CN110266670A - 一种终端网络外联行为的处理方法及装置 - Google Patents
一种终端网络外联行为的处理方法及装置 Download PDFInfo
- Publication number
- CN110266670A CN110266670A CN201910493269.0A CN201910493269A CN110266670A CN 110266670 A CN110266670 A CN 110266670A CN 201910493269 A CN201910493269 A CN 201910493269A CN 110266670 A CN110266670 A CN 110266670A
- Authority
- CN
- China
- Prior art keywords
- threat
- daily record
- data
- information
- record data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 49
- 238000003672 processing method Methods 0.000 title claims abstract description 14
- 238000000034 method Methods 0.000 claims abstract description 28
- 230000006399 behavior Effects 0.000 claims description 32
- 230000015654 memory Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000002093 peripheral effect Effects 0.000 claims description 6
- 206010022000 influenza Diseases 0.000 claims 2
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000004458 analytical method Methods 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012517 data analytics Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 101001019013 Homo sapiens Mitotic interactor and substrate of PLK1 Proteins 0.000 description 2
- 102100033607 Mitotic interactor and substrate of PLK1 Human genes 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 244000025254 Cannabis sativa Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及金融科技领域,并公开了一种终端网络外联行为的处理方法及装置,该方法包括获取终端发送的日志数据和威胁情报平台发送的威胁情报数据,威胁情报数据包括各数据对应的威胁严重等级,将所述日志数据和威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。结合威胁情报平台的威胁情报数据对日志数据进行关联分析,对匹配的日志数据进行外联行为的处理,从而实现对恶意网络外联流量的自动拦截。
Description
技术领域
本发明实施例涉及金融科技(Fintech)领域,尤其涉及一种终端网络外联行为的处理方法及装置。
背景技术
随着计算机技术的发展,越来越多的技术应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,消息存储技术也不例外,但由于金融、支付行业的安全性、实时性要求,也对技术提出的更高的要求。
目前,企业内的办公终端时常面临来自外网的威胁,如潜伏在电脑的自动变种的恶意程序等、会绕过本地杀毒软件的检查,定期与外网的黑客控制服务器进行连接,从而被黑客控制,进而对企业内网、或者其他外网发起攻击行为。
通过网络层面的拦截往往无法找出恶意网络流量外联的根源,恶意程序可能会连到其他未被拦截的IP、域名从而继续作恶,因此,无法对已发现恶意网络流量进行自动化拦截。
发明内容
本发明实施例提供一种终端网络外联行为的处理方法及装置,用以找出恶意网络流量外联的根源,从而实现对恶意网络流量的自动拦截。
第一方面,本发明实施例提供的一种终端网络外联行为的处理方法,包括:
获取终端发送的日志数据和威胁情报平台发送的威胁情报数据;所述威胁情报数据包括各数据对应的威胁严重等级;
将所述日志数据和所述威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
上述技术方案中,结合威胁情报平台的威胁情报数据对日志数据进行关联分析,对匹配的日志数据进行外联行为的处理,从而实现对恶意网络外联流量的自动拦截。
可选的,在获取所述威胁情报平台发送的威胁情报数据之后,还包括:
按照预设格式将所述威胁情报数据进行分类,并进行索引归档;
其中,所述预设格式可以包括以下信息之一或任一组合:
发现日期、威胁情报信标、威胁类型、威胁严重等级。
可选的,所述终端发送的日志数据为所述终端上的日志服务器根据预设的日志收集规则收集后发送的。
可选的,所述将所述日志数据和所述威胁情报数据进行告警规则匹配,包括:
将所述日志数据和所述威胁情报数据按照所述告警规则中的威胁关键字进行匹配;其中,所述告警规则中的威胁关键字是根据历史威胁情报数据确定的。
可选的,所述将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理,包括:
若所述匹配成功的日志数据对应的威胁严重等级为严重或高危等级时,向***边界防火墙发送告警信息并通知安全人员进行处理,所述告警信息包括出口IP、域名或网址链接,以使所述***边界防火墙根据所述告警信息进行拦截;
若所述匹配成功的日志数据对应的威胁严重等级为中危或低危等级时,通知所述安全人员进行处理。
第二方面,本发明实施例提供了一种终端网络外联行为的处理装置,包括:
获取单元,用于获取终端发送的日志数据和威胁情报平台发送的威胁情报数据;所述威胁情报数据包括各数据对应的威胁严重等级;
处理单元,用于将所述日志数据和所述威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
可选的,所述处理单元还用于:
在获取所述威胁情报平台发送的威胁情报数据之后,按照预设格式将所述威胁情报数据进行分类,并进行索引归档;
其中,所述预设格式可以包括以下信息之一或任一组合:
发现日期、威胁情报信标、威胁类型、威胁严重等级。
可选的,所述终端发送的日志数据为所述终端上的日志服务器根据预设的日志收集规则收集后发送的。
可选的,所述处理单元具体用于:
将所述日志数据和所述威胁情报数据按照所述告警规则中的威胁关键字进行匹配;其中,所述告警规则中的威胁关键字是根据历史威胁情报数据确定的。
可选的,所述处理单元具体用于:
若所述匹配成功的日志数据对应的威胁严重等级为严重或高危等级时,向***边界防火墙发送告警信息并通知安全人员进行处理,所述告警信息包括出口IP、域名或网址链接,以使所述***边界防火墙根据所述告警信息进行拦截;
若所述匹配成功的日志数据对应的威胁严重等级为中危或低危等级时,通知所述安全人员进行处理。
第三方面,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述终端网络外联行为的处理方法。
第四方面,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述终端网络外联行为的处理方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种***架构的示意图;
图2为本发明实施例提供的一种终端网络外联行为的处理方法的流程示意图;
图3为本发明实施例提供的一种终端网络外联行为的处理方法的流程示意图;
图4为本发明实施例提供的一种终端网络外联行为的处理装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示例性的示出了本发明实施例所适用的一种***架构,该***架构可以为服务器100,包括处理器110、通信接口120和存储器130。该服务器100可以为数据分析服务器。
其中,通信接口120用于与终端和威胁情报平台进行通信,收发该终端和威胁情报平台传输的信息,实现通信。
处理器110是服务器100的控制中心,利用各种接口和路线连接整个服务器100的各个部分,通过运行或执行存储在存储器130内的软件程序/或模块,以及调用存储在存储器130内的数据,执行服务器100的各种功能和处理数据。可选地,处理器110可以包括一个或多个处理单元。
存储器130可用于存储软件程序以及模块,处理器110通过运行存储在存储器130的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器130可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据业务处理所创建的数据等。此外,存储器130可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
需要说明的是,上述图1所示的结构仅是一种示例,本发明实施例对此不做限定。
基于上述描述,图2示例性的示出了本发明实施例提供的一种终端网络外联行为的处理方法的流程,该流程可以由终端网络外联行为的处理装置执行,该装置可以为图1中所示的服务器100,或是位于服务器100内。
如图2所示,该流程具体包括:
步骤201,获取终端发送的日志数据和威胁情报平台发送的威胁情报数据。
在本发明实施例中,在接收到威胁情报平台发送的威胁情报数据,还可以按照预设格式将所述威胁情报数据进行分类,并进行索引归档。该预设格式可以包括以下信息之一或任一组合:发现日期、威胁情报信标、威胁类型、威胁严重等级等等信息。威胁情报信标指的是应用于计算机取证,指在网络或***中可观察到的且高可信度的表明计算机入侵的工件,如IP地址,域名,hash恶意文件,病毒签名等。在进行索引归档时,可以按照数据库的索引方式进行归档,建立索引表等方式。该威胁情报平台可以为MISP(恶意软件信息共享平台)。
终端发送的日志数据是终端上的日志服务器根据预设的日志收集规则收集后发送的。该预设日志收集规则可以依据经验设置或者是人工配置的,例如可以为抽样规则、上班类型规则等等。日志服务器可以为微软日志服务器WEC。
在具体实施过程中,可以通过在终端上安装微软日志收集程序Sysmon和预设日志收集规则,将终端上的进程创建日志和进程网络外联日志实时上传到微软日志收集服务器WEC,之后微软日志服务器WEC实时将终端收到的日志传输到数据分析服务器Splunk进行索引归档。
步骤202,将所述日志数据和所述威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
当接收到日志数据和威胁情报数据之后,就可以进行告警规则匹配,具体的,可以将日志数据和威胁情报数据按照告警规则中的威胁关键字进行匹配。需要说明的是,该告警规则中的威胁关键字是根据历史威胁情报数据确定的。例如,某一具有威胁的IP、某一威胁类型、某一威胁的网址链接等等都可以确定为关键字。只有当所有的关键字都匹配成功表明告警规则匹配成功,否则就是匹配不成功。在进行告警规则匹配时,还可以设置白名单,白名单中对应的日志数据不进行处理。
在确认告警规则匹配成功之后,就可以将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
具体的,当匹配成功的日志数据对应的威胁严重等级为严重或高危等级时,向***边界防火墙发送告警信息并通知安全人员进行处理,该告警信息包括出口IP、域名或网址链接,以使***边界防火墙根据该告警信息进行拦截。
当匹配成功的日志数据对应的威胁严重等级为中危或低危等级时,通知安全人员进行处理。
为了更好的解释本发明实施例,下面将在具体的实施场景下来描述终端网络外联行为的处理的流程。
如图3所示的流程,可以将该流程分为下述部分进行描述:
第一部分,威胁情报收集:威胁情报平台定期同步全球的威胁情报数据(可灵活配置商用或开源),将收到的威胁情报数据进行统一的格式化数据分类(格式为“发现日期”,“威胁情报信标”,“威胁类型”,“威胁严重等级”等),并将收集到数据实时传输到数据分析服务器Splunk进行索引归档。
第二部分,终端日志收集:通过在终端上安装微软日志收集程序***监视器(Sysmon)和配置日志收集规则,将终端上的进程创建日志和进程网络外联日志实时上传到微软日志收集服务器WEC,之后微软日志服务器WEC实时将终端收到的日志传输到数据分析服务器Splunk进行索引归档。
第三部分,数据分析:数据分析服务器Splunk负责将收到的威胁情报数据集和终端日志数据集进行精准告警规则匹配,当匹配告警规则后根据威胁严重等级进行风险评级,当风险评级为严重或高危等级时,直接向外网边界防火墙发送拦截命令并通知安全运营人员,当风险评级为中危或低危等级时,不通知防火墙拦截,直接通知安全运营人员。
第四部分,外网边界防火墙自动拦截:当外网边界防火墙收到来自数据分析服务器Splunk的告警信息且为严重、高危的威胁严重等级时,自动创建拦截告警信息中的出口IP、域名或网址链接,之后通知安全运营人员处理。
第五部分,安全运营人员运营:当安全运营人员收到来自数据分析服务器Splunk的告警时,可精准定位发起恶意网络外联终端的进程或进程调用信息,从而进行删除、卸载等操作消灭隐患。
上述实施例通过Sysmon日志收集工具获取内网所有终端的进程创建、进程网络外联等日志,再通过威胁共享平台MISP收集全球开源威胁情报日志,然后将两边的日志入库到大数据平台Splunk进行关联匹配分析,当命中告警规则时,将结果反馈给外网边界防火墙进行自动化拦截,最后通知安全运营人员对终端进行安全检查。实现以需要深入到终端设备上,找到发起恶意网络外联的进程以及进程调用信息,从而斩草除根,消灭安全隐患。
本发明实施例可以应用于金融科技(Fintech)领域,金融科技领域是指将信息技术融入金融领域后,为金融领域带来的一种新的创新科技,通过使用先进的信息技术辅助实现金融作业、交易执行以及金融***改进,可以提升金融***的处理效率、业务规模,并可以降低成本和金融风险。
本发明实施例表明,获取终端发送的日志数据和威胁情报平台发送的威胁情报数据,威胁情报数据包括各数据对应的威胁严重等级,将所述日志数据和威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。结合威胁情报平台的威胁情报数据对日志数据进行关联分析,对匹配的日志数据进行外联行为的处理,从而实现对恶意网络外联流量的自动拦截。
基于相同的技术构思,图4示例性的示出了本发明实施例提供的一种终端网络外联行为的处理装置的结构,该装置可以执行终端网络外联行为的处理的流程。该装置可以为图1中所示的服务器100,或是位于服务器100内。
如图4所示,该装置具体包括:
获取单元401,用于获取终端发送的日志数据和威胁情报平台发送的威胁情报数据;所述威胁情报数据包括各数据对应的威胁严重等级;
处理单元402,用于将所述日志数据和所述威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
可选的,所述处理单元402还用于:
在获取所述威胁情报平台发送的威胁情报数据之后,按照预设格式将所述威胁情报数据进行分类,并进行索引归档;
其中,所述预设格式可以包括以下信息之一或任一组合:
发现日期、威胁情报信标、威胁类型、威胁严重等级。
可选的,所述终端发送的日志数据为所述终端上的日志服务器根据预设的日志收集规则收集后发送的。
可选的,所述处理单元402具体用于:
将所述日志数据和所述威胁情报数据按照所述告警规则中的威胁关键字进行匹配;其中,所述告警规则中的威胁关键字是根据历史威胁情报数据确定的。
可选的,所述处理单元402具体用于:
若所述匹配成功的日志数据对应的威胁严重等级为严重或高危等级时,向***边界防火墙发送告警信息并通知安全人员进行处理,所述告警信息包括出口IP、域名或网址链接,以使所述***边界防火墙根据所述告警信息进行拦截;
若所述匹配成功的日志数据对应的威胁严重等级为中危或低危等级时,通知所述安全人员进行处理。
基于相同的技术构思,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述终端网络外联行为的处理方法。
基于相同的技术构思,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述终端网络外联行为的处理方法。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种终端网络外联行为的处理方法,其特征在于,包括:
获取终端发送的日志数据和威胁情报平台发送的威胁情报数据;所述威胁情报数据包括各数据对应的威胁严重等级;
将所述日志数据和所述威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
2.如权利要求1所述的方法,其特征在于,在获取所述威胁情报平台发送的威胁情报数据之后,还包括:
按照预设格式将所述威胁情报数据进行分类,并进行索引归档;
其中,所述预设格式可以包括以下信息之一或任一组合:
发现日期、威胁情报信标、威胁类型、威胁严重等级。
3.如权利要求1所述的方法,其特征在于,所述终端发送的日志数据为所述终端上的日志服务器根据预设的日志收集规则收集后发送的。
4.如权利要求1所述的方法,其特征在于,所述将所述日志数据和所述威胁情报数据进行告警规则匹配,包括:
将所述日志数据和所述威胁情报数据按照所述告警规则中的威胁关键字进行匹配;其中,所述告警规则中的威胁关键字是根据历史威胁情报数据确定的。
5.如权利要求1所述的方法,其特征在于,所述将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理,包括:
若所述匹配成功的日志数据对应的威胁严重等级为严重或高危等级时,向***边界防火墙发送告警信息并通知安全人员进行处理,所述告警信息包括出口IP、域名或网址链接,以使所述***边界防火墙根据所述告警信息进行拦截;
若所述匹配成功的日志数据对应的威胁严重等级为中危或低危等级时,通知所述安全人员进行处理。
6.一种终端网络外联行为的处理装置,其特征在于,包括:
获取单元,用于获取终端发送的日志数据和威胁情报平台发送的威胁情报数据;所述威胁情报数据包括各数据对应的威胁严重等级;
处理单元,用于将所述日志数据和所述威胁情报数据进行告警规则匹配,若匹配成功,则将匹配成功的日志数据根据其对应的威胁严重等级进行外联行为的处理。
7.如权利要求6所述的装置,其特征在于,所述处理单元还用于:
在获取所述威胁情报平台发送的威胁情报数据之后,按照预设格式将所述威胁情报数据进行分类,并进行索引归档;
其中,所述预设格式可以包括以下信息之一或任一组合:
发现日期、威胁情报信标、威胁类型、威胁严重等级。
8.如权利要求6所述的装置,其特征在于,所述终端发送的日志数据为所述终端上的日志服务器根据预设的日志收集规则收集后发送的。
9.如权利要求6所述的装置,其特征在于,所述处理单元具体用于:
将所述日志数据和所述威胁情报数据按照所述告警规则中的威胁关键字进行匹配;其中,所述告警规则中的威胁关键字是根据历史威胁情报数据确定的。
10.如权利要求6所述的装置,其特征在于,所述处理单元具体用于:
若所述匹配成功的日志数据对应的威胁严重等级为严重或高危等级时,向***边界防火墙发送告警信息并通知安全人员进行处理,所述告警信息包括出口IP、域名或网址链接,以使所述***边界防火墙根据所述告警信息进行拦截;
若所述匹配成功的日志数据对应的威胁严重等级为中危或低危等级时,通知所述安全人员进行处理。
11.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1至5任一项所述的方法。
12.一种计算机可读非易失性存储介质,其特征在于,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910493269.0A CN110266670A (zh) | 2019-06-06 | 2019-06-06 | 一种终端网络外联行为的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910493269.0A CN110266670A (zh) | 2019-06-06 | 2019-06-06 | 一种终端网络外联行为的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110266670A true CN110266670A (zh) | 2019-09-20 |
Family
ID=67917249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910493269.0A Pending CN110266670A (zh) | 2019-06-06 | 2019-06-06 | 一种终端网络外联行为的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266670A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912889A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测***和方法 |
| CN111277585A (zh) * | 2020-01-16 | 2020-06-12 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN111740855A (zh) * | 2020-05-06 | 2020-10-02 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN112165451A (zh) * | 2020-08-31 | 2021-01-01 | 新浪网技术(中国)有限公司 | Apt攻击分析方法、***及服务器 |
| CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
| CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及*** |
| CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及*** |
| CN114338237A (zh) * | 2022-03-01 | 2022-04-12 | 中国工商银行股份有限公司 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
| CN114598513A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131078A (zh) * | 2016-08-29 | 2016-11-16 | 联动优势科技有限公司 | 一种处理业务请求的方法及装置 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及*** |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
-
2019
- 2019-06-06 CN CN201910493269.0A patent/CN110266670A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131078A (zh) * | 2016-08-29 | 2016-11-16 | 联动优势科技有限公司 | 一种处理业务请求的方法及装置 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及*** |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912889A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测***和方法 |
| CN110912889B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测***和方法 |
| CN111277585A (zh) * | 2020-01-16 | 2020-06-12 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN111740855A (zh) * | 2020-05-06 | 2020-10-02 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN112165451A (zh) * | 2020-08-31 | 2021-01-01 | 新浪网技术(中国)有限公司 | Apt攻击分析方法、***及服务器 |
| CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
| CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及*** |
| CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及*** |
| CN114006723B (zh) * | 2021-09-14 | 2023-08-18 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及*** |
| CN113904920B (zh) * | 2021-09-14 | 2023-10-03 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及*** |
| CN114598513A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
| CN114338237A (zh) * | 2022-03-01 | 2022-04-12 | 中国工商银行股份有限公司 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
| CN114338237B (zh) * | 2022-03-01 | 2024-02-02 | 中国工商银行股份有限公司 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266670A (zh) | 一种终端网络外联行为的处理方法及装置 | |
| US10498744B2 (en) | Integrity monitoring in a local network | |
| US20200412767A1 (en) | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks | |
| CN111866016B (zh) | 日志的分析方法及*** | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN113810408B (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| EP2936772B1 (en) | Network security management | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN114357447A (zh) | 攻击者威胁评分方法及相关装置 | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| US20210377313A1 (en) | Threat Mitigation System and Method | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN114629686A (zh) | 一种漏洞攻击检测方法及装置 | |
| CN116089940A (zh) | 多源安全威胁检测方法和装置 | |
| CN111209171A (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
| CN112769599B (zh) | 一种资源自动接入方法、***及可读存储介质 | |
| CN112953954B (zh) | 一种工业互联网安全能力编排方法 | |
| CN113672910B (zh) | 安全事件处理方法及装置 | |
| US20240064163A1 (en) | System and method for risk-based observability of a computing platform | |
| CN117061159A (zh) | 一种钓鱼邮件拦截方法及装置 | |
| CN115994356A (zh) | 攻击识别方法及相关设备 | |
| CN118300826A (zh) | 基于api资产的数据流量管理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |