[发明专利]基于过滤及均值处理的多源事件网络安全评估方法

说明书

本发明公开了一种基于过滤及均值处理的多源事件网络安全评估方法，包括以下步骤，步骤（A），获取多源安全事件；步骤（B），过滤并去掉多源安全事件中的冗余事件；步骤（C），建立网络安全评估的指标函数；步骤（D），利用指标函数H，并根据评估准则对当前网络安全状况进行准确评估，得到该时刻下多源安全事件的安全评估。本发明的基于过滤及均值处理的多源事件网络安全评估方法，获取多源安全事件的方式为两种，可靠性增加，并增加了冗余事件过滤步骤，提高评估效率，并基于加权均值的方式，充分考虑到多源事件统一，便于提高评估结果的可靠性和准确性，方法巧妙，具有良好的应用前景。

技术领域

本发明涉及网络安全评估技术领域，具体涉及一种基于过滤及均值处理的多源事件网络安全评估方法。

背景技术

随着网络技术的飞速发展，网络病毒、网络入侵等网络攻击发生得越来越频繁，给网络带来巨大的威胁和损失。政府、军事部门、企业不得不关心保证内部网络的安全和正常运行的问题，因此，网络安全事件评估系统应运而生。网络技术和网络规模不断发展的同时各种网络安全问题日益突出。传统的防御手段因孤立地分析每个节点状况，彼此间缺乏有效协作，无法做到及时预警，已不能适应现在的需求。

当前，通过网络安全防护获取安全事件，对安全事件处理并评估来判定当前网络是否遭到网络攻击，并及时报警保护网络安全。但是，目前安全事件评估系统主要是依靠单一网络安全防护的机制来评估网络，随着网络攻击的日益频繁，这种传统方法显然已不能满足目前企业、政府对网络安全的需要，如何能够实现对实时准确运行的网络进行安全评估，是当前需要解决的问题。

发明内容

本发明的目的是克服现有的安全事件评估系统，已不能满足目前企业、政府对网络安全的需要的问题。本发明的基于过滤及均值处理的多源事件网络安全评估方法，获取多源安全事件的方式为两种，可靠性增加，并增加了冗余事件过滤步骤，提高评估效率，并基于加权均值的方式，充分考虑到多源事件统一，便于提高评估结果的可靠性、准确性和实时性，方法巧妙，构思新颖，具有良好的应用前景。

为了达到上述目的，本发明所采用的技术方案是：

一种基于过滤及均值处理的多源事件网络安全评估方法，包括以下步骤，

步骤(A)，获取多源安全事件

通过部署在网络安全设备上的事件收集器监测该安全设备的运行情况，并将运行情况实时通过主动方式或者被动方式的传递给网络安全评估服务器；

步骤(B)，过滤并去掉多源安全事件中的冗余事件

(B1)，任意选取两个安全事件e_i和e_j，通过公式(1)、公式(2)计算两者的属性相似度σ(i,j)，若为连续型变量，采用公式(1)；若为离散型变量，采用公式(2)，

σ(i,j)＝(p-q)/p (2)

其中，k为连续型变量e_i和e_j的总个数；x_iσ为连续型变量e_i第σ个变量；x_jσ为连续型变量e_j第σ个变量；p为离散型变量e_i和e_j的总个数，q为离散型变量e_i和e_j取值相同的数量；

(B2)，设定属性相似度阈值Δσ，若σ(i,j)大于Δσ，则认为两个安全事件e_i和e_j为冗余关系，将两者进行合并，直到遍历所有的安全事件；

步骤(C)，建立网络安全评估的指标函数

步骤(D)，利用指标函数H，并根据评估准则对当前网络安全状况进行准确评估，得到该时刻下多源安全事件的安全评估。