CN104852909B - 一种攻击检测规则的开启方法和设备 - Google Patents
一种攻击检测规则的开启方法和设备 Download PDFInfo
- Publication number
- CN104852909B CN104852909B CN201510200662.8A CN201510200662A CN104852909B CN 104852909 B CN104852909 B CN 104852909B CN 201510200662 A CN201510200662 A CN 201510200662A CN 104852909 B CN104852909 B CN 104852909B
- Authority
- CN
- China
- Prior art keywords
- rule
- attack detecting
- state
- network equipment
- detecting rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种攻击检测规则的开启方法和设备,该方法包括:当有流量匹配到当前已经开启的攻击检测规则时,网络设备判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集;如果有,则网络设备获得所述触发开启规则集中的规则标识;当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,所述网络设备开启所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态。本发明实施例中,可以使网络设备的开销与安全性尽量达到平衡。
Description
技术领域
本发明涉及通信技术领域,尤其是一种攻击检测规则的开启方法和设备。
背景技术
随着用户对网络安全技术和网络安全产品认知的提升,用户越来越看重网络设备所支持的攻击检测规则的数量,而且随着每年新增漏洞数量的稳步增长,网络设备所支持的攻击检测规则的数量也爆发式增加。基于此,如果在网络设备上直接开启所有的攻击检测规则,则会导致开启大量的攻击检测规则,而且网络设备需要处理的攻击检测规则很多,其必然导致网络设备的处理性能下降。如果只在网络设备上开启少量的攻击检测规则,则会降低攻击检测规则的利用率,甚至会导致部分攻击被网络设备漏报,影响安全性。
发明内容
本发明实施例提供一种攻击检测规则的开启方法,所述方法包括以下步骤:当有流量匹配到当前已经开启的攻击检测规则时,网络设备判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集;
如果有,则所述网络设备获得所述触发开启规则集中的规则标识;
当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,所述网络设备开启所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态。
所述方法进一步包括:
当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为开启状态时,所述网络设备将所述规则标识对应的攻击检测规则的开启时间更新为当前时间。
所述方法进一步包括:在所述网络设备将所述规则标识对应的攻击检测规则的智能状态修改为开启状态之后,所述网络设备将所述规则标识对应的攻击检测规则的开启时间设置为当前时间。
所述方法进一步包括:
当所述网络设备利用所述规则标识对应的攻击检测规则的开启时间确定所述规则标识对应的攻击检测规则已经达到老化时间时,则所述网络设备关闭所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭状态,并清除所述开启时间。
当攻击检测规则的默认状态为开启状态时,则不允许关闭所述攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则不允许开启所述攻击检测规则。
本发明实施例提供一种网络设备,所述网络设备具体包括:
判断模块,用于当有流量匹配到当前已经开启的攻击检测规则时,判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集;
获得模块,用于当所述当前已经开启的攻击检测规则有对应的触发开启规则集时,则获得所述触发开启规则集中的规则标识;
处理模块,用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,则开启所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态。
所述处理模块,还用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为开启状态时,将所述规则标识对应的攻击检测规则的开启时间更新为当前时间。
所述处理模块,还用于在将所述规则标识对应的攻击检测规则的智能状态修改为开启状态之后,将所述规则标识对应的攻击检测规则的开启时间设置为当前时间。
所述处理模块,进一步用于当利用所述规则标识对应的攻击检测规则的开启时间确定所述规则标识对应的攻击检测规则已经达到老化时间时,则关闭所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭状态,并清除所述开启时间。
当攻击检测规则的默认状态为开启状态时,则不允许关闭所述攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则不允许开启所述攻击检测规则。
基于上述技术方案,本发明实施例中,基于当前已经开启的攻击检测规则的流量匹配情况决定是否开启其它攻击检测规则,从而实时智能调节攻击检测规则的开启数量,通过智能开启技术,可以提高网络设备上的攻击检测规则的数量,在漏报可控的条件下减少攻击检测规则的开启数量,从而使网络设备的开销与安全性尽量达到平衡。
附图说明
图1是本发明实施例提供的一种攻击检测规则的开启方法流程示意图;
图2是本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种攻击检测规则的开启方法,通过实时智能调节攻击检测规则的开启数量,在漏报可控的条件下减少攻击检测规则的开启数量。本发明实施例中,网络设备上会预先配置攻击检测规则表,并为攻击检测规则配置触发开启规则集,该触发开启规则集内的攻击检测规则与对应的攻击检测规则是同攻击类型的攻击检测规则或者相关联的攻击检测规则,例如,均是用于检测跨站脚本攻击的攻击检测规则。
本发明实施例中,攻击检测规则表中包括多个攻击检测规则的信息,各攻击检测规则的信息具体包括但不限于以下之一或者任意组合:规则标识、中文名称、触发开启规则集标识、默认状态、智能状态、开启时间。
其中,默认状态包括开启状态、关闭状态和未设置状态,智能状态包括开启状态、关闭状态和未设置状态,且默认状态的优先级高于智能状态的优先级。基于此,当攻击检测规则的默认状态为开启状态时,则网络设备开启默认状态为开启状态的攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则网络设备拒绝开启默认状态为关闭状态的攻击检测规则。因此,当攻击检测规则的默认状态为开启状态时,则不允许关闭该攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则不允许开启该攻击检测规则。
本发明实施例中,当攻击检测规则的默认状态为开启状态或者关闭状态时,则网络设备不再关注攻击检测规则的智能状态,可以将攻击检测规则的智能状态设置为未设置状态。进一步的,当攻击检测规则的默认状态为未设置状态时,则网络设备基于攻击检测规则的智能状态进行处理,即当攻击检测规则的智能状态为开启状态时,则网络设备开启智能状态为开启状态的攻击检测规则;当攻击检测规则的智能状态为关闭状态时,则网络设备拒绝开启智能状态为关闭状态的攻击检测规则。
在预先配置攻击检测规则表时,基于攻击检测规则的检测准确性,系统会默认配置检测准确性高的攻击检测规则的默认状态为开启状态,如默认配置检测准确性最高的规则标识10001对应的攻击检测规则的默认状态为开启状态。在实际应用中,根据实际的需要,用户还可以将某些攻击检测规则的默认状态主动修改为开启状态,如用户可以将规则标识10005对应的攻击检测规则的默认状态主动修改为开启状态。在实际应用中,根据实际的需要,用户还可以将某些攻击检测规则的默认状态主动修改为关闭状态,如用户可以将规则标识10006对应的攻击检测规则的默认状态主动修改为关闭状态。
例如,针对用于检测跨站脚本攻击的6个攻击检测规则,预先配置在网络设备上的攻击检测规则表可以如表1所示,其中包含这6个攻击检测规则的信息。在初始配置攻击检测规则表时,系统默认配置了检测准确性最高的规则标识10001对应的攻击检测规则的默认状态为开启状态,而且用户将规则标识10005对应的攻击检测规则的默认状态为开启状态,其它攻击检测规则的默认状态为未设置状态,且所有攻击检测规则的智能状态为未设置状态。
表1
本发明实施例中,需要预先为攻击检测规则配置触发开启规则集,且该触发开启规则集内可以包括一个或者多个攻击检测规则。其中,在为攻击检测规则配置触发开启规则集时,该攻击检测规则的检测准确性需要高于触发开启规则集内的攻击检测规则。针对多个攻击检测规则对应的多个触发开启规则集,该多个触发开启规则集内的攻击检测规则可以相同,也可以不同。
如表1所示,当规则标识为10001的攻击检测规则的检测准确性高于规则标识为10002的攻击检测规则、规则标识为10003的攻击检测规则时,可以为规则标识为10001的攻击检测规则配置触发开启规则集10,触发开启规则集10内包括规则标识为10002的攻击检测规则、规则标识为10003的攻击检测规则。当规则标识为10002的攻击检测规则的检测准确性高于规则标识为10004的攻击检测规则、规则标识为10005的攻击检测规则、规则标识为10006的攻击检测规则时,可以为规则标识为10002的攻击检测规则配置触发开启规则集11,触发开启规则集11内包括规则标识为10004的攻击检测规则、规则标识为10005的攻击检测规则、规则标识为10006的攻击检测规则。当规则标识为10003的攻击检测规则的检测准确性高于规则标识为10006的攻击检测规则时,可以为规则标识为10003的攻击检测规则配置触发开启规则集12,触发开启规则集12内包括规则标识为10006的攻击检测规则。
如图1所示,该攻击检测规则的开启方法具体可以包括以下步骤:
步骤101,当有流量匹配到当前已经开启的攻击检测规则时,网络设备判断当前已经开启的攻击检测规则是否有对应的触发开启规则集。如果是,则该网络设备执行步骤102;如果否,则该网络设备可以结束流程。
本步骤之前,网络设备会开启默认状态为开启状态的攻击检测规则。如表1所示,默认状态为开启状态的攻击检测规则包括:规则标识10001对应的攻击检测规则和规则标识10005对应的攻击检测规则,因此网络设备开启规则标识10001对应的攻击检测规则和规则标识10005对应的攻击检测规则。
本步骤101中,如果有流量匹配到当前已经开启的攻击检测规则,则网络设备判断该当前已经开启的攻击检测规则是否有对应的触发开启规则集。如表1所示,如果有流量匹配到当前已经开启的规则标识10001对应的攻击检测规则,则由于当前已经开启的规则标识10001对应的攻击检测规则有对应的触发开启规则集,因此,执行步骤102。如果有流量匹配到当前已经开启的规则标识10005对应的攻击检测规则,则由于当前已经开启的规则标识10005对应的攻击检测规则没有对应的触发开启规则集,因此,结束流程。
步骤102,网络设备获得触发开启规则集中的规则标识。
由于为规则标识为10001的攻击检测规则配置触发开启规则集10,该触发开启规则集10内包括规则标识为10002的攻击检测规则、规则标识为10003的攻击检测规则,因此,触发开启规则集10中的规则标识为10002和10003。
步骤103,当规则标识对应的攻击检测规则的默认状态为未设置状态且该规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,则网络设备开启该规则标识对应的攻击检测规则,将该规则标识对应的攻击检测规则的智能状态修改为开启状态。之后,网络设备将该规则标识(即触发开启规则集中的规则标识)对应的攻击检测规则的开启时间设置为当前时间。
本发明实施例中,当规则标识对应的攻击检测规则的默认状态为未设置状态且该规则标识对应的攻击检测规则的智能状态为开启状态时,则网络设备为该规则标识对应的攻击检测规则的开启时间更新为当前时间。
例如,当触发开启规则集10中的规则标识为10002和10003时,由于规则标识10002对应的攻击检测规则的智能状态为未设置状态,因此,网络设备开启规则标识10002对应的攻击检测规则,并将规则标识10002对应的攻击检测规则的智能状态修改为开启状态,并将规则标识10002对应的攻击检测规则的开启时间设置为当前时间。由于规则标识10003对应的攻击检测规则的智能状态为未设置状态,因此,网络设备开启规则标识10003对应的攻击检测规则,并将规则标识10003对应的攻击检测规则的智能状态修改为开启状态,将规则标识10003对应的攻击检测规则的开启时间设置为当前时间。
本发明实施例中,基于规则标识对应的攻击检测规则的开启时间,当网络设备利用规则标识对应的攻击检测规则的开启时间确定该规则标识对应的攻击检测规则已经达到老化时间时,则网络设备关闭该规则标识对应的攻击检测规则,并将该规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭状态,并清除该规则标识对应的攻击检测规则的开启时间。
进一步的,网络设备利用规则标识对应的攻击检测规则的开启时间确定该规则标识对应的攻击检测规则已经达到老化时间的过程,具体包括但不限于:网络设备定期查询规则标识对应的攻击检测规则的开启时间;如果该开启时间与老化时间T之和小于等于当前时间,则确定规则标识对应的攻击检测规则已经达到老化时间;如果该开启时间与老化时间T之和大于当前时间,则确定规则标识对应的攻击检测规则未达到老化时间。
其中,老化时间T的取值可以根据实际经验值任意进行设置,且不同规则标识对应的攻击检测规则的老化时间T可以相同,也可以不同。
例如,网络设备每30秒自动遍历攻击检测规则表中的智能状态为开启状态的规则标识对应的攻击检测规则的开启时间。假设遍历到规则标识10002对应的攻击检测规则的开启时间为2015/02/0912:01:01,老化时间T为2小时,且当前时间为2015/02/0914:01:30时,则由于规则标识10002对应的攻击检测规则的开启时间与老化时间T之和小于当前时间,因此,网络设备确定规则标识10002对应的攻击检测规则已经达到老化时间。
本发明实施例中,网络设备在开启规则标识10002对应的攻击检测规则、规则标识10003对应的攻击检测规则之后,如果有流量匹配到当前已经开启的规则标识10002对应的攻击检测规则或者规则标识10003对应的攻击检测规则,则重复执行上述步骤101-步骤103,本发明实施例中对此不再赘述。
本发明实施例中,网络设备提供给用户的攻击检测规则展示页面中,如果攻击检测规则已被智能开启(即将规则标识对应的攻击检测规则的智能状态修改为开启状态),则在日志页面中标明该攻击检测规则被智能开启。
基于上述技术方案,本发明实施例中,基于当前已经开启的攻击检测规则的流量匹配情况决定是否开启其它攻击检测规则,从而实时智能调节攻击检测规则的开启数量,通过智能开启技术,可以提高网络设备上的攻击检测规则的数量,在漏报可控的条件下减少攻击检测规则的开启数量,从而使网络设备的开销与安全性尽量达到平衡。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种网络设备,如图2所示,所述网络设备具体包括:
判断模块11,用于当有流量匹配到当前已经开启的攻击检测规则时,判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集;
获得模块12,用于当所述当前已经开启的攻击检测规则有对应的触发开启规则集时,则获得所述触发开启规则集中的规则标识;
处理模块13,用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,则开启所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态。
所述处理模块13,还用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为开启状态时,将所述规则标识对应的攻击检测规则的开启时间更新为当前时间。
所述处理模块13,还用于在将所述规则标识对应的攻击检测规则的智能状态修改为开启状态之后,将所述规则标识对应的攻击检测规则的开启时间设置为当前时间。
所述处理模块13,进一步用于当利用所述规则标识对应的攻击检测规则的开启时间确定所述规则标识对应的攻击检测规则已经达到老化时间时,则关闭所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭状态,并清除所述开启时间。
本发明实施例中,当攻击检测规则的默认状态为开启状态时,则不允许关闭所述攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则不允许开启所述攻击检测规则。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (8)
1.一种攻击检测规则的开启方法,其特征在于,所述方法包括以下步骤:
当有流量匹配到当前已经开启的攻击检测规则时,网络设备判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集;
如果有,则所述网络设备获得所述触发开启规则集中的规则标识;
当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,所述网络设备开启所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态;
其中,当攻击检测规则的默认状态为开启状态时,则不允许关闭所述攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则不允许开启所述攻击检测规则。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为开启状态时,所述网络设备将所述规则标识对应的攻击检测规则的开启时间更新为当前时间。
3.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
在所述网络设备将所述规则标识对应的攻击检测规则的智能状态修改为开启状态之后,所述网络设备将所述规则标识对应的攻击检测规则的开启时间设置为当前时间。
4.如权利要求2或3所述的方法,其特征在于,所述方法进一步包括:
当所述网络设备利用所述规则标识对应的攻击检测规则的开启时间确定所述规则标识对应的攻击检测规则已经达到老化时间时,则所述网络设备关闭所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭状态,并清除所述开启时间。
5.一种网络设备,其特征在于,所述网络设备具体包括:
判断模块,用于当有流量匹配到当前已经开启的攻击检测规则时,判断所述当前已经开启的攻击检测规则是否有对应的触发开启规则集;
获得模块,用于当所述当前已经开启的攻击检测规则有对应的触发开启规则集时,则获得所述触发开启规则集中的规则标识;
处理模块,用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为未设置状态或者关闭状态时,则开启所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态修改为开启状态;
其中,当攻击检测规则的默认状态为开启状态时,则不允许关闭所述攻击检测规则;当攻击检测规则的默认状态为关闭状态时,则不允许开启所述攻击检测规则。
6.如权利要求5所述的网络设备,其特征在于,
所述处理模块,还用于当所述规则标识对应的攻击检测规则的默认状态为未设置状态且所述规则标识对应的攻击检测规则的智能状态为开启状态时,将所述规则标识对应的攻击检测规则的开启时间更新为当前时间。
7.如权利要求6所述的网络设备,其特征在于,
所述处理模块,还用于在将所述规则标识对应的攻击检测规则的智能状态修改为开启状态之后,将所述规则标识对应的攻击检测规则的开启时间设置为当前时间。
8.如权利要求6或7所述的网络设备,其特征在于,
所述处理模块,进一步用于当利用所述规则标识对应的攻击检测规则的开启时间确定所述规则标识对应的攻击检测规则已经达到老化时间时,则关闭所述规则标识对应的攻击检测规则,并将所述规则标识对应的攻击检测规则的智能状态由开启状态修改为关闭状态,并清除所述开启时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510200662.8A CN104852909B (zh) | 2015-04-24 | 2015-04-24 | 一种攻击检测规则的开启方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510200662.8A CN104852909B (zh) | 2015-04-24 | 2015-04-24 | 一种攻击检测规则的开启方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104852909A CN104852909A (zh) | 2015-08-19 |
CN104852909B true CN104852909B (zh) | 2019-07-09 |
Family
ID=53852265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510200662.8A Active CN104852909B (zh) | 2015-04-24 | 2015-04-24 | 一种攻击检测规则的开启方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104852909B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592061A (zh) * | 2015-10-27 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种攻击规则的关闭方法和装置 |
CN106059944A (zh) * | 2016-08-18 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种过载保护方法及装置 |
CN106534135B (zh) * | 2016-11-16 | 2020-07-17 | 新华三技术有限公司 | 一种流量检测规则的生成方法及装置 |
CN107547533B (zh) * | 2017-08-24 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种特征规则开启方法及装置 |
CN109088899B (zh) * | 2018-10-30 | 2021-04-27 | 福州大学 | 一种针对xss攻击的apt预警方法 |
CN114430335A (zh) * | 2021-12-16 | 2022-05-03 | 奇安信科技集团股份有限公司 | web指纹匹配方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1642174A (zh) * | 2004-01-15 | 2005-07-20 | 汤姆森许可贸易公司 | 用于防火墙的安全系统和方法及相关产品 |
CN101060521A (zh) * | 2006-04-18 | 2007-10-24 | 华为技术有限公司 | 信息包过滤方法及网络防火墙 |
CN101067843A (zh) * | 2006-05-04 | 2007-11-07 | Sap股份公司 | 用于处理自动识别数据的系统和方法 |
CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
-
2015
- 2015-04-24 CN CN201510200662.8A patent/CN104852909B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1642174A (zh) * | 2004-01-15 | 2005-07-20 | 汤姆森许可贸易公司 | 用于防火墙的安全系统和方法及相关产品 |
CN101060521A (zh) * | 2006-04-18 | 2007-10-24 | 华为技术有限公司 | 信息包过滤方法及网络防火墙 |
CN101067843A (zh) * | 2006-05-04 | 2007-11-07 | Sap股份公司 | 用于处理自动识别数据的系统和方法 |
CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104852909A (zh) | 2015-08-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104852909B (zh) | 一种攻击检测规则的开启方法和设备 | |
US11528287B2 (en) | Threat mitigation system and method | |
CN112769821A (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
CN104168272A (zh) | 一种基于通信行为聚类的木马检测方法 | |
CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
CN114978770A (zh) | 基于大数据的物联网安全风险预警管控方法及系统 | |
CN107609396A (zh) | 一种基于沙箱虚拟机的逃逸检测方法 | |
CN110912882A (zh) | 一种基于智能算法的入侵检测方法及系统 | |
CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
WO2021021737A1 (en) | Threat mitigation system and method | |
CN104852910B (zh) | 一种攻击检测的方法和装置 | |
CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
WO2021243197A1 (en) | Threat mitigation system and method | |
CN109951484B (zh) | 针对机器学习产品进行攻击的测试方法及系统 | |
CN105488394B (zh) | 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统 | |
Nakahara et al. | Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest. | |
EP3024192A1 (en) | Analysing security risks of an industrial automation and control system | |
Chen et al. | An autonomic detection and protection system for denial of service attack | |
CN111416812B (zh) | 一种恶意脚本检测方法、设备及存储介质 | |
CN112311744A (zh) | 一种实时监控网络安全性的监控系统及其监控方法 | |
CN103916399A (zh) | 一种计算机信息安全防御系统 | |
CN118171269A (zh) | 基于生成对抗网络的DevOps容器威胁检测方法与系统 | |
CN117220953A (zh) | 面向网络入侵检测系统的对抗性流量生成方法及系统 | |
CN118260757A (zh) | 一种关于软件病毒传播阶段的预警方法及相关设备 | |
CN115484099A (zh) | 一种网络安全态势预测系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |