【摘要】 本发明公开了一种海量日志关联分析方法和系统,实现了根据入侵检测设备产生的海量日志,评估当前网络安全状况,并描述当前最应的攻击情况。所述方法包括:获取入侵检测设备的日志,通过计算入侵检测设备日志源地址和目的地址的分布状况,判断是否存在大规模网络安全事件;根据源地址、目的地址、事件类型三个参数上对入侵检测设备日志进行归并,检测出并报告异常地址、热点事件;统计并通过图形展示热点事件在指定时间段内的传播过程;对上述输出结果进行关联,给出当前网络安全状况的综合评价。所述系统包括熵模块单元、三元组模块单元、热点事件传播展示模块单元、综合关联分析模块单元。 【专利类型】发明申请 【申请人】北京启明星辰信息技术股份有限公司; 北京启明星辰信息安全技术有限公司; 上海市计算机病毒防范服务中心 【申请人类型】企业,机关团体 【申请人地址】100193 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810225913.8 【申请日】2008-11-06 【申请年份】2008 【公开公告号】CN101741633A 【公开公告日】2010-06-16 【公开公告年份】2010 【授权公告号】CN101741633B 【授权公告日】2011-12-28 【授权公告年份】2011.0 【IPC分类号】H04L12/26; H04L12/24; H04L29/06 【发明人】周涛; 吴恩平; 郝春光; 力立; 林宝晶 【主权项内容】一种海量日志关联分析方法,通过获取海量的入侵检测设备日志,对所述入侵检测设备日志进行关联分析,其特征在于,该方法包括以下步骤:A.用于进行熵检测的步骤:读取所述入侵检测设备日志,计算所述入侵检测设备日志的源地址和目的地址的熵分布值,判断是否存在大规模的网络安全事件,并输出判断结果;B.用于进行三元组检测的步骤:读取所述入侵检测设备日志,根据源地址、目的地址、事件类型三个参数,对所述入侵检测设备日志进行归并,检测并报告异常地址或热点事件,并输出检测结果;C.用于进行热点事件传播展示的步骤:读取所述入侵检测设备日志,统计并展示热点事件在指定时间段内的传播过程,并输出统计结果;D.用于进行综合关联分析的步骤:根据上述三个步骤输出的判断结果、检测结果、统计结果进行关联分析,给出当前网络安全状况的评价。 【当前权利人】北京启明星辰信息技术股份有限公司; 上海市计算机病毒防范服务中心; 上海启明星辰信息技术有限公司; 北京启明星辰信息安全技术有限公司 【当前专利权人地址】北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦; 上海市北京西路1399号11楼E座; ; 北京市海淀区东北旺西路8号21号楼启明星辰大厦102号 【专利权人类型】股份有限公司(上市、自然人投资或控股); 有限责任公司 【统一社会信用代码】; 911101088020115538 【被引证次数】32 【被他引次数】32.0 【家族引证次数】3.0 【家族被引证次数】33
