本發(fā)明公開(kāi)了一種面向中小企業(yè)網(wǎng)絡(luò)安全事件復(fù)雜分析的方法，其特征在于，一種能夠應(yīng)用于大數(shù)據(jù)量的異常檢測(cè)的方法，采用非線(xiàn)性遞推濾波的算法，能夠檢測(cè)未知的網(wǎng)絡(luò)攻擊或已知的網(wǎng)絡(luò)攻擊，并給出這些網(wǎng)絡(luò)攻擊的排序，使得安全運(yùn)維服務(wù)人員集中精力處理排名靠前的網(wǎng)絡(luò)攻擊。通過(guò)本發(fā)明，能夠使得中小企業(yè)的安全運(yùn)維服務(wù)人員及時(shí)定位和修復(fù)故障，排除安全隱患和保障企業(yè)的正常運(yùn)營(yíng)。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)、網(wǎng)絡(luò)安全、人工智能、網(wǎng)絡(luò)管理和自動(dòng)控制的技術(shù)領(lǐng)域，尤其涉及到一種面向中小企業(yè)網(wǎng)絡(luò)安全事件復(fù)雜分析的方法。

背景技術(shù)

為了抵御對(duì)企業(yè)網(wǎng)絡(luò)的大規(guī)模攻擊，現(xiàn)代企業(yè)網(wǎng)絡(luò)都部署了大量的安全設(shè)備或系統(tǒng)，如防火墻FireWall、IDS（Intrusion Detection Systems入侵檢測(cè)系統(tǒng)）、或堡壘機(jī)、或SIEM（Security Information and Event Management安全信息和事件管理）以及DLP（DataLeakage Prevention 數(shù)據(jù)泄漏預(yù)防系統(tǒng)）。如果按照完善的信息安全控制措施正確地集成到企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全設(shè)備或系統(tǒng)就可以有效地識(shí)別網(wǎng)絡(luò)攻擊和進(jìn)行內(nèi)外網(wǎng)管理，已經(jīng)成為廣大中小企業(yè)市場(chǎng)安全管理和運(yùn)維過(guò)程中必不可少的一部分。

然而，這些安全設(shè)備或系統(tǒng)誕生于上世紀(jì)90年代后期，被用于規(guī)范和集中管理企業(yè)網(wǎng)絡(luò)中的安全數(shù)據(jù)流；盡管這些年來(lái)市場(chǎng)快速增長(zhǎng)和技術(shù)不斷進(jìn)步，但是這些安全設(shè)備或系統(tǒng)仍不能滿(mǎn)足當(dāng)今中小企業(yè)網(wǎng)絡(luò)安全運(yùn)維和管理的需求。例如，已有的SIEM仍存在諸多的缺陷和問(wèn)題，如存在架構(gòu)的可擴(kuò)展性問(wèn)題，以及在收集、存儲(chǔ)、分析和可視化方面的挑戰(zhàn)；又如，存在處理異構(gòu)大數(shù)據(jù)量的問(wèn)題；又如，存在網(wǎng)絡(luò)入侵相關(guān)大數(shù)據(jù)量的機(jī)器學(xué)習(xí)分析問(wèn)題；又如，存在深度包分析的解決方案的不可擴(kuò)展和不適用于產(chǎn)生大數(shù)據(jù)量的大網(wǎng)絡(luò)；又如，大數(shù)據(jù)量的異常檢測(cè)問(wèn)題等。

發(fā)明內(nèi)容

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種面向中小企業(yè)網(wǎng)絡(luò)安全事件復(fù)雜分析的方法，以改進(jìn)已有的SIEM存在的缺陷和問(wèn)題。

一種面向中小企業(yè)網(wǎng)絡(luò)安全事件復(fù)雜分析的方法，其特征在于，一種能夠應(yīng)用于大數(shù)據(jù)量的異常檢測(cè)的方法，采用非線(xiàn)性遞推濾波的算法，能夠檢測(cè)未知的網(wǎng)絡(luò)攻擊或已知的網(wǎng)絡(luò)攻擊，并給出這些網(wǎng)絡(luò)攻擊的排序，使得安全運(yùn)維服務(wù)人員集中精力處理排名靠前的網(wǎng)絡(luò)攻擊；

所述方法，還包括如下步驟：

從數(shù)據(jù)源采集日志數(shù)據(jù)；

接收日志數(shù)據(jù)和分布式存儲(chǔ)；

從分布式存儲(chǔ)中獲取日志并將日志數(shù)據(jù)標(biāo)準(zhǔn)化成對(duì)象日志格式和創(chuàng)建N個(gè)訓(xùn)練樣本；

將N個(gè)訓(xùn)練樣本轉(zhuǎn)換成以向量空間表示；

尋找若干個(gè)基于k最優(yōu)的樣本；

利用球形k-means尋找聚類(lèi)；

為每一個(gè)聚類(lèi)計(jì)算概念向量；

在概念向量上訓(xùn)練徑向核單類(lèi)支持向量機(jī)SVM；

從數(shù)據(jù)源和/或分布式存儲(chǔ)中獲取日志并將日志數(shù)據(jù)標(biāo)準(zhǔn)化成對(duì)象日志格式和分成與訓(xùn)練樣本相等數(shù)據(jù)量的M個(gè)子集；

將每一個(gè)子集轉(zhuǎn)換成以向量空間表示；

利用球形k-means尋找聚類(lèi)；

為每一個(gè)聚類(lèi)計(jì)算概念向量；

每一個(gè)N單類(lèi)支持向量機(jī)SVM模型均被應(yīng)用到概念向量以發(fā)現(xiàn)可疑聚類(lèi)；

從所有N模型中選擇0預(yù)測(cè)的聚類(lèi)；

每一個(gè)N支持向量機(jī)SVM模型均對(duì)所選聚類(lèi)的決策值進(jìn)行縮放；

返回可疑聚類(lèi)，并從N模型中的每一個(gè)的決策值之和SumDV進(jìn)行排序；也就是說(shuō)，給出所檢測(cè)的已知的網(wǎng)絡(luò)攻擊或未知的網(wǎng)絡(luò)攻擊的排序。