本發(fā)明公開了一種基于復雜事件處理的實時安全預警方法，具體包括以下幾個步驟：(1)利用范式化引擎將采集到的安全數(shù)據(jù)進行日志字段分割，并依據(jù)字段的要求對字段進行規(guī)范化，按照期望輸出的字段，關聯(lián)知識庫信息；(2)利用數(shù)據(jù)流語義分析引擎，依據(jù)將要作為場景建模的復雜事件實例，進行數(shù)據(jù)上下文分析，依據(jù)標準化的分析字段模板，分析映射流數(shù)據(jù)；(3)利用安全分析模型計算引擎，在分析規(guī)則計算模塊中，基于點事件、邊緣事件、間隔事件進行按場景分析，生成預警事件。本發(fā)明通過可配置的范式化規(guī)則、語義識別規(guī)則、安全分析規(guī)則實現(xiàn)原始日志數(shù)據(jù)的多角度關聯(lián)分析，及時發(fā)現(xiàn)未知威脅并進行預警。

技術領域

本發(fā)明涉及一種基于復雜事件處理的實時安全預警方法，屬于大數(shù)據(jù)的信息安全監(jiān)測預警技術領域。

背景技術

企業(yè)在發(fā)展的過程中網(wǎng)絡架構不斷調整變化，層出不窮的網(wǎng)絡安全問題，加之企業(yè)中用戶的安全意識提高，企業(yè)內部信息安全的預防性控制決策分析成為一個重要課題。傳統(tǒng)的安全預警方法針對單一的威脅，定義指定的威脅分析預警規(guī)則，其規(guī)則是固定、單一和分離的，隨著攻擊手段的發(fā)展，傳統(tǒng)的方式已經(jīng)不能滿足聯(lián)合的多步驟的威脅預警需求，且傳統(tǒng)的安全預警方法大部分基于閾值分析，是將分析對象確定在某一固定范圍內，事件處理較保守，不能實時全面地基于復雜事件對海量數(shù)據(jù)進行處理和預警。

綜上所述，對于不同環(huán)境、不同廠商中的異構源數(shù)據(jù)，使用傳統(tǒng)的安全預警處理方法只針對單一的、確定的、嚴重的安全日志。并且傳統(tǒng)的安全預警處理方法沒有形成一套統(tǒng)一的復雜事件處理規(guī)則完成數(shù)據(jù)范式化、語義轉換、規(guī)則分析及預警生成，不利于多步驟的安全事件預警，容易導致事件漏報，對新增的預警類型及分析規(guī)則的拓展能力也較弱。

發(fā)明內容

針對現(xiàn)有技術存在的不足，本發(fā)明目的是提供一種基于復雜事件處理的實時安全預警方法，通過可配置的范式化規(guī)則、語義識別規(guī)則、安全分析規(guī)則實現(xiàn)原始日志數(shù)據(jù)的多角度關聯(lián)分析，及時發(fā)現(xiàn)未知威脅并進行預警。

為了實現(xiàn)上述目的，本發(fā)明是通過如下的技術方案來實現(xiàn)：

本發(fā)明一種基于復雜事件處理的實時安全預警方法，具體包括以下幾個步驟：

(1)利用范式化引擎(范式化引擎：一種通過分解原始日志數(shù)據(jù)中字段，并處理字段之間關系來消除不適合的數(shù)據(jù)依賴的數(shù)據(jù)處理引擎)將采集到的安全數(shù)據(jù)進行日志字段分割，并依據(jù)字段的要求對字段進行規(guī)范，按照期望輸出的字段，關聯(lián)知識庫信息；所述范式化引擎(每類引擎的名稱是依據(jù)具體要實現(xiàn)的任務抽取出來的概括性名稱。引擎里面包括的模塊是依據(jù)事件(數(shù)據(jù))處理的先后次序及任務的進一步劃分提煉出來的模塊名稱)實現(xiàn)日志數(shù)據(jù)的匹配、去重、去噪、關聯(lián)靜態(tài)數(shù)據(jù)；范式化引擎依照數(shù)據(jù)處理的先后次序包括去重去噪模塊、數(shù)據(jù)加強模塊、數(shù)據(jù)格式化模塊；

(2)利用數(shù)據(jù)流語義分析引擎(數(shù)據(jù)流語義分析引擎：通過對實際場景的復雜事件的上下文、場景分析，消除不符合邏輯的冗余數(shù)據(jù)的數(shù)據(jù)分析引擎)，依據(jù)將要作為場景建模的復雜事件實例，進行數(shù)據(jù)上下文分析，依據(jù)標準化的分析字段模板，分析映射流數(shù)據(jù)；所述數(shù)據(jù)流語義分析引擎實現(xiàn)范式化后數(shù)據(jù)的事件語義識別，通過關聯(lián)預設語義識別和提取規(guī)則，將范式化數(shù)據(jù)分解成符合分析模型識別的事件數(shù)據(jù)分片；數(shù)據(jù)流語義分析引擎依照事件處理的先后次序包括復雜事件字段標準化模塊和復雜事件實例映射模塊；

(3)利用安全分析模型計算引擎(安全分析模型計算引擎：是一種通過對安全事件進行抽象、建模、分析、計算之后生成預警的復雜事件計算引擎)，在分析規(guī)則計算模塊中，基于點事件、邊緣事件、間隔事件進行按場景分析，生成預警事件；所述安全分析模型計算引擎實現(xiàn)實時分析模型計算及安全預警輸出，通過復雜事件處理邏輯，在內存中進行符合語義數(shù)據(jù)的計算及標準化實時預警的生成；安全分析模型計算引擎依照安全場景建模并生成預警的先后次序包括分析規(guī)則計算模塊和標準化預警輸出模塊。

步驟(1)中，所述范式化引擎的處理過程如下：