CN102594783A - 一种网络安全应急响应方法 - Google Patents
一种网络安全应急响应方法 Download PDFInfo
- Publication number
- CN102594783A CN102594783A CN2011100084817A CN201110008481A CN102594783A CN 102594783 A CN102594783 A CN 102594783A CN 2011100084817 A CN2011100084817 A CN 2011100084817A CN 201110008481 A CN201110008481 A CN 201110008481A CN 102594783 A CN102594783 A CN 102594783A
- Authority
- CN
- China
- Prior art keywords
- strategy
- attribute
- probe
- security
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种网络安全应急响应方法,属于网络技术领域。本方法为:1)服务器端建立一网络安全应急策略库,并设置该策略库中每一策略的属性;2)将网络探针从待检测网络环境中探测的安全事件报告上报到服务器;3)服务器提取当前安全事件报告的事件类型和事件属性信息;4)服务器根据事件类型查找匹配类型的策略,如果匹配类型的策略为通用策略,则将该策略添加到可选策略列表中;否则,将该策略的安全属性中的每一属性与事件属性进行匹配,如果每一属性均与事件属性中的某一属性匹配,则将该策略添加到可选策略列表中,否则放弃该策略;5)服务器返回当前安全事件的可选策略列表给用户。本发明推荐的策略准确,而且越来越最优化。
Description
技术领域
本发明主要涉及大规模网络环境中的恶意代码应急响应工作,尤其涉及一种网络安全应急响应方法,属于网络技术领域。
背景技术
随着计算机技术的飞速发展,网络应用已经在全球范围内得到了十分肯定的认可,其飞速发展的破竹之势不可阻挡。与此同时,网络的安全情况令人堪忧。当务之急是如何保证个人资料不被窃取,重要数据不被破坏、网络服务不被中断。所以,网络安全问题直接关系到计算机网络的进一步应用与发展。这样,针对特定安全事件的应急响应显得尤为重要。
应急响应关键技术包括:入侵检测,事件诊断,攻击源的隔离与快速恢复。近年来,防火墙与入侵监测系统联动的技术得到了广泛的关注,其根本目的就是达到在入侵检测系统检测到入侵事件时能更快速地隔离攻击源的目的,这样才能使得大规模网络幸免于难。但是此项技术中事件诊断环节还不能达到人性化地处置某些事件,直接导致由于某个IP出现疑似恶意动作就导致防火墙切断该IP所有访问网络权限的错误情况。误报与漏报的权衡协调以及对网络情况全面分析的困难性导致联动体系的效果大多不尽人意。因此,能够更精确、更人性化地诊断恶意安全事件、更专业地隔离攻击源与恢复系统成为网络事件应急响应的研究热点。
发明内容
针对上述问题,本发明的目的在于提供一种网络安全应急响应方法,利用这样的方法,检测系统在将网络安全事件上报后,通过该事件的抽象属性就可以被判断为相应的类型并从较为全面的策略库中选择对应的应急响应策略,事件将会及时地被相关处置人员查看并处置,处置完成后,由处置人员对系统做出结果报告及使用策略的评价,此评价将直接影响到以后的所有策略选择,使得较为有效的策略被更优先地推荐。
本发明的技术方案为:
一种网络安全应急响应方法,其步骤为:
1)服务器端建立一网络安全应急策略库,并设置该策略库中每一策略的属性;其中策略属性包括:针对某类型安全事件的策略类型、是否为某类型安全事件的通用策略、针对某类型安全事件的安全属性;
2)将网络探针从待检测网络环境中探测的安全事件报告上报到服务器;
3)服务器提取当前安全事件报告的事件类型和事件属性信息;
4)服务器根据事件类型查找匹配类型的策略,如果匹配类型的策略为通用策略,则将该策略添加到可选策略列表中;如果不是通用策略,则将该策略的安全属性中的每一属性与事件属性进行匹配,如果每一属性均与事件属性中的某一属性匹配,则将该策略添加到可选策略列表中,否则放弃该策略;
5)服务器返回当前安全事件的可选策略列表给用户。
进一步的,所述网络探针包括:木马通讯监控探针、病毒传播监控探针、Ids探针、桌面主动防御软件;所述策略类型包括木马应急策略、病毒传播应急策略、Ids应急策略、桌面主动防御应急策略;所述安全事件报告的事件类型包括:木马安全事件报告、病毒传播安全事件报告、Ids安全事件报告、桌面主动防御安全事件报告。
进一步的,所述木马应急策略的安全属性包括:木马的名称、木马行为;所述病毒传播应急策略的安全属性包括:安全事件病毒名称;所述Ids应急策略的安全属性包括:Ids报警类型、Ids报警名称、Ids报警事件所属服务、Ids报警事件CVE编号;所述桌面主动防御应急策略的安全属性包括:针对对象类型。
进一步的,所述木马安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、木马探针报警类型、木马探针报警子类型、等级、木马探针报警规则id、木马探针报警规则名称、木马探针报警行为类型名称、木马探针报警网络协议。
进一步的,所述病毒传播安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、病毒探针报警说明、病毒探针报警病毒名称、病毒探针报警中应用协议类型。
进一步的,所述Ids安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、发送报警的设备ip地址、Ids报警事件类型、Ids报警事件名称、Ids报警事件所属服务、Ids报警事件CVE编号、Ids报警事件的应用协议类型。
进一步的,所述桌面主动防御安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、桌面防御报警模块/文件/注册表路径、桌面防御报警模块/文件/注册表名称、桌面防御报警事件在模块/文件/注册表关键区域中执行的动作、针对对象类型。
进一步的,用户根据返回的所述可选策略列表,选取策略处理当前安全事件后,填写并返回一反馈记录表给所述服务器;所述服务器根据反馈记录表对相应策略进行评分。
进一步的,所述服务器根据策略评分对所述可选策略列表中的策略进行排序。
本发明包括:至少一套网络探针,一台网络服务器,一款浏览器,一个应急策略库,一个应急响应资源库,共同组成了一个网络安全应急响应支撑系统。网络探针的主要功能是检测网络中的异常事件并上报到本系统,本系统中使用了四个探针分别是:木马通讯监控探针、病毒传播监控探针、IDS探针和桌面主动防御软件;网络服务器的主要功能是提供网络探针上报事件的接口,用户查询事件接口,快速决策最佳策略功能,用户处理后提供反馈接口以及资源管理功能;浏览器用来提供用户交互的图形化界面;策略库的主要功能是提供丰富、全面、专业的应急策略。在这个应急响应模式下,整个应急响应处置过程包括如下步骤:
1)网络探针检测网络中的异常事件,上报到本系统。本系统中接收来自四个探针的恶意安全事件报告,即:将从待检测网络环境中探测的安全事件报告上报到系统(服务器),包括:木马通讯监控探针、病毒传播监控探针、IDS探针和桌面主动防御软件。以上探针事先部署在待检测网络环境中的主机或者路由器上。这些安全事件报告中除了时间、源(目的)MAC和IP地址这些常规的属性以外,不同来源的包还可能包括特定的属性,如木马通讯监控探针会上报木马的行为阶段,如木马上线、木马活动,而病毒传播监控探针则会上报例如病毒名称这样的属性。
2)网络服务器承载着本系统的核心内容,包括本发明的策略决策算法(详见“具体实施方式”部分)以及人员和资源库的管理等。每当网络探针向本系统发送恶意安全事件报告时,系统解析这些报告,使之成为一组属性键值对,包括属性名称和属性值。不同探针的报告,其形成的属性键值对也不同,详细内容如表1,表2,表3,表4所示。这些属性会作为选择策略的重要依据。其中策略来自于策略库,策略库是本系统中很重要的一个数据库,其中存储着应对不同网络安全事件的策略。
3)用户在浏览器端访问服务器可以查看并按照策略提示进行及时而适当的安全事件处置。
4)用户完成事件处置后,将事件处置结果通过在浏览器端填表的形式提交到服务器,并对策略及相应资源做反馈评价。事件处置结果是为了记录本次事件的处置情况,是成功还是失败或者遇到了什么问题等。反馈评价的内容及其重要,是否及时正确地填写影响到该策略在以后的使用过程中是否会被推荐。
除了应急响应过程,本系统还提供了对应急响应资源以及应急响应人员的管理功能,这个功能是应急响应过程必不可少的支撑。
与现有技术相比,本发明的优点在于:
本发明使用了专家级的应急响应策略库,对各个安全事件定义典型的属性,由于这些属性是安全事件的绝对特征代表,所以以此为选择策略的依据可以避免由于对事件诊断不清晰带来的片面性问题,同时本系统通过用户使用后的反馈这种可靠性较强的反馈来源达到学习的目的,使得每一次使用被系统都能够为系统提供一次学习的机会,从而使得系统推荐的策略越来越准确,越来越最优化。
附图说明
图1为网络安全应急响应方法及支撑系统的结构示意图;
图2为应急策略推荐流程图;
图3为应急策略匹配算法流程图。
具体实施方式
如图2所示,本发明的应急策略推荐流程具体实现方法如下:
1)事件基本属性是由系统提取网络探针安全事件报告后生成的一组属性键值对,是诊断该事件的重要依据。具体属性依不同的网络探针而不同,如下表所示:
表1木马通讯监控探针报警事件基本属性
表2病毒传播监控探针报警事件基本属性
| 序号 | 属性 | 属性描述 |
| 1 | time | 安全事件发生时间 |
| 2 | devId | 来源探针的设备ip |
| 3 | srcMac | 源Mac地址 |
| 4 | dstMac | 目的Mac地址 |
| 5 | srcIp | 源ip地址 |
| 6 | dstIp | 目的ip地址 |
| 7 | srcPort | 源端口 |
| 8 | dstPort | 目的端口 |
| 9 | subject | 病毒探针报警说明 |
| 10 | virName | 病毒探针报警病毒/木马/蠕虫名称 |
| 11 | appProtocol | 病毒探针报警中应用协议类型,包括Http,Email,Ftp,Imap |
表3 IDS探针报警事件基本属性
| 序号 | 属性 | 属性描述 |
| 1 | time | 安全事件发生时间 |
| 2 | devId | 来源探针的设备ip |
| 3 | srcMac | 源Mac地址 |
| 4 | dstMac | 目的Mac地址 |
| 5 | srcIp | 源ip地址 |
| 6 | dstIp | 目的ip地址 |
| 7 | srcPort | 源端口 |
| 8 | dstPort | 目的端口 |
| 9 | devIp | 发送报警的设备ip地址 |
| 10 | idsAlertName | Ids报警事件名称 |
| 11 | idsAlertType | Ids报警事件类型 |
| 12 | service | Ids报警事件所属服务 |
| 13 | cve | Ids报警事件的CVE编号 |
| 14 | idsProtocol | Ids报警事件的应用协议类型 |
表4桌面主动防御软件警事件基本属性
| 序号 | 属性 | 属性描述 |
| 15 | time | 安全事件发生时间 |
| 16 | devId | 来源探针的设备ip |
| 17 | visiteeObject | 桌面防御报警模块/文件/注册表路径 |
| 18 | visitorProcess | 桌面防御报警模块/文件/注册表名称 |
| 19 | access | 桌面防御报警事件在模块/文件/注册表关键区域中执行的动作 |
| 20 | objectType | 针对对象类型,为:文件、模块和注册表之一 |
策略来自于本系统中的策略库,依据四种探针来源,首先分为四种类型:针对木马的应急策略,针对病毒传播的应急策略,针对IDS报警的应急策略和针对桌面防御报警的应急策略;其次,在四种类型的基础上又分为通用策略和非通用策略,某种类型的通用策略即在处理该类型的事件时有通用性,也就是说只要被处理事件的类型与该通用策略的类型一致,那么在匹配该类型安全事件时通用策略就会匹配成功;最后,为了精确地与安全事件属性进行匹配,策略将被人工抽象出与安全事件属性相同的属性键值对,没有该项属性的键值对中的值为空。策略的各个属性,如表5所示。
表5策略抽象属性
2)图2是应急响应策略推荐流程,该流程根据当前上报安全事件的属性与应急策略的属性以及用户对该策略的历史评价等级向用户推荐最佳策略。由于针对一种类型(如,针对木马)的策略无法正确处理针对另一类型的安全事件(如,IDS报警),所以首先判断事件与策略是否属于同一类型,如果不是同一类型则不匹配,结束;如果是同一类型,则进一步判断该策略是否为通用,如果通用直接将该策略添加到可选策略列表;如果不通用则将该策略的安全属性中的与事件类型相关的每一属性(见表5“所属类型”一列)与事件属性进行匹配,即根据策略针对类型选择判断表5中的属性3到10,如图3所示,如果与事件类型相关的每一属性均与事件属性中的对应属性匹配,则将该策略添加到可选策略列表中,否则放弃该策略。以此流程检查策略库中的所有策略,得到可选策略列表。根据策略可选列表中策略的历史评价等级,向用户推荐评价等级最高的策略。为了准确地的匹配到策略结果,本系统对于安全事件的基本属性赋予不同的重要性:
a)对于时间、MAC地址等没有标识性的属性,本系统不做策略选择参考,即匹配时权值为0,但是这些信息会提供给用户查看,以便做管理审计等相关工作;
b)对于一些具有提示性却可自动匹配性不强的信息如表6所示,本平台建议用户查看事件详细信息,在系统刚开始使用、还没有其他用户评价的情况下做选择参考;
表6供用户作参考的属性
c)对于其中的一部分属性,如表5中3到10所示,本系统认为其非常重要,除d中所述情况,本系统将根据不同的类型对上述属性进行全字符串匹配。
d)策略“通用性”属性的重要性等级最高,一旦该策略为某类型的通用性策略,则认为该策略对所有某类型的事件匹配。
有了以上不同重要等级的区别,针对某个安全事件本系统提供最佳推荐策略,同时也提供可选策略列表给用户一定的选择余地,使得用户有更多信息做出人性化的选择。
3)反馈评价环节,本系统依照需求为用户提供一张反馈记录表,该表包括了:
a)策略描述详细度;
b)针对性(能否较好地针对该事件);
c)有效性(能否正确处置该事件);
d)解决问题效率性(能否快速处置该事件);
e)整体满意度;
f)总体评价(可推荐优点或存在问题);
g)工具使用情况(包括:工具的可操作性,有效性,界面友好性,工具评价)。
对策略的评价中第一到第五项将以相同的权值贡献于该策略的总体分数等级,分数等级越高的策略将会被更优先地推荐。反馈使用信息是本系统用户的义务。只有用户正确、及时地反馈使用信息,本系统才能根据历史记录评价等级在用户需要时选择出最优的策略,以后的用户才能方便地了解到使用该策略的经验和可能遇到的问题。
除了策略选择以外,平台提供完善的资源管理维护功能。清晰地划分管理员和用户的角色及访问系统权限,不同的用户有不同的职责。用户角色参与安全事件应急处理的全过程,而管理员的职责在于管理应急人员和应急资源。在策略、工具日益丰富、完善的情况下,保证策略库和资源库能一如既往地有条理和效率。同时系统提供对应急响应专业人员的管理,集中分配应急响应专业人员,便于掌控全局情况更合理地分配人员达到快速响应的目的。
Claims (9)
1.一种网络安全应急响应方法,其步骤为:
1)服务器端建立一网络安全应急策略库,并设置该策略库中每一策略的属性;其中策略属性包括:针对某类型安全事件的策略类型、是否为某类型安全事件的通用策略、针对某类型安全事件的安全属性;
2)将网络探针从待检测网络环境中探测的安全事件报告上报到服务器;
3)服务器提取当前安全事件报告的事件类型和事件属性信息;
4)服务器根据事件类型查找匹配类型的策略,如果匹配类型的策略为通用策略,则将该策略添加到可选策略列表中;如果不是通用策略,则将该策略的安全属性中的每一属性与事件属性进行匹配,如果每一属性均与事件属性中的某一属性匹配,则将该策略添加到可选策略列表中,否则放弃该策略;
5)服务器返回当前安全事件的可选策略列表给用户。
2.如权利要求1所述的方法,其特征在于所述网络探针包括:木马通讯监控探针、病毒传播监控探针、Ids探针、桌面主动防御软件;所述策略类型包括木马应急策略、病毒传播应急策略、Ids应急策略、桌面主动防御应急策略;所述安全事件报告的事件类型包括:木马安全事件报告、病毒传播安全事件报告、Ids安全事件报告、桌面主动防御安全事件报告。
3.如权利要求2所述的方法,其特征在于所述木马应急策略的安全属性包括:木马的名称、木马行为;所述病毒传播应急策略的安全属性包括:安全事件病毒名称;所述Ids应急策略的安全属性包括:Ids报警类型、Ids报警名称、Ids报警事件所属服务、Ids报警事件CVE编号;所述桌面主动防御应急策略的安全属性包括:针对对象类型。
4.如权利要求3所述的方法,其特征在于所述木马安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、木马探针报警类型、木马探针报警子类型、等级、木马探针报警规则id、木马探针报警规则名称、木马探针报警行为类型名称、木马探针报警网络协议。
5.如权利要求3所述的方法,其特征在于所述病毒传播安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、病毒探针报警说明、病毒探针报警病毒名称、病毒探针报警中应用协议类型。
6.如权利要求3所述的方法,其特征在于所述Ids安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、发送报警的设备ip地址、Ids报警事件类型、Ids报警事件名称、Ids报警事件所属服务、Ids报警事件CVE编号、Ids报警事件的应用协议类型。
7.如权利要求3所述的方法,其特征在于所述桌面主动防御安全事件报告的属性包括:安全事件发生时间、来源探针的设备ip、桌面防御报警模块/文件/注册表路径、桌面防御报警模块/文件/注册表名称、桌面防御报警事件在模块/文件/注册表关键区域中执行的动作、针对对象类型。
8.如权利要求1或2或3所述的方法,其特征在于用户根据返回的所述可选策略列表,选取策略处理当前安全事件后,填写并返回一反馈记录表给所述服务器;所述服务器根据反馈记录表对相应策略进行评分。
9.如权利要求8所述的方法,其特征在于所述服务器根据策略评分对所述可选策略列表中的策略进行排序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008481.7A CN102594783B (zh) | 2011-01-14 | 2011-01-14 | 一种网络安全应急响应方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008481.7A CN102594783B (zh) | 2011-01-14 | 2011-01-14 | 一种网络安全应急响应方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102594783A true CN102594783A (zh) | 2012-07-18 |
| CN102594783B CN102594783B (zh) | 2014-10-22 |
Family
ID=46482991
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110008481.7A Active CN102594783B (zh) | 2011-01-14 | 2011-01-14 | 一种网络安全应急响应方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102594783B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717096A (zh) * | 2015-03-31 | 2015-06-17 | 杭州华三通信技术有限公司 | 一种事件处理方法和装置 |
| CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN107483448A (zh) * | 2017-08-24 | 2017-12-15 | 中国科学院信息工程研究所 | 一种网络安全检测方法及检测系统 |
| CN107733914A (zh) * | 2017-11-04 | 2018-02-23 | 公安部第三研究所 | 面向异构安全机制的集中管控系统 |
| CN108173878A (zh) * | 2018-02-02 | 2018-06-15 | 北京杰思安全科技有限公司 | 终端检测响应系统及方法 |
| CN108989336A (zh) * | 2018-08-19 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种用于网络安全事件的应急处置系统及应急处置方法 |
| CN109194501A (zh) * | 2018-08-09 | 2019-01-11 | 广东电网有限责任公司信息中心 | 智能自动化的内网应用系统应急响应处置的方法 |
| CN109472142A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种恶意代码自动处置方法及系统 |
| CN109525597A (zh) * | 2018-12-26 | 2019-03-26 | 安徽网华信息科技有限公司 | 一种可远程协助操作的网络安全应急处置系统 |
| CN110309959A (zh) * | 2019-06-19 | 2019-10-08 | 广州市高速公路有限公司营运分公司 | 一种突发事件处理方法、系统和存储介质 |
| CN110324308A (zh) * | 2019-05-17 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络安全应急处置系统 |
| CN111835790A (zh) * | 2015-11-09 | 2020-10-27 | 创新先进技术有限公司 | 一种风险识别方法、装置及系统 |
| CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
| CN112422484A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
| CN112487419A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种计算机网络信息安全事件处理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655526A (zh) * | 2004-02-11 | 2005-08-17 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成系统 |
| US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
-
2011
- 2011-01-14 CN CN201110008481.7A patent/CN102594783B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655526A (zh) * | 2004-02-11 | 2005-08-17 | 上海三零卫士信息安全有限公司 | 计算机网络应急响应之安全策略生成系统 |
| US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717096A (zh) * | 2015-03-31 | 2015-06-17 | 杭州华三通信技术有限公司 | 一种事件处理方法和装置 |
| CN111835790B (zh) * | 2015-11-09 | 2022-12-09 | 创新先进技术有限公司 | 一种风险识别方法、装置及系统 |
| CN111835790A (zh) * | 2015-11-09 | 2020-10-27 | 创新先进技术有限公司 | 一种风险识别方法、装置及系统 |
| CN107483448A (zh) * | 2017-08-24 | 2017-12-15 | 中国科学院信息工程研究所 | 一种网络安全检测方法及检测系统 |
| CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN107483472B (zh) * | 2017-09-05 | 2020-12-08 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN107733914A (zh) * | 2017-11-04 | 2018-02-23 | 公安部第三研究所 | 面向异构安全机制的集中管控系统 |
| CN107733914B (zh) * | 2017-11-04 | 2020-11-10 | 公安部第三研究所 | 面向异构安全机制的集中管控系统 |
| CN109472142A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种恶意代码自动处置方法及系统 |
| CN108173878A (zh) * | 2018-02-02 | 2018-06-15 | 北京杰思安全科技有限公司 | 终端检测响应系统及方法 |
| CN109194501A (zh) * | 2018-08-09 | 2019-01-11 | 广东电网有限责任公司信息中心 | 智能自动化的内网应用系统应急响应处置的方法 |
| CN108989336A (zh) * | 2018-08-19 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种用于网络安全事件的应急处置系统及应急处置方法 |
| CN108989336B (zh) * | 2018-08-19 | 2021-09-28 | 杭州安恒信息技术股份有限公司 | 一种用于网络安全事件的应急处置系统及应急处置方法 |
| CN109525597A (zh) * | 2018-12-26 | 2019-03-26 | 安徽网华信息科技有限公司 | 一种可远程协助操作的网络安全应急处置系统 |
| CN110324308A (zh) * | 2019-05-17 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络安全应急处置系统 |
| CN110309959A (zh) * | 2019-06-19 | 2019-10-08 | 广州市高速公路有限公司营运分公司 | 一种突发事件处理方法、系统和存储介质 |
| CN112422484A (zh) * | 2019-08-23 | 2021-02-26 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
| CN112422484B (zh) * | 2019-08-23 | 2023-03-17 | 华为技术有限公司 | 确定用于处理安全事件的剧本的方法、装置及存储介质 |
| CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
| CN112487419A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种计算机网络信息安全事件处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102594783B (zh) | 2014-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102594783B (zh) | 一种网络安全应急响应方法 | |
| Cook et al. | The industrial control system cyber defence triage process | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| CN112039862B (zh) | 一种面向多维立体网络的安全事件预警方法 | |
| CN1705938A (zh) | 信息基础结构的综合攻击事故应对系统及其运营方法 | |
| CN104539626A (zh) | 一种基于多源报警日志的网络攻击场景生成方法 | |
| CN106209759A (zh) | 检测驻留在网络上的可疑文件 | |
| CN105812200A (zh) | 异常行为检测方法及装置 | |
| Qu et al. | A network security situation evaluation method based on DS evidence theory | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
| Coppolino et al. | Enhancing SIEM technology to protect critical infrastructures | |
| CN105867347A (zh) | 一种基于机器学习技术的跨空间级联故障检测方法 | |
| CN116861446A (zh) | 一种数据安全的评估方法及系统 | |
| Zahid et al. | Security risks in cyber physical systems—A systematic mapping study | |
| CN116016198A (zh) | 一种工控网络拓扑安全评估方法、装置及计算机设备 | |
| Vimal et al. | Enhance Software-Defined Network Security with IoT for Strengthen the Encryption of Information Access Control | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN109194501A (zh) | 智能自动化的内网应用系统应急响应处置的方法 | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| Abouabdalla et al. | False positive reduction in intrusion detection system: A survey | |
| CN115499840A (zh) | 一种移动互联网用安全评估系统及方法 | |
| AlHidaifi et al. | A Survey on Cyber Resilience: Key Strategies, Research Challenges, and Future Directions | |
| CN114338088A (zh) | 变电站电力监控系统网络安全等级的评估算法及评估系统 | |
| Sharma et al. | Study and Analysis of Threat Assessment Model and Methodology in Real-Time Informational Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |