CN104144063B - 基于日志分析和防火墙安全矩阵的网站安全监控报警*** - Google Patents
基于日志分析和防火墙安全矩阵的网站安全监控报警*** Download PDFInfo
- Publication number
- CN104144063B CN104144063B CN201310165880.3A CN201310165880A CN104144063B CN 104144063 B CN104144063 B CN 104144063B CN 201310165880 A CN201310165880 A CN 201310165880A CN 104144063 B CN104144063 B CN 104144063B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- security
- log
- daily record
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 76
- 239000011159 matrix material Substances 0.000 title claims abstract description 34
- 238000004458 analytical method Methods 0.000 title claims abstract description 20
- 238000001914 filtration Methods 0.000 claims abstract description 4
- 238000007726 management method Methods 0.000 claims description 17
- 238000000034 method Methods 0.000 claims description 12
- 238000012550 audit Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 3
- 238000009825 accumulation Methods 0.000 claims description 2
- 238000012098 association analyses Methods 0.000 claims 1
- 238000004364 calculation method Methods 0.000 claims 1
- 238000005303 weighing Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 abstract description 8
- 238000010200 validation analysis Methods 0.000 abstract description 2
- 239000003795 chemical substances by application Substances 0.000 description 16
- 230000000694 effects Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
为了及时发现和阻止针对网站的各类安全攻击,本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础,发明了基于日志分析和防火墙安全矩阵的网站安全监控报警***。其中日志监控的创新是通过对Apache/Tomcat/IIS的访问/错误日志及其他环境日志进行关键字/正则表达式过滤来自动发现已知和未知攻击,同时通过网站业务代码中的日志定制及时发现黑客攻击在早期引起的业务处理错误。另一创新是通过定义防火墙安全矩阵,然后采用直接或间接的网络连通性检测技术来验证矩阵的有效性,一旦发现安全矩阵被破坏则触发报警。该***提供给管理员简单而有效的定制方式,可持续地增强对任何攻击或可疑行为的侦测能力。
Description
技术领域
本发明的技术领域是信息安全领域的网站安全防护和监控报警***。
背景技术
随着互联网应用的高速发展,各种Web网站以几何级数的速度高速增长,但层出不穷的黑客攻击对Web网站的可用性和安全性造成了巨大的威胁。目前主流的安全防护包括多种类的***:入侵检测***,Web应用防火墙,远程安全扫描等。但上述几类安全产品尚不足以保证网站的安全,原因如下:
入侵检测***:依赖的机制是对网络报文的检查,因其不了解用户网站应用的业务逻辑,只能对已知的典型的漏洞利用方式、攻击特征进行匹配式的检查,而不能检测新类型的或是对特定目标的攻击,实际有效率就很低。有一些厂商会研发启发式规则,但限于在网络层来观察流量/报文,一来对正常业务性能影响较大,二来未知的正常/非正常访问方式非常之多,从而导致误判率太高。
Web应用防火墙(WAF):主要针对OWASP组织发布的十大Web典型攻击方式来进行http报文解析和检查,发现并阻止攻击。WAF有其特定价值,但它的机制也是基于对已知的攻击方式进行匹配,因此很难对不断涌现的新漏洞/新攻击方式作有效的发现。
远程安全扫描:由于扫描的检测基础是只能检查远程访问/调用返回的结果,与已知结果作匹配,因此有很大的局限性,主要用于发现网站组件的安全漏洞,并不能及时地发现攻击和可疑行为。
对于网站安全来说,最重要的是及时发现并阻止攻击和可疑行为,而上述几种防护***因为缺乏对客户业务***的了解,也未提供足够强大的对未知和特定攻击的检测方法,因此尚不能达到理想的安全效果。
本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础,发明了基于日志监控和防火墙安全矩阵监控的一套监控报警***。该***提供给管理员简单而有效的定制方式,可持续地增强对任何攻击或可疑行为的侦测能力,通过在实际运维工作中的有效性验证,效果显著,能弥补现有的其他网站安全防护***的不足。
本发明基础之一的日志监控,是很多安全管理员已经使用的一种监控手段,把各种日志文件存档到一起,分类、按关键字作检查,发现可疑的问题就报警。但是管理员一般将日志监控用于***/服务的可用性监控,而不是安全监控,而不用于安全监控,就没有积累黑客攻击的日志特征。即使有对访问日志作安全监控,主要都是防DDOS和防流量攻击,而从未有针对网站内容的异常访问的检测,比如漏洞利用的访问,SQL注入等。也正因为没有把日志监控作为一种安全防护的解决方案,也就从没有人提出过对网站应用的日志进行定制化要求,比如J2EE后台任何异常都要写日志,对请求参数作特殊字符过滤并记录可疑事件,对用户的未授权访问错误必须记日志等。有了这种网站业务代码中的日志定制,再与全面的日志监控和其他子***共同构成一个解决方案,就是本发明的首要创新点。
本发明基础之二的防火墙安全矩阵监控,是此前从未有人提出的概念。作为网站安全防护的基础,最基本的防火墙只要配置全面,就能把除SQL注入、跨站攻击等Web端口(80/443端口)攻击之外的其他安全威胁都挡在外面。而大多数被攻陷的网站,都是黑客获得外层的主机/服务器权限后,远程登陆/自动下载来实施进一步的内容篡改和破坏,这一过程就必然会破坏原先***定义的安全矩阵。本发明首创的第二个子***就是采用直接或间接的网络连通性检测技术,来验证某些IP区域及端口范围彼此之间的连通性要求,如果在安全矩阵中是要求阻断的,一旦发现其变成连通状态,就说明某个点已被黑客攻破。
发明内容
本发明建立了一套基于日志分析和防火墙安全矩阵的Web网站安全监控报警***,它包括两个子***:基于日志分析的安全监控子***和防火墙安全矩阵监控子***。
基于日志分析的安全监控子***是对网站所有相关环境的日志监控,它应包括但不限于对以下几方面的日志进行监控:
Apache/Tomcat/IIS的访问日志/错误日志/安全日志:通过访问日志,可发现请求地址和参数中包含已知攻击的尝试,比如GET/config.php?relative_script_path=http://xxxxxxx,或是SQL注入的尝试:/print.php?what=article&id=’;通过错误日志,同样可发现对一些不存在的文件/目录的可疑访问,比如client denied by serverconfiguration,File does not exist,Invalid URI in request等;通过安全日志监控,比如Apache的mod_security记录的可疑问题,还可进行定制的二次过滤以发现确定的攻击行为。通过对所有已知的Web攻击所对应的日志中的错误信息作分析积累,即可构造一系列由关键字/正则表达式组成的检测规则,基于这个规则集即可对各类攻击进行实时的监控和侦测。
网站应用日志中的错误/可疑事件:通常对网站的攻击或渗透会起始于对某些URL和参数的组合进行渗透性的访问尝试,因此在初期都会导致后台的业务逻辑发生错误。这里是本发明的一个创新点,***将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志:1)任何非正常使用情况下的错误处理,都需要打印日志以包括出错的原因,导致的请求/参数,类/方法/代码行等,比如J2EE的代码就需要对非预期的Exception都打印日志。这里的非正常使用并不包括普通用户可能的非法输入,或是其客户端环境原因导致的出错。2)对所有http请求作参数过滤,包含不应出现的特殊字符的要记日志,包含不在合法参数值集合中的请求要记日志,比如某个参数是传入手机号作查询,则不应出现任何字符。3)对某个用户ID/Session访问了他无权访问的某个后台接口/Action时要记日志,以发现某个用户试图寻找***漏洞的可疑行为。除了给出指导外,***还可以对用户上传的代码作静态扫描,以给出明确的需要添加安全审计日志的代码位置。当上述步骤完成并部署到生产环境之后,本发明***将提供给管理员一个对安全日志进行配置的管理界面,可通过关键字/正则表达式对***要监控的事件进行定义,并采用多种策略进行事件的关联和报警条件定制,比如对指定时间段内某个客户端IP的可疑事件作加权累计,达到阀值后启动短信/邮件/Web等多种方式报警。
安全设备报警日志:如果该网站已经部署了例如防火墙/入侵检测/Web应用防火墙等设备,则可以通过配置将它们的安全日志或SNMP消息收集到本***的日志收集服务器上,同样地进行日志监控。这样一方面方便了管理员集中管理日志监控,同时还可以配置分析引擎对前述日志中发现的可疑事件与此处安全设备的报警进行关联,增加报警的准确率。
防火墙安全矩阵监控的日志:后面会阐述安全矩阵的监控机制,其产生的日志也会被实时收集并监控,在发现某个节点或访问不符合安全矩阵时报警。
网站所有主机的登录/用户操作日志/***实时状态日志:本发明***将包括Linux和Windows***上的Agent代理程序,通过监控上述日志(Linux上可通过修改用户登录脚本和安全审计配置,Windows上调用安全审计服务)及时发现入侵行为。比如管理员账号在夜间的登录,***对外的流量异常增长等。
非网站合法进程发起的数据库连接日志:此类监控可发现前端或后端管理的任何主机上的非法数据库访问。
上述日志监控***在部署上是由遍布网站各个服务器节点的监控客户端代理和一个中心管理节点组成的。中心管理节点包括了监控与报警服务,日志分析引擎,日志收集服务和管理控制台四个组件。而物理上该管理节点可以是一台或多台部署本发明***的主机/服务器集群,管理节点既可以在本地也可以在远程。上述四个组件及监控代理的功能简述如下:
监控代理:接受并执行来自中心管理节点的检查命令,按关键字/正则表达式作过滤并返回监控到的事件给管理节点。同时当管理节点确定某个访问/连接为非法时,监控代理根据要求在本地采取阻断访问和保护措施。
日志收集服务:接受监控代理和***外节点如安全设备上传的经过首次过滤的日志关键内容,并分类存档和做关联合并。
日志分析引擎:按管理员配置的规则进行二次过滤和分析,产生报警事件送给监控与报警服务。
监控与报警服务:可扩展的监控***主框架,可灵活地加载各种监控命令,提供短信/邮件/Web等多样化报警功能,并按配置发送阻断/防护命令给监控代理采取保护措施。
管理控制台:提供管理界面,定义或调整可疑事件的关键字/正则表达式,配置事件的关联规则/策略,设置报警条件和保护命令,察看报警的日志内容及相关信息等。
本发明的第二个子***是防火墙安全矩阵监控子***。首先管理员需要定义一个如附图3的安全矩阵,就是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域,然后如附图4所示定义这些区域两两之间的安全策略,简单的策略就是哪些端口可访问而哪些不可,高级的可以是网络报文的类型,内容的关键元素等。例如一个三层架构的网站,最外层的Apache服务器所在网段,只允许访问外网的NTP和SMTP服务,外网只允许访问它的80/443端口;中间业务层的Tomcat所在网段,只有Apache主机能访问它的8009端口,它也只能访问第三层的数据库的指定端口,其他所有访问都是非法的。
有了上面这个防火墙安全矩阵,或者说访问控制列表,本发明***就可以直接/间接地执行监控任务来验证这个矩阵的有效性,一旦发现不符合的就说明某个节点已被攻破,触发报警。直接监控指的是通过部署在各节点的监控代理,定时发起访问的尝试(比如telnet)来检查连通性的要求;间接监控则是由监控代理在节点上抓取网络报文(或加载内核模块/驱动模块来接受***返回的网络报文信息)与允许的访问列表进行对比检查。该子***的部署只需在第一个子***的监控代理上增加上述安全矩阵监控的功能,将可疑事件发送到中心管理节点,即可沿用前面阐述的监控报警流程及时地通知到管理员。
综上所述,本发明将两个子***结合,一方面防火墙安全矩阵监控保证了网络层没有违反安全策略的非法访问,另一方面结合网站业务代码改造的日志监控***能检查出造成网站某个逻辑异常/出错的任何访问,从而确保黑客攻击能在早期阶段被有效地发现和阻止。
附图说明
图1:该***的结构示意图
图2:日志监控子***的工作流程图
图3:防火墙安全矩阵示例图,以一个虚拟的互联网金融网站”投资网”来示例
图4:安全矩阵中各个安全区域彼此间的安全策略示例图
具体实施方式
本***的具体实施方式如下:
1、在网站的所有相关主机节点上部署监控代理,同时在本地内网或远程部署管理中心服务器。
2、网站安全管理员按照本***的指导,设计整个网站的防火墙安全矩阵,并在网站相关环境的防火墙设备和主机上按矩阵要求进行配置。
3、管理员在本***的管理节点上配置安全矩阵的监控参数,管理节点将监控要求下发给各监控代理。监控代理则采取直接和间接两种方式执行监控任务来验证这个矩阵的有效性,一旦发现不符合的就向管理节点报警。直接监控方式将定时发起访问的尝试(比如telnet)来检查连通性的要求,间接监控方式则是抓取网络报文(或加载内核模块/驱动模块来接受***返回的网络报文信息)与允许的访问列表进行对比检查。
4、管理员按照本***的指导,设计确定要监控的日志类型。对于网站应用日志中的错误/可疑事件,***将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志:1)任何非正常使用情况下的错误处理,都需要打印日志。2)对所有http请求作参数过滤,包含不应出现的特殊字符的要记日志,包含不在合法参数值集合中的请求要记日志。3)对某个用户ID/Session试图访问他无权访问的某个后台接口/Action时要记日志。除了给出指导外,***还可以对用户上传的代码作静态扫描,明确给出需要添加安全审计日志的代码位置。
5、当上述步骤完成并将日志增强的代码部署到生产环境之后,本***将提供给管理员一个对安全日志进行配置的管理界面,可通过关键字/正则表达式对***要监控的事件进行定义,并采用多种策略进行事件的关联和报警条件定制,比如对指定时间段内某个客户端IP的可疑事件作加权累计,达到阀值后启动短信/邮件/Web等多种方式报警。
6、所有监控配置被下发到各个监控代理。监控代理将持续运行对其关注的日志进行实时监控,一旦发现匹配某个报警事件定义则通知管理节点,同时将相关的日志片断发送给管理节点。
7、管理节点会再根据全局策略与其他方面的报警事件相关联,确定此事件的严重程度,并在触发报警条件时通过短信/邮件/Web等多种方式报警,同时按预先配置规则发送保护措施如阻断连接命令给监控代理。
8、监控代理执行保护命令并阻断连接。
9、各种类型的日志还可以统一收集到管理节点的日志收集服务组件,通过分类关联分析作二次过滤,以提供给管理员更高级的日志分析和展示功能。
Claims (9)
1.一种基于日志分析和防火墙安全矩阵的Web网站安全监控报警***,其特征在于,包含:
基于日志分析的安全监控子***:基于对网站相关环境的所有日志的监控与关联分析,来及时发现对网站的网络攻击和可疑的非法访问行为,并采取报警和防护措施;
防火墙安全矩阵监控子***:通过对防火墙安全矩阵的监控来发现在网络层违反安全策略的非法访问,并采取报警和防护措施;防火墙安全矩阵指的是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域,然后定义这些区域两两之间的安全策略,包括简单策略就是哪些端口可访问而哪些不可,以及高级策略,所述高级策略包括允许网络报文的类型和/或内容的关键元素。
2.如权利要求1所述的***,其特征在于,对日志文件的监控方法指的是持续地,实时地或定时地对文件新增的内容进行检查,如果与预先配置的一个由若干个关键字或正则表达式或加权计算公式组成的表达式集合中的某一项或多项匹配,则认为检测到一个可疑事件。
3.如权利要求1所述的***,其特征在于,对日志文件的监控和关联分析指的是在监控子***发现可疑事件后,按照预先配置的策略和规则将该可疑事件与其他日志监控报告的可疑事件进行关联和基于加权表达式的计算,如果结果超过策略或规则中定义的阀值则判定为一次攻击事件或非法访问行为。
4.如权利要求1所述的***,其特征在于,基于对网站相关环境的所有日志的监控包含对以下方面内容的监控:
Apache/Tomcat/IIS的访问日志/错误日志/安全日志;
网站应用日志中的错误/可疑事件;
安全设备报警日志;
防火墙安全矩阵监控日志;
网站所有主机的登录/用户操作日志/***实时状态日志;
非网站合法进程发起的数据库连接日志。
5.如权利要求4所述的***,其特征在于,对Apache/Tomcat/IIS的访问日志/错误日志/安全日志的监控方法指的是通过对所有已知的Web攻击所对应的日志中的错误信息作分析积累,进而构造一系列由关键字/正则表达式组成的检测规则,基于这个规则集即可对各类攻击进行实时的监控和侦测。
6.如权利要求4所述的***,其特征在于,对网站应用日志中的错误/可疑事件的监控方法指的是指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志:1)任何非正常使用情况下的错误处理;2)对所有http请求作参数过滤,包含不应出现的特殊字符或包含不在合法参数值集合中的请求要记日志;3)对某个用户ID/Session试图访问它无权访问的某个后台接口或Action时要记日志;
除此之外,***可以对用户上传的代码作静态扫描,以给出明确的需要添加安全审计日志的代码位置,然后通过关键字/正则表达式对要监控的网站应用日志中的事件进行定义并启动监控。
7.如权利要求1所述的***,其特征在于,对防火墙安全矩阵的监控指的是采取直接和间接两种方式执行监控任务来验证这个矩阵的有效性,一旦发现不符合的就报警;直接方式监控指定时发起访问的尝试来检查连通性的要求,间接方式监控则是抓取网络报文,或加载内核模块/驱动模块来接受***返回的网络报文信息,来与允许的访问列表进行对比检查。
8.如权利要求1所述的***,其特征在于,基于日志分析的安全监控子***包含
监控客户端代理:部署在网站各个服务器节点上,接受并执行来自中心管理节点的检查命令,按关键字/正则表达式作过滤并返回监控到的事件给管理节点,同时当管理节点确定某个访问/连接为非法时,监控代理根据要求在本地采取阻断访问和保护措施;
中心管理节点:既可以部署在本地也可以部署在远程,可以是单台服务器或虚拟机,也可以是多台服务器或虚拟机组成的集群,与监控客户端代理进行通信收集日志和发布命令、进行日志分析、触发报警机制。
9.如权利要求8所述的***,其特征在于,中心管理节点包含
日志收集服务组件:接受监控代理和***外节点上传的经过首次过滤的日志关键内容,并分类存档和做关联合并,所述节点包括安全设备;
日志分析引擎组件:按管理员配置的规则进行二次过滤和分析,产生报警事件发送给监控与报警服务组件;
监控与报警服务组件:可扩展的监控***主框架,可灵活地加载各种监控命令,提供包括短信/邮件/Web的多样化报警功能,并按配置发送阻断/防护命令给监控代理采取保护措施;
管理控制台组件:提供管理界面,定义或调整可疑事件的关键字/正则表达式,配置事件的关联规则/策略,设置报警条件和保护命令,察看报警的日志内容及相关信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310165880.3A CN104144063B (zh) | 2013-05-08 | 2013-05-08 | 基于日志分析和防火墙安全矩阵的网站安全监控报警*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310165880.3A CN104144063B (zh) | 2013-05-08 | 2013-05-08 | 基于日志分析和防火墙安全矩阵的网站安全监控报警*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104144063A CN104144063A (zh) | 2014-11-12 |
| CN104144063B true CN104144063B (zh) | 2018-08-10 |
Family
ID=51853135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310165880.3A Active CN104144063B (zh) | 2013-05-08 | 2013-05-08 | 基于日志分析和防火墙安全矩阵的网站安全监控报警*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104144063B (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618343B (zh) * | 2015-01-06 | 2018-11-09 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及*** |
| EP3272102A4 (en) * | 2015-03-18 | 2018-11-14 | Hrl Laboratories, Llc | System and method to detect attacks on mobile wireless networks based on motif analysis |
| CN105391584A (zh) * | 2015-11-30 | 2016-03-09 | 用友网络科技股份有限公司 | 一种在分布式环境中使用的异常预警*** |
| CN105740121B (zh) * | 2016-01-26 | 2018-08-28 | 中国银行股份有限公司 | 一种日志文本监控与预警方法、装置 |
| CN105930967A (zh) * | 2016-04-19 | 2016-09-07 | 成都晨越建设项目管理股份有限公司 | 安全可靠的地铁造价审计信息*** |
| CN106209427A (zh) * | 2016-06-28 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 基于linux中Apache服务错误处理方法及*** |
| CN107231352A (zh) * | 2017-05-27 | 2017-10-03 | 郑州云海信息技术有限公司 | 一种面向Xen虚拟化环境的***日志监控方法及装置 |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算***及方法 |
| CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及*** |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
| CN108040036A (zh) * | 2017-11-22 | 2018-05-15 | 江苏翼企云通信科技有限公司 | 一种行业云Webshell安全防护方法 |
| CN108549671B (zh) * | 2018-03-28 | 2022-07-08 | 微梦创科网络科技(中国)有限公司 | 数据实时采集并可视化的实现方法及装置 |
| CN108710455B (zh) * | 2018-04-04 | 2020-12-22 | 北京天元创新科技有限公司 | 一种子网的图形化管理方法及装置 |
| CN109120448B (zh) * | 2018-08-24 | 2020-05-05 | 武汉思普崚技术有限公司 | 一种告警方法及*** |
| US11218498B2 (en) * | 2018-09-05 | 2022-01-04 | Oracle International Corporation | Context-aware feature embedding and anomaly detection of sequential log data using deep recurrent neural networks |
| CN109189745A (zh) * | 2018-09-20 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种基于云平台的日志管理的方法及装置 |
| CN109783567B (zh) * | 2018-12-18 | 2021-02-26 | 合肥天源迪科信息技术有限公司 | 用于企业的日志分析***及其方法 |
| CN109858254A (zh) * | 2019-01-15 | 2019-06-07 | 西安电子科技大学 | 基于日志分析的物联网平台攻击检测***及方法 |
| CN109992961A (zh) * | 2019-03-07 | 2019-07-09 | 北京华安普特网络科技有限公司 | 用于数据库***防黑客入侵的检测***和方法 |
| CN110135166B (zh) * | 2019-05-08 | 2021-03-30 | 北京国舜科技股份有限公司 | 一种针对业务逻辑漏洞攻击的检测方法及*** |
| CN112152823B (zh) * | 2019-06-26 | 2022-09-02 | 北京易真学思教育科技有限公司 | 网站运行错误监控方法、装置及计算机存储介质 |
| CN110398927A (zh) * | 2019-09-03 | 2019-11-01 | 中科同昌信息安全技术股份有限公司 | 一种集成数据信息监测平台及监控*** |
| CN110943999B (zh) * | 2019-12-05 | 2022-03-22 | 拉货宝网络科技有限责任公司 | 一种物流多仓网络互通和监控方法 |
| CN112064825B (zh) * | 2020-07-24 | 2021-09-28 | 安徽同济建设集团有限责任公司 | 一种地下室楼梯防火墙的施工方法 |
| CN114205094B (zh) * | 2020-08-27 | 2023-04-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击告警的处理方法、装置、设备和存储介质 |
| CN112291215A (zh) * | 2020-10-19 | 2021-01-29 | 李贝贝 | 一种智能家居网络安全监控*** |
| US11947444B2 (en) * | 2020-11-06 | 2024-04-02 | International Business Machines Corporation | Sharing insights between pre and post deployment to enhance cloud workload security |
| CN112738221B (zh) * | 2020-12-28 | 2022-05-27 | 中国建设银行股份有限公司 | 对象存储流量的审计方法及装置 |
| CN112929360A (zh) * | 2021-02-03 | 2021-06-08 | 北京中数智汇科技股份有限公司 | 基于端口代理的web终端防护方法、***和存储介质 |
| CN113660257B (zh) * | 2021-08-13 | 2023-05-02 | 北京知道创宇信息技术股份有限公司 | 请求拦截方法、装置、电子设备和计算机可读存储介质 |
| CN113923019B (zh) * | 2021-10-09 | 2023-07-21 | 天翼物联科技有限公司 | 物联网***安全防护方法、装置、设备及介质 |
| CN114338087B (zh) * | 2021-12-03 | 2024-03-15 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及*** |
| CN114844718A (zh) * | 2022-06-02 | 2022-08-02 | 中国科学院昆明植物研究所 | 一种网站入侵检测方法与装置 |
| CN115296941B (zh) * | 2022-10-10 | 2023-03-24 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
| CN116527478B (zh) * | 2023-06-25 | 2023-09-12 | 北京优特捷信息技术有限公司 | 一种故障聚类区分处理方法、装置、设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和***轨迹分析阻断计算机病毒方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及*** |
| CN201577106U (zh) * | 2010-01-15 | 2010-09-08 | 中国工商银行股份有限公司 | 防火墙策略生成装置及*** |
| CN102158355A (zh) * | 2011-03-11 | 2011-08-17 | 广州蓝科科技股份有限公司 | 一种可并发和断续分析的日志事件关联分析方法和装置 |
| CN102790706A (zh) * | 2012-07-27 | 2012-11-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
| CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8191108B2 (en) * | 2008-12-18 | 2012-05-29 | At&T Intellectual Property I, L.P. | Method and apparatus for providing security for an internet protocol service |
-
2013
- 2013-05-08 CN CN201310165880.3A patent/CN104144063B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和***轨迹分析阻断计算机病毒方法 |
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及*** |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
| CN201577106U (zh) * | 2010-01-15 | 2010-09-08 | 中国工商银行股份有限公司 | 防火墙策略生成装置及*** |
| CN102158355A (zh) * | 2011-03-11 | 2011-08-17 | 广州蓝科科技股份有限公司 | 一种可并发和断续分析的日志事件关联分析方法和装置 |
| CN102790706A (zh) * | 2012-07-27 | 2012-11-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
| CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和*** |
Non-Patent Citations (1)
| Title |
|---|
| 基于日志监视主动防御HTTP泛洪攻击;袁志;《计算机***应用》;20120531;第21卷(第5期);第189-191页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104144063A (zh) | 2014-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104144063B (zh) | 基于日志分析和防火墙安全矩阵的网站安全监控报警*** | |
| WO2018177210A1 (zh) | 防御apt攻击 | |
| CN103491108B (zh) | 一种工业控制网络安全防护方法和*** | |
| US8245297B2 (en) | Computer security event management system | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| US20030101260A1 (en) | Method, computer program element and system for processing alarms triggered by a monitoring system | |
| WO2010091186A2 (en) | Method and system for providing remote protection of web servers | |
| WO2010088550A2 (en) | A method and apparatus for excessive access rate detection | |
| CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
| Kazienko et al. | Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture) | |
| CN111131168A (zh) | 基于Web应用的自适应防护方法 | |
| Thu | Integrated intrusion detection and prevention system with honeypot on cloud computing environment | |
| Chu et al. | ALERT-ID: analyze logs of the network element in real time for intrusion detection | |
| Kishore et al. | Intrusion Detection System a Need | |
| Mell | Understanding intrusion detection systems | |
| De La Peña Montero et al. | Autonomic and integrated management for proactive cyber security (AIM-PSC) | |
| Sharma et al. | An Approach for Collaborative Decision in Distributed Intrusion Detection System'' | |
| US20190109865A1 (en) | Pre-Crime Method and System for Predictable Defense Against Hacker Attacks | |
| Redondo-Hernández et al. | Detection of advanced persistent threats using system and attack intelligence | |
| Chen et al. | Dynamic forensics based on intrusion tolerance | |
| US11457020B2 (en) | Method for integrity protection in a computer network | |
| Potdar et al. | Security solutions for Cloud computing | |
| Sui | Research on Campus Network Protection Technology | |
| Ayala et al. | Detection of Cyber-Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191226 Address after: Room 304, building 22, No.1 village, Nanjing Forestry University, Xuanwu District, Nanjing City, Jiangsu Province Co-patentee after: Nanjing cloud white Mdt InfoTech Ltd Patentee after: Zhu Ye Address before: 304 room 22, building 210037, village 1, Nanjing Forestry University, Nanjing, Jiangsu Co-patentee before: Yuan Xiaodong Patentee before: Zhu Ye |