[发明专利]一种数据分析方法及数据分析装置

权利要求书

1.一种数据分析方法，其特征在于：该方法的具体步骤如下：

S1：提取电子信息网络中的系统数据，发现攻击并根据数据分析的结果产生事件；

S2：对数据进行预处理，使之形成易于人工智能数据分析处理的网络信息特征形式，并送入入侵检测分析引擎中；

S3：通过分析入侵检测行为检测已知的网络入侵，得出准确的入侵检测类型，并将入侵检测结果上传给管理者；

S4：挑选出所有的异常信息，同时将异常信息进行分类处理，并建立入侵检测规则；

S5：将入侵检测规则建立集合，并导入数据库中进行存储，随后将采集的数据信息与入侵检测规则集进行匹配，从而确定入侵行为。

2.根据权利要求1所述的一种数据分析方法，其特征在于：所述步骤S1中，提取的数据来源为系统主机上的网络日志和变动信息、网络上的数据信息以及流量变化、网络采集的数据包、操作系统审计记录、基于应用的审计信息和基于目标的对象信息。

3.根据权利要求1所述的一种数据分析方法，其特征在于：所述步骤S2中，数据分析的方式为在一定的时间内某个特定用户登录失败的次数以及某种特定类型报文出现的次数。

4.根据权利要求1所述的一种数据分析方法，其特征在于：所述步骤S3中，入侵行为的检测通过统计程序进行实现，具体的：检查所有满足时间窗口条件的连接记录，判断是否与当前的连接记录有相同目标的主机、相同的服务，随后汇总作统计处理，其中，网络文件中的连接记录基于时间作统计排序，排序的依据为每次连接的起始时间。

5.根据权利要求1所述的一种数据分析方法，其特征在于：所述步骤S5中，在数据信息与入侵检测规则集进行匹配过程中，将采集的原始信号利用映射变换将其样值从一个域变换到另一个域，然后针对变换后的数据进行量化与编码操作，使得采集的数据率得以降低，减少系统运算过程中所耗费的时间。

6.一种数据分析装置，其特征在于：包括数据采集模块、数据处理模块、异常检测模块、误用检测模块、自动分类模块、自动学习模块、入侵检测规则集以及管理模块；

所述数据采集模块用于采集系统数据源，并交由所述数据处理模块对数据进行深入分析，发现攻击并根据分析结果产生事件，所述数据处理模块处理后的数据信息分别分发到所述异常检测模块和所述误用检测模块中，所述异常检测模块用于挑选出所有的异常信息，将检测结果一方面输送至所述管理模块中进行决策参考，另一方面对异常信息通过所述自动分类模块进行分类处理，所述自动学习模块采用自适应的学习方法建立所述入侵检测规则集，所述误用检测模块用于检测已知的入侵，并为所述管理模块提供准确的入侵类型信息。