[发明专利]一种网络攻击事件定量分级算法的实现方法

权利要求书

1.一种可容错的分布式安全事件数据传输协议的实现方法，其特征在于包括以下步骤：

A、以Syslog协议或日志文本读取的方式获取网络攻击事件，每一条网络攻击事件称为Event，采用正则表达算法解析该网络攻击事件的五元组信息，该五元组信息内容包括：攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级；

B、通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6,7,8数值，该数值称为网络攻击定性分级值pv；

C、通过镜像流量技术采集被攻击网络的流量数据包数据，采用流量分析算法获得网络会话信息数据，该网络会话信息数据内容包括：源IP、目的IP、源端口、目的端口、协议、会话开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数，每一条网络会话信息数据称为flow；

D、采集并解析一条网络攻击事件Event后，按照该网络攻击事件的攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击事件Event相关的网络会话信息数据flow，每一条网络攻击事件Event对应1条或多条网络会话信息数据flow，依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级值cv；

E、计算网络攻击事件Event的攻击等级测量值：

Level＝(1.25*pv+cv)/2；

在步骤D中网络攻击事件Event的攻击定量分级值cv的计算方法为：

通过检索获得攻击事件Event相关的网络会话信息数据flow为：(flow₁，flow₂，flow₃，flow₄，...，flow_n)，

对应的会话字节数为：(byt₁，byt₂，byt₃，byt₄，...，byt_n)，攻击期间内全 网总会话数为Tb；

对应的会话包数为：(pkt₁，pkt₂，pkt₃，pkt₄，...，pkt_n)，攻击期间内全网总包数为Tp；

则攻击事件Event的全网影响比率为：

$ir=(\frac{{\mathrm{\Σ}}_1^n{\mathrm{byt}}_i}{Tb}+\frac{{\mathrm{\Σ}}_1^n{\mathrm{pkt}}_i}{Tp})/2$

进而，网络攻击事件Event的攻击定量分级值(cv)为：

。

2.根据权利要求1所述的方法，其特征在于：在步骤A中的采用正则表达算法解析该网络攻击事件五元组是指：对接收的网络攻击事件的五元组解析处理，根据配置文件，按照其配置文件中的字段定义，对事件进行归一化，配置文件采用XML配置日志的具体字段定义，每个配置文件配置一种或多种日志格式；分级归一化是首先采用正则表达式将日志中的公有字段提取出来，对于其他私有字段进行二次提取。