[发明专利]一种网络事件关联分析方法及装置、计算机设备

说明书

本发明涉及一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质，该方法包括：设置事件关联描述文件；根据事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；获取上报的事件，生成状态机，根据上报的事件令状态机在内部规则路径图上运行，且保存每一步运行的记录；当状态机前进至用于上报告警的事件节点，则进行告警信息上送并销毁状态机；判断是否继续检测，是则返回等待新上报的事件的触发。本发明能够实现入侵事件检测，且具有规则条件多样性，入侵线路明确化，误报率低及上下文关系明确的优势。

技术领域

本发明涉及计算机与网络安全技术领域，尤其涉及一种网络事件关联分析方法及装置、计算机设备、计算机可读存储介质。

背景技术

随着计算机技术和网络技术的发展，业务系统的多样性使入侵的方式变得复杂且隐蔽。常见的安全设备例如防火墙、入侵检测系统、证书授权系统、完整性检查工具、杀毒软件等，这些安全组件的独立性产生了报警的冗余，且报警无上下关联。庞杂的消息来源令安全员所需处理的消息变得越来越复杂，使其无法有效判断告警的重要性与问题路径。

网络环境中绝大部分的攻击（入侵）事件都不是独立发生的，相互之间存在着必然的关系，而这种关系因为组件间的独立与隔绝无法形成有效记录。目前，大多数入侵检测技术规则逻辑简单，只是简单记录了事件的发生与发生位置，通过设置阈值的方式在达到阈值时触发告警，规则关联度不够，入侵操作的路径不明确，未经梳理的告警信息大量发送造成对有效告警的干扰，引起事件告警风暴，并且在匹配告警时因为规则简单，导致匹配多数操作形成误报，事件误报率高。

因此，针对以上不足，需要提供一种能够针对事件关联进行分析，进而实现入侵检测的方法。

发明内容

本发明的目的是针对上述至少一部分不足之处，提供一种能够通过事件关联分析实现入侵检测的方法，以减少事件告警风暴，降低事件误报率。

第一方面，本发明提供了一种网络事件关联分析方法，包括如下步骤：

步骤S1、设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；

步骤S2、根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；

步骤S3、获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；

步骤S4、当状态机前进至用于上报告警的事件节点，则进行告警信息上送，并销毁对应的状态机；

步骤S5、判断是否继续检测，是则返回步骤S3等待新上报的事件的触发。

可选地，事件节点的属性包括：名称、详细描述和事态级别；

入侵路径的属性包括：源节点、目标节点和事件触发条件；其中事件触发条件包括阈值类型和阈值设置。

可选地，所述步骤S2中，将得到的规则信息初始化为内部规则路径图时，根据所述事件关联描述文件中记录的各入侵路径的属性，组装各事件节点之间的对应连接关系，作为检测入侵事件的规则信息，进而得到所述内部规则路径图。

可选地，所述步骤S3中，根据上报的事件令状态机在所述内部规则路径图上运行时，通过状态机对事件的数值记录与该状态机所在事件节点位置，判断在获取上报的事件并修改相应的数值记录后，是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件；

若满足，则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点，实现状态变更。