CN101582788A - 一种对安全事件的分级处理方法及*** - Google Patents

一种对安全事件的分级处理方法及*** Download PDF

Info

Publication number
CN101582788A
CN101582788A CNA2008101063290A CN200810106329A CN101582788A CN 101582788 A CN101582788 A CN 101582788A CN A2008101063290 A CNA2008101063290 A CN A2008101063290A CN 200810106329 A CN200810106329 A CN 200810106329A CN 101582788 A CN101582788 A CN 101582788A
Authority
CN
China
Prior art keywords
security incident
frequency
security
incident
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2008101063290A
Other languages
English (en)
Other versions
CN101582788B (zh
Inventor
许金鹏
叶润国
周涛
邓炜
赵东宾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Credit Information Technology Co ltd
Original Assignee
Beijing Venus Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Technology Co Ltd filed Critical Beijing Venus Information Technology Co Ltd
Priority to CN2008101063290A priority Critical patent/CN101582788B/zh
Publication of CN101582788A publication Critical patent/CN101582788A/zh
Application granted granted Critical
Publication of CN101582788B publication Critical patent/CN101582788B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种对安全事件的分级处理方法及***,该方法包括步骤:先实时获取安全***生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;根据各个安全事件的危害级别,按照该级别对应的方式进行处理。相应的分级处理***包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及存储装置。本发明能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。

Description

一种对安全事件的分级处理方法及***
技术领域
本发明涉及对安全事件的处理方法,尤其涉及一种对安全事件的分级处理方法。
背景技术
安全事件由安全***生成,安全***指入侵监测、漏洞扫描、审计、防火墙、UTM等对用户***进行安全监测、保护的应用***。
各类网络安全监测、保障***,都会生成大量的安全报警事件。例如入侵检测***(IDS)、漏洞扫描、审计等***作为安全监测***,能够完成对安全构成任何可能威胁的任何一个行为进行报警,即生成安全事件。但由于在实际运行中,可能的威胁比较多,因此表现在这些***的应用中,会生成大量的安全事件,有些是漏洞、有些是非法行为、有些是重要的审计行为。这些不同属性的事件,数量巨大,种类繁多,使得安全保障人员无法进行有效分析,发现其中最重要、最紧急的事件并及时处理。
为了解决该问题,目前是以事件安全级别和数量为依据,对安全事件的危害程度进行排序,便于依次按照轻重缓急进行处理。但这种方法仅仅参考了事件的安全级别和发生次数2项事件参数,过于简单,不能对事件的危害程度进行真实客观的分级,因此无法适应实际使用中发现最重要、最紧急的事件并及时处理的需求,可能导致将最重要、最紧急的安全事件的处理延后,造成重大损失。
发明内容
本发明要解决的技术问题是提供一种对安全事件的分级处理方法及***,能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。
为了对安全事件的危害程度进行客观分析,需要全面考虑一个安全事件的各个方面,通过对安全事件规律性进行的深入研究,本发明提出以下与其危害性切实相关的参数:
事件百分比例:指一个事件的发生次数,与所有事件的发生次数总和的百分比例。显然,事件的百分比例数值越大,该事件的发生率就高,就越重要。
事件源地址分布:一个事件的源地址分布广,可能是攻击发起者分布广,也可能被攻击者分布广,相对而言,事件分布广说明事件严重些,分布集中,说明事件没有扩散,只在有限范围内,因此不太严重。
事件目的地址分布:一个事件的目的地址分布广,可能是被攻击者分布广,也可能是攻击发起者分布广,相对而言,事件分布广说明事件严重些,分布集中,说明事件没有扩散,只在有限范围内,因此不太严重。
事件数量变化:一个事件发生数量的变化,可以说明该事件扩散程度的变化趋势。事件数量变大,说明该事件变的严重,事件数量变小,说明该事件变的缓解。
事件比例变化:事件数量的变大,并不意味着事件比例变大,因为事件总量也会变化。事件比例的变化,与事件数量的变化相同,会反映事件严重程度的变化,即事件比例变大,说明该事件变的严重,事件比例变小,说明该事件变的缓解。
事件源地址分布变化:一个事件的源地址分布变化,同样可以反映该事件的发展趋势。地址分布变广,说明事件变得严重,反之说明变得缓解。
事件目的地址分布变化:一个事件的目的地址分布变化,同样可以反映该事件的发展趋势。地址分布变广,说明事件变得严重,反之说明变得缓解。
事件安全级别:事件安全级别是影响事件严重程度的重要因素。一个高级别事件,可以抵几十、上百个低级事件,而且这些特性,在上述几个参数上的作用是相同的。
因此,除安全级别和发生次数后,在对安全事件进行分级处理时综合考虑地址分布和各参数变化情况,可以更为客观和精确地完成对安全事件危害程度的确定,帮助安全***的使用者适当地应急处理。
基于以上分析,本发明提供了一种对安全事件的分级处理方法,包括以下步骤:
实时获取安全***生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;
在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;
根据各个安全事件的危害级别,按照该级别对应的方式进行处理。
进一步地,上述分级处理方法还可具有以下特点:所述计算危害程度评估值的分量包括安全事件的发生次数和/或发生次数的百分比,还包括以下地址分布参数中的一种或组合:
安全事件在本周期内的源地址分布熵值,由本周期内当前安全事件在每一源地址的发生次数和该安全事件的发生次数计算得到;
安全事件在本周期内的目的地址分布熵值,由本周期内当前安全事件在每一目的地址的发生次数和该安全事件的发生次数计算得到;
所述发生次数百分比为同一周期内安全事件的发生次数与所有安全事件的发生总次数的比例。
进一步地,上述分级处理方法还可具有以下特点:
在确定安全事件的危害级别时,对每一安全事件,计算以下几种变化率的一种或多种,作为计算危害程度评估值的分量:
发生次数变化率,即安全事件本周期的发生次数与前一周期的发生次数的比例;
源地址分布熵值变化率,即安全事件本周期的源地址分布墒值与前一周期的源地址分布墒值的比例;
目的地址分布熵值变化率,即安全事件本周期的目的地址分布墒值与前一周期的目的地址分布墒值的比例;以及
发生次数百分比变化率,即安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例。
进一步地,上述分级处理方法还可具有以下特点:
在计算所述变化率时,进行如下处理:
如果前一周期没有本安全事件发生,则比例变化值为1;
如果计算出的比例变化值小于1,则除2,其数值范围在:0-0.5之间;
如果计算出的比例变化值大于1,则如下处理,使其数值范围在:0.5-1之间:比例变化值=1-(1/比例变化值)。
进一步地,上述分级处理方法还可具有以下特点:
计算安全事件危害程度的评估值时,先计算得到的该安全事件的所有分量分别乘以配置的对应权值并相加,即加权和作为评估初值,然后再将该评估初值乘以配置的该安全事件所属安全级别对应的修正参数,将得到评估值与危害级别对应的评估值范围比较,从而确定其危害级别。
进一步地,上述分级处理方法还可具有以下特点:
所述配置信息包括为安全事件配置的安全级别、各安全级别的修正参数,用于计算危害评估值的各个分量的权值以及危害级别对应的评估值范围。
本发明提供的对安全事件的分级处理***,包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及存储装置,其中:
所述安全事件获取装置用于实时获取安全***生成的安全事件,解析后保存到存储装置中并通知所述安全事件计数装置;
所述安全事件计数装置用于根据收到的安全事件通知,对本周期内每一安全事件的发生次数、所有安全事件的发生总次数进行计数,结果输出到所述安全事件评估装置;
所述安全事件评估装置用于在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;
所述安全事件处理装置用于根据各个安全事件的危害级别,按照该级别对应的方式进行处理;
存储装置用于保存配置的运算参数,并对安全事件及其参数进行缓存。
进一步地,上述分级处理***还可具有以下特点:
所述安全事件计数装置还计算各安全事件在每一源地址和目的地址的发生次数,结果输出到所述安全事件评估装置;
所述安全事件评估装置包括定时单元、发生次数百分比计算单元、地址分布墒值计算单元、评估初值计算单元、修正单元和分级单元,其中:
定时单元,用于在设定的定时时间到时,触发其它单元进行相应运算;
发生次数百分比计算单元,用于计算本周期内各安全事件的发生次数与本周期内所有安全事件的发生总次数的比例,输出到评估初值计算单元;
地址分布墒值计算单元,用于根据本周期内各安全事件在每一源地址和/或目的地址的发生次数和该安全事件的发生次数,计算出各安全事件在本周期内的源地址和/或目的地址分布熵值,输出到评估初值计算单元;
评估初值计算单元,用于根据每一安全事件的发生次数百分比、地址分布墒值以及相应权值计算其加权和,得到评估初值并输出到修正单元;
修正单元,用于根据配置的安全事件所属安全级别对应的修正参数修正各安全事件的评估初值,得到其危害程度的评估值,输出到分级单元;
分级单元,用于根据配置的危害级别对应的评估值范围和安全事件危害程度的评估值,确定各安全事件的危害级别并上报到安全事件处理装置。
进一步地,上述分级处理***还可具有以下特点:
所述安全事件评估装置还包括变化率计算单元,用于计算以下变化率的一种或多种并将结果输出到评估初值计算单元:
发生次数百分比变化率,即安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例;
发生次数变化率,即安全事件本周期的发生次数与前一周期的发生次数的比例;
源地址分布熵值变化率,即安全事件本周期的源地址分布墒值与前一周期的源地址分布墒值的比例;
目的地址分布熵值变化率,即安全事件本周期的目的地址分布墒值与前一周期的目的地址分布墒值的比例;
相应地,所述安全事件计数装置和/或安全事件评估装置中的地址分布墒值计算单元需将每一周期计算出的发生次数、发生次数百分比、源地址分布墒值和目的地址分布墒值中的一种或多种缓存到所述存储装置。
进一步地,上述分级处理***还可具有以下特点:
所述存储装置用于保存安全事件、每一周期内计算出的各安全事件的发生次数、发生次数百分比、源地址分布熵值和目的地址分布熵值、为安全事件配置的安全级别、各安全级别的修正参数、用于计算危害评估值的各个分量的权值以及危害级别对应的评估值范围。
因此,本发明对安全事件的分级处理方法,能够对安全***生成的大量安全事件进行客观、精确地分级,从而使得安全人员能够根据事件的实际危害程度进行适当地处理。具体地:
A,本发明可以对大量的安全事件进行客观、精确地分析处理,给出危害程度的评估值。
B,根据事件的危害程度评估值,可以对事件进行危害程度的排序和分级,从而便于使用人员按照事件的轻重缓急进行处理。
C,本发明运算方法中的各个参数,可以通过配置文件进行修改,达到最大程度的用户可定制化。
附图说明
图1是本发明实施例对安全事件的分级处理方法的流程图。
图2是本发明实施例配置文件的样本。
图3是本发明实施例安全事件分级处理***的结构图。
具体实施方式
本发明对安全级别、发生次数、地址分布和参数变化情况等与安全事件危害程度相关的参数进行综合评估,从而更为客观和精确地完成对安全事件危害级别的确定和处理。
下面以IDS***安全事件的分级处理为例,结合附图和具体实现来详细描述本发明。
图1示出本实施例对安全事件的分级处理方法的流程图,包括以下步骤:
S110,实时获取安全***生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;
本实施例是调用接口函数来读取IDS***生成的安全事件,解析后保存在为各个事件分配的缓冲区中。
S120,设定的处理时间到时,根据配置信息和每一安全事件的安全级别、发生次数、地址分布和参数变化等参数,确定其危害级别;
上述配置信息包括为安全事件配置的安全级别、各安全级别的修正参数,以及用于计算危害评估值的各个分量的权值,还可包括危害级别对应的评估值范围。
安全事件的安全级别可以从事件定义文件(event.data)中读取,运算参数可以从模块参数定义文件中(ea.ini)读取。文件格式请参照图2。可以看出,事件定义文件包含***中所有安全事件的ID编码以及安全级别。模块参数定义文件包含***运算中所有所需的运算参数如7个运算分量的加权和的权值、3个安全级别的修正参数。
S130,根据各个安全事件的危害级别和配置的处理策略,按照对应的处理方式进行处理。
例如,对于危害级别三级的事件(最严重的事件),需要通过手机短信、电话、警灯等实时报警工具,及时通知相关人员,采取紧急措施予以解决,包括中断网络连接(防止泄密)、重启***(保障业务正常)等等;对于危害级别二级的事件,可以通过邮件、屏幕窗口等方法,通知相关人员,根据实际情况进行处理;对于危害级别一级的事件(最轻的事件),可以通过每日报表等方法,通告相关人员,便于增加安全保障人员对***的运行状态和趋势的总体了解。
其中步骤S120中确定安全事件危害级别时,先统计本周期内每一安全事件的发生次数、所有安全事件的发生总次数N、安全事件在每一源地址和目的地址的发生次数,然后对本周期内发生的每一安全事件执行以下处理:
a)计算当前安全事件的发生次数百分比,即在本周期内当前安全事件的发生次数与所有安全事件的发生总次数的比例;
b)根据本周期内当前安全事件在每一源地址的发生次数和该安全事件的发生次数(等于所有源地址的发生次数的累加和),计算当前安全事件在本周期内的源地址分布熵值,公式如下:
源地址墒={[(当前安全事件在地址1发生次数/当前安全事件总次数)
*log(当前安全事件在地址1发生次数/当前安全事件总次数)]
+●●●
+[(当前安全事件在地址n发生次数/当前安全事件总次数)
*log(当前安全事件在地址n发生次数/当前安全事件总次数)]
}*[-100/log(最大地址数)]
c)根据本周期内当前安全事件在每一目的地址的发生次数和该安全事件的发生次数(等于所有目的地址的发生次数的累加和),计算当前安全事件在本周期内的目的地址分布熵值,公式与源地址分布熵值相似。
本周期内各安全事件的发生次数、发生次数百分比、源地址分布熵值和目的地址分布熵值应保存起来用于下一周期相应参数变化率的计算。
以上3个参数的计算顺序不需要特别限定。
d)查找当前安全事件在前一周期内的上述参数,进行以下计算:
●计算发生次数百分比变化率,即当前安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例。
●计算发生次数变化率,即当前安全事件本周期的发生次数与前一周期的发生次数的比例。
●计算源地址熵值变化率,即当前安全事件本周期的源地址分布墒值与前一周期的源地址分布墒值的比例。
●计算目的地址熵值变化率,即当前安全事件本周期的目的地址分布墒值与前一周期的目的地址分布墒值的比例。
该步中,为了使以上4个变化率参数的数据在0-1的范围内,进行如下处理:
如果前一周期没有本安全事件发生,则比例变化值为1;
如果计算出的比例变化值小于1,则除2,其数值范围在:0-0.5之间;
如果计算出的比例变化值大于1,则如下处理,使其数值范围在:0.5-1之间:比例变化值=1-(1/比例变化值)
e)计算上面得到的7个分量的加权和,即:
加权和=epercent  ×发生次数百分比
+Esentropy  ×源地址分布熵值
+edentropy  ×目的地址分布熵值
+epratio    ×发生次数百分比变化率
+enratio5   ×发生次数变化率
+eseratio   ×源地址分布熵值变化率
+ederatio   ×目的地址分布熵值变化率
epercent、Esentropy、edentropy、epratio、enratio5等分别是对应分量的权值,该权值可以配置。
f)使用安全事件的安全级别对应的修正参数对各个事件的评估初值进行修正,得出最终的安全事件危害程度的评估值,根据配置即可确定其对应的危害级别,即:
事件危害程度的评估值=评估初值×级别修正参数
下面以一个实际应用中的示例进行说明,假定被测试的某一安全事件在本周期内统计得到的各个基本参数如下:
  参数名称   参数数值   说明
  所有事件发生总次数   500
  所有事件发生总次数变化率   0
  该事件发生次数   50
  该事件源地址个数   10   平均分布
  该事件目的地址个数   10   平均分布
  该事件发生次数变化   0
  该事件源地址变化   0
  该事件目的地址变化   0
  该事件安全级别   2
可以看出,该事件发生50次,在10个源地址和目的地址平均分布,每个地址发生5次。地址最大数值设为256。这里的256是在本应用中的一个地址最大数量值,用于修正本项运算的最终结果数值在1-100之间。另外,在本实例中假设各类参数变化为0,即上一周期的参数值为0。
基于以上基本参数计算出各个分量的数值:
  运算分量   计算公式   计算结果数值
  发生次数百分比   50/500   10%
  源地址熵值   10×(5/50)lg(5/50)×(-100/lg(256)   41.5%
  目的地址熵值   10×(5/50)lg(5/50)×(-100/lg(256)   41.5%
  发生次数百分比变化率   0   0
  发生次数变化率   0   0
  源地址熵值变化率   0   0
  目的地址熵值变化率   0   0
  事件级别   0.8   0.8
在本应用中,事件危险级别分为三级,一级对应的修正参数为1.0,二级对应的修正参数为0.8,三级对应的修正参数为0.5。
计算加权和:
0.25×10+0.25×41.5+0.25×41.5
+0.0625×0+0.0625×0+0.0625×0+0.0625×0
=23.3
按照级别修正值修正后得出最终的危害级别数值:
23.3×0.8=18.6
假定本应用***给出的危害级别划分是:
一级(危害程度最低):0-20
二级(危害程度中间):10-20
三级(危害程度最高):30-100
因此,可以确定该事件的危害级别是二级。然后可以根据该级别对应的处理策略进行处理。每个级别还可以按危害级别数值来排序,以便优先处理最紧急的事件。
相应地,如图3所示,本实施例的安全事件分级处理***包括依次连接的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及与安全事件获取装置、安全事件计数装置、安全事件评估装置连接的存储装置,其中:
安全事件获取装置用于实时获取安全***生成的安全事件,解析后保存到存储装置中并通知安全事件计数装置,获取的安全事件中包含源地址和目的地址信息;
安全事件计数装置用于根据收到的安全事件通知,对本周期内每一安全事件的发生次数、所有安全事件的发生总次数、各安全事件在每一源地址和目的地址的发生次数进行计数,结果输出到安全事件评估装置,并将各安全事件的发生次数保存到存储装置;
安全事件评估装置进一步包括:
定时单元,用于在设定的定时时间到时,触发其它单元进行相应运算。
发生次数百分比计算单元,用于计算在本周期内各安全事件的发生次数与本周期内所有安全事件的发生总次数的比例,输出到评估初值计算单元并保存到存储装置。
源地址分布墒值计算单元,用于根据本周期内各安全事件在每一源地址的发生次数和该安全事件的发生次数,计算出各安全事件在本周期内的源地址分布熵值,输出到评估初值计算单元并保存到存储装置。
目的地址分布墒值计算单元,用于根据本周期内各安全事件在每一目的地址的发生次数和该安全事件的发生次数,计算各安全事件在本周期内的目的地址分布熵值,输出到评估初值计算单元并保存到存储装置。
变化率计算单元,用于查找当前安全事件在前一周期内的参数,计算以下变化率:发生次数百分比变化率,即安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例;发生次数变化率,即安全事件本周期的发生次数与前一周期的发生次数的比例;源地址分布熵值变化率,即安全事件本周期的源地址分布墒值与前一周期的源地址分布墒值的比例;目的地址分布熵值变化率,即安全事件本周期的目的地址分布墒值与前一周期的目的地址分布墒值的比例。以上变化率需输出到评估初值计算单元。
评估初值计算单元,用于根据每一安全事件的发生次数百分比、源地址分布墒值、目的地址分布墒值和上述4个变化率以及配置的权值计算其加权和,得到评估初值并输出到修正单元;
修正单元,用于根据配置的安全事件的安全级别及其对应的修正参数对各个安全事件的评估初值进行修正,得出最终的安全事件危害程度的评估值,并输出到分级单元;
分级单元,用于根据配置的危害级别对应的评估值范围和收到的安全事件危害程度的评估值,确定各个安全事件的危害级别并上报到安全事件处理装置;
所述安全事件处理装置,用于根据安全事件的危害级别和配置的处理策略,对安全事件进行处理。
存储装置用于保存安全事件、每一周期内计算出的各安全事件的发生次数、发生次数百分比、源地址分布熵值和目的地址分布熵值、为安全事件配置的安全级别、各安全级别的修正参数、计算危害评估值的各个分量的权值以及危害级别对应的评估值范围等。
应该说明的是,本发明采用的用于评估危害程度的上述参数并非是人为和主观地进行选择,而是依据安全事件与危害程度之间的规律性,将能客观反映危害程度的参数作为评估的因素,并且利用上述***进行运算,从而能够更为客观和准确地确定安全事件的危害,进而根据安全事件的危害分级可以对最紧急的安全事件优先处理,直接取得了提高网络安全性的技术效果。
在上述实施例的基础上,还可以有各种变换,例如,在评估时并不一定要同时用到上述7个分量,在现有技术的基础上,将源地址分布熵值、目的地址分布熵值、发生次数百分比变化率、发生次数变化率、源地址分布熵值变化率和目的地址分布熵值变化率中的一个或任意组合作为评估的分量也是可以的,因为均能从某种程度上客观反应危害的程度,所以相对现有技术也是达到了更好的技术效果。其中的组合方案已在发明内容中描述。并且,除了上述增加的6种分量外,还可以按照本发明的思路选用其它与安全事件危害程度相关的参数如其它变化率值等进行评估。

Claims (10)

1、一种对安全事件的分级处理方法,包括以下步骤:
实时获取安全***生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;
在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;
根据各个安全事件的危害级别,按照该级别对应的方式进行处理。
2、如权利要求1所述的分级处理方法,其特征在于:所述计算危害程度评估值的分量包括安全事件的发生次数和/或发生次数的百分比,还包括以下地址分布参数中的一种或组合:
安全事件在本周期内的源地址分布熵值,由本周期内当前安全事件在每一源地址的发生次数和该安全事件的发生次数计算得到;
安全事件在本周期内的目的地址分布熵值,由本周期内当前安全事件在每一目的地址的发生次数和该安全事件的发生次数计算得到;
所述发生次数百分比为同一周期内安全事件的发生次数与所有安全事件的发生总次数的比例。
3、如权利要求2所述的分级处理方法,其特征在于:
在确定安全事件的危害级别时,对每一安全事件,计算以下几种变化率的一种或多种,作为计算危害程度评估值的分量:
发生次数变化率,即安全事件本周期的发生次数与前一周期的发生次数的比例;
源地址分布熵值变化率,即安全事件本周期的源地址分布墒值与前一周期的源地址分布墒值的比例;
目的地址分布熵值变化率,即安全事件本周期的目的地址分布墒值与前一周期的目的地址分布墒值的比例;以及
发生次数百分比变化率,即安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例。
4、如权利要求3所述的分级处理方法,其特征在于:在计算所述变化率时,进行如下处理:
如果前一周期没有本安全事件发生,则比例变化值为1;
如果计算出的比例变化值小于1,则除2,其数值范围在:0-0.5之间;
如果计算出的比例变化值大于1,则如下处理,使其数值范围在:0.5-1之间:比例变化值=1-(1/比例变化值)。
5、如权利要求2或3所述的分级处理方法,其特征在于:
计算安全事件危害程度的评估值时,先计算得到的该安全事件的所有分量分别乘以配置的对应权值并相加,即加权和作为评估初值,然后再将该评估初值乘以配置的该安全事件所属安全级别对应的修正参数,将得到评估值与危害级别对应的评估值范围比较,从而确定其危害级别。
6、如权利要求5所述的分级处理方法,其特征在于:
所述配置信息包括为安全事件配置的安全级别、各安全级别的修正参数,用于计算危害评估值的各个分量的权值以及危害级别对应的评估值范围。
7、一种对安全事件的分级处理***,其特征在于,包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及存储装置,其中:
所述安全事件获取装置用于实时获取安全***生成的安全事件,解析后保存到存储装置中并通知所述安全事件计数装置;
所述安全事件计数装置用于根据收到的安全事件通知,对本周期内每一安全事件的发生次数、所有安全事件的发生总次数进行计数,结果输出到所述安全事件评估装置;
所述安全事件评估装置用于在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;
所述安全事件处理装置用于根据各个安全事件的危害级别,按照该级别对应的方式进行处理;
存储装置用于保存配置的运算参数,并对安全事件及其参数进行缓存。
8、如权利要求7所述的分级处理***,其特征在于:
所述安全事件计数装置还计算各安全事件在每一源地址和目的地址的发生次数,结果输出到所述安全事件评估装置;
所述安全事件评估装置包括定时单元、发生次数百分比计算单元、地址分布墒值计算单元、评估初值计算单元、修正单元和分级单元,其中:
定时单元,用于在设定的定时时间到时,触发其它单元进行相应运算;
发生次数百分比计算单元,用于计算本周期内各安全事件的发生次数与本周期内所有安全事件的发生总次数的比例,输出到评估初值计算单元;
地址分布墒值计算单元,用于根据本周期内各安全事件在每一源地址和/或目的地址的发生次数和该安全事件的发生次数,计算出各安全事件在本周期内的源地址和/或目的地址分布熵值,输出到评估初值计算单元;
评估初值计算单元,用于根据每一安全事件的发生次数百分比、地址分布墒值以及相应权值计算其加权和,得到评估初值并输出到修正单元;
修正单元,用于根据配置的安全事件所属安全级别对应的修正参数修正各安全事件的评估初值,得到其危害程度的评估值,输出到分级单元;
分级单元,用于根据配置的危害级别对应的评估值范围和安全事件危害程度的评估值,确定各安全事件的危害级别并上报到安全事件处理装置。
9、如权利要求8所述的分级处理***,其特征在于:
所述安全事件评估装置还包括变化率计算单元,用于计算以下变化率的一种或多种并将结果输出到评估初值计算单元:
发生次数百分比变化率,即安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例;
发生次数变化率,即安全事件本周期的发生次数与前一周期的发生次数的比例;
源地址分布熵值变化率,即安全事件本周期的源地址分布墒值与前一周期的源地址分布墒值的比例;
目的地址分布熵值变化率,即安全事件本周期的目的地址分布墒值与前一周期的目的地址分布墒值的比例;
相应地,所述安全事件计数装置和/或安全事件评估装置中的地址分布墒值计算单元需将每一周期计算出的发生次数、发生次数百分比、源地址分布墒值和目的地址分布墒值中的一种或多种缓存到所述存储装置。
10、如权利要求9所述的分级处理***,其特征在于:
所述存储装置用于保存安全事件、每一周期内计算出的各安全事件的发生次数、发生次数百分比、源地址分布熵值和目的地址分布熵值、为安全事件配置的安全级别、各安全级别的修正参数、用于计算危害评估值的各个分量的权值以及危害级别对应的评估值范围。
CN2008101063290A 2008-05-12 2008-05-12 一种对安全事件的分级处理方法及*** Active CN101582788B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008101063290A CN101582788B (zh) 2008-05-12 2008-05-12 一种对安全事件的分级处理方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101063290A CN101582788B (zh) 2008-05-12 2008-05-12 一种对安全事件的分级处理方法及***

Publications (2)

Publication Number Publication Date
CN101582788A true CN101582788A (zh) 2009-11-18
CN101582788B CN101582788B (zh) 2011-08-31

Family

ID=41364763

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101063290A Active CN101582788B (zh) 2008-05-12 2008-05-12 一种对安全事件的分级处理方法及***

Country Status (1)

Country Link
CN (1) CN101582788B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101894353A (zh) * 2010-05-24 2010-11-24 中国人民解放军军事医学科学院微生物流行病研究所 一种突发生物事件现场危害评估模拟***
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN103178988A (zh) * 2013-02-06 2013-06-26 中电长城网际***应用有限公司 一种性能优化的虚拟化资源的监控方法和***
CN103209386A (zh) * 2012-02-21 2013-07-17 广州三星通信技术研究有限公司 用于提示用户被跟踪的移动终端及其方法
CN104486324A (zh) * 2014-12-10 2015-04-01 北京百度网讯科技有限公司 识别网络攻击的方法及***
CN104601604A (zh) * 2014-06-12 2015-05-06 国家电网公司 网络安全态势分析方法
CN104866436A (zh) * 2014-06-12 2015-08-26 国家电网公司 海量安全事件存储方法
CN106462702A (zh) * 2014-06-16 2017-02-22 西门子公司 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和***
CN107733693A (zh) * 2017-09-22 2018-02-23 中国人民解放军国防科技大学 基于安全事件统计的网络安全运维能力评估方法及***
CN110094292A (zh) * 2019-06-19 2019-08-06 国电联合动力技术有限公司 潮流能发电机组多级安全保护***及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005510A (zh) * 2007-01-19 2007-07-25 南京大学 一种综合漏洞的网络实时风险评估方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101894353B (zh) * 2010-05-24 2015-03-18 中国人民解放军军事医学科学院微生物流行病研究所 一种突发生物事件现场危害评估模拟***
CN101894353A (zh) * 2010-05-24 2010-11-24 中国人民解放军军事医学科学院微生物流行病研究所 一种突发生物事件现场危害评估模拟***
CN103209386B (zh) * 2012-02-21 2016-08-03 广州三星通信技术研究有限公司 用于提示用户被跟踪的移动终端及其方法
CN103209386A (zh) * 2012-02-21 2013-07-17 广州三星通信技术研究有限公司 用于提示用户被跟踪的移动终端及其方法
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN103178988A (zh) * 2013-02-06 2013-06-26 中电长城网际***应用有限公司 一种性能优化的虚拟化资源的监控方法和***
CN104866436B (zh) * 2014-06-12 2018-02-02 国家电网公司 海量安全事件存储方法
CN104601604B (zh) * 2014-06-12 2019-03-15 国家电网公司 网络安全态势分析方法
CN104601604A (zh) * 2014-06-12 2015-05-06 国家电网公司 网络安全态势分析方法
CN104866436A (zh) * 2014-06-12 2015-08-26 国家电网公司 海量安全事件存储方法
CN106462702A (zh) * 2014-06-16 2017-02-22 西门子公司 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和***
US10257216B2 (en) 2014-06-16 2019-04-09 Siemens Aktiengesellschaft Method and system for obtaining and analyzing forensic data in a distributed computer infrastructure
CN106462702B (zh) * 2014-06-16 2019-12-10 西门子公司 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和***
CN104486324B (zh) * 2014-12-10 2018-02-27 北京百度网讯科技有限公司 识别网络攻击的方法及***
CN104486324A (zh) * 2014-12-10 2015-04-01 北京百度网讯科技有限公司 识别网络攻击的方法及***
CN107733693A (zh) * 2017-09-22 2018-02-23 中国人民解放军国防科技大学 基于安全事件统计的网络安全运维能力评估方法及***
CN110094292A (zh) * 2019-06-19 2019-08-06 国电联合动力技术有限公司 潮流能发电机组多级安全保护***及方法

Also Published As

Publication number Publication date
CN101582788B (zh) 2011-08-31

Similar Documents

Publication Publication Date Title
CN101582788B (zh) 一种对安全事件的分级处理方法及***
CN111221702B (zh) 基于日志分析的异常处理方法、***、终端及介质
CN107204876B (zh) 一种网络安全风险评估方法
CN111859393B (zh) 基于态势感知告警的风险评估***及方法
CN114584405B (zh) 一种电力终端安全防护方法及***
CN111865981B (zh) 网络安全脆弱性评估***及方法
CN111865982B (zh) 基于态势感知告警的威胁评估***及方法
CN107733834B (zh) 一种数据泄露防护方法及装置
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
RU2017118317A (ru) Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях
CN104268173B (zh) 集中式数据监控方法、装置及***
CN110348718B (zh) 业务指标监控方法、装置及电子设备
CN106033516B (zh) 一种检测终端源代码安全的方法、装置及***
CN102609778A (zh) 一种电力通信网风险评估方法及装置
KR20090001609A (ko) 사이버위협 예보 시스템 및 방법
CN110912737A (zh) 一种基于混合模型的动态感知性能预告警方法
CN110493043B (zh) 一种分布式态势感知调用方法和装置
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN116015922B (zh) 一种电力物联网的网络安全态势分析方法、装置及设备
CN112784281A (zh) 一种工业互联网的安全评估方法、装置、设备及存储介质
CN113206797A (zh) 一种流量控制方法、装置、电子设备和存储介质
CN105825130B (zh) 一种信息安全预警方法及装置
Anandita et al. Implementation of dendritic cell algorithm as an anomaly detection method for port scanning attack
CN115378711A (zh) 一种工控网络的入侵检测方法和***
CN113542199B (zh) 一种网络安全状态的评估方法及服务器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Patentee after: VENUSTECH GROUP Co.,Ltd.

Address before: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Patentee before: BEIJING VENUSTECH Inc.

TR01 Transfer of patent right

Effective date of registration: 20161110

Address after: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Patentee after: BEIJING VENUSTECH CYBERVISION Co.,Ltd.

Address before: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Patentee before: VENUSTECH GROUP Co.,Ltd.

TR01 Transfer of patent right

Effective date of registration: 20170315

Address after: 100193 Beijing City, Haidian District, northeast Wang West Road, building 21, floor -1-3, floor four, room two, room 21, 2419

Patentee after: Beijing Credit Information Technology Co.,Ltd.

Address before: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Patentee before: BEIJING VENUSTECH CYBERVISION Co.,Ltd.

TR01 Transfer of patent right