CN103546312A - 一种海量多源异构日志关联分析方法 - Google Patents
一种海量多源异构日志关联分析方法 Download PDFInfo
- Publication number
- CN103546312A CN103546312A CN201310379251.0A CN201310379251A CN103546312A CN 103546312 A CN103546312 A CN 103546312A CN 201310379251 A CN201310379251 A CN 201310379251A CN 103546312 A CN103546312 A CN 103546312A
- Authority
- CN
- China
- Prior art keywords
- event
- events
- window
- daily record
- report
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于网络安全领域,特别是一种海量多源异构日志关联分析方法。步骤1:对原始数据进行预处理,剔除错误日志,多源异构日志归一化,生成格式化的安全事件信息;步骤2:基于事件各个字段的内容,生成一个描述本事件的特征向量;步骤3:将不同设备所产生的事件分类存储;步骤4:不同设备的事件进行相似度计算并比较,判断是否属于同一类事件,将不同的事件中的同类事件进行两两合并,并剔除重复事件;步骤5:针对同一个文件内的日志进行合并,以减少数量;同时生成各类事件的统计分析结果;步骤6:在支持度和置信度下分析事件的关联关系;步骤7:生成各类事件的统计分析报告及关联分析结果报告。通过上述方法的分析使得日志分析结果更加丰富全面且易于理解,提升了网络安全管理的指导意义。
Description
技术领域
本发明属于网络安全技术领域,是一种海量多源异构日志关联分析方法。
背景技术
随着信息技术的发展,各企事业单位、党政军各级机构为了其自身内部网络安全需要,安装部署了网络安全管理系统,用于集中管理内部网络设备和各业务系统产生的事件,监测整体网络的运营态势。
网络安全管理系统的主要功能是收集内部网络产生的安全事件并进行分析。收集的事件包括如下内容:防火墙日志信息、入侵检测日志信息、病毒日志信息、漏洞扫描日志信息源、主机操作日志信息、业务系统的用户操作日志信息、入侵防御日志信息、VPN日志信息、数据库操作日志信息等。目前,设备类日志格式并无统一的规范,导致设备日志结构各异。
内部网络设备和业务系统所产生的事件数量,随着安全管理系统的运营,会变得异常庞大,对这些日志的分析也变得困难。由于各类事件数量非常大,目前市面常用的分析方法主要基于统计的方法,但是该方法存在以下不足:
发明内容
本发明就是为了解决上述问题,提出一种海量多源异构日志关联分析方法,引入数据挖掘算法,对数据进行预处理,剔除重复事件,对事件进行聚合后再对事件进行深入分析。
本发明结合各类事件的特点,对事件进行分类、聚合、不同设备间同类日志合并等处理后,基于数据挖掘算法进行分析,具体执行流程如图1所示。
本发明方法的具体步骤如下:
步骤1:对原始数据进行预处理,剔除错误日志,多源异构日志归一化,生成格式化的安全事件信息;
步骤2:基于事件各个字段的内容,生成一个描述本事件的特征向量;
步骤3:将不同设备所产生的事件分类存储;
步骤4:不同设备的事件进行相似度计算并比较,判断是否属于同一类事件,通过基于相似度公式进行距离计算实现,若距离小于阈值,阈值大于0.9,即认为同类事件;
对于不同设备上报同类事件,需要判断是否为一件事,如果是一件事需要剔除,剔除原则:
|t1-t2|<window
其中,其中t1是事件1的发生时间,t2是事件2发生的时间;window是时间阈值,可根据网络延时情况设定,建议小于1分钟;
将不同的事件中的同类事件进行两两合并,并剔除重复事件;
步骤5:按事件发生的顺序进行排序;针对同一个文件内的日志进行的,进行相似度计算;首先计算由于按照指定的时间窗口,指定的时间窗口小于1分钟,将在同一窗口的同类事件进行合并,以减少数量;同时生成各类事件的统计分析结果;
步骤6:对事件应用关联分析算法,在支持度和置信度下分析事件的关联关系;
步骤7:生成各类事件的统计分析报告及关联分析结果报告通过上述方法的分析使得日志分析结果更加丰富全面且易于理解,提升了网络安全管理的指导意义。
附图说明
图1本发明流程图。
图2日统计报表-按各类型统计
图3日统计报表-按安全类型统计
图4统计报表-按来源统计
图5关联分析的举例
具体实施方式
下面结合流程图,对实施方式详细说明,应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
步骤1:对原始数据进行预处理,剔除错误日志,多源异构日志归一化,生成格式化的安全事件信息。
用于分析的日志包括防火墙日志信息、入侵检测日志信息、病毒日志信息、漏洞扫描日志信息源、主机操作日志信息、业务系统的用户操作日志信息、入侵防御日志信息、VPN 日志信息、数据库操作日志信息等,可根据实际情况加入其他设备日志信息。
预处理过程大概分成如下步骤:
(1)数据清洗,即剔除不合格日志。不合格日志分为两类,一类是安防系统不需要接收的日志,比如系统的运维日志,由于安防设备并不会区分各类日志,而是将其产生的日志一并发送给接收者,因此需剔除这类并不是系统安全事件的日志;另一类是格式不正常的日志,比如发送方或日志在发送过程中网络异常造成的某些数据丢失,解析后得到的数据不全,这类可丢弃。
(2)解析日志。将各类设备的事件进行归一化处理并存储在数据库中,为提供后续扩展性,事件属性设置为各类日志的并集,对未标识的属性值设为空。以网域设备的某类日志为例,假设数据库中存储格式为(即上面所说的并集):用户名,产生时间、事件类型、事件名称、安全级别、协议、源地址、源端口、目的地址、目的端口、操作结果。则下属两类日志的解析字段为:
a)May914:09:46targe event:devid=0date="2013/05/0914:09:46"dname=targe.infocenter logtype=16pri=4user=""mod="ips"事件类型=IPS事件名="Virus(Worm)Worms Microsoft SQL Server Slammer/Saphire"安全级别="低"dsp_msg="检测到攻击:Worms Microsoft SQL Server Slammer/Saphire,类型:Virus(Worm)"协议=UDP源地址=172.31.216.18源端口=3283目的地址=226.233.26.26目的端口=1434重复次数=21000事件详情=""动作="丢弃"链路别名=""fwlog=0
此类日志可解析的日志字段为(用户名:NULL,时间:2013/05/0914:09:46,事件类型:IPS,安全级别:4,事件名:Virus(Worm)Worms Microsoft SQL Server Slammer/Saphire,协议:UDP,源地址:172.31.216.18,源端口:3283;目的地址:226.233.26.26,目的端口:1434,操作结果:NULL)。由于该日志是非用户操作类日志且没有操作结果说明,因此用户名和操作结果的值为NULL,即设为空。
(3)格式归一化。由于不同系统或设备之间日志格式不一,且表述内容不一致,这就造成同一事件相同的属性值却产生了不同的名称,比如事件名为“Virus(Worm)Worms Microsoft SQL Server Slammer/Saphire”的日志在另一设备中事件名称可能被称为“SQLSlammer”、“sql蠕虫”或“Win32/SQLSlammer.Worm”。这里的归一化操作通过某种方式(如 维护一张字典表)将各种数据统一,取值标准化,便于步骤2操作。将归一化后的日志存入数据库中。
步骤2:基于事件各个字段的内容,生成一个描述本事件的特征向量;
将归一化的日志进行量化,按照已建模的模型,把属性值转为数字,生成描述事件的特征向量。以步骤1中的日志为例,解析后的字段为(用户名:NULL,时间:2013/05/0914:09:46,事件类型:IPS,安全级别:4,事件名:Virus(Worm)Worms Microsoft SQL Server Slammer/Saphire,协议:UDP,源地址:172.31.216.18,源端口:3283;目的地址:226.233.26.26,目的端口:1434,操作结果:NULL)。量化过程:
a)此类日志没有用户名和操作结果,因此用户名和操作结果的属性值为-1;
b)事件类型可通过字典表的形式,将其指定为某一数字,比如IPS的值为1;
c)安全级别通常数字无须更改,即为4;
d)事件名和协议类型同样可以采用b)的量化方法,将其转为数字,假设均为2
e)IP地址转为长整形数字
f)端口为数字,可采用原值。
说明:考虑到时间对于区分事件种类贡献不大,因此未将时间列入量化范围。此条日志可变为长度为10的向量,即为10维向量空间的一个向量,如上述日志按[用户名,事件类型,安全级别,事件名,协议,源地址,源端口,目的地址,目的端口,操作结果]生成向量为[-1,1,4,2,2,247924307,3283,7234314534,1434,-1]。
步骤3:将不同设备所产生的事件分类存储;
不同类别之间的日志关联性比较小,因此,采用分类算法对不同来源的日志进行分类,并将分类结果存储在XML文件中。说明:可根据日志解析模版ID+服务器IP方法区分不同的设备类,进行粗略分类,并将日志分类存于各个XML文档中。
步骤4:不同设备的事件进行相似度计算并比较,将不同的事件进行两两合并,剔除重复事件。
步骤4需要完成两个工作:(1)判断不同设备之间上报的事件是否包含相同类的事件(2)剔除相同的事件,减少误报。
判断是否属于同一类事件,通过基于相似度公式进行距离计算实现,若距离小于阈值,即认为同类事件。相似度公式如下所示:
说明x1,y1,z1,…,n1,表示的是此类事件的各维向量,如果两个事件的向量长度不同,则这两个事件就不具可比性,因此不用计算相似度。当相似度小于某一阈值,将不同的日志进行合并,合并原则如下所示。
d(x,y)>σ
由于两类事件如果为同一类,则其相似度接近或等于1,因此需要设定一个阈值作为区分是否为同一类事件,即σ,可以根据尽量接近1,建议取值大于0.9。
对于不同设备上报同类事件,需要判断是否为一件事,如果是一件事需要剔除,剔除原则:
|t1-t2|<window
其中,其中t1是事件1的发生时间,t2是事件2发生的时间。window是时间阈值,可根据部署的网络环境以及数据上报的延迟决定,通常不会大于1分钟。
步骤5:根据步骤4结果,对合并后的事件进行聚合,首先计算由于按照指定的时间窗口,将在同一窗口的事件进行合并,以减少数量;同时生成各类事件的统计分析结果。重复步骤5操作,直至所有事件都处理完毕。
步骤5完成三个工作:(1)合并是针对同一个文件内的日志进行的,由于每个文件在步骤三的分类比较粗,因此可能每个文件内部也包含不同类的日志,因此需要进行相似度计算;(2)将处于同一个时间窗口的事件进行合并,减少事件数量;(3)合并后,对各类事件进行统计。
完成步骤5的说明:
a)步骤5是合并数据的步骤,合并前需要进行排序工作,按事件发生的顺序进行排序。
b)相似度的计算是发生在文件内部的日志之间。
c)与步骤4相同的是合并的时机为:
|t1-t2|<window
但不同的是,要更新事件的时间范围(用scope表示),更新时间说明:
(1)将首先时间转换为毫秒数,假设窗口设置为1分钟(即60000毫秒,window=60000),事件1的发生时间t1转换为毫秒数(假设t1=182287423980000),则其scope属性为[t1-window,t1+window],即为[182287424040000,182287423920000],也即说明只要被合并的事件2的发生时间处于scope的范围内即可合并;
(2)对于scope公式的说明,当满足合并条件,进行合并后,需要对scope的范围进行调整,当t2的发生时间大于t1是,scope为[t1-window,t2+window],相反,则scope为[t2-window,t1+window],及根据合并的事件时间差,来扩大合并范围。
d)统计事件的条件。被剔除的数据是重复的数据,因此不在统计范围之内;被合并的数据即在短时间内重复上报的数据,虽然属于同一事件,但上报数量的频繁程度,在一定程度也反应了当前事件的发生严重程度,因此要进行统计。
步骤6:对事件应用关联分析算法,在指定的支持度和置信度下分析事件的关联关系
步骤6完成的工作有:(1)计算各类事件的频繁项集;(2)生成各类事件的关联规则。
所谓频繁项集,是指事件中频繁同时出现的词汇,而本发明中需要找到最大频繁项集,也即事件中频繁同时出现的最多的词汇集合。频繁性的度量是通过支持度来描述的,它的计算公式:
sup即为频繁项集的支持度,分子是含有X和Y的事件数量,分母是该类事件的所有事件的总数,支持度越大则说明X和Y同时出现的频率越大,及X和Y就越相关。举例说明,假设存在10条日志,如下表。
序号 | 事件名称 | 事件类型 | 优先级 | 协议类型 | 操作结果 |
1 | 蠕虫攻击 | 病毒事件 | 1 | UDP | 成功 |
2 | 蠕虫攻击 | 病毒事件 | 1 | UDP | 成功 |
3 | 用户登录 | 主机事件 | 3 | HTTP | 成功 |
4 | 用户登录 | 应用系统 | 3 | HTTP | 失败 |
5 | 用户登录 | 应用系统 | 4 | HTTP | 成功 |
6 | 用户登录 | 邮件系统 | 4 | HTTP | 成功 |
7 | 用户登录 | 业务系统甲 | 2 | HTTPS | 成功 |
[0073]
8 | 用户登录 | 业务系统乙 | 1 | HTTPS | 成功 |
9 | 用户登录 | 业务系统丙 | 3 | HTTP | 成功 |
10 | 用户登录 | 业务系统丁 | 5 | HTTP | 成功 |
假设支持度为0.7,这这里可以出现一个频繁项集{用户登录,成功},即在上述条日志中,有7条日志同时出现了时间名称为用户登录且操作成功的情况。
关联规则的产生是在最大频繁项集中找出满足最小支持度的数据而生成的类似于X->Y的形式,用于寻找事件本身内部的关联关系。最小支持度(minconf)的度量公式如下所示:
其中,分子是含有X和Y的事件数量,分母为含有X的事件的数量。置信度表明X->Y形式的可靠性,置信度越大,表明X和Y的关联性的可靠度就越大。
上述例子中,频繁项集中只有两个项,因此可以得出两个关联规则:
(1)X->Y,置信度为7/8=87.5%,即表明当用户登录事件发生时,用户登录成功的可能性为87.5%。
(2)Y->X,置信度为7/9=77.7%,及在所有操作成功的事件中,用户登录行为占了77.7%的可能性。
本例只是为了说明两个概念,举例并不恰当。当数量庞大时,这种应用才有意义。
步骤7:生成关联分析结果报告。
关联分级结果报告分成两部分:(1)各类事件的统计分析报告;用图形方式展示统计信息。(2)关联分析报告;以图形的方式展示日志各属性之间的关联关系。
效果,举例说明:
(1)事件统计分析报告,
统计分析可生成按事件类型(主机、网络设备、应用系统操作)、按来源(由哪些设备或服务器发送)、按事件的安全级别(安全级别分为非常低、低、中、高、非常高以及其他)、按活跃用户等多种方式,可产生年、月、日等各类型的统计报表,如图2-4所示:
图2日统计报表-按各类型统计
图3日统计报表-按安全类型统计
图4统计报表-按来源统计
(2)关联分析报告,主要生成各类时间的关联规则。规则可按整体、按来源等方式生成关联规则,可生成月、日以及年度汇总报表等,图5是按来源进行的关联分析报表举例,说明纵坐标指事件发生的数量,横坐标是关联规则,以“事件名称:用户登录->结果:登录成功”为例,表示在所有的事件中有30%的事件用户登录事件,而在这些用户登录事件中70%是成功登录的,用户成功登录的事件共发生了200次。
Claims (1)
1.一种海量多源异构日志关联分析方法,其特征在于,包括如下步骤:
步骤1:对原始数据进行预处理,剔除错误日志,多源异构日志归一化,生成格式化的安全事件信息;
步骤2:基于事件各个字段的内容,生成一个描述本事件的特征向量;
步骤3:将不同设备所产生的事件分类存储;
步骤4:不同设备的事件进行相似度计算并比较,判断是否属于同一类事件,通过基于相似度公式进行距离计算实现,若距离小于阈值,阈值大于0.9,即认为同类事件;
对于不同设备上报同类事件,需要判断是否为一件事,如果是一件事需要剔除,剔除原则:
|t1-t2|<window
其中,其中t1是事件1的发生时间,t2是事件2发生的时间;window是时间阈值,可根据网络延时情况设定,建议小于1分钟;
将不同的事件中的同类事件进行两两合并,并剔除重复事件;
步骤5:按事件发生的顺序进行排序;针对同一个文件内的日志进行的,进行相似度计算;首先计算由于按照指定的时间窗口,指定的时间窗口小于1分钟,将在同一窗口的同类事件进行合并,以减少数量;同时生成各类事件的统计分析结果;
步骤6:对事件应用关联分析算法,在支持度和置信度下分析事件的关联关系;
步骤7:生成各类事件的统计分析报告及关联分析结果报告。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310379251.0A CN103546312A (zh) | 2013-08-27 | 2013-08-27 | 一种海量多源异构日志关联分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310379251.0A CN103546312A (zh) | 2013-08-27 | 2013-08-27 | 一种海量多源异构日志关联分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103546312A true CN103546312A (zh) | 2014-01-29 |
Family
ID=49969387
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310379251.0A Pending CN103546312A (zh) | 2013-08-27 | 2013-08-27 | 一种海量多源异构日志关联分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103546312A (zh) |
Cited By (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104579782A (zh) * | 2015-01-12 | 2015-04-29 | 国家电网公司 | 一种热点安全事件的识别方法及系统 |
CN104679823A (zh) * | 2014-12-31 | 2015-06-03 | 智慧城市信息技术有限公司 | 基于语义标注的异构数据关联方法及系统 |
CN104935444A (zh) * | 2014-03-17 | 2015-09-23 | 杭州华三通信技术有限公司 | 异构日志系统管理配置装置及方法 |
CN105205087A (zh) * | 2014-06-30 | 2015-12-30 | 中兴通讯股份有限公司 | 一种对大数据的数据分析结果进行处理的方法和装置 |
CN105450459A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 一种系统消息处理方法及收集器 |
CN105512210A (zh) * | 2015-11-27 | 2016-04-20 | 网神信息技术(北京)股份有限公司 | 关联事件类型的检测方法及装置 |
CN105512189A (zh) * | 2015-11-26 | 2016-04-20 | 航天恒星科技有限公司 | 一种海事信息处理方法及系统 |
CN105656706A (zh) * | 2014-11-14 | 2016-06-08 | 北京通达无限科技有限公司 | 业务数据的处理方法及设备 |
CN105786927A (zh) * | 2014-12-26 | 2016-07-20 | 中国移动通信集团公司 | 一种日志处理方法及装置 |
CN105871776A (zh) * | 2015-01-19 | 2016-08-17 | 苏宁云商集团股份有限公司 | 基于日志的挖掘安全未知漏洞的方法和系统 |
CN106095659A (zh) * | 2016-06-15 | 2016-11-09 | 安徽天枢信息科技有限公司 | 一种非结构化事件日志数据的实时监控方法与装置 |
CN106202486A (zh) * | 2016-07-19 | 2016-12-07 | 福建师范大学 | 异构数据集基于mic的字段值优先连接方法 |
CN106407350A (zh) * | 2016-09-05 | 2017-02-15 | 广州视睿电子科技有限公司 | 错误日志信息过滤方法及装置 |
CN106453401A (zh) * | 2016-10-21 | 2017-02-22 | 国家计算机网络与信息安全管理中心山东分中心 | 一种基于多源海量异构数据的网络监测分析及管理平台 |
CN106682022A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 一种日志查询方法和装置 |
CN107086923A (zh) * | 2016-02-16 | 2017-08-22 | 中兴通讯股份有限公司 | 通信网络性能指标分析方法及装置 |
CN107592309A (zh) * | 2017-09-14 | 2018-01-16 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
CN107844572A (zh) * | 2017-11-04 | 2018-03-27 | 公安部第三研究所 | 多维度事件关联分析方法 |
CN107872347A (zh) * | 2016-09-28 | 2018-04-03 | 本田技研工业株式会社 | 通信状态判定方法和通信状态判定装置 |
CN107908640A (zh) * | 2017-09-27 | 2018-04-13 | 国网浙江省电力公司杭州供电公司 | 一种业务实体关系智能探索引擎实现方法 |
CN108040493A (zh) * | 2015-09-30 | 2018-05-15 | 赛门铁克公司 | 利用低置信度安全事件来检测安全事故 |
CN108268473A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | 一种日志处理方法及装置 |
CN108876406A (zh) * | 2018-06-28 | 2018-11-23 | 中国建设银行股份有限公司 | 客服行为分析方法、装置、服务器及可读存储介质 |
CN108964995A (zh) * | 2018-07-03 | 2018-12-07 | 上海新炬网络信息技术股份有限公司 | 基于时间轴事件的日志关联分析方法 |
CN109241282A (zh) * | 2018-08-08 | 2019-01-18 | 麒麟合盛网络技术股份有限公司 | 一种报警信息汇聚方法及装置 |
CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
CN109685217A (zh) * | 2017-10-17 | 2019-04-26 | 博彦科技股份有限公司 | 数据处理方法、装置、存储介质和处理器 |
CN109783330A (zh) * | 2018-12-10 | 2019-05-21 | 北京京东金融科技控股有限公司 | 日志处理方法、显示方法和相关装置、系统 |
CN110263004A (zh) * | 2019-05-08 | 2019-09-20 | 北京字节跳动网络技术有限公司 | 日志记录方法、装置、电子设备和存储介质 |
CN110709826A (zh) * | 2016-12-22 | 2020-01-17 | 奥恩全球运营有限公司,新加坡分公司 | 用于链接来自异构数据库的数据记录的方法及系统 |
CN110942081A (zh) * | 2018-09-25 | 2020-03-31 | 北京嘀嘀无限科技发展有限公司 | 图像处理方法、装置、电子设备及可读存储介质 |
CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
CN111984515A (zh) * | 2020-09-02 | 2020-11-24 | 大连大学 | 多源异构日志分析方法 |
CN111984516A (zh) * | 2020-09-02 | 2020-11-24 | 大连大学 | 基于sgse-ecc的日志异常检测系统 |
CN112306787A (zh) * | 2019-07-24 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 报错日志处理方法、装置、电子设备和智能音箱 |
CN112800016A (zh) * | 2020-12-31 | 2021-05-14 | 武汉思普崚技术有限公司 | 一种日志数据分类排序方法及装置 |
CN112861478A (zh) * | 2021-02-02 | 2021-05-28 | 广西师范大学 | 面向云服务事件联系的时变状态空间向量的构造方法 |
CN113141368A (zh) * | 2021-04-27 | 2021-07-20 | 天翼电子商务有限公司 | 一种支持海量数据实时安全威胁关联分析的系统 |
CN113676464A (zh) * | 2021-08-09 | 2021-11-19 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
CN113760895A (zh) * | 2021-01-12 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种自动生成表间关联路径的方法和系统 |
CN114205146A (zh) * | 2021-12-10 | 2022-03-18 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
WO2023060662A1 (zh) * | 2021-10-12 | 2023-04-20 | 中冶南方工程技术有限公司 | 一种高炉渣皮脱落合并方法、终端设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888309A (zh) * | 2010-06-30 | 2010-11-17 | 中国科学院计算技术研究所 | 在线日志分析方法 |
-
2013
- 2013-08-27 CN CN201310379251.0A patent/CN103546312A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888309A (zh) * | 2010-06-30 | 2010-11-17 | 中国科学院计算技术研究所 | 在线日志分析方法 |
Non-Patent Citations (2)
Title |
---|
刘必雄: "多源异构日志综合分析技术研究与实践", 《南京信息工程大学学报》 * |
尚魏: "多源日志安全信息的融合技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (59)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104935444A (zh) * | 2014-03-17 | 2015-09-23 | 杭州华三通信技术有限公司 | 异构日志系统管理配置装置及方法 |
CN105205087A (zh) * | 2014-06-30 | 2015-12-30 | 中兴通讯股份有限公司 | 一种对大数据的数据分析结果进行处理的方法和装置 |
CN112003743B (zh) * | 2014-11-14 | 2023-04-18 | 北京通达无限科技有限公司 | 业务数据的处理方法及设备 |
CN112003743A (zh) * | 2014-11-14 | 2020-11-27 | 北京通达无限科技有限公司 | 业务数据的处理方法及设备 |
CN105656706B (zh) * | 2014-11-14 | 2020-09-15 | 北京通达无限科技有限公司 | 业务数据的处理方法及设备 |
CN105656706A (zh) * | 2014-11-14 | 2016-06-08 | 北京通达无限科技有限公司 | 业务数据的处理方法及设备 |
CN105786927A (zh) * | 2014-12-26 | 2016-07-20 | 中国移动通信集团公司 | 一种日志处理方法及装置 |
CN104679823A (zh) * | 2014-12-31 | 2015-06-03 | 智慧城市信息技术有限公司 | 基于语义标注的异构数据关联方法及系统 |
CN104579782A (zh) * | 2015-01-12 | 2015-04-29 | 国家电网公司 | 一种热点安全事件的识别方法及系统 |
CN104579782B (zh) * | 2015-01-12 | 2018-03-27 | 国家电网公司 | 一种热点安全事件的识别方法及系统 |
CN105871776A (zh) * | 2015-01-19 | 2016-08-17 | 苏宁云商集团股份有限公司 | 基于日志的挖掘安全未知漏洞的方法和系统 |
CN108040493A (zh) * | 2015-09-30 | 2018-05-15 | 赛门铁克公司 | 利用低置信度安全事件来检测安全事故 |
CN108040493B (zh) * | 2015-09-30 | 2021-12-10 | 诺顿卫复客公司 | 基于低置信度安全事件来检测安全事故的方法和装置 |
CN106682022A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 一种日志查询方法和装置 |
CN105512189B (zh) * | 2015-11-26 | 2020-09-04 | 航天恒星科技有限公司 | 一种海事信息处理方法及系统 |
CN105512189A (zh) * | 2015-11-26 | 2016-04-20 | 航天恒星科技有限公司 | 一种海事信息处理方法及系统 |
CN105512210A (zh) * | 2015-11-27 | 2016-04-20 | 网神信息技术(北京)股份有限公司 | 关联事件类型的检测方法及装置 |
CN105450459B (zh) * | 2015-12-30 | 2019-06-07 | 中电长城网际系统应用有限公司 | 一种系统消息处理方法及收集器 |
CN105450459A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 一种系统消息处理方法及收集器 |
CN107086923B (zh) * | 2016-02-16 | 2021-03-16 | 中兴通讯股份有限公司 | 通信网络性能指标分析方法及装置 |
CN107086923A (zh) * | 2016-02-16 | 2017-08-22 | 中兴通讯股份有限公司 | 通信网络性能指标分析方法及装置 |
CN106095659A (zh) * | 2016-06-15 | 2016-11-09 | 安徽天枢信息科技有限公司 | 一种非结构化事件日志数据的实时监控方法与装置 |
CN106202486A (zh) * | 2016-07-19 | 2016-12-07 | 福建师范大学 | 异构数据集基于mic的字段值优先连接方法 |
CN106202486B (zh) * | 2016-07-19 | 2019-07-09 | 福建师范大学 | 异构数据集基于mic的字段值优先连接方法 |
CN106407350A (zh) * | 2016-09-05 | 2017-02-15 | 广州视睿电子科技有限公司 | 错误日志信息过滤方法及装置 |
CN107872347A (zh) * | 2016-09-28 | 2018-04-03 | 本田技研工业株式会社 | 通信状态判定方法和通信状态判定装置 |
CN106453401A (zh) * | 2016-10-21 | 2017-02-22 | 国家计算机网络与信息安全管理中心山东分中心 | 一种基于多源海量异构数据的网络监测分析及管理平台 |
CN110709826A (zh) * | 2016-12-22 | 2020-01-17 | 奥恩全球运营有限公司,新加坡分公司 | 用于链接来自异构数据库的数据记录的方法及系统 |
CN108268473A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | 一种日志处理方法及装置 |
CN107592309A (zh) * | 2017-09-14 | 2018-01-16 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
CN107592309B (zh) * | 2017-09-14 | 2019-09-17 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
CN107908640A (zh) * | 2017-09-27 | 2018-04-13 | 国网浙江省电力公司杭州供电公司 | 一种业务实体关系智能探索引擎实现方法 |
CN109685217A (zh) * | 2017-10-17 | 2019-04-26 | 博彦科技股份有限公司 | 数据处理方法、装置、存储介质和处理器 |
CN107844572A (zh) * | 2017-11-04 | 2018-03-27 | 公安部第三研究所 | 多维度事件关联分析方法 |
CN107844572B (zh) * | 2017-11-04 | 2022-02-22 | 公安部第三研究所 | 多维度事件关联分析方法 |
CN108876406A (zh) * | 2018-06-28 | 2018-11-23 | 中国建设银行股份有限公司 | 客服行为分析方法、装置、服务器及可读存储介质 |
CN108964995A (zh) * | 2018-07-03 | 2018-12-07 | 上海新炬网络信息技术股份有限公司 | 基于时间轴事件的日志关联分析方法 |
CN109241282A (zh) * | 2018-08-08 | 2019-01-18 | 麒麟合盛网络技术股份有限公司 | 一种报警信息汇聚方法及装置 |
CN110942081B (zh) * | 2018-09-25 | 2023-08-18 | 北京嘀嘀无限科技发展有限公司 | 图像处理方法、装置、电子设备及可读存储介质 |
CN110942081A (zh) * | 2018-09-25 | 2020-03-31 | 北京嘀嘀无限科技发展有限公司 | 图像处理方法、装置、电子设备及可读存储介质 |
CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
CN109783330A (zh) * | 2018-12-10 | 2019-05-21 | 北京京东金融科技控股有限公司 | 日志处理方法、显示方法和相关装置、系统 |
CN109783330B (zh) * | 2018-12-10 | 2023-04-07 | 京东科技控股股份有限公司 | 日志处理方法、显示方法和相关装置、系统 |
CN110263004A (zh) * | 2019-05-08 | 2019-09-20 | 北京字节跳动网络技术有限公司 | 日志记录方法、装置、电子设备和存储介质 |
CN112306787A (zh) * | 2019-07-24 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 报错日志处理方法、装置、电子设备和智能音箱 |
CN111600898A (zh) * | 2020-05-22 | 2020-08-28 | 国网电力科学研究院有限公司 | 基于规则引擎的安全告警生成方法、装置及系统 |
CN111984516B (zh) * | 2020-09-02 | 2024-01-05 | 大连大学 | 基于sgse-ecc的日志异常检测系统 |
CN111984515B (zh) * | 2020-09-02 | 2024-01-23 | 大连大学 | 多源异构日志分析方法 |
CN111984516A (zh) * | 2020-09-02 | 2020-11-24 | 大连大学 | 基于sgse-ecc的日志异常检测系统 |
CN111984515A (zh) * | 2020-09-02 | 2020-11-24 | 大连大学 | 多源异构日志分析方法 |
CN112800016A (zh) * | 2020-12-31 | 2021-05-14 | 武汉思普崚技术有限公司 | 一种日志数据分类排序方法及装置 |
CN113760895A (zh) * | 2021-01-12 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种自动生成表间关联路径的方法和系统 |
CN112861478B (zh) * | 2021-02-02 | 2022-07-05 | 广西师范大学 | 面向云服务事件联系的时变状态空间向量的构造方法 |
CN112861478A (zh) * | 2021-02-02 | 2021-05-28 | 广西师范大学 | 面向云服务事件联系的时变状态空间向量的构造方法 |
CN113141368A (zh) * | 2021-04-27 | 2021-07-20 | 天翼电子商务有限公司 | 一种支持海量数据实时安全威胁关联分析的系统 |
CN113676464A (zh) * | 2021-08-09 | 2021-11-19 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
WO2023060662A1 (zh) * | 2021-10-12 | 2023-04-20 | 中冶南方工程技术有限公司 | 一种高炉渣皮脱落合并方法、终端设备及存储介质 |
CN114205146A (zh) * | 2021-12-10 | 2022-03-18 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
CN114205146B (zh) * | 2021-12-10 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103546312A (zh) | 一种海量多源异构日志关联分析方法 | |
CN107577588B (zh) | 一种海量日志数据智能运维系统 | |
Du et al. | Spell: Streaming parsing of system event logs | |
US9659042B2 (en) | Data lineage tracking | |
Yadav et al. | A survey on log anomaly detection using deep learning | |
CN109784042B (zh) | 时间序列中异常点的检测方法、装置、电子设备及存储介质 | |
US11418524B2 (en) | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security | |
CN107391353A (zh) | 基于日志的复杂软件系统异常行为检测方法 | |
US9967321B2 (en) | Meme discovery system | |
CN111967761B (zh) | 一种基于知识图谱的监控预警方法、装置及电子设备 | |
CN103761173A (zh) | 一种基于日志的计算机系统故障诊断方法及装置 | |
CN106375339A (zh) | 基于事件滑动窗口的攻击模式检测方法 | |
CN105653518A (zh) | 一种基于微博数据的特定群体发现及扩充方法 | |
Zhang et al. | Enhancing traffic incident detection by using spatial point pattern analysis on social media | |
CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
CN109088903A (zh) | 一种基于流式的网络异常流量检测方法 | |
CN111177360B (zh) | 一种基于云上用户日志的自适应过滤方法及装置 | |
CN103532760A (zh) | 用于分析在各主机上执行的命令的分析设备、系统和方法 | |
CN113612763A (zh) | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 | |
CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
CN110765329B (zh) | 一种数据的聚类方法和电子设备 | |
CN116070206A (zh) | 一种异常行为检测方法、系统、电子设备及存储介质 | |
CN115544519A (zh) | 对计量自动化系统威胁情报进行安全性关联分析的方法 | |
CN117614743B (zh) | 网络诈骗的预警方法及其系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140129 |
|
WD01 | Invention patent application deemed withdrawn after publication |