安全事件的处理方法技术

本发明专利技术公开了一种安全事件的处理方法。该方法可以包括：管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标；管理平台准实时下发处理能力指标到采集节点集群，采集节点集群依据处理能力指标将安全事件发送到最优处理节点；管理平台根据采集能力指标将主动采集任务下发到最优采集节点进行安全事件采集。本发明专利技术通过管理平台的监控和管理，既能无缝扩展采集节点及处理节点，又将采集节点采集能力和处理节点处理能力发挥到最优，实现大数据安全事件的高效处理。

Methods of handling security events

The invention discloses a method for dealing with security events. The method can include: processing capability index monitoring and management platform of security event collection node collecting ability index and security event processing nodes; management platform under the quasi real time processing capability index to acquisition node cluster, cluster based acquisition node processing capability index will be sent to the security event management platform based on the optimal processing nodes; acquisition capability index active acquisition task is sent to the optimal acquisition node security event collection. Through the monitoring and management of the management platform, the invention can seamlessly expand the acquisition nodes and processing nodes, and also achieve the optimal collection capacity and processing node processing capacity, so as to achieve efficient processing of big data security events.

【技术实现步骤摘要】
安全事件的处理方法
本专利技术涉及信息安全领域，更具体地，涉及一种安全事件的处理方法。
技术介绍
随着信息技术持续地发展，各类组织、企业对信息系统的运用也不断深入，企业部署了大量的、不同种类、形态各异的信息化系统，各类信息化系统会产生大量结构化和非结构化的数据，数据量日益增加。大数据时代，充分快速的信息获取是精确安全分析的强有力支撑，而各类信息系统产生的日志采集方式多样，针对比如SYSLOG、SNMP这种被动的采集方式，通过负载均衡设备等方式，部署多套采集设备以进行大数据量的采集。但是对于类似存在于文件、数据库中的安全事件，往往由于采集任务配置不当、安全事件量多少不一、安全事件产生的速度大小不一，导致采集的安全事件瞬间暴增或采集速度较慢等问题，影响安全分析效果。因此，有必要开发一种安全事件的处理方法，对大数据安全事件进行高效处理。公开于本专利技术
技术介绍
部分的信息仅仅旨在加深对本专利技术的一般
技术介绍
的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现思路
本专利技术提出了一种安全事件的处理方法，其通过管理平台的监控和管理使得采集节点和处理节点的能力发挥到最优，实现大数据安全事件的高效处理。根据本专利技术提出了一种安全事件的处理方法。所述方法可以包括：管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标；所述管理平台准实时下发所述处理能力指标到采集节点集群，所述采集节点集群依据所述处理能力指标将所述安全事件发送到最优处理节点；所述管理平台根据所述采集能力指标将主动采集任务下发到最优采集节点进行所述安全事件采集。优选地，所述管理平台监测到所述采集能力指标和/或所述处理能力指标异常时，产生告警信息。优选地，通过所述采集节点的连通性、CPU利用率、内存利用率和采集性能构建所述采集能力指标。优选地，通过所述处理节点的连通性、CPU利用率、内存利用率和处理性能构建所述处理能力指标。优选地，所述采集能力指标采用加权取平均数进行计算，如下所示：其中，x1,…,xk为采集节点连通性、CPU利用率、内存利用率、采集性能取值，f1,…,fk采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数，n为采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数求和；采集性能＝∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。优选地，所述处理能力指标采用加权取平均数进行计算，如下所示：其中，x1,…,xk为采集节点连通性、CPU利用率、内存利用率、处理性能取值，f1,…,fk采集节点连通性、CPU利用率、内存利用率、处理性能对应的权数，n为采集节点连通性、CPU利用率、内存利用率、处理性能对应的权数求和；处理性能＝∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。优选地，所述采集节点集群准实时地将CPU利用率、内存利用率和采集性能发送给所述管理平台。优选地，处理节点集群准实时地将CPU利用率、内存利用率和处理性能发送给所述管理平台。优选地，所述采集节点集群还能够通过被动方式接收通过SYSLOG和SNMP上报的所述安全事件。优选地，处理节点集群基于所述管理平台的分析策略进行所述安全事件分析并产生告警。本专利技术的有益效果在于：通过管理平台的监控和管理，既能无缝扩展采集节点及处理节点，又将采集节点采集能力和处理节点处理能力发挥到最优，实现大数据安全事件的高效处理。本专利技术的其它特征和优点将在随后具体实施方式部分予以详细说明。附图说明通过结合附图对本专利技术示例性实施例进行更详细的描述，本专利技术的上述以及其它目的、特征和优势将变得更加明显，其中，在本专利技术示例性实施例中，相同的附图标记通常代表相同部件。图1示出了根据本专利技术的安全事件的处理方法的步骤的流程图。具体实施方式下面将参照附图更详细地描述本专利技术。虽然附图中显示了本专利技术的优选实施例，然而应该理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了使本专利技术更加透彻和完整，并且能够将本专利技术的范围完整地传达给本领域的技术人员。实施例图1示出了根据本专利技术的安全事件的处理方法的步骤的流程图。在该实施例中，根据本专利技术的安全事件的处理方法可以包括：步骤101，管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标；步骤102，管理平台准实时下发处理能力指标到采集节点集群，采集节点集群依据处理能力指标将安全事件发送到最优处理节点；以及步骤103，管理平台根据采集能力指标将主动采集任务下发到最优采集节点进行安全事件采集。该实施例通过管理平台的监控和管理，依据采集能力指标将主动采集任务下发到最优采集节点，依据处理能力指标将安全事件发送到最优处理节点，使得采集节点和处理节点的能力发挥到最优，实现大数据安全事件的高效处理。下面参考图1详细说明根据本专利技术的安全事件的处理方法的具体步骤。步骤101，管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标。在一个示例中，管理平台监测到采集能力指标和/或处理能力指标异常时，产生告警信息，通知管理员进行处理。具体地，在管理平台配置安全事件分析策略并下发到处理节点集群，并在管理平台展示安全事件处理结果。在一个示例中，通过采集节点的连通性、CPU利用率、内存利用率和采集性能构建采集能力指标，采集能力指标是衡量当前采集节点性能的重要标志，管理平台依据采集能力指标将主动采集任务发送给最优采集节点，使得对安全事件的采集更加高效。在一个示例中，通过处理节点的连通性、CPU利用率、内存利用率和处理性能构建处理能力指标，处理能力指标是衡量当前处理节点性能的重要标志，采集节点集群依据处理能力指标将安全事件发送给最优处理节点，使得对安全事件的处理更加高效。在一个示例中，采集能力指标采用加权取平均数进行计算，如下所示：其中，x1,…,xk为采集节点连通性、CPU利用率、内存利用率、采集性能取值，f1,…,fk采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数，n为采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数求和；采集性能＝∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。具体地，采集性能是当前采集节点每分钟采集的事件量。在一个示例中，处理能力指标采用加权取平均数进行计算，如下所示：其中，x1,…,xk为采集节点连通性、CPU利用率、内存利用率、处理性能取值，f1,…,fk采集节点连通性、CPU利用率、内存利用率、处理性能对应的权数，n为采集节点连通性、CPU利用率、内存利用率、处理性能对应的权数求和；处理性能＝∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。具体地，处理性能是当前处理节点每分钟处理的事件量。步骤102，管理平台准实时下发处理能力指标到采集节点集群，采集节点集群依据处理能力指标将安全事件发送到最优处理节点。在一个示例中，处理节点集群准实时地将CPU利用率、内存利用率和处理性能发送给管理平台，便于管理平台监控处理节点集群的状态。在一个示例中，处理节点集群基于管理平台的分析策略进行安全事件分析并产生告警，安全事件的处理结果展示在管理平台上。具体地，处理节点集群接收采集节点集群采集的安全事件，根据管理平本文档来自技高网...

【技术保护点】
一种安全事件的处理方法，其特征在于，该方法包括：管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标；所述管理平台准实时下发所述处理能力指标到采集节点集群，所述采集节点集群依据所述处理能力指标将所述安全事件发送到最优处理节点；所述管理平台根据所述采集能力指标将主动采集任务下发到最优采集节点进行所述安全事件采集。

【技术特征摘要】
1.一种安全事件的处理方法，其特征在于，该方法包括：管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标；所述管理平台准实时下发所述处理能力指标到采集节点集群，所述采集节点集群依据所述处理能力指标将所述安全事件发送到最优处理节点；所述管理平台根据所述采集能力指标将主动采集任务下发到最优采集节点进行所述安全事件采集。2.根据权利要求1所述的安全事件的处理方法，其中，所述管理平台监测到所述采集能力指标和/或所述处理能力指标异常时，产生告警信息。3.根据权利要求1所述的安全事件的处理方法，其中，通过所述采集节点的连通性、CPU利用率、内存利用率和采集性能构建所述采集能力指标。4.根据权利要求1所述的安全事件的处理方法，其中，通过所述处理节点的连通性、CPU利用率、内存利用率和处理性能构建所述处理能力指标。5.根据权利要求1所述的安全事件的处理方法，其中，所述采集能力指标采用加权取平均数进行计算，如下所示：其中，x1,…,xk为采集节点连通性、CPU利用率、内存利用率、采集性能取值，f1,…,fk采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数，n为采集节点连通性、CPU...

【专利技术属性】
技术研发人员：孙伟鹏，
申请(专利权)人：北京盛华安信息技术有限公司，
类型：发明
国别省市：北京,11