基于有限状态机的网络空间资产日志关联分析系统的制作方法

1.本发明涉及信息安全领域，特别涉及一种基于有限状态机的网络空间资产日志关联分析系统。


背景技术：

2.现有技术中，最为接近的是基于规则树的关联分析系统。（基于事件分类和规则树的关联分析装置。专利申请号:200920182619.3 授权公告号:cn 201491020 u)。
3.基于规则树的关联分析系统，其对规则的建模是基于规则树。规则树系统的基本原理为：首先创建一颗初始的规则树tree0加入到规则树集合中，这棵树包含3个树节点。根节点包含》》(跟随操作符标识)。根节点有两个规则节点孩子，依次是规则a 和规则b。当事件e1匹配规则a时，需要复制一颗初始树tree1，将e1 加入到tree1 的规则节点a中，再将匹配游标移动到规则b节点，并且将tree2加入到规则树集合中。这种复制操作的主要目的是保存中间结果，以便下一个事件e2进来的时候，可以从tree1 的中间结果直接进行ruleb 的匹配。
4.由上述可以看出规则树系统至少存在以下三个问题：1、保存中间结果需要复制整个规则树规则节点中的事件实例，复制的开销比较大。
5.2、由于事件流是连续的，如中间结果多，或者规则树本身占用的空间比较大，存储的开销会比较大。
6.3、随着规则树的复制，规则树集合中的树可能会越来越多，匹配的时间开销会变大，匹配的延时会比较高。


技术实现要素：

7.本发明的目的在于克服现有技术存在缺陷，提供一种基于有限状态机的网络空间资产日志关联分析系统。
8.为实现上述目的，本发明的技术方案是：一种基于有限状态机的网络空间资产日志关联分析系统：规则配置模块，该模块是用户界面，提供给安全管理员配置关联分析规则，配置好的规则以树的形式保存在数据库中；内置条件和知识库，提供有内置基础子规则的实现和参数字典，用户通过规则配置模块对内置条件进行配置和组合形成规则；规则编译器，该模块的功能是将规则配置模块中保存的树形规则配置转换成与规则对应的有限状态机；日志事件接收模块，该模块是一个事件流缓存，缓存中的事件作为输入事件提供给任务调度器；任务调度器，对于缓存中的每个事件，调度所有的有限状态机进行匹配，并且将匹
配结果即匹配事件列表输出给告警生成模块；告警生成模块，接收任务调度器中的匹配事件列表，根据告警的定义，提取事件中的相关属性，生成告警报告发送给安全管理员。
9.在本发明一实施例中，该系统操作步骤如下：s1、初始化步骤：s11、从数据库中读取用规则配置集合；s12、实例化规则配置集合中的各子规则的判断条件，并且组合成树形的配置对象中；s13、提取步骤s12中的配置对象，并且将配置对象翻译成状态机中状态和transition 集合，从而创建一个与当前规则对应的状态机；s14、对于步骤s13中的每个状态机，创建一个任务对象，并且将任务对象注册到调度器中，并且使任务处于睡眠状态；当事件来临时，调度器会同时唤醒已注册的每个任务，进行匹配，并且将运行结果指派给告警处理模块；s2、事件匹配步骤：s21、任务调度器同时唤醒每个已注册的状态机任务，开始输入事件的匹配；s22、根据当前事件的时间戳，更新状态机的内置缓存，修剪掉过期的中间匹配结果；s23、进行当前事件的匹配，若事件匹配当前状态成功，则将事件保存进状态机的内置缓存中；若当前事件会导致某个中间结果匹配失败，则将该中间结果从缓存中清除并且丢弃该事件；若当前状态可以忽略当前事件，则直接丢弃该事件；s24、判断如果事件匹配成功后导致状态机进入结束状态，则从状态机缓存中提取已经匹配的事件列表，并且发送给告警生成模块；s25、告警生成模块接收到步骤s24的事件列表集合，根据每个规则对应的告警配置，从事件列表中提取相应的事件属性，并且生成告警报告，发送给安全管理员。
10.相较于现有技术，本发明具有以下有益效果：本发明基于有限状态机的网络空间资产日志关联分析系统有以下优点：1、将有限状态机模型应用到安全日志关联分析场景中。
11.2、通过状态机模型的应用也提升了关联分析的语义表达能力。
12.3、解决了现有模型中存在的问题：1）状态机中规则的定义只需要保存一份，在运行的过程中不需要针对中间结果去复制规则定义，减少了规则复制的开销。
13.2）状态机不需要复制事件，只需要保存一份实例，中间结果通过索引路径的方式保存在状态机内置缓存中，减少了事件复制的开销。
14.3）状态机在匹配的过程中只需要考虑当前的状态以及当前事件的属性，并不需要考虑之前的匹配结果(规则树中的多个复制树)，因此匹配的效率比规则树要高，尤其是规则比较复杂的情况下，这种优势更明显。
附图说明
15.图1为本发明基于有限状态机的网络空间资产日志关联分析系统结构图示。
16.图2为初始化步骤。
17.图3为事件匹配流程。
具体实施方式
18.下面结合附图，对本发明的技术方案进行具体说明。
19.本发明一种基于有限状态机的网络空间资产日志关联分析系统，包括：规则配置模块，该模块是用户界面，提供给安全管理员配置关联分析规则，配置好的规则以树的形式保存在数据库中；内置条件和知识库，提供有内置基础子规则的实现和参数字典，用户通过规则配置模块对内置条件进行配置和组合形成规则；规则编译器，该模块的功能是将规则配置模块中保存的树形规则配置转换成与规则对应的有限状态机；日志事件接收模块，该模块是一个事件流缓存，缓存中的事件作为输入事件提供给任务调度器；任务调度器，对于缓存中的每个事件，调度所有的有限状态机进行匹配，并且将匹配结果即匹配事件列表输出给告警生成模块；告警生成模块，接收任务调度器中的匹配事件列表，根据告警的定义，提取事件中的相关属性，生成告警报告发送给安全管理员。
20.以下为本发明具体实施实例。
21.1、基于有限状态机的网络空间资产日志关联分析系统的模块简介基于有限状态机的网络空间资产日志关联分析系统主要包含6个模块如图1所示。
22.1、规则配置模块该模块是用户界面，提供给安全管理员配置关联分析规则，配置好的规则以树的形式保存在数据库中。
23.2、内置条件和知识库提供了内置基础子规则的实现和参数字典等用户通过规则配置模块对内置条件进行配置和组合形成规则。
24.3、规则编译器该模块的功能是将规则配置模块中保存的树形规则配置转换成与规则对应的有限状态机。
25.4、日志事件接收模块这个模块是一个事件流缓存，缓存中的事件作为输入事件提供给任务调度器。
26.5、任务调度器对于缓存中的每个事件，调度所有的状态机进行匹配，并且将匹配结果(匹配事件列表)输出给告警生成模块。
27.6、告警生成模块接收任务调度器中的输出事件列表，根据告警的定义，提取事件中的相关属性，生成告警报告发送给管理员。
28.2、基于有限状态机的网络空间资产日志关联分析系统的操作步骤
基于有限状态机的网络空间资产日志关联分析系统的操作步骤分两大块来描述，首先执行的是初始化步骤，初始化步骤成功后执行匹配步骤。
29.2.1、 初始化步骤初始化流程包含4个具体步骤，如图2：1、从数据库中读取用规则配置集合。
30.2、实例化规则配置集合中的各子规则的判断条件，并且组合成树形的配置对象中。
31.3、提取步骤2中的配置对象，并且将配置对象翻译成状态机中的状态和transition 从而创建规则对应的状态机。
32.4、为对于步骤3中的每个状态机，创建一个任务对象，并且将任务对象注册到调度器中，并且使任务处于睡眠状态。当事件来临时，调度器会逐个唤醒已注册的每个任务，进行匹配，并且将运行结果指派给告警处理模块。
33.2.2、事件匹配步骤事件匹配流程主要包括5个具体步骤，如图3所示。
34.1、调度器唤醒每个已注册的状态机任务，开始输入事件的匹配。
35.2、根据当前事件的时间戳，更新状态机的内置缓存，修剪掉过期的中间结果。
36.3、进行当前事件的匹配，若事件匹配当前状态成功，则将事件保存进状态机的内置缓存中。若当前事件会导致某个中间结果匹配失败，则将该中间结果从缓存中清除并且丢弃该事件。若当前状态可以忽略当前事件，则直接丢弃该事件。
37.4、判断如果事件匹配成功后导致状态机进入结束状态，则从状态机缓存中提取已经匹配的事件列表，并且发送给告警生成模块。
38.5、告警生成模块接收到步骤4的事件列表集合，根据每个规则对应的告警配置，从事件列表中提取相应的事件属性，并且生成告警报告，发送给安全管理员。
39.以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。