CN113259364A - 一种网络事件关联分析方法及装置、计算机设备 - Google Patents
一种网络事件关联分析方法及装置、计算机设备 Download PDFInfo
- Publication number
- CN113259364A CN113259364A CN202110581090.8A CN202110581090A CN113259364A CN 113259364 A CN113259364 A CN 113259364A CN 202110581090 A CN202110581090 A CN 202110581090A CN 113259364 A CN113259364 A CN 113259364A
- Authority
- CN
- China
- Prior art keywords
- event
- state machine
- intrusion
- rule
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
Abstract
本发明涉及一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质,该方法包括:设置事件关联描述文件;根据事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图;获取上报的事件,生成状态机,根据上报的事件令状态机在内部规则路径图上运行,且保存每一步运行的记录;当状态机前进至用于上报告警的事件节点,则进行告警信息上送并销毁状态机;判断是否继续检测,是则返回等待新上报的事件的触发。本发明能够实现入侵事件检测,且具有规则条件多样性,入侵线路明确化,误报率低及上下文关系明确的优势。
Description
技术领域
本发明涉及计算机与网络安全技术领域,尤其涉及一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质。
背景技术
随着计算机技术和网络技术的发展,业务系统的多样性使入侵的方式变得复杂且隐蔽。常见的安全设备例如防火墙、入侵检测系统、证书授权系统、完整性检查工具、杀毒软件等,这些安全组件的独立性产生了报警的冗余,且报警无上下关联。庞杂的消息来源令安全员所需处理的消息变得越来越复杂,使其无法有效判断告警的重要性与问题路径。
网络环境中绝大部分的攻击(入侵)事件都不是独立发生的,相互之间存在着必然的关系,而这种关系因为组件间的独立与隔绝无法形成有效记录。目前,大多数入侵检测技术规则逻辑简单,只是简单记录了事件的发生与发生位置,通过设置阈值的方式在达到阈值时触发告警,规则关联度不够,入侵操作的路径不明确,未经梳理的告警信息大量发送造成对有效告警的干扰,引起事件告警风暴,并且在匹配告警时因为规则简单,导致匹配多数操作形成误报,事件误报率高。
因此,针对以上不足,需要提供一种能够针对事件关联进行分析,进而实现入侵检测的方法。
发明内容
本发明的目的是针对上述至少一部分不足之处,提供一种能够通过事件关联分析实现入侵检测的方法,以减少事件告警风暴,降低事件误报率。
第一方面,本发明提供了一种网络事件关联分析方法,包括如下步骤:
步骤S1、设置事件关联描述文件,所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性;
步骤S2、根据所述事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图;
步骤S3、获取上报的事件,根据所述内部规则路径图进行判断,若符合用于启动的起始条件,则生成状态机,并根据上报的事件令状态机在所述内部规则路径图上运行,且保存每一步运行的记录;
步骤S4、当状态机前进至用于上报告警的事件节点,则进行告警信息上送,并销毁对应的状态机;
步骤S5、判断是否继续检测,是则返回步骤S3等待新上报的事件的触发。
可选地,事件节点的属性包括:名称、详细描述和事态级别;
入侵路径的属性包括:源节点、目标节点和事件触发条件;其中事件触发条件包括阈值类型和阈值设置。
可选地,所述步骤S2中,将得到的规则信息初始化为内部规则路径图时,根据所述事件关联描述文件中记录的各入侵路径的属性,组装各事件节点之间的对应连接关系,作为检测入侵事件的规则信息,进而得到所述内部规则路径图。
可选地,所述步骤S3中,根据上报的事件令状态机在所述内部规则路径图上运行时,通过状态机对事件的数值记录与该状态机所在事件节点位置,判断在获取上报的事件并修改相应的数值记录后,是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件;
若满足,则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点,实现状态变更。
可选地,所述步骤S3中,状态变更后,开始计时,若在该事件节点处等待超时,则状态机返回至状态变更前的上一事件节点处,并根据对应的入侵路径,恢复状态机针对事件触发条件的数值记录。
可选地,所述步骤S2中,根据所述事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图时,对于不同的事件关联描述文件,对应地构成不同的内部规则路径图;
所述步骤S3中,获取上报的事件,根据所述内部规则路径图进行判断,若符合多个所述内部规则路径图中用于启动的起始条件,则对应各所述内部规则路径图,复制多个状态机,令各状态机分别在相应的内部规则路径图上运行,实现并行处理。
可选地,所述步骤S4中,进行告警信息上送时,输出完整的入侵事件记录,包括涉及的所有事件节点以及入侵路径。
第二方面,本发明还提供了一种网络事件关联分析装置,包括:
设置模块,用于设置事件关联描述文件,所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性;
规则模块,用于根据所述事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图;
处理模块,用于获取上报的事件,根据所述内部规则路径图进行判断,若符合用于启动的起始条件,则生成状态机,并根据上报的事件令状态机在所述内部规则路径图上运行,且保存每一步运行的记录;
告警模块,用于当状态机前进至用于上报告警的事件节点,进行告警信息上送,并销毁对应的状态机;
判断模块,用于判断是否继续检测,是则调用所述处理模块,等待新上报的事件的触发。
第三方面,本发明还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述网络事件关联分析方法的步骤。
第四方面,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述网络事件关联分析方法的步骤。
本发明的上述技术方案具有如下优点:本发明提供了一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质,本发明通过设置事件关联描述文件,增加规则条件多样性,使入侵路径明确化,对庞杂的网络事件进行梳理与筛选,以明确的、多样化的入侵路径降低误报率,提取更有用的告警信息,减少告警风暴的产生,并且发生入侵事件时,能够记录入侵事件的行动路线,得到明确的上下文关系,有助于安全员获得准确、全面的入侵信息。
附图说明
图1是本发明实施例中一种网络事件关联分析方法步骤示意图;
图2是本发明实施例中组装各事件节点之间的对应连接关系步骤示意图;
图3是本发明实施例中一个具体的内部规则路径图的连接关系示意图;
图4是本发明实施例中一种网络事件关联分析装置结构示意图。
图中:100:设置模块;200:规则模块;300:处理模块;400:告警模块;500:判断模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种网络事件关联分析方法,包括如下步骤:
步骤S1、设置事件关联描述文件,事件关联描述文件用于描述关联规则,其中记录有用于描述各入侵事件的多个事件节点的属性与多个入侵路径的属性。
事件节点是一种虚拟的节点,用于描述事件的上下文关系与正在发生事件的行程状态,以限制状态机的“位置”(即状态机的指向)。可选地,事件节点的属性包括:名称、详细描述和事态级别等。入侵路径用于描述各事件节点之间的连接关系,可选地,入侵路径的属性包括:源节点、目标节点、事件触发条件。事件触发条件包括阈值类型和阈值设置等。
根据各入侵路径的源节点、目标节点,以相应的连接关系组装各事件节点,能够得到多条通路,且无固定路线,以预防攻击的可变性。入侵路径的事件触发条件可通过多种类型的阈值方法监测攻击者的攻击频率、告警阈值等。此部分具体的事件触发条件可参考现有技术进行设置,在此不再进一步限定。
步骤S2、根据事件关联描述文件更新规则信息,即动态地加载或卸载规则信息,并将得到的规则信息初始化为内部规则路径图。
根据不同的事件关联描述文件,可得到不同的内部规则路径图,通过更新事件关联描述文件,能够动态调整规则信息,以适用不同的网络事件检测。内部规则路径图中至少包括用于启动状态机的事件节点start以及用于上报告警的事件节点end。各事件节点之间由带有规则的线(即入侵路径)进行连接,并限定状态机的前进方向与前进的条件。
状态机是一种概念性机器,能够采取某种操作来响应一个外部的事件,状态机在接收到上报的事件后响应的行动,不仅取决于事件本身,还取决于状态机内部状态。本发明中,状态机对相应的事件存留有数值记录,可用于记录上报的事件出现的频率,也可用于记录上报的事件中的阈值。状态机在内部规则路径图上的各事件节点间运行,即状态机指向不同的事件节点。
步骤S3、获取上报的事件,根据内部规则路径图进行判断,若符合用于启动的起始条件,即,该事件属于任一与事件节点start相连的入侵路径的事件触发条件所涉及事件,则生成状态机。生成状态机后,根据上报的事件令状态机在内部规则路径图上运行,且保存每一步运行的记录,方便后期检索。
此步骤S3中获取其他服务上报的事件,例如日志等。当前的事件会被推送至所有的规则处理线程,判断获取当前事件后,是否满足相应的事件触发条件,对均不符合事件触发条件的事件,例如事件类型完全不符的事件,可直接丢弃,对符合的,则需要进一步处理,相应地,满足用于启动的起始条件则生成状态机,满足转移条件,也即满足入侵路径的事件触发条件,令状态机通过入侵路径跳转事件节点,实现在内部规则路径图上运行。
步骤S4、当状态机前进至用于上报告警的事件节点,则进行相应的告警信息上送,并销毁对应的状态机。
状态机运行在内部规则路径图,直至走完任一关联规则所限定的通路,抵达入侵线路中最后的、用于上报告警的事件节点end。若事件能够抵达事件节点end,则认为检测到入侵事件,触发相应的告警。
步骤S5、判断是否继续检测,是则返回步骤S3,等待新上报的事件的触发,继续进行入侵检测,否则结束入侵检测。
本发明提供的网络事件关联分析方法扩大了收集范围,增强入侵事件联动能力,并且对入侵事件定义复杂规则,实现降低误报率;通过改进关联检测的处理逻辑,达到对入侵事件包括的每一步具体事件进行精确判断并记录操作路径,入侵事件处理逻辑的优化承载了更多的事件关系,逐步缩减告警风暴的产生,并能够记录满足规则的触发报告,形成入侵事件上下文信息。
可选地,步骤S2中,将得到的规则信息初始化为内部规则路径图时,根据事件关联描述文件中记录的各入侵路径的属性,组装各事件节点之间的对应连接关系,形成从用于启动状态机的事件节点start至用于上报告警的事件节点end的多条通路,作为检测入侵事件的规则信息,进而得到内部规则路径图。
如图2所示,步骤S2中,解析并组装入侵事件关联流,即组装各入侵路径,进一步地,组装各事件节点之间的对应连接关系时,包括如下步骤:
步骤S2-1、解析事件节点数组,根据各入侵事件的事件节点的属性,确定各个事件节点,如图2中圆圈所示,各圆圈代表ID不同的事件节点(如ID:0、ID:1、ID:2和ID:3的事件节点);
步骤S2-2、解析连线数组,根据各入侵路径的属性,确定多个连线,如图2中带箭头的线段所示;
步骤S2-3、根据各入侵路径的属性,组装连线与事件节点,形成从用于启动状态机的事件节点start以及用于上报告警的事件节点end的多条通路,如一条通路由事件节点ID:1经事件节点ID:2至事件节点ID:0,另一条通路由事件节点ID:1经事件节点ID:3至事件节点ID:0,确定内部规则路径图。
进行事件关联分析的过程中,通过获取的事件令状态机跳转至对应的事件节点上。
步骤S3中,根据上报的事件令状态机在内部规则路径图上运行时,通过状态机对事件的数值记录与该状态机所在事件节点位置,判断在获取上报的事件并修改相应的数值记录后,是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件。若满足,则状态机由当前的所在事件节点,前进至该入侵路径所对应连接的下一事件节点,实现状态变更。
不满足事件触发条件的情况可能分为两种:一种是获取的事件不属于任一入侵路径的事件触发条件所涉及的事件,此时状态机不需要修改用于计数的数值记录;另一种是获取的事件属于入侵路径的事件触发条件所涉及事件,状态机修改相应的数值记录,例如新获取的事件导致该种事件出现频率的数值记录增加等,但修改后仍未达到事件触发条件中的阈值设置。
进一步地,步骤S3中,状态变更后,开始计时,若状态机在该事件节点(即状态变更后的事件节点)处等待超时,则进行状态机回退,状态机返回至状态变更前的上一事件节点处,并根据对应的入侵路径,恢复状态机针对事件触发条件的数值记录,即相应的数值需恢复。
在入侵过程中,如果一条通路在入侵时无法触发漏洞,攻击者有可能会更换入侵方式,此时由于入侵方式的变化,状态机无法继续触发,使状态机回退并继续监测上一个事件节点处的所有连线规则(即相应入侵路径的事件触发条件),等待新的事件触发状态机前进,能够使入侵的过程被完整地记录下来,包括中途更换入侵方式的过程。
可选地,为提高处理效率,实现对庞杂入侵事件的梳理,步骤S2中,根据事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图时,对于不同的事件关联描述文件,对应地构成不同的内部规则路径图。
进一步地,步骤S3中,获取上报的事件,根据内部规则路径图进行判断,若符合多个内部规则路径图中用于启动的起始条件,则对应各内部规则路径图,复制多个状态机,令各状态机分别在相应的内部规则路径图上运行,实现并行处理。
可选地,步骤S4中,进行告警信息上送时,输出完整的入侵事件记录,包括涉及的所有事件节点以及入侵路径,以便在处理事件风暴的同时,整理入侵路径与上下文关系,记录全部入侵流程与被攻击的事件节点,达到尽可能完整复现入侵过程的目的。
在一个优选的实施方式中,本发明利用一些具体的FTP保护规则验证了提供的网络事件关联分析方法。步骤S1中,设置的事件关联描述文件内记录有用于描述FTP保护规则的的事件节点与入侵路径的属性。步骤S2中,可得到如图3所示的内部规则路径图,该内部规则路径图中包括多个事件节点(即图3中的事件节点start、事件节点1、事件节点2、事件节点3、事件节点4和事件节点end)与入侵路径(即入侵路径1、入侵路径2、入侵路径3、入侵路径4、入侵路径5、入侵路径6、入侵路径7和入侵路径8)。
图3所示的各入侵路径的事件触发条件分别为:
入侵路径1的事件触发条件1包括:
阈值类型:FTP 匿名登录;阈值设置:1次;
入侵路径4的事件触发条件4包括:
阈值类型:FTP 文件上传;阈值设置:1次;
入侵路径7的事件触发条件7包括:
阈值类型:FTP 文件下载;阈值设置:1次;
入侵路径2的事件触发条件2包括:
阈值类型:FTP 文件上传;阈值设置:1次;
入侵路径8的事件触发条件8包括:
阈值类型:HTTP 文件访问;阈值设置:1次;
入侵路径3的事件触发条件3包括:
阈值类型:FTP登录失败;阈值设置:1次;
入侵路径6的事件触发条件6包括:
阈值类型:FTP登录失败;阈值设置:20次。
对于如图3所示的内部规则路径图,当上报的事件属于任一与事件节点start相连的入侵路径的事件触发条件所涉及的事件,如属于事件触发条件1涉及的事件[FTP匿名登录]、事件触发条件2涉及的事件[FTP文件上传],或者事件触发条件3涉及的事件[FTP登录失败],则生成状态机。生成的状态机位于事件节点start,对相应事件的数值记录为1。由于相应的阈值设置均为1次,满足事件触发条件1、事件触发条件2或者事件触发条件3,则状态机沿相应入侵路径,进行状态变更,前进至事件节点1、事件节点2或事件节点3。若事件触发条件的阈值设置大于1,则状态机在事件节点start等待并根据上报的事件修改相应的数值记录,在满足事件触发条件后,再前进至相应的事件节点。
当不断上报的事件满足了事件触发条件1、事件触发条件4和事件触发条件7,使状态机由事件节点start转移至事件节点end,则认为走完了脚本权限测试关联规则所限定的通路,对应触发脚本权限测试告警;当满足事件触发条件2和事件触发条件8,则认为走完了FTP网站渗透攻击关联规则所限定的通路,对应触发FTP网站渗透攻击告警;当满足事件触发条件3和事件触发条件6,则认为走完了FTP弱口令攻击关联规则所限定的通路,对应触发FTP弱口令攻击告警。
以对FTP弱口令攻击过程的入侵检测为例,当上报事件[FTP登录失败]后,查找该事件满足哪条关联规则中用于启动的起始条件,也即属于哪条与事件节点start相连的入侵路径的事件触发条件所涉及事件,在满足起始条件后,创建一个新的状态机。状态机处理事件,在上报1次事件[FTP登录失败]后,由于满足事件触发条件3,状态机从事件节点start前进到事件节点3,在事件节点3保持状态,并在连续接收到20次事件[FTP登录失败]后,满足事件触发条件6,状态机前进到事件节点end,上报告警信息。告警信息优选包含所有的FTP登录事件信息与触发的各入侵路径信息,安全人员可以通过告警信息复现漏洞入侵过程,完成漏洞定位及修复。
本发明还提供了一种网络事件关联分析装置,包括:设置模块100、规则模块200、处理模块300、告警模块400和判断模块500,其中,
设置模块100用于设置事件关联描述文件,事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性;
规则模块200用于根据事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图,令状态机运行在内部规则路径图内;
处理模块300用于获取上报的事件,根据内部规则路径图进行判断,若符合用于启动的起始条件,则生成状态机,并根据上报的事件令状态机在内部规则路径图上运行,且保存每一步运行的记录;
告警模块400用于当状态机前进至用于上报告警的事件节点,进行告警信息上送,并销毁对应的状态机;
判断模块500用于判断是否继续检测,是则调用处理模块300,等待新上报的事件的触发,继续进行入侵检测。
可选地,事件节点的属性包括:名称、详细描述和事态级别;入侵路径的属性包括:源节点、目标节点和事件触发条件,事件触发条件包括阈值类型和阈值设置。
可选地,规则模块200将得到的规则信息初始化为内部规则路径图时,根据事件关联描述文件中记录的各入侵路径的属性,组装各事件节点之间的对应连接关系,作为检测入侵事件的规则信息,进而得到内部规则路径图。
可选地,处理模块300用于在根据上报的事件令状态机在内部规则路径图上运行时,通过状态机对事件的数值记录与该状态机所在事件节点位置,判断在获取上报的事件并修改相应的数值记录后,是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件;若满足,则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点,实现状态变更。
可选地,处理模块300还用于在状态变更后,开始计时,若在该事件节点处等待超时,则状态机返回至状态变更前的上一事件节点处,并根据对应的入侵路径,恢复状态机针对事件触发条件的数值记录。
可选地,规则模块200用于根据事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图时,对于不同的事件关联描述文件,对应地构成不同的内部规则路径图;处理模块300用于在获取上报的事件时,根据内部规则路径图进行判断,若符合多个内部规则路径图中用于启动的起始条件,则对应各内部规则路径图,复制多个状态机,令各状态机分别在相应的内部规则路径图上运行,实现并行处理。
可选地,告警模块400用于进行告警信息上送时,输出完整的入侵事件记录,包括涉及的所有事件节点以及入侵路径。
上述网络事件关联分析装置的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
以上各实施例中,硬件模块可以通过机械方式或电气方式实现。例如,一个硬件模块可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件模块还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
特别地,在本发明一些优选的实施方式中,还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一实施方式中所述网络事件关联分析方法的步骤。
在本发明另一些优选的实施方式中,还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施方式中所述网络事件关联分析方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述网络事件关联分析方法实施例的流程,在此不再重复说明。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网络事件关联分析方法,其特征在于,包括如下步骤:
步骤S1、设置事件关联描述文件,所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性;
步骤S2、根据所述事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图;
步骤S3、获取上报的事件,根据所述内部规则路径图进行判断,若符合用于启动的起始条件,则生成状态机,并根据上报的事件令状态机在所述内部规则路径图上运行,且保存每一步运行的记录;
步骤S4、当状态机前进至用于上报告警的事件节点,则进行告警信息上送,并销毁对应的状态机;
步骤S5、判断是否继续检测,是则返回步骤S3等待新上报的事件的触发。
2.根据权利要求1所述的网络事件关联分析方法,其特征在于:
事件节点的属性包括:名称、详细描述和事态级别;
入侵路径的属性包括:源节点、目标节点和事件触发条件;其中事件触发条件包括阈值类型和阈值设置。
3.根据权利要求2所述的网络事件关联分析方法,其特征在于:
所述步骤S2中,将得到的规则信息初始化为内部规则路径图时,根据所述事件关联描述文件中记录的各入侵路径的属性,组装各事件节点之间的对应连接关系,作为检测入侵事件的规则信息,进而得到所述内部规则路径图。
4.根据权利要求1至3任一项所述的网络事件关联分析方法,其特征在于:
所述步骤S3中,根据上报的事件令状态机在所述内部规则路径图上运行时,通过状态机对事件的数值记录与该状态机所在事件节点位置,判断在获取上报的事件并修改相应的数值记录后,是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件;
若满足,则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点,实现状态变更。
5.根据权利要求4所述的网络事件关联分析方法,其特征在于:
所述步骤S3中,状态变更后,开始计时,若在该事件节点处等待超时,则状态机返回至状态变更前的上一事件节点处,并根据对应的入侵路径,恢复状态机针对事件触发条件的数值记录。
6.根据权利要求1所述的网络事件关联分析方法,其特征在于:
所述步骤S2中,根据所述事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图时,对于不同的事件关联描述文件,对应地构成不同的内部规则路径图;
所述步骤S3中,获取上报的事件,根据所述内部规则路径图进行判断,若符合多个所述内部规则路径图中用于启动的起始条件,则对应各所述内部规则路径图,复制多个状态机,令各状态机分别在相应的内部规则路径图上运行,实现并行处理。
7.根据权利要求1所述的网络事件关联分析方法,其特征在于:
所述步骤S4中,进行告警信息上送时,输出完整的入侵事件记录,包括涉及的所有事件节点以及入侵路径。
8.一种网络事件关联分析装置,其特征在于,包括:
设置模块,用于设置事件关联描述文件,所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性;
规则模块,用于根据所述事件关联描述文件更新规则信息,并将得到的规则信息初始化为内部规则路径图;
处理模块,用于获取上报的事件,根据所述内部规则路径图进行判断,若符合用于启动的起始条件,则生成状态机,并根据上报的事件令状态机在所述内部规则路径图上运行,且保存每一步运行的记录;
告警模块,用于当状态机前进至用于上报告警的事件节点,进行告警信息上送,并销毁对应的状态机;
判断模块,用于判断是否继续检测,是则调用所述处理模块,等待新上报的事件的触发。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述网络事件关联分析方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述网络事件关联分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110581090.8A CN113259364B (zh) | 2021-05-27 | 2021-05-27 | 一种网络事件关联分析方法及装置、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110581090.8A CN113259364B (zh) | 2021-05-27 | 2021-05-27 | 一种网络事件关联分析方法及装置、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259364A true CN113259364A (zh) | 2021-08-13 |
| CN113259364B CN113259364B (zh) | 2021-10-22 |
Family
ID=77184936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110581090.8A Active CN113259364B (zh) | 2021-05-27 | 2021-05-27 | 一种网络事件关联分析方法及装置、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259364B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114091704A (zh) * | 2021-11-26 | 2022-02-25 | 奇点浩翰数据技术(北京)有限公司 | 一种告警压制方法和装置 |
| CN114112251A (zh) * | 2022-01-29 | 2022-03-01 | 长扬科技(北京)有限公司 | 一种天然气泄漏点定位方法及装置 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009037333A2 (en) * | 2007-09-19 | 2009-03-26 | Alcatel Lucent | Intrusion detection method and system |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN101931570A (zh) * | 2010-02-08 | 2010-12-29 | 中国航天科技集团公司第七一○研究所 | 一种基于频繁模式增长算法的网络攻击路径重构方法 |
| CN101958897A (zh) * | 2010-09-27 | 2011-01-26 | 北京系统工程研究所 | 一种安全事件关联分析方法及系统 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| US20160182344A1 (en) * | 2014-12-17 | 2016-06-23 | Ciena Corporation | Systems and methods to detect, diagnose, and mitigate issues in multi-layer networks |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
| CN110381015A (zh) * | 2019-06-03 | 2019-10-25 | 西安电子科技大学 | 一种基于入侵检测系统报警信息的聚类分析方法 |
| CN110474885A (zh) * | 2019-07-24 | 2019-11-19 | 桂林电子科技大学 | 基于时间序列与ip地址的报警关联分析方法 |
| CN111177417A (zh) * | 2020-04-13 | 2020-05-19 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
| US20200213359A1 (en) * | 2018-12-28 | 2020-07-02 | Imperva, Inc. | Generating collection rules based on security rules |
| US10749890B1 (en) * | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| CN111741023A (zh) * | 2020-08-03 | 2020-10-02 | 中国人民解放军国防科技大学 | 面向网络攻防试验平台的攻击研判方法、系统及介质 |
| CN112528898A (zh) * | 2020-12-17 | 2021-03-19 | 长扬科技(北京)有限公司 | 一种基于监控视频多目标检测的告警事件聚合方法和装置 |
| CN112712125A (zh) * | 2020-12-31 | 2021-04-27 | 山石网科通信技术股份有限公司 | 事件流的模式匹配方法、装置、存储介质及处理器 |
-
2021
- 2021-05-27 CN CN202110581090.8A patent/CN113259364B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009037333A2 (en) * | 2007-09-19 | 2009-03-26 | Alcatel Lucent | Intrusion detection method and system |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN101931570A (zh) * | 2010-02-08 | 2010-12-29 | 中国航天科技集团公司第七一○研究所 | 一种基于频繁模式增长算法的网络攻击路径重构方法 |
| CN101958897A (zh) * | 2010-09-27 | 2011-01-26 | 北京系统工程研究所 | 一种安全事件关联分析方法及系统 |
| US20160182344A1 (en) * | 2014-12-17 | 2016-06-23 | Ciena Corporation | Systems and methods to detect, diagnose, and mitigate issues in multi-layer networks |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| US10749890B1 (en) * | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
| US20200213359A1 (en) * | 2018-12-28 | 2020-07-02 | Imperva, Inc. | Generating collection rules based on security rules |
| CN110381015A (zh) * | 2019-06-03 | 2019-10-25 | 西安电子科技大学 | 一种基于入侵检测系统报警信息的聚类分析方法 |
| CN110474885A (zh) * | 2019-07-24 | 2019-11-19 | 桂林电子科技大学 | 基于时间序列与ip地址的报警关联分析方法 |
| CN111177417A (zh) * | 2020-04-13 | 2020-05-19 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
| CN111741023A (zh) * | 2020-08-03 | 2020-10-02 | 中国人民解放军国防科技大学 | 面向网络攻防试验平台的攻击研判方法、系统及介质 |
| CN112528898A (zh) * | 2020-12-17 | 2021-03-19 | 长扬科技(北京)有限公司 | 一种基于监控视频多目标检测的告警事件聚合方法和装置 |
| CN112712125A (zh) * | 2020-12-31 | 2021-04-27 | 山石网科通信技术股份有限公司 | 事件流的模式匹配方法、装置、存储介质及处理器 |
Non-Patent Citations (2)
| Title |
|---|
| 刘洋: "入侵探测系统的通信与控制研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
| 李立勋: "基于异常检测的网络动态防御关键技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114091704A (zh) * | 2021-11-26 | 2022-02-25 | 奇点浩翰数据技术(北京)有限公司 | 一种告警压制方法和装置 |
| CN114112251A (zh) * | 2022-01-29 | 2022-03-01 | 长扬科技(北京)有限公司 | 一种天然气泄漏点定位方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259364B (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11876821B1 (en) | Combined real-time and batch threat detection | |
| EP3528463B1 (en) | An artificial intelligence cyber security analyst | |
| Gupta et al. | Layered approach using conditional random fields for intrusion detection | |
| Alserhani et al. | MARS: multi-stage attack recognition system | |
| US11095670B2 (en) | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane | |
| CN113259364B (zh) | 一种网络事件关联分析方法及装置、计算机设备 | |
| US20200334123A1 (en) | Rule-based continuous diagnosing and alerting from application logs | |
| Kalegele et al. | Four decades of data mining in network and systems management | |
| US11449604B2 (en) | Computer security | |
| CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
| GB2583892A (en) | Adaptive computer security | |
| EP3948603B1 (en) | Pre-emptive computer security | |
| Alserhani | Alert correlation and aggregation techniques for reduction of security alerts and detection of multistage attack | |
| GB2582609A (en) | Pre-emptive computer security | |
| CN110456765A (zh) | 工控指令的时序模型生成方法、装置及其检测方法、装置 | |
| EP3948605B1 (en) | Adaptive computer security | |
| Alserhani | A framework for multi-stage attack detection | |
| Qi et al. | An APT attack analysis framework based on self-define rules and mapreduce | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| CN113596037A (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| EP4120110A1 (en) | Opc ua-based anomaly detection and recovery system and method | |
| Bigotto et al. | Statistical fingerprint-based ids in sdn architecture | |
| Puccetti et al. | ROSpace: Intrusion Detection Dataset for a ROS2-Based Cyber-Physical System | |
| Long et al. | Case-oriented alert correlation | |
| CN117375923A (zh) | 一种威胁信息检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195 Patentee after: Changyang Technology (Beijing) Co.,Ltd. Address before: 100195 room 01, 2 / F, building 103, 3 minzhuang Road, Haidian District, Beijing Patentee before: CHANGYANG TECH (BEIJING) Co.,Ltd. |