CN108713310A - 用于对在线和传输中信息安全数据进行压缩和优化的方法和系统 - Google Patents
用于对在线和传输中信息安全数据进行压缩和优化的方法和系统 Download PDFInfo
- Publication number
- CN108713310A CN108713310A CN201680080784.0A CN201680080784A CN108713310A CN 108713310 A CN108713310 A CN 108713310A CN 201680080784 A CN201680080784 A CN 201680080784A CN 108713310 A CN108713310 A CN 108713310A
- Authority
- CN
- China
- Prior art keywords
- digital signature
- original alarms
- alarms
- original
- discrete
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/31—Indexing; Data structures therefor; Storage structures
- G06F16/313—Selection or weighting of terms for indexing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2125—Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/30—Compression, e.g. Merkle-Damgard construction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Alarm Systems (AREA)
Abstract
本文公开了一种用于通过在一系列时间窗口内的原始计算机安全警报中标识低熵数据块或重复的信息安全信息来对原始非结构化在线和传输中数据进行即时压缩和优化的方法和系统。具体而言,该方法和系统自动管理、处理和优化同时从多个信息监视源和/或外围监控设备接收到的在线和传输中数据块或原始信息安全警报。各时间窗口中的被发现是唯一的数据块或原始信息安全警报被转换成元定义表以供进一步处理,而每一个特定时间窗口中所包含的冗余数据块或原始警报被相应地标识、标记和处理。
Description
技术领域
本发明涉及一种用于通过在一系列时间窗口内的原始计算机安全警报中标识低熵数据块或重复的信息安全信息来对原始非结构化在线和传输中数据进行即时压缩和优化的方法和系统。具体而言,该方法和系统自动管理、处理和优化同时从多个信息监视源和/或外围监控设备接收到的在线和传输中数据块或原始信息安全警报。各时间窗口中的被发现是唯一的数据块或原始信息安全警报被转换成元定义表以供根据本发明的实施例来进行进一步处理,而每一个特定时间窗口中所包含的冗余数据块或原始警报被相应地标识、标记和处理。
发明背景
安全事件管理器是计算机网络中用于集中对计算机生成的日志或由计算机网络的监视设备生成的记录的形式的原始计算机安全警报的收集,存储和处理的设备。这些监控设备不限于计算机安全外设,而是还包括监视装备,诸如有线和无线摄像机以及用于语音或类似感知设备的实时分析处理装备。这些事件管理器不仅处理极大量的数据,而且它们还处理通常包括各种格式和大小的数据的非结构化原始数据。
由于现有计算机网络利用大量监控设备,因此这些监控设备所生成的日志数量也快速增加。其原因是每一个监控设备将在每一次事件发生时生成日志或记录并将这些日志全都发送到事件管理器。除了上述之外,所生成的日志数量随着时间的推移伴随着网络运营商添加用于记录和标识潜在安全威胁的新的且更强大的监控工具而逐渐增加。无论所采用的工具类型如何,这些工具中的大多数产生以事件日志的形式存储的数据。这些事件日志可包括警报/干扰通知、由网络管理系统(NMS)或网络元件生成的性能日志、操作系统日志、网络活动以及任何其它这样的事件。这些事件日志被监视以使得诸如基于网络的攻击和/或基于主机的安全漏洞等可能不合乎需要的计算活动可被快速检测到并被处置。
目前,在事件管理器处收集所收集到的日志数据和/或这种性质的记录(称为信息安全事件)。收集到的数据然后在被传送到指挥中心以供计算机安全分析员进行分析之前被进一步处理(相关、加密等)。然而,由于每天生成大量日志文件,因此在事件管理器处出现瓶颈,由此将要传送的数据排队以FIFO(先入先出)方式传送。
为了正确监视和防止计算机网络的问题和安全漏洞,计算机安全分析员应当能够即时且定期从事件管理器接收这些日志,以便可以快速分析这些日志以标识任何异常日志条目或故障的早期迹象。然而,实际上,这是艰难的任务。将要传送的日志通常是庞大的-最糟糕的是每天包含数百万行,并且填充了不同格式的条目,这使得难以容易地解决数据瓶颈。
为了解决这个瓶颈问题,已经提出根据所使用的监控设备的数量来缩放在每个计算机网络中使用的事件管理器的数量。例如,提出每一个事件管理器应只担当最多10个监控设备的集中式数据收集中心。这意味着随着监控设备数量的增加,计算机网络中所采用的事件管理器的数量也应相应地增加。这种方法是不利的,因为需要添加可能不与现存网络设备后向兼容的附加事件管理器。这些兼容性问题进而可能导致传送或收集被破坏的事件日志。
一般而言,从各种监控设备获取的所有事件日志仍然必须排队以待处理并从事件管理器传送到指挥中心。即使已记录潜在威胁或攻击,但直到由安全分析员在指挥中心处接收到并处理事件日志时,分析员才会意识到潜在威胁。
出于上述原因,本领域技术人员一直在努力想出一种系统和方法,该系统和方法能够执行对传输中的大量原始非结构化数据的比特率级优化和压缩以确定哪些数据日志或原始警报是冗余的。然后忽略被标识为冗余的数据日志或原始警报,并且然后处理和传送有用的数据日志或原始警报以供进一步分析。
发明内容
通过根据本发明的实施例提供的系统和方法解决了上述和其他问题,并且在本领域中取得了进步。根据本发明的系统和方法的实施例的第一个优点是由于可以从原始非结构化传输中数据中高速标识冗余原始警报和非冗余原始警报,因此仅处理(即,聚合、压缩并聚合)非冗余原始警报,而不处理冗余原始警报,从而减少计算机系统的负载。
根据本发明的系统和方法的实施例的第二个优点是无论每个原始警报的数据格式或数据大小如何,原始警报仍然可以被相应地分类处理。这允许容易且快速处理大量数据。
根据本发明的系统和方法的实施例的第三个优点是本发明可以模块化并嵌入到基于独立软件和硬件的操作系统中,以用作在线高速缓存分析器模块,以用于持续地对原始警报进行分类,从而确保只有非冗余原始警报经受进一步的处理步骤。
上述优点通过根据本发明的以如下方式操作的方法的实施例来提供。
根据本发明的第一宽泛方面,提供了一种用于从非结构化传输中数据中确定冗余的离散原始警报的方法,该方法由计算机系统执行,该方法包括
生成可移动时间窗口并使用所述可移动时间窗口来涵盖非结构化传输中数据中的第一组离散原始警报,其中所述传输中数据按时间顺序排列,并且其中每一个离散原始警报包括数据分量和时间分量;
使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名;
处理所生成的数字签名,对所生成的每一个数字签名的处理包括:
将所生成的数字签名与存储在元定义数据库中的数字签名相匹配,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则将不匹配的数字签名添加到所述元定义数据库,
其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报;以及
将具有不匹配的数字签名的原始警报标记为非冗余原始警报,并且聚合、压缩并加密非冗余原始警报。
参考该第一方面,在该第一方面的第一可能实现中,该方法进一步包括
移动所述可移动时间窗口以涵盖所述非结构化传输中数据中的第二组离散原始警报,其中所述第二组离散原始警报在时间顺序中晚于所述第一组离散原始警报;
使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名;
处理所生成的数字签名,对所生成的每一个数字签名的处理包括:
将所生成的数字签名与存储在元定义数据库中的数字签名相匹配,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则将不匹配的数字签名添加到所述元定义数据库,
其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报;以及
将具有不匹配的数字签名的原始警报标记为非冗余原始警报,并且聚合、压缩并加密非冗余原始警报。
参考该第一方面或者该第一方面的第一可能实现,在该第一方面的第二可能实现中,被标记为冗余数字签名的数字签名用指示这些数字签名何时被标记为冗余的时间戳来进一步标记,其中在从所述时间戳开始的一时间段后,所述冗余数字签名被从第二数据库中移除。
参考该第一方面或者该第一方面的第一可能实现,在该第一方面的第三可能实现中,该方法进一步包括将冗余离散原始警报从所述非结构化传输中数据中移除。
参考该第一方面或者该第一方面的第一可能实现,在该第一方面的第四可能实现中,为每一个离散原始警报生成所述数字签名包括:使用密码散列函数来生成所述数字签名,其中所述数字签名包括散列值。
参考该第一方面的第四可能实现,在该第一方面的第五可能实现中,所述密码散列函数包括256位安全散列算法(SHA)。
参考该第一方面的第一可能实现,在该第一方面的第六可能实现中,移动所述可移动时间窗口以涵盖所述非结构化传输中数据中的所述第二组离散原始警报包括:
动态地改变所述可移动时间窗口的大小,其中所述可移动时间窗口的大小在非冗余原始警报与冗余原始警报之比高于10:1比率的情况下增大;以及
沿着按时间顺序排列的传输中数据移动经调整大小的可移动时间窗口以涵盖所述第二组离散原始警报。
附图简述
为了可以更清楚地确定本发明,现在将参考附图通过示例描述实施例,其中:
图1示出了根据本发明的实施例的客户端装备中的设备的网络图;
图2a示出了根据本发明的实施例的原始非结构化数据的示例;
图2b示出了根据本发明的实施例的按时间顺序排列的离散原始警报以及可移动时间窗口;
图3示出了根据本发明的实施例的原始非结构化数据的示例;
图3示出了根据本发明的实施例的事件管理器的控制器和用户接口的示意图;
图4示出了根据本发明的实施例的用于对冗余和非冗余原始警报进行分类的过程的流程图;以及
图5示出了根据本发明的实施例的用于对后续时间窗口中的冗余和非冗余原始警报进行分类的过程的流程图。
详细描述
本发明涉及一种用于分析大量原始非结构化数据以标识可移动时间帧/时间窗口内或者由可移动时间帧/时间窗口定义的二进制大对象(BLOB)内的冗余数据块或冗余原始警报的方法和系统。具体而言,该方法和系统分析同时从多个监控设备接收到的原始警报,由此特定时间窗口中的被发现是唯一的原始警报根据本发明的实施例来进一步处理,而特定时间窗口内所包含的冗余原始警报被标识、标记并被允许相应地处理。时间窗口然后继续涵盖下一组原始警报,由此该下一组原始警报然后被类似地处理。
图1示出了根据本发明的实施例的在客户的场所提供的设备的网络图。客户端装备101包括事件管理器105,其被配置成从各种网络设备接收数据话务和信息安全事件。这些网络设备可以通过无线或有线装置连接到事件管理器105并且这些网络设备可包括但不限于用户设备130、服务器125、网络监控设备120、网关设备115以及计算机110。除了这些网络设备之外,可利用诸如防火墙、路由器、交换机等其它设备(未示出)来收集从其它网络设备生成的日志消息,由此收集到的日志消息然后被提供给事件管理器105。应当注意,事件管理器105还可以在全局指挥中心处提供以接收从位于各种位置的事件管理器传送的事件日志。
如对于网络150,网络150是诸如因特网等允许计算设备和/或处理系统通过有线装置、无线装置或这两者的组合来彼此通信的通信网络。本领域技术人员将认识到,有线装置可以包括但不限于诸如广域网(WAN)或局域网(LAN)等有线网络,而无线装置可以包括经由射频(RF)信号或红外信号建立的无线通信。
通常,事件管理器105用于监视由各个相应的网络设备实时检测到的关键任务安全事件。然而,发送到事件管理器105的数据将不会是统一格式的。具体而言,数据将以各种格式和大小从各种网络设备传送到事件管理器105。可以由网络设备使用的格式包括但不限于原始传输控制协议(TCP)/用户数据报协议(UDP)连接,或其它协议,诸如简单网络管理协议(SNMP)、简单邮件传输协议(SMTP)、家庭网络拓扑标识协议(HTIP)、文件传输协议(FTP)和任何其他应用非流传输协议和非应用流传输协议。
然后,使用输入/输出(I/O)插件106在事件管理器105处接收来自各种网络设备的数据,该插件106充当相应网络设备和事件管理器105之间的接口。由于I/O插件是因技术而异的,因此在事件管理器105处将为每种类型的网络设备分配其自己的I/O插件106。这意味着在图1所示的实施例中,事件管理器105被示为具有五个I/O插件,连接到事件管理器105的每种类型的网络设备有一个插件。
事件管理器105还被配置为执行用于每个因技术而异的I/O插件的软件、存储器或程序实例。这确保每一个I/O插件接收到的数据可由其自己的孤立实例来单独处理。因此,从网络设备接收到的数据全都可以被并行处理,由此确保可以同时处置大量数据。事件管理器105还包括高速缓存分析器(CA)模块107。CA模块可以是软件程序;存储在存储器中的指令的形式,或者可以是在硬件中硬连线的。CA模块107被配置成根据本发明的实施例来执行高速缓存分析器过程。这些高速缓存分析器过程被配置成在每一个实例中进行,由此每一个实例内的每一个高速缓存分析器过程独立于在下一实例中出现的过程来执行。
由事件管理器150中的每个因技术而异的I/O插件106接收到的数据话务可以作为原始警报的按时序列存储在它们各自的实例中。由事件管理器105中的实例接收到的原始警报的时序的示例在图2a中的表200处示出。本领域技术人员将认识到,原始警报可以以其他格式和样式呈现而不背离本发明。还应注意,原始警报在时间上是离散的,因为每一个原始警报可以与一接收时间或时间范围相关联。在图2a所示的示例中,接收时间分量或时间范围被归类在列时间帧205下,而每一个原始警报数据分量被归类在列数据210下。
原始警报以先入先出方式作为离散原始警报存储在其各自的实例中,由此首先被接收到的原始警报将首先由CA模块107处理。在本发明的实施例中,每一个离散原始警报可由在特定时间或时间范围期间接收到的数据话务/警报组成。在本发明的附加实施例中,接收时间范围可以按毫秒计,但将认识到可采用其它时间段。应注意,由于每一个离散原始警报内所包含的信息将被单独且独立地处理,因而若原始警报的大小彼此不同,则这是无关紧要的。
在本发明的实施例中,原始警报可以被分组到原始警报的时间窗口或原始警报的BLOB中,其中每个时间窗口包括可移动选择“窗口”,即窗口212。该滑动选择窗口的最大尺寸由实例的缓冲区大小确定,并且其最小尺寸留给本领域技术人员作为设计选择。该可移动选择窗口可用于按时间顺序从所接收的数据话务中选择两个或更多个连续离散原始警报。这组选定的原始警报可以被称为“T0、T1……T+N”原始警报,其中N表示窗口中的第N个原始警报。在处理了可移动选择窗口内的原始警报之后,可移动选择窗口然后继续涵盖下一组原始警报。应当注意,在处理了窗口中的当前原始警报之后,该可移动选择窗口按时间顺序连续地涵盖下一组原始警报。在本发明的实施例中,滑动选择窗口的大小可以在操作期间动态地改变,从而导致处理不同的组大小。
上述可移动选择窗口212的示例性图示也在图2b中示出。图2b示出了来自T0……T6……TN的离散原始警报的按时序列220。在此图示中,T0表示实例首先接收到的离散原始警报,而TN表示同一实例接收到的最后一个离散原始警报。在操作中,可移动窗口212将首先涵盖离散原始警报T0-T5,即在位置A。在处理了位置A处的可移动窗口212内的原始警报之后,可移动窗口212然后按时间顺序继续涵盖下一组原始警报。然后,可移动窗口212将涵盖离散原始警报T6-T11,即在位置B。然后可移动窗口212继续前进以涵盖下一组原始警报。或者,可以如下描述可移动窗口的按时间顺序的选择操作。在可移动选择窗口已经完成对在示例性时间段之间(例如在0.1毫秒-0.3毫秒的时间段之间)接收到的离散原始警报的处理后,可移动选择窗口然后继续涵盖按时间顺序的下一组原始警报,即在0.4毫秒-0.6毫秒的时间段内接收到的离散原始警报(假设可移动选择窗口的缓冲区大小为0.3毫秒)以供进一步处理。
在本发明的实施例中,事件管理器105包括控制器301和用户接口302。用户接口302被布置成启用用户与事件管理器105之间的手动交互,并且为此目的该用户接口302包括用户输入指令以控制事件管理器105所需的输入/输出组件。然而,应当理解,用户接口302可以位于远程,并且实际上可以是例如个人计算机或其他类型的计算机的用户接口的形式,并且可以被布置成经由例如网络150来与事件管理器105通信并配置事件管理器105。本领域技术人员将认识到,用户接口的组件可以因实施例而异,但通常包括显示器340、键盘335、鼠标336和光盘驱动器337中的一个或多个。
控制器301与用户接口302进行数据通信,并且包括存储器组件、安装在电路板上的处理用于执行本实施例的方法的指令和数据的中央处理单元(CPU)305、操作系统306、用于与用户接口302和通信接口(在该实施例中是网卡350的形式)通信的输入/输出(I/O)接口330。
存储器组件和操作系统306与CPU 305进行数据通信。存储器组件包括易失性和非易失性存储器以及每种类型存储器中的不止一种,包括随机存取存储器(RAM)320、只读存储器(ROM)325和大容量存储设备345,大容量存储设备345包括一个或多个固态驱动器(SSD)。本领域技术人员将认识到,存储器组件包括非瞬态计算机可读介质,并且应被视为包括除瞬态传播信号之外的所有计算机可读介质。通常,指令作为程序代码存储在存储器组件中,但也可以是硬连线的。这里,术语“CPU”一般用于指代可以处理这些指令的任何设备,并且可以包括:微处理器,微控制器,可编程逻辑器件或其他计算设备,但通常是服务器类型(考虑到它通常会遇到的计算需求)。即,CPU 305可以由任何合适的逻辑电路提供,以用于接收输入,根据存储在存储器中的指令处理输入并生成输出(例如,至存储器组件或显示器340上)。在该实施例中,CPU 305可以是具有共享存储器可寻址空间的单核或多核处理器。在一个示例中,CPU 305可以是多核的,包括例如8核CPU。例如,网卡350可用于经由网络150将数据从事件管理器105发送到其他处理设备或经由网络150接收数据。
在已经接收到数据话务并将其排队以在其各自的虚拟机仿真中处理之后,CA模块107将执行一系列过程以确定哪些离散原始警报可以被归类为冗余或非冗余。根据本发明的实施例,一种用于从非结构化传输中数据中确定冗余原始警报的方法包括以下步骤:
步骤1,生成可移动时间窗口并使用所述可移动时间窗口来涵盖非结构化传输中数据中的第一组离散原始警报,其中所述传输中数据按时间顺序,并且其中每一个离散原始警报包括数据分量和时间分量;
步骤2,使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名;
步骤3,处理所生成的数字签名,对所生成的每一个数字签名的处理包括以下步骤:
步骤(i),将所生成的数字签名与存储在元定义数据库中的数字签名相匹配,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则将不匹配的数字签名添加到所述元定义数据库,
步骤(ii),其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报;
步骤4,将具有不匹配的数字签名的原始警报标记为非冗余原始警报,并且聚合、压缩并加密非冗余原始警报。
以下描述和图4-5描述了可以由根据本发明的CA模块107执行的过程的实施例。图4示出了根据本发明实施例的由计算机系统执行以便从非结构化传输中数据中确定冗余离散原始警报的过程400。应当理解,以下过程的多个线程通常并行发生,因为将为每个因技术而异的I/O插件生成虚拟机仿真,由此每个虚拟机仿真被配置为接收数据话务中的离散原始警报的稳定输入。
过程400开始于生成特定大小的可移动时间窗口以涵盖由计算机系统创建的实例中所包含的离散原始警报。可移动时间窗口的大小可以由计算机系统动态地改变。在本发明的实施例中,如果确定非冗余原始警报与冗余原始警报之比超过5:1比率或更大的10:1比率,则可移动时间窗口的大小可以动态地增大,以使得随后将在该时间窗口内涵盖并同时处理更多数量的离散原始警报。这使得可以在单个时间窗口内捕获更大数量的冗余原始警报。本领域技术人员将认识到可选择其它更大比率,而不背离本发明。
过程400然后选择时间帧/时间窗口内所包含的所有离散原始警报。这意味着将在步骤405选择具有落入该时间窗口的范围内的时间分量或接收时间/时段的离散原始警报。过程400然后继续为该时间窗口内所包含的每一个原始警报的时间分量生成数字签名。应注意,在数字签名的生成中不利用每一个离散原始警报中的时间分量。在已经为所有选定的原始警报生成并存储数字签名后,然后以按时间顺序的方式处理每一个数字签名。这意味着在步骤415,过程400将首先处理在所有其它数字签名中具有最早时间分量或接收时间的数字签名。然后,在步骤420,过程400将确定所选数字签名是否与元定义数据库中包含的任何数字签名匹配。元定义数据库可以包括存储在计算机系统内的数据库模块,或者可以包括基于云的存储系统。如果所选数字签名与元定义数据库中包含的数字签名匹配,则过程400前进到步骤425。如果找到匹配,则这意味着此数字签名先前已由过程400处理。相反,如果未找到匹配,则这意味着此数字签名先前未由过程400处理。
在步骤425,然后将匹配的数字签名添加到严重性阈值数据库。类似地,该第二数据库可以包括存储在计算机系统内的数据库模块,或者可以包括基于云的存储系统。如果先前已将匹配的数字签名添加到严重性阈值数据库,则相应地增加匹配的数字签名的发生计数或出现计数。例如,如果严重性阈值数据库包含数字签名“XYER12B84V”,并且如果要添加到严重性阈值数据库的匹配签名包括类似的数字签名“XYER12B84V”,则将在严重性阈值数据库中相应地将此数字签名的发生计数从1增加到2。
然后,过程400在步骤430确定特定数字签名的发生计数是否已超过预定阈值。该阈值可以是由计算机系统的管理员设置的任何整数,例如它可以是1、10或20。在本发明的一实施例中,阈值被设为2。如果管理员希望将更多原始警报归类为冗余,则将阈值设为低数值,反之亦然。如果在步骤430确定数字签名的发生计数超过阈值,则过程400前进到步骤435,其中然后将该特定数字签名标记为冗余签名。除了标记数字签名之外,过程400还将生成该特定数字签名的离散原始警报标记为冗余离散原始警报。过程400然后前进至步骤445。或者,如果在步骤430确定数字签名的发生计数未超过阈值,则过程400改为前进至步骤445。
返回到步骤420。如果在该步骤确定所选数字签名不匹配元定义数据库中的数字签名,则过程400前进至步骤440,其中将所选数字签名添加至元定义数据库。过程400然后前进至步骤445。在步骤445,过程400检查是否存在尚未通过步骤425-445处理的另一数字签名。如果存在仍未被处理的数字签名,则过程400前进至步骤415,选择按时序列中的下一数字签名。过程415-445持续重复直到时间窗口中的所有数字签名都已被过程400处理。一旦处理完成,过程400就前进至步骤450。
在步骤450,过程400然后继续将具有不匹配的数字签名的离散原始警报标记为非冗余离散原始警报。非冗余离散原始警报然后在步骤455由过程400聚合、压缩和加密。这允许在需要时容易且快速地传送经处理的数据。
在本发明的实施例中,被标记为冗余的离散原始警报被从传输中数据中删除,由此减少将由计算机系统进一步处理的数据量。在本发明的实施例中,在步骤435被标记为冗余数字签名的数字签名用时间戳来进一步标记。该时间戳提供关于数字签名何时已被标记为冗余的指示。在过去一时间段(其中该时间段可包括多个时间窗口)后,被标记为冗余的数字签名被从严重性阈值数据库中移除,由此刷新该特定数字签名的发生计数。当要处理大量传输中数据时,在严重性阈值数据库中刷新所选信息是有用的。
在本发明的实施例中,每个原始警报的数字签名可以包括使用密码散列函数生成的散列值。密码散列函数将来自每个离散原始警报的数据分量的可变长度数据集转换或映射成被称为散列值的较小的固定长度数据集。这些散列值然后可以在需要时被存储在元定义表中。所利用的密码散列函数可包括但不限于生成256位散列的安全散列算法(SHA)。
在本发明的实施例中,还可以使用用于对最长共用序列(LCS)或最短编辑脚本(SES)问题求解的算法来生成每个离散原始警报的数字签名,诸如O(NP)序列比较算法,O(ND)序列差分算法,Hunt-Szymanski LCS算法或任何其他此类算法。在本发明的该实施例中,数字签名与包含在第一数据库中的数字签名的匹配包括确定该数字签名和存储在第一数据库中的数字签名之间的差异是否超过严重性阈值,其中如果差异不超过严重性阈值,则指示该数字签名和第一数据库中包含的数字签名之间的匹配。
图5示出了由计算机系统执行以便从可移动时间窗口所涵盖的新的一组离散原始警报中确定哪些离散原始警报将被归类为冗余的过程500。过程500在步骤505从过程400的步骤B(参见图4)继续,并且通过移动时间窗口以涵盖离散原始警报的按时序列中的下一组离散原始警报开始。过程500在步骤510选择时间窗口内所包含的所有离散原始警报。过程500然后继续在步骤515为时间窗口内所包含的每一个离散原始警报生成数字签名。在已经为所有选定的原始离散警报生成并存储数字签名后,然后以按时间顺序的方式处理每一个数字签名。这意味着在步骤520,过程500将首先处理在所有其它数字签名中具有最早时间戳或接收时间的数字签名。然后,在步骤525,过程500将确定所选数字签名是否与元定义数据库中包含的任何数字签名匹配。如果所选数字签名与元定义数据库中包含的数字签名匹配,则过程500前进到步骤530。
在步骤530,然后将匹配的数字签名添加到严重性阈值数据库。如果先前已将匹配的数字签名添加到严重性阈值数据库,则相应地增加匹配的数字签名的发生计数或出现计数。然后,过程500在步骤535确定特定数字签名的发生计数是否已超过阈值。如果在步骤535确定数字签名的发生计数超过阈值,则过程500前进到步骤540,其中然后将该特定数字签名标记为冗余签名。除了标记数字签名之外,过程500还将生成该特定数字签名的原始警报标记为冗余离散原始警报。过程500然后前进至步骤550。或者,如果在步骤535确定数字签名的发生计数未超过阈值,则过程500改为前进至步骤550。
返回到步骤525。如果在该步骤确定所选数字签名不匹配元定义数据库中的数字签名,则过程500前进至步骤545,其中将所选数字签名添加至元定义数据库。过程500然后前进至步骤550。在步骤550,过程500检查是否存在尚未通过步骤530-550处理的另一数字签名。如果存在仍未被处理的数字签名,则过程500前进至步骤520,选择时间序列中的下一数字签名。过程520-550持续重复直到时间窗口中的所有数字签名都已被过程500处理。一旦处理完成,过程500就前进至步骤555。
在步骤555,过程500然后继续将具有不匹配的数字签名的离散原始警报标记为非冗余离散原始警报。非冗余离散原始警报然后在步骤560由过程500聚合、压缩和加密。过程500然后可前进至步骤B,其中按时间顺序递增时间窗口以涵盖传输中数据中的离散原始警报的按时序列中的下一组离散原始警报,并且过程500对于新涵盖的该组离散原始警报重复步骤505-560。
本领域技术人员可以容易地实施本发明范围内的修改。因此,应理解,本发明不限于通过上文中的示例描述的特定实施例。此外,本文对现有技术的任何引用并不旨在暗示这样的现有技术在任何国家形成或已形成公知常识的一部分。
以上是对所附权利要求书中阐述的根据本发明的系统和过程的实施例的描述。设想其他人可以并且将设计落入所附权利要求范围内的替代方案。
Claims (14)
1.一种用于从非结构化传输中数据中确定冗余离散原始警报的方法,所述方法由计算机系统执行,所述方法包括:
生成可移动时间窗口并使用所述可移动时间窗口来涵盖所述非结构化传输中数据中的第一组离散原始警报,其中所述传输中数据按时间顺序排列,并且其中每一个离散原始警报包括数据分量和时间分量;
使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名;
处理所生成的数字签名,对所生成的每一个数字签名的处理包括:
将所生成的数字签名与存储在元定义数据库中的数字签名相匹配,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则将不匹配的数字签名添加到所述元定义数据库,
其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报;以及
将具有不匹配的数字签名的原始警报标记为非冗余原始警报,并且聚合、压缩并加密非冗余原始警报。
2.根据权利要求1所述的方法,其特征在于,进一步包括:
移动所述可移动时间窗口以涵盖所述非结构化传输中数据中的第二组离散原始警报,其中所述第二组离散原始警报在时间顺序中晚于所述第一组离散原始警报;
使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名;
处理所生成的数字签名,对所生成的每一个数字签名的处理包括:
将所生成的数字签名与存储在元定义数据库中的数字签名相匹配,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则将不匹配的数字签名添加到所述元定义数据库,
其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报;以及
将具有不匹配的数字签名的原始警报标记为非冗余原始警报,并且聚合、压缩并加密非冗余原始警报。
3.如权利要求1或2中的任一项所述的方法,其特征在于,被标记为冗余数字签名的数字签名用指示所述数字签名何时已被标记为冗余的时间戳来进一步标记,其中在从所述时间戳开始的时间段后,将冗余数字签名从所述严重性阈值数据库中移除。
4.根据权利要求1或2中的任一项所述的方法,其特征在于,进一步包括:
将冗余原始警报从所述非结构化传输中数据中移除。
5.根据权利要求1或2中的任一项所述的方法,其特征在于,为每一个离散原始警报生成所述数字签名包括:
使用密码散列函数来生成所述数字签名,其中所述数字签名包括散列值。
6.如权利要求5所述的方法,其特征在于,所述密码散列函数包括256位安全散列算法(SHA)。
7.如权利要求2所述的方法,其特征在于,移动所述可移动时间窗口以涵盖所述非结构化传输中数据中的所述第二组离散原始警报包括:
动态地改变所述可移动时间窗口的大小,其中所述可移动时间窗口的大小在非冗余原始警报与冗余原始警报之比高于预定比率的情况下增大;以及
沿着按时间顺序排列的传输中数据移动经调整大小的可移动时间窗口以涵盖所述第二组离散原始警报。
8.一种用于从非结构化传输中数据中确定冗余离散原始警报的系统,包括:
被配置成生成可移动时间窗口并使用所述可移动时间窗口来涵盖所述非结构化传输中数据中的第一组离散原始警报的电路,其中所述传输中数据按时间顺序排列,并且其中每一个离散原始警报包括数据分量和时间分量;
被配置成使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名的电路;
被配置成处理所生成的数字签名的电路,包括:
被配置成将所生成的数字签名与存储在元定义数据库中的数字签名相匹配的电路,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则所述电路被配置成将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则所述电路被配置成将不匹配的数字签名添加到所述元定义数据库,
其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,所述电路被配置成将此类数字签名标记为冗余数字签名并且所述电路被配置成将与冗余数字签名相关联的原始警报标记为冗余原始警报;以及
被配置成将具有不匹配的数字签名的原始警报标记为非冗余原始警报并且聚合、压缩并加密非冗余原始警报的电路。
9.根据权利要求8所述的系统,其特征在于,进一步包括:
被配置成移动所述可移动时间窗口以涵盖所述非结构化传输中数据中的第二组离散原始警报的电路,其中所述第二组离散原始警报在时间顺序中晚于所述第一组离散原始警报;
被配置成使用所述时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名的电路;
被配置成处理所生成的数字签名的电路,包括:
被配置成将所生成的数字签名与存储在元定义数据库中的数字签名相匹配的电路,如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配,则所述电路被配置成将匹配的数字签名添加到严重性阈值数据库,而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名,则所述电路被配置成将不匹配的数字签名添加到所述元定义数据库,
其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名,所述电路被配置成将此类数字签名标记为冗余数字签名并且所述电路被配置成将与冗余数字签名相关联的原始警报标记为冗余原始警报;以及
被配置成将具有不匹配的数字签名的原始警报标记为非冗余原始警报并且聚合、压缩并加密非冗余原始警报的电路。
10.如权利要求8或9中的任一项所述的系统,其特征在于,被标记为冗余数字签名的数字签名用指示所述数字签名何时已被标记为冗余的时间戳来进一步标记,其中在从所述时间戳开始的时间段后,所述电路被配置成将冗余数字签名从所述严重性阈值数据库中移除。
11.根据权利要求8或9中的任一项所述的系统,其特征在于,进一步包括:
被配置成将冗余原始警报从所述非结构化传输中数据中移除的电路。
12.根据权利要求8或9中的任一项所述的系统,其特征在于,被配置成为每一个离散原始警报生成所述数字签名的电路包括:
被配置成使用密码散列函数来生成所述数字签名的电路,其中所述数字签名包括散列值。
13.如权利要求12所述的系统,其特征在于,所述密码散列函数包括256位安全散列算法(SHA)。
14.如权利要求9所述的系统,其特征在于,被配置成移动所述可移动时间窗口以涵盖所述非结构化传输中数据中的所述第二组离散原始警报的电路包括:
被配置成动态地改变所述可移动时间窗口的大小的电路,其中所述可移动时间窗口的大小在非冗余原始警报与冗余原始警报之比高于10:1比率的情况下增大;以及
被配置成沿着按时间顺序排列的传输中数据移动经调整大小的可移动时间窗口以涵盖所述第二组离散原始警报的电路。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/SG2016/050075 WO2017142475A1 (en) | 2016-02-15 | 2016-02-15 | Method and system for compression and optimization of in-line and in-transit information security data |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108713310A true CN108713310A (zh) | 2018-10-26 |
CN108713310B CN108713310B (zh) | 2022-02-25 |
Family
ID=59625347
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680080784.0A Active CN108713310B (zh) | 2016-02-15 | 2016-02-15 | 一种确定冗余离散原始警报的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10873467B2 (zh) |
EP (1) | EP3417571B1 (zh) |
CN (1) | CN108713310B (zh) |
AU (1) | AU2016393663B2 (zh) |
SG (1) | SG11201806334WA (zh) |
WO (1) | WO2017142475A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10761756B1 (en) * | 2016-12-28 | 2020-09-01 | EMC IP Holding Company LLC | Compressing data in line using weighted compression budgets |
US10558798B2 (en) | 2017-06-29 | 2020-02-11 | L3Harris Technologies, Inc. | Sandbox based Internet isolation in a trusted network |
US10554475B2 (en) * | 2017-06-29 | 2020-02-04 | L3Harris Technologies, Inc. | Sandbox based internet isolation in an untrusted network |
JP2019083446A (ja) * | 2017-10-31 | 2019-05-30 | Smk株式会社 | ネットワークシステム |
US11212298B2 (en) * | 2019-04-04 | 2021-12-28 | Microsoft Technology Licensing, Llc | Automated onboarding of detections for security operations center monitoring |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1820262A (zh) * | 2003-06-09 | 2006-08-16 | 范拉诺公司 | 事件监控及管理 |
CN101227331A (zh) * | 2008-01-25 | 2008-07-23 | 华中科技大学 | 一种减少网络入侵检测系统误告警方法 |
CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
US7434109B1 (en) * | 2002-09-26 | 2008-10-07 | Computer Associates Think, Inc. | Network fault manager for maintaining alarm conditions |
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8392385B2 (en) * | 2011-06-22 | 2013-03-05 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9479383B2 (en) * | 2011-07-12 | 2016-10-25 | Hughes Network Systems, Llc | Data compression for priority based data traffic, on an aggregate traffic level, in a multi stream communications system |
US20130018932A1 (en) * | 2011-07-12 | 2013-01-17 | Hughes Network Systems, Llc | System and method for long range and short range data compression |
CN108664375B (zh) * | 2017-03-28 | 2021-05-18 | 瀚思安信(北京)软件技术有限公司 | 用于检测计算机网络系统用户的异常行为的方法 |
-
2016
- 2016-02-15 AU AU2016393663A patent/AU2016393663B2/en active Active
- 2016-02-15 WO PCT/SG2016/050075 patent/WO2017142475A1/en active Application Filing
- 2016-02-15 EP EP16890802.8A patent/EP3417571B1/en active Active
- 2016-02-15 SG SG11201806334WA patent/SG11201806334WA/en unknown
- 2016-02-15 CN CN201680080784.0A patent/CN108713310B/zh active Active
- 2016-02-15 US US16/077,363 patent/US10873467B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7434109B1 (en) * | 2002-09-26 | 2008-10-07 | Computer Associates Think, Inc. | Network fault manager for maintaining alarm conditions |
CN1820262A (zh) * | 2003-06-09 | 2006-08-16 | 范拉诺公司 | 事件监控及管理 |
CN101227331A (zh) * | 2008-01-25 | 2008-07-23 | 华中科技大学 | 一种减少网络入侵检测系统误告警方法 |
CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US20140096249A1 (en) * | 2009-11-06 | 2014-04-03 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8392385B2 (en) * | 2011-06-22 | 2013-03-05 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
Non-Patent Citations (3)
Title |
---|
ALI AHMADIAN RAMAKI,ET AL.,: ""Enhancement Intrusion Detection using Alert Correlation in Co-operative Intrusion Detection Systems"", 《APPL.SCI.RES》 * |
WANG LI,ET AL.,: ""Attack scenario construction with a new sequential mining technique"", 《SOFTWARE ENGINEERING, ARTIFICIAL INTELLIGENCE, NETWORKING,AND PARALLEL/DISTRIBUTED COMPUTING (SNPD 2007)》 * |
郭玉臣,: ""空袭警报控制系统的研究"", 《中国优秀硕士学位论文全文数据库-信息科技辑》 * |
Also Published As
Publication number | Publication date |
---|---|
SG11201806334WA (en) | 2018-08-30 |
EP3417571A1 (en) | 2018-12-26 |
AU2016393663B2 (en) | 2021-04-22 |
CN108713310B (zh) | 2022-02-25 |
WO2017142475A1 (en) | 2017-08-24 |
EP3417571A4 (en) | 2019-10-09 |
US20190058597A1 (en) | 2019-02-21 |
AU2016393663A1 (en) | 2018-08-09 |
EP3417571B1 (en) | 2021-05-05 |
US10873467B2 (en) | 2020-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA3098860C (en) | Alarm log compression method, apparatus, and system, and storage medium | |
US10404732B2 (en) | System and method for automated network monitoring and detection of network anomalies | |
US20200374309A1 (en) | Virtual private cloud flow log event fingerprinting and aggregation | |
CN108713310A (zh) | 用于对在线和传输中信息安全数据进行压缩和优化的方法和系统 | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN111752795A (zh) | 一种全流程监控报警平台及其方法 | |
CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
CN113364624B (zh) | 基于边缘计算的混合云流量采集方法和系统 | |
Sanjappa et al. | Analysis of logs by using logstash | |
CN105610636B (zh) | 一种面向云计算环境的安全日志生成方法 | |
WO2019006018A1 (en) | APPARATUS AND METHOD FOR ESTABLISHING BASIC NETWORK BEHAVIOR AND GENERATING CORRESPONDING REPORTS | |
Eden et al. | Forensic readiness for SCADA/ICS incident response | |
CN115776449A (zh) | 列车以太网通信状态监测方法及系统 | |
CN106372171B (zh) | 监控平台实时数据处理方法 | |
CN110858837B (zh) | 一种网络管控方法、装置以及电子设备 | |
CN110061854A (zh) | 一种无边界网络智能运维管理方法与系统 | |
CN115150248A (zh) | 网络流量异常检测方法、装置、电子设备和存储介质 | |
Shaman et al. | User profiling based on application-level using network metadata | |
CN105025006B (zh) | 一种积极的信息安全运维平台 | |
CN110532153A (zh) | 一种业务层级用户操作体验可视化系统 | |
TWI389504B (zh) | IP network traffic error detection and analysis system | |
CN114301802A (zh) | 密评检测方法、装置和电子设备 | |
CN113242151A (zh) | 基于海量网络数据的特定数据提取方法和系统 | |
CN117640432B (zh) | 分布式数据中心运维监控方法 | |
CN117560718B (zh) | 一种基于群智感知的消防物联网远程监测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1260198 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |