本申请公开了一种基于场景的关联规则分析方法及装置,方法包括:获取原始事件数据;根据原始事件数据配置多个关联分析规则,并创建场景;在场景中,将配置的多个关联分析规则按一定的执行顺序进行组合;按顺序启动组合好的多个关联分析规则;在按顺序启动的过程中,若命中所有关联分析规则,则产生告警信息;若有一个关联分析规则在预设的时间段内未命中,则整个场景失效。本申请提供的基于场景的关联规则分析方法不会同时启动所有的关联分析规则,节省了计算资源,且不会产生过量的告警信息,降低了管理人员从大量的无效告警信息中提取有用信息的难度。有用信息的难度。有用信息的难度。
【技术实现步骤摘要】
基于场景的关联规则分析方法及装置
[0001]本申请涉及信息安全
,具体涉及一种基于场景的关联规则分析方法及装置。
技术介绍
[0002]关联分析又称关联挖掘,就是在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。或者说,关联分析是发现交易数据库中不同商品(项)之间的联系。
[0003]请参阅图1,现有的关联分析一般都是以单个事件为参考标准,超出阈值之后会产生告警信息。但是,这种方案会产生大量的告警,且会浪费计算资源,在产生大量的告警信息之后,管理人员又需要从大量的告警信息中进行整理回溯,找出真正的威胁点,整个过程会耗费大量的人力物力,而且效果不好。
[0004]请参阅图2,还有一种改进方案,就是在产生大量的告警信息之后,会对告警信息做进一步的运算,根据一定的算法规则算出关联的权重,得出一些有关联的告警集合。但是这种方案需要更多的计算资源,且每一种告警的关联权重值是比较难确认的,它其实是一种理想模型。
技术实现思路
[0005]为此,本申请提供一种基于场景的关联规则分析方法及装置,以解决现有技术存在的关联分析方法不仅浪费计算资源,而且会产生大量的告警信息的问题。
[0006]为了实现上述目的,本申请提供如下技术方案:
[0007]第一方面,一种基于场景的关联规则分析方法,包括:
[0008]获取原始事件数据;
[0009]根据所述原始事件数据配置多个关联分析规则,并创建场景;
[0010]在所述场景中,将配置的多个所述关联分析规则按一定的执行顺序进行组合;
[0011]按顺序启动组合好的多个所述关联分析规则;
[0012]在按顺序启动的过程中,若命中所有关联分析规则,则产生告警信息;若有一个关联分析规则在预设的时间段内未命中,则整个场景失效。
[0013]作为优选,所述在按顺序启动的过程中,只有命中前一个关联分析规则,才能唤醒并启动下一个关联分析规则。
[0014]作为优选,所述创建场景时按照攻击链来创建。
[0015]作为优选,所述预设时间段为2分钟或5分钟。
[0016]第二方面,一种基于场景的关联规则分析装置,包括:
[0017]数据获取模块,用于获取原始事件数据;
[0018]场景创建模块,用于根据所述原始事件数据配置多个关联分析规则,并创建场景;
[0019]组合模块,用于在所述场景中,将配置的多个所述关联分析规则按一定的执行顺
序进行组合;
[0020]启动模块,用于按顺序启动组合好的多个所述关联分析规则;
[0021]执行模块,用于在按顺序启动的过程中,若命中所有关联分析规则,则产生告警信息;若有一个关联分析规则在预设的时间段内未命中,则整个场景失效。
[0022]作为优选,所述创建场景时按照攻击链来创建。
[0023]第三方面,一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现基于场景的关联规则分析方法的步骤。
[0024]第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现基于场景的关联规则分析方法的步骤。
[0025]相比现有技术,本申请至少具有以下有益效果:
[0026]本申请提供了一种基于场景的关联规则分析方法及装置,方法包括:获取原始事件数据;根据原始事件数据配置多个关联分析规则,并创建场景;在场景中,将配置的多个关联分析规则按一定的执行顺序进行组合;按顺序启动组合好的多个关联分析规则;在按顺序启动的过程中,若命中所有关联分析规则,则产生告警信息;若有一个关联分析规则在预设的时间段内未命中,则整个场景失效。本申请提供的基于场景的关联规则分析方法不会同时启动所有的关联分析规则,节省了计算资源,且不会产生过量的告警信息,降低了管理人员从大量的无效告警信息中提取有用信息的难度。
附图说明
[0027]为了更直观地说明现有技术以及本申请,下面给出几个示例性的附图。应当理解,附图中所示的具体形状、构造,通常不应视为实现本申请时的限定条件;例如,本领域技术人员基于本申请揭示的技术构思和示例性的附图,有能力对某些单元(部件)的增/减/归属划分、具体形状、位置关系、连接方式、尺寸比例关系等容易作出常规的调整或进一步的优化。
[0028]图1为现有技术中以单个事件为参考标准的关联分析方法结构示意图;
[0029]图2为现有技术中利用关联权重计算告警集合的结构示意图;
[0030]图3为本申请实施例一提供的一种基于场景的关联规则分析方法流程图;
[0031]图4为本申请实施例一提供的第一场景关联规则分析方法流程图。
具体实施方式
[0032]以下结合附图,通过具体实施例对本申请作进一步详述。
[0033]在本申请的描述中:除非另有说明,“多个”的含义是两个或两个以上。本申请中的术语“第一”、“第二”、“第三”等旨在区别指代的对象,而不具有技术内涵方面的特别意义(例如,不应理解为对重要程度或次序等的强调)。“包括”、“包含”、“具有”等表述方式,同时还意味着“不限于”(某些单元、部件、材料、步骤等)。
[0034]本申请中所引用的如“上”、“下”、“左”、“右”、“中间”等的用语,通常是为了便于对照附图直观理解,而并非对实际产品中位置关系的绝对限定。在未脱离本申请揭示的技术构思的情况下,这些相对位置关系的改变,当亦视为本申请表述的范畴。
[0035]实施例一
[0036]请参阅图3,本实施例提供一种基于场景的关联规则分析方法,包括:
[0037]S1:获取原始事件数据;
[0038]S2:根据原始事件数据配置多个关联分析规则,并创建场景;
[0039]具体的,在本实施例中,需要构造很多的关联分析规则,但是这些关联规则不是启用的;在构造关联分析规则时可以根据内容的不同设置相应的时间段和命中规则,时间段可以设置为两分钟、五分钟等;而命中规则表示关联分析规则生效的条件,比如登录失败3次。
[0040]在关联分析规则之上,引入场景的概念,场景是根据特定意图,由多个关联分析规则组成的一种具有协同关系的流程,通常可以按照攻击链来创建场景。
[0041]S3:在所述场景中,将配置的多个所述关联分析规则按一定的执行顺序进行组合;
[0042]具体的,按一定的执行顺序进行组合,其实就是把已经存在的关联分析规则按照流程图一样组合在一起。
[0043]S4:按顺序启动组合好的多个所述关联分析规则;
[0044]S5:在按顺序启动的过程中,若命中所有关联分析规则,则产生告警信息;若有一个关联分析规则在预设的时间段内未命中,则整个场景失效。
[0045]具体的,在按顺序启动的过程中,只有命中前一个关联分析规则,才能唤醒并启动下一个关联分析规则。
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于场景的关联规则分析方法,其特征在于,包括:获取原始事件数据;根据所述原始事件数据配置多个关联分析规则,并创建场景;在所述场景中,将配置的多个所述关联分析规则按一定的执行顺序进行组合;按顺序启动组合好的多个所述关联分析规则;在按顺序启动的过程中,若命中所有关联分析规则,则产生告警信息;若有一个关联分析规则在预设的时间段内未命中,则整个场景失效。2.根据权利要求1所述的基于场景的关联规则分析方法,其特征在于,所述在按顺序启动的过程中,只有命中前一个关联分析规则,才能唤醒并启动下一个关联分析规则。3.根据权利要求1所述的基于场景的关联规则分析方法,其特征在于,所述创建场景时按照攻击链来创建。4.根据权利要求1所述的基于场景的关联规则分析方法,其特征在于,所述预设时间段为2分钟或5分钟。5.一种基于场景的关联规则分析装置,其特征在于,包括:数据获取模块...
【专利技术属性】
技术研发人员:陈挚,谭曙光,
申请(专利权)人:北京惠而特科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。