国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)的制作方法

      文檔序號(hào):9914439閱讀:692來源:國(guó)知局
      關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)的制作方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及信息安全領(lǐng)域,特別涉及一種關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)。
      【背景技術(shù)】
      [0002]當(dāng)前,隨著信息技術(shù)領(lǐng)域的發(fā)展,攻擊手段和技術(shù)日益復(fù)雜化,對(duì)于一次入侵事件往往需要多個(gè)步驟才能完成,尤其近年來世界各地頻繁報(bào)出高級(jí)持續(xù)性威脅(AdvancedPersistent Threat,簡(jiǎn)稱:APT)事件,APT事件指的是針對(duì)特定對(duì)象進(jìn)行的長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)且具有極強(qiáng)隱蔽能力的網(wǎng)絡(luò)攻擊行為,此類事件周期長(zhǎng)達(dá)幾年,且可繞過邊界檢測(cè)設(shè)備。
      [0003]但是,現(xiàn)有技術(shù)中存在如下技術(shù)問題:現(xiàn)有技術(shù)的方案為傳統(tǒng)的基于特征匹配的檢測(cè)技術(shù)及基于單時(shí)間點(diǎn)或短暫時(shí)間片段的事件分析技術(shù),但是現(xiàn)有技術(shù)的方案僅能進(jìn)行短周期的關(guān)聯(lián)分析,無法實(shí)現(xiàn)長(zhǎng)期的關(guān)聯(lián)分析,從而無法發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。

      【發(fā)明內(nèi)容】

      [0004]本發(fā)明提供一種關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng),用于能夠發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
      [0005]為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種關(guān)聯(lián)分析方法,包括:
      [0006]接收模塊接收原始數(shù)據(jù);
      [0007]實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù);
      [0008]持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件。
      [0009]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常包括:
      [0010]所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。
      [0011]可選地,所述原始數(shù)據(jù)包括原始事件和/或原始流量。
      [0012]可選地,所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù)包括:
      [0013]所述實(shí)時(shí)分析模塊對(duì)所述原始數(shù)據(jù)中的無效事件進(jìn)行過濾以及對(duì)所述原始數(shù)據(jù)中的重復(fù)事件進(jìn)行合并;
      [0014]所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,按照時(shí)間窗或者數(shù)量窗對(duì)經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。
      [0015]可選地,所述實(shí)時(shí)關(guān)聯(lián)規(guī)則為對(duì)關(guān)鍵屬性相同的數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理。
      [0016]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常包括:
      [0017]所述持續(xù)分析模塊根據(jù)所述關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和特征信息,通過所述分析規(guī)則判斷存儲(chǔ)在內(nèi)存隊(duì)列中的關(guān)聯(lián)數(shù)據(jù)是否異常。
      [0018]可選地,所述數(shù)據(jù)屬性包括攻擊源IP、目的IP、源端口、目的端口、事件數(shù)量、事件級(jí)別和/或事件類型。
      [0019]可選地,所述特征信息包括情報(bào)信息、被攻擊資產(chǎn)的漏洞信息、暴露面信息、資產(chǎn)價(jià)值信息和/或資產(chǎn)上運(yùn)行的業(yè)務(wù)的應(yīng)用信息。
      [0020]可選地,所述若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件包括:
      [0021 ]根據(jù)關(guān)聯(lián)數(shù)據(jù)生成與關(guān)聯(lián)數(shù)據(jù)對(duì)應(yīng)的告警記錄;
      [0022]根據(jù)告警記錄生成告警事件。
      [0023]可選地,所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理之前還包括:
      [0024]規(guī)則更新模塊對(duì)所述實(shí)時(shí)關(guān)聯(lián)規(guī)則進(jìn)行更新處理并將更新后的實(shí)時(shí)關(guān)聯(lián)規(guī)則存入關(guān)聯(lián)規(guī)則集,以供所述實(shí)時(shí)分析模塊從所述關(guān)聯(lián)規(guī)則集中獲取所述實(shí)時(shí)關(guān)聯(lián)規(guī)則。
      [0025]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常之前包括:
      [0026]大數(shù)據(jù)分析模塊對(duì)原始數(shù)據(jù)集進(jìn)行分析生成并實(shí)時(shí)更新所述分析規(guī)則,所述原始數(shù)據(jù)集中存儲(chǔ)有所述原始數(shù)據(jù)。
      [0027]可選地,所述實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理之后還包括:
      [0028]實(shí)時(shí)分析模塊將所述關(guān)聯(lián)數(shù)據(jù)存入關(guān)聯(lián)結(jié)果集。
      [0029]可選地,所述持續(xù)分析模塊根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件之后包括:
      [0030]所述持續(xù)分析模塊若判定出所述告警事件為第一次發(fā)生時(shí),將所述告警事件存入告警事件集并將觸發(fā)所述告警事件的告警記錄存入攻擊過程集;
      [0031]所述持續(xù)分析模塊若判定出再次發(fā)生與所述告警事件相關(guān)的其它事件時(shí),更新所述告警事件集中的所述告警事件并將此次觸發(fā)所述其它事件的告警記錄存入攻擊過程集。
      [0032]為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種關(guān)聯(lián)分析系統(tǒng),包括:
      [0033]接收模塊,用于接收原始數(shù)據(jù);
      [0034]實(shí)時(shí)分析模塊,用于根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)所述原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù);
      [0035]持續(xù)分析模塊,用于根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出所述關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件。
      [0036]可選地,其特征在于,所述持續(xù)分析模塊具體用于根據(jù)分析規(guī)則判斷所述關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。
      [0037]可選地,所述實(shí)時(shí)分析模塊具體用于對(duì)所述原始數(shù)據(jù)中的無效事件進(jìn)行過濾以及對(duì)所述原始數(shù)據(jù)中的重復(fù)事件進(jìn)行合并;根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則,按照時(shí)間窗或者數(shù)量窗對(duì)經(jīng)過過濾和合并后的原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù)。
      [0038]可選地,所述持續(xù)分析模塊具體用于根據(jù)所述關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)屬性和特征信息,通過所述分析規(guī)則判斷存儲(chǔ)在內(nèi)存隊(duì)列中的關(guān)聯(lián)數(shù)據(jù)是否異常。
      [0039]可選地,還包括:
      [0040]規(guī)則更新模塊,用于對(duì)所述實(shí)時(shí)關(guān)聯(lián)規(guī)則進(jìn)行更新處理并將更新后的實(shí)時(shí)關(guān)聯(lián)規(guī)則存入關(guān)聯(lián)規(guī)則集,以供所述實(shí)時(shí)分析模塊從所述關(guān)聯(lián)規(guī)則集中獲取所述實(shí)時(shí)關(guān)聯(lián)規(guī)則。[0041 ] 可選地,還包括:
      [0042]大數(shù)據(jù)分析模塊,用于對(duì)原始數(shù)據(jù)集進(jìn)行分析生成并實(shí)時(shí)更新所述分析規(guī)則,所述原始數(shù)據(jù)集中存儲(chǔ)有所述原始數(shù)據(jù)。
      [0043]可選地,實(shí)時(shí)分析模塊還用于將所述關(guān)聯(lián)數(shù)據(jù)存入關(guān)聯(lián)結(jié)果集。
      [0044]可選地,所述持續(xù)分析模塊還用于若判定出所述告警事件為第一次發(fā)生時(shí),將所述告警事件存入告警事件集并將觸發(fā)所述告警事件的告警記錄存入攻擊過程集;若判定出再次發(fā)生與所述告警事件相關(guān)的其它事件時(shí),更新所述告警事件集中的所述告警事件并將此次觸發(fā)所述其它事件的告警記錄存入攻擊過程集。
      [0045]本發(fā)明具有以下有益效果:
      [0046]本發(fā)明提供的關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)的技術(shù)方案中,接收模塊接收原始數(shù)據(jù),實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù),持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件,實(shí)現(xiàn)了長(zhǎng)期的關(guān)聯(lián)分析,從而能夠發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
      【附圖說明】
      [0047]圖1為本發(fā)明實(shí)施例一提供的一種關(guān)聯(lián)分析方法的流程圖;
      [0048]圖2為本發(fā)明實(shí)施例二提供的一種關(guān)聯(lián)分析方法的流程圖;
      [0049]圖3為本發(fā)明實(shí)施例二中關(guān)聯(lián)分析過程的示意圖;
      [0050]圖4為本發(fā)明實(shí)施例二中數(shù)據(jù)存儲(chǔ)示意圖;
      [0051]圖5為本發(fā)明實(shí)施例二中告警事件追溯到原始數(shù)據(jù)的示意圖;
      [0052]圖6為本發(fā)明實(shí)施例三提供的一種關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖;
      [0053]圖7為本發(fā)明實(shí)施例四提供的一種關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖。
      【具體實(shí)施方式】
      [0054]為使本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明的技術(shù)方案,下面結(jié)合附圖對(duì)本發(fā)明提供的進(jìn)行詳細(xì)描述。
      [0055]圖1為本發(fā)明實(shí)施例一提供的一種關(guān)聯(lián)分析方法的流程圖,如圖1所示,該方法包括:
      [0056]步驟101、接收模塊接收原始數(shù)據(jù)。
      [0057]本實(shí)施例中,原始數(shù)據(jù)可包括原始事件和/或原始流量。該原始數(shù)據(jù)可以是實(shí)時(shí)的原始數(shù)據(jù)。接收模塊可接收經(jīng)過預(yù)處理的原始數(shù)據(jù)。
      [0058]本實(shí)施例中,在接收模塊接收原始數(shù)據(jù)之前,還可以由預(yù)處理模塊對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理。由于預(yù)處理之前的原始數(shù)據(jù)的格式不同,因此需要通過預(yù)處理過程對(duì)原始數(shù)據(jù)進(jìn)行格式處理。具體地,預(yù)處理模塊可原始數(shù)據(jù)進(jìn)行解析,提取出原始數(shù)據(jù)的屬性和值,對(duì)屬性和值按照預(yù)定的格式進(jìn)行規(guī)范化處理,以得出經(jīng)過預(yù)處理的原始數(shù)據(jù)。經(jīng)過預(yù)處理的原始數(shù)據(jù)具備相同的格式,從而便于后續(xù)步驟對(duì)原始數(shù)據(jù)進(jìn)行處理。
      [0059]步驟102、實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理,生成關(guān)聯(lián)數(shù)據(jù)。
      [0060]步驟103、持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件。
      [0061 ]本步驟具體包括:持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否攜帶惡意內(nèi)容或者為異常行為。
      [0062]本實(shí)施例提供的關(guān)聯(lián)分析方法的技術(shù)方案中,接收模塊接收原始數(shù)據(jù),實(shí)時(shí)分析模塊根據(jù)實(shí)時(shí)關(guān)聯(lián)規(guī)則對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)處理生成關(guān)聯(lián)數(shù)據(jù),持續(xù)分析模塊根據(jù)分析規(guī)則判斷關(guān)聯(lián)數(shù)據(jù)是否異常,若判斷出關(guān)聯(lián)數(shù)據(jù)異常時(shí)生成告警事件,實(shí)現(xiàn)了長(zhǎng)期的關(guān)聯(lián)分析,從而能夠發(fā)現(xiàn)周期長(zhǎng)、隱蔽性強(qiáng)的攻擊行為。
      [0063]圖2為本發(fā)明實(shí)施例二提供的一種關(guān)聯(lián)分析方法的流程圖,如圖2所示,該方法包括:
      [0064]步驟201、接收模塊接收原始數(shù)據(jù)。
      [0065]本實(shí)施例中,原始數(shù)據(jù)可
      當(dāng)前第1頁1 2 3 4 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1