[发明专利]一种网络安全事件结构层次化处理方法和装置

权利要求书

1.一种网络安全事件结构层次化处理方法，其特征在于包括以下步骤：

步骤一、基于主机时间窗的安全事件管理模型提取网络安全事件的数据信息，并将网络安全事件的节点资源信息作为数据源提取指标建立树形指标体系；

步骤二、根据树形指标体系及网络系统结构的特点建立网络安全事件评估模型并对网络安全事件进行评估，采用层次式结构对安全事件评估模型输出结果进行层次划分；

水平细化处理是在保持网络安全事件系统行为不变的前提下，网络安全事件的内部事件结构被优化，选用结构简单的等价事件结构替换复杂的事件结构进行水平细化；垂直细化处理是用网络安全事件结构的较低抽象层次上的详细事件结构替换较高抽象层次上的网络安全事件原子功能行为，改变其抽象层次进行垂直细化；

步骤三、基于改进CAIM算法对划分的每一层安全事件结构预处理后进行量化分析，并采用模糊层次分析法进行安全事件结构的权重计算，同时生成多项式代数事件结构和微分代数事件结构；

通过改进的CAIM算法将网络安全事件连续型变量进行离散化处理，确定网络安全事件每一层态势因子的量化值，对于不同层的态势因子之间的权值，利用模糊层次分析法进行权重计算，最后利用贝叶斯推力作为计算数据的融合工具，按照层次化的网络安全事件数据结构逐层向上进行融合，得到多项式代数事件结构和微分代数事件结构；

步骤四、采用变元细化方法对多项式代数事件结构和微分代数事件结构进行水平细化处理和垂直细化处理，并基于Tri-Training事件关系分类方法将细化处理后的事件结构进行逻辑关系分类；

步骤五、将按逻辑关系分类输出的数据进行整理，得到经层次化处理后的网络安全事件结构。

2.根据权利要求1所述的一种网络安全事件结构层次化处理方法，其特征在于：所述步骤一中主机时间窗的安全事件管理模型提前从网络中收集安全事件的数据，并经过采集、预处理和关联操作后进行存储，然后从主机时间窗的安全事件管理模型存储的网络安全事件的数据中提取对应数据信息。

3.根据权利要求1所述的一种网络安全事件结构层次化处理方法，其特征在于：所述步骤二中对网络安全事件进行评估是从事件级、区域级和系统级三个层面进行的，其中事件级是利用事件特征中的行为特征和内容特征进行评估；区域级是依据关系特征和位置特征进行评估；系统级是将各区域级和事件级的评估进行整合。