BE1030453B1 - Méthode, Dispositif et Support de Stockage de Détection des Menaces Réseau - Google Patents

Méthode, Dispositif et Support de Stockage de Détection des Menaces Réseau Download PDF

Info

Publication number
BE1030453B1
BE1030453B1 BE20235713A BE202305713A BE1030453B1 BE 1030453 B1 BE1030453 B1 BE 1030453B1 BE 20235713 A BE20235713 A BE 20235713A BE 202305713 A BE202305713 A BE 202305713A BE 1030453 B1 BE1030453 B1 BE 1030453B1
Authority
BE
Belgium
Prior art keywords
network threat
network
behavior
threat
data
Prior art date
Application number
BE20235713A
Other languages
English (en)
Other versions
BE1030453A1 (fr
Inventor
Hongwei Liu
Min He
Yuenan Liu
Original Assignee
China Unicom
China Unicom Digital Tecnology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unicom, China Unicom Digital Tecnology Co Ltd filed Critical China Unicom
Publication of BE1030453A1 publication Critical patent/BE1030453A1/fr
Application granted granted Critical
Publication of BE1030453B1 publication Critical patent/BE1030453B1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La présente demande fournit une méthode, un dispositif et un support de stockage de détection de menace réseau, qui peuvent résoudre le problème de faible efficacité de détection dans l'art antérieur. Le procédé comprend : l'obtention des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques ; des données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication ; des données d'exploitation et de maintenance historiques sont utilisées pour caractériser des informations de champ de données de service ; la détection de caractéristiques comportementales sur les données de comportement d'accès utilisateur ; déterminer les informations de type de la menace réseau ; déterminer le niveau de menace de la menace réseau en fonction des informations de comportement et des informations de type de la menace réseau. Il peut améliorer l'efficacité de la détection des menaces réseau.

Description

Méthode, Dispositif et Support de Stockage de Détection des Menaces Réseau
DOMAINE TECHNIQUE
La présente demande concerne le domaine des technologies de communication, et en particulier un méthode, un dispositif et un support de stockage de détection de menaces réseau.
CONTEXTE
Avec le développement de la technologie de communication Internet, la sécurité des informations des entreprises est devenue particulièrement importante. Les attaques de menaces réseau actuelles montrent progressivement une tendance à la diversification, à la dissimulation et à l'organisation. Avec l'expansion continue de l'échelle des entreprises, les données de menaces réseau générées par le système augmentent également.
Les méthodes actuelles de détection des menaces réseau ont du mal à détecter les menaces réseau inconnues et nécessitent toujours un traitement et une analyse manuels. Il est difficile de traiter quotidiennement une grande quantité de données de menaces réseau et l'efficacité de la détection est faible.
CONTENU DE L'INVENTION
La présente demande fournit une méthode, un dispositif et un support de stockage de détection de menace réseau, qui peuvent résoudre le problème de faible efficacité de détection dans l'art antérieur.
Afin d'atteindre l'objet ci-dessus, la présente demande adopte les solutions techniques suivantes :
Dans le premier aspect, la présente demande fournit un procédé de détection de menace réseau, qui comprend : l'obtention des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques ; des données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication ; des données d'exploitation et de maintenance historiques sont utilisées pour caractériser des informations de champ de données de service ; la détection de caractéristiques comportementales sur les données de comportement d'accès utilisateur pour déterminer les informations de comportement des menaces réseau ; identifier les champs caractéristiques des menaces réseau selon les données d'exploitation et de maintenance historiques, et déterminer le type d'informations du réseau menaces ; déterminer le niveau de menace de la menace réseau selon les informations de comportement et des informations de type de la menace réseau.
Sur la base de la solution technique ci-dessus, le dispositif de détection de menace réseau fourni dans le mode de réalisation de la présente demande obtient des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques. Dont les données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication, et les données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service. De cette manière, le dispositif de détection de menace réseau peut détecter les caractéristiques de comportement des données de comportement d'accès utilisateur, déterminant ainsi les informations de comportement de la menace réseau, et identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques, déterminant ainsi le informations de type de la menace réseau. Ensuite, le dispositif de détection de menace réseau peut déterminer le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau. Par conséquent, la présente demande détecte des menaces réseau à partir de deux aspects de données de comportement et de données de caractéristiques, analysant ainsi le niveau de menace des menaces réseau et améliorant l'efficacité de la détection de menaces réseau.
En référence au premier aspect ci-dessus, d'une manière de mise en œuvre possible, la méthode comprend : l'entrée de données de comportement d'accès utilisateur dans un modèle de détection de comportement pour déterminer des informations de comportement de menaces réseau.
En référence au premier aspect ci-dessus, d'une manière de mise en œuvre possible, le modèle de détection de comportement comprend de multiples caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès; la méthode comprend : la détermination de caractéristiques d'accès cible existantes à partir de données de comportement d'accès utilisateur ; Iles caractéristiques d'accès cible est une ou plusieurs parmi les multiples caractéristiques d'accès ; lorsque la caractéristique d'accès cible satisfait à une condition prédéfinie, déterminer les informations de comportement de la menace réseau en tant que comportement d'attaque correspondant à la caractéristique d'accès cible.
En référence au premier aspect ci-dessus,d'une manière de mise en œuvre possible, la méthode comprend : l'entrée des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
En référence au premier aspect ci-dessus, d'une manière de mise en œuvre possible, le modèle de détection de type comprend de multiples champs caractéristiques de menace réseau et le type d'attaque correspondant à chaque champ caractéristique de menace réseau ; la méthode comprend : dans le cas où les données d'exploitation et de maintenance historiques incluent le champ de caractéristique de menace réseau cible, il est déterminé que les informations de type de la menace réseau sont le type d'attaque correspondant au champ caractéristique de menace réseau cible ; le champ caractéristique de menace réseau cible étant l'un ou plusieurs des multiples champs caractéristiques de menaces réseau.
> BE2023/5713
En référence au premier aspect ci-dessus, d'une manière de mise en œuvre possible, la methode comprend en outre : déclencher une opération de distribution d'ordre de traitement de menace réseau lorsque le niveau de menace de la menace réseau est le niveau cible ; l'ordre de traitement de menace réseau est utilisé pour ordonner le traitement de la menace réseau.
Dans un deuxième aspect, la présente demande fournit un dispositif de détection de menace réseau, qui comprend : une unité de communication et une unité de traitement ; l'unité de communication est utilisée pour obtenir des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques ; des données de comportement d'accès utilisateur sont utilisé pour caractériser les caractéristiques d'accès au service dans le réseau de communication ; des données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service ; l'unité de traitement est également utilisée pour détecter les caractéristiques comportementales sur les données de comportement d'accès utilisateur et déterminer les informations de comportement des menaces réseau ; l'unité de traitement est également utilisée pour le champ caractéristique de menace réseau d'identification de données détermine les informations de type de la menace réseau ; l'unité de traitement est également utilisée pour déterminer le niveau de menace de la menace réseau selon les informations de comportement et des informations de type de la menace réseau.
En référence au deuxième aspect ci-dessus, d'une manière de mise en œuvre possible, l'unité de traitement est utilisée pour : l'entrée de données de comportement d'accès utilisateur dans un modèle de détection de comportement pour déterminer des informations de comportement de menaces réseau.
En référence au deuxième aspect ci-dessus, d'une manière de mise en œuvre possible, le modèle de detection de comportement comprend de multiples caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès ; l'unité de traitement est utilisée pour : la détermination de caractéristiques d'accès cible existantes à partir de données de comportement d'accès utilisateur ; les caractéristiques d'accès cible est une ou plusieurs parmi les multiples caractéristiques d'accès ; lorsque la caractéristique d'accès cible satisfait à une condition prédéfinie, déterminer les informations de comportement de la menace réseau comme comportement d'attaque correspondant à la caractéristique d'accès cible.
En référence au deuxième aspect ci-dessus,d'une manière de mise en œuvre possible, l'unité de traitement est utilisée pour : l'entrée des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
En référence au deuxième aspect ci-dessus, d'une manière de mise en œuvre possible, le modèle de détection de type comprend de multiples champs caractéristiques de menace réseau et le type d'attaque correspondant à chaque champ caractéristique de menace réseau ; l'unité de traitement est utilisée dans le cas où les données d'exploitation et de maintenance historiques incluent le champ de caractéristique de menace réseau cible, il est déterminé que les informations de type de la menace réseau sont le type d'attaque correspondant au champ caractéristique de menace réseau cible ; le champ caractéristique de menace réseau cible étant l'un ou plusieurs des multiples champs caractéristiques de menace réseau.
En référence au deuxième aspect ci-dessus, d'une manière de mise en œuvre possible, l'unité de traitement est utilisée pour : déclencher une opération de distribution d'ordre de traitement de menace réseau lorsque le niveau de menace de la menace réseau est le niveau cible ; l'ordre de traitement de menace réseau est utilisé pour ordonner le traitement de la menace réseau.
Dans un troisième aspect, la présente demande fournit un dispositif de détection de menace réseau, qui comprend : un processeur et une interface de communication ; l'interface de communication est couplée au processeur, et le processeur est utilisé pour exécuter des programmes informatiques ou des instructions afin de mettre en œuvre le procédé de détection de menace réseau tel que décrit dans le premier aspect et dans l'une quelconque des mises en œuvre possibles du premier aspect.
Dans un quatrième aspect, la présente demande fournit un support de stockage lisible par ordinateur contenant des instructions, et lorsque les instructions sont exécutées sur le terminal, le terminal est amené à exécuter le procédé de détection des menaces réseau tel que décrit dans le premier aspect et dans l'une quelconque des mises en œuvre possibles du premier aspect.
Dans un cinquième aspect, la présente demande fournit un produit programme informatique contenant des instructions, et lorsque le produit programme informatique est exécuté sur un dispositif de détection de menace réseau, le dispositif de détection de menace réseau est amené à exécuter le procédé de détection des menaces réseau tel que décrit dans le premier aspect et dans l'une quelconque des mises en œuvre possibles du premier aspect.
Dans le sixième aspect, la présente demande propose une puce, la puce comprend un processeur et une interface de communication, l'interface de communication est couplée au processeur, et le processeur est utilisé pour exécuter des programmes informatiques ou des instructions afin de mettre en œuvre le premier aspect et le procédé de détection de menace réseau décrit dans l'une quelconque des mises en œuvre possibles du premier aspect.
Plus précisément, la puce fournie dans cette demande comprend en outre une mémoire pour stocker des programmes informatiques ou des instructions.
Il est à noter que tout ou partie des instructions informatiques ci-dessus peuvent être stockées sur un support de stockage lisible par ordinateur. Dans lequel, le support de stockage lisible par
> BE2023/5713 ordinateur peut être conditionné avec le processeur du dispositif, ou peut être conditionné séparément avec le processeur du dispositif, ce qui n'est pas limité dans la présente demande.
Dans un septième aspect, la présente demande fournit un système de détection de menace réseau, comprenant : un dispositif de détection de menace réseau et un serveur de données, le dispositif de détection de menace réseau étant utilisé pour exécuter le procédé de détection de menaces réseau tel que décrit dans le premier aspect et dans l'une quelconque des mises en œuvre possibles du premier aspect.
Les descriptions du deuxième au septième aspect dans cette demande peuvent se référer à la description détaillée du premier aspect ; de plus, les effets bénéfiques de la description du deuxième au septième aspect peuvent être référencés aux analyses des effets bénéfiques du premier aspect, et il n'est donc pas nécessaire de les répéter ici.
Dans cette demande, les noms des dispositifs de détection de menaces réseau mentionnés ci-dessus ne limitent pas les caractéristiques de l'appareil des modules fonctionnels eux-mêmes.En implémentation réelle, ces appareils ou modules fonctionnels peuvent apparaître sous d'autres noms. Tant que les fonctionnalités de chaque appareil ou module fonctionnel sont similaires à celles de la présente demande, ils relèvent du domaine des revendications de la présente demande et des technologies équivalentes.
Ces aspects ou d'autres aspects de la présente demande seront plus clairement compris dans la description suivante.
DESCRIPTION DES FIGURES ATTACHEES
La figure 1 est un schéma d'architecture d'un système de détection de menace réseau fourni par un mode de réalisation de la présente demande ;
La figure 2 est un schéma de connexion d'une interface de données fourni par un mode de réalisation de la présente demande ;
La figure 3 est un schéma de flux d'une méthode de détection de menace réseau fourni par un mode de réalisation de la présente demande;
La figure 4 est un schéma de flux d'une autre méthode de détection de menace réseau fourni par un mode de réalisation de la présente demande ;
La figure 5 est un schéma de flux d'une autre méthode de détection de menace réseau fourni par un mode de réalisation de la présente demande ;
La figure 6 est un schéma de structure d'un dispositif de détection de menace réseau fourni par un mode de réalisation de la présente demande ;
La figure 7 est un schéma de structure d'un autre dispositif de détection de menace réseau fourni par un mode de réalisation de la présente demande ;
MODES DE REALISATION
Ce qui suit décrira clairement et complètement les solutions techniques dans les modes de réalisation de la demande en référence aux figures dans les modes de réalisation de la demande.
Il est évident que les modes de réalisation décrits ne couvrent pas l'ensemble des modes de réalisation de la demande. Sur la base des modes de réalisation de cette demande, tous les autres modes de réalisation obtenus par l'homme du métier sans faire d'efforts créatifs relèvent de la portée de protection de la présente demande.
Le terme « et/ou » dans le présent document est simplement utilisé pour décrire la relation d'association entre des objets associés, ce qui signifie qu'il peut y avoir trois types de relations, par exemple, À et/ou B peut signifier : À existe seul, À et B existent simultanément, la présence exclusive de B, ces trois situations.
Les termes « premier » et « deuxième » dans la description et les figures de la présente demande sont utilisés pour différencier des objets différents, ou pour distinguer différents processus pour le même objet, plutôt que pour décrire un ordre spécifique des objets.
En outre, les termes « comprenant » et « posséder » mentionnés dans la description de la présente demande et leurs éventuelles variantes visent à couvrir l'inclusion non exclusive. Par exemple, un processus, une méthode, un système, un produit ou un dispositif comprenant une série d'étapes ou d'unités n'est pas limité aux étapes ou aux unités énumérées, mais peut inclure facultativement également d'autres étapes ou unités non énumérées, ou inclure facultativement également d'autres étapes ou unités inhérents à ces processus, méthodes, produits ou dispositifs.
Il convient de noter que, dans les modes de réalisation de la présente demande, des termes tels que « exemplaire » ou « par exemple » sont utilisés à titre d'exemples, d'illustrations ou de descriptions. Aucun mode de réalisation ou conception décrit comme « exemplaire » ou « par exemple » dans les modes de réalisation de la présente demande ne doit pas être interprété comme étant plus préféré ou plus avantageux que d'autres modes de réalisation ou conceptions.
Plus précisément, l'utilisation des termes tels que « exemplaire » ou « par exemple » vise à présenter des concepts pertinents d'une manière concrète.
Dans la description de la présente demande, sauf indication contraire, le sens de « pluralité » signifie deux ou plus.
Avec le développement de la technologie de communication Internet, la sécurité des informations des entreprises est devenue particulièrement importante. Les attaques de menaces réseau actuelles montrent progressivement une tendance à la diversification, à la dissimulation et à l'organisation. La formation d'une chaîne de menaces réseau a conduit à un moyen unique de détection et de protection de la sécurité des informations qui ne peut pas répondre à la situation actuelle des menaces pour la sécurité des informations.
Bien que la plupart des entreprises aient mis en place des systèmes d'authentification d'identité, des systèmes de défense de la sécurité de l'information et des systèmes de surveillance des risques de sécurité, assurant ainsi essentiellement le fonctionnement sûr des données d'information et des services d'application dans le réseau. Cependant, le système mentionné ci-dessus génère quotidiennement une grande quantité de données relatives aux menaces de sécurité, ce qui rend difficile le traitement efficace du personnel technique concerné.
À l'heure actuelle, les technologies associées présentent principalement les problèmes suivants : 1. Les technologies pertinentes ne peuvent généralement découvrir que les menaces réseau connues, et il est difficile de détecter les menaces réseau inconnues. 2. Les technologies pertinentes établissent généralement des modèles de détection des menaces grâce à l'analyse des mégadonnées et à la technologie d'apprentissage automatique. En raison du manque de prise en charge des données d'exploitation et de maintenance de la sécurité liées aux services de télécommunications, il est difficile pour le modèle de détection des menaces formé de s'adapter aux données caractéristiques du système opérationnel. 3. Les technologies pertinentes nécessitent le déploiement de dispositifs matériels dédiés, tels que des capteurs, pour mettre en œuvre la détection des menaces réseau.
En résumé, les méthodes actuelles de détection des menaces réseau ont du mal à détecter les menaces réseau inconnues, nécessitent toujours un traitement et une analyse manuels. Il est difficile de traiter quotidiennement une grande quantité de données de menaces réseau et l'efficacité de la détection est faible.
Compte tenu de cela, la présente demande fournit un procédé, un dispositif et un support de stockage de détection de menace réseau.Le dispositif de détection de menace réseau obtient des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques. Dont les données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication, et les données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service. De cette manière, le dispositif de détection de menace réseau peut détecter les caractéristiques de comportement des données de comportement d'accès utilisateur, déterminant ainsi les informations de comportement de la menace réseau, et identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques, déterminant ainsi le informations de type de la menace réseau. Ensuite, le dispositif de détection de menace réseau peut déterminer le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau. Par conséquent, la présente demande détecte des menaces réseau à partir de deux aspects de données de comportement et de
, BE2023/5713 données de caractéristiques, analysant ainsi le niveau de menace des menaces réseau et améliorant l'efficacité de la détection de menaces réseau.
La figure 1 est un schéma d'architecture d'un système de détection de menace réseau 10 fourni par un mode de réalisation de la présente demande ; Comme représenté sur la figure 1, le système de détection de menace réseau 10 comprend : un dispositif de détection de menace réseau 11 et un serveur de données 12.
Dans lesquels, le dispositif de détection de menace réseau 11 et le serveur de données 12 sont connectés via une liaison de communication, et la liaison de communication peut être une liaison de communication câblée ou sans fil, qui n'est pas limitée dans cette demande.
Selon une manière de mise en œuvre possible, une communication de données peut être effectuée entre divers modules de dispositif dans le système de détection de menace réseau 10 prévu dans le mode de réalisation de la présente demande via une interface de données.
À titre d'exemple, comme représenté sur la figure 2, la figure 2 est un schéma de connexion schématique d'une interface de données fournie par un mode de réalisation de la présente demande.
Dans lequel, l'interface A est une interface de données entre le serveur de données 12 et le module de réception de journaux 1101 . La sonde de grappe 1201, la sonde Web 1202, la passerelle 1203, la sonde de trafic 1204, le centre antivirus 1205 et le serveur DNS 1207 peuvent envoyer des journaux au module de réception de journaux 1101 via le protocole SYSLOG.
L'interface B est l'interface de données entre le serveur de données 12 et le module de planification de balayage 1107. Le module de planification de balayage 1107 gère et exécute des tâches de balayage pour les sondes en appelant l'interface RESTful fournie par la sonde d'actif 1106/la sonde de balayage des vulnérabilités 1208.
L'interface C est l'interface du module de transmission de journaux. Le module de réception de journaux 1101 envoie le journal reçu au module de transmission de journaux 1102 via l'interface
C, et le module de transmission de journaux 1102 met en file d'attente le journal reçu, et l'envoie au module de décodage de journaux 1103/module de service de détection correspondants(tel qu'un module de détection de statistiques 1104 et module de détection de caractéristique 1105) via la file d'attente. L'interface D est l'interface de la base de données de journaux. Par l'intermédiaire de l'interface RESTful fournie par la base de données de journaux 1108, le module de décodage de journaux 1103 et le module de service de détection peuvent stocker des données de journaux. Le module statistique 1106 et l'application WEB peuvent lire les données pertinentes via l'interface D.
L'interface E est l'interface de la base de données de service. Grâce à l'interface de base de données fournie par la base de données de service 1109, le module statistique 1106 et le module
) BE2023/5713 de planification de balayage 1107 peuvent lire des informations de gestion de configuration pertinentes et stocker des données statistiques. L'application WEB peut lire les données pertinentes via l'interface D.
L'interface F est l'interface de la base de données des vulnérabilités. Le module de planification de balayage 1107 stocke les résultats de balayage en appelant l'interface F, et l'application WEB lit les résultats de balayage via l'interface F.
Il convient de noter que le procédé de détection de menace réseau fourni par le mode de réalisation de la présente demande peut être appliqué au dispositif de détection de menace réseau 11 mentionné ci-dessus, et le dispositif de détection de menace réseau 11 peut être un dispositif de communication indépendant, tel qu'un équipement d'accès réseau, un équipement de réseau central, etc. Le dispositif de détection de menace réseau 11 peut également être un module fonctionnel couplé à un dispositif de réseau d'accès. Le dispositif de détection de menace réseau 11 peut également être un programme informatique (application, APP) pour exécuter le procédé de détection de menace réseau. Le dispositif de détection de menace réseau 11 peut également être un serveur connecté à un dispositif de réseau d'accès.
Lorsque le dispositif de détection de menace réseau 11 est un dispositif de réseau d'accès, le dispositif de détection de menace réseau 11 est un dispositif situé du côté réseau d'accès du système de communication et ayant une fonction d'émetteur-récepteur sans fil ou une puce ou un système de puce qui peut être fourni dans le dispositif. Les dispositifs de réseau d'accès incluent, mais sans s'y limiter : les points d'accès (access point, AP) dans les systèmes WiFi, tels que les passerelles domestiques, les routeurs, les serveurs, les commutateurs, les ponts, etc, le nœud évolué B (evolvedNodeB, eNB), les contrôleurs de réseau sans fil ( radionetworkcontroller,
RNC), les nœud B (NodeB, NB), les contrôleurs de station de base (basestation controller, BSC), les émetteurs-récepteurs de station de base (basetransceiverstation, BTS), les stations de base domestique (par exemple, homeevolvedNodeB ou homeNodeB, HNB), les unités de bande de base ( basebandunit, BBU), les nœuds de relais sans fil, les nœuds de rétrodiffusion sans fil, les points de transmission et de réception (les transmissionandreceptionpoint, TRP ou transmissionpoint, TP), etc., peuvent également être une station de base 5G, telle qu'un gNB dans un nouveau système d'interface radio (newradio, NR), ou un point de transmission (TRP ou TP), un ou un groupe (y compris plusieurs panneaux d'antenne) panneaux d'antenne de la station de base dans le système 5G, ou 1l peut également s'agir d'un nœud de réseau qui constitue un gNB ou un point de transmission, tel qu'une unité de bande de base, ou une unité distribuée (distributedunit, DU), une unité routière (roadsideunit, RSU) avec fonction de station de base, ou un équipement de réseau d'accès SG (NGradioaccessnetwork, NG-Ran) , etc. Le dispositif de réseau d'accès comprend également des stations de base dans différents modes de mise en réseau,
par exemple, une station de base maître (masterevolvedNodeB, MeNB) et une station de base secondaire (secondaireeNB, SeNB, ou secondairegNB, SgNB). Le dispositif de réseau d'accès comprend également différents types, tels que les stations de base au sol, les stations de base aériennes et les stations de base satellites.
Lorsque le dispositif de détection de menace réseau 11 est un dispositif de réseau central, le dispositif de réseau central est situé du côté réseau central du système de communication, et le dispositif de réseau central peut être un dispositif physique ou un dispositif virtuel. Le dispositif de réseau central du réseau 4G comprend, mais sans s'y limiter : une entité de gestion de la mobilité (mobilitymanagemententity, MME), une passerelle de service (serving gateway, SGW) et une passerelle de données publique (Public Data Network Gateway, PGW) . Le dispositif de réseau central du réseau 5G comprend, mais sans s'y limiter : la fonction de gestion de l'accès et de la mobilité (accessandmobilitymanagementfunction, AMF), la fonction de gestion de session (sessionmanagementfunction, SMF), la fonction de plan utilisateur (userplanefunction, UPF).
Lorsque le dispositif de détection de menace réseau 11 est un serveur, le serveur comprend : un processeur, le processeur peut être une unité de processeur centrale à usage général (centralprocessingunit, CPU), un microprocesseur, un circuit intégré spécifique à l'application (application-specificintegratedcircuit, ASIC), ou un ou une pluralité de circuits intégrés utilisés pour contrôler l'exécution des programmes de la présente demande.
Émetteur-récepteur, l'émetteur-récepteur peut être un dispositif utilisant n'importe quel émetteur-récepteur pour communiquer avec d'autres appareils ou réseaux de communication, tels qu'Ethernet, un réseau d'accès radio (radioaccessnetwork, RAN), un réseau local sans fil (wirelesslocalareanetworks, WLAN), etc..
Mémoire, qui peut être une mémoire en lecture seule (ROM) ou d'autres types de dispositifs de stockage statiques pouvant stocker des informations statiques et des instructions, une mémoire à accès aléatoire (mémoire à accès aléatoire, RAM) ou d'autres types de dispositifs de mémoire dynamique pouvant stocker des informations et des instructions Les dispositifs de stockage peuvent également être une mémoire en lecture seule programmable effaçable électriquement (electricallyerasableprogrammableread-onlymemory, EEPROM), un disque en lecture seule (compactdiscread-onlymemory, CD-ROM) ou un autre stockage sur disque optique (y compris disque compact, disque laser, disque optique, disque numérique universel, disque Blu-ray, etc.), support de stockage sur disque magnétique ou autre dispositif de stockage magnétique, ou tout autre support capable de transporter ou de stocker le code de programme souhaité sous la forme d'instructions ou des structures de données et accessibles par un ordinateur, mais sans s'y limiter.
La mémoire peut exister indépendamment et être connectée au processeur par une ligne de communication. La mémoire peut également être intégrée au processeur.
u BE2023/5713
Le serveur de données 12 est utilisé pour collecter des données de réseau.
Le dispositif de détection de menace réseau 11 est utilisé pour obtenir des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques.
Les données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication. Les données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service.
À titre d'exemple, dispositif de détection de menace réseau 11 peut obtenir des données de comportement d'accès utilisateur et des données de fonctionnement et de maintenance historiques à partir du serveur de données 12 .
Le dispositif de détection de menace réseau 11 est également utilisé pour effectuer une détection de caractéristique de comportement sur des données de comportement d'accès utilisateur pour déterminer des informations de comportement de menaces de réseau.
Le dispositif de détection de menace réseau 11 est également utilisé pour identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques pour déterminer les informations de type de la menace réseau.
Le dispositif de détection de menace réseau 11 est en outre utilisé pour déterminer le niveau de menace de la menace réseau selon informations de comportement et de type de la menace réseau.
En tant que mode de réalisation possible de mise en œuvre, comme représenté sur la figure 1, le dispositif de détection de menace réseau 11 comprend : un module de réception de journaux 1101, un module de transmission de journaux 1102, un module de décodagede journaux 1103, un module de détection statistique 1104, un module de détection de caractéristique 1105, et un module statistique 1106 , un module de planification de balayage 1107 , une base de données des journaux 1108 , une base de données de service 1109 et une base de données des vulnérabilités 1110 . Le serveur de données 12 comprend : une sonde de grappe 1201, une sonde Web 1202, une passerelle 1203, une sonde de trafic 1204, un centre antivirus 1205, une sonde d'actif 1206, un système de noms de domaine (domainnamesystem, DNS) 1207 et une sonde de balayage des vulnérabilités 1208 .
Dans lesquels, le module de réception de journaux 1101 est utilisé pour collecter des données des journaux.
Par exemple, le module de réception de journaux 1101 peut obtenir le journal de grappe à partir de la sonde de grappe 1201, obtenir le journal d'accès Web à partir de la sonde Web 1202, obtenir le journal antivirus à partir de la passerelle 1203 et obtenir le journal du centre antivirus du terminal à partir du centre antivirus. 1205 et le journal DNS à partir du DNS1207.
À titre d'exemple, le module de réception de journaux 1101 peut être un module fonctionnel de service RSyslog.
La sonde de grappe 1201 est utilisée pour envoyer des journaux de grappe au dispositif de détection de menace réseau 11 .
À titre d'exemple, la sonde de grappe 1201 peut être une sonde de grappe en pot de miel pour pirates.
La sonde Web 1202 peut être un intergiciel de service Web tel qu'Apache, Tomcat et Weblogic, et est utilisée pour envoyer des journaux d'accès Web au dispositif de détection de menace réseau 11.
La passerelle 1203 est utilisée pour envoyer le journal antivirus du réseau au dispositif de détection de menace réseau 11 .
A titre d'exemple, la passerelle 1203 peut être un dispositif de passerelle antivirus de Topsec.
La sonde de trafic 1204 est utilisée pour envoyer des journaux d'alarmes de détection de trafic au dispositif de détection de menace réseau 11 .
À titre d'exemple, la sonde de trafic 1204 peut être un dispositif d'analyse et de détection de trafic réseau.
Le centre antivirus 1205 est utilisé pour collecter des journaux de virus sur l'appareil terminal, et envoyer les journaux de virus au dispositif de détection de menaces réseau 11 .
A titre d'exemple, le centre antivirus 1205 peut être un centre de gestion de virus terminal de
Symantec.
La sonde d'actif 1206 et la sonde de balayage des vulnérabilités 1208 sont utilisées pour envoyer des actifs et les résultats de balayage des vulnérabilités au dispositif de détection de menace réseau 11.
À titre d'exemple, la sonde d'actif 1206 peut être une sonde d'actif Nmap, et la sonde de balayage des vulnérabilités 1208 peut être une sonde de balayage des vulnérabilités Nessus et AWVS.
Le DNS1207 peut être un serveur DNS, utilisé pour envoyer des journaux de requête DNS au dispositif de détection de menace réseau 11 .
Le module de transmission de journaux 1102 est utilisé pour transmettre les données de journal obtenues.
A titre d'exemple, le module de transmission de journaux peut être un système de bus de données, tel que Kafka.
Le module de décodage de journaux 1103 est utilisé pour segmenter, traiter et convertir des données des journaux.
B BE2023/5713
A titre d'exemple, le module de décodage de journaux 1103 peut être un module fonctionnel de service Logstash.
Le module de détection statistique 1104, le module de détection de caractéristiques 1105 et le module statistique 1106 sont utilisés pour l'analyse d'association, l'analyse médico-légale et l'audit de règles de données massives, hétérogènes et de différents types.
Par exemple, analyse de données et présentation visuelle pour la plate-forme de gestion et de contrôle des risques de sécurité virale, analyse DNS, détection et analyse des journaux d'accès
Web, analyse du trafic quotidien, gestion de le balayage des vulnérabilités, système d'analyse des actifs.
Parmi eux, le module de détection statistique 1104 et le module de détection de caractéristiques 1105 sont basés sur des caractéristiques d'accès au service et utilisent des procédés d'apprentissage automatique pour former des modèles prédéfinis à partir de données d'exploitation et de maintenance historiques de la sécurité de l'entreprise, afin de détecter les menaces réseau via les modèles prédéfinis entraînés.
Le module de détection statistique 1104 et le module de détection de caractéristique 1105 sont également utilisés pour stocker les résultats de détection dans la base de données des journaux 1108.
La base de données des journaux 1108 est utilisée pour stocker les informations de données analysées et traitées de divers journaux.
A titre d'exemple, la base de données des journaux 1108 peut être une base de données
Elasticsearch.
Le module statistique 1106 est utilisé pour obtenir des données de journaux de la base de données de journaux 1108, en extraire des données de service et les stocker dans la base de données de service 1109 .
La base de données de service 1109 est utilisée pour stocker des données statistiques de service et des données de gestion de configuration du système de service.
A titre d'exemple, la base de données de service 1109 peut être une base de données Postgresq|l.
Le module de planification de balayage 1107 est utilisé pour générer automatiquement des tâches de balayage basées sur la configuration de l'application de premier plan, et planifier et exécuter des tâches ainsi qu'obtenir et analyser les résultats de balayage.
La base de données des vulnérabilités 1110 est utilisée pour stocker les résultats de balayage de vulnérabilité.
À titre d'exemple, la base de données des vulnérabilités 1110 peut être une base de données
MongoDB.
L'application Web est un programme de gestion d'application Web, qui est utilisé pour afficher diverses fonctions du dispositif de détection de menace réseau 11 par le biais d'un logiciel.
Selon une mise en œuvre possible, le dispositif de détection de menace réseau 11 comprend en outre une bibliothèque de gestion de configuration et un système d'ordre de travailtraitement.
Dans lesquels, la bibliothèque de gestion de configuration est utilisée pour gérer la configuration des actifs du système de télécommunications, et le système d'ordre de traitement est utilisé pour déclencher l'envoi automatique des ordres de traitement.
A titre d'exemple, la bibliothèque de gestion de configuration peut être une base de données
CMDB.
Il convient de souligner que les divers modes de réalisation de la présente demande peuvent se référer les uns aux autres, par exemple, des étapes identiques ou similaires, des modes de réalisation de procédé, des modes de réalisation de système et des modes de réalisation de dispositif peuvent se référer les uns aux autres sans limitation.
La figure 3 est un schéma de flux d'une méthode de détection de menace réseau fourni par un mode de réalisation de la présente demande. Comme représenté sur la figure 3, le procédé comprend les étapes suivantes :
Étape 301, le dispositif de détection de menace réseau obtient des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques.
Les données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication. Les données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service.
Selon une mise en œuvre possible, le dispositif de détection de menace réseau peut obtenir des informations de journal de réseau collectées à partir du serveur de données, et extraire des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques à partir des informations de journal de réseau collectées.
À titre d'exemple, le dispositif de détection de menace réseau peut effectuer des opérations de prétraitement de données sur des informations de journal de réseau collectées. Les opérations de prétraitement des données peuvent comprendre des opérations telles que le remplissage des données manquantes, le traitement de normalisation et la suppression des données anormales.
Ensuite, le dispositif de détection de menace réseau effectue des opérations telles qu'une segmentation de données et une conversion de données sur les informations de journal de réseau collectées prétraitées, obtenant ainsi des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques.
Étape 302, le dispositif de détection de menace réseau détecte les caractéristiques de comportement sur des données de comportement d'accès utilisateur pour déterminer les informations de comportement de la menace réseau.
Les informations de comportement de la menace réseau sont utilisées pour caractériser le 5 comportement d'attaque de la menace réseau.
À titre d'exemple, le comportement d'attaque des menaces réseau peut inclure le balayage malveillant, la traversée de répertoires, le robot d'indexation Web (webcrawler), la suppositions d'adresse de gestion, l'injection (injection) de langage de requête structuré (structuredquerylanguage, SQL), des tentatives de force brute de mot de passe, Webshell, la fuite de données et d'autres comportements d'attaque.
Un robot d'indexation Web fait référence à un programme ou à un script qui récupère automatiquement des informations sur le réseau selon certaines règles. Cependant, le comportement fréquent du robot d'indexation Web affectera le fonctionnement normal du site
Web et apportera des menaces réseau aux utilisateurs.
L'injection SQL fait référence au comportement d'attaque consistant à tromper le serveur et l'inciter à exécuter des commandes SQL malveillantes en insérant des commandes SQL dans la chaîne de requête soumise par le formulaire Web ou en saisissant le nom de domaine ou la demande d'en-tête de page. L'injection SQL peut menacer la sécurité de la base de données de l'utilisateur.
Webshell fait référence au comportement d'attaque consistant à obtenir certaines autorisations du serveur via le port ouvert du serveur. Les Webshells sont également connus sous le nom de cheval de Troie de script.
Étape 303, le dispositif de détection de menace réseau identifie le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques pour déterminer les informations de type de la menace réseau.
Les informations de type de comportement de la menace réseau sont utilisées pour caractériser le type d'attaque de la menace réseau.
À titre d'exemple, les types d'attaques de menaces réseau peuvent inclure des attaques de base de données (telles que l'injection SQL et l'injection MSSQL), des attaques shellshock (shellshock), la pénétration de site Web, l'extension de code d'erreur, des attaques par cross-site scripting (crosssitescripting, XSS), des attaques de site Web, etc.
Parmi elles, l'attaque de shellshock est un type d'attaque dans lequel bash est utilisé pour traiter certaines commandes, permettant ainsi à un attaquant d'exécuter du code arbitraire sur la version bash.
16 BE2023/5713
La pénétration de site Web fait référence à une attaque ciblée sur un réseau spécifique afin d'obtenir des informations et des données à l'intérieur du réseau et d'effectuer des opérations telles que la destruction du réseau.
L'attaque par cross-site scripting est une sorte d'attaque par injection de code. En injectant des scripts malveillants sur le site Web cible, l'attaquant déclenche l'exécution de scripts malveillants lors de la navigation sur le site Web cible, menaçant ainsi la sécurité du réseau de l'utilisateur.
Étape 304, le dispositif de détection de menace réseau détermine le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau.
Le niveau de menace de la menace réseau est utilisé pour caractériser le degré de gravité de la menace réseau. Plus le niveau de menace d'une menace réseau est élevé, plus la gravité de la menace réseau est élevée. En revanche, plus le niveau de menace d'une menace réseau est bas, moins la gravité de la menace réseau est élevée. Le niveau de menace de la menace réseau peut être représenté par une valeur numérique dans une plage prédéfinie, ou peut être représenté par différentes étiquettes, ce qui n'est pas limité dans la présente demande.
Il convient de préciser que, selon ce qui a été mentionné précédemment,les informations de comportement de la menace réseau sont utilisées pour caractériser le comportement d'attaque de la menace réseau, tandis que les informations sur le type de menace réseau sont utilisées pour caractériser le type d'attaque de la menace réseau. Par conséquent, dans la présente demande, le dispositif de détection de menace réseau peut analyser le niveau de menace de la menace réseau sur la base du comportement d'attaque et du niveau d'attaque de la menace réseau.
Dans une mise en œuvre possible, après l'étape 304, le procédé comprend en outre : lorsque le niveau de menace de la menace réseau est le niveau cible, le dispositif de détection de menace réseau déclenche l'opération de répartition de l'ordre de traitement de menace réseau.
Parmi eux, l'ordre de traitement sur les menaces réseau est utilisé pour indiquer le traitement des menaces réseau.
À titre d'exemple, les niveaux de menace des menaces réseau peuvent être divisés en un niveau de menace faible, un niveau de menace moyen et un niveau de menace élevé. Les niveaux cibles sont le niveau de menace moyen et le niveau de menace élevé.
À ce moment, lorsque le niveau de menace de la menace réseau est un niveau de menace moyen ou un niveau de menace élevé, le dispositif de détection de menace réseau déclenche une opération d'envoi d'un ordre de traitement de menace réseau.
Sur la base de la solution technique ci-dessus, le dispositif de détection de menace réseau fourni dans le mode de réalisation de la présente demande obtient des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques. Dont les données de
7 BE2023/5713 comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication, et les données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service. De cette manière, le dispositif de détection de menace réseau peut détecter les caractéristiques de comportement des données de comportement d'accès utilisateur, déterminant ainsi les informations de comportement de la menace réseau, et identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques, déterminant ainsi le informations de type de la menace réseau. Ensuite, le dispositif de détection de menace réseau peut déterminer le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau. Par conséquent, la présente demande détecte des menaces réseau à partir de deux aspects de données de comportement et de données de caractéristiques, analysant ainsi le niveau de menace des menaces réseau et améliorant l'efficacité de la détection de menaces réseau.
Dans ce qui suit, le processus de détermination des informations de comportement de la menace réseau par le dispositif de détection de menace réseau sera introduit.
En tant que mode de réalisation possible de la présente demande, en se référant à la figure 3, comme représenté sur la figure 4, l'étape 302 ci-dessus peut également être mise en œuvre à travers l'étape 401 suivante.
L'étape 401, le dispositif de détection de menace réseau entre des données de comportement d'accès utilisateur dans un modèle de détection de comportement pour déterminer des informations de comportement de menaces réseau.
Le modèle de détection de comportement comprend de multiples caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès.
Selon une mise en œuvre possible, le dispositif de détection de menace réseau peut déterminer les caractéristiques d'accès cible existantes à partir des données de comportement d'accès utilisateur, et lorsque ces caractéristiques d'accès ciblées satisfont des conditions prédéfinies, déterminer les informations de comportement de la menace réseau comme étant le comportement d'attaque correspondant aux caractéristiques d'accès cible.
Les caractéristiques d'accès cible sont l'une quelconque ou plusieurs de la pluralité de caractéristiques d'accès. À titre d'exemple, la relation correspondante entre les caractéristiques d'accès et les comportements d'attaque peut être représentée par le tableau 1 suivant :
18 BE2023/5713
Tableau 1 Correspondance entre les caractéristiques d'accès et les comportements d'attaque 1 Nombre de visites par IP uniques Balayage malveillant et traversée de nn ul 2 Profondeur de visite par IP unique Robot d'indexation Web, traversée de
Pi dl 3 Largeur de visite par IP unique Robots d'indexation Web, traversée de répertoires, supposition d'adresse de gestion 4 Proportion de demandes de réponse | Traversée de répertoire, supposition
N
Paramètres différents pour URL | Injection SQL, force brute de mot de
I SR
Le nombre de fois de la même URL | Injection SQL, force brute de mot de
I nmedeamane pe
Nombre de requêtes POST sans | Injection SQL, force brute de mots de
TS
Pa om
Dans lesquels, le nombre de visites par IP unique fait référence au nombre de visites à partir d'une certaine adresse IP. Lorsque le nombre de visites par IP unique dépasse la première fois, le dispositif de détection de menace réseau détermine que les informations de comportement de la 5 menace réseau sont un balayage malveillant et une traversée de répertoires.
La profondeur de visite par IP unique fait référence au nombre de pages différentes du site Web cible visitées par une certaine adresse IP en une seule visite. Lorsque la profondeur de visite par
IP unique dépasse la profondeur prédéfinie, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont le robot d'indexation
Web et la traversée de répertoires.
La largeur de visite par IP unique fait référence au nombre de sites Web cibles visités par une certaine adresse IP en une seule visite. Lorsque la largeur de visite par IP unique dépasse la largeur prédéfinie, le dispositif de détection de menace réseau détermine que les informations de comportement de menace réseau sont le robot d'indexation Web, la traversée de répertoires et la supposition d'adresse de gestion.
La proportion de demandes de réponse non 2xx fait référence à la proportion de demandes de réponse dont le code d'état n'est pas 2xx. Étant donné que le code d'état 2xx est un code d'état de réponse normal, la proportion de demandes de réponse non 2xx peut représenter la proportion de demandes de réponse anormales.. Lorsque la proportion de demandes de réponse non 2xx
19 BE2023/5713 dépasse le premier rapport, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont la traversée de répertoires et la supposition d'adresse de gestion.
Le même localisateur de ressources uniforme (uniformresourcelocator, URL) avec des paramètres différents fait référence à l'accès à la même adresse URL via des paramètres différents. Lorsqu'il existe différents paramètres de la même URL, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont l'injection SQL et la force brute du mot de passe.
Le nombre de fois de URL identique dans différents noms de domaine fait référence au nombre de visites sur différents noms de domaine via la même URL. Lorsque le nombre de fois de URL identique dans différents noms de domaine dépasse la deuxième fois, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont l'injection SQL et la force brute du mot de passe.
Le trafic de chargement/téléchargement est utilisé pour représenter l'accès aux ressources des utilisateurs accédant. Lorsque la valeur d'écart de trafic de chargement/téléchargement est supérieure au premier trafic, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont Webshell et fuite de données.
Le nombre de requêtes POST sans Referer fait référence au nombre de requêtes POST sans le champ d'en-tête Referer. Le champ d'en-tête Referer est généralement utilisé pour identifier la source d'accès, et une demande POST sans le champ d'en-tête Referer est susceptible de constituer une menace pour le réseau car la source d'accès ne peut pas être identifiée. Lorsque le nombre de requêtes POST sans Referer dépasse la troisième fois, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont l'injection SQL, la force brute du mot de passe et la fuite de données.
Le trafic anormal par IP unique fait référence au trafic de visite anormal d'une certaine adresse IP.
Lorsque le trafic par IP unique dépasse le deuxième niveau de trafic, le dispositif de détection de menace réseau détermine que les informations de comportement de la menace réseau sont la fuite de données.
Sur la base de la solution technique ci-dessus, le dispositif de détection de menace réseau dans la présente demande peut entrer des données de comportement d'accès utilisateur dans le modèle de détection de comportement, afin de déterminer les informations de comportement de la menace réseau. Du fait que le modèle de détection de comportement comprend de multiples caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès. Par conséquent, la présente demande peut déterminer les caractéristiques d'accès cible actuellement existantes à partir des données de comportement d'accès utilisateur afin de déterminer les informations de comportement de la menace réseau en tant que comportement d'attaque correspondant aux caractéristiques d'accès cible. En résumé, le dispositif de détection de menace réseau dans le mode de réalisation de la présente demande effectue une reconnaissance de comportement d'attaque sur la base de la correspondance entre les caractéristiques d'accès et les comportements d'attaque, ce qui améliore l'effet de reconnaissance des informations de comportement de menace réseau.
Dans ce qui suit, le processus de détermination des informations de type de la menace réseau par le dispositif de détection de menace réseau sera introduit.
En tant que mode de réalisation possible de la présente demande, en se référant à la figure 3, comme représenté sur la figure 5, l'étape 303 ci-dessus peut également être mise en œuvre à travers l'étape 501 suivante.
L'étape 501, l'entrée des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
Le modèle de détection de type comprend une pluralité de champs caractéristiques de menace réseau et un type d'attaque correspondant à chaque champ caractéristique de menace réseau.
Selon une mise en œuvre possible, le dispositif de détection de menace réseau peut déterminer les informations de type de la menace réseau en tant que type d'attaque correspondant au champ de caractéristique de menace réseau cible lorsque les données d'exploitation et de maintenance comprennent le champ de caractéristique de menace réseau cible.
Dans lequel, le champ de caractéristique de menace réseau cible est un ou plusieurs champs de caractéristique de menace réseau dans une pluralité de champs de caractéristique de menace réseau.
À titre d'exemple, la relation correspondante entre le champ caractéristique de menace réseau et le type d'attaque peut être représentée par le tableau 2 suivant :
Tableau 2 Correspondance entre les champs caractéristiques des menaces réseau et les types d'attaques 1 Attaque par injection SQL | %WEF%BC%487|%EF%BC%87|%EF%BC%87|%2531
OO ns 2 Attaque par injection SQL | =%27|sélectionnez%2B|insérer%2B/%2Bà partir de%2B/%2Bwh
Ee 3 Attaque de Shellshock WWE WGW Ms * As *foo
WSS) WsE\W\\s*ignoré st} Wet]
ANANAS Ws Wet" 4 Pénétration Web /x90/|default.1da|//sumthin{nsislog.dil|chmod%o|wget
PO (EE (am PE res [ee ri 7 Extension du code d'erreur ; ; 5
PE meme
XSS (attaque par cross-site | %200NLOAD=[INPUT%20|1frame%#20
EL
XSS (attaque par cross-site | %3Cscript|%3C%2Fscrpt|script&gt:|script%3E|SRC=jav [mms PT
Dans lequel différents types d'attaques correspondent aux champs caractéristiques de menace réseau dans les données d'exploitation et de maintenance historiques, par conséquent, le dispositif de détection de menace réseau peut correspondre aux champs caractéristiques de menace réseau existants à partir des données d'exploitation et de maintenance historiques, déterminant ainsi le type d'attaque du menace réseau.
Sur la base de la solution technique ci-dessus, le dispositif de détection de menace réseau dans la présente demande peut entrer des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
Du fait que le modèle de détection de type comprend une pluralité de champs caractéristiques de menace réseau et un type d'attaque correspondant à chaque champ caractéristique de menace réseau. Par conséquent, la présente demande peut faire correspondre le champ caractéristique de menace réseau cible existant actuellement à partir des données d'exploitation et de maintenance historiques afin de déterminer les informations de type de la menace réseau en tant que type d'attaque correspondant au champ caractéristique de menace réseau cible. Pour résumer, le
2 BE2023/5713 dispositif de détection de menace réseau dans le mode de réalisation de la présente demande identifie le type d'attaque sur la base de la correspondance entre le champ caractéristique de menace réseau et le type d'attaque, ce qui améliore l'effet d'identification des informations de type de la menace réseau.
Dans le mode de réalisation de la présente demande, le dispositif de détection de menace réseau peut être divisé en modules fonctionnels ou unités fonctionnelles selon les exemples de procédé ci-dessus. Par exemple, chaque module fonctionnel ou unité fonctionnelle peut être divisé correspondant à chaque fonction, ou deux ou plusieurs plus de deux fonctions peuvent être intégrées dans un module de traitement. Les modules intégrés mentionnés ci-dessus peuvent être mis en œuvre non seulement sous forme de matériel, mais également sous la forme de modules fonctionnels logiciels ou d'unités fonctionnelles. Dans lequel, la division des modules ou des unités dans le mode de réalisation de la présente demande est schématique, et n'est qu'une division de fonction logique, et il peut y avoir une autre manière de division dans la mise en œuvre réelle.
Comme représenté sur la figure 6, c'est un schéma de structure d'un dispositif de détection de menace réseau 60 fourni par un mode de réalisation de la présente demande, comprenant :
L'unité de communication 602 est utilisée pour obtenir des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques ; des données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication ; des données d'exploitation et de maintenance historiques sont utilisées pour caractériser des informations de champ de données de service.
L'unité de traitement 601 est utilisée pour détecter les caractéristiques comportementales des données de comportement d'accès utilisateur et déterminer les informations de comportements des menaces réseau.
L'unité de traitement 601 est en outre utilisée pour identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques, et pour déterminer les informations de type de la menace réseau.
L'unité de traitement 601 est en outre configurée pour déterminer le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau.
Dans une manière de mise en œuvre possible, l'unité de traitement 601 est utilisée pour : l'entrée de données de comportement d'accès utilisateur dans un modèle de détection de comportement pour déterminer des informations de comportement de menaces réseau.
Dans une mise en œuvre possible, le modèle de détection de comportement comprend de multiples caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès ; l'unité de traitement 601 est utilisée pour : la détermination de
23 BE2023/5713 caractéristiques d'accès cible existantes à partir des données de comportement d'accès utilisateur ; les caractéristiques d'accès cible est une ou plusieurs parmi les multiples caractéristiques d'accès ; lorsque la caractéristique d'accès cible satisfait à une condition prédéfinie, déterminer les informations de comportement de la menace réseau en tant que comportement d'attaque correspondant à la caractéristique d'accès cible.
Dans une mise en œuvre possible, l'unité de traitement 601 est utilisée pour : l'entrée des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
Dans une manière de mise en œuvre possible, le modèle de détection de type comprend de multiples champs caractéristiques de menace réseau et le type d’attaque correspondant à chaque champ caractéristique de menace réseau ; l'unité de traitement 601 est utilisée dans le cas où les données d'exploitation et de maintenance historiques incluent le champ de caractéristique de menace réseau cible, il est déterminé que les informations de type de la menace réseau sont le type d'attaque correspondant au champ caractéristique de menace réseau cible ; le champ caractéristique de menace réseau cible étant l'un ou plusieurs des multiples champs caractéristiques de menace réseau.
Dans une mise en œuvre possible, l'unité de traitement 601 est configurée pour : déclencher une opération distribution d'ordre de traitement de menace réseau lorsque le niveau de menace de la menace réseau est un niveau cible, ; l'ordre de traitement de menace réseau est utilisé pour ordonner le traitement de la menace réseau.
Lorsqu'elle est mise en œuvre par matériel, l'unité de communication 602 dans le mode de réalisation de la présente demande peut être intégrée sur une interface de communication, et l'unité de traitement 601 peut être intégrée sur un processeur. La manière spécifique de mise en œuvre est illustrée à la figure 7 .
La figure 7 montre un autre schéma de structure possible du dispositif de détection de menace réseau impliqué dans le mode de réalisation ci-dessus. Le dispositif de détection de menace réseau 70 comprend : un processeur 702 et une interface de communication 703 . Le processeur 702 est utilisé pour contrôler et gérer les actions du dispositif de détection de menace réseau 70, par exemple, exécuter les étapes exécutées par l'unité de traitement 601 ci-dessus, et/ou exécuter d'autres processus de la technologie décrite ici. L'interface de communication 703 est utilisée pour prendre en charge la communication entre le dispositif de détection de menace réseau 70 et d'autres entités de réseau, par exemple, pour exécuter les étapes exécutées par l'unité de communication 602 ci-dessus. Le dispositif de détection de menace réseau 70 peut également comprendre une mémoire 701 et un bus 704 , et la mémoire 701 est utilisée pour stocker des codes de programme et des données du dispositif de détection de menace réseau 70 .
24 BE2023/5713
Dans lequel, la mémoire 701 peut être une mémoire dans le dispositif de détection de menace réseau 70, etc, et la mémoire peut comprendre une mémoire volatile, telle qu'une mémoire à accès aléatoire ; la mémoire peut également comprendre une mémoire non volatile, telle qu'une mémoire en lecture seule, une mémoire flash, un disque dur ou un disque dur à semi-conducteurs ; la mémoire peut également comprendre une combinaison des types de mémoire ci-dessus.
Le processeur 702 mentionné ci-dessus peut réaliser ou exécuter divers exemples de blocs logiques, modules et circuits décrits conjointement avec la description de cette demande. Le processeur peut être une unité centrale de traitement, un processeur à usage universel, un processeur de signal numérique, un circuit intégré spécifique à une application, un réseau de portes programmables sur site ou d'autres dispositifs logiques programmables, des dispositifs logiques à transistors, des composants matériels ou toute combinaison de ceux-ci. Il peut mettre en œuvre ou exécuter les divers blocs logiques, modules et circuits décrits conjointement avec la description de cette demande. Le processeur peut également être une combinaison de fonctions informatiques, par exemple, une combinaison d'un ou plusieurs microprocesseurs, une combinaison de DSP et d'un microprocesseur, et similaire.
Le bus 704 peut être un bus d'architecture standard de l'industre étendue (ExtendedIndustryStandardArchitecture, EISA) ou similaire. Le bus 704 peut être divisé en bus d'adresse, bus de données, bus de commande, etc. Pour faciliter la représentation, un seul trait épais est utilisé sur la figure 7, mais cela ne signifie pas qu'il n'y a qu'un seul bus ou qu'un seul type de bus.
Le dispositif de détection de menace réseau 70 de la figure 7 peut également être une puce. La puce comprend un ou plus de deux (y compris deux) processeurs 702 et une interface de communication 703 .
Dans certains modes de réalisation, la puce comprend en outre une mémoire 701, qui peut comprendre une mémoire en lecture seule et une mémoire à accès aléatoire, et fournit des instructions de fonctionnement et des données au processeur 702 . Une partie de la mémoire 701 peut également comprendre une mémoire à accès aléatoire non volatile (non-volatilerandomaccessmemory, NVRAM).
Dans certains modes de réalisation, la mémoire 701 stocke les éléments suivants, modules d'exécution ou structures de données, ou leurs sous-ensembles, ou leurs ensembles étendus.
Dans le mode de réalisation de la présente demande, l'opération correspondante est exécutée en appelant l'instruction d'opération stockée dans la mémoire 701 (l'instruction d'opération peut être stockée dans le système d'exploitation).
A travers la description des modes de réalisation ci-dessus, l'homme du métier comprendra clairement, pour la commodité et la brièveté de la description, seule la division des modules fonctionnels susmentionnés est utilisée comme exemple d'illustration Dans une application réelle, les fonctions mentionnées peuvent être attribuées entre différents modules fonctionnels selon les besoins. Cela signifie que la structure interne du dispositif est divisée en différents modules fonctionnels pour remplir tout ou partie des fonctions décrites ci-dessus. Pour le processus de travail spécifique du système, du dispositif et de l'unité décrits ci-dessus, il peut être fait référence au processus correspondant dans les modes de réalisation de procédé précédents, et les détails ne sont pas répétés ici.
Un mode de réalisation de la présente demande fournit un produit programme informatique contenant des instructions, et lorsque le produit programme informatique est exécuté sur un ordinateur, l'ordinateur est amené à exécuter le procédé de détection de menace réseau dans le mode de réalisation du procédé ci-dessus.
Le mode de réalisation de la présente demande fournit également un support de stockage lisible par ordinateur, et des instructions sont stockées dans le support de stockage lisible par ordinateur.
Lorsque les instructions sont exécutées sur un ordinateur, l'ordinateur est amené à exécuter le procédé de détection de la menace réseau dans les modes de réalisation de procédé mentionnés ci-dessus.
Dans lequel, le support de stockage lisible par ordinateur peut être, par exemple, mais sans s'y limiter, un système, un dispositif ou un dispositif électrique, magnétique, optique, électromagnétique, infrarouge ou semi-conducteur, ou toute combinaison de ceux-ci. Des exemples plus spécifiques (liste non exhaustive) de supports de stockage lisibles par ordinateur incluent : connexions électriques avec un ou plusieurs conducteurs, disques d'ordinateurs portables, disques durs, mémoire à accès aléatoire(RandomAccessMemory, RAM), mémoire en lecture seule (Read-OnlyMemory, ROM), mémoire en lecture seule programmable effaçable (ErasableProgrammableReadOnlyMemory, EPROM), registres, disque dur, fibre optique, disque compact portable en lecture seule (CompactDiscRead-OnlyMemory, CD-ROM), dispositifs de stockage optiques, dispositifs de stockage magnétiques, ou toute combinaison appropriée de ci-dessus, ou toute autre forme de support de stockage lisible par ordinateur connu dans l'art. Un exemple de support de stockage est couplé au processeur de sorte que le processeur puisse lire des informations à partir du support de stockage et écrire des informations sur celui-ci. Bien entendu, le support de stockage peut également être un composant du processeur. Le processeur et le support de stockage peuvent être situés dans un circuit intégré spécifique à une application (Application Specific Integrated Circuit, ASIC). Dans les modes de réalisation de la présente demande, un support de stockage lisible par ordinateur peut être n'importe quel support tangible
26 BE2023/5713 contenant ou stockant un programme, et le programme peut être utilisé par ou en combinaison avec un système, dispositif ou dispositif d'exécution d'instructions.
Étant donné que le dispositif de détection de menace réseau, le support de stockage lisible par ordinateur et le produit de programme informatique dans les modes de réalisation de la présente demande peuvent être appliqués aux procédés ci-dessus, les effets techniques qui peuvent être obtenus peuvent également se référer aux modes de réalisation du procédé ci-dessus.Les modes de réalisation de la présente demande ne sont donc pas répétés ici.
Dans les plusieurs modes de réalisation fournis dans cette demande, il doit être entendu que les systèmes, dispositifs et procédés décrits peuvent être mis en œuvre d'autres manières. Par exemple, les modes de réalisation de dispositifs décrits ci-dessus ne sont qu'illustratifs. Par exemple, la division des unités n'est qu'une division de fonction logique. Dans la mise en œuvre réelle, il peut y avoir d'autres méthodes de division. Par exemple, plusieurs unités ou composants peuvent être combinés ou peuvent être intégré dans un autre système, ou certaines caractéristiques peuvent être ignorées ou non implémentées. Dans un autre point, le couplage mutuel ou le couplage direct ou la connexion de communication représentés ou discutés peuvent se faire via certaines interfaces, et le couplage indirect ou la connexion de communication de dispositifs ou d'unités peut être sous des formes électriques, mécaniques ou autres.
Les unités décrites en tant que composants séparés peuvent ou non être physiquement séparées, et les composants présentés en tant qu'unités peuvent ou non être des unités physiques, c'est-à-dire qu'ils peuvent être situés à un seul endroit ou peuvent être distribués à plusieurs unités de réseau. Une partie ou la totalité des unités peuvent être sélectionnées en fonction des besoins réels pour atteindre l'objectif de la solution de ce mode de réalisation.
De plus, chaque unité fonctionnelle dans chaque mode de réalisation de la présente demande peut être intégrée dans une unité de traitement, chaque unité peut exister séparément physiquement, ou deux unités ou plus peuvent être intégrées dans une unité.
Ce qui précède ne sont que des méthodes de mise en œuvre spécifiques de la présente demande, mais la portée de la protection de la demande ne s'y limite pas. Toute modification ou substitution dans l'étendue technique divulguée dans la demande doit être incluse dans la portée de la protection de la demande. Par conséquent, la portée de protection de la présente demande doit être basée sur la portée de protection des revendications.

Claims (14)

REVENDICATIONS
1. Procédé de détection de menace réseau, caractérisé en ce que le procédé comprend : obtention des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques ; des données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication ; les données d'exploitation et de maintenance historiques sont utilisées pour caractériser les informations de champ des données de service ; effectuer la détection des caractéristiques de comportement sur les données de comportement d'accès utilisateur pour déterminer les informations de comportement de la menace réseau ; identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques pour déterminer les informations de type de la menace réseau ; déterminer le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau.
2. Procédé selon la revendication 1, caractérisé en ce que la détection de caractéristique de comportement sur lesdites données de comportement d'accès utilisateur pour déterminer les informations de comportement de la menace réseau comprend : les données de comportement d'accès utilisateur sont entrées dans un modèle de détection de comportement pour déterminer des informations de comportement de la menace réseau.
3. Procédé selon la revendication 2, caractérisé en ce que le modèle de détection de comportement comprend une pluralité de caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès ; les informations de comportement pour déterminer la menace réseau, comprenant : détermination de caractéristiques d'accès cible existantes à partir des données de comportement d'accès utilisateur ; les caractéristiques d'accès cible sont l'une quelconque ou plusieurs de la pluralité de caractéristiques d'accès ; dans un cas où la caractéristique d'accès cible satisfait une condition prédéfinie, il est déterminé que les informations de comportement de la menace réseau sont un comportement d'attaque correspondant à la caractéristique d'accès cible.
4. Procédé selon la revendication 1, caractérisé en ce que l'identification du champ de caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques pour déterminer les informations de type de la menace réseau, comprenant : entrée des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
5. Procédé selon la revendication 4, caractérisé en ce que le modèle de détection de type comprend une pluralité de champs caractéristiques de menace réseau et un type d'attaque correspondant à chaque champ caractéristique de menace réseau ; la détermination des informations de type de la menace réseau, comprenant : dans le cas où les données d'exploitation et de maintenance historiques incluent le champ de caractéristique de menace réseau cible, il est déterminé que les informations de type de la menace réseau sont le type d'attaque correspondant au champ de caractéristique de menace réseau cible ; le champ de caractéristique de menace réseau cible étant l'un ou plusieurs des multiples champs caractéristiques de menace réseau.
6. Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il comprend en outre : dans le cas où le niveau de menace de la menace réseau est le niveau cible, une opération de distribution d'ordre de traitement de menace réseau est déclenchée ; l'ordre de traitement de menace réseau est utilisé pour ordonner le traitement de la menace réseau.
7. Dispositif de détection de menace réseau, caractérisé en ce qu'il comprend une unité de communication et une unité de traitement ; l'unité de communication est configurée pour obtenir des données de comportement d'accès utilisateur et des données d'exploitation et de maintenance historiques ; les données de comportement d'accès utilisateur sont utilisées pour caractériser les caractéristiques d'accès au service dans le réseau de communication ; les données d'exploitation et de maintenance historiques sont utilisées pour caractériser des informations de champ de données de service ; l'unité de traitement est configurée pour effectuer une détection des caractéristiques de comportement sur les données de comportement d'accès d'utilisateur, et pour déterminer des informations de comportement de menaces réseau ; l'unité de traitement est en outre configurée pour identifier le champ caractéristique de menace réseau selon les données d'exploitation et de maintenance historiques pour déterminer les informations de type de la menace réseau ; l'unité de traitement est en outre configurée pour déterminer le niveau de menace de la menace réseau selon les informations de comportement et de type de la menace réseau.
8. Dispositif selon la revendication 7, caractérisé en ce que l'unité de traitement est utilisée pour : les données de comportement d'accès utilisateur sont entrées dans un modèle de détection de comportement pour déterminer des informations de comportement de la menace réseau.
9. Dispositif selon la revendication 8, caractérisé en ce que le modèle de détection de comportement comprend une pluralité de caractéristiques d'accès et le comportement d'attaque correspondant à chaque caractéristique d'accès; l'unité de traitement est utilisée pour :
détermination de caractéristiques d'accès cible existantes à partir des données de comportement d'accès utilisateur ; les caractéristiques d'accès cible sont l'une quelconque ou plusieurs de la pluralité de caractéristiques d'accès ; dans un cas où la caractéristique d'accès cible satisfait une condition prédéfinie, il est déterminé que les informations de comportement de la menace réseau sont un comportement d'attaque correspondant à la caractéristique d'accès cible.
10. Dispositif selon la revendication 7, caractérisé en ce que l'unité de traitement est utilisée pour entrée des données d'exploitation et de maintenance historiques dans un modèle de détection de type pour déterminer les informations de type de la menace réseau.
11. Dispositif selon la revendication 10, caractérisé en ce que le modèle de détection de type comprend une pluralité de champs caractéristiques de menace réseau et un type d'attaque correspondant à chaque champ caractéristique de menace réseau ; l'unité de traitement est utilisée pour : dans le cas où les données d'exploitation et de maintenance historiques incluent le champ de caractéristique de menace réseau cible, il est déterminé que les informations de type de la menace réseau sont le type d'attaque correspondant au champ de caractéristique de menace réseau cible ; le champ de caractéristique de menace réseau cible étant l'un ou plusieurs des multiples champs caractéristiques de menace réseau.
12. Dispositif selon l'une quelconque des revendications 7 à 11, caractérisé en ce que l'unité de traitement est utilisée pour : dans le cas où le niveau de menace de la menace réseau est le niveau cible, une opération de distribution d'ordre de traitement de menace réseau est déclenchée ; l'ordre de traitement de menace réseau est utilisé pour ordonner le traitement de la menace réseau.
13. Dispositif de détection de menace réseau, caractérisé en ce qu'il comprend : un processeur et une interface de communication ; l'interface de communication est couplée au processeur, et le processeur est utilisé pour exécuter des programmes informatiques ou des instructions afin de mettre en œuvre le procédé de détection des menaces réseau décrite dans l'une quelconque des revendications 1 à 6.
14. Support de stockage lisible par ordinateur, caractérisé en ce que des instructions sont stockées dans le support de stockage lisible par ordinateur, et lorsque l'ordinateur exécute les instructions, il exécute le procédé de détection des menaces réseau selon l'une quelconque des revendications 1 à 6.
BE20235713A 2023-02-07 2023-08-30 Méthode, Dispositif et Support de Stockage de Détection des Menaces Réseau BE1030453B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310128502.1A CN116208400A (zh) 2023-02-07 2023-02-07 网络威胁检测方法、装置及存储介质

Publications (2)

Publication Number Publication Date
BE1030453A1 BE1030453A1 (fr) 2023-11-14
BE1030453B1 true BE1030453B1 (fr) 2024-06-27

Family

ID=86516841

Family Applications (1)

Application Number Title Priority Date Filing Date
BE20235713A BE1030453B1 (fr) 2023-02-07 2023-08-30 Méthode, Dispositif et Support de Stockage de Détection des Menaces Réseau

Country Status (2)

Country Link
CN (1) CN116208400A (fr)
BE (1) BE1030453B1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117997782B (zh) * 2024-01-08 2024-07-19 联通数字科技有限公司 一种数据中心机房运营平台

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3528462A1 (fr) * 2018-02-20 2019-08-21 Darktrace Limited Procédé de partage d'analyse des menaces de cybersécurité et de mesures défensives parmi une communauté
US20230009127A1 (en) * 2021-07-07 2023-01-12 Darktrace Holdings Limited Method for cyber threat risk analysis and mitigation in development environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3528462A1 (fr) * 2018-02-20 2019-08-21 Darktrace Limited Procédé de partage d'analyse des menaces de cybersécurité et de mesures défensives parmi une communauté
US20230009127A1 (en) * 2021-07-07 2023-01-12 Darktrace Holdings Limited Method for cyber threat risk analysis and mitigation in development environments

Also Published As

Publication number Publication date
BE1030453A1 (fr) 2023-11-14
CN116208400A (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
US11323469B2 (en) Entity group behavior profiling
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US10581874B1 (en) Malware detection system with contextual analysis
US9635039B1 (en) Classifying sets of malicious indicators for detecting command and control communications associated with malware
EP3479285B1 (fr) Procédé et dispositif de surveillance de la sécurité d'un système d'information
US10785255B1 (en) Cluster configuration within a scalable malware detection system
US9654494B2 (en) Detecting and marking client devices
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
US11861008B2 (en) Using browser context in evasive web-based malware detection
WO2015047803A1 (fr) Détection de logiciels malveillants sur la base d'une analyse comportementale de vm et d'une classification d'apprentissage machine
CN113228585A (zh) 具有基于反馈回路的增强流量分析的网络安全系统
US11636208B2 (en) Generating models for performing inline malware detection
BE1030453B1 (fr) Méthode, Dispositif et Support de Stockage de Détection des Menaces Réseau
US11374946B2 (en) Inline malware detection
Alrawi et al. The betrayal at cloud city: An empirical analysis of {Cloud-Based} mobile backends
CN112003864B (zh) 一种基于全流量的网站安全检测系统和方法
US11947669B1 (en) System and method for circumventing evasive code for cyberthreat detection
CN113810381B (zh) 一种爬虫检测方法、web应用云防火墙、装置和存储介质
US9270689B1 (en) Dynamic and adaptive traffic scanning
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
Pour et al. Sanitizing the IoT cyber security posture: An operational CTI feed backed up by Internet measurements
US11063975B2 (en) Malicious content detection with retrospective reporting
US20220124102A1 (en) Detecting and mitigating malware by evaluating HTTP errors
EP3871381B1 (fr) Technique de collecte d'informations relatives à un flux acheminé dans un réseau
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质

Legal Events

Date Code Title Description
FG Patent granted

Effective date: 20240627