事件规则关联分析方法及装置制造方法及图纸

本发明专利技术提供一种用于ＳＯＣ系统的基于多线程对事件进行规则关联分析的方法，包括：预先定义包括静态节点和动态节点的若干规则模型；创建每帧包含第一部分和第二部分的帧结构；将所采集的事件填入各帧的第一部分中；在填入事件的同时，采用第一组线程对各个静态节点和各帧中的事件进行匹配，并将匹配成功时产生的动态节点填入对应静态节点的相应帧的第二部分中；以及在进行静态节点与事件匹配的同时，采用第二组线程对先前产生的动态节点与该动态节点所位于帧中的事件进行匹配，其中，如果动态节点匹配成功后产生该动态节点后续的动态节点，则销毁该动态节点，并将后续动态节点放入该动态节点的相应帧中，同时根据该动态节点的预置行为产生告警事件。

【技术实现步骤摘要】

本专利技术涉及网络安全处理领域，更为具体地，涉及一种对事件规则关联进行并行 分析处理的安全事件规则关联分析方法及装置。
技术介绍
随着网络技术的日益发展，通过网络来传递信息正在成为一种趋势。然而，由于网 络黑客经常利用木马程序非法侵入网络空间来窃取信息，因此，如何保证网络上的信息安 全越来越受到重视。为了保证网络上的信息安全，通常需要对威胁网络安全的任何一个行为进行报 警，即产生安全事件。安全事件通常由安全系统生成，安全系统指的是对用户系统进行安全 监测和保护的应用系统，比如入侵检测系统、漏洞扫描系统、审计系统、防火墙、UTM等。各类安全系统通常都会产生大量的安全报警事件。来源不同的安全系统所产生的 安全事件往往彼此重叠、关联或者相互依赖，而且数据量相当庞大。由于安全管理员需要应 对大量具有冗余性且彼此关系错综的报警事件，从而使得安全管理工作变得越来越复杂。此外，对于很多网络攻击行为，仅仅依靠单一的安全系统往往是无法监测到的。在 这种情况下，只有将各安全系统所产生的报警事件进行关联分析和综合判断，才能准确地 发现并及时地制止这些攻击。由此可见，要解决这些问题，必须要采用规则关联分析本文档来自技高网...

【技术保护点】
一种用于ＳＯＣ系统的基于多线程对事件进行规则关联分析的方法，包括：预先定义若干规则模型，每个规则模型包括静态节点和动态节点，静态节点为每个规则模型的头节点，动态节点为每个规则模型的除头节点外的其它节点；创建每帧包含第一部分和第二部分的帧结构；将ＳＯＣ系统所采集的事件填入所创建的帧结构的各帧的第一部分中；在填入所述事件的同时，采用第一组线程来对所述每个规则模型中的各个静态节点和所创建的帧结构的各帧中填入的事件进行匹配并且在匹配成功时产生动态节点，并将所产生的动态节点填入其对应静态节点的相应帧的第二部分中；以及在进行所述静态节点与所述事件匹配的同时，采用第二组线程来对先前静态节点匹配成功后产生的动...

【技术特征摘要】
一种用于SOC系统的基于多线程对事件进行规则关联分析的方法，包括预先定义若干规则模型，每个规则模型包括静态节点和动态节点，静态节点为每个规则模型的头节点，动态节点为每个规则模型的除头节点外的其它节点；创建每帧包含第一部分和第二部分的帧结构；将SOC系统所采集的事件填入所创建的帧结构的各帧的第一部分中；在填入所述事件的同时，采用第一组线程来对所述每个规则模型中的各个静态节点和所创建的帧结构的各帧中填入的事件进行匹配并且在匹配成功时产生动态节点，并将所产生的动态节点填入其对应静态节点的相应帧的第二部分中；以及在进行所述静态节点与所述事件匹配的同时，采用第二组线程来对先前静态节点匹配成功后产生的动态节点与该动态节点所位于帧中的事件进行匹配，其中，如果动态节点与事件匹配成功后产生该动态节点后续的动态节点，则销毁该动态节点，并将该后续的动态节点放入该动态节点的相应帧中，同时根据该动态节点的预置行为产生告警事件。2.如权利要求1所述的方法，其中，采用第一组线程来对所述每个规则模型中的各个 静态节点和所创建的帧结构的各帧中填入的事件进行匹配并且在匹配成功时产生动态节 点，并将该动态节点填入其对应静态节点的相应帧的第二部分中的步骤还包括(a)将所述每个规则模型中的静态节点链接形成一个有向环，所述有向环中的每个静 态节点对所创建的帧结构中的各帧都具有引用关系；(b)针对所创建的帧结构中的每一帧进行下述操作，直到完成各个静态节点和所创建 的帧结构的各帧中填入的事件的匹配为止，(bl)每个线程从所述有向环中获取一个没有被其它线程加锁的静态节点，并对该静态 节点进行加锁；(b2)在所获取的静态节点与当前引用帧中填入的事件匹配成功时，产生动态节点，并 将该动态节点填入其对应静态节点的相应帧的第二部分中，并且将所获取的静态节点对帧 的引用关系移动到下一帧；以及在所获取的静态节点与当前引用帧中填入的事件匹配失败 时，进行步骤(b3)中的处理；(b3)对该静态节点进行解锁，并且针对下一获取的静态节点进行上述步骤(bl)到 (b3)中的处理。3.如权利要求2所述的方法，其中，在进行所述静态节点与所述事件匹配的同时，采用 第二组线程来对先前静态节点匹配成功后产生的动态节点与该动态节点所位于帧中的事 件进行匹配的步骤还包括针对所有所产生的动态节点进行下述操作，直到完成所有所产生的动态节点与该动态 节点所位于的帧中填入的事件进行匹配为止，每个线程从所述帧结构的帧中获取第一个没有被其它线程加锁的动态节点，并对该动 态节点进行加锁；判断该动态节点与所位于的帧中填入的事件是否匹配成功； 在该动态节点与所述事件匹配成功时，从所述帧中移除该动态节点；以及 对该动态节点进行解锁。4.如权利要求3所述的方法，在从所述帧中移除该动态节点的步骤之后，所述方法还 包括在该动态节点产生后续动态节点的情况下，将该新产生的动态节点放入所述帧结构的 相应帧中。5.如权利要求4所述的方法，其中，所述帧结构的相应帧是与该动态节点匹配的帧或 该匹配帧的下一帧。6.如权利要求3所述的方法，还包括在该动态节点与所述事件间匹配条件失败或匹配成功但次数不足时，将该动态节点从 该动态节点所位于帧中移动到该帧的下一帧。7.如权利要求1所述的方法，还包括当自所述帧结构的第一帧开始存在连续的多个未被静态节点引用且不包含动态节点 的帧时，销毁该连续的多个帧。8.如权利要求1所述的方法，还包括获取第一组线程的每个线程的工作时间与实际时间比值的平均值作为第一平均值； 获取第二组线程的每个线程的工作时间与实际时间比值的平均值作为第二平均值； 当第一平均值和/或第二平均值超出预置的阈值时，调整第一组线程和第二组线程的 个数。9.如权利要求2所述的方法，其中，所述第一组线程的个数最大不超过规则模型的个数。10.一种用于S0...

【专利技术属性】
技术研发人员：王承志，
申请(专利权)人：东软集团股份有限公司，
类型：发明
国别省市：89[中国|沈阳]