安全事件關(guān)聯(lián)分析方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)����,方法包括:接收安全運營中心采集到的安全事件記錄;按照設(shè)備分組����,形成依據(jù)安全事件發(fā)生時間排序的事件序列表,且當前分析指針指向尚未進入觸發(fā)器的時間最早的安全事件記錄����;將當前分析指針指向的安全事件記錄送入觸發(fā)器進行狀態(tài)機規(guī)則匹配,并將當前分析指針指向下一個時間順序的安全事件記錄�;根據(jù)觸發(fā)器內(nèi)的安全事件記錄的規(guī)則匹配情況進行計時器計時和狀態(tài)跳轉(zhuǎn),并根據(jù)狀態(tài)機的超時情況對觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行計數(shù)�����;在計數(shù)結(jié)果達到閾值時���,發(fā)送給同步調(diào)整器��,以便同步調(diào)整器根據(jù)計數(shù)結(jié)果對事件序列表進行步長調(diào)整����。本發(fā)明能夠滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全事件關(guān)聯(lián)分析的精度需求。
【專利說明】安全事件關(guān)聯(lián)分析方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�,尤其涉及一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)。
【背景技術(shù)】
[0002] 在網(wǎng)絡(luò)安全形勢愈發(fā)嚴峻的今天�,網(wǎng)絡(luò)安全管理成為網(wǎng)絡(luò)運營的重要內(nèi)容。安全 運營中心(Security Operations Centre,簡稱S0C)是對網(wǎng)絡(luò)及安全設(shè)備與系統(tǒng)進行綜合 分析�����,實現(xiàn)安全事件集中管理和監(jiān)控的技術(shù)支撐平臺����。S0C通過采集網(wǎng)絡(luò)中設(shè)備與系統(tǒng)所產(chǎn) 生的安全日志�,經(jīng)過分析處理,找到網(wǎng)絡(luò)當前安全威脅與潛在的安全風(fēng)險�����,從而及時發(fā)出預(yù) 警��,避免網(wǎng)絡(luò)承受重大損失����。S0C從網(wǎng)絡(luò)中收集到的大量安全事件信息中��,許多并不具有真 實的威脅��,有些可能是威脅實施前期的跡象�����,有些可能只是實質(zhì)威脅產(chǎn)生的連帶告警��。
[0003] 安全事件關(guān)聯(lián)分析是從經(jīng)過預(yù)處理的安全事件中抽取有用信息��,通過關(guān)聯(lián)處理相 關(guān)性����,把孤立的安全事件集合關(guān)聯(lián)為一個安全事件鏈����,其目標是在大量誤報告警與低級別 告警中找出真正威脅告警,幫助安全運維人員及時定位網(wǎng)絡(luò)中潛在的安全隱患���。
[0004] 目前S0C采用的關(guān)聯(lián)分析引擎機制主要采用狀態(tài)機方法���。"狀態(tài)機"式關(guān)聯(lián)分析 引擎由網(wǎng)絡(luò)安全事件即時驅(qū)動,滿足預(yù)置條件的安全事件信息�,可觸發(fā)"狀態(tài)機"的狀態(tài)變 遷��。通過狀態(tài)機狀態(tài)記憶安全事件發(fā)生鏈��,從而分析出安全事件的關(guān)聯(lián)關(guān)系�。"狀態(tài)機"式 關(guān)聯(lián)分析引擎具有很強的實時性��,但由于"狀態(tài)機"要求網(wǎng)絡(luò)安全事件進入關(guān)聯(lián)分析引擎的 時序�,必須與事件發(fā)生的真正時序一致,對觸發(fā)事件的時序要求很高���。在復(fù)雜網(wǎng)絡(luò)環(huán)境中��, 受網(wǎng)絡(luò)傳輸延時和前端處理延時的影響�,安全事件進入引擎的時序可能會發(fā)生顛倒���,而導(dǎo) 致"狀態(tài)機"無法觸發(fā),關(guān)聯(lián)分析引擎出現(xiàn)錯報或漏報���。因此�,現(xiàn)有的關(guān)聯(lián)分析引擎分析精 度存在局限����,難以滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的關(guān)聯(lián)分析需求�����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的是提出一種安全事件關(guān)聯(lián)分析方法及系統(tǒng)��,能夠滿足復(fù)雜網(wǎng)絡(luò)環(huán)境 下的安全事件關(guān)聯(lián)分析的精度需求����。
[0006] 為實現(xiàn)上述目的���,本發(fā)明提供了一種安全事件關(guān)聯(lián)分析方法����,包括:
[0007] 接收安全運營中心采集到的安全事件記錄���;
[0008] 按照所述安全事件記錄對應(yīng)的設(shè)備進行分組����,并針對每個設(shè)備形成依據(jù)安全事件 發(fā)生時間排序的事件序列表�����,且當前分析指針指向各個事件序列表中尚未進入觸發(fā)器的時 間最早的安全事件記錄;
[0009] 將當前分析指針指向的安全事件記錄送入觸發(fā)器進行狀態(tài)機的預(yù)設(shè)規(guī)則的匹配�, 并將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄;
[0010] 根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進行計時器 計時和狀態(tài)跳轉(zhuǎn)�,并根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進 行計數(shù);
[0011] 在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時��,將計數(shù)結(jié)果發(fā)送給同步調(diào)整器���,以便所述同步 調(diào)整器根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備的事件序列表進行 步長調(diào)整��。
[0012] 進一步的���,在所述接收安全運營中心采集到的安全事件記錄之后,形成事件序列 表之前還包括:
[0013] 對所述安全運營中心采集到的安全事件記錄所攜帶的信息按照標準屬性字段進 行解析����;
[0014] 對低重要度的事件進行過濾,并對相同安全事件進行合并和次數(shù)累加����。
[0015] 進一步的,在按照所述安全事件記錄對應(yīng)的設(shè)備進行分組���,并針對于每個設(shè)備形 成依據(jù)安全事件發(fā)生時間排序的事件序列表時,還包括:所述同步調(diào)整器將各個設(shè)備的事 件序列表的時間指針分別指向表內(nèi)尚未進入觸發(fā)器的時間最早的安全事件記錄��。
[0016] 進一步的,所述根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情 況進行計時器計時和狀態(tài)跳轉(zhuǎn)�����,并根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄 對應(yīng)的設(shè)備進行計數(shù)的操作具體包括:
[0017] 如果所述觸發(fā)器中的安全事件記錄匹配所述狀態(tài)機的預(yù)設(shè)規(guī)則�,且所述狀態(tài)機 處于初始態(tài),則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向警備態(tài)進行跳轉(zhuǎn)���,并啟動計時 器����,然后將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入 觸發(fā)器進行處理����;
[0018] 如果所述狀態(tài)機已處于警備態(tài),則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向下 一警備態(tài)進行跳轉(zhuǎn)�,并判斷跳轉(zhuǎn)后的狀態(tài)機是否已達到最終警備態(tài),是則向外發(fā)出告警信 息��,所述狀態(tài)機回復(fù)初始態(tài)��;
[0019] 如果所述狀態(tài)機未達最終警備態(tài)����,則判斷所述計時器是否超時�����,如果超時��,則所述 狀態(tài)機回復(fù)初始態(tài)����,并對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行計數(shù)����,否則將當前 分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發(fā)器進行處 理。
[0020] 進一步的��,所述同步調(diào)整器根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對 應(yīng)的設(shè)備的事件序列表進行步長調(diào)整的操作具體為:
[0021] 所述同步調(diào)整器根據(jù)所述計數(shù)結(jié)果的正負和大小確定調(diào)整的步長值和調(diào)整方向�, 根據(jù)確定的步長值和調(diào)整方向?qū)λ鲇嫈?shù)結(jié)果對應(yīng)的設(shè)備的事件序列表進行時間指針指 向位置的調(diào)整。
[0022] 進一步的�����,在所述向外發(fā)出告警信息�,所述狀態(tài)機回復(fù)初始態(tài)的操作時,還包括: 對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行正值計數(shù)��;
[0023] 在所述狀態(tài)機超時時,對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行負值計 數(shù)�����;
[0024] 如果所述計數(shù)結(jié)果為負值�,則所述同步調(diào)整器確定時間指針的調(diào)整方向為向所述 計數(shù)結(jié)果對應(yīng)的設(shè)備的事件序列表的表頭方向調(diào)整���;如果計數(shù)結(jié)果為正值�,則保持所述時 間指針不變��。
[0025] 為實現(xiàn)上述目的��,本發(fā)明提供了一種安全事件關(guān)聯(lián)分析系統(tǒng)�����,包括:
[0026] 事件記錄接收模塊����,用于接收安全運營中心采集到的安全事件記錄;
[0027] 序列表形成模塊����,用于按照所述安全事件記錄對應(yīng)的設(shè)備進行分組���,并針對每個 設(shè)備形成依據(jù)安全事件發(fā)生時間排序的事件序列表;
[0028] 當前分析指針�,用于指向各個事件序列表中尚未進入觸發(fā)器的時間最早的安全事 件記錄;
[0029] 觸發(fā)器�,用于接收當前分析指針指向的安全事件記錄,并進行狀態(tài)機的預(yù)設(shè)規(guī)則 的匹配�����,根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進行計時器計 時和狀態(tài)跳轉(zhuǎn)����,并將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件 記錄;
[0030] 計數(shù)模塊�����,用于根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè) 備進行計數(shù)��,并在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時���,將計數(shù)結(jié)果發(fā)送給同步調(diào)整器����;
[0031] 同步調(diào)整器,用于根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備 的事件序列表進行步長調(diào)整��。
[0032] 進一步的�����,還包括:
[0033] 預(yù)處理模塊���,用于對所述安全運營中心采集到的安全事件記錄所攜帶的信息按照 標準屬性字段進行解析,以及對低重要度的事件進行過濾��,并對相同安全事件進行合并和 次數(shù)累加���。
[0034] 進一步的��,所述同步調(diào)整器還用于在按照所述安全事件記錄對應(yīng)的設(shè)備進行分 組�����,并針對于每個設(shè)備形成依據(jù)安全事件發(fā)生時間排序的事件序列表時��,將各個設(shè)備的事 件序列表的時間指針分別指向表內(nèi)尚未進入觸發(fā)器的時間最早的安全事件記錄��。
[0035] 進一步的����,所述觸發(fā)器具體包括:
[0036] 規(guī)則匹配單元,用于接收當前分析指針指向的安全事件記錄����,并進行狀態(tài)機的預(yù) 設(shè)規(guī)則的匹配;
[0037] 狀態(tài)跳轉(zhuǎn)單元�,用于在所述觸發(fā)器中的安全事件記錄匹配所述狀態(tài)機的預(yù)設(shè)規(guī) 貝1J,且所述狀態(tài)機處于初始態(tài)時�,則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向警備態(tài)進 行跳轉(zhuǎn),并啟動計時器��,然后將當前分析指針指向所述各個事件序列表中下一個時間順序 的安全事件記錄送入觸發(fā)器進行處理���,如果所述狀態(tài)機已處于警備態(tài)�,則使所述觸發(fā)器中 的安全事件記錄的狀態(tài)機向下一警備態(tài)進行跳轉(zhuǎn)����,并判斷跳轉(zhuǎn)后的狀態(tài)機是否已達到最終 警備態(tài);
[0038] 初始態(tài)返回單元�,用于使所述狀態(tài)機回復(fù)初始態(tài);
[0039] 告警單元��,用于在跳轉(zhuǎn)后的狀態(tài)機已達到最終警備態(tài)時�����,向外發(fā)出告警信息,并觸 發(fā)所述初始態(tài)返回單元�����;
[0040] 超時判斷單元����,用于在所述狀態(tài)機未達最終警備態(tài)時����,判斷所述計時器是否超時, 如果超時��,則觸發(fā)所述初始態(tài)返回單元�����,并觸發(fā)所述計數(shù)模塊��,否則將當前分析指針指向所 述各個事件序列表中下一個時間順序的安全事件記錄送入觸發(fā)器進行處理���。
[0041] 進一步的�,所述同步調(diào)整器具體包括:
[0042] 調(diào)整參數(shù)確定單元,用于根據(jù)所述計數(shù)結(jié)果的正負和大小確定調(diào)整的步長值和調(diào) 整方向��;
[0043] 時間指針調(diào)整單元��,用于根據(jù)確定的步長值和調(diào)整方向?qū)λ鲇嫈?shù)結(jié)果對應(yīng)的設(shè) 備的事件序列表進行時間指針指向位置的調(diào)整�。
[0044] 進一步的,所述計數(shù)模塊用于在向外發(fā)出告警信息����,所述狀態(tài)機回復(fù)初始態(tài)時,對 所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行正值計數(shù)�����,以及在所述狀態(tài)機超時時�,對所 述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行負值計數(shù);
[0045] 所述調(diào)整參數(shù)確定單元用于在所述計數(shù)結(jié)果為負值時�,確定時間指針的調(diào)整方向 為向所述計數(shù)結(jié)果對應(yīng)的設(shè)備的事件序列表的表頭方向調(diào)整,在所述計數(shù)結(jié)果為正值時����, 保持所述時間指針不變。
[0046] 基于上述技術(shù)方案���,本發(fā)明將安全事件記錄按照設(shè)備進行分組��,形成針對于每個 設(shè)備的事件序列表��,這個事件序列表的排序關(guān)系是事件觸發(fā)的依據(jù)�,而通過觸發(fā)器內(nèi)的狀 態(tài)機的匹配和超時情況對相應(yīng)設(shè)備的事件序列表進行步長調(diào)整,使其與安全事件發(fā)生的真 實時序一致��,避免因時序顛倒引起的安全事件因果關(guān)系失真問題�����,提高關(guān)聯(lián)分析的準確性����, 從而滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全事件關(guān)聯(lián)分析的精度需求�。
【專利附圖】
【附圖說明】
[0047] 此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分���,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明���,并不構(gòu)成對本發(fā)明的不當限定。在附圖中: [0048] 圖1為本發(fā)明安全事件關(guān)聯(lián)分析方法的一實施例的流程示意圖�����。
[0049] 圖2為本發(fā)明安全事件關(guān)聯(lián)分析方法的另一實施例的流程示意圖。
[0050] 圖3為本發(fā)明安全事件關(guān)聯(lián)分析系統(tǒng)的一實施例的結(jié)構(gòu)示意圖���。
[0051] 圖4為本發(fā)明安全事件關(guān)聯(lián)分析系統(tǒng)的另一實施例的結(jié)構(gòu)示意圖����。
[0052] 圖5為本發(fā)明安全事件關(guān)聯(lián)分析系統(tǒng)實施例中觸發(fā)器的具體結(jié)構(gòu)示意圖��。
【具體實施方式】
[0053] 下面通過附圖和實施例�����,對本發(fā)明的技術(shù)方案做進一步的詳細描述���。
[0054] 如圖1所示���,為本發(fā)明安全事件關(guān)聯(lián)分析方法的一實施例的流程示意圖。在本實 施例中�,安全事件關(guān)聯(lián)分析流程包括:
[0055] 步驟101、接收安全運營中心采集到的安全事件記錄�����;
[0056] 步驟102、按照所述安全事件記錄對應(yīng)的設(shè)備進行分組����,并針對每個設(shè)備形成依據(jù) 安全事件發(fā)生時間排序的事件序列表,且當前分析指針指向各個事件序列表中尚未進入觸 發(fā)器的時間最早的安全事件記錄���;
[0057] 步驟103����、將當前分析指針指向的安全事件記錄送入觸發(fā)器進行狀態(tài)機的預(yù)設(shè)規(guī) 則的匹配��,并將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記 錄�����;
[0058] 步驟104����、根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進 行計時器計時和狀態(tài)跳轉(zhuǎn)����,并根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng) 的設(shè)備進行計數(shù);
[0059] 步驟105����、在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時���,將計數(shù)結(jié)果發(fā)送給同步調(diào)整器,以便 所述同步調(diào)整器根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備的事件序 列表進行步長調(diào)整���。
[0060] 在本實施例中��,在接收安全運營中心采集到的安全事件記錄之后����,將安全事件記 錄按照設(shè)備進行分組�,形成針對于每個設(shè)備的事件序列表,這個事件序列表的排序關(guān)系是 事件觸發(fā)的依據(jù)��,而通過觸發(fā)器內(nèi)的狀態(tài)機的匹配和超時情況對相應(yīng)設(shè)備的事件序列表進 行步長調(diào)整�����,使其與安全事件發(fā)生的真實時序一致���,避免因時序顛倒引起的安全事件因果 關(guān)系失真問題����,提高關(guān)聯(lián)分析的準確性,從而滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全事件關(guān)聯(lián)分析的 精度需求���。
[0061] 在步驟101中�,安全運營中心所采集到的安全事件記錄是一條條包含事件發(fā)生時 間�����、報警設(shè)備�����、相關(guān)設(shè)備IP (攻擊源�、攻擊目的等)、事件類型等詳細信息的日志記錄���,在安全 運營中心中一般可采用數(shù)據(jù)庫形式進行存儲��,安全事件記錄的具體內(nèi)容可參考工信部的標 準規(guī)范�。
[0062] 在步驟102中����,安全事件記錄要按照設(shè)備進行分組���,每個設(shè)備都會形成一個對應(yīng) 的事件序列表�����,在事件序列表中的安全事件記錄則按照安全事件的發(fā)生時間進行排序��,其 具體形式可采用雙向鏈表���、順序表等各種現(xiàn)有的數(shù)據(jù)結(jié)構(gòu)���。而進入觸發(fā)器的安全事件記錄 則由當前分析指針所指向的安全事件記錄來確定,當前分析指針指向的是各個事件序列表 中尚未進入觸發(fā)器的時間最早的安全事件記錄����。
[0063] 另外,在初始形成事件序列表時����,同步調(diào)整器可以預(yù)先將各個設(shè)備的事件序列表 的時間指針分別指向表內(nèi)尚未進入觸發(fā)器的時間最早的安全事件記錄。
[0064] 在步驟103中����,當前分析指針指向的安全事件記錄會被送入觸發(fā)器進行狀態(tài)機的 預(yù)設(shè)規(guī)則的匹配,相應(yīng)的�,當前分析指針就會指向各個事件序列表中下一個時間順序的安 全事件記錄�����。
[0065] 在步驟104的狀態(tài)機的預(yù)設(shè)規(guī)則匹配方面�,除了要判斷觸發(fā)器中的安全事件記錄 是否匹配所述狀態(tài)機的預(yù)設(shè)規(guī)則����,還需要判斷狀態(tài)機當前所處的狀態(tài)。如果匹配了規(guī)則�,且 狀態(tài)機處于初始態(tài),則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向警備態(tài)進行跳轉(zhuǎn)�,并啟 動計時器,然后將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記 錄送入觸發(fā)器進行處理�。
[0066] 如果狀態(tài)機已處于警備態(tài),則使觸發(fā)器中的安全事件記錄的狀態(tài)機向下一警備態(tài) 進行跳轉(zhuǎn)����,并判斷跳轉(zhuǎn)后的狀態(tài)機是否已達到最終警備態(tài),是則向外發(fā)出告警信息��,所述狀 態(tài)機回復(fù)初始態(tài)�����。
[0067] 如果所述狀態(tài)機未達最終警備態(tài)����,則判斷所述計時器是否超時,如果超時��,則所述 狀態(tài)機回復(fù)初始態(tài)�,并對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行計數(shù),否則將當前 分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發(fā)器進行處 理�����。
[0068] 如果正常出發(fā)告警���,則說明該設(shè)備的時序比較正常�����,而如果出現(xiàn)計時器超時�����,說明 該安全事件并未正常觸發(fā)報警��,意味著可能存在時序顛倒的問題��,需要進行同步調(diào)整����。
[0069] 通過步驟104的計數(shù),在步驟105中可以在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時��,將計數(shù) 結(jié)果發(fā)送給同步調(diào)整器����,以便所述同步調(diào)整器根據(jù)計數(shù)結(jié)果對觸發(fā)器內(nèi)的安全事件記錄對 應(yīng)的設(shè)備的事件序列表進行步長調(diào)整。這種計數(shù)加步長調(diào)整是觸發(fā)器與同步調(diào)整器之間的 一種反饋機制��,通過這種反饋機制可以使同步調(diào)整器來調(diào)整各個設(shè)備的事件序列表之間的 同步關(guān)系��,提1?安全事件時序的準確度�����,而且通過同步調(diào)整還可以提1?系統(tǒng)的穩(wěn)定性�。
[0070] 具體來說,同步調(diào)整器可以根據(jù)計數(shù)結(jié)果的正負和大小確定調(diào)整的步長值和調(diào)整 方向��,根據(jù)確定的步長值和調(diào)整方向?qū)λ鲇嫈?shù)結(jié)果對應(yīng)的設(shè)備的事件序列表進行時間指 針指向位置的調(diào)整�����。
[0071] 進一步的,在向外發(fā)出告警信息����,所述狀態(tài)機回復(fù)初始態(tài)時,還可以對觸發(fā)器內(nèi)的 安全事件記錄對應(yīng)的設(shè)備進行正值計數(shù)�����,以及在狀態(tài)機超時時���,對觸發(fā)器內(nèi)的安全事件記 錄對應(yīng)的設(shè)備進行負值計數(shù),通過這樣累計計數(shù)結(jié)果�,如果發(fā)送給同步調(diào)整器的計數(shù)結(jié)果 為負值,則同步調(diào)整器確定時間指針的調(diào)整方向為向計數(shù)結(jié)果對應(yīng)的設(shè)備的事件序列表的 表頭方向調(diào)整(即將時間指針的指向位置調(diào)整到時間更早的安全事件記錄)����;如果計數(shù)結(jié)果 為正值,則保持時間指針不變��。
[0072] 如圖2所示��,為本發(fā)明安全事件關(guān)聯(lián)分析方法的另一實施例的流程示意圖����。與上 一實施例相比,本實施例在步驟101和步驟102之間,還包括以下操作:
[0073] 步驟101a���、對所述安全運營中心采集到的安全事件記錄所攜帶的信息按照標準屬 性字段進行解析�����;
[0074] 步驟101b����、對低重要度的事件進行過濾���,并對相同安全事件進行合并和次數(shù)累加���。
[0075] 步驟101a和101b是安全事件記錄的預(yù)處理過程,通過預(yù)處理過程可以將一些低 重要的安全事件過濾出去���,并將一些重復(fù)的安全事件記錄進行合并和次數(shù)累加�,從而減少 不需處理或不必考慮的安全事件記錄的數(shù)量�,避免這些安全事件的處理占用過多的系統(tǒng)資 源。
[0076] 本領(lǐng)域普通技術(shù)人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成����,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中���,該程序 在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質(zhì)包括:ROM����、RAM���、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)���。
[0077] 如圖3所示���,為本發(fā)明安全事件關(guān)聯(lián)分析系統(tǒng)的一實施例的結(jié)構(gòu)示意圖�����。在本實 施例中�,安全事件關(guān)聯(lián)分析系統(tǒng)包括:事件記錄接收模塊1�、序列表形成模塊2、當前分析指 針3���、觸發(fā)器4�、計數(shù)模塊5和同步調(diào)整器6。
[0078] 事件記錄接收模塊1用于接收安全運營中心采集到的安全事件記錄���。序列表形成 模塊2用于按照所述安全事件記錄對應(yīng)的設(shè)備進行分組�����,并針對每個設(shè)備形成依據(jù)安全事 件發(fā)生時間排序的事件序列表���。
[0079] 當前分析指針3用于指向各個事件序列表中尚未進入觸發(fā)器的時間最早的安全 事件記錄。觸發(fā)器4用于接收當前分析指針3指向的安全事件記錄�,并進行狀態(tài)機的預(yù)設(shè) 規(guī)則的匹配,根據(jù)所述觸發(fā)器4內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進行計 時器計時和狀態(tài)跳轉(zhuǎn)���,并將當前分析指針3指向所述各個事件序列表中下一個時間順序的 安全事件記錄�����。
[0080] 計數(shù)模塊5用于根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的 設(shè)備進行計數(shù)�,并在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時���,將計數(shù)結(jié)果發(fā)送給同步調(diào)整器6��。同步 調(diào)整器6用于根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器5內(nèi)的安全事件記錄對應(yīng)的設(shè)備的事件序列 表進行步長調(diào)整�。同步調(diào)整器還可以進一步在按照所述安全事件記錄對應(yīng)的設(shè)備進行分 組,并針對于每個設(shè)備形成依據(jù)安全事件發(fā)生時間排序的事件序列表時��,將各個設(shè)備的事 件序列表的時間指針分別指向表內(nèi)尚未進入觸發(fā)器的時間最早的安全事件記錄����。
[0081] 如圖4所示,為本發(fā)明安全事件關(guān)聯(lián)分析系統(tǒng)的另一實施例的結(jié)構(gòu)示意圖�。與上 一實施例相比,本實施例還包括預(yù)處理模塊7����,該模塊用于對所述安全運營中心采集到的安 全事件記錄所攜帶的信息按照標準屬性字段進行解析,以及對低重要度的事件進行過濾����, 并對相同安全事件進行合并和次數(shù)累加�����。
[0082] 如圖5所示�,為本發(fā)明安全事件關(guān)聯(lián)分析系統(tǒng)的又一實施例的結(jié)構(gòu)示意圖。與前 述實施例相比�����,本實施例的觸發(fā)器具體包括:規(guī)則匹配單元41、狀態(tài)跳轉(zhuǎn)單元42�����、初始態(tài)返 回單元43�����、告警單元44和超時判斷單元45����。
[0083] 規(guī)則匹配單元41用于接收當前分析指針3指向的安全事件記錄,并進行狀態(tài)機的 預(yù)設(shè)規(guī)則的匹配���。狀態(tài)跳轉(zhuǎn)單元42用于在所述觸發(fā)器4中的安全事件記錄匹配所述狀態(tài) 機的預(yù)設(shè)規(guī)則�,且所述狀態(tài)機處于初始態(tài)時����,則使所述觸發(fā)器4中的安全事件記錄的狀態(tài) 機向警備態(tài)進行跳轉(zhuǎn),并啟動計時器��,然后將當前分析指針3指向所述各個事件序列表中 下一個時間順序的安全事件記錄送入觸發(fā)器4進行處理���,如果所述狀態(tài)機已處于警備態(tài)���, 則使所述觸發(fā)器4中的安全事件記錄的狀態(tài)機向下一警備態(tài)進行跳轉(zhuǎn)�����,并判斷跳轉(zhuǎn)后的狀 態(tài)機是否已達到最終警備態(tài)���。
[0084] 初始態(tài)返回單元43用于使所述狀態(tài)機回復(fù)初始態(tài)。告警單元44用于在跳轉(zhuǎn)后的 狀態(tài)機已達到最終警備態(tài)時��,向外發(fā)出告警信息����,并觸發(fā)所述初始態(tài)返回單元43。超時判斷 單元45用于在所述狀態(tài)機未達最終警備態(tài)時��,判斷所述計時器是否超時����,如果超時�����,則觸 發(fā)所述初始態(tài)返回單元43,并觸發(fā)所述計數(shù)模塊5,否則將當前分析指針3指向所述各個事 件序列表中下一個時間順序的安全事件記錄送入觸發(fā)器4進行處理。
[0085] 在另一個實施例中��,同步調(diào)整器還可以進一步具體包括:
[0086] 調(diào)整參數(shù)確定單元�,用于根據(jù)所述計數(shù)結(jié)果的正負和大小確定調(diào)整的步長值和調(diào) 整方向;
[0087] 時間指針調(diào)整單元���,用于根據(jù)確定的步長值和調(diào)整方向?qū)λ鲇嫈?shù)結(jié)果對應(yīng)的設(shè) 備的事件序列表進行時間指針指向位置的調(diào)整����。
[0088] 在另一個實施例中��,計數(shù)模塊可以在向外發(fā)出告警信息�����,所述狀態(tài)機回復(fù)初始態(tài) 時���,對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行正值計數(shù)���,以及在所述狀態(tài)機超時時, 對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行負值計數(shù)��。相應(yīng)的����,調(diào)整參數(shù)確定單元在 所述計數(shù)結(jié)果為負值時��,確定時間指針的調(diào)整方向為向所述計數(shù)結(jié)果對應(yīng)的設(shè)備的事件序 列表的表頭方向調(diào)整��,在所述計數(shù)結(jié)果為正值時���,保持所述時間指針不變。
[0089] 最后應(yīng)當說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制�;盡 管參照較佳實施例對本發(fā)明進行了詳細的說明,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當理解:依然 可以對本發(fā)明的【具體實施方式】進行修改或者對部分技術(shù)特征進行等同替換�;而不脫離本發(fā) 明技術(shù)方案的精神,其均應(yīng)涵蓋在本發(fā)明請求保護的技術(shù)方案范圍當中����。
【權(quán)利要求】
1. 一種安全事件關(guān)聯(lián)分析方法,包括: 接收安全運營中心采集到的安全事件記錄�����; 按照所述安全事件記錄對應(yīng)的設(shè)備進行分組����,并針對每個設(shè)備形成依據(jù)安全事件發(fā)生 時間排序的事件序列表,且當前分析指針指向各個事件序列表中尚未進入觸發(fā)器的時間最 早的安全事件記錄���; 將當前分析指針指向的安全事件記錄送入觸發(fā)器進行狀態(tài)機的預(yù)設(shè)規(guī)則的匹配���,并將 當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄; 根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進行計時器計時 和狀態(tài)跳轉(zhuǎn)����,并根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行計 數(shù); 在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時��,將計數(shù)結(jié)果發(fā)送給同步調(diào)整器�,以便所述同步調(diào)整 器根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備的事件序列表進行步長 調(diào)整。
2. 根據(jù)權(quán)利要求1所述的安全事件關(guān)聯(lián)分析方法�,其中在所述接收安全運營中心采集 到的安全事件記錄之后,形成事件序列表之前還包括: 對所述安全運營中心采集到的安全事件記錄所攜帶的信息按照標準屬性字段進行解 析�; 對低重要度的事件進行過濾,并對相同安全事件進行合并和次數(shù)累加。
3. 根據(jù)權(quán)利要求1所述的安全事件關(guān)聯(lián)分析方法�,其中在按照所述安全事件記錄對應(yīng) 的設(shè)備進行分組,并針對于每個設(shè)備形成依據(jù)安全事件發(fā)生時間排序的事件序列表時�,還 包括:所述同步調(diào)整器將各個設(shè)備的事件序列表的時間指針分別指向表內(nèi)尚未進入觸發(fā)器 的時間最早的安全事件記錄。
4. 根據(jù)權(quán)利要求1或3所述的安全事件關(guān)聯(lián)分析方法��,其中所述根據(jù)所述觸發(fā)器內(nèi)的 安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進行計時器計時和狀態(tài)跳轉(zhuǎn)�,并根據(jù)狀態(tài)機 的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行計數(shù)的操作具體包括: 如果所述觸發(fā)器中的安全事件記錄匹配所述狀態(tài)機的預(yù)設(shè)規(guī)則,且所述狀態(tài)機處于 初始態(tài),則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向警備態(tài)進行跳轉(zhuǎn)�����,并啟動計時器�,然 后將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發(fā) 器進行處理; 如果所述狀態(tài)機已處于警備態(tài)�,則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向下一警 備態(tài)進行跳轉(zhuǎn),并判斷跳轉(zhuǎn)后的狀態(tài)機是否已達到最終警備態(tài)�,是則向外發(fā)出告警信息,所 述狀態(tài)機回復(fù)初始態(tài)���; 如果所述狀態(tài)機未達最終警備態(tài)����,則判斷所述計時器是否超時����,如果超時,則所述狀態(tài) 機回復(fù)初始態(tài)�����,并對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行計數(shù)��,否則將當前分析 指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發(fā)器進行處理。
5. 根據(jù)權(quán)利要求4所述的安全事件關(guān)聯(lián)分析方法��,其中所述同步調(diào)整器根據(jù)所述計數(shù) 結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備的事件序列表進行步長調(diào)整的操作具體 為: 所述同步調(diào)整器根據(jù)所述計數(shù)結(jié)果的正負和大小確定調(diào)整的步長值和調(diào)整方向��,根據(jù) 確定的步長值和調(diào)整方向?qū)λ鲇嫈?shù)結(jié)果對應(yīng)的設(shè)備的事件序列表進行時間指針指向位 置的調(diào)整�。
6. 根據(jù)權(quán)利要求5所述的安全事件關(guān)聯(lián)分析方法�����,其中在所述向外發(fā)出告警信息��,所 述狀態(tài)機回復(fù)初始態(tài)的操作時�,還包括:對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行 正值計數(shù); 在所述狀態(tài)機超時時����,對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行負值計數(shù); 如果所述計數(shù)結(jié)果為負值����,則所述同步調(diào)整器確定時間指針的調(diào)整方向為向所述計數(shù) 結(jié)果對應(yīng)的設(shè)備的事件序列表的表頭方向調(diào)整;如果計數(shù)結(jié)果為正值����,則保持所述時間指 針不變���。
7. -種安全事件關(guān)聯(lián)分析系統(tǒng),包括: 事件記錄接收模塊�����,用于接收安全運營中心采集到的安全事件記錄�; 序列表形成模塊,用于按照所述安全事件記錄對應(yīng)的設(shè)備進行分組�����,并針對每個設(shè)備 形成依據(jù)安全事件發(fā)生時間排序的事件序列表����; 當前分析指針,用于指向各個事件序列表中尚未進入觸發(fā)器的時間最早的安全事件記 錄�����; 觸發(fā)器���,用于接收當前分析指針指向的安全事件記錄����,并進行狀態(tài)機的預(yù)設(shè)規(guī)則的匹 配,根據(jù)所述觸發(fā)器內(nèi)的安全事件記錄對狀態(tài)機的預(yù)設(shè)規(guī)則的匹配情況進行計時器計時和 狀態(tài)跳轉(zhuǎn)�,并將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記 錄; 計數(shù)模塊����,用于根據(jù)狀態(tài)機的超時情況對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進 行計數(shù),并在計數(shù)結(jié)果達到預(yù)設(shè)統(tǒng)計閾值時���,將計數(shù)結(jié)果發(fā)送給同步調(diào)整器; 同步調(diào)整器��,用于根據(jù)所述計數(shù)結(jié)果對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備的事 件序列表進行步長調(diào)整�����。
8. 根據(jù)權(quán)利要求7所述的安全事件關(guān)聯(lián)分析系統(tǒng)�,其中還包括: 預(yù)處理模塊,用于對所述安全運營中心采集到的安全事件記錄所攜帶的信息按照標準 屬性字段進行解析����,以及對低重要度的事件進行過濾,并對相同安全事件進行合并和次數(shù) 累加���。
9. 根據(jù)權(quán)利要求7所述的安全事件關(guān)聯(lián)分析系統(tǒng)����,其中所述同步調(diào)整器還用于在按照 所述安全事件記錄對應(yīng)的設(shè)備進行分組,并針對于每個設(shè)備形成依據(jù)安全事件發(fā)生時間排 序的事件序列表時����,將各個設(shè)備的事件序列表的時間指針分別指向表內(nèi)尚未進入觸發(fā)器的 時間最早的安全事件記錄。
10. 根據(jù)權(quán)利要求7或9所述的安全事件關(guān)聯(lián)分析系統(tǒng)�����,其中所述觸發(fā)器具體包括: 規(guī)則匹配單元����,用于接收當前分析指針指向的安全事件記錄,并進行狀態(tài)機的預(yù)設(shè)規(guī) 則的匹配�; 狀態(tài)跳轉(zhuǎn)單元,用于在所述觸發(fā)器中的安全事件記錄匹配所述狀態(tài)機的預(yù)設(shè)規(guī)則�,且 所述狀態(tài)機處于初始態(tài)時,則使所述觸發(fā)器中的安全事件記錄的狀態(tài)機向警備態(tài)進行跳 轉(zhuǎn)�,并啟動計時器,然后將當前分析指針指向所述各個事件序列表中下一個時間順序的安 全事件記錄送入觸發(fā)器進行處理�,如果所述狀態(tài)機已處于警備態(tài),則使所述觸發(fā)器中的安 全事件記錄的狀態(tài)機向下一警備態(tài)進行跳轉(zhuǎn)��,并判斷跳轉(zhuǎn)后的狀態(tài)機是否已達到最終警備 態(tài)�; 初始態(tài)返回單元���,用于使所述狀態(tài)機回復(fù)初始態(tài); 告警單元�����,用于在跳轉(zhuǎn)后的狀態(tài)機已達到最終警備態(tài)時����,向外發(fā)出告警信息,并觸發(fā)所 述初始態(tài)返回單元�; 超時判斷單元,用于在所述狀態(tài)機未達最終警備態(tài)時��,判斷所述計時器是否超時�,如果 超時�����,則觸發(fā)所述初始態(tài)返回單元�,并觸發(fā)所述計數(shù)模塊,否則將當前分析指針指向所述各 個事件序列表中下一個時間順序的安全事件記錄送入觸發(fā)器進行處理�。
11. 根據(jù)權(quán)利要求10所述的安全事件關(guān)聯(lián)分析系統(tǒng),其中所述同步調(diào)整器具體包括: 調(diào)整參數(shù)確定單元���,用于根據(jù)所述計數(shù)結(jié)果的正負和大小確定調(diào)整的步長值和調(diào)整方 向���; 時間指針調(diào)整單元��,用于根據(jù)確定的步長值和調(diào)整方向?qū)λ鲇嫈?shù)結(jié)果對應(yīng)的設(shè)備的 事件序列表進行時間指針指向位置的調(diào)整�。
12. 根據(jù)權(quán)利要求10所述的安全事件關(guān)聯(lián)分析系統(tǒng)�,其中,所述計數(shù)模塊用于在向外 發(fā)出告警信息����,所述狀態(tài)機回復(fù)初始態(tài)時,對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進 行正值計數(shù)���,以及在所述狀態(tài)機超時時�,對所述觸發(fā)器內(nèi)的安全事件記錄對應(yīng)的設(shè)備進行 負值計數(shù)����; 所述調(diào)整參數(shù)確定單元用于在所述計數(shù)結(jié)果為負值時,確定時間指針的調(diào)整方向為向 所述計數(shù)結(jié)果對應(yīng)的設(shè)備的事件序列表的表頭方向調(diào)整���,在所述計數(shù)結(jié)果為正值時�,保持 所述時間指針不變。
【文檔編號】H04L12/24GK104219193SQ201310205117
【公開日】2014年12月17日 申請日期:2013年5月29日 優(yōu)先權(quán)日:2013年5月29日
【發(fā)明者】樊寧, 沈軍, 金華敏 申請人:中國電信股份有限公司