[发明专利]一种基于回归的信息安全异常检测的方法及系统

说明书

本发明公开了一种基于回归的信息安全异常检测的方法及系统，包括：实时告警模块、历史告警模块、离线异常检测建模模块、在线异常检测模块,以及知识库。采用本发明，能够检测到异构的、动态的和复杂的IT企业网络设备产生的海量安全告警中的安全攻击事件，能够溯源或回放事件，能够发现故障的根源或源头，能够帮助IT企业快速恢复业务，保证其正常运营。

技术领域

本发明涉及信息安全应用技术领域，尤其涉及诸如SNMP、syslog等上报的海量告警的异常检测方法与系统。

背景技术

本发明中包含的英文简称如下：

SMA：Simple Moving Average简单移动平均线

ACF：AutoCorrelation Function自动关联函数

MAD：Median Absolute Deviation 中位绝对偏差

LR：linear regression 线性回归

OLS：ordinary least squares 最小二乘法

MA：moving average 移动平均

WMA：weighted moving average加权移动平均

EWMA：exponential weighted moving average指数加权移动平均

AR：autoregressive 自回归

ARMA：auto regressive moving average自回归移动平均

ARIMA：integrated ARMA 集成自回归移动平均

CUSUM：Cumulative Sum Test累积和检验

SOC：Security Operation Center安全管理中心

IDS：Intrusion Detection Systems入侵检测系统

SNMP：Simple Network Management Protocol简单网络管理协议

HDFS：Hadoop Distribute File SystemHadoop分布式文件系统

MQ：Message Queue消息队列

安全生产历来是保障各项工作有序开展的前提，也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络高效稳定地运行，是企业一切市场经营活动和正常运作的基础。

随着各类企业信息系统的建设和完善，有效地提高了劳动生产率，降低了运营成本。一旦企业各业务系统出现安全事件、或发生故障、或形成性能瓶颈，不能及时发现、及时处理、及时恢复，势必直接导致承载在其上所有业务的运行，影响企业的正常运营秩序，企业业务不能正常开展。因此，对于政府和企业IT基础实施的安全保障就显得格外重要。

随着政府和企业信息化程度不断提高。各业务系统间联系越来越密切，数据交换越来越频繁，各系统有着复杂网络或逻辑连接，存在大量数据交换，甚至一个故障可以引发成为企业全网故障，一点或一种业务系统出现漏洞感染病毒或受到攻击，将迅速波及其它业务系统及网络，甚至导致企业全网瘫痪。

企业IT系统产生了大量的告警，随着存储设备成本的降低，没有理由丢弃这些数据，然而，目前，还没有相应的方法及其分析工具，能够从这些海量告警中，预防或发现安全攻击，溯源或找到故障的根源；还不能够帮助信息安全工程师尽快恢复IT业务。