一种热点安全事件的识别方法及系统技术方案

本发明专利技术公开了一种热点安全事件的识别方法及系统，包括：以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据，将SYSLOG安全日志数据规范化为格式统一的安全事件记录。根据网络资产的IP地址和网络资产的资产类型，将安全事件记录映射到预先构建的网络热点中心。计算网络热点中心中安全事件记录的热点指数。当热点指数超过预定的阈值时，则判定网络热点中心异常，将网络热点中心中影响程度最大的网络资产作为热点资产，将与热点资产相关的安全事件记录识别为热点事件。通过本发明专利技术的方案，能够全面分析热点事件，准确反应网络关键信息。

【技术实现步骤摘要】
一种热点安全事件的识别方法及系统
本专利技术涉及信息安全领域，具体涉及一种热点安全事件的识别方法及系统。
技术介绍
随着企业内部信息网络规模的日益扩大，网络中各种设备的数量急剧增加，来自外部和内部的各种安全和攻击也在急剧增加，威胁着网络信息安全。为了不断应对新的安全挑战，企业网络部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等等，各种设备的日志记录了设备运行状态，各类用户执行的操作等等详细信息，这些信息被称为安全事件。在目前的网络环境中，各种设备的安全事件数据规模很大，并且这些信息的增长速度也越来越快。面对指数增长的新安全事件，如何有效掌握海量数据，提取其中的热点事件，成为长期困扰网络管理人员的难题。热点事件的识别，可以从大量安全事件中发现，某个时间段内全网影响最大的安全事件，并做针对性安全防范，以实现对大型复杂网络的有效管理。热点分析技术是分析某些特定事件间潜在联系的一个有力工具，热点是指如果某一区域内事件发生频率显著地高于或低于正常频率，则这一特殊区域被定义为热点，通常我们所关心的热点是事件发生高度集中的小区域，在众多的时空分析方法中，热点分析是理解事件间隐含关系的有效工具，通过热点分析，可以有效地对事件做出回归分析和前景预测,帮助研究人员得出科学的结论。对于网络安全领域,传统的网络攻击检测手段需要采用精确的规则来描述事件的关系和联系，但是有些情况往往难于用精确规则来描述，例如事件爆发的规则，定义每分钟50次为触发条件，那么49次算不算爆发，48次算不算。那么热点分析就是传统规则的一个有力补充，试图采用模糊的规则来分析来描述事件的内在联系，通过聚类计算找到事件热点，根据热点找到出现问题的区域。热点分析有着广阔的应用前景，其可以被应用到犯罪分析，疾病信息和信息安全等领域。在犯罪地点分析方面，由美国国家司法研究所(NIJ)的NedLevine及其同事所开发的CrimeStat将热点分析的理论应用在巴尔的摩市区的犯罪分析中，这套软件集成了多种基于聚类分析的热点分析方法，包括K-MEANS和RNNH等主流的算法，形成了一个功能强大的工具集。在流行病学分析中，由亚利桑那大学人工智能实验室开发的的Bioportal已经进行了卓有成效的应用，在Bioportal的主页中，集成了SaTScan以及CrimeStat软件进行分析，这种分析已经成功应用在了西尼罗河病毒、肉毒杆菌毒素和手足口病的分析当中。到目前为止，学者们就热点事件分析所做的研究工作大致可分为如下几类：基于网格技术，基于划分技术，基于密度技术，空间扫描技术，支持向量机技术和层次聚类技术。其中基于网格技术和基于划分技术具有良好的处理时间优势，但是得到的结果往往不够理想。其余四种技术可以得到更加理想的结果，但是需要较多的处理时间。举例如下：雷震等人提出一种改进的K均值算法(IIKM)用于热点事件发现，该算法使用密度函数法进行聚类中心的初始化以使客观地选择初始聚类中心，既可以用于在线探测也可以用于回溯探测，并且执行结果受新闻语料被处理顺序的影响较小，主要应用于热点新闻事件检测(雷震，吴玲达，雷蕾等.初始化类中心的增量K均值法及其在新闻事件探测中的应用.情报学报ISSN1000-0135.2006，25(3):289-295页)。骆卫华等人在传统Single-Pass的基础上提出分治多层聚类的思想，该算法旨将数据分组来减少大规模数据处理时系统负荷，在话题检测领域取得了一定成果(骆卫华，于满泉，许洪波.基于多策略优化的分治多层聚类算法的话题发现研究.全国第八届计算语言学联合学术会议(JSCL-2005)论文集，中国南京，2005:362-368)。邱立坤等人提出了层次化话题与层次聚类的概念，层次化聚类开始逐渐显露出优质的聚类效果，并开始应用于事件检测领域(邱立坤,龙志祎,钟华.层次化话题发现与跟踪方法及系统实现.广西师范大学学报(自然科学版).2007(02):157-160页)。但是，目前热点事件分析的研究往往侧重于互联网领域，仅仅关注与事件信息本身，实际上仅仅是热点“话题”的分析，反应网络关键信息的准确度低，而在企业网络环境中，企业资产规模相对稳定，资产的价值、安全事件的严重程度、安全事件所属的网络层级对热点事件的分析影响重大，而一般的热点分析中都没有涉及。
技术实现思路
为了解决上述问题，本专利技术提出了一种热点安全事件的识别方法及系统，能够全面分析热点事件，准确反应网络关键信息。为了达到上述目的，本专利技术提出了一种热点安全事件的识别方法，该方法包括以下步骤：A、以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据，将SYSLOG安全日志数据规范化为格式统一的安全事件记录。B、根据网络资产的IP地址和网络资产的资产类型，将安全事件记录映射到预先构建的网络热点中心。C、计算网络热点中心中安全事件记录的热点指数。D、当热点指数超过预定的阈值时，则判定网络热点中心异常，将网络热点中心中影响程度最大的网络资产作为热点资产，将与热点资产相关的安全事件记录识别为热点事件。优选地，安全事件记录中包括报送设备地址、事件源地址、事件目的地址中的一种或多种；步骤A还包括：如果安全事件记录中不包括报送设备地址、事件源地址、事件目的地址中的任何一种，则将安全事件记录视为无效日志并剔除。优选地，该方法还包括：获取复杂网络环境中的全部网络资产的台账数据；将全部网络资产分为应用层、网络层和终端层三个网络层次；其中，应用层包括：服务器类型资产、数据库类型资产和中间件类型资产；网络层包括：网络设备类型资产和安全防护类型资产；终端层包括：主机类型资产；由各个网络层次中在预定义的IP地址网段内的网络资产构成网络热点中心。优选地，由各个网络层次中在预定义的IP地址网段内的网络资产构成网络热点中心是指：将各个网络层次中的网络资产根据资产类型进行分组，将每组资产类型中的所有网络资产的IP地址按照预定义的划分规则进行IP地址网段划分，则每个网络层次中产生多个IP地址网段，从每一个网络层次中分别任意选取一个或多个IP地址网段，将选取的一个或多个IP地址网段中的一组IP地址所对应的网络资产定义为一个网络热点中心；选取的一个或多个IP地址网段形成一个或多个网络热点中心。优选地，步骤B包括：B1、以安全事件记录中的源地址和目的地址作为事件分析IP，如果安全事件记录中没有源地址和目的地址，则以安全事件记录的报送设备地址作为事件分析IP。B2、构建网络设备资产的IP地址与资产类型的对应表，依据事件分析IP，获得安全事件记录对应的资产类型。B3、根据资产类型对应的网络分层，将安全事件记录映射到相应的网络分层中，并根据事件分析IP映射到网络热点中心中。优选地，步骤B3包括：各个网络热点中心采用ArrayList数据结构缓存映射到网络热点中心的安全事件记录，并以预定的缓存周期进行缓存。每个网络热点中心都缓存了缓存周期内映射到网络热点中心的安全事件记录的缓存列表。优选地，步骤C包括：获取各个网络热点中心中的安全事件记录，根据下式计算各个网络热点中心的热点指数：其中，HI是指热点指数；N是网络热点中心中的安全事件记录的总数；PRI为安全事件记录的严重等级，取值范围为1-5的本文档来自技高网...

【技术保护点】
一种热点安全事件的识别方法，其特征在于，所述方法包括以下步骤：A、以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据，将所述SYSLOG安全日志数据规范化为格式统一的安全事件记录；B、根据所述网络资产的IP地址和所述网络资产的资产类型，将所述安全事件记录映射到预先构建的网络热点中心；C、计算所述网络热点中心中所述安全事件记录的热点指数；D、当所述热点指数超过预定的阈值时，则判定所述网络热点中心异常，将所述网络热点中心中影响程度最大的所述网络资产作为热点资产，将与所述热点资产相关的所述安全事件记录识别为热点事件。

【技术特征摘要】
1.一种热点安全事件的识别方法，其特征在于，所述方法包括以下步骤：A、以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据，将所述SYSLOG安全日志数据规范化为格式统一的安全事件记录；B、根据所述网络资产的IP地址和所述网络资产的资产类型，将所述安全事件记录映射到预先构建的网络热点中心；C、计算所述网络热点中心中所述安全事件记录的热点指数；D、当所述热点指数超过预定的阈值时，则判定所述网络热点中心异常，将所述网络热点中心中影响程度最大的所述网络资产作为热点资产，将与所述热点资产相关的所述安全事件记录识别为热点事件；其中，所述安全事件记录中包括报送设备地址、事件源地址、事件目的地址中的一种或多种；所述步骤A还包括：如果所述安全事件记录中不包括所述报送设备地址、所述事件源地址、所述事件目的地址中的任何一种，则将所述安全事件记录视为无效日志并剔除。2.如权利要求1所述的方法，其特征在于，所述方法还包括：获取所述复杂网络环境中的全部所述网络资产的台账数据；将全部所述网络资产分为应用层、网络层和终端层三个网络层次；其中，所述应用层包括：服务器类型资产、数据库类型资产和中间件类型资产；所述网络层包括：网络设备类型资产和安全防护类型资产；所述终端层包括：主机类型资产；由各个所述网络层次中在预定义的IP地址网段内的所述网络资产构成所述网络热点中心。3.如权利要求2所述的方法，其特征在于，由各个所述网络层次中在预定义的IP地址网段内的所述网络资产构成所述网络热点中心是指：将各个所述网络层次中的所述网络资产根据所述资产类型进行分组，将每组所述资产类型中的所有所述网络资产的IP地址按照预定义的划分规则进行IP地址网段划分，则每个所述网络层次中产生多个所述IP地址网段，从每一个所述网络层次中分别任意选取一个或多个IP地址网段，将选取的所述一个或多个IP地址网段中的一组IP地址所对应的所述网络资产定义为一个所述网络热点中心；选取的所述一个或多个IP地址网段形成一个或多个所述网络热点中心。4.如权利要求1所述的方法，其特征在于，所述步骤B包括：B1、以所述安全事件记录中的源地址和目的地址作为事件分析IP，如果所述安全事件记录中没有所述源地址和所述目的地址，则以所述安全事件记录的报送设备地址作为所述事件分析IP；B2、构建所述网络设备资产的所述IP地址与所述资产类型的对应表，依据所述事件分析IP，获得所述安全事件记录对应的所述资产类型；B3、根据所述资产类型对应的所述网络分层，将所述安全事件记录映射到相应的网络分层中，并根据所述事件分析IP映射到所述网络热点中心中。5.如权利要求4所述的方法，其特征在于，所述步骤B3包括：各个所述网络热点中心采用ArrayList数据结构缓存映射到所述网络热点中心的所述安全事件记录，并以预定的缓存周期进行缓存；每个所述网络热点中心都缓存了所述缓存周期内映射到所述网络热点中心的所述安全事件记录的缓存列表。6.如权利要求1所述的方法，其特征在于，所述步骤C包括：获取各个所述网络热点中心中的所述安全事件记录，根据下式计算各个所述网络热点中心的所述热点指数：其中，HI是指所述热点指数；N是所述网络热点中心中的所述安全事件记录的总数；PRI为所述安全事件记录的严重等级，取值范围为1-5的正整数；Ni为每一个所述严重等级中的所述安全事件记录的数量。7.如权利要求1所述的方法，其特征在于，所述步骤D包括：D1、通过下式计算所述网络热点中心中单个所述网络资产的所述安全事件记录的所述影响程度的计算公式为:其中，AI为所述影响程度；M为所述网络资产的全部所述安全事件记录的总数，PRI为所述安全事件记录的严重等级，取值范围为1-5的正整数，Mi为每一个所述严重等级中所述安全事件记录的数量；D2、通过对所述网络热点中心中所有所述网络资产的所述AI进行排序,获取所述AI最大的所述网络设备资产作为所述热点资产；D3、通过将所述热点资产对应的所有所述安全事件记录按照所述PRI进行排序，获取PRI最大的所述安全事件记录作为所述热点事件，所述热点事件为单个事件或一组事件；D4、将所述热点事件以所述SYSLOG协议的形式直接发送给第三方系统和/或将所述热点事件存储在存储数据库中，通过对所述数据库的读写来传递给所述第三方系统。8.一种热点安全事件的识别系统，...

【专利技术属性】
技术研发人员：陈连栋，孔明，齐东斌，黄镜宇，史新茹，
申请(专利权)人：国家电网公司，国网河北省电力公司信息通信分公司，
类型：发明
国别省市：北京;11