[发明专利]一种对安全事件的分级处理方法及系统

说明书

技术领域

本发明涉及对安全事件的处理方法，尤其涉及一种对安全事件的分级处理方法。

背景技术

安全事件由安全系统生成，安全系统指入侵监测、漏洞扫描、审计、防火墙、UTM等对用户系统进行安全监测、保护的应用系统。

各类网络安全监测、保障系统，都会生成大量的安全报警事件。例如入侵检测系统(IDS)、漏洞扫描、审计等系统作为安全监测系统，能够完成对安全构成任何可能威胁的任何一个行为进行报警，即生成安全事件。但由于在实际运行中，可能的威胁比较多，因此表现在这些系统的应用中，会生成大量的安全事件，有些是漏洞、有些是非法行为、有些是重要的审计行为。这些不同属性的事件，数量巨大，种类繁多，使得安全保障人员无法进行有效分析，发现其中最重要、最紧急的事件并及时处理。

为了解决该问题，目前是以事件安全级别和数量为依据，对安全事件的危害程度进行排序，便于依次按照轻重缓急进行处理。但这种方法仅仅参考了事件的安全级别和发生次数2项事件参数，过于简单，不能对事件的危害程度进行真实客观的分级，因此无法适应实际使用中发现最重要、最紧急的事件并及时处理的需求，可能导致将最重要、最紧急的安全事件的处理延后，造成重大损失。

发明内容

本发明要解决的技术问题是提供一种对安全事件的分级处理方法及系统，能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。

为了对安全事件的危害程度进行客观分析，需要全面考虑一个安全事件的各个方面，通过对安全事件规律性进行的深入研究，本发明提出以下与其危害性切实相关的参数：

事件百分比例：指一个事件的发生次数，与所有事件的发生次数总和的百分比例。显然，事件的百分比例数值越大，该事件的发生率就高，就越重要。

事件源地址分布：一个事件的源地址分布广，可能是攻击发起者分布广，也可能被攻击者分布广，相对而言，事件分布广说明事件严重些，分布集中，说明事件没有扩散，只在有限范围内，因此不太严重。

事件目的地址分布：一个事件的目的地址分布广，可能是被攻击者分布广，也可能是攻击发起者分布广，相对而言，事件分布广说明事件严重些，分布集中，说明事件没有扩散，只在有限范围内，因此不太严重。

事件数量变化：一个事件发生数量的变化，可以说明该事件扩散程度的变化趋势。事件数量变大，说明该事件变的严重，事件数量变小，说明该事件变的缓解。

事件比例变化：事件数量的变大，并不意味着事件比例变大，因为事件总量也会变化。事件比例的变化，与事件数量的变化相同，会反映事件严重程度的变化，即事件比例变大，说明该事件变的严重，事件比例变小，说明该事件变的缓解。

事件源地址分布变化：一个事件的源地址分布变化，同样可以反映该事件的发展趋势。地址分布变广，说明事件变得严重，反之说明变得缓解。

事件目的地址分布变化：一个事件的目的地址分布变化，同样可以反映该事件的发展趋势。地址分布变广，说明事件变得严重，反之说明变得缓解。

事件安全级别：事件安全级别是影响事件严重程度的重要因素。一个高级别事件，可以抵几十、上百个低级事件，而且这些特性，在上述几个参数上的作用是相同的。

因此，除安全级别和发生次数后，在对安全事件进行分级处理时综合考虑地址分布和各参数变化情况，可以更为客观和精确地完成对安全事件危害程度的确定，帮助安全系统的使用者适当地应急处理。

基于以上分析，本发明提供了一种对安全事件的分级处理方法，包括以下步骤：

实时获取安全系统生成的安全事件，解析后进行保存，安全事件中包含了源地址和目的地址信息；

在设定的处理时间到时，根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数，计算危害程度的评估值，并根据得到的评估值确定其危害级别；

根据各个安全事件的危害级别，按照该级别对应的方式进行处理。

进一步地，上述分级处理方法还可具有以下特点：所述计算危害程度评估值的分量包括安全事件的发生次数和/或发生次数的百分比，还包括以下地址分布参数中的一种或组合：

安全事件在本周期内的源地址分布熵值，由本周期内当前安全事件在每一源地址的发生次数和该安全事件的发生次数计算得到；

安全事件在本周期内的目的地址分布熵值，由本周期内当前安全事件在每一目的地址的发生次数和该安全事件的发生次数计算得到；

所述发生次数百分比为同一周期内安全事件的发生次数与所有安全事件的发生总次数的比例。

进一步地，上述分级处理方法还可具有以下特点：