CN104811447A - 一种基于攻击关联的安全检测方法和系统 - Google Patents
一种基于攻击关联的安全检测方法和系统 Download PDFInfo
- Publication number
- CN104811447A CN104811447A CN201510190514.2A CN201510190514A CN104811447A CN 104811447 A CN104811447 A CN 104811447A CN 201510190514 A CN201510190514 A CN 201510190514A CN 104811447 A CN104811447 A CN 104811447A
- Authority
- CN
- China
- Prior art keywords
- flow rate
- input flow
- attack
- information
- described input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于攻击关联的检测方法和系统;其中所述方法包括:检测输入流量是否具有攻击行为,提取具有攻击行为的输入流量的信息,存入攻击源集合;并根据检测结果对日志记录结合攻击源的信息进行不同的分析,找出所述输入流量的所有的攻击行为和发现所述输入流量可能隐藏的攻击行为。本发明通过分析输入流量与日志记录的关联关系,方便高效的挖掘出输入流量的所有攻击行为和隐藏的攻击行为,使网络管理更加高效可靠。
Description
技术领域
本发明涉及网络安全领域的检测与防护系统,尤其涉及一种基于攻击关联的安全检测方法和系统。
背景技术
随着网络安全意识的突出,越来越多企业通过购置防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备来防护攻击。黑客在对企业进行渗透攻击时,通常会被企业网络中的安全设备所拦截,通过审计设备中的日志记录,管理员可以很清楚的看到攻击者的IP、攻击时间、攻击目标等信息。这极大简化了网络管理员的工作。
但现有安全产品虽然大多实现了实时流量攻击检测与拦截,却没有对历史事件或实时业务与系统日志中的攻击行为进行关联分析,这样会导致网络的安全防御强度依赖于安全设备的实时攻击检测强度,网络中各主机事件日志、业务事件日志容易形成信息孤岛。
在此情况下,一方面,若攻击者在安全设备上架前,已经突破了网络安全设备,那么其对内网进行的渗透行为,管理员将无法得知,急需要有事后检测机制去发现这些风险。另一方面,对于拥有繁多业务的企业,若发生了网络入侵事件,企业便需要对各个业务系统、服务器进行安全审查,不仅排查难度大,也无法对隐藏的攻击行为进行有效拦截。
发明内容
本发明要解决的技术问题在于,针对现有技术的攻击者在安全设备上架前已经突破了网络安全设备,则无法得知其对内网的渗透行为,和当攻击者攻击业务繁多的企业网络时,则排查难度大并无法对隐藏的攻击行为进行有效拦截的缺陷,提供了一种基于攻击关联的安全检测方法和系统。
本发明解决其技术问题所采用的技术方案是:构造一种基于攻击关联的安全检测方法,其特征在于,所述方法包括如下步骤:
步骤S1:检测输入流量是否具有攻击行为;有,则执行步骤S2;否,则执行步骤S3;
步骤S2:阻断所述输入流量的攻击行为,并提取所述输入流量的信息,将所述信息添加至显性攻击源集合;
步骤S3:分析所述输入流量与日志记录的关联关系;
步骤S4:生成威胁报表。
进一步地,所述步骤S2中,提取所述输入流量的信息具体为:提取所述输入流量的源IP、登陆账号、及登陆时间。
进一步地,在所述步骤S3之前,还包括如下步骤:用户根据安全知识库存储的攻击规则、漏洞等信息,预定义了所述输入流量的检测规则和分类标准。
进一步地,若所述输入流量具有攻击行为,则所述步骤S3包括如下步骤:
步骤S3-1:利用预定义的所述分类标准,将所述输入流量分为高危攻击源或低危攻击源;或分为sql注入类攻击源或webshell攻击源;
步骤S3-2:将分类之后的所述输入流量按类型对指定所述日志记录进行全网分析,匹配出与所述输入流量相关联的所述日志记录,并建立所述输入流量与匹配出的所述日志记录的关联关系。
进一步地,在所述步骤S3-2中,建立所述输入流量与匹配出的所述日志记录的关联关系具体为:根据所述日志的详细记录建立所述输入流量的IP、或所述输入流量的登录账号与所述日志的关联关系。
进一步地,若所述输入流量不具有攻击行为,则所述步骤S3包括如下步骤:
步骤S3-11:打开分析隐藏攻击源选项,对所述日志记录结合安全知识库信息进行分析,查找所述输入流量是否具有攻击行为的记录;有,则判断为隐藏攻击源,继续执行下一步骤;否,则结束;
步骤S3-22:提取所述输入流量的信息,并添加至隐藏攻击源集合;
步骤S3-33:阻断与所述隐藏攻击源集合信息相关的网络流量。
进一步地,所述日志记录包括用户对操作系统、OA系统、及WEB业务系统生成的事件记录。
进一步地,在所述步骤S2中,阻断所述输入流量攻击行为的同时,向管理员发送危险告警信息;
在所述步骤S3中,若分析出所述日志记录中有所述输入流量的攻击记录,则向管理员发送危险告警信息。
本发明解决其技术问题所采用的另一技术方案是:构造一种基于攻击关联的安全检测系统,其特征在于,所述系统包括:
日志管理模块,用于从不同的系统获取相关的日志记录;所述不同的系统为操作系统、OA系统、或WEB;
安全检测模块,包括检测单元、攻击源提取单元、及攻击源集合;
所述检测单元用于对输入流量进行安全检测,阻断存在威胁的所述输入流量;
所述攻击源提取单元用于提取具有攻击行为、或隐藏攻击行为的所述输入流量的信息,并将提取出的所述输入流量的信息存入所述攻击源集合;
所述攻击源集合包括显性攻击源集合和隐藏攻击源集合;
安全知识库,用于存储攻击规则及攻击所利用的漏洞等信息;
信息分类模块,与所述安全知识库相连接,用于根据所述安全知识库的信息制定所述输入流量的检测规则及分类标准;
攻击关联分析模块,与所述日志管理模块、所述安全检测模块、所述信息分类模块、及所述安全知识库均相连,用于根据信息分类模块制定的所述检测规则及分类标准,对所述输入流量进行分类,并对所述日志管理模块提供的所述日志记录进行分析,找出所述输入流量在全网留下的攻击记录;
威胁报表生成模块,与所述攻击关联分析模块相连,用于根据所述攻击关联分析模块对所述输入流量的全网分析结果生成威胁报表,并发送告警信息给管理员。
进一步地,所述攻击关联分析模块还包括分析隐藏攻击源单元;所述分析隐藏攻击源单元用于根据所述日志记录发现所述输入流量隐藏的攻击行为,阻断所述隐藏的输入流量的相关流量、并将所述隐藏的输入流量的信息加入所述隐藏攻击源集合。
本发明与现有技术相比具有如下优点:安全检测模块检测攻击源,并根据输入流量是否具有攻击行为,选择不同的处理方式,当输入流量具有攻击行为时,先阻断其攻击行为,并提取所述输入流量的信息,添加至显性攻击源集合,再分析攻击源与日志记录的关联关系之后,向管理员发出告警风险信息,并生成威胁报表。当输入流量不具有攻击行为时,直接分析该输入流量与日志记录的关联关系之后,向管理员发出告警风险信息,并生成威胁报表。本发明通过分析攻击源与日志记录的关联关系,方便高效的挖掘出攻击源的所有攻击行为和隐藏的攻击行为,使网络管理更加高效,可靠。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的一实施例的输入流量具有攻击行为时的安全检测方法的流程图;
图2是图1实施例中的步骤S3的流程图;
图3是本发明的另一实施例的输入流量没有攻击行为时的安全检测方法的流程图;
图4是本发明的系统原理框图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图对输入流量有攻击行为时本发明对应的具体实施方式和输入流量隐藏攻击行为时本发明对应的具体实施方式详细说明。
图1是本发明的一实施例的输入流量具有攻击行为时的安全检测方法的流程图。如图1所示,该方法包括如下步骤:
步骤S1:检测输入流量是否具有攻击行为。可以理解地,该输入流量可以分为具有攻击行为和不具有攻击行为。在本实施例中,假设检测出该输入流量具有攻击行为,则依次执行下述步骤。
需要说明的是,若检测出该输入流量不具有攻击行为,则直接分析该输入流量与日志记录的关联关系。
步骤S2:阻断输入流量的攻击行为,并提取输入流量的信息,添加至显性攻击源集合,并同时向管理员发送危险告警信息。
其中,提取出的输入流量的信息为检测到的输入流量的IP、登陆账号、及登陆时间。
优选地,攻击源集合可用hash表存储输入流量的信息,每个hash节点包含输入流量的IP、登陆账号、及登录时间信息。
步骤S3:分析输入流量与日志记录的关联关系。其中,日志记录是指由业务系统生成的事件信息。信息通常包括事件发生的时间,该事件发生时连接的ip、端口、登陆账号。
具体地,在本实施例中,分析输入流量与日志记录的关联关系,是指以提取出的具有攻击行为的该输入流量的IP、登陆账号、及登陆时间为基础,结合操作系统、业务系统、各种网络设备的日志记录的详细事件信息,深度挖掘该输入流量所涉及的所有操作,并将挖掘出的所有操作中具有危险行为的信息在相应的日志记录中进行详细描述。
可以理解地,当检测到该输入流量不具有攻击行为时,分析输入流量与日志记录的关联关系的方法对应不同。
进一步地,在步骤S3之前,用户根据安全知识库存储的攻击规则、漏洞等信息,预定义了输入流量的检测规则和分类标准。例如:webshell的检测规则为制定一种asp、php或其他服务器脚本实现的判断标准,这是由于安全知识库中记录了webshell是一种asp、php或其他服务器脚本实现的木马后门,黑客在入侵了一个网站后,常常在将这些木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。
分类标准指的是将具有攻击行为的输入流量按危险程度分为高危攻击源、低危攻击源,或者按类型分为sql注入类、webshell类。
图2为步骤S3对应的流程图。由图2可知,步骤S3具体包括如下步骤:
步骤S3-1:利用预定义好的分类标准,将输入流量分为高危攻击源或低危攻击源;或分为sql注入类攻击源或webshell攻击源。
步骤S3-2:用户开启日志关联分析,将分类之后的输入流量指定相关的日志记录进行全网分析,匹配出与输入流量相关联的日志记录,并建立输入流量与匹配出的日志记录的关联关系。例如:检测到的输入流量的IP为1.1.1.1,根据预定义好的输入流量的检测规则检测出该输入流量具有SQL注入攻击行为,指定的日志记录为ssh登录日志。
在分析ssh的登陆日志时,若发现IP为1.1.1.1的用户曾经用user_a登陆过ssh,则建立IP:1.1.1.1、用户名user_a及ssh的登陆日志三者的关联关系。之后若用户终端再次用user_a登陆ssh则建议用户禁止用user_a登陆或者修改登陆密码,并同时向管理员发送危险告警信息。
步骤S4:生成威胁报表。其中威胁报表具体包括攻击源在全网存在的所有风险信息和针对分险信息的解决方法。
通过图1所示实施例,我们可知,本发明的基于攻击关联的安全检测方法检测出外部流量的攻击行为,在阻断该攻击行为的同时,将该外部流量的信息添加至攻击源集合,并利用预定的检测规则及结合日志记录,方便用户找出与该流量流入相关的全网有可能存在的分险,帮助管理员更安全、有效的管理整个网络。
图3是本发明的另一实施例的输入流量没有攻击行为时的安全检测方法的流程图。如图3所示,该方法包括如下步骤:
步骤S11:检测输入流量是否具有攻击行为。在本实施例中,假设该输入流量不具有攻击行为,则需要进一步分析输入流量与日志记录的关联关系,其具体分析过程如步骤S22。
步骤S22:分析输入流量与日志记录的关联关系。具体地,由于该输入流量不具有攻击行为,则以用户IT资源、及业务系统的日志详细记录为基础,分析该输入流量是否具有未检测到的攻击行为,若发现具有未检测到的攻击行为,则帮助安全设备拦截该潜在威胁,并提取出该输入流量的IP、登陆账号、或登陆时间在对应的日志中做详细记录,并执行下一步骤,若未检测到攻击行为,则结束。
可以理解地,分析该输入流量是否具有未检测到的攻击行为时,用户可选择打开分析隐藏攻击源选项,对日志记录结合安全知识库及用户预定义好的检测规则进行分析,查找输入流量是否具有攻击行为的记录;有,则判断为隐藏的攻击源;否,则结束。例如:检测到的输入流量的IP为1.1.1.1,指定的日志记录为apache访问日志,则用IP为1.1.1.1对指定的apache的访问日志进行分析。
在分析apache的日志时,若发现5个月前IP为1.1.1.1的终端曾经上传webshell,那时系统还没有该安全检测方法,导致被入侵,则建立IP:1.1.1.1与webshell上传攻击这条日志的关联关系,确定该输入流量为隐藏的攻击源,系统可将其连接阻断,并同时向管理员发送危险告警信息。
可以理解地,对所有的日志记录按照预定的规则进行扫描,将符合预定的检测规则的日志记录全部筛选出来,便可成功的发现任意时段攻击源留下的痕迹并判断该攻击源是否为隐藏的攻击源。
进一步地,提取输入流量的信息,并添加至隐藏攻击源集合。同样的,提取出的输入流量的信息为检测到的输入流量的IP、登陆账号、及登录时间信息。
可以理解地,隐藏攻击源集合和显性攻击源集合采用相同的存储方式,即在本实施例中用hash表存储攻击源的信息,每个hash节点包含攻击者的IP、登陆账号、及登录时间信息。
步骤S33:生成威胁报表。可以理解地,该威胁报表具体包括攻击源在全网存在的所有风险信息和针对分险信息的解决方法。
通过图3所示实施例,我们可知,本发明的基于攻击关联的安全检测方法检测出输入流量不具有攻击行为时,打开隐藏攻击源分析,结合安全知识库及用户预定义的检测规则对日志记录的内容进行扫描分析,可成功的发现任意时段输入流量留下的痕迹并判断该输入流量是否为隐藏的攻击源,使用户的网络环境更加安全可靠。
通过以上两个实施例,我们可以了解到本发明采用双向关联分析的方法,在检测到输入流量具有攻击行为时,以该输入流量为基础,分析用户系统的日志记录,挖掘该输入流量与日志记录相关的所有操作,当检测到输入流量不具有攻击行为时,以系统的日志记录、并结合安全知识库的知识为基础,分析该输入流量是否具有隐藏的攻击行为。可以更精确的发现用户在内网中存在的安全分险,即便攻击者已经成功渗透至用户网络,也可以通过关联分析发现其对内网设备的其他攻击行为,并从大量的日志事件中发现隐藏的攻击行为,帮组安全设备对全网中存在的攻击行为进行检测拦截,有利于定位分险源、资产定损以及降低安全设备漏报率。
图4是本发明的系统原理框图。由图4可知,该系统包括:
日志管理模块5,用于从不同的系统获取相关的日志记录;其中不同的系统为操作系统、OA系统、或WEB;
安全检测模块1,包括检测单元11、攻击源提取单元12、及攻击源集合13;
检测单元11,用于对输入流量进行安全检测,阻断存在威胁的输入流量;
攻击源提取单元12,用于提取具有攻击行为、或隐藏攻击行为的输入流量的信息,并将提取的信息存入攻击源集合;
所述攻击源集合13,包括显性攻击源集合131和隐藏攻击源集合132;
安全知识库3,用于存储攻击规则及攻击所利用的漏洞等信息;
信息分类模块4与安全知识库3相连接,用于根据安全知识库3的信息制定攻击源分类规则;
攻击关联分析模块2,与日志管理模块5、安全检测模块1、信息分类模块4、及安全知识库3均相连,用于根据信息分类模块4制定的分类规则,对攻击源进行分类,并对日志管理模块5提供的日志记录进行分析,找出攻击源在全网留下的攻击记录;
攻击关联分析模块2还包括分析隐藏攻击源单元21;分析隐藏攻击源单元21,用于找出输入流量可能隐藏的攻击行为,阻断所述隐藏的输入流量的相关流量、并将所述隐藏的输入流量的信息加入所述隐藏攻击源集合。
威胁报表生成模块6与攻击关联分析模块2相连,用于根据攻击关联分析模块对攻击源的全网分析的结果生成威胁报表,并发送告警信息给管理员。
本发明是通过几个具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换和等同替代。另外,针对特定情形或具体情况,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
Claims (10)
1.一种基于攻击关联的安全检测方法,其特征在于,所述方法包括如下依次执行的步骤:
步骤S1:检测输入流量是否具有攻击行为;有,则执行步骤S2;否,则执行步骤S3;
步骤S2:阻断所述输入流量的攻击行为,并提取所述输入流量的信息,将所述信息添加至显性攻击源集合;
步骤S3:分析所述输入流量与日志记录的关联关系;
步骤S4:生成威胁报表。
2.根据权利要求1所述的基于攻击关联的安全检测方法,其特征在于,所述步骤S2中,提取所述输入流量的信息具体为:提取所述输入流量的源IP、登陆账号、及登陆时间。
3.根据权利要求1所述的基于攻击关联的安全检测方法,其特征在于,在所述步骤S3之前,还包括如下步骤:用户根据安全知识库存储的攻击规则、漏洞信息,预定义了所述输入流量的检测规则和分类标准。
4.根据权利要求3所述的基于攻击关联的安全检测方法,其特征在于,若所述输入流量具有攻击行为,则所述步骤S3包括如下步骤:
步骤S3-1:利用预定义的所述分类标准,将所述输入流量分为高危攻击源或低危攻击源;或分为sql注入类攻击源或webshell攻击源;
步骤S3-2:将分类之后的所述输入流量指定所述日志记录进行全网分析,匹配出与所述输入流量相关联的所述日志记录,并建立所述输入流量与匹配出的所述日志记录的关联关系。
5.根据权利要求4所述的基于攻击关联的安全检测方法,其特征在于,在所述步骤S3-2中,建立所述输入流量与匹配出的所述日志记录的关联关系具体为:根据所述日志的详细记录建立所述输入流量的IP、或所述输入流量的登录账号、或所述输入流量的登陆时间与所述日志的关联关系。
6.根据权利要求3所述的基于攻击关联的安全检测方法,其特征在于,若所述输入流量不具有攻击行为,则所述步骤S3包括如下步骤:
步骤S3-11:打开分析隐藏攻击源选项,对所述日志记录结合安全知识库信息及用户预定义好的所述检测规则进行分析,查找所述输入流量是否具有攻击行为的记录;有,则判断为隐藏攻击源,继续执行下一步骤;否,则结束;
步骤S3-22:提取所述输入流量的信息,并添加至隐藏攻击源集合;
步骤S3-33:阻断与所述隐藏攻击源集合信息相关的网络流量。
7.根据权利要求1所述的基于攻击关联的安全检测方法,其特征在于,所述日志记录包括用户对操作系统、OA系统、及WEB业务系统生成的事件记录。
8.根据权利要求1所述的基于攻击关联的安全检测方法,其特征在于,在所述步骤S2中,阻断所述输入流量攻击行为的同时,向管理员发送危险告警信息;
在所述步骤S3中, 若分析出所述日志记录中有所述输入流量的攻击记录,则向管理员发送危险告警信息。
9.一种基于攻击关联的安全检测系统,其特征在于,包括:
日志管理模块,用于从不同的系统获取相关的日志记录;所述不同的系统为操作系统、OA系统、或WEB;
安全检测模块,包括检测单元、攻击源提取单元、及攻击源集合;
所述检测单元用于对输入流量进行安全检测,阻断存在威胁的所述输入流量;
所述攻击源提取单元用于提取具有攻击行为、或隐藏攻击行为的所述输入流量的信息,并将提取出的所述输入流量的信息存入所述攻击源集合;
所述攻击源集合包括显性攻击源集合和隐藏攻击源集合;
安全知识库,用于存储攻击规则及攻击所利用的漏洞信息;
信息分类模块,与所述安全知识库相连接 ,用于根据所述安全知识库的信息制定所述输入流量的检测规则及分类标准;
攻击关联分析模块,与所述日志管理模块、所述安全检测模块、所述信息分类模块、及所述安全知识库均相连,用于根据信息分类模块制定的所述检测规则及分类标准,对所述输入流量进行分类,并对所述日志管理模块提供的所述日志记录进行分析,找出所述输入流量在全网留下的攻击记录;
威胁报表生成模块,与所述攻击关联分析模块相连,用于根据所述攻击关联分析模块对所述输入流量的全网分析结果生成威胁报表,并发送告警信息给管理员。
10.根据权利要求9所述的基于攻击关联的安全检测系统 ,其特征在于,所述攻击关联分析模块还包括分析隐藏攻击源单元;所述分析隐藏攻击源单元用于根据所述日志记录发现所述输入流量隐藏的攻击行为,阻断所述隐藏的输入流量的相关流量、并将所述隐藏的输入流量的信息加入所述隐藏攻击源集合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510190514.2A CN104811447B (zh) | 2015-04-21 | 2015-04-21 | 一种基于攻击关联的安全检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510190514.2A CN104811447B (zh) | 2015-04-21 | 2015-04-21 | 一种基于攻击关联的安全检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104811447A true CN104811447A (zh) | 2015-07-29 |
CN104811447B CN104811447B (zh) | 2018-08-21 |
Family
ID=53695941
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510190514.2A Active CN104811447B (zh) | 2015-04-21 | 2015-04-21 | 一种基于攻击关联的安全检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104811447B (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208000A (zh) * | 2015-08-21 | 2015-12-30 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN106657139A (zh) * | 2017-01-18 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种登录密码的处理方法、装置及系统 |
CN106789944A (zh) * | 2016-11-29 | 2017-05-31 | 神州网云(北京)信息技术有限公司 | 网络攻击行为中的攻击主体确定方法及装置 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
CN107707542A (zh) * | 2017-09-28 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种防止ssh破解的方法及系统 |
CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及系统 |
CN108810014A (zh) * | 2018-06-29 | 2018-11-13 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
CN110545250A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
WO2020000743A1 (zh) * | 2018-06-27 | 2020-01-02 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
CN111865873A (zh) * | 2019-04-26 | 2020-10-30 | 中国移动通信集团河北有限公司 | 安全预警方法、装置及系统 |
CN112261006A (zh) * | 2020-09-27 | 2021-01-22 | 中孚安全技术有限公司 | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 |
CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
CN114760150A (zh) * | 2022-06-13 | 2022-07-15 | 交通运输通信信息集团有限公司 | 一种基于大数据的网络安全防护方法及系统 |
CN115022056A (zh) * | 2022-06-09 | 2022-09-06 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101459519A (zh) * | 2009-01-08 | 2009-06-17 | 西安交通大学 | 一种基于网络流量的泛洪拒绝服务攻击防御方法 |
US20100050262A1 (en) * | 2008-08-20 | 2010-02-25 | Stephen Knapp | Methods and systems for automated detection and tracking of network attacks |
CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
-
2015
- 2015-04-21 CN CN201510190514.2A patent/CN104811447B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100050262A1 (en) * | 2008-08-20 | 2010-02-25 | Stephen Knapp | Methods and systems for automated detection and tracking of network attacks |
CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
CN101459519A (zh) * | 2009-01-08 | 2009-06-17 | 西安交通大学 | 一种基于网络流量的泛洪拒绝服务攻击防御方法 |
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208000A (zh) * | 2015-08-21 | 2015-12-30 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
CN105208000B (zh) * | 2015-08-21 | 2019-02-22 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105376245B (zh) * | 2015-11-27 | 2018-10-30 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
CN106789944A (zh) * | 2016-11-29 | 2017-05-31 | 神州网云(北京)信息技术有限公司 | 网络攻击行为中的攻击主体确定方法及装置 |
CN106657139A (zh) * | 2017-01-18 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种登录密码的处理方法、装置及系统 |
CN107707542A (zh) * | 2017-09-28 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种防止ssh破解的方法及系统 |
CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及系统 |
CN110545250A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
CN110545250B (zh) * | 2018-05-29 | 2021-12-21 | 国际关系学院 | 一种多源攻击痕迹融合关联的溯源方法 |
WO2020000743A1 (zh) * | 2018-06-27 | 2020-01-02 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
CN108810014A (zh) * | 2018-06-29 | 2018-11-13 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
CN108810014B (zh) * | 2018-06-29 | 2021-06-04 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
CN108900514B (zh) * | 2018-07-04 | 2021-04-23 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
CN109729095B (zh) * | 2019-02-13 | 2021-08-24 | 奇安信科技集团股份有限公司 | 数据处理方法、装置和计算设备及介质 |
CN111865873A (zh) * | 2019-04-26 | 2020-10-30 | 中国移动通信集团河北有限公司 | 安全预警方法、装置及系统 |
CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
CN110417747B (zh) * | 2019-07-08 | 2021-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
CN110933064B (zh) * | 2019-11-26 | 2023-10-03 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
CN112261006A (zh) * | 2020-09-27 | 2021-01-22 | 中孚安全技术有限公司 | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 |
CN112261006B (zh) * | 2020-09-27 | 2022-07-19 | 中孚安全技术有限公司 | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 |
CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
CN114143020B (zh) * | 2021-09-06 | 2023-10-31 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
CN115022056A (zh) * | 2022-06-09 | 2022-09-06 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
CN115022056B (zh) * | 2022-06-09 | 2023-11-21 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
CN114760150A (zh) * | 2022-06-13 | 2022-07-15 | 交通运输通信信息集团有限公司 | 一种基于大数据的网络安全防护方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104811447B (zh) | 2018-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104811447A (zh) | 一种基于攻击关联的安全检测方法和系统 | |
CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
Elia et al. | Comparing SQL injection detection tools using attack injection: An experimental study | |
CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
CN105871775B (zh) | 一种安全防护方法及dpma防护模型 | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
CN113783886A (zh) | 一种基于情报和数据的电网智慧运维方法及其系统 | |
Saputra et al. | Network forensics analysis of man in the middle attack using live forensics method | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
Binnar et al. | Cyber forensic case study of waste water treatment plant | |
Suryantoro et al. | The Analysis of Attacks Against Port 80 Webserver with SIEM Wazuh Using Detection and OSCAR Methods | |
Subramanian et al. | Modeling and predicting cyber hacking breaches | |
Carrasco et al. | A Proposal for a New Way of Classifying Network Security Metrics: Study of the Information Collected through a Honeypot | |
CN110912753A (zh) | 一种基于机器学习的云安全事件实时检测系统及方法 | |
CN113824736B (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
Herwono et al. | Automated Detection of the Early Stages of Cyber Kill Chain. | |
CN115766051A (zh) | 一种主机安全应急处置方法、系统、存储介质及电子设备 | |
Miani et al. | A practical experience on evaluating intrusion prevention system event data as indicators of security issues | |
CN107341396A (zh) | 入侵检测方法、装置及服务器 | |
Anashkin et al. | Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis | |
Barbu et al. | Intruder monitoring system for local networks using Python | |
Karie et al. | Cybersecurity Incident Response in the Enterprise |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200611 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518055 No. 1001 Nanshan Chi Park A1 building five floor Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |