[发明专利]一种安全日志分析方法及系统

权利要求书

1.一种安全日志分析方法，利用数据挖掘技术对海量日志进行分析和处理，其特征在于，该方法包括以下步骤： 

A.利用AOI(Attribute Oriented Induction，面向属性归纳)算法，根据选定的归纳属性，对海量日志进行聚类分析，生成聚类后每类日志的类描述； 

B.管理员根据聚类后的类描述设置过滤规则，从当前日志库中去除不相关日志和误报的日志，对海量日志进行精简；提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征； 

C.对精简后的日志进行序列模式挖掘，找出攻击者常用的攻击行为序列描述，并最终提交给管理员。 

2.根据权利要求1所述的一种安全日志分析方法，其特征在于，所述步骤A中用于归纳的属性包括但不局限于：事件源地址，目的地址，事件发生时间，事件类型。 

3.根据权利要求1所述的一种安全日志分析方法，其特征在于，所述步骤B包括： 

B1.将聚类后的日志分为三种类型：大规模网络安全事件；需进一步处理的事件；无效事件和误报事件； 

B2.根据无效事件和误报事件的类描述生成SQL语句；将该类日志从日志数据库中删除。 

4.根据权利要求1所述的一种安全日志分析方法，其特征在于，所述步骤C包括： 

C1.根据源IP地址、目的IP地址、时间窗约束，对安全日志进行序列划分； 

C2.对划分后的日志序列进行序列模式挖掘，找出满足置信度和支持度要求 的事件序列模式。 

5.一种安全日志分析系统，其特征在于：包括聚类分析模块、过滤模块、序列模式挖掘模块；

利用面向属性归纳算法，对海量日志进行聚类分析，生成聚类后每类日志的类描述的聚类分析模块；

接收聚类后的类描述，对聚类结果进行分类，根据类描述生成SQL语句，从当前日志库中去除不相关日志和误报的日志，对海量日志进行精简；提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征的过滤模块；

对过滤模块精简后的日志首先进行序列划分，然后进行序列模式挖掘，找出攻击者常用的攻击行为序列描述，并通过人机界面提交给管理员的序列模式挖掘模块。