(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210014100.4 (22)申请日 2022.01.07 (71)申请人 福建省海峡信息技 术有限公司 地址 350003 福建省福州市 鼓楼区北二环 中路61号2号楼 (72)发明人 何哲　赖建华　刘志光　唐敏　 许敦英　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 代理人 陈明鑫　蔡学俊 (51)Int.Cl. G06F 9/48(2006.01) G06F 9/448(2018.01) G06F 16/18(2019.01) G06F 16/2455(2019.01)G06F 16/36(2019.01) G06F 16/31(2019.01) G06F 11/32(2006.01) (54)发明名称 基于有限状态机的网络空间资产日志关联 分析系统 (57)摘要 本发明涉及一种基于有限状态机的网络空 间资产日志关联分析系统。 包括： 规则配置模块， 提供给安全 管理员配置关联分析规则， 配置好的 规则以树的形式保存在数据库中； 内置条件和知 识库， 提供有内置基础子规则的实现和参数字 典， 用户对内置条件进行配置和组合形成规则； 规则编译器， 将规则配置模块中保存的树形规则 配置转换成与规则对应的有限状态机； 日志事件 接收模块， 缓存中的事件作为输入事件提供给任 务调度器； 任务调度器， 对于缓存中的每个事件， 调度所有的有限状态机进行匹配， 并且将匹配结 果即匹配事件列表输出给告警生成模块； 告警生 成模块， 接收任务调度器中的匹配事件列表， 根 据告警的定义， 提取事件中相关属性， 生成告警 报告发送给安全管理员。 权利要求书1页 说明书4页 附图1页 CN 114356527 A 2022.04.15 CN 114356527 A 1.一种基于有限状态机的网络空间资产日志关联分析系统， 其特 征在于， 包括： 规则配置模块， 该模块是用户界面， 提供给安全管理员配置关联分析规则， 配置好的规 则以树的形式保存在数据库中； 内置条件和知识库， 提供有内置基础子规则的实现和参数字典， 用户通过规则配置模 块对内置条件进行配置和组合形成规则； 规则编译器， 该模块的功能是将规则配置模块中保存的树形规则配置转换成与规则对 应的有限状态机； 日志事件接收模块， 该模块是一个事件流缓存， 缓存中的事件作为输入事件提供给任 务调度器； 任务调度器， 对于缓存中的每个事件， 调度 所有的有限状态机进行匹配， 并且将匹配结 果即匹配事 件列表输出 给告警生成模块； 告警生成模块， 接收任务调度器 中的匹配事件列表， 根据告警的定义， 提取事件中的相 关属性， 生成告警报告发送给安全管理员。 2.根据权利要求1所述的基于有限状态机的网络空间资产日志关联分析系统， 其特征 在于， 该系统操作步骤如下： S1、 初始化 步骤： S11、 从数据库中读取用规则配置集 合； S12、 实例化 规则配置集 合中的各子规则的判断条件， 并且组合成树形的配置对象； S13、 提取步骤S12中的配置对象， 并且将配置对象翻译成状态机中的状态和 Transiti on 集合， 从而创建一个与当前规则对应的状态机； S14、 对于步骤S13中的每个状态机， 创建一个任务对象， 并且将任务对象注册到调度器 中， 并且使任务处于睡眠状态； 当事件来临时， 调度器会同时唤醒已注册的每个任务， 进行 匹配， 并且将运行 结果指派给告警处 理模块； S2、 事件匹配步骤： S21、 任务调度器唤醒每 个已注册的状态机任务， 开始输入 事件的匹配； S22、 根据当前事 件的时间戳， 更新状态机的内置缓存， 修剪掉过期的中间结果； S23、 进行当前事件的匹配， 若事件匹配当前状态成功， 则将事件保存进状态机的内置 缓存中； 若当前事件会导致某个中间结果匹配失败， 则将该中间结果从缓存中清除并且丢 弃该事件； 若当前状态可以忽略当前事 件， 则直接 丢弃该事件； S24、 判断如果事件 匹配成功后导致状态机进入结束状态， 则从状态机缓存中提取已经 匹配的事 件列表， 并且发送给告警生成模块； S25、 告警生成模块接收到步骤S24的事件列表集合， 根据每个规则 对应的告警配置， 从 事件列表中提取相应的事 件属性， 并且生成告警报告， 发送给安全管理员。权　利　要　求　书 1/1 页 2 CN 114356527 A 2基于有限状态机的网 络空间资产日志关联分析系统 技术领域 [0001]本发明涉及信息安全领域， 特别涉及一种基于有限状态机的网络空间资产日志关 联分析系统。 背景技术 [0002]现有技术中， 最为接近的是基于规则树的关联分析系统。 （基于事件分类和规则树 的关联分析装置 。 专利申请号:20 0920182619.3  授权公告号:CN  201491020  U)。 [0003]基于规则树的关联分析系统， 其对规则的建模是基于规则树。 规则树系统的基本 原理为： 首先创建一颗初始的规则树Tree0加入到规则树集合中， 这棵树包含3个树节点。 根 节点包含>>(跟随操作符标识)。 根节点有两个规则节点孩子， 依次是规则A  和规则B。 当事 件E1匹配规则A时， 需要复制一颗初始树Tree1， 将 E1 加入到Tree1  的规则节点A中， 再将匹 配游标移动到规则B节点， 并且将Tree2加入到规则树集合中。 这种复制操作的主要目的是 保存中间结果， 以便下一个事件E2进来的时候， 可以从Tree1  的中间结果直接进行RuleB   的匹配。 [0004]由上述可以看出规则树系统至少存在以下三个问题： 1、 保存中间结果需要复制整个规则树规则节点中的事件实例， 复制的开销比较 大。 [0005]2、 由于事件流是连续的， 如中间结果多， 或者规则树本身占用的空间比较大， 存储 的开销会比较大。 [0006]3、 随着规则树的复制， 规则树集合中的树可能会越来越多， 匹配的时间开销会变 大， 匹配的延时会比较高。 发明内容 [0007]本发明的目的在于克服现有技术存在缺陷， 提供一种基于有限状态机的网络空间 资产日志关联分析系统。 [0008]为实现上述目的， 本发明的技术方案是： 一种基于有限状态机 的网络空间资产日 志关联分析系统： 规则配置模块， 该模块是用户界面， 提供给安全管理员配置关联分析规则， 配置好 的规则以树的形式保存在数据库中； 内置条件和知识库， 提供有内置基础子规则的实现和参数字典， 用户通过规则配 置模块对内置条件进行配置和组合形成规则； 规则编译器， 该模块的功能是将规则配置模块中保存的树形规则配置转换成与规 则对应的有限状态机； 日志事件接收模块， 该模块是一个事件流缓存， 缓存中的事件作为输入事件提供 给任务调度器； 任务调度器， 对于缓存中的每个事件， 调度所有的有限状态机进行匹配， 并且将匹说　明　书 1/4 页 3 CN 114356527 A 3