[发明专利]一种对安全事件的分级处理方法及系统

权利要求书

1.一种对安全事件的分级处理方法，包括以下步骤：

实时获取安全系统生成的安全事件，解析后进行保存，安全事件中包含了源地址和目的地址信息；

在设定的处理时间到时，根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数，计算危害程度的评估值，并根据得到的评估值确定其危害级别；

根据各个安全事件的危害级别，按照该级别对应的方式进行处理；

其中所述地址分布参数包括如下至少一种：

安全事件在本周期内的源地址分布熵值，由本周期内当前安全事件在每一源地址的发生次数和该安全事件的发生次数计算得到；

安全事件在本周期内的目的地址分布熵值，由本周期内当前安全事件在每一目的地址的发生次数和该安全事件的发生次数计算得到。

2.如权利要求1所述的分级处理方法，其特征在于：所述计算危害程度评估值的分量包括安全事件的发生次数和/或发生次数的百分比，还包括以下地址分布参数：

所述发生次数百分比为同一周期内安全事件的发生次数与所有安全事件的发生总次数的比例。

3.如权利要求1或2所述的分级处理方法，其特征在于：

在确定安全事件的危害级别时，对每一安全事件，计算以下几种变化率的一种或多种，作为计算危害程度评估值的分量：

发生次数变化率，即安全事件本周期的发生次数与前一周期的发生次数的比例；

源地址分布熵值变化率，即安全事件本周期的源地址分布熵值与前一周期的源地址分布熵值的比例；

目的地址分布熵值变化率，即安全事件本周期的目的地址分布熵值与前一周期的目的地址分布熵值的比例；以及

发生次数百分比变化率，即安全事件本周期的发生次数百分比与前一周期的发生次数百分比的比例。

4.如权利要求3所述的分级处理方法，其特征在于：在计算所述变化率时，进行如下处理：

如果前一周期没有本安全事件发生，则比例变化值为1；

如果计算出的比例变化值小于1，则除2，其数值范围在：0-0.5之间；

如果计算出的比例变化值大于1，则如下处理，使其数值范围在：0.5-1之间∶比例变化值＝1-(1/比例变化值)。

5.如权利要求3所述的分级处理方法，其特征在于：

计算安全事件危害程度的评估值时，先计算得到的该安全事件的所有分量分别乘以配置的对应权值并相加，即加权和作为评估初值，然后再将该评估初值乘以配置的该安全事件所属安全级别对应的修正参数，将得到评估值与危害级别对应的评估值范围比较，从而确定其危害级别。

6.如权利要求5所述的分级处理方法，其特征在于：

所述配置包括为安全事件配置的安全级别、各安全级别的修正参数，用于计算危害评估值的各个分量的权值以及危害级别对应的评估值范围。

7.一种对安全事件的分级处理系统，其特征在于，包括安全事件获取装置、安全事件计数装置、安全事件评估装置、安全事件处理装置以及存储装置，其中：

所述安全事件获取装置用于实时获取安全系统生成的安全事件，解析后保存到存储装置中并通知所述安全事件计数装置；

所述安全事件计数装置用于根据收到的安全事件通知，对本周期内每一安全事件的发生次数、所有安全事件的发生总次数进行计数，结果输出到所述安全事件评估装置；

所述安全事件评估装置用于在设定的处理时间到时，根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数，计算危害程度的评估值，并根据得到的评估值确定其危害级别；

所述安全事件处理装置用于根据各个安全事件的危害级别，按照该级别对应的方式进行处理；

存储装置用于保存配置的运算参数，并对安全事件及其参数进行缓存；

其中所述地址分布参数包括如下至少一种：

安全事件在本周期内的源地址分布熵值，由本周期内当前安全事件在每一源地址的发生次数和该安全事件的发生次数计算得到；

安全事件在本周期内的目的地址分布熵值，由本周期内当前安全事件在每一目的地址的发生次数和该安全事件的发生次数计算得到。