| 发明名称 | 海量事件安全分析方法及装置 | ||
| 摘要 | 本发明提供一种海量事件安全分析方法和装置,方法包括:对海量的原始事件进行存储;对原始事件进行初步的基础分析,生成初步的分析结果并储存;将初步的基础分析结果与海量原始事件进入分布式文件系统HDFS进行并行分析,并行分析包括交互、过滤、归并以及统计等:从深入挖掘脚本库调用合适的深入挖掘脚本;用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”;执行所调用的挖掘脚本,完成所有事件的源和目标IP的关联以及挖掘脚本之间的关联,在网络中进行定位异常情况;最后将异常情况和解决方案通过各种响应方式通知用户。装置则包括执行上述方法的各虚拟模块,本发明的优点在于对海量事件的分析更加准确、完整、迅速。 | ||
| 申请公布号 | CN102790706A | 申请公布日期 | 2012.11.21 |
| 申请号 | CN201210265238.8 | 申请日期 | 2012.07.27 |
| 申请人 | 福建富士通信息软件有限公司 | 发明人 | 王丰;唐敏;陈冬冬;涂大志;黄震奇 |
| 分类号 | H04L12/26(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 福州市鼓楼区京华专利事务所(普通合伙) 35212 | 代理人 | 宋连梅 |
| 主权项 | 一种海量事件安全分析方法,其特征在于:包括如下步骤:步骤10、对海量的原始事件进行存储;步骤20、获取原始事件,对原始事件进行初步的基础分析,生成初步的分析结果,然后储存初步的分析结果;其中,该基础分析是对原始日志事件进行基础漏洞分析、规则分析和一些信息的确认;步骤30、将初步的分析结果与原始事件进入分布式文件系统HDFS通过SQOOP进行并行分析,该并行分析的过程包括:通过脚本语言对所有原始事件和初步的分析结果中一些对挖掘无意义的信息进行过滤;以及通过脚本语言对所有源地址、源端口、目的地址、目的端口以及事件类型均相同的原始事件和初步分析结果进行归并操作,并按条件进行统计;步骤40、通过一系列的配置和一系列的调度规则来从深入挖掘脚本库调用合适的深入挖掘脚本;该挖掘脚本是用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”;步骤50、在hadoop平台上借助轻度脚本语言执行所调用的挖掘脚本,完成所有事件的源和目标IP的关联以及挖掘脚本之间的关联,形成挖掘结果;最后根据挖掘结果发现的异常情况在网络中进行定位;步骤60、将异常情况和解决方案通过各种响应方式通知用户。 | ||
| 地址 | 350000 福建省福州市晋安区斗门水头路22号 | ||