[发明专利]一种基于复杂事件处理的网络安全关联分析方法

摘要

本发明属于网络安全技术领域，特别是一种基于复杂事件处理的网络安全关联分析方法。将来自不同网络事件源的不同事件进行关联起来分析。这里兼顾了安全事件本身对整个网络的威胁影响以及直接受攻击设备或软件等重要性的考量，通过多级规则对同一个对象系列操作所产生安全事件的多级分析，可以累计每条安全事件风险值达到整体分析该对象的目的。本发明采用多级关联匹配的方式一方面符合攻击者发起攻击一般需要多个步骤的逻辑方式，另一方面也对多个事件进行风险累积求和，综合考虑了事件间的复杂关系。这将有利于检测网络中的潜在威胁，做到提前告警、处理从而达到保护网络的目的。

主权项

基于复杂事件处理的网络安全关联分析方法，所指的复杂事件特指网络安全领域中的事件，包含四个属性集，即用于区分事件的相关标示符集合、描述事件的属性集、作用于属性集上的约束以及事件风险集；其中风险集包含两个元素，即威胁度及重要度两个；威胁度是事件威胁网络的度量值，重要度是指相关联设备或软件对整个网络以及办公重要性的大小度量值；关联规则是作用于事件上的约束条件；其特征在于.步骤如下：步骤1：通过安全事件模型将网络安全事件进行统一格式化转换；步骤2：经过格式化后的事件进行一级规则匹配。具体匹配过程是：输入的各类安全事件根据匹配规则，对该事件的特定属性字段进行过滤、相同或相近事件进行聚合事件提取操作，生成新的合成事件，并根据规则赋值给合成事件中的风险集；步骤3：根据第2步合成事件中的风险集，对两个元素即威胁度及重要度两个进行求积运算。同时把计算结果与关联规则中的告警门限值进行比较，如果超过了关联规则设定的告警门限值，则直接告警，提醒用户及时处理网络安全告警；否则，继续进行二级规则匹配计算；步骤4：进行二级规则匹配；步骤5：再次对第4步合成事件中的风险集进行计算，此次的求积需要与第3步的计算结果进行累和计算之后再与关联规则中的告警门限值进行比较，计算结果如果超过了告警门限值，则生成更紧急级别告警；否则，转入一级规则重新匹配。