CN110489969A - 基于soar处置主机挖矿病毒的***和电子设备 - Google Patents
基于soar处置主机挖矿病毒的***和电子设备 Download PDFInfo
- Publication number
- CN110489969A CN110489969A CN201910782904.7A CN201910782904A CN110489969A CN 110489969 A CN110489969 A CN 110489969A CN 201910782904 A CN201910782904 A CN 201910782904A CN 110489969 A CN110489969 A CN 110489969A
- Authority
- CN
- China
- Prior art keywords
- information
- host
- module
- virus
- main engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种基于SOAR处置主机挖矿病毒的***和电子设备,包括:主机防护软件***在主机资源占用异常时,收集占用主机资源的进程信息,将进程信息发送至沙盒***和威胁情报***;沙盒***确定样本文件是否为恶意文件;威胁情报***确定进程属性信息是否合法;主机防护软件管控中心根据沙盒***发送的第一确定信息和威胁情报***发送的第二确定信息确定进程信息是否为挖矿病毒的进程信息,在得到进程信息为挖矿病毒的进程信息时,下发处置策略至主机防护软件***和网关防火墙***,以使主机防护软件***和网关防火墙***对挖矿病毒进行处置。本发明通过安全编排自动响应的方式处置全网挖矿病毒,提高了安全运维效率,响应快。
Description
技术领域
本发明涉及信息安全的技术领域,尤其是涉及一种基于SOAR处置主机挖矿病毒的***和电子设备。
背景技术
目前,随着虚拟货币的持续火热,随之而来的挖矿病毒也日益泛滥。挖矿病毒是一种利用电脑CPU和GPU资源计算产生虚拟货币的恶意程序,会极大的占用CPU的计算资源,导致CPU的处理能力减弱。每个主机***都存在被挖矿病毒利用的问题,主机***一旦被挖矿病毒植入后,会造成主机***CPU负载升高,并且挖矿病毒还会自动横向传播,从而造成全网计算机的计算资源被恶意盗用,降低正常业务的运行效率。所以,如何对主机挖矿病毒进行处置成为了亟待解决的问题。
目前,在对主机挖矿病毒进行处置时,一般先利用主机防护软件对主机进行扫描,当扫描到主机资源占用异常时,再用专杀工具(可以为杀毒软件)手工处置,进行人为的查杀。而当要对全网的主机***都进行挖矿病毒的处置时,只能对每个主机***进行逐一查杀,效率低,挖矿病毒的处置响应慢。
综上,现有的处置主机挖矿病毒的方法存下效率低下、响应慢的技术问题。
发明内容
本发明的目的在于提供一种基于SOAR处置主机挖矿病毒的***和电子设备,以缓解现有的处置主机挖矿病毒的方法效率低下、响应慢的技术问题。
本发明提供的一种基于SOAR处置主机挖矿病毒的***,包括:主机防护软件管控中心、主机防护软件***、沙盒***、威胁情报***和网关防火墙***;
部署在各个主机上的主机防护软件***,用于监控主机资源是否占用异常,并在主机资源占用异常时,收集占用主机资源的进程信息,将所述进程信息中的样本文件发送至所述沙盒***,以及将所述进程信息中的进程属性信息发送至所述威胁情报***,其中,所述样本文件为与进程关联的文件;
所述沙盒***,用于确定所述样本文件是否为恶意文件,并将确定得到的第一确定信息发送至所述主机防护软件管控中心;
所述威胁情报***,用于确定所述进程属性信息是否合法,并将确定得到的第二确定信息发送至所述主机防护软件管控中心;
所述主机防护软件管控中心,用于根据所述第一确定信息和所述第二确定信息确定所述进程信息是否为挖矿病毒的进程信息,并在确定得到所述进程信息为挖矿病毒的进程信息时,下发处置策略至所述主机防护软件***和所述网关防火墙***,以使所述主机防护软件***和所述网关防火墙***对所述挖矿病毒进行处置。
进一步的,所述主机资源占用异常为:在预设周期内,主机平均占用率达到预设阈值。
进一步的,所述主机防护软件***包括:资源监控模块、收集模块和发送模块;
所述资源监控模块,用于实时监控主机资源是否占用异常,并将监控结果发送至所述收集模块;
所述收集模块,用于在所述监控结果为主机资源占用异常时,收集占用主机资源的进程信息;
所述发送模块,用于将所述进程信息中的样本文件发送至所述沙盒***,并将所述进程信息中进程属性信息发送至所述威胁情报***,以及将主机资源占用异常告警发送至所述主机防护软件管控中心。
进一步的,所述进程属性信息包括:进程名称、样本文件特征值、进程外联的IP和进程外联的DNS地址。
进一步的,所述沙盒***包括:文件运行模块和分析模块;
所述文件运行模块,用于模拟运行所述样本文件,以获取所述样本文件对应的行为信息,并将所述行为信息发送至所述分析模块;
所述分析模块,用于将所述行为信息与预设行为模型进行匹配,根据匹配结果确定所述样本文件是否为恶意文件。
进一步的,所述威胁情报***包括:本地威胁情报***和云端威胁情报***;
所述本地威胁情报***,用于存储所述进程属性信息;
所述云端威胁情报***,用于确定所述进程属性信息是否合法。
进一步的,所述云端威胁情报***包括:存储模块和对比模块;
所述存储模块,用于存储威胁情报信息;
所述对比模块,用于将所述进程属性信息与所述存储模块中存储的威胁情报信息进行对比,根据对比结果确定所述进程属性信息是否合法。
进一步的,所述主机防护软件***还包括:查杀模块和禁止模块;
所述查杀模块,用于根据所述处置策略查杀所述挖矿病毒的进程;
所述禁止模块,用于根据所述处置策略禁止所述主机外联恶意IP和恶意DNS地址,其中,所述恶意IP为所述进程外联的IP,所述恶意DNS地址为所述进程外联的DNS地址。
进一步的,所述网关防火墙***包括:拦截模块;
所述拦截模块,用于根据所述处置策略拦截所述主机外联所述恶意IP和所述恶意DNS地址。
本发明还提供了一种电子设备,所述电子设备上部署有上述内容中所述的基于SOAR处置主机挖矿病毒的***。
在本发明实施例中,基于SOAR处置主机挖矿病毒的***包括:主机防护软件管控中心、主机防护软件***、沙盒***、威胁情报***和网关防火墙***;部署在各个主机上的主机防护软件***,用于监控主机资源是否占用异常,并在主机资源占用异常时,收集占用主机资源的进程信息,将进程信息中的样本文件发送至沙盒***,以及将进程信息中的进程属性信息发送至威胁情报***,其中,样本文件为与进程关联的文件;沙盒***,用于确定样本文件是否为恶意文件,并将确定得到的第一确定信息发送至主机防护软件管控中心;威胁情报***,用于确定进程属性信息是否合法,并将确定得到的第二确定信息发送至主机防护软件管控中心;主机防护软件管控中心,用于根据第一确定信息和第二确定信息确定进程信息是否为挖矿病毒的进程信息,并在确定得到进程信息为挖矿病毒的进程信息时,下发处置策略至主机防护软件***和网关防火墙***,以使主机防护软件***和网关防火墙***对挖矿病毒进行处置。通过上述描述可知,本发明通过主机防护软件管控中心、主机防护软件***、沙盒***、威胁情报***和网关防火墙***之间的联动实现了自动对全网主机挖矿病毒的处置,即通过安全编排自动响应的方式处置全网挖矿病毒,提高了安全运维效率,能快速的解决挖矿病毒所带来的危害,响应快,缓解了现有的处置主机挖矿病毒的方法效率低下、响应慢的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于SOAR处置主机挖矿病毒的***的示意图;
图2为本发明实施例提供的主机防护软件***的示意图;
图3为本发明实施例提供的沙盒***的示意图;
图4为本发明实施例提供的云端威胁情报***的示意图。
图标:11-主机防护软件管控中心;12-主机防护软件***;13-沙盒***;14-威胁情报***;15-网关防火墙***;121-资源监控模块;122-收集模块;123-发送模块;124-查杀模块;125-禁止模块;131-文件运行模块;132-分析模块;141-存储模块;142-对比模块。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于SOAR处置主机挖矿病毒的***进行详细介绍。
实施例一:
本发明实施例提供了一种基于SOAR处置主机挖矿病毒的***,以下对本发明实施例提供的基于SOAR处置主机挖矿病毒的***做具体介绍。
图1是根据本发明实施例的一种基于SOAR处置主机挖矿病毒的***的示意图,如图1所示,该基于SOAR处置主机挖矿病毒的***包括:主机防护软件管控中心11、主机防护软件***12、沙盒***13、威胁情报***14和网关防火墙***15;
部署在各个主机上的主机防护软件***12,用于监控主机资源是否占用异常,并在主机资源占用异常时,收集占用主机资源的进程信息,将进程信息中的样本文件发送至沙盒***13,以及将进程信息中的进程属性信息发送至威胁情报***,其中,样本文件为与进程关联的文件;
沙盒***13,用于确定样本文件是否为恶意文件,并将确定得到的第一确定信息发送至主机防护软件管控中心11;
威胁情报***14,用于确定进程属性信息是否合法,并将确定得到的第二确定信息发送至主机防护软件管控中心11;
主机防护软件管控中心11,用于根据第一确定信息和第二确定信息确定进程信息是否为挖矿病毒的进程信息,并在确定得到进程信息为挖矿病毒的进程信息时,下发处置策略至主机防护软件***12和网关防火墙***15,以使主机防护软件***12和网关防火墙***15对挖矿病毒进行处置。
在本发明实施例中,在全网的每个主机上都部署有主机防护软件***12,主机防护软件***12能够监控其对应的主机的主机资源是否占用异常,并在主机资源占用异常时,收集占用主机资源的进程信息,发送至沙盒***13和威胁情报***,以使沙盒***13和威胁情报***对上述进程信息进行确认。
需要说明的是,主机防护软件***12可以直接将进程信息中进程属性信息发送至威胁情报***,也可以先将进程信息中进程属性信息发送至主机防护软件管控中心11,再由主机防护软件管控中心11将上述进程属性信息发送至威胁情报***。
上述SOAR(Security Orchestration,Automation and Response)是指安全编排自动化响应模型,本实施例在处置主机挖矿病毒时,采用的机制即为安全编排自动化响应机制。
在本发明实施例中,基于SOAR处置主机挖矿病毒的***包括:主机防护软件管控中心11、主机防护软件***12、沙盒***13、威胁情报***和网关防火墙***15;部署在各个主机上的主机防护软件***12,用于监控主机资源是否占用异常,并在主机资源占用异常时,收集占用主机资源的进程信息,将进程信息中的样本文件发送至沙盒***13,以及将进程信息中进程属性信息发送至威胁情报***,其中,样本文件为与进程关联的文件;沙盒***13,用于确定样本文件是否为恶意文件,并将确定得到的第一确定信息发送至主机防护软件管控中心11;威胁情报***14,用于确定进程属性信息是否合法,并将确定得到的第二确定信息发送至主机防护软件管控中心11;主机防护软件管控中心11,用于根据第一确定信息和第二确定信息确定进程信息是否为挖矿病毒的进程信息,并在确定得到进程信息为挖矿病毒的进程信息时,下发处置策略至主机防护软件***12和网关防火墙***15,以使主机防护软件***12和网关防火墙***15对挖矿病毒进行处置。通过上述描述可知,本发明通过主机防护软件管控中心11、主机防护软件***12、沙盒***13、威胁情报***和网关防火墙***15之间的联动实现了自动对全网主机挖矿病毒的处置,即通过安全编排自动响应的方式处置全网挖矿病毒,提高了安全运维效率,能快速的解决挖矿病毒所带来的危害,响应快,缓解了现有的处置主机挖矿病毒的方法效率低下、响应慢的技术问题。
上述内容对本发明的基于SOAR处置主机挖矿病毒的***进行了简要介绍,下面对其中涉及到的具体内容进行详细描述。
在本发明的一个可选实施例中,主机资源占用异常为:在预设周期内,主机平均占用率达到预设阈值。
例如:在5分钟内,主机平均占用率达到80%,本实施例对上述预设周期和预设阈值不进行限制,还可以为其它值。
在本发明的一个可选实施例中,参考图2,主机防护软件***12包括:资源监控模块121、收集模块122和发送模块123;
资源监控模块121,用于实时监控主机资源是否占用异常,并将监控结果发送至收集模块122;
收集模块122,用于在监控结果为主机资源占用异常时,收集占用主机资源的进程信息;
发送模块123,用于将进程信息中的样本文件发送至沙盒***13,并将进程信息中进程属性信息发送至威胁情报***,以及将主机资源占用异常告警发送至主机防护软件管控中心11。
具体的,进程属性信息包括:进程名称、样本文件特征值、进程外联的IP和进程外联的DNS地址。
在本发明的一个可选实施例中,参考图3,沙盒***13包括:文件运行模块131和分析模块132;
文件运行模块131,用于模拟运行样本文件,以获取样本文件对应的行为信息,并将行为信息发送至分析模块132;
分析模块132,用于将行为信息与预设行为模型进行匹配,根据匹配结果确定样本文件是否为恶意文件。
沙盒***13收到样本文件后,其文件运行模块131模拟样本文件的执行过程,动态分析样本文件的行为,分析将样本文件的行为信息模块与预设行为模型进行匹配,根据匹配结果确定样本文件是否为恶意文件。其中,预设行为模型具体可以为预设恶意行为模型,当行为信息与该预设恶意行为模型匹配时(或者匹配后相似度大于预设阈值时),确定样本文件为恶意文件。
在本发明的一个可选实施例中,威胁情报***14包括:本地威胁情报***和云端威胁情报***;
本地威胁情报***,用于存储进程属性信息;
云端威胁情报***,用于确定进程属性信息是否合法。
具体的,参考图4,云端威胁情报***包括:存储模块141和对比模块142;
存储模块141,用于存储威胁情报信息;
对比模块142,用于将进程属性信息与存储模块141中存储的威胁情报信息进行对比,根据对比结果确定进程属性信息是否合法。
如果进程属性信息与存储模块141中存储的威胁情报信息的匹配度大于预设匹配度,那么,可以确定得到进程属性信息不合法;相反,则确定进程属性信息合法。
在本发明的一个可选实施例中,主机防护软件管控中心11包括:综合确定模块和处置策略下发模块;
综合确定模块,用于根据第一确定信息和第二确定信息确定进程信息是否为挖矿病毒的进程信息;
处置策略下发模块,用于在综合确定模块确定进程信息为挖矿病毒的进程信息时,下发处置策略至主机防护软件***12和网关防火墙***15。
综合确定模块在确定进程信息是否为挖矿病毒的进程信息时,可以分别为第一确定信息设置第一预设权重,为第二确定信息设置第二预设权重,将第一预设权重与第一确定信息(可以为概率值)的数据相乘,再加上第二预设权重与第二确定信息的数据,得到的和即为进程信息是否为挖矿病毒的进程信息的概率,再将得到的概率与预设概率阈值进行对比,进而确定进程信息是否为挖矿病毒的进程信息。这里只介绍了确定进程信息是否为挖矿病毒的进程信息一种实现方式,本发明实施例对该种是宪法方式不进行具体限制。
在本发明的一个可选实施例中,参考图2,主机防护软件***12还包括:查杀模块124和禁止模块125;
查杀模块124,用于根据处置策略查杀挖矿病毒的进程;
禁止模块125,用于根据处置策略禁止主机外联恶意IP和恶意DNS地址,其中,恶意IP为进程外联的IP,恶意DNS地址为进程外联的DNS地址。
在本发明的一个可选实施例中,网关防火墙***15包括:拦截模块;
拦截模块,用于根据处置策略拦截主机外联恶意IP和恶意DNS地址。
这样,在主机防护软件***12和网关防火墙***15的配合下,全网主机的挖矿病毒被彻底清理,恶意IP和恶意DNS被隔离。
实施例二:
本发明实施例还提供了一种电子设备,该电子设备上部署有上述实施例一中的基于SOAR处置主机挖矿病毒的***。
本发明实施例所提供的基于SOAR处置主机挖矿病毒的***和电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于SOAR处置主机挖矿病毒的***,其特征在于,包括:主机防护软件管控中心、主机防护软件***、沙盒***、威胁情报***和网关防火墙***;
部署在各个主机上的主机防护软件***,用于监控主机资源是否占用异常,并在主机资源占用异常时,收集占用主机资源的进程信息,将所述进程信息中的样本文件发送至所述沙盒***,以及将所述进程信息中的进程属性信息发送至所述威胁情报***,其中,所述样本文件为与进程关联的文件;
所述沙盒***,用于确定所述样本文件是否为恶意文件,并将确定得到的第一确定信息发送至所述主机防护软件管控中心;
所述威胁情报***,用于确定所述进程属性信息是否合法,并将确定得到的第二确定信息发送至所述主机防护软件管控中心;
所述主机防护软件管控中心,用于根据所述第一确定信息和所述第二确定信息确定所述进程信息是否为挖矿病毒的进程信息,并在确定得到所述进程信息为挖矿病毒的进程信息时,下发处置策略至所述主机防护软件***和所述网关防火墙***,以使所述主机防护软件***和所述网关防火墙***对所述挖矿病毒进行处置。
2.根据权利要求1所述的***,其特征在于,所述主机资源占用异常为:在预设周期内,主机平均占用率达到预设阈值。
3.根据权利要求1所述的***,其特征在于,所述主机防护软件***包括:资源监控模块、收集模块和发送模块;
所述资源监控模块,用于实时监控主机资源是否占用异常,并将监控结果发送至所述收集模块;
所述收集模块,用于在所述监控结果为主机资源占用异常时,收集占用主机资源的进程信息;
所述发送模块,用于将所述进程信息中的样本文件发送至所述沙盒***,并将所述进程信息中进程属性信息发送至所述威胁情报***,以及将主机资源占用异常告警发送至所述主机防护软件管控中心。
4.根据权利要求1所述的***,其特征在于,所述进程属性信息包括:进程名称、样本文件特征值、进程外联的IP和进程外联的DNS地址。
5.根据权利要求1所述的***,其特征在于,所述沙盒***包括:文件运行模块和分析模块;
所述文件运行模块,用于模拟运行所述样本文件,以获取所述样本文件对应的行为信息,并将所述行为信息发送至所述分析模块;
所述分析模块,用于将所述行为信息与预设行为模型进行匹配,根据匹配结果确定所述样本文件是否为恶意文件。
6.根据权利要求1所述的***,其特征在于,所述威胁情报***包括:本地威胁情报***和云端威胁情报***;
所述本地威胁情报***,用于存储所述进程属性信息;
所述云端威胁情报***,用于确定所述进程属性信息是否合法。
7.根据权利要求6所述的***,其特征在于,所述云端威胁情报***包括:存储模块和对比模块;
所述存储模块,用于存储威胁情报信息;
所述对比模块,用于将所述进程属性信息与所述存储模块中存储的威胁情报信息进行对比,根据对比结果确定所述进程属性信息是否合法。
8.根据权利要求4所述的***,其特征在于,所述主机防护软件***还包括:查杀模块和禁止模块;
所述查杀模块,用于根据所述处置策略查杀所述挖矿病毒的进程;
所述禁止模块,用于根据所述处置策略禁止所述主机外联恶意IP和恶意DNS地址,其中,所述恶意IP为所述进程外联的IP,所述恶意DNS地址为所述进程外联的DNS地址。
9.根据权利要求8所述的***,其特征在于,所述网关防火墙***包括:拦截模块;
所述拦截模块,用于根据所述处置策略拦截所述主机外联所述恶意IP和所述恶意DNS地址。
10.一种电子设备,其特征在于,所述电子设备上部署有上述权利要求1至9中任一项所述的基于SOAR处置主机挖矿病毒的***。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910782904.7A CN110489969B (zh) | 2019-08-22 | 2019-08-22 | 基于soar处置主机挖矿病毒的***和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910782904.7A CN110489969B (zh) | 2019-08-22 | 2019-08-22 | 基于soar处置主机挖矿病毒的***和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110489969A true CN110489969A (zh) | 2019-11-22 |
| CN110489969B CN110489969B (zh) | 2021-05-25 |
Family
ID=68553155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910782904.7A Active CN110489969B (zh) | 2019-08-22 | 2019-08-22 | 基于soar处置主机挖矿病毒的***和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110489969B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797393A (zh) * | 2020-06-23 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN112052053A (zh) * | 2020-10-10 | 2020-12-08 | 国科晋云技术有限公司 | 一种清理高性能计算集群中挖矿程序的方法及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125233A (zh) * | 2014-08-06 | 2014-10-29 | 南通大学 | 基于VMSoar和Soar的认知的入侵防御方法 |
| CN104503894A (zh) * | 2014-12-31 | 2015-04-08 | 中国石油天然气股份有限公司 | 分布式服务器状态实时监测***及方法 |
-
2019
- 2019-08-22 CN CN201910782904.7A patent/CN110489969B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125233A (zh) * | 2014-08-06 | 2014-10-29 | 南通大学 | 基于VMSoar和Soar的认知的入侵防御方法 |
| CN104503894A (zh) * | 2014-12-31 | 2015-04-08 | 中国石油天然气股份有限公司 | 分布式服务器状态实时监测***及方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797393A (zh) * | 2020-06-23 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN112052053A (zh) * | 2020-10-10 | 2020-12-08 | 国科晋云技术有限公司 | 一种清理高性能计算集群中挖矿程序的方法及*** |
| CN112052053B (zh) * | 2020-10-10 | 2023-12-19 | 国科晋云技术有限公司 | 一种清理高性能计算集群中挖矿程序的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110489969B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Karie et al. | IoT threat detection advances, challenges and future directions | |
| US6742128B1 (en) | Threat assessment orchestrator system and method | |
| Kumar et al. | Intrusion Detection System using decision tree algorithm | |
| EP2769508B1 (en) | System and method for detection of denial of service attacks | |
| CN114584405B (zh) | 一种电力终端安全防护方法及*** | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| CN106209817B (zh) | 基于大数据和可信计算的信息网络安全自防御*** | |
| US7941855B2 (en) | Computationally intelligent agents for distributed intrusion detection system and method of practicing same | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护*** | |
| CN108289088A (zh) | 基于业务模型的异常流量检测***及方法 | |
| CN109362235A (zh) | 对网络可访问存储装置处的事务进行分类 | |
| CN106803037A (zh) | 一种软件安全防护方法及装置 | |
| CN110489969A (zh) | 基于soar处置主机挖矿病毒的***和电子设备 | |
| US20200287916A1 (en) | Method of threat detection in a computer network security system | |
| Chaudhari et al. | Intrusion detection system: classification, techniques and datasets to implement | |
| Al-Maksousy et al. | NIDS: Neural network based intrusion detection system | |
| CN110401638A (zh) | 一种网络流量分析方法及装置 | |
| CN103077352A (zh) | 一种基于云平台的程序行为分析的主动防御方法 | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与*** | |
| CN104580087A (zh) | 一种免疫网络*** | |
| Wahal et al. | Intrusion detection system in python | |
| CN115208690A (zh) | 一种基于数据分类分级的筛查处理*** | |
| Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |