[发明专利]安全事件关联方法、装置及网络服务器

说明书

技术领域

本发明实施例涉及网络领域，尤其涉及一种安全事件关联方法、装置及网络服务器。 

背景技术

网络在人的日常生活中扮演了越来越重要的作用，同时在商业中的应用也越来越多。网络安全是网络应用中的重要问题，在网络中，安全事件管理平台用于管理告警器上报的告警信息。目前的安全事件管理平台中普遍存在以下问题：不能识别正常行为而引发误报；不能识别单个攻击行为引发多个告警器的重复告警；不能识别由多个步骤构成的复杂攻击行为。由于这些问题，会产生大量的日志文件和告警信息，使得真正的攻击信息被淹没在大量数据中。为了解决上述问题，现有技术提出了保持防火墙和入侵检测功能，维持反病毒软件在网络节点中的部署不变，采用一个中心节点集中接收这些告警信息，并对这些告警信息作关联分析处理，以减少误报、避免重复报警、增加攻击检测率，也就是所谓的攻击场景重建。 

具体地，现有技术提供了一种基于规则的方法，其基本思想是：将由人工分析得到的攻击场景分解为若干的攻击步骤，提取每个攻击步骤的特征，然后利用逻辑语言将这些步骤连结起来，产生对应与该攻击场景的一条关联规则；当新告警到来时，将新告警的属性与该关联规则所包括的每个步骤依次进行匹配，若该属性与其中部分步骤匹配成功，则将该部分步骤作为中间状态记录下来；当下一个新告警到来时，在中间状态的基础上，继续进行匹配，直至关联规则的所有步骤均匹配成功，则生成安全事件。该方法在匹配新告警属性时，需要记录中间状态，影响了匹配的速度，不能够实现实时匹 配。 

发明内容

本发明实施例提供了一种安全事件关联方法、装置及网络服务器，用以实现实时匹配。 

本发明实施例提供了一种安全事件关联方法，包括： 

当接收到新告警时，将所述新告警转化为事实；所述事实包括所述新告警的若干属性； 

在预置的规则库中，选择与所述事实有关的所有规则，构成规则集； 

查询所述规则集中的规则，当查询出所述规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。 

本发明实施例提供了一种安全事件关联装置，包括： 

转化模块，用于当接收到新告警时，将所述新告警转化为事实；所述事实包括所述新告警的若干属性； 

规则集构成模块，用于在预置的规则库中，选择与所述事实有关的所有规则，构成规则集； 

事件获取模块，用于查询所述规则集中的规则，当查询出所述规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。 

本发明实施例提供了一种网络服务器，包括上述安全事件关联装置。 

本发明实施例当接收到新告警时，将新告警转化为事实，在预置的规则库中，选择与事实有关的所有规则形成规则集，顺序查询规则集中的规则，当查询出规则集中的某一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。本发明实施例中，一个事实对应一个规则集，通过查询该规则集中规则所包含的事实是否都已经发生来得到安全事件，不需要记录中间状态，处理速度较快，实现了安全事件的在线实时匹配。 

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 

图1为本发明实施例一安全事件关联方法的流程图； 

图2为本发明实施例二安全事件关联方法的流程图； 

图3为本发明实施例二安全事件关联方法中步骤210和步骤211的流程图； 

图4为本发明实施例一安全事件关联装置的结构示意图； 

图5为本发明实施例二安全事件关联装置的结构示意图。 

具体实施方式

下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。 

图1为本发明实施例一安全事件关联方法的流程图。如图1所示，本实施例具体包括如下步骤： 

步骤101、当接收到新告警时，将新告警转化为事实； 

步骤102、在预置的规则库中，选择与事实有关的所有规则，构成规则集； 

步骤103、查询规则集中的规则，当查询出规则集中的一条规则所包含的所有事实都已经发生时，根据这条规则得到安全事件。