[发明专利]一种热点安全事件的识别方法及系统

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种热点安全事件的识别方法及系统。

背景技术

随着企业内部信息网络规模的日益扩大，网络中各种设备的数量急剧增加，来自外部和内部的各种安全和攻击也在急剧增加，威胁着网络信息安全。为了不断应对新的安全挑战，企业网络部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等等，各种设备的日志记录了设备运行状态，各类用户执行的操作等等详细信息，这些信息被称为安全事件。在目前的网络环境中，各种设备的安全事件数据规模很大，并且这些信息的增长速度也越来越快。

面对指数增长的新安全事件，如何有效掌握海量数据，提取其中的热点事件，成为长期困扰网络管理人员的难题。热点事件的识别，可以从大量安全事件中发现，某个时间段内全网影响最大的安全事件，并做针对性安全防范，以实现对大型复杂网络的有效管理。

热点分析技术是分析某些特定事件间潜在联系的一个有力工具，热点是指如果某一区域内事件发生频率显著地高于或低于正常频率，则这一特殊区域被定义为热点，通常我们所关心的热点是事件发生高度集中的小区域，在众多的时空分析方法中，热点分析是理解事件间隐含关系的有效工具，通过热点分析，可以有效地对事件做出回归分析和前景预测,帮助研究人员得出科学的结论。对于网络安全领域,传统的网络攻击检测手段需要采用精确的规则来描述事件的关系和联系，但是有些情况往往难于用精确规则来描述，例如事件爆发的规则，定义每分钟50次为触发条件，那么49次算不算爆发，48次算不算。那么热点分析就是传统规则的一个有力补充，试图采用模糊的规则来分析来描述事件的内在联系，通过聚类计算找到事件热点，根据热点找到出现问题的区域。

热点分析有着广阔的应用前景，其可以被应用到犯罪分析，疾病信息和信息安全等领域。在犯罪地点分析方面，由美国国家司法研究所(NIJ)的Ned Levine及其同事所开发的CrimeStat将热点分析的理论应用在巴尔的摩市区的犯罪分析中，这套软件集成了多种基于聚类分析的热点分析方法，包括K-MEANS和RNNH等主流的算法，形成了一个功能强大的工具集。在流行病学分析中，由亚利桑那大学人工智能实验室开发的的Bioportal已经进行了卓有成效的应用，在Bioportal的主页中，集成了SaTScan以及CrimeStat软件进行分析，这种分析已经成功应用在了西尼罗河病毒、肉毒杆菌毒素和手足口病的分析当中。

到目前为止，学者们就热点事件分析所做的研究工作大致可分为如下几类：基于网格技术，基于划分技术，基于密度技术，空间扫描技术，支持向量机技术和层次聚类技术。其中基于网格技术和基于划分技术具有良好的处理时间优势，但是得到的结果往往不够理想。其余四种技术可以得到更加理想的结果，但是需要较多的处理时间。举例如下：雷震等人提出一种改进的K均值算法(IIKM)用于热点事件发现，该算法使用密度函数法进行聚类中心的初始化以使客观地选择初始聚类中心，既可以用于在线探测也可以用于回溯探测，并且执行结果受新闻语料被处理顺序的影响较小，主要应用于热点新闻事件检测(雷震，吴玲达，雷蕾等.初始化类中心的增量K均值法及其在新闻事件探测中的应用.情报学报ISSN 1000-0135.2006，25(3):289-295页)。骆卫华等人在传统Single-Pass的基础上提出分治多层聚类的思想，该算法旨将数据分组来减少大规模数据处理时系统负荷，在话题检测领域取得了一定成果(骆卫华，于满泉，许洪波.基于多策略优化的分治多层聚类算法的话题发现研究.全国第八届计算语言学联合学术会议(JSCL-2005)论文集，中国南京，2005:362-368)。邱立坤等人提出了层次化话题与层次聚类的概念，层次化聚类开始逐渐显露出优质的聚类效果，并开始应用于事件检测领域(邱立坤,龙志祎,钟华.层次化话题发现与跟踪方法及系统实现.广西师范大学学报(自然科学版).2007(02):157-160页)。

但是，目前热点事件分析的研究往往侧重于互联网领域，仅仅关注与事件信息本身，实际上仅仅是热点“话题”的分析，反应网络关键信息的准确度低，而在企业网络环境中，企业资产规模相对稳定，资产的价值、安全事件的严重程度、安全事件所属的网络层级对热点事件的分析影响重大，而一般的热点分析中都没有涉及。

发明内容

为了解决上述问题，本发明提出了一种热点安全事件的识别方法及系统，能够全面分析热点事件，准确反应网络关键信息。

为了达到上述目的，本发明提出了一种热点安全事件的识别方法，该方法包括以下步骤：