近日,由聚铭网络申报的《一种基于变长记录的安全日志压缩存储和检索方法》与《一种基于神经网络的网络恶意行为识别方法》两项发明专利通过国家知识产权局授权,正式获得国家发明专利证书!
针对当前业内需要对亿级日志数据进行高效率压缩存储和检索,以及减少对磁盘和CPU资源消耗的需求,聚铭网络发明了《一种基于变长记录的安全日志压缩存储和检索方法》。
该发明通过利用各类设备的历史日志解析结果,获取不同模式在整体日志上的分布情况,为压缩编码提供实际依据。具体技术步骤如下:
-
搭建日志收取环境:根据实际需求,构建适合收集不同类型设备日志的环境;
-
获取日志中模式分布数据:对相关原始日志的解析情况进行统计分析,对每种设备及相关模式的占比情况进行标注,为后续压缩编码提供依据;
-
对模式中的固定部分进行变长编码:某类设备或系统的日志具有较大的命中概率,针对大量重复的模式或数据进行变长编码,实现高效压缩存储;
-
建立固定模式中的单词索引:由于日志的固定部分在压缩后已经被编码替代,故无法直接进行检索,所以需要预先建立模式中所包含的单词和索引的关系;
-
对模式中的变化部分进行变长编码并建立索引:针对模式中的变化部分,进行变长编码,并建立相应的索引,以便于检索。
-
根据固定部分和变长部分进行日志还原:首先对固定部分进行解码,然后根据固定部分中的信息,按照变长部分的编码方式对变长部分进行解码,最终得到完整的原始日志;
-
根据固定部分、变长部分以及索引关系进行检索:当用户输入某个或某些关键词进行搜索时,通过固定部分编码和索引关系、变长部分编码和索引关系,联合进行高效的日志检索。
基于本项发明专利,聚铭综合日志分析系统(SAS)能够提供更加高效、节省存储空间的日志压缩存储和检索方法,帮助各类机构和企事业单位客户更好地管理日志数据,提高网络安全防护能力。
《一种基于神经网络的网络恶意行为识别方法》为更好地发现网络安全问题、检测各类逃避手段提供了分析依据、方法及工具,特别是针对动态域名请求及其后续发生的行为甄别提供了有力的解决方案。
首先通过采集大量正常域名和动态域名的数据,形成训练数据;其次获取网络流量数据包,并根据设定的数据过滤器筛选出符合分类要求的数据,并按照规则进行归并;然后对筛选归并后的数据进行特征预抽取,提取出代表性的数据特征,将其标记为正常流量或异常流量;接着使用LSTM神经网络进行训练,生成相应的权重及偏置描述文件;最后将待分类流量的特征向量输入训练好的神经网络中,根据输出结果进行流量分类和识别。
在该项发明的加持下,聚铭网络流量智能分析审计系统(iNFA)能够更好的挖掘网络环境中存在各类恶意行为,对全网流量实时进行威胁感知、可疑流量分析,为广大机构及企事业单位客户提供更加高效、有力的网络安全防护工具。
未来,聚铭网络将继续深耕网络安全领域,加大产品研发力度,充分利用人才、设备等资源优势,积极探索前沿技术,不断加强科研创新,提升企业核心竞争力,为广大政企客户提供更优质的产品和服务。
