[发明专利]一种基于事件流追加推动方式的安全响应方法

说明书

技术领域：

本发明涉及安全管理系统技术领域，具体涉及一种基于事件流追加推动方式的安全响应方法。

背景技术：

当前网络安全问题十分严峻，保护网络安全设备的告警事件成为网络安全工作中的检测、分析和响应的重要依据。然而在现实应用中，事件的分析工作却面临诸多挑战，报警数据巨大、误报严重与重复报警频繁等。

现有技术对事件的关联处理、分析统计大都采取基于数据库策略的事后处理或基于内存的准实时处理技术，实现告警事件的降噪、归并及规则响应。基于数据库策略的事后分析方式为了检索数据，首先需要向数据库发出一个查询操作，假设需要查询10次每秒的数据时，必须发出每秒10次的查询操作，这样会对数据库造成很大压力，也不便于扩展到数百或数千每秒的查询，事件处理性能及可操作性不佳；内存准实时处理方式需要占用大量内存存储安全事件，频繁操作数据将大幅增加系统负担，且不能提供实时的查询结果优化。

发明内容：

本发明所解决的技术问题是提供一种解决了海量事件报警误报及重复报警，同时克服了现有安全管理系统中存在的误报严重、重复报警频繁以及处理效率问题的基于事件流追加推动方式的安全响应方法。

一种基于事件流追加推动方式的安全响应方法，其特殊之处在于：所述方法为事件以流的形式进入事件处理引擎，引擎内部采用基于时间及事件数量的滑动窗口推动查询的执行及存储，并且以流的形式增量式产生查询结果，查询结果触发与规则关联的监听器，进行事件响应处理，并获得关联结果。

上述的方法通过以下几个步骤来实现：

步骤一：对于网络安全设备产生的告警事件进行采集和分类，并按照XML格式进行归一化解析及处理，组装成事件流发送到事件处理引擎；

步骤二：事件处理引擎根据预先制定的关联分析及响应规则生成事件查询语句，每当有事件流进入事件处理引擎时，事件处理引擎将以滑动窗口方式对事件进行扫描，并推动查询语句的执行，滑动窗口用来做统计并对应一个或多个监听器，用来触发当特定条件满足时的响应动作，事件从窗口的左端流入，从右端流出，只要有事件流进入窗口，即触发查询条件执行，并将查询结果进行累计和存储，存储后的查询结果作为下一次查询的基准值；

步骤三：滑动窗口填满时，表明进入窗口的事件已到达窗口大小上限，最先进入窗口的事件将会从窗口右端流出，称之为旧事件，新的事件从窗口左端流入，即新事件，所有事件自始至终都按照从左到右的顺序依次流经滑动窗口，每当窗口内事件数量达到上限，将触发窗口对应的监听器动作，执行安全响应报警，同时将计数清零，并以当前进入的新事件个数重新进行统计。

与现有计数相比较，本发明的有益效果：

本发明的事件到来推动查询条件执行，满足条件进行计数，计数符合窗口的限制时触发告警响应，系统本身并不缓存过多事件数据，提高了事件处理效率；由于所有事件事先都经过归一化处理，可集中处理多台设备产生的事件信息，并根据查询条件进行过滤、关联及归并，使用事件统计计数方法也能够显著降低重复报警及误报几率。

附图说明：

      图1为本发明的流程图。

具体实施方式：

下面结合附图和具体实施方式对本发明进行详细说明。

参见图1，本发明的方法为事件以流的形式进入事件处理引擎，引擎内部采用基于时间及事件数量的滑动窗口推动查询的执行及存储，并且以流的形式增量式产生查询结果，查询结果触发与规则关联的监听器，进行事件响应处理，并获得关联结果。

上述的方法通过以下几个步骤来实现：

步骤一：对于网络安全设备产生的告警事件进行采集和分类，并按照XML格式进行归一化解析及处理，组装成事件流发送到事件处理引擎。XML结构的事件内容包含事件各字段的类型及值，形如；

<event>

<id type=“integer”value=“10011” /id>             //事件序号

<type type=“string”value=“ddos”/type>            //事件类型

<sip type=“string”value=“210.27.48.200” /srcip>    //源地址