CN108616381B - 一种事件关联报警方法和装置 - Google Patents
一种事件关联报警方法和装置 Download PDFInfo
- Publication number
- CN108616381B CN108616381B CN201810170852.3A CN201810170852A CN108616381B CN 108616381 B CN108616381 B CN 108616381B CN 201810170852 A CN201810170852 A CN 201810170852A CN 108616381 B CN108616381 B CN 108616381B
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- sub
- matching
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种事件关联报警方法和装置。其中,所述方法包括:数据流处理引擎将事件流与攻击场景关联分析时,将所述事件流中的子事件与攻击场景中的攻击模式进行匹配,在匹配成功时,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配。通过获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果,并根据所述事件流与各个攻击场景的第二匹配结果确定出所述事件流的攻击场景。在本发明中,对于匹配成功的子事件,下一个子事件无需返回匹配过的攻击模式重复匹配,提高了事件关联分析的效率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种事件关联报警方法和装置。
背景技术
在网络安全中,计算机发生安全事故如遭遇黑客攻击时,计算机***会产生各种事件,即信息安全事件。此时安全管理平台对事件流进行事件关联分析,分析出黑客所攻击的场景,并对受到攻击的地点进行报警。
传统安全管理平台进行事件关联分析时,通常利用数据库来实现。在数据库中预先存储了各类攻击场景,每个攻击场景中有若干个匹配条件。事件流与各个攻击场景进行匹配,则可确定出黑客攻击所属的攻击场景。但将事件流中的子事件与攻击场景匹配时,事件流中的所有子事件都要与所匹配的攻击场景的所有匹配条件匹配,使得事件关联分析时间长,效率低下。
发明内容
本发明提供了一种事件关联报警方法和装置,以解决使用数据库进行事件关联分析时效率低下的问题。
本发明实施例提供了一种事件关联报警方法,该方法包括:
接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成;
基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式;
基于所述攻击场景,进行报警处理;
其中,所述数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景,具体包括:
将所述事件流中的子事件与攻击模式进行匹配;
若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配;
若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述攻击模式进行匹配;
获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果;
获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
优选地,所述接收滑动时间窗口传送的事件流,包括:
数据流处理引擎接收滑动事件窗口动态发送的与所述数据流处理引擎的当前缓冲区存储大小相同的事件流中的子事件;
若在一定时间阈值内所述数据流处理引擎未接收到与所述当前缓冲区存储大小相同的事件流中的子事件,则所述数据流处理引擎向所述滑动时间窗口发送重发请求;
基于所述重发请求,所述数据流处理引擎获取重发的与所述当前缓冲区存储大小相同的事件流中的子事件。
优选地,所述接收滑动时间窗口传送的事件流之前,还包括:
对数据流处理引擎创建定义多个攻击场景;
基于创建的多个攻击场景,在各个攻击场景中各创建多个攻击模式,所述多个攻击模式中前后攻击模式具有逻辑关系,通过链表将前后攻击模式串联在一起;
基于创建的多个攻击模式,在每个攻击模式中设置不同的匹配条件。
优选地,所述在每个攻击模式中设置不同的匹配条件,包括:
所述每个攻击模式包括一个状态树,所述状态树中包括多个状态层,每个状态层包括不同的状态,每个状态对应一个匹配条件。
优选地,所述将所述事件流中的子事件与攻击模式进行匹配,包括:
将所述子事件与所述攻击模式进行匹配时,所述子事件只与所述攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。
优选地,所述若匹配成功,则所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配,且输出所述子事件,还包括:
若匹配成功,所述攻击模式中的状态记录所述子事件携带的源地址和目标地址。
优选地,所述基于所述攻击场景,进行报警处理,包括:
获取所述事件流中各个子事件携带的源地址和目的地址,针对所述源地址和目的地址进行报警处理。
依据本发明的另一个方面,提供了一种事件关联报警装置,包括:
接收模块,用于接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成;
事件关联分析模块,用于基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式;
报警模块,用于基于所述攻击场景,进行报警处理;
其中,所述事件关联分析模块,包括:
攻击模式匹配模块,用于将所述事件流中的子事件与攻击模式进行匹配;
攻击模式匹配判断模块,用于若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配;若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述攻击模式进行匹配;
攻击场景确定模块,用于获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果;并获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
优选地,所述接收模块包括:
发送子模块,用于数据流处理引擎接收滑动事件窗口动态发送的与所述数据流处理引擎的当前缓冲区存储大小相同的事件流中的子事件;
请求重发子模块,用于若在一定时间阈值内所述数据流处理引擎未接收到与所述当前缓冲区存储大小相同的事件流中的子事件,则所述数据流处理引擎向所述滑动时间窗口发送重发请求;
重发接收子模块,用于基于所述重发请求,所述数据流处理引擎获取重发的与所述当前缓冲区存储大小相同的事件流中的子事件。
优选地,所述装置还包括:
攻击场景创建模块,用于对数据流处理引擎创建定义多个攻击场景;
攻击模式创建模块,用于基于创建的多个攻击场景,在各个攻击场景中各创建多个攻击模式,所述多个攻击模式中前后攻击模式具有逻辑关系,通过链表将前后攻击模式串联在一起;
匹配条件创建模块,用于基于创建的多个攻击模式,在每个攻击模式中设置不同的匹配条件。
优选地,所述匹配条件创建模块,包括:所述每个攻击模式包括一个状态树,所述状态树中包括多个状态层,每个状态层包括不同的状态,每个状态对应一个匹配条件。
优选地,所述攻击模式匹配模块,包括:将所述子事件与所述攻击模式进行匹配时,所述子事件只与所述攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。
优选地,所述攻击模式匹配判断模块,还包括:若匹配成功,所述攻击模式中的状态记录所述子事件携带的源地址和目标地址。
优选地,所述攻击模式匹配判断模块,还包括:
状态更新模块,用于若匹配成功,所述攻击模式中的状态更新,记录所述子事件携带的源地址和目标地址。
本发明实施例包括以下优点:
在本发明实施例中,通过数据流处理引擎将事件流与攻击场景关联分析时,将所述事件流中的子事件与攻击场景中的攻击模式进行匹配,在匹配成功时,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配。在匹配失败时,所述子事件的下一个子事件继续与所述攻击模式匹配。通过获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果,并根据所述事件流与各个攻击场景的第二匹配结果确定出所述事件流的攻击场景。在本发明中,在进行事件关联分析时对于匹配成功的子事件,下一个子事件无需返回匹配过的攻击模式重复匹配,提高了事件关联分析的效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例一中的一种事件关联报警方法的流程图;
图2示出了本发明实施例二中的一种事件关联报警方法的流程图;
图3示出了本发明实施例三中的一种事件关联报警装置的结构框图;
图4示出了本发明实施例四中的一种事件关联报警装置的结构框图;
图5示出了本发明实施例中的攻击场景、攻击模式与状态之间的关系图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
实施例一
参照图1,示出了本发明实施例一的一种事件关联报警方法的流程图,具体可以包括如下步骤:
步骤101,接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成。
在黑客对计算机***发出攻击时,会产生大量事件,即信息安全事件。事件流流即由大量事件组成的队列,在数据流处理引擎接收事件流,对事件流进行事件关联分析前,设置了滑动时间窗口,事件流经过滑动时间窗口传送至数据流处理引擎。滑动时间窗口可实现对流量数据的控制。在本申请实施例中,各个事件有自身数据的大小,滑动时间窗口可决定事件流中多少数据大小的事件进入数据流处理引擎进行事件关联分析。
在实际应用中,网络设备,应用设备和安全设备等都可能受到黑客攻击从而产生大量事件,即数据中心接收的大量事件均来自此类设备。在本发明实施例中,数据中心以事件发生的先后顺序接收事件,即数据流中的子事件以产生的先后顺序排列。
上述步骤101的包括如下几个子步骤:
子步骤1011,数据流处理引擎接收滑动事件窗口动态发送的与所述数据流处理引擎的当前缓冲区存储大小相同的事件流中的子事件。
在本申请实施例中,滑动时间窗口还可实现动态调整的功能,滑动时间窗口的大小意味着数据流处理引擎还有多大的缓冲区用于接收数据,它以字节为单位进行调整,以适应数据流处理引擎的处理能力。在当前状态下,所述数据流处理引擎中缓冲区当前的大小为多少,滑动时间窗口就将事件流中与当前缓冲区存储大小相同的子事件发送给数据流处理引擎。
例如,在当下时刻数据流处理引擎缓冲区的大小为0.5GB,则滑动时间窗口只允许总量为0.5GB大小的事件流进入数据流处理引擎。若下一个时刻数据流处理引擎缓冲区的大小为1GB,则此时滑动时间窗口就可运行总量为1GB大小的事件流进入数据流处理引擎。
子步骤1012,若在一定时间阈值内所述数据流处理引擎未接收到与所述当前缓冲区存储大小相同的事件流中的子事件,则所述数据流处理引擎向所述滑动时间窗口发送重发请求。
在本申请实施例中,在数据流处理引擎中设置了时间阈值,若到达时间阈值后数据流处理引擎未接收到与当前缓冲区存储大小相同的事件流中的子事件,数据流处理引擎就可请求再次重发。本申请中,还可以实现,若滑动时间窗口接收到的与当前缓冲区存储大小相同的事件流中的子事件中存在错误的帧,就可要求滑动时间窗口重新传送发错的那一帧,一旦收到重新传来的帧后,就以原以存于缓冲区中的其余帧一并按正确的顺序排放,减少了数据的浪费。在本申请中,对数据流处理引擎的具体功能需求不作限制。
子步骤1013,基于所述重发请求,所述数据流处理引擎获取重发的与所述当前缓冲区存储大小相同的事件流中的子事件。
滑动时间窗口接收到数据流处理引擎的重发请求后,将与当前缓冲区存储大小相同的事件流中的子事件重新发送给滑动时间窗口,以保证事件流的正确传送。
步骤102,基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式。
数据流处理引擎中有多个攻击场景,攻击场景即指黑客在进行***攻击时以何种情景实现攻击。每个攻击场景中有多个攻击模式,攻击模式即指黑客在选择一种攻击场景后,具体如何实现攻击。例如,黑客想攻击***CPU,攻击场景即为CPU攻击。在攻击CPU时,第一步攻击***防火墙,第二部攻击***内部漏洞接口,第三步攻击***CPU,三个步骤完成后即***奔溃,完成攻击。此时,在CPU攻击场景中,多个攻击模式即为第一步防火墙攻击,第二步内部漏洞接口攻击,第三步CPU核心攻击。
在本申请实施例中,若要判断事件流属于何种攻击场景,并了解事件流攻击的步骤,就需要将事件流与各个攻击场景进行事件关联分析。通过事件关联分析即可确定出事件流所属的攻击场景,即知晓黑客选择了哪种攻击场景进行攻击。
此处需要说明的是,在步骤101中,将子事件以发生的时间先后顺序排列组成事件流,就是因为黑客的攻击通常具有步骤性,如前述说明。在发动攻击时,子事件发生的先后顺序也就代表着攻击的先后动作。
上述步骤102中,所述数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景,包括如下几个子步骤:
子步骤1021,将所述事件流中的子事件与攻击模式进行匹配。
在本申请实施例中,事件流可依次与各个攻击场景进行匹配,从而确定出事件流所属攻击场景,而一个攻击场景中包含多个攻击模式。以下以其中一个攻击场景为例进行说明,此攻击场景中有多个攻击模式,每个攻击模式具有多个匹配条件。将所述事件流中的子事件与攻击模式进行匹配,即将所述子事件与攻击模式里的匹配条件进行匹配。
子步骤1022,若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配。
若所述子事件与攻击模式的匹配条件全部匹配,则所述子事件与此攻击模式匹配成功,输出此子事件。此时,下一个子事件就与下一个攻击模式直接匹配,即下一个子事件无需再与此攻击模式继续匹配。
子步骤1023,若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述攻击模式进行匹配。
若所述子事件与攻击模式的匹配条件完全不匹配或不完全匹配,则所述子事件与此攻击模式匹配失败。此时,下一个子事件就与此攻击模式继续匹配。
举例其中一个攻击场景的关联分析情况进行说明,假设事件流中有三个子事件,分别为子事件1,子事件2,子事件3。攻击场景中有二个攻击模式,依次为第一攻击模式,第二攻击模式。将子事件1与第一攻击模式进行匹配,若匹配失败,则子事件2继续与第一攻击模式匹配;若子事件2与第一攻击模式匹配成功,则子事件3与第二攻击模式继续匹配;若子事件3与第二攻击模式匹配成功,则结束匹配。此时,输出子事件2,子事件3。同时可知,子事件1匹配失败,子事件2和子事件3匹配成功。
子步骤1024,获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果。
在子事件与攻击模式进行匹配后,每个子事件都有匹配成功或失败的结果,此结果即为第一匹配结果。根据事件流中所有子事件的匹配结果,就可得到事件流是否与此攻击场景匹配,所有子事件的匹配结果均为成功,所述事件流才与此攻击场景匹配。在本申请实施例中还可实现,若某一子事件的匹配结果为失败,即可放弃后续子事件的匹配过程,认为此事件流与此攻击场景不匹配,将其与下一个攻击场景进行匹配,节省时间,提高效率。
子步骤1025,获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
事件流与每个攻击场景都有匹配成功或失败的结果,此结果即为第二匹配结果。在获取到事件流与所有攻击场景的匹配结果后,就可得到此事件流所属的攻击场景。在本申请实施例中还可设置为,若事件流与某一攻击场景匹配成功,即可得到此事件流的所属攻击场景,无需再与其它攻击场景匹配,节省时间,提高效率。
步骤103,基于所述攻击场景,进行报警处理。
在判断出事件流的攻击场景后,就知晓了黑客攻击的攻击动态,即可知发动的攻击在何种场景下实现,且针对此场景的各个攻击步骤是什么,可实现有效报警。
本发明实施例包括以下优点:
在本发明实施例中,通过数据流处理引擎将事件流与攻击场景关联分析时,将所述事件流中的子事件与攻击场景中的攻击模式进行匹配,在匹配成功时,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配。在匹配失败时,所述子事件的下一个子事件继续与所述攻击模式匹配。通过获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果,并根据所述事件流与各个攻击场景的第二匹配结果确定出所述事件流的攻击场景。在本发明中,在进行事件关联分析时对于匹配成功的子事件,下一个子事件无需返回匹配过的攻击模式重复匹配,提高了事件关联分析的效率。
实施例二
参照图2,示出了本发明实施例二的一种事件关联报警方法的流程图,具体可以包括如下步骤:
步骤201,对数据流处理引擎创建定义多个攻击场景。
在创建多个攻击场景时,可根据实际经验情况设置不同的攻击场景,设置何种攻击场景,多少中攻击场景,本发明实施例对此不做限制。参考附图5,a图可知,在数据流处理引擎中设置了多个不同的攻击场景。
步骤202,基于创建的多个攻击场景,在各个攻击场景中各创建多个攻击模式,所述多个攻击模式中前后攻击模式具有逻辑关系,通过链表将前后攻击模式串联在一起。
参考附图5中a图所示,数据流处理引擎中包含了多个不同的攻击场景,而每个攻击场景中包含了多个不同的攻击模式。此处需要说明的是,不同攻击场景之间的同等位置的攻击模式是不相同的。例如,如图5中攻击场景1中的第一攻击模式与攻击场景2中的第一攻击模式的设置是不同的。攻击场景1中的第一攻击模式符合攻击场景1中的攻击步骤,攻击场景2中的第一攻击模式符合攻击场景2中的攻击步骤。
在设置攻击场景中的攻击模式时,可根据攻击场景的实际情况设置多个攻击模式。而前后攻击模式具备逻辑关系,利用链表将前后攻击模式串联在一起。例如,攻击场景1中的第一攻击模式为攻击的第一步骤(如破坏防火墙),第二攻击模式为攻击的第二步骤(如攻击***漏洞),第三攻击模式为攻击的第三步骤(如攻击CPU),完成三个递进式的攻击步骤后,***奔溃。此时,攻击场景1中的第一攻击模式与第二攻击模式就具有逻辑关系,即必须实现破坏防火墙的步骤后才能进行下一个攻击步骤;第二攻击模式与第三攻击模式就具有逻辑关系,即必须实现攻击***漏洞的步骤后才能进行攻击CPU的步骤。只有依次实现这三个攻击模式,攻击才算成功。
步骤203,基于创建的多个攻击模式,在每个攻击模式中设置不同的匹配条件。
在创建好攻击场景与攻击场景中的攻击模式之后,就需要对各个攻击模式设置不同的匹配条件。参考附图5中b图所示,所述每个攻击模式包括一个状态树,所述状态树中包括多个状态层,每个状态层包括不同的状态,每个状态对应一个匹配条件。例如,在第一攻击模式中,设置了三个状态层,第一状态层为state1,第二状态层为state2和state3,第三状态层为state4,state5和state6,每个状态都对应一个匹配条件。同时,子事件与某一状态层中的任一状态匹配成功,则子事件与此状态层即匹配成功。当子事件与所有状态层都匹配成功时,所述子事件与此攻击模式匹配成功。
每个攻击模式中都有一个状态树,以此来表征子事件与攻击模式匹配的状态。同时,由于前后两个攻击模式具有递进的逻辑关系,所以其递进的攻击模式的匹配条件也部分相同(例如,第一攻击模式为破坏防火墙,在第二攻击模式攻击***漏洞时,其事件必携带着第一攻击模式破坏防火墙的痕迹特征)。在本发明实施例中,如附图5中b图所示,假设攻击场景中有三个攻击模式,攻击场景中的第二攻击模式的第一状态层statel的匹配条件与第一攻击模式的第一状态层的statel的匹配条件相同(即第二攻击模式与第一攻击模式具有部分相同的匹配条件);而第二攻击模式的第二状态层中状态的匹配条件,第三状态层中状态的匹配条件与第一攻击模式的第二状态层中状态的匹配条件,第三状态层中状态的匹配条件不同(如图所示,第二攻击模式中第二状态层的状态state2”和state3”与第一攻击模式中的第二状态层的状态state2和state不同,即两者各自状态所对应的匹配条件不同;第二攻击模式中第三状态层的状态state4”,state5”,state6”及state7”与第一攻击模式中的第三状态层的状态state4,state5,state6及state7所对应的匹配条件不同。即第二攻击模式具有自身所独有的匹配条件)。同理,第三攻击模式中的第一状态层中状态的匹配条件,第二状态层中状态的匹配条件与第二攻击模式中的第一状态层中状态的匹配条件,第二状态层中状态的匹配条件相同(第三攻击模式为破坏CPU,其事件必然携带着第一攻击模式破坏防火墙,第二攻击模式攻击***漏洞的特征。因此在创建时,第三攻击模式与第二攻击模式部分匹配条件相同,即两个攻击模式的第一状态层与第二状态层中的状态所对应的匹配条件相同);第三攻击模式中的第三状态层中的状态的匹配条件则为独有的匹配条件,如图所示,第三攻击模式中自身所独有的匹配条件为第三状态层中STATE4,STATE5,STATE6和STATE7所对应的匹配条件。
此处需要说明的是,每个攻击模式中的状态树的状态层的数量与攻击模式的数量相同。例如,攻击场景中有5个攻击模式,则每个攻击模式中的状态树有5层状态层。
攻击场景中有n个攻击模式,则第A攻击模式所具有自身所独有的匹配条件的状态层的数量为n-(A-1)。例如,攻击场景中有5个攻击模式,则每个攻击模式中的状态树有5层状态层。第三攻击模式自身所独有的状态层数量为5-(3-1)=3,即第三攻击模式中的前两个状态层中的状态所对应的匹配条件与第二攻击模式中的前两个状态层中的状态所对应的匹配条件相同,第三攻击模式中的后三个状态层中的状态所对应的匹配条件为自身所独有的匹配条件。
在本发明实施例中,将子事件与攻击模式进行匹配时,对于所匹配的攻击模式与前一攻击模式部分相同的匹配条件不进行匹配,而是与攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。即将所述子事件与所述攻击模式进行匹配时,所述子事件只与所述攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。由于对部分相同的匹配条件不进行匹配,进一步的避免了重复匹配的问题,更进一步提高事件关联分析的效率。
步骤204,接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成。
在实时决定有多少子事件经过滑动时间窗口时,滑动时间窗口动态监控数据流处理引擎缓冲区的大小,并根据缓冲区的大小动态自我调整。例如,在当下时刻数据流处理引擎缓冲区的大小为0.5GB,则滑动时间窗口只允许总量为0.5GB大小的事件流进入数据流处理引擎。若下一个时刻数据流处理引擎缓冲区的大小为1GB,则此时滑动时间窗口就可运行总量为1GB大小的事件流进入数据流处理引擎。
步骤205,基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式。
在前述步骤201至203中,获知了数据流处理引擎中攻击场景,攻击模式与匹配条件的关系,以下结合攻击模式中的匹配条件详细说明。
上述步骤205中所述数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景,包括如下子步骤:
子步骤2051,将所述事件流中的子事件与攻击模式进行匹配。
在事件流中的子事件与攻击场景中的攻击模式进行匹配时,由于各个攻击模式中都设置了由匹配条件组成的状态树,若需匹配成功,则子事件需与状态树中的所需匹配的各个状态层都匹配成功。
如图5所示,例如,事件流中有三个子事件,分别为子事件1,子事件2,子事件3。将子事件1与第一攻击模式进行匹配,实现以下四种匹配路径之一时,子事件1与第一攻击模式匹配成功(匹配路径:state1-state2-state4或state1-state2-state5或state1-state3-state6或state1-state3-state7)。在本发明实施例中,不同状态层中的状态所对应的匹配条件代表了所述子事件与此攻击模式吻合的概率。例如,在第一状态层时表示吻合概率为1/2,在第二状态层时吻合概率为3/4,在第三状态层时吻合概率为1。子事件只有与前面状态层匹配成功,直至最后一个状态层也匹配成功时,才说明此子事件与此攻击模式完全匹配。
子步骤2052,若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配。
若事件流中的子事件与攻击模式匹配成功,则子事件的下一个子事件与所述攻击模式的下一个攻击模式继续匹配,且输出所述子事件。例如,在子步骤2051中,事件流中的子事件1与第一攻击模式匹配成功,则子事件2与第二攻击模式进行匹配。同时,在子事件2与第二攻击模式进行匹配时,子事件2从第二攻击模式中的第二状态层中的状态所对应的匹配条件开始匹配。子事件2无需返回第一攻击模式再次匹配,同时子事件2在与第二攻击模式匹配时,对于第二攻击模式与第一攻击模式部分相同的匹配条件无需匹配,大大节省了匹配时间,提高事件关联分析的效率。
假设子事件2与第二攻击模式匹配成功,则子事件3与第三攻击模式进行匹配。同时,子事件3与第三攻击模式进行匹配时,对于第三攻击模式中的第一状态层和第二状态层无需匹配,直接与第三状态层匹配即可。相比子事件2与第二攻击模式匹配的效率,子事件3与第三攻击模式匹配效率又再次提高。
在本申请实施例中可设置为,攻击场景中攻击模式的数量与攻击模式中状态层的数量相同(如一个攻击场景中有7个攻击模式,则攻击模式中的状态树也为7层)。由此可在事件流中的子事件与各个攻击模式进行匹配时,匹配的效率不断提高(每递进一个攻击模式,所需匹配的状态层数量减少一层)。同时,为了保证后续报警,对于匹配成功的子事件,攻击模式中的状态记录所述子事件携带的源地址和目标地址。
子步骤2053,若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述攻击模式进行匹配。
若事件流中的子事件与攻击模式匹配失败,则下一个子事件继续与此攻击模式匹配。例如,在子步骤2051中,假设事件流中的子事件1与第一攻击模式匹配失败,则子事件2继续与第一攻击模式匹配。若子事件2与第一攻击模式匹配成功,则子事件3与第二攻击模式匹配;若子事件2与第一攻击模式匹配仍失败,则子事件3继续与第一攻击模式匹配。在事件流中最后一个子事件3与第一攻击模式匹配时,若匹配成功,则输出子事件3;若匹配失败,则事件流匹配结束。
子步骤2054,获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果。
子步骤2055,获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
步骤206,基于所述攻击场景,进行报警处理。
在本申请实施例中,在判断出事件流所属的攻击场景后,可分析出事件流中的子事件之间也按照此攻击场景的实现步骤来实现攻击,即可分析出此事件流中子事件的不同攻击步骤(例如,事件流中的子事件1攻击防火墙,子事件1成功后子事件2进行***漏洞攻击,子事件2成功后子事件3攻击CPU,子事件3成功后***奔溃,完成攻击)。
同时由于攻击模式中的状态记录了匹配成功的子事件所携带的源地址和目标地址,***可根据子事件所携带的目标地址对所述目标地址进行报警,同时对攻击所产生的源地址进行报警处理,重点监测此源地址。
本发明实施例包括以下优点:
在本发明实施例中,通过数据流处理引擎将事件流与攻击场景关联分析时,将所述事件流中的子事件与攻击场景中的攻击模式进行匹配,在匹配成功时,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配。在匹配失败时,所述子事件的下一个子事件继续与所述攻击模式匹配。通过获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果,并根据所述事件流与各个攻击场景的第二匹配结果确定出所述事件流的攻击场景。在本发明中,在进行事件关联分析时对于匹配成功的子事件,下一个子事件无需返回匹配过的攻击模式重复匹配,提高了事件关联分析的效率。
同时,在本发明实施例中,对于与攻击模式匹配成功的子事件,下一个子事件与下一个攻击模式匹配时,对于部分相同的匹配条件无需再次匹配,进一步提高了事件关联分析的效率。
实施例三
参照图3,示出了本发明实施例三的一种事件关联报警装置的流程框图,具体可以包括如下模块:
接收模块301,用于接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成;
事件关联分析模块302,用于基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式;
报警模块303,用于基于所述攻击场景,进行报警处理;
其中,所述事件关联分析模块302,包括:
攻击模式匹配模块3021,用于将所述事件流中的子事件与攻击模式进行匹配;
攻击模式匹配判断模块3022,用于若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配;若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述攻击模式进行匹配;
攻击场景确定模块3023,用于获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果;并获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
实施例四
参照图4,示出了本发明实施例四的一种事件关联报警装置的流程框图,具体可以包括如下模块:
攻击场景创建模块401,用于对数据流处理引擎创建定义多个攻击场景;
攻击模式创建模块402,用于基于创建的多个攻击场景,在各个攻击场景中各创建多个攻击模式,所述多个攻击模式中前后攻击模式具有逻辑关系,通过链表将前后攻击模式串联在一起;
匹配条件创建模块403,用于基于创建的多个攻击模式,在每个攻击模式中设置不同的匹配条件。
接收模块404,用于接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成;
事件关联分析模块405,用于基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式;
报警模块406,用于基于所述攻击场景,进行报警处理;
其中,所述事件关联分析模块405,包括:
攻击模式匹配模块4051,用于将所述事件流中的子事件与攻击模式进行匹配;
攻击模式匹配判断模块4052,用于若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配;若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述攻击模式进行匹配;
攻击场景确定模块4053,用于获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果;并获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
优选地,所述接收模块404包括:
发送子模块,用于数据流处理引擎接收滑动事件窗口动态发送的与所述数据流处理引擎的当前缓冲区存储大小相同的事件流中的子事件;
请求重发子模块,用于若在一定时间阈值内所述数据流处理引擎未接收到与所述当前缓冲区存储大小相同的事件流中的子事件,则所述数据流处理引擎向所述滑动时间窗口发送重发请求;
重发接收子模块,用于基于所述重发请求,所述数据流处理引擎获取重发的与所述当前缓冲区存储大小相同的事件流中的子事件。
优选地,所述攻击模式匹配模块,包括:将所述子事件与所述攻击模式进行匹配时,所述子事件只与所述攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。
优选地,所述攻击模式匹配判断模块4052,还包括:
状态更新模块,用于若匹配成功,所述攻击模式中的状态更新,记录所述子事件携带的源地址和目标地址。
优选地,所述匹配条件创建模块403,包括:所述每个攻击模式包括一个状态树,所述状态树中包括多个状态层,每个状态层包括不同的状态,每个状态对应一个匹配条件。
优选地,所述攻击模式匹配判断模块4052,还包括:若匹配成功,所述攻击模式中的状态记录所述子事件携带的源地址和目标地址。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种事件关联报警方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种事件关联报警方法,其特征在于,所述方法包括:
接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成;
基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式;其中,所述攻击模式为在所述攻击场景中进行攻击时的攻击行为;
基于所述攻击场景,进行报警处理;
其中,所述数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景,具体包括:
将所述事件流中的子事件与当前攻击模式进行匹配;
若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述当前攻击模式的下一个攻击模式进行匹配;
若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与当前攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述当前攻击模式进行匹配;
获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果;
获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
2.根据权利要求1所述的方法,其特征在于,所述接收滑动时间窗口传送的事件流,包括:
数据流处理引擎接收滑动事件窗口动态发送的与所述数据流处理引擎的当前缓冲区存储大小相同的事件流中的子事件;
若在一定时间阈值内所述数据流处理引擎未接收到与所述当前缓冲区存储大小相同的事件流中的子事件,则所述数据流处理引擎向所述滑动时间窗口发送重发请求;
基于所述重发请求,所述数据流处理引擎获取重发的与所述当前缓冲区存储大小相同的事件流中的子事件。
3.根据权利要求1所述的方法,其特征在于,所述接收滑动时间窗口传送的事件流之前,还包括:
对数据流处理引擎创建定义多个攻击场景;
基于创建的多个攻击场景,在各个攻击场景中各创建多个攻击模式,所述多个攻击模式中前后攻击模式具有逻辑关系,通过链表将前后攻击模式串联在一起;
基于创建的多个攻击模式,在每个攻击模式中设置不同的匹配条件。
4.根据权利要求3所述的方法,其特征在于,所述在每个攻击模式中设置不同的匹配条件,包括:
所述每个攻击模式包括一个状态树,所述状态树中包括多个状态层,每个状态层包括不同的状态,每个状态对应一个匹配条件。
5.根据权利要求1所述的方法,其特征在于,所述将所述事件流中的子事件与攻击模式进行匹配,包括:
将所述子事件与所述攻击模式进行匹配时,所述子事件只与所述攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。
6.根据权利要求1所述的方法,其特征在于,所述若匹配成功,则所述子事件的下一个子事件与所述攻击模式的下一个攻击模式进行匹配,且输出所述子事件,还包括:
若匹配成功,所述攻击模式中的状态记录所述子事件携带的源地址和目标地址。
7.根据权利要求1所述的方法,其特征在于,所述基于所述攻击场景,进行报警处理,包括:
获取所述事件流中各个子事件携带的源地址和目的地址,针对所述源地址和目的地址进行报警处理。
8.一种事件关联报警装置,其特征在于,所述装置包括:
接收模块,用于接收滑动时间窗口传送的事件流,所述事件流由多个子事件构成;
事件关联分析模块,用于基于获取的所述事件流,数据流处理引擎将所述事件流分别与各个攻击场景进行事件关联分析,确定所述事件流的攻击场景;所述攻击场景包括多个攻击模式;其中,所述攻击模式为在所述攻击场景中进行攻击时的攻击行为;
报警模块,用于基于所述攻击场景,进行报警处理;
其中,所述事件关联分析模块,包括:
攻击模式匹配模块,用于将所述事件流中的子事件与当前攻击模式进行匹配;
攻击模式匹配判断模块,用于若匹配成功,输出所述子事件,并将所述子事件的下一个子事件与所述当前攻击模式的下一个攻击模式进行匹配;若匹配失败,则所述子事件的下一个子事件执行将所述事件流中的子事件与当前攻击模式进行匹配的步骤,即将所述子事件的下一个子事件继续与所述当前攻击模式进行匹配;
攻击场景确定模块,用于获取所述事件流中所有子事件的第一匹配结果,得到所述事件流与所述攻击场景的第二匹配结果;并获取所述事件流与各个攻击场景的第二匹配结果,根据所述第二匹配结果确定所述事件流的攻击场景。
9.根据权利要求8所述的装置,其特征在于,所述接收模块包括:
发送子模块,用于数据流处理引擎接收滑动事件窗口动态发送的与所述数据流处理引擎的当前缓冲区存储大小相同的事件流中的子事件;
请求重发子模块,用于若在一定时间阈值内所述数据流处理引擎未接收到与所述当前缓冲区存储大小相同的事件流中的子事件,则所述数据流处理引擎向所述滑动时间窗口发送重发请求;
重发接收子模块,用于基于所述重发请求,所述数据流处理引擎获取重发的与所述当前缓冲区存储大小相同的事件流中的子事件。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
攻击场景创建模块,用于对数据流处理引擎创建定义多个攻击场景;
攻击模式创建模块,用于基于创建的多个攻击场景,在各个攻击场景中各创建多个攻击模式,所述多个攻击模式中前后攻击模式具有逻辑关系,通过链表将前后攻击模式串联在一起;
匹配条件创建模块,用于基于创建的多个攻击模式,在每个攻击模式中设置不同的匹配条件。
11.根据权利要求10所述的装置,其特征在于,所述匹配条件创建模块,包括:所述每个攻击模式包括一个状态树,所述状态树中包括多个状态层,每个状态层包括不同的状态,每个状态对应一个匹配条件。
12.根据权利要求8所述的装置,其特征在于,所述攻击模式匹配模块,包括:将所述子事件与所述攻击模式进行匹配时,所述子事件只与所述攻击模式自身所独有的状态层的状态所对应的匹配条件进行匹配。
13.根据权利要求8所述的装置,其特征在于,所述攻击模式匹配判断模块,还包括:若匹配成功,所述攻击模式中的状态记录所述子事件携带的源地址和目标地址。
14.根据权利要求8所述的装置,其特征在于,所述攻击模式匹配判断模块,还包括:
状态更新模块,用于若匹配成功,所述攻击模式中的状态更新,记录所述子事件携带的源地址和目标地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810170852.3A CN108616381B (zh) | 2018-02-28 | 2018-02-28 | 一种事件关联报警方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810170852.3A CN108616381B (zh) | 2018-02-28 | 2018-02-28 | 一种事件关联报警方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108616381A CN108616381A (zh) | 2018-10-02 |
| CN108616381B true CN108616381B (zh) | 2021-10-15 |
Family
ID=63658354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810170852.3A Active CN108616381B (zh) | 2018-02-28 | 2018-02-28 | 一种事件关联报警方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108616381B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113422763B (zh) * | 2021-06-04 | 2022-10-25 | 桂林电子科技大学 | 基于攻击场景构建的报警关联分析方法 |
| CN114039758B (zh) * | 2021-11-02 | 2024-06-21 | 中邮科通信技术股份有限公司 | 一种基于事件检测模式的网络安全威胁识别方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571469B (zh) * | 2010-12-23 | 2014-11-19 | 北京启明星辰信息技术股份有限公司 | 攻击检测方法和装置 |
-
2018
- 2018-02-28 CN CN201810170852.3A patent/CN108616381B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108616381A (zh) | 2018-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101978934B1 (ko) | 인증 코드들을 생성하기 위한 방법 및 시스템 | |
| CN106789983A (zh) | 一种cc攻击防御方法及其防御*** | |
| US10867048B2 (en) | Dynamic security module server device and method of operating same | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| CN110445769B (zh) | 业务***的访问方法及装置 | |
| CN114363036B (zh) | 一种网络攻击路径获取方法、装置及电子设备 | |
| CN112511618B (zh) | 边缘物联代理防护方法及电力物联网动态安全可信*** | |
| CN106254312B (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| CN109391600B (zh) | 分布式拒绝服务攻击防护方法、装置、***、介质及设备 | |
| KR20170057030A (ko) | 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 | |
| CN112685745B (zh) | 一种固件检测方法、装置、设备及存储介质 | |
| CN112714158A (zh) | 事务处理方法、中继网络、跨链网关、***、介质和设备 | |
| CN108616381B (zh) | 一种事件关联报警方法和装置 | |
| CN107835185B (zh) | 一种基于ARM TrustZone的移动终端安全服务方法及装置 | |
| CN106936768B (zh) | 基于可信芯片的白名单网络管控***及方法 | |
| US10587629B1 (en) | Reducing false positives in bot detection | |
| US11307790B2 (en) | Method, device, and computer program product for managing data placement | |
| CN113922952B (zh) | 访问请求响应方法、装置、计算机设备和存储介质 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| CN113645233A (zh) | 流量数据的风控智能决策方法、装置、电子设备和介质 | |
| KR102340787B1 (ko) | 사이버 위협 시나리오를 구성하는 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 | |
| KR20190069234A (ko) | 홈 IoT 환경에서의 보안성 제공 장치 및 방법 | |
| CN105653948B (zh) | 一种阻止恶意操作的方法及装置 | |
| CN114745216B (zh) | 一种动态接入方法及装置 | |
| CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |