CN116633672A - 告警信息检测方法、装置、电子设备及存储介质 - Google Patents

告警信息检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116633672A
CN116633672A CN202310781613.2A CN202310781613A CN116633672A CN 116633672 A CN116633672 A CN 116633672A CN 202310781613 A CN202310781613 A CN 202310781613A CN 116633672 A CN116633672 A CN 116633672A
Authority
CN
China
Prior art keywords
information
alarm information
alarm
field
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310781613.2A
Other languages
English (en)
Inventor
蒲大峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Information Security Co ltd
Original Assignee
Shenzhen Shenxinfu Information Security Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Information Security Co ltd filed Critical Shenzhen Shenxinfu Information Security Co ltd
Priority to CN202310781613.2A priority Critical patent/CN116633672A/zh
Publication of CN116633672A publication Critical patent/CN116633672A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种告警信息检测方法、装置、电子设备及存储介质,涉及技术领域为:网络安全技术领域,方法包括:通过获取告警信息,告警信息包括当前告警信息及历史告警信息;对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息;字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度;基于字段分析信息确定当前告警信息的误报检测结果。本申请可以较大程度的提高对告警误报的检测准确度,节省了对告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,提高了安全防护能力。

Description

告警信息检测方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种告警信息检测方法、装置、电子设备及存储介质。
背景技术
相关技术中,告警检测平台中的网络安全产品针对不同的防护对象和部署位置,可以分为网络防火墙、应用防火墙和态势感知等。由于大多数的网络安全产品的内置规则的定义主要基于攻击者的入侵手法进行设定。一旦网络安全产品部署后,由于业务场景复杂多变,且存在着较多开发代码不规范的情况导致网络安全产品会命中海量的业务告警。由于现有的网络安全产品在面对海量的业务告警时检测业务误报的准确度较低,且会花费大量的计算资源导致忽略了真实的入侵行为告警使得安全防护功能减弱。所以技术问题是现有的告警检测平台无法精准的识别出告警误报,导致安全防护功能较弱。
发明内容
本申请实施例提供的一种告警信息检测方法、装置、电子设备及存储介质,可以提高识别出告警误报的精准度,进而提高了安全防护能力。
本申请的技术方案是这样实现的:
本申请实施例提供了一种告警信息检测方法,包括:
获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
基于所述字段分析信息确定所述当前告警信息的误报检测结果。
本申请实施例还提供了一种告警信息检测装置,包括:
信息获取单元,用于获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
分析单元,用于对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
确定单元,用于基于所述字段分析信息确定所述当前告警信息的误报检测结果。
本申请实施例还提供了一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现告警信息检测装置一侧方法中的步骤。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现告警信息检测装置一侧所述方法中的步骤。
本申请实施例中,通过获取告警信息,告警信息包括当前告警信息及历史告警信息;对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息;字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度;基于字段分析信息确定当前告警信息的误报检测结果。由于本申请中通过对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析的过程考虑到了特征字段中的各种元素,分析过程的颗粒度较细,可以很大程度的提高对告警误报的检测准确度,节省了对告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,提高了安全防护能力。
附图说明
图1为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图2为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图3为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图4为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图5为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图6为本申请实施例提供的告警信息检测方法的一个可选的效果示意图;
图7为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图8为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
图9为本申请实施例提供的告警信息检测装置的结构示意图;
图10为本申请实施例提供的电子设备的一种硬件实体示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和实施例对本申请的技术方案进一步详细阐述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
如果申请文件中出现“第一/第二”的类似描述则增加以下的说明,在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
相关技术中,在检测业务告警误报的过程中通常采用如下两种方案:
1、通过网络安全产品检测误报:由于大多数的网络安全产品的内置规则的定义主要基于攻击者的入侵手法进行建立设定。一旦网络安全产品部署到实际的网络当中由于业务场景复杂多变、且存在着较多开发代码不规范的情况、会导致网络安全产品命中海量的业务告警。迫使安全产品花费大量的资源在分析业务误报上从而忽略了真实的入侵行为、降低了安全防护功能。
2、通过规则加白检测误报:可通过网络安全产品的功能对当前的告警进行加白处理,由于网络安全产品设计原因,会导致部分真实攻击行为告警也被加白后从而忽略了真实的入侵的行为。且由于业务的调整变化,历史基于规则的告警加白可能会实效导致加白工作重复进行,在海量告警的现况下安全运营工作无法进行,使得网络安全产品的防护功能较低。
本申请实施例提供了一种告警信息检测方法,请参阅图1,为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,将结合图1示出的步骤进行说明。
S101、获取告警信息,所述告警信息包括当前告警信息及历史告警信息。
本申请实施例中,告警信息检测装置接收从其他终端或者服务器发送的当前告警信息。告警信息检测装置可以利用当前告警信息中的通用字段在历史告警信息库中进行历史告警信息的查找。其中,可以从当前告警信息的通用字段中选择部分的查询条件在历史告警信息库中进行历史告警信息的查找,进而查找得到各个历史告警信息。其中,所述当前告警信息与所述历史告警信息源自于同一告警设备。
本申请实施例中,告警信息检测装置可以为一个告警检测平台。当终端或者服务器上的安全检测产品检测到攻击行为时,形成告警信息。终端或者服务器将该告警信息发送给告警信息检测装置。其中,安全检测产品可以包括:端点检测与响应(EndpointDetection&Response,EDR)、可拓展威胁检测与响应(Extended Detection and Response,XDR)、安全信息和事件管理(security information and event management,SIEM)和网络数据整理(Network Data Reduction,NDR)等网络安全产品中的任意一个。
本申请实施例中,告警信息检测装置可以提取出当前告警信息中的通用字段,将该通用字段与历史告警信息库中的每个历史告警信息进行匹配,若匹配上则提取出该历史告警信息,直至将历史告警信息库中的历史告警信息匹配完成,确定出各个历史告警信息。
本申请实施例中,告警信息检测装置还可以在当前告警信息中提取出通用字段与协议特征字段。告警信息检测装置通过通用字段与协议特征字段中的源网络地址信息、目的网络地址信息、告警标识信息(告警描述、告警身份标识号码(Identity,ID))组合的条件方式查询得到历史告警信息。
本申请实施例中,告警信息检测装置开始执行S101步骤的启动条件可以包括:终端或者服务器向告警信息检测装置发送了一定数量的告警信息,或者终端、服务器给告警信息检测装置发送告警信息的时间跨度达到一定时长。其中该时间跨度可以为7天、15天、30天中的任一个。本申请实施例中对该时间跨度不做具体限制。
S102、对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度。
本申请实施例中,告警信息检测装置可以针对当前告警信息中的每一特征字段,与历史告警信息中的对应特征字段进行一致性分析,确定出字段分析信息。
本申请实施例中,特征字段包括:通用字段和协议字段。告警信息检测装置可以针对当前告警信息和历史告警信息的通用字段进行分析,以及针对当前告警信息和历史告警信息的协议字段进行分析,确定出字段分析信息。其中,字段分析信息用于表征当前告警信息的通用字段与历史告警信息的通用字段的一致程度,以及当前告警信息的协议字段与历史告警信息的协议字段的一致程度。
其中,当前告警信息的通用字段可以包括告警时间、告警类型信息、源网络地址信息、目的网络地址信息和告警次数信息。当前告警信息还包括协议特征字段。其中,不同的告警类型可以对应不同的协议特征字段。示例性的,当前告警信息为超文本传输协议(Hyper Text Transfer Protocol,HTTP)类型的告警信息时。当前告警信息的协议特征字段包含HTTP协议的请求数据包内容、响应数据包内容、统一资源***(Uniform ResourceLocator,URL)路径长度、响应体字段大小等。当前告警信息为(Rdp blasting tool,RDP)***类型时协议特征字段包含账号、密码、密码的加密方式等协议特征字段。
本申请实施例中,告警信息检测装置可以在当前告警信息中提取得到特征字段,并根据提取到的特征字段结合历史告警信息的特征字段进行规律性分析、告警内容分析和业务属性分析,进而确定字段分析信息。
S103、基于所述字段分析信息确定所述当前告警信息的误报检测结果。
本申请实施例中,告警信息检测装置可以基于字段分析信息表征的数值的大小,来确定出当前告警信息是否为误报。
其中,若字段分析信息表征的数值大于预定阈值,则确定出当前告警信息为告警误报的误报检测结果。若字段分析信息表征的数值不大于预定阈值,且当前告警信息中包括的任意字段与预设规则库中的告警规则标识匹配,则确定出当前告警信息为确定告警的误报检测结果。
其中,当前告警信息中包括的任意字段与预设规则库中的告警规则标识匹配可以示例性的表示为:当前告警信息包括了了恶意域名字段,该恶意域名字段与一个告警规则标识匹配,则确定出当前告警信息为确定性告警。
在一些其他的实施例中,告警信息检测装置获取到当前告警信息,将当前告警信息中的每个字段与预设规则库中的告警规则标识匹配,若匹配上可以直接确定出该当前告警信息为确定告警的误报检测结果。进而无需进行确定出字段分析信息的过程。
本申请实施例中,通过获取告警信息,告警信息包括当前告警信息及历史告警信息;对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息;字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度;基于字段分析信息确定当前告警信息的误报检测结果。由于本申请中通过对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析的过程考虑到了特征字段中的各种元素,分析过程的颗粒度较细,可以很大程度的提高对告警误报的检测准确度,节省了对告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,提高了安全防护能力。
在一些实施例中,参见图2,图2为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,图1示出的S101至S103还可以通过S201至S206实现,将结合各步骤进行说明。
S201、获取当前告警信息。
本申请实施例中,告警信息检测装置获取其他终端或者服务器发送的当前告警信息。
S202、提取特征字段。
本申请实施例中,告警信息检测装置对新告警进行字段拆解,提取新告警中的特征字段,也就是获取当前告警中的通用字段和协议字段。
S203、针对特征字段分析。
本申请实施例中,告警信息检测装置基于特征字段查找得到历史告警信息。可以基于多个告警信息的特征字段与当前告警信息的特征字段进行分析,进而获取字段分析信息。
S204、生成确定性告警。
本申请实施例中,当字段分析信息表征的数值小于预定阈值之后可以确定当前告警非业务误报,进而确定当前告警为确定性告警
S205、标记历史相同告警。
本申请实施例中,当字段分析信息表征的数值大于预定阈值之后可以确定新告警为业务误报。告警信息检测装置可以针对当前告警标记历史相同告警,并且在该当前告警信息中添加业务误报标签。
本申请主要提供了一个自动化识别业务告警误报的方法,后台通过当前告警信息结合历史的告警进行规律性、网络资产属性、群体性分析的方法能够准备识别出新告警是否为业务误报。并将新告警进行特殊的标签筛选,用户可在产品页面上进行选择从而直接过滤或者不展示业务误报的告警,从而大幅度的提高了防护功能。
在一些实施例中,参见图3,图3为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,图1示出的S102还可以通过S104实现,将结合各步骤进行说明。
S104、基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性,以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性,确定所述字段分析信息。
本申请实施例中,当前告警信息的特征字段包括:通用字段和协议字段。历史告警信息的特征字段也包括:通用字段和协议字段。告警信息检测装置可以针对当前告警信息的协议字段与历史告警信息的协议字段进行相似性分析,以及针对当前告警信息的通用字段和历史告警信息的通用字段进行一致性分析确定出字段分析信息。
本申请实施例中,告警信息检测装置还可以对当前告警信息的协议字段和历史告警信息的协议字段进行相似度计算,得到相似度对比结果。告警信息检测装置还可以对当前告警信息的通用字段和历史告警信息的通用字段进行一致性对比,得到一致性对比结果。基于相似度对比结果和一致性对比结果确定字段分析信息。
本申请实施例中,通过对当前告警信息和历史告警信息的通用字段和协议字段分别进行针对性分析,由于分析过程考虑到了特征字段中的字段类型,这样在进行通用字段和协议字段的分析过程的颗粒度较小,可以很大程度的提高对告警误报的检测准确度,节省了对概告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,提高了安全防护能力。
在一些实施例中,参见图4,图4为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,图3示出的S104还可以通过S105至S108实现,将结合各步骤进行说明。
S105、基于所述历史告警信息对应的所述协议字段与所述当前告警信息对应的所述协议字段之间的相似性确定第一值。
本申请实施例中,告警信息检测装置该可以基于当前告警信息的协议特征字段与历史告警信息的协议特征字段之间的相似度,求出第一值。其中,所述第一值用于表征所述当前告警信息与所述历史告警信息之间的相似度。
本申请实施例中,告警信息检测装置可以针对于协议字段计算当前告警信息与历史告警信息的相似度。首先需要对历史告警信息的字段进行统计。根据不同的协议内容,主要识别协议字段相似性;如针对HTTP协议则可以提取对对应的请求头、请求体、响应头、相应体当中的字段,包括不局限于URL路径、长度、请求数据包大小、请求体长度、请求体内容、响应状态码、响应内容长度、响应内容格式、攻击payload载荷偏移量、攻击payload载荷长度等内容与当前告警信息进行相似度计算。相似度的计算方法包括不局限于模糊hash、全字段匹配、编辑距离等方法。其中,相似度越高、则说明该当前告警信息的业务误报的概率越大。
S106、基于所述当前告警信息的所述通用字段反映的告警信息与所述历史告警信息的所述通用字段反映的告警信息,确定第二值。
本申请实施例中,告警信息检测装置可以基于当前告警信息的通用字段中包括的告警内容字段以及攻击源字段对各个历史告警信息进行分析,确定第二值。其中,所述第二值用于表征所述当前告警信息与所述历史告警信息的告警内容的一致性;
本申请实施例中,告警信息检测装置可以基于当前告警信息的告警内容字段和攻击源字段在各个历史告警信息中确定出与当前告警信息的攻击源一致,且告警内容一致的N个历史告警信息。告警信息检测装置可以将数值N比上各个历史告警信息的数量,可以得到告警内容分析对应的第二值。N为整数。
本申请实施例中,告警信息检测装置还可以通过预设分类模型对当前告警信息与各个历史告警信息进行分类处理。经过分类模型的处理之后确定出与当前告警信息属于同一类的N个历史告警信息。告警信息检测装置可以将N个历史告警信息的个数比上各个历史告警信息的个数,进而得到该第二值。其中,N个历史告警信息与当前告警信息处于同一类的N个历史告警信息的攻击源及告警内容都是一致的。
其中,预设分类模型可以包括:k均值聚类算法(k-means clusteringalgorithm),支持向量机(Support Vector Machine,SVM)和线性回归等数据二分类的算法模型。
本申请实施例中,在确定第二值的过程中,可以通过提取出当前告警信息的通用字段中的攻击源网际互连协议(Internet Protocol,IP)地址与目的IP地址、告警标识信息和告警类型信息的字段。首先以源IP地址、告警标识信息、告警类型信息型作为主要查询条件,识别历史告警信息库中的与该源IP地址信息匹配且具有相同的告警标识信息和告警类型信息的历史告警信息。同时以目的Ip地址、告警标识信息、告警类型信息作为主要查询条件识别历史告警信息库中的与该目的IP地址信息匹配且具有相同的告警标识信息和告警类型信息的历史告警信息。通过二次不同的的方式查询,可以查询得到各个历史告警信息。将该当前告警信息和各个历史告警信息通过预设分类模型进行处理得到与当前告警信息分为一类的N个历史告警信息,告警信息检测装置可以确定该N个历史告警信息在多个历史告警信息中的占比为第二值。示例性的,如发现A主机对B主机发起X类攻击,通过查询识别到最近7天内包含有300个源IP、发起了20000次X类攻击攻击B主机,则较大概率判断当前A主机对B主机的X类攻击为误报并返回误报可能性数值、源IP的数量、攻击次数越多则对应的业务误报呈现正相关特点。
S107、基于所述当前告警信息的所述通用字段反映的业务属性信息与所述历史告警信息的所述通用字段反映的业务属性信息,确定第三值。
本申请实施例中,告警信息检测装置可以基于当前告警信息的网络地址信息查询得到对应的业务属性信息。并且可以基于历史告警信息的网络地址信息查询得到对应的业务属性信息。在各个历史告警信息中确定出与当前告警信息的业务属性一致的历史告警信息。可以基于与当前告警信息的业务属性一致的历史告警信息的个数确定第三值。其中,所述第三值用于表征所述当前告警信息与所述历史告警信息的业务属性的一致性。
本申请实施例中,告警信息检测装置可以基于当前告警信息的网络地址信息查询得到对应的业务属性信息。并在当前告警信息中提取出告警标识。可以基于该业务属性信息、告警标识及多各个历史告警信息的个数信息通过预设场景算法处理得到对应的第三值。本申请实施例中,告警信息检测装置可以基于该业务属性信息、告警标识信息及多个历史告警信息的个数信息在预设的业务属性误报概率表中查询得到对应的第三值。其中,该业务属性误报概率表中包括了每个业务属性信息及其对应的不同的数量的历史告警信息,与对应的第三值之间的对应关系。
本申请实施例中,告警信息检测装置可以通过当前告警信息的通用字段提取到对应告警的源IP、目的IP的字段。进而可以通过源IP、目的IP的查询业务属性信息。并在当前告警信息中提取得到对应的告警标识信息。告警信息检测装置内置一定的场景算法用于标识对应告警的误报率(第三值)。告警信息检测装置通过提取当前告警信息源IP、目的IP确定出网络资产的服务器类型、开放的端口、运行的应用服务清单、部署的应用软件、历史安全告警的类型与对应数量。告警信息检测装置可以通过该服务器类型、开放的端口、运行的应用服务清单、部署的应用软件、历史安全告警的类型与对应数量进行查询,从而获取当前告警信息的业务误报可能性。示例性的,新出现一个A主机向B主机请求了一个恶意域名***(Domain Name System,DNS)域名请求。告警信息检测装置通过查询发现当前A主机为DNS服务器、运行了53端口、历史出现了1000次的DNS请求域名告警、则提示当前的告警为业务误报可能性为[80%-99%]。
S108、基于所述第一值、所述第二值和所述第三值中的至少之一确定所述字段分析信息。
本申请实施例中,告警信息检测装置可以对第一值、第二值和第三值中的至少之一进行加权求和得到字段分析信息。
在一些实施例中,第一值、第二值和第三值分别对应的权重可以基于操作指令设置大小。
由于本申请中通过对当前告警信息的历史告警信息的协议字段和通用字段进行分析,通过该两个维度的对比分析确定出表征历史告警信息与当前告警信息的一致性的第一值、第二值和第三值,进而通过该三个值确定出最终的字段分析信息可以较大程度的提高对告警误报的检测准确度,节省了对概告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,进而提高了安全防护能力。
在一些实施例中,示出的S105还可以通过S1051至S1053实现,将结合各步骤进行说明。
S1051、基于各个所述历史告警信息中的每个所述协议字段与所述当前历史告警信息中的每个所述协议字段的相似性,得到每个所述协议字段对应的字段相似度。
本申请实施例中,告警信息检测装置可以计算历史告警信息中的每个协议字段与当前历史告警信息中的每个协议字段的相似性,得到每个协议特征字段分别对应的字段相似度。
其中,协议字段可以包括:请求头、请求体、响应头、相应体当中的字段。计算字段相似度的方法可以包括:利用历史告警信息中的一个字段与当前告警信息中的对应字段通过模糊hash、全字段匹配、编辑距离等方法计算得到字段相似度。
本申请实施例中,告警信息检测装置还可以在各个历史告警信息中确定出告警时间信息距离当前时刻最近的M个历史告警信息。告警信息检测装置可以计算M个历史告警信息中的每个历史告警信息与当前告警信息的协议字段之间的相似度。M为大于1的整数。
S1052、基于每个所述字段相似度的均值,确定各个所述历史告警信息与所述当前告警信息之间的相似度。
本申请实施例中,告警信息检测装置可以计算多个字段相似度的均值,得到各个历史告警信息与当前告警信息之间的相似度。
S1053、基于各个所述历史告警信息与所述当前告警信息之间的所述相似度确定所述第一值。
本申请实施例中,告警信息检测装置还可以计算各个历史告警信息与当前告警信息之间的相似度均值,作为第一值。
本申请实施例中,告警信息检测装置基于历史告警信息与当前历史告警信息的每个协议字段的相似特性分析得到第一值,对协议字段分析的颗粒度较细,可以较大程度的提高对告警误报的检测准确度。
在一些实施例中,参见图5,图5为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,图1示出的S103还可以通过S109至S110实现,将结合各步骤进行说明。
S109、基于各个所述历史告警信息对应的所述特征字段,确定各个所述历史告警信息的分布律。
本申请实施例中,各个历史告警信息的特征字段内包括了反映告警时间信息和告警次数信息的字段。告警信息检测装置可以基于各个历史告警信息分别包括的告警时间信息和告警次数信息,进行数据统计分析确定出分布律。其中,所述分布律用于表征各个所述历史告警信息沿时间轴的分布规律。
本申请实施例中,告警信息检测装置可以基于各个所述历史告警信息对应的所述特征字段反映的时间信息与告警次数信息确定各个所述历史告警信息沿时间轴的分布信息,基于所述分布信息确定所述分布律。
本申请实施例中,告警信息检测装置可以基于各个历史告警信息分别对应的告警时间信息及告警次数信息,拟合得到拟合函数。将各个历史告警信息分别对应的告警时间信息及告警次数信息代入拟合函数确定出拟合结果,基于多个拟合结果确定出分布律。其中,将多个历史告警信息分别对应的告警时间信息及告警次数信息代入拟合函数之后,可以确定出多个历史告警信息分别对应的拟合结果,进而得到多个拟合结果。告警信息检测装置可以在该多个拟合结果中确定出表征与拟合函数匹配的拟合结果的个数,将该个数比上多个拟合结果的总个数得到分布律。
示例性的,结合图6,图6中的每一个原点均代表一个历史告警信息。告警信息检测装置可以按照多个历史告警信息分别对应的告警时间信息及告警次数信息进行线性拟合,确定出对应的拟合函数。进而通过该拟合函数确定出拟合线。告警信息检测装置可以利用与该拟合线重叠的部分历史告警信息的个数比上多个历史告警信息的个数,得到分布律。
S110、基于所述分布律与所述字段分析信息确定所述误报检测结果。
本申请实施例中,可以基于分布律与字段分析信息之和表征的数值大小,确定误报检测结果。
其中,若分布律与字段分析信息之和表征的数值大于预定阈值,则确定出当前告警信息为告警误报的误报检测结果。若分布律与字段分析信息之和表征的数值不大于预定阈值,且当前告警信息中包括的任意字段与预设规则库中的告警规则标识匹配,则确定出当前告警信息为确定告警的误报检测结果。
本申请实施例中,告警信息检测装置基于各个历史告警信息的特征字段确定分布律。同时,告警信息检测装置将该分布律与字段分析信息结合确定出误报检测结果,该过程利用了各个历史告警信息的规律性分布特性,以及多个历史告警信息与当前历史告警信息的字段一致性,从两个方面考虑了当前告警信息的误报可能性,进而得到的误报检测结果更加准确。
在一些实施例中,示出的S101还可以通过S111至S112实现,将结合各步骤进行说明。
S111、基于当前告警信息的特征字段包括的源网络地址、目的网络地址及告警标识,在历史告警信息库中查找多个第一历史告警信息。
本申请实施例中,告警信息检测装置可以基于当前告警信息的特征字段包括的源IP地址信息、目的IP地址信息和告警标识信息,在历史告警信息库中查找匹配的多个第一历史告警信息。第一历史告警信息包含源网络地址、目的网络地址及告警标识匹配。进而,告警信息检测装置可以利用多个第一历史告警信息确定第一值和第三值。
S112、基于当前告警信息的特征字段包括的源网络地址、告警标识及告警类型信息,在历史告警信息库中查找多个第二历史告警信息,并基于当前告警信息包括的目的网络地址、告警标识及告警类型信息,在历史告警信息库中查找多个第三历史告警信息。
本申请实施例中,告警信息检测装置在可以基于当前告警信息包括的源网络地址、告警标识及告警类型信息,在历史告警信息库中查找多个第二历史告警信息,并基于当前告警信息包括的目的网络地址、告警标识及告警类型信息,在历史告警信息库中查找多个第三历史告警信息,将多个第二历史告警信息及多个第三历史告警信息作为进行告警内容分析时的多个历史告警信息。进而,告警信息检测装置可以利用多个第二历史告警信息和多个第三历史告警信息确定第二值。
本申请实施例中,告警信息检测装置在分析得到第一值和第三值时,基于当前告警信息在历史告警信息库中查找多个第一历史告警信息,在分析得到第二值时,基于当前告警信息在历史告警信息库中查找多个第二历史告警信息和多个第三历史告警信息。由于在本方案中,在告警信息检测装置面对不同的分析策略可以通过不同的查询条件得到不同范围的历史告警信息,这种差异性的查询方式可以给不同的分析带来更加匹配的分析数据源,消除了由于通一数据源进行分析时来带的原始误差,进而确定出来的告警误报分析结果也更加准确。
在一些实施例中,参见图7,图7为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,将结合各步骤进行说明。
S206、获取当前告警信息。
S207、提取特征字段。
本申请实施例中,告警信息检测装置在获取到当前告警信息之后,可以对该新告警进行字段拆解提取出其中的特征字段。
S208、校验是否为确定性告警。
本申请实施例中,告警信息检测装置可以基于当前告警信息中的各个特征字段与与预设规则库中的告警规则标识匹配,若匹配上可以直接确定出该当前告警信息为确定告警的误报检测结果。
S209、生成确定性告警。
本申请实施例中,若新告警中的唯一标识为告警id、告警描述等字段,则可以确定该当前告警信息为确定性告警。如果为确定性告警则无需进行规律性分析、告警内容分析和业务属性分析。
S210、针对特征字段分析。
本申请实施例中,若无法确定该当前告警信息为确定性告警,则可以利用特征字段处理对该当前告警信息进行规律性分析、告警内容分析和业务属性分析。
本申请实施例中,优先确定该新告警是否为确定性告警,如果不是确定性告警才会进行消减引擎的分析处理,优先分析是否为确定性告警的方式,可以快速的确定出真正的告警,提高了安全防护能力。
在一些实施例中,参见图8,图8为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,将结合各步骤进行说明。
S211、获取当前告警信息。
S212、提取特征字段。
本申请实施例中,告警信息检测装置在获取到新告警之后,可以对该当前告警信息进行字段拆解提取出其中的特征字段。
S213、针对特征字段分析。
本申请实施例中,告警信息检测装置可以利用特征字段对该新告警进行规律性分析、告警内容分析和业务属性分析,得到误报检测结果。
消减引擎处理可以为具有对应数据处理功能的程序包。
S21、校验是否为确定性告警。
若误报检测结果表征当前告警信息不是误报告警,则检测该告警是否为确定性告警。
S215、生成确定性告警。
本申请实施例中,告警信息检测装置可以基于当前告警信息中的各个字段与预设规则库中的告警规则标识匹配,若匹配上可以直接确定出该新告警为确定性告警。
由于本申请中,在告警信息检测装置通过特征字段对当前告警信息进行处理之后,确定当前告警信息不是误报告警,还需要检验该当前告警信息是否为确定性告警。进而全面的分析了新告警,不会对新告警的误报或者确定性分析造成遗漏的情况出现,进而提高了告警信息检测装置确定出确定性告警的准确性。
图9为本申请实施例提供的告警信息检测装置的结构示意图。
本申请实施例还提供了一种告警信息检测装置800,其特征在于,包括:信息获取单元801、分析单元802和确定单元803。
信息获取单元801,用于获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
分析单元802,用于对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
确定单元803,用于基于所述字段分析信息确定所述当前告警信息的误报检测结果。
本申请实施例中,所述特征字段包括:通用字段和协议字段;告警检测装置800中的分析单元802用于基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性,以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性,确定所述字段分析信息。
本申请实施例中,告警检测装置800中的分析单元802用于基于各个所述历史告警信息对应的所述特征字段,确定各个所述历史告警信息的分布律;其中,所述分布律用于表征各个所述历史告警信息沿时间轴的分布规律;确定单元803用于基于所述分布律与所述字段分析信息确定所述误报检测结果。
本申请实施例中,告警检测装置800中的分析单元802用于基于所述历史告警信息对应的所述协议字段与所述当前告警信息对应的所述协议字段之间的相似性确定第一值;其中,所述第一值用于表征所述当前告警信息与所述历史告警信息之间的相似度;基于所述当前告警信息的所述通用字段反映的告警信息与所述历史告警信息的所述通用字段反映的告警信息,确定第二值;其中,所述第二值用于表征所述当前告警信息与所述历史告警信息的告警内容的一致性;基于所述当前告警信息的所述通用字段反映的业务属性信息与所述历史告警信息的所述通用字段反映的业务属性信息,确定第三值;其中,所述第三值用于表征所述当前告警信息与所述历史告警信息的业务属性的一致性;基于所述第一值、所述第二值和所述第三值中的至少之一确定所述字段分析信息。
本申请实施例中,告警检测装置800中的分析单元802用于基于各个所述历史告警信息中的每个所述协议字段与所述当前历史告警信息中的每个所述协议字段的相似性,得到每个所述协议字段对应的字段相似度;基于每个所述字段相似度的均值,确定各个所述历史告警信息与所述当前告警信息之间的相似度;基于各个所述历史告警信息与所述当前告警信息之间的所述相似度确定所述第一值。
本申请实施例中,告警检测装置800中的分析单元802用于基于各个所述历史告警信息对应的所述特征字段反映的时间信息与告警次数信息确定各个所述历史告警信息沿时间轴的分布信息,基于所述分布信息确定所述分布律。
本申请实施例中,所述当前告警信息与所述历史告警信息源自于同一告警设备。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的告警信息检测方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台告警信息检测装置(可以是个人计算机等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现告警信息检测装置一侧方法中的步骤。
对应地,本申请实施例提供一种电子设备900,包括存储器902和处理器901,所述存储器902存储有可在处理器901上运行的计算机程序,所述处理器901执行所述程序时实现上述方法中的步骤。
这里需要指出的是:以上存储介质和装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,图10为本申请实施例提供的电子设备的一种硬件实体示意图,如图10所示,该电子设备900的硬件实体包括:处理器901和存储器902,其中;
处理器901通常控制电子设备900的总体操作。
存储器902配置为存储由处理器901可执行的指令和应用,还可以缓存待处理器901以及电子设备900中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储装置、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机、服务器、或者网络装置等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储装置、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种告警信息检测方法,其特征在于,包括:
获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
基于所述字段分析信息确定所述当前告警信息的误报检测结果。
2.根据权利要求1所述的告警信息检测方法,其特征在于,所述特征字段包括:通用字段和协议字段;所述对所述当前告警信息对应的特征字段和所述历史告警信息对应的特征字段进行分析得到字段分析信息,包括:
基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性,以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性,确定所述字段分析信息。
3.根据权利要求1所述的告警信息检测方法,其特征在于,所述基于所述字段分析信息确定所述当前告警信息的误报检测结果之前,所述方法还包括:
基于各个所述历史告警信息对应的所述特征字段,确定各个所述历史告警信息的分布律;其中,所述分布律用于表征各个所述历史告警信息沿时间轴的分布规律;
所述基于所述字段分析信息确定所述当前告警信息的误报检测结果,包括:
基于所述分布律与所述字段分析信息确定所述误报检测结果。
4.根据权利要求2所述的告警信息检测方法,其特征在于,所述基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性,以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性,确定所述字段分析信息,包括:
基于所述历史告警信息对应的所述协议字段与所述当前告警信息对应的所述协议字段之间的相似性确定第一值;其中,所述第一值用于表征所述当前告警信息与所述历史告警信息之间的相似度;
基于所述当前告警信息的所述通用字段反映的告警信息与所述历史告警信息的所述通用字段反映的告警信息,确定第二值;其中,所述第二值用于表征所述当前告警信息与所述历史告警信息的告警内容的一致性;
基于所述当前告警信息的所述通用字段反映的业务属性信息与所述历史告警信息的所述通用字段反映的业务属性信息,确定第三值;其中,所述第三值用于表征所述当前告警信息与所述历史告警信息的业务属性的一致性;
基于所述第一值、所述第二值和所述第三值中的至少之一确定所述字段分析信息。
5.根据权利要求4所述的告警信息检测方法,其特征在于,所述基于所述历史告警信息对应的所述协议字段与所述当前告警信息对应的所述协议字段之间的相似性确定第一值,包括:
基于各个所述历史告警信息中的每个所述协议字段与所述当前历史告警信息中的每个所述协议字段的相似性,得到每个所述协议字段对应的字段相似度;
基于每个所述字段相似度的均值,确定各个所述历史告警信息与所述当前告警信息之间的相似度;
基于各个所述历史告警信息与所述当前告警信息之间的所述相似度确定所述第一值。
6.根据权利要求3所述的告警信息检测方法,其特征在于,所述基于各个所述历史告警信息对应的所述特征字段,确定各个所述历史告警信息的分布律,包括:
基于各个所述历史告警信息对应的所述特征字段反映的时间信息与告警次数信息确定各个所述历史告警信息沿时间轴的分布信息,基于所述分布信息确定所述分布律。
7.根据权利要求1至6任一项所述的告警信息检测方法,其特征在于,所述当前告警信息与所述历史告警信息源自于同一告警设备。
8.一种告警信息检测装置,其特征在于,包括:
信息获取单元,用于获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
分析单元,用于对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
确定单元,用于基于所述字段分析信息确定所述当前告警信息的误报检测结果。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法中的步骤。
CN202310781613.2A 2023-06-28 2023-06-28 告警信息检测方法、装置、电子设备及存储介质 Pending CN116633672A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310781613.2A CN116633672A (zh) 2023-06-28 2023-06-28 告警信息检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310781613.2A CN116633672A (zh) 2023-06-28 2023-06-28 告警信息检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116633672A true CN116633672A (zh) 2023-08-22

Family

ID=87641975

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310781613.2A Pending CN116633672A (zh) 2023-06-28 2023-06-28 告警信息检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116633672A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040909A (zh) * 2023-09-11 2023-11-10 江南信安(北京)科技有限公司 一种对网络设备进行安全防护的方法及***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040909A (zh) * 2023-09-11 2023-11-10 江南信安(北京)科技有限公司 一种对网络设备进行安全防护的方法及***
CN117040909B (zh) * 2023-09-11 2024-05-10 江南信安(北京)科技有限公司 一种对网络设备进行安全防护的方法及***

Similar Documents

Publication Publication Date Title
CN107426199B (zh) 一种网络异常行为检测与分析的方法及***
CN110099059B (zh) 一种域名识别方法、装置及存储介质
CN110602029B (zh) 一种用于识别网络攻击的方法和***
CN111212053B (zh) 一种面向工控蜜罐的同源攻击分析方法
CN110798488B (zh) Web应用攻击检测方法
Abutair et al. CBR-PDS: a case-based reasoning phishing detection system
CN107888606B (zh) 一种域名信誉度评估方法及***
CN108023868B (zh) 恶意资源地址检测方法和装置
Rupa et al. A machine learning driven threat intelligence system for malicious URL detection
CN116305168B (zh) 一种多维度信息安全风险评估方法、***及存储介质
CN110198303A (zh) 威胁情报的生成方法及装置、存储介质、电子装置
US10911477B1 (en) Early detection of risky domains via registration profiling
CN112019519B (zh) 网络安全情报威胁度的检测方法、装置和电子装置
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN116633672A (zh) 告警信息检测方法、装置、电子设备及存储介质
CN111723371A (zh) 构建恶意文件的检测模型以及检测恶意文件的方法
CN112839014A (zh) 建立识别异常访问者模型的方法、***、设备及介质
CN111147490A (zh) 一种定向钓鱼攻击事件发现方法及装置
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
CN113794731B (zh) 识别基于cdn流量伪装攻击的方法、装置、设备和介质
US9332031B1 (en) Categorizing accounts based on associated images
Tang et al. HSLF: HTTP header sequence based lsh fingerprints for application traffic classification
CN111885011B (zh) 一种业务数据网络安全分析挖掘的方法及***
CN116800518A (zh) 一种网络防护策略的调整方法及装置
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination