[发明专利]威胁驱动的协同采集方法及装置

权利要求书

1.一种威胁驱动的协同采集方法，其特征在于，包括：

第一采集代理采集异常数据，并将所述异常数据转换为安全事件后，将所述安全事件发送给第一主节点；

第一主节点将安全事件存储至数据库中，并定时查询数据库中安全事件的数量；若所述安全事件的数量大于第一阈值，根据关联规则算法，获取第一关联规则和/或第二关联规则；其中，所述第一关联规则指单个节点上发生的多个安全事件间的关联规则，所述第二关联规则指可能发生相同安全事件的多个节点间的关联规则；

结合实时发生的安全事件，第一主节点根据第一关联规则和/或第二关联规则，构建备选采集项集合；

第一主节点根据所述备选采集项的采集收益因素和采集成本因素，建立多目标优化模型，求解出协同采集结果，并将所述协同采集结果发送至待采集节点上的采集代理；其中，所述待采集节点由协同采集结果确定，所述采集收益因素包括节点的相似性、数据有效性和威胁严重程度中的至少一种；所述采集成本因素包括采集占用资源、数据隐私泄露、协同采集结果变动和虚假预测风险中的至少一种；

其中，所述结合实时发生的安全事件，第一主节点根据第一关联规则和/或第二关联规则，构建备选采集项集合，具体包括：

所述第一主节点根据所述第一关联规则和/或所述第二关联规则构建备选安全事件集合；其中，所述备选安全事件集合中的备选安全事件是指定节点上发生的指定安全事件；

基于检测所述备选安全事件所需的采集项，确定备选采集项集合。

2.根据权利要求1所述的威胁驱动的协同采集方法，其特征在于，所述若所述安全事件的数量大于第一阈值，根据关联规则算法，获取第一关联规则和/或第二关联规则，具体包括：

若安全事件的数量大于第一阈值，则基于单个节点同一时段发生的安全事件，确定第一安全事件集合，基于多个时段的第一安全事件集合，确定第二安全事件集合，针对第二安全事件集合采用关联规则算法，得到第一关联规则；

基于同一时段发生相同安全事件的节点，确定第一节点集合，基于多个时段的第一节点集合，确定第二节点集合，针对第二节点集合采用关联规则算法，得到第二关联规则。

3.根据权利要求2所述的威胁驱动的协同采集方法，其特征在于，所述第一主节点根据所述第一关联规则和/或所述第二关联规则构建备选安全事件集合包括：

设置最远规则距离为p；

将实时发生的安全事件加入备选安全事件集合，并将所述实时发生的安全事件的初始规则距离设为0；

分别在第一关联规则和第二关联规则中进行循环搜索，逐步构建备选安全事件集合，直到当前规则距离大于p，或者第一关联规则和第二关联规则均不存在与当前备选安全事件集合关联的安全事件时，停止搜索，每轮次搜索过程具体为：

对于第n次搜索，设定当前规则距离，在第一关联规则中搜索与备选安全事件集合关联的安全事件集合，将搜索到的安全事件集合作为第一关联安全事件集合；对于第一关联安全事件集合与备选安全事件集合的交集，若所述交集中安全事件的规则距离大于当前规则距离，则将所述交集中安全事件的规则距离更新为当前规则距离，得到第一更新规则距离；对于第一关联安全事件集合与备选安全事件集合的差集，将所述差集中安全事件加入备选安全事件集合，并将当前规则距离作为所述差集中安全事件的规则距离；

相应地，在第二关联规则中搜索与备选安全事件集合关联的安全事件集合，将搜索到的安全事件集合作为第二关联安全事件集合；对于第二关联安全事件集合与备选安全事件集合的交集，若所述交集中安全事件的规则距离大于当前规则距离，则将所述交集中安全事件的规则距离更新为当前规则距离，得到第二更新规则距离；对于第二关联安全事件集合与备选安全事件集合的差集，将所述差集中安全事件加入备选安全事件集合，并将当前规则距离作为所述差集中安全事件的规则距离；

其中，n≤p，且p和n均为≥1的正整数。