申请/专利权人：南京科技职业学院;江苏派恩杰网络安全有限责任公司

申请日：2022-03-17

公开（公告）日：2024-07-05

公开（公告）号：CN114697087B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/0604;H04L41/0631;H04L43/028;H04L43/04;G06F18/23

优先权：

专利状态码：有效-授权

法律状态：2024.07.05#授权;2022.07.19#实质审查的生效;2022.07.01#公开

摘要：本发明公开了一种基于报警时序的报警关联方法，采集Snort报警数据和OSSEC报警数据，将报警历史数据取统一的时间域得到统一的报警时序数据；以预设的采样时间对报警时序数据进行分割生成报警时间序列；利用滑窗对报警事件进行判断，并记下报警事件的报警时间以及报警的类型作为特征向量生成待关联报警时序；基于聚类算法对待关联报警时序进行归类，根据预设的相似度阈值对报警序列关联，并将关联的结果进行展示。本发明能够较大提高检出效果。

主权项：1.一种基于报警时序的报警关联方法，其特征在于：包括：采集Snort报警数据和OSSEC报警数据，将报警历史数据取统一的时间域得到统一的报警时序数据；以预设的采样时间对报警时序数据进行分割生成报警时间序列；利用滑窗对报警事件进行判断，并记下报警事件的报警时间以及报警的类型作为特征向量生成待关联报警时序；基于聚类算法对待关联报警时序进行归类，根据预设的相似度阈值对报警序列关联，并将关联的结果进行展示；利用滑窗对报警事件进行判断，具体包括：对报警时间序列提取其中的时间点Ak的窗口报警时间序列S=[Ak-W…Ak…Ak+W]，W为Ak两侧窗口长度；若S中的出现报警状态值的频率大于预设的频率，则判断发生报警事件，并记下对应的窗口报警时间以及警报的类型作为特征向量；基于聚类算法获得相似的报警序列具体包括以下步骤：S31统计待关联报警时序的alert关键词，并根据alert关键词进行分类，相同的alert关键词的待关联报警时序归为一类；S32计算两两类之间的距离，找出距离distance最小的两个类，将距离最小的两个类合并为一个类；同时总聚类数减少1；S33新的聚类向量的值为distance最小的两个类向量的平均值，然后再将新的类作为父节点distance最小的两个类分别作为父节点的左子树和右子树；S34重新计算新聚类与其他聚类间的距离；S35重复步骤S32直到类的数目变为1；S34输出最后生成的树状结构。

全文数据：

权利要求：

百度查询： 南京科技职业学院 江苏派恩杰网络安全有限责任公司 一种基于报警时序的报警关联方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD