專利名稱：：安全事件檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信領(lǐng)域，特別涉及一種安全事件檢測(cè)方法及裝置。
背景技術(shù)：
：隨著信息技術(shù)的不斷發(fā)展和普及，信息安全問題日益嚴(yán)重。計(jì)算機(jī)網(wǎng)絡(luò)中，惡意攻擊、非法入侵、病毒木馬、信息泄漏、突發(fā)故障、流量異常等安全事件的數(shù)量呈幾何級(jí)數(shù)增長(zhǎng)趨勢(shì)。安全事件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成嚴(yán)重威脅，有必要采取有效措施來防范、監(jiān)控、處理各種安全事件，以保障系統(tǒng)的正常運(yùn)作。而安全事件的檢測(cè)就是必不可少的環(huán)節(jié)，檢測(cè)安全事件的目的是為了后續(xù)對(duì)安全事件進(jìn)行才艮警和響應(yīng)處理等才喿作。現(xiàn)有的安全事件檢測(cè)方法主要有基于安全事件建模的規(guī)則關(guān)聯(lián)方法、基于因果關(guān)系的關(guān)聯(lián)方法和聚類關(guān)聯(lián)方法。其中，基于安全事件建模的規(guī)則關(guān)聯(lián)方法須首先建立詳細(xì)的安全特征描述庫，從條件、環(huán)境等多個(gè)角度對(duì)每種安全事件進(jìn)行描述，然后建立用于分析安全特征的自動(dòng)機(jī)，對(duì)安全特征描述庫進(jìn)行處理，產(chǎn)生關(guān)聯(lián)規(guī)則，最后根據(jù)關(guān)聯(lián)規(guī)則對(duì)當(dāng)前事件進(jìn)行模式匹配以檢測(cè)出安全事件；基于因果關(guān)系的關(guān)聯(lián)方法須預(yù)先建立各種安全事件的前提和結(jié)果，對(duì)前面報(bào)警的結(jié)果和后續(xù)報(bào)警的前提進(jìn)行匹配以產(chǎn)生關(guān)聯(lián)規(guī)則，并根據(jù)關(guān)聯(lián)規(guī)則進(jìn)行安全事件的匹配檢測(cè)；聚類關(guān)聯(lián)方法針對(duì)當(dāng)前事件中每個(gè)屬性設(shè)計(jì)相似性函數(shù)，用于計(jì)算當(dāng)前事件與已知安全事件的對(duì)應(yīng)屬性之間的相似程度，進(jìn)而針對(duì)事件本身設(shè)計(jì)相似性函數(shù)，用于計(jì)算兩個(gè)事件之間的相似程度，將與已知安全事件相似度大的當(dāng)前事件確定為安全事件。在實(shí)現(xiàn)本發(fā)明過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題基于安全事件建模的規(guī)則關(guān)聯(lián)方法進(jìn)和基于因果關(guān)系的關(guān)聯(lián)方法，完全依賴于預(yù)先建立的關(guān)聯(lián)規(guī)則進(jìn)行匹配，只能檢測(cè)出已知類型的安全事件，檢測(cè)效率不高，須不斷更新特征描述庫，同時(shí)因?yàn)樾枰阉惺占降男畔⑴c預(yù)先建立的關(guān)聯(lián)規(guī)則進(jìn)行匹配，而越來越龐大的關(guān)if關(guān)MJ!'H吏得運(yùn)算量增大，影響了安全事件檢測(cè)的實(shí)時(shí)性；聚類關(guān)聯(lián)方法，采用了統(tǒng)計(jì)的方法進(jìn)行處理，得出的結(jié)果往往缺乏明確的實(shí)際意義，只能將某些事件歸為一類，而無法描述該類事件的特征，進(jìn)而無法進(jìn)行后續(xù)的響應(yīng)處理，且由于要對(duì)所有收集到的信息進(jìn)行聚類，使得運(yùn)算量更大，影響了安全事件檢測(cè)的實(shí)時(shí)性。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供了一種安全事件檢測(cè)方法及裝置，以降低運(yùn)算量，保證安全事件檢測(cè)的實(shí)時(shí)性，并提高檢測(cè)效率。本發(fā)明實(shí)施例提供了一種安全事件檢測(cè)方法，包括獲取當(dāng)前事件發(fā)生的概率；當(dāng)所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。本發(fā)明實(shí)施例還提供了一種安全事件檢測(cè)裝置，包括獲^f莫塊，用于獲取當(dāng)前事件發(fā)生的概率；匹配模塊，用于當(dāng)所述獲取模塊獲取的所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。本發(fā)明實(shí)施例通過提供一種安全事件檢測(cè)方法及裝置，僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。為了更清楚地說明本發(fā)明中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以沖艮據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全事件檢測(cè)方法第一實(shí)施例的流程圖2為本發(fā)明安全事件檢測(cè)方法第一實(shí)施例的網(wǎng)絡(luò)位置部署示意圖3為本發(fā)明安全事件;險(xiǎn)測(cè)方法第二實(shí)施例的流程圖4為本發(fā)明安全事件檢測(cè)方法具體實(shí)施例的流程圖5為本發(fā)明安全事件檢測(cè)裝置第一實(shí)施例的結(jié)構(gòu)示意圖6為本發(fā)明安全事件檢測(cè)裝置第二實(shí)施例的結(jié)構(gòu)示意圖。具體實(shí)施例方式下面將結(jié)合本發(fā)明中的附圖，對(duì)本發(fā)明中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。下面通過附圖和實(shí)施例，對(duì)本發(fā)明實(shí)施例的技術(shù)方案做進(jìn)一步的詳細(xì)描述。圖1為本發(fā)明安全事件;險(xiǎn)測(cè)方法第一實(shí)施例的流程圖。如圖1所示，本發(fā)明實(shí)施例提供了一種安全事件檢測(cè)方法，包括步驟IOI、獲取當(dāng)前事件發(fā)生的概率；步驟102、當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)當(dāng)前事件進(jìn)行規(guī)則匹配；步驟103、判斷是否匹配成功，若匹配成功，則4丸行步驟104，否則，執(zhí)行步驟105;步驟104、確定該當(dāng)前事件為已知安全事件；步驟105、確定該當(dāng)前事件為未知安全事件。在本發(fā)明實(shí)施例中，當(dāng)檢測(cè)某當(dāng)前事件是否為安全事件時(shí)，首先獲取該當(dāng)前事件發(fā)生的概率，根據(jù)當(dāng)前事件發(fā)生的概率，進(jìn)行安全事件篩選，當(dāng)該概率小于預(yù)設(shè)閾值時(shí)，即當(dāng)前事件為小概率事件，則根據(jù)已建立的關(guān)聯(lián)規(guī)則庫對(duì)當(dāng)前事件進(jìn)行規(guī)則匹配。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，否則，將當(dāng)前事件確認(rèn)為未知安全事件。后續(xù)可根據(jù)已知安全事件的屬性，對(duì)該已知安全事件做相應(yīng)的響應(yīng)。并可以對(duì)未知安全事件做進(jìn)一步操作?？梢酝ㄟ^調(diào)整預(yù)設(shè)閾值的大小來改變安全事件篩選的敏感度，從而影響整個(gè)安全事件檢測(cè)方法的誤報(bào)率和漏報(bào)率。本實(shí)施例中的安全事件包括異常流量或惡意攻擊等事件。本發(fā)明實(shí)施例提供的安全事件檢測(cè)方法可以部署在任意受控網(wǎng)絡(luò)區(qū)域中，如城域網(wǎng)出入口區(qū)域、廣域網(wǎng)邊沿交界位置、企業(yè)內(nèi)部網(wǎng)等。圖2為本發(fā)明安全事件檢測(cè)方法第一實(shí)施例的網(wǎng)絡(luò)位置部署示意圖。在如圖2所示的網(wǎng)絡(luò)區(qū)域中，安全事件檢測(cè)方法可部署的位置有安全網(wǎng)關(guān)、防火墻、安全路由器、邊界入侵;險(xiǎn)測(cè)器、安全事件檢測(cè)器等。本發(fā)明實(shí)施例通過提供一種安全事件檢測(cè)方法，僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。圖3為本發(fā)明安全事件檢測(cè)方法第二實(shí)施例的流程圖。如圖3所示，在上述方法第一實(shí)施例的基礎(chǔ)上，步驟101可以包括步驟301、根據(jù)當(dāng)前事件的屬性，對(duì)當(dāng)前事件進(jìn)行量化，獲取當(dāng)前事件的量化值；步驟302、根據(jù)當(dāng)前事件的量化值，利用部分匹配預(yù)測(cè)(PredictionbyPartialMatch;以下簡(jiǎn)稱PPM)算法，獲取當(dāng)前事件發(fā)生的概率。在本發(fā)明實(shí)施例中，首先根據(jù)當(dāng)前事件的屬性，如當(dāng)前事件的IP地址、日志文件或出錯(cuò)代碼等，對(duì)當(dāng)前事件進(jìn)行量化，即把當(dāng)前事件通過抽樣、量化的手段，轉(zhuǎn)化為一定取值范圍之內(nèi)的二進(jìn)制整數(shù)(標(biāo)準(zhǔn)量化數(shù)據(jù))，如0至255之間的整數(shù)。可以采用以下公式進(jìn)行量化<量化值〉=量化函數(shù)(<事件屬性1〉，〈事件屬性2〉，...)。然后，根據(jù)步驟301獲得的量化值，利用PPM算法，獲取當(dāng)前事件發(fā)生的每一種可能性，表l為事件概率動(dòng)態(tài)預(yù)測(cè)表，以提供預(yù)測(cè)結(jié)果。表1<table>tableseeoriginaldocumentpage8</column></row><table>其中，整數(shù)值1表示事件O發(fā)生的歷史統(tǒng)計(jì)值，整數(shù)值2表示事件1發(fā)生的歷史統(tǒng)計(jì)值，以此類推，當(dāng)當(dāng)前事件發(fā)生后，將當(dāng)前事件對(duì)應(yīng)的預(yù)測(cè)值作為分子，將表中所有整數(shù)值之和作為分母，求得的'值即為當(dāng)前事件發(fā)生的概率。在上述技術(shù)方案的基礎(chǔ)上，步驟102可以包括步驟303、當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，從關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則，該分類匹配規(guī)則包括匹配規(guī)則描述符、待歸入的安全事件類別、事件i兌明和響應(yīng)方式；步驟304、根據(jù)分類匹配規(guī)則對(duì)當(dāng)前事件進(jìn)行規(guī)則匹配。當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)闊值時(shí)，將當(dāng)前事件與關(guān)聯(lián)規(guī)則庫中的分類匹配失見則逐一進(jìn)行匹配，該匹配過程也可以為分布式的并行處理過程。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，并劃分到相關(guān)的類別中，否則，將當(dāng)前事件確認(rèn)為未知安全事件。進(jìn)一步地，在上述技術(shù)方案的基礎(chǔ)上，在步驟105之后，還可以包括步驟305、根據(jù)未知安全事件的屬性，利用聚類方法，對(duì)未知安全事件進(jìn)行分類處理；步驟306、確定分類處理后的未知安全事件的類別。根據(jù)未知安全事件的屬性，利用聚類方法，將數(shù)個(gè)被確定為未知安全事件的事件進(jìn)行分類處理。分析分類處理后的各個(gè)未知安全事件的屬性，以確定各類未知安全事件的類別，此時(shí)的類別可以為已知安全事件的類別，也可以為新的安全事件類別。更進(jìn)一步地，在上述步驟306之后，還可以包括步驟307、根據(jù)分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；步驟308、將該新的分類匹配規(guī)則添加到關(guān)聯(lián)MJH庫。當(dāng)確定的類別為新的安全事件類別時(shí)，根據(jù)未知安全事件的類別，生成新的分類匹配規(guī)則，并將該新的分類匹配規(guī)則添加到關(guān)聯(lián)規(guī)則庫，以備后續(xù)事件的安全檢測(cè)。本發(fā)明實(shí)施例通過提供一種安全事件檢測(cè)方法，利用PPM算法獲取事件發(fā)生的概率，僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，并且可以不依賴于預(yù)先定義的關(guān)聯(lián)規(guī)則庫而檢測(cè)出未知安全事件，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。圖4為本發(fā)明安全事件檢測(cè)方法具體實(shí)施例的流程圖。如圖4所示，本發(fā)明實(shí)施例提供了一種具體的安全事件檢測(cè)方法，包括步驟401、讀取當(dāng)前事件的屬性值；步驟402、根據(jù)公式<量化值>=量化函數(shù)(<事件屬性1>，〈事件屬性2>，...)對(duì)當(dāng)前事件進(jìn)行量化；步驟403、根據(jù)公式R《事件Nl的預(yù)測(cè)值>/<全部事件的預(yù)測(cè)值〉，獲取事件N1發(fā)生的概率R;步驟404、事件Nl的預(yù)測(cè)值累加，即<事件Nl的預(yù)測(cè)值〉=<事件Nl的預(yù)測(cè)值〉+l;步驟405、判斷概率R是否大于預(yù)設(shè)閾值，若是，則執(zhí)行步驟406，否貝'J，4丸行步驟407;步驟406、確定該事件為普通事件，然后執(zhí)行步驟401;步驟407、確定該事件為安全事件；步驟408、讀^^又該安全事件的量化值；步驟409、還原該安全事件的屬性；步驟410、從關(guān)聯(lián)規(guī)則庫中獲取一條分類匹配規(guī)則；步驟411、根據(jù)該分類匹配^見則對(duì)當(dāng)前事件進(jìn)行規(guī)則匹配，若匹配成功，則執(zhí)行步驟412，否則，執(zhí)行步驟413;步驟412、確定當(dāng)前事件為已知安全事件，將該當(dāng)前事件輸出到相應(yīng)的響應(yīng)處理部件；步驟413、判斷是否已從關(guān)聯(lián)規(guī)則庫中獲取完所有的分類匹配規(guī)則，若是，則執(zhí)行步驟414,否則，執(zhí)行步驟410;步驟414、確定當(dāng)前事件為未知安全事件，對(duì)當(dāng)前事件進(jìn)行告警，并進(jìn)行后續(xù)聚類等操作。本發(fā)明實(shí)施例通過提供一種安全事件檢測(cè)方法，僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。圖5為本發(fā)明安全事件檢測(cè)裝置第一實(shí)施例的結(jié)構(gòu)示意圖。如圖5所示，本發(fā)明實(shí)施例提供了一種安全事件檢測(cè)裝置，包括獲取模塊51和匹配模塊52。其中，獲^^莫塊51用于獲取當(dāng)前事件發(fā)生的概率；匹配模塊52用于當(dāng)獲取模塊51獲取的當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)當(dāng)前事件進(jìn)行規(guī)則匹配；若匹配成功，則確定當(dāng)前事件為已知安全事件，否則，確定當(dāng)前事件為未知安全事件。在本發(fā)明實(shí)施例中，當(dāng)檢測(cè)某當(dāng)前事件是否為安全事件時(shí)，首先獲取模塊51獲取該當(dāng)前事件發(fā)生的概率，根據(jù)當(dāng)前事件發(fā)生的概率，進(jìn)行安全事件篩選，當(dāng)該概率小于預(yù)設(shè)閾值時(shí)，即當(dāng)前事件為小概率事件，則匹配模塊52根據(jù)已建立的關(guān)聯(lián)規(guī)則庫對(duì)當(dāng)前事件進(jìn)行規(guī)則匹配。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，否則，將當(dāng)前事件確認(rèn)為未知安全事件。后續(xù)可根據(jù)已知安全事件的屬性，對(duì)該已知安全事件做相應(yīng)的響應(yīng)。并可以對(duì)未知安全事件做進(jìn)一步操作?？梢酝ㄟ^調(diào)整預(yù)設(shè)閾值的大小來改變安全事件篩選的敏感度，從而影響整個(gè)安全事件檢測(cè)方法的誤報(bào)率和漏報(bào)率。本實(shí)施例中的安全事件包括異常流量或惡意攻擊等事件。本發(fā)明實(shí)施例通過提供一種安全事件才企測(cè)裝置，匹配模塊52僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。圖6為本發(fā)明安全事件檢測(cè)裝置第二實(shí)施例的結(jié)構(gòu)示意圖。如圖6所示，在上述裝置第一實(shí)施例的基礎(chǔ)上，獲取模塊51可以包括量化單元61和第一獲:f又單元62。其中，量化單元61用于才艮據(jù)當(dāng)前事件的屬性，對(duì)當(dāng)前事件進(jìn)行量化，獲取當(dāng)前事件的量化值；第一獲取單元62用于根據(jù)量化單元61獲取的當(dāng)前事件的量化值，利用部分匹配預(yù)測(cè)算法，獲取當(dāng)前事件的概率。在本發(fā)明實(shí)施例中，首先量化單元61才艮據(jù)當(dāng)前事件的屬性，如當(dāng)前事件的IP地址、日志文件或出錯(cuò)代碼等，對(duì)當(dāng)前事件進(jìn)行量化，即把當(dāng)前事件通過抽樣、量化的手段，轉(zhuǎn)化為一定取值范圍之內(nèi)的二進(jìn)制整數(shù)(標(biāo)準(zhǔn)量化數(shù)據(jù))，如0至255之間的整數(shù)?？梢葬娪靡韵耝〉式進(jìn)行量化<量化值>=量化函數(shù)(<事件屬性1>，〈事件屬性2>，...)。然后，第一獲取單元62根據(jù)量化單元61獲得的量化值，利用PPM算法，獲取當(dāng)前事件發(fā)生的概率。在上述技術(shù)方案的基礎(chǔ)上，匹配模塊52可以包括第二獲取單元63和匹配單元64。其中，第二獲取單元63用于從關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則，該分類匹配規(guī)則包括匹配規(guī)則描述符、待歸入的安全事件類別、事件說明和響應(yīng)方式；匹配單元64用于根據(jù)第二獲取單元63獲取的分類匹配規(guī)則對(duì)當(dāng)前事件進(jìn)4亍失見則匹配。當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，匹配單元64將當(dāng)前事件與關(guān)聯(lián)規(guī)則庫中的分類匹配規(guī)則逐一進(jìn)行匹配，該匹配過程也可以為分布式的并行處理過程。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，并劃分到相關(guān)的類別中，否則，將當(dāng)前事件確認(rèn)為未知安全事件。進(jìn)一步地，在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明實(shí)施例提供的安全事件檢測(cè)裝置，還可以包括分類模塊65和確定模塊66。其中，分類模塊65用于根據(jù)未知安全事件的屬性，利用聚類方法，對(duì)未知安全事件進(jìn)行分類處理；確定模塊66用于確定分類模塊65分類處理后的未知安全事件的類別。分類模塊65根據(jù)未知安全事件的屬性，利用聚類方法，將數(shù)個(gè)被確定為未知安全事件的事件進(jìn)行分類處理。確定模塊66分析分類處理后的各個(gè)未知安全事件的屬性，以確定各類未知安全事件的類別，此時(shí)的類別可以為已知安全事件的類別，也可以為新的安全事件類別。更進(jìn)一步地，本發(fā)明實(shí)施例提供的安全事件檢測(cè)裝置，還可以包括生成模塊67和添加模塊68。其中，生成模塊67用于根據(jù)分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；添加模塊68用于將生成模塊67生成的新的分類匹配失見則添加到關(guān)聯(lián)3見則庫。當(dāng)確定模塊66確定的類別為新的安全事件類別時(shí)，生成模塊67根據(jù)分類處理后的未知安全事件的類別，生成新的分類匹配MJ'j,添加^^莫塊68將該新的分類匹配規(guī)則添加到關(guān)聯(lián)規(guī)則庫，以備后續(xù)事件的安全檢測(cè)。本發(fā)明實(shí)施例通過提供一種安全事件檢測(cè)裝置，第一獲取單元62利用PPM算法獲取事件發(fā)生的概率，匹配單元64僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，并且可以不依賴于預(yù)先定義的關(guān)聯(lián)規(guī)則庫而檢測(cè)出未知安全事件，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的硬件平臺(tái)的方式來實(shí)現(xiàn)，當(dāng)然也可以全部通過硬件來實(shí)施，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案對(duì)
背景技術(shù)：
做出貢獻(xiàn)的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中，如ROM/RAM、；茲碟、光盤等，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制，盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的砵青神和范圍。權(quán)利要求1、一種安全事件檢測(cè)方法，其特征在于，包括獲取當(dāng)前事件發(fā)生的概率；當(dāng)所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。2、根據(jù)權(quán)利要1所述的安全事件檢測(cè)方法，其特征在于，所述獲取當(dāng)前事件發(fā)生的概率包括根據(jù)當(dāng)前事件的屬性，對(duì)所述當(dāng)前事件進(jìn)行量化，獲取所述當(dāng)前事件的量化值；根據(jù)所述當(dāng)前事件的量化值，利用部分匹配預(yù)測(cè)算法，獲取所述當(dāng)前事件發(fā)生的^L率。3、根據(jù)權(quán)利要求1或2所述的安全事件檢測(cè)方法，其特征在于，所述根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配包括從所述關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則；根據(jù)所述分類匹配少見則對(duì)所述當(dāng)前事件進(jìn)行#見則匹配。4、根據(jù)權(quán)利要求1或2所述的安全事件檢測(cè)方法，其特征在于，在所述確定所述當(dāng)前事件為未知安全事件之后，還包括根據(jù)所述未知安全事件的屬性，利用聚類方法，對(duì)所述未知安全事件進(jìn)行分類處理；確定分類處理后的未知安全事件的類別。5、根據(jù)權(quán)利要求4所述的安全事件檢測(cè)方法，其特征在于，在所述確定分類處理后的未知安全事件的類別之后，還包括根據(jù)所述分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；將所述新的分類匹配規(guī)則添加到所述關(guān)聯(lián)規(guī)則庫。6、一種安全事件檢測(cè)裝置，其特征在于，包括獲取模塊，用于獲取當(dāng)前事件發(fā)生的概率；匹配模塊，用于當(dāng)所述獲取模塊獲取的所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。'7、根據(jù)權(quán)利要6所述的安全事件檢測(cè)裝置，其特征在于，所述獲取模塊包括量化單元，用于根據(jù)當(dāng)前事件的屬性，對(duì)所述當(dāng)前事件進(jìn)行量化，獲取所述當(dāng)前事件的量化值；第一獲取單元，用于根據(jù)所述量化單元獲:f又的所述當(dāng)前事件的量化值，利用部分匹配預(yù)測(cè)算法，獲耳又所述當(dāng)前事件的概率。8、根據(jù)權(quán)利要6或7所述的安全事件檢測(cè)裝置，其特征在于，所述匹配模塊包括第二獲取單元，用于從所述關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則；匹配單元，用于根據(jù)所述第二獲取單元獲取的所述分類匹配規(guī)則對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配。9、根據(jù)權(quán)利要6或7所述的安全事件檢測(cè)裝置，其特征在于，還包括分類模塊，用于根據(jù)所述未知安全事件的屬性，利用聚類方法，對(duì)所述未知安全事件進(jìn)行分類處理；確定模塊，用于確定所述分類模塊分類處理后的未知安全事件的類別。10、根據(jù)權(quán)利要9所述的安全事件檢測(cè)裝置，其特征在于，還包括生成模塊，用于根據(jù)所述分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；添加模塊，用于將所述生成模塊生成的所述新的分類匹配規(guī)則添加到所述關(guān)聯(lián)規(guī)則庫。全文摘要本發(fā)明實(shí)施例公開了一種安全事件檢測(cè)方法及裝置。該方法包括獲取當(dāng)前事件發(fā)生的概率；當(dāng)所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時(shí)，根據(jù)關(guān)聯(lián)規(guī)則庫對(duì)所述當(dāng)前事件進(jìn)行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。該裝置包括獲取模塊和匹配模塊。本發(fā)明實(shí)施例通過僅對(duì)概率小于預(yù)設(shè)閾值的事件進(jìn)行規(guī)則匹配，降低了運(yùn)算量，從而保證了安全事件檢測(cè)的實(shí)時(shí)性，并提高了檢測(cè)效率。文檔編號(hào)H04L29/06GK101668012SQ200910093960公開日2010年3月10日申請(qǐng)日期2009年9月23日優(yōu)先權(quán)日2009年9月23日發(fā)明者朱洪亮,飛王,覃健誠(chéng)申請(qǐng)人:成都市華為賽門鐵克科技有限公司