CN103107907A - 一种基于事件流追加推动方式的安全响应方法 - Google Patents
一种基于事件流追加推动方式的安全响应方法 Download PDFInfo
- Publication number
- CN103107907A CN103107907A CN2013100007754A CN201310000775A CN103107907A CN 103107907 A CN103107907 A CN 103107907A CN 2013100007754 A CN2013100007754 A CN 2013100007754A CN 201310000775 A CN201310000775 A CN 201310000775A CN 103107907 A CN103107907 A CN 103107907A
- Authority
- CN
- China
- Prior art keywords
- event
- window
- flow
- inquiry
- processing engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种基于事件流追加推动方式的安全响应方法。本发明的方法为事件以流的形式进入事件处理引擎,引擎内部采用基于时间及事件数量的滑动窗口推动查询的执行及存储,并且以流的形式增量式产生查询结果,查询结果触发与规则关联的***,进行事件响应处理,并获得关联结果。本发明的事件到来推动查询条件执行,满足条件进行计数,计数符合窗口的限制时触发告警响应,***本身并不缓存过多事件数据,提高了事件处理效率;由于所有事件事先都经过归一化处理,可集中处理多台设备产生的事件信息,并根据查询条件进行过滤、关联及归并,使用事件统计计数方法也能够显著降低重复报警及误报几率。
Description
技术领域:
本发明涉及安全管理***技术领域,具体涉及一种基于事件流追加推动方式的安全响应方法。
背景技术:
当前网络安全问题十分严峻,保护网络安全设备的告警事件成为网络安全工作中的检测、分析和响应的重要依据。然而在现实应用中,事件的分析工作却面临诸多挑战,报警数据巨大、误报严重与重复报警频繁等。
现有技术对事件的关联处理、分析统计大都采取基于数据库策略的事后处理或基于内存的准实时处理技术,实现告警事件的降噪、归并及规则响应。基于数据库策略的事后分析方式为了检索数据,首先需要向数据库发出一个查询操作,假设需要查询10次每秒的数据时,必须发出每秒10次的查询操作,这样会对数据库造成很大压力,也不便于扩展到数百或数千每秒的查询,事件处理性能及可操作性不佳;内存准实时处理方式需要占用大量内存存储安全事件,频繁操作数据将大幅增加***负担,且不能提供实时的查询结果优化。
发明内容:
本发明所解决的技术问题是提供一种解决了海量事件报警误报及重复报警,同时克服了现有安全管理***中存在的误报严重、重复报警频繁以及处理效率问题的基于事件流追加推动方式的安全响应方法。
一种基于事件流追加推动方式的安全响应方法,其特殊之处在于:所述方法为事件以流的形式进入事件处理引擎,引擎内部采用基于时间及事件数量的滑动窗口推动查询的执行及存储,并且以流的形式增量式产生查询结果,查询结果触发与规则关联的***,进行事件响应处理,并获得关联结果。
上述的方法通过以下几个步骤来实现:
步骤一:对于网络安全设备产生的告警事件进行采集和分类,并按照XML格式进行归一化解析及处理,组装成事件流发送到事件处理引擎;
步骤二:事件处理引擎根据预先制定的关联分析及响应规则生成事件查询语句,每当有事件流进入事件处理引擎时,事件处理引擎将以滑动窗口方式对事件进行扫描,并推动查询语句的执行,滑动窗口用来做统计并对应一个或多个***,用来触发当特定条件满足时的响应动作,事件从窗口的左端流入,从右端流出,只要有事件流进入窗口,即触发查询条件执行,并将查询结果进行累计和存储,存储后的查询结果作为下一次查询的基准值;
步骤三:滑动窗口填满时,表明进入窗口的事件已到达窗口大小上限,最先进入窗口的事件将会从窗口右端流出,称之为旧事件,新的事件从窗口左端流入,即新事件,所有事件自始至终都按照从左到右的顺序依次流经滑动窗口,每当窗口内事件数量达到上限,将触发窗口对应的***动作,执行安全响应报警,同时将计数清零,并以当前进入的新事件个数重新进行统计。
与现有计数相比较,本发明的有益效果:
本发明的事件到来推动查询条件执行,满足条件进行计数,计数符合窗口的限制时触发告警响应,***本身并不缓存过多事件数据,提高了事件处理效率;由于所有事件事先都经过归一化处理,可集中处理多台设备产生的事件信息,并根据查询条件进行过滤、关联及归并,使用事件统计计数方法也能够显著降低重复报警及误报几率。
附图说明:
图1为本发明的流程图。
具体实施方式:
下面结合附图和具体实施方式对本发明进行详细说明。
参见图1,本发明的方法为事件以流的形式进入事件处理引擎,引擎内部采用基于时间及事件数量的滑动窗口推动查询的执行及存储,并且以流的形式增量式产生查询结果,查询结果触发与规则关联的***,进行事件响应处理,并获得关联结果。
上述的方法通过以下几个步骤来实现:
步骤一:对于网络安全设备产生的告警事件进行采集和分类,并按照XML格式进行归一化解析及处理,组装成事件流发送到事件处理引擎。XML结构的事件内容包含事件各字段的类型及值,形如;
<event>
<id type=“integer”value=“10011” /id> //事件序号
<type type=“string”value=“ddos”/type> //事件类型
<sip type=“string”value=“210.27.48.200” /srcip> //源地址
<dstip type=“string”value=“10.0.7.254”/dstip> //目的地址
<protocol type=“string” value=“TCP”/protocol> //协议
<sport type=“integer”value=“15783”/sport> //源端口
<dport type=“integer”value=“80”/dport> //目的端口
<timestamp type=“date”value=“2012-12-22 14:23:56”> //生成时间
</ event>
步骤二:事件处理引擎根据预先制定的关联分析及响应规则生成事件查询语句,每当有事件流进入事件处理引擎时,事件处理引擎将以滑动窗口方式对事件进行扫描,并推动查询语句的执行,滑动窗口用来做统计并对应一个或多个***,用来触发当特定条件满足时的响应动作,事件从窗口的左端流入,从右端流出,只要有事件流进入窗口,即触发查询条件执行,并将查询结果进行累计和存储,存储后的查询结果作为下一次查询的基准值;
步骤三:滑动窗口填满时,表明进入窗口的事件已到达窗口大小上限,最先进入窗口的事件将会从窗口右端流出,称之为旧事件,新的事件从窗口左端流入,即新事件,所有事件自始至终都按照从左到右的顺序依次流经滑动窗口,每当窗口内事件数量达到上限,将触发窗口对应的***动作,执行安全响应报警,同时将计数清零,并以当前进入的新事件个数重新进行统计。
实施例1:下面将通过在SOC设备中实施本发明进行详细描述。实施时,需要将事件流追加推动方式安全响应模块部署到SOC设备中,该模块完成安全事件采集及事件流处理响应。
步骤一:管理员配置将安全设备(防火墙、信息审计、IDS检测等)告警事件发送到SOC设备,SOC设备上配置采集探针,监听安全事件的到来;
步骤二:采集探针将接收到的告警事件进行解析和分类,按照归一化格式组装成事件流,传送给事件处理引擎进行处理;
步骤三:事件处理引擎启动时按照预先定义的查询及响应条件进行初始化,完成事件窗口的分配。查询条件使用类似SQL语句的表达式,如“select count(*) from sim_event where device_type in (‘ids’,’firewall’,’audit’) and event_cat=’attack’ and event_type=’ddos’”,事件窗口表达式可使用“win:time(10 seconds)”及“win:length(100)”等代表时间或长度形式,告警条件表示计数范围,如“>=1000”或“=500”。
步骤四:每当有事件流进入事件窗口,将推动窗口对应查询条件的执行,符合条件进行计数,并逐次进行累计。当计数达到窗口规定大小的上限时,触发响应动作执行,同时对计数进行归零,重新按照新进入窗口的事件进行计数。整个过程周而复始,只要有事件进入事件窗口,都将触发查询及计数的进行,满足告警条件时执行响应动作。
本发明采用事件流模型方式处理安全事件,流区别于传统数据库模型中静态信息存储,流中的数据不再是永久的关系形式,而是大量、连续、快速、随时间变化数据形式,这些数据是实时在线到达的,诸如金融数据,传感器数据,网络安全数据等。事件流由原始事件数据流抽象而成,事件采集器在接收原始事件数据后加以处理,采用POJO、XML、哈希表等格式,封装成不同类型事件流,源源不断发送给事件处理引擎,这些信息进入事件处理引擎在时间上是有一定的先后顺序并且其内容是不断变化的,符合“流”的特征。
Claims (2)
1.一种基于事件流追加推动方式的安全响应方法,其特征在于:所述方法为事件以流的形式进入事件处理引擎,引擎内部采用基于时间及事件数量的滑动窗口推动查询的执行及存储,并且以流的形式增量式产生查询结果,查询结果触发与规则关联的***,进行事件响应处理,并获得关联结果。
2.根据权利要求1所述的一种基于事件流追加推动方式的安全响应方法,其特征在于:所述的方法通过以下几个步骤来实现:
步骤一:对于网络安全设备产生的告警事件进行采集和分类,并按照XML格式进行归一化解析及处理,组装成事件流发送到事件处理引擎;
步骤二:事件处理引擎根据预先制定的关联分析及响应规则生成事件查询语句,每当有事件流进入事件处理引擎时,事件处理引擎将以滑动窗口方式对事件进行扫描,并推动查询语句的执行,滑动窗口用来做统计并对应一个或多个***,用来触发当特定条件满足时的响应动作,事件从窗口的左端流入,从右端流出,只要有事件流进入窗口,即触发查询条件执行,并将查询结果进行累计和存储,存储后的查询结果作为下一次查询的基准值;
步骤三:滑动窗口填满时,表明进入窗口的事件已到达窗口大小上限,最先进入窗口的事件将会从窗口右端流出,称之为旧事件,新的事件从窗口左端流入,即新事件,所有事件自始至终都按照从左到右的顺序依次流经滑动窗口,每当窗口内事件数量达到上限,将触发窗口对应的***动作,执行安全响应报警,同时将计数清零,并以当前进入的新事件个数重新进行统计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100007754A CN103107907A (zh) | 2013-01-04 | 2013-01-04 | 一种基于事件流追加推动方式的安全响应方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100007754A CN103107907A (zh) | 2013-01-04 | 2013-01-04 | 一种基于事件流追加推动方式的安全响应方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103107907A true CN103107907A (zh) | 2013-05-15 |
Family
ID=48315489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100007754A Pending CN103107907A (zh) | 2013-01-04 | 2013-01-04 | 一种基于事件流追加推动方式的安全响应方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103107907A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927338A (zh) * | 2014-03-26 | 2014-07-16 | 网神信息技术(北京)股份有限公司 | 日志信息入库处理方法和装置 |
| CN109446265A (zh) * | 2018-09-10 | 2019-03-08 | 上海中交水运设计研究有限公司 | 基于工作流程的复杂异常识别方法和识别*** |
| CN109493573A (zh) * | 2018-11-21 | 2019-03-19 | 杭州安恒信息技术股份有限公司 | 基于时间滑动窗口的用户自定义事件报警方法及*** |
| CN110990233A (zh) * | 2019-11-28 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和*** |
-
2013
- 2013-01-04 CN CN2013100007754A patent/CN103107907A/zh active Pending
Non-Patent Citations (9)
| Title |
|---|
| 何建锋: "捷普SSL VPN网关技术综述", 《信息安全与通信保密》 * |
| 何建锋: "捷普新一代SSL VPN产品解决方案", 《计算机安全》 * |
| 何建锋;刘亚轩: "捷普新一代防火墙安全解决方案", 《信息安全与通信保密》 * |
| 刘东: "网络安全事件流聚集统计分析研究与实现", 《中国优秀硕士学位论文全文数据库》 * |
| 戚建淮;伍立华;宋晶;郑伟范: "基于网络事件流的SOC的网络安全解决方案", 《信息网络安全》 * |
| 戚建淮;郑伟范;伍立华;宋晶: "基于多源事件融合的分布式SOC技术体系", 《信息安全与通信保密》 * |
| 王仲佳: "具有动态加权特性的关联规则算法及其在电信故障告警序列模式发掘中的应用", 《中国优秀硕士学位论文全文数据库》 * |
| 程云鹏: "捷普助力运营商Web应用全面安全", 《信息安全与通信保密》 * |
| 黄鹏;王鹏;汪卫: "面向事件流的频繁片断计数算法", 《计算机科学与探索》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927338A (zh) * | 2014-03-26 | 2014-07-16 | 网神信息技术(北京)股份有限公司 | 日志信息入库处理方法和装置 |
| CN109446265A (zh) * | 2018-09-10 | 2019-03-08 | 上海中交水运设计研究有限公司 | 基于工作流程的复杂异常识别方法和识别*** |
| CN109446265B (zh) * | 2018-09-10 | 2021-07-30 | 上海中交水运设计研究有限公司 | 基于工作流程的复杂异常识别方法和识别*** |
| CN109493573A (zh) * | 2018-11-21 | 2019-03-19 | 杭州安恒信息技术股份有限公司 | 基于时间滑动窗口的用户自定义事件报警方法及*** |
| CN110990233A (zh) * | 2019-11-28 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和*** |
| CN110990233B (zh) * | 2019-11-28 | 2023-05-30 | 杭州安恒信息技术股份有限公司 | 一种利用甘特图展示soar的方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106357673B (zh) | 一种多租户云计算***DDoS攻击检测方法及*** | |
| US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
| CN102271091B (zh) | 一种网络异常事件分类方法 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN106230819B (zh) | 一种基于流采样的DDoS检测方法 | |
| CN105337951B (zh) | 对***攻击进行路径回溯的方法与装置 | |
| US20100046393A1 (en) | Methods and systems for internet protocol (ip) traffic conversation detection and storage | |
| US20140230062A1 (en) | Detecting network intrusion and anomaly incidents | |
| CN105871847B (zh) | 一种智能变电站网络异常流量检测方法 | |
| CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
| CN104753863A (zh) | 一种分布式拒绝服务攻击的防御方法、设备及*** | |
| CN106603326B (zh) | 基于异常反馈的NetFlow采样处理方法 | |
| CN103107907A (zh) | 一种基于事件流追加推动方式的安全响应方法 | |
| CN102447707B (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| CN104660552A (zh) | 一种wlan网络入侵检测*** | |
| CN106254137A (zh) | 监管***的告警根源分析***及方法 | |
| CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
| CN110266726A (zh) | 一种识别ddos攻击数据流的方法及装置 | |
| CN106250290A (zh) | 异常信息的分析方法及装置 | |
| CN103365963B (zh) | 数据库稽核***合规性快速检验方法 | |
| CN106446720B (zh) | Ids规则的优化***及优化方法 | |
| CN114070593A (zh) | 一种基于多级告警和联动防御的虚拟网络安全管控方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130515 |