CN106470188B - 安全威胁的检测方法、装置以及安全网关 - Google Patents
安全威胁的检测方法、装置以及安全网关 Download PDFInfo
- Publication number
- CN106470188B CN106470188B CN201510507034.4A CN201510507034A CN106470188B CN 106470188 B CN106470188 B CN 106470188B CN 201510507034 A CN201510507034 A CN 201510507034A CN 106470188 B CN106470188 B CN 106470188B
- Authority
- CN
- China
- Prior art keywords
- network connecting
- connecting request
- assets
- traffic
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全威胁的检测方法、装置以及安全网关,涉及网络安全领域。其中的检测方法包括:响应于网络连接请求,确定网络连接请求的流量方向;根据网络连接请求及其流量方向确定需要检测的资产;获取需要检测的资产的资产类型;根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定网络连接请求的行为是否异常。本发明针对APT攻击特点,将资产属性与网络连接特点结合,根据不同类型的资产在不同流量方向的特点,对网络连接行为是否异常进行判断,从而实现对APT攻击的主动探测,并提高了APT攻击的早期发现能力。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种安全威胁的检测方法、装置以及安全网关。
背景技术
随着互联网技术的不断发展,网络安全变得越来越重要。APT(AdvancedPersistent Threat,高级持续性威胁)攻击是近几年来出现的一种高级攻击,众多著名公司如Google、RSA、Sony等曾经先后公开承认遭受APT,造成机密数据泄露等一系列严重后果。APT不以破坏目标系统的可用性、可靠性为主要目的,旨在窃取高价值的数据、资料、文件,具有明确的目标性和长期的行为隐蔽性。
由于APT攻击大多采用0day漏洞或者社会工程学等方法,攻击场景难于建立,攻击特征多态、变形,基于特征匹配的安全系统难以检测;同时目前的企业网安全网关设备的判断依据主要是IP包的五元组和应用层内容等信息,难以识别阻断个性化的非授权的应用。而APT攻击渗透后往往模拟正常业务行为进行操作,传统安全检测手段难以发现。
发明内容
本发明实施例所要解决的一个技术问题是:如何探测APT攻击。
根据本发明实施例的一个方面,提供的一种安全威胁的检测方法,包括:
响应于网络连接请求,确定网络连接请求的流量方向。
根据网络连接请求及其流量方向确定需要检测的资产。
获取需要检测的资产的资产类型。
根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定网络连接请求的行为是否异常。
根据本发明实施例的另一个方面,提供的一种安全威胁的检测装置,包括:
流量方向判断单元,用于响应于网络连接请求,确定网络连接请求的流量方向。
待检测资产判断单元,用于根据网络连接请求及其流量方向确定需要检测的资产。
资产类型获取单元,用于获取需要检测的资产的资产类型。
异常行为判断单元,用于根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定网络连接请求的行为是否异常。
根据本发明实施例的第三个方面,提供的一种安全网关,包括前述实施例的安全威胁的检测装置。
本发明至少具有以下优点:
针对APT攻击特点,将资产属性与网络连接特点结合,根据不同类型的资产在不同流量方向的特点,对网络连接行为是否异常进行判断,从而实现对APT攻击的主动探测,并提高了APT攻击的早期发现能力。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出根据本公开的一种示例性实施例的安全威胁的检测方法的流程示意图。
图2示出根据本公开的另一种示例性实施例的安全威胁的检测方法的流程示意图。
图3示出根据本公开的又一种示例性实施例的安全威胁的检测方法的流程示意图。
图4示出根据本公开的一种示例性实施例的安全威胁的检测装置的结构示意图。
图5示出根据本公开的另一种示例性实施例的安全威胁的检测装置的结构示意图。
图6示出根据本公开的一种示例性实施例的安全网关的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对APT攻击渗透后往往模拟正常网络内资产的业务行为进行操作,使得传统的安全检测手段难以发现的问题,提出本方案。
发明人发现,APT攻击一般有个横向渗透过程,主控端需要控制内网的个人计算机执行命令。这个控制连接行为与正常业务行为有所区别。因此,基于该发现提出本发明的方案,即,基于资产属性的网络连接异常判断方案,实现对APT攻击的主动探测。
在本发明中,可以预先收集本网络内的资产及其资产信息。其中,本网络也即内网,在内网与外网之间设置本发明的安全威胁的检测装置或安全网关。资产例如包括个人计算机、服务器等物理设备。资产信息例如包括资产IP(Internet Protocol,网络之间互联的协议)、资产类型、开放端口和正常工作时间等,但不限于所举示例。
下面结合图1描述本发明一个实施例的安全威胁的检测方法。其中的安全威胁例如可以是APT攻击。
图1为本发明安全威胁的检测方法一个实施例的流程图。如图1所示,该实施例的方法包括:
步骤S102,响应于网络连接请求,确定网络连接请求的流量方向。
其中,网络连接的请求的流量方向包括由内网向外网、由外网向内网。
步骤S104,根据网络连接请求及其流量方向确定需要检测的资产。
一种示例性的资产确定方法为,如果网络连接请求的流量方向是由内网向外网,则将网络连接请求的源设备确定为需要检测的资产;如果网络连接请求的流量方向是由外网向内网,则将网络连接请求的目的设备确定为需要检测的资产。
步骤S106,获取需要检测的资产的资产类型。其中,资产类型包括个人计算机、服务器。
一种示例性的资产类型获取方法为,根据需要检测的资产的IP,从预先收集的本网络内的资产信息中查询获得需要检测的资产的资产类型。其中,需要检测的资产的IP可以从网络连接请求获得。例如,如果源设备为需要检测的资产,则根据网络连接请求的源IP查询资产信息,从而获得资产类型。如果目的设备为需要检测的资产,则根据网络连接请求的目的IP查询资产信息,从而获得资产类型。
步骤S108,根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定网络连接请求的行为是否异常。
上述方法,针对APT攻击特点,将资产属性与网络连接特点结合,根据不同类型的资产在不同流量方向的特点,对网络连接行为是否异常进行判断,从而实现对APT攻击的主动探测,并提高了APT攻击的早期发现能力。
下面结合图2描述针对检测结果对网络连接请求进行处理的情形。
如图2所示,安全威胁的检测方法在步骤S108之后还包括:
步骤S210,针对不同的检测结果对网络连接请求进行相应的处理。
例如,如果确定网络连接请求的行为异常,可以阻断网络连接请求;如果确定网络连接请求的行为可疑,可以做进一步探测分析,以判定网络连接请求是否异常;如果确定网络连接请求的行为正常,则可以放行,允许继续进行网络连接业务。
其中,如果确定网络连接请求的行为可疑,则将可疑流量镜像复制到安全设备,做进一步探测分析。安全设备例如可以是沙盒等安全检测设备,但不限于所举示例。
上述方法,可以进一步提高网络的安全性,此外,只将可疑流量复制镜像到其他安全设备进行进一步分析,有效提高APT安全检测分析效率和准确性。
其中,步骤S108的一种示例性实现方法为:根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,获取网络连接请求的相关行为信息以及需要检测的资产的相关资产信息;根据网络连接请求的相关行为信息以及需要检测的资产的相关资产信息,确定网络连接请求的行为是否异常。其中,网络连接请求的相关行为信息例如可以是网络连接请求的访问时间、目的端口等信息。需要检测的资产的相关资产信息例如可以资产的正常工作时间、开放端口等信息。下面结合图3具体描述。
图3所示为本发明安全威胁的检测方法的一个优选实施例,包括以下内容:
步骤S302,响应于网络连接请求,判断网络连接请求的流量方向,如果网络连接请求的流量方向是由内网向外网,执行步骤S304;如果网络连接请求的流量方向是由外网向内网,执行步骤S312。
步骤S304,判断网络连接请求的源设备的资产类型。
如果源设备的资产类型是服务器,依据服务器不会主动向外发起连接的规则,确定网络连接请求的行为异常,阻断网络连接请求(步骤S306)。
如果源设备的资产类型是个人计算机,依据个人计算机不会在非正常工作时间主动向外连接的规则,判断网络连接请求的访问时间是否是源设备的正常工作时间(步骤S308)。
若网络连接请求的访问时间是源设备的正常工作时间,确定网络连接请求的行为正常,则检测流程结束,允许继续进行网络连接业务(步骤S310)。
若网络连接请求的访问时间不是源设备的正常工作时间,可以有两种处理,第一种处理,确定网络连接请求的行为可疑,将可疑会话流量复制(步骤S314),然后转到沙盒等安全设备做进一步探测(步骤S316);第二种处理,确定网络连接请求的行为异常,阻断网络连接请求(图中未示出第二种处理)。
步骤S312,判断网络连接请求的目的设备的资产类型。
如果目的设备的资产类型是个人计算机,依据个人计算机不会对外提供网络服务的规则,可以有两种处理,第一种处理,确定网络连接请求的行为可疑,将可疑会话流量复制(步骤S314),然后转到沙盒等安全设备做进一步探测(步骤S316);第二种处理,确定网络连接请求的行为异常,阻断网络连接请求(图中未示出第二种处理)。
如果目的设备的资产类型是服务器,依据服务器开放限定的端口的规则,判断网络连接请求的目的端口是否是目的设备的开放端口(步骤S318)。若网络连接请求的目的端口是目的设备的开放端口,确定网络连接请求的行为正常,则检测流程结束,允许继续进行网络连接业务(步骤S322)。若网络连接请求的目的端口不是目的设备的开放端口,确定网络连接请求的行为异常,可以阻断网络连接请求(步骤S320)。
根据本发明的另一个实施例,提供了一种安全威胁的检测装置。下面结合图4对该安全威胁的检测装置400的结构进行描述。
流量方向判断单元402,用于响应于网络连接请求,确定网络连接请求的流量方向。
待检测资产判断单元404,用于根据网络连接请求及其流量方向确定需要检测的资产。
其中,待检测资产判断单元404,用于在网络连接请求的流量方向是由内网向外网的情况下,将网络连接请求的源设备确定为需要检测的资产;在网络连接请求的流量方向是由外网向内网的情况下,将网络连接请求的目的设备确定为需要检测的资产。
资产类型获取单元406,用于获取需要检测的资产的资产类型。
其中,资产类型获取单元406,用于从本网络内的资产信息中查询获得需要检测的资产的资产类型。
异常行为判断单元408,用于根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定网络连接请求的行为是否异常。
其中,异常行为判断单元408,用于根据网络连接请求的流量方向以及需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,获取网络连接请求的相关行为信息以及需要检测的资产的相关资产信息;并根据网络连接请求的相关行为信息以及需要检测的资产的相关资产信息,确定网络连接请求的行为是否异常。
优选的,异常行为判断单元408,用于:在网络连接请求的流量方向是由内网向外网、且需要检测的资产是网络连接请求的源设备、且源设备的资产类型是服务器的情况下,依据服务器不会主动向外发起连接的规则,确定网络连接请求的行为异常。
或者,在网络连接请求的流量方向是由内网向外网、且需要检测的资产是网络连接请求的源设备、且源设备的资产类型是个人计算机的情况下,依据个人计算机不会在非正常工作时间主动向外连接的规则,判断网络连接请求的访问时间是否是源设备的正常工作时间,若网络连接请求的访问时间是源设备的正常工作时间,确定网络连接请求的行为正常,若网络连接请求的访问时间不是源设备的正常工作时间,确定网络连接请求的行为异常或行为可疑。
或者,在网络连接请求的流量方向是由外网向内网、且需要检测的资产是网络连接请求的目的设备、且目的设备的资产类型是服务器的情况下,依据服务器开放限定的端口的规则,判断网络连接请求的目的端口是否是目的设备的开放端口,若网络连接请求的目的端口是目的设备的开放端口,确定网络连接请求的行为正常,若网络连接请求的目的端口不是目的设备的开放端口,确定网络连接请求的行为异。
或者,在网络连接请求的流量方向是由外网向内网、且需要检测的资产是网络连接请求的目的设备、且目的设备的资产类型是个人计算机的情况下,依据个人计算机不会对外提供网络服务的规则,确定网络连接请求的行为异常或行为可疑。
下面结合图5对安全威胁的检测装置400进行进一步描述。
如图5所示,安全威胁的检测装置400还包括异常行为处理单元510,用于在确定网络连接请求的行为异常的情况下,阻断网络连接请求;在确定网络连接请求的行为可疑的情况下,做进一步探测分析。
如图6所示,本发明还提供一种安全网关,包括:前述任一实施例的安全威胁的检测装置400。此外,安全网关中还可以包括资产属性模块602、恶意行为特征库604和特征匹配处理模块606。资产属性模块602用于收集并保存本网络内的资产及其资产信息。恶意行为特征库604存储了恶意行为的特征信息。特征匹配处理模块606从IP包提取五元组和应用层内容等信息,并将提取的信息与恶意行为的特征信息进行比对,从而识别出恶意行为。
本发明提供的安全网关对现有的安全网关改造较少,实现简单,成本较低。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种安全威胁的检测方法,其特征在于,包括:
响应于网络连接请求,确定所述网络连接请求的流量方向;
根据所述网络连接请求及其流量方向确定需要检测的资产;其中,如果所述网络连接请求的流量方向是由内网向外网,则将所述网络连接请求的源设备确定为需要检测的资产;如果所述网络连接请求的流量方向是由外网向内网,则将所述网络连接请求的目的设备确定为需要检测的资产;
获取所述需要检测的资产的资产类型;
根据所述网络连接请求的流量方向以及所述需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定所述网络连接请求的行为是否异常。
2.根据权利要求1所述的方法,其特征在于,
所述获取所述需要检测的资产的资产类型包括:
从本网络内的资产信息中查询获得所述需要检测的资产的资产类型。
3.根据权利要求1所述的方法,其特征在于,
所述根据所述网络连接请求的流量方向以及所述需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定所述网络连接请求的行为是否异常包括:
根据所述网络连接请求的流量方向以及所述需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,获取所述网络连接请求的相关行为信息以及所述需要检测的资产的相关资产信息;
根据所述网络连接请求的相关行为信息以及所述需要检测的资产的相关资产信息,确定所述网络连接请求的行为是否异常。
4.根据权利要求1或3所述的方法,其特征在于,
所述根据所述网络连接请求的流量方向以及所述需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定所述网络连接请求的行为是否异常包括:
如果所述网络连接请求的流量方向是由内网向外网、且所述需要检测的资产是所述网络连接请求的源设备、且源设备的资产类型是服务器,依据服务器不会主动向外发起连接的规则,确定所述网络连接请求的行为异常;
或者,如果所述网络连接请求的流量方向是由内网向外网、且所述需要检测的资产是所述网络连接请求的源设备、且源设备的资产类型是个人计算机,依据个人计算机不会在非正常工作时间主动向外连接的规则,判断所述网络连接请求的访问时间是否是源设备的正常工作时间,若所述网络连接请求的访问时间是源设备的正常工作时间,确定所述网络连接请求的行为正常,若所述网络连接请求的访问时间不是源设备的正常工作时间,确定所述网络连接请求的行为异常或行为可疑;
或者,如果所述网络连接请求的流量方向是由外网向内网、且所述需要检测的资产是所述网络连接请求的目的设备、且目的设备的资产类型是服务器,依据服务器开放限定的端口的规则,判断所述网络连接请求的目的端口是否是目的设备的开放端口,若所述网络连接请求的目的端口是目的设备的开放端口,确定所述网络连接请求的行为正常,若所述网络连接请求的目的端口不是目的设备的开放端口,确定所述网络连接请求的行为异常;
或者,如果所述网络连接请求的流量方向是由外网向内网、且所述需要检测的资产是所述网络连接请求的目的设备、且目的设备的资产类型是个人计算机,依据个人计算机不会对外提供网络服务的规则,确定所述网络连接请求的行为异常或行为可疑。
5.根据权利要求1所述的方法,其特征在于,还包括:
如果确定所述网络连接请求的行为异常,阻断所述网络连接请求;
如果确定所述网络连接请求的行为可疑,做进一步探测分析。
6.根据权利要求1所述的方法,其特征在于,所述安全威胁是高级持续性威胁。
7.一种安全威胁的检测装置,其特征在于,包括:
流量方向判断单元,用于响应于网络连接请求,确定所述网络连接请求的流量方向;
待检测资产判断单元,用于根据所述网络连接请求及其流量方向确定需要检测的资产;
资产类型获取单元,用于获取所述需要检测的资产的资产类型;如果所述网络连接请求的流量方向是由内网向外网,则将所述网络连接请求的源设备确定为需要检测的资产;如果所述网络连接请求的流量方向是由外网向内网,则将所述网络连接请求的目的设备确定为需要检测的资产;
异常行为判断单元,用于根据所述网络连接请求的流量方向以及所述需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,确定所述网络连接请求的行为是否异常。
8.根据权利要求7所述的装置,其特征在于,
所述资产类型获取单元,用于从本网络内的资产信息中查询获得所述需要检测的资产的资产类型。
9.根据权利要求7所述的装置,其特征在于,
所述异常行为判断单元,用于根据所述网络连接请求的流量方向以及所述需要检测的资产的资产类型,并依据不同类型的资产在不同流量方向的特点,获取所述网络连接请求的相关行为信息以及所述需要检测的资产的相关资产信息;并根据所述网络连接请求的相关行为信息以及所述需要检测的资产的相关资产信息,确定所述网络连接请求的行为是否异常。
10.根据权利要求7或9所述的装置,其特征在于,所述异常行为判断单元,用于:
在所述网络连接请求的流量方向是由内网向外网、且所述需要检测的资产是所述网络连接请求的源设备、且源设备的资产类型是服务器的情况下,依据服务器不会主动向外发起连接的规则,确定所述网络连接请求的行为异常;
或者,在所述网络连接请求的流量方向是由内网向外网、且所述需要检测的资产是所述网络连接请求的源设备、且源设备的资产类型是个人计算机的情况下,依据个人计算机不会在非正常工作时间主动向外连接的规则,判断所述网络连接请求的访问时间是否是源设备的正常工作时间,若所述网络连接请求的访问时间是源设备的正常工作时间,确定所述网络连接请求的行为正常,若所述网络连接请求的访问时间不是源设备的正常工作时间,确定所述网络连接请求的行为异常或行为可疑;
或者,在所述网络连接请求的流量方向是由外网向内网、且所述需要检测的资产是所述网络连接请求的目的设备、且目的设备的资产类型是服务器的情况下,依据服务器开放限定的端口的规则,判断所述网络连接请求的目的端口是否是目的设备的开放端口,若所述网络连接请求的目的端口是目的设备的开放端口,确定所述网络连接请求的行为正常,若所述网络连接请求的目的端口不是目的设备的开放端口,确定所述网络连接请求的行为异常;
或者,在所述网络连接请求的流量方向是由外网向内网、且所述需要检测的资产是所述网络连接请求的目的设备、且目的设备的资产类型是个人计算机的情况下,依据个人计算机不会对外提供网络服务的规则,确定所述网络连接请求的行为异常或行为可疑。
11.根据权利要求7所述的装置,其特征在于,还包括:异常行为处理单元;
所述异常行为处理单元,用于在确定所述网络连接请求的行为异常的情况下,阻断所述网络连接请求;在确定所述网络连接请求的行为可疑的情况下,做进一步探测分析。
12.根据权利要求7所述的装置,其特征在于,所述安全威胁是高级持续性威胁。
13.一种安全网关,其特征在于,包括:权利要求7-12任一项所述的安全威胁的检测装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510507034.4A CN106470188B (zh) | 2015-08-18 | 2015-08-18 | 安全威胁的检测方法、装置以及安全网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510507034.4A CN106470188B (zh) | 2015-08-18 | 2015-08-18 | 安全威胁的检测方法、装置以及安全网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106470188A CN106470188A (zh) | 2017-03-01 |
| CN106470188B true CN106470188B (zh) | 2019-09-20 |
Family
ID=58214572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510507034.4A Active CN106470188B (zh) | 2015-08-18 | 2015-08-18 | 安全威胁的检测方法、装置以及安全网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106470188B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995736A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团四川有限公司 | 检测威胁攻击的方法、装置、设备和存储介质 |
| CN109344617A (zh) * | 2018-09-16 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种物联网资产安全画像方法与系统 |
| CN110008713B (zh) * | 2019-05-06 | 2021-05-11 | 杭州齐安科技有限公司 | 一种工控系统漏洞探测方法及系统 |
| CN110519224B (zh) * | 2019-07-15 | 2022-02-22 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中智能生成网络防护策略的方法和设备 |
| CN110620773B (zh) * | 2019-09-20 | 2023-02-10 | 深圳市信锐网科技术有限公司 | 一种tcp流量隔离方法、装置及相关组件 |
| CN110868396A (zh) * | 2019-10-14 | 2020-03-06 | 云深互联(北京)科技有限公司 | 一种tcp端口动态开放的方法和装置 |
| CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
| CN111859374B (zh) * | 2020-07-20 | 2024-03-19 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852162A (zh) * | 2006-01-16 | 2006-10-25 | 华为技术有限公司 | 基于检测模式的安全问题阻断方法及系统 |
| CN103888459A (zh) * | 2014-03-25 | 2014-06-25 | 深信服网络科技(深圳)有限公司 | 网络内网入侵的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050187934A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for geography and time monitoring of a server application user |
-
2015
- 2015-08-18 CN CN201510507034.4A patent/CN106470188B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852162A (zh) * | 2006-01-16 | 2006-10-25 | 华为技术有限公司 | 基于检测模式的安全问题阻断方法及系统 |
| CN103888459A (zh) * | 2014-03-25 | 2014-06-25 | 深信服网络科技(深圳)有限公司 | 网络内网入侵的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106470188A (zh) | 2017-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106470188B (zh) | 安全威胁的检测方法、装置以及安全网关 | |
| CN106033514B (zh) | 一种可疑进程的探测方法及装置 | |
| CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN108768943A (zh) | 一种检测异常账号的方法、装置及服务器 | |
| US11336617B2 (en) | Graphical representation of security threats in a network | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| Kuyama et al. | Method for detecting a malicious domain by using whois and dns features | |
| CN108881129A (zh) | 一种高级持续性威胁攻击检测方法及装置 | |
| CN107864128B (zh) | 基于网络行为的扫描检测方法、装置、可读存储介质 | |
| JP2022512195A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
| CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
| CN104598820A (zh) | 一种基于特征行为分析的木马病检测方法 | |
| CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
| CN109313541A (zh) | 用于显示和比较攻击遥测资源的用户界面 | |
| CN113328990A (zh) | 基于多重过滤的网间路由劫持检测方法及电子设备 | |
| CN107135199B (zh) | 网页后门的检测方法和装置 | |
| Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
| CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
| CN107493258A (zh) | 一种基于网络安全的入侵检测系统 | |
| CN113051575A (zh) | 基于图数据库生成红蓝对抗攻击演习方案的方法及系统 | |
| CN117235600A (zh) | 一种用户异常行为检测方法及系统 | |
| Al-Hamami et al. | Development of a network-based: Intrusion Prevention System using a Data Mining approach | |
| CN117278245A (zh) | 针对互联网仿真场景的数据采集方法、装置及存储介质 | |
| US20230379361A1 (en) | System and method for generating cyber threat intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |