基于規(guī)則事件流處理引擎的安全事件監(jiān)控系統(tǒng)研究.pdf

1、隨著網(wǎng)絡(luò)攻擊的頻繁出現(xiàn)，使得人們對網(wǎng)絡(luò)安全實時監(jiān)控的需求日益迫切，而監(jiān)控中對安全告警事件的處理以及分析直接反應(yīng)了安全監(jiān)控平臺的工作能力，那么如何快速高效的處理大量安全事件成為監(jiān)控的關(guān)鍵之一，這也是本文的主要研究工作。本文沒有采取傳統(tǒng)的基于數(shù)據(jù)庫的事件處理技術(shù)，而另辟蹊徑的將事件流技術(shù)應(yīng)用到網(wǎng)絡(luò)安全事件處理中，利用事件流技術(shù)的快速處理優(yōu)勢，提高事件處理速率；同時又將規(guī)則引擎融入到事件流框架中，利用其優(yōu)化的規(guī)則分配機制以及復雜邏輯執(zhí)行能力，

2、實現(xiàn)了對海量事件的并行計算和深度挖掘分析能力，并基于上述兩種技術(shù)設(shè)計開發(fā)了一套規(guī)則事件流處理引擎——R-ESPE(Rule-Event Stream Process Engine)，最后將該引擎應(yīng)用在本文設(shè)計的安全事件監(jiān)控系統(tǒng)中。該系統(tǒng)在輸入端完成了對多種網(wǎng)絡(luò)安全設(shè)備的標準化工作，因此能夠統(tǒng)一采集、解析多種安全設(shè)備發(fā)送的告警事件；當形成的輸入事件流通過R-ESPE時，該引擎使用EQL接口語言可有效支持對高速大規(guī)模網(wǎng)絡(luò)安全事件的快速實時處

3、理和復雜邏輯計算分析，并保證基于其上的事件監(jiān)控系統(tǒng)能夠高效運行。然而隨著對事件流處理技術(shù)的研究深入，發(fā)現(xiàn)其存在一個問題——規(guī)則調(diào)度時間的控制混亂，當使用事件流技術(shù)處理安全事件的操作越復雜，這種時間的控制越困難，因此本文在最后又提出了一種改進的R-ESPE框架，將工作流機制加入到事件流處理中，利用工作流的過程模型預先定義好整套規(guī)則執(zhí)行流程，并由工作流引擎決定何時調(diào)度哪個規(guī)則進行查詢和計算分析，從而解決了無法控制規(guī)則調(diào)度時間的問題，實現(xiàn)了更