一种网络攻击事件定量分级算法的实现方法

摘要

本发明的目的在于提供一种网络攻击事件定量分级算法的实现方法，本方法采集安全设备报送的网络攻击事件，采用正则表达算法获得网络攻击定性分级值(pv)，实时采集网络镜像流量并根据流量分析算法获得攻击事件相关的会话信息，基于攻击事件的全网影响比率计算网络攻击定量分级值(cv)；从而最终实现攻击事件的定量分级。本方法实现了对安全设备产生的安全事件进行定量分级计算，解决了当前安全事件分级不精确、不统一的问题。为安全决策提供有效可靠的依据。

主权项

一种可容错的分布式安全事件数据传输协议的实现方法，其特征在于包括以下步骤：A、以Syslog协议或日志文本读取的方式获取网络攻击事件，每一条网络攻击事件称为Event，采用正则表达算法解析该网络攻击事件的五元组信息，该五元组信息内容包括：攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级；B、通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6,7,8数值，该数值称为网络攻击定性分级值pv；C、通过镜像流量技术采集被攻击网络的流量数据包数据，采用流量分析算法获得网络会话信息数据，该网络会话信息数据内容包括：源IP、目的IP、源端口、目的端口、协议、会话开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数，每一条网络会话信息数据称为flow；D、采集并解析一条网络攻击事件Event后，按照该网络攻击事件的攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击事件Event相关的网络会话信息数据flow，每一条网络攻击事件Event对应1条或多条网络会话信息数据flow，依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级值cv；E、计算网络攻击事件Event的攻击等级测量值：Level＝(1.25*pv+cv)/2。