| 发明名称 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 | ||
| 摘要 | 本发明基于时间序列和事件序列的关联分析攻击检测方法和装置涉及以交换功能为特征的网络,是一种防止未经允许从数据传输信道取出数据的方法和装置。所述方法提供一种基于文本的对于复杂攻击事件的描述语言,使得用户可以修改内置的关联特征,同时也可以现场添加新的关联事件的特征。本发明包括:基础事件规则库、关联分析规则库、一级检测引擎、关联分析引擎。本发明对于整个攻击过程进行描述,描述更全面、合理,同时考虑到时间因素和事件间的顺序两个维度因素,这种描述和检测更加符合攻击检测的要求,对于基础事件进行了进一步区分,本发明还描述了未报警事件与已报警事件之间的关联关系,这一切都大大提高检测的准确率。 | ||
| 申请公布号 | CN101034974A | 申请公布日期 | 2007.09.12 |
| 申请号 | CN200710064933.7 | 申请日期 | 2007.03.29 |
| 申请人 | 北京启明星辰信息技术有限公司 | 发明人 | 陈宇;王洋;李博;王鸿鹏;焦玉峰 |
| 分类号 | H04L9/00(2006.01);H04L12/56(2006.01);H04L12/26(2006.01) | 主分类号 | H04L9/00(2006.01) |
| 代理机构 | 北京市商泰律师事务所 | 代理人 | 毛燕生 |
| 主权项 | 1.基于时间序列和事件序列的关联分析攻击检测方法,包括:基础事件规则库、关联分析规则库、一级检测引擎、关联分析引擎,其特征在于所述的步骤:定义基础事件规则的步骤;定义关联分析规则的步骤;对符合关联分析条件的基础事件进行检测的步骤;对基础事件进行时间序列和事件序列的分析的步骤;报警的步骤。 | ||
| 地址 | 100094北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦 | ||