CN111858482B - 一种攻击事件追踪溯源方法、***、终端及存储介质 - Google Patents

一种攻击事件追踪溯源方法、***、终端及存储介质 Download PDF

Info

Publication number
CN111858482B
CN111858482B CN202010678054.9A CN202010678054A CN111858482B CN 111858482 B CN111858482 B CN 111858482B CN 202010678054 A CN202010678054 A CN 202010678054A CN 111858482 B CN111858482 B CN 111858482B
Authority
CN
China
Prior art keywords
alarm
attack
tracing
information
events
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010678054.9A
Other languages
English (en)
Other versions
CN111858482A (zh
Inventor
王广清
方铁城
申彦龙
刘颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Gas Group Co Ltd
Original Assignee
Beijing Gas Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Gas Group Co Ltd filed Critical Beijing Gas Group Co Ltd
Priority to CN202010678054.9A priority Critical patent/CN111858482B/zh
Publication of CN111858482A publication Critical patent/CN111858482A/zh
Application granted granted Critical
Publication of CN111858482B publication Critical patent/CN111858482B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/14Details of searching files based on file metadata
    • G06F16/148File search processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Library & Information Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请所提供的一种攻击事件追踪溯源方法、***、终端及存储介质,所述方法包括:获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来;本申请通过攻击事件的异常日志告警信息进行关联溯源,作为线索串起来形成真正的安全事件,实现对零散安全事件的关联,解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题。

Description

一种攻击事件追踪溯源方法、***、终端及存储介质
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种攻击事件追踪溯源方法、***、终端及存储介质。
背景技术
随着网络规模的迅速扩大和业务量的迅速增长,现有的安全防护***中,安全日志告警是必不可少的一个功能模块。然而,随着业务服务器的不断增加、黑客攻击成本不断下降,导致安全告警日志不断增加,企业专业的运维人员在成千上万的安全告警日志中对某个攻击事件进行追踪溯源十分困难。不仅需要专业的运维人员进行人工查找,造成人工成本较高、追踪溯源效率较低,而且无法保证追踪溯源的精确性。可见,处理告警数据的难点在从大量的告警信息中找到各告警信息之间的关联。
因此,亟需一种攻击事件追踪溯源方法、***、终端及存储介质,以解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题。
发明内容
针对现有技术的不足,本申请提供一种攻击事件追踪溯源方法、***、终端及存储介质,解决了现有的安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题等问题。
为解决上述技术问题,第一方面,本申请提供一种攻击事件追踪溯源方法,包括:
获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;
将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;
将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
可选的,所述获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息,包括:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述不同告警名称相关联的告警日志中,获取告警信息的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息。
可选的,所述将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件,包括:
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,按告警更新时间排序,通过关联攻击链上的告警名称,将告警作为线索串起来,形成攻击链。
可选的,所述将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径,包括:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
第二方面,本申请还提供一种攻击事件追踪溯源***,包括:
获取单元,配置用于获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;
关联溯源单元,配置用于将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;
同告警名称聚合单元,配置用于将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
告警展示单元,配置用于将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
可选的,所述获取单元具体用于:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述不同告警名称相关联的告警日志中,获取告警信息的用户信息、WMI订阅事件、PowerShell的调用者、文件名等关键字段信息。
可选的,所述关联溯源单元具体用于:
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,按告警更新时间排序,通过关联攻击链上的告警名称,将告警作为线索串起来,形成攻击链。
可选的,所述同告警名称聚合单元具体用于:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
第三方面,本申请提供一种终端,包括:
处理器、存储器,其中,
该存储器用于存储计算机程序,
该处理器用于从存储器中调用并运行该计算机程序,使得终端执行上述的终端的方法。
第四方面,本申请提供了一种计算机存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
与现有技术相比,本申请具有如下有益效果:
本申请通过将攻击事件的异常日志告警信息进行关联溯源,作为线索串起来形成真正的安全事件,实现对零散安全事件的关联,解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种攻击事件追踪溯源方法的流程图;
图2为本申请另一实施例所提供的一种攻击事件追踪溯源***的结构示意图;
图3为本申请实施例所提供的一种终端***的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种攻击事件追踪溯源方法的流程图,该方法100包括:
S101:获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;
S102:将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;
S103:将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
S104:将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
基于上述实施例,作为可选的实施例,所述S101获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息,包括:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名等关键字段信息。
基于上述实施例,作为可选的实施例,所述S102将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件,包括:
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,通过关联整个攻击链上的告警名称,将告警作为线索串起来,形成关联事件。
需要说明的是,平台的SAE规则的基础元素是关键词,会把同一告警名称相关联的告警进行整合,这样可以分析整个攻击路径。
基于上述实施例,作为可选的实施例,所述S103将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径,包括:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
具体的,针对APT29,会触发后门异常创建告警、异常PowerShell执行告警、监测到DGA告警:
1、分析后门异常创建告警
这个告警中,我们发现WMI有新增订阅,EDR会记录下来这个新增订阅的具体内容,从而可以得知它会执行PowerShell脚本。
2、分析异常PowerShell执行告警
这个告警中,EDR会记录该PowerShell脚本是通过WMI自启动来执行的,并且可以看到执行的具体脚本信息,从而可以看出该脚本在收集用户信息,并存到磁盘文件中。
3、分析监测到DGA告警
这个告警中,是NTA内置的DGA算法触发的,发现用户会链接恶意的C&C域名,并往该地址发送上一告警生成的文件信息。
由此可以看出,可以通过用户名、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,把整个攻击路径上的告警和原始日志进行集中体现,这样方便安全分析人员进行综合分析。
请参考图2,图2为本申请实施例所提供的一种攻击事件追踪溯源***的结构示意图,该***200,包括:
获取单元201,配置用于获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;
关联溯源单元202,配置用于将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;
同告警名称聚合单元203,配置用于将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
告警展示单元204,配置用于将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
基于上述实施例,作为可选的实施例,所述获取单元201具体用于:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述不同告警名称相关联的告警日志中,获取告警信息的用户信息、WMI订阅事件、PowerShell的调用者、文件名等关键字段信息。
基于上述实施例,作为可选的实施例,所述关联溯源202单元具体用于:
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,按告警更新时间排序,通过关联攻击链上的告警名称,将告警作为线索串起来,形成攻击链。
基于上述实施例,作为可选的实施例,所述同告警名称聚合单元203具体用于:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
请参考图3,图3为本申请实施例所提供的一种终端***300的结构示意图,该终端***300可以用于执行本发明实施例提供的攻击事件追踪溯源方法。
其中,该终端***300可以包括:处理器301、存储器302及通信单元303。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器302可以用于存储处理器301的执行指令,存储器302可以由任何类型的易失性或非易失性存储终端或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器302中的执行指令由处理器301执行时,使得终端***300能够执行以下上述方法实施例中的部分或全部步骤。
处理器301为存储终端的控制中心,利用各种接口和线路连接整个电子终端的各个部分,通过运行或执行存储在存储器302内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器301可以仅包括中央处理器(Central Processing Unit,简称CPU)。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信单元303,用于建立通信信道,从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本申请通过将攻击事件的异常日志告警信息进行关联溯源,作为线索串起来形成真正的安全事件,实现对零散安全事件的关联,解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例提供的***而言,由于其与实施例提供的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (6)

1.一种攻击事件追踪溯源方法,其特征在于,包括:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息;
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,通过关联整个攻击链上的告警名称,将告警作为线索串起来,形成与关键字段相关的所有关联事件;
将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
2.根据权利要求1所述的攻击事件追踪溯源方法,其特征在于,所述将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径,包括:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
3.一种攻击事件追踪溯源***,其特征在于,包括:
获取单元,配置用于获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志,根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息;
关联溯源单元,配置用于通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,通过关联整个攻击链上的告警名称,将告警作为线索串起来,形成与关键字段相关的所有关联事件;
同告警名称聚合单元,配置用于将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
告警展示单元,配置用于将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
4.根据权利要求3所述的攻击事件追踪溯源***,其特征在于,所述同告警名称聚合单元具体用于:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
5.一种终端,其特征在于,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-2任一项所述的方法。
6.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一项所述的方法。
CN202010678054.9A 2020-07-15 2020-07-15 一种攻击事件追踪溯源方法、***、终端及存储介质 Active CN111858482B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010678054.9A CN111858482B (zh) 2020-07-15 2020-07-15 一种攻击事件追踪溯源方法、***、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010678054.9A CN111858482B (zh) 2020-07-15 2020-07-15 一种攻击事件追踪溯源方法、***、终端及存储介质

Publications (2)

Publication Number Publication Date
CN111858482A CN111858482A (zh) 2020-10-30
CN111858482B true CN111858482B (zh) 2021-10-15

Family

ID=72983373

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010678054.9A Active CN111858482B (zh) 2020-07-15 2020-07-15 一种攻击事件追踪溯源方法、***、终端及存储介质

Country Status (1)

Country Link
CN (1) CN111858482B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422433A (zh) * 2020-11-10 2021-02-26 合肥浩瀚深度信息技术有限公司 一种基于NetFlow的DDoS攻击溯源方法、装置及***
CN114598506B (zh) * 2022-02-22 2023-06-30 烽台科技(北京)有限公司 工控网络安全风险溯源方法、装置、电子设备及存储介质
CN114826685A (zh) * 2022-03-30 2022-07-29 深信服科技股份有限公司 一种信息分析方法、设备和计算机可读存储介质
CN114745183B (zh) * 2022-04-14 2023-10-27 浙江网商银行股份有限公司 告警方法以及装置
CN115378793B (zh) * 2022-08-19 2023-05-16 北京航空航天大学 一种基于***审计日志的hids告警溯源方法
CN117240554B (zh) * 2023-09-19 2024-05-07 海通证券股份有限公司 安全事件的治理方法及电子设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8788817B1 (en) * 2011-09-30 2014-07-22 Emc Corporation Methods and apparatus for secure and reliable transmission of messages over a silent alarm channel
CN106899435A (zh) * 2017-02-21 2017-06-27 浙江大学城市学院 一种面向无线入侵检测***的复杂攻击识别技术
CN109784043A (zh) * 2018-12-29 2019-05-21 北京奇安信科技有限公司 攻击事件还原方法、装置、电子设备及存储介质
CN110149350A (zh) * 2019-06-24 2019-08-20 国网安徽省电力有限公司信息通信分公司 一种告警日志关联的网络攻击事件分析方法及装置
CN110213077A (zh) * 2019-04-18 2019-09-06 国家电网有限公司 一种确定电力监控***安全事件的方法、装置及***
CN110351273A (zh) * 2019-07-11 2019-10-18 武汉思普崚技术有限公司 一种网络追踪长链条攻击的方法、装置和***
CN110602042A (zh) * 2019-08-07 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于级联攻击链模型的apt攻击行为分析检测方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8788817B1 (en) * 2011-09-30 2014-07-22 Emc Corporation Methods and apparatus for secure and reliable transmission of messages over a silent alarm channel
CN106899435A (zh) * 2017-02-21 2017-06-27 浙江大学城市学院 一种面向无线入侵检测***的复杂攻击识别技术
CN109784043A (zh) * 2018-12-29 2019-05-21 北京奇安信科技有限公司 攻击事件还原方法、装置、电子设备及存储介质
CN110213077A (zh) * 2019-04-18 2019-09-06 国家电网有限公司 一种确定电力监控***安全事件的方法、装置及***
CN110149350A (zh) * 2019-06-24 2019-08-20 国网安徽省电力有限公司信息通信分公司 一种告警日志关联的网络攻击事件分析方法及装置
CN110351273A (zh) * 2019-07-11 2019-10-18 武汉思普崚技术有限公司 一种网络追踪长链条攻击的方法、装置和***
CN110602042A (zh) * 2019-08-07 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于级联攻击链模型的apt攻击行为分析检测方法及装置

Also Published As

Publication number Publication date
CN111858482A (zh) 2020-10-30

Similar Documents

Publication Publication Date Title
CN111858482B (zh) 一种攻击事件追踪溯源方法、***、终端及存储介质
He et al. Towards automated log parsing for large-scale log data analysis
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US10346282B2 (en) Multi-data analysis based proactive defect detection and resolution
He et al. An evaluation study on log parsing and its use in log mining
Kobayashi et al. Mining causality of network events in log data
CN107533504A (zh) 用于软件分发的异常分析
TW201941058A (zh) 異常檢測方法及裝置
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN108183916A (zh) 一种基于日志分析的网络攻击检测方法及装置
US20210092160A1 (en) Data set creation with crowd-based reinforcement
CN109271359B (zh) 日志信息处理方法、装置、电子设备及可读存储介质
CN112199276B (zh) 微服务架构的变更检测方法、装置、服务器及存储介质
Bhaduri et al. Detecting abnormal machine characteristics in cloud infrastructures
CN110990233A (zh) 一种利用甘特图展示soar的方法和***
US20200252317A1 (en) Mitigating failure in request handling
CN111475411A (zh) 一种服务器问题检测方法、***、终端及存储介质
CN112738094B (zh) 可扩展的网络安全漏洞监测方法、***、终端及存储介质
CN111859399A (zh) 一种基于oval的漏洞检测方法及装置
JP6977625B2 (ja) 評価プログラム、評価方法および評価装置
CN111258798A (zh) 监控数据的故障定位方法、装置、计算机设备及存储介质
CN113987492A (zh) 一种告警事件的确定方法及装置
CN116305155A (zh) 一种程序安全检测防护方法、装置、介质及电子设备
CN110830500A (zh) 网络攻击追踪方法、装置、电子设备及可读存储介质
CN113342608A (zh) 流式计算引擎任务的监控方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant