一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置制造方法
【專利摘要】本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置����。其中所述方法包括:從場景庫中選擇一個或多個場景�;分析所選場景中的規(guī)則�����,丟棄掉不合法的規(guī)則���,保留有效規(guī)則�����;當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時��,針對所選擇的場景中的每一個場景�,利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析�����。本發(fā)明通過場景庫和規(guī)則的結(jié)合來進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析���,解決了現(xiàn)有網(wǎng)絡(luò)事件關(guān)聯(lián)分析中描述能力差的問題���,并實現(xiàn)了良好的技術(shù)效果���。
【專利說明】一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)事件關(guān)聯(lián)分析領(lǐng)域,具體地����,涉及一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)傳輸中�����,產(chǎn)生諸如HTTP�����、FTP等網(wǎng)絡(luò)事件��,這些單個獨立的網(wǎng)絡(luò)事件�,其本身看來是正常的網(wǎng)絡(luò)行為�,不帶有任何危害,但對于多個相關(guān)事件聯(lián)合分析后����,則可能挖掘出潛藏在網(wǎng)絡(luò)事件之前的關(guān)系,這即為網(wǎng)絡(luò)事件的關(guān)聯(lián)分析���。
[0003]常用的關(guān)聯(lián)分析方法是基于狀態(tài)機(jī)實現(xiàn)的���。狀態(tài)機(jī)是它是一個有向圖形�����,由一組節(jié)點和一組相應(yīng)的轉(zhuǎn)移函數(shù)組成�。狀態(tài)機(jī)通過響應(yīng)一系列事件而“運行”��。每個事件都在屬于“當(dāng)前”節(jié)點的轉(zhuǎn)移函數(shù)的控制范圍內(nèi)�����,其中函數(shù)的范圍是節(jié)點的一個子集�。函數(shù)返回“下一個”(也許是同一個)節(jié)點。這些節(jié)點中至少有一個必須是終態(tài)����。當(dāng)?shù)竭_(dá)終態(tài),狀態(tài)機(jī)停止����。
[0004]將狀態(tài)機(jī)應(yīng)用于網(wǎng)絡(luò)事件關(guān)聯(lián)分析,已經(jīng)是一種較為普遍的認(rèn)識��,也是一種較為常用的方法。一般通過專業(yè)人員編寫狀態(tài)機(jī)應(yīng)用場景����,應(yīng)用程序通過分析狀態(tài)機(jī)應(yīng)用場景,實現(xiàn)關(guān)聯(lián)分析功能��。
[0005]但現(xiàn)有的通過狀態(tài)機(jī)實現(xiàn)的方法存在以下的缺陷:現(xiàn)有狀態(tài)機(jī)應(yīng)用場景經(jīng)常需要專業(yè)人員編寫�����,對于非專業(yè)人員無法理解��,更無法修改����;現(xiàn)有狀態(tài)機(jī)應(yīng)用場景經(jīng)常使用非可視化語言編寫,諸如腳本等��,描述能力差���,無相關(guān)基礎(chǔ)的人員無法讀寫和修改。
【發(fā)明內(nèi)容】
[0006]針對現(xiàn)有技術(shù)中存在的上述缺陷�,本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。
[0007]本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法���,該方法包括:從場景庫中選擇一個或多個場景���;分析所選場景中的規(guī)則��,丟棄掉不合法的規(guī)則����,保留有效規(guī)則���;當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時�,針對所選擇的場景中的每一個場景�����,利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析�。
[0008]本發(fā)明還提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析裝置,該裝置包括:場景選擇模塊�,用于從場景庫中選擇一個或多個場景;規(guī)則過濾模塊����,用于分析所選場景中的規(guī)則,丟棄掉不合法的規(guī)則�,保留有效規(guī)則�����;分析模塊����,用于當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時��,針對所選擇的場景中的每一個場景�����,利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析�����。
[0009]本發(fā)明通過場景庫和規(guī)則的結(jié)合來進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析����,解決了現(xiàn)有網(wǎng)絡(luò)事件關(guān)聯(lián)分析中描述能力差的問題,并實現(xiàn)了良好的技術(shù)效果��。
【專利附圖】
【附圖說明】
[0010]圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法���;[0011]圖2示出了所選擇的一個或多個場景形成的場景鏈�。
【具體實施方式】
[0012]圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法�。
[0013]在步驟110中,從場景庫中選擇一個或多個場景���。
[0014]可以根據(jù)環(huán)境����、系統(tǒng)或網(wǎng)絡(luò)配置的需要或?qū)︼L(fēng)險的分析����,預(yù)先創(chuàng)建場景庫,其中包括至少一個場景���。所述場景可包括例如異常登錄檢測場景�、關(guān)鍵服務(wù)訪問檢測場景��、異常網(wǎng)絡(luò)操作行為檢測場景�����、潛在危害分析場景等�����。可以認(rèn)為所選擇的一個或多個場景形成場景鏈����,如圖2所示。
[0015]下面出了一種示例性場景格式:
[0016]
【權(quán)利要求】
1.一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法��,該方法包括: 從場景庫中選擇一個或多個場景�; 分析所選場景中的規(guī)則,丟棄掉不合法的規(guī)則��,保留有效規(guī)則��; 當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時�,針對所選擇的場景中的每一個場景,利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析�。
2.根據(jù)權(quán)利要求1所述的方法,其中所述對新的網(wǎng)絡(luò)事件進(jìn)行分析包括對所述新的網(wǎng)絡(luò)事件在內(nèi)的網(wǎng)絡(luò)事件組進(jìn)行整體分析���。
3.根據(jù)權(quán)利要求1或2所述的方法��,該方法還包括: 根據(jù)分析結(jié)果來確定是否執(zhí)行一個或多個動作�����。
4.一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析裝置��,該裝置包括: 場景選擇模塊���,用于從場景庫中選擇一個或多個場景; 規(guī)則過濾模塊���,用于分析所選場景中的規(guī)則��,丟棄掉不合法的規(guī)則�����,保留有效規(guī)則��; 分析模塊���,用于當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時,針對所選擇的場景中的每一個場景�����,利用為該場景所選擇的有效規(guī)則對所述新的網(wǎng)絡(luò)事件進(jìn)行分析����。
5.根據(jù)權(quán)利要求4所述的裝置�����,其中上述分析模塊被配置為對包括對包括所述新的網(wǎng)絡(luò)事件在內(nèi)的網(wǎng)絡(luò)事件組進(jìn)行整體分析��。
6.根據(jù)權(quán)利要求4或5所述的裝置�,所述裝置還被配置為根據(jù)分析結(jié)果來確定是否執(zhí)行一個或多個動作�����。
【文檔編號】H04L12/24GK103795565SQ201310742852
【公開日】2014年5月14日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】劉勇 申請人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信科技有限公司