所述告警联动模块(9)采用数据网络与无线网络,且使用邮箱推送。
7.根据权利要求1所述的一种基于事件关联模型和分层次的实时安全告警关联系统,其特征在于:所述关联分析引擎模块(10)和关联分析知识库模块(11)垂直连接,且关联分析知识库模块(11)具有独立性。
8.一种基于事件关联模型和分层次的实时安全告警关联系统的关联算法,其特征在于:在使用基于事件关联模型和分层次的实时告警关联系统,首先安全组件模块(1)产生原始数据,告警数据收集模块(2)对原始数据进行收集推送,代理端模块(3)对原始数据进行预处理,配置分析处理模块(4)对预处理后的数据进行配置,推送至下级梳理分析,一级处理模块(5)对数据按域进行第一级处理,二级处理模块(6)对数据按网元类型进行第二级处理,三级处理模块(7)对数据按节点进行第三级处理,处理完成的数据推送至关联分析结果处理模块(8),关联分析结果处理模块(8)将分析的数据结果整理发送给告警联动模块(9),告警联动模块(9)根据结果是否异常选择性推送给工作人员,关联分析结果处理模块(8)将处理完成的数据根据关联分析引擎模块(10)进行检索,关联分析知识库模块(11)根据检索提示进行知识库匹配,使数据与事件关联关系之间进行规则推理。
CN202110299545.7A 2021-03-19 2021-03-19 一种基于事件关联模型和分层次的实时安全告警关联算法 Pending CN113114628A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110299545.7A CN113114628A (zh) 2021-03-19 2021-03-19 一种基于事件关联模型和分层次的实时安全告警关联算法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110299545.7A CN113114628A (zh) 2021-03-19 2021-03-19 一种基于事件关联模型和分层次的实时安全告警关联算法

Publications (1)

Publication Number Publication Date
CN113114628A true CN113114628A (zh) 2021-07-13

Family

ID=76712102

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110299545.7A Pending CN113114628A (zh) 2021-03-19 2021-03-19 一种基于事件关联模型和分层次的实时安全告警关联算法

Country Status (1)

Country Link
CN (1) CN113114628A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114048856A (zh) * 2022-01-11 2022-02-15 中孚信息股份有限公司 基于知识推理的安全事件自动处置方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638100A (zh) * 2012-04-05 2012-08-15 华北电力大学 地区电网设备异常告警信号关联分析与诊断方法
CN108846588A (zh) * 2018-06-28 2018-11-20 国网山东省电力公司泰安供电公司 重负荷下配电网事故安全预防及恢复能力评估方法和装置
CN110445665A (zh) * 2019-09-06 2019-11-12 国网江苏省电力公司信息通信分公司 基于改进gsp的电力通信网络告警关联挖掘方法
CN110493065A (zh) * 2019-09-03 2019-11-22 浪潮云信息技术有限公司 一种云中心运维的告警关联度分析方法及系统
US20200334777A1 (en) * 2018-11-21 2020-10-22 Beijing Yutian Technology Co. Ltd Intelligent emergency decision support system for emergency communication
CN112463553A (zh) * 2020-12-18 2021-03-09 杭州立思辰安科科技有限公司 一种基于普通告警关联分析智能告警的系统与方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638100A (zh) * 2012-04-05 2012-08-15 华北电力大学 地区电网设备异常告警信号关联分析与诊断方法
CN108846588A (zh) * 2018-06-28 2018-11-20 国网山东省电力公司泰安供电公司 重负荷下配电网事故安全预防及恢复能力评估方法和装置
US20200334777A1 (en) * 2018-11-21 2020-10-22 Beijing Yutian Technology Co. Ltd Intelligent emergency decision support system for emergency communication
CN110493065A (zh) * 2019-09-03 2019-11-22 浪潮云信息技术有限公司 一种云中心运维的告警关联度分析方法及系统
CN110445665A (zh) * 2019-09-06 2019-11-12 国网江苏省电力公司信息通信分公司 基于改进gsp的电力通信网络告警关联挖掘方法
CN112463553A (zh) * 2020-12-18 2021-03-09 杭州立思辰安科科技有限公司 一种基于普通告警关联分析智能告警的系统与方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114048856A (zh) * 2022-01-11 2022-02-15 中孚信息股份有限公司 基于知识推理的安全事件自动处置方法及系统

Similar Documents

Publication Publication Date Title
CN103532940B (zh) 网络安全检测方法及装置
CN106375339B (zh) 基于事件滑动窗口的攻击模式检测方法
CN104463709B (zh) 一种基于决策树的变电站告警信息处理方法
CN105279257A (zh) 一种基于正态分布的互联网大数据挖掘方法和系统
CN108335449A (zh) 一种基于云平台的电气火灾联网监控系统
CN107612740A (zh) 一种分布式环境下的日志监控系统及方法
CN105376193B (zh) 安全事件的智能关联分析方法与装置
CN103532776A (zh) 业务流量检测方法及系统
CN104158682B (zh) 一种基于贡献度的同步数字体系sdh故障定位方法
CN106254137A (zh) 监管系统的告警根源分析系统及方法
CN107404471A (zh) 一种基于admm算法网络流量异常检测方法
CN113114628A (zh) 一种基于事件关联模型和分层次的实时安全告警关联算法
CN104778821A (zh) 一种交通设备自动报警系统及方法
CN105530243B (zh) 一种网络攻击事件定量分级算法的实现方法
CN113676498B (zh) 基于分布式网络技术存取第三方信息的预言机管理系统
CN104978837B (zh) 一种面向用户端变电所的报警系统及其实现方法
CN104601567A (zh) 一种基于电力信息网络安全事件挖掘的指标化安全度量方法
CN105991623A (zh) 一种业务互联关系审计方法和系统
CN108808850A (zh) 基于iec61850的智能变电站告警智能分析方法
CN112398835A (zh) 基于网络设备日志分析的网络安全预警技术系统
CN107843779A (zh) 一种基于模糊聚类的电力系统故障录波分类分析方法和系统
Hou et al. Alarms association rules based on sequential pattern mining algorithm
CN116232695A (zh) 一种网络安全运维关联分析系统
Alsuhibany A space-and-time efficient technique for big data security analytics
CA2884384C (en) System data compression system and method thereof

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210713