CN104753946A - 一种基于网络流量元数据的安全分析框架 - Google Patents

一种基于网络流量元数据的安全分析框架 Download PDF

Info

Publication number
CN104753946A
CN104753946A CN201510150665.5A CN201510150665A CN104753946A CN 104753946 A CN104753946 A CN 104753946A CN 201510150665 A CN201510150665 A CN 201510150665A CN 104753946 A CN104753946 A CN 104753946A
Authority
CN
China
Prior art keywords
network
data
analysis
attack
security
Prior art date
Application number
CN201510150665.5A
Other languages
English (en)
Inventor
李清玉
颜斌
Original Assignee
浪潮电子信息产业股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 浪潮电子信息产业股份有限公司 filed Critical 浪潮电子信息产业股份有限公司
Priority to CN201510150665.5A priority Critical patent/CN104753946A/zh
Publication of CN104753946A publication Critical patent/CN104753946A/zh

Links

Abstract

本发明公开了一种基于网络流量元数据的安全分析框架,该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。本发明通过采集网络流量并提取流量元数据,采用大数据技术检测网络流量中存在的疑似恶意攻击,可提高恶意攻击检测的准确性和应急响应时间,有效的保障了IT环境的安全性;既能为网络大数据的深入安全分析提供理论依据和指导方法,又能为恶意未知攻击检测、攻击溯源和取证分析、网络安全态势感知等方面带来重要价值。

Description

一种基于网络流量元数据的安全分析框架
技术领域
[0001] 本发明涉及计算机网络信息安全技术领域,具体地说是一种基于网络流量元数据的安全分析框架。
背景技术
[0002] 随着网络通信技术的迅速发展、互联网应用的持续深化、所承载信息的日益丰富,互联网已经成为人类社会重要的基础设施。但网络中配置错误,DDoS攻击、蠕虫爆发、高级持续性威胁等定向攻击时有发生,互联网面临着严峻的安全挑战。
[0003] 异常检测因为能检测未知攻击而被学术界和工业界人士所重视,研宄者提出了大量异常检测方法和系统,但是网络带宽的持续增长和网络攻防博弈的持续进行,网络本身处于动态演化的过程,网络攻击手段和方法也在不断演化,导致异常检测在检测精度、运行效率、安全性和易用性方面面临着严峻挑战。
[0004] 随着高级持续性威胁APT成为当前信息安全业界的热点,由于APT所特有的攻击行为特征以及与传统网络攻击方式存在显著区别而使得传统基于特征签名的入侵检测不能有效检测和防御诸如APT的未知定向攻击。同样,APT攻击对传统检测技术提出了巨大挑战。
[0005] 总之,面对APT等未知定向攻击的挑战,当前网络安全防御体系存在以下局限性:网络攻击的检测方法大部分基础已知的知识和特征,缺乏对未知威胁的感知能力;网络攻击的检测点滞后,通常都是在攻击已经发生才能有效检测到威胁;网络攻击的检测模式普遍是基于实时时间点,缺乏对各类安全事件的智能化回溯和关联分析能力。
[0006] 大数据时代的到来,为检测和防御如APT的未知攻击提出了新的思路和方法。大数据对安全领域研宄人员的重要价值是通过对海量数据的捕获和异常分析,来快速持续了解攻击者的最新动态,掌握大范围安全态势感知的能力,并可随时利用这些数据回溯重大安全事件的历史脉络,快速评估并给出整个网络的各处安全薄弱点。基于此,提出基于网络流量元数据的安全分析框架。
发明内容
[0007] 本发明的技术任务是提供一种基于网络流量元数据的安全分析框架。
[0008] 本发明的技术任务是按以下方式实现的,该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。
[0009] 所述的数据层包括数据获取、数据预处理和数据存储三个部分,其中数据获取通过网络流量方式、应用程序接口 API方式、非API方式、SNMP及其他方式获取数据,从DNS、HTTP、FTP、SMTP协议中分析并提取与网络、人员、应用、会话、位置、操作、时间相关的元数据;数据预处理包括数据清洗、泛化、打标和关联,为后续存储和分析提供规范化保障;数据存储通过关系型数据库或者非关系型数据库存储多类型数据。
[0010] 所述的分析层通过五个维度对网络元数据进行安全分析:
恶意未知攻击检测:采用全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别、应用层对象还原攻击场景检测和重建技术,基于网络元数据,检测网络流量中疑似恶意未知攻击;
异常流量分析:根据网络流量模型,发现当前网络环境中是否存在异常流量;分析定位异常流量的根源、类型及具体的主机位置;利用现有资源和网络安全策略,及时实现对异常流量的管理和控制,消除异常流量对网络和业务正常运转的影响;
安全事件分析:根据安全事件之间的关联性,利用关联分析和聚类分析技术,分析各个安全事件之间以及安全事件与运行环境之间的有效关联,将原来相对孤立的网络安全事件数据进行处理,通过过滤、聚合,去伪存真,发现隐藏在这些数据之后的事件之间的真实联系;
攻击溯源和取证分析:通过包标记、网络日志技术追踪溯源攻击主机、攻击控制主机、攻击者和攻击组织机构,同时利用数据采集技术把所有与攻击相关的证据进行收集整理并安全存储,作为取证分析的数据源,进行海量网络元数据的取证分析,挖掘攻击的行为模式、评估影响和损失,为打击攻击提供证据数据;
网络安全态势感知分析:从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测;结合多源异构日志数据包括网络与安全设备日志、网络运行情况信息、业务与应用的日志记录,利用支撑层中的资源库,实现对网络安全态势感知分析,获得当前网络安全的整体状况,为预测和判断风险发展趋势提供指导。
[0011] 所述的支撑层由技术支撑、核心算法支撑、资源支撑和模型支撑四部分组成;
技术支撑:包括机器学习、分布式并行处理、数据挖掘、流量识别、深度网络报文检测技术、可疑间歇性木马心跳连接识别技术、敏感数据回传通道识别技术、网络攻击追踪溯源技术以及可视化技术,这些支撑技术为整个框架提供技术保障;
核心算法支撑:包括网络安全分析所需的算法,如异常流量识别算法、恶意未知攻击检测算法、网络取证分析算法、风险评估算法;
资源支撑:包括为支持网络安全分析所需要的资源库,如资产库、病毒/木马库、黑白名单、与网络和应用相关的资源特征库、漏洞库、内部和外部安全威胁情报库;
模型支撑:对分析对象,如恶意未知攻击、用户行为、异常通信模式提供模型库,根据网络元数据经过特征提取,构建相应的模型。
[0012] 所述的展示层直接面对用户,作为技术与应用之间的桥梁,与分析层互相映射,包括恶意未知攻击展示、异常流量展示、安全事件展示、攻击溯源和取证展示、网络安全态势展示,将分析结果进行展示。
[0013] 本发明的一种基于网络流量元数据的安全分析框架和现有技术相比,通过采集网络流量并提取流量元数据,采用大数据技术检测网络流量中存在的疑似恶意攻击,可提高恶意攻击检测的准确性和应急响应时间,有效的保障了 IT环境的安全性;既能为网络大数据的深入安全分析提供理论依据和指导方法,又能为恶意未知攻击检测、攻击溯源和取证分析、网络安全态势感知等方面带来重要价值。
附图说明
[0014] 附图1为一种基于网络流量元数据的安全分析框架的组成示意图。
具体实施方式
[0015] 实施例1:
该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。
[0016] 所述的数据层包括数据获取、数据预处理和数据存储三个部分,其中数据获取通过网络流量方式、应用程序接口 API方式、非API方式、SNMP及其他方式获取数据,从DNS、HTTP、FTP、SMTP协议中分析并提取与网络、人员、应用、会话、位置、操作、时间相关的元数据;数据预处理包括数据清洗、泛化、打标和关联,为后续存储和分析提供规范化保障;数据存储通过关系型数据库或者非关系型数据库存储多类型数据。
[0017] 所述的分析层通过五个维度对网络元数据进行安全分析:
恶意未知攻击检测:采用全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别、应用层对象还原攻击场景检测和重建技术,基于网络元数据,检测网络流量中疑似恶意未知攻击;
异常流量分析:根据网络流量模型,发现当前网络环境中是否存在异常流量;分析定位异常流量的根源、类型及具体的主机位置;利用现有资源和网络安全策略,及时实现对异常流量的管理和控制,消除异常流量对网络和业务正常运转的影响;
安全事件分析:根据安全事件之间的关联性,利用关联分析和聚类分析技术,分析各个安全事件之间以及安全事件与运行环境之间的有效关联,将原来相对孤立的网络安全事件数据进行处理,通过过滤、聚合,去伪存真,发现隐藏在这些数据之后的事件之间的真实联系;
攻击溯源和取证分析:通过包标记、网络日志技术追踪溯源攻击主机、攻击控制主机、攻击者和攻击组织机构,同时利用数据采集技术把所有与攻击相关的证据进行收集整理并安全存储,作为取证分析的数据源,进行海量网络元数据的取证分析,挖掘攻击的行为模式、评估影响和损失,为打击攻击提供证据数据;
网络安全态势感知分析:从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测;结合多源异构日志数据包括网络与安全设备日志、网络运行情况信息、业务与应用的日志记录,利用支撑层中的资源库,实现对网络安全态势感知分析,获得当前网络安全的整体状况,为预测和判断风险发展趋势提供指导。
[0018] 所述的支撑层由技术支撑、核心算法支撑、资源支撑和模型支撑四部分组成;
技术支撑:包括机器学习、分布式并行处理、数据挖掘、流量识别、深度网络报文检测技术、可疑间歇性木马心跳连接识别技术、敏感数据回传通道识别技术、网络攻击追踪溯源技术以及可视化技术,这些支撑技术为整个框架提供技术保障;
核心算法支撑:包括网络安全分析所需的算法,如异常流量识别算法、恶意未知攻击检测算法、网络取证分析算法、风险评估算法;
资源支撑:包括为支持网络安全分析所需要的资源库,如资产库、病毒/木马库、黑白名单、与网络和应用相关的资源特征库、漏洞库、内部和外部安全威胁情报库;
模型支撑:对分析对象,如恶意未知攻击、用户行为、异常通信模式提供模型库,根据网络元数据经过特征提取,构建相应的模型。
[0019] 所述的展示层直接面对用户,作为技术与应用之间的桥梁,与分析层互相映射,包括恶意未知攻击展示、异常流量展示、安全事件展示、攻击溯源和取证展示、网络安全态势展示,将分析结果进行展示。
[0020] 实施例2:
以通过HTTP流量检测恶意未知攻击为例说明一种基于网络流量元数据的安全分析框架,包括:
数据层:包括数据获取、数据预处理和数据存储三个部分;利用网络流量技术(NetFlow, sFlow)获取HTTP GET、POST和服务器返回类型的元数据,分别为:
a) HTTP GET元数据:包括时间戳、域名、URL(去除域名)、Referer、用户IP、用户端口、服务器IP、服务器端口、User-Agent ;
b) HTTP POST元数据:包括时间戳、域名、URL (去除域名)、发送类型、发送字节、Referer、用户IP、用户端口、服务器IP、服务器端口、User-Agent ;
c)服务器返回类型:包括时间戳、HTTP状态代码、文件类型、文件大小、服务器IP、月艮务器端口、用户IP、用户端口 ;
对于解析获得的海量HTTP流量元数据,定期导入到Hadoop平台的HDFS文件系统上进行存储,通过泛化后,使用Apache Hive进行初次挖掘得到数量级显著降低的安全关联数据。
[0021] 分析层:对获得的海量HTTP流量元数据进行恶意未知攻击检测。利用获取的HTTP流量元数据,通过对APT攻击各阶段的典型行为进行建模分析,基于未知木马命令控制通道识别技术、敏感数据回传通道识别技术、可疑间歇性木马心跳连接识别技术,在支撑层中关键技术、核心算法、辅助资源库(黑白名单、漏洞库、病毒/木马库、威胁情报)等帮助下,在不进行特征匹配的前提下,识别潜在的、疑似的APT攻击行为。
[0022] 支撑层:为检测和识别恶意未知攻击如APT提供技术、核心算法、资源和模型等方面的支撑。
[0023] 展示层:基于网络流量元数据的多维数据立方体分析与展示技术,通过网络拓扑图,以时间为主线展示恶意未知攻击在网络内的活动情况,并动态高亮展现被攻击对象,并可通过被攻击对象对攻击进行溯源,定位攻击入口。
[0024] 通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的几种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。

Claims (5)

1.一种基于网络流量元数据的安全分析框架,其特征在于,该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。
2.根据权利要求1所述的一种基于网络流量元数据的安全分析框架,其特征在于,所述的数据层包括数据获取、数据预处理和数据存储三个部分,其中数据获取通过网络流量方式、应用程序接口 API方式、非API方式、SNMP及其他方式获取数据,从DNS、HTTP、FTP、SMTP协议中分析并提取与网络、人员、应用、会话、位置、操作、时间相关的元数据;数据预处理包括数据清洗、泛化、打标和关联,为后续存储和分析提供规范化保障;数据存储通过关系型数据库或者非关系型数据库存储多类型数据。
3.根据权利要求1所述的一种基于网络流量元数据的安全分析框架,其特征在于,所述的分析层通过五个维度对网络元数据进行安全分析: 恶意未知攻击检测:采用全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别、应用层对象还原攻击场景检测和重建技术,基于网络元数据,检测网络流量中疑似恶意未知攻击; 异常流量分析:根据网络流量模型,发现当前网络环境中是否存在异常流量;分析定位异常流量的根源、类型及具体的主机位置;利用现有资源和网络安全策略,及时实现对异常流量的管理和控制,消除异常流量对网络和业务正常运转的影响; 安全事件分析:根据安全事件之间的关联性,利用关联分析和聚类分析技术,分析各个安全事件之间以及安全事件与运行环境之间的有效关联,将原来相对孤立的网络安全事件数据进行处理,通过过滤、聚合,去伪存真,发现隐藏在这些数据之后的事件之间的真实联系; 攻击溯源和取证分析:通过包标记、网络日志技术追踪溯源攻击主机、攻击控制主机、攻击者和攻击组织机构,同时利用数据采集技术把所有与攻击相关的证据进行收集整理并安全存储,作为取证分析的数据源,进行海量网络元数据的取证分析,挖掘攻击的行为模式、评估影响和损失,为打击攻击提供证据数据; 网络安全态势感知分析:从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测;结合多源异构日志数据包括网络与安全设备日志、网络运行情况信息、业务与应用的日志记录,利用支撑层中的资源库,实现对网络安全态势感知分析,获得当前网络安全的整体状况,为预测和判断风险发展趋势提供指导。
4.根据权利要求1所述的一种基于网络流量元数据的安全分析框架,其特征在于,所述的支撑层由技术支撑、核心算法支撑、资源支撑和模型支撑四部分组成; 技术支撑:包括机器学习、分布式并行处理、数据挖掘、流量识别、深度网络报文检测技术、可疑间歇性木马心跳连接识别技术、敏感数据回传通道识别技术、网络攻击追踪溯源技术以及可视化技术,这些支撑技术为整个框架提供技术保障; 核心算法支撑:包括网络安全分析所需的算法,如异常流量识别算法、恶意未知攻击检测算法、网络取证分析算法、风险评估算法; 资源支撑:包括为支持网络安全分析所需要的资源库,如资产库、病毒/木马库、黑白名单、与网络和应用相关的资源特征库、漏洞库、内部和外部安全威胁情报库; 模型支撑:对分析对象,如恶意未知攻击、用户行为、异常通信模式提供模型库,根据网络元数据经过特征提取,构建相应的模型。
5.根据权利要求1所述的一种基于网络流量元数据的安全分析框架,其特征在于,所述的展示层直接面对用户,作为技术与应用之间的桥梁,与分析层互相映射,包括恶意未知攻击展示、异常流量展示、安全事件展示、攻击溯源和取证展示、网络安全态势展示,将分析结果进行展示。
CN201510150665.5A 2015-04-01 2015-04-01 一种基于网络流量元数据的安全分析框架 CN104753946A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510150665.5A CN104753946A (zh) 2015-04-01 2015-04-01 一种基于网络流量元数据的安全分析框架

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510150665.5A CN104753946A (zh) 2015-04-01 2015-04-01 一种基于网络流量元数据的安全分析框架

Publications (1)

Publication Number Publication Date
CN104753946A true CN104753946A (zh) 2015-07-01

Family

ID=53593050

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510150665.5A CN104753946A (zh) 2015-04-01 2015-04-01 一种基于网络流量元数据的安全分析框架

Country Status (1)

Country Link
CN (1) CN104753946A (zh)

Cited By (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105208000A (zh) * 2015-08-21 2015-12-30 深信服网络科技(深圳)有限公司 网络分析攻击回溯的方法及网络安全设备
CN105681298A (zh) * 2016-01-13 2016-06-15 成都安信共创检测技术有限公司 公共信息平台中的数据安全异常监测方法及系统
CN105763530A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种基于web的威胁情报采集系统及方法
CN105847043A (zh) * 2016-03-21 2016-08-10 浪潮通信信息系统有限公司 一种移动用户上网诊断方法
CN106022115A (zh) * 2016-07-20 2016-10-12 浪潮电子信息产业股份有限公司 一种风险程序溯源方法
CN106096406A (zh) * 2016-05-30 2016-11-09 北京启明星辰信息安全技术有限公司 一种安全漏洞回溯分析方法及装置
CN106101088A (zh) * 2016-06-04 2016-11-09 北京兰云科技有限公司 清洗设备、检测设备、路由设备和防范dns攻击的方法
CN106341426A (zh) * 2016-11-11 2017-01-18 中国南方电网有限责任公司 一种防御apt攻击的方法及安全控制器
CN106470118A (zh) * 2015-08-21 2017-03-01 睿石网云(北京)科技有限公司 一种应用系统性能异常检测方法和系统
CN106487594A (zh) * 2016-10-31 2017-03-08 中国人民解放军91655部队 基于微服务组件的网络流量采集和分析系统
CN106656991A (zh) * 2016-10-28 2017-05-10 上海百太信息科技有限公司 一种网络威胁检测系统及检测方法
CN106790193A (zh) * 2016-12-30 2017-05-31 山石网科通信技术有限公司 基于主机网络行为的异常检测方法和装置
CN106790521A (zh) * 2016-12-20 2017-05-31 创新科存储技术(深圳)有限公司 采用基于ftp的节点设备进行分布式组网的系统及方法
CN107092830A (zh) * 2017-06-09 2017-08-25 武汉虹旭信息技术有限责任公司 基于流量分析的ios恶意软件预警和检测系统及其方法
CN107172022A (zh) * 2017-05-03 2017-09-15 成都国腾实业集团有限公司 基于入侵途径的apt威胁检测方法和系统
CN107426159A (zh) * 2017-05-03 2017-12-01 成都国腾实业集团有限公司 基于大数据分析的apt监测防御方法
CN107454089A (zh) * 2017-08-16 2017-12-08 北京科技大学 一种基于多节点关联性的网络安全态势诊断方法
CN107483438A (zh) * 2017-08-15 2017-12-15 山东华诺网络科技有限公司 一种基于大数据的网络安全态势感知预警系统和方法
CN107547526A (zh) * 2017-08-17 2018-01-05 北京奇安信科技有限公司 一种云地结合的数据处理方法及装置
CN107623611A (zh) * 2017-09-22 2018-01-23 国云科技股份有限公司 一种云平台虚拟机的流量监控系统
CN107659543A (zh) * 2016-07-26 2018-02-02 北京计算机技术及应用研究所 面向云平台apt攻击的防护方法
CN107733859A (zh) * 2017-09-03 2018-02-23 中国南方电网有限责任公司 一种基于大数据的网络安全分析系统及其分析方法
CN107948151A (zh) * 2017-11-22 2018-04-20 北京大天信息技术有限公司 一种基于元数据分析的dns防护及防数据泄露的方法
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质
CN108039959A (zh) * 2017-11-29 2018-05-15 深信服科技股份有限公司 一种数据的态势感知方法、系统及相关装置
CN108063753A (zh) * 2017-11-10 2018-05-22 全球能源互联网研究院有限公司 一种信息安全监测方法及系统
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN108229175A (zh) * 2017-12-28 2018-06-29 中国科学院信息工程研究所 一种多维异构取证信息的关联分析系统及方法
CN108696531A (zh) * 2018-06-08 2018-10-23 武汉思普崚技术有限公司 一种安全策略自适应分析与大数据可视化平台系统
CN108712406A (zh) * 2018-05-07 2018-10-26 广东电网有限责任公司 非法数据源追溯方法、装置、用户终端和计算机存储介质
CN108900655A (zh) * 2018-08-08 2018-11-27 北京谷安天下科技有限公司 一种域名存活性识别方法、装置及电子设备
CN108900360A (zh) * 2018-08-10 2018-11-27 哈尔滨工业大学(威海) 一种基于多节点流量回放的网络背景生成系统及方法
CN109450866A (zh) * 2018-10-22 2019-03-08 北京亚鸿世纪科技发展有限公司 一种基于大数据分析的撞库预警方法
CN109495520A (zh) * 2019-01-11 2019-03-19 北京中睿天下信息技术有限公司 一体化网络攻击取证溯源方法、系统、设备及存储介质
CN109714323A (zh) * 2018-12-17 2019-05-03 清创网御(合肥)科技有限公司 一种全网危险感知平台及其工作方法
CN109857924A (zh) * 2019-02-28 2019-06-07 重庆科技学院 一种大数据分析监察信息处理系统及方法
CN109951419A (zh) * 2017-12-20 2019-06-28 广东电网有限责任公司电力调度控制中心 一种基于攻击链攻击规则挖掘的apt入侵检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834847A (zh) * 2010-03-31 2010-09-15 上海电机学院 基于多移动代理和数据挖掘技术的网络入侵防御系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834847A (zh) * 2010-03-31 2010-09-15 上海电机学院 基于多移动代理和数据挖掘技术的网络入侵防御系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
姜开达 等: ""基于网络流量元数据的安全大数据分析"", 《信息网络安全》 *
宋庆峰 等: ""基于全流量大数据分析技术构建电视台总控APT攻击检测系统方法初探"", 《现代电视技术》 *

Cited By (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106470118A (zh) * 2015-08-21 2017-03-01 睿石网云(北京)科技有限公司 一种应用系统性能异常检测方法和系统
CN105208000B (zh) * 2015-08-21 2019-02-22 深信服网络科技(深圳)有限公司 网络分析攻击回溯的方法及网络安全设备
CN106470118B (zh) * 2015-08-21 2019-11-08 睿石网云(北京)科技有限公司 一种应用系统性能异常检测方法和系统
CN105208000A (zh) * 2015-08-21 2015-12-30 深信服网络科技(深圳)有限公司 网络分析攻击回溯的方法及网络安全设备
CN105763530A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种基于web的威胁情报采集系统及方法
CN105681298A (zh) * 2016-01-13 2016-06-15 成都安信共创检测技术有限公司 公共信息平台中的数据安全异常监测方法及系统
CN105847043A (zh) * 2016-03-21 2016-08-10 浪潮通信信息系统有限公司 一种移动用户上网诊断方法
CN106096406A (zh) * 2016-05-30 2016-11-09 北京启明星辰信息安全技术有限公司 一种安全漏洞回溯分析方法及装置
CN106096406B (zh) * 2016-05-30 2019-01-25 北京启明星辰信息安全技术有限公司 一种安全漏洞回溯分析方法及装置
CN106101088B (zh) * 2016-06-04 2019-05-24 北京兰云科技有限公司 清洗设备、检测设备、路由设备和防范dns攻击的方法
CN106101088A (zh) * 2016-06-04 2016-11-09 北京兰云科技有限公司 清洗设备、检测设备、路由设备和防范dns攻击的方法
CN106022115A (zh) * 2016-07-20 2016-10-12 浪潮电子信息产业股份有限公司 一种风险程序溯源方法
CN107659543B (zh) * 2016-07-26 2020-12-01 北京计算机技术及应用研究所 面向云平台apt攻击的防护方法
CN107659543A (zh) * 2016-07-26 2018-02-02 北京计算机技术及应用研究所 面向云平台apt攻击的防护方法
CN106656991A (zh) * 2016-10-28 2017-05-10 上海百太信息科技有限公司 一种网络威胁检测系统及检测方法
CN106656991B (zh) * 2016-10-28 2019-05-07 上海百太信息科技有限公司 一种网络威胁检测系统及检测方法
CN106487594A (zh) * 2016-10-31 2017-03-08 中国人民解放军91655部队 基于微服务组件的网络流量采集和分析系统
CN106341426A (zh) * 2016-11-11 2017-01-18 中国南方电网有限责任公司 一种防御apt攻击的方法及安全控制器
CN106790521A (zh) * 2016-12-20 2017-05-31 创新科存储技术(深圳)有限公司 采用基于ftp的节点设备进行分布式组网的系统及方法
CN106790521B (zh) * 2016-12-20 2020-11-06 深圳创新科技术有限公司 采用基于ftp的节点设备进行分布式组网的系统及方法
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN106790193B (zh) * 2016-12-30 2019-11-08 山石网科通信技术股份有限公司 基于主机网络行为的异常检测方法和装置
CN106790193A (zh) * 2016-12-30 2017-05-31 山石网科通信技术有限公司 基于主机网络行为的异常检测方法和装置
CN107172022B (zh) * 2017-05-03 2021-01-01 成都国腾实业集团有限公司 基于入侵途径的apt威胁检测方法和系统
CN107426159A (zh) * 2017-05-03 2017-12-01 成都国腾实业集团有限公司 基于大数据分析的apt监测防御方法
CN107172022A (zh) * 2017-05-03 2017-09-15 成都国腾实业集团有限公司 基于入侵途径的apt威胁检测方法和系统
CN107092830A (zh) * 2017-06-09 2017-08-25 武汉虹旭信息技术有限责任公司 基于流量分析的ios恶意软件预警和检测系统及其方法
CN107483438A (zh) * 2017-08-15 2017-12-15 山东华诺网络科技有限公司 一种基于大数据的网络安全态势感知预警系统和方法
CN107454089A (zh) * 2017-08-16 2017-12-08 北京科技大学 一种基于多节点关联性的网络安全态势诊断方法
CN107547526A (zh) * 2017-08-17 2018-01-05 北京奇安信科技有限公司 一种云地结合的数据处理方法及装置
CN107733859A (zh) * 2017-09-03 2018-02-23 中国南方电网有限责任公司 一种基于大数据的网络安全分析系统及其分析方法
CN107623611A (zh) * 2017-09-22 2018-01-23 国云科技股份有限公司 一种云平台虚拟机的流量监控系统
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质
CN108063753A (zh) * 2017-11-10 2018-05-22 全球能源互联网研究院有限公司 一种信息安全监测方法及系统
CN107948151A (zh) * 2017-11-22 2018-04-20 北京大天信息技术有限公司 一种基于元数据分析的dns防护及防数据泄露的方法
CN107948151B (zh) * 2017-11-22 2020-10-09 北京大天信息技术有限公司 一种基于元数据分析的dns防护及防数据泄露的方法
CN108039959A (zh) * 2017-11-29 2018-05-15 深信服科技股份有限公司 一种数据的态势感知方法、系统及相关装置
CN109951419A (zh) * 2017-12-20 2019-06-28 广东电网有限责任公司电力调度控制中心 一种基于攻击链攻击规则挖掘的apt入侵检测方法
CN108229175A (zh) * 2017-12-28 2018-06-29 中国科学院信息工程研究所 一种多维异构取证信息的关联分析系统及方法
CN108229175B (zh) * 2017-12-28 2020-04-10 中国科学院信息工程研究所 一种多维异构取证信息的关联分析系统及方法
CN108712406A (zh) * 2018-05-07 2018-10-26 广东电网有限责任公司 非法数据源追溯方法、装置、用户终端和计算机存储介质
CN108696531A (zh) * 2018-06-08 2018-10-23 武汉思普崚技术有限公司 一种安全策略自适应分析与大数据可视化平台系统
CN108900655A (zh) * 2018-08-08 2018-11-27 北京谷安天下科技有限公司 一种域名存活性识别方法、装置及电子设备
CN108900360A (zh) * 2018-08-10 2018-11-27 哈尔滨工业大学(威海) 一种基于多节点流量回放的网络背景生成系统及方法
CN109450866B (zh) * 2018-10-22 2021-01-01 北京亚鸿世纪科技发展有限公司 一种基于大数据分析的撞库预警方法
CN109450866A (zh) * 2018-10-22 2019-03-08 北京亚鸿世纪科技发展有限公司 一种基于大数据分析的撞库预警方法
CN109714323B (zh) * 2018-12-17 2021-02-02 清创网御(合肥)科技有限公司 一种全网危险感知平台及其工作方法
CN109714323A (zh) * 2018-12-17 2019-05-03 清创网御(合肥)科技有限公司 一种全网危险感知平台及其工作方法
CN109495520A (zh) * 2019-01-11 2019-03-19 北京中睿天下信息技术有限公司 一体化网络攻击取证溯源方法、系统、设备及存储介质
CN109857924A (zh) * 2019-02-28 2019-06-07 重庆科技学院 一种大数据分析监察信息处理系统及方法

Similar Documents

Publication Publication Date Title
US10560471B2 (en) Detecting web exploit kits by tree-based structural similarity search
US9742788B2 (en) Event correlation across heterogeneous operations
CN104937886B (zh) 日志分析装置、信息处理方法
EP2860937B1 (en) Log analysis device, method, and program
JP6184270B2 (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
CN103685575B (zh) 一种基于云架构的网站安全监控方法
Hoque et al. An implementation of intrusion detection system using genetic algorithm
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
US10261502B2 (en) Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model
CN106131071B (zh) 一种Web异常检测方法和装置
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
CN103559235B (zh) 一种在线社交网络恶意网页检测识别方法
US10867034B2 (en) Method for detecting a cyber attack
Luo et al. Position-based automatic reverse engineering of network protocols
CN105637519A (zh) 使用行为辨识系统的认知信息安全性
CN104426906A (zh) 识别计算机网络内的恶意设备
KR101239401B1 (ko) 보안 시스템의 로그 분석 시스템 및 방법
CN102594825B (zh) 一种内网木马的检测方法和装置
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
CN105072089A (zh) 一种web恶意扫描行为异常检测方法与系统
CN103368976B (zh) 一种基于攻击图邻接矩阵的网络安全评估装置
CN105681250B (zh) 一种僵尸网络分布式实时检测方法和系统
Khamphakdee et al. Improving intrusion detection system based on snort rules for network probe attack detection
CN101924757B (zh) 追溯僵尸网络的方法和系统

Legal Events

Date Code Title Description
PB01 Publication
C06 Publication
SE01 Entry into force of request for substantive examination
C10 Entry into substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20150701

WD01 Invention patent application deemed withdrawn after publication