[发明专利]一种基于事件关联模型和分层次的实时安全告警关联算法

说明书

本发明公开一种基于事件关联模型和分层次的实时安全告警关联算法，包括安全组件模块、二级处理模块和关联分析知识库模块，所述安全组件模块与告警数据收集模块相连接，所述告警数据收集模块与代理端模块相连接，所述代理端模块与配置分析处理模块相连接，所述配置分析处理模块与一级处理模块相连接。该基于事件关联模型和分层次的实时告警关联系统，安全组件模块产生原始数据，告警数据收集模块对原始数据进行收集推送，代理端模块对原始数据进行预处理，配置分析处理模块对预处理后的数据进行配置，关联分析结果处理模块将分析的数据结果整理发送给告警联动模块，告警联动模块根据结果是否异常选择性推送给工作人员。

技术领域

本发明涉及关联系统技术领域，具体为一种基于事件关联模型和分层次的实时安全告警关联算法。

背景技术

关联是指将所有系统中的事件以统一格式综合到一起进行观察。在网络安全领域中，关联分析是指对网络全局的安全事件数据进行自动、连续分析，根据用户定义的、可配置的规则来识别网络威胁和复杂的攻击模式，从而可以确定事件真实性、进行事件分级并对事件进行有效响应，告警是对构成网络的软硬系统的设备组件出现错误或异常状态时的事件记录。

在网络安全领域中，系统会遭受到一些网络威胁和攻击，所以需要对系统异常情况进行告警，从而需要一种基于事件关联模型和分层次的实时安全告警关联系统来满足当前需要。

发明内容

本发明的目的在于提供一种基于事件关联模型和分层次的实时安全告警关联算法，以解决上述背景技术提出的在网络安全领域中，系统会遭受到一些网络威胁和攻击，所以需要对系统异常情况进行告警，从而需要一种基于事件关联模型和分层次的实时安全告警关联系统来满足当前需要的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于事件关联模型和分层次的实时安全告警关联系统，包括安全组件模块、二级处理模块和关联分析知识库模块，所述安全组件模块与告警数据收集模块相连接，所述告警数据收集模块与代理端模块相连接，所述代理端模块与配置分析处理模块相连接，所述配置分析处理模块与一级处理模块相连接；所述二级处理模块与配置分析处理模块相连接，所述配置分析处理模块与三级处理模块相连接，所述三级处理模块与关联分析结果处理模块相连接，所述关联分析结果处理模块与告警联动模块相连接，所述关联分析结果处理模块与关联分析引擎模块相连接，所述关联分析知识库模块与关联分析引擎模块相连接。

一种基于事件关联模型和分层次的实时安全告警关联系统的关联算法：在使用基于事件关联模型和分层次的实时告警关联系统，首先安全组件模块1产生原始数据，告警数据收集模块2对原始数据进行收集推送，代理端模块3对原始数据进行预处理，配置分析处理模块4对预处理后的数据进行配置，推送至下级梳理分析，一级处理模块5对数据按域进行第一级处理，二级处理模块6对数据按网元类型进行第二级处理，三级处理模块7对数据按节点进行第三级处理，处理完成的数据推送至关联分析结果处理模块8，关联分析结果处理模块8将分析的数据结果整理发送给告警联动模块9，告警联动模块9根据结果是否异常选择性推送给工作人员，关联分析结果处理模块8将处理完成的数据根据关联分析引擎模块10进行检索，关联分析知识库模块11根据检索提示进行知识库匹配，使数据与事件关联关系之间进行规则推理，提高结果的精准度。

优选的，所述代理端模块基于Windows7、Windows8和Windows10系统为框架，且采用220V居民用电。

优选的，所述一级处理模块的分别两端与配置分析处理模块和关联分析结果处理模块垂直连接，且一级处理模块按域进行一级处理。

优选的，所述二级处理模块按网元类型进行二级处理，且三级处理模块按节点进行三级处理。

优选的，所述关联分析结果处理模块采用关联分析方法，且关联分析结果处理模块中的数据源相互独立。

优选的，所述告警联动模块采用数据网络与无线网络，且使用邮箱推送。