[发明专利]基于审计知识图谱的复杂攻击行为模式提取方法

权利要求书

1.基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：包括审计综合显示管理中心、日志分析中心、日志采集中心与设备层，

步骤一、日志采集中心采集设备层的审计信息，

步骤二、日志分析中心对以采集的信息进行分析管理并进行告警，

步骤三、审计综合显示管理中心对告警信息进行分析管理，

所述审计综合显示管理中心包括安全对象管理子单元、审计策略管理子单元、审计告警管理子单元、安全日志管理子单元与报表管理子单元，

所述日志分析中心包括风险分析引擎子单元、预警分析引擎子单元、状态监控引擎子单元与告警引擎子单元，

所述日志采集中心包括过滤合并引擎子单元、日志监控引擎子单元、状态监控引擎子单元与离线缓存引擎子单元，

所述设备层包括Web服务器、Unix主机、业务服务器、交换机、防火墙、安全设备以及路由器。

2.根据权利要求1所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：还包括日志存储中心，日志存储中心用于存储审计数据、范化标准日志、原始日志信息，日志存储中心分别与日志分析中心、日志采集中心、审计综合显示管理中心连通。

3.根据权利要求1所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：所述审计综合显示管理中心还包括采集代理管理子单元、过滤合并策略管理子单元、级联管理子单元。

4.根据权利要求1所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：所述日志分析中心包括信息补全引擎子单元、实时审计分析引擎子单元、事后审计分析引擎子单元、调度作业引擎子单元、数据存储引擎子单元与报表引擎子单元。

5.根据权利要求1所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：所述日志采集中心包括有多个采集代理。

6.根据权利要求1所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：还包括系统管理，系统管理包括自定义Portal子单元、状态监控子单元、业务组件监控子单元、配置管理子单元。

7.根据权利要求6所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：还包括用户管理，用户管理包括账号管理子单元、权限管理子单元、统一认证子单元、系统审计子单元与资源管理子单元。

8.根据权利要求1所述的基于审计知识图谱的复杂攻击行为模式提取方法，其特征在于：所述审计综合显示管理中心还包括统一门户Portal子单元。