CN101902441A - 一种可实现序列攻击事件检测的入侵检测方法 - Google Patents
一种可实现序列攻击事件检测的入侵检测方法 Download PDFInfo
- Publication number
- CN101902441A CN101902441A CN2009100850698A CN200910085069A CN101902441A CN 101902441 A CN101902441 A CN 101902441A CN 2009100850698 A CN2009100850698 A CN 2009100850698A CN 200910085069 A CN200910085069 A CN 200910085069A CN 101902441 A CN101902441 A CN 101902441A
- Authority
- CN
- China
- Prior art keywords
- rule
- sequence
- data message
- base
- attacking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
一种可实现序列攻击事件检测的入侵检测方法,包括:根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测,提高检测效率。
Description
技术领域
本发明涉及网络设备的安全保护,具体涉及一种在网络检测设备上对入侵检测进行检测的方法。
背景技术
网络系统中的网络安全设备是网络安全系统中的关键设备,常见的如入侵检测系统、入侵防御系统和防火墙。这些设备进行检测时,通常使用系统启动初始化时所生成的匹配规则的组织方式。它们不能感知检测环境和网络数据的动态变化,所以无法根据部署环境的变化及时调整规则的组织方式,导致检测效率不高。
入侵检测系统根据检测机制可以分为误用检测和异常检测。误用检测是指将已知的攻击方式以某种形式存储在知识库中,然后通过判断知识库中的入侵模式是否出现来检测攻击,如果出现该入侵模式,说明发生了入侵。异常检测是指将用户正常的习惯行为特征存储在数据库中,然后将用户当前的行为特征与特征数据库中的习惯行为特征进行比较,如果两者的偏差足够大,则说明发生了异常。
考虑到检测效率和机制方面的原因,目前大多数的商用入侵检测系统采用误用检测机制。这就需要将知识库映射成内存中相应的数据结构。然后通过匹配数据流与知识库中的入侵模式来判断是否发生入侵。对规则库的组织方式和匹配算法是决定入侵检测系统性能的最重要的两个方面。
网络攻击事件的发生是一个序列的过程,某些前导网络攻击事件发生后其后续网络攻击事件发生的概率会增高,并且这些序列中的攻击事件如果都发生的话,其危险程度会相应提高。但是,目前对序列攻击事件的检测仍然是独立的规则去匹配,这样不能够准确地反映当前攻击的危险程度。
另一方面,目前网络检测设备在检测过程中使用原始的规则匹配树,不能够根据网络环境动态调整规则匹配树,造成低效率和不能自适应的问题。因此也不能利用序列事件之间的关联性,来提高检测的效率。
发明内容
本发明要解决的技术问题是提供一种可实现序列攻击事件检测的入侵检测方法。
为了解决上述问题,本发明提供了一种可实现序列攻击事件检测的入侵检测方法,包括:
根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;
对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。
进一步地,上述入侵检测方法还可具有以下特点:
检测到序列攻击事件时的告警级别高于检测到该序列攻击事件中前导事件时的告警级别。
进一步地,上述入侵检测方法还可具有以下特点:
对每一基础规则,配置了单个攻击事件检测所需的基本信息、表示本规则是基础规则的规则类型标记,以及序列攻击事件检测所需的附加信息,该附加信息包括:该基础规则的一组或多组关联规则的标识、数目及其关联顺序信息,该基础规则对应的一个或多个序列攻击事件的告警级别信息;
对每一关联规则,配置了单个攻击事件检测所需的基本信息,以及表示本规则非基础规则的规则类型标记;
某规则即作为基础规则又作为其他基础规则的关联规则时,按基础规则的配置方式进行配置。
进一步地,上述入侵检测方法还可具有以下特点:
初始化时,创建用于入侵检测的一匹配树,将所有要使用的规则的描述结构挂载到该匹配树上,每一规则的描述结构中包含了该规则的基本信息,而在基础规则的描述结构中还包含了该基础规则用于检测序列攻击事件的所述附加信息,且在每一关联规则的标识后添加了该关联规则在该匹配树中的地址信息。
进一步地,上述入侵检测方法还可具有以下特点:
所述优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配是指:
对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则创建一个或多个以该数据报文的报文来源标识信息为索引的动态规则缓存结构,将所匹配到的每一基础规则的一组或多组关联规则的标识和地址保存到相应的动态规则缓存结构中,同组关联规则之间按其关联顺序排列;
对该数据报文的后续数据报文,如查找到以该后续数据报文的报文来源标识信息为索引的一个或多个动态规则缓存结构,则对查找到的每一动态规则缓存结构的每组关联规则,用其中还未匹配成功的第一个关联规则与该后续数据报文匹配,如匹配成功且该组关联规则中已无余下的关联规则,则判定检测到对应的序列攻击事件。
进一步地,上述入侵检测方法还可具有以下特点:
对该后续数据报文,如没有查找到以该后续数据报文的报文来源标识信息为索引的动态规则缓存结构,或者在对查找到的每一动态规则缓存结构的每组关联规则,用其中还未匹配成功的第一个关联规则与该后续数据报文匹配但均匹配失败,则将该后续数据报文从匹配树的根节点开始逐个匹配,如匹配到基础规则,仍需创建匹配到的基础规则的动态规则缓存结构。
进一步地,上述入侵检测方法还可具有以下特点:
某个数据报文匹配到该匹配树上的某个基础规则或关联规则时,根据该基础规则或关联规则检测到单个攻击事件时的告警级别进行告警。
进一步地,上述入侵检测方法还可具有以下特点:
在所述动态规则缓存结构中,在每组关联规则之前均设置一当前配置位置信息,初始值为1;
使用某组关联规则与数据报文匹配时,根据该组关联规则的当前配置位置信息直接找到还未匹配成功的第一个关联规则,如该第一个关联规则匹配成功,将该当前配置位置加1。
进一步地,上述入侵检测方法还可具有以下特点:
某个动态规则缓存结构中的每组关联规则均已全部匹配成功时,或某个动态规则缓存结构的有效时间已超过时,删除该动态规则缓存结构。
进一步地,上述入侵检测方法还可具有以下特点:
所述数据报文的报文来源标识信息为该数据报文的五元组;
在检测到序列攻击事件后,还将该序列攻击事件的事件标识、告警级别以及数据报文的五元组、协议类型和匹配到的特征信息输出到日志系统或者数据库,其中,该序列攻击事件的事件标识是由每一个事件的事件标识合并得到的。
上述方法根据序列攻击事件的关联性,在验证了前导事件后,在后续的数据报文处理中优先检测这些后续网络攻击事件,如果后续网络攻击事件得到了验证,就输出较高级别的警告。
此外,通过将序列事件相关的入侵检测的规则关联起来,在检测时对规则的组织方式进行动态调整,克服了网络检测设备在检测过程中使用原始的规则匹配树,不能够根据网络环境动态调整规则匹配树所造成的低效率和不能自适应的问题,并且能够在不影响原有检测方式以及数据处理能力的情况下对规则进行调整,应用及时调整的结果,提高检测效率。
附图说明
图1为本发明实施例方法的总体流程图;
图2为本发明实施例规则描述结构的示意图;
图3为图1中对网络数据报文进行入侵检测的流程图;
图4为图3中使用的动态规则缓存结构的示意图。
具体实施方式
由于序列攻击事件的关联性,在验证了前导事件后,在后续的数据报文处理中可以优先检测这些后续网络攻击事件,如果后续网络攻击事件得到了验证,就可以输出较高级别的警告。另外,将序列事件相关的入侵检测的规则关联起来,在检测时对规则顺序进行动态调整,能够提高检测效率。
下面结合附图对本发明的具体实施方式进行详细描述。
基于序列攻击事件的特点,本实施例将用于检测序列攻击事件的前导事件即第一个攻击事件的规则定义为基础规则,将用于检测序列攻击事件的后续事件的规则定义为关联规则。用于检测某一前导事件的基础规则可以有多个如在不同的协议层,而同一个规则即可以作为基础规则也可以作为关联规则,并且还可以同时作为多个序列攻击事件的基础规则。
要实现序列攻击事件检测,需事先根据要检测的序列攻击事件,定义每条基础规则所关联的一组或多组关联规则以及这些关联规则之间的关联顺序。另外,还要定义序列攻击事件检测成功后的告警级别,该告警级别应高于该基础事件的告警级别。
图1是本实施例可实现序列攻击事件检测的入侵检测方法的流程图,包括:
步骤100,根据知识库构建入侵检测的规则库,为该规则库中的规则配置单个攻击事件检测所需的基本信息,用于表示本规则是否基础规则的规则类型标记,对基础规则还配置有序列攻击事件检测所需的附加信息;
基础规则和关联规则均配置有单个攻击事件检测所需的基本信息,包括规则ID(标识)、协议信息、第一告警级别、告警信息和事件特征等。其中:协议信息表示规则匹配的数据报文的协议类型;第一告警级别表示该规则被触发之后的危险系数;告警信息表示告警时的提示信息等;事件特征表示匹配到该规则的网络攻击事件的特征信息。
一个规则即作为基础规则又作为其他基础规则的关联规则时,应标记为基础规则,按基础规则的配置方式进行配置。
为基础规则配置的该附加信息包括第二告警级别、关联深度以及一组或多组关联规则标识。其中,第二告警级别表示以该基础规则检测的攻击事件为前导事件的序列攻击事件的告警级别;关联深度表示该基础规则为前导的序列攻击事件可触发的关联规则条数,也即其关联规则的数目。
因为一个基础规则检测的攻击事件可以同时作为多个序列攻击事件的前导事件,因此一个基础规则可以关联到多组的关联规则。此时,应为该基础规则配置多组关联规则标识,每一组关联规则标识包括该基础规则在一序列攻击事件中关联到的各个关联规则的标识,且同组中的关联规则按各自检测的序列攻击事件中后续事件的先后顺序也称之为关联规则的关联顺序排列。另每一组关联规则应配置一第二告警级别和一关联深度。
另外,在配置文件中还可以配置表示该规则是否启用的启用标记,默认为启用。
步骤200,初始化时,将定义好的规则库读入检测设备,创建用于入侵检测的一匹配树,创建所有要使用的规则的描述结构并挂载到该匹配树的对应位置;
本实施例中,还创建一全局的动态规则暂存器头,用于作为各数据报文的动态规则缓存结构构成的链表的表头,以管理检测过程中生成的动态规则缓存结构,迅速地查找到数据报文对应的动态规则。应说明的是,动态规则缓存结构的数据组织方式可以有很多种不同的选择,除链表方式外,也可以对各数据报文的五元组(或其他可以标识数据报文的来源的特征信息)进行哈希运算,用得到的哈希值作为各数据报文的动态规则缓存结构的索引,同样可以达到快速查找的效果。
规则的描述结构是利用规则的配置信息填充得到的。图2示出了基础规则的描述结构,包括了基础规则的基本信息和与序列攻击事件检测相关的附加信息,这里不再一一列举。在匹配树创建完成后,需要把关联规则在该匹配树上的地址添加到相应基础规则的动态规则记录域中,与相应的关联规则标识构成关联规则标识-地址对。至于单纯的关联规则的描述结构,可以只包括基本信息和规则类型标记。
匹配树的创建和规则的挂载可采用已有技术中的内容,如针对每种协议,按告警级别由高到低的顺序创建一告警级别链表。按照规则的协议信息和告警级别将规则的描述结构挂载到相应位置即可,这样相同告警级别和相同协议的规则就被挂载到匹配树的同一个分支。如何创建匹配树和挂载规则有方式很多,但并不影响后续对序列攻击事件的检测。
步骤300,对某个数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用所述基础规则的关联规则,按照关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的所有关联规则都匹配成功,则检测到序列攻击事件,按该序列攻击事件的告警级别告警。
如果检测到规则定义的攻击事件或序列攻击事件,检测设备的输出系统将检测到的事件ID,告警级别,数据报文的五元组,协议类型,匹配到的特征信息等以一定的格式输出到日志系统或者数据库以便事后分析使用。对于序列攻击事件,需要将该序列攻击事件中每一个事件的事件ID合并,得到序列攻击事件的事件ID。
下面对步骤300展开描述,如图3所示,可分为以下步骤:
步骤301,对捕获的网络数据报文进行解码和预处理;
通过该步可以使网络数据标准化,提取出的协议变量,以便能够直接将数据报文和规则库中定义的特征信息直接进行比较。
步骤302,对某数据报文进行入侵检测时,先查找已有的动态规则缓存结构,判断是否有记录了该数据报文五元组的缓存结构,如果有,执行步骤303,否则,执行步骤308;
动态规则缓存结构中的信息可以保存在相应的动态规则暂存器中。两个数据报文具有相同的五元组,说明两者是同源的数据报文,当然检测数据报文是否同源也可以使用其他方法。
步骤303,找到所有记录了该数据报文五元组的动态规则缓存结构,假定找到一个,将该数据报文与该动态规则缓存结构中还未匹配成功的第一条关联规则进行匹配;
根据动态规则缓存结构中当前匹配位置的值可以直接找到还未匹配成功的第一条关联规则的ID和地址对,从而调用该条关联规则。
步骤304,判断是否匹配成功,如果是,执行步骤305,否则,执行步骤308;
步骤305,判断该匹配成功的规则是否第n条关联规则,n为关联深度,即判断动态规则缓存结构中的n项规则均已匹配成功,如果是,执行步骤306,否则,执行步骤307;
步骤306,删除该动态规则缓存结构,将告警级别提高到该动态规则缓存结构中指定的序列攻击事件的告警级别,执行步骤313;
步骤307,将当前匹配位置的值加1,执行步骤313;
该步如转入执行步骤313时应按关联规则检测到单个攻击事件的告警级别进行告警。该步骤也可以直接返回执行步骤301,即不进行报警。
如果步骤303中找到多个记录了该数据报文五元组的动态规则缓存结构,对每个动态规则缓存结构,均按步骤303~307的方式处理即可。如果一个动态规则缓存结构中包括多组关联规则,对每一组关联规则,均按步骤303~307的方式处理,且在步骤306中只能删除已全部匹配成功的一组关联规则,只有动态规则缓存结构中所有的关联规则组均被删后,才删除该动态规则缓存结构中的数据报文五元组。
如果动态规则缓存结构中关联规则一直没有匹配成功,可以在一设定的有效时间超时后自动删除该缓存结构中的内容。
步骤308,将该数据报文从匹配树的根节点开始逐个匹配;
步骤309,判断是否匹配到规则,如果匹配到,执行步骤310,如果没有匹配到,执行步骤312;
步骤310,判断该规则是否为基础规则且关联深度n不等于0,如果是,执行步骤311,否则,置告警级别为第一告警级别,执行步骤313;
步骤311,按该基础规则的告警级别告警,并为该基础规则创建一动态规则缓存结构并插入动态规则缓存结构的链表中;
如图4所示,该动态规则缓存结构记录有该数据报文的五元组、该基础规则的第二告警级别、该基础规则描述结构中的前n项关联规则标识-地址对,且在该n项关联规则标识-地址对之前还记录一当前匹配位置,其初始值为1,每成功匹配到一关联规则加1;如某该基础规则有多组关联规则,则为每组关联规则设置连续存放的一第二告警级别、一当前匹配位置信息和按关联顺序存放的一对或多对关联规则标识-地址对。
步骤312,判断该数据报文是否在匹配树上完成匹配,如果是,返回步骤301,否则,返回步骤308;
步骤313,进行告警,返回步骤301。
Claims (10)
1.一种可实现序列攻击事件检测的入侵检测方法,包括:
根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;
对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。
2.如权利要求1所述的入侵检测方法,其特征在于:
检测到序列攻击事件时的告警级别高于检测到该序列攻击事件中前导事件时的告警级别。
3.如权利要求1所述的入侵检测方法,其特征在于:
对每一基础规则,配置了单个攻击事件检测所需的基本信息、表示本规则是基础规则的规则类型标记,以及序列攻击事件检测所需的附加信息,该附加信息包括:该基础规则的一组或多组关联规则的标识、数目及其关联顺序信息,该基础规则对应的一个或多个序列攻击事件的告警级别信息;
对每一关联规则,配置了单个攻击事件检测所需的基本信息,以及表示本规则非基础规则的规则类型标记;
某规则即作为基础规则又作为其他基础规则的关联规则时,按基础规则的配置方式进行配置。
4.如权利要求3所述的入侵检测方法,其特征在于:
初始化时,创建用于入侵检测的一匹配树,将所有要使用的规则的描述结构挂载到该匹配树上,每一规则的描述结构中包含了该规则的基本信息,而在基础规则的描述结构中还包含了该基础规则用于检测序列攻击事件的所述附加信息,且在每一关联规则的标识后添加了该关联规则在该匹配树中的地址信息。
5.如权利要求3或4所述的入侵检测方法,其特征在于:
所述优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配是指:
对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则创建一个或多个以该数据报文的报文来源标识信息为索引的动态规则缓存结构,将所匹配到的每一基础规则的一组或多组关联规则的标识和地址保存到相应的动态规则缓存结构中,同组关联规则之间按其关联顺序排列;
对该数据报文的后续数据报文,如查找到以该后续数据报文的报文来源标识信息为索引的一个或多个动态规则缓存结构,则对查找到的每一动态规则缓存结构的每组关联规则,用其中还未匹配成功的第一个关联规则与该后续数据报文匹配,如匹配成功且该组关联规则中已无余下的关联规则,则判定检测到对应的序列攻击事件。
6.如权利要求5所述的入侵检测方法,其特征在于:
对该后续数据报文,如没有查找到以该后续数据报文的报文来源标识信息为索引的动态规则缓存结构,或者在对查找到的每一动态规则缓存结构的每组关联规则,用其中还未匹配成功的第一个关联规则与该后续数据报文匹配但均匹配失败,则将该后续数据报文从匹配树的根节点开始逐个匹配,如匹配到基础规则,仍需创建匹配到的基础规则的动态规则缓存结构。
7.如权利要求6所述的入侵检测方法,其特征在于:
某个数据报文匹配到该匹配树上的某个基础规则或关联规则时,根据该基础规则或关联规则检测到单个攻击事件时的告警级别进行告警。
8.如权利要求5所述的入侵检测方法,其特征在于:
在所述动态规则缓存结构中,在每组关联规则之前均设置一当前配置位置信息,初始值为1;
使用某组关联规则与数据报文匹配时,根据该组关联规则的当前配置位置信息直接找到还未匹配成功的第一个关联规则,如该第一个关联规则匹配成功,将该当前配置位置加1。
9.如权利要求5所述的入侵检测方法,其特征在于:
某个动态规则缓存结构中的每组关联规则均已全部匹配成功时,或某个动态规则缓存结构的有效时间已超过时,删除该动态规则缓存结构。
10.如权利要求5所述的入侵检测方法,其特征在于:
所述数据报文的报文来源标识信息为该数据报文的五元组;
在检测到序列攻击事件后,还将该序列攻击事件的事件标识、告警级别以及数据报文的五元组、协议类型和匹配到的特征信息输出到日志系统或者数据库,其中,该序列攻击事件的事件标识是由每一个事件的事件标识合并得到的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910085069 CN101902441B (zh) | 2009-05-31 | 2009-05-31 | 一种可实现序列攻击事件检测的入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910085069 CN101902441B (zh) | 2009-05-31 | 2009-05-31 | 一种可实现序列攻击事件检测的入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101902441A true CN101902441A (zh) | 2010-12-01 |
CN101902441B CN101902441B (zh) | 2013-05-15 |
Family
ID=43227648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200910085069 Expired - Fee Related CN101902441B (zh) | 2009-05-31 | 2009-05-31 | 一种可实现序列攻击事件检测的入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101902441B (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102592093A (zh) * | 2012-01-16 | 2012-07-18 | 河南科技大学 | 一种基于生物免疫机制的主机入侵检测方法 |
CN103580900A (zh) * | 2012-08-01 | 2014-02-12 | 上海宝信软件股份有限公司 | 一种基于事件链的关联分析系统 |
CN103841112A (zh) * | 2014-03-18 | 2014-06-04 | 杭州华三通信技术有限公司 | 基于网包分类的分类规则处理方法及装置、匹配装置 |
CN104361058A (zh) * | 2014-10-31 | 2015-02-18 | 广东工业大学 | 一种面向海量数据流的哈希结构复杂事件检测方法 |
CN104852909A (zh) * | 2015-04-24 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种攻击检测规则的开启方法和设备 |
CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
CN105592061A (zh) * | 2015-10-27 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种攻击规则的关闭方法和装置 |
CN105659245A (zh) * | 2013-11-06 | 2016-06-08 | 迈克菲公司 | 上下文感知的网络取证 |
CN106897281A (zh) * | 2015-12-17 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 一种日志分片方法和装置 |
CN107171876A (zh) * | 2017-07-26 | 2017-09-15 | 成都科来软件有限公司 | 一种基于流量统计数据的访问告警方法 |
CN107491058A (zh) * | 2017-08-07 | 2017-12-19 | 中国科学院信息工程研究所 | 一种工业控制系统序列攻击检测方法及设备 |
CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN109391626A (zh) * | 2018-11-15 | 2019-02-26 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
CN110069463A (zh) * | 2019-03-12 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 用户行为处理方法、装置电子设备及存储介质 |
CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
CN113259364A (zh) * | 2021-05-27 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
CN113454623A (zh) * | 2019-02-21 | 2021-09-28 | 三菱电机株式会社 | 检测规则组调整装置和检测规则组调整程序 |
CN114118426A (zh) * | 2022-01-27 | 2022-03-01 | 广东粤港澳大湾区硬科技创新研究院 | 一种分帧故障诊断方法、装置及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
-
2009
- 2009-05-31 CN CN 200910085069 patent/CN101902441B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
Non-Patent Citations (1)
Title |
---|
张在峰: "分布式入侵检测系统的设计和实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102592093B (zh) * | 2012-01-16 | 2014-12-10 | 河南科技大学 | 一种基于生物免疫机制的主机入侵检测方法 |
CN102592093A (zh) * | 2012-01-16 | 2012-07-18 | 河南科技大学 | 一种基于生物免疫机制的主机入侵检测方法 |
CN103580900A (zh) * | 2012-08-01 | 2014-02-12 | 上海宝信软件股份有限公司 | 一种基于事件链的关联分析系统 |
CN103580900B (zh) * | 2012-08-01 | 2016-12-21 | 上海宝信软件股份有限公司 | 一种基于事件链的关联分析系统 |
CN105659245A (zh) * | 2013-11-06 | 2016-06-08 | 迈克菲公司 | 上下文感知的网络取证 |
CN103841112A (zh) * | 2014-03-18 | 2014-06-04 | 杭州华三通信技术有限公司 | 基于网包分类的分类规则处理方法及装置、匹配装置 |
CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
CN104361058A (zh) * | 2014-10-31 | 2015-02-18 | 广东工业大学 | 一种面向海量数据流的哈希结构复杂事件检测方法 |
CN104852909A (zh) * | 2015-04-24 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种攻击检测规则的开启方法和设备 |
CN104852909B (zh) * | 2015-04-24 | 2019-07-09 | 新华三技术有限公司 | 一种攻击检测规则的开启方法和设备 |
CN105592061A (zh) * | 2015-10-27 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种攻击规则的关闭方法和装置 |
CN106897281A (zh) * | 2015-12-17 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 一种日志分片方法和装置 |
CN106897281B (zh) * | 2015-12-17 | 2020-08-14 | 阿里巴巴集团控股有限公司 | 一种日志分片方法和装置 |
US10496616B2 (en) | 2015-12-17 | 2019-12-03 | Alibaba Group Holding Limited | Log fragmentation method and apparatus |
CN107171876A (zh) * | 2017-07-26 | 2017-09-15 | 成都科来软件有限公司 | 一种基于流量统计数据的访问告警方法 |
CN107491058A (zh) * | 2017-08-07 | 2017-12-19 | 中国科学院信息工程研究所 | 一种工业控制系统序列攻击检测方法及设备 |
CN107491058B (zh) * | 2017-08-07 | 2019-07-09 | 中国科学院信息工程研究所 | 一种工业控制系统序列攻击检测方法及设备 |
CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN108616381B (zh) * | 2018-02-28 | 2021-10-15 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN109391626A (zh) * | 2018-11-15 | 2019-02-26 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
CN109391626B (zh) * | 2018-11-15 | 2021-07-30 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
CN113454623A (zh) * | 2019-02-21 | 2021-09-28 | 三菱电机株式会社 | 检测规则组调整装置和检测规则组调整程序 |
CN110069463B (zh) * | 2019-03-12 | 2021-07-16 | 北京奇艺世纪科技有限公司 | 用户行为处理方法、装置电子设备及存储介质 |
CN110069463A (zh) * | 2019-03-12 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 用户行为处理方法、装置电子设备及存储介质 |
CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
CN113259364A (zh) * | 2021-05-27 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
CN113259364B (zh) * | 2021-05-27 | 2021-10-22 | 长扬科技(北京)有限公司 | 一种网络事件关联分析方法及装置、计算机设备 |
CN114118426A (zh) * | 2022-01-27 | 2022-03-01 | 广东粤港澳大湾区硬科技创新研究院 | 一种分帧故障诊断方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101902441B (zh) | 2013-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101902441B (zh) | 一种可实现序列攻击事件检测的入侵检测方法 | |
US10764325B2 (en) | Method for adjusting mining difficulty of a cryptocurrency blockchain system by monitoring malicious forks and implementing a miners blockchain | |
US11003767B2 (en) | Multi-layer data model for security analytics | |
CN109951477B (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
Prabakar et al. | An efficient technique for preventing SQL injection attack using pattern matching algorithm | |
CN110197085B (zh) | 一种基于fabric联盟链的文档防篡改方法 | |
CN103226675B (zh) | 一种分析入侵行为的溯源系统及方法 | |
CN104408163B (zh) | 一种数据分级存储方法和装置 | |
CN105337985A (zh) | 一种攻击检测方法及系统 | |
CN112000730B (zh) | 基于区块链的溯源信息写入、溯源信息验证的方法、系统 | |
US20200145455A1 (en) | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time | |
CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
CN104871171A (zh) | 分布式模式发现 | |
CN107609027A (zh) | 设置文件防删除标志位和防止误删除文件的方法及装置 | |
CN104239353B (zh) | 一种web分类控制和日志审计的方法 | |
CN102253948B (zh) | 在多源信息系统中搜索信息的方法和装置 | |
CN104901962A (zh) | 一种网页攻击数据的检测方法及装置 | |
CN104113525A (zh) | 一种防御资源消耗型Web攻击方法及装置 | |
CN101030897B (zh) | 一种入侵检测中模式匹配的方法 | |
Doroudian et al. | Multilayered database intrusion detection system for detecting malicious behaviors in big data transaction | |
CN107360190A (zh) | 基于序列模式识别的木马通信行为检测方法 | |
CN106845237A (zh) | 一种基于sql语句的sql注入风险评估方法 | |
JP2006025434A5 (zh) | ||
CN112016934B (zh) | 用于检测异常数据的方法、设备和计算机可读存储介质 | |
CN108959468A (zh) | 一种数据库目录的监控方法、存储介质和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130515 Termination date: 20180531 |
|
CF01 | Termination of patent right due to non-payment of annual fee |