CN106549932A - 一种基于日志分析的主机安全防护方法及系统 - Google Patents
一种基于日志分析的主机安全防护方法及系统 Download PDFInfo
- Publication number
- CN106549932A CN106549932A CN201610775342.XA CN201610775342A CN106549932A CN 106549932 A CN106549932 A CN 106549932A CN 201610775342 A CN201610775342 A CN 201610775342A CN 106549932 A CN106549932 A CN 106549932A
- Authority
- CN
- China
- Prior art keywords
- address
- screening
- rule
- parameter
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于日志分析的主机安全防护方法及系统,包括:按规定将系统中的服务日志进行分类整理;对不同类别的服务日志定义不同的筛选规则;根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选,记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中。本发明通过对系统中服务日志的分析来完善防火墙中的网络安全策略,有效禁止敏感IP对内网的访问,防止更改、复制和破坏内部网络信息事件的发生。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于日志分析的主机安全防护方法及系统。
背景技术
由于计算机网络具有连接形式多样性,终端分布不均匀性、开放性、互联性等特点,使得网络极易受到攻击,因此网络信息的安全和保密成为一个至关重要的问题。由于国际互联网窃密事件屡有发生,黑客攻击日益增多,人们对计算机网络安全和潜在的风险逐步重视起来,购买大量的安全设备和相关软件保护计算机的信息资源。防火墙作为网络安全的第一道屏障,成为降低网络安全隐患的必选产品之一,所以对于开发者来说,防火墙中网络安全策略的制定格外重要。
发明内容
防火墙中的网络安全策略由安全规则组成,安全规则依赖于数据及行为分析来制定,其中数据及行为大多保存在系统的服务日志中,所以本发明提出一种基于日志分析的主机安全防护方法及系统,通过对系统中服务日志的分析来完善防火墙中的网络安全策略,有效禁止敏感IP对内网的访问,防止更改、复制和破坏内部网络信息事件的发生。
具体发明内容包括:
一种基于日志分析的主机安全防护方法,包括:
按规定将系统中的服务日志进行分类整理;
对不同类别的服务日志定义不同的筛选规则;
根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;
按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选,记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中,禁止敏感IP地址访问内网。
进一步地,所述按规定将系统中的服务日志进行分类整理,具体为:根据服务种类对系统中的服务日志进行分类整理;其中,所述服务种类包括:系统服务、应用程序服务、web服务、ssh服务、自定义服务。
进一步地,所述筛选规则包括:对IP地址筛选的规则、对IP地址捕获时间筛选的规则、对IP地址扫描时间筛选的规则、对事件筛选的规则;还可以包括对URL筛选的规则、对主机地址筛选的规则等;其中,根据实际应用场景及服务日志所述的服务类型,对IP地址筛选的规则可以是对全部IP地址进行筛选、对具体网段IP地址进行筛选、对包含特定字符的IP地址进行筛选等,对IP地址捕获时间筛选的规则可以是对全部捕获时间进行筛选、对规定时间段内的捕获时间进行筛选、对在指定端口上的捕获时间进行筛选等,对IP地址扫描时间筛选的规则可以是对在指定端口上的扫描时间进行筛选、对规定时间段内的扫描时间进行筛选等。
进一步地,所述筛选参数包括: IP地址出现次数、IP地址扫描周期。
进一步地,所述二次筛选,其筛选方式包括:在规定时间内是否存在出现次数不小于IP地址出现次数这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;在规定时间内是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;根据IP地址出现次数这一参数,在规定时间内获取各IP地址与该参数相匹配的连续的IP地址捕获时间,计算各IP地址的扫描周期,判断是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件。
进一步地,还包括服务禁用时间参数,当有IP地址写入防火墙的禁止访问规则中,则为该IP地址设置服务禁用时间参数,并根据该参数开始倒计时,当时间归零后将该IP地址从禁止访问规则中移除,允许该IP地址继续访问内网。
进一步地,还包括频率阈值,当有IP地址写入防火墙的禁止访问规则中,则判断该IP地址写入的次数是否达到频率阈值,若是则不为该IP地址设置服务禁用时间参数,否则为该IP地址设置服务禁用时间参数;即写入次数达到频率阈值的IP地址将被永久禁止访问内网。
进一步地,还包括记录写入防火墙禁止访问规则中的IP地址,并进行网段分析,将包含所述IP地址满足规定值的网段写入防火墙禁止访问规则中,禁止相应网段内所以IP地址对内网的访问。
一种基于日志分析的主机安全防护系统,包括:
日志整理模块,用于按规定将系统中的服务日志进行分类整理;
第一筛选模块,用于对不同类别的服务日志定义不同的筛选规则,根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;
第二筛选模块,用于按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选;
服务禁止模块,用于记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中,禁止敏感IP地址访问内网。
进一步地,所述日志整理模块,具体用于:根据服务种类对系统中的服务日志进行分类整理;其中,所述服务种类包括:系统服务、应用程序服务、web服务、ssh服务、自定义服务。
进一步地,所述第一筛选模块中的筛选规则包括:对IP地址筛选的规则、对IP地址捕获时间筛选的规则、对IP地址扫描时间筛选的规则、对事件筛选的规则;还可以包括对URL筛选的规则、对主机地址筛选的规则等;其中,根据实际应用场景及服务日志所述的服务类型,对IP地址筛选的规则可以是对全部IP地址进行筛选、对具体网段IP地址进行筛选、对包含特定字符的IP地址进行筛选等,对IP地址捕获时间筛选的规则可以是对全部捕获时间进行筛选、对规定时间段内的捕获时间进行筛选、对在指定端口上的捕获时间进行筛选等,对IP地址扫描时间筛选的规则可以是对在指定端口上的扫描时间进行筛选、对规定时间段内的扫描时间进行筛选等。
进一步地,所述第二筛选模块中的筛选参数包括: IP地址出现次数、IP地址扫描周期。
进一步地,所述二次筛选,其筛选方式包括:在规定时间内是否存在出现次数不小于IP地址出现次数这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;在规定时间内是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;根据IP地址出现次数这一参数,在规定时间内获取各IP地址与该参数相匹配的连续的IP地址捕获时间,计算各IP地址的扫描周期,判断是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件。
进一步地,所述服务禁止模块还包括服务禁用时间参数,当有IP地址写入防火墙的禁止访问规则中,则为该IP地址设置服务禁用时间参数,并根据该参数开始倒计时,当时间归零后将该IP地址从禁止访问规则中移除,允许该IP地址继续访问内网。
进一步地,所述服务禁止模块还包括频率阈值,当有IP地址写入防火墙的禁止访问规则中,则判断该IP地址写入的次数是否达到频率阈值,若是则不为该IP地址设置服务禁用时间参数,否则为该IP地址设置服务禁用时间参数;即写入次数达到频率阈值的IP地址将被永久禁止访问内网。
进一步地,还包括网段禁止模块,用于记录写入防火墙禁止访问规则中的IP地址,并进行网段分析,将包含所述IP地址满足规定值的网段写入防火墙禁止访问规则中,禁止相应网段内所以IP地址对内网的访问。
本发明的有益效果是:
本发明通过对系统中服务日志的分析来完善防火墙中的网络安全策略,有效禁止敏感IP对内网的访问,防止更改、复制和破坏内部网络信息事件的发生;与此同时,本发明对系统中的服务日志进行分类整理,并对不同类别的服务日志定义不同的筛选规则,使得筛选结果更加准确、全面。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于日志分析的主机安全防护方法流程图;
图2为本发明一种基于日志分析的主机安全防护系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种基于日志分析的主机安全防护方法实施例,如图1所示,包括:
S101:按规定将系统中的服务日志进行分类整理;
S102:对不同类别的服务日志定义不同的筛选规则;
S103:根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;
S104:按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选;
S105:记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中,禁止敏感IP地址访问内网。
优选地,所述按规定将系统中的服务日志进行分类整理,具体为:根据服务种类对系统中的服务日志进行分类整理;其中,所述服务种类包括:系统服务、应用程序服务、web服务、ssh服务、自定义服务。
优选地,所述筛选规则包括:对IP地址筛选的规则、对IP地址捕获时间筛选的规则、对IP地址扫描时间筛选的规则、对事件筛选的规则;还可以包括对URL筛选的规则、对主机地址筛选的规则等;其中,根据实际应用场景及服务日志所述的服务类型,对IP地址筛选的规则可以是对全部IP地址进行筛选、对具体网段IP地址进行筛选、对包含特定字符的IP地址进行筛选等,对IP地址捕获时间筛选的规则可以是对全部捕获时间进行筛选、对规定时间段内的捕获时间进行筛选、对在指定端口上的捕获时间进行筛选等,对IP地址扫描时间筛选的规则可以是对在指定端口上的扫描时间进行筛选、对规定时间段内的扫描时间进行筛选等。
优选地,所述筛选参数包括: IP地址出现次数、IP地址扫描周期;根据具体场景,所述参数的取值可自行调整。
优选地,所述二次筛选,其筛选方式包括:在规定时间内是否存在出现次数不小于IP地址出现次数这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;在规定时间内是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;根据IP地址出现次数这一参数,在规定时间内获取各IP地址与该参数相匹配的连续的IP地址捕获时间,计算各IP地址的扫描周期,判断是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;
例如,IP地址出现次数的参数值定为5次,IP地址扫描周期的参数值定为20分钟,则二次筛选的筛选方式可以为下述任意一种:
在规定时间内是否存在出现次数不小于5次的IP地址,若是则相应IP地址满足二次筛选条件,否则不满足二次筛选条件;
在规定时间内是否存在扫描周期大于20分钟的IP地址,若是则相应IP地址满足二次筛选条件,否则不满足二次筛选条件;其中,在规定时间内某一IP地址的扫描周期计算方式为:获取规定时间内第一次捕获到该IP地址的时间戳以及最后一次捕获到该IP地址的时间戳,计算这两个时间戳差值的绝对值;
在规定时间内,获取各IP地址连续5次的捕获时间,若在规定时间内某一IP地址被捕获的次数少5次,则不对该IP地址的捕获时间进行获取,若在规定时间内某一IP地址被捕获的次数大于5次,则获取每一组连续5次的捕获时间;计算连续5次捕获时间中,最大时间戳和最小时间戳差值的绝对值,若存在绝对值不小于20分钟,则相应的IP地址满足二次筛选条件,否则不满足二次筛选条件;
其中,上述所述规定时间可以是定义的时间间隔,比如30分钟、40分钟等,或者指定的某一时间段,比如当日凌晨2点到3点;在调整参数取值过程中,IP地址扫描周期应不大于规定时间。
优选地,还包括服务禁用时间参数,当有IP地址写入防火墙的禁止访问规则中,则为该IP地址设置服务禁用时间参数,并根据该参数开始倒计时,当时间归零后将该IP地址从禁止访问规则中移除,允许该IP地址继续访问内网。
优选地,还包括频率阈值,当有IP地址写入防火墙的禁止访问规则中,则判断该IP地址写入的次数是否达到频率阈值,若是则不为该IP地址设置服务禁用时间参数,否则为该IP地址设置服务禁用时间参数;即写入次数达到频率阈值的IP地址将被永久禁止访问内网。
优选地,还包括记录写入防火墙禁止访问规则中的IP地址,并进行网段分析,将包含所述IP地址满足规定值的网段写入防火墙禁止访问规则中,禁止相应网段内所以IP地址对内网的访问。
本发明还给出了一种基于日志分析的主机安全防护系统实施例,如图2所示,包括:
日志整理模块201,用于按规定将系统中的服务日志进行分类整理;
第一筛选模块202,用于对不同类别的服务日志定义不同的筛选规则,根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;
第二筛选模块203,用于按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选;
服务禁止模块204,用于记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中,禁止敏感IP地址访问内网。
优选地,所述日志整理模块201,具体用于:根据服务种类对系统中的服务日志进行分类整理;其中,所述服务种类包括:系统服务、应用程序服务、web服务、ssh服务、自定义服务。
优选地,所述第一筛选模块202中的筛选规则包括:对IP地址筛选的规则、对IP地址捕获时间筛选的规则、对IP地址扫描时间筛选的规则、对事件筛选的规则;还可以包括对URL筛选的规则、对主机地址筛选的规则等;其中,根据实际应用场景及服务日志所述的服务类型,对IP地址筛选的规则可以是对全部IP地址进行筛选、对具体网段IP地址进行筛选、对包含特定字符的IP地址进行筛选等,对IP地址捕获时间筛选的规则可以是对全部捕获时间进行筛选、对规定时间段内的捕获时间进行筛选、对在指定端口上的捕获时间进行筛选等,对IP地址扫描时间筛选的规则可以是对在指定端口上的扫描时间进行筛选、对规定时间段内的扫描时间进行筛选等。
优选地,所述第二筛选模块203中的筛选参数包括: IP地址出现次数、IP地址扫描周期。
优选地,所述二次筛选,其筛选方式包括:在规定时间内是否存在出现次数不小于IP地址出现次数这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;在规定时间内是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;根据IP地址出现次数这一参数,在规定时间内获取各IP地址与该参数相匹配的连续的IP地址捕获时间,计算各IP地址的扫描周期,判断是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件。
优选地,所述服务禁止模块204还包括服务禁用时间参数,当有IP地址写入防火墙的禁止访问规则中,则为该IP地址设置服务禁用时间参数,并根据该参数开始倒计时,当时间归零后将该IP地址从禁止访问规则中移除,允许该IP地址继续访问内网。
优选地,所述服务禁止模块204还包括频率阈值,当有IP地址写入防火墙的禁止访问规则中,则判断该IP地址写入的次数是否达到频率阈值,若是则不为该IP地址设置服务禁用时间参数,否则为该IP地址设置服务禁用时间参数;即写入次数达到频率阈值的IP地址将被永久禁止访问内网。
优选地,还包括网段禁止模块,用于记录写入防火墙禁止访问规则中的IP地址,并进行网段分析,将包含所述IP地址满足规定值的网段写入防火墙禁止访问规则中,禁止相应网段内所以IP地址对内网的访问。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。所以本发明提出一种基于日志分析的主机安全防护方法及系统,通过对系统中服务日志的分析来完善防火墙中的网络安全策略,有效禁止敏感IP对内网的访问,防止更改、复制和破坏内部网络信息事件的发生;与此同时,本发明对系统中的服务日志进行分类整理,并对不同类别的服务日志定义不同的筛选规则,使得筛选结果更加准确、全面。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (16)
1.一种基于日志分析的主机安全防护方法,其特征在于,包括:
按规定将系统中的服务日志进行分类整理;
对不同类别的服务日志定义不同的筛选规则;
根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;
按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选,记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中。
2.如权利要求1所述的方法,其特征在于,所述按规定将系统中的服务日志进行分类整理,具体为:根据服务种类对系统中的服务日志进行分类整理;其中,所述服务种类包括:系统服务、应用程序服务、web服务、ssh服务、自定义服务。
3.如权利要求1或2所述的方法,其特征在于,所述筛选规则包括:对IP地址筛选的规则、对IP地址捕获时间筛选的规则、对IP地址扫描时间筛选的规则、对事件筛选的规则。
4.如权利要求3所述的方法,其特征在于,所述筛选参数包括:IP地址出现次数、IP地址扫描周期。
5.如权利要求4所述的方法,其特征在于,所述二次筛选,其筛选方式包括:在规定时间内是否存在出现次数不小于IP地址出现次数这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;在规定时间内是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;根据IP地址出现次数这一参数,在规定时间内获取各IP地址与该参数相匹配的连续的IP地址捕获时间,计算各IP地址的扫描周期,判断是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件。
6.如权利要求1或2或4或5所述的方法,其特征在于,还包括服务禁用时间参数,当有IP地址写入防火墙的禁止访问规则中,则为该IP地址设置服务禁用时间参数,并根据该参数开始倒计时,当时间归零后将该IP地址从禁止访问规则中移除。
7.如权利要求6所述的方法,其特征在于,还包括频率阈值,当有IP地址写入防火墙的禁止访问规则中,则判断该IP地址写入的次数是否达到频率阈值,若是则不为该IP地址设置服务禁用时间参数,否则为该IP地址设置服务禁用时间参数。
8.如权利要求1或2或4或5或7所述的方法,其特征在于,还包括记录写入防火墙禁止访问规则中的IP地址,并进行网段分析,将包含所述IP地址满足规定值的网段写入防火墙禁止访问规则中。
9.一种基于日志分析的主机安全防护系统,其特征在于,包括:
日志整理模块,用于按规定将系统中的服务日志进行分类整理;
第一筛选模块,用于对不同类别的服务日志定义不同的筛选规则,根据筛选规则对服务日志内容进行筛选,并记录符合筛选规则的数据;
第二筛选模块,用于按规定设置筛选参数,根据筛选参数对所述符合筛选规则的数据进行二次筛选;
服务禁止模块,用于记录满足二次筛选条件的数据所对应的IP地址,并将所述IP地址写入防火墙的禁止访问规则中。
10.如权利要求9所述的系统,其特征在于,所述日志整理模块,具体用于:根据服务种类对系统中的服务日志进行分类整理;其中,所述服务种类包括:系统服务、应用程序服务、web服务、ssh服务、自定义服务。
11.如权利要求9或10所述的系统,其特征在于,所述第一筛选模块中的筛选规则包括:对IP地址筛选的规则、对IP地址捕获时间筛选的规则、对IP地址扫描时间筛选的规则、对事件筛选的规则。
12.如权利要求11所述的系统,其特征在于,所述第二筛选模块中的筛选参数包括: IP地址出现次数、IP地址扫描周期。
13.如权利要求12所述的系统,其特征在于,所述二次筛选,其筛选方式包括:在规定时间内是否存在出现次数不小于IP地址出现次数这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;在规定时间内是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件;根据IP地址出现次数这一参数,在规定时间内获取各IP地址与该参数相匹配的连续的IP地址捕获时间,计算各IP地址的扫描周期,判断是否存在扫描周期不小于IP地址扫描周期这一参数的IP地址,若是则满足二次筛选条件,否则不满足二次筛选条件。
14.如权利要求9或10或12或13所述的系统,其特征在于,所述服务禁止模块还包括服务禁用时间参数,当有IP地址写入防火墙的禁止访问规则中,则为该IP地址设置服务禁用时间参数,并根据该参数开始倒计时,当时间归零后将该IP地址从禁止访问规则中移除。
15.如权利要求14所述的系统,其特征在于,所述服务禁止模块还包括频率阈值,当有IP地址写入防火墙的禁止访问规则中,则判断该IP地址写入的次数是否达到频率阈值,若是则不为该IP地址设置服务禁用时间参数,否则为该IP地址设置服务禁用时间参数。
16.如权利要求9或10或12或13或15所述的系统,其特征在于,还包括网段禁止模块,用于记录写入防火墙禁止访问规则中的IP地址,并进行网段分析,将包含所述IP地址满足规定值的网段写入防火墙禁止访问规则中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610775342.XA CN106549932A (zh) | 2016-08-31 | 2016-08-31 | 一种基于日志分析的主机安全防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610775342.XA CN106549932A (zh) | 2016-08-31 | 2016-08-31 | 一种基于日志分析的主机安全防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106549932A true CN106549932A (zh) | 2017-03-29 |
Family
ID=58367845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610775342.XA Pending CN106549932A (zh) | 2016-08-31 | 2016-08-31 | 一种基于日志分析的主机安全防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106549932A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107749809A (zh) * | 2017-09-18 | 2018-03-02 | 大庆中基石油通信建设有限公司 | 基于atca一体化的高效动态收敛机制实现方法和系统 |
| CN108833188A (zh) * | 2018-07-17 | 2018-11-16 | 顺丰科技有限公司 | 一种报警信息管理方法、装置、设备及存储介质 |
| CN109634818A (zh) * | 2018-10-24 | 2019-04-16 | 中国平安人寿保险股份有限公司 | 日志分析方法、系统、终端及计算机可读存储介质 |
| WO2019080429A1 (zh) * | 2017-10-23 | 2019-05-02 | 平安科技(深圳)有限公司 | 电子装置、访问请求控制方法和计算机可读存储介质 |
| CN110401664A (zh) * | 2019-07-30 | 2019-11-01 | 广东分利宝金服科技有限公司 | 恶意网络cc攻击防范的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055818A (zh) * | 2010-12-30 | 2011-05-11 | 北京世纪互联工程技术服务有限公司 | 分布式智能dns库系统 |
| CN103577307A (zh) * | 2013-11-07 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于xml规则模型的防火墙日志自动提取与分析方法 |
| US20150188784A1 (en) * | 2013-06-05 | 2015-07-02 | Fortinet, Inc. | Cloud based logging service |
| CN105183625A (zh) * | 2015-08-31 | 2015-12-23 | 北京奇虎科技有限公司 | 一种日志数据处理方法和装置 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN105897718A (zh) * | 2016-04-25 | 2016-08-24 | 上海携程商务有限公司 | 防止局域网被扫描的系统及方法 |
-
2016
- 2016-08-31 CN CN201610775342.XA patent/CN106549932A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055818A (zh) * | 2010-12-30 | 2011-05-11 | 北京世纪互联工程技术服务有限公司 | 分布式智能dns库系统 |
| US20150188784A1 (en) * | 2013-06-05 | 2015-07-02 | Fortinet, Inc. | Cloud based logging service |
| CN103577307A (zh) * | 2013-11-07 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于xml规则模型的防火墙日志自动提取与分析方法 |
| CN105183625A (zh) * | 2015-08-31 | 2015-12-23 | 北京奇虎科技有限公司 | 一种日志数据处理方法和装置 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN105897718A (zh) * | 2016-04-25 | 2016-08-24 | 上海携程商务有限公司 | 防止局域网被扫描的系统及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107749809A (zh) * | 2017-09-18 | 2018-03-02 | 大庆中基石油通信建设有限公司 | 基于atca一体化的高效动态收敛机制实现方法和系统 |
| CN107749809B (zh) * | 2017-09-18 | 2020-04-24 | 大庆中基石油通信建设有限公司 | 基于atca一体化的高效动态收敛机制实现方法和系统 |
| WO2019080429A1 (zh) * | 2017-10-23 | 2019-05-02 | 平安科技(深圳)有限公司 | 电子装置、访问请求控制方法和计算机可读存储介质 |
| CN108833188A (zh) * | 2018-07-17 | 2018-11-16 | 顺丰科技有限公司 | 一种报警信息管理方法、装置、设备及存储介质 |
| CN109634818A (zh) * | 2018-10-24 | 2019-04-16 | 中国平安人寿保险股份有限公司 | 日志分析方法、系统、终端及计算机可读存储介质 |
| CN110401664A (zh) * | 2019-07-30 | 2019-11-01 | 广东分利宝金服科技有限公司 | 恶意网络cc攻击防范的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106549932A (zh) | 一种基于日志分析的主机安全防护方法及系统 | |
| Lakkaraju et al. | NVisionIP: netflow visualizations of system state for security situational awareness | |
| CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN100362805C (zh) | 网络色情图像和不良信息检测多功能管理系统 | |
| CN109688166A (zh) | 一种异常外发行为检测方法及装置 | |
| CN106470188B (zh) | 安全威胁的检测方法、装置以及安全网关 | |
| Gao et al. | Information security investment when hackers disseminate knowledge | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| CN107276858A (zh) | 一种访问关系梳理方法及系统 | |
| CN106682529A (zh) | 一种防篡改方法和防篡改终端 | |
| CN106713358A (zh) | 一种攻击性检测方法及装置 | |
| CN101902349A (zh) | 一种检测端口扫描行为的方法和系统 | |
| CN110415124A (zh) | 证券营销活动限流防刷方法及装置 | |
| Signorini et al. | Advise: anomaly detection tool for blockchain systems | |
| CN111614639A (zh) | 一种基于边界理论的网络安全分析方法 | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| Malderle et al. | Gathering and analyzing identity leaks for a proactive warning of affected users | |
| CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
| CN115378643B (zh) | 一种基于蜜点的网络攻击防御方法和系统 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| Iheagwara | The effect of intrusion detection management methods on the return on investment | |
| CN113904815B (zh) | 一种告警聚合方法、装置、设备及计算机存储介质 | |
| CN109729089A (zh) | 一种基于容器的智能网络安全功能管理方法及系统 | |
| CN113032787B (zh) | 一种系统漏洞检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100195 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Applicant after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16 Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170329 |