[发明专利]一种原始告警信息处理的方法及装置有效
| 申请号: | 201510958909.2 | 申请日: | 2015-12-18 |
| 公开(公告)号: | CN105681274B | 公开(公告)日: | 2019-02-01 |
| 发明(设计)人: | 高浩浩;白敏 | 申请(专利权)人: | 北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 北京同达信恒知识产权代理有限公司 11291 | 代理人: | 黄志华 |
| 地址: | 100089 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及网络安全领域,尤其涉及一种原始告警信息处理的方法及装置。该方法为,将原始告警信息分类,确定原始告警信息的攻击类别;根据攻击类别,将原始告警信息分别和预设的正向推理状态机进行特征匹配操作,以及和预设的反向推理状态机进行关联事件匹配操作,在匹配成功后,生成相应的高威胁告警事件;其中,正向推理状态机表征预设的攻击事件特征规则,反向推理状态机表征预设的与攻击事件关联的其他事件,这样,通过正向推理状态机,及早发现受威胁度最高的目的IP及威胁度最高的源IP;通过反向推理状态机,对攻击事件进行行为推理,可以发现没有检测出的攻击甚至0day攻击,且在攻陷后,及早反查出攻击链,进行告警提醒。 | ||
| 搜索关键词: | 一种 原始 告警 信息处理 方法 装置 | ||
【主权项】:
1.一种原始告警信息处理的方法,其特征在于,包括:获取原始告警信息,以及根据所述原始告警信息的类型标签字段和所述原始告警信息的上下文,确定所述原始告警信息归属的预设的攻击类别;针对所述原始告警信息和预设的正向推理状态机,执行对应所述攻击类别设置的特征匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,所述正向推理状态机表征预设的攻击事件特征规则;所述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类别个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数;针对所述原始告警信息和预设的反向推理状态机,执行对应所述攻击类别设置的关联事件匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,所述反向推理状态机表征预设的与攻击事件关联的其他事件;所述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司,未经北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510958909.2/,转载请声明来源钻瓜专利网。
