CN106534212A - 基于用户行为和数据状态的自适应安全防护方法及*** - Google Patents
基于用户行为和数据状态的自适应安全防护方法及*** Download PDFInfo
- Publication number
- CN106534212A CN106534212A CN201611249727.9A CN201611249727A CN106534212A CN 106534212 A CN106534212 A CN 106534212A CN 201611249727 A CN201611249727 A CN 201611249727A CN 106534212 A CN106534212 A CN 106534212A
- Authority
- CN
- China
- Prior art keywords
- behavior
- self adaptation
- normal behaviour
- data
- user behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 176
- 230000003044 adaptive effect Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 title claims abstract description 14
- 230000006978 adaptation Effects 0.000 claims description 61
- 238000001514 detection method Methods 0.000 claims description 33
- 230000005856 abnormality Effects 0.000 claims description 13
- 230000015572 biosynthetic process Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000012550 audit Methods 0.000 claims description 3
- 238000011524 similarity measure Methods 0.000 claims description 3
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 238000012360 testing method Methods 0.000 claims description 2
- 206010022000 influenza Diseases 0.000 claims 1
- 230000006870 function Effects 0.000 abstract description 8
- 238000012544 monitoring process Methods 0.000 abstract description 2
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000002547 anomalous effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035807 sensation Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于用户行为和数据状态的自适应安全防护方法及***,结合用户行为和数据状态两个方面实现对数据的安全防护,该***能够通过动态学习的方法实现对用户行为的预测、防御、监控和回溯功能,并且形成自适应安全防护方案。防护***包括与安全服务器连接的多个安全网络传感器,安全网络传感器设置于web服务器和数据库服务器相结合的网段,该网段上设有网络设备,网络设备与安全服务器经防火墙相连,防火墙连接客户端。本发明结合了用户行为和数据状态两个方面,更加全面的保护了企业数据资产的安全。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于用户行为和数据状态的自适应安全防护方法及***,结合了用户行为和数据状态两个方面的安全防护。
背景技术
随着信息技术的快速发展,大量的数据不断地转移至网络环境,组织日益依赖于信息技术来支撑业务运行。数据逐渐形成为组织的重要信息资产,同时也成为一些非法人员恶意攻击或窃取的重点对象。一旦组织的重要数据外泄,可能会对该组织造成重大甚至无法弥补的经济损失与名誉损失。因此,如何保障组织数据的安全性是当前亟待解决的重要问题。
传统的数据保护方式主要包括访问限制、加密、身份认证等,存在通过人工方法找出可疑行为,以及无法实现实时在线检测入侵行为等缺点,并且均是以预防为主的安全机制。
目前,很多研究致力于入侵检测***,从用户行为角度出发,通过捕捉并分析用户行为紧密相关的数据变化判断该用户行为是否异常。但是,该***缺乏对数据状态的考虑,不能更全面的保护组织数据。另外,一些安全***对策略配置定义、更新、维护等需要手动完成,浪费了大量的时间,缺乏对应用场景改变的自适应性。
发明内容
本发明的目的在于针对上述现有技术中的问题,提供一种基于用户行为和数据状态的自适应安全防护方法及***,结合异常检测和误用检测提高用户行为检测的准确性。
为了实现上述目的,本发明基于用户行为和数据状态的自适应安全防护方法包括:
a.通过网络传感器接收正常状态下的用户行为事件;
b.将每个用户行为事件分为不同的识别单元和属性单元;
c.通过对识别单元和属性单元进行分类和收集,根据相似度计算,形成自适应正常行为轮廓的配置项,得到自适应正常行为轮廓;其中用户行为包括用户对数据/文件的访问时间、次数、对数据的读、写、修改、删除操作等,数据状态包括数据/文件类型、大小、敏感性、创建时间、修改时间、更新时间、删除时间等;通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律以及趋势,并且用该模型推测数据未来的特征;
d.提取用户行为模型;
d-1)将实时的用户行为与误用规则库进行对比和匹配,进行误用检测;
所述的误用规则库为根据对已知用户异常行为的特征进行分析,形成相应的规则,汇总形成的数据库,且误用规则库能够自动更新;
d-2)将实时的用户行为与自适应正常行为轮廓进行对比和匹配,进行异常检测;
自适应正常行为轮廓自动根据事先设定好的策略进行相应的响应,实现对数据的保护;
e.将自适应正常行为轮廓分布到网络传感器中,与保护设备连接。
每个自适应正常行为轮廓的配置项包含多个描述支持各自性能的描述值;自适应正常行为轮廓使用前进行稳定性判断,稳定性判断通过计算自适应正常行为轮廓框架形成时间是否超过预定阀值的百分比,如是,则判定该配置项或属性是稳定的,在自适应正常行为轮廓的稳定性判断中,配置项和属性中有一个是稳定的,则认为自适应正常行为轮廓框架为稳定的。
所述的步骤d中将实时的用户行为首先与误用规则库进行对比和匹配,如果匹配,则认为该行为确实为异常行为,然后自适应正常行为轮廓根据事先设定好的策略进行相应响应;如果不匹配,则认为该行为为可疑行为,需要进行异常检测,即与自适应正常行为轮廓进行对比和匹配,如果偏差超过设定阀值,则认为有异常行为;如果检测结果确认为正常行为,则将该规则加入到自适应正常行为轮廓中,对自适应正常行为轮廓进行更新,当检测的结果确定为异常行为时,则将该规则加入到误用规则库中,对误用规则库进行更新。
所述的步骤d中误用检测对每次检测到的行为都进行告警提示,并且***进行相应的响应,对于未检测到的行为,则进行异常检测,需要再次进行检测以确定是否为异常行为。
对于确定的异常行为,***会对该行为制订审计日志,实现对该行为的实时监控与回溯。
所述的保护设备为web服务器或数据库服务器,网络传感器为http传感器和sql传感器;http传感器收集客户端发送到web服务器的http请求,sql传感器收集访问数据库服务器的sql请求;所述http请求及sql请求分别被http传感器和sql传感器处理后发送事件至安全服务器。
本发明基于用户行为和数据状态的自适应安全防护***包括与安全服务器连接的多个安全网络传感器,所述的安全网络传感器设置于web服务器和数据库服务器相结合的网段,该网段上设有网络设备,所述的网络设备与安全服务器经防火墙相连,防火墙连接客户端。
所述的安全服务器和个安全网络传感器之间通过以太网或带外网络连接。
与现有技术相比,本发明基于用户行为和数据状态的自适应安全防护方法从用户行为和数据状态两个方面进行安全防护,更加全面的保护了企业数据资产的安全。本发明自适应正常行为轮廓能够实现对用户行为的预测、防御、监控和回溯功能,并且对异常的用户行为自动生成防护方案。本发明结合了异常检测和误用检测对用户行为进行检测,综合了两种检测方法的优点,提高了异常行为检测的准确性,设置多种异常行为的场景及对应的安全防护方案,通过动态学习的过程,实现自动完成策略配置定义、更新、维护,具有自适应性。
与现有技术相比,本发明基于用户行为和数据状态的自适应安全防护***结合了用户行为和数据状态两个方面建立自适应正常行为轮廓,实现对数据的全面保护,自适应性主要是指能够通过动态学习的方法实现对未来数据行为的预测,当用户实时行为与预测不一致时,则认定为可疑行为,并将此事件进行记录,并且自动产生新的预防手段以避免未来相似事件的发生,具有主动防御的功能。此外,本发明的网络传感器没有安装到客户端与web服务器或者与数据库服务器之间,因此网络传感器不影响客户端和web服务器之间通信的及时性。
附图说明
图1本发明自适应安全防护方法的流程图;
图2本发明自适应安全防护***的结构示意图;
图3本发明网络传感器的信号传递示意图;
附图中:100.自适应安全防护***;110.安全服务器;120.带外网络;130.网络传感器;140.防火墙;150.网络设备;160.web服务器;170.数据库服务器;180.客户端;230.http传感器;240.sql传感器。
具体实施方式
下面结合附图对本发明做进一步的详细说明。
参见图1,本发明基于用户行为和数据状态的自适应安全防护方法包括以下步骤:
a.获取用户行为事件:主要是指通过网络传感器130接收正常状态下用户行为事件;
b.处理用户行为事件:主要是指将接收的事件进行词汇分析和语法分析,即将每个事件分为不同的识别单元和属性单元;
c.自适应正常行为轮廓的形成,通过对识别单元和属性单元进行分类和收集,根据相似度计算,对属性单元进行分类,形成自适应正常行为轮廓的配置项。该轮廓包含多个配置项(item),每个配置项包含多个的描述性能支持各自的描述值(property)。在此需要说明的是,***需要对该自适应框架轮廓进行稳定性判断,只有稳定的自适应框架轮廓才能符合用户正常的行为模式,而稳定性判断主要是通过计算自适应框架的形成时间是否超过预定阀值得百分比,假如是,则认为该配置项或者属性是稳定的。在自适应正常行为轮廓的稳定性判断中,配置项和属性中有一个是稳定的,则认为自适应框架轮廓为稳定的,并且该轮廓具有用户行为的预测功能,主要通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律及趋势,并且用该模型推测数据未来的特征,实现对用户行为的预测功能。
自适应正常行为轮廓的建立考虑了用户行为和数据状态两个方面,其中用户行为包括用户对数据/文件的访问时间、次数、对数据的读、写、修改、删除操作等,数据状态包括数据/文件类型、大小、敏感性、创建时间、修改时间、更新时间、删除时间等。通过用户行为的历史数据和当前数据,建立用户正常行为模型,分析预测未来数据的变化规律及趋势。
本发明自适应正常行为轮廓能够自动根据事先设定好的策略进行相应的响应,实现异常用户行为的防御,从而保护重要数据的安全性。
d.提取用户实时的行为模型;
d-1)将用户实时行为与误用规则库进行对比和匹配,对用户行为进行误用检测;
误用规则库根据对已知的用户异常行为特征进行分析,形成相应的规则,汇总成一个库,并且该***误用规则库能够自动更新。
d-2)将用户的实时行为与自适应正常行为轮廓进行对比和匹配,即将用户实时行为与正常用户模型或者其预测行为进行对比,对用户行为进行异常检测;
误用判断:主要是根据用户行为与误用规则库进行对比与匹配,如果匹配,则说明该行为为异常行为。异常判断:与误用规则库不匹配的用户行为,进行异常检测,即将该行为与自适应框架轮廓进行对比,如果两者的偏差超过设定的阈值,则认为有异常行为。
在此需要说明的是,在异常/误用判断时,因为用户正常行为模式不是一成不变的,用户的操作/访问规律可能发生变化,因此自适应正常行为轮廓需要适时的进行更新,如果检测到的结果确认为正常行为,则将该规则加入到自适应正常行为轮廓中,对自适应正常行为轮廓进行更新与维护;然而,当检测的结果确定为异常行为,则将规则加入到误用规则库中,以此实现对误用规则库的更新,此为该***的动态学习过程。
当检测到的结果确定为异常行为,则自适应正常行为轮廓自动根据管理员事先设定好的策略进行相应的响应,实现对数据的保护。在此模块中,需要说明的是,误用检测因为准确性高,因此在策略设定时对其每次检测到的行为都进行告警提示,并且***进行相应的响应,对于未检测到的行为,则进行异常检测,需要再次进行检测以确定是否为异常行为。对于确定为异常的行为,***会对该制订审计日志,实现对该行为的实时监控与回溯功能。
e.将自适应正常行为轮廓分布到网络传感器中,与保护设备连接,保护设备可以是web服务器160或数据库服务器170,网络传感器130可以是http传感器230或sql传感器240。
参见图2,本发明自适应安全防护***100由多个安全网络传感器130-1、130-2…130-m与安全服务器110连接组成,安全网络传感器130-1、130-2…130-m与服务器110之间可以通过以太网进行连接,也可以通过带外网络120(out-of-band network,OOB)连接。带外网络120是指使用独立通道进行数据传输,它允许***管理员远程监控和管理服务器和其他网络设备,无论这些设备是否处于开机状态。传统网络是指通过常规数据通道(常见以太网)进行数据传输,其管理方式通过网络来实施,当网络出现故障时,无论数据传输还是管理控制都无法正常进行。带外网络120通过部署与数据通道物理隔离的管理通道来解决限制。
网络传感器130放置于web服务器160-1…160-n和数据库服务器170-1…170-r相结合的网段。网络传感器130是一个嗅觉装置,能够监控、收集和重现来自于客户端180发送到web服务器160、数据库服务器170的请求。网络设备150可以是集线器、交换机、分接头等。网络传感器130监控web服务器160和数据库服务器170接收和发送的所有信息。网络传感器130没有安装到客户端180与web服务器160或者与数据库服务器170之间,因此网络传感器130不影响客户端180和web服务器160之间通信的及时性。
自适应安全防护***100以两种不同方式运行:学习模式和保护模式。在学习模式下,自适应安全防护***100监控和学习用户的正常行为,并且为每个保护实体构建一个自适应正常行为轮廓。在保护模式下,自适应安全防护***100将实时操作与误用规则库以及自适应正常行为轮廓进行对比、匹配。与误用规则库匹配的,或者以自适应正常行为轮廓对比有差异的被定义为异常事件。本发明提出的自适应安全防护***具有动态学习功能,能够根据场景改变自动完成策略配置定义、更新、维护,形成自适应安全防护方案。
用户行为事件可以通过分析网络协议属性进行收集,也可以通过查询web服务器160或数据库服务器170的近期事件的相关信息进行收集。网络传感器130能够重现多个网络协议的事件,例如Oracle Net8TM,Microsoft SQL ServerTM TDS,Sy base TDS,HTTP,encrypted HTTP(HTTPS)等。另外,网络传感器130也具有查询Oracle,SQL等数据库的相关信息进行收集事件的功能。每一个网络传感器130-1…130-m的操作都是独立的。因此,为保护额外的web数据库,企业仅需增加额外网络传感器130进行监控新的保护实体即可。
参见图3,本发明的网络传感器包括一个http传感器230和一个sql传感器240,http传感器230具有收集和重现http事件的能力,收集第一客户端180-1发送到web服务器160的http请求e1。Sql传感器240收集访问数据库服务器170的sql请求e2。请求e1和e2被http传感器230和sql传感器240分别处理,然后发送事件E1和E2到安全服务器110。然后,安全服务器110对事件进行分析处理,对每一个保护实体形成一个自适应正常行为轮廓。例如,为web服务器160和数据库服务器170分别形成对应的自适应正常行为轮廓。
本发明自适应安全***使用动态学习过程生成自适应正常行为轮廓。该轮廓通过稳定性判断之后,将稳定的自适应正常行为轮廓通过同步传输通道被分散到安全服务器110与网络传感器130之间。网络传感器130同样使用此通道来进行自适应正常行为轮廓的升级与更新。
在此例子中,安全服务器110形成两个自适应正常行为轮廓,第一个自适应正常行为轮廓表示web服务器160,并被加载到http传感器230,然而第二个自适应正常行为轮廓表示数据库服务器170,并被加载到sql传感器240。一旦这些自适应正常行为轮廓被加载到http传感器230和sql传感器240,安全***110就会通过自适应正常行为轮廓的保护模式来保护web服务器160和数据库服务器170。在保护模式下,安全服务器110通过分析与误用规则库不匹配的实时事件与自适应正常行为轮廓的差异,并且结合预先定义的安全策略检测入侵攻击。例如,第二客户端180-2向web服务器160发送的http请求e3被http传感器230捕获并进行分类,请求e3与自适应正常行为轮廓对比,假如e3与正常行为轮廓有差异,那么http传感器130就会将其分类为异常事件,并且发送异常事件IE3向安全服务器110,安全服务器110将对IE3进行进一步处理确定其是否有入侵发生,假如确定为攻击事件,则将该事件更新到误用规则库中。另一方面,假如请求IE3与自适应正常行为轮廓相匹配,那么http传感器230将会忽略该事件,或者将该事件发送到安全服务器110用于对自适应正常行为轮廓进行修改或更新。同样,由web服务器160形成sql请求e4,被sql传感器240捕获,假如果e4请求与自适应正常行为轮廓有偏差,事件被认为异常事件IE4,并且传送到安全服务器110进一步分析,反之,sql传感器240将会忽略该事件,或者将该事件发送到安全服务器110用于对自适应正常行为轮廓进行修改或更新。需要注意的是,假如请求e3和e4与误用规则库相匹配,那么***会对该请求自动进行告警,并进行相应的响应。
本发明***结合了用户行为和数据状态两个方面的安全防护,更全面地保障了组织数据的安全。主要是通过动态学习的方法形成自适应正常行为轮廓,将实时行为与自适应正常行为轮廓进行匹配,结合了异常检测和误用检测两种方式对用户行为和数据状态进行检测,提高了检测的准确性和效率。此外,该***能够根据应用场景的改变自动完成策略配置定义、更新、维护等,形成自适应安全防护方案。本发明基于用户行为的自适应安全防护***结合异常检测和误用检测提高用户行为检测的准确性,主要具有动态学习用户行为和自适应安全防护两个功能。其中,动态学习是指该***能够根据用户行为的改变动态地学习与更新;自适应安全是指该***可以通过动态学习方法预测未来数据的行为,自动生成防护方案。
Claims (8)
1.一种基于用户行为和数据状态的自适应安全防护方法,其特征在于,包括以下步骤:
a.通过网络传感器接收正常状态下的用户行为事件;
b.将每个用户行为事件分为不同的识别单元和属性单元;
c.通过对属性单元进行分类和收集,根据相似度计算,形成自适应正常行为轮廓的配置项,得到自适应正常行为轮廓;通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律以及趋势,并且用该模型推测数据未来的特征;
d.提取用户行为模型;
d-1)将实时的用户行为与误用规则库进行对比和匹配,进行误用检测;
所述的误用规则库为根据对已知用户异常行为的特征进行分析,形成相应的规则,汇总形成的数据库,且误用规则库能够自动更新;
d-2)将实时的用户行为与自适应正常行为轮廓进行对比和匹配,进行异常检测;
自适应正常行为轮廓自动根据事先设定好的策略进行相应的响应,实现对数据的保护;
e.将自适应正常行为轮廓分布到网络传感器中,与保护设备连接。
2.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:每个自适应正常行为轮廓的配置项包含多个描述支持各自性能的描述值;自适应正常行为轮廓使用前进行稳定性判断,稳定性判断通过计算自适应正常行为轮廓框架的形成时间是否超过预定阀值的百分比,如是,则判定该配置项或属性是稳定的,在自适应正常行为轮廓的稳定性判断中,配置项和属性中有一个是稳定的,则认为自适应正常行为轮廓框架为稳定的。
3.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:所述的步骤d中将实时的用户行为首先与误用规则库进行对比和匹配,如果匹配,则认为该行为确实为异常行为,然后自适应正常行为轮廓根据事先设定好的策略进行相应响应;如果不匹配,则认为该行为为可疑行为,需要进行异常检测,即与自适应正常行为轮廓进行对比和匹配,如果偏差超过设定阀值,则认为有异常行为;如果检测结果确认为正常行为,则将该规则加入到自适应正常行为轮廓中,对自适应正常行为轮廓进行更新,当检测的结果确定为异常行为时,则将该规则加入到误用规则库中,对误用规则库进行更新。
4.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:所述的步骤d中误用检测对每次检测到的行为都进行告警提示,并且***进行相应的响应,对于未检测到的行为,则进行异常检测,需要再次进行检测以确定是否为异常行为。
5.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:对于确定的异常行为,***会对该行为制订审计日志,实现对该行为的实时监控与回溯功能。
6.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:所述的保护设备为web服务器(160)或数据库服务器(170),网络传感器为http传感器(230)和sql传感器(240);http传感器(230)收集客户端(180)发送到web服务器(160)的http请求,sql传感器(240)收集访问数据库服务器(170)的sql请求;所述的http请求及sql请求分别被http传感器(230)和sql传感器(240)处理后发送事件至安全服务器(110)。
7.一种应用于权利要求1-5中任意一项权利要求所述基于用户行为和数据状态的自适应安全防护方法的防护***,其特征在于:包括与安全服务器(110)连接的多个安全网络传感器(130),所述的安全网络传感器(130)设置于web服务器(160)和数据库服务器(170)相结合的网段,该网段上设有网络设备(150),所述的网络设备(150)与安全服务器(110)经防火墙(140)相连,防火墙(140)连接客户端(180)。
8.根据权利要求7所述的防护***,其特征在于:所述的安全服务器(110)和个安全网络传感器(130)之间通过以太网或带外网络(120)连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611249727.9A CN106534212A (zh) | 2016-12-29 | 2016-12-29 | 基于用户行为和数据状态的自适应安全防护方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611249727.9A CN106534212A (zh) | 2016-12-29 | 2016-12-29 | 基于用户行为和数据状态的自适应安全防护方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106534212A true CN106534212A (zh) | 2017-03-22 |
Family
ID=58338504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611249727.9A Pending CN106534212A (zh) | 2016-12-29 | 2016-12-29 | 基于用户行为和数据状态的自适应安全防护方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106534212A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106998334A (zh) * | 2017-05-25 | 2017-08-01 | 北京计算机技术及应用研究所 | 一种计算机用户行为异常检测方法 |
CN107302520A (zh) * | 2017-05-15 | 2017-10-27 | 北京明朝万达科技股份有限公司 | 一种数据动态防泄漏与预警方法及*** |
CN107609004A (zh) * | 2017-07-21 | 2018-01-19 | 深圳市小牛在线互联网信息咨询有限公司 | 应用程序埋点方法和装置、计算机设备和存储介质 |
CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
CN109495508A (zh) * | 2018-12-26 | 2019-03-19 | 成都科来软件有限公司 | 基于服务访问数据的防火墙配置方法 |
CN109992961A (zh) * | 2019-03-07 | 2019-07-09 | 北京华安普特网络科技有限公司 | 用于数据库***防黑客入侵的检测***和方法 |
WO2020173136A1 (zh) * | 2019-02-27 | 2020-09-03 | 平安科技(深圳)有限公司 | 应用***的监控方法、装置、设备及存储介质 |
CN111865959A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及装置 |
CN113162912A (zh) * | 2021-03-12 | 2021-07-23 | 中航智能建设(深圳)有限公司 | 基于大数据的网络安全保护方法、***及存储设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050120054A1 (en) * | 2003-12-02 | 2005-06-02 | Imperva, Inc | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications |
CN101588358A (zh) * | 2009-07-02 | 2009-11-25 | 西安电子科技大学 | 基于危险理论和nsa的主机入侵检测***及检测方法 |
CN105681339A (zh) * | 2016-03-07 | 2016-06-15 | 重庆邮电大学 | 一种融合粗糙集与ds证据理论的增量式入侵检测方法 |
-
2016
- 2016-12-29 CN CN201611249727.9A patent/CN106534212A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050120054A1 (en) * | 2003-12-02 | 2005-06-02 | Imperva, Inc | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications |
CN101588358A (zh) * | 2009-07-02 | 2009-11-25 | 西安电子科技大学 | 基于危险理论和nsa的主机入侵检测***及检测方法 |
CN105681339A (zh) * | 2016-03-07 | 2016-06-15 | 重庆邮电大学 | 一种融合粗糙集与ds证据理论的增量式入侵检测方法 |
Non-Patent Citations (4)
Title |
---|
刘明等: "一种基于Snort规则和神经网络的混合入侵检测模型", 《广西大学学报(自然科学版)》 * |
周正国等: "基于数据挖掘技术的校园网络入侵检测***应用", 《重庆科技学院学报(自然科学版)》 * |
尹才荣等: "基于混合入侵检测技术的网络入侵检测方法", 《合肥工业大学学报(自然科学版)》 * |
张波: "一种分布式动态防御***在图书馆网络安全中的应用", 《河北科技图苑》 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107302520A (zh) * | 2017-05-15 | 2017-10-27 | 北京明朝万达科技股份有限公司 | 一种数据动态防泄漏与预警方法及*** |
CN106998334A (zh) * | 2017-05-25 | 2017-08-01 | 北京计算机技术及应用研究所 | 一种计算机用户行为异常检测方法 |
CN106998334B (zh) * | 2017-05-25 | 2021-04-06 | 北京计算机技术及应用研究所 | 一种计算机用户行为异常检测方法 |
CN107609004B (zh) * | 2017-07-21 | 2020-08-18 | 深圳市小牛在线互联网信息咨询有限公司 | 应用程序埋点方法和装置、计算机设备和存储介质 |
CN107609004A (zh) * | 2017-07-21 | 2018-01-19 | 深圳市小牛在线互联网信息咨询有限公司 | 应用程序埋点方法和装置、计算机设备和存储介质 |
CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
CN108881194B (zh) * | 2018-06-07 | 2020-12-11 | 中国人民解放军战略支援部队信息工程大学 | 企业内部用户异常行为检测方法和装置 |
CN109495508A (zh) * | 2018-12-26 | 2019-03-19 | 成都科来软件有限公司 | 基于服务访问数据的防火墙配置方法 |
CN109495508B (zh) * | 2018-12-26 | 2021-07-13 | 成都科来网络技术有限公司 | 基于服务访问数据的防火墙配置方法 |
WO2020173136A1 (zh) * | 2019-02-27 | 2020-09-03 | 平安科技(深圳)有限公司 | 应用***的监控方法、装置、设备及存储介质 |
CN109992961A (zh) * | 2019-03-07 | 2019-07-09 | 北京华安普特网络科技有限公司 | 用于数据库***防黑客入侵的检测***和方法 |
CN111865959A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及装置 |
CN113162912A (zh) * | 2021-03-12 | 2021-07-23 | 中航智能建设(深圳)有限公司 | 基于大数据的网络安全保护方法、***及存储设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106534212A (zh) | 基于用户行为和数据状态的自适应安全防护方法及*** | |
Garg et al. | Statistical vertical reduction‐based data abridging technique for big network traffic dataset | |
Sabahi et al. | Intrusion detection: A survey | |
US9369484B1 (en) | Dynamic security hardening of security critical functions | |
CN104899513B (zh) | 一种工业控制***恶意数据攻击的数据图检测方法 | |
CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及*** | |
KR102108960B1 (ko) | 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법 | |
CN102546638A (zh) | 一种基于场景的混合入侵检测方法及*** | |
CN107483414A (zh) | 一种基于云计算虚拟化环境的安全防护***及其防护方法 | |
CN109040130A (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
KR101750760B1 (ko) | 스마트 홈 서비스의 비정상 행위 탐지 시스템 및 그 방법 | |
CN206332695U (zh) | 一种基于用户行为和数据状态的自适应安全防护*** | |
JP2021027505A (ja) | 監視装置、監視方法、および監視プログラム | |
WO2019220363A1 (en) | Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques | |
Choksi et al. | Intrusion detection system using self organizing map: a survey | |
Kumar et al. | Detection and prevention of profile cloning in online social networks | |
KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
CN112272176A (zh) | 一种基于大数据平台的网络安全防护方法及*** | |
Kumar et al. | Design and implementation of IDS using Snort, Entropy and alert ranking system | |
CN116032501A (zh) | 网络异常行为检测方法、装置、电子设备及存储介质 | |
Kadam et al. | Various approaches for intrusion detection system: an overview | |
Di | Design of the Network Security Intrusion Detection System Based on the Cloud Computing | |
Zhang et al. | Network security situation awareness technology based on multi-source heterogeneous data | |
Yazdani et al. | Intelligent Detection of Intrusion into Databases Using Extended Classifier System. | |
CN111917801A (zh) | 私有云环境下基于Petri网的用户行为认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |
|
RJ01 | Rejection of invention patent application after publication |