主权项 |
一种可容错的分布式安全事件数据传输协议的实现方法,其特征在于包括以下步骤:A、以Syslog协议或日志文本读取的方式获取网络攻击事件,每一条网络攻击事件称为Event,采用正则表达算法解析该网络攻击事件的五元组信息,该五元组信息内容包括:攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间、攻击严重等级;B、通过事件等级映射表将该网络攻击事件的攻击严重等级映射为1,2,3,4,5,6,7,8数值,该数值称为网络攻击定性分级值pv;C、通过镜像流量技术采集被攻击网络的流量数据包数据,采用流量分析算法获得网络会话信息数据,该网络会话信息数据内容包括:源IP、目的IP、源端口、目的端口、协议、会话开始时间、会话结束时间、会话包含的字节数、会话包含的数据包数,每一条网络会话信息数据称为flow;D、采集并解析一条网络攻击事件Event后,按照该网络攻击事件的攻击源IP、攻击目的IP、攻击开始时间、攻击结束时间属性从网络会话信息数据缓存中检索和该网络攻击事件Event相关的网络会话信息数据flow,每一条网络攻击事件Event对应1条或多条网络会话信息数据flow,依据网络会话信息数据flow数据计算该网络攻击事件的攻击定量分级值cv;E、计算网络攻击事件Event的攻击等级测量值:Level=(1.25*pv+cv)/2。 |