基于启发式与事件序列的安全事件关联算法设计与实现

摘要

目前很多企事业单位为了对网络进行防护部署了各种类型的安全设备,这些设备产生的事件数量巨大,且片面、孤立、误报漏报率高,审计人员被大量不可靠原始事件"淹没",无法对网络状况做有效准确的评估。本文提出了两种算法--基于统计的启发式算法和基于事件序列的算法,这两种算法既能侧重于宏观整体的角度来对事件进行关联,能够对事件做统计分析,同时还能够从微观局部的角度对安全事件做底层的技术分析。实验结果表明该算法能够将单个、片面、不可靠的事件,关联形成整体可靠的关联事件,既能极大降低事件漏报、误报率,又能减少原始事件数量,提高审计工作效率和准确率。