CN111988322B - 一种攻击事件展示*** - Google Patents
一种攻击事件展示*** Download PDFInfo
- Publication number
- CN111988322B CN111988322B CN202010855492.8A CN202010855492A CN111988322B CN 111988322 B CN111988322 B CN 111988322B CN 202010855492 A CN202010855492 A CN 202010855492A CN 111988322 B CN111988322 B CN 111988322B
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- display module
- displaying
- display
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0481—Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
- G06F3/0482—Interaction with lists of selectable items, e.g. menus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- User Interface Of Digital Computer (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种攻击事件展示***,包括:事件展示模块,用于记录并展示受到攻击的事件信息;热力图展示模块,用于展示表征攻击事件在预设时间段内的攻击有效性、攻击节奏的热力图;混合展示模块,用于展示攻击事件信息,包括攻击结果、攻击来源;攻击过程展示模块,用于按照时间线关联展示同属于同一网际协议地址的攻击事件;其中,所述攻击事件展示模块、热力图展示模块、混合展示模块、攻击过程展示模块均基于同一显示界面进行显示。本申请的攻击事件展示***能够关联分析并展示攻击事件的各个信息,辅助用户快速获悉攻击事件始末。
Description
技术领域
本申请实施例涉及网络安全领域,特别涉及一种攻击事件展示***。
背景技术
目前国内软件在向用户展示外部攻击事件时,采用的关联分析比较少,没有更多的关联分析以及交互方式,不能清晰的描述外部攻击的前因后果。目前常规使用的展现方式是利用表格进行展示,而表格展现形式最大的问题是单纯地罗列各个威胁信息,没有任何关联分析,不能清晰说明外部攻击的阶段以及造成的后果。用户只能看到根据告警类型、名称进行分类的结果,不能看到外部攻击时间线等隐含参数,难以理解。
发明内容
本申请提供了一种能够关联分析并展示攻击事件的各个信息,辅助用户快速获悉攻击事件始末的攻击事件展示***。
为了解决上述技术问题,本申请实施例提供了一种攻击事件展示***,包括:
事件展示模块,用于记录并展示受到攻击的事件信息;
热力图展示模块,用于展示表征攻击事件在预设时间段内的攻击有效性、攻击节奏的热力图;
混合展示模块,用于展示攻击事件信息,包括攻击结果、攻击来源;
攻击过程展示模块,用于按照时间线关联展示同属于同一网际协议地址的攻击事件;
其中,所述攻击事件展示模块、热力图展示模块、混合展示模块、攻击过程展示模块均基于同一显示界面进行显示。
作为优选,所述事件信息包括事件名称、事件的身份标识号、攻击方的网际协议地址、攻击手法中的一种或多种。
作为优选,所述热力图展示模块将所述热力图的展示区域按照预设时间段的时间线划分为多个展示区域,每个所述展示区域均匹配展示与所述展示区域的时间信息相对应的热力图。
作为优选,所述热力图基于事件的告警信息以及对应的时间信息生成,每个所述热力图上均通过不同标记至少分别展示访问、敏感行为、攻击和攻击成功的发生时间及发生数量。
作为优选,所述混合展示模块包括:
攻击成功展示模块,用于展示所述攻击事件中,攻击成功的威胁事件名称,以及受到攻击影响的设备数量,或设备的身份标识号,其中,所述威胁事件名称以第一显示形态显示,所述第一显示形态用于突出显示所述威胁名称。
作为优选,所述混合展示模块包括:
攻击来源展示模块,用于至少展示所述攻击事件中的攻击来源,包括展示不同攻击来源的网际协议地址、地理位置、攻击方的活跃时间段中的一种或多种;
其中,所述攻击来源展示模块还提供用于对每个攻击来源施加防御操作的操作区域。
作为优选,所述混合展示模块包括:
攻击结果展示模块,用于展示所述攻击事件中攻击结果的分布比例;
受攻击域名展示模块,用于展示所述攻击事件中受攻击数量满足预设阈值的域名,当所述域名为多个时,按受攻击数量的降序排布展示。
作为优选,所述攻击过程展示模块包括:
首次访问展示部,用于展示攻击方首次访问的网络页面;
威胁事件聚合展示部,用于根据用户的展开指令以下拉菜单的形式展示同一威胁事件在不同时间点的攻击信息,以及根据用户的收起指令而收起下拉菜单,并展示所述同一威胁事件的攻击总次数/告警总次数、攻击方网际协议地址、受害方网际协议地址。
作为优选,所述攻击信息包括最近一次告警时间、威胁阶段、攻击成功次数、目标地址中的一种或多种。
作为优选,所述下拉菜单中还包括用于向用户展示告警日志的查看键。
基于上述实施例的公开可以获知,本申请实施例具备的有益效果包括能够详细地展示出攻击事件的不同信息,同时会关联分析攻击事件,通过设置攻击过程展示模块,使得能够按照时间线关联展示同属于同一网际协议地址的攻击事件,安全运营人员通过本申请的展示***,能够在追查外部攻击网络安全事件时,快速定位各攻击方攻击的起始时间点、攻击过程、成功攻击的目标节点以及造成的影响,进而快速定位网络***问题、快速确定攻击损失,达到快速消除攻击后果和影响的效果。
附图说明
图1为现有技术中的攻击逻辑图。
图2为本发明实施例中的攻击事件展示***的结构框图。
图3为本发明实施例中的攻击事件展示***的第一应用图。
图4为本发明实施例中的攻击事件展示***的第二应用图。
图5为本发明实施例中的攻击事件展示***的第三应用图。
图6为图3中的部分信息示意图。
图7为图3中的部分信息示意图。
图8为图4中的部分信息示意图。
图9为本发明实施例中的攻击事件展示***的第四应用图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本申请实施例。
首先,本申请出现的各个名词,包括:
告警主机:黑客入侵相关主机时,主机上的安全检测响应***会产生告警,用于通知管理者当前主机的情况,此时产生报警的主机即为告警主机。
威胁事件:黑客入侵相关主机时,一般的安全检测响应***会产生多条告警日志。将多条告警日志进行聚合,统一展示一类安全告警的形式叫作“威胁事件”
威胁情报:也称作安全威胁情报,网络安全行业中大多数所说的威胁情报主要为用于识别和检测威胁的失陷标识,如文件HASH(哈什),IP(网际协议地址),域名,程序运行路径,注册表项等,以及相关的归属标签。
威胁阶段:黑客入侵相关网络或者主机,有固定的方法和阶段,每个阶段被建模成多个攻击阶段,这些攻击阶段被称为威胁阶段。
威胁类型:泛指计算机安全威胁的分类,通常理解为在每个威胁阶段下计算机面临的不同种类的安全威胁。比如木马、挖矿软件、反弹shell等。
进一步地,如图1,如果黑客A、黑客B同时攻击了web服务A、web服务B,同时导致web服务A回连了黑客A的IP地址;进一步的,黑客A利用木马等方式使得web服务A反连恶意地址C2,同时利用web服务A在内网中横向攻击了主机Host2。这种情况下,网络***会检测到外部攻击(1,2,5,6,7)、内网渗透(3)和失陷破坏(4,8)这三种类型的攻击,但是由于现有技术中仅仅是无规律地罗列性展示各个攻击的部分信息,故使用户看到展示的信息后,不仅较为混乱,毫无头绪,而且由于展示的攻击信息不够全面,故用户若要想知悉攻击的来龙去脉,就需要亲自查找搜寻各攻击信息,然后人为汇总、分析、关联各个攻击信息,过程复杂,用户体验极差。
而为了解决该技术问题,如图2、图3、图4、图5所示,本发明实施例提供一种攻击事件展示***,包括:
事件展示模块,用于记录并展示受到攻击的事件信息;
热力图展示模块,用于展示表征攻击事件在预设时间段内的攻击有效性、攻击节奏的热力图;
混合展示模块,用于展示攻击事件信息,包括攻击结果、攻击来源;
攻击过程展示模块,用于按照时间线关联展示同属于同一网际协议地址的攻击事件;
其中,攻击事件展示模块、热力图展示模块、混合展示模块、攻击过程展示模块均基于同一显示界面进行显示。
基于上述实施例的公开可以获知,本申请实施例具备的有益效果包括能够详细地展示出攻击事件的不同信息,同时会关联分析攻击事件,通过设置攻击过程展示模块,使得能够按照时间线关联展示同属于同一网际协议地址的攻击事件,安全运营人员通过本申请的展示***,能够在追查外部攻击网络安全事件时,快速定位各攻击方攻击的起始时间点、攻击过程、成功攻击的目标节点以及造成的影响,进而快速定位网络***问题、快速确定攻击损失,达到快速消除攻击后果和影响的效果。
进一步地,本实施例中的攻击过程展示模块在进行展示前,需要先智能聚合生成需要展示的信息,其生成逻辑具体包括:
对于***每次遭受攻击而产生的告警,基于该告警而确定攻击方的网际协议地址,即,攻击IP,然后将来自同一个攻击IP,或者来自同一网段的攻击IP产生的告警合并成一个事件,并结合攻击的时间线生成展示信息;
当一个来源于外部互联网的攻击告警生成时,如果不存在相同攻击IP或相同网段的攻击IP,或同IP网段的活跃事件,则单独生成一个新事件,并结合对应的时间线进行独立显示;
当自告警开始的24小时内,该事件没有新的攻击产生,则认为攻击事件结束;
对于被攻击的告警主机,会自动关联此告警主机是否存在内网渗透行为、内网对外网的威胁行为,如果存在,则将该行为关联在此次攻击事件中,并结合时间线及上述已经确定的信息而生成展示信息,以便于用户基于该展示信息方便后续排查此次攻击是否遗留了后门、恶意样本或者作为跳板进行对外攻击的事件。
具体地,本实施例中的上述事件信息包括事件名称、事件的身份标识号(事件ID)、攻击方的网际协议地址(攻击IP)、攻击手法中的一种或多种。具体显示时,如图6所示,可将事件信息通过事件详情卡片显示在页面中。
进一步地,本实施例中的热力图展示模块将热力图的展示区域按照预设时间段的时间线划分为多个展示区域,每个展示区域均匹配展示与展示区域的时间信息相对应的热力图。
如图3和图7所示,本实施例中的热力图基于事件的告警信息以及对应的时间信息生成,每个热力图上均通过不同标记至少分别展示访问、敏感行为、攻击和攻击成功的发生时间及发生数量。
例如,将热力图的每个展示区域,即,展示单元,按照天为单位,布设多组网格,每个展示单元内的网格均以工作日和周末区分开,对应每天的网格为四个,分别对应时间线的凌晨、上午、下午、晚上,四个时间节点。例如,热力绘制过去30天的告警,并将每天分为凌晨(0-6点)、上午(6-12点)、下午(12-18点)以及晚上(18-24点),并且以周的维度,区分工作日以及周末,接着,通过过去30天的告警信息以不同颜色,或不同图形的标记,在对应的展示单元的多个网格内分别对发生的访问、敏感行为、攻击和攻击成功四种攻击类型进行标记,使得用户基于该热力图能够快速地确定攻击者的活跃时间段、攻击连续性情况(相当于攻击节奏)、攻击密度集中的时间区域,进而判断出攻击行为是人发出的,还是机器发出的,同时还能够确定出攻击者自身的作息时间以及所处的时区等信息。实际应用时,用户可以自定义热力图需要展示哪个时间段的热力信息,而且热力图上的时间线的各个节点,用户也可以自定义,例如只展示周末、每天晚上遭受攻击的热力图等,热力图展示模块可基于用户的指令而匹配生成并展示对应的热力图,或者,如上文所述,基于默认模式而生成并展示热力图,如展示基于距离当前30天的告警信息而生成的热力图。
进一步地,如图4和图8所示,本实施例中的混合展示模块包括:
攻击成功展示模块,用于展示攻击事件中,攻击成功的威胁事件名称,以及受到攻击影响的设备数量,或设备的身份标识号,其中,威胁事件名称以第一显示形态显示,第一显示形态用于突出显示威胁名称,例如标红、字体加粗、增加鲜艳的背景色等形式进行显示,以使用户第一时间关注到该信息。
攻击来源展示模块,用于至少展示攻击事件中的攻击来源,包括展示不同攻击来源的网际协议地址、地理位置、威胁情报、攻击方的活跃时间段中的一种或多种;其中,攻击来源展示模块还提供用于对每个攻击来源施加防御操作的操作区域。
攻击结果展示模块,用于展示攻击事件中攻击结果的分布比例,具体可以各种表征比例的示图进行展示,如饼状图、柱状图、环形图等,且可同时示出各部分具体数量,如攻击成功数量、攻击失败数量、攻击未知数量等,具体可如图8所示;
受攻击域名展示模块,用于展示攻击事件中受攻击数量满足预设阈值的域名,例如仅展示受攻击最多的域名,当域名为多个时,按受攻击数量的降序排布展示。另外,该模块可同时展示攻击结果的比例图,如同时展示攻击成功、失败、攻击未知的比例等,具体可参考攻击结果展示的示图。
本实施例中的混合展示模块中的各个展示模块,其展示的信息均可以由自身统计、处理、分析生成并展示,具体可根据告警信息中获得各个与攻击相关的信息,基于该信息进行处理而生成展示信息;也可以是接收云数据的形式进行展示,具体不唯一。
进一步地,如图9所示,本实施例中的攻击过程展示模块,例如可以为TDP智能聚合模块,用于将每个攻击IP的攻击行为,经过关联分析,以时间线的形式展示攻击过程,具体包括:
首次访问展示部,用于展示攻击方首次访问的网络页面;
威胁事件聚合展示部,用于根据用户的展开指令以下拉菜单的形式展示同一威胁事件在不同时间点的攻击信息,以及根据用户的收起指令而收起下拉菜单,并展示同一威胁事件的攻击总次数/告警总次数、攻击方网际协议地址、受害方网际协议地址,具体可参考图所示内容,对于攻击结果为攻击成功的信息也可以突出形式显示,如标红、字体加粗、增加鲜艳的背景色等,上述展示信息可由威胁事件聚合展示部基于对应的告警信息进行处理后生成,也可由外部获得。
其中,威胁阶段包括侦查、漏洞利用、敏感行为、控制、内网渗透、对外攻击阶段。攻击信息包括最近一次告警时间、威胁阶段、攻击成功次数、目标地址中的一种或多种。
优选地,本实施例中的威胁事件聚合展示部还支持用户对展示的信息进行快速筛选,例如“仅看外部攻击”、“仅看攻击成功”的攻击事件信息。而且,下拉菜单中还包括用于向用户展示告警日志的查看键,下拉菜单中的每条展示信息后均可设置该查看键,使用户能够通过点击该查看键而成功查看对应的告警日志的具体内容。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (6)
1.一种攻击事件展示***,包括:
事件展示模块,用于记录并展示受到攻击的事件信息;
热力图展示模块,用于展示表征攻击事件在预设时间段内的攻击有效性、攻击节奏的热力图;
混合展示模块,用于展示攻击事件信息,包括攻击结果、攻击来源;
攻击过程展示模块,用于按照时间线关联展示同属于同一网际协议地址的攻击事件;
其中,所述攻击事件展示模块、热力图展示模块、混合展示模块、攻击过程展示模块均基于同一显示界面进行显示;
所述热力图展示模块将所述热力图的展示区域按照预设时间段的时间线划分为多个展示区域,每个所述展示区域均匹配展示与所述展示区域的时间信息相对应的热力图,而且所述热力图基于事件的告警信息以及对应的时间信息生成,每个所述热力图上均通过不同标记至少分别展示访问、敏感行为、攻击和攻击成功的发生时间及发生数量;
所述攻击过程展示模块包括:
首次访问展示部,用于展示攻击方首次访问的网络页面;
威胁事件聚合展示部,用于根据用户的展开指令以下拉菜单的形式展示同一威胁事件在不同时间点的攻击信息,以及根据用户的收起指令而收起下拉菜单,并展示所述同一威胁事件的攻击总次数/告警总次数、攻击方网际协议地址、受害方网际协议地址,所述攻击信息包括最近一次告警时间、威胁阶段、攻击成功次数、目标地址中的一种或多种。
2.根据权利要求1所述的攻击事件展示***,其中,所述事件信息包括事件名称、事件的身份标识号、攻击方的网际协议地址、攻击手法中的一种或多种。
3.根据权利要求1所述的攻击事件展示***,其中,所述混合展示模块包括:
攻击成功展示模块,用于展示所述攻击事件中,攻击成功的威胁事件名称,以及受到攻击影响的设备数量,或设备的身份标识号,其中,所述威胁事件名称以第一显示形态显示,所述第一显示形态用于突出显示所述威胁名称。
4.根据权利要求1所述的攻击事件展示***,其中,所述混合展示模块包括:
攻击来源展示模块,用于至少展示所述攻击事件中的攻击来源,包括展示不同攻击来源的网际协议地址、地理位置、威胁情报、攻击方的活跃时间段中的一种或多种;
其中,所述攻击来源展示模块还提供用于对每个攻击来源施加防御操作的操作区域。
5.根据权利要求1所述的攻击事件展示***,其中,所述混合展示模块包括:
攻击结果展示模块,用于展示所述攻击事件中攻击结果的分布比例;
受攻击域名展示模块,用于展示所述攻击事件中受攻击数量满足预设阈值的域名,当所述域名为多个时,按受攻击数量的降序排布展示。
6.根据权利要求1所述的攻击事件展示***,其中,所述下拉菜单中还包括用于向用户展示告警日志的查看键。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010855492.8A CN111988322B (zh) | 2020-08-24 | 2020-08-24 | 一种攻击事件展示*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010855492.8A CN111988322B (zh) | 2020-08-24 | 2020-08-24 | 一种攻击事件展示*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111988322A CN111988322A (zh) | 2020-11-24 |
CN111988322B true CN111988322B (zh) | 2022-06-17 |
Family
ID=73443710
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010855492.8A Active CN111988322B (zh) | 2020-08-24 | 2020-08-24 | 一种攻击事件展示*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111988322B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112685682B (zh) * | 2021-03-16 | 2021-07-09 | 连连(杭州)信息技术有限公司 | 一种攻击事件的封禁对象识别方法、装置、设备及介质 |
CN113285441B (zh) * | 2021-04-27 | 2023-03-21 | 西安交通大学 | 智能电网lr攻击检测方法、***、设备及可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别*** |
CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101699815B (zh) * | 2009-10-30 | 2012-08-15 | 华南师范大学 | 一种网络攻击自动执行/展现的***及方法 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
US10135841B2 (en) * | 2015-11-03 | 2018-11-20 | Juniper Networks, Inc. | Integrated security system having threat visualization and automated security device control |
JP6786960B2 (ja) * | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
CN108512805B (zh) * | 2017-02-24 | 2021-08-27 | 腾讯科技(深圳)有限公司 | 一种网络安全防御方法及网络安全防御装置 |
CN110955652B (zh) * | 2018-09-25 | 2023-06-16 | 北京数安鑫云信息技术有限公司 | 一种用于进行数据展示的***及方法 |
CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络***事件溯源方法及*** |
-
2020
- 2020-08-24 CN CN202010855492.8A patent/CN111988322B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别*** |
Also Published As
Publication number | Publication date |
---|---|
CN111988322A (zh) | 2020-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067815B (zh) | 攻击事件溯源分析方法、***、用户设备及存储介质 | |
Milajerdi et al. | Holmes: real-time apt detection through correlation of suspicious information flows | |
US11916944B2 (en) | Network anomaly detection and profiling | |
US11444786B2 (en) | Systems and methods for digital certificate security | |
Koike et al. | SnortView: visualization system of snort logs | |
CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
US20140189870A1 (en) | Visual component and drill down mapping | |
EP3958088A1 (en) | Methods and apparatus for dealing with malware | |
RU2634173C1 (ru) | Система и способ обнаружения приложения удалённого администрирования | |
CN111988322B (zh) | 一种攻击事件展示*** | |
CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知*** | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
Erbacher | Intrusion behavior detection through visualization | |
CN113449302A (zh) | 一种检测恶意软件的方法 | |
CN108595957A (zh) | 浏览器主页篡改检测方法、装置及存储介质 | |
CN110460558B (zh) | 一种基于可视化的攻击模型发现的方法及*** | |
Shiravi et al. | IDS alert visualization and monitoring through heuristic host selection | |
Elgohary et al. | Detecting Mimikatz in Lateral Movements Using Windows API Call Sequence Analysis | |
CN110874474A (zh) | 勒索者病毒防御方法、装置、电子设备及存储介质 | |
Flaglien et al. | Identifying malware using cross-evidence correlation | |
US11763004B1 (en) | System and method for bootkit detection | |
WO2020161780A1 (ja) | 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |