The invention discloses a system and method for anomaly detection, information security based on regression including: real time anomaly detection module, alarm module, alarm history off-line detection module modeling module, online, and knowledge base. The invention can detect the heterogeneous, dynamic and complex IT enterprise network equipment to produce massive security alarm in security attacks, can trace or playback events, to find the fault origin or source, IT can help enterprises quickly resume business, to ensure the normal operation.
【技术实现步骤摘要】
本专利技术涉及信息安全应用
,尤其涉及诸如SNMP、syslog等上报的海量告警的异常检测方法与系统。
技术介绍
本专利技术中包含的英文简称如下:SMA:SimpleMovingAverage简单移动平均线ACF:AutoCorrelationFunction自动关联函数MAD:MedianAbsoluteDeviation中位绝对偏差LR:linearregression线性回归OLS:ordinaryleastsquares最小二乘法MA:movingaverage移动平均WMA:weightedmovingaverage加权移动平均EWMA:exponentialweightedmovingaverage指数加权移动平均AR:autoregressive自回归ARMA:autoregressivemovingaverage自回归移动平均ARIMA:integratedARMA集成自回归移动平均CUSUM:CumulativeSumTest累积和检验SOC:SecurityOperationCenter安全管理中心IDS:IntrusionDetectionSystems入侵检测系统SNMP:SimpleNetworkManagementProtocol简单网络管理协议HDFS:HadoopDistributeFileSystemHadoop分布式文件系统MQ:MessageQu...
【技术保护点】
本专利技术提供了一种基于回归的信息安全异常检测的方法及系统,包括实时告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块(基于回归)和知识库;1)所述实时告警模块,实时地接收来自各种安全设备的告警,并分别上报给历史告警模块和在线基于回归的异常检测模块;2)所述历史告警模块,可以作为告警数据的备份,也可以为离线异常检测建模模块提供告警数据;3)所述离线异常检测建模模块,对告警时间序列建模,并提供基于回归的安全攻击异常检测方法指南;4)所述基于回归的异常检测方法指南,通过实时计算中位数m、四分位距iqr、事件间隔k和周期T情况,来决定是否选择基于回归的信息安全异常检测的方法,并且实时反馈给在线基于回归的异常检测模块;5)所述在线异常检测模块,采用基于回归的方法,实时地检测实时告警模块所上报告警的异常,并且,将检测结果上报给相关显示模块或安全分析师做进一步处理;6)所述知识库,存储各种统计参数、异常检测方法及其应用场景等。
【技术特征摘要】
1.本发明提供了一种基于回归的信息安全异常检测的方法及系统,包括实时告警模
块、历史告警模块、离线异常检测建模模块、在线异常检测模块(基于回归)和知识库;
1)所述实时告警模块,实时地接收来自各种安全设备的告警,并分别上报给历史告警
模块和在线基于回归的异常检测模块;
2)所述历史告警模块,可以作为告警数据的备份,也可以为离线异常检测建模模块提
供告警数据;
3)所述离线异常检测建模模块,对告警时间序列建模,并提供基于回归的安全攻击异
常检测方法指南;
4)所述基于回归的异常检测方法指南,通过实时计算中位数m、四分位距iq...
【专利技术属性】
技术研发人员:李木金,凌飞,
申请(专利权)人:南京联成科技发展有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。