亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法

文檔序號(hào):7549696閱讀:159來源:國知局
專利名稱:一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法
技術(shù)領(lǐng)域
本發(fā)明涉及安全管理系統(tǒng)技術(shù)領(lǐng)域,具體涉及一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法。
背景技術(shù)
:
當(dāng)前網(wǎng)絡(luò)安全問題十分嚴(yán)峻,保護(hù)網(wǎng)絡(luò)安全設(shè)備的告警事件成為網(wǎng)絡(luò)安全工作中的檢測(cè)、分析和響應(yīng)的重要依據(jù)。然而在現(xiàn)實(shí)應(yīng)用中,事件的分析工作卻面臨諸多挑戰(zhàn),報(bào)警數(shù)據(jù)巨大、誤報(bào)嚴(yán)重與重復(fù)報(bào)警頻繁等。現(xiàn)有技術(shù)對(duì)事件的關(guān)聯(lián)處理、分析統(tǒng)計(jì)大都采取基于數(shù)據(jù)庫策略的事后處理或基于內(nèi)存的準(zhǔn)實(shí)時(shí)處理技術(shù),實(shí)現(xiàn)告警事件的降噪、歸并及規(guī)則響應(yīng)。基于數(shù)據(jù)庫策略的事后分析方式為了檢索數(shù)據(jù),首先需要向數(shù)據(jù)庫發(fā)出一個(gè)查詢操作,假設(shè)需要查詢10次每秒的數(shù)據(jù)時(shí),必須發(fā)出每秒10次的查詢操作,這樣會(huì)對(duì)數(shù)據(jù)庫造成很大壓力,也不便于擴(kuò)展到數(shù)百或數(shù)千每秒的查詢,事件處理性能及可操作性不佳;內(nèi)存準(zhǔn)實(shí)時(shí)處理方式需要占用大量內(nèi)存存儲(chǔ)安全事件,頻繁操作數(shù)據(jù)將大幅增加系統(tǒng)負(fù)擔(dān),且不能提供實(shí)時(shí)的查詢結(jié)果優(yōu)化。發(fā)明內(nèi)容:
本發(fā)明所解決的技術(shù)問題是提供一種解決了海量事件報(bào)警誤報(bào)及重復(fù)報(bào)警,同時(shí)克服了現(xiàn)有安全管理系統(tǒng)中存在的誤報(bào)嚴(yán)重、重復(fù)報(bào)警頻繁以及處理效率問題的基于事件流追加推動(dòng)方式的安全響應(yīng)方法。一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法,其特殊之處在于:所述方法為事件以流的形式進(jìn)入事件處理引擎,引擎內(nèi)部采用基于時(shí)間及事件數(shù)量的滑動(dòng)窗口推動(dòng)查詢的執(zhí)行及存儲(chǔ),并且以流的形式增量式產(chǎn)生查詢結(jié)果,查詢結(jié)果觸發(fā)與規(guī)則關(guān)聯(lián)的監(jiān)聽器,進(jìn)行事件響應(yīng)處理,并獲得關(guān)聯(lián)結(jié)果。上述的方法通過以下幾個(gè)步驟來實(shí)現(xiàn):
步驟一:對(duì)于網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的告警事件進(jìn)行采集和分類,并按照XML格式進(jìn)行歸一化解析及處理,組裝成事件流發(fā)送到事件處理引擎;
步驟二:事件處理引擎根據(jù)預(yù)先制定的關(guān)聯(lián)分析及響應(yīng)規(guī)則生成事件查詢語句,每當(dāng)有事件流進(jìn)入事件處理引擎時(shí),事件處理引擎將以滑動(dòng)窗口方式對(duì)事件進(jìn)行掃描,并推動(dòng)查詢語句的執(zhí)行,滑動(dòng)窗口用來做統(tǒng)計(jì)并對(duì)應(yīng)一個(gè)或多個(gè)監(jiān)聽器,用來觸發(fā)當(dāng)特定條件滿足時(shí)的響應(yīng)動(dòng)作,事件從窗口的左端流入,從右端流出,只要有事件流進(jìn)入窗口,即觸發(fā)查詢條件執(zhí)行,并將查詢結(jié)果進(jìn)行累計(jì)和存儲(chǔ),存儲(chǔ)后的查詢結(jié)果作為下一次查詢的基準(zhǔn)值;
步驟三:滑動(dòng)窗口填滿時(shí),表明進(jìn)入窗口的事件已到達(dá)窗口大小上限,最先進(jìn)入窗口的事件將會(huì)從窗口右端流出,稱之為舊事件,新的事件從窗口左端流入,即新事件,所有事件自始至終都按照從左到右的順序依次流經(jīng)滑動(dòng)窗口,每當(dāng)窗口內(nèi)事件數(shù)量達(dá)到上限,將觸發(fā)窗口對(duì)應(yīng)的監(jiān)聽器動(dòng)作,執(zhí)行安全響應(yīng)報(bào)警,同時(shí)將計(jì)數(shù)清零,并以當(dāng)前進(jìn)入的新事件個(gè)數(shù)重新進(jìn)行統(tǒng)計(jì)。
與現(xiàn)有計(jì)數(shù)相比較,本發(fā)明的有益效果:
本發(fā)明的事件到來推動(dòng)查詢條件執(zhí)行,滿足條件進(jìn)行計(jì)數(shù),計(jì)數(shù)符合窗口的限制時(shí)觸發(fā)告警響應(yīng),系統(tǒng)本身并不緩存過多事件數(shù)據(jù),提高了事件處理效率;由于所有事件事先都經(jīng)過歸一化處理,可集中處理多臺(tái)設(shè)備產(chǎn)生的事件信息,并根據(jù)查詢條件進(jìn)行過濾、關(guān)聯(lián)及歸并,使用事件統(tǒng)計(jì)計(jì)數(shù)方法也能夠顯著降低重復(fù)報(bào)警及誤報(bào)幾率。


:
圖1為本發(fā)明的流程圖。
具體實(shí)施方式
:
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明進(jìn)行詳細(xì)說明。參見圖1,本發(fā)明的方法為事件以流的形式進(jìn)入事件處理引擎,引擎內(nèi)部采用基于時(shí)間及事件數(shù)量的滑動(dòng)窗口推動(dòng)查詢的執(zhí)行及存儲(chǔ),并且以流的形式增量式產(chǎn)生查詢結(jié)果,查詢結(jié)果觸發(fā)與規(guī)則關(guān)聯(lián)的監(jiān)聽器,進(jìn)行事件響應(yīng)處理,并獲得關(guān)聯(lián)結(jié)果。上述的方法通過以下幾個(gè)步驟來實(shí)現(xiàn):
步驟一:對(duì)于網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的告警事件進(jìn)行采集和分類,并按照XML格式進(jìn)行歸一化解析及處理,組裝成事件流發(fā)送到事件處理弓I擎。XML結(jié)構(gòu)的事件內(nèi)容包含事件各字段的類型及值,形如;
<event>
〈id type= “ integer,,value= “10011,,/id>//事件序號(hào)
〈type type= “string,,value= “ddos,,/type〉//事件類型
〈sip type= “string” value= “210.27.48.200” /srcip> //源地址 〈dstip type= “string” value= “ 10.0.7.254”/dstip>// 目的地址
〈protocol type= “string” value= “TCP”/protocol〉 // 協(xié)議 〈sport type= “integer” value= “ 15783”/sport〉//源端口
<dport type= “ integer” value= “80”/dport>// 目的端口
〈timestamp type= “date” value= “2012-12-22 14:23:56”〉// 生成時(shí)間 </ event>
步驟二:事件處理引擎根據(jù)預(yù)先制定的關(guān)聯(lián)分析及響應(yīng)規(guī)則生成事件查詢語句,每當(dāng)有事件流進(jìn)入事件處理引擎時(shí),事件處理引擎將以滑動(dòng)窗口方式對(duì)事件進(jìn)行掃描,并推動(dòng)查詢語句的執(zhí)行,滑動(dòng)窗口用來做統(tǒng)計(jì)并對(duì)應(yīng)一個(gè)或多個(gè)監(jiān)聽器,用來觸發(fā)當(dāng)特定條件滿足時(shí)的響應(yīng)動(dòng)作,事件從窗口的左端流入,從右端流出,只要有事件流進(jìn)入窗口,即觸發(fā)查詢條件執(zhí)行,并將查詢結(jié)果進(jìn)行累計(jì)和存儲(chǔ),存儲(chǔ)后的查詢結(jié)果作為下一次查詢的基準(zhǔn)值;
步驟三:滑動(dòng)窗口填滿時(shí),表明進(jìn)入窗口的事件已到達(dá)窗口大小上限,最先進(jìn)入窗口的事件將會(huì)從窗口右端流出,稱之為舊事件,新的事件從窗口左端流入,即新事件,所有事件自始至終都按照從左到右的順序依次流經(jīng)滑動(dòng)窗口,每當(dāng)窗口內(nèi)事件數(shù)量達(dá)到上限,將觸發(fā)窗口對(duì)應(yīng)的監(jiān)聽器動(dòng)作,執(zhí)行安全響應(yīng)報(bào)警,同時(shí)將計(jì)數(shù)清零,并以當(dāng)前進(jìn)入的新事件個(gè)數(shù)重新進(jìn)行統(tǒng)計(jì)。
實(shí)施例1:下面將通過在SOC設(shè)備中實(shí)施本發(fā)明進(jìn)行詳細(xì)描述。實(shí)施時(shí),需要將事件流追加推動(dòng)方式安全響應(yīng)模塊部署到SOC設(shè)備中,該模塊完成安全事件采集及事件流處理響應(yīng)。步驟一:管理員配置將安全設(shè)備(防火墻、信息審計(jì)、IDS檢測(cè)等)告警事件發(fā)送到SOC設(shè)備,SOC設(shè)備上配置采集探針,監(jiān)聽安全事件的到來;
步驟二:采集探針將接收到的告警事件進(jìn)行解析和分類,按照歸一化格式組裝成事件流,傳送給事件處理引擎進(jìn)行處理;
步驟三:事件處理引擎啟動(dòng)時(shí)按照預(yù)先定義的查詢及響應(yīng)條件進(jìn)行初始化,完成事件窗口的分配。查詢條件使用類似SQL語句的表達(dá)式,如“select count (*) from sim_eventwhere device_type in ( ‘ids’ , ’ firewall’ , ’ audit’ ) and event_cat=> attack’and event_type=’ ddos’”,事件窗 口表達(dá)式可使用 “win: time (10 seconds)” 及“win: length(100) ”等代表時(shí)間或長度形式,告警條件表示計(jì)數(shù)范圍,如“>=1000”或“=500”。步驟四:每當(dāng)有事件流進(jìn)入事件窗口,將推動(dòng)窗口對(duì)應(yīng)查詢條件的執(zhí)行,符合條件進(jìn)行計(jì)數(shù),并逐次進(jìn)行累計(jì)。當(dāng)計(jì)數(shù)達(dá)到窗口規(guī)定大小的上限時(shí),觸發(fā)響應(yīng)動(dòng)作執(zhí)行,同時(shí)對(duì)計(jì)數(shù)進(jìn)行歸零,重新按照新進(jìn)入窗口的事件進(jìn)行計(jì)數(shù)。整個(gè)過程周而復(fù)始,只要有事件進(jìn)入事件窗口,都將觸發(fā)查詢及計(jì)數(shù)的進(jìn)行,滿足告警條件時(shí)執(zhí)行響應(yīng)動(dòng)作。本發(fā)明采用事件流模型方式處理安全事件,流區(qū)別于傳統(tǒng)數(shù)據(jù)庫模型中靜態(tài)信息存儲(chǔ),流中的數(shù)據(jù)不再是永久的關(guān)系形式,而是大量、連續(xù)、快速、隨時(shí)間變化數(shù)據(jù)形式,這些數(shù)據(jù)是實(shí)時(shí)在線到達(dá)的,諸如金融數(shù)據(jù),傳感器數(shù)據(jù),網(wǎng)絡(luò)安全數(shù)據(jù)等。事件流由原始事件數(shù)據(jù)流抽象而成,事件采集器在接收原始事件數(shù)據(jù)后加以處理,采用P0J0、XML、哈希表等格式,封裝成不同類型事件流,源源不斷發(fā)送給事件處理引擎,這些信息進(jìn)入事件處理引擎在時(shí)間上是有一定的先后順序并且其內(nèi)容是不斷變化的,符合“流”的特征。
權(quán)利要求
1.一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法,其特征在于:所述方法為事件以流的形式進(jìn)入事件處理引擎,引擎內(nèi)部采用基于時(shí)間及事件數(shù)量的滑動(dòng)窗口推動(dòng)查詢的執(zhí)行及存儲(chǔ),并且以流的形式增量式產(chǎn)生查詢結(jié)果,查詢結(jié)果觸發(fā)與規(guī)則關(guān)聯(lián)的監(jiān)聽器,進(jìn)行事件響應(yīng)處理,并獲得關(guān)聯(lián)結(jié)果。
2.根據(jù)權(quán)利要求1所述的一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法,其特征在于:所述的方法通過以下幾個(gè)步驟來實(shí)現(xiàn): 步驟一:對(duì)于網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的告警事件進(jìn)行采集和分類,并按照XML格式進(jìn)行歸一化解析及處理,組裝成事件流發(fā)送到事件處理引擎; 步驟二:事件處理引擎根據(jù)預(yù)先制定的關(guān)聯(lián)分析及響應(yīng)規(guī)則生成事件查詢語句,每當(dāng)有事件流進(jìn)入事件處理引擎時(shí),事件處理引擎將以滑動(dòng)窗口方式對(duì)事件進(jìn)行掃描,并推動(dòng)查詢語句的執(zhí)行,滑動(dòng)窗口用來做統(tǒng)計(jì)并對(duì)應(yīng)一個(gè)或多個(gè)監(jiān)聽器,用來觸發(fā)當(dāng)特定條件滿足時(shí)的響應(yīng)動(dòng)作,事件從窗口的左端流入,從右端流出,只要有事件流進(jìn)入窗口,即觸發(fā)查詢條件執(zhí)行,并將查詢結(jié)果進(jìn)行累計(jì)和存儲(chǔ),存儲(chǔ)后的查詢結(jié)果作為下一次查詢的基準(zhǔn)值; 步驟三:滑動(dòng)窗口填滿時(shí),表明進(jìn)入窗口的事件已到達(dá)窗口大小上限,最先進(jìn)入窗口的事件將會(huì)從窗口右端流出,稱之為舊事件,新的事件從窗口左端流入,即新事件,所有事件自始至終都按照從左到右的順序依次流經(jīng)滑動(dòng)窗口,每當(dāng)窗口內(nèi)事件數(shù)量達(dá)到上限,將觸發(fā)窗口對(duì)應(yīng)的監(jiān)聽器動(dòng)作,執(zhí)行安全響應(yīng)報(bào)警,同時(shí)將計(jì)數(shù)清零,并以當(dāng)前進(jìn)入的新事件個(gè)數(shù)重新進(jìn)行統(tǒng)計(jì)。
全文摘要
本發(fā)明涉及一種基于事件流追加推動(dòng)方式的安全響應(yīng)方法。本發(fā)明的方法為事件以流的形式進(jìn)入事件處理引擎,引擎內(nèi)部采用基于時(shí)間及事件數(shù)量的滑動(dòng)窗口推動(dòng)查詢的執(zhí)行及存儲(chǔ),并且以流的形式增量式產(chǎn)生查詢結(jié)果,查詢結(jié)果觸發(fā)與規(guī)則關(guān)聯(lián)的監(jiān)聽器,進(jìn)行事件響應(yīng)處理,并獲得關(guān)聯(lián)結(jié)果。本發(fā)明的事件到來推動(dòng)查詢條件執(zhí)行,滿足條件進(jìn)行計(jì)數(shù),計(jì)數(shù)符合窗口的限制時(shí)觸發(fā)告警響應(yīng),系統(tǒng)本身并不緩存過多事件數(shù)據(jù),提高了事件處理效率;由于所有事件事先都經(jīng)過歸一化處理,可集中處理多臺(tái)設(shè)備產(chǎn)生的事件信息,并根據(jù)查詢條件進(jìn)行過濾、關(guān)聯(lián)及歸并,使用事件統(tǒng)計(jì)計(jì)數(shù)方法也能夠顯著降低重復(fù)報(bào)警及誤報(bào)幾率。
文檔編號(hào)H04L12/24GK103107907SQ20131000077
公開日2013年5月15日 申請(qǐng)日期2013年1月4日 優(yōu)先權(quán)日2013年1月4日
發(fā)明者何建鋒, 劉亞軒, 王平 申請(qǐng)人:西安交大捷普網(wǎng)絡(luò)科技有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1