一种网络事件关联分析方法及装置、计算机设备制造方法及图纸

本发明专利技术涉及一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质，该方法包括：设置事件关联描述文件；根据事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；获取上报的事件，生成状态机，根据上报的事件令状态机在内部规则路径图上运行，且保存每一步运行的记录；当状态机前进至用于上报告警的事件节点，则进行告警信息上送并销毁状态机；判断是否继续检测，是则返回等待新上报的事件的触发。本发明专利技术能够实现入侵事件检测，且具有规则条件多样性，入侵线路明确化，误报率低及上下文关系明确的优势。

【技术实现步骤摘要】
一种网络事件关联分析方法及装置、计算机设备
本专利技术涉及计算机与网络安全
，尤其涉及一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质。
技术介绍
随着计算机技术和网络技术的发展，业务系统的多样性使入侵的方式变得复杂且隐蔽。常见的安全设备例如防火墙、入侵检测系统、证书授权系统、完整性检查工具、杀毒软件等，这些安全组件的独立性产生了报警的冗余，且报警无上下关联。庞杂的消息来源令安全员所需处理的消息变得越来越复杂，使其无法有效判断告警的重要性与问题路径。网络环境中绝大部分的攻击（入侵）事件都不是独立发生的，相互之间存在着必然的关系，而这种关系因为组件间的独立与隔绝无法形成有效记录。目前，大多数入侵检测技术规则逻辑简单，只是简单记录了事件的发生与发生位置，通过设置阈值的方式在达到阈值时触发告警，规则关联度不够，入侵操作的路径不明确，未经梳理的告警信息大量发送造成对有效告警的干扰，引起事件告警风暴，并且在匹配告警时因为规则简单，导致匹配多数操作形成误报，事件误报率高。因此，针对以上不足，需要提供一种能够针对事件关联进行分析，进而实现入侵检测的方法。
技术实现思路
本专利技术的目的是针对上述至少一部分不足之处，提供一种能够通过事件关联分析实现入侵检测的方法，以减少事件告警风暴，降低事件误报率。第一方面，本专利技术提供了一种网络事件关联分析方法，包括如下步骤：步骤S1、设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；步骤S2、根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；步骤S3、获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；步骤S4、当状态机前进至用于上报告警的事件节点，则进行告警信息上送，并销毁对应的状态机；步骤S5、判断是否继续检测，是则返回步骤S3等待新上报的事件的触发。可选地，事件节点的属性包括：名称、详细描述和事态级别；入侵路径的属性包括：源节点、目标节点和事件触发条件；其中事件触发条件包括阈值类型和阈值设置。可选地，所述步骤S2中，将得到的规则信息初始化为内部规则路径图时，根据所述事件关联描述文件中记录的各入侵路径的属性，组装各事件节点之间的对应连接关系，作为检测入侵事件的规则信息，进而得到所述内部规则路径图。可选地，所述步骤S3中，根据上报的事件令状态机在所述内部规则路径图上运行时，通过状态机对事件的数值记录与该状态机所在事件节点位置，判断在获取上报的事件并修改相应的数值记录后，是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件；若满足，则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点，实现状态变更。可选地，所述步骤S3中，状态变更后，开始计时，若在该事件节点处等待超时，则状态机返回至状态变更前的上一事件节点处，并根据对应的入侵路径，恢复状态机针对事件触发条件的数值记录。可选地，所述步骤S2中，根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图时，对于不同的事件关联描述文件，对应地构成不同的内部规则路径图；所述步骤S3中，获取上报的事件，根据所述内部规则路径图进行判断，若符合多个所述内部规则路径图中用于启动的起始条件，则对应各所述内部规则路径图，复制多个状态机，令各状态机分别在相应的内部规则路径图上运行，实现并行处理。可选地，所述步骤S4中，进行告警信息上送时，输出完整的入侵事件记录，包括涉及的所有事件节点以及入侵路径。第二方面，本专利技术还提供了一种网络事件关联分析装置，包括：设置模块，用于设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；规则模块，用于根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；处理模块，用于获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；告警模块，用于当状态机前进至用于上报告警的事件节点，进行告警信息上送，并销毁对应的状态机；判断模块，用于判断是否继续检测，是则调用所述处理模块，等待新上报的事件的触发。第三方面，本专利技术还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述网络事件关联分析方法的步骤。第四方面，本专利技术还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述网络事件关联分析方法的步骤。本专利技术的上述技术方案具有如下优点：本专利技术提供了一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质，本专利技术通过设置事件关联描述文件，增加规则条件多样性，使入侵路径明确化，对庞杂的网络事件进行梳理与筛选，以明确的、多样化的入侵路径降低误报率，提取更有用的告警信息，减少告警风暴的产生，并且发生入侵事件时，能够记录入侵事件的行动路线，得到明确的上下文关系，有助于安全员获得准确、全面的入侵信息。附图说明图1是本专利技术实施例中一种网络事件关联分析方法步骤示意图；图2是本专利技术实施例中组装各事件节点之间的对应连接关系步骤示意图；图3是本专利技术实施例中一个具体的内部规则路径图的连接关系示意图；图4是本专利技术实施例中一种网络事件关联分析装置结构示意图。图中：100：设置模块；200：规则模块；300：处理模块；400：告警模块；500：判断模块。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。如图1所示，本专利技术实施例提供的一种网络事件关联分析方法，包括如下步骤：步骤S1、设置事件关联描述文件，事件关联描述文件用于描述关联规则，其中记录有用于描述各入侵事件的多个事件节点的属性与多个入侵路径的属性。事件节点是一种虚拟的节点，用于描述事件的上下文关系与正在发生事件的行程状态，以限制状态机的“位置”（即状态机的指向）。可选地，事件节点的属性包括：名称、详细描述和事态级别等。入侵路径用于描述各事件节点之间的连接关系，可选地，入侵路径的属性包括：源节点、目标节点、事件触发条件。事件触发条件包括阈值类型和阈值设置等。根据各入侵路径的源节点、目标节点，以相应的连接关系组装各事件节点，能够得到多条通路，且无固本文档来自技高网...

【技术保护点】
1.一种网络事件关联分析方法，其特征在于，包括如下步骤：/n步骤S1、设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；/n步骤S2、根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；/n步骤S3、获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；/n步骤S4、当状态机前进至用于上报告警的事件节点，则进行告警信息上送，并销毁对应的状态机；/n步骤S5、判断是否继续检测，是则返回步骤S3等待新上报的事件的触发。/n

【技术特征摘要】
1.一种网络事件关联分析方法，其特征在于，包括如下步骤：
步骤S1、设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；
步骤S2、根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；
步骤S3、获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；
步骤S4、当状态机前进至用于上报告警的事件节点，则进行告警信息上送，并销毁对应的状态机；
步骤S5、判断是否继续检测，是则返回步骤S3等待新上报的事件的触发。


2.根据权利要求1所述的网络事件关联分析方法，其特征在于：
事件节点的属性包括：名称、详细描述和事态级别；
入侵路径的属性包括：源节点、目标节点和事件触发条件；其中事件触发条件包括阈值类型和阈值设置。


3.根据权利要求2所述的网络事件关联分析方法，其特征在于：
所述步骤S2中，将得到的规则信息初始化为内部规则路径图时，根据所述事件关联描述文件中记录的各入侵路径的属性，组装各事件节点之间的对应连接关系，作为检测入侵事件的规则信息，进而得到所述内部规则路径图。


4.根据权利要求1至3任一项所述的网络事件关联分析方法，其特征在于：
所述步骤S3中，根据上报的事件令状态机在所述内部规则路径图上运行时，通过状态机对事件的数值记录与该状态机所在事件节点位置，判断在获取上报的事件并修改相应的数值记录后，是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件；
若满足，则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点，实现状态变更。


5.根据权利要求4所述的网络事件关联分析方法，其特征在于：
所述步骤S3中，状态变更后，开始计时，若在该事件节点处等待超时，则状态机返回至状态变更前的上一...

【专利技术属性】
技术研发人员：张鑫，沈志淳，姜海昆，范宇，
申请(专利权)人：长扬科技北京有限公司，
类型：发明
国别省市：北京;11