[发明专利]一种网络事件关联分析方法及装置、计算机设备

权利要求书

1.一种网络事件关联分析方法，其特征在于，包括如下步骤：

步骤S1、设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；事件节点的属性包括：名称、详细描述和事态级别；入侵路径的属性包括：源节点、目标节点和事件触发条件；其中事件触发条件包括阈值类型和阈值设置；

步骤S2、根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；

步骤S3、获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；

步骤S4、当状态机前进至用于上报告警的事件节点，则进行告警信息上送，并销毁对应的状态机；

步骤S5、判断是否继续检测，是则返回步骤S3等待新上报的事件的触发。

2.根据权利要求1所述的网络事件关联分析方法，其特征在于：

所述步骤S2中，将得到的规则信息初始化为内部规则路径图时，根据所述事件关联描述文件中记录的各入侵路径的属性，组装各事件节点之间的对应连接关系，作为检测入侵事件的规则信息，进而得到所述内部规则路径图。

3.根据权利要求1或2任一项所述的网络事件关联分析方法，其特征在于：

所述步骤S3中，根据上报的事件令状态机在所述内部规则路径图上运行时，通过状态机对事件的数值记录与该状态机所在事件节点位置，判断在获取上报的事件并修改相应的数值记录后，是否满足与该状态机所在事件节点连接的、任一入侵路径的事件触发条件；

若满足，则状态机由所在事件节点前进至该入侵路径所对应连接的下一事件节点，实现状态变更。

4.根据权利要求3所述的网络事件关联分析方法，其特征在于：

所述步骤S3中，状态变更后，开始计时，若在该事件节点处等待超时，则状态机返回至状态变更前的上一事件节点处，并根据对应的入侵路径，恢复状态机针对事件触发条件的数值记录。

5.根据权利要求1所述的网络事件关联分析方法，其特征在于：

所述步骤S2中，根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图时，对于不同的事件关联描述文件，对应地构成不同的内部规则路径图；

所述步骤S3中，获取上报的事件，根据所述内部规则路径图进行判断，若符合多个所述内部规则路径图中用于启动的起始条件，则对应各所述内部规则路径图，复制多个状态机，令各状态机分别在相应的内部规则路径图上运行，实现并行处理。

6.根据权利要求1所述的网络事件关联分析方法，其特征在于：

所述步骤S4中，进行告警信息上送时，输出完整的入侵事件记录，包括涉及的所有事件节点以及入侵路径。

7.一种网络事件关联分析装置，其特征在于，包括：

设置模块，用于设置事件关联描述文件，所述事件关联描述文件记录有用于描述各入侵事件的事件节点与入侵路径的属性；事件节点的属性包括：名称、详细描述和事态级别；入侵路径的属性包括：源节点、目标节点和事件触发条件；其中事件触发条件包括阈值类型和阈值设置；

规则模块，用于根据所述事件关联描述文件更新规则信息，并将得到的规则信息初始化为内部规则路径图；

处理模块，用于获取上报的事件，根据所述内部规则路径图进行判断，若符合用于启动的起始条件，则生成状态机，并根据上报的事件令状态机在所述内部规则路径图上运行，且保存每一步运行的记录；

告警模块，用于当状态机前进至用于上报告警的事件节点，进行告警信息上送，并销毁对应的状态机；

判断模块，用于判断是否继续检测，是则调用所述处理模块，等待新上报的事件的触发。

8.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述网络事件关联分析方法的步骤。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述网络事件关联分析方法的步骤。