[发明专利]基于审计知识图谱的复杂攻击行为模式提取方法

说明书

本发明公开了基于审计知识图谱的复杂攻击行为模式提取方法，包括审计综合显示管理中心、日志分析中心、日志采集中心与设备层，步骤一、日志采集中心采集设备层的审计信息，步骤二、日志分析中心对以采集的信息进行分析管理并进行告警，步骤三、审计综合显示管理中心对告警信息进行分析管理。本发明通过各种采集协议或接口方式，以分布式部署采集代理方式，在运维管理的网络中各种节点上(应用服务器主机、防病毒服务器、入侵检测系统、漏洞扫描系统、身份认证服务器和防火墙等)获取安全日志信息，并通过内部消息通道上传到日志审计平台进行集中处理，从而对而已攻击的方法、行为进行提取，以便对其进行防范。

技术领域

本发明属于通信技术领域，具体为基于审计知识图谱的复杂攻击行为模式提取方法。

背景技术

审计是一项非常重要且严谨的工作，其关乎着企业是否能正常运营。而在进行审计工作的时候(或者对审计资料存储的过程中)，一些不法分子为了获利，或对审计材料进行恶意的攻击。目前来说，只能通过提高防火墙的安全性能来避免恶意攻击。但要提高防火墙的安全性能，必须要对恶意攻击的方式方法进行提取，以便更好的对其进行防范。

发明内容

针对上述情况，为克服现有技术的缺陷，本发明提供基于审计知识图谱的复杂攻击行为模式提取方法，有效的解决了背景技术中的问题。

为实现上述目的，本发明提供如下技术方案：基于审计知识图谱的复杂攻击行为模式提取方法，包括审计综合显示管理中心、日志分析中心、日志采集中心与设备层，

步骤一、日志采集中心采集设备层的审计信息，

步骤二、日志分析中心对以采集的信息进行分析管理并进行告警，

步骤三、审计综合显示管理中心对告警信息进行分析管理，

所述审计综合显示管理中心包括安全对象管理子单元、审计策略管理子单元、审计告警管理子单元、安全日志管理子单元与报表管理子单元，

所述日志分析中心包括风险分析引擎子单元、预警分析引擎子单元、状态监控引擎子单元与告警引擎子单元，

所述日志采集中心包括过滤合并引擎子单元、日志监控引擎子单元、状态监控引擎子单元与离线缓存引擎子单元，

所述设备层包括Web服务器、Unix主机、业务服务器、交换机、防火墙、安全设备以及路由器。

优选的，还包括日志存储中心，日志存储中心用于存储审计数据、范化标准日志、原始日志信息，日志存储中心分别与日志分析中心、日志采集中心、审计综合显示管理中心连通。

优选的，所述审计综合显示管理中心还包括采集代理管理子单元、过滤合并策略管理子单元、级联管理子单元。

优选的，所述日志分析中心包括信息补全引擎子单元、实时审计分析引擎子单元、事后审计分析引擎子单元、调度作业引擎子单元、数据存储引擎子单元与报表引擎子单元。

优选的，所述日志采集中心包括有多个采集代理。

优选的，还包括系统管理，系统管理包括自定义Portal子单元、状态监控子单元、业务组件监控子单元、配置管理子单元。

优选的，还包括用户管理，用户管理包括账号管理子单元、权限管理子单元、统一认证子单元、系统审计子单元与资源管理子单元。

优选的，所述审计综合显示管理中心还包括统一门户Portal子单元。

与现有技术相比，本发明的有益效果是：