入侵事件的告警关联方法、装置、电子设备及存储介质转让专利
申请号 : CN202111575902.4
文献号 : CN113949621B
文献日 : 2022-03-29
发明人 : 陈杰 , 黄雅芳 , 童兆丰 , 薛锋
申请人 : 北京微步在线科技有限公司
摘要 :
本申请实施例提供一种入侵事件的告警关联方法、装置、电子设备及存储介质,涉及网络安全技术领域。该方法包括获取入侵事件的告警信息;从所述告警信息中提取告警实体;基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件;根据所述关联事件以及生成规则生成事件信息,将告警进行关联,形成关联事件,展示黑客攻击路线,便于监管,解决了现有方法没有将入侵事件进行关联的问题。
权利要求 :
1.一种入侵事件的告警关联方法,其特征在于,所述方法包括:获取入侵事件的告警信息;
从所述告警信息中提取告警实体:从所述告警信息中提取告警实体的实体名、实体类型和实体值,所述实体类型包括外网IP、进程信息、黑客组织、告警类型、文件信息和病毒家族名;
基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件:
根据告警实体和实体类型,判断是否存在现有事件;
若不存在,则根据关联规则进行关联,以生成新事件;
若存在,则根据所述关联规则判断所述告警是否属于现有事件;
若所述告警不属于任意一个现有事件,则根据所述关联规则生成新事件;
若所述告警属于现有事件中的一个,则将所述告警添加至所述现有事件中;
若所述告警属于现有事件中的多个,则将多个现有事件按照合并规则合并成关联事件;
所述若所述告警属于现有事件中的多个,则将多个现有事件按照合并规则合并成关联事件,包括:
若所述现有事件在同一个主机下,且告警类型有且仅有webshell告警,则将所述现有事件合并成一个;
若所述现有事件在同一个主机下,且告警类型为木马或者后门,则将所述现有事件合成一个;
若所述现有事件在同一个主机下,则合并成一个;
根据所述关联事件以及生成规则生成事件信息。
2.根据权利要求1所述的入侵事件的告警关联方法,其特征在于,所述根据关联规则进行关联,包括:
若所述实体类型为外网IP,且所述告警实体指向同一个外网IP,则将告警与对应的事件或告警进行关联;
若所述实体类型为进程ID或父进程ID,且第一告警的进程ID与第二告警的进程ID或父进程ID相同,则将第一告警和第二告警进行关联;
若所述实体类型为进程ID或父进程ID,且第一告警的父进程ID与第二告警的进程ID或父进程ID相同,则将第一告警和第二告警进行关联;
若所述实体类型是黑客组织,且为同一个黑客组织,则进行关联;
若所述实体类型是告警类型,且所述告警类型是后门或木马,则指向所述后门或木马的可疑文件下载或执行告警都将会被关联;
若所述告警实体的实体值相同,则进行关联。
3.根据权利要求1所述的入侵事件的告警关联方法,其特征在于,所述事件信息包括事件名称、威胁分类、严重级别和置信度,所述根据所述关联事件以及生成规则生成事件信息,包括:
根据所述关联事件的告警类型数量和主机数量,生成事件名称;
根据所述关联事件的告警类型判断威胁分类,所述关联事件的威胁分类包括入侵执行、巩固阵地、提权横移、躲避检测、建立外连、破坏窃取中的一个或多个;
根据所述关联事件中的告警,获取告警与严重级别、威胁等级、置信度的映射关系。
4.根据权利要求1所述的入侵事件的告警关联方法,其特征在于,所述告警类型的严重级别包括信息、低、中、高、严重,所述方法还包括:根据严重级别生成规则获取关联事件的严重级别:
若告警类型具有高置信度,则所述关联事件的严重级别为高以上;
若所述告警类型包括特定组合事件,则所述关联事件的严重级别根据所述特定组合事件进行打分;
若所述告警类型满足特定时间序列,所述关联事件的严重级别按照所述特定时间序列进行打分;
若所述关联事件按照告警类型和告警严重级别打分,则公式为:;
其中,tlevel表示告警严重级别,ttype表示告警类型,r为打分的结果;max()表示取最大值,exp()代表以e为底的指数函数;
基于告警类型,利用预设的机器学习模型判断关联事件的严重级别。
5.一种入侵事件的告警关联装置,其特征在于,所述装置包括:告警信息获取模块,用于获取入侵事件的告警信息;
提取模块,用于从所述告警信息中提取告警实体:从所述告警信息中提取告警实体的实体名、实体类型和实体值,所述实体类型包括外网IP、进程信息、黑客组织、告警类型、文件信息和病毒家族名;
关联模块,用于基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件:根据告警实体和实体类型,判断是否存在现有事件;
若不存在,则根据关联规则进行关联,以生成新事件;
若存在,则根据所述关联规则判断所述告警是否属于现有事件;
若所述告警不属于任意一个现有事件,则根据所述关联规则生成新事件;
若所述告警属于现有事件中的一个,则将所述告警添加至所述现有事件中;
若所述告警属于现有事件中的多个,则将多个现有事件按照合并规则合并成关联事件:
若所述现有事件在同一个主机下,且告警类型有且仅有webshell告警,则将所述现有事件合并成一个;
若所述现有事件在同一个主机下,且告警类型为木马或者后门,则将所述现有事件合成一个;
若所述现有事件在同一个主机下,则合并成一个;
事件信息生成模块,用于根据所述关联事件以及生成规则生成事件信息。
6.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至4中任一项所述的入侵事件的告警关联方法。
7.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的入侵事件的告警关联方法。
说明书 :
入侵事件的告警关联方法、装置、电子设备及存储介质
技术领域
[0001] 本申请涉及网络安全技术领域,具体而言,涉及一种入侵事件的告警关联方法、装置、电子设备及存储介质。
背景技术
[0002] 随着互联网技术的发展,各种组织、企业等内部往往有成千上万台电脑组成的集群来用于生产,这些企业的电脑频繁遭受来自互联网黑客的攻击,这些攻击产生的日志数
量往往达到十万甚至百万以上,企业内部的安全管理员面对这些海量的攻击日志往往分析
不出头绪。
量往往达到十万甚至百万以上,企业内部的安全管理员面对这些海量的攻击日志往往分析
不出头绪。
[0003] 现有的入侵事件检测系统包括基于签名和基于异常的入侵检测,现有的告警以主机为单位,没有形成关联,且所有告警均为同一级别,无法及时发现严重级别的告警信息。
发明内容
[0004] 本申请实施例的目的在于提供一种入侵事件的告警关联方法、装置、电子设备及存储介质,将告警进行关联,形成关联事件,展示黑客攻击路线,便于监管,解决了现有方法
没有将入侵事件进行关联的问题。
没有将入侵事件进行关联的问题。
[0005] 本申请实施例提供了一种入侵事件的告警关联方法,该方法包括:
[0006] 获取入侵事件的告警信息;
[0007] 从所述告警信息中提取告警实体;
[0008] 基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件;
[0009] 根据所述关联事件以及生成规则生成事件信息。
[0010] 在上述实现过程中,从告警信息中提取告警实体,实现实体关联,使单个的无序的入侵事件形成了一组有序的数据,解决了传统的入侵事件无法展示黑客攻击路线的问题,
且所有的告警不区分主机,解决了传统入侵检测技术以主机为单位,主机与主机间入侵事
件无法关联的弊端。
且所有的告警不区分主机,解决了传统入侵检测技术以主机为单位,主机与主机间入侵事
件无法关联的弊端。
[0011] 进一步地,所述从所述告警信息中提取告警实体,包括:
[0012] 从所述告警信息中提取告警实体的实体名、实体类型和实体值,所述实体类型包括外网IP、进程信息、黑客组织、告警类型、文件信息和病毒家族名。
[0013] 在上述实现过程中,提取告警信息的告警实体,以便通过告警实体进行告警之间或告警与事件之间的关联。
[0014] 进一步地,所述基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件,包括:
[0015] 根据告警实体和实体类型,判断是否存在现有事件;
[0016] 若不存在,则根据关联规则生成新事件;
[0017] 若存在,则根据所述关联规则判断所述告警是否属于现有事件;
[0018] 若所述告警不属于任意一个现有事件,则根据所述关联规则生成新事件;
[0019] 若所述告警属于现有事件中的一个,则将所述告警添加至所述现有事件中;
[0020] 若所述告警属于现有事件中的多个,则将多个现有事件按照合并规则合并成关联事件。
[0021] 在上述实现过程中,根据告警实体和告警类型建立告警之间的关联,告警关联形成关联事件。
[0022] 进一步地,所述根据关联规则进行关联,包括:
[0023] 若所述实体类型为外网IP,且所述告警实体指向同一个外网IP,则将告警与对应的事件或告警进行关联;
[0024] 若所述实体类型为进程ID或父进程ID,且第一告警的进程ID与第二告警的进程ID或父进程ID相同,则将第一告警和第二告警进行关联;
[0025] 若所述实体类型为进程ID或父进程ID,且第一告警的父进程ID与第二告警的进程ID或父进程ID相同,则将第一告警和第二告警进行关联;
[0026] 若所述实体类型是黑客组织,且为同一个黑客组织,则进行关联;
[0027] 若所述实体类型是告警类型,且所述告警类型是后门或木马,则指向所述后门或木马的可疑文件下载或执行告警都将会被关联;
[0028] 若所述告警实体的实体值相同,则进行关联。
[0029] 在上述实现过程中,给出了关联规则,根据实体类型使得具有相同特性的告警进行关联,生成关联事件,便于了解黑客攻击路线。
[0030] 进一步地,所述若所述告警属于现有事件中的多个,则将多个现有事件按照合并规则合并成关联事件,包括:
[0031] 若所述现有事件在同一个主机下,且告警类型有且仅有webshell告警,则将所述现有事件合并成一个;
[0032] 若所述现有事件在同一个主机下,且告警类型为木马或者后门,则将所述现有事件合成一个;
[0033] 若所述现有事件在同一个主机下,则合并成一个。
[0034] 在上述实现过程中,对于现有事件的关联可以以主机为单位,进行合并。
[0035] 进一步地,所述事件信息包括事件名称、威胁分类、严重级别和置信度,所述根据所述关联事件以及生成规则生成事件信息,包括:
[0036] 根据所述关联事件的告警类型数量和主机数量,生成事件名称;
[0037] 根据所述关联事件的告警类型判断威胁分类,所述关联事件的威胁分类包括入侵执行、巩固阵地、提权横移、躲避检测、建立外连、破坏窃取中的一个或多个;
[0038] 根据所述关联事件中的告警,获取告警与严重级别、威胁等级、置信度的映射关系。
[0039] 在上述实现过程中,根据事件信息生成关联事件与事件信息之间的映射关系。
[0040] 进一步地,所述严重级别包括信息、低、中、高、严重,所述方法还包括:根据严重级别生成规则获取关联事件的严重级别:
[0041] 若告警类型具有高置信度,则所述关联事件的严重级别为高以上;
[0042] 若所述告警类型包括特定组合事件,则所述关联事件的严重级别根据所述特定组合事件进行打分;
[0043] 若所述告警类型满足特定时间序列,所述关联事件的严重级别按照所述特定时间序列进行打分;
[0044] 若所述关联事件按照告警类型和告警严重级别打分,则公式为:
[0045] ;
[0046] 其中,tlevel表示告警严重级别,ttype表示告警类型,r为打分的结果;max()表示取最大值,exp()代表以e为底的指数函数;
[0047] 基于告警类型,利用预设的机器学习模型判断关联事件的严重级别。
[0048] 在上述实现过程中,根据告警的严重级别和类型,确定关联事件的严重级别,可实时将事件的严重级别,及时反馈给企业安全管理员,解决了传统入侵事件检测系统反应慢
的问题。
的问题。
[0049] 本申请实施例还提供一种入侵事件的告警关联装置,所述装置包括:
[0050] 告警信息获取模块,用于获取入侵事件的告警信息;
[0051] 提取模块,用于从所述告警信息中提取告警实体;
[0052] 关联模块,用于基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件;
[0053] 事件信息生成模块,用于根据所述关联事件以及生成规则生成事件信息。
[0054] 在上述实现过程中,从告警信息中提取告警实体,实现实体关联,使单个的无序的入侵事件形成了一组有序的数据,解决了传统的入侵事件无法展示黑客攻击路线的问题,
且所有的告警不区分主机,解决了传统入侵检测技术以主机为单位,主机与主机间入侵事
件无法关联的弊端。
且所有的告警不区分主机,解决了传统入侵检测技术以主机为单位,主机与主机间入侵事
件无法关联的弊端。
[0055] 本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述
中任一项所述的入侵事件的告警关联方法。
中任一项所述的入侵事件的告警关联方法。
[0056] 本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的入侵事件
的告警关联方法。
的告警关联方法。
附图说明
[0057] 为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
[0058] 图1为本申请实施例提供的一种入侵事件的告警关联方法的流程图;
[0059] 图2为本申请实施例提供的告警关联流程图;
[0060] 图3为本申请实施例提供的告警实体的示意图;
[0061] 图4为本申请实施例提供的关联流程图;
[0062] 图5为本申请实施例提供的获得的一个待处理的告警和告警实体示意图;
[0063] 图6为本申请实施例提供的另一个告警和告警实体示意图;
[0064] 图7为本申请实施例提供的告警之间按照关联规则进行关联示意图;
[0065] 图8为本申请实施例提供的合并关联成功的告警;
[0066] 图9为本申请实施例提供的继续与其他告警进行关联的示意图;
[0067] 图10为本申请实施例提供的生成新事件示意图;
[0068] 图11为本申请实施例提供的事件信息生成流程图;
[0069] 图12为本申请实施例提供的一种入侵事件的告警关联装置的结构框图。
[0070] 图标:
[0071] 100‑告警信息获取模块;200‑提取模块;300‑关联模块;400‑事件信息生成模块。
具体实施方式
[0072] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
[0073] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的
描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0074] 请参看图1,图1为本申请实施例提供的一种入侵事件的告警关联方法的流程图。该方法通过提取告警的实体特征,对所有的告警进行关联,形成多个操作链,对这些操作链
进行分析,通过实体特征对疑似攻击的操作链进行打分,根据打分,形成一个个具体的攻击
事件。该方法具体包括以下步骤:
进行分析,通过实体特征对疑似攻击的操作链进行打分,根据打分,形成一个个具体的攻击
事件。该方法具体包括以下步骤:
[0075] 步骤S100:获取入侵事件的告警信息;
[0076] 可基于现有的入侵检测技术,即基于签名的入侵检测和基于异常的入侵检测,获取入侵事件的告警信息。
[0077] 步骤S200:从所述告警信息中提取告警实体;
[0078] 具体地,如图2所示,为告警关联流程图,从所述告警信息中提取告警实体的实体名、实体类型和实体值,所述实体类型包括外网IP、进程信息如进程ID、父进程ID等、黑客组
织、告警类型、文件信息和病毒家族名。后续可以根据获得的其他告警信息对告警实体进行
扩充和丰富。
织、告警类型、文件信息和病毒家族名。后续可以根据获得的其他告警信息对告警实体进行
扩充和丰富。
[0079] 告警实体可表示为Entity(name,type,value),name为实体的名,type为实体的类型,value为实体值,如图3所示,为告警实体的示意图。
[0080] 步骤S300:基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件;
[0081] 以告警实体为点,以实体类型为关系,可根据以下关联规则将告警与现有事件或告警进行关联。如图4所示,为关联流程图,在告警与现有事件进行关联时,具体包括:
[0082] 步骤S301:根据告警实体和实体类型,判断是否存在现有事件;
[0083] 步骤S302:若不存在,则根据关联规则进行关联,以生成新事件;
[0084] 示例地,对于生成新事件,如图5所示,为获得的一个待处理的告警和告警实体示意图,对于所有的告警和实体集合,取出其中一个告警和告警实体;图6为另一个告警和告
警实体示意图,图7为告警之间按照关联规则进行关联示意图,将告警和告警实体之间按照
指定的规则进行关联;图8为合并关联成功的告警,如果满足任意一个关联规则,则关联成
功,可合并关联成功的告警和告警实体;图9为继续与其他告警进行关联的示意图,继续取
出告警和告警实体,重复上述步骤,直到所有的告警和告警实体都比较过;图10为生成新事
件示意图,将没有任何关联关系的最大子集构建出新事件,且新事件与新事件之间没有交
集。
警实体示意图,图7为告警之间按照关联规则进行关联示意图,将告警和告警实体之间按照
指定的规则进行关联;图8为合并关联成功的告警,如果满足任意一个关联规则,则关联成
功,可合并关联成功的告警和告警实体;图9为继续与其他告警进行关联的示意图,继续取
出告警和告警实体,重复上述步骤,直到所有的告警和告警实体都比较过;图10为生成新事
件示意图,将没有任何关联关系的最大子集构建出新事件,且新事件与新事件之间没有交
集。
[0085] 步骤S303:若存在,则根据所述关联规则判断所述告警是否属于现有事件;
[0086] 步骤S304:若所述告警不属于任意一个现有事件,则根据所述关联规则生成新事件;
[0087] 步骤S305:若所述告警属于现有事件中的一个,则将所述告警添加至所述现有事件中;
[0088] 步骤S306:若所述告警属于现有事件中的多个,则将多个现有事件按照合并规则合并成关联事件。
[0089] 其中,现有事件是指将相关联的告警集合在一起构成的关联告警的集合,关联对象可以是将告警与对应的事件进行关联或者将两个告警进行关联生成事件,具体的关联规
则如下:
则如下:
[0090] 根据实体类型判断当前告警是否能够与现有事件进行关联,或者现有事件能否合并。
[0091] 具体的关联规则包括但不限于:
[0092] 若所述实体类型为外网IP,且所述告警实体指向同一个外网IP,则将告警与对应的事件或告警进行关联,即将告警合并到对应的事件中,或者告警与告警关联生成事件;
[0093] 若所述实体类型为进程ID或父进程ID,且第一告警的进程ID与第二告警的进程ID或父进程ID相同,则将第一告警和第二告警进行关联;
[0094] 将第一告警的进程ID或父进程ID与第二警的进程ID或父进程ID进行比较,只要有任意一个ID相同,则将第一告警和第二告警进行关联。例如,告警a的进程ID的值为a1,父进
程ID的值为a2,告警b的进程ID的值为b1,父进程ID的值为b2,若告警a的实体类型为进程
ID、值为a1,告警b的实体类型的进程ID的值为b1、父进程ID的值为b2,那么比较过程为:
程ID的值为a2,告警b的进程ID的值为b1,父进程ID的值为b2,若告警a的实体类型为进程
ID、值为a1,告警b的实体类型的进程ID的值为b1、父进程ID的值为b2,那么比较过程为:
[0095] a1与b1进行比较,再将a1与b2进行比较,如果a1等于b1,或者a1等于b2,那么将告警a和告警b进行关联。
[0096] 若所述实体类型是黑客组织,且为同一个黑客组织,则进行关联;
[0097] 若所述实体类型是告警类型,且所述告警类型是后门或木马,则指向所述后门或木马的可疑文件下载或执行告警都将会被关联;
[0098] 若所述告警实体的值相同,则进行关联。
[0099] 每个告警包括多个实体(实质为关键字段),实体的值即为关键字段的值,例如,木马后门告警有个实体为MD5,则实体值为这个文件的MD5的值。
[0100] 此外,还可以使用机器学习算法进行关联规则的识别和设置。
[0101] 步骤S306中的合并规则,包括但不限于:
[0102] 若所述现有事件在同一个主机下,且告警类型有且仅有webshell告警,则将所述现有事件合并成一个;
[0103] 若所述现有事件在同一个主机下,且告警类型为木马或者后门,则将所述现有事件合成一个;
[0104] 若所述现有事件在同一个主机下,则合并成一个。
[0105] 也就是说,在同一个主机下的现有事件才有可能满足合并条件。
[0106] 步骤S400:根据所述关联事件以及生成规则生成事件信息。
[0107] 将新生成的、修改后的或者合并生成的关联事件按照指定的生成规则生成事件信息。其中,事件信息包括事件名称、威胁分类、严重级别和置信度。例如,可将关联事件表示
为Incident(name,level,severity,confidence,……),其中,name为事件名称,level为威
胁分类,severity为严重级别,confidence为置信度。如图11所示,为事件信息生成流程图,
具体包括以下步骤:
为Incident(name,level,severity,confidence,……),其中,name为事件名称,level为威
胁分类,severity为严重级别,confidence为置信度。如图11所示,为事件信息生成流程图,
具体包括以下步骤:
[0108] 步骤S401:根据所述关联事件的告警类型数量和主机数量,生成事件名称;
[0109] 例如,2台主机存在后门木马告警,可据此生成事件名称。
[0110] 步骤S402:根据所述关联事件的告警类型判断威胁分类,所述关联事件的威胁分类包括入侵执行、巩固阵地、提权横移、躲避检测、建立外连、破坏窃取中的一个或多个;
[0111] 一个关联事件可以有多个威胁分类,根据事件中的告警类型来判断威胁分类,比如告警类型为木马或后门,则事件的威胁分类包含巩固阵地。
[0112] 步骤S403:根据所述关联事件中的告警,获取告警与严重级别、威胁等级、置信度的映射关系。
[0113] 将事件的告警根据指定规则设置事件的置信度,例如,可根据告警的威胁等级,提取最大的置信度作为事件的置信度。
[0114] 告警类型的严重级别包括信息、低、中、高、严重,分别对应的分值为0、1、2、3、4。根据告警类型的严重级别得到关联事件的严重级别的具体的严重级别生成规则如下:
[0115] 若告警类型具有高置信度,则所述关联事件的严重级别为高以上;
[0116] 此处的高置信度定义为检测引擎检测到告警类型为准确率高、误报率低的告警类型,例如webshell,木马后门这种类型告警,误报率比较低,所以属于高置信度的告警类型。
[0117] 若所述告警类型包括特定组合事件,则所述关联事件的严重级别根据所述特定组合事件进行打分;
[0118] 例如,有一个告警类型组合为:['异常资源使用','后门类木马'],该组合的分数为3分,如果有一个事件,其告警类型包含异常资源使用和后门类木马,那么该事件打3分,
即事件严重级别为3。
即事件严重级别为3。
[0119] 若所述告警类型满足特定时间序列,所述关联事件的严重级别按照所述特定时间序列进行打分,特定事件序列为按照时间顺序执行一组动作,该组动作具体对应一个严重
级别,此时,关联事件的严重级别与该特定事件序列的严重级别一致;
级别,此时,关联事件的严重级别与该特定事件序列的严重级别一致;
[0120] 若所述关联事件按照告警类型和告警严重级别打分,则公式为:
[0121] ;
[0122] 其中,tlevel表示告警严重级别,ttype表示告警类型,r为打分的结果;max()表示取最大值,exp()代表以e为底的指数函数。
[0123] 利用分值大小来表征事件的严重级别,事件的严重级别由告警类型和告警严重级别利用上述公式计算得到。
[0124] 基于告警类型,利用预设的机器学习模型判断关联事件的严重级别,例如基于N‑grams、KNN、GBDT等算法对关联事件的几个特征如告警个数、告警类型等进行模型训练,模
型输出结果为LOSS值(取值为0或1),模型输出事件严重级别和LOSS值相关,当LOSS值为0时
事件严重级别不做任何改变,当LOSS值为1时,事件严重级别定义为高,替换上一步获得的
事件严重级别。
型输出结果为LOSS值(取值为0或1),模型输出事件严重级别和LOSS值相关,当LOSS值为0时
事件严重级别不做任何改变,当LOSS值为1时,事件严重级别定义为高,替换上一步获得的
事件严重级别。
[0125] 在后续生成的告警,将继续重复上述步骤,从而对关联事件进行扩充和丰富。
[0126] 本申请所述的方法从所有告警中提取告警实体,通过告警实体进行关联,使单个的无序入侵事件通过告警实体变成了一组有序数据,解决了传统的入侵事件无法展示黑客
攻击路线的问题,且所有的告警不区分主机,解决了传统入侵检测技术以主机为单位,主机
与主机间入侵事件无法关联的弊端。
攻击路线的问题,且所有的告警不区分主机,解决了传统入侵检测技术以主机为单位,主机
与主机间入侵事件无法关联的弊端。
[0127] 为每个入侵事件设置了严重级别和置信度,解决了企业安全管理员在面对海量的入侵事件时,不知道优先处理哪个的问题。
[0128] 此外,还会不断的获取入侵事件的相关告警,并实时的加入到现有事件中,并依据事件的严重级别,及时反馈给企业安全管理员,解决了传统入侵事件检测系统反应慢的问
题。
题。
[0129] 总之,通过从入侵事件的相关告警中,提取告警实体,利用告警实体并按照一些关联规则将告警进行关联,使离散的入侵事件关联起来,解决了传统入侵事件无法关联的问
题。
题。
[0130] 本申请实施例还提供一种入侵事件的告警关联装置,如图12所示,为一种入侵事件的告警关联装置的结构框图,所述装置包括:
[0131] 告警信息获取模块100,用于获取入侵事件的告警信息;
[0132] 提取模块200,用于从所述告警信息中提取告警实体;
[0133] 关联模块300,用于基于所述告警实体,根据关联规则将告警与告警或者将告警与现有事件进行关联,以获得关联事件;
[0134] 事件信息生成模块400,用于根据所述关联事件以及生成规则生成事件信息。
[0135] 对于具体的实施过程已在上述方法实施例中具体描述,在此不再赘述。
[0136] 该装置将告警进行关联,形成关联事件,展示黑客攻击路线,便于监管,解决了现有方法没有将入侵事件进行关联的问题。
[0137] 本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述
中任一项所述的入侵事件的告警关联方法。
中任一项所述的入侵事件的告警关联方法。
[0138] 本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的入侵事件
的告警关联方法。
的告警关联方法。
[0139] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图
显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于
附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基
于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于
附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基
于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0140] 另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0141] 所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说
对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计
算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个
人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存
储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计
算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个
人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存
储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0142] 以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的
任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和
字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图
中不需要对其进行进一步定义和解释。
任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和
字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图
中不需要对其进行进一步定义和解释。
[0143] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵
盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
[0144] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。