本发明专利技术涉及一种基于谓语推断的安全事件特征分析方法及系统,所述方法包括:步骤1,采集安全事件;步骤2,将采集的安全事件切分为若干单词;步骤3,分析切分后的每个单词的词性,同时根据词性分析结果,结合事先设置的句型格式,生成语法树;步骤4,根据语法树中的谓语,判断安全事件的类型。本发明专利技术通过利用对于谓词的标识,实现了对于一般安全事件的识别,对于内置标准化脚本无法解析的安全事件,在大多数场合不用再开发新的脚本,从而节省了人力,降低了维护成本;同时,由于预先对安全事件进行了分词,从而降低系统全文检索部件的负荷,提升了整体性能。
【技术实现步骤摘要】
一种基于谓语推断的安全事件特征分析方法及系统
本专利技术涉及信息安全领域,特别是涉及一种基于谓语推断的安全事件特征分析及 系统。
技术介绍
在信息安全领域中,特别是针对各类系统或设备的安全事件,如网络的攻击行为、 网络的操作行为、系统的操作行为、数据库的操作行为审计等都是需要被集中进行采集、分 析及处理的;但由于不同系统或设备的事件格式存在较大差异,事件中关于描述各类行为 的内容也千差万别,一般应将事件中相关地址信息、端口信息、协议信息、主机信息、用户信 息及行为信息进行解析并存放到相应的字段中,这个过程被称为安全事件的标准化。 目前,无论是国外类似系统或软件,如HP Arcsight Logger/ESM、Splunk等,还是国 内相关系统或软件,如启明星辰天钥网络安全审计系统、天融信网络卫士日志审计系统等, 对此处理的方式均是预先在系统中内置若干已知被管理系统的标准化脚本,这些脚本一般 均是使用模式匹配的方式进行处理的,因其使用模式匹配(利用正则表达式),故仅仅是利 用有限状态机方法,因而此种解决方法的缺陷在于如果遇到不能识别的模式(如增加新的 系统或设备类型)则无法正确标准化,那么就要根据新的事件模式重新开发处理脚本并进 行测试,这需要一定的时间和开发工作量。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于谓语推断的安全事件特征分析及系 统,用于解决安全事件特征分析中因无法识别新的模式而需要单独开发解析脚本的问题。 本专利技术解决上述技术问题的技术方案如下:一种基于谓语推断的安全事件特征分 析方法,包括: 步骤1,采集安全事件; 步骤2,将采集的安全事件切分为若干单词; 步骤3,分析切分后的每个单词的词性,同时根据词性分析结果,结合事先设置的 句型格式,生成语法树; 步骤4,根据语法树中的谓语,判断安全事件的类型。 对应地,本专利技术的技术方案还包括一种基于谓语推断的安全事件特征分析系统, 包括安装在服务器上的采集部件、分词部件、语法分析部件和判断部件; 采集部件,其用于采集安全事件; 分词部件,其用于将采集的安全事件切分为若干单词; 语法分析部件,其用于分析切分后的每个单词的词性,同时根据词性分析结果,结 合事先设置的句型格式,生成语法树; 判断部件,其用于根据语法树中的谓语,判断安全事件的类型。 本专利技术的有益效果是:通过利用对于谓词的标识,实现了对于一般安全事件的识 另|J,对于内置标准化脚本无法解析的安全事件,在大多数场合不用再开发新的脚本,从而节 省了人力,降低了维护成本;同时,由于预先对安全事件进行了分词,从而降低系统全文检 索部件的负荷,提升了整体性能。 【附图说明】 图1为本专利技术所述的一种基于谓语推断的安全事件特征分析方法的流程示意图; 图2为本专利技术所述的一种基于谓语推断的安全事件特征分析系统的结构示意图; 图3为本专利技术实施例中针对Linux安全事件的一个语法树示意图; 图4为本专利技术实施例中针对Windows安全事件的一个语法树示意图。 【具体实施方式】 以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并 非用于限定本专利技术的范围。 如图1所示,本实施例给出了一种基于谓语推断的安全事件特征分析方法,包括: 步骤1,采集安全事件; 步骤2,将采集的安全事件切分为若干单词; 步骤3,分析切分后的每个单词的词性,同时根据词性分析结果,结合事先设置的 句型格式,生成语法树; 步骤4,根据语法树中的谓语或系动词,判断安全事件的类型; 步骤5,传输并保存安全事件及其相应的分词结果、词性分析结果、语法树和安全 事件类型。 如图2所示,对应上述步骤,本实施例还给出了一种基于谓语推断的安全事件特 征分析系统,包括安装在服务器上的采集部件、分词部件、语法分析部件和判断部件; 采集部件,其用于采集安全事件; 分词部件,其用于将采集的安全事件切分为若干单词; 语法分析部件,其用于分析切分后的每个单词的词性,同时根据词性分析结果,结 合事先设置的句型格式,生成语法树; 判断部件,其用于根据语法树中的谓语或系动词,判断安全事件的类型; 传输及存储部件,其用于传输并保存安全事件及其相应的分词结果、词性分析结 果、语法树和安全事件类型。 对于上述的基于谓语推断的安全事件特征分析方法和系统,其具体的实施过程分 为以下几个部分: 一、系统初始化部分 1)采集部件初始化。 初始化系统的安全事件采集部分,能接受或主动采集各类被管系统或设备的安全 事件,米集方式包括Syslog、SNMP (Simple Network Management Protocol,即简单网络管理 协议)、文本文件、WMI (Windows Management Interface,即 Windows 管理接口)、数据库等。 2)分词部件和词库初始化。 所述步骤2具体包括:调用分词器,且该分词器加载事先配置的词库,并根据加载 的词库将采集的安全事件切分为若干单词。因此,需要对分词器和词库进行初始化。 系统根据相关配置文件加载分词器(使用国内的庖丁分词器)以及所使用的 词库,其中分词器一般选择常用的可以支持中英文分词的引擎;由于安全事件中包含的词 汇不多,且多为英文,故词库不宜选择过多大,否则会影响安全事件的解析效率,本实施例 所选择的词库在一万个左右(含中文和英文单词)。 3)语法分析部件初始化 所述步骤3中进行词性分析和句型分析时需采用词性分析器和句型分析器,因此 系统根据相关配置文件加载句型分析器和词性分析器,以实现对语法分析部件的初始化。 二、安全事件采集部分 根据初始化结果,所述步骤1具体包括通过Syslog方式、SNMP方式、文本文件方 式、WMI方式和/或数据库方式逐条采集安全事件。 三、分词处理部分 分词器会根据组成安全事件的单词(依据词库)进行初步切分,将结果发送给语 法分析部分。 四、语法分析部分 对于安全事件的语法分析包含两个部分,其一为词性分析,其二为句型分析;其中 词性分析是根据分词的结果对各个单词进行分析,找出其中可能为谓语(动词)的部分,而 句型分析针对词性分析结果,根据常见的句型进行分析,生成可以理解的语法树,以便于近 一步地标准化,上述两个部分描述如下: 1)词性分析:词性分析部分主要针对分词结果,根据各个单词的词性进行分析, 包括将一般的冠词去除,主要为定冠词(the)和不定冠词(a和an),分析出可能 为谓语的动词(包括系动词、实意动词)、助动词,其它代词、名词、形容词及副词;由于一般 安全事件均为描述过去发生的问题,故时态分析较为简单,主要为:过去时、现在完成时以 及一般现在时;另外,如果在谓语前部出现如虹(111的、乜(1114、(1 〇11、、(^1111的等 否定词也会一并进行分析。 2)句型分析:根据词性分析的结果,结合系统设置的句式(如主动或被动)、句型, 生成语法树;由于安全事件的句子较为简单,基本上不会使用到从句,故本方案会设置几种 句型(以EBNF本文档来自技高网...
【技术保护点】
一种基于谓语推断的安全事件特征分析方法,其特征在于,包括:步骤1,采集安全事件;步骤2,将采集的安全事件切分为若干单词;步骤3,分析切分后的每个单词的词性,同时根据词性分析结果,结合事先设置的句型格式,生成语法树;步骤4,根据语法树中的谓语,判断安全事件的类型。
【技术特征摘要】
1. 一种基于谓语推断的安全事件特征分析方法,其特征在于,包括: 步骤1,采集安全事件; 步骤2,将采集的安全事件切分为若干单词; 步骤3,分析切分后的每个单词的词性,同时根据词性分析结果,结合事先设置的句型 格式,生成语法树; 步骤4,根据语法树中的谓语,判断安全事件的类型。2. 根据权利要求1所述的安全事件特征分析方法,其特征在于,所述步骤1具体包括通 过Syslog方式、简单网络管理协议方式、文本文件方式、Windows管理接口方式和/或数据 库方式逐条采集安全事件。3. 根据权利要求1所述的安全事件特征分析方法,其特征在于,所述步骤2具体包括: 调用分词器,且该分词器加载有事先配置的词库,并根据加载的词库将采集的安全事件切 分为若干单词。4. 根据权利要求1至3中任一所述的安全事件特征分析方法,其特征在于,还包括: 步骤5,传输并保存安全事件及其相应的分词结果、词性分析结果、语法树和安全事件 类型。5. -种基于谓语推断的安全事件特征分析系统,其特征在于,包括安装在服务器上的 采集部件、分词部件、语法分析部件和判断部件: 采集部件,其用于采集安全事件; 分词部件,其用于将采集...
【专利技术属性】
技术研发人员:陈虎,唐开达,
申请(专利权)人:北京江南天安科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。