[发明专利]海量事件安全分析方法及装置

权利要求书

1.一种海量事件安全分析方法，其特征在于：包括如下步骤：

步骤10、对海量的原始事件进行存储；

步骤20、获取原始事件，对原始事件进行初步的基础分析，生成初步的分析结果，然后储存初步的分析结果；其中，该基础分析是对原始日志事件进行基础漏洞分析、规则分析和一些信息的确认；

步骤30、将初步的分析结果与原始事件进入分布式文件系统HDFS通过SQOOP进行并行分析，该并行分析的过程包括：

通过脚本语言对所有原始事件和初步的分析结果中一些对挖掘无意义的信息进行过滤；以及

通过脚本语言对所有源地址、源端口、目的地址、目的端口以及事件类型均相同的原始事件和初步分析结果进行归并操作，并按条件进行统计；

步骤40、通过一系列的配置和一系列的调度规则来从深入挖掘脚本库调用合适的深入挖掘脚本；该挖掘脚本是用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”；

步骤50、在hadoop平台上借助轻度脚本语言执行所调用的挖掘脚本，完成所有事件的源和目标IP的关联以及挖掘脚本之间的关联，形成挖掘结果；最后根据挖掘结果发现的异常情况在网络中进行定位；

步骤60、将异常情况和解决方案通过各种响应方式通知用户。

2.根据权利要求1所述的海量事件安全分析方法，其特征在于：所述步骤20中，

所述基础漏洞分析是对事件本身由于某些漏洞引起的而需要进行的基础分析；

所述规则分析是在短时间内对一些有相同属性的事件进行关联分析；

所述一些信息的确认是指将原始事件中的地址和端口信息与防火墙上的NAT信息进行比对确认。

3.根据权利要求1所述的海量事件安全分析方法，其特征在于：所述步骤30中，所述对挖掘无意义的信息包括平台未识别事件和防火墙允许的用户事件。

4.根据权利要求1所述的海量事件安全分析方法，其特征在于：所述步骤50中在网络中进行定位是通过对异常目标反查的方式完成，该异常目标反查的方式是指将异常的事件源做为目标，对这些目标相关事件继续进行深入挖掘分析，重复上述过程，到相关的目标不存在事件为止。

5.一种海量事件安全分析装置，其特征在于：包括：

海量事件存储库：用于存放海量的原始事件，该海量事件存储库是基于云平台的HDFS实现了对海量事件的存储；

基础分析引擎：用于对原始日志事件进行基础漏洞，规则的分析和一些信息的确认生成完整和准确的初步分析结果；

初步分析结果库：用于存放初步的分析结果；

数据库与HDFS交互引擎：通过SQOOP完成数据库和分布式文件系统HDFS的交互，将所有原始事件、初步的分析结果在分布式文件系统HDFS和数据库之间进行交互，该数据库包括海量事件存储库和初步分析结果库；

事件过滤引擎：通过脚本语言对所有原始事件和初步的分析结果中一些对挖掘无意义的信息进行过滤；

事件归并引擎：通过脚本语言对原始事件和初步的分析结果按照一些条件进行归并，主要按照原始事件的源地址，源端口，目的地址，目的端口，事件分类对事件进行一些归并操作；

事件统计引擎：通过脚本语言对原始事件按条件进行统计；

深入挖掘脚本库：用于存放各类挖掘脚本，该挖掘脚本是用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”；

脚本调度引擎：通过一系列的配置和一系列的调度规则来从深入挖掘脚本库调用合适的深入挖掘脚本；该挖掘脚本是用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”；

攻击拓扑生成引擎：执行所调用的挖掘脚本，完成所有原始事件和初步的分析结果的源和目标IP的关联以及挖掘脚本之间的关联并输出异常情况；

安全经验库：用于存放各类异常情况的解决方案；

响应模块：通过所述攻击拓扑生成引擎输出的异常情况，在安全经验库匹配解决方案，并将异常情况和解决方案通过各种响应方式通知用户。

6.根据权利要求5所述的海量事件安全分析装置，其特征在于：

所述基础漏洞分析是对事件本身由于某些漏洞引起的而需要进行的基础分析；

所述规则分析是在短时间内对一些有相同属性的事件进行关联分析；

所述一些信息的确认是指将原始事件中的地址和端口信息与防火墙上的NAT信息进行比对确认。