CN105681286A - 关联分析方法和关联分析*** - Google Patents
关联分析方法和关联分析*** Download PDFInfo
- Publication number
- CN105681286A CN105681286A CN201511030195.5A CN201511030195A CN105681286A CN 105681286 A CN105681286 A CN 105681286A CN 201511030195 A CN201511030195 A CN 201511030195A CN 105681286 A CN105681286 A CN 105681286A
- Authority
- CN
- China
- Prior art keywords
- analysis
- event
- rule
- data
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种关联分析方法和关联分析***。该方法包括:接收模块接收原始数据;实时分析模块根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据;持续分析模块根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件。本发明的技术方案中,接收模块接收原始数据,实时分析模块根据实时关联规则对原始数据进行实时关联处理生成关联数据,持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件,实现了长期的关联分析,从而能够发现周期长、隐蔽性强的攻击行为。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种关联分析方法和关联分析***。
背景技术
当前,随着信息技术领域的发展,攻击手段和技术日益复杂化,对于一次入侵事件往往需要多个步骤才能完成,尤其近年来世界各地频繁报出高级持续性威胁(AdvancedPersistentThreat,简称:APT)事件,APT事件指的是针对特定对象进行的长期、有计划性和组织性地窃取数据且具有极强隐蔽能力的网络攻击行为,此类事件周期长达几年,且可绕过边界检测设备。
但是,现有技术中存在如下技术问题:现有技术的方案为传统的基于特征匹配的检测技术及基于单时间点或短暂时间片段的事件分析技术,但是现有技术的方案仅能进行短周期的关联分析,无法实现长期的关联分析,从而无法发现周期长、隐蔽性强的攻击行为。
发明内容
本发明提供一种关联分析方法和关联分析***,用于能够发现周期长、隐蔽性强的攻击行为。
为实现上述目的,本发明提供了一种关联分析方法,包括:
接收模块接收原始数据;
实时分析模块根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据;
持续分析模块根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件。
可选地,所述持续分析模块根据分析规则判断所述关联数据是否异常包括:
所述持续分析模块根据分析规则判断所述关联数据是否携带恶意内容或者为异常行为。
可选地,所述原始数据包括原始事件和/或原始流量。
可选地,所述实时分析模块根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据包括:
所述实时分析模块对所述原始数据中的无效事件进行过滤以及对所述原始数据中的重复事件进行合并;
所述实时分析模块根据实时关联规则,按照时间窗或者数量窗对经过过滤和合并后的原始数据进行关联处理生成关联数据。
可选地,所述实时关联规则为对关键属性相同的数据进行关联处理。
可选地,所述持续分析模块根据分析规则判断所述关联数据是否异常包括:
所述持续分析模块根据所述关联数据的数据属性和特征信息,通过所述分析规则判断存储在内存队列中的关联数据是否异常。
可选地,所述数据属性包括攻击源IP、目的IP、源端口、目的端口、事件数量、事件级别和/或事件类型。
可选地,所述特征信息包括情报信息、被攻击资产的漏洞信息、暴露面信息、资产价值信息和/或资产上运行的业务的应用信息。
可选地,所述若判断出所述关联数据异常时生成告警事件包括:
根据关联数据生成与关联数据对应的告警记录;
根据告警记录生成告警事件。
可选地,所述实时分析模块根据实时关联规则对所述原始数据进行实时关联处理之前还包括:
规则更新模块对所述实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集,以供所述实时分析模块从所述关联规则集中获取所述实时关联规则。
可选地,所述持续分析模块根据分析规则判断所述关联数据是否异常之前包括:
大数据分析模块对原始数据集进行分析生成并实时更新所述分析规则,所述原始数据集中存储有所述原始数据。
可选地,所述实时分析模块根据实时关联规则对所述原始数据进行实时关联处理之后还包括:
实时分析模块将所述关联数据存入关联结果集。
可选地,所述持续分析模块根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件之后包括:
所述持续分析模块若判定出所述告警事件为第一次发生时,将所述告警事件存入告警事件集并将触发所述告警事件的告警记录存入攻击过程集;
所述持续分析模块若判定出再次发生与所述告警事件相关的其它事件时,更新所述告警事件集中的所述告警事件并将此次触发所述其它事件的告警记录存入攻击过程集。
为实现上述目的,本发明提供了一种关联分析***,包括:
接收模块,用于接收原始数据;
实时分析模块,用于根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据;
持续分析模块,用于根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件。
可选地,其特征在于,所述持续分析模块具体用于根据分析规则判断所述关联数据是否携带恶意内容或者为异常行为。
可选地,所述实时分析模块具体用于对所述原始数据中的无效事件进行过滤以及对所述原始数据中的重复事件进行合并;根据实时关联规则,按照时间窗或者数量窗对经过过滤和合并后的原始数据进行关联处理生成关联数据。
可选地,所述持续分析模块具体用于根据所述关联数据的数据属性和特征信息,通过所述分析规则判断存储在内存队列中的关联数据是否异常。
可选地,还包括:
规则更新模块,用于对所述实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集,以供所述实时分析模块从所述关联规则集中获取所述实时关联规则。
可选地,还包括:
大数据分析模块,用于对原始数据集进行分析生成并实时更新所述分析规则,所述原始数据集中存储有所述原始数据。
可选地,实时分析模块还用于将所述关联数据存入关联结果集。
可选地,所述持续分析模块还用于若判定出所述告警事件为第一次发生时,将所述告警事件存入告警事件集并将触发所述告警事件的告警记录存入攻击过程集;若判定出再次发生与所述告警事件相关的其它事件时,更新所述告警事件集中的所述告警事件并将此次触发所述其它事件的告警记录存入攻击过程集。
本发明具有以下有益效果:
本发明提供的关联分析方法和关联分析***的技术方案中,接收模块接收原始数据,实时分析模块根据实时关联规则对原始数据进行实时关联处理生成关联数据,持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件,实现了长期的关联分析,从而能够发现周期长、隐蔽性强的攻击行为。
附图说明
图1为本发明实施例一提供的一种关联分析方法的流程图;
图2为本发明实施例二提供的一种关联分析方法的流程图;
图3为本发明实施例二中关联分析过程的示意图;
图4为本发明实施例二中数据存储示意图;
图5为本发明实施例二中告警事件追溯到原始数据的示意图;
图6为本发明实施例三提供的一种关联分析***的结构示意图;
图7为本发明实施例四提供的一种关联分析***的结构示意图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的进行详细描述。
图1为本发明实施例一提供的一种关联分析方法的流程图,如图1所示,该方法包括:
步骤101、接收模块接收原始数据。
本实施例中,原始数据可包括原始事件和/或原始流量。该原始数据可以是实时的原始数据。接收模块可接收经过预处理的原始数据。
本实施例中,在接收模块接收原始数据之前,还可以由预处理模块对原始数据进行预处理。由于预处理之前的原始数据的格式不同,因此需要通过预处理过程对原始数据进行格式处理。具体地,预处理模块可原始数据进行解析,提取出原始数据的属性和值,对属性和值按照预定的格式进行规范化处理,以得出经过预处理的原始数据。经过预处理的原始数据具备相同的格式,从而便于后续步骤对原始数据进行处理。
步骤102、实时分析模块根据实时关联规则对原始数据进行实时关联处理,生成关联数据。
步骤103、持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件。
本步骤具体包括:持续分析模块根据分析规则判断关联数据是否携带恶意内容或者为异常行为。
本实施例提供的关联分析方法的技术方案中,接收模块接收原始数据,实时分析模块根据实时关联规则对原始数据进行实时关联处理生成关联数据,持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件,实现了长期的关联分析,从而能够发现周期长、隐蔽性强的攻击行为。
图2为本发明实施例二提供的一种关联分析方法的流程图,如图2所示,该方法包括:
步骤201、接收模块接收原始数据。
本实施例中,原始数据可包括原始事件和/或原始流量。该原始数据可以是实时的原始数据。接收模块可接收经过预处理的原始数据。
图3为本发明实施例二中关联分析过程的示意图,如图3所示,Event表示原始数据,图3中列举了原始数据Event1-1、Event1-2、Event1-3、Event2和Event3。其中,原始数据Event1-1、Event1-2、Event1-3可以看做是原始数据Event1这种类型的数据连续发生了3次。
步骤202、规则更新模块对实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集,以供实时分析模块从关联规则集中获取实时关联规则。
本实施例中,规则更新模块可按照设定周期对实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集。当实时分析模块需要根据关联规则对原始数据进行处理,可直接从关联规则集中获取实时关联规则。
步骤203、实时分析模块对原始数据中的无效事件进行过滤以及对原始数据中的重复事件进行合并。
本实施例中,接收模块原始数据中包括无效事件和重复事件,因此在对原始数据进行关联处理之前,需要首先对无效事件进行过滤以去除掉无效事件,并对重复事件进行合并以减少原始数据的数量,从而减少了实时分析模块对事件处理的负担量。
步骤204、实时分析模块根据实时关联规则,按照时间窗或者数量窗对经过过滤和合并后的原始数据进行关联处理生成关联数据。
例如:时间窗可以为10分钟,数量窗可以为100个。则实时分析模块根据实时关联规则,可对时间窗所表示的时间段内的经过过滤和合并后的原始数据进行关联处理;或者实时分析模块根据实时关联规则,可对数量窗所表示的数量个经过过滤和合并后的原始数据进行关联处理。实时分析模块生成关联数据之后,将该关联数据输出至大数据分析模块。
可选地,实时关联规则可以为对关键属性相同的数据进行关联处理,其中,关键属性可包括事件类型、源IP和目的IP等,则实时分析模块可对关键属性相同的原始数据进行关联处理生成关联数据,具体地,实时分析模块可对事件类型、源IP、目的IP均相同的原始数据进行关联处理生成关联数据。此种情况为统计关联,被关联的原始数据发生的时间可以不同。如图3所示,Cep表示关联数据,图3中列举了关联数据Cep1、Cep12、Cep123。Cep1是由原始数据Event1-1、Event1-2、Event1-3关联而形成,其中,原始数据Event1-1、Event1-2、Event1-3为事件类型相同的数据,原始数据Event1-1、Event1-2、Event1-3进行关联为统计关联。
可选地,实时关联规则可以为对关键属性相同的数据进行关联处理,其中,关键属性可包括源IP或者目的IP,则实时分析模块可对源IP相同的原始数据进行关联处理生成关联数据或者实时分析模块可对目的IP相同的原始数据进行关联处理生成关联数据。此种情况为复杂关联,被关联的原始数据的事件类型是不同的,且被关联的原始数据之间具备前后发生的因果关系或者具备时序关联。如图3所示,Cep12是由原始数据Event1-1和Event2关联而形成,Cep123是由原始数据Event3和关联数据Cep12关联而形成,其中,Cep12为源IP或目的IP相同的但事件类型不同的Event1-1和Event2关联而形成,Cep123为源IP或目的IP相同的但事件类型不同的Event3、Event1-1和Event2关联而形成。
步骤205、实时分析模块将关联数据存入关联结果集。
本实施例中,关联结果集可用于保存关联数据。
图4为本发明实施例二中数据存储示意图,如图4所示,关联数据可以原始数据与关联数据关系表的形式存入关联结果集,该原始数据与关联数据关系表既存储了关联数据又能体现出原始数据和关联数据的对应关系。例如:Cep1对应于原始数据Event1-1、Event1-2、Event1-3,这表明Cep1是由原始数据Event1-1、Event1-2、Event1-3关联而形成;Cep12对应于原始数据Event1-1和Event2,这表明Cep12是由原始数据Event1-1和Event2关联而形成;Cep123对应于原始数据Event3和关联数据Cep12,这表明Cep123是由原始数据Event3和关联数据Cep12关联而形成。
步骤206、大数据分析模块对原始数据集进行分析生成并实时更新分析规则,原始数据集中存储有所述原始数据。
如图4所示,原始数据可以原始数据表的形式存入原始数据集中,原始数据表中存储有原始数据Event1-1、Event1-2、Event1-3、Event2和Event3。
本实施例中,大数据分析模块可对原始数据集中的原始数据进行分析生成分析模块集,并且可实时根据原始数据集中的原始数据对分析规则进行更新。大数据分析模块生成的分析规则可供持续分析模块判断关联数据是否异常。
步骤207、持续分析模块根据分析规则判断关联数据是否异常,若是则执行步骤208,若否则流程结束。
本步骤具体可包括:持续分析模块根据关联数据的数据属性和特征信息,通过分析规则判断存储在内存队列中的关联数据是否异常。
本实施例中,分析规则为判别异常的规则,持续分析模块将关联数据的数据属性和特征信息与分析规则进行匹配,若匹配成功则表明判断出关联数据异常;若匹配失败则表明判断出关联数据正常。
本实施例中,所述数据属性包括攻击源IP、目的IP、源端口、目的端口、事件数量、事件级别和/或事件类型;所述特征信息包括情报信息、被攻击资产的漏洞信息、暴露面信息、资产价值信息和/或资产上运行的业务的应用信息。其中,情报信息可包括恶意IP、恶意URL、漏洞信息、攻击者特征和/或攻击行为特征;暴露面信息是指内网暴露在外网的存在风险的配置信息,例如:IP、端口和或服务等。需要说明的是:情报信息中的漏洞信息包括的是所有的漏洞信息,而特征信息中的漏洞信息包括的是被攻击资产的漏洞信息。本实施例中,可设置资产库、资产漏洞库、暴露面库和/或情报库,资产库可用于存储资产价值信息和资产上运行的业务的应用信息,资产漏洞库可用于存储漏洞信息,暴露面库用于存储暴露面信息,情报库可用于存储情报信息。当持续分析模块需要数据属性和特征信息时,可直接从上述资产库、资产漏洞库、暴露面库和情报库中获取。
本实施例中,可建立一个内存队列,将关联数据存储于内存队列中。持续分析模块可直接判断存储在内存队列中的关联数据是否异常。
持续分析模块可根据关联数据的数据属性和被攻击资产的特征信息,通过分析规则判断关联数据是否携带恶意内容或者为异常行为。其中,关联数据是否携带恶意内容可包括:关联数据是否包含恶意IP、恶意URL和/或恶意Email地址,若判断出关联数据包含恶意IP、恶意URL和恶意Email地址中的任意一种,则判断出关联数据携带恶意内容;关联数据是否为异常行为可包括:关联数据是否针对漏洞、是否针对核心资产和/或是否针对不允许开放的服务,若判断出关联数据针对漏洞、针对核心资产和针对不允许开放的服务中的任意一种,则判断出关联数据为异常行为。若判断出关联数据携带恶意内容,则表明关联数据异常;若判断出关联数据为异常行为,则表明关联数据异常。
步骤208、持续分析模块生成告警事件。
本实施例中,告警事件可包括告警级别、攻击能力、攻击方向、持续事件。
本步骤具体可包括:
步骤2081、持续分析模块根据关联数据生成与关联数据对应的告警记录。
本实施例中,每一个关联数据均对应于一条告警记录,当持续分析模块判断出关联数据异常时,则生成一条与关联事件对应的告警记录。
步骤2082、持续分析模块根据告警记录生成告警事件。
本实施例中,持续分析模块可对告警记录进行聚合处理生成告警事件。具体地,持续分析模块根据聚合条件生成告警事件。例如:聚合条件为具有相同源IP的告警记录进行聚合、具有相同目的IP的告警记录进行聚合或者具有相同源IP和目的IP的告警记录进行聚合。则持续分析模块对具有相同源IP的告警记录进行聚合处理生成告警事件,这可以表明同一个攻击源对多个不同的目标在持续的一段时间内陆续发动了相同或不同类型的攻击事件;或者持续分析模块对具有相同目的IP的告警记录进行聚合处理生成告警事件,这表明不同的攻击源针对同一个目标在持续的一段时间内陆续发动了相同或不同类型的攻击事件;或者持续分析模块对具有相同目的源IP和相同目的IP的告警记录进行聚合处理生成告警事件,这表明同一个攻击源针对同一个目标在一段时间内陆续发生了相同或不同类型的事件。生成一个告警事件的告警记录可以为一个或者多个。当聚合条件的告警记录的数量仅为一个时,则可以直接对一个告警记录进行聚合处理,即:直接根据该告警记录生成告警事件,图3中所示的就是这种情况。
例如:某个源IP一周前对我的网络进行了扫描攻击,前几天该源IP对我的网络进行了注入攻击,昨天该源IP又对我进行了DDos攻击,这三个事件的相似性是因为他们的攻击源IP相同,因此通过持续关联可以将这三次攻击的告警记录聚合成一个高级别的告警事件。通过这样的聚合关联可以发现长周期的攻击事件,从而能够使得运维人员并发现这三起攻击事件是有相关性的,而且是渐进性的在对我的网络进行攻击。
步骤209、持续分析模块若判定出该告警事件为第一次发生时,将该告警事件存入告警事件集并将触发告警事件的告警记录存入攻击过程集;持续分析模块若判定出再次发生与该告警事件相关的其它事件时,更新告警事件集中的告警事件并将触发该其它事件的告警记录存入攻击过程集。
其中,告警记录为在持续跟踪分析过程中满足复杂攻击过程的告警记录,告警事件为长时间跟踪并持续更新的告警事件。
本实施例中,告警记录对应某一攻击事件,换言之,当某一攻击事件发生时即产生一条告警记录。而告警事件可以是由一组告警记录通过某种关联条件聚合到一起后产生的,当然告警事件也可以是根据一个告警记录产生。因此可以说,告警事件是由告警记录触发的。某一条告警事件可随着时间的变化,根据聚合到一起的告警记录来不断的进行更新。一般黑客发动攻击之前都会做一些探测性的行为,因此事态发展都是有一个过程的,本实施例可以把这种持续性的攻击事件记录下来,并且通过追溯回放攻击过程。
如图3所示,Alarmlog表示告警记录,图3中列举了告警记录Alarmlog1、Alarmlog12和Alarmlog123。其中,Alarmlog1对应于Cep1,Alarmlog12对应于Cep12,Alarmlog123对应于Cep123。如图4所示,告警记录可以关联数据表的形式存入攻击过程集。关联数据表既存储了告警记录又能体现出告警记录和关联数据的对应关系。例如:图4中列举了告警记录Alarmlog1、Alarmlog12和Alarmlog123,其中,Alarmlog1对应于Cep1,Alarmlog12对应于Cep12,Alarmlog123对应于Cep123。
如图3所示,Alarmevent表示告警事件,图3中列举了告警事件Alarmevent1、Alarmevent12和Alarmevent123。Alarmevent1对应于Alarmlog1,Alarmevent12对应于Alarmlog12,Alarmevent123对应于Alarmlog123。如图4所示,告警事件可以告警事件表的形式存入告警事件集,进一步地,告警事件还可以告警过程记录表的形式存入告警事件集,该告警过程记录表既存储了告警事件又能体现出告警记录和告警事件的对应关系。如图4所示,在告警事件表中保存了告警事件Alarmevent1、Alarmevent12和Alarmevent123;在告警过程记录表中保存了Alarmevent1和Alarmlog1的对应关系、Alarmevent12和Alarmlog12的对应关系以及Alarmevent123和Alarmlog123的对应关系。
图5为本发明实施例二中告警事件追溯到原始数据的示意图,如图5所示,根据图4中保存的各项数据可对告警事件的完整生命周期进行追溯,追踪所有过程事件直至关联到原始事件。若要追溯Alarmevent1的原始数据时,依次从Alarmevent1追踪到对应的Alarmlog1和Cep1,继而追踪到和Cep1对应的Event1-1、Event1-2、Event1-3;若要追溯Alarmevent12的原始数据时,依次从Alarmevent12追踪到对应的Alarmlog12和Cep12,继而追踪到和Cep12对应的Event1-1、Event2;若要追溯Alarmevent123的原始数据时,依次从Alarmevent123追踪到对应的Alarmlog123和Cep123,继而追踪到和Cep123对应的Cep12、Event3,进而追踪到和Cep12对应的Event1-1、Event2,因此,Alarmevent123的原始数据为Event1-1、Event2、Event3。
告警记录Alarmlog是记录单条告警发生时的类似一个流水表的记录。告警事件Alarmevent是将相关的Alarmlog经过长期的聚合而形成的。例如:同一个攻击源IP昨天发起了一个扫描事件,就会产生一个单条的扫描事件的告警记录Alarmlog4,今天又是同一个源IP发生了扫描事件,又会产生一个该扫描事件的告警记录Alarmlog5,同时***会根据同一个源IP在不同的两天发生了相同的扫描事件而产生一个告警事件Alarmevent45,这个告警事件Alarmevent45跟前两个扫描事件的告警记录关联起来。过了两天这个源IP又有注入攻击事件发生了,这时候会产生一条注入攻击事件的告警事件Alarmlog6,此时可去更新之前聚合产生的那条告警事件Alarmevent45,即:根据告警记录Alarmlog6更新告警事件Alarmevent45,此时会因为聚合的告警记录既有扫描又有攻击使这条告警事件升级,此时若再去追溯Alarmevent45对应的告警记录就能查到3条告警记录。而后经过这种长期的跟踪监控,就可以把同一个源IP一段时间内的告警记录都串联起来。上述是对同一个源IP的告警记录进行聚合的例子,对同一个目的IP的告警记录进行聚合以及对同一个源IP和同一个目的IP进行聚合此处不再具体描述。
综上所述,每当有告警记录Alarmlog产生的时候,持续分析模块就会根据源IP和/或目的IP去告警Alarmevent中去找到相关的告警事件Alarmevent并更新该相关的告警事件。若未找到相关的告警事件表明该告警事件为第一次发生,则将该告警事件存入告警事件集。
可选地,该方法包括:
步骤210、持续分析模块计算出告警事件的影响范围和威胁等级。
具体地,持续分析模块可根据告警事件对应的关联数据的数据属性和特征信息计算出告警事件的影响范围和威胁等级。
例如:同一个源IP在一段时间内对我的网络进行了攻击会产生很多告警记录,通过持续关联分析,可以发现这个源IP针对了n个不同的目的IP实施了攻击,那这些告警记录产生的告警实践的影响范围就是n个不同的目的IP。
例如:如果这个源IP对n<5个目的IP仅仅发起了扫描事件攻击,则威胁等级是比较低的;如果这个源IP针对n>5个目的IP进行了多种类型的攻击行为,则威胁等级是比较高的。因此威胁等级的计算因素包括:1、影响范围;2、手段种类;3、是否与漏洞相关;4是否与恶意IP或恶意网址相关;5、使用的攻击手段造成的严重程度。这些计算因素的取值是可以动态设置的,例如上面的n可以设置5也可以设置成10,这个要根据事件类型结合实际场景调试设置。
本实施例提供的关联分析方法的技术方案中,接收模块接收原始数据,实时分析模块根据实时关联规则对原始数据进行实时关联处理生成关联数据,持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件,实现了长期的关联分析,从而能够发现周期长、隐蔽性强的攻击行为。本实施例中,大数据分析模块可对原始数据进行分析生成并实时更新分析规则,实现了通过智能分析结果联动更新分析规则,提高了更新的时效性,从而提高了关联分析的准确性和对新型攻击的发现能力。实时分析模块可对原始数据中的无效事件进行过滤以及对原始数据中的重复事件进行合并,从而降低了实时分析模块的负担量,从而提高了处理效率。持续分析模块根据关联数据的数据属性和特征信息判断关联数据是否异常,从而一方面增加了对攻击有效性的识别,降低了误报,另一方面也可以通过结合上述关联数据的数据属性和特征信息对命中的事件影响范围、威胁等级进行计算。本实施例通过原始数据集、关联结果集、攻击过程集和告警事件集中保存的信息,可以追溯告警事件的整个生命周期历经的所有事件和过程,便于运维人员取证,从而为运维人员带来极大方便。本实施例的关联分析方法极大的降低了重复告警,从而减少了告警事件的数量。
图6为本发明实施例三提供的一种关联分析***的结构示意图,如图6所示,该***包括:接收模块11、实时分析模块12和持续分析模块13。
接收模块11用于接收原始数据。实时分析模块12用于根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据。持续分析模块13用于根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件。
本实施例提供的关联分***可用于实现上述实施例一提供的关联分析方法。
本实施例提供的关联分析***的技术方案中,接收模块接收原始数据,实时分析模块根据实时关联规则对原始数据进行实时关联处理生成关联数据,持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件,实现了长期的关联分析,从而能够发现周期长、隐蔽性强的攻击行为。
图7为本发明实施例四提供的一种关联分析***的结构示意图,如图7所示,本实施例的***在上述实施例一的基础上进一步地,持续分析模块13具体用于根据分析规则判断所述关联数据是否携带恶意内容或者为异常行为。
可选地,实时分析模块12具体用于对所述原始数据中的无效事件进行过滤以及对所述原始数据中的重复事件进行合并;根据实时关联规则,按照时间窗或者数量窗对经过过滤和合并后的原始数据进行关联处理生成关联数据。
可选地,持续分析模块13具体用于根据所述关联数据的数据属性和特征信息,通过所述分析规则判断存储在内存队列中的关联数据是否异常。
可选地,该***还包括:规则更新模块14。规则更新模块14用于对所述实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集,以供所述实时分析模块从所述关联规则集中获取所述实时关联规则。
可选地,该***还包括:大数据分析模块15。大数据分析模块15用于对原始数据集进行分析生成并实时更新所述分析规则,所述原始数据集中存储有所述原始数据。
可选地,实时分析模块12还用于将所述关联数据存入关联结果集。
可选地,持续分析模块13还用于若判定出所述告警事件为第一次发生时,将所述告警事件存入告警事件集并将触发所述告警事件的告警记录存入攻击过程集;若判定出再次发生与所述告警事件相关的其它事件时,更新所述告警事件集中的所述告警事件并将此次触发所述其它事件的告警记录存入攻击过程集。
本实施例提供的关联分析***可用于实现上述实施例二提供的关联分析方法。
本实施例提供的关联分析***的技术方案中,接收模块接收原始数据,实时分析模块根据实时关联规则对原始数据进行实时关联处理生成关联数据,持续分析模块根据分析规则判断关联数据是否异常,若判断出关联数据异常时生成告警事件,实现了长期的关联分析,从而能够发现周期长、隐蔽性强的攻击行为。本实施例中,大数据分析模块可对原始数据进行分析生成并实时更新分析规则,实现了通过智能分析结果联动更新分析规则,提高了更新的时效性,从而提高了关联分析的准确性和对新型攻击的发现能力。实时分析模块可对原始数据中的无效事件进行过滤以及对原始数据中的重复事件进行合并,从而降低了实时分析模块的负担量,从而提高了处理效率。持续分析模块根据关联数据的数据属性和特征信息判断关联数据是否异常,从而一方面增加了对攻击有效性的识别,降低了误报,另一方面也可以通过结合上述关联数据的数据属性和特征信息对命中的事件影响范围、威胁等级进行计算。本实施例通过原始数据集、关联结果集、攻击过程集和告警事件集中保存的信息,可以追溯告警事件的整个生命周期历经的所有事件和过程,便于运维人员取证,从而为运维人员带来极大方便。本实施例的关联分析***极大的降低了重复告警,从而减少了告警事件的数量。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (21)
1.一种关联分析方法,其特征在于,包括:
接收模块接收原始数据;
实时分析模块根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据;
持续分析模块根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件。
2.根据权利要求1所述的关联分析方法,其特征在于,所述持续分析模块根据分析规则判断所述关联数据是否异常包括:
所述持续分析模块根据分析规则判断所述关联数据是否携带恶意内容或者为异常行为。
3.根据权利要求1所述的关联分析方法,其特征在于,所述原始数据包括原始事件和/或原始流量。
4.根据权利要求1所述的关联分析方法,其特征在于,所述实时分析模块根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据包括:
所述实时分析模块对所述原始数据中的无效事件进行过滤以及对所述原始数据中的重复事件进行合并;
所述实时分析模块根据实时关联规则,按照时间窗或者数量窗对经过过滤和合并后的原始数据进行关联处理生成关联数据。
5.根据权利要求1或4所述的关联分析方法,其特征在于,所述实时关联规则为对关键属性相同的数据进行关联处理。
6.根据权利要求1所述的关联分析方法,其特征在于,所述持续分析模块根据分析规则判断所述关联数据是否异常包括:
所述持续分析模块根据所述关联数据的数据属性和特征信息,通过所述分析规则判断存储在内存队列中的关联数据是否异常。
7.根据权利要求6所述的关联分析方法,其特征在于,所述数据属性包括攻击源IP、目的IP、源端口、目的端口、事件数量、事件级别和/或事件类型。
8.根据权利要求6所述的关联分析方法,其特征在于,所述特征信息包括情报信息、被攻击资产的漏洞信息、暴露面信息、资产价值信息和/或资产上运行的业务的应用信息。
9.根据权利要求1所述的关联分析方法,其特征在于,所述若判断出所述关联数据异常时生成告警事件包括:
根据关联数据生成与关联数据对应的告警记录;
根据告警记录生成告警事件。
10.根据权利要求1所述的关联分析方法,其特征在于,所述实时分析模块根据实时关联规则对所述原始数据进行实时关联处理之前还包括:
规则更新模块对所述实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集,以供所述实时分析模块从所述关联规则集中获取所述实时关联规则。
11.根据权利要求1所述的关联分析方法,其特征在于,所述持续分析模块根据分析规则判断所述关联数据是否异常之前包括:
大数据分析模块对原始数据集进行分析生成并实时更新所述分析规则,所述原始数据集中存储有所述原始数据。
12.根据权利要求1所述的关联分析方法,其特征在于,所述实时分析模块根据实时关联规则对所述原始数据进行实时关联处理之后还包括:
实时分析模块将所述关联数据存入关联结果集。
13.根据权利要求1所述的关联分析方法,其特征在于,所述持续分析模块根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件之后包括:
所述持续分析模块若判定出所述告警事件为第一次发生时,将所述告警事件存入告警事件集并将触发所述告警事件的告警记录存入攻击过程集;
所述持续分析模块若判定出再次发生与所述告警事件相关的其它事件时,更新所述告警事件集中的所述告警事件并将此次触发所述其它事件的告警记录存入攻击过程集。
14.一种关联分析***,其特征在于,包括:
接收模块,用于接收原始数据;
实时分析模块,用于根据实时关联规则对所述原始数据进行实时关联处理,生成关联数据;
持续分析模块,用于根据分析规则判断所述关联数据是否异常,若判断出所述关联数据异常时生成告警事件。
15.根据权利要求14所述的关联分析***,其特征在于,所述持续分析模块具体用于根据分析规则判断所述关联数据是否携带恶意内容或者为异常行为。
16.根据权利要求14所述的关联分析***,其特征在于,所述实时分析模块具体用于对所述原始数据中的无效事件进行过滤以及对所述原始数据中的重复事件进行合并;根据实时关联规则,按照时间窗或者数量窗对经过过滤和合并后的原始数据进行关联处理生成关联数据。
17.根据权利要求14所述的关联分析***,其特征在于,所述持续分析模块具体用于根据所述关联数据的数据属性和特征信息,通过所述分析规则判断存储在内存队列中的关联数据是否异常。
18.根据权利要求14所述的关联分析***,其特征在于,还包括:
规则更新模块,用于对所述实时关联规则进行更新处理并将更新后的实时关联规则存入关联规则集,以供所述实时分析模块从所述关联规则集中获取所述实时关联规则。
19.根据权利要求14所述的关联分析***,其特征在于,还包括:
大数据分析模块,用于对原始数据集进行分析生成并实时更新所述分析规则,所述原始数据集中存储有所述原始数据。
20.根据权利要求14所述的关联分析***,其特征在于,实时分析模块还用于将所述关联数据存入关联结果集。
21.根据权利要求14所述的关联分析***,其特征在于,所述持续分析模块还用于若判定出所述告警事件为第一次发生时,将所述告警事件存入告警事件集并将触发所述告警事件的告警记录存入攻击过程集;若判定出再次发生与所述告警事件相关的其它事件时,更新所述告警事件集中的所述告警事件并将此次触发所述其它事件的告警记录存入攻击过程集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511030195.5A CN105681286A (zh) | 2015-12-31 | 2015-12-31 | 关联分析方法和关联分析*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511030195.5A CN105681286A (zh) | 2015-12-31 | 2015-12-31 | 关联分析方法和关联分析*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105681286A true CN105681286A (zh) | 2016-06-15 |
Family
ID=56298381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201511030195.5A Pending CN105681286A (zh) | 2015-12-31 | 2015-12-31 | 关联分析方法和关联分析*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105681286A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789347A (zh) * | 2017-01-22 | 2017-05-31 | 山东浪潮商用***有限公司 | 一种基于告警数据实现告警关联和网络故障诊断的方法 |
CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及*** |
CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | ***通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
CN110149319A (zh) * | 2019-04-26 | 2019-08-20 | 北京奇安信科技有限公司 | Apt组织的追踪方法及装置、存储介质、电子装置 |
CN110489611A (zh) * | 2019-08-23 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 一种智能的线索分析方法及*** |
CN110516439A (zh) * | 2019-07-25 | 2019-11-29 | 北京奇艺世纪科技有限公司 | 一种检测方法、装置、服务器及计算机可读介质 |
CN110636016A (zh) * | 2019-08-08 | 2019-12-31 | 西安万像电子科技有限公司 | 数据传输方法及*** |
CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
CN112260965A (zh) * | 2020-10-21 | 2021-01-22 | 阳光保险集团股份有限公司 | 一种消息处理方法、装置、设备及存储介质 |
CN112671767A (zh) * | 2020-12-23 | 2021-04-16 | 广东能源集团科学技术研究院有限公司 | 一种基于告警数据分析的安全事件预警方法及装置 |
CN113315784A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种安全事件的处理方法、装置、设备和介质 |
CN113436364A (zh) * | 2021-06-22 | 2021-09-24 | 广汽埃安新能源汽车有限公司 | Tbox无效信号值判断方法、装置 |
CN113709153A (zh) * | 2021-08-27 | 2021-11-26 | 绿盟科技集团股份有限公司 | 一种日志归并的方法、装置及电子设备 |
CN114143173A (zh) * | 2022-01-30 | 2022-03-04 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、设备和存储介质 |
CN114257414A (zh) * | 2021-11-25 | 2022-03-29 | 国网山东省电力公司日照供电公司 | 一种网络安全智能值班方法及*** |
CN114567480A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
CN102638100A (zh) * | 2012-04-05 | 2012-08-15 | 华北电力大学 | 地区电网设备异常告警信号关联分析与诊断方法 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
CN103685296A (zh) * | 2013-12-20 | 2014-03-26 | 中电长城网际***应用有限公司 | 一种安全信息整合显示方法和*** |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN103986599A (zh) * | 2014-05-14 | 2014-08-13 | 上海上讯信息技术股份有限公司 | 一种用于网络设备的运维告警***及其方法 |
CN104008332A (zh) * | 2014-04-30 | 2014-08-27 | 浪潮电子信息产业股份有限公司 | 一种基于Android平台的入侵检测*** |
US20140245374A1 (en) * | 2012-12-04 | 2014-08-28 | ISC8 Inc. | Device and Method for Detection of Anomalous Behavior in a Computer Network |
CN104050787A (zh) * | 2013-03-12 | 2014-09-17 | 霍尼韦尔国际公司 | 具有分类属性的异常检测的***和方法 |
CN104852927A (zh) * | 2015-06-01 | 2015-08-19 | 国家电网公司 | 基于多源异构的信息安全综合管理*** |
CN105139158A (zh) * | 2015-10-10 | 2015-12-09 | 国家电网公司 | 电网异常信息智能告警和辅助决策方法 |
-
2015
- 2015-12-31 CN CN201511030195.5A patent/CN105681286A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和*** |
CN102638100A (zh) * | 2012-04-05 | 2012-08-15 | 华北电力大学 | 地区电网设备异常告警信号关联分析与诊断方法 |
US20140245374A1 (en) * | 2012-12-04 | 2014-08-28 | ISC8 Inc. | Device and Method for Detection of Anomalous Behavior in a Computer Network |
CN104050787A (zh) * | 2013-03-12 | 2014-09-17 | 霍尼韦尔国际公司 | 具有分类属性的异常检测的***和方法 |
CN103685296A (zh) * | 2013-12-20 | 2014-03-26 | 中电长城网际***应用有限公司 | 一种安全信息整合显示方法和*** |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN104008332A (zh) * | 2014-04-30 | 2014-08-27 | 浪潮电子信息产业股份有限公司 | 一种基于Android平台的入侵检测*** |
CN103986599A (zh) * | 2014-05-14 | 2014-08-13 | 上海上讯信息技术股份有限公司 | 一种用于网络设备的运维告警***及其方法 |
CN104852927A (zh) * | 2015-06-01 | 2015-08-19 | 国家电网公司 | 基于多源异构的信息安全综合管理*** |
CN105139158A (zh) * | 2015-10-10 | 2015-12-09 | 国家电网公司 | 电网异常信息智能告警和辅助决策方法 |
Non-Patent Citations (1)
Title |
---|
周宁: "分布式入侵检测***体系结构及告警融合研究", 《中国优秀博硕士学位论文全文数据库信息科技辑》 * |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | ***通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
CN108234426B (zh) * | 2016-12-21 | 2021-08-03 | ***通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
CN106789347B (zh) * | 2017-01-22 | 2019-12-13 | 浪潮天元通信信息***有限公司 | 一种基于告警数据实现告警关联和网络故障诊断的方法 |
CN106789347A (zh) * | 2017-01-22 | 2017-05-31 | 山东浪潮商用***有限公司 | 一种基于告警数据实现告警关联和网络故障诊断的方法 |
CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及*** |
CN110149319A (zh) * | 2019-04-26 | 2019-08-20 | 北京奇安信科技有限公司 | Apt组织的追踪方法及装置、存储介质、电子装置 |
CN110149319B (zh) * | 2019-04-26 | 2021-11-23 | 奇安信科技集团股份有限公司 | Apt组织的追踪方法及装置、存储介质、电子装置 |
CN110516439B (zh) * | 2019-07-25 | 2021-05-25 | 北京奇艺世纪科技有限公司 | 一种检测方法、装置、服务器及计算机可读介质 |
CN110516439A (zh) * | 2019-07-25 | 2019-11-29 | 北京奇艺世纪科技有限公司 | 一种检测方法、装置、服务器及计算机可读介质 |
CN110636016A (zh) * | 2019-08-08 | 2019-12-31 | 西安万像电子科技有限公司 | 数据传输方法及*** |
CN110636016B (zh) * | 2019-08-08 | 2023-09-29 | 西安万像电子科技有限公司 | 数据传输方法及*** |
CN110489611A (zh) * | 2019-08-23 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 一种智能的线索分析方法及*** |
CN110489611B (zh) * | 2019-08-23 | 2022-12-30 | 杭州安恒信息技术股份有限公司 | 一种智能的线索分析方法及*** |
CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
CN112260965A (zh) * | 2020-10-21 | 2021-01-22 | 阳光保险集团股份有限公司 | 一种消息处理方法、装置、设备及存储介质 |
CN112671767A (zh) * | 2020-12-23 | 2021-04-16 | 广东能源集团科学技术研究院有限公司 | 一种基于告警数据分析的安全事件预警方法及装置 |
CN113436364A (zh) * | 2021-06-22 | 2021-09-24 | 广汽埃安新能源汽车有限公司 | Tbox无效信号值判断方法、装置 |
CN113436364B (zh) * | 2021-06-22 | 2022-04-08 | 广汽埃安新能源汽车有限公司 | Tbox无效信号值判断方法、装置 |
CN113315784A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种安全事件的处理方法、装置、设备和介质 |
CN113709153A (zh) * | 2021-08-27 | 2021-11-26 | 绿盟科技集团股份有限公司 | 一种日志归并的方法、装置及电子设备 |
CN114257414A (zh) * | 2021-11-25 | 2022-03-29 | 国网山东省电力公司日照供电公司 | 一种网络安全智能值班方法及*** |
CN114143173B (zh) * | 2022-01-30 | 2022-07-15 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、设备和存储介质 |
CN114143173A (zh) * | 2022-01-30 | 2022-03-04 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、设备和存储介质 |
CN114567480A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
CN114567480B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105681286A (zh) | 关联分析方法和关联分析*** | |
CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
US11483326B2 (en) | Context informed abnormal endpoint behavior detection | |
CN103312679A (zh) | 高级持续威胁的检测方法和*** | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
CN102075516A (zh) | 一种网络多步攻击识别和预测方法 | |
CN103368979A (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
CN104899513A (zh) | 一种工业控制***恶意数据攻击的数据图检测方法 | |
CN116112211A (zh) | 一种基于知识图谱的网络攻击链还原方法 | |
US20230087309A1 (en) | Cyberattack identification in a network environment | |
CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构*** | |
CN112291260A (zh) | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 | |
Bahareth et al. | Constructing attack scenario using sequential pattern mining with correlated candidate sequences | |
CN115587357A (zh) | 一种基于大数据的威胁场景分析方法及*** | |
CN112751863B (zh) | 一种攻击行为分析方法及装置 | |
CN114884735A (zh) | 一种基于安全态势的多源数据智能评估*** | |
Wang et al. | A novel technique of recognising multi-stage attack behaviour | |
CN114884712A (zh) | 一种网络资产风险级别信息确定方法、装置、设备及介质 | |
CN113709097A (zh) | 网络风险感知方法及防御方法 | |
CN104933357A (zh) | 一种基于数据挖掘的洪泛攻击检测*** | |
Li et al. | Discovering novel multistage attack strategies | |
Shin et al. | Alert correlation analysis in intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160615 |