CN112861132A - 一种协同防护方法和装置 - Google Patents
一种协同防护方法和装置 Download PDFInfo
- Publication number
- CN112861132A CN112861132A CN202110184268.5A CN202110184268A CN112861132A CN 112861132 A CN112861132 A CN 112861132A CN 202110184268 A CN202110184268 A CN 202110184268A CN 112861132 A CN112861132 A CN 112861132A
- Authority
- CN
- China
- Prior art keywords
- threat information
- malicious threat
- malicious
- safety protection
- risk level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种协同防护方法和装置,其中方法包括:检测网络流量中的恶意威胁信息;基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征;推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。本方法可以使传统安全防护设备在检测规则条数受限的情况下,及时地对网络流量中实际存在的恶意威胁进行识别和处理。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种协同防护方法和装置。
背景技术
随着网络的高速发展,网络应用深入到生活的方方面面,由此也带来了很多网络安全隐患,一些恶意攻击者往往会通过一些网络手段,入侵各行各业的Web(网站)服务器,进行不正当行为操作。面对这种情况企事业单位一般会使用安全防护设备对网络环境进行防护。
传统安全防护设备,例如,IPS(Intrusion Prevention System,入侵预防***)和WAF(Web Application Firewall,网站应用级入侵防御***)都会对部分网络流量进行拦截阻断处理,如果处理的数据量非常的多,会在一定程度上影响网络访问速度。出于优化性能的考虑,一般例如WAF、IPS设备上检测规则都会有数量限制,而已有的检测规则无法及时地对网络流量中恶意威胁进行识别和处理。
发明内容
有鉴于此,本公开实施例提供一种协同防护方法和装置。
具体地,本公开实施例是通过如下技术方案实现的:
第一方面,提供一种协同防护方法,所述方法包括:
检测网络流量中的恶意威胁信息;
基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征;
推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。
第二方面,提供一种协同防护装置,所述装置包括:
检测模块,用于检测网络流量中的恶意威胁信息;
规则模块,用于基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征;
推送模块,用于推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。
第三方面,提供一种电子设备,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时实现本公开任一实施例所述的协同防护方法。
第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本公开任一实施例所述的协同防护方法。
本公开实施例提供的技术方案通过检测分析网络流量中的恶意威胁,自动将恶意威胁的特征规则推送给其他安全防护设备,以使传统安全防护设备在检测规则条数受限的情况下,可以及时地对网络流量中实际存在的恶意威胁进行识别和处理,提高了设备间检测与响应的协作,实现了动态化、主动化的安全防御。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例示出的一种协同防护方法的流程图;
图2是本公开实施例示出的一种协同防护装置的框图;
图3是本公开实施例示出的另一种协同防护装置的框图;
图4是本公开实施例示出的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述问题,发明人经过深入研究发现:安全防护设备,如WAF、IPS设备的检测规则都会有数量限制,以避免影响网络访问速度,而态势感知大数据平台处于旁路,不会对网络访问速度造成影响。当前技术态势感知大数据平台跟例如IPS、WAF设备的其他安全防护设备通过智能联动的运行机制,只能基于其他安全防护设备上的已有检测规则进行处理策略下发,这种方法由于设备间信息不足导致缺乏检测与响应的协作,进而失去了应对攻击的最佳时机。
为了解决上述问题,本公开实施例提供了一种协同防护方法,以提升安全防护设备间检测与响应的协作,把握住应对攻击的最佳时机。
如图1所示,图1是本公开实施例示出的一种协同防护方法的流程图,该方法可用于态势感知大数据平台,包括以下步骤:
在步骤100中,检测网络流量中的恶意威胁信息。
本步骤之前,先采集网络流量,可以通过流量探针对实时的网络流量进行采集。
对所采集的网络流量进行恶意威胁信息检测分析,可以使用多种检测引擎进行恶意威胁信息识别。恶意威胁信息可以是各种攻击报文、恶意代码和网络异常行为等信息。例如,通过攻击检测引擎、病毒检测引擎识别高危攻击、病毒木马等已知恶意威胁信息;通过AI(Artificial Intelligence,人工智能)检测引擎、沙箱检测引擎发现恶意代码变种、APT(Advanced Persistent Threat,高级可持续威胁)攻击、网络异常行为等未知恶意威胁信息。
上述检测过程还可以结合已有的威胁情报进行,威胁情报可以是关于针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为态势感知大数据平台提供恶意威胁信息的应对策略。威胁情报可以包括恶意的IP(Internet Protocol,网际互连协议)地址、域名、URL(uniform resource locator,统一资源定位符)等,本实施例可以使用开源的威胁情报。
在步骤102中,基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征。
安全防护设备是可以提供网络安全防御功能的设备,可以是IPS设备、WAF设备、Fw(Firewall,防火墙)设备和IDS(intrusion detection system,入侵检测***)设备等,安全防护设备与态势感知大数据平台可以是串联关系,即态势感知大数据平台在旁路与安全防护设备串接。安全防护设备在进行安全防护时根据检测规则对网络流量进行检测,不同安全防护设备的检测规则可以不同。在本实施例中,安全防护设备检测网络流量时,可以使用态势感知大数据平台生成的特征规则,还可以使用已有的检测规则,或者也可以不使用已有的检测规则。
特征规则是包含恶意威胁信息的关键特征的检测规则,关键特征可以包括以下任意一项或几项:名称、类型、方向、特征、协议和具***置等。态势感知大数据平台可以根据提取检测到的恶意威胁信息的关键特征来生成特征规则。例如,检测到恶意DNS(DomainName System,域名***)请求时,其中所请求解析的域名为a,生成的特征规则可以包括:类型:恶意域名请求,方向:请求方向,特征:恶意域名a,协议:DNS协议;检测到LAND attack(Local Area Network Denial attack,局域网拒绝服务攻击)时,生成的特征规则可以包括:类型:LAND攻击,方向:请求方向,特征:被伪造的源地址,协议:TCP/IP协议,具***置:报文头中源地址的位置。
对于不同的安全防护设备生成的特征规则不同。比如,WAF设备只需要HTTP(超文本传输协议,Hypertext Transfer Protocol)协议类型的特征规则,其他协议类型的恶意威胁信息,比如smb协议的恶意威胁信息就不用生成适用于WAF设备的特征规则。不同安全防护设备的特征规则的格式也不同,比如,IPS设备采用的是snort规则写法,WAF设备是采用其他规定的规则写法。
在步骤104中,推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。
将生成的适用于安全防护设备的特征规则推送到该安全防护设备,安全防护设备可以直接应用特征规则识别网络流量中的该特征规则对应的恶意威胁信息。例如,态势感知大数据平台在检测到携带着请求域名a的恶意DNS请求并生成对应的特征规则后,将该特征规则推送给安全防护设备,安全防护设备就可以根据该特征规则在网络流量中识别出每个携带着请求域名a、方向为请求方向并且协议为DNS协议的恶意DNS请求,然后按照策略处理该恶意DNS请求。
在一实施例中,态势感知大数据平台还可以推送处理策略到安全防护设备,比如,推送统一的处理策略到安全防护设备,以使安全防护设备可以按照处理策略对识别出的恶意威胁信息执行处理策略中指定的处理方法,比如,处理策略可以是拦截,可以是告警,还可以是计数;也可以对不同的恶意威胁信息推送对应的处理策略。
本公开实施例提供的技术方案通过检测分析网络流量中的恶意威胁,自动将恶意威胁的特征规则推送给其他安全防护设备,以使传统安全防护设备在检测规则条数受限的情况下,可以及时地对网络流量中实际存在的恶意威胁进行识别和处理,提高了设备间检测与响应的协作,实现了动态化、主动化的安全防御。
在本实施例或本公开其他某些实施例中,在检测网络流量中的恶意威胁信息之后,在上述方法流程的基础上,还包括:
确定恶意威胁信息的风险等级。风险等级用于表征恶意威胁信息的危险程度,风险等级可以使用高、中、低表示,也可以用数字大小表示,本实施例不限制风险等级的具体形式。风险等级的评判标准可以是恶意威胁信息的流行度、特征规则的准确度、恶意威胁信息的类型等等。特征规则的准确度与误报的概率成反比,通过特征规则识别恶意威胁信息存在识别错误即误报的概率,基于同一特征规则识别出的可能是恶意威胁信息,也可能是正常的网络流量,特征规则的准确度可以由用户设定,也可以由历史记录计算或通过特征规则本身的细化程度确定,即特征规则越详细,关键特征越多,准确度越高。
确定所述恶意威胁信息的风险等级,可以包括如下至少一项:
根据恶意威胁信息的类型,确定与该类型对应的风险等级。比如,对于木马类型的恶意威胁信息,风险等级确定为高级;对于网络异常行为类型的恶意威胁信息,比如,对某网址的访问量突增,风险等级确定为低级。可以预先设定不同恶意威胁信息的类型对应的风险等级,在检测到恶意威胁信息的类型后,即可确定对应的风险等级。
或者,根据恶意威胁信息的关键特征,确定与该关键特征对应的风险等级。比如,对于关键特征包含某危害严重的网络病毒,风险等级确定为高级;对于关键特征包含之前解析失败的域名,风险等级确定为中级。可以预先设定不同关键特征对应的风险等级。
也可以结合恶意威胁信息的类型与关键特征确定恶意威胁信息的风险等级。还可以结合更多方面因素确定恶意威胁信息的风险等级。比如,对于流行度很高且规则特征的准确度高的木马类型的恶意威胁信息,风险等级确定为高级;如果该恶意威胁信息的流行度很高,但是规则特征的准确度低,则风险等级确定为中级。流行度的高低可以由检测到该恶意威胁信息的频次确定,也可以由相关人员设定,也可以自动从开源的库中确定。
确定恶意威胁信息的风险等级后,推送所述风险等级对应的处理策略到所述安全防护设备,所述处理策略用于所述安全防护设备对网络流量中的所述恶意威胁信息进行处理。可以预先设定不同风险等级对应的处理策略,也可以接受用户指定的处理策略。例如,对于高级风险的恶意威胁信息,则推送阻断的处理策略,如果是低级风险的恶意威胁信息,则推送告警的处理策略。安全防护设备接收到处理策略后,对识别出的恶意威胁信息按照对应的处理策略进行处理。
另外,可以在推送特征规则之后,推送给安全防护设备对应的处理策略,也可以将特征规则和对应的处理策略一起推送给安全防护设备。
本实施例提供的方法在推送给安全防护设备特征规则的基础上,根据恶意威胁信息的风险等级推送对应的处理策略到所述安全防护设备,以使安全防护设备可以及时的对网络流量中实际存在的恶意威胁进行识别和有效的处理,从而更有针对性地进行安全防御,提高了设备间检测与响应的协作。
在本实施例或本公开其他某些实施例中,上述流程之后还包括:响应于恶意威胁信息的风险等级发生变化,推送变化后的风险等级对应的处理策略到安全防护设备。
具体地,可以在设定的一段时间之间内,持续跟踪记录该恶意威胁信息的风险等级变化。比如,如果该恶意威胁信息的流行度降低,重新确定该恶意威胁信息的风险等级从中级变成低级,推送低级风险对应的处理策略到安全防护设备代替之前该恶意威胁信息的处理策略。
此外,不同风险等级对应的处理策略可能会调整,比如,接收人工进行的调整。可以定期检查处理策略是否更新,并推送给安全防护设备更新后的处理策略。
在一实施例中,特别地,在设定时间内未再次检测到所述恶意威胁信息的情况下,指示安全防护设备停止识别所述恶意威胁信息。比如,在第一次检测到该恶意威胁信息,并生成对应的特征规则推送到安全防护设备后,之后的设定时间内都未检测到该恶意威胁信息,则可以推送给安全防护设备停止使用该特征规则的指示,以使安全防护设备接收到该指示后停止识别该恶意威胁信息。若之前还推送了该恶意威胁信息对应的处理策略,则同时指示安全防护设备废除该处理策略。该方法可以在有效防御的前提下,节约安全防护设备有限的检测规则资源,降低安全防护设备对网络访问速度的影响。
如图2所示,图2是本公开实施例示出的一种协同防护装置的框图,该装置可用于态势感知大数据平台,所述装置包括:
检测模块20,用于检测网络流量中的恶意威胁信息;
规则模块21,用于基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征;
推送模块22,用于推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。
本公开实施例提供的协同防护装置通过检测分析网络流量中的恶意威胁,自动将恶意威胁的特征规则推送给其他安全防护设备,以使传统安全防护设备在检测规则条数受限的情况下,可以及时地对网络流量中实际存在的恶意威胁进行识别和处理,提高了设备间检测与响应的协作,实现了动态化、主动化的安全防御。
如图3所示,图3是本公开实施例示出的另一种协同防护装置的框图,在前述装置实施例的基础上,所述装置还包括:
风险等级模块23,用于确定所述恶意威胁信息的风险等级;
所述推送模块,还用于推送所述风险等级对应的处理策略到所述安全防护设备,所述处理策略用于所述安全防护设备对网络流量中的所述恶意威胁信息进行处理。
在一实施例中,所述风险等级模块23在用于确定所述恶意威胁信息的风险等级时,具体用于:包括如下至少一项:根据所述恶意威胁信息的类型,确定与所述类型对应的风险等级;或者,根据所述恶意威胁信息的关键特征,确定与所述关键特征对应的风险等级。
在一实施例中,所述推送模块22,还用于响应于所述恶意威胁信息的风险等级发生变化,推送变化后的风险等级对应的处理策略到所述安全防护设备。
在一实施例中,所述装置还包括停止模块,用于在设定时间内未再次检测到所述恶意威胁信息的情况下,指示所述安全防护设备停止识别所述恶意威胁信息。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本公开实施例还提供了一种电子设备,如图4所示,所述电子设备包括存储器31、处理器32,所述存储器31用于存储可在处理器上运行的计算机指令,所述处理器32用于在执行所述计算机指令时实现本公开任一实施例所述的协同防护的方法。
本公开实施例还提供了一种计算机程序产品,该产品包括计算机程序/指令,该计算机程序/指令被处理器执行时实现本公开任一实施例所述协同防护的方法。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本公开任一实施例所述协同防护的方法。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种协同防护方法,其特征在于,所述方法包括:
检测网络流量中的恶意威胁信息;
基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征;
推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。
2.根据权利要求1所述的方法,其特征在于,在所述检测网络流量中的恶意威胁信息之后,所述方法还包括:
确定所述恶意威胁信息的风险等级;
推送所述风险等级对应的处理策略到所述安全防护设备,所述处理策略用于所述安全防护设备对网络流量中的所述恶意威胁信息进行处理。
3.根据权利要求2所述的方法,其特征在于,所述确定所述恶意威胁信息的风险等级,包括如下至少一项:
根据所述恶意威胁信息的类型,确定与所述类型对应的风险等级;
或者,根据所述恶意威胁信息的关键特征,确定与所述关键特征对应的风险等级。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
响应于所述恶意威胁信息的风险等级发生变化,推送变化后的风险等级对应的处理策略到所述安全防护设备。
5.根据权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
在设定时间内未再次检测到所述恶意威胁信息的情况下,指示所述安全防护设备停止识别所述恶意威胁信息。
6.一种协同防护装置,其特征在于,所述装置包括:
检测模块,用于检测网络流量中的恶意威胁信息;
规则模块,用于基于检测到的所述恶意威胁信息,生成适用于安全防护设备的特征规则,所述特征规则包含所述恶意威胁信息的关键特征;
推送模块,用于推送所述特征规则到所述安全防护设备,所述安全防护设备用于根据所述特征规则识别网络流量中的所述恶意威胁信息。
7.根据权利要求6所述的装置,其特征在于,
所述装置还包括风险等级模块,用于确定所述恶意威胁信息的风险等级;
所述推送模块,还用于推送所述风险等级对应的处理策略到所述安全防护设备,所述处理策略用于所述安全防护设备对网络流量中的所述恶意威胁信息进行处理。
8.根据权利要求7所述的装置,其特征在于,
所述推送模块,还用于响应于所述恶意威胁信息的风险等级发生变化,推送变化后的风险等级对应的处理策略到所述安全防护设备。
9.一种电子设备,其特征在于,所述设备包括存储器、处理器,所述存储器用于存储可在处理器上运行的计算机指令,所述处理器用于在执行所述计算机指令时实现权利要求1至5任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至5任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110184268.5A CN112861132A (zh) | 2021-02-08 | 2021-02-08 | 一种协同防护方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110184268.5A CN112861132A (zh) | 2021-02-08 | 2021-02-08 | 一种协同防护方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112861132A true CN112861132A (zh) | 2021-05-28 |
Family
ID=75988012
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110184268.5A Pending CN112861132A (zh) | 2021-02-08 | 2021-02-08 | 一种协同防护方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112861132A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
CN115776406A (zh) * | 2022-12-01 | 2023-03-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130105769A (ko) * | 2012-03-15 | 2013-09-26 | 주식회사 코닉글로리 | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
CN105827627A (zh) * | 2016-04-29 | 2016-08-03 | 北京网康科技有限公司 | 一种信息获取方法和装置 |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御*** |
CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及*** |
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控***的安全检测与监控*** |
CN110881043A (zh) * | 2019-11-29 | 2020-03-13 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
CN111683097A (zh) * | 2020-06-10 | 2020-09-18 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控*** |
CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
-
2021
- 2021-02-08 CN CN202110184268.5A patent/CN112861132A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130105769A (ko) * | 2012-03-15 | 2013-09-26 | 주식회사 코닉글로리 | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御*** |
CN105827627A (zh) * | 2016-04-29 | 2016-08-03 | 北京网康科技有限公司 | 一种信息获取方法和装置 |
CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及*** |
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控***的安全检测与监控*** |
CN110881043A (zh) * | 2019-11-29 | 2020-03-13 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
CN111683097A (zh) * | 2020-06-10 | 2020-09-18 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控*** |
CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
Non-Patent Citations (1)
Title |
---|
童奇等: "基于机动识别的空战意图威胁建模与仿真", 《现代防御技术》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
CN114006778B (zh) * | 2022-01-05 | 2022-03-25 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
CN115776406A (zh) * | 2022-12-01 | 2023-03-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
CN115776406B (zh) * | 2022-12-01 | 2023-10-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3588898B1 (en) | Defense against apt attack | |
CN112861132A (zh) | 一种协同防护方法和装置 | |
AU2004289001B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
CN103685294B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
CN110602032A (zh) | 攻击识别方法及设备 | |
CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN102546641B (zh) | 一种在应用安全***中进行精确风险检测的方法及*** | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
CN110099044A (zh) | 云主机安全检测***及方法 | |
CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
CN107733725A (zh) | 一种安全预警方法、装置、设备及存储介质 | |
CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及*** | |
CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
CN116389147A (zh) | 一种网络攻击的封禁方法、装置、电子设备及存储介质 | |
CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及*** | |
CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 | |
CN110572379B (zh) | 面向网络安全的可视化大数据态势感知分析***关键技术 | |
Sood et al. | Wip: Slow rate http attack detection with behavioral parameters | |
CN113037841B (zh) | 一种提供分布式拒绝攻击的防护方法 | |
Srinivasarao et al. | A Comprehensive Approach to Detect SQL Injection Attacks Using Enhanced Snort Rules | |
CN118199981A (zh) | 一种恶意域名请求的威胁检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |