|
信息安全管理平台事件数据标准化方法
http://www.cww.net.cn 2011年1月4日 09:05 通信世界网
安全事件名称;模糊匹配方式,比如包含、等于、等; 设备地址;地址匹配方式,比如等于; 设备类型名称;模糊匹配方式,比如包含、等于、等; 源地址;地址匹配方式,比如等于; 源端口;数字匹配方式,比如等于、大于、等; 目的地址;地址匹配方式,比如等于; 目的端口;数字匹配方式,比如等于、大于、等; B.事件处理方式 安全事件过滤完成后,需要进行进一步的处理,这种处理是对满足过滤条件的事件响应方式,安全事件的过滤响应方式至少应包括以下方式: l .丢弃:直接对满足条件的安全事件丢弃,不再写入数据库,也不再进一步处理; 写入数据库:对满足条件的安全事件存入数据库,作进一步的处理; 4. 原始事件归并标准化。 对于过滤后的安全事件,仍然存在很多重复或者相似的事件。所以事件数据标准化的第四个方面是对事件进行归并。归并规则,就是在什么情况下,满足什么条件,对哪些字段进行归并。 事件归并功能可以对海量的安全事件依据归并条件进行归并,达到简化安全事件,提高安全事件准确率。 A. 安全事件归并规则应该包含以下属性 归并规则名称:对过滤规则的描述; 归并条件:设定安全事件应该满足的条件; 归并字段:归并处理的事件字段,所列字段内容相同的事件才进行归并,比如安全事件的名称,设备地址等事件基本属性; 归并时间:归并事件的时间窗口,指多长时间进行一次归并; 归并数目:需要归并事件的数量,指多少事件进行一次归并; 对被归并事件的处理方式:被归并的事件以何种方式进行处理; B. 被归并事件的处理方式 阻塞方式:直接将被归并事件全部丢弃,不写入数据库; 非阻塞方式:将被归并事件全部写入数据库; C. 可定义的归并策略如下 根据事件名称进行归并分析; 根据事件类型进行归并分析; 根据源进程进行归并分析; 根据目标进程进行归并分析; 根据攻击源进行归并分析; 根据攻击目标地址进行归并分析; 根据事件原始时间进行归并分析; 根据受攻击设备类型进行归并分析。
编 辑:石美君 联系电话:010-67110006-818
文章评论【查看评论()】
|
重要新闻 通信技术 企业黄页 会议活动 |