CN101272286B - 网络入侵事件关联检测方法 - Google Patents
网络入侵事件关联检测方法 Download PDFInfo
- Publication number
- CN101272286B CN101272286B CN2008100374150A CN200810037415A CN101272286B CN 101272286 B CN101272286 B CN 101272286B CN 2008100374150 A CN2008100374150 A CN 2008100374150A CN 200810037415 A CN200810037415 A CN 200810037415A CN 101272286 B CN101272286 B CN 101272286B
- Authority
- CN
- China
- Prior art keywords
- database table
- event
- correlating event
- find
- incident
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
一种网络安全技术领域的网络入侵事件关联检测方法,本发明中,入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,从第四数据库表中的攻击开始,对第四数据库表中每一告警项去存储有安装后门的第三数据库表中查找匹配之前的黑客攻击行为;如果查找匹配成功则继续向前查找,对第三数据库表中的警告项去存储有提升权限的第二数据库表中的进行查找匹配,类推直至匹配到第一数据库表结束,匹配成功的结果存入关联后的事件数据库表;由第四数据库表起始的所有告警项目匹配结束后,然后由第三数据库表开始,类推直至匹配到第一数据库表结束。本发明可降低了入侵检测系统的误报率,提高其报告安全事件的准确率。
Description
技术领域
本发明涉及一种网络安全技术领域的检测方法,具体是一种网络入侵事件关联检测方法。
背景技术
随着计算机网络的高速发展,信息和网络的安全已经成为国家、企业和个人一个不容回避的问题。入侵检测系统作为网络安全问题的一种解决方案,由于它具有对网络/系统进行主动监测以发现入侵行为的特点,已成为继防火墙、数据加密等传统安全保护措施后的新一代安全保护技术。基于误用的入侵检测系统通常不能检测出新类型的攻击和已知攻击的变种攻击,而基于异常的入侵检测系统误警率太高。而且更为重要的是现在的入侵检测系统只注重对单个的入侵事件或异常状态进行检测,不能发现入侵者的入侵逻辑步骤及入侵策略。总的来说,其主要的弱点表现在如下几个方面:1、在告警信息量很大的情况下,告警信息难以有效管理;2、无法识别出由同一个入侵过程所产生的多个告警信息之间的关联关系;3、误告警信息的大量存在;4、IDS木身的可扩展性问题等。
针对上述主要弱点,人们提出了几种告警相关方法,主要是用来对告警信息进行二次分析,以识别告警信息之间的关联关系,在入侵检测系统中引入告警相关部件主要意义表现在:1、可以识别出入侵逻辑步骤及入侵策略,将现有的入侵检测系统从只能检测单个的入侵事件、异常状态转换成检测入侵者;2、通过识别告警信息之间的关联关系,可以孤立、识别误告警信息,这样就可以降低误警率;3、对由同一入侵事件引起的重复告警信息进行合并,可以减少告警数量。
经对现有技术的文献检索发现,F.Cuppens和A.Miege在《Proceedings ofthe 2002 IEEE Symposium on Security and Privacy》(2002 IEEE安全与保密论坛会议集)发表了“Alert Correlation in a Cooperative IntrusionDetection Framework”(协同入侵检测架构中的告警关联),该文中提出基于因 果关系的告警关联方法,具体为:一个完整的入侵总是有个过程,这个过程可以分为多个不同的入侵阶段,前一阶段的入侵是为后一阶段的入侵做准备的,不同阶段的入侵步骤会引起不同的告警信息,这些告警信息之间就会存在一定的关联关系,也就是相关关系。为了实现这种告警相关方法,必须为每种入侵定义它的前置条件和后置条件,前置条件是实现这个入侵必需满足的前提,而后置条件是这个入侵成功后所造成的结果。根据前一个阶段产生的告警信息的后置条件的实例是否满足当前入侵告警的前置条件的实例要求,从而找出前后告警信息之间的相关关系。其方法的不足在于:进行告警信息匹配效率非常低,主要原因是入侵者往往要进行几百上千次的某种攻击后,才可能成功一到两次,然后才进行下一步的攻击行为。
这种从前到后的匹配方法,理论上可行,但在实际系统中要耗费大量系统资源和时间进行搜索匹配,效率低下。
发明内容
本发明的目的是针对上述现有技术的不足,提出了一种网络入侵事件关联检测方法,使其根据黑客攻击有一定顺序关序的特点,收集原始报警事件,对原始报警事件分别进行由果溯因的关联分析,获得关联后事件,高效地进行事件关联分析。
本发明是通过如下技术方案实现的,本发明包括如下具体步骤:
步骤一、入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos;
步骤二、按黑客的攻击步骤,从第四数据库表中的ddos攻击开始,对第四数据库表中每一告警项去存储有安装后门backdoor的第三数据库表中查找匹配之前的黑客攻击行为;
步骤三、如果查找匹配未成功,则直接进入步骤四,如果查找匹配成功则继续向前查找,对第三数据库表中的告警项去存储有提升权限elevation的第二数据库表中的进行查找匹配,如此类推直至匹配到第一数据库表结束,匹配成功的 结果存入关联后的事件数据库表;
步骤四、由第四数据库表起始的所有告警项目匹配结束后,然后由第三数据库表开始,对第三数据库表中的告警项去存储有提升权限elevation的第二数据库表中的进行查找匹配,取出前次未匹配过的项目,如此类推直至匹配到第一数据库表结束,如此类推直至整个过程的结束。
所述查找匹配,是指按照源地址相同并且时间由后向前顺序的条件由后面的数据库表向前面的数据库表进行查找匹配。
所述查找匹配,如果匹配成功,则生成一关联事件,将匹配的事件写入关联后的事件数据库表,如果有多个事件匹配成功,多个事件视为同一关联事件,均写入关联后的事件数据库表。
黑客攻击中,前一步攻击成功是下一步攻击的基础和条件,每一种攻击也许只有少量获得成功,如扫描了上千台机器可能只有十几台具有系统的漏洞,对这十几台有漏洞的系统进行攻击,也许只有几台能够提升权限入侵成功,进入系统。
本发明的方法发现后续的攻击时,去匹配前一种攻击,如,发现“安装后门”,则之前很可能进行了“提升权限”的行为,现按照同一源地址去寻找“提升权限”的事件。如果发现有的话,则可把两个事件进行关联。从攻击的结果着手,先找出已经产生DDOS攻击的告警,然后反方向逆推,在一定的时间范围内遍历整个告警日志,寻找上一步安装后门的告警进行匹配,匹配的条件是“源地址相同并且时间由后向前顺序”,如果配对成功则进行前一步提升权限的告警搜索,如此类推直至整个过程的结束。
与现有技术相比,本发明具有如下有益效果:
1、可以有效的降低入侵检测系统的误报率,提高其报告安全事件的准确率;
2、由识别已经成功的攻击结果去匹配之前的攻击行为,能够大大降低分析数据量,提高关联分析速度和效率;能够通过关联分析,找到安全事件内在了联系,达到准确识别攻击的目的和过程。
附图说明
图1是本发明ddoS攻击工作流程图;
图2是本发明工作流程图。
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,黑客入侵系统的行为有一定前后顺序关系的,以利用Solaris(UNIX操作系统的一种)主机上的Sadmind漏洞(一种系统安全漏洞)进行拒绝服务攻击为例,这种攻击先进行缓冲区溢出攻击,以取得该主机上的根用户权限,然后再发起拒绝服务攻击,它的一般入侵步骤如下所示:
1,利用端口扫描工具(IPsweep)扫描目标网络,以探测活动主机信息;
2,利用SadmindPing(UNIX的一种命令语言)来探测活动Solaris主机是否运行了有漏洞的sadmind后台进程;
3,若Solaris主机有漏洞,利用含有sadmind漏洞的主机发起缓冲区溢出攻击,以取得该主机的根权限,这个攻击步骤需进行多次,以取得多台主机的根权限;
4,在这些取得了根权限的主机上分别安装拒绝服务攻击程序,并在其中一台主机上安装控制程序;
5,黑客从控制机上控制拒绝服务ddos攻击程序进行攻击;
黑客的入侵是一个有序过程,只有前面的入侵步骤成功后,后面的入侵步骤才可能正常执行。
如图2所示,本实施例针对上述黑客入侵系统的一般顺序,提出如下具体步骤:
首先,建立四个数据库表用于存放四种类型原始报警事件:扫描漏洞scan、提升权限elevation、安装后门backdoor、拒绝服务攻击ddos,事先将所有提升权限的攻击事件都存入数据库表elevation,将所有具有后门的事件都存入数据库表backdoor,将所有的扫描攻击事件都存入数据库表scan,将所有具有拒绝服务攻击的事件都存入数据库表ddos。如表1所示为每种数据库表定义的形式。
同时建立关联后的事件数据库表,同样有四个:corscan、corelevation、corbackdoor、corddos,如表2所示
表1存放原始报警事件的数据库表定义
| 名字 | CODE | 数据类型 | 备注 |
| 事件源类型ID | pid | int(11) | 事件源类型唯一标识,从“事件源ID代码 表”中取值。 |
| 事件类型ID | sid | int(11) | 事件类型标识,十进制数值,范围从1- 2147483647 |
| 事件类型名 | name | varchar(255) | 该类事件的简短描述信息 |
| 描述 | description | text | 详细描述该类事件的相关信息 |
| 影响 | impact | text | 该类事件所带来的影响和危害 |
| 建议 | solution | text | 该类事件通常的解决办法和采取的措施 |
表2建立关联后的数据库表定义
| 名字 | CODE | 数据类型 | 备注 |
| 关联事件ID | Corid | Int | 每个关联事件形成一新ID,用于统计、显 示等 |
| 事件类型ID | sid | int(11) | 事件类型标识,十进制数值,范围从1- 2147483647 |
| 事件发现时间 | Time | Datatime | |
| 源地址 | Srcaddr | varChar(25) | 兼容IPV6地址,取25个字符 |
| 源端口 | Srcport | Int | |
| 目的地址 | Dstaddr | varChar(25) | |
| 目的端口 | Dstport | Int | |
| 端口的协议 | Protocol | varChar(25) | 端口所用协议的名称 |
| 事件类型名 | name | varchar(255) | 该类事件的简短描述信息 |
| 描述 | description | text | 详细描述该类事件的相关信息 |
| 影响 | impact | text | 该类事件所带来的影响和危害 |
| 建议 | solution | text | 该类事件通常的解决办法和采取的措施 |
然后,进行由果溯因的匹配查找过程,如图2所示,包括如下具体步骤:
1.在数据库表ddos中取出一条未匹配过的记录,进入第2步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第6步;
2.以一个时间窗在数据库表backdoor中来查找同一个源地址(IP)入侵告警事件以前出现的告警事件,该时间窗可设置缺省为4小时;若找不到,则没有关联事件,退出,返回第1步;如果找到,则进入第3步;
3.生成关联事件cid,将匹配的事件存入关联后的事件数据库表corbackdoor和表corddos表中。但是其中可能有多个事件匹配成功,例如进行了多次安装后门的攻击才成功ddoS攻击,这些事件都认为是同一关联事件中的步骤,赋予同一关联事件cid,存入数据库表corddos,将搜索出来的安装后门事件用同一关联事件cid写入关联后的数据库表corbackdoor;完成后,进入第4步;
4.继续在数据库表elevation中进行查找,以一个时间窗在数据库表elevation中来查找同一个源地址入侵告警以前出现的告警事件,如果找不到,则没有关联事件,退出,返回第1步;如果找到,则将前述步骤中所产生的cid连同该条记录写入corelevation中,同样的,可能存在多个事件匹配,如进行了多次提升权限的攻击才成功安装后门,这些事件都认为是同一关联事件,仍然是用前述的cid,存入corelevation;
5.继续在数据库表scan中进行查找,以一个时间窗在数据库表scan中来查找同一个源地址该事件以前出现的告警事件,如果找不到,则没有关联事件,退出返回第1步。如果找到,将前述步骤中所产生的cid连同该条记录写入数据库表corscan中,同样,可能有多个事件匹配,这些事件都认为是同一关联事件,仍用同一关联cid,存入数据库表corscan中。然后退出,本次关联结束,返回第1步;
6.在数据库表backdoor中取出一条未匹配过的记录,进入第7步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第10步。
7.以一个时间窗在数据库表evaluation中匹配查找同目的地址和同源地址该事件以前记录的事件,该时间窗可设置缺省为4小时。如果找不到,则没有关联事件,退出返回第6步。如果找到,则进入下一步;
8.生成关联事件cid,将匹配的事件存入数据库表corbackdoor和数据库表corelevation中,可能有多个事件匹配,例如进行了多次安装后门和提升权限的攻击,但这些事件都认为是同一关联事件,但仍然认为是同一关联事件,赋予相同的cid,并且写入数据库表corbackdoor和数据库表corelevation中,进入下一步;
9.继续在数据库表scan中进行查找,如果找不到,则没有关联事件,退出返回第6步。如果找到,则按同一关联事件cid,将匹配的事件写入数据库表corscan,可能有多个事件匹配,这些事件都认为是同一关联事件,赋予同样的cid,写入数据库表corscan,退出,本次关联结束,返回第6步;
10.在数据库表evaluation中取出一条未匹配过的记录,进入第11步,如果全部记录都已经匹配过,则说明所有记录都处理过,整个过程结束;
11.以一个时间窗来在数据库表scan中查找同目的地址和同源地址该事件以前上报的事件,该时间窗可设置缺省为4小时。如果找不到,则没有关联事件,退出返回第10步。如果找到,则进入下一步;
12.生成关联cid,将匹配的事件写入数据库表corscan和corelevation,可能有多个事件匹配,如进行了多次扫描漏洞和提升权限的攻击,这些事件都认为是同一关联事件,赋予关联事件cid,存入数据库表corscan和corelevation,返回第10步。
本实施例方法,首先就能够正确的识别已经成功的进行了的攻击,能够给管理员最及时的消息,除此之外,由于不同的步骤之间也可以进行一定程度上的关联,这样可以大大的降低告警量,例如,在找不到到DDOS攻击的最后一步的情况下,进行backdoor的搜索,如果能进一步找到可以与evaluation中有关告警相匹配,则同样的情况下也可以进行关联,这样将两者合并为一个告警,同样也可以减轻管理员的负荷量。类推,如果在匹配完evaluation情况下,继续进行了scan的匹配,成功的话那么就可以合并为同一个告警。
Claims (1)
1.一种网络入侵事件关联检测方法,其特征在于,包括如下步骤:
步骤一、入侵检测系统报告入侵告警信息,将所有告警信息分别存入四个数据库表,第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos;
步骤二:
第1步、在数据库表ddos中取出一条未匹配过的记录,进入第2步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第6步;
第2步、以一个时间窗在数据库表backdoor中来查找同一个源地址(IP)入侵告警事件以前出现的告警事件,该时间窗设置缺省为4小时;若找不到,则没有关联事件,退出,返回第1步;如果找到,则进入第3步;
第3步、生成关联事件标识cid,将匹配的事件存入关联后的数据库表corbackdoor和数据库表corddos中,当有多个事件匹配成功时,这些事件都认为是同一关联事件中的步骤,赋予同一关联事件标识cid,存入数据库表corddos,将搜索出来的安装后门事件用同一关联事件标识cid写入关联后的数据库表corbackdoor;完成后,进入第4步;
第4步、继续在数据库表elevation中进行查找,以一个时间窗在数据库表elevation中来查找同一个源地址入侵告警事件以前出现的告警事件,如果找不到,则没有关联事件,退出,返回第1步;如果找到,则将前述步骤中所产生的关联事件标识cid连同该条记录写入数据库表corelevation中,当存在多个事件匹配时,这些事件都认为是同一关联事件,仍然是用同一关联事件标识cid,存入数据库表corelevation;
第5步、继续在数据库表scan中进行查找,以一个时间窗在数据库表scan中来查找同一个源地址该入侵告警事件以前出现的告警事件,如果找不到,则没有关联事件,退出返回第1步,如果找到,将前述步骤中所产生的关联事件标识cid连同该条记录写入数据库表corscan中,当有多个事件匹配时,这些事件都认为是同一关联事件,仍用同一关联事件标识cid,存入数据库表corscan中,然后退出,本次关联结束,返回第1步;
第6步、在数据库表backdoor中取出一条未匹配过的记录,进入第7步,如果全部记录都已经匹配过,则说明所有记录都处理过,然后进入第10步;
第7步、以一个时间窗在数据库表evaluation中匹配查找同目的地址和同源地址该入侵告警事件以前记录的告警事件,该时间窗设置缺省为4小时,如果找不到,则没有关联事件,退出返回第6步,如果找到,则进入下一步;
第8步、生成关联事件标识cid,将匹配的事件存入数据库表corbackdoor和数据库表corelevation中,当有多个事件匹配时,这些事件都认为是同一关联事件,赋予相同的关联事件标识cid,并且写入数据库表corbackdoor和数据库表corelevation中,进入下一步;
第9步、继续在数据库表scan中进行查找,如果找不到,则没有关联事件,退出返回第6步,如果找到,则按同一关联事件标识cid,将匹配的事件写入数据库表corscan,当有多个事件匹配时,这些事件都认为是同一关联事件,赋予同样的关联事件标识cid,写入数据库表corscan,退出,本次关联结束,返回第6步;
第10步、在数据库表evaluation中取出一条未匹配过的记录,进入第11步,如果全部记录都已经匹配过,则说明所有记录都处理过,整个过程结束;
第11步、以一个时间窗来在数据库表scan中查找同目的地址和同源地址该入侵告警事件以前上报的告警事件,该时间窗设置缺省为4小时,如果找不到,则没有关联事件,退出返回第10步,如果找到,则进入下一步;
第12步、生成关联事件标识cid,将匹配的事件写入数据库表corscan和数据库表corelevation,当有多个事件匹配时,这些事件都认为是同一关联事件,赋予同样的关联事件标识cid,存入数据库表corscan和数据库表corelevation,返回第10步。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100374150A CN101272286B (zh) | 2008-05-15 | 2008-05-15 | 网络入侵事件关联检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100374150A CN101272286B (zh) | 2008-05-15 | 2008-05-15 | 网络入侵事件关联检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101272286A CN101272286A (zh) | 2008-09-24 |
| CN101272286B true CN101272286B (zh) | 2010-12-15 |
Family
ID=40005995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100374150A Expired - Fee Related CN101272286B (zh) | 2008-05-15 | 2008-05-15 | 网络入侵事件关联检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101272286B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902441B (zh) * | 2009-05-31 | 2013-05-15 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN102594783B (zh) * | 2011-01-14 | 2014-10-22 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN103312679B (zh) * | 2012-03-15 | 2016-07-27 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| CN105376245B (zh) * | 2015-11-27 | 2018-10-30 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN105681274B (zh) * | 2015-12-18 | 2019-02-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种原始告警信息处理的方法及装置 |
| CN108234431A (zh) * | 2016-12-22 | 2018-06-29 | 阿里巴巴集团控股有限公司 | 一种后台登陆行为检测方法和检测服务器 |
| CN109104429B (zh) * | 2018-09-05 | 2021-09-28 | 广东石油化工学院 | 一种针对网络诈骗信息的检测方法 |
| CN111327569B (zh) * | 2018-12-14 | 2022-05-10 | 中国电信股份有限公司 | Web后门检测方法和系统、存储计算装置 |
| CN110516439B (zh) * | 2019-07-25 | 2021-05-25 | 北京奇艺世纪科技有限公司 | 一种检测方法、装置、服务器及计算机可读介质 |
| CN110445799B (zh) * | 2019-08-15 | 2021-11-05 | 杭州安恒信息技术股份有限公司 | 入侵阶段的确定方法、装置及服务器 |
| CN113949621B (zh) * | 2021-12-22 | 2022-03-29 | 北京微步在线科技有限公司 | 入侵事件的告警关联方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421772A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种察觉入侵扫描行为保护系统安全的新方法 |
| CN1555156A (zh) * | 2003-12-25 | 2004-12-15 | 上海交通大学 | 基于自组织映射网络的自适应入侵检测方法 |
| CN1581089A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
| CN1741472A (zh) * | 2005-09-05 | 2006-03-01 | 北京启明星辰信息技术有限公司 | 网络入侵事件风险评估方法及系统 |
-
2008
- 2008-05-15 CN CN2008100374150A patent/CN101272286B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421772A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种察觉入侵扫描行为保护系统安全的新方法 |
| CN1581089A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
| CN1555156A (zh) * | 2003-12-25 | 2004-12-15 | 上海交通大学 | 基于自组织映射网络的自适应入侵检测方法 |
| CN1741472A (zh) * | 2005-09-05 | 2006-03-01 | 北京启明星辰信息技术有限公司 | 网络入侵事件风险评估方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Cuppens. F, Miege.A.Alert correlation in a cooperativeintrusiondetectionframework.Security and Privacy, 2002. Proceedings. 2002 IEEE Symposium on.2002,第1-14页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101272286A (zh) | 2008-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101272286B (zh) | 网络入侵事件关联检测方法 | |
| CN113556354B (zh) | 一种基于流量分析的工业互联网安全威胁检测方法与系统 | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN103944915B (zh) | 一种工业控制系统威胁检测防御装置、系统及方法 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
| CN101771582B (zh) | 一种基于状态机的安全监控关联分析方法及系统 | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| CN112671701B (zh) | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 | |
| CN102402517A (zh) | 数据库正常登录模型建立、登录行为异常检测方法及系统 | |
| CN101901219A (zh) | 数据库注入攻击检测方法及系统 | |
| CN109255237A (zh) | 安全事件关联分析方法及装置 | |
| CN103944887A (zh) | 基于隐条件随机场的入侵事件检测方法 | |
| CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
| CN101599958A (zh) | 基于场景的关联引擎系统及其数据处理方法 | |
| Zali et al. | Real-time attack scenario detection via intrusion detection alert correlation | |
| CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| CN114357459A (zh) | 一种面向区块链系统的信息安全检测方法 | |
| CN110874490A (zh) | 一种用于达梦数据库的弱密码检测方法、系统及存储介质 | |
| US20220046039A1 (en) | Method, device, and computer program product for abnormality detection | |
| CN100372296C (zh) | 具有二级决策内核的网络入侵检测系统及其报警优化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20130515 |