| 发明名称 | 一种安全日志分析方法及系统 | ||
| 摘要 | 本发明公开了一种安全日志分析方法及系统,实现了从海量日志中过滤无效日志和误报日志,发现大规模网络安全事件,以及经常出现的攻击序列。所述方法包括:利用面向属性归纳算法,对海量日志进行聚类分析,生成聚类后每类日志的类描述;管理员根据聚类后的类描述设置过滤规则,从当前日志库中去除不相关日志和误报的日志,对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征;对精简后的日志进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并最终提交给管理员。所述系统包括聚类分析模块、过滤模块和序列模式挖掘模块。本发明适用于对安全产品的海量日志信息处理。 | ||
| 申请公布号 | CN101399658A | 申请公布日期 | 2009.04.01 |
| 申请号 | CN200710122232.4 | 申请日期 | 2007.09.24 |
| 申请人 | 北京启明星辰信息技术有限公司 | 发明人 | 周涛;叶润国;骆拥政;王征 |
| 分类号 | H04L9/00(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L9/00(2006.01)I |
| 代理机构 | 北京市商泰律师事务所 | 代理人 | 毛燕生 |
| 主权项 | 1. 一种安全日志分析方法,利用数据挖掘技术对海量日志进行分析和处理,其特征在于,该方法包括以下步骤:A. 利用AOI(Attribute Oriented Induction,面向属性归纳)算法,根据选定的归纳属性,对海量日志进行聚类分析,生成聚类后每类日志的类描述;B. 管理员根据聚类后的类描述设置过滤规则,从当前日志库中去除不相关日志和误报的日志,对海量日志进行精简;提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征;C. 对精简后的日志进行序列模式挖掘,找出攻击者常用的攻击行为序列描述,并最终提交给管理员。 | ||
| 地址 | 100094北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦 | ||