[发明专利]海量事件安全分析方法及装置有效
| 申请号: | 201210265238.8 | 申请日: | 2012-07-27 |
| 公开(公告)号: | CN102790706A | 公开(公告)日: | 2012-11-21 |
| 发明(设计)人: | 王丰;唐敏;陈冬冬;涂大志;黄震奇 | 申请(专利权)人: | 福建富士通信息软件有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/08 |
| 代理公司: | 福州市鼓楼区京华专利事务所(普通合伙) 35212 | 代理人: | 宋连梅 |
| 地址: | 350000 福建*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种海量事件安全分析方法和装置,方法包括:对海量的原始事件进行存储;对原始事件进行初步的基础分析,生成初步的分析结果并储存;将初步的基础分析结果与海量原始事件进入分布式文件系统HDFS进行并行分析,并行分析包括交互、过滤、归并以及统计等:从深入挖掘脚本库调用合适的深入挖掘脚本;用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”;执行所调用的挖掘脚本,完成所有事件的源和目标IP的关联以及挖掘脚本之间的关联,在网络中进行定位异常情况;最后将异常情况和解决方案通过各种响应方式通知用户。装置则包括执行上述方法的各虚拟模块,本发明的优点在于对海量事件的分析更加准确、完整、迅速。 | ||
| 搜索关键词: | 海量 事件 安全 分析 方法 装置 | ||
【主权项】:
一种海量事件安全分析方法,其特征在于:包括如下步骤:步骤10、对海量的原始事件进行存储;步骤20、获取原始事件,对原始事件进行初步的基础分析,生成初步的分析结果,然后储存初步的分析结果;其中,该基础分析是对原始日志事件进行基础漏洞分析、规则分析和一些信息的确认;步骤30、将初步的分析结果与原始事件进入分布式文件系统HDFS通过SQOOP进行并行分析,该并行分析的过程包括:通过脚本语言对所有原始事件和初步的分析结果中一些对挖掘无意义的信息进行过滤;以及通过脚本语言对所有源地址、源端口、目的地址、目的端口以及事件类型均相同的原始事件和初步分析结果进行归并操作,并按条件进行统计;步骤40、通过一系列的配置和一系列的调度规则来从深入挖掘脚本库调用合适的深入挖掘脚本;该挖掘脚本是用于查看“基于源地址、目的地址或事件分类而进行的各类攻击”;步骤50、在hadoop平台上借助轻度脚本语言执行所调用的挖掘脚本,完成所有事件的源和目标IP的关联以及挖掘脚本之间的关联,形成挖掘结果;最后根据挖掘结果发现的异常情况在网络中进行定位;步骤60、将异常情况和解决方案通过各种响应方式通知用户。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建富士通信息软件有限公司,未经福建富士通信息软件有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210265238.8/,转载请声明来源钻瓜专利网。
