一种网络事件关联分析方法和装置制造方法

一种网络事件关联分析方法和装置制造方法
【专利摘要】本发明提出了一种网络事件关联分析方法和装置。其中所述方法包括：从场景库中选择一个或多个场景；分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则；当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。本发明通过场景库和规则的结合来进行网络事件关联分析，解决了现有网络事件关联分析中描述能力差的问题，并实现了良好的技术效果。
【专利说明】一种网络事件关联分析方法和装置
【技术领域】
[0001]本发明涉及网络事件关联分析领域，具体地，涉及一种网络事件关联分析方法和装置。
【背景技术】
[0002]在网络传输中，产生诸如HTTP、FTP等网络事件，这些单个独立的网络事件，其本身看来是正常的网络行为，不带有任何危害，但对于多个相关事件联合分析后，则可能挖掘出潜藏在网络事件之前的关系，这即为网络事件的关联分析。
[0003]常用的关联分析方法是基于状态机实现的。状态机是它是一个有向图形，由一组节点和一组相应的转移函数组成。状态机通过响应一系列事件而“运行”。每个事件都在属于“当前”节点的转移函数的控制范围内，其中函数的范围是节点的一个子集。函数返回“下一个”(也许是同一个)节点。这些节点中至少有一个必须是终态。当到达终态，状态机停止。
[0004]将状态机应用于网络事件关联分析，已经是一种较为普遍的认识，也是一种较为常用的方法。一般通过专业人员编写状态机应用场景，应用程序通过分析状态机应用场景，实现关联分析功能。
[0005]但现有的通过状态机实现的方法存在以下的缺陷:现有状态机应用场景经常需要专业人员编写，对于非专业人员无法理解，更无法修改；现有状态机应用场景经常使用非可视化语言编写，诸如脚本等，描述能力差，无相关基础的人员无法读写和修改。

【发明内容】

[0006]针对现有技术中存在的上述缺陷，本发明提出了一种网络事件关联分析方法和装置。
[0007]本发明提出了一种网络事件关联分析方法，该方法包括:从场景库中选择一个或多个场景；分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则；当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。
[0008]本发明还提出了一种网络事件关联分析装置，该装置包括:场景选择模块，用于从场景库中选择一个或多个场景；规则过滤模块，用于分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则；分析模块，用于当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。
[0009]本发明通过场景库和规则的结合来进行网络事件关联分析，解决了现有网络事件关联分析中描述能力差的问题，并实现了良好的技术效果。
【专利附图】

【附图说明】
[0010]图1示出了根据本发明的一种网络事件关联分析方法；[0011]图2示出了所选择的一个或多个场景形成的场景链。
【具体实施方式】
[0012]图1示出了根据本发明的一种网络事件关联分析方法。
[0013]在步骤110中，从场景库中选择一个或多个场景。
[0014]可以根据环境、系统或网络配置的需要或对风险的分析，预先创建场景库，其中包括至少一个场景。所述场景可包括例如异常登录检测场景、关键服务访问检测场景、异常网络操作行为检测场景、潜在危害分析场景等。可以认为所选择的一个或多个场景形成场景链，如图2所示。
[0015]下面出了一种示例性场景格式:
[0016]
【权利要求】
1.一种网络事件关联分析方法，该方法包括: 从场景库中选择一个或多个场景； 分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则； 当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。
2.根据权利要求1所述的方法，其中所述对新的网络事件进行分析包括对所述新的网络事件在内的网络事件组进行整体分析。
3.根据权利要求1或2所述的方法，该方法还包括: 根据分析结果来确定是否执行一个或多个动作。
4.一种网络事件关联分析装置，该装置包括: 场景选择模块，用于从场景库中选择一个或多个场景； 规则过滤模块，用于分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则； 分析模块，用于当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。
5.根据权利要求4所述的装置，其中上述分析模块被配置为对包括对包括所述新的网络事件在内的网络事件组进行整体分析。
6.根据权利要求4或5所述的装置，所述装置还被配置为根据分析结果来确定是否执行一个或多个动作。
【文档编号】H04L12/24GK103795565SQ201310742852
【公开日】2014年5月14日 申请日期:2013年12月27日 优先权日:2013年12月27日
【发明者】刘勇 申请人:北京天融信软件有限公司, 北京天融信网络安全技术有限公司, 北京天融信科技有限公司