CN101883017A - 一种网络安全状态评估系统及方法 - Google Patents
一种网络安全状态评估系统及方法 Download PDFInfo
- Publication number
- CN101883017A CN101883017A CN2009100833851A CN200910083385A CN101883017A CN 101883017 A CN101883017 A CN 101883017A CN 2009100833851 A CN2009100833851 A CN 2009100833851A CN 200910083385 A CN200910083385 A CN 200910083385A CN 101883017 A CN101883017 A CN 101883017A
- Authority
- CN
- China
- Prior art keywords
- safe state
- network safe
- index
- desired value
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种网络安全状态评估系统及方法,用于入侵检测设备评估网络安全状态。其中该方法包括:根据入侵检测设备当前观测周期之前的历史日志,提取网络安全状态指标,建立网络安全状态指标的正态分布模型;所述评估时,根据所述入侵检测设备当前观测周期的实时日志,获得所述实时日志的网络安全状态指标值,根据所述实时日志的网络安全状态指标值及正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。本发明提出的网络安全状态评估系统及方法,能够根据入侵检测设备产生的日志,自动评估当前网络安全状态。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种网络安全状态评估系统及方法。
背景技术
互联网(Internet)的飞速发展,为信息的传播和利用带来了极大的便利,同时也使人类社会面临着信息安全的巨大挑战。为了缓解日益严重的安全问题,入侵检测设备(Intrusion Detection System,IDS)得到了越来越广泛的应用。入侵检测设备安装在被保护的网段中,其监听网卡工作在混杂模式下,分析网段中所有的数据包,进行网络安全事件的实时检测和响应。目前入侵检测设备普遍采用误用检测技术,其检测方法为:首先对标识特定的入侵行为模式进行编码,建立误用模式库,然后对实际检测过程中得到的事件数据进行过滤,检查是否包含入侵行为的标识,是则认为有入侵行为。如果检测到入侵行为,则产生一条对应的安全日志,其中包含了入侵行为发起方地址(源地址)、入侵行为目标方地址(目的地址)、入侵行为描述(事件类型)等信息。
入侵检测设备的大量引入一方面保护了信息系统的安全,另一方面也带来了新的问题。连续运行的入侵检测设备会产生海量的日志,而真正有价值的报警信息被淹没在海量日志中。由于报警量大、不相关报警多,安全管理人员的大部分精力被耗费在处理无用信息上,难以从整体上评估当前的网络安全状态。
目前的现有技术中,有的解决方案是从入侵检测系统报警综合评估得到网络攻击态势评估指标入手,应用支持向量回归的预测方法对网络攻击态势评估指标进行时间序列预测。该方案能够根据历史攻击态势指标,来预测下一时刻的攻击态势指标,但无法做出下一时刻攻击态势是否正常的判断。而且,在指标选取上只考虑了报警数量,难以准确量化网络攻击行为的威胁程度。例如,假设有两个信息系统,分别为信息系统A和信息系统B,这两个信息系统在一个观测周期内都检测到了100条攻击事件,其中在信息系统A中,100条攻击事件是分别针对100台主机的,而在信息系统B中,100条攻击事件是针对同一台主机的,这两个系统所面临的威胁显然不同,但利用前述方案,则难以体现出这种差别。
发明内容
本发明所要解决的技术问题是在于需要提供一种网络安全状态评估系统及方法,用于入侵检测设备评估网络安全状态。
为了解决上述技术问题,本发明提供了一种网络安全状态评估方法,用于入侵检测设备评估网络安全状态,包括:
根据入侵检测设备当前观测周期之前的历史日志,提取网络安全状态指标,建立网络安全状态指标的正态分布模型;
所述评估时,根据所述入侵检测设备当前观测周期的实时日志,获得所述实时日志的网络安全状态指标值,根据所述实时日志的网络安全状态指标值及正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。
优选地,所述建立网络安全状态指标的正态分布模型的步骤,包括:
通过对所述历史日志进行学习,根据所述历史日志的网络安全状态指标值,获得所述网络安全状态指标的模型参数,建立所述正态分布模型。
优选地,根据所述历史日志的网络安全状态指标值,获得所述网络安全状态指标的模型参数的步骤,包括:
计算所述历史日志若干个观测周期中的网络安全状态指标值;
计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数。
优选地,所述网络安全状态指标,包括安全事件数量指标、地址熵指标及安全事件扩散指标。
优选地,根据所述实时日志的网络安全状态指标值及正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果的步骤,包括:
采用异常检验与假设检验相结合的方式,获得所述实时日志的网络安全状态指标值与正态分布模型的偏离程度;
根据所述偏离程度,评估所述当前观测周期的网络安全状态,获得所述网络安全状态评估结果。
为了解决上述技术问题,本发明还提供了一种网络安全状态评估系统,用于入侵检测设备评估网络安全状态,包括:
存储模块,用于存储所述入侵检测设备的日志,包括当前观测周期的实时日志,以及所述当前观测周期之前的历史日志;
指标提取模块,与所述存储模块相连,根据所述入侵检测设备的日志,提取网络安全状态指标,获得网络安全状态指标值;
模型建立模块,与所述存储模块及指标提取模块相连,根据所述历史日志的网络安全状态指标值,建立所述网络安全状态指标的正态分布模型;
评估模块,与所述指标提取模块及模型建立模块相连,根据所述实时日志的网络安全状态指标值与正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。
优选地,所述模型建立模块,通过对所述历史日志进行学习,根据所述历史日志的网络安全状态指标值,获得所述网络安全状态指标的模型参数,建立所述正态分布模型。
优选地,所述模型建立模块计算所述历史日志若干个观测周期中的网络安全状态指标值,再计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数。
优选地,所述指标提取模块,包括:
安全事件数量指标提取单元,与所述存储模块、模型建立模块及评估模块相连,用于过滤一个观测周期内入侵检测设备的日志,获得安全事件数量;
地址熵指标提取单元,与所述存储模块、模型建立模块及评估模块相连,用于利用信息熵的计算方法,计算一个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵;及
安全事件扩散指标提取单元,与所述存储模块、模型建立模块及评估模块相连,用于获得一个观测周期内的安全事件扩散指标值。
优选地,所述评估模块,采用异常检验与假设检验相结合的方式,获得实时日志的网络安全状态指标值与正态分布模型的偏离程度,根据所述偏离程度评估所述当前观测周期的网络安全状态,获得所述网络安全状态评估结果。
本发明提出的网络安全状态评估系统及方法,能够根据入侵检测设备产生的日志,自动评估当前网络安全状态。与现有技术相比,本发明通过计算安全事件数量指标,能够在爆发大规模网络安全事件、入侵检测设备产生大量日志的时候及时检测到异常。通过计算地址熵指标,能够对入侵检测设备日志数量未异常,但地址分布异常的安全事件进行及时检测,例如小范围的Internet蠕虫传播、网络扫描等事件等。通过计算安全事件扩散指标,能够在大规模安全事件爆发的初期进行及时检测,例如在Internet蠕虫传播的初期检测到异常。通过异常检验与假设检验相结合的方法,能够对渐变和突变的网络异常进行及时检测。
附图说明
图1为本发明中网络安全状态评估方法实施例的流程示意图。
图2为图1所示方法实施例中步骤S130的流程示意图。
图3为本发明中网络安全状态评估系统实施例组成示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。
图1为本发明中网络安全状态评估方法实施例的流程示意图。如图1所示,该方法实施例主要包括如下步骤:
步骤S110,存储入侵检测设备的日志,包括当前观测周期的实时日志,以及当前观测周期之前的历史日志;
步骤S120,根据存储的入侵检测设备的日志,提取网络安全状态指标,获得网络安全状态指标值,包括历史日志的网络安全状态指标值以及实时日志的网络安全状态指标值;其中该网络安全状态指标包括安全事件数量指标、地址熵指标及安全事件扩散指标;
步骤S130,通过对入侵检测设备的历史日志进行学习,根据历史日志的网络安全状态指标值,获得网络安全状态指标的模型参数,建立网络安全状态指标的正态分布模型;
步骤S140,采用异常检验与假设检验相结合的方式,将实时日志的网络安全状态指标值与正态分布模型中的模型参数相比较,获得实时日志的网络安全状态指标值与正态分布模型的偏离程度;
步骤S150,根据实时日志的网络安全状态指标值与正态分布模型参数的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果。
需要说明的是,整个评估过程分为两个阶段,自学习阶段和评估阶段。先进行自学习阶段,通过自学习阶段建立指标的正态分布模型后,再通过该正态分布模型进行网络安全状态的评估,即进行第二个阶段,将实时日志的网络安全状态指标值与模型参数进行比较,获得网络安全状态评估结果。在自学习阶段完成后,实际应用时的评估过程,就不需要再进行自学习了,直接利用自学习阶段建立的正态分布模型进行评估即可,不用反复学习并建立正态分布模型。
上述步骤S120中提取安全事件数量指标,将某个观测周期内入侵检测设备产生的日志,按照设定的过滤条件进行过滤,统计过滤后的入侵检测设备日志数量,即为该安全事件数量。其中的过滤条件包括但不限于安全事件类型、安全事件等级、安全事件源地址范围及安全事件目的地址范围等等。
上述步骤S120中提取地址熵指标,是利用信息熵的计算方法,计算该某个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵;具体地,接收该某个观测周期内入侵检测设备上报的所有安全日志,统计安全日志中所有源IP地址、目的IP地址的出现次数;在统计的时候利用哈希(Hash)算法将32位的IPv4地址映射为16位的整数;计算源IP地址分布熵、目的IP地址分布熵,计算方法如式(1)所示:
其中:
Ci为经Hash运算后的IP地址i出现的次数;
S为当前观测周期内总IP地址的个数,
上述步骤S120中提取安全事件扩散指标,是将某个观测周期内统计得到的安全事件数量指标值,减去相邻的前一个观测周期的安全事件数量指标值,得到该某个观测周期内的安全事件扩散指标值。
图2为上述步骤S130的流程示意图。上述步骤S130中,对历史日志进行学习以提取各指标的模型参数的流程,主要包括如下步骤:
步骤S210,通过设定历史日志的起止时间,确定历史日志的范围;
步骤S220,设定观测周期长度;
步骤S230,计算该历史日志范围内每个观测周期中的网络安全状态指标值即安全事件数量指标值、地址熵指标值和安全事件扩散指标值,构成一个指标变量数组并保存;及
步骤S240,计算每个观测周期中上述指标变量数组中各指标值的均值和方差,将该均值和方差作为对应指标的模型参数;
步骤S250,将各指标的模型参数生成文本文件并保存,以用于建立网络状态指标的正态分布模型。
如果步骤S220是以小时为单位进行建模,则对于安全事件数量指标,共有24个模型。对应的,上述步骤S240则是计算每个小时内,各指标值的均值和方差,作为对应指标的模型参数。
上述步骤S140,可以采用异常检验与假设检验相结合的方法,判断当前观测周期的各个指标值与当前时刻对应的指标模型参数是否一致,并将指标值量化为若干个安全等级,比如将指标状态由低到高量化为正常、轻度异常、中度异常、严重异常4个安全等级。
上述步骤S150,可以根据前述的所有指标值量化后的安全等级,确定当前网络安全状态评估结果,比如将所有指标值量化后的最高安全等级,作为当前网络安全状态评估结果。
上述异常检验方式,假设在获取的指标模型参数为N(μ0,σ0),其中μ0和σ0分别表示正态分布模型的均值和方差,假设当前获取的指标值为S,则对于安全事件数量指标和安全事件扩散指标,采取如下方式判断:
如果S-μ0<2σ0,则当前指标正常;
如果2σ0≤S-μ0<3σ0,则当前指标轻度异常;
如果3σ0≤S-μ0<4σ0,则当前指标中度异常;
如果S-μ0≥4σ0,则当前指标高度异常。
对于地址熵指标,包括源地址熵指标和目的地址熵指标,采用如下的判断方式:
如果|S-μ0|<2σ0,则当前指标正常;
如果2σ0≤|S-μ0|<3σ0,则当前指标轻度异常;
如果3σ0≤|S-μ0|<4σ0,则当前指标中度异常;
如果|S-μ0|≥4σ0,则当前指标高度异常。
上述假设检验方式,假设获取的指标模型参数为N(μ0,σ0),其中μ0和σ0分别表示正态分布模型的均值和方差,假设当前获取的指标值为S,则对于安全事件数量指标和安全事件扩散指标,构造如式(2)所示的统计量:
其中:
n表示从模型参数更新起,该指标值的观测个数;
其中的模型参数更新,表示在不同的观测周期会采用不同的模型参数,在观测周期变化时,会更新模型参数。
利用式(2)所示的统计量的判断方式为:
如果U<2.33,则当前指标正常;
如果2.33≤U<3.1,则当前指标轻度异常;
如果3.1≤U<3.72,则当前指标中度异常;
如果U≥3.72,则当前指标高度异常。
其中的参考标准2.33,3.1和3.72,分别对应于标准正态分布的0.01,0.001和0.0001分位点。
对于地址熵指标,包括源地址熵指标和目的地址熵指标,构造如式(3)所示的统计量:
利用式(3)所示的统计量的判断方式为:
如果U<2.48,则当前指标正常;
如果2.48≤U<3.3,则当前指标轻度异常;
如果3.3≤U<3.9,则当前指标中度异常;
如果U≥3.9,则当前指标高度异常。
其中的参考标准2.48,3.3和3.9,分别对应于标准正态分布的0.005,0.0005和0.00005分位点。
通过对安全事件数量指标、地址熵指标(包括源地址熵指标和目的地址熵指标)以及安全事件扩散指标分别进行异常检验和假设检验,可以得到8个安全状态判断值。取各指标异常程度最高的评估值,作为当前网络安全状态的评估值。
图3为本发明中网络安全状态评估系统一实施例组成示意图。如图1所示,该网络安全状态评估系统实施例,包括存储模块310、指标提取模块320、模型建立模块330及评估模块340,其中:
存储模块310,用于存储入侵检测设备的日志,包括当前观测周期的实时日志,以及当前观测周期之前的历史日志;
指标提取模块320,与存储模块310相连,根据存储模块310所存储的日志,提取网络安全状态指标,获得网络安全状态指标值,包括历史日志的网络安全状态指标值以及实时日志的网络安全状态指标值;其中该网络安全状态指标包括安全事件数量指标、地址熵指标及安全事件扩散指标;
模型建立模块330,与存储模块310及指标提取模块320相连,通过对入侵检测设备的历史日志进行学习,根据历史日志的网络安全状态指标值,获得指标提取模块320所提取的网络安全状态指标的模型参数,建立网络安全状态指标的正态分布模型;其中该网络安全状态指标的模型参数的值在一个取值范围内;及
评估模块340,与指标提取模块320及模型建立模块330相连,采用异常检验与假设检验相结合的方式,获得实时日志的网络安全状态指标值与正态分布模型的偏离程度,根据该偏离程度评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果。
上述指标提取模块320在自学习阶段,从历史日志中提取网络安全状态指标用于自学习,从评估阶段从实时日志中提取网络安全状态指标值用于评估。实际应用时,在建立正态分布模型之后,就可以直接用该正态分布模型去评估网络安全状态,不用反复学习并建立正态分布模型。
上述指标提取模块320,如图3所示,包括安全事件数量指标提取单元321、地址熵指标提取单元322及安全事件扩散指标提取单元323,其中:
安全事件数量指标提取单元321,与存储模块310、模型建立模块330及评估模块340相连,用于将某个观测周期内入侵检测设备产生的日志,按照设定的过滤条件进行过滤,统计过滤后的入侵检测设备日志数量,即为该安全事件数量;其中的过滤条件包括但不限于安全事件类型、安全事件等级、安全事件源地址范围及安全事件目的地址范围等等;
地址熵指标提取单元322,与存储模块310、模型建立模块330及评估模块340,用于利用信息熵的计算方法,计算某个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵,具体计算过程请参考上述方法实施例中步骤S120的内容;及
安全事件扩散指标提取单元323,与存储模块310、模型建立模块330及计评估模块340,用于将某个观测周期内统计得到的安全事件数量指标值,减去相邻的前一个观测周期的安全事件数量指标值,得到该某个观测周期内的安全事件扩散指标值。
上述地址熵指标提取单元322计算地址分布熵的具体过程,是接收某个观测周期内入侵检测设备上报的所有安全日志,统计安全日志中所有源IP地址、目的IP地址的出现次数;在统计的时候利用哈希(Hash)算法将32位的IPv4地址映射为16位的整数;计算源IP地址分布熵、目的IP地址分布熵,计算方法如上述式(1)所示。
上述评估模块340,采用异常检验与假设检验相结合的方式,通过比较网络安全指标的当前值与模型参数,判断网络安全状态指标的当前值是否与所建立的正态分布模型一致,如果一致则根据该正态分布模型得到当前网络安全状态的综合评估值,如果不一致则根据网络安全状态指标值与正态分布模型的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估值。
以下是网络安全状态评估系统的一个应用实例,借以更清楚地描述本发明的实施方式。
假设当前设置的观测周期为1分钟,目前上报的观测时间段为8:30-8:31,则从8:00开始,提取8:00-9:00期间指标变量的模型参数作为参考标准。假设此时安全事件数量指标的模型参数为(100,10),源地址熵指标的参数为(0.6,0.1),目的地址熵指标的模型参数为(0.65,0.1),安全事件扩散指标的模型参数为(10,5),并假设当前的安全事件数量指标为125,源地址熵为0.75,目的地址熵为0.1,安全事件扩散指标为8。
采用异常检验的方式可得出如下判断:
安全事件数量指标:2×10<125-100=25<3×10,该指标轻度异常;
源地址熵指标:0.1<|0.75-0.6|=0.15<2×0.1,该指标正常;
目的地址熵指标:|0.1-0.65|=0.55>4×0.1,该指标严重异常;
安全事件扩散指标:8-10=-2<5,该指标正常。
采用假设检验的方法进行判断时,该时刻的观测值为模型参数从8:00起更新以来的第31个采样值。假设对于安全事件数量指标,从8:01起获取第1个观测值到当前的第31个观测值之间,所有安全事件数量指标观测值的均值为105,则利用假设检验的判断过程为:
因此该指标为轻度异常。
同理利用该方法可以评估源地址熵指标、目的地址熵指标、安全事件扩散指标的异常度。
最终计算该时刻网络安全状态评估值时,由于异常检测方式下,目的地址熵指标为严重异常,将当前的网络安全状态评估为严重异常。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (10)
1.一种网络安全状态评估方法,用于入侵检测设备评估网络安全状态,其特征在于,包括:
根据入侵检测设备当前观测周期之前的历史日志,提取网络安全状态指标,建立网络安全状态指标的正态分布模型;
所述评估时,根据所述入侵检测设备当前观测周期的实时日志,获得所述实时日志的网络安全状态指标值,根据所述实时日志的网络安全状态指标值及正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。
2.如权利要求1所述的方法,其特征在于,所述建立网络安全状态指标的正态分布模型的步骤,包括:
通过对所述历史日志进行学习,根据所述历史日志的网络安全状态指标值,获得所述网络安全状态指标的模型参数,建立所述正态分布模型。
3.如权利要求2所述的方法,其特征在于,根据所述历史日志的网络安全状态指标值,获得所述网络安全状态指标的模型参数的步骤,包括:
计算所述历史日志若干个观测周期中的网络安全状态指标值;
计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数。
4.如权利要求1所述的方法,其特征在于:
所述网络安全状态指标,包括安全事件数量指标、地址熵指标及安全事件扩散指标。
5.如权利要求1所述的方法,其特征在于,根据所述实时日志的网络安全状态指标值及正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果的步骤,包括:
采用异常检验与假设检验相结合的方式,获得所述实时日志的网络安全状态指标值与正态分布模型的偏离程度;
根据所述偏离程度,评估所述当前观测周期的网络安全状态,获得所述网络安全状态评估结果。
6.一种网络安全状态评估系统,用于入侵检测设备评估网络安全状态,其特征在于,包括:
存储模块,用于存储所述入侵检测设备的日志,包括当前观测周期的实时日志,以及所述当前观测周期之前的历史日志;
指标提取模块,与所述存储模块相连,根据所述入侵检测设备的日志,提取网络安全状态指标,获得网络安全状态指标值;
模型建立模块,与所述存储模块及指标提取模块相连,根据所述历史日志的网络安全状态指标值,建立所述网络安全状态指标的正态分布模型;
评估模块,与所述指标提取模块及模型建立模块相连,根据所述实时日志的网络安全状态指标值与正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。
7.如权利要求6所述的系统,其特征在于,所述模型建立模块,通过对所述历史日志进行学习,根据所述历史日志的网络安全状态指标值,获得所述网络安全状态指标的模型参数,建立所述正态分布模型。
8.如权利要求7所述的系统,其特征在于:所述模型建立模块计算所述历史日志若干个观测周期中的网络安全状态指标值,再计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数。
9.如权利要求6所述的系统,其特征在于,所述指标提取模块,包括:
安全事件数量指标提取单元,与所述存储模块、模型建立模块及评估模块相连,用于过滤一个观测周期内入侵检测设备的日志,获得安全事件数量;
地址熵指标提取单元,与所述存储模块、模型建立模块及评估模块相连,用于利用信息熵的计算方法,计算一个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵;及
安全事件扩散指标提取单元,与所述存储模块、模型建立模块及评估模块相连,用于获得一个观测周期内的安全事件扩散指标值。
10.如权利要求1所述的系统,其特征在于:
所述评估模块,采用异常检验与假设检验相结合的方式,获得实时日志的网络安全状态指标值与正态分布模型的偏离程度,根据所述偏离程度评估所述当前观测周期的网络安全状态,获得所述网络安全状态评估结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100833851A CN101883017B (zh) | 2009-05-04 | 2009-05-04 | 一种网络安全状态评估系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100833851A CN101883017B (zh) | 2009-05-04 | 2009-05-04 | 一种网络安全状态评估系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101883017A true CN101883017A (zh) | 2010-11-10 |
CN101883017B CN101883017B (zh) | 2012-02-01 |
Family
ID=43054917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100833851A Expired - Fee Related CN101883017B (zh) | 2009-05-04 | 2009-05-04 | 一种网络安全状态评估系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101883017B (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404323A (zh) * | 2011-11-18 | 2012-04-04 | 深圳中兴网信科技有限公司 | 一种网络攻击ip自动拒绝方法 |
CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
CN103297973A (zh) * | 2013-06-04 | 2013-09-11 | 河海大学常州校区 | 水下传感器网络中女巫入侵检测方法 |
CN103583061A (zh) * | 2011-06-10 | 2014-02-12 | 皇家飞利浦有限公司 | 网络中的恶意攻击的避免 |
CN104392173A (zh) * | 2014-11-13 | 2015-03-04 | 普华基础软件股份有限公司 | 审计系统及审计检测方法 |
CN105553990A (zh) * | 2015-12-18 | 2016-05-04 | 国网天津市电力公司 | 一种基于决策树算法的网络安全三元组异常检测方法 |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
CN106453226A (zh) * | 2016-07-21 | 2017-02-22 | 柳州龙辉科技有限公司 | 一种检测地址熵值的方法 |
CN106921649A (zh) * | 2015-12-28 | 2017-07-04 | 施耐德电气美国股份有限公司 | 嵌入式控制设备中的网络安全暴露评估和响应系统和方法 |
CN107172064A (zh) * | 2017-06-08 | 2017-09-15 | 腾讯科技(深圳)有限公司 | 数据访问控制方法、装置及服务器 |
CN107809321A (zh) * | 2016-09-08 | 2018-03-16 | 南京联成科技发展股份有限公司 | 一种安全风险评估和告警生成的实现方法 |
CN108337221A (zh) * | 2017-11-27 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 网络安全技术风险定量评估方法及设备 |
CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
CN111882135A (zh) * | 2020-08-05 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 一种物联网设备入侵检测方法及相关装置 |
US20210011832A1 (en) * | 2018-04-19 | 2021-01-14 | Nec Corporation | Log analysis system, log analysis method, and storage medium |
CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
CN113114489A (zh) * | 2021-03-29 | 2021-07-13 | 广州杰赛科技股份有限公司 | 一种网络安全态势评估方法、装置、设备及存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
CN100373865C (zh) * | 2004-11-01 | 2008-03-05 | 中兴通讯股份有限公司 | 计算机攻击的威胁评估方法 |
CN101193430A (zh) * | 2006-11-21 | 2008-06-04 | 中兴通讯股份有限公司 | 基于移动终端安全状态的移动通信网准入控制装置及方法 |
CN101330401B (zh) * | 2007-06-22 | 2010-12-08 | 华为技术有限公司 | 一种安全状态的评估方法、装置及系统 |
CN101345646A (zh) * | 2007-07-11 | 2009-01-14 | 华为技术有限公司 | 评估网络侧安全状态的方法和安全认证系统 |
-
2009
- 2009-05-04 CN CN2009100833851A patent/CN101883017B/zh not_active Expired - Fee Related
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103583061A (zh) * | 2011-06-10 | 2014-02-12 | 皇家飞利浦有限公司 | 网络中的恶意攻击的避免 |
US10178123B2 (en) | 2011-06-10 | 2019-01-08 | Philips Lighting Holding B.V. | Avoidance of hostile attacks in a network |
CN102404323A (zh) * | 2011-11-18 | 2012-04-04 | 深圳中兴网信科技有限公司 | 一种网络攻击ip自动拒绝方法 |
CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
CN102413013B (zh) * | 2011-11-21 | 2013-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
CN103297973B (zh) * | 2013-06-04 | 2016-09-07 | 河海大学常州校区 | 水下传感器网络中女巫入侵检测方法 |
CN103297973A (zh) * | 2013-06-04 | 2013-09-11 | 河海大学常州校区 | 水下传感器网络中女巫入侵检测方法 |
CN104392173A (zh) * | 2014-11-13 | 2015-03-04 | 普华基础软件股份有限公司 | 审计系统及审计检测方法 |
CN105553990A (zh) * | 2015-12-18 | 2016-05-04 | 国网天津市电力公司 | 一种基于决策树算法的网络安全三元组异常检测方法 |
CN106921649A (zh) * | 2015-12-28 | 2017-07-04 | 施耐德电气美国股份有限公司 | 嵌入式控制设备中的网络安全暴露评估和响应系统和方法 |
CN106921649B (zh) * | 2015-12-28 | 2021-05-04 | 施耐德电气美国股份有限公司 | 嵌入式控制设备中的网络安全暴露评估和响应系统和方法 |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
CN105681303B (zh) * | 2016-01-15 | 2019-02-01 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
CN106453226A (zh) * | 2016-07-21 | 2017-02-22 | 柳州龙辉科技有限公司 | 一种检测地址熵值的方法 |
CN107809321A (zh) * | 2016-09-08 | 2018-03-16 | 南京联成科技发展股份有限公司 | 一种安全风险评估和告警生成的实现方法 |
CN107172064B (zh) * | 2017-06-08 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 数据访问控制方法、装置及服务器 |
CN107172064A (zh) * | 2017-06-08 | 2017-09-15 | 腾讯科技(深圳)有限公司 | 数据访问控制方法、装置及服务器 |
CN108337221A (zh) * | 2017-11-27 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 网络安全技术风险定量评估方法及设备 |
CN108337221B (zh) * | 2017-11-27 | 2021-12-28 | 中国电子科技集团公司电子科学研究院 | 网络安全技术风险定量评估方法及设备 |
US20210011832A1 (en) * | 2018-04-19 | 2021-01-14 | Nec Corporation | Log analysis system, log analysis method, and storage medium |
CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
CN110881016B (zh) * | 2018-09-05 | 2021-06-01 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
CN111882135A (zh) * | 2020-08-05 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 一种物联网设备入侵检测方法及相关装置 |
CN111882135B (zh) * | 2020-08-05 | 2024-04-30 | 杭州安恒信息技术股份有限公司 | 一种物联网设备入侵检测方法及相关装置 |
CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
CN113114489A (zh) * | 2021-03-29 | 2021-07-13 | 广州杰赛科技股份有限公司 | 一种网络安全态势评估方法、装置、设备及存储介质 |
CN113114489B (zh) * | 2021-03-29 | 2022-06-17 | 广州杰赛科技股份有限公司 | 一种网络安全态势评估方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101883017B (zh) | 2012-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101883017B (zh) | 一种网络安全状态评估系统及方法 | |
CN101741633B (zh) | 一种海量日志关联分析方法及系统 | |
CN108418841B (zh) | 基于ai的下一代关键信息基础设施网络安全态势感知系统 | |
CN106888205B (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
CN109581871B (zh) | 免疫对抗样本的工业控制系统入侵检测方法 | |
CN104486141A (zh) | 一种误报自适应的网络安全态势预测方法 | |
CN105868629B (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
CN111901340B (zh) | 一种面向能源互联网的入侵检测系统及其方法 | |
CN104202765A (zh) | 基于分布式网络的传感器故障检测方法及装置 | |
CN102402517A (zh) | 数据库正常登录模型建立、登录行为异常检测方法及系统 | |
CN103684910A (zh) | 一种基于工业控制系统网络流量的异常检测方法 | |
EP3208970A1 (en) | Alarm correlation data mining method and device | |
CN111383128A (zh) | 一种用于监测电网嵌入式终端设备运行状态的方法及系统 | |
CN103679025A (zh) | 一种基于树突细胞算法的恶意代码检测方法 | |
CN116366374A (zh) | 基于大数据的电网网络管理的安全评估方法、系统及介质 | |
CN113205238A (zh) | 一种面向电厂工控系统的态势感知防御能力评估方法 | |
CN113067798A (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
CN116112283A (zh) | 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统 | |
CN108931700A (zh) | 一种基于WSNs的电网安全风险预警系统 | |
Wang et al. | Forest fire detection system based on Fuzzy Kalman filter | |
CN113098853A (zh) | 车载网络虚假信息注入异常行为检测方法 | |
CN116707918A (zh) | 基于CBAM- EfficientNet异常检测的网络安全态势评估方法 | |
CN111510332A (zh) | 一种网络安全状态预测系统 | |
CN115296933B (zh) | 一种工业生产数据风险等级评估方法及系统 | |
CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120201 Termination date: 20180504 |