專利名稱：：安全事件檢測方法及裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信領(lǐng)域，特別涉及一種安全事件檢測方法及裝置。
背景技術(shù)：
：隨著信息技術(shù)的不斷發(fā)展和普及，信息安全問題日益嚴(yán)重。計算機網(wǎng)絡(luò)中，惡意攻擊、非法入侵、病毒木馬、信息泄漏、突發(fā)故障、流量異常等安全事件的數(shù)量呈幾何級數(shù)增長趨勢。安全事件對計算機網(wǎng)絡(luò)系統(tǒng)構(gòu)成嚴(yán)重威脅，有必要采取有效措施來防范、監(jiān)控、處理各種安全事件，以保障系統(tǒng)的正常運作。而安全事件的檢測就是必不可少的環(huán)節(jié)，檢測安全事件的目的是為了后續(xù)對安全事件進行才艮警和響應(yīng)處理等才喿作。現(xiàn)有的安全事件檢測方法主要有基于安全事件建模的規(guī)則關(guān)聯(lián)方法、基于因果關(guān)系的關(guān)聯(lián)方法和聚類關(guān)聯(lián)方法。其中，基于安全事件建模的規(guī)則關(guān)聯(lián)方法須首先建立詳細(xì)的安全特征描述庫，從條件、環(huán)境等多個角度對每種安全事件進行描述，然后建立用于分析安全特征的自動機，對安全特征描述庫進行處理，產(chǎn)生關(guān)聯(lián)規(guī)則，最后根據(jù)關(guān)聯(lián)規(guī)則對當(dāng)前事件進行模式匹配以檢測出安全事件；基于因果關(guān)系的關(guān)聯(lián)方法須預(yù)先建立各種安全事件的前提和結(jié)果，對前面報警的結(jié)果和后續(xù)報警的前提進行匹配以產(chǎn)生關(guān)聯(lián)規(guī)則，并根據(jù)關(guān)聯(lián)規(guī)則進行安全事件的匹配檢測；聚類關(guān)聯(lián)方法針對當(dāng)前事件中每個屬性設(shè)計相似性函數(shù)，用于計算當(dāng)前事件與已知安全事件的對應(yīng)屬性之間的相似程度，進而針對事件本身設(shè)計相似性函數(shù)，用于計算兩個事件之間的相似程度，將與已知安全事件相似度大的當(dāng)前事件確定為安全事件。在實現(xiàn)本發(fā)明過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題基于安全事件建模的規(guī)則關(guān)聯(lián)方法進和基于因果關(guān)系的關(guān)聯(lián)方法，完全依賴于預(yù)先建立的關(guān)聯(lián)規(guī)則進行匹配，只能檢測出已知類型的安全事件，檢測效率不高，須不斷更新特征描述庫，同時因為需要把所有收集到的信息與預(yù)先建立的關(guān)聯(lián)規(guī)則進行匹配，而越來越龐大的關(guān)if關(guān)MJ!'H吏得運算量增大，影響了安全事件檢測的實時性；聚類關(guān)聯(lián)方法，采用了統(tǒng)計的方法進行處理，得出的結(jié)果往往缺乏明確的實際意義，只能將某些事件歸為一類，而無法描述該類事件的特征，進而無法進行后續(xù)的響應(yīng)處理，且由于要對所有收集到的信息進行聚類，使得運算量更大，影響了安全事件檢測的實時性。
發(fā)明內(nèi)容本發(fā)明實施例提供了一種安全事件檢測方法及裝置，以降低運算量，保證安全事件檢測的實時性，并提高檢測效率。本發(fā)明實施例提供了一種安全事件檢測方法，包括獲取當(dāng)前事件發(fā)生的概率；當(dāng)所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對所述當(dāng)前事件進行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。本發(fā)明實施例還提供了一種安全事件檢測裝置，包括獲^f莫塊，用于獲取當(dāng)前事件發(fā)生的概率；匹配模塊，用于當(dāng)所述獲取模塊獲取的所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對所述當(dāng)前事件進行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。本發(fā)明實施例通過提供一種安全事件檢測方法及裝置，僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。為了更清楚地說明本發(fā)明中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以沖艮據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全事件檢測方法第一實施例的流程圖2為本發(fā)明安全事件檢測方法第一實施例的網(wǎng)絡(luò)位置部署示意圖3為本發(fā)明安全事件;險測方法第二實施例的流程圖4為本發(fā)明安全事件檢測方法具體實施例的流程圖5為本發(fā)明安全事件檢測裝置第一實施例的結(jié)構(gòu)示意圖6為本發(fā)明安全事件檢測裝置第二實施例的結(jié)構(gòu)示意圖。具體實施例方式下面將結(jié)合本發(fā)明中的附圖，對本發(fā)明中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。下面通過附圖和實施例，對本發(fā)明實施例的技術(shù)方案做進一步的詳細(xì)描述。圖1為本發(fā)明安全事件;險測方法第一實施例的流程圖。如圖1所示，本發(fā)明實施例提供了一種安全事件檢測方法，包括步驟IOI、獲取當(dāng)前事件發(fā)生的概率；步驟102、當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對當(dāng)前事件進行規(guī)則匹配；步驟103、判斷是否匹配成功，若匹配成功，則4丸行步驟104，否則，執(zhí)行步驟105;步驟104、確定該當(dāng)前事件為已知安全事件；步驟105、確定該當(dāng)前事件為未知安全事件。在本發(fā)明實施例中，當(dāng)檢測某當(dāng)前事件是否為安全事件時，首先獲取該當(dāng)前事件發(fā)生的概率，根據(jù)當(dāng)前事件發(fā)生的概率，進行安全事件篩選，當(dāng)該概率小于預(yù)設(shè)閾值時，即當(dāng)前事件為小概率事件，則根據(jù)已建立的關(guān)聯(lián)規(guī)則庫對當(dāng)前事件進行規(guī)則匹配。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，否則，將當(dāng)前事件確認(rèn)為未知安全事件。后續(xù)可根據(jù)已知安全事件的屬性，對該已知安全事件做相應(yīng)的響應(yīng)。并可以對未知安全事件做進一步操作?？梢酝ㄟ^調(diào)整預(yù)設(shè)閾值的大小來改變安全事件篩選的敏感度，從而影響整個安全事件檢測方法的誤報率和漏報率。本實施例中的安全事件包括異常流量或惡意攻擊等事件。本發(fā)明實施例提供的安全事件檢測方法可以部署在任意受控網(wǎng)絡(luò)區(qū)域中，如城域網(wǎng)出入口區(qū)域、廣域網(wǎng)邊沿交界位置、企業(yè)內(nèi)部網(wǎng)等。圖2為本發(fā)明安全事件檢測方法第一實施例的網(wǎng)絡(luò)位置部署示意圖。在如圖2所示的網(wǎng)絡(luò)區(qū)域中，安全事件檢測方法可部署的位置有安全網(wǎng)關(guān)、防火墻、安全路由器、邊界入侵;險測器、安全事件檢測器等。本發(fā)明實施例通過提供一種安全事件檢測方法，僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。圖3為本發(fā)明安全事件檢測方法第二實施例的流程圖。如圖3所示，在上述方法第一實施例的基礎(chǔ)上，步驟101可以包括步驟301、根據(jù)當(dāng)前事件的屬性，對當(dāng)前事件進行量化，獲取當(dāng)前事件的量化值；步驟302、根據(jù)當(dāng)前事件的量化值，利用部分匹配預(yù)測(PredictionbyPartialMatch;以下簡稱PPM)算法，獲取當(dāng)前事件發(fā)生的概率。在本發(fā)明實施例中，首先根據(jù)當(dāng)前事件的屬性，如當(dāng)前事件的IP地址、日志文件或出錯代碼等，對當(dāng)前事件進行量化，即把當(dāng)前事件通過抽樣、量化的手段，轉(zhuǎn)化為一定取值范圍之內(nèi)的二進制整數(shù)(標(biāo)準(zhǔn)量化數(shù)據(jù))，如0至255之間的整數(shù)。可以采用以下公式進行量化<量化值〉=量化函數(shù)(<事件屬性1〉，〈事件屬性2〉，...)。然后，根據(jù)步驟301獲得的量化值，利用PPM算法，獲取當(dāng)前事件發(fā)生的每一種可能性，表l為事件概率動態(tài)預(yù)測表，以提供預(yù)測結(jié)果。表1<table>tableseeoriginaldocumentpage8</column></row><table>其中，整數(shù)值1表示事件O發(fā)生的歷史統(tǒng)計值，整數(shù)值2表示事件1發(fā)生的歷史統(tǒng)計值，以此類推，當(dāng)當(dāng)前事件發(fā)生后，將當(dāng)前事件對應(yīng)的預(yù)測值作為分子，將表中所有整數(shù)值之和作為分母，求得的'值即為當(dāng)前事件發(fā)生的概率。在上述技術(shù)方案的基礎(chǔ)上，步驟102可以包括步驟303、當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，從關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則，該分類匹配規(guī)則包括匹配規(guī)則描述符、待歸入的安全事件類別、事件i兌明和響應(yīng)方式；步驟304、根據(jù)分類匹配規(guī)則對當(dāng)前事件進行規(guī)則匹配。當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)闊值時，將當(dāng)前事件與關(guān)聯(lián)規(guī)則庫中的分類匹配失見則逐一進行匹配，該匹配過程也可以為分布式的并行處理過程。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，并劃分到相關(guān)的類別中，否則，將當(dāng)前事件確認(rèn)為未知安全事件。進一步地，在上述技術(shù)方案的基礎(chǔ)上，在步驟105之后，還可以包括步驟305、根據(jù)未知安全事件的屬性，利用聚類方法，對未知安全事件進行分類處理；步驟306、確定分類處理后的未知安全事件的類別。根據(jù)未知安全事件的屬性，利用聚類方法，將數(shù)個被確定為未知安全事件的事件進行分類處理。分析分類處理后的各個未知安全事件的屬性，以確定各類未知安全事件的類別，此時的類別可以為已知安全事件的類別，也可以為新的安全事件類別。更進一步地，在上述步驟306之后，還可以包括步驟307、根據(jù)分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；步驟308、將該新的分類匹配規(guī)則添加到關(guān)聯(lián)MJH庫。當(dāng)確定的類別為新的安全事件類別時，根據(jù)未知安全事件的類別，生成新的分類匹配規(guī)則，并將該新的分類匹配規(guī)則添加到關(guān)聯(lián)規(guī)則庫，以備后續(xù)事件的安全檢測。本發(fā)明實施例通過提供一種安全事件檢測方法，利用PPM算法獲取事件發(fā)生的概率，僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，并且可以不依賴于預(yù)先定義的關(guān)聯(lián)規(guī)則庫而檢測出未知安全事件，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。圖4為本發(fā)明安全事件檢測方法具體實施例的流程圖。如圖4所示，本發(fā)明實施例提供了一種具體的安全事件檢測方法，包括步驟401、讀取當(dāng)前事件的屬性值；步驟402、根據(jù)公式<量化值>=量化函數(shù)(<事件屬性1>，〈事件屬性2>，...)對當(dāng)前事件進行量化；步驟403、根據(jù)公式R《事件Nl的預(yù)測值>/<全部事件的預(yù)測值〉，獲取事件N1發(fā)生的概率R;步驟404、事件Nl的預(yù)測值累加，即<事件Nl的預(yù)測值〉=<事件Nl的預(yù)測值〉+l;步驟405、判斷概率R是否大于預(yù)設(shè)閾值，若是，則執(zhí)行步驟406，否貝'J，4丸行步驟407;步驟406、確定該事件為普通事件，然后執(zhí)行步驟401;步驟407、確定該事件為安全事件；步驟408、讀^^又該安全事件的量化值；步驟409、還原該安全事件的屬性；步驟410、從關(guān)聯(lián)規(guī)則庫中獲取一條分類匹配規(guī)則；步驟411、根據(jù)該分類匹配^見則對當(dāng)前事件進行規(guī)則匹配，若匹配成功，則執(zhí)行步驟412，否則，執(zhí)行步驟413;步驟412、確定當(dāng)前事件為已知安全事件，將該當(dāng)前事件輸出到相應(yīng)的響應(yīng)處理部件；步驟413、判斷是否已從關(guān)聯(lián)規(guī)則庫中獲取完所有的分類匹配規(guī)則，若是，則執(zhí)行步驟414,否則，執(zhí)行步驟410;步驟414、確定當(dāng)前事件為未知安全事件，對當(dāng)前事件進行告警，并進行后續(xù)聚類等操作。本發(fā)明實施例通過提供一種安全事件檢測方法，僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。圖5為本發(fā)明安全事件檢測裝置第一實施例的結(jié)構(gòu)示意圖。如圖5所示，本發(fā)明實施例提供了一種安全事件檢測裝置，包括獲取模塊51和匹配模塊52。其中，獲^^莫塊51用于獲取當(dāng)前事件發(fā)生的概率；匹配模塊52用于當(dāng)獲取模塊51獲取的當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對當(dāng)前事件進行規(guī)則匹配；若匹配成功，則確定當(dāng)前事件為已知安全事件，否則，確定當(dāng)前事件為未知安全事件。在本發(fā)明實施例中，當(dāng)檢測某當(dāng)前事件是否為安全事件時，首先獲取模塊51獲取該當(dāng)前事件發(fā)生的概率，根據(jù)當(dāng)前事件發(fā)生的概率，進行安全事件篩選，當(dāng)該概率小于預(yù)設(shè)閾值時，即當(dāng)前事件為小概率事件，則匹配模塊52根據(jù)已建立的關(guān)聯(lián)規(guī)則庫對當(dāng)前事件進行規(guī)則匹配。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，否則，將當(dāng)前事件確認(rèn)為未知安全事件。后續(xù)可根據(jù)已知安全事件的屬性，對該已知安全事件做相應(yīng)的響應(yīng)。并可以對未知安全事件做進一步操作。可以通過調(diào)整預(yù)設(shè)閾值的大小來改變安全事件篩選的敏感度，從而影響整個安全事件檢測方法的誤報率和漏報率。本實施例中的安全事件包括異常流量或惡意攻擊等事件。本發(fā)明實施例通過提供一種安全事件才企測裝置，匹配模塊52僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。圖6為本發(fā)明安全事件檢測裝置第二實施例的結(jié)構(gòu)示意圖。如圖6所示，在上述裝置第一實施例的基礎(chǔ)上，獲取模塊51可以包括量化單元61和第一獲:f又單元62。其中，量化單元61用于才艮據(jù)當(dāng)前事件的屬性，對當(dāng)前事件進行量化，獲取當(dāng)前事件的量化值；第一獲取單元62用于根據(jù)量化單元61獲取的當(dāng)前事件的量化值，利用部分匹配預(yù)測算法，獲取當(dāng)前事件的概率。在本發(fā)明實施例中，首先量化單元61才艮據(jù)當(dāng)前事件的屬性，如當(dāng)前事件的IP地址、日志文件或出錯代碼等，對當(dāng)前事件進行量化，即把當(dāng)前事件通過抽樣、量化的手段，轉(zhuǎn)化為一定取值范圍之內(nèi)的二進制整數(shù)(標(biāo)準(zhǔn)量化數(shù)據(jù))，如0至255之間的整數(shù)?？梢葬娪靡韵耝〉式進行量化<量化值>=量化函數(shù)(<事件屬性1>，〈事件屬性2>，...)。然后，第一獲取單元62根據(jù)量化單元61獲得的量化值，利用PPM算法，獲取當(dāng)前事件發(fā)生的概率。在上述技術(shù)方案的基礎(chǔ)上，匹配模塊52可以包括第二獲取單元63和匹配單元64。其中，第二獲取單元63用于從關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則，該分類匹配規(guī)則包括匹配規(guī)則描述符、待歸入的安全事件類別、事件說明和響應(yīng)方式；匹配單元64用于根據(jù)第二獲取單元63獲取的分類匹配規(guī)則對當(dāng)前事件進4亍失見則匹配。當(dāng)當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，匹配單元64將當(dāng)前事件與關(guān)聯(lián)規(guī)則庫中的分類匹配規(guī)則逐一進行匹配，該匹配過程也可以為分布式的并行處理過程。若匹配成功，則將當(dāng)前事件確認(rèn)為已知安全事件，并劃分到相關(guān)的類別中，否則，將當(dāng)前事件確認(rèn)為未知安全事件。進一步地，在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明實施例提供的安全事件檢測裝置，還可以包括分類模塊65和確定模塊66。其中，分類模塊65用于根據(jù)未知安全事件的屬性，利用聚類方法，對未知安全事件進行分類處理；確定模塊66用于確定分類模塊65分類處理后的未知安全事件的類別。分類模塊65根據(jù)未知安全事件的屬性，利用聚類方法，將數(shù)個被確定為未知安全事件的事件進行分類處理。確定模塊66分析分類處理后的各個未知安全事件的屬性，以確定各類未知安全事件的類別，此時的類別可以為已知安全事件的類別，也可以為新的安全事件類別。更進一步地，本發(fā)明實施例提供的安全事件檢測裝置，還可以包括生成模塊67和添加模塊68。其中，生成模塊67用于根據(jù)分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；添加模塊68用于將生成模塊67生成的新的分類匹配失見則添加到關(guān)聯(lián)3見則庫。當(dāng)確定模塊66確定的類別為新的安全事件類別時，生成模塊67根據(jù)分類處理后的未知安全事件的類別，生成新的分類匹配MJ'j,添加^^莫塊68將該新的分類匹配規(guī)則添加到關(guān)聯(lián)規(guī)則庫，以備后續(xù)事件的安全檢測。本發(fā)明實施例通過提供一種安全事件檢測裝置，第一獲取單元62利用PPM算法獲取事件發(fā)生的概率，匹配單元64僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，并且可以不依賴于預(yù)先定義的關(guān)聯(lián)規(guī)則庫而檢測出未知安全事件，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的硬件平臺的方式來實現(xiàn)，當(dāng)然也可以全部通過硬件來實施，但很多情況下前者是更佳的實施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案對
背景技術(shù)：
做出貢獻的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中，如ROM/RAM、；茲碟、光盤等，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進行限制，盡管參照較佳實施例對本發(fā)明進行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對本發(fā)明的技術(shù)方案進行修改或者等同替換，而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的砵青神和范圍。權(quán)利要求1、一種安全事件檢測方法，其特征在于，包括獲取當(dāng)前事件發(fā)生的概率；當(dāng)所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對所述當(dāng)前事件進行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。2、根據(jù)權(quán)利要1所述的安全事件檢測方法，其特征在于，所述獲取當(dāng)前事件發(fā)生的概率包括根據(jù)當(dāng)前事件的屬性，對所述當(dāng)前事件進行量化，獲取所述當(dāng)前事件的量化值；根據(jù)所述當(dāng)前事件的量化值，利用部分匹配預(yù)測算法，獲取所述當(dāng)前事件發(fā)生的^L率。3、根據(jù)權(quán)利要求1或2所述的安全事件檢測方法，其特征在于，所述根據(jù)關(guān)聯(lián)規(guī)則庫對所述當(dāng)前事件進行規(guī)則匹配包括從所述關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則；根據(jù)所述分類匹配少見則對所述當(dāng)前事件進行#見則匹配。4、根據(jù)權(quán)利要求1或2所述的安全事件檢測方法，其特征在于，在所述確定所述當(dāng)前事件為未知安全事件之后，還包括根據(jù)所述未知安全事件的屬性，利用聚類方法，對所述未知安全事件進行分類處理；確定分類處理后的未知安全事件的類別。5、根據(jù)權(quán)利要求4所述的安全事件檢測方法，其特征在于，在所述確定分類處理后的未知安全事件的類別之后，還包括根據(jù)所述分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；將所述新的分類匹配規(guī)則添加到所述關(guān)聯(lián)規(guī)則庫。6、一種安全事件檢測裝置，其特征在于，包括獲取模塊，用于獲取當(dāng)前事件發(fā)生的概率；匹配模塊，用于當(dāng)所述獲取模塊獲取的所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對所述當(dāng)前事件進行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。'7、根據(jù)權(quán)利要6所述的安全事件檢測裝置，其特征在于，所述獲取模塊包括量化單元，用于根據(jù)當(dāng)前事件的屬性，對所述當(dāng)前事件進行量化，獲取所述當(dāng)前事件的量化值；第一獲取單元，用于根據(jù)所述量化單元獲:f又的所述當(dāng)前事件的量化值，利用部分匹配預(yù)測算法，獲耳又所述當(dāng)前事件的概率。8、根據(jù)權(quán)利要6或7所述的安全事件檢測裝置，其特征在于，所述匹配模塊包括第二獲取單元，用于從所述關(guān)聯(lián)規(guī)則庫中獲取分類匹配規(guī)則；匹配單元，用于根據(jù)所述第二獲取單元獲取的所述分類匹配規(guī)則對所述當(dāng)前事件進行規(guī)則匹配。9、根據(jù)權(quán)利要6或7所述的安全事件檢測裝置，其特征在于，還包括分類模塊，用于根據(jù)所述未知安全事件的屬性，利用聚類方法，對所述未知安全事件進行分類處理；確定模塊，用于確定所述分類模塊分類處理后的未知安全事件的類別。10、根據(jù)權(quán)利要9所述的安全事件檢測裝置，其特征在于，還包括生成模塊，用于根據(jù)所述分類處理后的未知安全事件的類別，生成新的分類匹配規(guī)則；添加模塊，用于將所述生成模塊生成的所述新的分類匹配規(guī)則添加到所述關(guān)聯(lián)規(guī)則庫。全文摘要本發(fā)明實施例公開了一種安全事件檢測方法及裝置。該方法包括獲取當(dāng)前事件發(fā)生的概率；當(dāng)所述當(dāng)前事件發(fā)生的概率小于預(yù)設(shè)閾值時，根據(jù)關(guān)聯(lián)規(guī)則庫對所述當(dāng)前事件進行規(guī)則匹配；若匹配成功，則確定所述當(dāng)前事件為已知安全事件，否則，確定所述當(dāng)前事件為未知安全事件。該裝置包括獲取模塊和匹配模塊。本發(fā)明實施例通過僅對概率小于預(yù)設(shè)閾值的事件進行規(guī)則匹配，降低了運算量，從而保證了安全事件檢測的實時性，并提高了檢測效率。文檔編號H04L29/06GK101668012SQ200910093960公開日2010年3月10日申請日期2009年9月23日優(yōu)先權(quán)日2009年9月23日發(fā)明者朱洪亮,飛王,覃健誠申請人:成都市華為賽門鐵克科技有限公司