CN108243060A - 一种基于大数据预分类的网络安全告警风险判定方法 - Google Patents
一种基于大数据预分类的网络安全告警风险判定方法 Download PDFInfo
- Publication number
- CN108243060A CN108243060A CN201710043168.4A CN201710043168A CN108243060A CN 108243060 A CN108243060 A CN 108243060A CN 201710043168 A CN201710043168 A CN 201710043168A CN 108243060 A CN108243060 A CN 108243060A
- Authority
- CN
- China
- Prior art keywords
- rule
- data
- event
- reliability index
- determination method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于大数据预分类的网络安全告警风险判定方法,用数据分类规则集中的规则对原始日志数据标准化及分类;根据规则命中率重载并应用数据分类规则集;用事件分析规则集中的规则对已分类的标准化数据事件合并;用可信度指数事件集中的规则对已合并的事件匹配,更新可信度指数事件集中元素的发生次数和可信度;用事件分析规则集中的规则对无法匹配的事件逐一匹配,新生成的可信度指数事件追加到可信度指数事件集中。本发明使原始数据基于规则命中率进行数据标准化及分类操作,基于可信度对已分类的标准化数据进行可信度分析,从而能够获得准确结论的安全事件。
Description
技术领域
本发明涉及计算机网络应用技术领域,尤其涉及一种基于大数据预分类的网络安全告警风险判定方法。
背景技术
随着计算机技术和网络技术的发展,网络安全问题越来越受到重视,为了保证网络上的信息安全,通常需要对威胁网络安全的任何一个行为进行报警,即产生安全事件。安全事件通常由安全系统生成,安全系统指的是对用户系统进行安全监测和保护的应用系统,比如入侵检测系统、漏洞扫描系统、审计系统、防火墙、内网终端监管、防病毒系统等。
各类安全系统通常都会产生大量的安全报警事件。来源不同的安全系统所产生的安全事件往往彼此重叠、关联或者相互依赖,而且数据量相当庞大。由于安全管理员需要应对大量具有冗余性且彼此关系错综的报警事件,从而使得安全管理工作变得越来越复杂。
要解决上述问题,就必须应用关联分析技术。目前主要的关联分析技术通常包括下述两种。
第一种方式是基于串行处理的规则关联分析技术,该技术对安全系统产生的报警事件与规则模型进行逐一的匹配。根据该匹配方式的,可以按照模型的顺序,调整模型的优先级,从而实现简单、调试方便。但是该匹配方式的处理效率低、吞吐量不高,从而很难实现真正的基于场景的规则关联分析。
第二种方式是基于统计分析的关联分析技术,基于统计分析的关联分析技术,利用数据挖掘领域常用的统计分析方法,对大量原始报警事件通过统计方法划分出包含共有特征的集合。然后将此集合应用到网络安全检测中,基于统计分析的关联分析技术由于目前统计分析方法还不足以应对工程应用,得出的分析结果也缺乏明确的实际意义,因此鲜有以此技术为实现的关联分析系统。
发明内容
鉴于上述问题,本发明提供一种基于大数据预分类的网络安全告警风险判定方法,本发明的目的在于提供高效准确的数据匹配,以及获得准确结论。
为了达到上述目的,本发明的解决方案是:
一种基于大数据预分类的网络安全告警风险判定方法,所述基于大数据预分类的网络安全告警风险判定方法包括以下步骤:
用数据分类规则集中的规则对原始日志进行数据标准化及分类;
在数据分类过程中实时计算数据分类规则集中各规则的命中率;
在数据分类进行时根据最新的规则命中率结果重载并应用最新的数据分类规则集;
用事件分析规则集中的规则对已分类的标准化数据进行事件合并;
用可信度指数事件集中的规则对已合并的事件进行匹配以及数据导出;
对于匹配成功的,更新可信度指数事件集中元素的发生次数和可信度信息;
对于无法匹配的,用事件分析规则集中的规则逐一进行匹配;
生成新的可信度指数事件,追加到可信度指数事件集中。
依照本发明的一个方面,所述基于大数据预分类的网络安全告警风险判定方法包括:基于规则命中率的数据预分类方法和基于可信度的风险判定方法;其中:
基于规则命中率的数据预分类方法,包括以下步骤:
系统载入数据分类规则集到规则队列中,初次载入数据分类规则集时不分优先级,而是依次载入到队里,并保存队列顺序字典信息;
系统从规则队列中取第一条规则,对收到的原始日志进行匹配;
匹配方式采用原始日志字符串和规则中定义的正则表达式进行匹配;
对于匹配成功的日志进行按照规则进行归一化操作,并且把匹配规则中提取到的分类特征标识填充到归一化后的标准化数据结构;
更新队列中的规则命中率属性,命中率计算方式为:(当前规则匹配成功的次数/所有日志数量)*100,根据规则命中率属性从高到低的顺序排序规则,排序结果和现有队列顺序字典信息不一致情况下重新载入数据分类规则集到系统中,否则保持原有状态;
对于匹配失败的原始日志继续匹配规则队列中的下一条规则;
基于可信度的风险判定方法,包括以下步骤:
系统载入事件分析规则集到规则队列中;
系统依据事件分析规则集中的五元组和日志分类特征标识的属性合并日志数量;
系统遍历可信度指数事件集,在遍历过程中合并的日志跟可信度指数事件集中的事件分析规则进行匹配;
对于匹配成功的日志,更新可信度指数事件集中相应元素的发生次数和可信度信息,并把更新后的元素信息导出到外部存储;
对于无法匹配可信度指数事件集的标准化数据,通过事件分析规则队列中的规则逐一进行匹配;
当匹配成功时,系统根据规则定义产生事件定义信息,此信息追加到标准化数据中;此后系统生成可信度指数事件,此事件包括标准化数据和当前匹配的事件分析规则,系统把新生成的可信度指数事件追加到可信度指数事件集中。
依照本发明的一个方面,所述数据分类规则集描述了对原始日志归一化处理的表达式,并对每组规则定义了日志分类特征标识。
依照本发明的一个方面,所述事件分析规则集的描述中包含五元组、日志分类特征标识、发生次数、超时设定以及可信度。
依照本发明的一个方面,所述系统依据五元组和日志分类特征标识的属性合并日志数量的方式为统计此类日志的发生次数,发生次数和可信度具有正比关系。
依照本发明的一个方面,所述可信度指数事件集中的元素包含标准化数据以及匹配的事件分析规则。
依照本发明的一个方面,所述可信度指数事件集与合并的日志的匹配方式为匹配规则中定义的五元组信息、日志分类特征标识、发生次数属性;对当前元素的超时设定进行验证,对于超时的元素从可信度指数事件集合中移除。
依照本发明的一个方面,所述事件分析规则与无法匹配可信度指数事件集的标准化数据的匹配方式为匹配规则中定义的五元组信息、日志分类特征标识、发生次数属性。
本发明实施的优点:本发明提供了高效准确的数据匹配以及获得准确结论的安全事件分析方法。采用本发明提供的基于规则命中率的数据预分类方法,在数据分类过程中实时计算分类规则的命中率,在数据分类进行时根据最新的规则命中率结果重载并应用最新规则,可以在不断的匹配过程中动态调整规则链的顺序,有效的减少一条原始日志需要匹配的规则链,从而提高整体的数据标准化和分类效率。在本发明提供的可信度的风险判定方法中,根据事件分析规则进行安全事件分析,在分析过程中对标准化数据进行合并,并随着安全事件发生次数的增加,系统逐渐更新这些安全事件的可信度,从而提炼出更具准确的事件结果。除了匹配规则外还对当前元素的超时设定进行验证,对于超时的元素从可信度指数事件集中移除。综上所述,本发明是一种高效的规则模型匹配方法,利用该方法,可以支持高效准确的匹配,并且能够实现基于可信度的规则关联分析。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述的基于大数据预分类的网络安全告警风险判定方法示意图。
图2为本发明所述的基于规则命中率的数据预分类方法流程图。
图3为本发明所述的基于可信度的风险判定方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种基于大数据预分类的网络安全告警风险判定方法,所述基于大数据预分类的网络安全告警风险判定方法包括以下步骤:
步骤S1:用数据分类规则集中的规则对原始日志进行数据标准化及分类;
步骤S2:在数据分类过程中实时计算数据分类规则集中各规则的命中率;
步骤S3:在数据分类进行时根据最新的规则命中率结果重载并应用最新的数据分类规则集;
步骤S4:用事件分析规则集中的规则对已分类的标准化数据进行事件合并;
步骤S5:用可信度指数事件集中的规则对已合并的事件进行匹配以及数据导出;
步骤S6:对于匹配成功的,更新可信度指数事件集中元素的发生次数和可信度信息;
步骤S7:对于无法匹配的,用事件分析规则集中的规则逐一进行匹配;
步骤S8:生成新的可信度指数事件,追加到可信度指数事件集中。
参照图2,其描述了本发明提供的基于规则命中率的数据预分类方法流程,具体如下:
步骤S101,系统载入数据分类规则集到规则队列中,数据分类规则集中的规则描述了对原始日志归一化处理的表达式,并对每组规则定义了日志分类特征标识。系统初次载入数据分类规则集时不分优先级,而是依次载入到队里,并保存队列顺序字典信息。
数据分类规则集中的规则定义主要有两个部分组成
1、pattern节点,描述了归一化规则,如
表1
2、props节点:描述了归一化字段,如
表2
步骤S102,系统从数据分类规则集的规则队列中取第一条规则,对收到的原始日志进行匹配。
步骤S103,匹配方式采用原始日志字符串和规则中定义的正则表达式进行匹配,其中正则表达式指的是表1中的context内容,匹配操作是通过计算机程序语言(如java)提供的正则操作库进行。
步骤S104,对于匹配成功的日志按照规则进行归一化操作,如匹配成功后的原始日志中源ip、目的ip等字段根据表2中prop节点上的index字段绑定到name字段上,最终形成<key:value,key:value……>形式的归一化数据结构,key为prop节点的name字段,value为原始日志中提取的内容,并且把匹配规则中提取到的分类特征标识填充到归一化后的标准化数据结构,分类特征标识为plugin_id和plugin_sid的字段。
步骤S105,更新队列中的规则命中率属性,命中率计算方式为:(当前规则匹配成功的次数/所有日志数量)*100,根据规则命中率属性从高到低的顺序排序规则,排序结果和现有队列顺序字典信息不一致情况下重新载入数据分类规则集到系统中,否则保持原有状态。
步骤S106,对于匹配失败的原始日志继续匹配数据分类规则集队列的下一条规则。
参照图3,其描述了本发明提供的基于可信度的风险判定方法流程,具体如下:
步骤S201,系统载入事件分析规则集到规则队列中。事件分析规则集中的规则描述中包含五元组、日志分类特征标识、发生次数、超时设定以及可信度。其中可信度越大,表明报警越真实。可信度在关联过程中至关重要。
事件分析规则集中的规则定义如下:
表3
其中五元组为源ip、目的ip、源端口、目的端口和协议字段。日志分类标识为plugin_id和plugin_sid字段。
步骤S202,系统依据五元组和日志分类特征标识的属性合并日志数量,也就是统计此类日志的发生次数,发生次数和可信度具有正比关系,发生次数越高可信度也会相应提高。
步骤S203,系统遍历可信度指数事件集,可信度指数事件集中的元素包含标准化数据、匹配的事件分析规则属性。在遍历过程中合并的日志跟元素中的事件分析规则进行匹配。
步骤S204,系统对当前元素的超时设定进行验证,验证方式为当前元素的更新时间到当前的时间差是否超过表3里rule节点的【超时设定】属性的值,如果没有超过指定范围执行步骤S206,否则执行S205。
步骤S205,对于超时的元素从可信度指数事件集中移除。
步骤S206,匹配方式为匹配规则中定义的五元组信息、日志分类特征标识以及发生次数属性。
步骤S207,对于匹配成功的日志,更新可信度指数事件集中相应元素的发生次数和可信度信息,并把更新后的元素信息导出到外部存储。
步骤S208,对于无法匹配可信度指数事件集的标准化数据,通过事件分析规则集队列中的规则逐一进行匹配。
步骤S209,匹配方式为匹配规则中定义的五元组信息、日志分类特征标识以及发生次数属性。
步骤S210,当匹配成功时,系统根据规则定义产生事件定义信息,此信息追加到标准化数据中。此后系统生成可信度指数事件,此事件包括标准化数据和当前匹配的事件分析规则,系统把新生成的可信度指数事件追加到可信度指数事件集中。
本发明实施的优点:本发明提供了高效准确的数据匹配以及获得准确结论的安全事件分析方法。采用本发明提供的基于规则命中率的数据预分类方法,在数据分类过程中实时计算分类规则的命中率,在数据分类进行时根据最新的规则命中率结果重载并应用最新规则,可以在不断的匹配过程中动态调整规则链的顺序,有效的减少一条原始日志需要匹配的规则链,从而提高整体的数据标准化和分类效率。在本发明提供的可信度的风险判定方法中,根据事件分析规则进行安全事件分析,在分析过程中对标准化数据进行合并,并随着安全事件发生次数的增加,系统逐渐更新这些安全事件的可信度,从而提炼出更具准确的事件结果。除了匹配规则外还对当前元素的超时设定进行验证,对于超时的元素从可信度指数事件集中移除。综上所述,本发明是一种高效的规则模型匹配方法,利用该方法,可以支持高效准确的匹配,并且能够实现基于可信度的规则关联分析。
上述的对实施例的描述是为便于该技术领域的普通技术人员能理解和应用本专利。熟悉本领域技术的人员显然可以容易地对这些实施例做出各种修改,并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此,本发明不限于这里的实施例,本领域技术人员根据本发明的揭示,不脱离本发明范畴所做出的改进和修改都应该在本发明的保护范围之内。
Claims (8)
1.一种基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述基于大数据预分类的网络安全告警风险判定方法包括以下步骤:
用数据分类规则集中的规则对原始日志进行数据标准化及分类;
在数据分类过程中实时计算数据分类规则集中各规则的命中率;
在数据分类进行时根据最新的规则命中率结果重载并应用最新的数据分类规则集;
用事件分析规则集中的规则对已分类的标准化数据进行事件合并;
用可信度指数事件集中的规则对已合并的事件进行匹配以及数据导出;
对于匹配成功的,更新可信度指数事件集中元素的发生次数和可信度信息;
对于无法匹配的,用事件分析规则集中的规则逐一进行匹配;
生成新的可信度指数事件,追加到可信度指数事件集中。
2.根据权利要求1所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述基于大数据预分类的网络安全告警风险判定方法包括:基于规则命中率的数据预分类方法和基于可信度的风险判定方法;其中:
基于规则命中率的数据预分类方法,包括以下步骤:
系统载入数据分类规则集到规则队列中,初次载入数据分类规则集时不分优先级,而是依次载入到队里,并保存队列顺序字典信息;
系统从规则队列中取第一条规则,对收到的原始日志进行匹配;
匹配方式采用原始日志字符串和规则中定义的正则表达式进行匹配;
对于匹配成功的日志进行按照规则进行归一化操作,并且把匹配规则中提取到的分类特征标识填充到归一化后的标准化数据结构;
更新队列中的规则命中率属性,命中率计算方式为:(当前规则匹配成功的次数/所有日志数量)*100,根据规则命中率属性从高到低的顺序排序规则,排序结果和现有队列顺序字典信息不一致情况下重新载入数据分类规则集到系统中,否则保持原有状态;
对于匹配失败的原始日志继续匹配规则队列中的下一条规则;
基于可信度的风险判定方法,包括以下步骤:
系统载入事件分析规则集到规则队列中;
系统依据事件分析规则集中的五元组和日志分类特征标识的属性合并日志数量;
系统遍历可信度指数事件集,在遍历过程中合并的日志跟可信度指数事件集中的事件分析规则进行匹配;
对于匹配成功的日志,更新可信度指数事件集中相应元素的发生次数和可信度信息,并把更新后的元素信息导出到外部存储;
对于无法匹配可信度指数事件集的标准化数据,通过事件分析规则队列中的规则逐一进行匹配;
当匹配成功时,系统根据规则定义产生事件定义信息,此信息追加到标准化数据中;此后系统生成可信度指数事件,此事件包括标准化数据和当前匹配的事件分析规则,系统把新生成的可信度指数事件追加到可信度指数事件集中。
3.根据权利要求2所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述数据分类规则集描述了对原始日志归一化处理的表达式,并对每组规则定义了日志分类特征标识。
4.根据权利要求2所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述事件分析规则集的描述中包含五元组、日志分类特征标识、发生次数、超时设定以及可信度。
5.根据权利要求2所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述系统依据五元组和日志分类特征标识的属性合并日志数量的方式为统计此类日志的发生次数,发生次数和可信度具有正比关系。
6.根据权利要求2所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述可信度指数事件集中的元素包含标准化数据以及匹配的事件分析规则。
7.根据权利要求2所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述可信度指数事件集与合并的日志的匹配方式为匹配规则中定义的五元组信息、日志分类特征标识、发生次数属性;并且对当前元素的超时设定进行验证,对于超时的元素从可信度指数事件集合中移除。
8.根据权利要求2所述的基于大数据预分类的网络安全告警风险判定方法,其特征在于,所述事件分析规则与无法匹配可信度指数事件集的标准化数据的匹配方式为匹配规则中定义的五元组信息、日志分类特征标识、发生次数属性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710043168.4A CN108243060A (zh) | 2017-01-19 | 2017-01-19 | 一种基于大数据预分类的网络安全告警风险判定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710043168.4A CN108243060A (zh) | 2017-01-19 | 2017-01-19 | 一种基于大数据预分类的网络安全告警风险判定方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108243060A true CN108243060A (zh) | 2018-07-03 |
Family
ID=62703040
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710043168.4A Pending CN108243060A (zh) | 2017-01-19 | 2017-01-19 | 一种基于大数据预分类的网络安全告警风险判定方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108243060A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110098961A (zh) * | 2019-04-25 | 2019-08-06 | 北京天融信网络安全技术有限公司 | 一种数据质量评估方法、装置及存储介质 |
CN110599030A (zh) * | 2019-09-10 | 2019-12-20 | 江苏方天电力技术有限公司 | 一种基于正反特征库加权匹配的电力风险预警方法 |
CN110753032A (zh) * | 2019-09-24 | 2020-02-04 | 支付宝(杭州)信息技术有限公司 | 一种风险维度组合挖掘方法、装置及设备 |
CN111309290A (zh) * | 2019-11-29 | 2020-06-19 | 上海金融期货信息技术有限公司 | 一种灵活可扩展业务规则矩阵系统 |
CN111339211A (zh) * | 2018-12-19 | 2020-06-26 | 中国移动通信集团重庆有限公司 | 网络问题分析的方法、装置、设备及介质 |
WO2020240304A1 (en) * | 2019-05-29 | 2020-12-03 | International Business Machines Corporation | System and method for siem rule sorting and conditional execution |
CN112618895A (zh) * | 2021-01-05 | 2021-04-09 | 中国人民解放军空军军医大学 | 重症监护室呼吸机警报管理系统与方法 |
CN113676464A (zh) * | 2021-08-09 | 2021-11-19 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
CN115883219A (zh) * | 2022-12-02 | 2023-03-31 | 上海花宸月希信息科技有限公司 | 基于日志的大数据智能关联分析方法及系统 |
CN116633695A (zh) * | 2023-07-24 | 2023-08-22 | 中国电信股份有限公司 | 安全规则库管理方法、装置、计算机设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN101902336A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种基于规则模型的安全事件关联分析系统及方法 |
US20120096551A1 (en) * | 2010-10-13 | 2012-04-19 | National Taiwan University Of Science And Technology | Intrusion detecting system and method for establishing classifying rules thereof |
CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
-
2017
- 2017-01-19 CN CN201710043168.4A patent/CN108243060A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902336A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种基于规则模型的安全事件关联分析系统及方法 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
US20120096551A1 (en) * | 2010-10-13 | 2012-04-19 | National Taiwan University Of Science And Technology | Intrusion detecting system and method for establishing classifying rules thereof |
CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
Non-Patent Citations (1)
Title |
---|
王祎飞等: "一种基于关系矩阵的多源安全事件关联", 《信息系统工程》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111339211A (zh) * | 2018-12-19 | 2020-06-26 | 中国移动通信集团重庆有限公司 | 网络问题分析的方法、装置、设备及介质 |
CN111339211B (zh) * | 2018-12-19 | 2023-09-19 | 中国移动通信集团重庆有限公司 | 网络问题分析的方法、装置、设备及介质 |
CN110098961A (zh) * | 2019-04-25 | 2019-08-06 | 北京天融信网络安全技术有限公司 | 一种数据质量评估方法、装置及存储介质 |
US11516228B2 (en) | 2019-05-29 | 2022-11-29 | Kyndryl, Inc. | System and method for SIEM rule sorting and conditional execution |
GB2598214B (en) * | 2019-05-29 | 2023-05-03 | Kyndryl Inc | System and method for SIEM rule sorting and conditional execution |
WO2020240304A1 (en) * | 2019-05-29 | 2020-12-03 | International Business Machines Corporation | System and method for siem rule sorting and conditional execution |
GB2598214A (en) * | 2019-05-29 | 2022-02-23 | Ibm | System and method for SIEM rule sorting and conditional execution |
CN110599030A (zh) * | 2019-09-10 | 2019-12-20 | 江苏方天电力技术有限公司 | 一种基于正反特征库加权匹配的电力风险预警方法 |
CN110599030B (zh) * | 2019-09-10 | 2022-06-07 | 江苏方天电力技术有限公司 | 一种基于正反特征库加权匹配的电力风险预警方法 |
CN110753032A (zh) * | 2019-09-24 | 2020-02-04 | 支付宝(杭州)信息技术有限公司 | 一种风险维度组合挖掘方法、装置及设备 |
CN110753032B (zh) * | 2019-09-24 | 2021-11-16 | 支付宝(杭州)信息技术有限公司 | 一种风险维度组合挖掘方法、装置及设备 |
CN111309290A (zh) * | 2019-11-29 | 2020-06-19 | 上海金融期货信息技术有限公司 | 一种灵活可扩展业务规则矩阵系统 |
CN112618895A (zh) * | 2021-01-05 | 2021-04-09 | 中国人民解放军空军军医大学 | 重症监护室呼吸机警报管理系统与方法 |
CN113676464A (zh) * | 2021-08-09 | 2021-11-19 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
CN113676464B (zh) * | 2021-08-09 | 2023-07-04 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
CN115883219A (zh) * | 2022-12-02 | 2023-03-31 | 上海花宸月希信息科技有限公司 | 基于日志的大数据智能关联分析方法及系统 |
CN116633695A (zh) * | 2023-07-24 | 2023-08-22 | 中国电信股份有限公司 | 安全规则库管理方法、装置、计算机设备和存储介质 |
CN116633695B (zh) * | 2023-07-24 | 2023-11-03 | 中国电信股份有限公司 | 安全规则库管理方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108243060A (zh) | 一种基于大数据预分类的网络安全告警风险判定方法 | |
CN107835087B (zh) | 一种基于频繁模式挖掘的安全设备告警规则自动提取方法 | |
US10484413B2 (en) | System and a method for detecting anomalous activities in a blockchain network | |
CN109784636A (zh) | 欺诈用户识别方法、装置、计算机设备及存储介质 | |
CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
CN109587125B (zh) | 一种网络安全大数据分析方法、系统及相关装置 | |
CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
CN107517216A (zh) | 一种网络安全事件关联方法 | |
CN108833139B (zh) | 一种基于类别属性划分的ossec报警数据聚合方法 | |
CN106254137B (zh) | 监管系统的告警根源分析系统及方法 | |
KR102225040B1 (ko) | 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템 | |
CN106375339A (zh) | 基于事件滑动窗口的攻击模式检测方法 | |
CN106534146A (zh) | 一种安全监测系统及方法 | |
CN112487208A (zh) | 一种网络安全数据关联分析方法、装置、设备及存储介质 | |
CN105376223B (zh) | 网络身份关系的可靠度计算方法 | |
CN107294966A (zh) | 一种基于内网流量的ip白名单构建方法 | |
CN107092826A (zh) | 网页内容安全实时监测方法 | |
CN115021997B (zh) | 一种基于机器学习的网络入侵检测系统 | |
CN104158682A (zh) | 一种基于贡献度的同步数字体系sdh故障定位方法 | |
CN115544519A (zh) | 对计量自动化系统威胁情报进行安全性关联分析的方法 | |
CN111046087A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
WO2018177167A1 (zh) | 一种ip地址分析方法、系统及计算机可读存储介质和计算机设备 | |
CN108073582A (zh) | 一种计算框架选择方法和装置 | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180703 |