【技术实现步骤摘要】
一种热点安全事件的识别方法及系统
本专利技术涉及信息安全领域,具体涉及一种热点安全事件的识别方法及系统。
技术介绍
随着企业内部信息网络规模的日益扩大,网络中各种设备的数量急剧增加,来自外部和内部的各种安全和攻击也在急剧增加,威胁着网络信息安全。为了不断应对新的安全挑战,企业网络部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等等,各种设备的日志记录了设备运行状态,各类用户执行的操作等等详细信息,这些信息被称为安全事件。在目前的网络环境中,各种设备的安全事件数据规模很大,并且这些信息的增长速度也越来越快。面对指数增长的新安全事件,如何有效掌握海量数据,提取其中的热点事件,成为长期困扰网络管理人员的难题。热点事件的识别,可以从大量安全事件中发现,某个时间段内全网影响最大的安全事件,并做针对性安全防范,以实现对大型复杂网络的有效管理。热点分析技术是分析某些特定事件间潜在联系的一个有力工具,热点是指如果某一区域内事件发生频率显著地高于或低于正常频率,则这一特殊区域被定义为热点,通常我们所关心的热点是事件发生高度集中的小区域,在众多的时空分析方法中,热点分析是理解事件间隐含关系的有效工具,通过热点分析,可以有效地对事件做出回归分析和前景预测,帮助研究人员得出科学的结论。对于网络安全领域,传统的网络攻击检测手段需要采用精确的规则来描述事件的关系和联系,但是有些情况往往难于用精确规则来描述,例如事件爆发的规则,定义每分钟50次为触发条件,那么49次算不算爆发,48次算不算。那么热点分析就是传统规则的一个有力补充,试图采用模糊的规则来分析来描述事件的内在联系 ...
【技术保护点】
一种热点安全事件的识别方法,其特征在于,所述方法包括以下步骤:A、以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据,将所述SYSLOG安全日志数据规范化为格式统一的安全事件记录;B、根据所述网络资产的IP地址和所述网络资产的资产类型,将所述安全事件记录映射到预先构建的网络热点中心;C、计算所述网络热点中心中所述安全事件记录的热点指数;D、当所述热点指数超过预定的阈值时,则判定所述网络热点中心异常,将所述网络热点中心中影响程度最大的所述网络资产作为热点资产,将与所述热点资产相关的所述安全事件记录识别为热点事件。
【技术特征摘要】
1.一种热点安全事件的识别方法,其特征在于,所述方法包括以下步骤:A、以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据,将所述SYSLOG安全日志数据规范化为格式统一的安全事件记录;B、根据所述网络资产的IP地址和所述网络资产的资产类型,将所述安全事件记录映射到预先构建的网络热点中心;C、计算所述网络热点中心中所述安全事件记录的热点指数;D、当所述热点指数超过预定的阈值时,则判定所述网络热点中心异常,将所述网络热点中心中影响程度最大的所述网络资产作为热点资产,将与所述热点资产相关的所述安全事件记录识别为热点事件;其中,所述安全事件记录中包括报送设备地址、事件源地址、事件目的地址中的一种或多种;所述步骤A还包括:如果所述安全事件记录中不包括所述报送设备地址、所述事件源地址、所述事件目的地址中的任何一种,则将所述安全事件记录视为无效日志并剔除。2.如权利要求1所述的方法,其特征在于,所述方法还包括:获取所述复杂网络环境中的全部所述网络资产的台账数据;将全部所述网络资产分为应用层、网络层和终端层三个网络层次;其中,所述应用层包括:服务器类型资产、数据库类型资产和中间件类型资产;所述网络层包括:网络设备类型资产和安全防护类型资产;所述终端层包括:主机类型资产;由各个所述网络层次中在预定义的IP地址网段内的所述网络资产构成所述网络热点中心。3.如权利要求2所述的方法,其特征在于,由各个所述网络层次中在预定义的IP地址网段内的所述网络资产构成所述网络热点中心是指:将各个所述网络层次中的所述网络资产根据所述资产类型进行分组,将每组所述资产类型中的所有所述网络资产的IP地址按照预定义的划分规则进行IP地址网段划分,则每个所述网络层次中产生多个所述IP地址网段,从每一个所述网络层次中分别任意选取一个或多个IP地址网段,将选取的所述一个或多个IP地址网段中的一组IP地址所对应的所述网络资产定义为一个所述网络热点中心;选取的所述一个或多个IP地址网段形成一个或多个所述网络热点中心。4.如权利要求1所述的方法,其特征在于,所述步骤B包括:B1、以所述安全事件记录中的源地址和目的地址作为事件分析IP,如果所述安全事件记录中没有所述源地址和所述目的地址,则以所述安全事件记录的报送设备地址作为所述事件分析IP;B2、构建所述网络设备资产的所述IP地址与所述资产类型的对应表,依据所述事件分析IP,获得所述安全事件记录对应的所述资产类型;B3、根据所述资产类型对应的所述网络分层,将所述安全事件记录映射到相应的网络分层中,并根据所述事件分析IP映射到所述网络热点中心中。5.如权利要求4所述的方法,其特征在于,所述步骤B3包括:各个所述网络热点中心采用ArrayList数据结构缓存映射到所述网络热点中心的所述安全事件记录,并以预定的缓存周期进行缓存;每个所述网络热点中心都缓存了所述缓存周期内映射到所述网络热点中心的所述安全事件记录的缓存列表。6.如权利要求1所述的方法,其特征在于,所述步骤C包括:获取各个所述网络热点中心中的所述安全事件记录,根据下式计算各个所述网络热点中心的所述热点指数:其中,HI是指所述热点指数;N是所述网络热点中心中的所述安全事件记录的总数;PRI为所述安全事件记录的严重等级,取值范围为1-5的正整数;Ni为每一个所述严重等级中的所述安全事件记录的数量。7.如权利要求1所述的方法,其特征在于,所述步骤D包括:D1、通过下式计算所述网络热点中心中单个所述网络资产的所述安全事件记录的所述影响程度的计算公式为:其中,AI为所述影响程度;M为所述网络资产的全部所述安全事件记录的总数,PRI为所述安全事件记录的严重等级,取值范围为1-5的正整数,Mi为每一个所述严重等级中所述安全事件记录的数量;D2、通过对所述网络热点中心中所有所述网络资产的所述AI进行排序,获取所述AI最大的所述网络设备资产作为所述热点资产;D3、通过将所述热点资产对应的所有所述安全事件记录按照所述PRI进行排序,获取PRI最大的所述安全事件记录作为所述热点事件,所述热点事件为单个事件或一组事件;D4、将所述热点事件以所述SYSLOG协议的形式直接发送给第三方系统和/或将所述热点事件存储在存储数据库中,通过对所述数据库的读写来传递给所述第三方系统。8.一种热点安全事件的识别系统,...
【专利技术属性】
技术研发人员:陈连栋,孔明,齐东斌,黄镜宇,史新茹,
申请(专利权)人:国家电网公司,国网河北省电力公司信息通信分公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。