[发明专利]一种基于大数据预分类的网络安全告警风险判定方法

说明书

本发明公开了一种基于大数据预分类的网络安全告警风险判定方法，用数据分类规则集中的规则对原始日志数据标准化及分类；根据规则命中率重载并应用数据分类规则集；用事件分析规则集中的规则对已分类的标准化数据事件合并；用可信度指数事件集中的规则对已合并的事件匹配，更新可信度指数事件集中元素的发生次数和可信度；用事件分析规则集中的规则对无法匹配的事件逐一匹配，新生成的可信度指数事件追加到可信度指数事件集中。本发明使原始数据基于规则命中率进行数据标准化及分类操作，基于可信度对已分类的标准化数据进行可信度分析，从而能够获得准确结论的安全事件。

技术领域

本发明涉及计算机网络应用技术领域，尤其涉及一种基于大数据预分类的网络安全告警风险判定方法。

背景技术

随着计算机技术和网络技术的发展，网络安全问题越来越受到重视，为了保证网络上的信息安全，通常需要对威胁网络安全的任何一个行为进行报警，即产生安全事件。安全事件通常由安全系统生成，安全系统指的是对用户系统进行安全监测和保护的应用系统，比如入侵检测系统、漏洞扫描系统、审计系统、防火墙、内网终端监管、防病毒系统等。

各类安全系统通常都会产生大量的安全报警事件。来源不同的安全系统所产生的安全事件往往彼此重叠、关联或者相互依赖，而且数据量相当庞大。由于安全管理员需要应对大量具有冗余性且彼此关系错综的报警事件，从而使得安全管理工作变得越来越复杂。

要解决上述问题，就必须应用关联分析技术。目前主要的关联分析技术通常包括下述两种。

第一种方式是基于串行处理的规则关联分析技术，该技术对安全系统产生的报警事件与规则模型进行逐一的匹配。根据该匹配方式的，可以按照模型的顺序，调整模型的优先级，从而实现简单、调试方便。但是该匹配方式的处理效率低、吞吐量不高，从而很难实现真正的基于场景的规则关联分析。

第二种方式是基于统计分析的关联分析技术，基于统计分析的关联分析技术，利用数据挖掘领域常用的统计分析方法，对大量原始报警事件通过统计方法划分出包含共有特征的集合。然后将此集合应用到网络安全检测中，基于统计分析的关联分析技术由于目前统计分析方法还不足以应对工程应用，得出的分析结果也缺乏明确的实际意义，因此鲜有以此技术为实现的关联分析系统。

发明内容

鉴于上述问题，本发明提供一种基于大数据预分类的网络安全告警风险判定方法，本发明的目的在于提供高效准确的数据匹配，以及获得准确结论。

为了达到上述目的，本发明的解决方案是：

一种基于大数据预分类的网络安全告警风险判定方法，所述基于大数据预分类的网络安全告警风险判定方法包括以下步骤：

用数据分类规则集中的规则对原始日志进行数据标准化及分类；

在数据分类过程中实时计算数据分类规则集中各规则的命中率；

在数据分类进行时根据最新的规则命中率结果重载并应用最新的数据分类规则集；

用事件分析规则集中的规则对已分类的标准化数据进行事件合并；

用可信度指数事件集中的规则对已合并的事件进行匹配以及数据导出；

对于匹配成功的，更新可信度指数事件集中元素的发生次数和可信度信息；

对于无法匹配的，用事件分析规则集中的规则逐一进行匹配；

生成新的可信度指数事件，追加到可信度指数事件集中。

依照本发明的一个方面，所述基于大数据预分类的网络安全告警风险判定方法包括：基于规则命中率的数据预分类方法和基于可信度的风险判定方法；其中：

基于规则命中率的数据预分类方法，包括以下步骤：