[发明专利]基于过滤及均值处理的多源事件网络安全评估方法

权利要求书

1.基于过滤及均值处理的多源事件网络安全评估方法，其特征在于：包括以下步骤，

步骤(A)，获取多源安全事件

通过部署在网络安全设备上的事件收集器监测该安全设备的运行情况，并将运行情况实时通过主动方式或者被动方式的传递给网络安全评估服务器；

步骤(B)，过滤并去掉多源安全事件中的冗余事件

(B1)，任意选取两个安全事件e_i和e_j，通过公式(1)、公式(2)计算两者的属性相似度σ(i,j)，若为连续型变量，采用公式(1)；若为离散型变量，采用公式(2)，

σ(i,j)＝(p-q)/p (2)

其中，k为连续型变量e_i和e_j的总个数；x_iσ为连续型变量e_i第σ个变量；x_jσ为连续型变量e_j第σ个变量；p为离散型变量e_i和e_j的总个数，q为离散型变量e_i和e_j取值相同的数量；

(B2)，设定属性相似度阈值Δσ，若σ(i,j)大于Δσ，则认为两个安全事件e_i和e_j为冗余关系，将两者进行合并，直到遍历所有的安全事件；

步骤(C)，建立网络安全评估的指标函数

步骤(D)，利用指标函数H，并根据评估准则对当前网络安全状况进行准确评估，得到该时刻下多源安全事件的安全评估。

2.根据权利要求1所述的基于过滤及均值处理的多源事件网络安全评估方法，其特征在于：步骤(A)，通过部署在网络安全设备上的事件收集器监测该安全设备的运行情况，并将运行情况实时通过主动方式或者被动方式的传递给网络安全评估服务器，主动方式为事件收集器为30s将对应的安全设备的运行情况主动传递给网络安全评估服务器；被动方式为网络安全评估服务器每15分钟要求与其连接的事件收集器被动上传当前的安全设备的运行情况。

3.根据权利要求2所述的基于过滤及均值处理的多源事件网络安全评估方法，其特征在于：所述安全设备的运行情况，包括安全日信息志、安全消息信息、安全告警信息，并将安全设备的运行情况存放成标准化XML的数据格式。

4.根据权利要求2所述的基于过滤及均值处理的多源事件网络安全评估方法，其特征在于：步骤(B)，所述属性相似度阈值Δσ的范围在0.8-1之间。

5.根据权利要求1所述的基于过滤及均值处理的多源事件网络安全评估方法，其特征在于：步骤(C)，建立网络安全评估的指标函数，包括以下步骤，

(C1)，通过过滤后的多源安全事件，建立原始数据矩阵A，

其中，m为多源安全事件的个数；n为网络中安全设备的个数；a_mn为第n个安全设备在第m个多源安全事件下的运行情况值；

(C2)，根据所有安全设备的运行情况值计算每个多源安全事件的均值T和多源安全事件态势值的Q，如公式(4)、公式(5)所示，

其中，a_mn为第j个安全设备在第i个多源安全事件下的运行情况值；

(C3)，根据公式(6)，计算第i个多源安全事件权值Wi，

(C4)，将原始数据矩阵A进行归一化，得到归一化矩阵A’，根据公式(7)，得到指标函数H，

6.根据权利要求5所述的基于过滤及均值处理的多源事件网络安全评估方法，其特征在于：步骤(D)，利用指标函数H，并根据评估准则对当前网络安全状况进行准确评估，评估准则为