CN103281341A - 网络事件处理方法及装置 - Google Patents
网络事件处理方法及装置 Download PDFInfo
- Publication number
- CN103281341A CN103281341A CN2013102628078A CN201310262807A CN103281341A CN 103281341 A CN103281341 A CN 103281341A CN 2013102628078 A CN2013102628078 A CN 2013102628078A CN 201310262807 A CN201310262807 A CN 201310262807A CN 103281341 A CN103281341 A CN 103281341A
- Authority
- CN
- China
- Prior art keywords
- event
- frequent item
- association analysis
- algorithm
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了网络事件处理方法及装置,该方法包括:采集网络设备的日志信息;分析该日志信息中的事件,并将该事件保存在事件数据库;利用关联分析算法对该事件数据库中的事件进行关联分析,找到事件与事件之间的联系;利用分类算法对存在联系的事件进行分类,得到事件的类别;确定分类后的事件对应的处理方式。通过本发明解决了针对相关技术中对采用规则模型来分析网络行为所导致的问题,实现了网络事件的智能分析。
Description
技术领域
本发明涉及网络领域,具体而言,涉及网络事件处理方法及装置。
背景技术
随着计算机技术和网络技术的发展,网络安全问题越来越受到重视。
目前,对于网络行为(例如,攻击行为,网络行为也可以称为网络事件)的分析,一般采用基于规则模型的分析技术,在该技术中将网络攻击行为的各种特征抽取出来形成攻击特征描述库,并基于描述库将一次网络攻击从开始到结束整个过程的特征,构建出一个分析用的模型,然后将该模型应用到网络安全检测中。这种规则模块的检测技术其受限于建立的模型,一个特定的模型通常对应一套特殊的工程实现,多套的功能实现就需要多个模型,模型数量的增加也就意味着工程实施难度的增大。
并且,这种基于模型的分析技术只采用有限的几个分析模型。对于事件之间的联系并没有进行分析。网络行为的多变性决定了这种基于模型的分析收到了限制。
针对相关技术中对采用规则模型来分析网络行为所导致的问题,目前尚未提出很好的解决方案。
发明内容
本发明提供了网络事件处理方法及装置,以至少解决针对相关技术中对采用规则模型来分析网络行为所导致的问题。
根据本发明的一个方面,提供了一种网络事件处理方法,包括:采集网络设备的日志信息;分析所述日志信息中的事件,并将所述事件保存在事件数据库;利用关联分析算法对所述事件数据库中的事件进行关联分析,找到事件与事件之间的联系;利用分类算法对存在联系的事件进行分类,得到事件的类别;确定分类后的事件对应的处理方式。
优选地,所述关联分析算法为Apriori算法,利用所述Apriori算法对所述事件数据库中的事件进行关联分析并找到事件与事件之间的联系包括:检索出所述事件数据库中所有的频繁项集,其中,所述频繁项集为支持度不低于预先设定的最小支持度的项集;对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件;对所述安全事件进行关联分析,找到频繁事件;对于根据所述频繁事件找到满足最小可信度的关联规则,得到事件与事件之间的联系。
优选地,对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件包括:确定所述频繁项集中的每个项目中的子项的顺序满足预定时间序列的次数占所述频繁项集出现总数的比值;在所述比值大于预设值的情况下,确定该项目为安全事件。
优选地,检索出所述事件数据库中所有的频繁项集包括:采用迭代检索出所述事件数据库中所有的频繁项集。
优选地,利用所述分类算法对存在联系的事件进行分类,得到事件的类别包括:对存在联系的事件维度分析,按照事件的维度进行初步分类;利用贝叶斯分类算法对进行初步分类后的存在关联的事件进行分类,得到事件的类别。
优选地,所述事件的维度包括以下至少之一:来源、目的、协议类型、时间、事件性质。
根据本发明的一个方面,还提供了一种网络事件处理装置,包括:采集模块,用于采集网络设备的日志信息;事件分析模块,用于分析所述日志信息中的事件,并将所述事件保存在事件数据库;关联分析模块,用于利用关联分析算法对所述事件数据库中的事件进行关联分析,找到事件与事件之间的联系;分类模块,用于利用分类算法对存在联系的事件进行分类,得到事件的类别;确定模块,确定分类后的事件对应的处理方式。
优选地,所述关联分析模块,用于利用所述Apriori算法对所述事件数据库中的事件进行关联分析并找到事件与事件之间的联系,其中,所述关联分析模块包括:检索单元,用于检索出所述事件数据库中所有的频繁项集,其中,所述频繁项集为支持度不低于预先设定的最小支持度的项集;判断单元,用于对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件;分析单元,用于对所述安全事件进行关联分析,找到频繁事件;找出单元,用于对于根据所述频繁事件找到满足最小可信度的关联规则,得到事件与事件之间的联系。
优选地,所述判断单元用于确定所述频繁项集中的每个项目中的子项的顺序满足预定时间序列的次数占所述频繁项集出现总数的比值,并在所述比值大于预设值的情况下,确定该项目为安全事件。
优选地,所述分类模块包括:第一分类单元,用于对存在联系的事件维度分析,按照事件的维度进行初步分类;第二分类单元,利用贝叶斯分类算法对进行初步分类后的存在关联的事件进行分类,得到事件的类别。
通过本发明,采用了采集网络设备的日志信息;分析该日志信息中的事件,并将该事件保存在事件数据库;利用关联分析算法对该事件数据库中的事件进行关联分析,找到事件与事件之间的联系;利用分类算法对存在联系的事件进行分类,得到事件的类别;确定分类后的事件对应的处理方式。解决了针对相关技术中对采用规则模型来分析网络行为所导致的问题,实现了网络事件的智能分析。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的网络事件处理方法的流程图;
图2是根据本发明实施例的网络事件处理装置的结构框图;
图3是根据本发明实施例的优选的算法处理流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
以下实施例中的网络事件处理方法可以应用于各种网络,例如,可以应用的局域网,当然也可以应用到城域网等大型网络,只要能够得到这些网络中的设备的日志信息,以下实施例中的技术方案均可以实施。网络设备一般均具有记录日志的功能,以下实施例中利用这些日志信息来对网络事件进行分析。
图1是根据本发明实施例的网络事件处理方法的流程图,如图1所示,该流程包括如下步骤:
步骤S102,采集网络设备的日志信息;
步骤S104,分析日志信息中的事件,并将这些或者这个事件保存在事件数据库;
步骤S106,利用关联分析算法对该事件数据库中的事件进行关联分析,找到事件与事件之间的联系;
步骤S108,利用分类算法对存在联系的事件进行分类,得到事件的类别;
步骤S110,确定分类后的事件对应的处理方式。
通过上述步骤可以采用关联分析方法来得到事件之间的联系,并对事件进行分析从而可以根据不同类型的事件进行不同的处理。例如,网络设备发现有设备连续使用A命令,而使用该A命令之后使用B命令的概率很高,这表明使用A命令的事件和使用B命令的事件存在联系,如果使用非法使用的B命令被分类为攻击行为的话,那么在发现连续使用A命令之后,就需要进行预防使用B命令的攻击处理。通过关联分析算法以及分类算法可以比较智能的实现网络事件的安全管理。
关联分析算法有多种,在本实施例中,优选地采用了Apriori算法作为关联分析算法。利用该Apriori算法对该事件数据库中的事件进行关联分析并找到事件与事件之间的联系可以包括如下步骤:
步骤S2,检索出该事件数据库中所有的频繁项集,其中,该频繁项集为支持度不低于预先设定的最小支持度的项集;
步骤S4,对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件;
步骤S6,对该安全事件进行关联分析,找到频繁事件;
步骤S8,对于根据该频繁事件找到满足最小可信度的关联规则,得到事件与事件之间的联系。
通过上述步骤,采用了检索出事件数据库中的所有频繁项集,然后利用频繁项集构造出满足预设的最小置信度的规则的方式,减少了人工干预的过程。优选地,对于步骤S4,可以确定该频繁项集中的每个项目中的子项的顺序满足预定时间序列的次数占该频繁项集出现总数的比值;然后,在该比值大于预设值的情况下,确定该项目为安全事件。通过该优选方式,并且加入了时间序列化分析。对于步骤S2,其可以采用迭代检索出该事件数据库中所有的频繁项集。
分类算法也有很多中,在本实施例中,优选采用了贝叶斯算法进行分类。此时,利用该分类算法对存在联系的事件进行分类得到事件的类别可以包括如下步骤:对存在联系的事件维度分析,按照事件的维度进行初步分类;利用贝叶斯分类算法对进行初步分类后的存在关联的事件进行分类,得到事件的类别。优选地,该事件的维度可以包括以下至少之一:来源、目的、协议类型、时间、事件性质。
在本实施例中,还提供了一种网络事件处理装置,图2是根据本发明实施例的网络事件处理装置的结构框图,如图2所示,该结构包括:采集模块22、事件分析模块24、关联分析模块26、分类模块28、确定模块210。该装置用于实现上述方法,需要说明的是,这些模块可以在处理器中实现,例如,可以表示为:一种处理器,包括采集模块等。下面对该装置中的模块进行说明。
采集模块22,用于采集网络设备的日志信息;
事件分析模块24,用于分析该日志信息中的事件,并将该事件保存在事件数据库;
关联分析模块26,用于利用关联分析算法对该事件数据库中的事件进行关联分析,找到事件与事件之间的联系;
分类模块28,用于利用分类算法对存在联系的事件进行分类,得到事件的类别;
确定模块210,确定分类后的事件对应的处理方式。
优选地,该关联分析模块26,用于利用该Apriori算法对该事件数据库中的事件进行关联分析并找到事件与事件之间的联系,其中,该关联分析模块26可以包括:
检索单元,用于检索出该事件数据库中所有的频繁项集,其中,该频繁项集为支持度不低于预先设定的最小支持度的项集;
判断单元,用于对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件;
分析单元,用于对该安全事件进行关联分析,找到频繁事件;
找出单元,用于对于根据该频繁事件找到满足最小可信度的关联规则,得到事件与事件之间的联系。
优选地,该判断单元可以用于确定该频繁项集中的每个项目中的子项的顺序满足预定时间序列的次数占该频繁项集出现总数的比值,并在该比值大于预设值的情况下,确定该项目为安全事件。
优选地,该分类模块可以包括:第一分类单元,用于对存在联系的事件维度分析,按照事件的维度进行初步分类;第二分类单元,利用贝叶斯分类算法对进行初步分类后的存在关联的事件进行分类,得到事件的类别。
下面结合一个优选实施例进行说明。
在本优选实施例中采用了关联分析,关联分析是指如果两个或多个事物之间存在一定的关联,那么其中一个事物就能通过其他事物进行预测。它的目的是为了挖掘隐藏在数据间的相互关系。在数据挖掘的基本任务中关联(association)和顺序序贯模型(sequencing)关联分析是指搜索事务数据库(transactional databases)中的所有细节或事务,从中寻找重复出现概率很高的模式或规则。Apriori算法是一种最有影响的挖掘布尔关联规则频繁项集的算法。其核心是基于两阶段频集思想的递推算法。该关联规则在分类上属于单维、单层、布尔关联规则。在这里,所有支持度大于最小支持度的项集称为频繁项集,简称频集。
聚类分析指将物理或抽象对象的集合分组成为由类似的对象组成的多个类的分析过程。它是一种重要的人类行为。聚类分析的目标就是在相似的基础上收集数据来分类。贝叶斯分类器的分类原理是通过某对象的先验概率,利用贝叶斯公式计算出其后验概率,即该对象属于某一类的概率,选择具有最大后验概率的类作为该对象所属的类。也就是说,贝叶斯分类器是最小错误率意义上的优化。
在本优选实施例中,为解决相关技术中安全事件关联分析系统的不足,提出一种基于频繁项集的关联分析方法,自动匹配安全事件,并对事件间进行关联分析,继而对安全事件进行智能分类。图3是根据本发明实施例的优选的算法处理流程图。下面结合图3进行说明。
1.利用安全数据采集器将采集到的日志信息进行预处理,并以一定数据格式保存进入事务数据库。
2.扫描事务数据库,计算库中每个项目出现的次数,生成候选项目集。
3.计算候选项目集中每个项目的支持度,若大于预设最小支持度,则为频繁项目,依次在候选项目集中确定频繁项目集。如若不存在频繁项目,则算法结束。
4.由频繁项目集自连接,并扫描数据库计算每个项目出现的次数,生成新的候选项目集。该候选项目集的每个项目中的子项都必须为频繁项目。
5.从新的候选项目集中,找到每个项目的支持度大于预设最小支持度的项目,为新的频繁项目集,依次反复。
6.最后产生的频繁项集,将频繁项集与数据库进行比对,按时间序列为标准,当频繁项集每个项目的子项顺序满足此时间序列的次数占项集出现总数达到预设值,则自动将此项目定为系统智能识别的安全事件。
7.将系统识别的安全事件进行入库操作。
8.对安全事件进行关联分析,找出频繁事件,依据步骤2到5同样的方法得到。
9.对得到的频繁事件集进行挖掘,找到满足最小可信度的关联规则,得到事件与事件之间的联系,在遇到某种事件时可以通过事件关联分析知晓将会尽可能发生的事件,而提前做出预警与应对。
10.对保存事件进行维度上的分析,通常包括来源,目的源,利用协议,时间,性质等进行记录维度,对事件维度进行聚类分析,找出维度间距离为划分依据的类别,模糊分类。
11.事件管理员对系统自动识别产生的分类进行人工判别,标识错误信息。
12.运用贝叶斯分类法对事件分类的先验概率进行学习,利用分类器对系统每次产生事件进行分类,其中增加人工改判一项,可以人为校正误判,然后再对此误判进行学习,达到一个自学习的过程,在此过程不断减少时间分类的误判率,以期达到一个智能分析判别分类的效果。
13.对事件进行分类后,系统进行相应处理方式以及根据事件做出应对措施。
上述步骤可以应用在内网环境下,但并不限于此。以下以内网环境为例进行说明。
在内网环境下,开启安全信息采集器,对来自各种资产的安全日志进行采集。并且对采集的信息进行预处理,提取出统一日志格式,入库,便于数据分析。
关联分析模块调用Apriori算法对日志数据库进行关联分析,找到满足各种事件的子项集,并将此子项集按照时间序列对比数据库找到事件匹配的关联规则。
对满足事件的关联规则再度调用Apriori算法寻找规则之间的关联度,找到事件与事件之间的关联。根据此关联分析,当某项事件发生时,可以提前预警将会伴随着其他何种事件的发生,而提前做出相应准备防护工作。
对满足事件的关联规则进行分类判别,并增加人为校正,对生成的判别数据利用贝叶斯分类进行先验学习。每次产生事件则可根据贝叶斯判别其分类,而做出相应跟踪以及处理工作。
上述优选实施例利用智能分析实现了一个集预警防护、处理以及跟踪为一体的安全事件管理系统。在未来的发展中,可能会考虑系统性能,以及海量数据情况下的解决方式,运用云计算来解决可能面临的性能与实时性问题。当然随着业务的深入,其中算法也可以跟随进行调整,以期达到一个更加满足业务系统的算法结构。
本优选实施例具有如下优点:
1.不需事先人为指定各种事件关联规则,可以根据安全日志找出频繁项集,再对其进行时间序列化分析,减少了人工干预的过程。
2.根据事件关联分析而做出的预警。
3.可以从事件产生中挖掘出事件与事件之间所存在的关联关系,对单一或者组合事件发生时,其关联事件的发生可以进行提前预警。
4.对事件分类的自学习以及自判别。
5.对事件的分类采用一种自学习的方法,对事件进行分类,并可辅以人工评判,根据每次分类以及评判来达到一个渐进学习的过程,逐步降低事件分类的误判率,对现有事件进行更精准的分类提供依据。
6.更少的人工干预相对于其他安全事件管理的方法,本优选实施例减少了人工干预的过程,更加融入了智能化分析的特色。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络事件处理方法,其特征在于包括:
采集网络设备的日志信息;
分析所述日志信息中的事件,并将所述事件保存在事件数据库;
利用关联分析算法对所述事件数据库中的事件进行关联分析,找到事件与事件之间的联系;
利用分类算法对存在联系的事件进行分类,得到事件的类别;
确定分类后的事件对应的处理方式。
2.根据权利要求1所述的方法,其特征在于,所述关联分析算法为Apriori算法,利用所述Apriori算法对所述事件数据库中的事件进行关联分析并找到事件与事件之间的联系包括:
检索出所述事件数据库中所有的频繁项集,其中,所述频繁项集为支持度不低于预先设定的最小支持度的项集;
对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件;
对所述安全事件进行关联分析,找到频繁事件;
对于根据所述频繁事件找到满足最小可信度的关联规则,得到事件与事件之间的联系。
3.根据权利要求2所述的方法,其特征在于,对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件包括:
确定所述频繁项集中的每个项目中的子项的顺序满足预定时间序列的次数占所述频繁项集出现总数的比值;
在所述比值大于预设值的情况下,确定该项目为安全事件。
4.根据权利要求2所述的方法,其特征在于,检索出所述事件数据库中所有的频繁项集包括:
采用迭代检索出所述事件数据库中所有的频繁项集。
5.根据权利要求1至4中任一项所述的方法,其特征在于,利用所述分类算法对存在联系的事件进行分类,得到事件的类别包括:
对存在联系的事件维度分析,按照事件的维度进行初步分类;
利用贝叶斯分类算法对进行初步分类后的存在关联的事件进行分类,得到事件的类别。
6.根据权利要求5中任一项所述的方法,其特征在于,所述事件的维度包括以下至少之一:来源、目的、协议类型、时间、事件性质。
7.一种网络事件处理装置,其特征在于包括:
采集模块,用于采集网络设备的日志信息;
事件分析模块,用于分析所述日志信息中的事件,并将所述事件保存在事件数据库;
关联分析模块,用于利用关联分析算法对所述事件数据库中的事件进行关联分析,找到事件与事件之间的联系;
分类模块,用于利用分类算法对存在联系的事件进行分类,得到事件的类别;
确定模块,确定分类后的事件对应的处理方式。
8.根据权利要求7所述的装置,其特征在于,所述关联分析模块,用于利用所述Apriori算法对所述事件数据库中的事件进行关联分析并找到事件与事件之间的联系,其中,所述关联分析模块包括:
检索单元,用于检索出所述事件数据库中所有的频繁项集,其中,所述频繁项集为支持度不低于预先设定的最小支持度的项集;
判断单元,用于对于频繁项集按照预定规则进行判断,确定符合预定规则的项目为安全事件;
分析单元,用于对所述安全事件进行关联分析,找到频繁事件;
找出单元,用于对于根据所述频繁事件找到满足最小可信度的关联规则,得到事件与事件之间的联系。
9.根据权利要求8所述的装置,其特征在于,所述判断单元用于确定所述频繁项集中的每个项目中的子项的顺序满足预定时间序列的次数占所述频繁项集出现总数的比值,并在所述比值大于预设值的情况下,确定该项目为安全事件。
10.根据权利要求7至9中任一项所述的装置,其特征在于,所述分类模块包括:
第一分类单元,用于对存在联系的事件维度分析,按照事件的维度进行初步分类;
第二分类单元,利用贝叶斯分类算法对进行初步分类后的存在关联的事件进行分类,得到事件的类别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013102628078A CN103281341A (zh) | 2013-06-27 | 2013-06-27 | 网络事件处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013102628078A CN103281341A (zh) | 2013-06-27 | 2013-06-27 | 网络事件处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103281341A true CN103281341A (zh) | 2013-09-04 |
Family
ID=49063788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013102628078A Pending CN103281341A (zh) | 2013-06-27 | 2013-06-27 | 网络事件处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103281341A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581198A (zh) * | 2013-11-13 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于Apriori算法的安全日志分析方法 |
| CN105376193A (zh) * | 2014-08-15 | 2016-03-02 | 中国电信股份有限公司 | 安全事件的智能关联分析方法与装置 |
| CN105516211A (zh) * | 2016-02-06 | 2016-04-20 | 北京祥云天地科技有限公司 | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 |
| CN105763548A (zh) * | 2016-02-06 | 2016-07-13 | 北京祥云天地科技有限公司 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
| CN108200084A (zh) * | 2018-01-31 | 2018-06-22 | 湖北工业大学 | 一种基于灰狼算法的网络安全日志确定方法和系统 |
| CN109426600A (zh) * | 2017-12-21 | 2019-03-05 | 中国平安人寿保险股份有限公司 | 数据采集处理方法、装置、设备及可读存储介质 |
| CN110209061A (zh) * | 2019-05-28 | 2019-09-06 | 九阳股份有限公司 | 一种智能控制系统中的事件上报处理方法及中控装置 |
| CN110351260A (zh) * | 2019-06-28 | 2019-10-18 | 广州准星信息科技有限公司 | 一种内网攻击预警方法、装置及存储介质 |
| CN111190938A (zh) * | 2019-12-26 | 2020-05-22 | 博彦科技股份有限公司 | 数据分析方法、装置、存储介质及处理器 |
| CN111950282A (zh) * | 2020-07-08 | 2020-11-17 | 国家计算机网络与信息安全管理中心 | 一种基于网络行为特征的扩线分析方法及装置 |
| CN112751863A (zh) * | 2020-12-30 | 2021-05-04 | 绿盟科技集团股份有限公司 | 一种攻击行为分析方法及装置 |
| CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN113904834A (zh) * | 2021-09-30 | 2022-01-07 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
| CN116318985A (zh) * | 2023-03-02 | 2023-06-23 | 中承信达(天津)技术股份公司 | 一种基于大数据的计算机网络安全预警系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7694339B2 (en) * | 2002-12-31 | 2010-04-06 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| CN102685180A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
-
2013
- 2013-06-27 CN CN2013102628078A patent/CN103281341A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7694339B2 (en) * | 2002-12-31 | 2010-04-06 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| CN102685180A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李金罡: "网络安全事件关联引擎的研究与设计", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 3, 15 March 2011 (2011-03-15) * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581198A (zh) * | 2013-11-13 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于Apriori算法的安全日志分析方法 |
| CN105376193A (zh) * | 2014-08-15 | 2016-03-02 | 中国电信股份有限公司 | 安全事件的智能关联分析方法与装置 |
| CN105376193B (zh) * | 2014-08-15 | 2019-06-04 | 中国电信股份有限公司 | 安全事件的智能关联分析方法与装置 |
| CN105516211A (zh) * | 2016-02-06 | 2016-04-20 | 北京祥云天地科技有限公司 | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 |
| CN105763548A (zh) * | 2016-02-06 | 2016-07-13 | 北京祥云天地科技有限公司 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
| CN109426600B (zh) * | 2017-12-21 | 2022-04-22 | 中国平安人寿保险股份有限公司 | 数据采集处理方法、装置、设备及可读存储介质 |
| CN109426600A (zh) * | 2017-12-21 | 2019-03-05 | 中国平安人寿保险股份有限公司 | 数据采集处理方法、装置、设备及可读存储介质 |
| CN108200084A (zh) * | 2018-01-31 | 2018-06-22 | 湖北工业大学 | 一种基于灰狼算法的网络安全日志确定方法和系统 |
| CN110209061A (zh) * | 2019-05-28 | 2019-09-06 | 九阳股份有限公司 | 一种智能控制系统中的事件上报处理方法及中控装置 |
| CN110351260A (zh) * | 2019-06-28 | 2019-10-18 | 广州准星信息科技有限公司 | 一种内网攻击预警方法、装置及存储介质 |
| CN111190938A (zh) * | 2019-12-26 | 2020-05-22 | 博彦科技股份有限公司 | 数据分析方法、装置、存储介质及处理器 |
| CN111950282A (zh) * | 2020-07-08 | 2020-11-17 | 国家计算机网络与信息安全管理中心 | 一种基于网络行为特征的扩线分析方法及装置 |
| CN112751863A (zh) * | 2020-12-30 | 2021-05-04 | 绿盟科技集团股份有限公司 | 一种攻击行为分析方法及装置 |
| CN112751863B (zh) * | 2020-12-30 | 2022-07-22 | 绿盟科技集团股份有限公司 | 一种攻击行为分析方法及装置 |
| CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN113343228B (zh) * | 2021-06-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN113904834A (zh) * | 2021-09-30 | 2022-01-07 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
| CN113904834B (zh) * | 2021-09-30 | 2022-09-09 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
| CN116318985A (zh) * | 2023-03-02 | 2023-06-23 | 中承信达(天津)技术股份公司 | 一种基于大数据的计算机网络安全预警系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103281341A (zh) | 网络事件处理方法及装置 | |
| Amini et al. | On density-based data streams clustering algorithms: A survey | |
| CN106202561B (zh) | 基于文本大数据的数字化应急管理案例库构建方法及装置 | |
| Aggarwal et al. | A framework for clustering uncertain data streams | |
| Karthikeyan et al. | A survey on association rule mining | |
| Thongsatapornwatana | A survey of data mining techniques for analyzing crime patterns | |
| CN107872454B (zh) | 超大型互联网平台威胁信息监测与分析系统及方法 | |
| US8051021B2 (en) | System and method for resource adaptive classification of data streams | |
| US20090204551A1 (en) | Learning-Based Method for Estimating Costs and Statistics of Complex Operators in Continuous Queries | |
| CN104246786A (zh) | 模式发现中的字段选择 | |
| Taghiyarrenani et al. | Transfer learning based intrusion detection | |
| CN111143838B (zh) | 数据库用户异常行为检测方法 | |
| Degirmenci et al. | Robust incremental outlier detection approach based on a new metric in data streams | |
| Borg et al. | Clustering residential burglaries using modus operandi and spatiotemporal information | |
| Bhatia et al. | Analysis on different Data mining Techniques and algorithms used in IOT | |
| Ourston et al. | Coordinated internet attacks: responding to attack complexity | |
| US20050283511A1 (en) | Cross-feature analysis | |
| Bin | Research on methods and techniques for iot big data cluster analysis | |
| Zhang et al. | A Multiple Instance Learning and Relevance Feedback Framework for Retrieving Abnormal Incidents in Surveillance Videos. | |
| Mazid et al. | A comparison between rule based and association rule mining algorithms | |
| KR102357630B1 (ko) | 제어시스템 보안이벤트의 공격전략 분류 장치 및 방법 | |
| KR20150124825A (ko) | 화상분류 기반의 나이브 베이즈 분류기 | |
| Yang et al. | Prediction of criminal tendency of high-risk personnel based on combination of principal component analysis and support vector machine | |
| CN117473571B (zh) | 一种数据信息安全处理方法及系统 | |
| Adu-Gyamfi et al. | Real-time monitoring of mobile user using trajectory data mining |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130904 |
|
| RJ01 | Rejection of invention patent application after publication |