威胁事件告警方法、装置、告警设备及机器可读存储介质与流程
本发明涉及网络安全技术领域,特别是涉及一种威胁事件告警方法、装置、告警设备及机器可读存储介质。
背景技术:
随着网络环境的日趋复杂,网络攻击日益猖獗,为了保证网络系统内部终端的安全性,大型机构的网络系统通常会部署大量的防火墙、ips(intrusionpreventionsystem,入侵防御系统)、交换机等网络安全设备,用来对终端进行安全监控,不同的网络安全设备会对针对于终端的不同安全事件进行监控。各网络安全设备会将对终端进行监控得到的安全事件的告警信息发送给后台告警设备,告警设备一旦识别出某一个网络安全设备检测到终端发生安全事件,则会产生事件告警信息,以提示网络管理员,发生了针对终端的安全事件。
然而,每个网络安全设备监控的是针对于终端的不同安全事件,上述告警方法中,各网络安全设备对终端的监控是相互独立的,各网络安全设备会上报大量的告警信息,而网络安全设备的数量也较多,告警信息会非常庞大,数量庞大的告警信息会给网络管理员在处理告警信息时带来繁重负担。
技术实现要素:
本发明实施例的目的在于提供一种威胁事件告警方法、装置、告警设备及机器可读存储介质,以缩减告警信息的数量。具体技术方案如下:
第一方面,本发明实施例提供了一种威胁事件告警方法,该方法包括:
接收指定组网内各设备上报的子事件的安全信息;
利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型;
基于关联分析结果,生成威胁事件告警信息。
第二方面,本发明实施例提供了一种威胁事件告警装置,该装置包括:
接收模块,用于接收指定组网内各设备上报的子事件的安全信息;
分析模块,用于利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型;
生成模块,用于基于关联分析结果,生成威胁事件告警信息。
第三方面,本发明实施例提供了一种告警设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本发明实施例第一方面所提供的方法。
第四方面,本发明实施例提供了一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器执行本发明实施例第一方面所提供的方法。
本发明实施例提供的一种威胁事件告警方法、装置、告警设备及机器可读存储介质,告警设备接收指定组网内各设备上报的子事件的安全信息,利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型,基于关联分析结果,生成威胁事件告警信息。关联模型定义了不同的指定子事件之间的关联规则以及每个指定子事件的安全信息的匹配条件,反映了多个指定子事件导致一个威胁事件的过程,利用关联模型对接收到的所有子事件进行关联分析,通过关联模型对安全信息的匹配条件和关联规则的匹配过程,能够发现通过分析单个子事件难以发现的潜在威胁事件,将具有关联关系的多个子事件关联成一个威胁事件进行告警,告警信息的数量得以明显减少,因此,能够减轻网络管理员在处理告警信息时的负担。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的威胁事件告警方法的流程示意图;
图2为本发明实施例的关联模型的结构示意图;
图3为本发明实施例的顺序关联的子事件匹配流程示意图;
图4为本发明实施例的与逻辑关联的子事件匹配流程示意图;
图5为本发明实施例的或逻辑关联的子事件匹配流程示意图;
图6为本发明实施例的6类规则的示意图;
图7为本发明实施例的威胁事件列表的示意图;
图8为本发明实施例的子事件列表的示意图;
图9为本发明实施例的蠕虫病毒攻击事件告警场景下关联模型的结构示意图;
图10为本发明实施例的蠕虫病毒攻击事件告警场景下告警信息生成的流程示意图;
图11为本发明实施例的蠕虫病毒攻击事件告警场景下威胁事件列表的示意图;
图12为本发明实施例的蠕虫病毒攻击事件告警场景下子事件b对应的子事件列表的示意图;
图13为本发明实施例的蠕虫病毒攻击事件告警场景下子事件c对应的子事件列表的示意图;
图14为本发明实施例的威胁事件告警装置的结构示意图;
图15为本发明实施例的告警设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了缩减告警信息的数量,减轻网络管理员在处理告警信息时的负担,本发明实施例提供了一种威胁事件告警方法、装置、告警设备及机器可读存储介质。下面,首先对本发明实施例所提供的威胁事件告警方法进行介绍。
本发明实施例所提供的威胁事件告警方法的执行主体可以为告警设备,告警设备具有安全事件告警功能,可以为网络系统的后台服务器。
如图1所示,本发明实施例所提供的一种威胁事件告警方法,至少包括如下步骤。
s101,接收指定组网内各设备上报的子事件的安全信息。
告警设备对指定组网进行安全事件告警,指定组网内的安全设备(例如防火墙设备、ips设备、交换机等)、网络设备、终端设备、业务系统等会对网络访问、攻击事件等进行统计,产生的日志、报警等安全信息,并将安全信息发送至告警设备,安全信息可以包括子事件的类型、子事件名称、子事件发生的时间、终端设备的设备信息等。
指定组网内的各设备检测到的子事件反映了攻击的动态过程中的每个步骤,例如对终端的扫描事件、缓冲区溢出事件、木马注入事件等。
可选的,在执行s101之后,本发明实施例所提供的威胁事件告警方法还可以执行:对接收到的各子事件的安全信息进行归一化处理,得到数据格式统一的各子事件的安全信息。
由于不同设备的品牌、型号不同,监控得到的子事件安全信息的数据格式也会不相同,为了便于后续的统一分析,在接收到组网内各设备上报的子事件的安全信息之后,首先可以对这些安全信息进行归一化处理,将所有子事件的安全信息的数据格式进行统一,令所有的子事件的安全信息都具有相同的数据格式。
s102,利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型。
外部入侵指定组网内部的行为和组网内部设备自身的违规行为一般来讲不是单一的,各行为之间是有时序或者逻辑上关联的。例如对于一次典型的远程缓冲区溢出攻击来说,主要需经历扫描过程、缓冲区溢出尝试、shellcode(一种漏洞代码)执行、远程访问权限获取、进一步破坏等几个步骤,攻击的每一个步骤都可能会触发不同的子事件,这些子事件有的反映了攻击的动态行为,有的反映了被攻击终端的状态变化。
为了应对上述情况,本发明实施例中,在告警设备上预先建立了一种关联模型,关联模型是预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型,反映了一个威胁告警事件的动态过程和状态,是对攻击场景的建模。如图2所示,本发明实施例的一种实施方式下,关联模型为树型关联模型,树形关联模型是基于树形关联规则构建的,树形关联规则中定义了多个指定子事件的安全信息的匹配条件和多个指定子事件之间的关联规则,描述了一系列步骤的攻击行为或攻击状态,是对攻击过程的抽象。当然,树型关联模型只是作为关联模型的一种示例,包含有多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型都可以作为关联模型,均属于本发明实施例的保护范围。其中,关联规则至少包括逻辑关联和/或时序关联。
在实际应用中,需要有一种统一的方法将关联模型进行详细描述和存储,一方面用于关联模型的增加和维护,另一方面用于告警设备进行加载和解析,从而对各种子事件进行关联。一般情况下可以采用xml(extensiblemarkuplanguage,可扩展标记语言)、excel(一种电子表格软件)等语言或者软件对关联模型进行构建和存储。由于xml本身具有强大的数据描述能力,且有层次化的特性,可以方便地对关联模型进行建模,另外它结构良好,易于扩展,也有利于模型的维护和移植,因此,本发明实施例可以采用xml对关联模型进行建模。
s103,基于关联分析结果,生成威胁事件告警信息。
利用关联模型对接收到的所有子事件的安全信息进行关联分析,能够得到各子事件的安全信息是否与关联模型中任一指定子事件的安全信息的匹配条件相匹配以及各子事件是否与关联模型中上述任一指定子事件对应的关联规则相匹配的关联分析结果,基于该关联分析结果即可确定出是否存在针对指定组网或者针对指定组网内部某些设备的威胁事件,并生成相应的威胁事件告警信息。
如果单独分析上述子事件,难以发现威胁事件,通过本发明实施例的关联模型进行关联分析,能够分析出难以发现的威胁事件,在进行告警时,则可以不对上述各子事件进行告警,而是对关联出来的威胁事件进行告警,告警信息的数量得以明显缩减。
可选的,s102具体可以为:依次针对接收到的各子事件,判断该子事件的安全信息是否匹配关联模型中任一指定子事件的安全信息的匹配条件、以及该子事件是否匹配关联模型中上述任一指定子事件对应的关联规则,得到关联分析结果。
s103具体可以为:针对各子事件,若该子事件的安全信息匹配关联模型中任一指定子事件对应的匹配条件、且该子事件匹配关联模型中上述任一指定子事件对应的关联规则,则生成该子事件相关的威胁事件告警信息。
例如,关联模型中定义了5个子事件(子事件1、子事件2、子事件3、子事件4和子事件5),各子事件之间的关联规则为:子事件1或子事件2发生的前提下,如果子事件3发生,则有威胁事件a发生,子事件4发生后子事件5发生,则有威胁事件b发生。在接收到组网内上报的子事件的安全信息后,如果有一个子事件匹配子事件1的安全信息的匹配条件,则说明子事件1发生,且匹配了子事件1或子事件2发生的关联规则,进行是否有子事件匹配子事件3的判断,如果有一个子事件匹配子事件3的安全信息的匹配条件,则可以确定有威胁事件a发生,生成威胁事件a发生的告警信息;如果有一个子事件匹配子事件4的安全信息的匹配条件,则说明子事件4发生,但是并没有子事件匹配子事件5的安全信息的匹配条件,则可以确定威胁事件b并没有发生,因此不会生成威胁事件b发生的告警信息。
可选的,关联规则至少可以包括:或逻辑关联、与逻辑关联、顺序关联中的至少一种。
不同子事件之间的关联规则反映了各子事件的不同层次的步骤关系,一般情况下关联规则包括或逻辑关联、与逻辑关联、顺序关联等。
顺序关联是指在一个子事件的安全信息与关联模型中某一个指定子事件的安全信息的匹配条件匹配成功的情况下,再进行下一个子事件的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配,如图3所示,子事件r1的安全信息与关联模型中某一指定子事件的安全信息的匹配条件匹配成功后,再进行子事件r2的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配,同理,r2的安全信息与关联模型中某一指定子事件的安全信息的匹配条件匹配成功后,再进行子事件r3的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配。
与逻辑关联是指在多个子事件的安全信息与关联模型中多个指定子事件的安全信息的匹配条件都匹配成功的情况下,再进行下一个步骤的子事件的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配,如图4所示,子事件r1、r2和r3的安全信息与关联模型中多个指定子事件的安全信息的匹配条件都匹配成功的情况下,才可以进行子事件r4的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配。
或逻辑关联是指在多个子事件中任一子事件的安全信息与关联模型中某一个指定子事件的安全信息的匹配条件匹配成功时,则可进行下一个步骤的子事件的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配,如图5所示,子事件r1、r2和r3中任一个子事件的安全信息与关联模型中某一个指定子事件的安全信息的匹配条件匹配成功时,则可以进行子事件r4的安全信息与关联模型中指定子事件的安全信息的匹配条件的匹配。
可选的,匹配条件可以包括统计匹配条件、情报匹配条件、漏洞匹配条件和状态匹配条件中的至少一种。
其中,统计匹配条件包括预设时段内发生子事件的次数不少于预设次数的匹配条件;情报匹配条件包括存在被攻击终端的设备信息的匹配条件;漏洞匹配条件包括存在漏洞的软件信息的匹配条件;状态匹配条件包括终端的cpu(centralprocessingunit,中央处理器)利用率超过预设阈值的匹配条件。
匹配条件主要包括统计匹配条件、情报匹配条件、漏洞匹配条件和状态匹配条件等。统计匹配条件是预设时段内发生子事件的次数不少于预设次数的匹配条件,如果在预设时段内,一个子事件的发生次数不少于预设次数,则认为匹配统计匹配条件,例如一个子事件在300秒内发生了不少于5次,则认为该子事件匹配统计匹配条件。情报匹配条件是存在被攻击终端的设备信息的匹配条件,如果接收到的某个子事件的安全信息中终端的设备信息是被攻击终端的设备信息,则认为该子事件的安全信息匹配情报匹配条件,情报匹配条件可以是外部情报收集设备收集到各存在被攻击意图的终端的设备信息后发送到告警设备设置的。漏洞匹配条件是存在漏洞的软件信息的匹配条件,如果接收到的某个子事件的安全信息中终端的软件信息是存在漏洞的软件信息,则认为该子事件的安全信息匹配漏洞匹配条件,漏洞匹配条件可以是漏洞扫描设备扫描到各存在漏洞的终端的软件信息后发送到告警设备设置的。状态匹配条件为终端的cpu利用率超过预设阈值的匹配条件,如果接收到的某个子事件的安全信息中终端的cpu利用率超过预设阈值,则认为匹配状态匹配条件,例如一个子事件的安全信息中终端的cpu利用率超过90%,则认为该子事件的安全信息匹配状态匹配条件。
综上所述,本发明实施例的一种实现方式中,可以包括以上6类规则,即逻辑关联规则、时序关联规则、统计匹配规则、情报匹配规则、漏洞匹配规则和状态匹配规则。6类规则示例如图6所示。
(1)统计匹配:300秒内发生该子事件不少于5次。
(2)逻辑关联:只有发生了子事件a和子事件b时,才能发生子事件c。
(3)状态匹配:该终端的cpu利用率超过90%,可能发生ddos攻击。
(4)时序关联:子事件a先发生、子事件b后发生,最后子事件c发生。
(5)情报匹配:威胁情报显示勒索病毒在windows主机蔓延,当前终端为windows主机。
(6)漏洞匹配:目前某个漏洞受到攻击,该终端存在的就是这个漏洞。
可选的,在执行s203之后,本发明实施例所提供的威胁事件告警方法还可以执行:
利用威胁事件列表,记录威胁事件告警信息及所有子事件之间的关联规则,并将威胁事件列表呈现至事件页面;
和/或,
利用子事件列表,记录所有子事件的安全信息及匹配条件,并将子事件列表呈现至事件页面。
在进行威胁事件告警的过程中,威胁事件作为多个关联的子事件关联分析得到的新的潜在安全事件,可以对威胁事件的告警信息和所有子事件之间的关联规则进行存储,具体可以是利用威胁事件列表对这些数据进行存储,然后将该列表呈现至事件页面。事件页面所呈现的威胁事件列表如图7所示,列表中的参数主要包括:
(1)事件名称:威胁事件的唯一标识。
(2)事件描述:事件的相关信息。
(3)关联条件:是指如何基于子事件进行关联分析的一种逻辑表达,需要通过哪些匹配条件依托特定的连接条件和匹配条件间序列关系来进行匹配。
匹配条件:一个匹配条件就是一个用来匹配某类事件的组合条件。
连接条件:是指基于某几个匹配条件之间根据哪个字段进行连接,连接的方式包括“=”、“!=”、“<”、“>”、“<=”、“>=”。
匹配条件间序列关系:包括“顺序匹配”、“全部匹配”、“任一匹配”。其中,“顺序匹配”是指满足多个匹配条件的子事件顺序发生,“全部匹配”是指多条子事件全部发生,“任一匹配”是指满足任意一个匹配条件的子事件发生。
(4)时间窗:威胁事件告警的时间段,只有在时间窗内达到规定次数才会对威胁事件进行告警。时间窗范围单位可以为分钟/小时/天等,必须是正整数,最多60天为上限。
(5)威胁等级:定义威胁事件的威胁等级,可以分为很低、低、中、高、很高几个等级。
(6)事件告警描述:定义匹配成功的威胁事件的详细描述。
同理,还可以对所有子事件的安全信息和匹配条件进行存储,具体可以是利用子事件列表对这些数据进行存储,然后将该列表呈现至事件页面。事件页面所呈现的子事件列表如图8所示,列表中的参数主要包括:
(1)子事件名称:子事件的唯一标识。
(2)子事件描述:子事件的相关信息。
(3)匹配条件:子事件需要匹配的条件,匹配则说明该子事件为与其他子事件有关联规则的子事件。
(4)时间窗:子事件上报的时间段,只有在时间窗内达到规定次数才会上报子事件。时间窗范围单位可以为分钟/小时/天等,必须是正整数,最多1天为上限。
(5)威胁等级:定义子事件的威胁等级,可以分为很低、低、中、高、很高几个等级。
应用本发明实施例,告警设备接收指定组网内各设备上报的子事件的安全信息,利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型,基于关联分析结果,生成威胁事件告警信息。关联模型定义了不同的指定子事件之间的关联规则以及每个指定子事件的安全信息的匹配条件,反映了多个指定子事件导致一个威胁事件的过程,利用关联模型对接收到的所有子事件进行关联分析,通过关联模型对安全信息的匹配条件和关联规则的匹配过程,能够发现通过分析单个子事件难以发现的潜在威胁事件,将具有关联关系的多个子事件关联成一个威胁事件进行告警,告警信息的数量得以明显减少,因此,能够减轻网络管理员在处理告警信息时的负担。
为了便于理解,下面以蠕虫病毒攻击事件为例,采用关联模型(如图9所示),进行事件告警,事件告警信息生成过程如图10所示,主要包括如下步骤:
事件a的告警信息的生成,涉及两种子事件的关联分析,分别为:
子事件b:防火墙发现病毒事件。子事件b的安全信息主要包括协议类型、应用协议名称、源ip(internetprotocol,网络协议)地址、源端口号、目的ip地址、目的端口号、源vpn(virtualprivatenetwork,虚拟专用网络)名称、源安全域名称、目的安全域名称、策略名称、病毒名称、病毒标识、严重级别、动作名称、次数等。子事件b的匹配过程是基于状态匹配,防火墙发现病毒载荷特征,且终端为windows主机,则确定子事件b发生。
子事件c:暴力破解事件。子事件c的安全信息主要包括协议名称、源ip地址、目的ip地址、动作类型、攻击开始时间、次数等。子事件c的匹配过程是基于统计匹配,防火墙发现端口被扫描的次数达到预定的次数,则确定子事件c发生。
对于“发现蠕虫病毒攻击”这条事件a是基于一段时间内的发生子事件b“发现病毒”和子事件c“发现端口被扫描”,按照子事件b和子事件c的安全信息,通过关联模型定义的与逻辑关联进行综合分析,识别出威胁事件“发现蠕虫病毒攻击”。
相应的,分别可以得到如图11所示的威胁事件列表记录威胁事件“发现蠕虫病毒攻击”并呈现在事件页面上,其中,#1表示子事件c、#2表示子事件b;#1.exsist=1和#2.exsist=1分别表示存在子事件c和子事件b的匹配条件,等于1即表示存在对应的子事件;#1.dstip=#2.distip表征连接条件,是指子事件c的目的ip遭受子事件b的蠕虫病毒攻击(如事件上报描述中所述),seq{#1,#2}表征两个子事件是顺序匹配,即先进行子事件c的匹配,再进行子事件b的匹配;300=atleast{1}表示300秒内至少检测到1次蠕虫病毒攻击则进行告警;max={#1.威胁等级,#2.威胁等级}表示威胁事件a的威胁等级取子事件c和子事件b中最大的威胁等级。
还可以得到如图12所示的子事件列表记录子事件“端口扫描事件”、如图13所示的子事件列表记录子事件“防火墙发现病毒事件”,并在事件页面上呈现这两个子事件列表。其中,#1.result=success表示子事件c的检测结果为扫描成功;100=atleast{20}表示100秒内至少检测到20次扫描事件则进行告警;子事件c的威胁等级为2级。#2.threat>=medium表示子事件b检测到的病毒攻击大于一般值;#2.result=success表示子事件b的检测结果为病毒攻击成功;100=atleast{1}表示100秒内至少检测到1次病毒攻击事件则进行告警;子事件b的威胁等级为1级。综上述,威胁事件a的威胁等级取子事件c和子事件b中最大的威胁等级,则威胁事件a的威胁等级为2级。
相应于上述方法实施例,本发明实施例提供了一种威胁事件告警装置,如图14所示,该装置可以包括:
接收模块1410,用于接收指定组网内各设备上报的子事件的安全信息;
分析模块1420,用于利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间的关联规则的模型;
生成模块1430,用于基于关联分析结果,生成威胁事件告警信息。
可选的,装置还可以包括:
归一化处理模块,用于对接收到的各子事件的安全信息进行归一化处理,得到数据格式统一的各子事件的安全信息。
可选的,分析模块1420,具体可以用于:
依次针对接收到的各子事件,判断该子事件的安全信息是否匹配关联模型中任一指定子事件的安全信息的匹配条件、以及该子事件是否匹配关联模型中上述任一指定子事件对应的关联规则,得到关联分析结果;
生成模块1430,具体可以用于:
针对各子事件,若该子事件的安全信息匹配关联模型中任一指定子事件对应的匹配条件、且该子事件匹配关联模型中上述任一指定子事件对应的关联规则,则生成该子事件相关的威胁事件告警信息。
可选的,匹配条件可以包括统计匹配条件、情报匹配条件、漏洞匹配条件和状态匹配条件中的至少一种;
其中,统计匹配条件包括预设时段内发生子事件的次数不少于预设次数的匹配条件;情报匹配条件包括存在被攻击终端的设备信息的匹配条件;漏洞匹配条件包括存在漏洞的软件信息的匹配条件;状态匹配条件包括终端的cpu利用率超过预设阈值的匹配条件;
关联规则至少可以包括:或逻辑关联、与逻辑关联、顺序关联中的至少一种。
可选的,装置还可以包括显示模块,用于:
利用威胁事件列表,记录威胁事件告警信息及所有子事件之间的关联规则,并将威胁事件列表呈现至事件页面;
和/或,
利用子事件列表,记录所有子事件的安全信息及匹配条件,并将子事件列表呈现至事件页面。
应用本发明实施例,告警设备接收指定组网内各设备上报的子事件的安全信息,利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型,基于关联分析结果,生成威胁事件告警信息。关联模型定义了不同的指定子事件之间的关联规则以及每个指定子事件的安全信息的匹配条件,反映了多个指定子事件导致一个威胁事件的过程,利用关联模型对接收到的所有子事件进行关联分析,通过关联模型对安全信息的匹配条件和关联规则的匹配过程,能够发现通过分析单个子事件难以发现的潜在威胁事件,将具有关联关系的多个子事件关联成一个威胁事件进行告警,告警信息的数量得以明显减少,因此,能够减轻网络管理员在处理告警信息时的负担。
本发明实施例还提供了一种告警设备,如图15所示,包括处理器1501和机器可读存储介质1502,机器可读存储介质1502存储有能够被处理器1501执行的机器可执行指令,处理器1501被机器可执行指令促使执行本发明实施例所提供的威胁事件告警方法的所有步骤。
上述计算机可读存储介质可以包括ram(randomaccessmemory,随机存取存储器),也可以包括nvm(non-volatilememory,非易失性存储器),例如至少一个磁盘存储器。可选的,计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括cpu(centralprocessingunit,中央处理器)、np(networkprocessor,网络处理器)等;还可以是dsp(digitalsignalprocessor,数字信号处理器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本实施例中,处理器1501通过读取机器可读存储介质1502中存储的机器可执行指令,被机器可执行指令促使能够实现:告警设备接收指定组网内各设备上报的子事件的安全信息,利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型,基于关联分析结果,生成威胁事件告警信息。关联模型定义了不同的指定子事件之间的关联规则以及每个指定子事件的安全信息的匹配条件,反映了多个指定子事件导致一个威胁事件的过程,利用关联模型对接收到的所有子事件进行关联分析,通过关联模型对安全信息的匹配条件和关联规则的匹配过程,能够发现通过分析单个子事件难以发现的潜在威胁事件,将具有关联关系的多个子事件关联成一个威胁事件进行告警,告警信息的数量得以明显减少,因此,能够减轻网络管理员在处理告警信息时的负担。
另外,本发明实施例还提供了一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器执行本发明实施例所提供的威胁事件告警方法的所有步骤。
本实施例中,机器可读存储介质在运行时执行本发明实施例所提供的威胁事件告警方法的机器可执行指令,因此能够实现:告警设备接收指定组网内各设备上报的子事件的安全信息,利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型,基于关联分析结果,生成威胁事件告警信息。关联模型定义了不同的指定子事件之间的关联规则以及每个指定子事件的安全信息的匹配条件,反映了多个指定子事件导致一个威胁事件的过程,利用关联模型对接收到的所有子事件进行关联分析,通过关联模型对安全信息的匹配条件和关联规则的匹配过程,能够发现通过分析单个子事件难以发现的潜在威胁事件,将具有关联关系的多个子事件关联成一个威胁事件进行告警,告警信息的数量得以明显减少,因此,能够减轻网络管理员在处理告警信息时的负担。
对于告警设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、告警设备以及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!