CN113765915B - 网络事件分析方法、系统、可读存储介质及计算机设备 - Google Patents
网络事件分析方法、系统、可读存储介质及计算机设备 Download PDFInfo
- Publication number
- CN113765915B CN113765915B CN202111040326.3A CN202111040326A CN113765915B CN 113765915 B CN113765915 B CN 113765915B CN 202111040326 A CN202111040326 A CN 202111040326A CN 113765915 B CN113765915 B CN 113765915B
- Authority
- CN
- China
- Prior art keywords
- information
- model library
- event information
- rule
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明提供一种网络事件分析方法、系统、可读存储介质及计算机设备,方法包括:建立规则模型库、统计模型库以及情报模型库;当获取到原始事件信息时,判断规则模型库、统计模型库是否开启;当规则模型库开启,统计模型库关闭时,则调用规则模型库对原始事件信息进行规则分析,产生第一事件信息,第一事件信息具有规则模型库特定的标记;当获取到第一事件信息时,调用情报模型库对第一事件信息进行再次分析,输出第二事件信息,第二事件信息具有情报模型库特定的标记。本发明通过建立规则模型库、统计模型库及情报模型库,在规则模型库及统计模型库的分析模式下加入情报模型库分析模式,降低事件信息数据分析误报率,得到更准确的安全分析数据。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及网络事件分析方法、系统、可读存储介质及计算机设备。
背景技术
随着计算机技术和网络技术的发展,网络安全问题越来越多,危害也越来越大,危害也越来越受到重视。常见的网络安全设备像防火墙、EDR、IPS等安全设备,这些安全设备在使用中,都会产生各种各样的警报信息。随着逐步发展,不同数据源的警报汇集成了数据量庞大的信息数据。这种由不同的数据源汇集而来的警报信息可以统称为原始安全事件。由安全管理人员人工来处理这样巨量的高冗余而且高关联复杂度的信息无疑是不现实的。
要解决上述问题,就必须用到一些分析技术。目前主要的分析技术有基于规则模型的分析技术,有基于统计模型的分析技术,也有基于规则模型叠加统计模型的分析技术,但不论使用那种分析技术都有很大的误报率,会产生大量的误报数据。
以往针对原始安全事件信息进行数据分析,采用的方法是规则模型分析方法、统计模型分析方法;这两种方法不论是单独分析还是叠加分析;都有很高的误报率,会产生很大的误报数据。
发明内容
本申请实施例提供了一种网络事件分析方法、系统、可读存储介质及计算机设备,以至少解决上述相关技术中的不足。
第一方面,本申请实施例提供了一种网络事件分析方法,所述方法包括:
建立规则模型库、统计模型库以及情报模型库;
当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
当所述规则模型库开启,所述统计模型库关闭时,则调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
当获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记。
在其中一些实施例中,所述建立规则模型库、统计模型库以及情报模型库的步骤包括:
对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
在其中一些实施例中,所述当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启的步骤之后,所述方法还包括:
当所述规则模型库关闭,所述统计模型库开启时,则调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第三事件信息,所述第三事件信息具有统计模型库特定的标记;
当获取到所述第三事件信息时,调用所述情报模型库对所述第三事件信息进行再次分析,输出第四事件信息,所述第四事件信息具有情报模型库特定的标记。
在其中一些实施例中,所述当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启的步骤之后,所述方法还包括:
当所述规则模型库与所述统计模型库均关闭时,则直接调用所述情报模型库对所述原始事件信息进行分析,输出第五事件信息,所述第五事件信息具有情报模型库特定的标记。
在其中一些实施例中,所述调用所述规则模型库对所述原始事件信息进行规则分析的步骤包括:
依据所述规则模型库内的规则信息对所述原始事件信息进行分析匹配,所述规则信息可自定义添加,每条所述规则信息至少包括基本信息、基本配置信息、模型配置信息。
在其中一些实施例中,所述调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析的步骤包括:
将所述统计模型库内的内置模型信息运用到所述原始事件信息内进行分析,所述内置模型信息可自定义添加,每条所述内置模型信息至少包括基本信息、基本配置信息、模型配置信息。
在其中一些实施例中,所述直接调用所述情报模型库对所述原始事件信息进行分析的步骤包括:
基于所述情报模型库内的情报模型信息对所述原始事件信息进行分析,每条所述情报模型信息至少包括基本信息、基本配置信息、模型配置信息。
第二方面,本申请实施例提供了一种网络事件分析系统,所述系统包括:
模型建立模块,用于建立规则模型库、统计模型库以及情报模型库;
判断模块,用于当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
规则模型分析模块,用于当所述规则模型库开启,所述统计模型库关闭时,则调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
情报模型分析模块,用于当获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记。
第三方面,本申请实施例提供了一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的网络事件分析方法。
第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上述第一方面所述的网络事件分析方法。
相比于相关技术,本申请实施例提供的网络事件分析方法、系统、可读存储介质及计算机设备,首先通过建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,根据规则模型库以及统计模型库的开启状态决定分析模式,进一步的在规则模型库以及统计模型库的分析模式下加入情报模型库的分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明第一实施例中的网络事件分析方法的流程图;
图2为本发明第二实施例中的网络事件分析方法的流程图;
图3为本发明第三实施例中的网络事件分析方法的流程图;
图4为本发明第四实施例中的网络事件分析方法的流程图;
图5为本发明第五实施例中的网络事件分析系统的结构框图;
图6为本发明第六实施例中的计算机设备的结构框图。
主要元件符号说明:
| 存储器 | 10 | 规则模型分析模块 | 13 |
| 处理器 | 20 | 统计模型分析模块 | 14 |
| 计算机程序 | 30 | 综合模型分析模块 | 15 |
| 模型建立模块 | 11 | 情报模型分析模块 | 16 |
| 判断模块 | 12 |
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
首先,需要说明的是,以下是对提到的两种分析模型的介绍。
规则模型分析技术:对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库;将安全事件信息与指纹信息库中的数据进行逐一的比对分析;这种对比分析形成了一种规则模型分析技术。
统计模型分析技术:对大量安全事件信息的关键属性进行提取、进行统计分析;统计分析之后得到了共有的特征集合;把这种集合运用到安全事件信息分析中形成了统计模型分析技术。
实施例一
请参阅图1,所示为本发明第一实施例中的网络事件分析方法,所述方法具体包括步骤S101至S104:
S101,建立规则模型库、统计模型库以及情报模型库;
在具体实施时,对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
S102,当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
在具体实施时,筛选出要进行数据分析的原始事件信息,并将原始事件信息的数据加入到待分析队列中,同时判断规则模型库以及统计模型库是否开启。
S103,当所述规则模型库开启,所述统计模型库关闭时,则调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
在具体实施时,若规则模型库关闭,则表明本次加入分析队列中的上述原始事件信息的数据不需要进行通过规则模型进行分析;
当规则模型库开启,而统计模型库关闭时,则逐一通过规则模型中的规则信息与加入分析队列的上述原始事件信息的数据进行匹配算法分析匹配;规则分析之后的原始事件信息,会被打上标记生成新的事件信息,新生成的事件信息会进入到新的事件信息队列中,本步骤中的新的事件信息即第一事件信息。
需要说明的是,在调用规则模型库对所述原始事件信息进行规则分析时,依据所述规则模型库内的规则信息对所述原始事件信息进行分析匹配,所述规则信息可自定义添加,每条所述规则信息至少包括基本信息、基本配置信息、模型配置信息。
S104,当获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记。
在具体实施时,在获取到上述的新的事件信息时,调用情报模型库对新的事件信息队列进行分析;分析之后的数据,会被打上情报模型库特有的标记再次生成新的事件信息,本步骤中的新的事件信息即第二事件信息。
需要说明的是,在调用情报模型库对新的事件信息队列进行分析时,是基于所述情报模型库内的情报模型信息对所述原始事件信息进行分析,每条所述情报模型信息至少包括基本信息、基本配置信息、模型配置信息。
综上,本发明上述实施例当中的网络事件分析方法,首先通过建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,根据规则模型库以及统计模型库的开启状态决定分析模式,进一步的在规则模型库以及统计模型库的分析模式下加入情报模型库的分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
实施例二
请参阅图2,所示为本发明第二实施例中的网络事件分析方法,所述方法具体包括步骤S201至S204:
S201,建立规则模型库、统计模型库以及情报模型库;
在具体实施时,对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
S202,当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
在具体实施时,筛选出要进行数据分析的原始事件信息,并将原始事件信息的数据加入到待分析队列中,同时判断规则模型库以及统计模型库是否开启。
S203,当所述规则模型库关闭,所述统计模型库开启时,则调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第三事件信息,所述第三事件信息具有统计模型库特定的标记;
在具体实施时,若统计模型库关闭,则表明本次加入分析队列中的上述原始事件信息的数据不需要通过统计模型进行分析;
当规则模型库关闭,而统计模型库开启时,调用统计模型库逐一通过不同的统计规则对分析队列的上述原始事件信息的数据进行统计算法分析;统计模型分析之后的原始事件信息,会被打上标记生成新的事件信息;新生成的事件信息会进入到新的事件信息队列中,本步骤中的新的事件信息即第三事件信息;
需要说明的是,在调用统计模型库以不同的统计规则对原始事件信息进行统计算法分析时,将所述统计模型库内的内置模型信息运用到所述原始事件信息内进行分析,所述内置模型信息可自定义添加,每条所述内置模型信息至少包括基本信息、基本配置信息、模型配置信息。
S204,当获取到所述第三事件信息时,调用所述情报模型库对所述第三事件信息进行再次分析,输出第四事件信息,所述第四事件信息具有情报模型库特定的标记。
在具体实施时,当获取到所述第三事件信息时,调用情报模型库对新的事件信息队列进行分析;分析之后的数据,会被打上情报模型库特有的标记再次生成新的事件信息,本步骤中的新的事件信息即第四事件信息;
需要说明的是,在调用情报模型库对新的事件信息队列进行分析时,是基于所述情报模型库内的情报模型信息对所述原始事件信息进行分析,每条所述情报模型信息至少包括基本信息、基本配置信息、模型配置信息。
综上,本发明上述实施例当中的网络事件分析方法,首先通过建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,根据规则模型库以及统计模型库的开启状态决定分析模式,进一步的在规则模型库以及统计模型库的分析模式下加入情报模型库的分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
实施例三
请参阅图3,所示为本发明第三实施例中的网络事件分析方法,所述方法具体包括步骤S301至S303:
S301,建立规则模型库、统计模型库以及情报模型库;
在具体实施时,对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
S302,当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
在具体实施时,筛选出要进行数据分析的原始事件信息,并将原始事件信息的数据加入到待分析队列中,同时判断规则模型库以及统计模型库是否开启。
S303,当所述规则模型库与所述统计模型库均关闭时,则直接调用所述情报模型库对所述原始事件信息进行分析,输出第五事件信息,所述第五事件信息具有情报模型库特定的标记。
在具体实施,若规则模型库与统计模型库均关闭,则表明本次加入分析队列中的上述原始事件信息的数据不需要进行通过规则模型与统计模型进行分析;
当规则模型库与统计模型库均关闭时,直接调用情报模型库;通过情报模型库对初次加入分析队列的原始事件信息进行分析;分析之后的数据,会被打上情报模型库特有的标记再次生成新的事件信息,本步骤中的新的事件信息即第五事件信息。
需要说明的是,在调用所述情报模型库对所述原始事件信息进行分析时,基于所述情报模型库内的情报模型信息对所述原始事件信息进行分析,每条所述情报模型信息至少包括基本信息、基本配置信息、模型配置信息。
综上,本发明上述实施例当中的网络事件分析方法,首先通过建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,根据规则模型库以及统计模型库的开启状态决定分析模式,进一步的在规则模型库以及统计模型库的分析模式下加入情报模型库的分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
实施例四
请参阅图4,所示为本发明第四实施例中的网络事件分析方法,所述方法具体包括步骤S401至S404:
S401,建立规则模型库、统计模型库以及情报模型库;
在具体实施时,对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
S402,当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
在具体实施时,筛选出要进行数据分析的原始事件信息,并将原始事件信息的数据加入到待分析队列中,同时判断规则模型库以及统计模型库是否开启。
S403,当所述规则模型库与所述统计模型库均开启时,则调用所述规则模型库对所述原始事件信息进行规则分析,同时调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第六事件信息,所述第六事件信息具有规则模型库和统计模型库特定的标记;
在具体实施时,当规则模型库与统计模型库均开启时,则将加入分析队列的上述原始事件信息的数据通过规则模型中的规则信息进行规则分析以及将加入分析队列的上述原始事件信息的数据通过统计模型库中不同的统计规则进行统计算法分析,经规则模型和统计模型分析之后的原始事件信息,会被打上标记生成新的事件信息;新生成的事件信息会进入到新的事件信息队列中,本步骤中的新的事件信息即第六事件信息;
需要说明的是,在调用规则模型库对所述原始事件信息进行规则分析时,依据所述规则模型库内的规则信息对所述原始事件信息进行分析匹配,所述规则信息可自定义添加,每条所述规则信息至少包括基本信息、基本配置信息、模型配置信息;
在调用统计模型库以不同的统计规则对原始事件信息进行统计算法分析时,将所述统计模型库内的内置模型信息运用到所述原始事件信息内进行分析,所述内置模型信息可自定义添加,每条所述内置模型信息至少包括基本信息、基本配置信息、模型配置信息。
S404,当获取到所述第六事件信息时,调用所述情报模型库对所述第六事件信息进行再次分析,输出第七事件信息,所述第七事件信息具有情报模型库特定的标记。
在具体实施时,当获取到所述第六事件信息时,调用情报模型库对新的事件信息队列进行分析;分析之后的数据,会被打上情报模型库特有的标记再次生成新的事件信息,本步骤中的新的事件信息即第七事件信息;
需要说明的是,在调用情报模型库对新的事件信息队列进行分析时,是基于所述情报模型库内的情报模型信息对所述原始事件信息进行分析,每条所述情报模型信息至少包括基本信息、基本配置信息、模型配置信息。
综上,本发明上述实施例当中的网络事件分析方法,首先通过建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,根据规则模型库以及统计模型库的开启状态决定分析模式,进一步的在规则模型库以及统计模型库的分析模式下加入情报模型库的分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
实施例五
本发明另一方面还提出一种网络事件分析系统,请参阅图5,所示为本发明第五实施例中的网络事件分析系统,所述系统包括:
模型建立模块11,用于建立规则模型库、统计模型库以及情报模型库;
进一步的,所述模型建立模块11包括:
规则模型库建立单元,用于对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
统计模型库建立单元,用于对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
情报模型库建立单元,用于收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
判断模块12,用于当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
规则模型分析模块13,用于当所述规则模型库开启,所述统计模型库关闭时,则调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
统计模型分析模块14,用于当所述规则模型库关闭,所述统计模型库开启时,则调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第三事件信息,所述第三事件信息具有统计模型库特定的标记;
综合模型分析模块15,用于当所述规则模型库与所述统计模型库均开启时,则调用所述规则模型库对所述原始事件信息进行规则分析,同时调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第六事件信息,所述第六事件信息具有规则模型库和统计模型库特定的标记;
情报模型分析模块16,用于当获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记。
进一步的,所述情报模型分析模块16包括:
第一情报模型分析单元,用于当获取到所述第三事件信息时,调用所述情报模型库对所述第三事件信息进行再次分析,输出第四事件信息,所述第四事件信息具有情报模型库特定的标记;
第二情报模型分析单元,用于当所述规则模型库与所述统计模型库均关闭时,则直接调用所述情报模型库对所述原始事件信息进行分析,输出第五事件信息,所述第五事件信息具有情报模型库特定的标记。
第三情报模型分析单元,用于当获取到所述第六事件信息时,调用所述情报模型库对所述第六事件信息进行再次分析,输出第七事件信息,所述第七事件信息具有情报模型库特定的标记。
综上,本发明上述实施例当中的网络事件分析系统,首先通过模型建立模块11建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,通过判断模块12判断规则模型库以及统计模型库的开启状态来决定分析模式,进一步的通过规则模型分析模块13的规则模型库分析模式以及统计模型分析模块14的统计模型库分析模式下加入情报模型分析模块16的情报模型库分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
实施例六
本发明还提出一种计算机设备,请参阅图6,所示为本发明第六实施例中的计算机设备,包括服务器,所述服务器包括存储器10、处理器20以及存储在所述存储器10上并可在所述处理器20上运行的计算机程序30,所述处理器20执行所述计算机程序30时实现上述的应用防护方法。
在具体实施时,处理器20建立规则模型库、统计模型库以及情报模型库;
当获取到原始事件信息时,处理器20判断所述规则模型库、所述统计模型库是否开启;
当所述规则模型库开启,所述统计模型库关闭时,处理器20调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
当所述规则模型库关闭,所述统计模型库开启时,处理器20调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第三事件信息,所述第三事件信息具有统计模型库特定的标记;
用于当所述规则模型库与所述统计模型库均开启时,处理器20调用所述规则模型库对所述原始事件信息进行规则分析,同时调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第六事件信息,所述第六事件信息具有规则模型库和统计模型库特定的标记;
当处理器20获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记;
当处理器20获取到所述第三事件信息时,调用所述情报模型库对所述第三事件信息进行再次分析,输出第四事件信息,所述第四事件信息具有情报模型库特定的标记;
当处理器20所述规则模型库与所述统计模型库均关闭时,直接调用所述情报模型库对所述原始事件信息进行分析,输出第五事件信息,所述第五事件信息具有情报模型库特定的标记。
当处理器20获取到所述第六事件信息时,调用所述情报模型库对所述第六事件信息进行再次分析,输出第七事件信息,所述第七事件信息具有情报模型库特定的标记。
其中,存储器10至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器10在一些实施例中可以是车辆的内部存储单元,例如该车辆的硬盘。存储器10在另一些实施例中也可以是外部存储装置,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器10还可以既包括车辆的内部存储单元也包括外部存储装置。存储器10不仅可以用于存储安装于车辆的应用软件及各类数据,还可以用于暂时地存储已经输出或者将要输出的数据。
其中,处理器20在一些实施例中可以是电子控制单元(Electronic ControlUnit,简称ECU,又称行车电脑)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器10中存储的程序代码或处理数据,例如执行访问限制程序等。
需要指出的是,图6示出的结构并不构成对计算机设备的限定,在其它实施例当中,该计算机设备可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明当中的计算机设备,处理器20首先通过建立规则模型库、统计模型库以及情报模型库,并当获取到原始事件信息时,根据规则模型库以及统计模型库的开启状态决定分析模式,进一步的在规则模型库以及统计模型库的分析模式下加入情报模型库的分析模式,进而降低了事件信息数据分析的误报率,在原有的分析技术的基础上增加了情报模型分析,能够得到更加准确的安全分析数据。
本发明实施例还提出一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述的网络事件分析方法。
本领域技术人员可以理解,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或它们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种网络事件分析方法,其特征在于,所述方法包括:
建立规则模型库、统计模型库以及情报模型库;
当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
当所述规则模型库开启,所述统计模型库关闭时,则调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
当获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记;
当所述规则模型库关闭,所述统计模型库开启时,则调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第三事件信息,所述第三事件信息具有统计模型库特定的标记;
当获取到所述第三事件信息时,调用所述情报模型库对所述第三事件信息进行再次分析,输出第四事件信息,所述第四事件信息具有情报模型库特定的标记。
2.根据权利要求1所述的网络事件分析方法,其特征在于,所述建立规则模型库、统计模型库以及情报模型库的步骤包括:
对网络攻击的各种特定的攻击行为、方式进行提取,提取其关键、核心的指纹信息形成网络攻击指纹信息库,将所述网络攻击指纹信息库作为所述规则模型库;
对若干安全事件信息的关键属性进行提取以形成共有的特征集合,将所述共有的特征集合作为所述统计模型库;
收集情报信息,建立情报信息库,将所述情报信息库作为所述情报模型库,所述情报信息至少包括威胁情报、漏洞情报、事件情报。
3.根据权利要求1所述的网络事件分析方法,其特征在于,所述当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启的步骤之后,所述方法还包括:
当所述规则模型库与所述统计模型库均关闭时,则直接调用所述情报模型库对所述原始事件信息进行分析,输出第五事件信息,所述第五事件信息具有情报模型库特定的标记。
4.根据权利要求1所述的网络事件分析方法,其特征在于,所述调用所述规则模型库对所述原始事件信息进行规则分析的步骤包括:
依据所述规则模型库内的规则信息对所述原始事件信息进行分析匹配,所述规则信息可自定义添加,每条所述规则信息至少包括基本信息、基本配置信息、模型配置信息。
5.根据权利要求1所述的网络事件分析方法,其特征在于,所述调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析的步骤包括:
将所述统计模型库内的内置模型信息运用到所述原始事件信息内进行分析,所述内置模型信息可自定义添加,每条所述内置模型信息至少包括基本信息、基本配置信息、模型配置信息。
6.根据权利要求3所述的网络事件分析方法,其特征在于,所述直接调用所述情报模型库对所述原始事件信息进行分析的步骤包括:
基于所述情报模型库内的情报模型信息对所述原始事件信息进行分析,每条所述情报模型信息至少包括基本信息、基本配置信息、模型配置信息。
7.一种网络事件分析系统,其特征在于,所述系统包括:
模型建立模块,用于建立规则模型库、统计模型库以及情报模型库;
判断模块,用于当获取到原始事件信息时,判断所述规则模型库、所述统计模型库是否开启;
规则模型分析模块,用于当所述规则模型库开启,所述统计模型库关闭时,则调用所述规则模型库对所述原始事件信息进行规则分析,产生第一事件信息,所述第一事件信息具有规则模型库特定的标记;
统计模型分析模块,用于当所述规则模型库关闭,所述统计模型库开启时,则调用所述统计模型库以不同的统计规则对所述原始事件信息进行统计算法分析,产生第三事件信息,所述第三事件信息具有统计模型库特定的标记;
情报模型分析模块,用于当获取到所述第一事件信息时,调用所述情报模型库对所述第一事件信息进行再次分析,输出第二事件信息,所述第二事件信息具有情报模型库特定的标记;
所述情报模型分析模块包括第一情报模型分析单元,所述第一情报模型分析单元用于当获取到所述第三事件信息时,调用所述情报模型库对所述第三事件信息进行再次分析,输出第四事件信息,所述第四事件信息具有情报模型库特定的标记。
8.一种可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的网络事件分析方法。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的网络事件分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111040326.3A CN113765915B (zh) | 2021-09-06 | 2021-09-06 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111040326.3A CN113765915B (zh) | 2021-09-06 | 2021-09-06 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765915A CN113765915A (zh) | 2021-12-07 |
| CN113765915B true CN113765915B (zh) | 2023-04-21 |
Family
ID=78793231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111040326.3A Active CN113765915B (zh) | 2021-09-06 | 2021-09-06 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765915B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902336A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种基于规则模型的安全事件关联分析系统及方法 |
| CN112003838A (zh) * | 2020-08-06 | 2020-11-27 | 杭州安恒信息技术股份有限公司 | 网络威胁的检测方法、装置、电子装置和存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
| US11431734B2 (en) * | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
| CN110149350B (zh) * | 2019-06-24 | 2021-11-05 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
| CN112653678B (zh) * | 2020-12-14 | 2023-01-24 | 国家电网有限公司信息通信分公司 | 一种网络安全态势感知分析方法及装置 |
-
2021
- 2021-09-06 CN CN202111040326.3A patent/CN113765915B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902336A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种基于规则模型的安全事件关联分析系统及方法 |
| CN112003838A (zh) * | 2020-08-06 | 2020-11-27 | 杭州安恒信息技术股份有限公司 | 网络威胁的检测方法、装置、电子装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765915A (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220156367A1 (en) | System and method for detection of anomalous controller area network (can) messages | |
| US8161329B2 (en) | Generating random sequences based on stochastic generative model having multiple random variates | |
| US8620968B2 (en) | Determination and handling of subexpression overlaps in regular expression decompostions | |
| CN109614608A (zh) | 电子装置、文本信息检测方法及存储介质 | |
| CN114662618B (zh) | 一种基于联邦学习的故障诊断方法、装置及相关设备 | |
| CN112383554B (zh) | 接口流量异常检测方法、装置、终端设备及存储介质 | |
| CN111338622B (zh) | 供应链代码识别方法、装置、服务器及可读存储介质 | |
| CN111813845A (zh) | 基于etl任务的增量数据抽取方法、装置、设备及介质 | |
| CN104123496A (zh) | 一种流氓软件的拦截方法及装置、终端 | |
| CN115827436A (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN112181430A (zh) | 代码变更统计方法、装置、电子设备及存储介质 | |
| US20070168987A1 (en) | Method for determining operational characteristics of a program | |
| CN114363293B (zh) | 设备管理方法、系统、可读存储介质及计算机设备 | |
| CN111639360A (zh) | 智能数据脱敏方法、装置、计算机设备及存储介质 | |
| CN112287339A (zh) | Apt入侵检测方法、装置以及计算机设备 | |
| CN113765915B (zh) | 网络事件分析方法、系统、可读存储介质及计算机设备 | |
| CN117034273A (zh) | 基于图卷积网络的安卓恶意软件检测方法及系统 | |
| CN114463002A (zh) | 跨链交易的合法性验证方法、装置、计算机设备及介质 | |
| CN113284141A (zh) | 用于缺陷检测的模型确定方法、装置和设备 | |
| CN114637664A (zh) | 一种针对安卓应用程序性质的检测方法及装置 | |
| CN116226854B (zh) | 恶意软件检测方法、系统、可读存储介质及计算机 | |
| CN115630754B (zh) | 智能网联汽车信息安全的预测方法、装置、设备及介质 | |
| CN110874608B (zh) | 分类方法、系统和电子设备 | |
| CN116185842A (zh) | 工控设备的漏洞挖掘用例生成方法及装置 | |
| CN114579795A (zh) | 一种图标识别方法、装置、存储介质及计算机系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |