CN106209826A - 一种网络安全设备监测的安全事件分析方法 - Google Patents
一种网络安全设备监测的安全事件分析方法 Download PDFInfo
- Publication number
- CN106209826A CN106209826A CN201610534869.3A CN201610534869A CN106209826A CN 106209826 A CN106209826 A CN 106209826A CN 201610534869 A CN201610534869 A CN 201610534869A CN 106209826 A CN106209826 A CN 106209826A
- Authority
- CN
- China
- Prior art keywords
- event
- network
- daily record
- equipment
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络安全设备监测的安全事件分析方法,包括如下步骤:根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志,将上述日志分成普通事件、异常事件和安全事件,从普通事件的集合中通过异常识别方法寻找出异常事件,从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件;本发明通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态。
Description
技术领域
本发明属于计算机信息安全技术领域, 特别是涉及一种面向电子政务内网的综合网络监测的安全事件分析方法。
背景技术
随着电子政务内网的规模日渐庞大,对网络进行全面监控、保障信息安全的工作日益复杂。为了能够真正做到全面感知内网发生的情况,尤其是安全状况,相关管理部门采用了众多网络管理工具对网络进行监控与管理。
对于目前实施保护的重要信息系统均借助多种类多厂商安全设备,这些设备与被保护对象共同构成多源异构高并发数据环境。为了有效地完成对数据环境的安全感知,需要一种通用事件采集设备,对采集事件知识化与体系化。
在网络监测的应用场景里,网络安全管理工具会直接或者间接地借助各类网络安全设备,通过综合各方面采集得到的日志信息,管理员能够充分理解网络安全态势。
目前,网络安全监管存在一定的问题。其中,最关键的是如何理解采集的日志信息集合。针对不同厂商的不同设备,如何衡量日志信息的信息量与内容是理解网络安全态势的基础。
另外,针对电子政务内网的应用场景,如何针对重要事件进行分类缺乏有效规范及技术实现方案。
发明内容
本发明的目的在于提供一种适用于网络安全设备监测的安全事件分析方法,从而满足对网络中采集日志信息的高效融合的要求,进而解释网络中发生的各种态势。
本发明解决其技术问题所采用的技术方案是:一种网络安全设备监测的安全事件分析方法,包括如下步骤
a),日志的识别
根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志;所述的应用日志为安全设备与其系统的主要功能组件对外提供服务所产生的日志;所述的系统日志为安全设备与其系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志;所述的安全日志为安全设备在其系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统、进行系统配置管理、进行授权管理所产生的日志;
b),日志的分类
将上述日志分成普通事件、异常事件和安全事件;所述的普通事件代表正常的网络记录;所述的异常事件代表违反网络管理规则或者明显与正常行为存在差异的事件;所述的安全事件代表通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件;
c),异常事件的转化
从普通事件的集合中通过异常识别方法寻找出异常事件,将找到的异常事件与从网络中直接搜集到的异常事件组成异常事件的集合,即将所有异常事件以规格化的方式存放在一起;
d),安全事件的转化
从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件,即可将找到的安全事件与从网络直接搜集到的安全事件组成安全事件的集合。
进一步,所述的步骤b)中,计算机设备在运行过程中产生的正常性能采样点数据被分类为普通事件,产生的异常性能采样点数据被分类为异常事件。
进一步,所述的步骤b)中,计算机设备在运行过程中将产生的正常流量采样点数据被分类为普通事件,产生的异常流量采样点数据被分类为异常事件。
进一步,所述步骤d)中的安全事件的集合由直接取证过程与间接取证过程得到的结果集合组成;所述的间接取证过程为通过威胁行为模型与违规操作行为模型进行安全事件识别的过程,所述的安全事件间接取证部分包括异常事件集合与安全事件集合的交集部分;所述的直接取证过程为直接从网络安全设备中读取安全事件的过程。
所述的一种网络安全设备监测的安全事件分析方法,其安全设备包括入侵检测类设备、病毒检测类设备、防火墙类设备、安全审计类设备、计算机及网络设备。
进一步,所述的入侵检测类设备包括网络IDS、主机IDS和IPS。
进一步,所述的病毒检测类设备包括防毒墙和病毒扫描主机。
进一步,所述的防火墙类设备包括软硬件防火墙、单一主机防火墙、路由器集成防火墙和分布式防火墙。
进一步,所述的安全审计类设备包括统一用户管理模块、统一授权管理模块、统一访问控制管理摸、主机监控审计模块、网络行为审计模块和数据库审计。
进一步,所述的计算机及网络设备包括Windows服务器、Linux服务器和三层交换机。
本发明的有益效果是:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实;具体详细的事件分类易于完成信息的识别。
附图说明
图1为本发明事件体系动态调整过程;
图2为本发明各事件集合间的关系;
图3为本发明异常事件集合与安全事件集合的关系;
图4为本发明普通事件的集合;
图5为本发明异常事件的集合;
图6为本发明威胁行为的分类;
图7为本发明违规操作行为的分类;
图8为本发明安全事件的集合。
具体实施方式
下面结合附图对本发明作进一步详细说明。
参照图1所示,本发明公开了一种面向电子政务内网、适用于网络安全监测的事件分析方法,其基本适用环境中,应该包括以下安全设备:
(1)入侵检测类设备,包括网络IDS(入侵检测系统)、主机IDS、IPS等设备。
(2)病毒检测类设备,包括防毒墙、主机病毒扫描等。
(3)防火墙类设备,包括软硬件防火墙、单一主机防火墙、路由器集成防火墙、分布式防火墙等。
(4)安全审计类设备,包括统一用户管理、统一授权管理、统一访问控制管理、主机监控审计、网络行为审计、数据库审计等。
(5)计算机及网络设备,包括Windows服务器、Linux服务器、三层交换机等。
上述提到的设备类型均能够产生以下三类日志:
(1)应用日志:安全设备与系统的主要功能组件对外提供服务所产生的日志。
(2)系统日志:安全设备与系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志。计算机设备在运行过程中将会产生系统日志。系统日志根据异常识别模型(异常识别模型是为了检测安全设备工作产生的日志是否违背正常工作状态而设计的模型。该模型根据实际需求可以简化,例如利用关键字识别异常日志,也可以用学术界讨论中的复杂模型)分为正常的系统日志和异常系统日志。
(3)安全日志:安全设备与系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统,进行系统配置管理,进行授权管理所产生的日志。
以上五类安全设备共产生十五种不同类型的日志。
其中,系统日志根据异常识别模型分为正常的系统日志和异常系统日志。
同时,计算机设备在运行过程中将产生性能数据。根据性能异常识别模型分为异常状态与正常状态,其中正常性能采样点数据(当该时间点被异常识别模型识别为正常的时候,在该时间点与主机性能相关的数值将被记录下来,作为事件,下同)被分类为普通事件,异常性能采样点数据被分类为异常事件。其中,性能异常识别模型是根据历史数据或正常状态下性能状态,寻找出与正常状态相差过大的数据。性能异常识别模型能够很简单,如设定阈值来判断异常与否;也能够用比较复杂的数学模型。
另外,计算机设备在运行过程中将产生流量数据。根据流量异常识别模型分为异常状态与正常状态。其中正常流量采样点数据被分类为普通事件,异常流量采样点数据被分类为异常事件。
首先,将所有正常的安全日志合并为一份安全日志。
然后,各类安全设备的异常日志合并成一份该类设备的异常日志,即:入侵检测类设备的异常系统日志与异常安全日志合并成一份入侵检测设备异常日志;病毒检测类设备的异常系统日志与异常安全日志合并成一份病毒检测设备异常日志;入侵检测类设备和病毒检测类设备的应用日志将直接识别为安全事件;防火墙类设备的异常应用日志、异常系统日志和异常安全日志合并成一份防火墙设备异常日志;安全审计类设备的异常应用日志、异常系统日志和异常安全日志合并成一份安全审计设备异常日志。
同理,网络设备在运行过程中将会产生系统日志。系统日志根据异常识别模型分为正常的系统日志和异常系统日志。其中,正常的系统日志划归为普通事件,异常系统日志划归为异常事件;同时,网络设备在运行过程中将产生性能数据。根据性能异常识别模型分为异常状态与正常状态,其中正常性能采样点数据被分类为普通事件,异常性能采样点数据被分类为异常事件;另外,网络设备在运行过程中将产生流量数据。根据流量异常识别模型分为异常状态与正常状态。其中正常流量采样点数据被分类为普通事件,异常流量采样点数据被分类为异常事件。
将上述各类日志转化为事件:所有的正常日志构成的集合称为事件源,所有异常日志构成的集合称为异常事件。从日志到指标体系的转化过程便是将上述所有日志均能够按照事件体系的结构分成普通事件、异常事件和安全事件,对入侵检测和病毒检测所产生的应用日志直接识别为安全事件。
参照图2所示,其中1代表所有异常事件的集合。通过威胁行为模型与违规操作行为模型进行安全事件识别的过程被称为间接取证过程。该过程与直接从网络安全设备中读取安全事件的直接取证过程(直接从网络安全设备中读取安全事件)相对应。其中,威胁行为模型和为用户定义违规操作行为模型:如果复杂一点可以由数学建模完成,如果简单一点可以由网络管理员指定哪些行为是威胁/违规操作行为。
2代表所有安全事件的集合,由直接取证过程与间接取证过程得到的结果集合组成。异常事件集合中除去通过间接取证的结果集以外,分为异常识别模型处理结果与用户定义异常。
3代表异常识别模型处理结果集合,包括性能异常模型和流量异常模型识别的结果集合。
4代表通过用户自定义的阈值或者行为规范识别出的异常事件集合。3与4处于对等的地位。
参照图3所示,异常事件与安全事件是存在交集的,其中:
异常事件集合∩安全事件集合=违规操作行为集合+威胁行为集合,即异常事件集合与安全事件集合的交集部分构成了安全事件中间接取证部分,而安全事件集合剩余的即为安全事件中直接取证部分,即:
安全事件集合-(异常事件集合∩安全事件集合)=直接识别的安全事件。
更具体的特例如下:
安全审计类设备所记录的异常应用日志均识别为“异常事件->行为异常->违规操作行为”。
所有安全设备记录的异常系统日志依据消息来源方式识别为“异常事件->性能与状态异常”和“异常事件->性能服务告警”。
所有安全设备记录的异常安全日志均识别为“异常事件->安全机制执行告警”。
除了从入侵检测类设备以及病毒检测类设备直接识别为安全事件的情况外,异常事件中识别为威胁行为的直接转化为安全事件。
本发明对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实,将网络环境中产生的每条日志(或若干条日志组成的集合)对应事件体系中的某一类事件,从普通事件的集合中通过异常识别方法寻找出异常事件,该部分异常事件与从网络中直接搜集到的异常事件组成异常事件的集合,再从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件,该部分安全事件与从网络直接搜集到的安全事件组成安全事件的集合。识别出威胁行为的异常事件即转化为安全事件,即从结果判断,如果有符合威胁行为结果的,也识别为安全事件。
普通事件代表正常的网络记录;如图4所示,它包括身份认证、授权管理、访问控制和操作行为等。
异常事件是指违反网络管理规则或者明显与正常行为存在差异的事件;如图5所示,它包括性能与状态异常、流量异常、行为异常、系统服务异常、安全机制执行异常和其他异常日志;所述的性能与状态异常按二级分类又包括设备故障和性能故障,而设备故障按三级分类又包括部件故障和设备不可用;所述的行为异常按二级分类又包括威胁行为和违规操作行为。
如图6所示,所述的威胁行为包括感染、缓冲区溢出漏洞、探测、欺骗、遍历、并发以及其他行为;其中所述的感染行为又包括病毒、蠕虫和木马;其中所述的探测行为又包括包嗅探、端口映射和安全扫描;所述的欺骗行为又包括网络地址欺骗、物理地址欺骗、域名服务器欺骗、任务劫持、跨站脚本攻击、隐藏区操作以及输入参数欺骗;所述的遍历行为又包括强力破解、字典攻击和旋转门把攻击;所述的并发行为又包括泛洪攻击和分布式拒绝服务攻击。
如图7所示,所述的违规操作行为包括非法用户接入、非授权用户登录、合法用户非正常时间段登录、合法用户登录认证重鉴别和鉴别失败的行为、非授权用户访问、授权用户越权访问、授权用户非正常时间点访问、移动存储(光电)介质违规输入/输出、非法设备接入、设备在非授权区域接入、设备违规外联以及其他行为。
安全事件是指通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件;如图8所示,它包括有害程序事件和网络攻击事件,所述的有害程序事件按二级分类又包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件以及其他有害程序攻击事件;所述的网络攻击事件按二级分类又包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件以及其他网络攻击事件。
通过以上识别过程,承载该方法的采集设备将被保护环境中事件归一化和标准化,满足理解环境完成态势感知的前提条件。
上述实施例仅例示性说明本发明的原理及其功效,以及部分运用的实施例,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (10)
1.一种网络安全设备监测的安全事件分析方法,其特征在于:包括如下步骤
a),日志的识别
根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志;
所述的应用日志为安全设备与其系统的主要功能组件对外提供服务所产生的日志;所述的系统日志为安全设备与其系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志;所述的安全日志为安全设备在其系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统、进行系统配置管理、进行授权管理所产生的日志;
b),日志的分类
将上述日志分成普通事件、异常事件和安全事件;
所述的普通事件代表正常的网络记录;所述的异常事件代表违反网络管理规则或者明显与正常行为存在差异的事件;所述的安全事件代表通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件;
c),异常事件的转化
从普通事件的集合中通过异常识别方法寻找出异常事件,将找到的异常事件与从网络中直接搜集到的异常事件组成异常事件的集合;
d),安全事件的转化
从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件,即可将找到的安全事件与从网络直接搜集到的安全事件组成安全事件的集合。
2.根据权利要求1所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的步骤b)中,计算机设备在运行过程中产生的正常性能采样点数据被分类为普通事件,产生的异常性能采样点数据被分类为异常事件。
3.根据权利要求1所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的步骤b)中,计算机设备在运行过程中将产生的正常流量采样点数据被分类为普通事件,产生的异常流量采样点数据被分类为异常事件。
4.根据权利要求1所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述步骤d)中的安全事件的集合由直接取证过程与间接取证过程得到的结果集合组成;
所述的间接取证过程为通过威胁行为模型与违规操作行为模型进行安全事件识别的过程,所述的安全事件间接取证部分包括异常事件集合与安全事件集合的交集部分;
所述的直接取证过程为直接从网络安全设备中读取安全事件的过程。
5.根据权利要求1所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的安全设备包括入侵检测类设备、病毒检测类设备、防火墙类设备、安全审计类设备、计算机及网络设备。
6.根据权利要求5所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的入侵检测类设备包括网络IDS、主机IDS和IPS。
7.根据权利要求5所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的病毒检测类设备包括防毒墙和病毒扫描主机。
8.根据权利要求5所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的防火墙类设备包括软硬件防火墙、单一主机防火墙、路由器集成防火墙和分布式防火墙。
9.根据权利要求5所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的安全审计类设备包括统一用户管理模块、统一授权管理模块、统一访问控制管理摸、主机监控审计模块、网络行为审计模块和数据库审计。
10.根据权利要求5所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的计算机及网络设备包括Windows服务器、Linux服务器和三层交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610534869.3A CN106209826A (zh) | 2016-07-08 | 2016-07-08 | 一种网络安全设备监测的安全事件分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610534869.3A CN106209826A (zh) | 2016-07-08 | 2016-07-08 | 一种网络安全设备监测的安全事件分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106209826A true CN106209826A (zh) | 2016-12-07 |
Family
ID=57472793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610534869.3A Pending CN106209826A (zh) | 2016-07-08 | 2016-07-08 | 一种网络安全设备监测的安全事件分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209826A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
| CN107342982A (zh) * | 2017-06-09 | 2017-11-10 | 国网湖北省电力公司 | 大数据分析系统 |
| CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN107493265A (zh) * | 2017-07-24 | 2017-12-19 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108595266A (zh) * | 2018-04-18 | 2018-09-28 | 北京奇虎科技有限公司 | 基于区域内闲散算力的资源应用方法及装置、计算设备 |
| CN108768997A (zh) * | 2018-05-23 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 一种应用操作安全预警处理方法 |
| CN108924158A (zh) * | 2018-07-26 | 2018-11-30 | 佛山市甜慕链客科技有限公司 | 一种监测物联网设备网络安全的方法及装置 |
| CN109040071A (zh) * | 2018-08-06 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
| CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
| WO2019210484A1 (en) * | 2018-05-03 | 2019-11-07 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
| CN111245796A (zh) * | 2019-12-31 | 2020-06-05 | 南京联成科技发展股份有限公司 | 一种工业网络入侵检测的大数据分析的方法 |
| CN111885064A (zh) * | 2020-07-24 | 2020-11-03 | 浙江军盾信息科技有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN112348327A (zh) * | 2020-10-26 | 2021-02-09 | 易显智能科技有限责任公司 | 一种评价管理系统的监管系统 |
| CN112491805A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
| CN112783682A (zh) * | 2021-02-01 | 2021-05-11 | 福建多多云科技有限公司 | 一种基于云手机服务的异常自动修复方法 |
| CN113191917A (zh) * | 2021-03-09 | 2021-07-30 | 中国大唐集团科学技术研究院有限公司 | 一种基于径向基函数算法的电厂工控系统网络安全威胁分类方法 |
| CN113364745A (zh) * | 2021-05-21 | 2021-09-07 | 北京国联天成信息技术有限公司 | 一种日志收集与分析处理方法 |
| CN114640548A (zh) * | 2022-05-18 | 2022-06-17 | 宁波市镇海区大数据投资发展有限公司 | 一种基于大数据的网络安全感知和预警的方法及系统 |
| US11477215B2 (en) | 2020-03-13 | 2022-10-18 | International Business Machines Corporation | Scaling a processing resource of a security information and event management system |
| CN115550063A (zh) * | 2022-11-23 | 2022-12-30 | 天津安华易科技发展有限公司 | 一种网络信息安全监管方法、系统 |
| CN116488939A (zh) * | 2023-06-16 | 2023-07-25 | 江西科技学院 | 计算机信息安全监测方法、系统及存储介质 |
| CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN104616205A (zh) * | 2014-11-24 | 2015-05-13 | 北京科东电力控制系统有限责任公司 | 一种基于分布式日志分析的电力系统运行状态监视方法 |
| CN105530136A (zh) * | 2016-01-30 | 2016-04-27 | 山东大学 | 一种电力调度系统用业务监控方法及系统 |
| CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及系统 |
-
2016
- 2016-07-08 CN CN201610534869.3A patent/CN106209826A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN104616205A (zh) * | 2014-11-24 | 2015-05-13 | 北京科东电力控制系统有限责任公司 | 一种基于分布式日志分析的电力系统运行状态监视方法 |
| CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及系统 |
| CN105530136A (zh) * | 2016-01-30 | 2016-04-27 | 山东大学 | 一种电力调度系统用业务监控方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 甘妙金: "网络安全事件集中管理系统的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790023B (zh) * | 2016-12-14 | 2019-03-01 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| US10917417B2 (en) | 2016-12-14 | 2021-02-09 | Ping An Technology (Shenzhen) Co., Ltd. | Method, apparatus, server, and storage medium for network security joint defense |
| CN107342982A (zh) * | 2017-06-09 | 2017-11-10 | 国网湖北省电力公司 | 大数据分析系统 |
| CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
| CN107241352B (zh) * | 2017-07-17 | 2020-01-21 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
| CN107493265A (zh) * | 2017-07-24 | 2017-12-19 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
| CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN107454103B (zh) * | 2017-09-07 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108595266A (zh) * | 2018-04-18 | 2018-09-28 | 北京奇虎科技有限公司 | 基于区域内闲散算力的资源应用方法及装置、计算设备 |
| WO2019210484A1 (en) * | 2018-05-03 | 2019-11-07 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
| CN108768997A (zh) * | 2018-05-23 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 一种应用操作安全预警处理方法 |
| CN108924158A (zh) * | 2018-07-26 | 2018-11-30 | 佛山市甜慕链客科技有限公司 | 一种监测物联网设备网络安全的方法及装置 |
| CN109040071A (zh) * | 2018-08-06 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
| CN109040071B (zh) * | 2018-08-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
| CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
| CN111245796A (zh) * | 2019-12-31 | 2020-06-05 | 南京联成科技发展股份有限公司 | 一种工业网络入侵检测的大数据分析的方法 |
| US11477215B2 (en) | 2020-03-13 | 2022-10-18 | International Business Machines Corporation | Scaling a processing resource of a security information and event management system |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN111970233B (zh) * | 2020-06-30 | 2023-09-01 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN111885064A (zh) * | 2020-07-24 | 2020-11-03 | 浙江军盾信息科技有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
| CN111885064B (zh) * | 2020-07-24 | 2022-11-25 | 杭州安恒信息安全技术有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
| CN112348327A (zh) * | 2020-10-26 | 2021-02-09 | 易显智能科技有限责任公司 | 一种评价管理系统的监管系统 |
| CN112491805A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
| CN112783682A (zh) * | 2021-02-01 | 2021-05-11 | 福建多多云科技有限公司 | 一种基于云手机服务的异常自动修复方法 |
| CN113191917A (zh) * | 2021-03-09 | 2021-07-30 | 中国大唐集团科学技术研究院有限公司 | 一种基于径向基函数算法的电厂工控系统网络安全威胁分类方法 |
| CN113364745A (zh) * | 2021-05-21 | 2021-09-07 | 北京国联天成信息技术有限公司 | 一种日志收集与分析处理方法 |
| CN114640548A (zh) * | 2022-05-18 | 2022-06-17 | 宁波市镇海区大数据投资发展有限公司 | 一种基于大数据的网络安全感知和预警的方法及系统 |
| CN115550063A (zh) * | 2022-11-23 | 2022-12-30 | 天津安华易科技发展有限公司 | 一种网络信息安全监管方法、系统 |
| CN115550063B (zh) * | 2022-11-23 | 2023-03-14 | 天津安华易科技发展有限公司 | 一种网络信息安全监管方法、系统 |
| CN116488939A (zh) * | 2023-06-16 | 2023-07-25 | 江西科技学院 | 计算机信息安全监测方法、系统及存储介质 |
| CN116488939B (zh) * | 2023-06-16 | 2023-08-25 | 江西科技学院 | 计算机信息安全监测方法、系统及存储介质 |
| CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106209826A (zh) | 一种网络安全设备监测的安全事件分析方法 | |
| JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
| Mukherjee et al. | Network intrusion detection | |
| CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
| CN102413127A (zh) | 一种数据库综合安全防护方法 | |
| US9961047B2 (en) | Network security management | |
| KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| CN116614277A (zh) | 基于机器学习与异常行为分析的网络安全监管系统与方法 | |
| CN116827675A (zh) | 一种网络信息安全分析系统 | |
| Wang et al. | MAAC: Novel alert correlation method to detect multi-step attack | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
| KR20210083607A (ko) | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| Park | A statistical process control approach for network intrusion detection | |
| Bourekkache et al. | Computer and Network Security: Ontological and Multi-agent System for Intrusion Detection. | |
| Skopik et al. | Intrusion detection in distributed systems using fingerprinting and massive event correlation | |
| Lee et al. | Sierra: Ranking anomalous activities in enterprise networks | |
| Cao et al. | Design of network security situation awareness analysis module for electric power dispatching and control system | |
| Aziz et al. | Intrusion Detection Systems: Status, Challenges and Future Trends-A survey | |
| Dashdamirova | Development of decision support system using OLAP-technologies for information security monitoring systems | |
| CN118018231A (zh) | 隔离区的安全策略管理方法、装置、设备和存储介质 | |
| CN116455650A (zh) | 一种基于行为特征的安全防护方法与系统 | |
| CN115277045A (zh) | 一种idc安全管理系统 | |
| Dashdamirova | Development of OLAP Based Decision Support System for Information Security Monitoring at National, Regional and Corporate Levels. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161207 |
|
| WD01 | Invention patent application deemed withdrawn after publication |