基于规则事件流处理引擎的安全事件监控系统研究

摘要

随着网络攻击的频繁出现，使得人们对网络安全实时监控的需求日益迫切，而监控中对安全告警事件的处理以及分析直接反应了安全监控平台的工作能力，那么如何快速高效的处理大量安全事件成为监控的关键之一，这也是本文的主要研究工作。本文没有采取传统的基于数据库的事件处理技术，而另辟蹊径的将事件流技术应用到网络安全事件处理中，利用事件流技术的快速处理优势，提高事件处理速率；同时又将规则引擎融入到事件流框架中，利用其优化的规则分配机制以及复杂逻辑执行能力，实现了对海量事件的并行计算和深度挖掘分析能力，并基于上述两种技术设计开发了一套规则事件流处理引擎——R-ESPE(Rule-Event Stream Process Engine)，最后将该引擎应用在本文设计的安全事件监控系统中。该系统在输入端完成了对多种网络安全设备的标准化工作，因此能够统一采集、解析多种安全设备发送的告警事件；当形成的输入事件流通过R-ESPE时，该引擎使用EQL接口语言可有效支持对高速大规模网络安全事件的快速实时处理和复杂逻辑计算分析，并保证基于其上的事件监控系统能够高效运行。然而随着对事件流处理技术的研究深入，发现其存在一个问题——规则调度时间的控制混乱，当使用事件流技术处理安全事件的操作越复杂，这种时间的控制越困难，因此本文在最后又提出了一种改进的R-ESPE框架，将工作流机制加入到事件流处理中，利用工作流的过程模型预先定义好整套规则执行流程，并由工作流引擎决定何时调度哪个规则进行查询和计算分析，从而解决了无法控制规则调度时间的问题，实现了更加灵活的事件处理能力。

目录

摘要

ABSTRACT

第一章 绪论

1.1 课题背景

1.2 研究现状

1.3 论文章节安排

1.4 本章小结

第二章 规则事件流处理引擎（R-ESPE）技术基础

2.1 规则引擎

2.1.1 规则引擎介绍

2.1.2 规则引擎框架以及推理

2.1.3 事件流处理中的特殊规则引擎

2.2 流处理引擎（SPE）

2.2.1 传统事件处理技术

2.2.2 流处理技术

2.3 网络安全管理

2.3.1 网络安全管理现状及需求

2.3.2 网络安全管理技术

2.3.3 网络安全态势

2.4 本章小结

第三章 基于R-ESPE 的事件流监控系统框架设计

3.1 安全事件实时监控系统

3.1.1 规则事件流处理引擎（R-ESPE）框架

3.1.2 系统设计和工作流程

3.2 系统框架

3.2.1 框架体系结构

3.2.2 框架结构图

3.2.3 系统主要功能模块

3.2.4 基于R-ESPE 的监控系统框架特点

3.3 本章小结

第四章 规则事件流处理引擎（R-ESPE）设计实现

4.1 Esper 开源项目

4.2 R-ESPE 采集端设计

4.2.1 引擎输入源事件的采集和标准化

4.2.2 事件流的解析封装

4.3 R-ESPE 业务功能设计实现

4.3.1 引擎工作内容

4.3.2 事件流实时处理

4.3.3 态势计算

4.4 系统部署及性能分析

4.4.1 系统运行部署

4.4.2 性能比较分析

4.5 本章小结

第五章 整合工作流与R-ESPE 的改进事件处理框架

5.1 工作流引擎

5.1.1 工作流技术应用背景

5.1.2 工作流定义

5.2 工作流引擎在事件流处理系统中的应用

5.2.1 技术论证

5.2.2 改进R-ESPE 框架设计

5.3 本章小结

第六章 结束语

6.1 主要结论

6.2 研究展望

参考文献

致谢

攻读硕士学位期间发表的学术论文

上海交通大学硕士学位论文答辩决议书