安全事件關聯分析方法及系統的製作方法

2023-12-11 17:03:32 2

安全事件關聯分析方法及系統的製作方法
【專利摘要】本發明涉及一種安全事件關聯分析方法及系統，方法包括：接收安全運營中心採集到的安全事件記錄；按照設備分組，形成依據安全事件發生時間排序的事件序列表，且當前分析指針指向尚未進入觸發器的時間最早的安全事件記錄；將當前分析指針指向的安全事件記錄送入觸發器進行狀態機規則匹配，並將當前分析指針指向下一個時間順序的安全事件記錄；根據觸發器內的安全事件記錄的規則匹配情況進行計時器計時和狀態跳轉，並根據狀態機的超時情況對觸發器內的安全事件記錄對應的設備進行計數；在計數結果達到閾值時，發送給同步調整器，以便同步調整器根據計數結果對事件序列表進行步長調整。本發明能夠滿足複雜網絡環境下的安全事件關聯分析的精度需求。
【專利說明】安全事件關聯分析方法及系統

【技術領域】
[0001] 本發明涉及網絡安全技術，尤其涉及一種安全事件關聯分析方法及系統。

【背景技術】
[0002] 在網絡安全形勢愈發嚴峻的今天，網絡安全管理成為網絡運營的重要內容。安全 運營中心（Security Operations Centre,簡稱S0C)是對網絡及安全設備與系統進行綜合 分析，實現安全事件集中管理和監控的技術支撐平臺。S0C通過採集網絡中設備與系統所產 生的安全日誌，經過分析處理，找到網絡當前安全威脅與潛在的安全風險，從而及時發出預 警，避免網絡承受重大損失。S0C從網絡中收集到的大量安全事件信息中，許多並不具有真 實的威脅，有些可能是威脅實施前期的跡象，有些可能只是實質威脅產生的連帶告警。
[0003] 安全事件關聯分析是從經過預處理的安全事件中抽取有用信息，通過關聯處理相 關性，把孤立的安全事件集合關聯為一個安全事件鏈，其目標是在大量誤報告警與低級別 告警中找出真正威脅告警，幫助安全運維人員及時定位網絡中潛在的安全隱患。
[0004] 目前S0C採用的關聯分析引擎機制主要採用狀態機方法。"狀態機"式關聯分析 引擎由網絡安全事件即時驅動，滿足預置條件的安全事件信息，可觸發"狀態機"的狀態變 遷。通過狀態機狀態記憶安全事件發生鏈，從而分析出安全事件的關聯關係。"狀態機"式 關聯分析引擎具有很強的實時性，但由於"狀態機"要求網絡安全事件進入關聯分析引擎的 時序，必須與事件發生的真正時序一致，對觸發事件的時序要求很高。在複雜網絡環境中， 受網絡傳輸延時和前端處理延時的影響，安全事件進入引擎的時序可能會發生顛倒，而導 致"狀態機"無法觸發，關聯分析引擎出現錯報或漏報。因此，現有的關聯分析引擎分析精 度存在局限，難以滿足複雜網絡環境下的關聯分析需求。


【發明內容】

[0005] 本發明的目的是提出一種安全事件關聯分析方法及系統，能夠滿足複雜網絡環境 下的安全事件關聯分析的精度需求。
[0006] 為實現上述目的，本發明提供了一種安全事件關聯分析方法，包括：
[0007] 接收安全運營中心採集到的安全事件記錄；
[0008] 按照所述安全事件記錄對應的設備進行分組，並針對每個設備形成依據安全事件 發生時間排序的事件序列表，且當前分析指針指向各個事件序列表中尚未進入觸發器的時 間最早的安全事件記錄；
[0009] 將當前分析指針指向的安全事件記錄送入觸發器進行狀態機的預設規則的匹配， 並將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄；
[0010] 根據所述觸發器內的安全事件記錄對狀態機的預設規則的匹配情況進行計時器 計時和狀態跳轉，並根據狀態機的超時情況對所述觸發器內的安全事件記錄對應的設備進 行計數；
[0011] 在計數結果達到預設統計閾值時，將計數結果發送給同步調整器，以便所述同步 調整器根據所述計數結果對所述觸發器內的安全事件記錄對應的設備的事件序列表進行 步長調整。
[0012] 進一步的，在所述接收安全運營中心採集到的安全事件記錄之後，形成事件序列 表之前還包括：
[0013] 對所述安全運營中心採集到的安全事件記錄所攜帶的信息按照標準屬性欄位進 行解析；
[0014] 對低重要度的事件進行過濾，並對相同安全事件進行合併和次數累加。
[0015] 進一步的，在按照所述安全事件記錄對應的設備進行分組，並針對於每個設備形 成依據安全事件發生時間排序的事件序列表時，還包括：所述同步調整器將各個設備的事 件序列表的時間指針分別指向表內尚未進入觸發器的時間最早的安全事件記錄。
[0016] 進一步的，所述根據所述觸發器內的安全事件記錄對狀態機的預設規則的匹配情 況進行計時器計時和狀態跳轉，並根據狀態機的超時情況對所述觸發器內的安全事件記錄 對應的設備進行計數的操作具體包括：
[0017] 如果所述觸發器中的安全事件記錄匹配所述狀態機的預設規則，且所述狀態機 處於初始態，則使所述觸發器中的安全事件記錄的狀態機向警備態進行跳轉，並啟動計時 器，然後將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入 觸發器進行處理；
[0018] 如果所述狀態機已處於警備態，則使所述觸發器中的安全事件記錄的狀態機向下 一警備態進行跳轉，並判斷跳轉後的狀態機是否已達到最終警備態，是則向外發出告警信 息，所述狀態機回復初始態；
[0019] 如果所述狀態機未達最終警備態，則判斷所述計時器是否超時，如果超時，則所述 狀態機回復初始態，並對所述觸發器內的安全事件記錄對應的設備進行計數，否則將當前 分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發器進行處 理。
[0020] 進一步的，所述同步調整器根據所述計數結果對所述觸發器內的安全事件記錄對 應的設備的事件序列表進行步長調整的操作具體為：
[0021] 所述同步調整器根據所述計數結果的正負和大小確定調整的步長值和調整方向， 根據確定的步長值和調整方向對所述計數結果對應的設備的事件序列表進行時間指針指 向位置的調整。
[0022] 進一步的，在所述向外發出告警信息，所述狀態機回復初始態的操作時，還包括： 對所述觸發器內的安全事件記錄對應的設備進行正值計數；
[0023] 在所述狀態機超時時，對所述觸發器內的安全事件記錄對應的設備進行負值計 數；
[0024] 如果所述計數結果為負值，則所述同步調整器確定時間指針的調整方向為向所述 計數結果對應的設備的事件序列表的表頭方向調整；如果計數結果為正值，則保持所述時 間指針不變。
[0025] 為實現上述目的，本發明提供了一種安全事件關聯分析系統，包括：
[0026] 事件記錄接收模塊，用於接收安全運營中心採集到的安全事件記錄；
[0027] 序列表形成模塊，用於按照所述安全事件記錄對應的設備進行分組，並針對每個 設備形成依據安全事件發生時間排序的事件序列表；
[0028] 當前分析指針，用於指向各個事件序列表中尚未進入觸發器的時間最早的安全事 件記錄；
[0029] 觸發器，用於接收當前分析指針指向的安全事件記錄，並進行狀態機的預設規則 的匹配，根據所述觸發器內的安全事件記錄對狀態機的預設規則的匹配情況進行計時器計 時和狀態跳轉，並將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件 記錄；
[0030] 計數模塊，用於根據狀態機的超時情況對所述觸發器內的安全事件記錄對應的設 備進行計數，並在計數結果達到預設統計閾值時，將計數結果發送給同步調整器；
[0031] 同步調整器，用於根據所述計數結果對所述觸發器內的安全事件記錄對應的設備 的事件序列表進行步長調整。
[0032] 進一步的，還包括：
[0033] 預處理模塊，用於對所述安全運營中心採集到的安全事件記錄所攜帶的信息按照 標準屬性欄位進行解析，以及對低重要度的事件進行過濾，並對相同安全事件進行合併和 次數累加。
[0034] 進一步的，所述同步調整器還用於在按照所述安全事件記錄對應的設備進行分 組，並針對於每個設備形成依據安全事件發生時間排序的事件序列表時，將各個設備的事 件序列表的時間指針分別指向表內尚未進入觸發器的時間最早的安全事件記錄。
[0035] 進一步的，所述觸發器具體包括：
[0036] 規則匹配單元，用於接收當前分析指針指向的安全事件記錄，並進行狀態機的預 設規則的匹配；
[0037] 狀態跳轉單元，用於在所述觸發器中的安全事件記錄匹配所述狀態機的預設規 貝1J，且所述狀態機處於初始態時，則使所述觸發器中的安全事件記錄的狀態機向警備態進 行跳轉，並啟動計時器，然後將當前分析指針指向所述各個事件序列表中下一個時間順序 的安全事件記錄送入觸發器進行處理，如果所述狀態機已處於警備態，則使所述觸發器中 的安全事件記錄的狀態機向下一警備態進行跳轉，並判斷跳轉後的狀態機是否已達到最終 警備態；
[0038] 初始態返回單元，用於使所述狀態機回復初始態；
[0039] 告警單元，用於在跳轉後的狀態機已達到最終警備態時，向外發出告警信息，並觸 發所述初始態返回單元；
[0040] 超時判斷單元，用於在所述狀態機未達最終警備態時，判斷所述計時器是否超時， 如果超時，則觸發所述初始態返回單元，並觸發所述計數模塊，否則將當前分析指針指向所 述各個事件序列表中下一個時間順序的安全事件記錄送入觸發器進行處理。
[0041] 進一步的，所述同步調整器具體包括：
[0042] 調整參數確定單元，用於根據所述計數結果的正負和大小確定調整的步長值和調 整方向；
[0043] 時間指針調整單元，用於根據確定的步長值和調整方向對所述計數結果對應的設 備的事件序列表進行時間指針指向位置的調整。
[0044] 進一步的，所述計數模塊用於在向外發出告警信息，所述狀態機回復初始態時，對 所述觸發器內的安全事件記錄對應的設備進行正值計數，以及在所述狀態機超時時，對所 述觸發器內的安全事件記錄對應的設備進行負值計數；
[0045] 所述調整參數確定單元用於在所述計數結果為負值時，確定時間指針的調整方向 為向所述計數結果對應的設備的事件序列表的表頭方向調整，在所述計數結果為正值時， 保持所述時間指針不變。
[0046] 基於上述技術方案，本發明將安全事件記錄按照設備進行分組，形成針對於每個 設備的事件序列表，這個事件序列表的排序關係是事件觸發的依據，而通過觸發器內的狀 態機的匹配和超時情況對相應設備的事件序列表進行步長調整，使其與安全事件發生的真 實時序一致，避免因時序顛倒引起的安全事件因果關係失真問題，提高關聯分析的準確性， 從而滿足複雜網絡環境下的安全事件關聯分析的精度需求。

【專利附圖】

【附圖說明】
[0047] 此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發 明的示意性實施例及其說明用於解釋本發明，並不構成對本發明的不當限定。在附圖中： [0048] 圖1為本發明安全事件關聯分析方法的一實施例的流程示意圖。
[0049] 圖2為本發明安全事件關聯分析方法的另一實施例的流程示意圖。
[0050] 圖3為本發明安全事件關聯分析系統的一實施例的結構示意圖。
[0051] 圖4為本發明安全事件關聯分析系統的另一實施例的結構示意圖。
[0052] 圖5為本發明安全事件關聯分析系統實施例中觸發器的具體結構示意圖。

【具體實施方式】
[0053] 下面通過附圖和實施例，對本發明的技術方案做進一步的詳細描述。
[0054] 如圖1所示，為本發明安全事件關聯分析方法的一實施例的流程示意圖。在本實 施例中，安全事件關聯分析流程包括：
[0055] 步驟101、接收安全運營中心採集到的安全事件記錄；
[0056] 步驟102、按照所述安全事件記錄對應的設備進行分組，並針對每個設備形成依據 安全事件發生時間排序的事件序列表，且當前分析指針指向各個事件序列表中尚未進入觸 發器的時間最早的安全事件記錄；
[0057] 步驟103、將當前分析指針指向的安全事件記錄送入觸發器進行狀態機的預設規 則的匹配，並將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記 錄；
[0058] 步驟104、根據所述觸發器內的安全事件記錄對狀態機的預設規則的匹配情況進 行計時器計時和狀態跳轉，並根據狀態機的超時情況對所述觸發器內的安全事件記錄對應 的設備進行計數；
[0059] 步驟105、在計數結果達到預設統計閾值時，將計數結果發送給同步調整器，以便 所述同步調整器根據所述計數結果對所述觸發器內的安全事件記錄對應的設備的事件序 列表進行步長調整。
[0060] 在本實施例中，在接收安全運營中心採集到的安全事件記錄之後，將安全事件記 錄按照設備進行分組，形成針對於每個設備的事件序列表，這個事件序列表的排序關係是 事件觸發的依據，而通過觸發器內的狀態機的匹配和超時情況對相應設備的事件序列表進 行步長調整，使其與安全事件發生的真實時序一致，避免因時序顛倒引起的安全事件因果 關係失真問題，提高關聯分析的準確性，從而滿足複雜網絡環境下的安全事件關聯分析的 精度需求。
[0061] 在步驟101中，安全運營中心所採集到的安全事件記錄是一條條包含事件發生時 間、報警設備、相關設備IP (攻擊源、攻擊目的等)、事件類型等詳細信息的日誌記錄，在安全 運營中心中一般可採用資料庫形式進行存儲，安全事件記錄的具體內容可參考工信部的標 準規範。
[0062] 在步驟102中，安全事件記錄要按照設備進行分組，每個設備都會形成一個對應 的事件序列表，在事件序列表中的安全事件記錄則按照安全事件的發生時間進行排序，其 具體形式可採用雙向鍊表、順序表等各種現有的數據結構。而進入觸發器的安全事件記錄 則由當前分析指針所指向的安全事件記錄來確定，當前分析指針指向的是各個事件序列表 中尚未進入觸發器的時間最早的安全事件記錄。
[0063] 另外，在初始形成事件序列表時，同步調整器可以預先將各個設備的事件序列表 的時間指針分別指向表內尚未進入觸發器的時間最早的安全事件記錄。
[0064] 在步驟103中，當前分析指針指向的安全事件記錄會被送入觸發器進行狀態機的 預設規則的匹配，相應的，當前分析指針就會指向各個事件序列表中下一個時間順序的安 全事件記錄。
[0065] 在步驟104的狀態機的預設規則匹配方面，除了要判斷觸發器中的安全事件記錄 是否匹配所述狀態機的預設規則，還需要判斷狀態機當前所處的狀態。如果匹配了規則，且 狀態機處於初始態，則使所述觸發器中的安全事件記錄的狀態機向警備態進行跳轉，並啟 動計時器，然後將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記 錄送入觸發器進行處理。
[0066] 如果狀態機已處於警備態，則使觸發器中的安全事件記錄的狀態機向下一警備態 進行跳轉，並判斷跳轉後的狀態機是否已達到最終警備態，是則向外發出告警信息，所述狀 態機回復初始態。
[0067] 如果所述狀態機未達最終警備態，則判斷所述計時器是否超時，如果超時，則所述 狀態機回復初始態，並對所述觸發器內的安全事件記錄對應的設備進行計數，否則將當前 分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發器進行處 理。
[0068] 如果正常出發告警，則說明該設備的時序比較正常，而如果出現計時器超時，說明 該安全事件並未正常觸發報警，意味著可能存在時序顛倒的問題，需要進行同步調整。
[0069] 通過步驟104的計數，在步驟105中可以在計數結果達到預設統計閾值時，將計數 結果發送給同步調整器，以便所述同步調整器根據計數結果對觸發器內的安全事件記錄對 應的設備的事件序列表進行步長調整。這種計數加步長調整是觸發器與同步調整器之間的 一種反饋機制，通過這種反饋機制可以使同步調整器來調整各個設備的事件序列表之間的 同步關係，提1?安全事件時序的準確度，而且通過同步調整還可以提1?系統的穩定性。
[0070] 具體來說，同步調整器可以根據計數結果的正負和大小確定調整的步長值和調整 方向，根據確定的步長值和調整方向對所述計數結果對應的設備的事件序列表進行時間指 針指向位置的調整。
[0071] 進一步的，在向外發出告警信息，所述狀態機回復初始態時，還可以對觸發器內的 安全事件記錄對應的設備進行正值計數，以及在狀態機超時時，對觸發器內的安全事件記 錄對應的設備進行負值計數，通過這樣累計計數結果，如果發送給同步調整器的計數結果 為負值，則同步調整器確定時間指針的調整方向為向計數結果對應的設備的事件序列表的 表頭方向調整（即將時間指針的指向位置調整到時間更早的安全事件記錄）；如果計數結果 為正值，則保持時間指針不變。
[0072] 如圖2所示，為本發明安全事件關聯分析方法的另一實施例的流程示意圖。與上 一實施例相比，本實施例在步驟101和步驟102之間，還包括以下操作：
[0073] 步驟101a、對所述安全運營中心採集到的安全事件記錄所攜帶的信息按照標準屬 性欄位進行解析；
[0074] 步驟101b、對低重要度的事件進行過濾，並對相同安全事件進行合併和次數累加。
[0075] 步驟101a和101b是安全事件記錄的預處理過程，通過預處理過程可以將一些低 重要的安全事件過濾出去，並將一些重複的安全事件記錄進行合併和次數累加，從而減少 不需處理或不必考慮的安全事件記錄的數量，避免這些安全事件的處理佔用過多的系統資 源。
[0076] 本領域普通技術人員可以理解：實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序 在執行時，執行包括上述方法實施例的步驟；而前述的存儲介質包括：ROM、RAM、磁碟或者 光碟等各種可以存儲程序代碼的介質。
[0077] 如圖3所示，為本發明安全事件關聯分析系統的一實施例的結構示意圖。在本實 施例中，安全事件關聯分析系統包括：事件記錄接收模塊1、序列表形成模塊2、當前分析指 針3、觸發器4、計數模塊5和同步調整器6。
[0078] 事件記錄接收模塊1用於接收安全運營中心採集到的安全事件記錄。序列表形成 模塊2用於按照所述安全事件記錄對應的設備進行分組，並針對每個設備形成依據安全事 件發生時間排序的事件序列表。
[0079] 當前分析指針3用於指向各個事件序列表中尚未進入觸發器的時間最早的安全 事件記錄。觸發器4用於接收當前分析指針3指向的安全事件記錄，並進行狀態機的預設 規則的匹配，根據所述觸發器4內的安全事件記錄對狀態機的預設規則的匹配情況進行計 時器計時和狀態跳轉，並將當前分析指針3指向所述各個事件序列表中下一個時間順序的 安全事件記錄。
[0080] 計數模塊5用於根據狀態機的超時情況對所述觸發器內的安全事件記錄對應的 設備進行計數，並在計數結果達到預設統計閾值時，將計數結果發送給同步調整器6。同步 調整器6用於根據所述計數結果對所述觸發器5內的安全事件記錄對應的設備的事件序列 表進行步長調整。同步調整器還可以進一步在按照所述安全事件記錄對應的設備進行分 組，並針對於每個設備形成依據安全事件發生時間排序的事件序列表時，將各個設備的事 件序列表的時間指針分別指向表內尚未進入觸發器的時間最早的安全事件記錄。
[0081] 如圖4所示，為本發明安全事件關聯分析系統的另一實施例的結構示意圖。與上 一實施例相比，本實施例還包括預處理模塊7，該模塊用於對所述安全運營中心採集到的安 全事件記錄所攜帶的信息按照標準屬性欄位進行解析，以及對低重要度的事件進行過濾， 並對相同安全事件進行合併和次數累加。
[0082] 如圖5所示，為本發明安全事件關聯分析系統的又一實施例的結構示意圖。與前 述實施例相比，本實施例的觸發器具體包括：規則匹配單元41、狀態跳轉單元42、初始態返 回單元43、告警單元44和超時判斷單元45。
[0083] 規則匹配單元41用於接收當前分析指針3指向的安全事件記錄，並進行狀態機的 預設規則的匹配。狀態跳轉單元42用於在所述觸發器4中的安全事件記錄匹配所述狀態 機的預設規則，且所述狀態機處於初始態時，則使所述觸發器4中的安全事件記錄的狀態 機向警備態進行跳轉，並啟動計時器，然後將當前分析指針3指向所述各個事件序列表中 下一個時間順序的安全事件記錄送入觸發器4進行處理，如果所述狀態機已處於警備態， 則使所述觸發器4中的安全事件記錄的狀態機向下一警備態進行跳轉，並判斷跳轉後的狀 態機是否已達到最終警備態。
[0084] 初始態返回單元43用於使所述狀態機回復初始態。告警單元44用於在跳轉後的 狀態機已達到最終警備態時，向外發出告警信息，並觸發所述初始態返回單元43。超時判斷 單元45用於在所述狀態機未達最終警備態時，判斷所述計時器是否超時，如果超時，則觸 發所述初始態返回單元43,並觸發所述計數模塊5,否則將當前分析指針3指向所述各個事 件序列表中下一個時間順序的安全事件記錄送入觸發器4進行處理。
[0085] 在另一個實施例中，同步調整器還可以進一步具體包括：
[0086] 調整參數確定單元，用於根據所述計數結果的正負和大小確定調整的步長值和調 整方向；
[0087] 時間指針調整單元，用於根據確定的步長值和調整方向對所述計數結果對應的設 備的事件序列表進行時間指針指向位置的調整。
[0088] 在另一個實施例中，計數模塊可以在向外發出告警信息，所述狀態機回復初始態 時，對所述觸發器內的安全事件記錄對應的設備進行正值計數，以及在所述狀態機超時時， 對所述觸發器內的安全事件記錄對應的設備進行負值計數。相應的，調整參數確定單元在 所述計數結果為負值時，確定時間指針的調整方向為向所述計數結果對應的設備的事件序 列表的表頭方向調整，在所述計數結果為正值時，保持所述時間指針不變。
[0089] 最後應當說明的是：以上實施例僅用以說明本發明的技術方案而非對其限制；盡 管參照較佳實施例對本發明進行了詳細的說明，所屬領域的普通技術人員應當理解：依然 可以對本發明的【具體實施方式】進行修改或者對部分技術特徵進行等同替換；而不脫離本發 明技術方案的精神，其均應涵蓋在本發明請求保護的技術方案範圍當中。
【權利要求】
1. 一種安全事件關聯分析方法，包括： 接收安全運營中心採集到的安全事件記錄； 按照所述安全事件記錄對應的設備進行分組，並針對每個設備形成依據安全事件發生 時間排序的事件序列表，且當前分析指針指向各個事件序列表中尚未進入觸發器的時間最 早的安全事件記錄； 將當前分析指針指向的安全事件記錄送入觸發器進行狀態機的預設規則的匹配，並將 當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄； 根據所述觸發器內的安全事件記錄對狀態機的預設規則的匹配情況進行計時器計時 和狀態跳轉，並根據狀態機的超時情況對所述觸發器內的安全事件記錄對應的設備進行計 數； 在計數結果達到預設統計閾值時，將計數結果發送給同步調整器，以便所述同步調整 器根據所述計數結果對所述觸發器內的安全事件記錄對應的設備的事件序列表進行步長 調整。
2. 根據權利要求1所述的安全事件關聯分析方法，其中在所述接收安全運營中心採集 到的安全事件記錄之後，形成事件序列表之前還包括： 對所述安全運營中心採集到的安全事件記錄所攜帶的信息按照標準屬性欄位進行解 析； 對低重要度的事件進行過濾,並對相同安全事件進行合併和次數累加。
3. 根據權利要求1所述的安全事件關聯分析方法，其中在按照所述安全事件記錄對應 的設備進行分組，並針對於每個設備形成依據安全事件發生時間排序的事件序列表時，還 包括：所述同步調整器將各個設備的事件序列表的時間指針分別指向表內尚未進入觸發器 的時間最早的安全事件記錄。
4. 根據權利要求1或3所述的安全事件關聯分析方法，其中所述根據所述觸發器內的 安全事件記錄對狀態機的預設規則的匹配情況進行計時器計時和狀態跳轉，並根據狀態機 的超時情況對所述觸發器內的安全事件記錄對應的設備進行計數的操作具體包括： 如果所述觸發器中的安全事件記錄匹配所述狀態機的預設規則，且所述狀態機處於 初始態，則使所述觸發器中的安全事件記錄的狀態機向警備態進行跳轉，並啟動計時器，然 後將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發 器進行處理； 如果所述狀態機已處於警備態，則使所述觸發器中的安全事件記錄的狀態機向下一警 備態進行跳轉，並判斷跳轉後的狀態機是否已達到最終警備態，是則向外發出告警信息，所 述狀態機回復初始態； 如果所述狀態機未達最終警備態，則判斷所述計時器是否超時，如果超時，則所述狀態 機回復初始態，並對所述觸發器內的安全事件記錄對應的設備進行計數，否則將當前分析 指針指向所述各個事件序列表中下一個時間順序的安全事件記錄送入觸發器進行處理。
5. 根據權利要求4所述的安全事件關聯分析方法，其中所述同步調整器根據所述計數 結果對所述觸發器內的安全事件記錄對應的設備的事件序列表進行步長調整的操作具體 為： 所述同步調整器根據所述計數結果的正負和大小確定調整的步長值和調整方向，根據 確定的步長值和調整方向對所述計數結果對應的設備的事件序列表進行時間指針指向位 置的調整。
6. 根據權利要求5所述的安全事件關聯分析方法，其中在所述向外發出告警信息，所 述狀態機回復初始態的操作時，還包括：對所述觸發器內的安全事件記錄對應的設備進行 正值計數； 在所述狀態機超時時，對所述觸發器內的安全事件記錄對應的設備進行負值計數； 如果所述計數結果為負值，則所述同步調整器確定時間指針的調整方向為向所述計數 結果對應的設備的事件序列表的表頭方向調整；如果計數結果為正值，則保持所述時間指 針不變。
7. -種安全事件關聯分析系統，包括： 事件記錄接收模塊，用於接收安全運營中心採集到的安全事件記錄； 序列表形成模塊，用於按照所述安全事件記錄對應的設備進行分組，並針對每個設備 形成依據安全事件發生時間排序的事件序列表； 當前分析指針，用於指向各個事件序列表中尚未進入觸發器的時間最早的安全事件記 錄； 觸發器，用於接收當前分析指針指向的安全事件記錄，並進行狀態機的預設規則的匹 配，根據所述觸發器內的安全事件記錄對狀態機的預設規則的匹配情況進行計時器計時和 狀態跳轉，並將當前分析指針指向所述各個事件序列表中下一個時間順序的安全事件記 錄； 計數模塊，用於根據狀態機的超時情況對所述觸發器內的安全事件記錄對應的設備進 行計數，並在計數結果達到預設統計閾值時，將計數結果發送給同步調整器； 同步調整器，用於根據所述計數結果對所述觸發器內的安全事件記錄對應的設備的事 件序列表進行步長調整。
8. 根據權利要求7所述的安全事件關聯分析系統，其中還包括： 預處理模塊，用於對所述安全運營中心採集到的安全事件記錄所攜帶的信息按照標準 屬性欄位進行解析，以及對低重要度的事件進行過濾，並對相同安全事件進行合併和次數 累加。
9. 根據權利要求7所述的安全事件關聯分析系統，其中所述同步調整器還用於在按照 所述安全事件記錄對應的設備進行分組，並針對於每個設備形成依據安全事件發生時間排 序的事件序列表時，將各個設備的事件序列表的時間指針分別指向表內尚未進入觸發器的 時間最早的安全事件記錄。
10. 根據權利要求7或9所述的安全事件關聯分析系統，其中所述觸發器具體包括： 規則匹配單元，用於接收當前分析指針指向的安全事件記錄，並進行狀態機的預設規 則的匹配； 狀態跳轉單元，用於在所述觸發器中的安全事件記錄匹配所述狀態機的預設規則，且 所述狀態機處於初始態時，則使所述觸發器中的安全事件記錄的狀態機向警備態進行跳 轉，並啟動計時器，然後將當前分析指針指向所述各個事件序列表中下一個時間順序的安 全事件記錄送入觸發器進行處理，如果所述狀態機已處於警備態，則使所述觸發器中的安 全事件記錄的狀態機向下一警備態進行跳轉，並判斷跳轉後的狀態機是否已達到最終警備 態； 初始態返回單元，用於使所述狀態機回復初始態； 告警單元，用於在跳轉後的狀態機已達到最終警備態時，向外發出告警信息，並觸發所 述初始態返回單元； 超時判斷單元，用於在所述狀態機未達最終警備態時，判斷所述計時器是否超時，如果 超時，則觸發所述初始態返回單元，並觸發所述計數模塊，否則將當前分析指針指向所述各 個事件序列表中下一個時間順序的安全事件記錄送入觸發器進行處理。
11. 根據權利要求10所述的安全事件關聯分析系統，其中所述同步調整器具體包括： 調整參數確定單元，用於根據所述計數結果的正負和大小確定調整的步長值和調整方 向； 時間指針調整單元，用於根據確定的步長值和調整方向對所述計數結果對應的設備的 事件序列表進行時間指針指向位置的調整。
12. 根據權利要求10所述的安全事件關聯分析系統，其中，所述計數模塊用於在向外 發出告警信息，所述狀態機回復初始態時，對所述觸發器內的安全事件記錄對應的設備進 行正值計數，以及在所述狀態機超時時，對所述觸發器內的安全事件記錄對應的設備進行 負值計數； 所述調整參數確定單元用於在所述計數結果為負值時，確定時間指針的調整方向為向 所述計數結果對應的設備的事件序列表的表頭方向調整，在所述計數結果為正值時，保持 所述時間指針不變。
【文檔編號】H04L12/24GK104219193SQ201310205117
【公開日】2014年12月17日 申請日期:2013年5月29日 優先權日:2013年5月29日
【發明者】樊寧, 沈軍, 金華敏 申請人:中國電信股份有限公司