| 发明名称 | 一种热点安全事件的识别方法及系统 | ||
| 摘要 | 本发明公开了一种热点安全事件的识别方法及系统,包括:以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据,将SYSLOG安全日志数据规范化为格式统一的安全事件记录。根据网络资产的IP地址和网络资产的资产类型,将安全事件记录映射到预先构建的网络热点中心。计算网络热点中心中安全事件记录的热点指数。当热点指数超过预定的阈值时,则判定网络热点中心异常,将网络热点中心中影响程度最大的网络资产作为热点资产,将与热点资产相关的安全事件记录识别为热点事件。通过本发明的方案,能够全面分析热点事件,准确反应网络关键信息。 | ||
| 申请公布号 | CN104579782A | 申请公布日期 | 2015.04.29 |
| 申请号 | CN201510015080.2 | 申请日期 | 2015.01.12 |
| 申请人 | 国家电网公司;国网河北省电力公司信息通信分公司 | 发明人 | 陈连栋;孔明;齐东斌;黄镜宇;史新茹 |
| 分类号 | H04L12/24(2006.01)I;H04L29/06(2006.01)I;G06F17/30(2006.01)I | 主分类号 | H04L12/24(2006.01)I |
| 代理机构 | 北京安信方达知识产权代理有限公司 11262 | 代理人 | 王康;栗若木 |
| 主权项 | 一种热点安全事件的识别方法,其特征在于,所述方法包括以下步骤:A、以系统日志SYSLOG协议实时采集各种类型的网络资产的不同格式的SYSLOG安全日志数据,将所述SYSLOG安全日志数据规范化为格式统一的安全事件记录;B、根据所述网络资产的IP地址和所述网络资产的资产类型,将所述安全事件记录映射到预先构建的网络热点中心;C、计算所述网络热点中心中所述安全事件记录的热点指数;D、当所述热点指数超过预定的阈值时,则判定所述网络热点中心异常,将所述网络热点中心中影响程度最大的所述网络资产作为热点资产,将与所述热点资产相关的所述安全事件记录识别为热点事件。 | ||
| 地址 | 100031 北京市西城区西长安街86号 | ||