[发明专利]网络入侵事件关联检测方法

权利要求书

1、一种网络入侵事件关联检测方法，其特征在于，包括如下步骤：

步骤一、入侵检测系统报告入侵告警信息，将所有告警信息分别存入四个数据库表，第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos；

步骤二、按黑客的攻击步骤，从第四数据库表中的ddos攻击开始，对第四数据库表中每一告警项去存储有安装后门backdoor的第三数据库表中查找匹配之前的黑客攻击行为；

步骤三、如果查找匹配未成功，则直接进入步骤四，如果查找匹配成功则继续向前查找，对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行查找匹配，如此类推直至匹配到第一数据库表结束，匹配成功的结果存入关联后的事件数据库表；

步骤四、由第四数据库表起始的所有告警项目匹配结束后，然后由第三数据库表开始，对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行查找匹配，取出步骤三中未匹配过的项目，如此类推直至匹配到第一数据库表结束，如此类推直至整个过程的结束。

2、根据权利要求1所述的网络入侵事件关联检测方法，其特征是，所述查找匹配，是指按照源地址相同并且时间由后向前顺序的条件由后面的数据库表向前面的数据库表进行查找匹配。

3、根据权利要求1或2所述的网络入侵事件关联检测方法，其特征是，所述查找匹配，如果匹配成功，则生成一关联事件，将匹配的事件写入关联后的事件数据库表，如果有多个事件匹配成功，多个事件视为同一关联事件，均写入关联后的事件数据库表。