[发明专利]安全事件的处理方法

说明书

技术领域

本发明涉及信息安全领域，更具体地，涉及一种安全事件的处理方法。

背景技术

随着信息技术持续地发展，各类组织、企业对信息系统的运用也不断深入，企业部署了大量的、不同种类、形态各异的信息化系统，各类信息化系统会产生大量结构化和非结构化的数据，数据量日益增加。大数据时代，充分快速的信息获取是精确安全分析的强有力支撑，而各类信息系统产生的日志采集方式多样，针对比如SYSLOG、SNMP这种被动的采集方式，通过负载均衡设备等方式，部署多套采集设备以进行大数据量的采集。但是对于类似存在于文件、数据库中的安全事件，往往由于采集任务配置不当、安全事件量多少不一、安全事件产生的速度大小不一，导致采集的安全事件瞬间暴增或采集速度较慢等问题，影响安全分析效果。

因此，有必要开发一种安全事件的处理方法，对大数据安全事件进行高效处理。

公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。

发明内容

本发明提出了一种安全事件的处理方法，其通过管理平台的监控和管理使得采集节点和处理节点的能力发挥到最优，实现大数据安全事件的高效处理。

根据本发明提出了一种安全事件的处理方法。所述方法可以包括：管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标；所述管理平台准实时下发所述处理能力指标到采集节点集群，所述采集节点集群依据所述处理能力指标将所述安全事件发送到最优处理节点；所述管理平台根据所述采集能力指标将主动采集任务下发到最优采集节点进行所述安全事件采集。

优选地，所述管理平台监测到所述采集能力指标和/或所述处理能力指标异常时，产生告警信息。

优选地，通过所述采集节点的连通性、CPU利用率、内存利用率和采集性能构建所述采集能力指标。

优选地，通过所述处理节点的连通性、CPU利用率、内存利用率和处理性能构建所述处理能力指标。

优选地，所述采集能力指标采用加权取平均数进行计算，如下所示：

其中，x₁,…,x_k为采集节点连通性、CPU利用率、内存利用率、采集性能取值，f₁,…,f_k采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数，n为采集节点连通性、CPU利用率、内存利用率、采集性能对应的权数求和；

采集性能＝∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。

优选地，所述处理能力指标采用加权取平均数进行计算，如下所示：

其中，x₁,…,x_k为采集节点连通性、CPU利用率、内存利用率、处理性能取值，f₁,…,f_k采集节点连通性、CPU利用率、内存利用率、处理性能对应的权数，n为采集节点连通性、CPU利用率、内存利用率、处理性能对应的权数求和；

处理性能＝∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。

优选地，所述采集节点集群准实时地将CPU利用率、内存利用率和采集性能发送给所述管理平台。

优选地，处理节点集群准实时地将CPU利用率、内存利用率和处理性能发送给所述管理平台。

优选地，所述采集节点集群还能够通过被动方式接收通过SYSLOG和SNMP上报的所述安全事件。

优选地，处理节点集群基于所述管理平台的分析策略进行所述安全事件分析并产生告警。

本发明的有益效果在于：通过管理平台的监控和管理，既能无缝扩展采集节点及处理节点，又将采集节点采集能力和处理节点处理能力发挥到最优，实现大数据安全事件的高效处理。

本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。

附图说明

通过结合附图对本发明示例性实施例进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施例中，相同的附图标记通常代表相同部件。

图1示出了根据本发明的安全事件的处理方法的步骤的流程图。

具体实施方式