[发明专利]基于事件分析的威胁识别预警方法和系统

说明书

本发明公开了基于事件分析的威胁识别预警方法和系统，对网络安全事件的主动防御和智能分析，提前对威胁进行预警。一种基于事件分析的威胁识别预警方法，包括收集原始事件信息；将原始事件信息与匹配知识库进行匹配并过滤和归一化预处理，生成规范事件信息和/或异构事件信息；对规范事件信息直接关联安全知识库进行数据加强操作，对异构事件信息进行标准化处理并关联安全知识数据库进行数据加强操作，以生成强化事件信息；依据预置或者自定义的预警规则对强化事件信息进行规则计算，并在计算完成后进行标准化生成预警信息数据；以图形化界面形式输出展示预警信息数据。

技术领域

本发明涉及网络数据安全领域，尤其涉及基于事件分析的威胁识别预警方法和系统。

背景技术

为了应对日益严重的网络安全威胁，各单位、各部门在网络上部署了大量的网络设备、安全防护设备和应用服务系统，网管人员采用网络管理系统监控网络设备产生的事件信息，运用入侵检测、防火墙、网络防病毒等单一类型或独立设备的管理系统监控安全防护设备产生的事件信息，利用应用服务系统自身机制监控相应的事件信息，利用操作系统的事件机制监控事件信息，对产生的各类事件信息进行分析，根据研究判断情况实施相应的应急响应，保证网络运行安全顺畅。实际上，这些设备(系统)产生的事件格式不同，事件风险等级划分标准各异，由于缺乏海量事件信息的自动、综合的分析手段，无法快速抽取、定位、汇总重要的安全事件，难以有效地评估当前网络的安全态势，实施应急响应缺少必要的科学依据，影响了安全防护保障的效果。为保证网络安全运行，必须实施有效的安全防护保障。

发明内容

本发明的第一目的在于提供一种基于事件分析的威胁识别预警方法，基于态势信息获取、数据融合、关联分析等技术,提高了对网络和安全设备的监控效率，缩短了对网络安全事件的响应处理时间，从网络安全动态性和全局性的需求考虑，实现了对网络安全事件的主动防御和智能分析，以及提前对威胁进行预警。

本发明的上述目的是通过以下技术方案得以实现的：

一种基于事件分析的威胁识别预警方法，包括

收集原始事件信息；

将所述原始事件信息与匹配知识库进行匹配并过滤和归一化预处理，通过所述匹配知识库匹配的所述原始事件信息将生成规范事件信息，未能通过所述匹配知识库匹配的所述原始事件信息将生成异构事件信息；

对所述规范事件信息直接关联安全知识库进行数据加强操作，对所述异构事件信息进行标准化处理并关联安全知识数据库进行数据加强操作，以生成强化事件信息；

依据预置或者自定义的预警规则对所述强化事件信息进行规则计算，并在计算完成后进行标准化生成预警信息数据；

以图形化界面形式输出展示所述预警信息数据。

可选地，所述原始事件信息包括

应用系统产生的安全事件信息和/或日志信息；

应用服务器产生的日志信息；和/或

网络设备产生的安全事件信息和/或日志信息。

可选地，所述归一化预处理包括

将所述原始事件信息进行字段分割；

依据匹配知识库的匹配字段进行规范化处理，完成对所述原始事件信息的匹配、去重、格式化操作。

可选地，所述对所述异构事件信息进行标准化处理包括

对所述异构事件信息进行字段分割、去重、去噪操作处理，以生成事件模板。

可选地，还包括

所述强化事件信息通过关联资产数据以及IP数据，分析资产存在的漏洞信息评估其脆弱性，筛选出重要安全事件，结合资产价值评估每个安全事件的风险值。