CN109688105A - 一种威胁报警信息生成方法及*** - Google Patents
一种威胁报警信息生成方法及*** Download PDFInfo
- Publication number
- CN109688105A CN109688105A CN201811377198.XA CN201811377198A CN109688105A CN 109688105 A CN109688105 A CN 109688105A CN 201811377198 A CN201811377198 A CN 201811377198A CN 109688105 A CN109688105 A CN 109688105A
- Authority
- CN
- China
- Prior art keywords
- threat
- information
- network
- abnormal behaviour
- warning message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例提供一种威胁报警信息生成方法及***。其中,方法包括:根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,目标信息为原始采集信息或异常行为信息;若判定目标信息可表征网络受到威胁,则根据威胁特征库、网络上下文信息和目标信息中的任意一种或多种,生成威胁报警信息,其中,威胁报警信息基于统一描述格式进行归一化描述。本发明实施例提供一种威胁报警信息生成方法及***,通过将多***、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析,识别出威胁事件,并转换为统一的威胁报警格式,使得对网络安全进行有效监测,为数据采集、网络安全监测和威胁处置提供有效的支撑。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种威胁报警信息生成方法及***。
背景技术
随着通信技术、网络技术和信息技术的持续快速发展和应用的广泛普及,形成了包含天地一体化网络、物联网、专用网络和各类服务***(如:电子凭据服务***、电子商务***、电子政务***)所在网络等的大规模异构互联网络。大规模异构互联网络中承载了大量在业务、用户等方面具有关联性的***,各***均会产生海量的原始日志信息和异常行为信息,需要进行汇聚、关联和统计分析,以识别出多维度的威胁事件,转化为统一的威胁报警描述格式,为数据采集、网络安全监测和威胁处置提供支撑。现有技术大多针对单一***,在单一维度进行关联分析,缺少多***、多用户、多时间、多地域的整体分析,以及威胁报警信息的统一描述。
发明内容
针对现有技术中存在的技术问题,本发明实施例提供一种威胁报警信息生成方法及***。
第一方面,本发明实施例提供一种威胁报警信息生成方法,包括:
根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;
若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
第二方面,本发明实施例提供一种威胁报警信息生成***,包括:
判定模块,用于根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;
威胁报警信息生成模块,用于若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
本发明实施例提供的一种威胁报警信息生成方法及***,通过将多***、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析,识别出威胁事件,并转换为统一的威胁报警格式,使得对网络安全进行有效监测,为数据采集、网络安全监测和威胁处置提供有效的支撑。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种威胁报警信息生成方法流程图;
图2为本发明实施例提供的异常行为信息多维关联示意图;
图3为本发明实施例提供的统一描述格式示意图;
图4为本发明一实施例提供的一种威胁报警信息生成***的结构示意图;
图5为本发明另一实施例提供的一种威胁报警信息生成***的结构示意图;
图6为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地理解本发明实施例,在此,将本发明实施例应用于目标网络,并对该目标网络及其中的***和设备进行说明。
所述目标网络包括服务***所在的网络、天地一体化网络、物联网和专用网络中的任意一种或多种;
所述的服务***包括但不限于:电子凭据服务***、身份认证服务***、密码服务***、社交网络服务***、电商服务***、电子政务服务***。
所述目标网络中的***和设备包括但不限于:电子凭据核准服务管理***、电子凭据状态管理与控制***、统一认证服务管理***、电子凭据查验服务***、多业务电子凭据协同开具***、海量电子凭据数据存储***、身份鉴别***、电子凭据服务门户***、跨开具平台电子凭据的统一管理***、电子凭据打印***、移动智能终端电子凭据个人应用软件、PC端电子凭据个人应用软件、电子凭据业务融合应用***、电子凭据在线/离线审计支撑***、电子凭据在线/离线稽查支撑***、道路客运电子凭据查验***、企业电子凭据管理***、电子凭据安全承载传输设备管理***、异常行为信息存储***、异常行为信息汇聚***、异常行为融合分析***、安全态势分析***、安全事件追踪溯源***、应急联动处置***、身份认证管理***、接入鉴权***、海量电子凭据查询下载服务***、电子凭据公开验证组件、开具业务监管服务中间件、核准业务监管服务中间件、电子凭据应用融合中间件、网间互联安全控制***、密码资源管理***、全网安全设备统一管理***、数据存储***、办公***、文件交换***、监管***、物联网拓扑测绘***、安全服务需求与资源管理***、数据存储调度管理***、物联网安全管控中心管理***、设备发现与识别***等***,电子凭据服务作业调度器、高性能监管业务调度设备、高性能密码作业调度控制器、电子凭据高速核准服务设备、统一认证服务设备、身份鉴别终端、电子签章终端、电子签章服务器、电子凭据安全承载传输设备、电子凭据介质读卡器等设备。
图1为本发明实施例提供的一种威胁报警信息生成方法流程图,如图1所示,该方法包括:
步骤101,根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息。
具体地,将本发明实施例提供的方法的执行主体称为采集管理中心,采集管理中心可以位于目标网络外,也可以位于目标网络内,但不管采集管理中心位于何处,其都具有如下功能:根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁;若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,为网络安全监测提供支撑。
进一步地,目标信息为原始采集信息或异常行为信息。其中,所述原始采集信息指未经处理的日志信息和/或网络流量信息,日志信息包括但不限于:何人、何时间、何地点、何***、何操作,网络流量信息指网络通信数据和/或其统计信息,网络通信数据包括但不限于:各网络协议的首部、应用层信息;异常行为信息指与一个或多个实体正常操作有偏差,可能对网络造成威胁的行为信息,类型包括但不限于:重复报销、作废/冲红凭据报销、假***报销、同一企业短时间开具大量凭据、同一企业短时间开具大量大额凭据、异常时间开具大量凭据、异常时间开具大额凭据、同一用户短时间跨企业开具大量大额凭据、同一用户/企业多次查验假***、同一***多次尝试认证失败、同一用户同一电子凭据多次尝试核准失败、同一用户不同电子凭据多次尝试核准失败、同一凭据频繁变更状态、同一用户频繁变更电子凭据状态、多次证书认证失败、假***连接、多次尝试口令、异常卫星终端入网、密码资源异常使用、违规文件操作、违规流转、违规发布、违规存储、违规介质接入、异常通信。
获取目标信息可以采用以下方式中的一种或多种的任意组合得到:主动获取、被动接收;主动获取的方式包括以下任意一种或多种:调用接口、读取日志文件、读取配置文件、读取状态文件;被动接收的通信方式包括以下任意一种或多种:套接字通信、共享内存、消息队列、管道。
威胁特征库中存储有威胁行为特征和/或威胁行为关联规则,
可根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁。
步骤102,若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
具体地,网络上下文信息包括以下任意一种或多种:通信实体所在物理地址、通信实体所在逻辑地址、用户标识、源IP地址、目的IP地址、源端口号、目的端口号、传输层协议、数据包长。
若采集管理中心判定目标信息可表征网络受到威胁,则判定网络受到了威胁,因此,采集管理中心可根据威胁特征库、网络上下文信息和目标信息中的任意一种或多种,生成威胁报警信息,以供自身或其他采集管理中心根据威胁报警信息生成对应的采集策略,从而使得网络中对应的采集代理根据采集策略采集对应的采集项,进而通过对采集项进行分析和处理以更好地应对或处置威胁。
需要说明的是,威胁报警信息基于统一描述格式进行归一化描述,其中,统一描述格式包括以下任意一种或多种的组合:威胁类型、威胁对象、威胁对象特征、威胁对象表现特征、威胁范围、威胁级别、威胁起止时间、攻击实体、攻击实体特征、攻击方式、攻击路径、信息共享实体、信息接收实体。
本发明实施例提供的方法,通过将多***、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析,识别出威胁事件,并转换为统一的威胁报警格式,使得对网络安全进行有效监测,为数据采集、网络安全监测和威胁处置提供有效的支撑。
在上述实施例的基础上,本发明实施例对构建威胁特征库的过程进行说明。即,根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,之前还包括:
获取威胁行为特征和/或威胁行为关联规则,以构建威胁特征库;其中,
所述威胁行为特征包括威胁类型、威胁级别、威胁行为发生时间或时间区间阈值、威胁行为发生地点、威胁行为发生实体和威胁行为内容中的任意一种或多种;
所述威胁行为关联规则包括异常行为属性信息、异常行为属性值、异常行为属性阈值和运算符中的任意一种或多种。
具体地,根据功能需求和/或非功能需求,获取威胁行为特征和/或威胁行为关联规则,以构建威胁特征库。其中,威胁行为特征包括以下一种或多种的任意组合:威胁类型、威胁级别、威胁行为发生时间或时间区间阈值、威胁行为发生地点、威胁行为发生实体、威胁行为内容;威胁行为关联规则包括以下一种或多种的任意组合:异常行为属性信息、异常行为属性值、异常行为属性阈值和运算符。
下面通过一个具体实例说明如何根据功能需求和/或非功能需求,构建威胁特征库中的威胁行为特征。
威胁行为特征包括但不限于:威胁类型、威胁级别、威胁行为发生时间或时间区间阈值、威胁行为发生地点、威胁行为发生实体、威胁行为内容。其中,威胁行为发生地点可以用物理地址(国家、省市、区、街道)标识,也可以用逻辑地址(网络地址,例如IP地址、MAC地址)标识。
威胁行为特征示例,如表1所示,表1为威胁行为特征示例表。
表1威胁行为特征示例表
可选地,可定义以下威胁行为:
(1)同一用户在指定时间阈值内,开具/查验/报销大量电子凭据。
(2)不同用户在指定时间阈值内,对同一电子凭据进行查验/报销。
(3)同一用户在指定时间阈值内,在不同地点对同一/不同电子凭据进行开具/查验/报销。
可选地,威胁行为用XML格式的文档表示,如下所示:
<?xml version="1.0"encoding="UTF-8"?>
<Policy PolicyId="credentials:invoice:threatdefine:SimplePolicy1"Version="1.0"RuleCombiningAlgId="identifier:rule-combining-algorithm:deny-overrides">
<Description>
同一用户在指定阈值的时间范围内开具/查验/报销大量电子凭据
根据***的功能需求和/或非功能需求,定义威胁行为关联规则。
威胁行为关联规则包括以下一种或多种的任意组合:***异常行为属性信息、异常行为属性值、异常行为属性阈值和运算符;
***异常行为属性信息是可进行规则匹配的原子属性信息,包括但不限于:操作时间、操作地点、用户数量、操作用户名称、操作用户ID、操作行为、操作结果、***标识中的任意一种或多种;
异常行为属性值是与异常行为属性标识相对应的可取值,例如,异常行为属性是***标识,则异常行为属性值包括但不限于:多业务电子凭据协同开具***、多业务电子凭据协同开具***、电子凭据打印***中的任意一种或多种。
异常行为属性阈值与异常行为属性信息相对应,在规则匹配过程中,对实例化的异常行为属性信息进行计数,若达到对应的异常行为属性阈值,则称为异常行为属性被满足;
所述运算符包括但不限于:比较运算符和/或逻辑运算符。
所述比较运算符用于表达异常行为属性信息与异常行为属性值、异常行为属性阈值的比较方式,比较结果是一个逻辑值,真或者假,所述比较运算符包括但不限于:等于、大于、小于、大于等于、小于等于、不等于中的任意一种或几种;
逻辑运算符用于表达多个异常行为属性信息的关系,包括但不限于:与、或、非中的任意一种或多种。
例如,一条威胁行为关联规则表示如下:
“用户数量”>1000000
“***ID”=“多业务电子凭据协同开具***”
“操作时间”<5min
其中,“用户数量”、“***ID”、“操作时间”为异常行为属性信息,“>”、“=”、“<”为比较运算符,“1000000”、“5min”为异常行为属性阈值,“多业务电子凭据协同开具***”为异常行为属性值。
本发明实施例提供的威胁行为关联规则,至少可以达到图2中本发明实施例提供的异常行为信息多维关联的效果,在***、用户、异常行为类型和时间等多个维度定义具有相关性的单个/多个原始采集信息和/或异常行为信息,其中,图2为本发明实施例提供的异常行为信息多维关联示意图。
在上述各实施例的基础上,本发明实施例对如何判定目标信息是否可表征网络受到威胁进行具体说明。由于目标信息分为两类,一类为原始采集信息,另一类为异常行为信息,而对不同类的目标信息的判定方式不同,因此,分别对两类目标信息的判定过程进行具体说明。首先,对原始采集信息的判定过程进行具体说明:
根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,进一步包括:
对原始采集信息进行解析,生成原始采集信息解析结果。
具体地,所述原始采集信息解析结果包括以下一种或多种的任意组合:操作时间、操作地点、操作用户、操作行为、操作次数、操作结果、上报原始采集信息的实体、生成原始采集信息的实体、访问实体、经由网络;
所述操作地点包括:物理地址和/或逻辑地址;
所述实体包括以下一种或多种的任意组合:组件、设备、***和个人。
将所述原始采集信息解析结果与所述威胁行为关联规则进行匹配,并根据匹配结果判定所述原始采集信息是否可表征网络受到威胁。
将所述原始采集信息解析结果与所述威胁行为关联规则进行匹配,并根据匹配结果判定所述原始采集信息是否可表征网络受到威胁,进一步包括:
对威胁行为关联规则进行实例化,形成实例化关联规则;
将所述实例化关联规则中的异常行为属性信息与所述原始采集信息解析结果进行匹配;
若匹配成功,则判断所述实例化关联规则是否满足第一预设条件,并且,更新实例化关联规则中异常行为属性信息对应的异常行为属性值;若匹配失败,则新建关联规则实例;
若所述实例化关联规则满足所述第一预设条件,则触发状态转移;
若状态转移后为威胁状态,则将生成所述原始采集信息的原始事件定义为威胁事件,并判定所述原始采集信息可表征网络受到威胁。
下面通过一个具体实例说明如何使用关联规则判定原始采集信息是否可表征网络受到威胁。
在对日志信息进行匹配的过程中,对威胁特征库中的威胁行为关联规则陆续进行实例化。
将实例化关联规则中的异常行为属性信息与原始采集信息解析结果进行匹配。
首先,一条实例化关联规则,例如,实例化关联规则1,表示如下,其中,“用户ID”、“***ID”、“操作起始时间”、“操作类型”是异常行为属性信息。
“用户ID”={用户1,用户2,用户3,……,用户99}
“***ID”=“多业务电子凭据协同开具***”
“操作起始时间”=“2018-10-01 8:00:00”
“操作类型”=“开具”
日志信息生成的原始采集信息解析结果的一种可分解形式是单一用户在单一时间、单一地点进行单一操作的原子属性信息,例如,用户A在凌晨2:00,于公司内部网络,在海量电子凭据查询下载服务***,查询下载了1张ID为IDx的电子票据。
然后,将原始采集信息解析结果与实例化关联规则逐一进行匹配,具体地,解析结果字段与实例化关联规则中的异常行为属性标识逐一进行匹配,例如,将解析结果字段中的“用户A”、“凌晨2:00”、“公司内部网络”、“海量电子凭据查询下载服务***”、“查询下载”、“IDx”与实例化关联规则1中的“用户ID”、“***ID”、“操作起始时间”、“操作类型”进行匹配,由于实例化关联规则1中的“***ID”的异常行为属性值不等于原始采集信息解析结果中的“海量电子凭据查询下载服务***”,所以匹配失败,继续匹配其他实例化关联规则。
若匹配到,则更新实例化关联规则中异常行为属性信息对应的异常行为属性值;
若不能匹配到,则与威胁特征库中的关联规则进行匹配,对匹配到的关联规则进行实例化,并将对应的异常行为属性标识对应的异常行为属性值置为1;
可选地,若所述日志信息中未包含威胁特征库中的关联规则对检测威胁的必需字段,例如,用户的物理位置、IP地址等,则根据网络上下文信息,例如,网络拓扑,在所采集的网络流量信息中进行查找和提取,将查找到的信息填充至解析结果字段中,用于进一步进行威胁判定。
最后,若实例化关联规则中的异常行为属性信息与原始采集信息解析结果匹配成功,则判断实例化关联规则是否满足第一预设条件;
若满足第一预设条件,则触发状态转移;
若状态转移后为威胁状态,则将原始采集信息的原始事件定义为威胁事件。
所述第一预设条件包括但不限于:满足实例化关联规则中的所有异常行为属性字段、满足实例化关联规则中的至少一个异常行为属性字段、满足实例化关联规则中的预设阈值个数的异常行为属性字段;
所述状态转移是在异常行为状态机中进行状态迁移,所述状态包括但不限于:正常状态、潜在异常状态、威胁状态。
在上述各实施例的基础上,本发明实施例对如何判定目标信息是否可表征网络受到威胁进行具体说明。由于目标信息分为两类,一类为原始采集信息,另一类为异常行为信息,而对不同类的目标信息的判定方式不同,因此,分别对两类目标信息的判定过程进行具体说明。在上述实施例中已对原始采集信息的判定过程进行具体说明,本发明实施例具体对异常行为信息的判定过程进行具体说明:
根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,进一步包括:
对异常行为信息进行解析,生成异常行为信息解析结果。
所述异常行为信息解析结果包括以下一种或多种的任意组合:操作时间、操作地点、操作用户、操作行为、操作次数、操作结果、上报异常行为信息的实体、发生异常行为的实体、访问实体和经由网络。
所述操作时间包括但不限于:时间点、时间段、时间点集合和时间段集合;
所述操作地点包括但不限于:操作地点和/或操作地点集合;
所述操作用户包括但不限于:操作用户和/或操作用户集合;
所述操作行为包括但不限于:操作行为和/或操作行为集合;
所述操作结果包括但不限于:操作结果和/或操作结果集合;
所述上报异常行为信息的实体包括但不限于:上报异常行为信息的实体和/或上报异常行为信息的实体集合;
所述发生异常行为的实体包括但不限于:发生异常行为的实体和/或发生异常行为的实体集合;
访问实体包括但不限于:访问实体和/或访问实体集合;
经由网络包括但不限于:经由网络和/或经由网络集合。
将所述异常行为信息解析结果与所述威胁行为特征进行匹配,并根据匹配结果判定所述异常行为信息是否可表征网络受到威胁。
将所述异常行为信息解析结果与所述威胁行为特征进行匹配,并根据匹配结果判定所述异常行为信息是否可表征网络受到威胁,进一步包括:
将所述异常行为信息解析结果与所述威胁行为特征进行匹配,若满足第一匹配条件,则将产生异常行为信息的异常行为定义为威胁事件,并判定所述异常行为信息可表征网络受到威胁。
所述匹配方式包括但不限于:顺序匹配、随机匹配、优先级匹配中的任意一种或多种;
所述第一匹配条件包括但不限于:完全匹配、至少一项匹配、大于预定阈值个数的匹配。
下面通过一个具体实例说明如何判定异常行为信息是否可表征网络受到威胁。
异常行为信息1:用户1使用194.12.1.100的IP地址,在10:10到10:11分内,请求IDx的***查询次数100次。
解析结果字段及相应内容为:
时间段:10:10-10:11;
地点:IP地址(194.12.1.100);
操作行为:查询;
操作内容:同一***号IDx;
次数:100次。
将上述字段与威胁特征库中的威胁特征列表(表1)进行逐条匹配,对于威胁行为特征编号1的记录,10:10-10:11满足时间<5min,IP地址(194.12.1.100)满足任何地点,操作字段均为查询,同一***号IDx满足任意内容,100次满足>=100,因此,命中全部字段,说明该异常行为是一个威胁事件。
在上述各实施例的基础上,根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,进一步包括:
根据所述威胁特征库,判定是否需对威胁事件进行信息补充,并当判定结果为需对威胁事件进行信息补充时,根据网络上下文信息,对所述威胁事件进行信息补充。
具体地,首先,根据所述的威胁特征库,确定生成威胁报警信息所需的信息项集合,然后,将生成威胁报警信息所需的信息项集合与威胁事件已有的信息项集合做差集,根据所述差集是否为空,判定是否需对威胁事件进行信息补充,并当所述差集不为空,判定需对威胁事件进行信息补充,确定威胁事件信息需补充的信息项,随后,根据所述威胁事件信息需补充的信息项,从网络上下文信息中进行标记/提取,对威胁事件信息进行补充。
进一步地,在威胁特征库中,查找威胁事件对应的威胁类型,根据威胁类型,确定生成威胁报警信息所需的信息项集合。其中,所述生成威胁报警信息所需的信息项包括但不限于:威胁对象的物理区域、威胁对象的逻辑区域、威胁对象IP地址、威胁对象所属***、攻击实体的物理地址、攻击实体的逻辑地址、攻击实体到威胁对象的物理攻击路径、攻击实体到威胁对象的逻辑攻击路径、威胁发生时间、上报威胁事件的实体、生成威胁事件的实体。
例如,在网络上下文信息中根据威胁对象IP地址,查找威胁对象的物理区域和/或威胁对象的逻辑区域。
基于统一描述格式对信息补充后的威胁事件进行归一化描述,生成威胁报警信息。
图3为本发明实施例提供的统一描述格式示意图,如图3所示,所述统一描述格式包括以下任意一种或多种的组合:
威胁类型、威胁对象、威胁对象特征、威胁对象表现特征、威胁范围、威胁级别、威胁起止时间、攻击实体、攻击实体特征、攻击方式、攻击路径、信息共享实体、信息接收实体。
所述统一描述格式中的字段解释如下:
威胁类型指预定义在威胁特征库中的威胁事件的类型,包括但不限于:拒接服务攻击、非法访问、流量异常、FTP木马、震荡波蠕虫、漏洞攻击、后门攻击、域名劫持、扫描探测、木马/病毒、中间人攻击。
威胁对象指网络中受攻击影响的对象集合,包括但不限于:具有潜在威胁的设备或设备类型、操作***类型。设备或设备类型包括但不限于:卫星、移动终端、***服务器、路由器、网关、防火墙、IDS、IPS。操作***类型包括但不限于:Windows、Linux、Android、iOS。
威胁范围指威胁对象所在的物理范围和/或逻辑范围。
威胁级别指威胁的严重程度,比如,可用离散值表示,从0到10的整数,数字越大,表示威胁越严重。
威胁起止时间指与威胁相关联的最早发生事件的时间和威胁预计消除的时间。
攻击实体指发起攻击一方,包括但不限于:个人、团体和组织。
攻击实体特征指具有相同攻击类型的攻击实体经过共性特征抽取后所表现出的特性,包括但不限于:所在逻辑区域、所在物理区域中的任意一种或多种。
攻击方式指攻击实体利用的恶意软件、利用的攻击工具、经由的网络类型中的任意一种或多种。
所述网络类型包括但不限于:有线网络、无线网络中的任意一种或多种。
攻击路径包括但不限于:物理路径、逻辑路径,所述物理路径指攻击实体到达被攻击对象经由的设备及经由的设备间的先后关系;所述逻辑路径指攻击实体为达到攻击目的所利用的漏洞及利用漏洞的先后关系,或者,所执行的操作及所执行操作间的先后关系。
威胁对象特征指能对威胁对象进行画像的特性。
所述特性包括但不限于威胁对象在地理区域和/或逻辑区域中的位置、威胁对象上所部署的服务类型、威胁对象的资产价值中的任意一种或多种。
威胁对象表现特征指对威胁对象在遭受攻击后的状态和/或状态改变的刻画,所述状态包括但不限于:CPU利用率、内存利用率、网络接口接收包数、可用链路带宽和TCP连接情况中的任意一种或多种。
信息共享实体指发送异常行为信息和/或原始采集信息的一方,包括但不限于:***、设备、人和组织。
信息接收实体指接收报警信息的一方;所述信息接收实体的描述方式包括但不限于:信息接收实体类型、知悉范围和安全等级。所述信息接收实体类型包括但不限于:采集代理、汇聚***、分析***、指挥***、管理***;所述知悉范围的描述方式包括但不限于:行政级别、地理区域。
基于统一描述格式对信息补充后的威胁事件进行归一化描述,包括从以下方面对威胁事件进行信息提取,生成威胁报警信息:
威胁类型:威胁事件在威胁特征库中匹配到的威胁类型。
威胁对象:提取威胁事件中发生异常行为的***。
威胁范围:提取威胁对象所在的物理范围和/或逻辑范围。
威胁级别:根据原始采集信息和/或异常行为信息、威胁行为特征、威胁对象资产价值信息中的任意一种或多种分析得出。例如,根据威胁行为特征中的威胁类型、威胁发生地点、威胁对象资产价值综合计算威胁级别。威胁发生的范围越广泛,涉及的实体越多,威胁级别越高;威胁对象资产价值越高,威胁级别越高。
威胁起止时间:提取威胁事件中操作时间点或时间段的最早时间作为威胁起始时间,采用统一的时间格式表示。
攻击实体:提取威胁事件的操作用户集合。
攻击实体特征:攻击实体的共性特征抽取。
攻击方式:提取威胁事件中的攻击实体利用的恶意软件、利用的攻击工具、经由的网络类型中的任意一种或多种。
攻击路径:提取威胁事件中的操作用户到***间的所有物理路径及其先后关系,和/或,提取威胁事件利用的漏洞及利用漏洞的先后关系,和/或,威胁事件中攻击实体所执行的操作及所执行操作间的先后关系。
威胁对象特征:提取威胁对象的共性特征,包括但不限于威胁对象的业务类型、所在地理区域、所在逻辑区域中的任意一种或多种。
威胁对象表现特征:提取威胁对象在发生威胁事件后的表现特征的共性,包括但不限于***状态改变。
信息共享实体:提取发送威胁事件的***、设备、人或组织。
信息接收实体:根据威胁事件的威胁类型、严重程度、威胁对象类型中的任意一种或多种,计算接收实体类型、知悉范围和安全级别,进而确定报警信息的接收实体。
最后,将从威胁事件中提取出来的各字段组成威胁报警信息。
图4为本发明一实施例提供的一种威胁报警信息生成***的结构示意图,如图4所示,该***包括:
判定模块401,用于根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;威胁报警信息生成模块402,用于若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
本发明实施例提供的***,具体执行上述各方法实施例流程,具体请详见上述各方法实施例的内容,此处不再赘述。本发明实施例提供的***,通过将多***、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析,识别出威胁事件,并转换为统一的威胁报警格式,使得对网络安全进行有效监测,为数据采集、网络安全监测和威胁处置提供有效的支撑。
图5为本发明另一实施例提供的一种威胁报警信息生成***的结构示意图,包括但不限于以下部分:信息采集模块、威胁判定模块、威胁报警信息封装模块、威胁特征库、网络配置信息库和网络拓扑信息库,其中,网络配置信息库和网络拓扑信息库,是外部信息库。
信息采集模块,获取原始采集信息和/或异常行为信息,并发送到威胁判定模块;威胁判定模块接收原始采集信息和/或异常行为信息,在威胁特征库中查询威胁行为特征和/或威胁行为关联规则,对原始采集信息和/或异常行为信息进行解析和威胁判定,若判断出威胁,则将对应的威胁事件发送到威胁报警信息封装模块;威胁报警信息封装模块接收威胁判定模块发送的威胁事件,若威胁事件需要进行信息补充,则在网络配置信息库和/或网络拓扑信息库中查找网络上下文信息,以对威胁事件进行补充,最后,利用统一描述格式对威胁报警信息进行统一描述;威胁特征库中存储威胁行为特征和/或威胁行为关联规则,对威胁判定模块的查询进行响应。
图6为本发明实施例提供的一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)601、通信接口(Communications Interface)602、存储器(memory)603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信。处理器601可以调用存储在存储器603上并可在处理器601上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
此外,上述的存储器603中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种威胁报警信息生成方法,其特征在于,包括:
根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;
若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
2.根据权利要求1所述的方法,其特征在于,根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,之前还包括:
获取威胁行为特征和/或威胁行为关联规则,以构建威胁特征库;其中,
所述威胁行为特征包括威胁类型、威胁级别、威胁行为发生时间或时间区间阈值、威胁行为发生地点、威胁行为发生实体和威胁行为内容中的任意一种或多种;
所述威胁行为关联规则包括异常行为属性信息、异常行为属性值、异常行为属性阈值和运算符中的任意一种或多种。
3.根据权利要求2所述的方法,其特征在于,根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,进一步包括:
对原始采集信息进行解析,生成原始采集信息解析结果;
将所述原始采集信息解析结果与所述威胁行为关联规则进行匹配,并根据匹配结果判定所述原始采集信息是否可表征网络受到威胁。
4.根据权利要求3所述的方法,其特征在于,将所述原始采集信息解析结果与所述威胁行为关联规则进行匹配,并根据匹配结果判定所述原始采集信息是否可表征网络受到威胁,进一步包括:
对威胁行为关联规则进行实例化,形成实例化关联规则;
将所述实例化关联规则中的异常行为属性信息与所述原始采集信息解析结果进行匹配;
若匹配成功,则判断所述实例化关联规则是否满足第一预设条件;
若所述实例化关联规则满足所述第一预设条件,则触发状态转移;
若状态转移后为威胁状态,则将生成所述原始采集信息的原始事件定义为威胁事件,并判定所述原始采集信息可表征网络受到威胁。
5.根据权利要求2所述的方法,其特征在于,根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,进一步包括:
对异常行为信息进行解析,生成异常行为信息解析结果;
将所述异常行为信息解析结果与所述威胁行为特征进行匹配,并根据匹配结果判定所述异常行为信息是否可表征网络受到威胁。
6.根据权利要求5所述的方法,其特征在于,将所述异常行为信息解析结果与所述威胁行为特征进行匹配,并根据匹配结果判定所述异常行为信息是否可表征网络受到威胁,进一步包括:
将所述异常行为信息解析结果与所述威胁行为特征进行匹配,若满足第一匹配条件,则将产生异常行为信息的异常行为定义为威胁事件,并判定所述异常行为信息可表征网络受到威胁。
7.根据权利要求4或6所述的方法,其特征在于,根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,进一步包括:
根据所述威胁特征库,判定是否需对威胁事件进行信息补充,并当判定结果为需对威胁事件进行信息补充时,根据网络上下文信息,对所述威胁事件进行信息补充;
基于统一描述格式对信息补充后的威胁事件进行归一化描述,生成威胁报警信息。
8.根据权利要求1所述的方法,其特征在于,所述统一描述格式包括:威胁类型、威胁对象、威胁对象特征、威胁对象表现特征、威胁范围、威胁级别、威胁起止时间、攻击者、攻击者特征、攻击方式、攻击路径、信息共享者和信息接收者中的任意一种或多种。
9.一种威胁报警信息生成***,其特征在于,包括:
判定模块,用于根据威胁特征库,判定获取到的目标信息是否可表征网络受到威胁,其中,所述目标信息为原始采集信息或异常行为信息;
威胁报警信息生成模块,用于若判定所述目标信息可表征网络受到威胁,则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种,生成威胁报警信息,其中,所述威胁报警信息基于统一描述格式进行归一化描述。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的步骤。
11.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至8任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811377198.XA CN109688105B (zh) | 2018-11-19 | 2018-11-19 | 一种威胁报警信息生成方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811377198.XA CN109688105B (zh) | 2018-11-19 | 2018-11-19 | 一种威胁报警信息生成方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688105A true CN109688105A (zh) | 2019-04-26 |
| CN109688105B CN109688105B (zh) | 2020-07-07 |
Family
ID=66185361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811377198.XA Active CN109688105B (zh) | 2018-11-19 | 2018-11-19 | 一种威胁报警信息生成方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688105B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110765391A (zh) * | 2019-09-16 | 2020-02-07 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
| CN110866692A (zh) * | 2019-11-14 | 2020-03-06 | 北京明略软件***有限公司 | 一种预警信息的生成方法、生成装置及可读存储介质 |
| CN111224953A (zh) * | 2019-12-25 | 2020-06-02 | 哈尔滨安天科技集团股份有限公司 | 基于异常点发现威胁组织攻击的方法、装置及存储介质 |
| CN111931935A (zh) * | 2020-09-27 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于One-shot学习的网络安全知识抽取方法和装置 |
| CN112152968A (zh) * | 2019-06-27 | 2020-12-29 | 北京数安鑫云信息技术有限公司 | 网络威胁检测方法和装置 |
| CN112261033A (zh) * | 2020-10-19 | 2021-01-22 | 北京京航计算通讯研究所 | 基于企业内网的网络安全防护方法 |
| CN113259364A (zh) * | 2021-05-27 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN113328976A (zh) * | 2020-02-28 | 2021-08-31 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
| CN113382015A (zh) * | 2021-06-24 | 2021-09-10 | 北京恒安嘉新安全技术有限公司 | 一种网络威胁的处置方法、装置、设备及存储介质 |
| CN115225366A (zh) * | 2022-07-14 | 2022-10-21 | 国网智能电网研究院有限公司 | 一种接入行为的处理方法及装置 |
| CN115314304A (zh) * | 2022-08-10 | 2022-11-08 | 重庆电子工程职业学院 | 一种网络安全事件分析装置和方法 |
| CN115484151A (zh) * | 2022-09-23 | 2022-12-16 | 北京安天网络安全技术有限公司 | 基于复合事件处理的威胁检测方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联*** |
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | ***通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及*** |
| CN105843803A (zh) * | 2015-01-12 | 2016-08-10 | 上海悦程信息技术有限公司 | 大数据安全可视化交互分析***及方法 |
| CN106209829A (zh) * | 2016-07-05 | 2016-12-07 | 杨林 | 一种基于告警策略的网络安全管理*** |
| CN107623691A (zh) * | 2017-09-29 | 2018-01-23 | 长沙市智为信息技术有限公司 | 一种基于反向传播神经网络算法的DDoS攻击检测***及方法 |
-
2018
- 2018-11-19 CN CN201811377198.XA patent/CN109688105B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联*** |
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | ***通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及*** |
| CN105843803A (zh) * | 2015-01-12 | 2016-08-10 | 上海悦程信息技术有限公司 | 大数据安全可视化交互分析***及方法 |
| CN106209829A (zh) * | 2016-07-05 | 2016-12-07 | 杨林 | 一种基于告警策略的网络安全管理*** |
| CN107623691A (zh) * | 2017-09-29 | 2018-01-23 | 长沙市智为信息技术有限公司 | 一种基于反向传播神经网络算法的DDoS攻击检测***及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 汤沁泉: "基于网络行为分析的网络安全预警***设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112152968B (zh) * | 2019-06-27 | 2022-07-22 | 北京数安鑫云信息技术有限公司 | 网络威胁检测方法和装置 |
| CN112152968A (zh) * | 2019-06-27 | 2020-12-29 | 北京数安鑫云信息技术有限公司 | 网络威胁检测方法和装置 |
| CN110765391A (zh) * | 2019-09-16 | 2020-02-07 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
| CN110765391B (zh) * | 2019-09-16 | 2022-02-22 | 华青融天(北京)软件股份有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
| CN110866692A (zh) * | 2019-11-14 | 2020-03-06 | 北京明略软件***有限公司 | 一种预警信息的生成方法、生成装置及可读存储介质 |
| CN111224953A (zh) * | 2019-12-25 | 2020-06-02 | 哈尔滨安天科技集团股份有限公司 | 基于异常点发现威胁组织攻击的方法、装置及存储介质 |
| CN113328976A (zh) * | 2020-02-28 | 2021-08-31 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
| CN113328976B (zh) * | 2020-02-28 | 2022-11-22 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
| CN111931935B (zh) * | 2020-09-27 | 2021-01-15 | 中国人民解放军国防科技大学 | 基于One-shot 学习的网络安全知识抽取方法和装置 |
| CN111931935A (zh) * | 2020-09-27 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于One-shot学习的网络安全知识抽取方法和装置 |
| CN112261033A (zh) * | 2020-10-19 | 2021-01-22 | 北京京航计算通讯研究所 | 基于企业内网的网络安全防护方法 |
| CN113259364A (zh) * | 2021-05-27 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN113259364B (zh) * | 2021-05-27 | 2021-10-22 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
| CN113382015A (zh) * | 2021-06-24 | 2021-09-10 | 北京恒安嘉新安全技术有限公司 | 一种网络威胁的处置方法、装置、设备及存储介质 |
| CN115225366A (zh) * | 2022-07-14 | 2022-10-21 | 国网智能电网研究院有限公司 | 一种接入行为的处理方法及装置 |
| CN115314304A (zh) * | 2022-08-10 | 2022-11-08 | 重庆电子工程职业学院 | 一种网络安全事件分析装置和方法 |
| CN115484151B (zh) * | 2022-09-23 | 2023-11-21 | 北京安天网络安全技术有限公司 | 基于复合事件处理的威胁检测方法、装置、设备及介质 |
| CN115484151A (zh) * | 2022-09-23 | 2022-12-16 | 北京安天网络安全技术有限公司 | 基于复合事件处理的威胁检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688105B (zh) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688105A (zh) | 一种威胁报警信息生成方法及*** | |
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| CN104054321B (zh) | 针对云服务的安全管理 | |
| CN102428677B (zh) | 用于分组的杀毒处理的方法和*** | |
| CN109871690A (zh) | 设备权限的管理方法及装置、存储介质、电子装置 | |
| CN100399750C (zh) | 便于在网络上识别计算机的***与方法 | |
| US20120311562A1 (en) | Extendable event processing | |
| US20230171285A1 (en) | Edge network-based account protection service | |
| CN106063219A (zh) | 用于生物识别协议标准的***和方法 | |
| CN105812480B (zh) | 一种智能散粮运输车远程管理装置及其管理方法 | |
| CN104052734A (zh) | 使用全球设备指纹识别的攻击检测和防止 | |
| CN101854340A (zh) | 基于访问控制信息进行的基于行为的通信剖析 | |
| US20210279332A1 (en) | System and method for automatic generation of malware detection traps | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| CN101438255A (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| CN109462599A (zh) | 一种蜜罐管理*** | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN107992771A (zh) | 一种数据脱敏方法和装置 | |
| CN115189946A (zh) | 一种跨网数据交换***及数据交换方法 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| US11190589B1 (en) | System and method for efficient fingerprinting in cloud multitenant data loss prevention | |
| KR101201629B1 (ko) | 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 | |
| CN116956252A (zh) | 一种平台多用户租用时的自适应管理方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |