CN105119945A - 一种用于安全管理中心的日志关联分析方法 - Google Patents
一种用于安全管理中心的日志关联分析方法 Download PDFInfo
- Publication number
- CN105119945A CN105119945A CN201510617100.3A CN201510617100A CN105119945A CN 105119945 A CN105119945 A CN 105119945A CN 201510617100 A CN201510617100 A CN 201510617100A CN 105119945 A CN105119945 A CN 105119945A
- Authority
- CN
- China
- Prior art keywords
- management center
- attack
- log information
- security management
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于安全管理中心的日志关联分析方法,具体按照以下步骤实施:步骤1、信息录入;步骤2、目录关联;步骤3、交叉关联;步骤4、逻辑关联;步骤5、风险评估;步骤6、安全信息事件生成,即将安全管理中心***所采集的日志信息与资产信息相关联,通过可以不断升级定制的关联规则进行综合的智能分析,去除大量没有响应价值的(误报的、低优先级的、低风险的、干扰性的)告警事件,精化出具备响应价值的安全事件,整个过程精细可控,网络安全性高,本发明解决了现有技术中存在的网络安全级别低且防御不到位的问题。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种用于安全管理中心的日志关联分析方法。
背景技术
云计算环境中部署了大量的业务***,这些业务***在互联网中需要不同种类的安全设备、安全软件来保护,而自这些不同安全设备、安全软件的海量的、实时的日志信息则表明了当前云计算环境中设备和业务***的操作、访问及状态,无不体现了当前云计算环境下网络、资产的风险程度。
仅依赖于某些安全产品,不可能有效地保护自己的整体网络安全,信息安全作为一个整体,需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,才能有效地保障企业的网络安全和保护信息投资。
发明内容
本发明的目的是提供一种用于安全管理中心的日志关联分析方法,解决了现有技术中存在的网络安全级别低且防御不到位的问题。
本发明所采用的技术方案是,一种用于安全管理中心的日志关联分析方法,具体按照以下步骤实施:
步骤1、信息录入;
步骤2、目录关联;
步骤3、交叉关联;
步骤4、逻辑关联;
步骤5、风险评估;
步骤6、安全信息事件生成。
本发明的特点还在于,
步骤1具体为:
步骤(1.1)、首先,将资产录入安全管理中心的同时,将与资产相关的主机信息包括操作***类型、服务、端口、漏洞信息同时录入安全管理中心***;
步骤(1.2)、其次,录入安全设备日志字典,同时录入每条日志代表的攻击行为发生的优先级、可靠性、攻击行为适用的操作***类型、针对的服务和端口;
步骤(1.3)、再次,定期地对已经录入的资产进行漏洞扫描,并将漏洞信息更新到安全管理中心中;
步骤(1.4)、然后,将安全设备描述攻击行为的日志类型与攻击行为针对的漏洞信息相关联,并储存在安全管理中心中;
步骤(1.5)、期间,在安全运维过程中,一旦遇到攻击行为,记录安全设备的响应顺序、安全设备间的响应间隔以及安全设备产生的日志信息,生成一条完整的关联规则链,关联规则链中的每一节点包含对应的安全设备类型和日志信息类型、攻击行为发生的可靠性以及与之后节点日志信息出现的时间间隔和优先级,有些不同的攻击行为之间存在前期行为相似后期行为不同的情况,那么反应到安全设备上则是前期响应相同后期响应不同,将这几种相似的攻击行为生成的完整的关联规则链的相同部分结合,不同部分分开,形成一种树状结构,即为关联规则树;
步骤(1.6)、最后,在安全运维过程中,将遇到的攻击行为记录到知识库当中,并根据攻击行为对当前网络内资产的威胁程度记录攻击行为的优先级。
步骤2具体为:
步骤(2.1)、当安全管理中心接收到所述步骤1送来的日志信息之后,会将其放入消息队列当中,并实时查询消息队列;
步骤(2.2)、从消息队列中顺序依次取出日志信息,进行目录关联即将日志信息代表的攻击行为与资产进行关联,当两者的操作***类型、服务、端口相匹配时,每匹配一种特性,相应提高一级此类攻击行为发生的可靠性;
步骤(2.3)、当日志信息通过目录关联处理完成之后,重新被返还给安全管理中心。
步骤3具体为:
步骤(3.1)、安全管理中心将经过目录关联处理过后返回的日志信息进行交叉关联继续处理;
步骤(3.2)、首先从数据库中查询该条日志信息代表的攻击行为适用的漏洞种类,同时查询目标资产是否存该种类型的漏洞,如果存在,则会设置日志信息的可靠性为十级,同样,一旦漏洞信息并不适用,则会设置日志信息的可靠性为零级;
步骤(3.3)、当日志信息通过交叉关联处理完成之后,重新被返还给安全管理中心。
步骤4具体为:
步骤(4.1)、安全管理中心将经过交叉关联处理过后返回的日志信息进行逻辑关联继续处理;
步骤(4.2)、安全管理中心将每一条关联规则树分为多个层级,具体处理方法如下:
步骤(4.2.1)、当处理第一条日志信息的时候,安全管理中心首先会去匹配每一条关联规则树的根部节点,如果节点与日志类型相匹配,那么该条关联规则树自动前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
步骤(4.2.2)、当处理下一条日志信息的时候,如果能匹配到当前层级的某一个节点,那么该条关联规则树沿着这条树枝前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
步骤(4.2.3)、循环所述步骤(4.2.2),直到匹配到关联规则树的叶节点,或者超出当前一级的超时时间仍未匹配到下一级,结束步骤(4.2.2)的循环处理;
步骤(4.2.4)、如果匹配了关联规则树的一条完整的树枝,那么该类攻击行为的可靠性将为十级,优先级将为树叶节点所描述的优先级,代表此类攻击行为已经发生;
步骤(4.3)、当日志信息通过逻辑关联处理完成之后,重新被返还给安全管理中心。
步骤5具体为:
步骤(5.1)、安全管理中心将经过逻辑关联处理过后返回的日志信息进行交风险评估,继续处理;
步骤(5.2)、风险评估会对日志信息进行优先级修正:首先查询所述步骤1中描述的知识库中是否记录有日志信息描述的攻击行为种类,一旦两者匹配成功,则会设置日志信息的优先级为知识库中攻击行为的优先级。
步骤(5.3)、然后根据日志信息对资产进行危害级别、攻击级别的修正,日志信息的优先级,可靠性超过安全管理中心设置的阀值时,则被确定为一种攻击行为并产生告警,将其攻击目的所在网络域的危害级别升高一级,代表攻击行为会威胁同网络域内其他资产,将攻击发生源所在资产的攻击级别提高一级,代表对网络域内其他资产进行威胁。
步骤6具体为:
当步骤5执行完成后,最终将可靠性达到三级的日志信息作为告警信息,进行人工分析,并最终生成安全事件进行处理。
本发明的有益效果是,一种用于安全管理中心的日志关联分析方法,通过信息录入、目录关联、交叉关联、逻辑关联、风险评估、安全信息事件生成这几步骤,将安全管理中心***所采集的日志信息与资产信息相关联,通过不断升级定制的关联规则进行综合的智能分析,去除大量没有响应价值的(误报的、低优先级的、低风险的、干扰性的)告警事件,精化出具备响应价值的安全事件,整个过程精细可控,网络安全性高。
附图说明
图1是本发明一种用于安全管理中心的日志关联分析方法的流程图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明一种用于安全管理中心的日志关联分析方法,流程图如图1所示,具体按照以下步骤实施:
步骤1、信息录入,具体为:
步骤(1.1)、首先,将资产录入安全管理中心的同时,将与资产相关的主机信息包括操作***类型、服务、端口、漏洞信息同时录入安全管理中心***;
步骤(1.2)、其次,录入安全设备日志字典,同时录入每条日志代表的攻击行为发生的优先级、可靠性、攻击行为适用的操作***类型、针对的服务和端口;
步骤(1.3)、再次,定期地对已经录入的资产进行漏洞扫描,并将漏洞信息更新到安全管理中心中;
步骤(1.4)、然后,将安全设备描述攻击行为的日志类型与攻击行为针对的漏洞信息相关联,并储存在安全管理中心中;
步骤(1.5)、期间,在安全运维过程中,一旦遇到攻击行为,记录安全设备的响应顺序、安全设备间的响应间隔以及安全设备产生的日志信息,生成一条完整的关联规则链,关联规则链中的每一节点包含对应的安全设备类型和日志信息类型、攻击行为发生的可靠性以及与之后节点日志信息出现的时间间隔和优先级,有些不同的攻击行为之间存在前期行为相似后期行为不同的情况,那么反应到安全设备上则是前期响应相同后期响应不同,将这几种相似的攻击行为生成的完整的关联规则链的相同部分结合,不同部分分开,形成一种树状结构,即为关联规则树;
步骤(1.6)、最后,在安全运维过程中,将遇到的攻击行为记录到知识库当中,并根据攻击行为对当前网络内资产的威胁程度记录攻击行为的优先级。
步骤2、目录关联,具体为:
步骤(2.1)、当安全管理中心接收到所述步骤1送来的日志信息之后,会将其放入消息队列当中,并实时查询消息队列;
步骤(2.2)、从消息队列中顺序依次取出日志信息,进行目录关联即将日志信息代表的攻击行为与资产进行关联,当两者的操作***类型、服务、端口相匹配时,每匹配一种特性,相应提高一级此类攻击行为发生的可靠性;
步骤(2.3)、当日志信息通过目录关联处理完成之后,重新被返还给安全管理中心。
步骤3、交叉关联,具体为:
步骤(3.1)、安全管理中心将经过目录关联处理过后返回的日志信息进行交叉关联继续处理;
步骤(3.2)、首先从数据库中查询该条日志信息代表的攻击行为适用的漏洞种类,同时查询目标资产是否存该种类型的漏洞,如果存在,则会设置日志信息的可靠性为十级,同样,一旦漏洞信息并不适用,则会设置日志信息的可靠性为零级;
步骤(3.3)、当日志信息通过交叉关联处理完成之后,重新被返还给安全管理中心。
步骤4、逻辑关联,具体为:
步骤(4.1)、安全管理中心将经过交叉关联处理过后返回的日志信息进行逻辑关联继续处理;
步骤(4.2)、安全管理中心将每一条关联规则树分为多个层级,具体处理方法如下:
步骤(4.2.1)、当处理第一条日志信息的时候,安全管理中心首先会去匹配每一条关联规则树的根部节点,如果节点与日志类型相匹配,那么该条关联规则树自动前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
步骤(4.2.2)、当处理下一条日志信息的时候,如果能匹配到当前层级的某一个节点,那么该条关联规则树沿着这条树枝前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
步骤(4.2.3)、循环步骤(4.2.2),直到匹配到关联规则树的叶节点,或者超出当前一级的超时时间仍未匹配到下一级,结束步骤(4.2.2)的循环处理;
步骤(4.2.4)、如果匹配了关联规则树的一条完整的树枝,那么该类攻击行为的可靠性将为十级,优先级将为树叶节点所描述的优先级,代表此类攻击行为已经发生;
步骤(4.3)、当日志信息通过逻辑关联处理完成之后,重新被返还给安全管理中心。
步骤5、风险评估,具体为:
步骤(5.1)、安全管理中心将经过逻辑关联处理过后返回的日志信息进行交风险评估,继续处理;
步骤(5.2)、风险评估会对日志信息进行优先级修正:首先查询所述步骤1中描述的知识库中是否记录有日志信息描述的攻击行为种类,一旦两者匹配成功,则会设置日志信息的优先级为知识库中攻击行为的优先级。
步骤(5.3)、然后根据日志信息对资产进行危害级别、攻击级别的修正,日志信息的优先级,可靠性超过安全管理中心设置的阀值时,则被确定为一种攻击行为并产生告警,将其攻击目的所在网络域的危害级别升高一级,代表攻击行为会威胁同网络域内其他资产,将攻击发生源所在资产的攻击级别提高一级,代表对网络域内其他资产进行威胁。
步骤6、安全信息事件生成,具体为:
当步骤5执行完成后,最终将可靠性达到三级的日志信息作为告警信息,进行人工分析,并最终生成安全事件进行处理。
本方法是将安全管理中心***所采集的日志信息(每条日志信息代表一件网络中的行为)与资产信息(每个资产拥有自己的操作***类型、服务、端口、漏洞信息)相关联,通过可以不断升级定制的关联规则进行综合的智能分析,去除大量没有响应价值的(误报的、低优先级的、低风险的、干扰性的)告警事件,精化出具备响应价值的安全事件,整个过程精细可控,网络安全性高。
Claims (7)
1.一种用于安全管理中心的日志关联分析方法,其特征在于,具体按照以下步骤实施:
步骤1、信息录入;
步骤2、目录关联;
步骤3、交叉关联;
步骤4、逻辑关联;
步骤5、风险评估;
步骤6、安全信息事件生成。
2.根据权利要求1所述的一种用于安全管理中心的日志关联分析方法,其特征在于,所述步骤1具体为:
步骤(1.1)、首先,将资产录入安全管理中心的同时,将与资产相关的主机信息包括操作***类型、服务、端口、漏洞信息同时录入安全管理中心***;
步骤(1.2)、其次,录入安全设备日志字典,同时录入每条日志代表的攻击行为发生的优先级、可靠性、攻击行为适用的操作***类型、针对的服务和端口;
步骤(1.3)、再次,定期地对已经录入的资产进行漏洞扫描,并将漏洞信息更新到安全管理中心中;
步骤(1.4)、然后,将安全设备描述攻击行为的日志类型与攻击行为针对的漏洞信息相关联,并储存在安全管理中心中;
步骤(1.5)、期间,在安全运维过程中,一旦遇到攻击行为,记录安全设备的响应顺序、安全设备间的响应间隔以及安全设备产生的日志信息,生成一条完整的关联规则链,关联规则链中的每一节点包含对应的安全设备类型和日志信息类型、攻击行为发生的可靠性以及与之后节点日志信息出现的时间间隔和优先级,有些不同的攻击行为之间存在前期行为相似后期行为不同的情况,那么反应到安全设备上则是前期响应相同后期响应不同,将这几种相似的攻击行为生成的完整的关联规则链的相同部分结合,不同部分分开,形成一种树状结构,即为关联规则树;
步骤(1.6)、最后,在安全运维过程中,将遇到的攻击行为记录到知识库当中,并根据攻击行为对当前网络内资产的威胁程度记录攻击行为的优先级。
3.根据权利要求1所述的一种用于安全管理中心的日志关联分析方法,其特征在于,所述步骤2具体为:
步骤(2.1)、当安全管理中心接收到所述步骤1送来的日志信息之后,会将其放入消息队列当中,并实时查询消息队列;
步骤(2.2)、,从消息队列中顺序依次取出日志信息,进行目录关联即将日志信息代表的攻击行为与资产进行关联,当两者的操作***类型、服务、端口相匹配时,每匹配一种特性,相应提高一级此类攻击行为发生的可靠性;
步骤(2.3)、当日志信息通过目录关联处理完成之后,重新被返还给安全管理中心。
4.根据权利要求1所述的一种用于安全管理中心的日志关联分析方法,其特征在于,所述步骤3具体为:
步骤(3.1)、安全管理中心将经过目录关联处理过后返回的日志信息进行交叉关联继续处理;
步骤(3.2)、首先从数据库中查询该条日志信息代表的攻击行为适用的漏洞种类,同时查询目标资产是否存该种类型的漏洞,如果存在,则会设置日志信息的可靠性为十级,同样,一旦漏洞信息并不适用,则会设置日志信息的可靠性为零级;
步骤(3.3)、当日志信息通过交叉关联处理完成之后,重新被返还给安全管理中心。
5.根据权利要求1所述的一种用于安全管理中心的日志关联分析方法,其特征在于,所述步骤4具体为:
步骤(4.1)、安全管理中心将经过交叉关联处理过后返回的日志信息进行逻辑关联继续处理;
步骤(4.2)、安全管理中心将每一条关联规则树分为多个层级,具体处理方法如下:
步骤(4.2.1)、当处理第一条日志信息的时候,安全管理中心首先会去匹配每一条关联规则树的根部节点,如果节点与日志类型相匹配,那么该条关联规则树自动前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
步骤(4.2.2)、当处理下一条日志信息的时候,如果能匹配到当前层级的某一个节点,那么该条关联规则树沿着这条树枝前进一级,同时设置日志信息的可靠性为当前节点所存储的可靠性值和优先级值;
步骤(4.2.3)、循环所述步骤(4.2.2),直到匹配到关联规则树的叶节点,或者超出当前一级的超时时间仍未匹配到下一级,结束步骤(4.2.2)的循环处理;
步骤(4.2.4)、如果匹配了关联规则树的一条完整的树枝,那么该类攻击行为的可靠性将为十级,优先级将为树叶节点所描述的优先级,代表此类攻击行为已经发生;
步骤(4.3)、当日志信息通过逻辑关联处理完成之后,重新被返还给安全管理中心。
6.根据权利要求1所述的一种用于安全管理中心的日志关联分析方法,其特征在于,所述步骤5具体为:
步骤(5.1)、安全管理中心将经过逻辑关联处理过后返回的日志信息进行交风险评估,继续处理;
步骤(5.2)、风险评估会对日志信息进行优先级修正:首先查询所述步骤1中描述的知识库中是否记录有日志信息描述的攻击行为种类,一旦两者匹配成功,则会设置日志信息的优先级为知识库中攻击行为的优先级;
步骤(5.3)、然后根据日志信息对资产进行危害级别、攻击级别的修正,日志信息的优先级,可靠性超过安全管理中心设置的阀值时,则被确定为一种攻击行为并产生告警,将其攻击目的所在网络域的危害级别升高一级,代表攻击行为会威胁同网络域内其他资产,将攻击发生源所在资产的攻击级别提高一级,代表对网络域内其他资产进行威胁。
7.根据权利要求1所述的一种用于安全管理中心的日志关联分析方法,其特征在于,所述步骤6具体为:
当所述步骤5执行完成后,最终将可靠性达到三级的日志信息作为告警信息,进行人工分析,并最终生成安全事件进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510617100.3A CN105119945A (zh) | 2015-09-24 | 2015-09-24 | 一种用于安全管理中心的日志关联分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510617100.3A CN105119945A (zh) | 2015-09-24 | 2015-09-24 | 一种用于安全管理中心的日志关联分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105119945A true CN105119945A (zh) | 2015-12-02 |
Family
ID=54667833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510617100.3A Pending CN105119945A (zh) | 2015-09-24 | 2015-09-24 | 一种用于安全管理中心的日志关联分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105119945A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107015895A (zh) * | 2015-12-30 | 2017-08-04 | 国际商业机器公司 | 对分布式应用的合规的以数据为中心的监测 |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| CN108462598A (zh) * | 2017-02-21 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 一种日志生成方法、日志分析方法及装置 |
| CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
| CN109951359A (zh) * | 2019-03-21 | 2019-06-28 | 北京国舜科技股份有限公司 | 分布式网络资产异步扫描方法及设备 |
| CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN111431753A (zh) * | 2020-04-02 | 2020-07-17 | 深信服科技股份有限公司 | 一种资产信息更新方法、装置、设备及存储介质 |
| CN113259364A (zh) * | 2021-05-27 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
| CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和*** |
| CN114978885A (zh) * | 2022-08-02 | 2022-08-30 | 深圳市华曦达科技股份有限公司 | 一种日志管理方法、装置、计算机设备及*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143842A1 (en) * | 2005-12-15 | 2007-06-21 | Turner Alan K | Method and system for acquisition and centralized storage of event logs from disparate systems |
| CN101257399A (zh) * | 2007-12-29 | 2008-09-03 | ***通信集团四川有限公司 | 业务***统一安全平台 |
| CN101399658A (zh) * | 2007-09-24 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种安全日志分析方法及*** |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| KR101060612B1 (ko) * | 2009-07-23 | 2011-08-31 | 한신대학교 산학협력단 | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 |
| CN103580900A (zh) * | 2012-08-01 | 2014-02-12 | 上海宝信软件股份有限公司 | 一种基于事件链的关联分析*** |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
-
2015
- 2015-09-24 CN CN201510617100.3A patent/CN105119945A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143842A1 (en) * | 2005-12-15 | 2007-06-21 | Turner Alan K | Method and system for acquisition and centralized storage of event logs from disparate systems |
| CN101399658A (zh) * | 2007-09-24 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种安全日志分析方法及*** |
| CN101257399A (zh) * | 2007-12-29 | 2008-09-03 | ***通信集团四川有限公司 | 业务***统一安全平台 |
| KR101060612B1 (ko) * | 2009-07-23 | 2011-08-31 | 한신대학교 산학협력단 | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| CN103580900A (zh) * | 2012-08-01 | 2014-02-12 | 上海宝信软件股份有限公司 | 一种基于事件链的关联分析*** |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107015895A (zh) * | 2015-12-30 | 2017-08-04 | 国际商业机器公司 | 对分布式应用的合规的以数据为中心的监测 |
| CN107015895B (zh) * | 2015-12-30 | 2020-05-19 | 国际商业机器公司 | 对分布式应用的合规的以数据为中心的监测的方法和*** |
| CN108462598A (zh) * | 2017-02-21 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 一种日志生成方法、日志分析方法及装置 |
| CN108462598B (zh) * | 2017-02-21 | 2022-03-11 | 阿里巴巴集团控股有限公司 | 一种日志生成方法、日志分析方法及装置 |
| CN108270785A (zh) * | 2018-01-15 | 2018-07-10 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| CN108270785B (zh) * | 2018-01-15 | 2020-06-30 | 中国人民解放军国防科技大学 | 一种基于知识图谱的分布式安全事件关联分析方法 |
| CN108616381B (zh) * | 2018-02-28 | 2021-10-15 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
| CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
| CN109951359A (zh) * | 2019-03-21 | 2019-06-28 | 北京国舜科技股份有限公司 | 分布式网络资产异步扫描方法及设备 |
| CN109951359B (zh) * | 2019-03-21 | 2021-02-02 | 北京国舜科技股份有限公司 | 分布式网络资产异步扫描方法及设备 |
| CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN110881051B (zh) * | 2019-12-24 | 2022-04-29 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN111431753A (zh) * | 2020-04-02 | 2020-07-17 | 深信服科技股份有限公司 | 一种资产信息更新方法、装置、设备及存储介质 |
| CN113259364A (zh) * | 2021-05-27 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN113259364B (zh) * | 2021-05-27 | 2021-10-22 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和*** |
| CN114143020B (zh) * | 2021-09-06 | 2023-10-31 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和*** |
| CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
| CN114006748B (zh) * | 2021-10-28 | 2024-04-02 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
| CN114978885A (zh) * | 2022-08-02 | 2022-08-30 | 深圳市华曦达科技股份有限公司 | 一种日志管理方法、装置、计算机设备及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105119945A (zh) | 一种用于安全管理中心的日志关联分析方法 | |
| EP3216193B1 (en) | Recombinant threat modeling | |
| CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| CN110222525B (zh) | 数据库操作审计方法、装置、电子设备及存储介质 | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| CN108694328A (zh) | 数字标识管理方法、数字标识管理装置和记录介质 | |
| US9721099B2 (en) | Systems and methods for identifying associations between malware samples | |
| CN107404494A (zh) | 异常事件信息处理方法及装置 | |
| CN101609493A (zh) | 一种基于自学习的数据库sql注入防护方法 | |
| CN104252443A (zh) | 报表生成方法及装置 | |
| CN112966500B (zh) | 基于人工智能组态的网络数据链安全监测平台 | |
| CN105635046A (zh) | 一种数据库命令行过滤、阻断审计方法和装置 | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、***、设备和存储介质 | |
| CN107463839A (zh) | 一种管理应用程序的***和方法 | |
| CN109389518A (zh) | 关联分析方法及装置 | |
| US20240031407A1 (en) | Honeypot Network Management Based on Probabilistic Detection of Malicious Port Activity | |
| CN104135483B (zh) | 一种网络安全自动配置管理*** | |
| CN104158844A (zh) | 远程实时监测*** | |
| CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
| Szabó | Cybersecurity issues in industrial control systems | |
| Reddy | Machine Learning Models for Anomaly Detection in Cloud Infrastructure Security | |
| CN110138778B (zh) | 一种基于博弈论的网络攻击风险控制方法及*** | |
| CN115567241A (zh) | 一种多站点网络感知检测*** | |
| Sun et al. | Automated 3D reconstruction of tree-like structures from two orthogonal views |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151202 |
|
| RJ01 | Rejection of invention patent application after publication |