本發明公開了基于人工智能和MapReduce安全攻擊預測方法，包括：包括通過RF方法建立基于人工智能技術的安全事件關聯模型，所述模型是以在線方式通過Hadoop/Spark大數據框架實時建立起來的。通過本發明通過對企業IT系統所產生的日志進行分析，能夠預測可能發送的安全，可以幫助企業及時（或提前）規避安全攻擊發生的風險，保障企業的正常運營,降低了運營成本。

技術領域

本發明涉及人工智能、大數據和信息安全應用技術領域，尤其涉及到安全攻擊事件預測的方法。

背景技術

本發明中包含的英文簡稱如下：

RF：Random Forest 隨機森林

CLF：Common Log Format 普通日志格式

JSON：JavaScript Object Notation JAVA腳本對象符號

SOC：Security Operation Center安全管理中心

IDS：Intrusion Detection Systems入侵檢測系統

SNMP：Simple Network Management Protocol簡單網絡管理協議

HDFS：Hadoop Distribute File SystemHadoop分布式文件系統。

安全生產歷來是保障各項工作有序開展的前提，也是考核各級領導干部的否決指標。網絡及信息安全運維體系是各類企業安全生產工作的重要組成部分。保障網絡及信息系統高效穩定地運行，是企業一切市場經營活動和正常運作的基礎。

當前，企業IT系統部署了各種不同的業務系統和安全設備，有效的提高了勞動生產率，降低了運營成本，已經成為企業高效運營的重要支撐和生產環節中不可缺少的一環。一方面，一旦各業務系統出現安全事件或故障，不能及時發現、及時處理、及時恢復，勢必直接導致承載在其上所有業務的運行，影響企業的正常運營秩序，涉及到所服務企業用戶的系統將直接導致用戶投訴，滿意度下降，公司形象受到損害，對于企業網絡的安全保障就顯得格外重要；另一方面，各種網絡攻擊技術也變得越來越先進，越來越普及化，企業的網絡系統面臨著隨時被攻擊的危險，經常遭受不同程度的入侵和破壞，嚴重干擾了企業網絡的正常運行。日益嚴峻的安全威脅迫使企業不得不加強對網絡系統的安全防護，不斷追求多層次、立體化的安全防御體系，建設安全運維服務中心，實時跟蹤和預測各種安全攻擊、及時采取相應的控制動作，來保護企業這些業務系統正常運營。

然而，被用來執行安全運維服務任務的各種設備、數據庫、中間件、操作系統和Web服務器等所產生的日志，隨著企業IT系統規模的不斷擴大，其種類和數量正經歷了巨大規模的上升，從而使日志存儲、日志分析和問題跟蹤變得越來越困難。企業IT系統的日志規模的這樣指數級地增長，迫使安全運維服務提供商采用Hadoop/Spark這樣的大數據架構來進行日志存儲、日志處理和日志分析。

目前已有的安全管理分析工具，已無法勝任企業的安全運維服務的任務。因此，迫切需要一種全新的理念來對海量日志信息進行分析和管理。日志通常是一種扁平的文件，至少包含一個時間戳，事件標識符和事件描述信息。日志規模的上升是大數據的三大屬性之一，大數據另外兩個屬性是速度和種類。速度表示生成數據的速度，種類表示非常異構的數據源。

為此，如何利用信息化手段提高企業的運營效益，優化企業信息系統，使得它能夠為各類企業提供專業的和高性價比的信息安全運維服務，即成為尤其是信息安全運維管理設計上必須要解決的一個重要課題。

發明內容

本發明在分析了上述各類企業信息安全運維管理平臺的缺陷和不足之后，提出了一種基于人工智能和MapReduce安全攻擊預測方法及系統。