[发明专利]一种网络攻击事件定量分级算法的实现方法

说明书

技术领域

本发明涉及信息安全领域，具体是网络安全事件审计和分析领域。

背景技术

“互联网+”战略就是利用互联网的平台，利用信息通信技术，把互联网和包括传统行业在内的各行各业结合起来，在新的领域创造一种新的生态。在这种战略背景下，网络安全的重要性已经上升的国家战略的高度。《中华人民共和国网络安全法》“第五十条因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，国务院或者省、自治区、直辖市人民政府经国务院批准，可以在部分地区对网络通信采取限制等临时措施”。在这样的环境下，必须对网络攻击事件有非常明确、有效的定量分级，才能让网络安全决策措施科学、合理。

当前对网络攻击事件严重等级的往往采用单一安全设备(如防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等)通过各自独立的检测算法提供的，这样的分级包括“特别重大事件”、“重大事件”、“较大事件”、“一般事件”。这样的网络攻击事件分级有如下缺点：

·仅是定性判断，不够精确也难以纳入信息安全工作流处置流程；

·单点判断，准确性差，决策价值低

信息安全事件的管理包括事前管理、事中监控、事后审计的管理理念。事前管理，系统引入了主动管理方式，能够在威胁发生之前就前摄性地进行事前安全管理。系统事前管理包括：日志收集管理、安全威胁预警管理、主动漏洞扫描管理。事中监控，系统引入日志实时关联分析技术，能够在威胁正在发生时进行预警管理，系统事中监控管理主要包括，事件实时展示、实时统计、关联分析、事件拓扑展示、风险管理。事后审计，系统引入事件查询与追溯的管理方式，能够在事件发生后系统上进行相关事件的查询取证。系统事后审计包括：事件查询、报表等。在安全事件的决策过程中，每一个环节，安全事件严重等级的正确评估都非常重要。因此，必须把安全事件的严重等级正确评估，才能正确决策。

发明内容

本发明的目的是为了克服现有技术的缺点，提供一种网络攻击事件定量分级方法，本方法采集安全设备报送的网络攻击事件，采用正则表达算法获得网络攻击定性分级值(pv)，实时采集网络镜像流量并根据流量分析算法获得攻击事件相关的会话信息，基于攻击事件的全网影响比率计算网络攻击定量分级值(cv)；从而最终实现攻击事件的定量分级。本方法实现了对安全设备产生的安全事件进行定量分级计算，解决了当前安全事件分级不精确、不统一的问题。为安全决策提供有效可靠的依据。

本发明的目的是通过以下技术方案实现的：

一种可容错的分布式安全事件数据传输协议的实现方法，其特征在于：

A、以Syslog协议或日志文本读取的方式获取网络攻击事件，每一条网络攻击事件称为Event，采用正则表达算法解析该网络攻击事件的五元组信息，该五元组信息内容包括：攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级；所述攻击严重等级包括“严重”、“轻微”的定性表达；

B、通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6,7,8数值，该数值称为网络攻击定性分级值pv；

C、通过镜像流量技术采集被攻击网络的流量数据包数据，采用流量分析算法获得网络会话信息数据，该网络会话信息数据内容包括：源IP、目的IP、源端口、目的端口、协议、会话开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数，每一条网络会话信息数据称为flow。网络会话信息数据包含了网络所有的会话信息，将所有网络会话信息数据缓存至哈希映射表结构中；

D、采集并解析一条网络攻击事件Event后，按照该网络攻击事件的攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击事件Event相关的网络会话信息数据flow，每一条网络攻击事件Event对应1条或多条网络会话信息数据flow，依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级值cv；

E、通过以下算法计算网络攻击事件Event的攻击等级测量值：

Level＝(1.25*pv+cv)/2。

优选的，在步骤A中的采用正则表达算法解析该网络攻击事件五元组是指：对接收的网络攻击事件的五元组解析处理，根据配置文件，按照其配置文件中的字段定义，对事件进行归一化，配置文件采用XML配置日志的具体字段定义，可以进行扩展支持任意格式的日志内容。可支持多个配置文件，每个配置文件配置一种或多种日志格式。