CN118157976A - 网络安全监测和响应方法、装置、电子设备 - Google Patents
网络安全监测和响应方法、装置、电子设备 Download PDFInfo
- Publication number
- CN118157976A CN118157976A CN202410381986.5A CN202410381986A CN118157976A CN 118157976 A CN118157976 A CN 118157976A CN 202410381986 A CN202410381986 A CN 202410381986A CN 118157976 A CN118157976 A CN 118157976A
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- data set
- network
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012544 monitoring process Methods 0.000 title claims abstract description 43
- 230000002159 abnormal effect Effects 0.000 claims abstract description 94
- 238000013499 data model Methods 0.000 claims abstract description 77
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims abstract description 21
- 230000003993 interaction Effects 0.000 claims abstract description 19
- 238000012549 training Methods 0.000 claims abstract description 16
- 238000003672 processing method Methods 0.000 claims abstract description 10
- 238000004458 analytical method Methods 0.000 claims abstract description 5
- 230000006399 behavior Effects 0.000 claims description 42
- 230000004044 response Effects 0.000 claims description 34
- 238000004891 communication Methods 0.000 claims description 17
- 230000002547 anomalous effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络安全监测与响应方法、装置、电子设备,网络安全监测与响应方法,包括:实时获取Linux***的网络流量数据,并通过数据模型对所述网络流量数据进行分析,以获得交互数据集和异常数据集;通过历史数据、所述交互数据集和所述异常数据集对所述数据模型训练,以获得目标数据模型;通过所述目标数据模型分析所述异常数据集,以获得所述异常数据集中异常数据的异常行为数据;根据预定处理方法处理所述异常行为数据。根据本发明实施例的网络安全监测与响应方法,通过目标数据模型对网络流量的实时获取以及行为分析,能够动态地监测网络流量,识别潜在的安全威胁,有效的预防隐私泄露,并自动实施响应措施。
Description
技术领域
本申请实施例涉及智能互网联技术领域,尤其涉及一种网络安全监测与响应方法、装置、电子设备及计算机存储介质。
背景技术
目前的安全检测技术仅对目的地址进行匹配,或者对历史数据进行分析,只能识别已有的网络攻击,同时,目前的网络识别技术是通过ip地址或者病毒库进行判断。在识别新型威胁和快速响应方面面临挑战。
发明内容
有鉴于此,本申请实施例提供一种网络安全监测与响应方法、装置、电子设备及计算机存储介质,通过目标数据模型对网络流量的实时获取以及行为分析,能够动态地监测网络流量,识别潜在的安全威胁,有效的预防隐私泄露,并自动实施响应措施。
根据本申请实施例的第一方面,提供了一种网络安全监测与响应方法,包括:实时获取Linux***的网络流量数据,并通过数据模型对所述网络流量数据进行分析,以获得交互数据集和异常数据集;通过所述交互数据集和所述异常数据集对所述数据模型训练,以获得目标数据模型;通过所述目标数据模型分析所述异常数据集,以获得所述异常数据集中异常数据的异常行为数据;根据预定处理方法处理所述异常行为数据。
根据本申请实施例的第二方面,提供了一种网络安全监测与响应装置,包括:获取模块,用于实时获取L inux***的网络流量数据,并通过数据模型对所述网络流量数据进行分析,以获得交互数据集和异常数据集;训练模块,用于通过所述交互数据集和所述异常数据集对所述数据模型训练,以获得目标数据模型;分析模块,用于通过所述目标数据模型分析所述异常数据集,以获得所述异常数据集中异常数据的异常行为数据;处理模块,用于根据预定处理方法处理所述异常行为数据。
根据本申请实施例的第三方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如第一方面所述的网络安全监测与响应方法对应的操作。
根据本申请实施例的第四方面,提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面所述的网络安全监测与响应方法。
根据本申请实施例提供的网络安全监测与响应方法,通过实时获取网络流量数据,可以动态分析网络流量,并通过对网络流量分析能够获得有效的交互数据集和异常数据集,并有利于通过异常数据集有效阻止新型攻击。通过分析异常数据集,能够有效对比敏感数据,减少隐私泄露。通过训练数据模型,可以得到目标数据模型,并对于伪装的数据包也可以动态分析出来。整体实现简单,可以嵌入在L i nux协议栈和网络驱动层。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为根据本申请实施例一的网络安全监测与响应方法的流程图;
图2为根据本申请实施例二的网络安全监测与响应装置的结构图;
图3为根据本申请实施例三的电子设备的结构示意图;
图4为根据本申请实施例一的网络安全监测与响应方法的一些实施例的说明简图。
具体实施方式
为了使本领域的人员更好地理解本申请实施例中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请实施例保护的范围。
如前所说,目前的安全检测技术仅对目的地址进行匹配,或者对历史数据进行分析,只能识别已有的网络攻击,在识别新型威胁和快速响应方面面临挑战。
下面结合说明书附图1-图3详细描述本申请实施例的网络安全监测与响应方法、装置、电子设备及计算机存储介质。
如图1所示,根据本发明第一方面实施例的一种网络安全监测与响应方法,可以嵌入在L i nux***的协议栈和网络驱动层中运行,因此可以基于L i nux***,来对L i nux***进行网络安全监测和响应。包括:
步骤S1:实时获取L i nux***的网络流量数据,并通过数据模型对网络流量数据进行分析,以获得交互数据集和异常数据集;
具体地,在该步骤中,需要对L i nux***的实时网络流量进行获取,并通过数据模型能够对网络流量进行分析,从而能够获取到网络流量中,包括正常发送到数据接收端(例如云端)的信息数据的交互数据集,还有异常数据信息的异常数据集。
其中,网络流量是基于用户层,即用户操作,由报文发送部分向报文接收部分发送的报文信息。
在本发明的一些实施例中,网络流量可以为车载L i nux***向云端发送的***报文信息。同时,网络流量也包括***中存在异常行为,例如窃取用户隐私或者想要在未授权的情况下访问***敏感文件的恶意软件或代码等,其可以在窃取隐私数据后将数据非法传输给未授权的信息接收端。
因此,通过实时获取网络流量可以及时的获取***正常发送的数据信息也可以获取到恶意软件等私下窃取的信息。
相应地,网络流量的传输需要报文发送端和报文接收端。也有可能会存在外部报文发送端向本***发送报文信息的情况。当然,外部恶意软件也会向本***发送恶意报文信息或代码。
由此通过实时获取网络流量,可以使数据模型通过训练学习以能够识别地址的合法性,以及报文的安全性,以此来进行防护。从而既避免了过滤掉正常的报文,也防止漏掉威胁性的数据信息。还能够便于后续动态的对网络流量的分析,及时识别对本***存在恶意攻击的情况。有利于提升***的安全性和稳定性,以及避免***中的重要数据等信息泄露。
步骤S2:通过历史数据、交互数据集和异常数据集对数据模型训练,以获得目标数据模型;
在该步骤中,具体地,历史数据为***运行时产生的数据,以及用户使用***的历史行为产生的数据。因此通过历史数据,也可以使数据模型分析地址合法性,以及报文的安全性,实现对***的防护。既避免了过滤掉正常的报文,也防止漏掉威胁性的数据信息。
同时通过将包含正常发送给数据接收端的正常数据集,以及包含异常数据的异常数据集输入数据模型中,能够对数据模型进行训练,使数据模型能够更加准确的识别正常数据和异常数据。从而得到能够更加准确识别异常数据的目标数据模型。因此可以在之后获取到网络流量后,更加快速准确的识别到异常数据。
即通过数据模型的持续更新迭代,能够持续的更新,由此能够得到更加准确的异常数据监测模型。
需要说明的是,目标数据模型是在经过训练后得到的数据模型。为了便于说明,将获取到网络流量数据并分析得到交互数据集和异常数据集后,未经过该交互数据集和异常数据集训练的模型为数据模型,经过交互数据集和异常数据集训练后得到的数据模型为目标数据模型。
步骤S3:通过目标数据模型分析异常数据集,以获得异常数据集中异常数据的异常行为数据;
具体地,在该步骤中,目标数据模型对异常数据集进行分析,从而能够得到异常数据集中包括的异常数据的异常行为的数据,即异常数据的产生所要达到的目的。异常数据所包含的目的是例如窃取用户信息,或者***运行的信息。例如本发明实施例中,网络安全监测与响应方法所要应用的对象可以是车载L i nux***,因此,异常数据的产生可能存在窃取车辆驾驶信息的目的。因此通过分析异常数据的行为,得到其异常行为数据,可以便于针对性的识别异常数据,提升后续识别异常数据的响应速度。
并且,通过异常行为数据可以了解到恶意软件或恶意代码所要实现的目的,因此,目标数据模型在后续分析网络流量数据后,若其中存在同样的行为,即可及时识别异常,即使该恶意软件或代码之前未出现过,也可以及时识别。
例如,恶意软件A窃取用户的个人信息,目标数据模型通过对恶意软件A的异常行为数据分析,获取到恶意代码A窃取用户的个人信息的行为,从而可以加以学习。当恶意软件B存在同样的窃取用户的个人信息的行为时,目标数据模型即可快速识别该行为的异常。即使该恶意软件B之前未曾使用,由于其具有相同的异常行为,因此目标数据模型也可以快速识别该行为为异常行为。
通过目标数据模型还可以分析到恶意软件或恶意代码窃取信息后,将窃取到的信息通过节点如何传送。通过学习与更新,即使恶意软件或恶意代码对其数据包进行伪装,目标数据模型也可以根据其行为,识别其异常。
步骤S4:根据预定处理方法处理异常行为数据。
在该步骤中,具体地,通过预定处理方法可以根据异常行为数据,了解异常数据的目的,并且根据其目的对其划分重要级和分配不同的处理方式。从而能够加快对异常数据的处理,及时的保护***的安全性,提升***的安全性和稳定性。
根据本申请实施例提供的网络安全监测与响应方法,通过实时获取网络流量数据,可以动态分析网络流量,并通过对网络流量分析能够获得有效的交互数据集和异常数据集,并有利于通过异常数据集有效阻止新型攻击。通过分析异常数据集,能够有效对比敏感数据,减少隐私泄露。通过训练数据模型,可以得到目标数据模型,并对于伪装的数据包也可以动态分析出来。整体实现简单,可以嵌入在L i nux协议栈和网络驱动层。
在本发明的一些实施例中,网络流量数据包括流量的IP地址、MAC地址、协议类型以及交互数据中至少一种。
因此,相对于依靠i p或者病毒数据库对异常数据进行识别的方式,本发明实施例的网络安全监测与响应方法,通过IP地址、MAC地址、协议类型以及交互数据中至少一种,来识别,可以提升对异常数据识别的准确性以及广泛性。同时,至少一种,可以为其中一种,也可以为其中多种,即可以同时基于多种方式对异常数据进行识别。
在本发明的一些实施例中,异常数据集包括异常数据的数据类型以及数据行为信息。
具体地,数据类型可以为异常数据所包含的未知的攻击类型,数据行为信息可以为异常数据是否使本***存在信息泄漏等。通过识别异常数据的数据类型和数据行为信息,可以有效的提升异常信息的识别准确性,并可以采取相应的处理措施。
在本发明的一些实施例中,异常行为数据包括异常数据的访问信息和访问目的。
具体地,通过对异常数据集进行分析,可以了解异常数据的行为的实现方式,来防止潜在的恶意行为。
例如,部分恶意软件或者恶意代码窃取用户隐私信息或者***运行的重要数据后,其如何通过未授权的方式访问到该信息,以及其获取到这些信息后,如何向外部信息接收端发送。即如何实现了数据泄露等等。
或者车载***的app可以访问车载L i nux***的存储设备如emmc,f l ash之类,或者对其他不相关应用的数据进行访问。
由此通过识别异常数据的行为之后,就会启动响应措施,阻止隐私泄露,上报风险,提高安全性。
在本发明的一些实施例中,目标数据模型可以针对正常网络行为模式和非正常网络行为模式进行学习,可以进一步提高目标数据模型的异常数据识别准确性。正常网络行为模式,即应用正常的上网行为,应用通常只会在其自身的工作目录访问数据,之后连接外网,比如云端、视频网站、百度网站、查找信息或浏览视频等。非正常网络行为模式包括应用突然短时间接收大量报文,即预示着可能遭受攻击。或者突然发送大量报文,可能预示着在窃取数据,以及可能访问不被信任的网站,不经常访问的陌生网站。
通过使目标数据模型学习正常网络行为模式和非正常网络行为模式,由此可以使数据模型更好的识别正常网络行为模式中,数据如何传输。以及非正常网络行为模式,数据如何传输导致的数据泄露。从而可以提升目标数据模型的异常数据识别准确度,同时减少误报和漏报。
在本发明的一些实施例中,预定方法包括隔离异常流量或通知管理员等。
具体地,可以根据实际的需要自行配置。例如识别到威胁后是丢弃报文,还是消杀进程。或者使上报应用名称及信息等,均可根据实际使用自行设置。
在本发明的一些实施例中,网络安全监测和响应方法,还包括:
步骤S5:通过反馈以更新目标数据模型。
具体地,在该步骤中,可以通过用户反馈,来实际的更新目标数据模型,以提升***的整体使用感受。
在本发明的一些实施例中,反馈可以更新数据模型以形成目标数据模型,还可以更新威胁数据库。进一步地,威胁数据库还可以为目标数据模型基于算法生成的,目标数据模型持续的学习具有威胁的i p地址、mac地址,数据信息等等,并把这类信息动态添加到威胁数据库里。由此能够将实时获取的网络流量中的数据包和威胁数据库里的信息做对比,就能快速判断当前的流量是否合法。
在本发明的一些实施例中,应用该网络安全监测与响应方法的***可以具有用户界面,可以用于配置设置、查看警报和生成安全报告。并且支持与其他安全工具集成,如入侵检测***和防火墙。对用户较为友好,使用户可以清楚的获取***的信息。
下面对本发明第一方面实施例的网络安全监测与响应方法的具体运行进行说明。
首先基于应用层,获取网络流量数据,即包含了数据发送行为的数据,通过数据模型对网络流量数据进行分析,可以获取到网络流量的行为。即包含了正常的行为,和异常的行为。正常的行为即***正常的运行存在的行为,以及用户正常使用存在行为。例如前文所说的上网行为,应用通常只会在其自身的工作目录访问数据,之后连接外网,比如云端,视频网站,百度网站,查找信息,浏览视频等。而异常的上网行为,包括应用突然短时间接收大量报文,可能预示着遭受攻击,或者突然发送大量报文,可能预示着在窃取数据,以及访问不被信任的网站,不经常访问的陌生网站。
举例说明,当用户使用手机的购物app购物时,正常行为可能包括浏览商品,客服咨询,下单购物,付费完成等等操作行为。而异常行为即购物app收到恶意代码攻击,或者该购物app本身即存在及隐私信息窃取等内部恶意代码,当用户的手机装载该app后,即使未启动该app的情况下,该app仍然窃取用户的收付款信息,以及个人地址信息等等。
或者,用户使用下载搜索引擎app后,正常的使用行为可以是搜索问题解答,以及各种百科知识等等,而部分存在恶意行为的搜索引擎app,可能在未授权的情况下即访问非法i p网址等等。
当目标数据识别该异常行为后,可以通过预先配置的处理方法对该异常行为进行处理,可以实施拦截或者及时上报管理员等等。
在本发明的一些实施例中,如图4所示,本发明第一方面实施例的网络安全监测与响应方法,能够在应用层获取用户行为,对行为进行分析。其中用户的历史行为可以作为历史数据对数据模型进行训练。用户当前的行为可以作为网络流量数据。检测到异常行为将交给响应处理单元进行处理。在协议栈和驱动层,获取网络报文,即网络流量数据。对网络流量数据进行解析,通过机器学习算法,即数据模型。通过数据模型分析出异常流量,也就是***存在的异常行为。交给处理单元处理,其中,处理单元可以是***自动运行,也可以是通过报警的方式提醒管理员处理异常。
如图2所示,根据本发明第二发明实施例的一种网络安全监测与响应装置1000,包括:
获取模块100,用于实时获取L i nux***的网络流量数据,并通过数据模型对网络流量数据进行分析,以获得交互数据集和异常数据集;
训练模块200,用于通过历史数据、交互数据集和异常数据集对数据模型训练,以获得目标数据模型;
分析模块300,用于通过目标数据模型分析异常数据集,以获得异常数据集中异常数据的异常行为数据;
处理模块400,用于根据预定处理方法处理异常行为数据。
在本发明的一些实施例中,网络安全监测和响应装置1000,还包括:
更新模块500,用于通过反馈以更新目标数据模型。
根据本申请第二方面实施例提供的网络安全监测与响应装置,由于其用于运行上述第一方面实施例的网络安全监测与响应方法,因此具有与上述第一方面实施例的网络安全监测与响应方法相同有益效果。即通过实时获取网络流量数据,可以动态分析网络流量,并通过对网络流量分析能够获得有效的交互数据集和异常数据集,并有利于通过异常数据集有效阻止新型攻击。通过分析异常数据集,能够有效对比敏感数据,减少隐私泄露。通过训练数据模型,可以得到目标数据模型,并对于伪装的数据包也可以动态分析出来。整体实现简单,可以嵌入在L i nux协议栈和网络驱动层。
参照图3,示出了根据本申请第三方面实施例的一种电子设备的结构示意图,本申请具体实施例并不对电子设备的具体实现做限定。
如图3所示,该电子设备可以包括:处理器(processor)302、通信接口(Communicat ions I nterface)304、存储器(memory)306、以及通信总线308。
其中:
处理器302、通信接口304、以及存储器306通过通信总线308完成相互间的通信。
通信接口304,用于与其它电子设备或服务器进行通信。
处理器302,用于执行程序310,具体可以执行上述网络安全监测与响应方法的实施例中的相关步骤。
具体地,程序310可以包括程序代码,该程序代码包括计算机操作指令。
处理器302可能是中央处理器CPU,或者是特定集成电路AS I C(App l icat ionSpec i f ic I ntegrated Ci rcu it),或者是被配置成实施本申请实施例的一个或多个集成电路。智能设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个AS I C。
存储器306,用于存放程序310。存储器306可能包含高速RAM存储器,也可能还包括非易失性存储器(non-vo l at i l e memory),例如至少一个磁盘存储器。
程序310具体可以用于使得处理器302执行以下操作:
程序310中各步骤的具体实现可以参见上述网络安全监测与响应方法实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
通过本实施例的电子设备,可以有效的实现上述网络安全监测与响应方法。根据本申请实施例提供的网络安全监测与响应方法,通过实时获取网络流量数据,可以动态分析网络流量,并通过对网络流量分析能够获得有效的交互数据集和异常数据集,并有利于通过异常数据集有效阻止新型攻击。通过分析异常数据集,能够有效对比敏感数据,减少隐私泄露。通过训练数据模型,可以得到目标数据模型,并对于伪装的数据包也可以动态分析出来。整体实现简单,可以嵌入在L i nux协议栈和网络驱动层。
本实施例的电子设备可以由任意适当的具有数据处理能力的电子设备执行,包括但不限于:服务器、移动终端(如手机、PAD等)和PC机等。
根据本申请的第四方面实施例的一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请的第一方面实施例的网络安全监测和响应方法。
需要指出,根据实施的需要,可将本申请实施例中描述的各个部件/步骤拆分为更多部件/步骤,也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤,以实现本申请实施例的目的。
上述根据本申请实施例的方法可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如AS I C或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的告警方法。此外,当通用计算机访问用于实现在此示出的网络安全监测和响应方法的代码时,代码的执行将通用计算机转换为用于执行在此示出的网络安全监测和响应方法的专用计算机。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
以上实施方式仅用于说明本申请实施例,而并非对本申请实施例的限制,有关技术领域的普通技术人员,在不脱离本申请实施例的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本申请实施例的范畴,本申请实施例的专利保护范围应由权利要求限定。
Claims (10)
1.一种网络安全监测和响应方法,其特征在于,包括:
实时获取Li nux***的网络流量数据,并通过数据模型对所述网络流量数据进行分析,以获得交互数据集和异常数据集;
通过历史数据、所述交互数据集和所述异常数据集对所述数据模型训练,以获得目标数据模型;
通过所述目标数据模型分析所述异常数据集,以获得所述异常数据集中异常数据的异常行为数据;
根据预定处理方法处理所述异常行为数据。
2.根据权利要求1所述的方法,其特征在于,所述网络流量数据包括流量的IP地址、MAC地址、协议类型以及交互数据中至少一种。
3.根据权利要求1所述的方法,其特征在于,所述异常数据集包括所述异常数据的数据类型以及数据行为信息。
4.根据权利要求3所述的方法,其特征在于,所述异常行为数据包括所述异常数据的访问信息和访问目的。
5.根据权利要求1所述的方法,其特征在于,所述预定方法包括隔离异常流量或通知管理员等。
6.根据权利要求1所述的方法,其特征在于,所述根据预定处理方法处理所述异常行为数据之后,包括:
通过反馈以更新所述目标数据模型。
7.一种网络安全监测与响应装置,其特征在于,包括:
获取模块,用于实时获取Li nux***的网络流量数据,并通过数据模型对所述网络流量数据进行分析,以获得交互数据集和异常数据集;
训练模块,用于通过历史数据、所述交互数据集和所述异常数据集对所述数据模型训练,以获得目标数据模型;
分析模块,用于通过所述目标数据模型分析所述异常数据集,以获得所述异常数据集中异常数据的异常行为数据;
处理模块,用于根据预定处理方法处理所述异常行为数据。
8.根据权利要求7所述的网络安全监测与响应装置,其特征在于,还包括:
更新模块,用于通过反馈以更新所述目标数据模型。
9.一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6中任一项所述的网络安全监测与响应方法对应的操作。
10.一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-6中任一所述的网络安全监测与响应方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410381986.5A CN118157976A (zh) | 2024-03-29 | 2024-03-29 | 网络安全监测和响应方法、装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410381986.5A CN118157976A (zh) | 2024-03-29 | 2024-03-29 | 网络安全监测和响应方法、装置、电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118157976A true CN118157976A (zh) | 2024-06-07 |
Family
ID=91298403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410381986.5A Pending CN118157976A (zh) | 2024-03-29 | 2024-03-29 | 网络安全监测和响应方法、装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118157976A (zh) |
-
2024
- 2024-03-29 CN CN202410381986.5A patent/CN118157976A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11363045B2 (en) | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20180351980A1 (en) | System and method for providing fleet cyber-security | |
| US20210306361A1 (en) | Analysis apparatus, analysis system, analysis method and program | |
| WO2001084270A2 (en) | Method and system for intrusion detection in a computer network | |
| CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| KR20200130968A (ko) | 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
| JP7176569B2 (ja) | 情報処理装置、ログ分析方法及びプログラム | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| CN111314370A (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| Ryan et al. | A survey and analysis of recent IoT device vulnerabilities | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| CN118157976A (zh) | 网络安全监测和响应方法、装置、电子设备 | |
| CN116049822A (zh) | 应用程序的监管方法、***、电子设备及存储介质 | |
| Xu et al. | Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM | |
| EP4407494A1 (en) | Vehicle security analysis device and method, and program therefor | |
| Santa Barletta et al. | Detecting attacks on in-vehicle networks through a mobile app |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |