CN101399658A - 一种安全日志分析方法及系统 - Google Patents
一种安全日志分析方法及系统 Download PDFInfo
- Publication number
- CN101399658A CN101399658A CNA2007101222324A CN200710122232A CN101399658A CN 101399658 A CN101399658 A CN 101399658A CN A2007101222324 A CNA2007101222324 A CN A2007101222324A CN 200710122232 A CN200710122232 A CN 200710122232A CN 101399658 A CN101399658 A CN 101399658A
- Authority
- CN
- China
- Prior art keywords
- daily record
- cluster
- logs
- attribute
- class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全日志分析方法及系统,实现了从海量日志中过滤无效日志和误报日志,发现大规模网络安全事件,以及经常出现的攻击序列。所述方法包括:利用面向属性归纳算法,对海量日志进行聚类分析,生成聚类后每类日志的类描述;管理员根据聚类后的类描述设置过滤规则,从当前日志库中去除不相关日志和误报的日志,对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征;对精简后的日志进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并最终提交给管理员。所述系统包括聚类分析模块、过滤模块和序列模式挖掘模块。本发明适用于对安全产品的海量日志信息处理。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种安全日志分析方法及系统。
背景技术
Internet的飞速发展,为信息的传播和利用带来了极大的方便,同时也使人类社会面临着信息安全的巨大挑战。为了缓解日益严重的安全问题,防火墙、入侵检测系统、安全审计系统等安全产品得到了越来越广泛的部署。但是安全设备的大量引入也带来了新的问题,概况起来主要体现在以下两个方面:
1.连续运行的安全设备会产生海量的日志,加上安全产品自身的缺陷,相当一部分报警是误报信息,而真正有价值的报警信息被淹没在海量日志中。由于报警量大、不相关报警多,安全管理人员的大部分精力被耗费在处理无用信息上,很难了解系统的安全威胁状况。
2.现有的安全产品大都是基于单个数据包进行检测的,体现在表现形式上,安全产品的报警信息为孤立的入侵事件。这样当出现大规模网络异常行为时,很难从报警信息中直观获取异常行为的特点;对于一次蓄意的入侵过程,难以获取前后两个攻击行为之间的关联关系。
经对现有技术的文献检索发现,论文“A data mining analysis of RTID alarms”于2000年发表于“Computer Networks”第34卷第4期,页码为571~577,作者为Stefanos Manganaris,Marvin Christensen,Dan Zerkle等,该论文提出了利用数据挖掘算法提取日志规约规则的方法,其核心思想是:对汇总的入侵检测系统(IDS)日志进行序列模式挖掘,发现经常出现的序列模式。由于大部分的日志都是管理员不感兴趣的日志,因而这些挖掘出来的序列规则代表了IDS的误报,可以直接进行过滤。此方法能够过滤掉大量反复出现的误报日志,但对于Internet蠕虫、DDoS(Distributed Denial of service,分布式拒绝服务)攻击等大规模网络安全事件,由于这些事件的日志也符合反复出现的特点,将会被过滤而不能正常报警。
中国专利公开号CN1492336A,专利名“基于数据仓库的信息安全审计方法”,提出了一种采用Syslog标准协议及基于正则表达式的方法实施收集日志信息,在数据仓库的基础上采用数据挖掘方法以及关联分析的方法进行数据挖掘,发现网络中存在的安全漏洞和问题的方法。该方法直接在收集到的日志上进行数据挖掘,如果日志信息中包含大量的无效日志和误报日志,挖掘出的关联规则将毫无意义,难以取得预期效果。
发明内容
本发明的目的在于针对现有发明的不足,提出了一种安全日志分析方法及系统,使得能够降低海量日志中无效日志和误报日志的干扰,发现大规模网络安全事件,以及经常出现的攻击序列。
本发明是通过以下技术方案实现的:一种安全日志分析方法,利用数据挖掘技术对海量日志进行分析和处理,该方法包括以下步骤:
A.利用AOI(Attribute Oriented Induction,面向属性归纳)算法(见KlausJulisch,Marc Dacier.Mining intrusion detection alarms for actionable knowledge.InProceedings of the eighth ACM SIGKDD international conference on Knowledgediscovery and data mining table of contents,pp.366-375,Canada,2002.),根据选定的归纳属性,对海量日志进行聚类分析,生成聚类后每类日志的类描述;
B.管理员根据聚类后的类描述设置过滤规则,从当前日志库中去除不相关日志和误报的日志;对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征;
C.对精简后的日志进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并最终提交给管理员。
优选的是,所述步骤A中用于归纳的属性包括但不局限于:事件源地址,目的地址,事件发生时间,事件类型。
优选的是,所述步骤B包括:
B1.将聚类后的日志分为三种类型:大规模网络安全事件;需进一步处理的事件;无效事件和误报事件;
B2.根据无效事件和误报事件的类描述生成SQL(结构化查询语言)语句;将该类日志从日志数据库中删除。
优选的是,所述步骤C包括:
C1.根据源IP地址、目的IP地址、时间窗约束,对安全日志进行序列划分;
C2.对划分后的日志序列进行序列模式挖掘,找出满足置信度和支持度要求的事件序列模式。
一种安全日志分析系统,包括:
利用面向属性归纳算法,对海量日志进行聚类分析,生成聚类后每类日志的类描述的聚类分析模块;
接收聚类后的类描述,对聚类结果进行分类,根据类描述生成SQL语句,从当前日志库中去除不相关日志和误报的日志,对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征的过滤模块;
对过滤模块接精简后的日志进行首先进行序列划分,然后进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并通过人机界面提交给管理员的序列模式挖掘模块。
本发明的有益效果是:
1.通过面向属性归纳的聚类分析,将具备相似性的日志归为一类,能够有效地发现网络中存在的大规模网络安全事件,实现对Internet蠕虫、DDoS攻击事件的检测。
2.通过对无效日志和误报日志提取过滤规则,将该类日志从日志数据库中删除,可以降低管理员进行日志处理的工作量,从而将注意力集中在真正有价值的报警信息中。
3.通过对日志数据库进行先过滤,再序列模式挖掘的处理,可以避免无效日志和误报日志对序列模式挖掘的干扰,从而使得挖掘出的序列模式规则更真实、更有意义。
附图说明
图1为日志分析系统结构图;
图2为AOI层次聚类流程图。
为了进一步说明本发明的原理及特性,以下结合附图和实例进行详细的说明。
具体实施方式
实施例一:
本实施例为日志分析系统工作流程,如图1所示,包括以下步骤:
1.分布在各个被保护网络的IDS探测器将观测到的入侵事件上报到统一的日志服务器,完成日志的汇总,并按照设定的聚类阈值要求,以及设定的属性划分对日志进行预处理。
2.AOI层次聚类模块按照管理员指定的属性划分,对汇总的日志进行聚类分析,导出聚类规则。产生聚类规则分为三类:对大规模网络安全事件(如DD0S)的描述,管理员可采取相应措施处理;对经常发生的、但管理员认为不重要的无效事件、误报事件,可设置为过滤规则;管理员认为需要进一步处理的事件描述,可不进行处理。
3.依据聚类产生的类描述,以过滤规则对IDS日志库进行清理,去除管理员不感兴趣的日志,避免此类日志对后续分析造成干扰。
4.对精简后的日志进行序列模式挖掘,找出那些经常出现、前后相关的报警事件序列。这些序列可能是攻击者经常采用的攻击序列,也可能是Internet蠕虫、僵尸网络传播的感染流程。
5.将产生的聚类描述和序列模式描述通过人机界面进行展示,使得管理员对网络安全状况有直观的了解,并采取适当防范措施。
实施例二:
本实施例为AOI层次聚类模块处理流程,如图2所示,包括以下步骤:
步骤201:设置聚类阈值和属性划分。聚类阈值是指一个簇中包含的日志数量达到什么条件时可以被作为一个整体来处理,属性划分是指参与聚类的日志属性上的层次关系。
步骤202:判断未聚类日志数量是否低于聚类阈值,是则结束聚类过程,否则转步骤203。
步骤203:从参与聚类的属性中,选取待归纳的属性。
步骤204:对于选定的属性,将日志数据库中的日志在该属性上的值,用其属性划分中的上层属性值表示。
步骤205:将属性值替换后各个属性值均相同的日志归为一个簇,计算各个簇中日志的数量。
步骤206:判断各个簇中的日志数量是否超过了聚类阈值,是则转步骤207,否则转步骤203。
步骤207:将超过聚类阈值的簇中的日志标记为已聚类,转步骤202。实施例三:
本实施例为日志分析系统的一次具体处理流程。
本实施例中,采用了一台网络入侵检测系统在一个真实网络环境中连续运行一个月产生的日志,共计82383条。处理过程包括以下步骤:
1.设置聚类的阈值为总日志量的5%,即当聚类得到的一个簇中所包含的日志数量超过总日志量的5%时,将停止对该簇的进一步归纳。
设置各个属性的划分:源地址与目的地址的划分相同,均为IP地址划分。将IP地址划分为内网(Internal)和外网(External)两部分,内网为192.168.2.0网段的地址,外网为除内网地址外的其它地址。将事件按协议划分为不同类型。将时间划分为工作日(WorkDay)和周末(Weekend),工作日包含周一至周五,周末包含周六和周日。每个属性划分的根(即表示任意值)用任意(Any)表示。
对选定日志进行聚类的结果如下的表1:
表1
2.对聚类结果进行分类,将其分为三类:
第一类:大规模安全事件,包括簇ID为3的事件,即主机192.168.2.3对局域网的一个共享口令穷举探测,属于扫描事件。管理员可对该类事件进行统一处理。
第二类:误报事件和无效事件,包括簇ID为1和2的事件。经调查发现,主机192.168.2.4上运行着一个业务软件,会周期访问位于地址192.168.2.13和192.168.2.11的两台服务器,而访问时管理员分配的口令强度较弱。为了解决该问题,管理员可以更改口令,或者当管理员认为该事件不重要时,可以不处理这部分日志,这样就大大降低了日志分析的工作强度。
第三类:需进一步处理的事件,包括簇ID为4的事件,以及聚类后剩余的事件。
3.根据聚类结果制定过滤规则,设置过滤条件为:
将日志库中源IP为192.168.2.4,目的IP为192.168.2.13,事件类型为TDS_MS-SQL_口令弱,事件时间为Workday的事件删除;
将日志库中源IP为192.168.2.4,目的IP为192.168.2.11,事件类型为TDS_MS-SQL_口令弱,事件时间为任意时间的事件删除。
4.在进行日志过滤的基础上,设置序列模式挖掘的最大时间间隔为120s,支持率为10%,置信度为50%,序列模式挖掘结果如下表2:
表2
序列1描述了中一种常见的攻击模式,即先通过扫描进行漏洞发现,然后针对漏洞发起溢出攻击。序列2描述了一种常见的探测方法,通过ICMP Ping事件和访问UDP端口0,根据返回结果判断目标主机运行状态。序列3描述了利用路由器缺省口令的登录攻击,序列4则是针对FTP服务的口令探测攻击。
5.将产生的聚类描述和序列模式描述通过人机界面进行展示,使得管理员对网络安全状况有直观的了解,并采取适当防范措施。
Claims (5)
1.一种安全日志分析方法,利用数据挖掘技术对海量日志进行分析和处理,其特征在于,该方法包括以下步骤:
A.利用AOI(Attribute Oriented Induction,面向属性归纳)算法,根据选定的归纳属性,对海量日志进行聚类分析,生成聚类后每类日志的类描述;
B.管理员根据聚类后的类描述设置过滤规则,从当前日志库中去除不相关日志和误报的日志,对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征;
C.对精简后的日志进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并最终提交给管理员。
2.根据权利要求1所述的一种安全日志分析方法,其特征在于,所述步骤A中用于归纳的属性包括但不局限于:事件源地址,目的地址,事件发生时间,事件类型。
3.根据权利要求1所述的一种安全日志分析方法,其特征在于,所述步骤B包括:
B1.将聚类后的日志分为三种类型:大规模网络安全事件;需进一步处理的事件;无效事件和误报事件;
B2.根据无效事件和误报事件的类描述生成SQL语句;将该类日志从日志数据库中删除。
4.根据权利要求1所述的一种安全日志分析方法,其特征在于,所述步骤C包括:
C1.根据源IP地址、目的IP地址、时间窗约束,对安全日志进行序列划分;
C2.对划分后的日志序列进行序列模式挖掘,找出满足置信度和支持度要求的事件序列模式。
5.一种安全日志分析系统,其特征在于:包括聚类分析模块、过滤模块、序列模式挖掘模块;
利用面向属性归纳算法,对海量日志进行聚类分析,生成聚类后每类日志的类描述的聚类分析模块;
接收聚类后的类描述,对聚类结果进行分类,根据类描述生成SQL语句,从当前日志库中去除不相关日志和误报的日志,对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征的过滤模块;
对过滤模块接精简后的日志进行首先进行序列划分,然后进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并通过人机界面提交给管理员的序列模式挖掘模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101222324A CN101399658B (zh) | 2007-09-24 | 2007-09-24 | 一种安全日志分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101222324A CN101399658B (zh) | 2007-09-24 | 2007-09-24 | 一种安全日志分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101399658A true CN101399658A (zh) | 2009-04-01 |
| CN101399658B CN101399658B (zh) | 2011-05-11 |
Family
ID=40517941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101222324A Expired - Fee Related CN101399658B (zh) | 2007-09-24 | 2007-09-24 | 一种安全日志分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101399658B (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101888309A (zh) * | 2010-06-30 | 2010-11-17 | 中国科学院计算技术研究所 | 在线日志分析方法 |
| CN102404323A (zh) * | 2011-11-18 | 2012-04-04 | 深圳中兴网信科技有限公司 | 一种网络攻击ip自动拒绝方法 |
| WO2013111027A1 (en) * | 2012-01-24 | 2013-08-01 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
| CN103581180A (zh) * | 2013-10-28 | 2014-02-12 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| CN103812679A (zh) * | 2012-11-12 | 2014-05-21 | 深圳中兴网信科技有限公司 | 一种海量日志统计分析系统和方法 |
| CN104268464A (zh) * | 2014-09-30 | 2015-01-07 | 珠海市君天电子科技有限公司 | 推广软件的推广规则和推广软件的确定方法、服务器及通信终端 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN105279176A (zh) * | 2014-06-30 | 2016-01-27 | 江苏韦度一号信息科技有限公司 | 一种办公系统的数据挖掘方法 |
| CN105471846A (zh) * | 2015-11-16 | 2016-04-06 | 网神信息技术(北京)股份有限公司 | 事件的检测方法及装置 |
| CN105653427A (zh) * | 2016-03-04 | 2016-06-08 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105760769A (zh) * | 2016-03-14 | 2016-07-13 | 寇陶陶 | 一种计算机口令统计分析方法及装置 |
| CN106130762A (zh) * | 2016-06-23 | 2016-11-16 | 昆山九华电子设备厂 | 一种基于有穷自动机的网络训练综合分析方法 |
| CN106130806A (zh) * | 2016-08-30 | 2016-11-16 | 四川新环佳科技发展有限公司 | 数据层实时监控方法 |
| CN103886250B (zh) * | 2012-12-19 | 2016-11-23 | 中国移动通信集团甘肃有限公司 | 面向业务支撑系统的数据处理方法、装置、控制器和系统 |
| CN106294092A (zh) * | 2016-08-17 | 2017-01-04 | Tcl移动通信科技(宁波)有限公司 | 一种基于本体知识库的半自动日志分析方法及系统 |
| CN104252406B (zh) * | 2013-06-28 | 2017-04-05 | 华为技术有限公司 | 数据处理的方法及装置 |
| CN106878093A (zh) * | 2017-03-31 | 2017-06-20 | 努比亚技术有限公司 | 一种无响应日志解析方法及终端 |
| CN107368516A (zh) * | 2017-05-25 | 2017-11-21 | 全球能源互联网研究院 | 一种基于层次聚类的日志审计方法及装置 |
| CN107423411A (zh) * | 2017-07-28 | 2017-12-01 | 郑州云海信息技术有限公司 | 日志显示方法和装置 |
| CN107493275A (zh) * | 2017-08-08 | 2017-12-19 | 北京盛华安信息技术有限公司 | 异构网络安全日志信息的自适应提取和分析方法及系统 |
| CN107666490A (zh) * | 2017-10-18 | 2018-02-06 | 中国联合网络通信集团有限公司 | 一种可疑域名检测方法及装置 |
| CN108985053A (zh) * | 2018-06-27 | 2018-12-11 | 北京奇安信科技有限公司 | 分布式数据处理方法及装置 |
| CN109413021A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种ips误报的检测方法和装置 |
| CN109634818A (zh) * | 2018-10-24 | 2019-04-16 | 中国平安人寿保险股份有限公司 | 日志分析方法、系统、终端及计算机可读存储介质 |
| CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
| CN111163053A (zh) * | 2019-11-29 | 2020-05-15 | 深圳市任子行科技开发有限公司 | 一种恶意url检测方法及系统 |
| CN113497791A (zh) * | 2020-04-01 | 2021-10-12 | 中移动信息技术有限公司 | 一种僵尸网络识别的方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1223941C (zh) * | 2003-06-18 | 2005-10-19 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
| CN1252555C (zh) * | 2003-12-19 | 2006-04-19 | 华中科技大学 | 基于分布式数据挖掘的协同入侵检测系统 |
| CN100362803C (zh) * | 2004-10-15 | 2008-01-16 | 华中科技大学 | 基于聚类与关联的网络安全报警系统 |
| CN100518089C (zh) * | 2006-07-19 | 2009-07-22 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
-
2007
- 2007-09-24 CN CN2007101222324A patent/CN101399658B/zh not_active Expired - Fee Related
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841533B (zh) * | 2010-03-19 | 2014-04-09 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101888309A (zh) * | 2010-06-30 | 2010-11-17 | 中国科学院计算技术研究所 | 在线日志分析方法 |
| CN101888309B (zh) * | 2010-06-30 | 2012-07-04 | 中国科学院计算技术研究所 | 在线日志分析方法 |
| CN102404323A (zh) * | 2011-11-18 | 2012-04-04 | 深圳中兴网信科技有限公司 | 一种网络攻击ip自动拒绝方法 |
| GB2515663A (en) * | 2012-01-24 | 2014-12-31 | Ibm | Dynamically scanning a web application through use of web traffic information |
| GB2515663B (en) * | 2012-01-24 | 2017-08-30 | Ibm | Dynamically scanning a web application through use of web traffic information |
| US9208309B2 (en) | 2012-01-24 | 2015-12-08 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
| US9213832B2 (en) | 2012-01-24 | 2015-12-15 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
| WO2013111027A1 (en) * | 2012-01-24 | 2013-08-01 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
| CN103812679A (zh) * | 2012-11-12 | 2014-05-21 | 深圳中兴网信科技有限公司 | 一种海量日志统计分析系统和方法 |
| CN103812679B (zh) * | 2012-11-12 | 2018-01-30 | 深圳中兴网信科技有限公司 | 一种海量日志统计分析系统和方法 |
| CN103886250B (zh) * | 2012-12-19 | 2016-11-23 | 中国移动通信集团甘肃有限公司 | 面向业务支撑系统的数据处理方法、装置、控制器和系统 |
| CN104252406B (zh) * | 2013-06-28 | 2017-04-05 | 华为技术有限公司 | 数据处理的方法及装置 |
| CN103581180A (zh) * | 2013-10-28 | 2014-02-12 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| CN103581180B (zh) * | 2013-10-28 | 2017-01-11 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| CN105279176A (zh) * | 2014-06-30 | 2016-01-27 | 江苏韦度一号信息科技有限公司 | 一种办公系统的数据挖掘方法 |
| CN104268464B (zh) * | 2014-09-30 | 2017-02-15 | 珠海市君天电子科技有限公司 | 推广软件的推广规则和推广软件的确定方法、服务器及通信终端 |
| CN104268464A (zh) * | 2014-09-30 | 2015-01-07 | 珠海市君天电子科技有限公司 | 推广软件的推广规则和推广软件的确定方法、服务器及通信终端 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| CN105471846A (zh) * | 2015-11-16 | 2016-04-06 | 网神信息技术(北京)股份有限公司 | 事件的检测方法及装置 |
| CN105653427A (zh) * | 2016-03-04 | 2016-06-08 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105653427B (zh) * | 2016-03-04 | 2019-02-22 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105760769A (zh) * | 2016-03-14 | 2016-07-13 | 寇陶陶 | 一种计算机口令统计分析方法及装置 |
| CN105760769B (zh) * | 2016-03-14 | 2018-08-21 | 寇陶陶 | 一种计算机口令统计分析方法及装置 |
| CN106130762A (zh) * | 2016-06-23 | 2016-11-16 | 昆山九华电子设备厂 | 一种基于有穷自动机的网络训练综合分析方法 |
| CN106294092A (zh) * | 2016-08-17 | 2017-01-04 | Tcl移动通信科技(宁波)有限公司 | 一种基于本体知识库的半自动日志分析方法及系统 |
| CN106294092B (zh) * | 2016-08-17 | 2020-06-09 | Tcl移动通信科技(宁波)有限公司 | 一种基于本体知识库的半自动日志分析方法及系统 |
| CN106130806A (zh) * | 2016-08-30 | 2016-11-16 | 四川新环佳科技发展有限公司 | 数据层实时监控方法 |
| CN106130806B (zh) * | 2016-08-30 | 2020-05-22 | 上海华通铂银交易市场有限公司 | 数据层实时监控方法 |
| CN106878093A (zh) * | 2017-03-31 | 2017-06-20 | 努比亚技术有限公司 | 一种无响应日志解析方法及终端 |
| CN107368516A (zh) * | 2017-05-25 | 2017-11-21 | 全球能源互联网研究院 | 一种基于层次聚类的日志审计方法及装置 |
| CN107423411A (zh) * | 2017-07-28 | 2017-12-01 | 郑州云海信息技术有限公司 | 日志显示方法和装置 |
| CN107493275A (zh) * | 2017-08-08 | 2017-12-19 | 北京盛华安信息技术有限公司 | 异构网络安全日志信息的自适应提取和分析方法及系统 |
| CN107666490A (zh) * | 2017-10-18 | 2018-02-06 | 中国联合网络通信集团有限公司 | 一种可疑域名检测方法及装置 |
| CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
| CN109413021A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种ips误报的检测方法和装置 |
| CN109413021B (zh) * | 2018-04-28 | 2021-04-09 | 武汉思普崚技术有限公司 | 一种ips误报的检测方法和装置 |
| CN108985053A (zh) * | 2018-06-27 | 2018-12-11 | 北京奇安信科技有限公司 | 分布式数据处理方法及装置 |
| CN108985053B (zh) * | 2018-06-27 | 2020-10-02 | 奇安信科技集团股份有限公司 | 分布式数据处理方法及装置 |
| CN109634818A (zh) * | 2018-10-24 | 2019-04-16 | 中国平安人寿保险股份有限公司 | 日志分析方法、系统、终端及计算机可读存储介质 |
| CN111163053A (zh) * | 2019-11-29 | 2020-05-15 | 深圳市任子行科技开发有限公司 | 一种恶意url检测方法及系统 |
| CN111163053B (zh) * | 2019-11-29 | 2022-05-03 | 深圳市任子行科技开发有限公司 | 一种恶意url检测方法及系统 |
| CN113497791A (zh) * | 2020-04-01 | 2021-10-12 | 中移动信息技术有限公司 | 一种僵尸网络识别的方法、装置、设备及存储介质 |
| CN113497791B (zh) * | 2020-04-01 | 2023-11-07 | 中移动信息技术有限公司 | 一种僵尸网络识别的方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101399658B (zh) | 2011-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399658B (zh) | 一种安全日志分析方法及系统 | |
| Wang et al. | A graph based approach toward network forensics analysis | |
| CN100384153C (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| Yang et al. | CARDS: A distributed system for detecting coordinated attacks | |
| CN104539626A (zh) | 一种基于多源报警日志的网络攻击场景生成方法 | |
| CN103368979A (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN100359495C (zh) | 基于数据仓库的信息安全审计方法 | |
| CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
| CN102111420A (zh) | 基于动态云火墙联动的智能nips架构 | |
| Ertoz et al. | Detection of novel network attacks using data mining | |
| CN114189367A (zh) | 一种基于知识图谱的安全日志分析系统 | |
| CN112804204B (zh) | 一种基于大数据分析的智能网络安全系统 | |
| Tellenbach | Detection, classification and visualization of anomalies using generalized entropy metrics | |
| Wei-wei et al. | Prediction model of network security situation based on regression analysis | |
| CN111478912A (zh) | 一种区块链入侵检测系统及方法 | |
| CN110912753A (zh) | 一种基于机器学习的云安全事件实时检测系统及方法 | |
| Wasniowski | Multi-sensor agent-based intrusion detection system | |
| Dhangar et al. | Analysis of proposed intrusion detection system | |
| CN106878338B (zh) | 远动设备网关防火墙一体机系统 | |
| Sun et al. | Intelligent log analysis system for massive and multi-source security logs: MMSLAS design and implementation plan | |
| Al-Mamory et al. | New data mining technique to enhance IDS alarms quality | |
| Kong et al. | Research on situation analysis technology of network security incidents | |
| Li | Research and Design of Network Intrusion Detection System | |
| Wu et al. | Meta-analysis of network information security and Web data mining techniques | |
| Grégio et al. | Evaluation of data mining techniques for suspicious network activity classification using honeypots data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 Termination date: 20130924 |