技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)事件關(guān)聯(lián)分析領(lǐng)域，具體地，涉及一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。

背景技術(shù)

在網(wǎng)絡(luò)傳輸中，產(chǎn)生諸如HTTP、FTP等網(wǎng)絡(luò)事件，這些單個(gè)獨(dú)立的網(wǎng)絡(luò)事件，其本身看來(lái)是正常的網(wǎng)絡(luò)行為，不帶有任何危害，但對(duì)于多個(gè)相關(guān)事件聯(lián)合分析后，則可能挖掘出潛藏在網(wǎng)絡(luò)事件之前的關(guān)系，這即為網(wǎng)絡(luò)事件的關(guān)聯(lián)分析。

常用的關(guān)聯(lián)分析方法是基于狀態(tài)機(jī)實(shí)現(xiàn)的。狀態(tài)機(jī)是它是一個(gè)有向圖形，由一組節(jié)點(diǎn)和一組相應(yīng)的轉(zhuǎn)移函數(shù)組成。狀態(tài)機(jī)通過(guò)響應(yīng)一系列事件而“運(yùn)行”。每個(gè)事件都在屬于“當(dāng)前”節(jié)點(diǎn)的轉(zhuǎn)移函數(shù)的控制范圍內(nèi)，其中函數(shù)的范圍是節(jié)點(diǎn)的一個(gè)子集。函數(shù)返回“下一個(gè)”（也許是同一個(gè)）節(jié)點(diǎn)。這些節(jié)點(diǎn)中至少有一個(gè)必須是終態(tài)。當(dāng)?shù)竭_(dá)終態(tài)，狀態(tài)機(jī)停止。

將狀態(tài)機(jī)應(yīng)用于網(wǎng)絡(luò)事件關(guān)聯(lián)分析，已經(jīng)是一種較為普遍的認(rèn)識(shí)，也是一種較為常用的方法。一般通過(guò)專業(yè)人員編寫狀態(tài)機(jī)應(yīng)用場(chǎng)景，應(yīng)用程序通過(guò)分析狀態(tài)機(jī)應(yīng)用場(chǎng)景，實(shí)現(xiàn)關(guān)聯(lián)分析功能。

但現(xiàn)有的通過(guò)狀態(tài)機(jī)實(shí)現(xiàn)的方法存在以下的缺陷：現(xiàn)有狀態(tài)機(jī)應(yīng)用場(chǎng)景經(jīng)常需要專業(yè)人員編寫，對(duì)于非專業(yè)人員無(wú)法理解，更無(wú)法修改；現(xiàn)有狀態(tài)機(jī)應(yīng)用場(chǎng)景經(jīng)常使用非可視化語(yǔ)言編寫，諸如腳本等，描述能力差，無(wú)相關(guān)基礎(chǔ)的人員無(wú)法讀寫和修改。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中存在的上述缺陷，本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法和裝置。

本發(fā)明提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法，該方法包括：從場(chǎng)景庫(kù)中選擇一個(gè)或多個(gè)場(chǎng)景；分析所選場(chǎng)景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則；當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對(duì)所選擇的場(chǎng)景中的每一個(gè)場(chǎng)景，利用為該場(chǎng)景所選擇的有效規(guī)則對(duì)所述新的網(wǎng)絡(luò)事件進(jìn)行分析。

本發(fā)明還提出了一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析裝置，該裝置包括：場(chǎng)景選擇模塊，用于從場(chǎng)景庫(kù)中選擇一個(gè)或多個(gè)場(chǎng)景；規(guī)則過(guò)濾模塊，用于分析所選場(chǎng)景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則；分析模塊，用于當(dāng)新的網(wǎng)絡(luò)事件發(fā)生時(shí)，針對(duì)所選擇的場(chǎng)景中的每一個(gè)場(chǎng)景，利用為該場(chǎng)景所選擇的有效規(guī)則對(duì)所述新的網(wǎng)絡(luò)事件進(jìn)行分析。

本發(fā)明通過(guò)場(chǎng)景庫(kù)和規(guī)則的結(jié)合來(lái)進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析，解決了現(xiàn)有網(wǎng)絡(luò)事件關(guān)聯(lián)分析中描述能力差的問(wèn)題，并實(shí)現(xiàn)了良好的技術(shù)效果。

附圖說(shuō)明

圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法；

圖2示出了所選擇的一個(gè)或多個(gè)場(chǎng)景形成的場(chǎng)景鏈。

具體實(shí)施方式

圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)事件關(guān)聯(lián)分析方法。

在步驟110中，從場(chǎng)景庫(kù)中選擇一個(gè)或多個(gè)場(chǎng)景。

可以根據(jù)環(huán)境、系統(tǒng)或網(wǎng)絡(luò)配置的需要或?qū)︼L(fēng)險(xiǎn)的分析，預(yù)先創(chuàng)建場(chǎng)景庫(kù)，其中包括至少一個(gè)場(chǎng)景。所述場(chǎng)景可包括例如異常登錄檢測(cè)場(chǎng)景、關(guān)鍵服務(wù)訪問(wèn)檢測(cè)場(chǎng)景、異常網(wǎng)絡(luò)操作行為檢測(cè)場(chǎng)景、潛在危害分析場(chǎng)景等。可以認(rèn)為所選擇的一個(gè)或多個(gè)場(chǎng)景形成場(chǎng)景鏈，如圖2所示。

下面出了一種示例性場(chǎng)景格式：

其中，1、Rec為場(chǎng)景關(guān)鍵字；2、“#”,“//”和“/*/”為注釋符號(hào)；3、其中的規(guī)則、動(dòng)作參見(jiàn)下文。

在步驟120中，分析所選場(chǎng)景中的規(guī)則，丟棄掉不合法的規(guī)則，保留有效規(guī)則。

針對(duì)每個(gè)特定的場(chǎng)景，都可以設(shè)定若干個(gè)規(guī)則，以用于對(duì)網(wǎng)絡(luò)事件進(jìn)行判斷。優(yōu)選地，可以對(duì)每個(gè)場(chǎng)景文件中的規(guī)則進(jìn)行詞法和語(yǔ)法分析，丟棄掉不符合詞法和語(yǔ)法的規(guī)則，加載正確的規(guī)則，構(gòu)成規(guī)則鏈。而每一個(gè)規(guī)則經(jīng)詞法和語(yǔ)法解析后是一個(gè)規(guī)則樹（對(duì)應(yīng)于有效規(guī)則）（參見(jiàn)圖2），該規(guī)則樹包含規(guī)則的各種屬性.

下面給出根據(jù)本發(fā)明的一種實(shí)施方式的規(guī)則定義并對(duì)其中的具體項(xiàng)目進(jìn)行解釋和說(shuō)明：

每個(gè)規(guī)則由規(guī)則類型、觸發(fā)條件、事件描述、動(dòng)作、全局狀態(tài)變量等屬性組成，表1列出了規(guī)則的所有屬性和描述。

表1規(guī)則屬性

下面對(duì)表1中的各項(xiàng)進(jìn)行解釋說(shuō)明：

（一）規(guī)則類型（Type）

規(guī)則類型包括觸發(fā)型、閥值型、閥值抑制型和抑制型。

表2描述了每個(gè)規(guī)則的功能，及規(guī)則對(duì)應(yīng)的屬性。

表2規(guī)則類型

（二）過(guò)濾器類型（Ptype）

支持的過(guò)濾器類型如表3所示。

表3過(guò)濾器類型