一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置制造方法
【專利摘要】本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。其中所述方法包括：從場景庫中選擇一個(gè)或多個(gè)場景；分析所選場景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則；當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對所選擇的場景中的每一個(gè)場景，利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析。本發(fā)明通過場景庫和規(guī)則的結(jié)合來進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析，解決了現(xiàn)有網(wǎng)絡(luò)事件關(guān)聯(lián)分析中描述能力差的問題，并實(shí)現(xiàn)了良好的技術(shù)效果。
【專利說明】一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)事件關(guān)聯(lián)分析領(lǐng)域，具體地，涉及一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)傳輸中，產(chǎn)生諸如HTTP、FTP等網(wǎng)絡(luò)事件，這些單個(gè)獨(dú)立的網(wǎng)絡(luò)事件，其本身看來是正常的網(wǎng)絡(luò)行為，不帶有任何危害，但對于多個(gè)相關(guān)事件聯(lián)合分析后，則可能挖掘出潛藏在網(wǎng)絡(luò)事件之前的關(guān)系，這即為網(wǎng)絡(luò)事件的關(guān)聯(lián)分析。
[0003]常用的關(guān)聯(lián)分析方法是基于狀態(tài)機(jī)實(shí)現(xiàn)的。狀態(tài)機(jī)是它是一個(gè)有向圖形，由一組節(jié)點(diǎn)和一組相應(yīng)的轉(zhuǎn)移函數(shù)組成。狀態(tài)機(jī)通過響應(yīng)一系列事件而“運(yùn)行”。每個(gè)事件都在屬于“當(dāng)前”節(jié)點(diǎn)的轉(zhuǎn)移函數(shù)的控制范圍內(nèi)，其中函數(shù)的范圍是節(jié)點(diǎn)的一個(gè)子集。函數(shù)返回“下一個(gè)”(也許是同一個(gè))節(jié)點(diǎn)。這些節(jié)點(diǎn)中至少有一個(gè)必須是終態(tài)。當(dāng)?shù)竭_(dá)終態(tài)，狀態(tài)機(jī)停止。
[0004]將狀態(tài)機(jī)應(yīng)用于網(wǎng)絡(luò)事件關(guān)聯(lián)分析，已經(jīng)是一種較為普遍的認(rèn)識，也是一種較為常用的方法。一般通過專業(yè)人員編寫狀態(tài)機(jī)應(yīng)用場景，應(yīng)用程序通過分析狀態(tài)機(jī)應(yīng)用場景，實(shí)現(xiàn)關(guān)聯(lián)分析功能。
[0005]但現(xiàn)有的通過狀態(tài)機(jī)實(shí)現(xiàn)的方法存在以下的缺陷:現(xiàn)有狀態(tài)機(jī)應(yīng)用場景經(jīng)常需要專業(yè)人員編寫，對于非專業(yè)人員無法理解，更無法修改；現(xiàn)有狀態(tài)機(jī)應(yīng)用場景經(jīng)常使用非可視化語言編寫，諸如腳本等，描述能力差，無相關(guān)基礎(chǔ)的人員無法讀寫和修改。

【發(fā)明內(nèi)容】

[0006]針對現(xiàn)有技術(shù)中存在的上述缺陷，本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。
[0007]本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法，該方法包括:從場景庫中選擇一個(gè)或多個(gè)場景；分析所選場景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則；當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對所選擇的場景中的每一個(gè)場景，利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析。
[0008]本發(fā)明還提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析裝置，該裝置包括:場景選擇模塊，用于從場景庫中選擇一個(gè)或多個(gè)場景；規(guī)則過濾模塊，用于分析所選場景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則；分析模塊，用于當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對所選擇的場景中的每一個(gè)場景，利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析。
[0009]本發(fā)明通過場景庫和規(guī)則的結(jié)合來進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析，解決了現(xiàn)有網(wǎng)絡(luò)事件關(guān)聯(lián)分析中描述能力差的問題，并實(shí)現(xiàn)了良好的技術(shù)效果。
【專利附圖】

【附圖說明】
[0010]圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法；[0011]圖2示出了所選擇的一個(gè)或多個(gè)場景形成的場景鏈。
【具體實(shí)施方式】
[0012]圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法。
[0013]在步驟110中，從場景庫中選擇一個(gè)或多個(gè)場景。
[0014]可以根據(jù)環(huán)境、系統(tǒng)或網(wǎng)絡(luò)配置的需要或?qū)︼L(fēng)險(xiǎn)的分析，預(yù)先創(chuàng)建場景庫，其中包括至少一個(gè)場景。所述場景可包括例如異常登錄檢測場景、關(guān)鍵服務(wù)訪問檢測場景、異常網(wǎng)絡(luò)操作行為檢測場景、潛在危害分析場景等?？梢哉J(rèn)為所選擇的一個(gè)或多個(gè)場景形成場景鏈，如圖2所示。
[0015]下面出了一種示例性場景格式:
[0016]
【權(quán)利要求】
1.一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法，該方法包括: 從場景庫中選擇一個(gè)或多個(gè)場景； 分析所選場景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則； 當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對所選擇的場景中的每一個(gè)場景，利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析。
2.根據(jù)權(quán)利要求1所述的方法，其中所述對新的網(wǎng)絡(luò)事件進(jìn)行分析包括對所述新的網(wǎng)絡(luò)事件在內(nèi)的網(wǎng)絡(luò)事件組進(jìn)行整體分析。
3.根據(jù)權(quán)利要求1或2所述的方法，該方法還包括: 根據(jù)分析結(jié)果來確定是否執(zhí)行一個(gè)或多個(gè)動(dòng)作。
4.一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析裝置，該裝置包括: 場景選擇模塊，用于從場景庫中選擇一個(gè)或多個(gè)場景； 規(guī)則過濾模塊，用于分析所選場景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則； 分析模塊，用于當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對所選擇的場景中的每一個(gè)場景，利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析。
5.根據(jù)權(quán)利要求4所述的裝置，其中上述分析模塊被配置為對包括對包括所述新的網(wǎng)絡(luò)事件在內(nèi)的網(wǎng)絡(luò)事件組進(jìn)行整體分析。
6.根據(jù)權(quán)利要求4或5所述的裝置，所述裝置還被配置為根據(jù)分析結(jié)果來確定是否執(zhí)行一個(gè)或多個(gè)動(dòng)作。
【文檔編號】H04L12/24GK103795565SQ201310742852
【公開日】2014年5月14日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】劉勇 申請人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信科技有限公司