CN110661795A - 一种向量级威胁情报自动生产、分发***及方法 - Google Patents
一种向量级威胁情报自动生产、分发***及方法 Download PDFInfo
- Publication number
- CN110661795A CN110661795A CN201910896724.1A CN201910896724A CN110661795A CN 110661795 A CN110661795 A CN 110661795A CN 201910896724 A CN201910896724 A CN 201910896724A CN 110661795 A CN110661795 A CN 110661795A
- Authority
- CN
- China
- Prior art keywords
- vector
- analysis
- detection module
- threat information
- user side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的一种向量级威胁情报自动生产、分发***及方法,通过厂商侧下发初始向量级威胁情报及部署相应防御策略到用户侧的分析集群,分析集群将初始向量级威胁情报及相应防御策略下发并部署到端点检测模块和流量检测模块赋予网络端点及流量检测初始安全检测能力,端点检测模块和流量检测模块不断捕获可疑样本及异常流量数据并上传,分析集群针对上传的样本进行自动化的分析,生成向量级威胁情报及相应的防御策略并再次下发到端点检测模块及流量检测模块,用户侧的检测分析库不断丰富完善,最终形成针对用户环境的完善网络安全防御体系,解决了目前防御始终滞后于网络攻击,不能在用户侧形成一个针对用户环境的完善网络安全防御体系的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种向量级威胁情报自动生产、分发***及方法。
背景技术
网络攻击专业性和针对性不断提升,攻击手段变幻莫测,单一企业用户的网络环境趋于同构,不同客户的网络又趋于异构,目前,对于网络上层出不穷的攻击者以及错综复杂的***环境,传统的做法通过人工提取特征部署针对性的防御策略,虽然人工提取准确率高,针对性强,但效率底下,不能实现对攻击行为的快速响应,防御始终滞后于网络攻击,用户难以实现对攻击事件的整体监控并且在用户侧形成一个针对用户环境的完善网络安全防御体系。
发明内容
有鉴于此,本发明实施例提供了一种向量级威胁情报自动生产、分发***及方法,解决了现有技术中不能实现对攻击行为的快速响应,防御始终滞后于网络攻击,用户难以实现对攻击事件的整体监控并且在用户侧形成一个针对用户环境的完善网络安全防御体系的问题。
第一方面,本发明实施例提供一种向量级威胁情报自动生产、分发***,包括:
厂商侧和用户侧,用户侧包括:分析集群、端点检测模块、流量检测模块;
厂商侧:用于针对用户的***环境给用户侧下发初始向量级威胁情报并将其部署到用户侧的分析集群;
分析集群:用于接收并自动分析厂商侧下发的初始向量级威胁情报,并下发至端点检测模块和流量检测模块,自动分析用户侧上传的可疑样本及网络异常流量数据并生成向量级威胁情报及对应的防御策略,并将向量级威胁情报及对应的防御策略下发到用户侧的端点检测模块和流量检测模块;
端点检测模块:用于接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络端点的可疑样本并将其上传至分析集群;
流量检测模块:用于接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络异常流量数据并将其上传至分析集群。
进一步地,所述端点检测模块和流量检测模块,还包括:预处理模块,用于对捕获到的可疑样本和网络异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段。
进一步地,所述分析集群,包括:接收模块、自动化静态分析模块、自动化动态分析模块、情报及策略下发模块;接收模块用于接收用户侧上传的可疑样本及异常流量数据;自动化静态分析模块用于对可疑样本及异常流量数据进行自动化静态分析:根据厂商侧下发的初始向量级威胁情报及前次生成的向量级威胁情报对样本进行标定,并提取向量级威胁情报;自动化动态分析模块用于对可疑样本及网络异常流量数据进行自动化动态分析:根据用户侧网络端点上传的可疑样本部署对应的沙盒***,运行可疑样本及文件进行动态分析,提取向量级威胁情报;情报及策略下发模块用于向端点检测模块和流量检测模块下发并部署分析集群生成的向量级威胁情报及策略。
第二方面,本发明实施例提供一种向量级威胁情报自动生产、分发方法,包括:
S1:安全厂商根据用户的***环境给用户侧下发初始向量级威胁情报及其对应的防御策略,并将其部署到用户侧的分析集群;
S2:分析集群将安全厂商下发到用户侧的初始向量级威胁情报及其对应的防御策略继续下发到用户侧网络端点和流量检测设备;
S3:端点检测模块接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络端点的可疑样本并将其上传至分析集群,流量检测模块接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络异常流量数据并将其上传至分析集群;
S4:分析集群接收上传的用户侧网络端点的可疑样本及异常流量数据并对其进行自动分析,生成对应的向量级威胁情报和对应的防御策略;
S5:分析集群再次向端点检测模块和流量检测模块下发前次自动分析生成的向量级威胁情报和对应的防御策略并处置检测到的网络威胁;
S6:循环进行S3-S5,进行深度学习,不断丰富用户侧的向量级威胁情报及防御策略,进而生成针对用户的***环境的向量级威胁情报及防御策略下发体系。
进一步地,所述端点检测模块捕获用户侧网络端点的可疑样本并将其上传至分析集群,流量检测模块捕获用户侧网络异常流量数据并将其上传至分析集群,还包括:对捕获到的可疑样本和网络异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段。
进一步地,所述分析集群接收上传的用户侧网络端点的可疑样本及异常流量数据并对其进行自动分析,包括:对可疑样本及网络异常流量数据进行自动化静态分析:根据厂商侧下发的初始向量级威胁情报及前次生成的向量级威胁情报对样本进行标定,并提取向量级威胁情报;对可疑样本及网络异常流量数据进行自动化动态分析:根据用户侧网络端点上传的可疑样本部署对应的沙盒***,运行可疑样本及文件进行动态分析,提取向量级威胁情报。
进一步地,所述对样本进行标定,具体为:分析集群对接收的用户侧网络端点的可疑样本及异常流量数据进行自动化的静态分析,提取其中的模糊哈希、域名、IP或数字统计学特征作为向量级威胁情报并根据向量级威胁情报内容从行为特征、威胁程度及所关联的组织信息、采用的具体工具进行标定,建立攻击者画像,通过不断的自动化静态分析完善攻击者画像。
本发明实施例提供的一种向量级威胁情报自动生产、分发***及方法,通过厂商侧下发初始向量级威胁情报及部署相应防御策略到用户侧的分析集群,给用户侧设置一个初始检测分析库,分析集群将初始向量级威胁情报及相应防御策略下发并部署到端点检测模块和流量检测模块赋予网络端点及流量检测初始安全检测能力,端点检测模块和流量检测模块不断捕获可疑样本及异常流量数据并上传至分析集群,分析集群针对上传的样本进行自动化的分析,生成向量级威胁情报及相应的防御策略,并再次下发到端点检测模块及流量检测模块,不断提升用户侧的安全检测能力,循环往复深度学习用户侧的检测分析库不断丰富完善,最终形成针对用户环境的完善网络安全防御体系,在网络攻击发生时,用户侧在短时间内就可以进行检测并告警,及时下发防御策略对攻击进行处置,解决了现有技术中不能实现对攻击行为的快速响应,防御始终滞后于网络攻击,用户难以实现对攻击事件的整体监控并且在用户侧形成一个针对用户环境的完善网络安全防御体系的问题。
本发明实施例能够达到如下技术效果:本发明可以在用户侧形成一个针对用户***环境的完善的网络安全防御体系,采用本发明***及方法,可以使用户侧对威胁的检测能力趋于私有化,具备独特性和针对性,在网络威胁发生时,用户侧在短时间内就可以进行检测并告警,及时下发防御策略对攻击进行处置。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种向量级威胁情报自动生产、分发***结构图;
图2为本发明的一种向量级威胁情报自动生产、分发***又一结构图;
图3为本发明的一种向量级威胁情报自动生产、分发方法的实施例流程图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了更清楚地陈述本发明的具体实施例,对如下名词进行解释:
向量:扫描样本所收集到的关于样本的各种信息;
提取向量级威胁情报:是指获得样本中各种有价值信息,对样本中的向量级威胁情报进行提取,所提取内容包括但不限于APT组织特定的字符串(互斥量、PDB路径、特殊组件名称等),IP和域名、静态和动态得到的行为信息、文件结构性信息等。
第一方面,本发明实施例提供一种向量级威胁情报自动生产、分发***,图1为本发明的一种向量级威胁情报自动生产、分发***结构图,包括:
厂商侧1-1和用户侧1-2,用户侧包括:分析集群1-2-1、端点检测模块1-2-2、流量检测模块1-2-3;
厂商侧1-1:用于针对用户的***环境给用户侧下发初始向量级威胁情报并将其部署到用户侧的分析集群1-2-1,赋予用户侧初始安全检测能力;
分析集群1-2-1:用于接收并自动分析厂商侧1-1下发的初始向量级威胁情报,并下发至端点检测模块1-2-2和流量检测模块1-2-3,自动分析用户侧上传的可疑样本及网络异常流量数据并生成向量级威胁情报及对应的防御策略,并将向量级威胁情报及对应的防御策略下发到用户侧1-2的端点检测模块1-2-2和流量检测模块1-2-3;
端点检测模块1-2-2:用于接收分析集群1-2-1下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧1-2网络端点的可疑样本并将其上传至分析集群1-2-1;
流量检测模块1-2-3:用于接收分析集群1-2-1下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧1-2网络异常流量数据并将其上传至分析集群1-2-1。
第二方面,本发明实施例提供一种向量级威胁情报自动生产、分发***,图2为本发明的一种向量级威胁情报自动生产、分发***的又一结构图,包括:
厂商侧2-1和用户侧2-2,用户侧2-2包括:接收模块2-2-1、自动化静态分析模块2-2-2、自动化动态分析模块2-2-3、情报及策略下发模块2-2-4、端点检测模块及预处理模块2-2-5、流量检测模块及预处理模块2-2-6;
厂商侧2-1:用于针对用户的***环境给用户侧2-2下发初始向量级威胁情报并将其部署到用户侧2-2,赋予用户侧初始安全检测能力;
接收模块2-2-1用于接收用户侧2-2上传的可疑样本及网络异常流量数据;
自动化静态分析模块2-2-2用于对可疑样本及网络异常流量数据进行自动化静态分析:根据厂商侧2-1下发的初始向量级威胁情报及前次生成的向量级威胁情报对样本进行标定,并提取向量级威胁情报;
自动化动态分析模块2-2-3用于对可疑样本及网络异常流量数据进行自动化动态分析:根据用户侧2-2网络端点上传的可疑样本部署对应的沙盒***,运行可疑样本及文件进行动态分析,提取向量级威胁情报;
情报及策略下发模块2-2-4用于向端点检测模块2-2-5和流量检测模块2-2-6下发并部署生成的向量级威胁情报及策略,提升用户侧2-2的安全检测能力。
端点检测模块及预处理模块2-2-5:用于接收自动化静态分析模块2-2-2及自动化动态分析模块2-2-3下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧2-2网络端点的可疑样本并将其上传至自动化静态分析模块2-2-2及自动化动态分析模块2-2-3并对捕获到的可疑样本和网络异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段;
流量检测模块及预处理模块2-2-6:用于接收自动化静态分析模块2-2-2及自动化动态分析模块2-2-3下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧2-2网络异常流量数据并将其上传至自动化静态分析模块2-2-2及自动化动态分析模块2-2-3并对捕获到的可疑样本和网络异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段。
第三方面,本发明实施例提供一种向量级威胁情报自动生产、分发方法,图3为本发明的一种向量级威胁情报自动生产、分发方法的实施例流程图,包括:
S301:安全厂商根据用户的***环境给用户侧下发初始向量级威胁情报及其对应的防御策略,并将其部署到用户侧的分析集群;
S302:分析集群将安全厂商下发到用户侧的初始向量级威胁情报及其对应的防御策略继续下发到用户侧网络端点和流量检测设备;
S303:端点检测模块接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络端点的可疑样本并将其上传至分析集群,流量检测模块接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络异常流量数据并将其上传至分析集群;
S304:分析集群接收上传的用户侧网络端点的可疑样本及异常流量数据并对其进行自动分析,生成对应的向量级威胁情报和对应的防御策略;
S305:分析集群再次向端点检测模块和流量检测模块下发前次自动分析生成的向量级威胁情报和对应的防御策略并处置检测到的网络威胁;
S306:循环进行S303-S305,进行深度学习,不断丰富用户侧的向量级威胁情报及防御策略,进而生成针对用户的***环境的向量级威胁情报及防御策略下发体系。
优选地,所述端点检测模块捕获用户侧网络端点的可疑样本并将其上传至分析集群,流量检测模块捕获用户侧网络异常流量数据并将其上传至分析集群,还包括:对捕获到的可疑样本和异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段。
优选地,所述分析集群接收上传的用户侧网络端点的可疑样本及异常流量数据并对其进行自动分析,包括:对可疑样本及异常流量数据进行自动化静态分析:根据厂商侧下发的初始向量级威胁情报及前次生成的向量级威胁情报对样本进行标定,并提取向量级威胁情报;对可疑样本及异常流量数据进行自动化动态分析:根据用户侧网络端点上传的可疑样本部署对应的沙盒***,运行可疑样本及文件进行动态分析,提取向量级威胁情报。
优选地,所述对样本进行标定,具体为:分析集群对接收的用户侧网络端点的可疑样本及异常流量数据进行自动化的静态分析,提取其中的模糊哈希、域名、IP或数字统计学特征作为向量级威胁情报并根据向量级威胁情报内容从行为特征、威胁程度及所关联的组织信息、采用的具体工具进行标定,建立攻击者画像,通过不断的自动化静态分析完善攻击者画像。
本发明实施例提供的一种向量级威胁情报自动生产、分发***及方法,通过厂商侧下发初始向量级威胁情报及部署相应防御策略到用户侧的分析集群,给用户侧设置一个初始检测分析库,分析集群将初始向量级威胁情报及相应防御策略下发并部署到端点检测模块和流量检测模块赋予网络端点及流量检测初始安全检测能力,端点检测模块和流量检测模块不断捕获可疑样本及异常流量数据并上传至分析集群,分析集群针对上传的样本进行自动化的分析,生成向量级威胁情报及相应的防御策略,并再次下发到端点检测模块及流量检测模块,不断提升用户侧的安全检测能力,用户侧的检测分析库不断丰富完善,最终形成针对用户环境的完善网络安全防御体系,在网络攻击发生时,用户侧在短时间内就可以进行检测并告警,及时下发防御策略对攻击进行处置,解决了现有技术中不能实现对攻击行为的快速响应,防御始终滞后于网络攻击,用户难以实现对攻击事件的整体监控并且在用户侧形成一个针对用户环境的完善网络安全防御体系的问题。
本发明实施例能够达到如下技术效果:本发明可以在用户侧形成一个针对用户***环境的完善的网络安全防御体系,采用本发明***及方法,可以使用户侧对威胁的检测能力趋于私有化,具备独特性和针对性,在网络威胁发生时,用户侧在短时间内就可以进行检测并告警,及时下发防御策略对攻击进行处置。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上***是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (7)
1.一种向量级威胁情报自动生产、分发***,其特征在于,包括:厂商侧和用户侧,用户侧包括分析集群、端点检测模块、流量检测模块;
厂商侧:用于针对用户的***环境给用户侧下发初始向量级威胁情报并将其部署到用户侧的分析集群;
分析集群:用于接收并自动分析厂商侧下发的初始向量级威胁情报,并下发至端点检测模块和流量检测模块,自动分析用户侧上传的可疑样本及网络异常流量数据并生成向量级威胁情报及对应的防御策略,并将向量级威胁情报及对应的防御策略下发到用户侧的端点检测模块和流量检测模块;
端点检测模块:用于接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络端点的可疑样本并将其上传至分析集群;
流量检测模块:用于接收分析集群下发的向量级威胁情报及对应的防御策略执行检测操作,并捕获用户侧网络异常流量数据并将其上传至分析集群。
2.如权利要求1所述的***,其特征在于,所述端点检测模块和流量检测模块,还包括:预处理模块,用于对捕获到的可疑样本和异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段。
3.如权利要求1所述的***,其特征在于,所述分析集群,包括:接收模块、自动化静态分析模块、自动化动态分析模块、情报及策略下发模块;接收模块用于接收用户侧上传的可疑样本及异常流量数据;自动化静态分析模块用于对可疑样本及异常流量数据进行自动化静态分析:根据厂商侧下发的初始向量级威胁情报及前次生成的向量级威胁情报对样本进行标定,并提取向量级威胁情报;自动化动态分析模块用于对可疑样本及异常流量数据进行自动化动态分析:根据用户侧网络端点上传的可疑样本部署对应的沙盒***,运行可疑样本及文件进行动态分析,提取向量级威胁情报;情报及策略下发模块用于向端点检测模块和流量检测模块下发并部署分析集群生成的向量级威胁情报及策略。
4.一种向量级威胁情报自动生产、分发方法,其特征在于,包括:
S1:安全厂商根据用户的***环境给用户侧下发初始向量级威胁情报及其对应的防御策略,并将其部署到用户侧的分析集群;
S2:分析集群将安全厂商下发到用户侧的初始向量级威胁情报及其对应的防御策略继续下发到用户侧网络端点和流量检测设备;
S3:端点检测模块捕获用户侧网络端点的可疑样本并将其上传至分析集群,流量检测模块捕获用户侧网络异常流量数据并将其上传至分析集群;
S4:分析集群接收上传的用户侧网络端点的可疑样本及异常流量数据并对其进行自动分析,生成对应的向量级威胁情报和对应的防御策略;
S5:分析集群再次向端点检测模块和流量检测模块下发前次自动分析生成的向量级威胁情报和对应的防御策略并处置检测到的网络威胁;
S6:循环进行S3-S5,进行深度学习,不断丰富用户侧的向量级威胁情报及防御策略,进而生成针对用户的***环境的向量级威胁情报及防御策略下发体系。
5.如权利要求4所述的方法,其特征在于,所述端点检测模块捕获用户侧网络端点的可疑样本并将其上传至分析集群,流量检测模块捕获用户侧网络异常流量数据并将其上传至分析集群,还包括:对捕获到的可疑样本和异常流量数据进行预处理,包括但不限于:提取威胁依赖环境、剔除冗余数据段。
6.如权利要求4所述的方法,其特征在于,所述分析集群接收上传的用户侧网络端点的可疑样本及异常流量数据并对其进行自动分析,包括:对可疑样本及异常流量数据进行自动化静态分析:根据厂商侧下发的初始向量级威胁情报及前次生成的向量级威胁情报对样本进行标定,并提取向量级威胁情报;对可疑样本及异常流量数据进行自动化动态分析:根据用户侧网络端点上传的可疑样本部署对应的沙盒***,运行可疑样本及文件进行动态分析,提取向量级威胁情报。
7.如权利要求6所述的方法,其特征在于,所述对样本进行标定,具体为:分析集群对接收的用户侧网络端点的可疑样本及异常流量数据进行自动化的静态分析,提取其中的模糊哈希、域名、IP或数字统计学特征作为向量级威胁情报并根据向量级威胁情报内容从行为特征、威胁程度及所关联的组织信息、采用的具体工具进行标定,建立攻击者画像,通过不断的自动化静态分析完善攻击者画像。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910896724.1A CN110661795A (zh) | 2019-09-20 | 2019-09-20 | 一种向量级威胁情报自动生产、分发***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910896724.1A CN110661795A (zh) | 2019-09-20 | 2019-09-20 | 一种向量级威胁情报自动生产、分发***及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110661795A true CN110661795A (zh) | 2020-01-07 |
Family
ID=69038326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910896724.1A Pending CN110661795A (zh) | 2019-09-20 | 2019-09-20 | 一种向量级威胁情报自动生产、分发***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110661795A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
CN111935074A (zh) * | 2020-06-22 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种一体化网络安全检测方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
CN108040075A (zh) * | 2018-01-31 | 2018-05-15 | 海南上德科技有限公司 | 一种apt攻击检测*** |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
US20190014084A1 (en) * | 2016-02-26 | 2019-01-10 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
CN109672671A (zh) * | 2018-12-12 | 2019-04-23 | 北京华清信安科技有限公司 | 基于智能行为分析的安全网关及安全防护*** |
CN110135153A (zh) * | 2018-11-01 | 2019-08-16 | 哈尔滨安天科技股份有限公司 | 软件的可信检测方法及装置 |
-
2019
- 2019-09-20 CN CN201910896724.1A patent/CN110661795A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190014084A1 (en) * | 2016-02-26 | 2019-01-10 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN108040075A (zh) * | 2018-01-31 | 2018-05-15 | 海南上德科技有限公司 | 一种apt攻击检测*** |
CN110135153A (zh) * | 2018-11-01 | 2019-08-16 | 哈尔滨安天科技股份有限公司 | 软件的可信检测方法及装置 |
CN109672671A (zh) * | 2018-12-12 | 2019-04-23 | 北京华清信安科技有限公司 | 基于智能行为分析的安全网关及安全防护*** |
Non-Patent Citations (2)
Title |
---|
肖新光等: "《攻击者对安全体系的预测_绕过_干扰与安全防护应对》", 《产学一线》 * |
肖新光等: "《高级持续性网络威胁场景下的保密工作思考_肖新光》", 《保密科学技术》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111935074A (zh) * | 2020-06-22 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种一体化网络安全检测方法及装置 |
CN111935074B (zh) * | 2020-06-22 | 2023-09-05 | 国网电力科学研究院有限公司 | 一种一体化网络安全检测方法及装置 |
CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
CN111835788B (zh) * | 2020-07-24 | 2022-08-02 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112651006B (zh) | 一种电网安全态势感知*** | |
CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN111147504B (zh) | 威胁检测方法、装置、设备和存储介质 | |
CN107154950B (zh) | 一种日志流异常检测的方法及*** | |
Tjhai et al. | A preliminary two-stage alarm correlation and filtering system using SOM neural network and K-means algorithm | |
CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及*** | |
CN107360145B (zh) | 一种多节点蜜罐***及其数据分析方法 | |
CN111711599A (zh) | 基于多元海量数据融合关联分析的安全态势感知*** | |
Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
WO2012107557A1 (en) | Method and system for improving security threats detection in communication networks | |
CN101635658B (zh) | 网络失窃密行为的异常检测方法及*** | |
CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
CN105577608A (zh) | 网络攻击行为检测方法和装置 | |
JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
CN103457909A (zh) | 一种僵尸网络检测方法及装置 | |
CN112685682A (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
CN110855649A (zh) | 一种检测服务器中异常进程的方法与装置 | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
Bhatia | Ensemble-based model for DDoS attack detection and flash event separation | |
CN110661795A (zh) | 一种向量级威胁情报自动生产、分发***及方法 | |
CN115134250A (zh) | 一种网络攻击溯源取证方法 | |
CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200107 |
|
WD01 | Invention patent application deemed withdrawn after publication |