[发明专利]一种网络事件关联分析方法和装置

说明书

技术领域

本发明涉及网络事件关联分析领域，具体地，涉及一种网络事件关联分析方法和装置。

背景技术

在网络传输中，产生诸如HTTP、FTP等网络事件，这些单个独立的网络事件，其本身看来是正常的网络行为，不带有任何危害，但对于多个相关事件联合分析后，则可能挖掘出潜藏在网络事件之前的关系，这即为网络事件的关联分析。

常用的关联分析方法是基于状态机实现的。状态机是它是一个有向图形，由一组节点和一组相应的转移函数组成。状态机通过响应一系列事件而“运行”。每个事件都在属于“当前”节点的转移函数的控制范围内，其中函数的范围是节点的一个子集。函数返回“下一个”（也许是同一个）节点。这些节点中至少有一个必须是终态。当到达终态，状态机停止。

将状态机应用于网络事件关联分析，已经是一种较为普遍的认识，也是一种较为常用的方法。一般通过专业人员编写状态机应用场景，应用程序通过分析状态机应用场景，实现关联分析功能。

但现有的通过状态机实现的方法存在以下的缺陷：现有状态机应用场景经常需要专业人员编写，对于非专业人员无法理解，更无法修改；现有状态机应用场景经常使用非可视化语言编写，诸如脚本等，描述能力差，无相关基础的人员无法读写和修改。

发明内容

针对现有技术中存在的上述缺陷，本发明提出了一种网络事件关联分析方法和装置。

本发明提出了一种网络事件关联分析方法，该方法包括：从场景库中选择一个或多个场景；分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则；当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。

本发明还提出了一种网络事件关联分析装置，该装置包括：场景选择模块，用于从场景库中选择一个或多个场景；规则过滤模块，用于分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则；分析模块，用于当新的网络事件发生时，针对所选择的场景中的每一个场景，利用为该场景所选择的有效规则对所述新的网络事件进行分析。

本发明通过场景库和规则的结合来进行网络事件关联分析，解决了现有网络事件关联分析中描述能力差的问题，并实现了良好的技术效果。

附图说明

图1示出了根据本发明的一种网络事件关联分析方法；

图2示出了所选择的一个或多个场景形成的场景链。

具体实施方式

图1示出了根据本发明的一种网络事件关联分析方法。

在步骤110中，从场景库中选择一个或多个场景。

可以根据环境、系统或网络配置的需要或对风险的分析，预先创建场景库，其中包括至少一个场景。所述场景可包括例如异常登录检测场景、关键服务访问检测场景、异常网络操作行为检测场景、潜在危害分析场景等。可以认为所选择的一个或多个场景形成场景链，如图2所示。

下面出了一种示例性场景格式：

其中，1、Rec为场景关键字；2、“#”,“//”和“/*/”为注释符号；3、其中的规则、动作参见下文。

在步骤120中，分析所选场景中的规则，丢弃掉不合法的规则，保留有效规则。

针对每个特定的场景，都可以设定若干个规则，以用于对网络事件进行判断。优选地，可以对每个场景文件中的规则进行词法和语法分析，丢弃掉不符合词法和语法的规则，加载正确的规则，构成规则链。而每一个规则经词法和语法解析后是一个规则树（对应于有效规则）（参见图2），该规则树包含规则的各种属性.

下面给出根据本发明的一种实施方式的规则定义并对其中的具体项目进行解释和说明：

每个规则由规则类型、触发条件、事件描述、动作、全局状态变量等属性组成，表1列出了规则的所有属性和描述。

表1规则属性

下面对表1中的各项进行解释说明：

（一）规则类型（Type）

规则类型包括触发型、阀值型、阀值抑制型和抑制型。

表2描述了每个规则的功能，及规则对应的属性。

表2规则类型

（二）过滤器类型（Ptype）

支持的过滤器类型如表3所示。

表3过滤器类型