| 发明名称 | 网络异常行为检测方法及装置 | ||
| 摘要 | 本发明提供一种网络异常行为检测方法及装置。方法包括:获取网络设备的历史日志数据;解析所述历史日志数据,生成历史网络行为数据;根据所述历史网络行为数据和规则模板,生成白名单、黑名单和基调规则;获取所述网络设备的当前日志数据;解析所述当前日志数据,生成当前网络行为数据;根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据;根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据;将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据;输出包括所述异常行为数据的告警信息。 | ||
| 申请公布号 | CN102413013B | 申请公布日期 | 2013.11.06 |
| 申请号 | CN201110371820.8 | 申请日期 | 2011.11.21 |
| 申请人 | 北京神州绿盟信息安全科技股份有限公司 | 发明人 | 王卫东 |
| 分类号 | H04L12/26(2006.01)I;H04L12/24(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 北京同立钧成知识产权代理有限公司 11205 | 代理人 | 刘芳 |
| 主权项 | 一种网络异常行为检测方法,其特征在于,包括:获取网络设备的历史日志数据;解析所述历史日志数据,生成历史网络行为数据;根据所述历史网络行为数据和规则模板,生成白名单、黑名单和基调规则,其中,每个行为人或行为人群组的历史网络行为数据构造成与行为人身份对应的基调规则;获取所述网络设备的当前日志数据;解析所述当前日志数据,生成当前网络行为数据;根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据;根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据;将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据;输出包括所述异常行为数据的告警信息。 | ||
| 地址 | 100089 北京市海淀区北洼路4号益泰大厦3层 | ||