CN110351273B - 一种网络追踪长链条攻击的方法、装置和*** - Google Patents

一种网络追踪长链条攻击的方法、装置和*** Download PDF

Info

Publication number
CN110351273B
CN110351273B CN201910626340.8A CN201910626340A CN110351273B CN 110351273 B CN110351273 B CN 110351273B CN 201910626340 A CN201910626340 A CN 201910626340A CN 110351273 B CN110351273 B CN 110351273B
Authority
CN
China
Prior art keywords
abnormal
data
data segments
network
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910626340.8A
Other languages
English (en)
Other versions
CN110351273A (zh
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN201910626340.8A priority Critical patent/CN110351273B/zh
Publication of CN110351273A publication Critical patent/CN110351273A/zh
Application granted granted Critical
Publication of CN110351273B publication Critical patent/CN110351273B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络追踪长链条攻击的方法、装置和***,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,从而实现在大量网络节点中追踪攻击片段的目的,并持续追踪分析异常点,降低虚警的可能性。

Description

一种网络追踪长链条攻击的方法、装置和***
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络追踪长链条攻击的方法、装置和***。
背景技术
当前网络通信面临越来越隐蔽的安全问题,很多攻击来自于隐蔽的、碎片化的形式,现有的防范网络攻击的方法会失效。尤其现在的网络通常具有大量网络节点,攻击者将片段可以分散在各个不同的网络节点上,从而逃避被发现。急需一种能够基于大数据、追踪片段的网络监测攻击的方法。并且服务器在判断网络节点是否为异常时,也存在一定虚警的可能。
发明内容
本发明的目的在于提供一种网络追踪长链条攻击的方法、装置和***,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,解决现有技术中无法在大量网络节点中追踪片段的问题。
第一方面,本申请提供一种网络追踪长链条攻击的方法,所述方法包括:
网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;
所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中***数据发起者标识、所述检查的结果;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对所述异常点,持续追踪分析该异常点的数据流量,判断该异常点对应的访问行为是否为攻击、以及对应的用户身份是否为可疑;如果持续追踪分析确认所述异常点为异常,则标注为异常点;如果持续追踪分析确认为虚警,则标注为伪异常点;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;
所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。
结合第一方面,在第一方面第一种可能的实现方式中,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。
结合第一方面,在第一方面第二种可能的实现方式中,所述网络侧服务器固定周期向各个网络节点发送指令。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络节点在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。
第二方面,本申请提供一种网络追踪长链条攻击的装置,应用于网络节点上,执行全部或部分的方法,所述装置包括:
指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本,以及调用本地策略扫描所述数据片段副本,检查是否包含指定关键词;
数据发送单元,用于将所述数据片段副本在业务处理间隙封装上传给服务器,所述封装包括在数据片段副本中***数据发起者标识、所述检查的结果。
第三方面,本申请提供一种网络追踪长链条攻击的服务器,位于网络侧,执行全部或部分的方法,所述服务器包括:
指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据合并单元,用于接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对所述异常点,持续追踪分析该异常点的数据流量,判断该异常点对应的访问行为是否为攻击、以及对应的用户身份是否为可疑;如果持续追踪分析确认所述异常点为异常,则标注为异常点;如果持续追踪分析确认为虚警,则标注为伪异常点;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
传递单元,用于将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。
第四方面,本申请提供一种网络追踪长链条攻击的***,所述***包括应用有如第二方面所述装置的多个网络节点,以及如第三方面所述的服务器。
本发明提供一种网络追踪长链条攻击的方法、装置和***,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,从而实现在大量网络节点中追踪攻击片段的目的,并持续追踪分析异常点,降低虚警的可能性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网络追踪长链条攻击的方法的流程图;
图2为本发明网络追踪长链条攻击的装置的内部结构图;
图3为本发明网络追踪长链条攻击的服务器的内部结构图;
图4为本发明网络追踪长链条攻击的***的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的网络追踪长链条攻击的方法的流程图,所述方法包括:
网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;
所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中***数据发起者标识、所述检查的结果;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对所述异常点,持续追踪分析该异常点的数据流量,判断该异常点对应的访问行为是否为攻击、以及对应的用户身份是否为可疑;如果持续追踪分析确认所述异常点为异常,则标注为异常点;如果持续追踪分析确认为虚警,则标注为伪异常点;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;
所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。
在一些优选实施例中,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。
在一些优选实施例中,所述网络侧服务器固定周期向各个网络节点发送指令档。
在一些优选实施例中,所述网络节点在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。
图2为本申请提供的网络追踪长链条攻击的装置的内部结构图,所述装置包括:
指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本,以及调用本地策略扫描所述数据片段副本,检查是否包含指定关键词;
数据发送单元,用于将所述数据片段副本在业务处理间隙封装上传给服务器,所述封装包括在数据片段副本中***数据发起者标识、所述检查的结果。
在一些优选实施例中,所述装置在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。
图3为本申请提供的网络追踪长链条攻击的服务器的内部结构图,所述服务器包括:
指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据合并单元,用于接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对所述异常点,持续追踪分析该异常点的数据流量,判断该异常点对应的访问行为是否为攻击、以及对应的用户身份是否为可疑;如果持续追踪分析确认所述异常点为异常,则标注为异常点;如果持续追踪分析确认为虚警,则标注为伪异常点;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
传递单元,用于将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。
在一些优选实施例中,所述网络侧服务器是集群服务器。
在一些优选实施例中,所述网络侧服务器固定周期向各个网络节点发送指令档。
图4为本申请提供的网络追踪长链条攻击的***的架构图,所述***包括应用有如图2所示装置的多个网络节点,以及如图3所示的服务器。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (7)

1.一种网络追踪长链条攻击的方法,其特征在于,包括:
网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到网络侧服务器;
所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段;
所述各个网络节点先调用本地策略扫描所述数据片段,检查是否包含指定关键词,再将所述数据片段在业务处理间隙封装上传给网络侧服务器;所述封装包括在数据片段中***数据发起者标识、所述检查的结果;
所述网络侧服务器接收到封装后的数据片段后,将解析后的数据片段与网络侧服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
所述网络侧服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对所述异常点,持续追踪分析该异常点的数据流量,判断该异常点对应的访问行为是否为攻击、以及对应的用户身份是否为可疑;如果持续追踪分析确认所述异常点为异常,则标注为异常点;如果持续追踪分析确认为虚警,则标注为伪异常点;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
所述网络侧服务器将所述前后关联关系、所述途径点、所述潜在攻击轨迹传递给显示处理装置;
所述网络侧服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;
所述显示处理装置接收到所述前后关联关系、所述途径点、所述潜在攻击轨迹后,将所述途径点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。
2.根据权利要求1所述的方法,其特征在于,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。
3.根据权利要求1-2任一所述的方法,其特征在于,所述网络侧服务器固定周期向各个网络节点发送指令。
4.根据权利要求3所述的方法,其特征在于,所述网络节点在业务处理间隙上传数据片段包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向网络侧服务器上传数据片段。
5.一种网络追踪长链条攻击的装置,应用于网络节点上,执行如权利要求1-4任一项所述的方法,其特征在于,包括:
指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到网络侧服务器;
数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段,以及调用本地策略扫描所述数据片段,检查是否包含指定关键词;
数据发送单元,用于将所述数据片段在业务处理间隙封装上传给网络侧服务器,所述封装包括在数据片段中***数据发起者标识、所述检查的结果。
6.一种网络追踪长链条攻击的网络侧服务器,位于网络侧,执行如权利要求1-4任一项所述的方法,其特征在于,包括:
指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到网络侧服务器;
数据合并单元,用于接收到封装后的数据片段后,将解析后的数据片段与网络侧服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对所述异常点,持续追踪分析该异常点的数据流量,判断该异常点对应的访问行为是否为攻击、以及对应的用户身份是否为可疑;如果持续追踪分析确认所述异常点为异常,则标注为异常点;如果持续追踪分析确认为虚警,则标注为伪异常点;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
传递单元,用于将所述前后关联关系、所述途径点、所述潜在攻击轨迹传递给显示处理装置;
模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。
7.一种网络追踪长链条攻击的***,其特征在于,所述***包括应用有如权利要求5所述装置的多个网络节点,以及如权利要求6所述的网络侧服务器。
CN201910626340.8A 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和*** Active CN110351273B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910626340.8A CN110351273B (zh) 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910626340.8A CN110351273B (zh) 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和***

Publications (2)

Publication Number Publication Date
CN110351273A CN110351273A (zh) 2019-10-18
CN110351273B true CN110351273B (zh) 2021-09-03

Family

ID=68175091

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910626340.8A Active CN110351273B (zh) 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和***

Country Status (1)

Country Link
CN (1) CN110351273B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111787002B (zh) * 2020-06-30 2022-05-20 安全能力生态聚合(北京)运营科技有限公司 一种业务数据网络安全分析的方法及***
CN111858482B (zh) * 2020-07-15 2021-10-15 北京市燃气集团有限责任公司 一种攻击事件追踪溯源方法、***、终端及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104539626A (zh) * 2015-01-14 2015-04-22 中国人民解放军信息工程大学 一种基于多源报警日志的网络攻击场景生成方法
CN104731816A (zh) * 2013-12-23 2015-06-24 阿里巴巴集团控股有限公司 一种处理异常业务数据的方法和装置
CN105208000A (zh) * 2015-08-21 2015-12-30 深信服网络科技(深圳)有限公司 网络分析攻击回溯的方法及网络安全设备
CN105763529A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种网络环境下攻击链获取方法及***
CN109067815A (zh) * 2018-11-06 2018-12-21 深信服科技股份有限公司 攻击事件溯源分析方法、***、用户设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8464221B2 (en) * 2009-06-16 2013-06-11 Microsoft Corporation Visualization tool for system tracing infrastructure events
US9998480B1 (en) * 2016-02-29 2018-06-12 Symantec Corporation Systems and methods for predicting security threats
WO2017184233A1 (en) * 2016-04-18 2017-10-26 Acalvio Technologies, Inc. Systems and methods for detecting and tracking adversary trajectory
CN108833186B (zh) * 2018-06-29 2021-01-12 北京奇虎科技有限公司 一种网络攻击预测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104731816A (zh) * 2013-12-23 2015-06-24 阿里巴巴集团控股有限公司 一种处理异常业务数据的方法和装置
CN104539626A (zh) * 2015-01-14 2015-04-22 中国人民解放军信息工程大学 一种基于多源报警日志的网络攻击场景生成方法
CN105208000A (zh) * 2015-08-21 2015-12-30 深信服网络科技(深圳)有限公司 网络分析攻击回溯的方法及网络安全设备
CN105763529A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种网络环境下攻击链获取方法及***
CN109067815A (zh) * 2018-11-06 2018-12-21 深信服科技股份有限公司 攻击事件溯源分析方法、***、用户设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于地图的网络攻击可视化***设计与实现;李秋霞;《中国优秀硕士学位论文全文数据库》;20180815;全文 *

Also Published As

Publication number Publication date
CN110351273A (zh) 2019-10-18

Similar Documents

Publication Publication Date Title
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和***
CN110505241B (zh) 一种网络攻击面检测方法及***
WO2022083417A1 (zh) 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
CN105678193B (zh) 一种防篡改的处理方法和装置
CN110381047B (zh) 一种网络攻击面追踪的方法、服务器和***
CN110351273B (zh) 一种网络追踪长链条攻击的方法、装置和***
CN110365673B (zh) 一种隔离网络攻击面的方法、服务器和***
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN111092889B (zh) 分布式数据节点异常行为检测方法、装置及服务器
CN111049786A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN110351274B (zh) 一种网络攻击面追踪的方法、服务器和***
AU2019302938A1 (en) Decentralized automatic phone fraud risk management
CN111371778A (zh) 攻击团伙的识别方法、装置、计算设备以及介质
CN110830496B (zh) 一种防止扫描权限文件的***的使用方法及作业方法
CN110213301B (zh) 一种转移网络攻击面的方法、服务器和***
CN113645233A (zh) 流量数据的风控智能决策方法、装置、电子设备和介质
CN113098852A (zh) 一种日志处理方法及装置
CN111885088A (zh) 基于区块链的日志监测方法及装置
CN110324353B (zh) 一种网络追踪长链条攻击的方法、装置和***
CN109195160B (zh) 网络设备资源探查信息的防篡改存储***及其控制方法
CN110365675B (zh) 一种网络追踪长链条攻击的方法、装置和***
CN110378404B (zh) 一种网络追踪长链条攻击的方法、装置和***
CN110324354B (zh) 一种网络追踪长链条攻击的方法、装置和***
CN115603938A (zh) 攻击防护方法、终端设备及计算机可读存储介质
CN115314265A (zh) 基于流量和时序识别tls加密应用的方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant