CN105743877A - 一种网络安全威胁情报处理方法及*** - Google Patents
一种网络安全威胁情报处理方法及*** Download PDFInfo
- Publication number
- CN105743877A CN105743877A CN201510725335.4A CN201510725335A CN105743877A CN 105743877 A CN105743877 A CN 105743877A CN 201510725335 A CN201510725335 A CN 201510725335A CN 105743877 A CN105743877 A CN 105743877A
- Authority
- CN
- China
- Prior art keywords
- sample
- information bank
- characteristics information
- sample characteristics
- static nature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提出一种网络安全威胁情报处理方法及***,包括:获取已知恶意代码样本的全部动静态特征;获取已知白样本的动静态特征,建立白样本特征情报库;通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;并定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。本发明还提出相应***。通过本发明能够获得可信来源的信息,并转化为威胁情报,不断提高准确性,降低误报率,产出高覆盖率的特征情报库,辅助家族及样本特征分析识别,提升通用检出能力。
Description
技术领域
本发明涉及计算机网络安全领域,特别涉及一种网络安全威胁情报处理方法及***。
背景技术
随着以APT为典型代表的新型威胁和攻击的不断增长,企业和组织在防范外部的攻击过程中越发需要依靠充分、有效的安全威胁情报做为支撑,以帮助其更好的应对这些新型威胁。安全威胁情报分析市场应运而生,并蓬勃发展。
现在的情报分析市场有一个很重要的特点,就是给客户提供的情报的特定性越来越强。情报提供者会根据购买者的网络/应用的环境信息,提供给他们特定的威胁情报,而非简单的通用情报信息。以一个没有任何防护检测的设备为例,通过威胁情报***,我们可以获取到关于恶意攻击样本的相关问题,包括一些恶意的域名、攻击手法、攻击背景等,还可以关联到相关的服务器的IP地址,包括相关的域名、域名之间的联线。整个可视化的过程就是基于全网数据的分析,而且这是一个可视化的分析过程,而不仅仅是一个展现过程,而这一切靠的都是大数据分析能力。
过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。
公开的信息情报尽管具有来源广、信息量大的优势,但也有来源纷繁复杂、质量良莠不齐、信息片面含糊、易被篡改欺诈等固有缺陷,以及提供、加工、发布、传递等任何一个环节都有可能发生增删、修改,使其偏离本来面貌等负面特征,它的有效分析方法也是重要缺陷之一,而海量信息的情报化处理技术还未成熟,是目前的技术瓶颈之一。
现实情况是大多数企业没有足够的人员、时间、资金、和精力来应对威胁。企业安全投入资源有限,而有组织的专业黑客总是可能会领先几步。层出不穷的数据泄漏事件对企业声誉和财务的影响十分恶劣。因此,威胁情报在频繁受到攻击的高风险的重点行业大企业中,作用是显而易见可以预期的。
虽然APT攻击周期长且手法复杂,利用威胁情报间的相互关联,可以挖掘出多种潜在攻击方式,但往往企业并不具备这样的分析能力和员工,堆砌海量情报可能会适得其反,造成情报利用率不够。
发明内容
本发明提出一种网络安全威胁情报处理方法及***,通过对威胁情报的处理,提高威胁情报的高准确性及时效性。
一种网络安全威胁情报处理方法,包括:
获取已知恶意代码样本的全部动静态特征;所述动静态特征通过样本分析服务提供商及在线沙箱获取;在获取过程中,需要保证数据的高价值,避免对后续分析带来混乱和低效,即需要对样本分析服务提供商和在线沙箱进行有效的筛选;
获取已知白样本的动静态特征,建立白样本特征情报库;作为排除通用特征通用信息对结果造成的干扰;
通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤,判断恶意代码样本的全部动静态特征是否存在于白样本特征情报库中,如果是则去除所述恶意代码样本的动静态特征;否则保留;
将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;
根据预设时间,周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;威胁情报的采集是一个动态性、周期性的过程,需建立持续数据流处理的基础架构,周期性的处理数据清理和数据转化,以保证业务连续性。
定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。
所述的方法中,所述获取已知恶意代码样本的全部动静态特征具体为:通过已知恶意代码样本的MD5列表或指定关键字搜索、爬取样本的特征报告,提取动静态特征。动静态特征可包括网络信息,如http、url等;文件信息,如创建、释放、修改的文件路径等;静态信息、互斥量、注册表等特征。
所述的方法中,所述获取已知白样本的动静态特征具体为:通过网站爬取、样本投放分析、常见操作***(如windows、linux)的***程序和常用软件,提取动静态特征。
所述的方法中,还包括:在建立白样本特征情报库及黑样本特征情报库过程中生成日志记录,所述日志记录包含样本MD5、当前步骤、时间戳及特征。
所述的方法中,若在建立白样本特征情报库及黑样本特征情报库过程中出现阻塞或终止,如上行生成流数据的作业比下行消费流数据的作业运行的更快,将会导致处理流程阻塞,则根据日志记录的时间戳从出现阻塞或终止的步骤重新开始,允许流程重启或者停止但不会影响数据的处理速度。
所述的方法中,所述定期输出白样本特征情报库及黑样本特征情报库具体为:根据各特征情报库中特征的数量级,选择输出方式:如果数量级高于预设值,则采用BloomFilter以万分之一的容错率压缩库,生成二进制BloomFilter形式高覆盖率特征情报库出库;如果数量级小于预设值,则以HASH及病毒名的形式生成特征情报库出库。
一种网络安全威胁情报处理***,包括:
特征获取模块,用于获取已知恶意代码样本的全部动静态特征;所述动静态特征通过样本分析服务提供商及在线沙箱获取;
白样本特征情报库建立模块,用于获取已知白样本的动静态特征,建立白样本特征情报库;
特征过滤模块,用于通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤,判断恶意代码样本的全部动静态特征是否存在于白样本特征情报库中,如果是则去除所述恶意代码样本的动静态特征;否则保留;
黑样本特征情报库建立模块,用于将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;
特征补充模块,用于根据预设时间,周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;
验证模块,用于定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。
所述的***中,所述获取已知恶意代码样本的全部动静态特征具体为:通过已知恶意代码样本的MD5列表或指定关键字搜索、爬取样本的特征报告,提取动静态特征。
所述的***中,所述获取已知白样本的动静态特征具体为:通过网站爬去、样本投放分析、常见操作***的***程序和常用软件,提取动静态特征。
所述的***中,还包括:日志记录模块,用于在建立白样本特征情报库及黑样本特征情报库过程中生成日志记录,所述日志记录包含样本MD5、当前步骤、时间戳及特征。
所述的***中,若在建立白样本特征情报库及黑样本特征情报库过程中出现阻塞或终止,则根据日志记录的时间戳从出现阻塞或终止的步骤重新开始。
所述的***中,所述定期输出白样本特征情报库及黑样本特征情报库具体为:根据各特征情报库中特征的数量级,选择输出方式:如果数量级高于预设值,则采用BloomFilter以万分之一的容错率压缩库,生成二进制BloomFilter形式高覆盖率特征情报库出库;如果数量级小于预设值,则以HASH及病毒名的形式生成特征情报库出库。
本发明的关键在于,在数据来源上依靠多种可信来源保证所有海量信息的可信性、权威性及时效性。通过判别、知识库筛选、流式入库、定期出库检测、误报信息更新的研究路线,持续累积迭代,逐步转化为威胁情报,不断提高其准确性,减低误报率,产出高覆盖率黑特征情报库。多种输出库形式,灵活适应各种检测需求,实现高检出率、低误报率的样本分析和检测,为日后的样本分析及黑白样本的判别上提供了一定的数据支持,达到辅助家族及样本特征分析识别,提升通用检出能力
本发明提出一种网络安全威胁情报处理方法及***,包括:获取已知恶意代码样本的全部动静态特征;获取已知白样本的动静态特征,建立白样本特征情报库;通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;并定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。本发明还提出相应***。通过本发明能够获得可信来源的信息,并转化为威胁情报,不断提高准确性,降低误报率,产出高覆盖率的特征情报库,辅助家族及样本特征分析识别,提升通用检出能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种网络安全威胁情报处理方法实施例流程图;
图2为一种网络安全威胁情报处理***实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出一种网络安全威胁情报处理方法及***,通过对威胁情报的处理,提高威胁情报的高准确性及时效性。
一种网络安全威胁情报处理方法,如图1所示,包括:
S101:获取已知恶意代码样本的全部动静态特征;所述动静态特征通过样本分析服务提供商及在线沙箱获取;在获取过程中,需要保证数据的高价值,避免对后续分析带来混乱和低效,即需要对样本分析服务提供商和在线沙箱进行有效的筛选;
S102:获取已知白样本的动静态特征,建立白样本特征情报库;作为排除通用特征通用信息对结果造成的干扰;
S103:通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤,判断恶意代码样本的全部动静态特征是否存在于白样本特征情报库中,如果是则去除所述恶意代码样本的动静态特征;否则保留;
S104:将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;
S105:根据预设时间,周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;威胁情报的采集是一个动态性、周期性的过程,需建立持续数据流处理的基础架构,周期性的处理数据清理和数据转化,以保证业务连续性。
S106:定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。
所述的方法中,所述获取已知恶意代码样本的全部动静态特征具体为:通过已知恶意代码样本的MD5列表或指定关键字搜索、爬取样本的特征报告,提取动静态特征。动静态特征可包括网络信息,如http、url等;文件信息,如创建、释放、修改的文件路径等;静态信息、互斥量、注册表等特征。
所述的方法中,所述获取已知白样本的动静态特征具体为:通过网站爬去、样本投放分析、常见操作***(如windows、linux)的***程序和常用软件,提取动静态特征。
所述的方法中,还包括:在建立白样本特征情报库及黑样本特征情报库过程中生成日志记录,所述日志记录包含样本MD5、当前步骤、时间戳及特征。
所述的方法中,若在建立白样本特征情报库及黑样本特征情报库过程中出现阻塞或终止,如上行生成流数据的作业比下行消费流数据的作业运行的更快,将会导致处理流程阻塞,则根据日志记录的时间戳从出现阻塞或终止的步骤重新开始,允许流程重启或者停止但不会影响数据的处理速度。
所述的方法中,所述定期输出白样本特征情报库及黑样本特征情报库具体为:根据各特征情报库中特征的数量级,选择输出方式:如果数量级高于预设值,则采用BloomFilter以万分之一的容错率压缩库,生成二进制BloomFilter形式高覆盖率特征情报库出库;如果数量级小于预设值,则以HASH及病毒名的形式生成特征情报库出库。
一种网络安全威胁情报处理***,如图2所示,包括:
特征获取模块201,用于获取已知恶意代码样本的全部动静态特征;所述动静态特征通过样本分析服务提供商及在线沙箱获取;
白样本特征情报库建立模块202,用于获取已知白样本的动静态特征,建立白样本特征情报库;
特征过滤模块203,用于通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤,判断恶意代码样本的全部动静态特征是否存在于白样本特征情报库中,如果是则去除所述恶意代码样本的动静态特征;否则保留;
黑样本特征情报库建立模块204,用于将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;
特征补充模块205,用于根据预设时间,周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;
验证模块206,用于定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。
所述的***中,所述获取已知恶意代码样本的全部动静态特征具体为:通过已知恶意代码样本的MD5列表或指定关键字搜索、爬取样本的特征报告,提取动静态特征。
所述的***中,所述获取已知白样本的动静态特征具体为:通过网站爬去、样本投放分析、常见操作***的***程序和常用软件,提取动静态特征。
所述的***中,还包括:日志记录模块207,用于在建立白样本特征情报库及黑样本特征情报库过程中生成日志记录,所述日志记录包含样本MD5、当前步骤、时间戳及特征。
所述的***中,若在建立白样本特征情报库及黑样本特征情报库过程中出现阻塞或终止,则根据日志记录的时间戳从出现阻塞或终止的步骤重新开始。
所述的***中,所述定期输出白样本特征情报库及黑样本特征情报库具体为:根据各特征情报库中特征的数量级,选择输出方式:如果数量级高于预设值,则采用BloomFilter以万分之一的容错率压缩库,生成二进制BloomFilter形式高覆盖率特征情报库出库;如果数量级小于预设值,则以HASH及病毒名的形式生成特征情报库出库。
本发明的关键在于,在数据来源上依靠多种可信来源保证所有海量信息的可信性、权威性及时效性。通过判别、知识库筛选、流式入库、定期出库检测、误报信息更新的研究路线,持续累积迭代,逐步转化为威胁情报,不断提高其准确性,减低误报率,产出高覆盖率黑样本特征情报库。多种输出库形式,灵活适应各种检测需求,实现高检出率、低误报率的样本分析和检测,为日后的样本分析及黑白样本的判别上提供了一定的数据支持,达到辅助家族及样本特征分析识别,提升通用检出能力
本发明提出一种网络安全威胁情报处理方法及***,包括:获取已知恶意代码样本的全部动静态特征;获取已知白样本的动静态特征,建立白样本特征情报库;通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;并定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。本发明还提出相应***。通过本发明能够获得可信来源的信息,并转化为威胁情报,不断提高准确性,降低误报率,产出高覆盖率的特征情报库,辅助家族及样本特征分析识别,提升通用检出能力。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种网络安全威胁情报处理方法,其特征在于,包括:
获取已知恶意代码样本的全部动静态特征;所述动静态特征通过样本分析服务提供商及在线沙箱获取;
获取已知白样本的动静态特征,建立白样本特征情报库;
通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤,判断恶意代码样本的全部动静态特征是否存在于白样本特征情报库中,如果是则去除所述恶意代码样本的动静态特征;否则保留;
将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;
根据预设时间,周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;
定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。
2.如权利要求1所述的方法,其特征在于,所述获取已知恶意代码样本的全部动静态特征具体为:通过已知恶意代码样本的MD5列表或指定关键字搜索、爬取样本的特征报告,提取动静态特征。
3.如权利要求1所述的方法,其特征在于,所述获取已知白样本的动静态特征具体为:通过网站爬取、样本投放分析、常见操作***的***程序和常用软件,提取动静态特征。
4.如权利要求1所述的方法,其特征在于,还包括:在建立白样本特征情报库及黑样本特征情报库过程中生成日志记录,所述日志记录包含样本MD5、当前步骤、时间戳及特征。
5.如权利要求4所述的方法,其特征在于,若在建立白样本特征情报库及黑样本特征情报库过程中出现阻塞或终止,则根据日志记录的时间戳从出现阻塞或终止的步骤重新开始。
6.如权利要求1或5所述的方法,其特征在于,所述定期输出白样本特征情报库及黑样本特征情报库具体为:根据各特征情报库中特征的数量级,选择输出方式:如果数量级高于预设值,则采用BloomFilter以万分之一的容错率压缩库,生成二进制BloomFilter形式高覆盖率特征情报库出库;如果数量级小于预设值,则以HASH及病毒名的形式生成特征情报库出库。
7.一种网络安全威胁情报处理***,其特征在于,包括:
特征获取模块,用于获取已知恶意代码样本的全部动静态特征;所述动静态特征通过样本分析服务提供商及在线沙箱获取;
白样本特征情报库建立模块,用于获取已知白样本的动静态特征,建立白样本特征情报库;
特征过滤模块,用于通过白样本特征情报库对恶意代码样本的全部动静态特征进行过滤,判断恶意代码样本的全部动静态特征是否存在于白样本特征情报库中,如果是则去除所述恶意代码样本的动静态特征;否则保留;
黑样本特征情报库建立模块,用于将过滤后保留得到的恶意代码样本的动静态特征形成黑样本特征情报库;
特征补充模块,用于根据预设时间,周期性的执行上述步骤,补充白样本特征情报库及黑样本特征情报库;
验证模块,用于定期输出白样本特征情报库及黑样本特征情报库,进行准确率及有效性验证,并将检出的误报特征进行更新。
8.如权利要求7所述的***,其特征在于,所述获取已知恶意代码样本的全部动静态特征具体为:通过已知恶意代码样本的MD5列表或指定关键字搜索、爬取样本的特征报告,提取动静态特征。
9.如权利要求7所述的***,其特征在于,所述获取已知白样本的动静态特征具体为:通过网站爬取、样本投放分析、常见操作***的***程序和常用软件,提取动静态特征。
10.如权利要求7所述的***,其特征在于,还包括:日志记录模块,用于在建立白样本特征情报库及黑样本特征情报库过程中生成日志记录,所述日志记录包含样本MD5、当前步骤、时间戳及特征。
11.如权利要求10所述的***,其特征在于,若在建立白样本特征情报库及黑样本特征情报库过程中出现阻塞或终止,则根据日志记录的时间戳从出现阻塞或终止的步骤重新开始。
12.如权利要求7或10所述的***,其特征在于,所述定期输出白样本特征情报库及黑样本特征情报库具体为:根据各特征情报库中特征的数量级,选择输出方式:如果数量级高于预设值,则采用BloomFilter以万分之一的容错率压缩库,生成二进制BloomFilter形式高覆盖率特征情报库出库;如果数量级小于预设值,则以HASH及病毒名的形式生成特征情报库出库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510725335.4A CN105743877A (zh) | 2015-11-02 | 2015-11-02 | 一种网络安全威胁情报处理方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510725335.4A CN105743877A (zh) | 2015-11-02 | 2015-11-02 | 一种网络安全威胁情报处理方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105743877A true CN105743877A (zh) | 2016-07-06 |
Family
ID=56296006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510725335.4A Pending CN105743877A (zh) | 2015-11-02 | 2015-11-02 | 一种网络安全威胁情报处理方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105743877A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548069A (zh) * | 2016-07-18 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于排序算法的特征提取***及方法 |
| WO2018095099A1 (zh) * | 2016-11-24 | 2018-05-31 | 北京奇虎科技有限公司 | 一种可疑样本的处理方法和装置 |
| CN109688091A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
| CN109981627A (zh) * | 2019-03-18 | 2019-07-05 | 武汉思普崚技术有限公司 | 网络威胁情报信息的更新方法及*** |
| CN110213094A (zh) * | 2019-05-29 | 2019-09-06 | 哈尔滨安天科技集团股份有限公司 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
| CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN113762294A (zh) * | 2020-06-03 | 2021-12-07 | 深信服科技股份有限公司 | 一种特征向量维度压缩方法、装置、设备、介质 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114978616A (zh) * | 2022-05-06 | 2022-08-30 | 支付宝(杭州)信息技术有限公司 | 风险评估***的构建方法及装置、风险评估方法及装置 |
| CN115225413A (zh) * | 2022-09-20 | 2022-10-21 | 北京微步在线科技有限公司 | 一种失陷指标的提取方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090049549A1 (en) * | 2007-07-10 | 2009-02-19 | Taejoon Park | Apparatus and method for detection of malicious program using program behavior |
| CN103761476A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| CN103971052A (zh) * | 2013-01-28 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 磁盘引导区病毒识别方法及装置 |
| CN104966020A (zh) * | 2014-07-24 | 2015-10-07 | 哈尔滨安天科技股份有限公司 | 基于特征向量的反病毒云检测方法及*** |
-
2015
- 2015-11-02 CN CN201510725335.4A patent/CN105743877A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090049549A1 (en) * | 2007-07-10 | 2009-02-19 | Taejoon Park | Apparatus and method for detection of malicious program using program behavior |
| CN103971052A (zh) * | 2013-01-28 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 磁盘引导区病毒识别方法及装置 |
| CN103761476A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| CN104966020A (zh) * | 2014-07-24 | 2015-10-07 | 哈尔滨安天科技股份有限公司 | 基于特征向量的反病毒云检测方法及*** |
Non-Patent Citations (1)
| Title |
|---|
| 赵恒立: "恶意代码检测与分类技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548069A (zh) * | 2016-07-18 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于排序算法的特征提取***及方法 |
| CN106548069B (zh) * | 2016-07-18 | 2020-04-24 | 北京安天网络安全技术有限公司 | 一种基于排序算法的特征提取***及方法 |
| WO2018095099A1 (zh) * | 2016-11-24 | 2018-05-31 | 北京奇虎科技有限公司 | 一种可疑样本的处理方法和装置 |
| CN109688091A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
| CN109688091B (zh) * | 2018-04-25 | 2021-10-08 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
| CN109981627B (zh) * | 2019-03-18 | 2021-02-26 | 武汉思普崚技术有限公司 | 网络威胁情报信息的更新方法及*** |
| CN109981627A (zh) * | 2019-03-18 | 2019-07-05 | 武汉思普崚技术有限公司 | 网络威胁情报信息的更新方法及*** |
| CN110213094A (zh) * | 2019-05-29 | 2019-09-06 | 哈尔滨安天科技集团股份有限公司 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
| CN110213094B (zh) * | 2019-05-29 | 2021-11-16 | 安天科技集团股份有限公司 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
| CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN110460594B (zh) * | 2019-07-31 | 2022-02-25 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN113762294A (zh) * | 2020-06-03 | 2021-12-07 | 深信服科技股份有限公司 | 一种特征向量维度压缩方法、装置、设备、介质 |
| CN113762294B (zh) * | 2020-06-03 | 2024-04-12 | 深信服科技股份有限公司 | 一种特征向量维度压缩方法、装置、设备、介质 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114006778B (zh) * | 2022-01-05 | 2022-03-25 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114978616A (zh) * | 2022-05-06 | 2022-08-30 | 支付宝(杭州)信息技术有限公司 | 风险评估***的构建方法及装置、风险评估方法及装置 |
| CN114978616B (zh) * | 2022-05-06 | 2024-01-09 | 支付宝(杭州)信息技术有限公司 | 风险评估***的构建方法及装置、风险评估方法及装置 |
| CN115225413A (zh) * | 2022-09-20 | 2022-10-21 | 北京微步在线科技有限公司 | 一种失陷指标的提取方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105743877A (zh) | 一种网络安全威胁情报处理方法及*** | |
| Sapienza et al. | Early warnings of cyber threats in online discussions | |
| US10148685B2 (en) | Event correlation across heterogeneous operations | |
| US10102372B2 (en) | Behavior profiling for malware detection | |
| US9742788B2 (en) | Event correlation across heterogeneous operations | |
| US11252181B2 (en) | Threat intelligence system and method | |
| CN107241296B (zh) | 一种Webshell的检测方法及装置 | |
| CN108063759B (zh) | Web漏洞扫描方法 | |
| Kaur et al. | Automatic attack signature generation systems: A review | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
| Shi et al. | DeepWindow: An efficient method for online network traffic anomaly detection | |
| Balduzzi et al. | Targeted attacks detection with spunge | |
| Han et al. | WHAP: Web-hacking profiling using case-based reasoning | |
| WO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| CA2961695A1 (en) | Correlation-based detection of exploit activity | |
| Hyun et al. | Security operation implementation through big data analysis by using open source ELK stack | |
| KR20140077405A (ko) | 사이버 공격 탐지 장치 및 방법 | |
| Kumar et al. | Detection of malware using deep learning techniques | |
| US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
| CN115174154A (zh) | 高级威胁事件的处理方法、装置、终端设备和存储介质 | |
| Pournouri et al. | Cyber attacks analysis using decision tree technique for improving cyber situational awareness | |
| Tongkachok et al. | The Empirical Analysis of Machine Learning Approaches for Enhancing the Cyber security for better Quality | |
| Wu et al. | Meta-analysis of network information security and Web data mining techniques | |
| US20230135755A1 (en) | Layer 7 network attack detection using machine learning feature contribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Applicant after: Harbin antiy Technology Group Limited by Share Ltd Address before: 506 room 162, Hongqi Avenue, Nangang District, Harbin Development Zone, Heilongjiang, 150090 Applicant before: Harbin Antiy Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160706 |