技術領域

本發明涉及網絡事件關聯分析領域，具體地，涉及一種網絡事件關聯分析方法和裝置。

背景技術

在網絡傳輸中，產生諸如HTTP、FTP等網絡事件，這些單個獨立的網絡事件，其本身看來是正常的網絡行為，不帶有任何危害，但對于多個相關事件聯合分析后，則可能挖掘出潛藏在網絡事件之前的關系，這即為網絡事件的關聯分析。

常用的關聯分析方法是基于狀態機實現的。狀態機是它是一個有向圖形，由一組節點和一組相應的轉移函數組成。狀態機通過響應一系列事件而“運行”。每個事件都在屬于“當前”節點的轉移函數的控制范圍內，其中函數的范圍是節點的一個子集。函數返回“下一個”（也許是同一個）節點。這些節點中至少有一個必須是終態。當到達終態，狀態機停止。

將狀態機應用于網絡事件關聯分析，已經是一種較為普遍的認識，也是一種較為常用的方法。一般通過專業人員編寫狀態機應用場景，應用程序通過分析狀態機應用場景，實現關聯分析功能。

但現有的通過狀態機實現的方法存在以下的缺陷：現有狀態機應用場景經常需要專業人員編寫，對于非專業人員無法理解，更無法修改；現有狀態機應用場景經常使用非可視化語言編寫，諸如腳本等，描述能力差，無相關基礎的人員無法讀寫和修改。

發明內容

針對現有技術中存在的上述缺陷，本發明提出了一種網絡事件關聯分析方法和裝置。

本發明提出了一種網絡事件關聯分析方法，該方法包括：從場景庫中選擇一個或多個場景；分析所選場景中的規則，丟棄掉不合法的規則，保留有效規則；當新的網絡事件發生時，針對所選擇的場景中的每一個場景，利用為該場景所選擇的有效規則對所述新的網絡事件進行分析。

本發明還提出了一種網絡事件關聯分析裝置，該裝置包括：場景選擇模塊，用于從場景庫中選擇一個或多個場景；規則過濾模塊，用于分析所選場景中的規則，丟棄掉不合法的規則，保留有效規則；分析模塊，用于當新的網絡事件發生時，針對所選擇的場景中的每一個場景，利用為該場景所選擇的有效規則對所述新的網絡事件進行分析。

本發明通過場景庫和規則的結合來進行網絡事件關聯分析，解決了現有網絡事件關聯分析中描述能力差的問題，并實現了良好的技術效果。

附圖說明

圖1示出了根據本發明的一種網絡事件關聯分析方法；

圖2示出了所選擇的一個或多個場景形成的場景鏈。

具體實施方式

圖1示出了根據本發明的一種網絡事件關聯分析方法。

在步驟110中，從場景庫中選擇一個或多個場景。

可以根據環境、系統或網絡配置的需要或對風險的分析，預先創建場景庫，其中包括至少一個場景。所述場景可包括例如異常登錄檢測場景、關鍵服務訪問檢測場景、異常網絡操作行為檢測場景、潛在危害分析場景等。可以認為所選擇的一個或多個場景形成場景鏈，如圖2所示。

下面出了一種示例性場景格式：

其中，1、Rec為場景關鍵字；2、“#”,“//”和“/*/”為注釋符號；3、其中的規則、動作參見下文。

在步驟120中，分析所選場景中的規則，丟棄掉不合法的規則，保留有效規則。

針對每個特定的場景，都可以設定若干個規則，以用于對網絡事件進行判斷。優選地，可以對每個場景文件中的規則進行詞法和語法分析，丟棄掉不符合詞法和語法的規則，加載正確的規則，構成規則鏈。而每一個規則經詞法和語法解析后是一個規則樹（對應于有效規則）（參見圖2），該規則樹包含規則的各種屬性.

下面給出根據本發明的一種實施方式的規則定義并對其中的具體項目進行解釋和說明：

每個規則由規則類型、觸發條件、事件描述、動作、全局狀態變量等屬性組成，表1列出了規則的所有屬性和描述。

表1規則屬性

下面對表1中的各項進行解釋說明：

（一）規則類型（Type）

規則類型包括觸發型、閥值型、閥值抑制型和抑制型。

表2描述了每個規則的功能，及規則對應的屬性。

表2規則類型

（二）過濾器類型（Ptype）

支持的過濾器類型如表3所示。

表3過濾器類型