[发明专利]一种基于复杂事件处理的实时安全预警方法

说明书

本发明公开了一种基于复杂事件处理的实时安全预警方法，具体包括以下几个步骤：(1)利用范式化引擎将采集到的安全数据进行日志字段分割，并依据字段的要求对字段进行规范化，按照期望输出的字段，关联知识库信息；(2)利用数据流语义分析引擎，依据将要作为场景建模的复杂事件实例，进行数据上下文分析，依据标准化的分析字段模板，分析映射流数据；(3)利用安全分析模型计算引擎，在分析规则计算模块中，基于点事件、边缘事件、间隔事件进行按场景分析，生成预警事件。本发明通过可配置的范式化规则、语义识别规则、安全分析规则实现原始日志数据的多角度关联分析，及时发现未知威胁并进行预警。

技术领域

本发明涉及一种基于复杂事件处理的实时安全预警方法，属于大数据的信息安全监测预警技术领域。

背景技术

企业在发展的过程中网络架构不断调整变化，层出不穷的网络安全问题，加之企业中用户的安全意识提高，企业内部信息安全的预防性控制决策分析成为一个重要课题。传统的安全预警方法针对单一的威胁，定义指定的威胁分析预警规则，其规则是固定、单一和分离的，随着攻击手段的发展，传统的方式已经不能满足联合的多步骤的威胁预警需求，且传统的安全预警方法大部分基于阈值分析，是将分析对象确定在某一固定范围内，事件处理较保守，不能实时全面地基于复杂事件对海量数据进行处理和预警。

综上所述，对于不同环境、不同厂商中的异构源数据，使用传统的安全预警处理方法只针对单一的、确定的、严重的安全日志。并且传统的安全预警处理方法没有形成一套统一的复杂事件处理规则完成数据范式化、语义转换、规则分析及预警生成，不利于多步骤的安全事件预警，容易导致事件漏报，对新增的预警类型及分析规则的拓展能力也较弱。

发明内容

针对现有技术存在的不足，本发明目的是提供一种基于复杂事件处理的实时安全预警方法，通过可配置的范式化规则、语义识别规则、安全分析规则实现原始日志数据的多角度关联分析，及时发现未知威胁并进行预警。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明一种基于复杂事件处理的实时安全预警方法，具体包括以下几个步骤：

(1)利用范式化引擎(范式化引擎：一种通过分解原始日志数据中字段，并处理字段之间关系来消除不适合的数据依赖的数据处理引擎)将采集到的安全数据进行日志字段分割，并依据字段的要求对字段进行规范，按照期望输出的字段，关联知识库信息；所述范式化引擎(每类引擎的名称是依据具体要实现的任务抽取出来的概括性名称。引擎里面包括的模块是依据事件(数据)处理的先后次序及任务的进一步划分提炼出来的模块名称)实现日志数据的匹配、去重、去噪、关联静态数据；范式化引擎依照数据处理的先后次序包括去重去噪模块、数据加强模块、数据格式化模块；

(2)利用数据流语义分析引擎(数据流语义分析引擎：通过对实际场景的复杂事件的上下文、场景分析，消除不符合逻辑的冗余数据的数据分析引擎)，依据将要作为场景建模的复杂事件实例，进行数据上下文分析，依据标准化的分析字段模板，分析映射流数据；所述数据流语义分析引擎实现范式化后数据的事件语义识别，通过关联预设语义识别和提取规则，将范式化数据分解成符合分析模型识别的事件数据分片；数据流语义分析引擎依照事件处理的先后次序包括复杂事件字段标准化模块和复杂事件实例映射模块；

(3)利用安全分析模型计算引擎(安全分析模型计算引擎：是一种通过对安全事件进行抽象、建模、分析、计算之后生成预警的复杂事件计算引擎)，在分析规则计算模块中，基于点事件、边缘事件、间隔事件进行按场景分析，生成预警事件；所述安全分析模型计算引擎实现实时分析模型计算及安全预警输出，通过复杂事件处理逻辑，在内存中进行符合语义数据的计算及标准化实时预警的生成；安全分析模型计算引擎依照安全场景建模并生成预警的先后次序包括分析规则计算模块和标准化预警输出模块。

步骤(1)中，所述范式化引擎的处理过程如下：