CN105376193B - 安全事件的智能关联分析方法与装置 - Google Patents
安全事件的智能关联分析方法与装置 Download PDFInfo
- Publication number
- CN105376193B CN105376193B CN201410401184.2A CN201410401184A CN105376193B CN 105376193 B CN105376193 B CN 105376193B CN 201410401184 A CN201410401184 A CN 201410401184A CN 105376193 B CN105376193 B CN 105376193B
- Authority
- CN
- China
- Prior art keywords
- value
- confidence
- security incident
- classification
- attributive character
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种安全事件的智能关联分析方法与装置。该方法包括对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别。本公开提高了关联分析的效率。
Description
技术领域
本公开涉及网络安全领域,特别地,涉及一种安全事件的智能关联分析方法与装置。
背景技术
在网络安全形势愈发严峻的今天,网络安全管理成为网络运营的重要内容。SOC(Security Operations Centre,安全运营中心)是对网络及安全设备与***进行综合分析,实现安全事件集中管理和监控的技术支撑平台。SOC通过采集网络中设备与***所产生的安全日志,经过分析处理,找到网络当前安全威胁与潜在的安全风险,从而及时发出预警,避免网络承受重大损失。SOC从网络中收集到的大量安全事件信息中,许多并不具有真实的威胁,有些可能是威胁实施前期的迹象,有些可能只是实质威胁产生的连带告警。安全事件关联分析是从经过预处理的安全事件中抽取有用信息,通过关联处理相关性,把孤立的安全事件集合关联为一个安全事件链,其目标是在大量误报告警与低级别告警中找出真正威胁告警,帮助安全运维人员及时定位网络中潜在的安全隐患。
目前智能SOC关联分析引擎机制主要采用“推理机”方法。“推理机”式关联分析引擎工作原理是预置先验训练出的推理模型,采集到安全事件后将提取属性信息分别与推理模型的各条规则特征进行匹配,满足则进行记录,直至推理模型所有规则特征匹配度达到阈值,触发告警。“推理机”式关联分析引擎不会遗漏任何安全事件及安全事件携带的任何信息,分析精度高,但由于SOC对全网安全事件的分析涉及多设备、多协议、多攻击类型,采用传统“推理机”关联分析引擎则需要建设大量的攻击模型,分析精细复杂,需占用非常多的计算空间时间代价,导致分析效率很低。电信网络环境中安全事件海量,低效率的推理机式关联分析引擎效率无法支持。
发明内容
本公开鉴于以上问题中的至少一个提出了新的技术方案。
本公开在其一个方面提供了一种安全事件的智能关联分析方法,其提高了关联分析的效率。
本公开在其另一方面提供了一种安全事件的智能关联分析装置,其提高了关联分析的效率。
根据本公开,提供一种安全事件的智能关联分析方法,包括:
对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别。
在本公开的一些实施例中,通过下述方式生成统一推理结构:
汇集攻击模型库和安全事件训练样本;
将安全事件训练样本分解为特征库;
计算特征库中各特征与攻击的关联概率;
基于树结构根据关联概率对各特征进行分级,形成统一推理结构的各级节点;
训练计算满足判决精度要求的各级节点的置信值,并确定分类阈值和分类正确率。
在本公开的一些实施例中,利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别包括:
自统一推理结构的根节点开始将标准化后的属性特征值与统一推理结构中的各级节点的特征规则进行比对;
如果标准化后的属性特征值与特征规则相匹配,则将根节点至当前节点的置信值相叠加,形成攻击置信值;
在遍历了统一推理结构后,根据攻击置信值所处的置信空间确定攻击类别。
在本公开的一些实施例中,所述方法还包括:
针对一个标准化后的属性特征值,在自统一推理结构的根节点遍历开始启动定时器;
如果定时器超时,则对所述一个标准化后的属性特征值的攻击置信值清零。
在本公开的一些实施例中,安全事件的属性特征包括源IP地址与端口、目的IP地址与端口、事件类别、事件名称、事件等级、事件涉及的设备以及事件发生的时间。
根据本公开,还提供了一种安全事件的智能关联分析装置,包括:
事件采集单元,用于对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
类别判断单元,用于利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别。
在本公开的一些实施例中,所述安全事件的智能关联分析装置还包括统一推理结构生成单元,所述统一推理结构生成单元包括:
汇集子单元,用于汇集攻击模型库和安全事件训练样本;
样本分解子单元,用于将安全事件训练样本分解为特征库;
关联概率计算子单元,用于计算特征库中各特征与攻击的关联概率;
结构形成子单元,用于基于树结构根据关联概率对各特征进行分级,形成统一推理结构的各级节点;
置信值确定子单元,用于训练计算满足判决精度要求的各级节点的置信值,并确定分类阈值和分类正确率。
在本公开的一些实施例中,所述类别判断单元包括:
比对子单元,用于自统一推理结构的根节点开始将标准化后的属性特征值与统一推理结构中的各级节点的特征规则进行比对;
攻击置信值计算子单元,用于如果标准化后的属性特征值与特征规则相匹配,则将根节点至当前节点的置信值相叠加,形成攻击置信值;
类别确定子单元,用于在遍历了统一推理结构后,根据攻击置信值所处的置信空间确定攻击类别。
在本公开的一些实施例中,所述安全事件的智能关联分析装置还包括:
定时器,用于针对一个标准化后的属性特征值,在自统一推理结构的根节点遍历开始启动定时器,如果定时器超时,则对所述一个标准化后的属性特征值的攻击置信值清零。
在本公开的一些实施例中,安全事件的属性特征包括源IP地址与端口、目的IP地址与端口、事件类别、事件名称、事件等级、事件涉及的设备以及事件发生的时间。
在本公开的技术方案中,通过离线生成的统一推理结构提高了对实时采集的安全事件的关联分析效率,节省了计算空间、时间代价,实现了精度和效率的平衡。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分。在附图中:
图1是本公开一个实施例的安全事件的智能关联分析方法的流程示意图。
图2是本公开一个实施例的树形统一推理结构的示意图。
图3是本公开一个实施例的安全事件的智能关联分析装置的结构示意图。
具体实施方式
下面将参照附图描述本公开。要注意的是,以下的描述在本质上仅是解释性和示例性的,决不作为对本公开及其应用或使用的任何限制。除非另外特别说明,否则,在实施例中阐述的部件和步骤的相对布置以及数字表达式和数值并不限制本公开的范围。另外,本领域技术人员已知的技术、方法和装置可能不被详细讨论,但在适当的情况下意在成为说明书的一部分。
图1是本公开一个实施例的安全事件的智能关联分析方法的流程示意图。
如图1所示,该实施例可以包括以下步骤:
S102,对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
其中,安全事件的属性特征可以包括但不限于源IP地址与端口、目的IP地址与端口、事件类别、事件名称、事件等级、事件涉及的设备以及事件发生的时间。
S104,利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别,其中,统一推理结构可以为树形结构。
在该实施例中,通过离线生成的统一推理结构提高了对实时采集的安全事件的关联分析效率,节省了计算空间、时间代价,实现了精度和效率的平衡。
在一个实例中,可以通过下述方式生成统一推理结构:
汇集攻击模型库和安全事件训练样本;将安全事件训练样本分解为特征库;计算特征库中各特征与攻击的关联概率;基于树结构根据关联概率对各特征进行分级,形成统一推理结构的各级节点;训练计算满足判决精度要求的各级节点的置信值,并确定分类阈值和分类正确率。
需要指出的是,上述统一推理结构是基于安全事件训练样本在离线状态下预先训练出的结构,在获取到实时安全事件数据后,直接利用该统一推理结构来分析安全数据所属的攻击类型,进而可以显著提高分析的效率。
在另一实施例中,利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别的步骤可以包括:自统一推理结构的根节点开始将标准化后的属性特征值与统一推理结构中的各级节点的特征规则进行比对;如果标准化后的属性特征值与特征规则相匹配,则将根节点至当前节点的置信值相叠加,形成攻击置信值;在遍历了统一推理结构后,根据攻击置信值所处的置信空间确定攻击类别。
在又一实施例中,针对一个标准化后的属性特征值,在自统一推理结构的根节点遍历开始启动定时器;如果定时器超时,则对一个标准化后的属性特征值的攻击置信值清零。这样可以防止由于分析某个标准化后的属性特征值时长期占用置信值资源而破坏正常的分析过程。
接下来,通过一个具体实现详细说明如果通过离线方式训练得出统一推理结构。具体地,可以包括以下步骤:
步骤一,汇集攻击模型库和原始安全事件样本;
其中,安全事件样本是指具备关联分析引擎分析标准格式的安全事件,由源IP地址、源端口、目的IP地址、目的端口、事件类别、事件名称、事件等级、事件涉及的设备、事件发生的时间等特征属性组成。
攻击模型库是指关联分析引擎所能判定的所有攻击模型的集合,由先验知识确定。攻击模型是指与某种安全攻击相关的攻击场景和安全事件链。其中,安全事件链是指由一系列单一安全事件组成的、具备因果、时间承接先后等逻辑关系的链条。
攻击模型可以包括但不限于可疑扫描活动、异常访问、恶意代码活动、网络异常流量、网络服务攻击、设备运行异常等各类攻击事件的数学模型。
步骤二,将安全事件样本分解为特征库,即,将安全事件样本中的所有属性元素打散,形成特征库;
其中,特征库是指安全事件样本的特征属性及属性值组成的集合。
步骤三,依据攻击模型库中的多种攻击模型将特征库先验分类,去除攻击无关特征;
具体地,由于安全事件包括源IP地址、源端口、目的IP地址、目的端口、事件类别、事件名称、事件等级、事件涉及的设备、事件发生的时间等特征属性,因此可以分成这么多特征库元素。举例说明,如果某攻击数学模型要求事件类别为“可疑扫描”的事件发生后3分钟内发生“网站攻击”事件,两事件的目的IP地址一致,则相关的特征元素都指向了该攻击结果,那么其余特征属性就为与攻击无关的特征,可以被去除。
步骤四,计算特征与攻击的关联概率,依据关联概率从大到小对特征库中特征排序;
举例说明,某特征规则可能对应着多种攻击。假设总共存在100种攻击模型,其中有20种都具备目标IP地址=XXX的特征规则,则该特征的关联概率就是20%。
步骤五,依据关联概率将特征分级,作为统一推理结构的各级节点;
其中,统一推理结构是指基于单树数据结构的推理结构,由多级节点组成,上级节点与下级节点相联,每级节点都具有特征规则和置信值。
特征规则是指安全事件某一属性特征所具备的条件,例如,源IP地址==1.1.1.1,即为要求具备的条件,即特征规则。
置信值是指由多维数值标识的数据,代表该节点与各种攻击模型的符合度。
具体地,就是划定多个区间,例如,50-60%,40-50%……0-10%,关联概率在某区间之内的所有特征规则都分为一级。每级的每个特征规则都用一个节点来表示,所有节点组成一个树结构,如图2所示。
步骤六,计算次级节点与上级节点分类关联度,如果关联度小于阈值0.707,则增加新维度;
具体地,计算次级节点与上级节点属于同种攻击模型的重合率,即,关联度,假设上级节点特征可指向A、B、C攻击,关联概率分别为a、b、c,次级节点指向A、B攻击,关联概率分别为c、d,则次级节点与上级节点之间的分类关联度为(c+d)/(a+b+c)。阈值0.707表示关联度的中位数。
如果关联度小于阈值0.707,就表明这两者的关联度较小,可以增加一个维度的向量值。
步骤七,计算次级节点与上级节点分类关联度在各维度上的向量值;
具体地,每个维度上的向量值等于次级节点的 即,等于关联概率与关联度相关角(即,向量角)的正弦值。
步骤八,依据公式“置信值=A维度向量值*x+B维度向量值*y+……”(其中,A维度向量值、B维度向量值等为步骤七中的计算所得),将未知量x、y……从0开始,以1的梯度增加,计算各节点的置信值;
具体地,对各个未知变量从小到大尝试所有可能的取值,用各种数值组合反复计算分类正确率,以确定最优变量值。
例如,根节点的(x,y,z)初始取值为(0,0,0),根节点的次节点初始取值为(1,0,0)…,依此类推,如果直到页节点计算出的分类正确率都不满足判决精度要求,则根节点的(x,y,z)的取值递增1。
步骤九,将多种攻击模型的安全事件链经统一推理结构演绎得到的置信值进行叠加,计算最终置信值结果。
步骤十,根据各种攻击模型置信值结果的聚类空间,以中值算法确定分类阈值和分类正确率;
具体地,在设计分类树时,最后会汇聚到各种攻击类别分明的叶子节点,在到达叶子节点时,置信值会汇聚到一个范围,即聚类空间。
例如,如果两种攻击的聚类空间有重合,就会出现分类错误。通过中值算法算出阈值,即取两种攻击聚类空间重合部分的数值的中位数。如果阈值计算为a,大于a为攻击1,小于a为攻击2。攻击1聚类空间内小于a的数值范围就会判错。攻击1聚类空间内,小于a的数值范围/聚类空间即为分错率,反之为分类正确率。
步骤十一,当分类正确率小于判决精度要求时,转至步骤八,并重复后续步骤;当分类正确率>判决精度要求时,过程结束,此时各节点的最终置信值即为统一推理结构各节点的置信值,统一推理结构生成。
在训练出统一推理结构后,接下来通过一个实例详细说明如何确定一个安全事件的攻击类别。具体地,可以包括以下步骤:
步骤一,对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
其中,分解就是将安全事件属性和属性值分成:例如,攻击目标=上一事件扫描目标,之类一对一对的特征。标准化即将不同来源的安全事件的属性描述统一成一种标准描述。
步骤二,将标准化后的属性特征值与统一推理结构中当前层级节点的特征规则进行比对;
需要指出的是,首次从统一推理结构的根节点开始进行比对。如果比对不成功,再与当前层级节点的次节点进行比对。
该比对过程即看标准化后的属性特征值是否满足特征规则。假设特征规则是:丢包率>50%,如果当前采集的安全事件的丢包率属性特征值为66%,则比对匹配。
步骤三,如果比对匹配,则攻击置信值叠加上当前节点的置信值,不匹配则不处理,跳至下一层级节点,转入步骤二;需要指出的是,初始攻击置信值取0。
步骤四,在遍历统一推理结构后,根据分类阈值可以获知置信值置于何种攻击的置信空间,则相应做出何种攻击的判决,并发出告警。
步骤五,如果置信值未置于任何置信空间,则对下一个属性特征值进行分析,转入步骤二;
步骤六,当前安全事件的全部属性特征值分析完毕,则对下一个采集到的安全事件进行分析,转入步骤一。
步骤七,在步骤二从根节点开始推理时启动一定时器,如果定时器超时,则置信值清零,计时器也清零。用计时器计时,累计一段时间清零置信值,以防止孤立安全事件长期占用置信值资源,破坏正常分析过程。
本领域普通技术人员可以理解,实现上述方法实施例的全部和部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算设备可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质可以包括ROM、RAM、磁碟和光盘等各种可以存储程序代码的介质。
图3是本公开一个实施例的安全事件的智能关联分析装置的结构示意图。
如图3所示,该实施例中的装置30可以包括事件采集单元302和类别判断单元304。其中,
事件采集单元302,用于对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
类别判断单元304,用于利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别。
在该实施例中,通过离线生成的统一推理结构提高了对实时采集的安全事件的关联分析效率,节省了计算空间、时间代价,实现了精度和效率的平衡。
在一个实施例中,安全事件的智能关联分析装置还可以包括统一推理结构生成单元,统一推理结构生成单元包括汇集子单元、样本分解子单元、关联概率计算子单元、结构形成子单元和置信值确定子单元。其中,
汇集子单元,用于汇集攻击模型库和安全事件训练样本;样本分解子单元,用于将安全事件训练样本分解为特征库;关联概率计算子单元,用于计算特征库中各特征与攻击的关联概率;结构形成子单元,用于基于树结构根据关联概率对各特征进行分级,形成统一推理结构的各级节点;置信值确定子单元,用于训练计算满足判决精度要求的各级节点的置信值,并确定分类阈值和分类正确率。
在另一实施例中,类别判断单元包括比对子单元、攻击置信值计算子单元和类别确定子单元。其中,比对子单元,用于自统一推理结构的根节点开始将标准化后的属性特征值与统一推理结构中的各级节点的特征规则进行比对;攻击置信值计算子单元,用于如果标准化后的属性特征值与特征规则相匹配,则将根节点至当前节点的置信值相叠加,形成攻击置信值;类别确定子单元,用于在遍历了统一推理结构后,根据攻击置信值所处的置信空间确定攻击类别。
在又一实施例中,安全事件的智能关联分析装置还包括定时器,用于针对一个标准化后的属性特征值,在自统一推理结构的根节点遍历开始启动定时器,如果定时器超时,则对一个标准化后的属性特征值的攻击置信值清零。
其中,安全事件的属性特征可以包括但不限于源IP地址与端口、目的IP地址与端口、事件类别、事件名称、事件等级、事件涉及的设备以及事件发生的时间。
在另一实施例中,融合多攻击模型的基于统一推理结构的关联分析引擎,包括统一推理结构生成模块、安全事件预处理模块、统一推理分析决策模块和告警模块。其中,
统一推理结构生成模块是指基于安全事件样本库和先验的攻击模型,采用多轮训练方式生成统一推理结构的信息离线处理模块。包括:安全事件样本、攻击模型库、特征库和统一推理结构。
安全事件预处理模块、统一推理分析决策模块和告警模块为关联分析引擎的在线处理模块。
安全事件预处理模块是指对进入关联分析引擎的安全事件进行特征属性分解与归类的信息处理模块。
统一推理分析决策模块是指基于统一推理结构对安全事件进行关联分析并决策是否攻击发生的信息处理模块。包括统一推理结构、置信值空间和计时器。
其中,置信值空间是指统一推理分析决策时当前置信值和历史置信值的存储空间;计时器是指用于对统一推理分析决策时间自动计时的寄存器。
告警模块是指发出攻击告警的***模块。
该实施例针对电信网络环境下海量安全事件关联分析效率低的问题,提出了融合多攻击模型的基于模糊决策树的关联分析方法:不同攻击模型的攻击判决条件以多维置信值标识,训练生成统一的多路径模糊决策树。通过统一推理方法提高了关联分析的效率、节省了计算空间、时间代价、实现了精度和效率平衡的多源信息关联分析。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同和相似的部分可以相互参见。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处可以参见方法实施例部分的说明。
虽然已参照示例性实施例描述了本公开,但应理解,本公开不限于上述的示例性实施例。对于本领域技术人员显然的是,可以在不背离本公开的范围和精神的条件下修改上述的示例性实施例。所附的权利要求的范围应被赋予最宽的解释,以包含所有这样的修改以及等同的结构和功能。
Claims (6)
1.一种安全事件的智能关联分析方法,其特征在于,包括:
对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
自统一推理结构的根节点开始将标准化后的属性特征值与统一推理结构中的各级节点的特征规则进行比对;
如果标准化后的属性特征值与特征规则相匹配,则将根节点至当前节点的置信值相叠加,形成攻击置信值;
在遍历了统一推理结构后,根据攻击置信值所处的置信空间确定攻击类别;
通过下述方式生成统一推理结构:
汇集攻击模型库和安全事件训练样本;
将安全事件训练样本分解为特征库;
计算特征库中各特征与攻击的关联概率;
基于树结构根据关联概率对各特征进行分级,形成统一推理结构的各级节点;
计算次级节点与上级节点的分类关联度,在所述分类关联度小于阈值的情况下,增加新维度;
计算所述分类关联度在各维度上的向量值,所述向量值为所述关联概率与所述分类关联度的向量角的正弦值;
计算各节点的置信值,所述置信值为所述各维度上的向量值的加权和,所述各维度上的向量值的相应权值从0开始以1的梯度增加;
将各攻击模型的安全事件链经所述统一推理结构演绎得到的置信值进行叠加,计算相应的最终置信值结果;
根据各种攻击模型相应的最终置信值结果的聚类空间,以中值算法确定分类阈值和分类正确率。
2.根据权利要求1所述的安全事件的智能关联分析方法,其特征在于,所述方法还包括:
针对一个标准化后的属性特征值,在自统一推理结构的根节点遍历开始启动定时器;
如果定时器超时,则对所述一个标准化后的属性特征值的攻击置信值清零。
3.根据权利要求1所述的安全事件的智能关联分析方法,其特征在于,安全事件的属性特征包括源IP地址与端口、目的IP地址与端口、事件类别、事件名称、事件等级、事件涉及的设备以及事件发生的时间。
4.一种安全事件的智能关联分析装置,其特征在于,包括:
事件采集单元,用于对实时采集到的安全事件进行属性特征的分解与属性特征值的标准化;
类别判断单元,用于利用标准化后的属性特征值遍历离线生成的统一推理结构,以确定攻击类别;
所述类别判断单元包括:
比对子单元,用于自统一推理结构的根节点开始将标准化后的属性特征值与统一推理结构中的各级节点的特征规则进行比对;
攻击置信值计算子单元,用于如果标准化后的属性特征值与特征规则相匹配,则将根节点至当前节点的置信值相叠加,形成攻击置信值;
类别确定子单元,用于在遍历了统一推理结构后,根据攻击置信值所处的置信空间确定攻击类别;
所述安全事件的智能关联分析装置还包括统一推理结构生成单元,所述统一推理结构生成单元包括:
汇集子单元,用于汇集攻击模型库和安全事件训练样本;
样本分解子单元,用于将安全事件训练样本分解为特征库;
关联概率计算子单元,用于计算特征库中各特征与攻击的关联概率;
结构形成子单元,用于基于树结构根据关联概率对各特征进行分级,形成统一推理结构的各级节点;
置信值确定子单元,用于执行如下步骤:
计算次级节点与上级节点的分类关联度,在所述分类关联度小于阈值的情况下,增加新维度;
计算所述分类关联度在各维度上的向量值,所述向量值为所述关联概率与所述分类关联度的向量角的正弦值;
计算各节点的置信值,所述置信值为所述各维度上的向量值的加权和,所述各维度上的向量值的相应权值从0开始以1的梯度增加;
将各攻击模型的安全事件链经所述统一推理结构演绎得到的置信值进行叠加,计算相应的最终置信值结果;
根据各种攻击模型相应的最终置信值结果的聚类空间,以中值算法确定分类阈值和分类正确率。
5.根据权利要求4所述的安全事件的智能关联分析装置,其特征在于,所述安全事件的智能关联分析装置还包括:
定时器,用于针对一个标准化后的属性特征值,在自统一推理结构的根节点遍历开始启动定时器,如果定时器超时,则对所述一个标准化后的属性特征值的攻击置信值清零。
6.根据权利要求4所述的安全事件的智能关联分析装置,其特征在于,安全事件的属性特征包括源IP地址与端口、目的IP地址与端口、事件类别、事件名称、事件等级、事件涉及的设备以及事件发生的时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410401184.2A CN105376193B (zh) | 2014-08-15 | 2014-08-15 | 安全事件的智能关联分析方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410401184.2A CN105376193B (zh) | 2014-08-15 | 2014-08-15 | 安全事件的智能关联分析方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105376193A CN105376193A (zh) | 2016-03-02 |
CN105376193B true CN105376193B (zh) | 2019-06-04 |
Family
ID=55378007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410401184.2A Active CN105376193B (zh) | 2014-08-15 | 2014-08-15 | 安全事件的智能关联分析方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105376193B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209893B (zh) * | 2016-07-27 | 2019-03-19 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测***及其检测方法 |
CN106570131A (zh) * | 2016-10-27 | 2017-04-19 | 北京途美科技有限公司 | 一种基于聚类分析的敏感数据异常访问检测方法 |
CN107517216B (zh) * | 2017-09-08 | 2020-02-21 | 瑞达信息安全产业股份有限公司 | 一种网络安全事件关联方法 |
CN109361728B (zh) * | 2018-08-30 | 2021-01-29 | 中国科学院上海微***与信息技术研究所 | 一种基于多源传感数据关联度的分级事件报告***及方法 |
CN109218435B (zh) * | 2018-09-30 | 2021-07-23 | 湖北华联博远科技有限公司 | 一种数据上传方法及*** |
CN109446291B (zh) * | 2018-10-23 | 2022-05-13 | 山东中创软件商用中间件股份有限公司 | 一种路网状态统计方法、装置和计算机可读存储介质 |
CN110545276B (zh) * | 2019-09-03 | 2022-06-21 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
CN111343161B (zh) * | 2020-02-14 | 2021-12-10 | 平安科技(深圳)有限公司 | 异常信息处理节点分析方法、装置、介质及电子设备 |
CN113095625B (zh) * | 2021-03-17 | 2023-04-07 | 中国民用航空总局第二研究所 | 一种民航机场不安全事件分级方法及*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001084270A2 (en) * | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for intrusion detection in a computer network |
CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及*** |
CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和*** |
CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
CN102571469A (zh) * | 2010-12-23 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 攻击检测方法和装置 |
CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
-
2014
- 2014-08-15 CN CN201410401184.2A patent/CN105376193B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001084270A2 (en) * | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for intrusion detection in a computer network |
CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及*** |
CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和*** |
CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
CN102571469A (zh) * | 2010-12-23 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 攻击检测方法和装置 |
CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105376193A (zh) | 2016-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105376193B (zh) | 安全事件的智能关联分析方法与装置 | |
Kiss et al. | Data clustering-based anomaly detection in industrial control systems | |
Mirheidari et al. | Alert correlation algorithms: A survey and taxonomy | |
CN105677791B (zh) | 用于分析风力发电机组的运行数据的方法和*** | |
CN109670306A (zh) | 基于人工智能的电力恶意代码检测方法、服务器及*** | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN102098180A (zh) | 一种网络安全态势感知方法 | |
CN107517216A (zh) | 一种网络安全事件关联方法 | |
CN107360152A (zh) | 一种基于语义分析的Web威胁感知*** | |
CN109086603A (zh) | 一种基于机器学习的入侵检测***及方法 | |
CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、***、设备及介质 | |
Mbow et al. | An intrusion detection system for imbalanced dataset based on deep learning | |
Bateni et al. | Using Artificial Immune System and Fuzzy Logic for Alert Correlation. | |
Nadiammai et al. | A comprehensive analysis and study in intrusion detection system using data mining techniques | |
Shitharth et al. | A new probabilistic relevancy classification (PRC) based intrusion detection system (IDS) for SCADA network | |
CN110011990A (zh) | 内网安全威胁智能分析方法 | |
Gogoi et al. | A rough set–based effective rule generation method for classification with an application in intrusion detection | |
CN116108202A (zh) | 基于关系图谱的用采***数据攻击行为建模方法 | |
Hoarau et al. | Suitability of graph representation for bgp anomaly detection | |
CN117473571B (zh) | 一种数据信息安全处理方法及*** | |
Panda et al. | Ensembling rule based classifiers for detecting network intrusions | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构*** | |
Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
Dik et al. | Web attacks detection based on patterns of sessions | |
CN115085948A (zh) | 基于改进d-s证据理论的网络安全态势评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |