CN105681274B - 一种原始告警信息处理的方法及装置 - Google Patents
一种原始告警信息处理的方法及装置 Download PDFInfo
- Publication number
- CN105681274B CN105681274B CN201510958909.2A CN201510958909A CN105681274B CN 105681274 B CN105681274 B CN 105681274B CN 201510958909 A CN201510958909 A CN 201510958909A CN 105681274 B CN105681274 B CN 105681274B
- Authority
- CN
- China
- Prior art keywords
- attack
- source
- destination
- alarm information
- original alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Abstract
本发明涉及网络安全领域,尤其涉及一种原始告警信息处理的方法及装置。该方法为,将原始告警信息分类,确定原始告警信息的攻击类别;根据攻击类别,将原始告警信息分别和预设的正向推理状态机进行特征匹配操作,以及和预设的反向推理状态机进行关联事件匹配操作,在匹配成功后,生成相应的高威胁告警事件;其中,正向推理状态机表征预设的攻击事件特征规则,反向推理状态机表征预设的与攻击事件关联的其他事件,这样,通过正向推理状态机,及早发现受威胁度最高的目的IP及威胁度最高的源IP;通过反向推理状态机,对攻击事件进行行为推理,可以发现没有检测出的攻击甚至0day攻击,且在攻陷后,及早反查出攻击链,进行告警提醒。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种原始告警信息处理的方法及装置。
背景技术
在现网中,网络安全设备,每天会产生海量告警日志,这样,运维人员需花费大量时间和精力来分析每条告警日志。重要的威胁和有价值的信息可能会被淹没。因此,亟需要基于大数据智能分析引擎处理海量告警日志,对告警日志进行提取、过滤或前后推理及提出决策建议,找到对用户威胁较大的事件甚至0day威胁事件。
目前,现有技术中,主要是对原始告警日志进行统计或加权,满足搜索查找,然后手动提取出重要的告警日志。
由此可见,现有技术下,提取出的告警事件仍是原始告警,客户难以理解或者很难发现安全设备未检测出的攻击,不能有效关联前后事件的关系及形成攻击链条展示。
发明内容
本发明实施例提供一种原始告警信息处理的方法及装置,用以通过归并统计及关联分析有效地提取出高威胁告警事件,并可以按照实际攻击步骤,以攻击链的形式展示攻击过程。
本发明实施例提供的具体技术方案如下:
一种原始告警信息处理的方法,包括:
获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别;
针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则;
针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件。
本发明实施例中,获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别;针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则;针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件,这样,通过正向推理状态机,可以及早发现受威胁度最高的目的IP及威胁度最高的源IP;通过反向推理状态机,对攻击事件进行行为推理,可以发现没有检测出的攻击甚至0day攻击,且在攻陷后,可以及早反查出攻击链步骤,生成高威胁告警事件。
较佳的,针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件,具体包括:
计算上述原始告警信息中记录的源IP攻击的目的IP个数,和上述正向推理状态机中记录的上述源IP攻击的多个不同目的IP个数的第一总和,以及,
计算上述原始告警信息中记录的目的IP受攻击的源IP的个数,和上述正向推理状态机中记录的上述目的IP受攻击的多个不同源IP的个数的第二总和,以及,
计算上述原始告警信息中记录的源IP对目的IP的攻击次数,和上述正向推理状态机中记录的上述源IP对上述目的IP的攻击次数的第三总和,以及,
计算上述原始告警信息中记录的源IP对目的IP的攻击类型个数,和上述正向推理状态机中记录的上述源IP对上述目的IP的多个不同攻击类型个数的第四总和;
确定上述第一总和达到预设的第一阈值,和/或,上述第二总和达到预设的第二阈值时,和/或,上述第三总和达到预设的第三阈值,和/或,上述第四总和达到预设的第四阈值时,判定匹配成功,并将上述原始告警信息中记载的上述源IP对上述目的IP的攻击事件作为高威胁告警事件;其中,上述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类型个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数。
较佳的,针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件,具体包括:
根据原始告警信息中记录的源IP和目的IP的攻击事件,判断反向推理状态机中是否记录有上述源IP对上述目的IP的具有高风险标识的攻击事件或上述源IP受到的具有高风险标识的攻击事件,确定存在时,确定关联匹配成功,并将上述原始告警信息中记录的涉及上述源IP和上述目的IP的关联事件作为高威胁告警事件;其中,上述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
较佳的,进一步包括:
若上述特征匹配操作未成功,则根据上述原始告警信息中记录的源IP对目的IP的攻击次数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击次数,以及根据上述原始告警信息中记录的源IP对目的IP的攻击类型个数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击类型个数,以及根据上述原始告警信息中记录的源IP攻击的目的IP个数,更新上述正向推理状态机中上述源IP攻击的目的IP个数,以及根据上述原始告警信息中记录的目的IP受攻击的源IP个数,更新上述正向推理状态机中上述目的IP受攻击的源IP个数;
若上述关联事件匹配操作未成功,则将上述原始告警信息中记录的源IP对目的IP的攻击事件及对应的风险标识保存到上述反向推理状态机中。
较佳的,进一步包括:
在第三预设时间内,若上述正向推理状态机中记录的任意一目的IP未参加特征匹配操作,则将上述任意一目的IP从正向推理状态中删除。
这样,可以防止状态老化,及时更新正向推理状态机中的内容。
一种原始告警信息处理的装置,包括:
处理单元,用于获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别;
正向推理单元,用于针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则;
反向推理单元,用于针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件。
本发明实施例中,获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别;针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则;针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件,这样,通过正向推理状态机,可以及早发现受威胁度最高的目的IP及威胁度最高的源IP;通过反向推理状态机,对攻击事件进行行为推理,可以发现没有检测出的攻击甚至0day攻击,且在攻陷后,可以及早反查出攻击链步骤,生成高威胁告警事件。
较佳的,针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件时,正向推理单元具体用于:
计算上述原始告警信息中记录的源IP攻击的目的IP个数,和上述正向推理状态机中记录的上述源IP攻击的多个不同目的IP个数的第一总和,以及,
计算上述原始告警信息中记录的目的IP受攻击的源IP的个数,和上述正向推理状态机中记录的上述目的IP受攻击的多个不同源IP的个数的第二总和,以及,
计算上述原始告警信息中记录的源IP对目的IP的攻击次数,和上述正向推理状态机中记录的上述源IP对上述目的IP的攻击次数的第三总和,以及,
计算上述原始告警信息中记录的源IP对目的IP的攻击类型个数,和上述正向推理状态机中记录的上述源IP对上述目的IP的多个不同攻击类型个数的第四总和;
确定上述第一总和达到预设的第一阈值,和/或,上述第二总和达到预设的第二阈值时,和/或,上述第三总和达到预设的第三阈值,和/或,上述第四总和达到预设的第四阈值时,判定匹配成功,并将上述原始告警信息中记载的上述源IP对上述目的IP的攻击事件作为高威胁告警事件;其中,上述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类型个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数。
较佳的,针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件时,反向推理单元具体用于:
根据原始告警信息中记录的源IP和目的IP的攻击事件,判断反向推理状态机中是否记录有上述源IP对上述目的IP的具有高风险标识的攻击事件或上述源IP受到的具有高风险标识的攻击事件,确定存在时,确定关联匹配成功,并将上述原始告警信息中记录的涉及上述源IP和上述目的IP的关联事件作为高威胁告警事件;其中,上述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
较佳的,正向推理单元进一步用于:
若上述特征匹配操作未成功,则根据上述原始告警信息中记录的源IP对目的IP的攻击次数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击次数,以及根据上述原始告警信息中记录的源IP对目的IP的攻击类型个数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击类型个数,以及根据上述原始告警信息中记录的源IP攻击的目的IP个数,更新上述正向推理状态机中上述源IP攻击的目的IP个数,以及根据上述原始告警信息中记录的目的IP受攻击的源IP个数,更新上述正向推理状态机中上述目的IP受攻击的源IP个数;
若上述关联事件匹配操作未成功,则将上述原始告警信息中记录的源IP对目的IP的攻击事件及对应的风险标识保存到上述反向推理状态机中。
较佳的,正向推理单元进一步用于:
在第三预设时间内,若上述正向推理状态机中记录的任意一目的IP未参加特征匹配操作,则将上述任意一目的IP从正向推理状态中删除。
附图说明
图1为本发明实施例中原始告警信息处理方法流程示意图;
图2为本发明实施例中部分反向推理状态机的示意图;
图3为本发明实施例中原始告警信息处理装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高对原始告警信息的处理效率及形成告警事件的关联,本发明实施例中,将原始告警信息划分到不同的攻击类别中,然后分别和预设的正向推理状态机和预设的反向推理状态机进行相应的匹配操作,如果匹配成功,即达到某一条件,则将原始告警信息中记载的攻击事件或关联事件作为高威胁告警事件,及时发现原始告警中的高威胁攻击事件。
下面通过具体实施例对本发明方案进行详细描述,当然,本发明并不限于以下实施例。
参阅图1所示,本发明实施例中,原始告警信息处理方法的具体流程如下:
步骤100:获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别。
实际中,网络安全设备,例如入侵预防系统(Intrusion-prevention system,IPS)、防火墙等,每天会产生大量的原始告警信息,一般都会每隔一段时间来分析这些原始告警信息,例如,为5分钟。
实际应用中,一条原始告警信息中通常至少记录有一个源IP对一个目的IP的攻击事件,例如:源IP:192.168.0.110对目的IP:167.77.88.99进行扫描攻击。
获取5分钟内新产生的原始告警信息,根据原始告警信息的类型标签字段和原始告警信息的上下文,确定该原始告警信息的攻击类别,其中,本发明实施例中,预先设定的攻击类别为以下5类:探测扫描,尝试入侵,入侵成功,安装工具,危害与影响,这是按照攻击链进行划分的,这样易于给客户展示攻击链条和进行攻击溯源展示。
例如,5分钟内,产生的原始告警信息中的相同源IP的攻击类型标签字段>=4种或本身攻击类型标签字段为扫描告警,则确定该原始告警信息的攻击类别为探测扫描。
步骤110:针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则。
其中,上述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类型个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数。
执行步骤110时,具体包括:
首先,将原始告警信息发送到预设的正向推理状态机中。
然后,根据其攻击类别,执行对应上述攻击类别设置的特征匹配操作,具体包括:计算上述原始告警信息中记录的源IP攻击的目的IP个数,和上述正向推理状态机中记录的上述源IP攻击的多个不同目的IP个数的第一总和,以及,计算上述原始告警信息中记录的目的IP受攻击的源IP的个数,和上述正向推理状态机中记录的上述目的IP受攻击的多个不同源IP的个数的第二总和,以及,计算上述原始告警信息中记录的源IP对目的IP的攻击次数,和上述正向推理状态机中记录的上述源IP对上述目的IP的攻击次数的第三总和,以及,计算上述原始告警信息中记录的源IP对目的IP的攻击类型个数,和上述正向推理状态机中记录的上述源IP对上述目的IP的多个不同攻击类型个数的第四总和。
最后,确定上述第一总和达到预设的第一阈值,和/或,上述第二总和达到预设的第二阈值时,和/或,上述第三总和达到预设的第三阈值,和/或,上述第四总和达到预设的第四阈值时,则判定匹配成功,并将上述原始告警信息中记载的上述源IP对上述目的IP的攻击事件作为高威胁告警事件。
这样,可以及早发现受威胁度最高的目的IP及威胁度最高的源IP。
例如,正向推理状态机中,预设的第一源IP攻击的目的IP个数阈值为5,而该正向推理状态机中已经记录的该第一源IP攻击的目的IP个数为4,当然,这里记录的是第一源IP攻击的不同目的IP的个数,也就是说,该第一源IP已经攻击了4个不同的目的IP,这时,如果原始告警信息中记录有该第一源IP攻击了某一个目的IP,且该某一个目的IP不同于正向推理状态机中已经记录的第一源IP攻击的4个目的IP,则该原始告警信息匹配上述正向推理状态机时,该第一源IP攻击的目的IP个数就达到预设的阈值5,那么就认为该第一源IP为高威胁攻击源,必要应进行隔离或列入黑名单。
再例如,正向推理状态机中,预设的第一目的IP受攻击的源IP个数阈值为10,而该正向推理状态机中已经记录的该第一目的IP的受攻击的不同源IP攻击个数为9,也就是说,上述第一目的IP已经受到了9个不同源IP的攻击,这时,如果原始告警信息中记录有某一个源IP对该第一目的IP进行了攻击,且该某一个源IP不同于正向推理状态机中已经记录的第一目的IP受攻击的9个源IP,则该第一目的IP受攻击的源IP个数就达到预设的阈值10,即该原始告警信息匹配成功上述正向推理状态机,那么就认为该第一目的IP为受威胁度最高的目的IP,应进行重点保护。
再例如,正向推理状态机中,预设的第二源IP对第二目的IP的攻击次数阈值为100,预设的第二源IP对第二目的IP的攻击类型个数阈值为6。如果原始告警信息中记录有上述第二源IP对上述第二目的IP进行了攻击和攻击类型,而该正向推理状态机中已经记录的上述第二源IP对上述第二目的IP的攻击次数为99,或,该正向推理状态机中已经记录的上述第二源IP对上述第二目的IP的攻击类型个数为5,且正向推理状态机中记录的上述第二源IP对上述第二目的IP的5个攻击类型不同于上述原始告警信息中记录的攻击类型,则该原始告警信息匹配上述正向推理状态机时,第二源IP对第二目的IP的攻击次数就达到了阈值100,或,第二源IP对第二目的IP的攻击类型个数就达到了阈值6,即该原始告警信息匹配成功上述正向推理状态机,那么就认为上述第二源IP持续攻击上述第二目的IP。
其中,预设的正向推理状态机中记录第一预设时间内的各个原始告警信息中的攻击事件对应的源IP对目的IP的攻击次数、源IP对目的IP的攻击类型个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数,具体的记录以下内容:
1)统计每一个源IP的攻击范围,即每一个源IP攻击的多个不同的目的IP,并记录每一个源IP攻击的目的IP个数。
2)统计每一个目的IP受到威胁的来源范围,即每一个目的IP遭受多个不同源IP的攻击,并记录每一个目的IP受攻击的源IP个数。
3)统计源IP对目的IP的攻击次数和攻击类型,即上述源IP对上述目的IP攻击的次数和攻击类型,并记录上述源IP对上述目的IP的攻击次数和攻击类型个数。
进一步地,若读取某一条原始告警信息后,所执行的特征匹配操作未成功,则根据该原始告警信息中记录的源IP对目的IP的攻击次数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击次数,即将正向推理状态机中记录的上述源IP对上述目的IP的攻击次数加1;以及,
根据上述原始告警信息中记录的源IP对目的IP的攻击类型个数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击类型个数,即如果上述原始告警信息中记录的攻击类型不同于正向推理状态机中记录的上述源IP对上述目的IP的攻击类型,则将正向推理状态机中记录的上述源IP对上述目的IP的攻击类型个数加1,否则,正向推理状态机中记录的上述源IP对上述目的IP的攻击类型个数不变;以及,
根据上述原始告警信息中记录的源IP攻击的目的IP个数,更新上述正向推理状态机中上述源IP攻击的目的IP个数,即如果上述原始告警信息中记录的源IP攻击的目的IP不同于正向推理状态机中记录的上述源IP攻击的任一个目的IP,则将正向推理状态机中记录的上述源IP攻击的目的IP个数加1,否则,正向推理状态机中记录的上述源IP攻击的目的IP个数不变;以及,
根据上述原始告警信息中记录的目的IP受攻击的源IP个数,更新上述正向推理状态机中上述目的IP受攻击的源IP个数,即如果上述原始告警信息中记录的目的IP受攻击的源IP不同于正向推理状态机中记录的上述目的IP受攻击的任一个源IP,则将正向推理状态机中记录的上述目的IP受攻击的源IP个数加1,否则,正向推理状态机中记录的上述目的IP受攻击的源IP个数不变。
进一步地,在第三预设时间内,例如1天,若上述正向推理状态机中记录的任意一目的IP未参加特征匹配操作,也就是说,正向推理状态机中记录的任意一个目的IP在第三预设时间内,一直都没有新的对应于该任意一个目的IP的攻击事件,则将上述任意一目的IP从正向推理状态中删除,这样,可以防止状态老化,及时更新正向推理状态机。
步骤120:针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件。
其中,上述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
在执行完步骤110后,将上述原始告警信息发送到预设的反向推理状态机中,当上述原始告警信息的攻击类别为入侵成功,或安装工具,或危害与影响时,就会执行上述攻击类型对应的关联匹配操作,即根据原始告警信息中记录的源IP和目的IP的攻击事件,判断反向推理状态机中是否记录有上述源IP对上述目的IP的具有高风险标识的攻击事件或上述源IP受到的具有高风险标识的攻击事件,确定存在时,确定关联匹配成功,并将上述原始告警信息中记录的涉及上述源IP和上述目的IP的关联事件作为高威胁告警事件。
其中,反向推理状态机中记录的源IP对目的IP的具有高风险标识的攻击事件,并不一定和原始告警信息中的上述源IP对上述目的IP的攻击事件相同。
例如:当发现一个源IP对一个目的IP登录成功时,会反查反向推理状态机中最近该源IP对目的IP是否有暴力破解行为或其它高风险攻击行为,如果有,则将上述源IP对上述目的IP的登陆成功事件作为高威胁告警事件,表明上述源IP对上述目的IP的登陆成功为异常登陆成功,且之前的暴力破解行为是成功的。
再例如:发现内网中源IP对目的IP进行蠕虫传播,则会反查反向推理状态机中此源IP最近是否受到高风险攻击行为,如果有,则将上述源IP对上述目的IP的蠕虫传播作为高威胁告警事件。
进一步地,若上述关联事件匹配操作未成功,则将上述原始告警信息中记录的源IP对目的IP的攻击事件及对应的风险标识保存到上述反向推理状态机中。
这样,通过预设的反向推理状态机,发现设备没有检测出的攻击甚至0day攻击,或在攻陷后,及早反查出攻击链步骤,生成高威胁告警事件。
进一步地,通过上述正向推理状态机和反向推理状态机中内容的不断更新,可以扩展知识库的内容,进行层级展示,更好地用于对原始告警信息的处理。
参阅图2所示,为部分反向推理状态机的示意图。
将原始告警信息按照预设的攻击类别进行划分后,分别匹配正向推理状态机和反向推理状态机。对于反向推理状态机,对应于图2,进行举例。
其中,登陆成功、暴力破解、内网中源IP对外发起攻击、手工入侵攻击都属于是上述5个划分的攻击类别中的具体事件。
例如,原始告警信息中记录源IP对目的IP登陆成功,则判断在反向推理状态机中是否已记录有上述源IP对上述目的IP的探测扫描攻击行为,如果有,则将上述源IP对上述目的IP的登陆成功事件作为异常登陆告警事件;或/和,判断在反向推理状态机中是否已记录有上述源IP对上述目的IP的暴力破解攻击行为,如果有,则将上述源IP对上述目的IP的登陆成功事件作为异常登陆告警事件,且表明之前的暴力破解攻击可能已经成功。
再例如,原始告警信息中的攻击事件为内网中源IP对外发起攻击,则判断在反向推理状态机中是否已记录有该源IP受到的手工入侵攻击行为,如果有,则将该源IP对外发起的攻击事件作为高威胁告警事件,表明该源IP已被攻陷。
基于上述实施例,参阅图3所示,本发明实施例中,原始告警信息处理装置,具体包括:
处理单元30,用于获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别;
正向推理单元31,用于针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则;
反向推理单元32,用于针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件。
较佳的,针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件时,正向推理单元31具体用于:
计算上述原始告警信息中记录的源IP攻击的目的IP个数,和上述正向推理状态机中记录的上述源IP攻击的多个不同目的IP个数的第一总和,以及,
计算上述原始告警信息中记录的目的IP受攻击的源IP的个数,和上述正向推理状态机中记录的上述目的IP受攻击的多个不同源IP的个数的第二总和,以及,
计算上述原始告警信息中记录的源IP对目的IP的攻击次数,和上述正向推理状态机中记录的上述源IP对上述目的IP的攻击次数的第三总和,以及,
计算上述原始告警信息中记录的源IP对目的IP的攻击类型个数,和上述正向推理状态机中记录的上述源IP对上述目的IP的多个不同攻击类型个数的第四总和;
确定上述第一总和达到预设的第一阈值,和/或,上述第二总和达到预设的第二阈值时,和/或,上述第三总和达到预设的第三阈值,和/或,上述第四总和达到预设的第四阈值时,判定匹配成功,并将上述原始告警信息中记载的上述源IP对上述目的IP的攻击事件作为高威胁告警事件;其中,上述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类型个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数。
较佳的,针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件时,反向推理单元32具体用于:
根据原始告警信息中记录的源IP和目的IP的攻击事件,判断反向推理状态机中是否记录有上述源IP对上述目的IP的具有高风险标识的攻击事件或上述源IP受到的具有高风险标识的攻击事件,确定存在时,确定关联匹配成功,并将上述原始告警信息中记录的涉及上述源IP和上述目的IP的关联事件作为高威胁告警事件;其中,上述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
较佳的,正向推理单元31进一步用于:
若上述特征匹配操作未成功,则根据上述原始告警信息中记录的源IP对目的IP的攻击次数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击次数,以及根据上述原始告警信息中记录的源IP对目的IP的攻击类型个数,更新上述正向推理状态机中上述源IP对上述目的IP的攻击类型个数,以及根据上述原始告警信息中记录的源IP攻击的目的IP个数,更新上述正向推理状态机中上述源IP攻击的目的IP个数,以及根据上述原始告警信息中记录的目的IP受攻击的源IP个数,更新上述正向推理状态机中上述目的IP受攻击的源IP个数;
若上述关联事件匹配操作未成功,则将上述原始告警信息中记录的源IP对目的IP的攻击事件及对应的风险标识保存到上述反向推理状态机中。
较佳的,正向推理单元31进一步用于:
在第三预设时间内,若上述正向推理状态机中记录的任意一目的IP未参加特征匹配操作,则将上述任意一目的IP从正向推理状态中删除。
综上所述,本发明实施例中,获取原始告警信息,以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文,确定上述原始告警信息的攻击类别;针对上述原始告警信息和预设的正向推理状态机,执行对应上述攻击类别设置的特征匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,上述正向推理状态机表征预设的攻击事件特征规则;针对上述原始告警信息和预设的反向推理状态机,执行对应上述攻击类型设置的关联事件匹配操作,在确定匹配成功后,将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,上述反向推理状态机表征预设的与攻击事件关联的其他事件,这样,通过正向推理状态机,可以及早发现受威胁度最高的目的IP及威胁度最高的源IP;通过反向推理状态机,对攻击事件进行行为推理,可以发现没有检测出的攻击甚至0day攻击,且在攻陷后,可以及早反查出攻击链步骤,生成高威胁告警事件。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种原始告警信息处理的方法,其特征在于,包括:
获取原始告警信息,以及根据所述原始告警信息的类型标签字段和所述原始告警信息的上下文,确定所述原始告警信息归属的预设的攻击类别;
针对所述原始告警信息和预设的正向推理状态机,执行对应所述攻击类别设置的特征匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,所述正向推理状态机表征预设的攻击事件特征规则;所述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类别个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数;
针对所述原始告警信息和预设的反向推理状态机,执行对应所述攻击类别设置的关联事件匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,所述反向推理状态机表征预设的与攻击事件关联的其他事件;所述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
2.如权利要求1所述的方法,其特征在于,针对所述原始告警信息和预设的正向推理状态机,执行对应所述攻击类别设置的特征匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件作为高威胁告警事件,具体包括:
计算所述原始告警信息中记录的源IP攻击的目的IP个数,和所述正向推理状态机中记录的所述源IP攻击的多个不同目的IP个数的第一总和,以及,
计算所述原始告警信息中记录的目的IP受攻击的源IP的个数,和所述正向推理状态机中记录的所述目的IP受攻击的多个不同源IP的个数的第二总和,以及,
计算所述原始告警信息中记录的源IP对目的IP的攻击次数,和所述正向推理状态机中记录的所述源IP对所述目的IP的攻击次数的第三总和,以及,
计算所述原始告警信息中记录的源IP对目的IP的攻击类别个数,和所述正向推理状态机中记录的所述源IP对所述目的IP的多个不同攻击类别个数的第四总和;
确定所述第一总和达到预设的第一阈值,和/或,所述第二总和达到预设的第二阈值时,和/或,所述第三总和达到预设的第三阈值,和/或,所述第四总和达到预设的第四阈值时,判定匹配成功,并将所述原始告警信息中记载的所述源IP对所述目的IP的攻击事件作为高威胁告警事件。
3.如权利要求2所述的方法,其特征在于,针对所述原始告警信息和预设的反向推理状态机,执行对应所述攻击类别设置的关联事件匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件,具体包括:
根据原始告警信息中记录的源IP和目的IP的攻击事件,判断反向推理状态机中是否记录有所述源IP对所述目的IP的具有高风险标识的攻击事件或所述源IP受到的具有高风险标识的攻击事件,确定存在时,确定关联匹配成功,并将所述原始告警信息中记录的涉及所述源IP和所述目的IP的关联事件作为高威胁告警事件。
4.如权利要求1-3任一项所述的方法,其特征在于,进一步包括:
若所述特征匹配操作未成功,则根据所述原始告警信息中记录的源IP对目的IP的攻击次数,更新所述正向推理状态机中所述源IP对所述目的IP的攻击次数,以及根据所述原始告警信息中记录的源IP对目的IP的攻击类别个数,更新所述正向推理状态机中所述源IP对所述目的IP的攻击类别个数,以及根据所述原始告警信息中记录的源IP攻击的目的IP个数,更新所述正向推理状态机中所述源IP攻击的目的IP个数,以及根据所述原始告警信息中记录的目的IP受攻击的源IP个数,更新所述正向推理状态机中所述目的IP受攻击的源IP个数;
若所述关联事件匹配操作未成功,则将所述原始告警信息中记录的源IP对目的IP的攻击事件及对应的风险标识保存到所述反向推理状态机中。
5.如权利要求4所述的方法,其特征在于,进一步包括:
在第三预设时间内,若所述正向推理状态机中记录的任意一目的IP未参加特征匹配操作,则将所述任意一目的IP从正向推理状态中删除。
6.一种原始告警信息处理的装置,其特征在于,包括:
处理单元,用于获取原始告警信息,以及根据所述原始告警信息的类型标签字段和所述原始告警信息的上下文,确定所述原始告警信息归属的预设的攻击类别;
正向推理单元,用于针对所述原始告警信息和预设的正向推理状态机,执行对应所述攻击类别设置的特征匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件作为高威胁告警事件;其中,所述正向推理状态机表征预设的攻击事件特征规则;所述正向推理状态机中至少记录有第一预设时间内的各个原始告警信息中的攻击事件对应的源IP、目的IP、源IP对目的IP的攻击次数、源IP对目的IP的攻击类别个数、源IP攻击的目的IP个数,目的IP受攻击的源IP个数;
反向推理单元,用于针对所述原始告警信息和预设的反向推理状态机,执行对应所述攻击类别设置的关联事件匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件;其中,所述反向推理状态机表征预设的与攻击事件关联的其他事件;所述反向推理状态机中至少记录有第二预设时间内的原始告警信息中的各个攻击事件的风险标识。
7.如权利要求6所述的装置,其特征在于,针对所述原始告警信息和预设的正向推理状态机,执行对应所述攻击类别设置的特征匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件作为高威胁告警事件时,正向推理单元具体用于:
计算所述原始告警信息中记录的源IP攻击的目的IP个数,和所述正向推理状态机中记录的所述源IP攻击的多个不同目的IP个数的第一总和,以及,
计算所述原始告警信息中记录的目的IP受攻击的源IP的个数,和所述正向推理状态机中记录的所述目的IP受攻击的多个不同源IP的个数的第二总和,以及,
计算所述原始告警信息中记录的源IP对目的IP的攻击次数,和所述正向推理状态机中记录的所述源IP对所述目的IP的攻击次数的第三总和,以及,
计算所述原始告警信息中记录的源IP对目的IP的攻击类别个数,和所述正向推理状态机中记录的所述源IP对所述目的IP的多个不同攻击类别个数的第四总和;
确定所述第一总和达到预设的第一阈值,和/或,所述第二总和达到预设的第二阈值时,和/或,所述第三总和达到预设的第三阈值,和/或,所述第四总和达到预设的第四阈值时,判定匹配成功,并将所述原始告警信息中记载的所述源IP对所述目的IP的攻击事件作为高威胁告警事件。
8.如权利要求7所述的装置,其特征在于,针对所述原始告警信息和预设的反向推理状态机,执行对应所述攻击类别设置的关联事件匹配操作,在确定匹配成功后,将所述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件时,反向推理单元具体用于:
根据原始告警信息中记录的源IP和目的IP的攻击事件,判断反向推理状态机中是否记录有所述源IP对所述目的IP的具有高风险标识的攻击事件或所述源IP受到的具有高风险标识的攻击事件,确定存在时,确定关联匹配成功,并将所述原始告警信息中记录的涉及所述源IP和所述目的IP的关联事件作为高威胁告警事件。
9.如权利要求6-8任一项所述的装置,其特征在于,正向推理单元进一步用于:
若所述特征匹配操作未成功,则根据所述原始告警信息中记录的源IP对目的IP的攻击次数,更新所述正向推理状态机中所述源IP对所述目的IP的攻击次数,以及根据所述原始告警信息中记录的源IP对目的IP的攻击类别个数,更新所述正向推理状态机中所述源IP对所述目的IP的攻击类别个数,以及根据所述原始告警信息中记录的源IP攻击的目的IP个数,更新所述正向推理状态机中所述源IP攻击的目的IP个数,以及根据所述原始告警信息中记录的目的IP受攻击的源IP个数,更新所述正向推理状态机中所述目的IP受攻击的源IP个数;
若所述关联事件匹配操作未成功,则将所述原始告警信息中记录的源IP对目的IP的攻击事件及对应的风险标识保存到所述反向推理状态机中。
10.如权利要求9所述的装置,其特征在于,正向推理单元进一步用于:
在第三预设时间内,若所述正向推理状态机中记录的任意一目的IP未参加特征匹配操作,则将所述任意一目的IP从正向推理状态中删除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510958909.2A CN105681274B (zh) | 2015-12-18 | 2015-12-18 | 一种原始告警信息处理的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510958909.2A CN105681274B (zh) | 2015-12-18 | 2015-12-18 | 一种原始告警信息处理的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105681274A CN105681274A (zh) | 2016-06-15 |
| CN105681274B true CN105681274B (zh) | 2019-02-01 |
Family
ID=56189597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510958909.2A Active CN105681274B (zh) | 2015-12-18 | 2015-12-18 | 一种原始告警信息处理的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681274B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111294233A (zh) * | 2018-12-11 | 2020-06-16 | 国网信息通信产业集团有限公司 | 网络告警统计分析方法、系统及计算机可读存储介质 |
| CN110362536A (zh) * | 2019-07-15 | 2019-10-22 | 北京工业大学 | 基于告警关联的日志密文检索方法 |
| CN110809010B (zh) * | 2020-01-08 | 2020-05-08 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
| CN112131249A (zh) * | 2020-09-28 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种攻击意图识别方法及装置 |
| CN112887310B (zh) * | 2021-01-27 | 2022-09-20 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113489680B (zh) * | 2021-06-07 | 2023-10-24 | 广发银行股份有限公司 | 网络攻击威胁等级评估模型、评估方法、终端及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
| CN101076013A (zh) * | 2006-05-19 | 2007-11-21 | 上海三零卫士信息安全有限公司 | 一种网络数据智能漂移引导系统及其数据漂移引导方法 |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7725936B2 (en) * | 2003-10-31 | 2010-05-25 | International Business Machines Corporation | Host-based network intrusion detection systems |
-
2015
- 2015-12-18 CN CN201510958909.2A patent/CN105681274B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101076013A (zh) * | 2006-05-19 | 2007-11-21 | 上海三零卫士信息安全有限公司 | 一种网络数据智能漂移引导系统及其数据漂移引导方法 |
| CN101034974A (zh) * | 2007-03-29 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 基于时间序列和事件序列的关联分析攻击检测方法和装置 |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN101697545A (zh) * | 2009-10-29 | 2010-04-21 | 成都市华为赛门铁克科技有限公司 | 安全事件关联方法、装置及网络服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 解析防火墙规则的专家系统的研究与实现;王玉刚;《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》;20061215;全文 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105681274A (zh) | 2016-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105681274B (zh) | 一种原始告警信息处理的方法及装置 | |
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| Li | Using genetic algorithm for network intrusion detection | |
| CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| JP6528448B2 (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| CN107819731B (zh) | 一种网络安全防护系统及相关方法 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN110545280B (zh) | 一种基于威胁检测准确度的量化评估方法 | |
| CN112819336A (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| TWI476628B (zh) | 以惡意程式特徵分析為基礎之資安風險評估系統 | |
| CN108462714A (zh) | 一种基于系统弹性的apt防御系统及其防御方法 | |
| CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
| CN108200095B (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
| CN110474878A (zh) | 基于动态阈值的DDoS攻击态势预警方法和服务器 | |
| CN113992386A (zh) | 一种防御能力的评估方法、装置、存储介质及电子设备 | |
| CN114143064A (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
| CN113381980A (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
| CN104580087A (zh) | 一种免疫网络系统 | |
| CN106453235A (zh) | 网络安全方法 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| CN107623677B (zh) | 数据安全性的确定方法和装置 | |
| CN115694965A (zh) | 一种电力行业网络安全密网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200313 Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee after: NSFOCUS TECHNOLOGIES Inc. Patentee after: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Co-patentee after: Shenzhou Lvmeng Chengdu Technology Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee before: NSFOCUS TECHNOLOGIES Inc. Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee after: NSFOCUS TECHNOLOGIES Inc. Patentee after: NSFOCUS Technologies Group Co.,Ltd. Co-patentee after: Shenzhou Lvmeng Chengdu Technology Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee before: NSFOCUS TECHNOLOGIES Inc. Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Co-patentee before: Shenzhou Lvmeng Chengdu Technology Co.,Ltd. |