CN107046543A - 一种面向攻击溯源的威胁情报分析系统 - Google Patents
一种面向攻击溯源的威胁情报分析系统 Download PDFInfo
- Publication number
- CN107046543A CN107046543A CN201710281842.2A CN201710281842A CN107046543A CN 107046543 A CN107046543 A CN 107046543A CN 201710281842 A CN201710281842 A CN 201710281842A CN 107046543 A CN107046543 A CN 107046543A
- Authority
- CN
- China
- Prior art keywords
- source
- information
- attack
- threat
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种面向攻击溯源的威胁情报分析系统,包括内外部威胁情报收集模块和攻击溯源分析模块;内部威胁情报收集模块包括安全检测模块和安全分析模块;攻击溯源分析模块包括攻击者溯源和攻击主机溯源;通过内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块,攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源,将得到的结果反馈给安全检测模块和安全分析模块;同时结果也会和外部合作结构进行威胁情报共享交换。本发明不仅可以单独、快速完成威胁情报分析检测,也可以为针对企业的攻击提供预测,该方法面向攻击溯源,从源头上分析攻击的方式目的,更好的辨别攻击者的身份。
Description
技术领域
本发明涉及一种面向攻击溯源的威胁情报分析系统,属于网络安全技术领域。
背景技术
威胁情报(threat intelligence)是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文信息(context)、威胁所使用的方法机制、威胁相关指标(indictors)攻击影响以及应对行动建议等。威胁情报用来描述安全威胁,给组织或第三方提供决策建议。威胁情报的目的是为还原已发生和预测未发生的攻击提供一切线索,尽可能多地了解攻击者的动机、战术方法、工具、资源以及行为过程等诸多方面,并建立有效的防御体系。威胁情报一般由威胁信息和防御信息两部分内容组成。其中威胁信息包括:攻击源,即攻击者身份IP、DNS、URL等;攻击方式,如武器库;攻击对象,如指纹信息;漏洞信息,如漏洞库。防御信息包括:策略库、访问控制列表等。
目前,关于威胁情报的专利主要分为两类:
(1)威胁情报采集,生成及处理方法。现有专利包括:威胁情报的生成方法及装置(公开号为CN105897751A)、一种网络安全威胁情报处理方法及系统(公开号为CN105743877A)、一种基于web的威胁情报采集系统及方法(公开号为CN105763530A)。
(2)威胁情报共享方法。现有的专利包括:一种网络威胁情报共享模型(公开号为CN106060018A)。
上述方法存在着一定的局限性:
(1)威胁情报采集,生成及处理方法中,现有的几种专利均从建立白样本特征情报库出发,若情报并未在白样本特征库中出现,则产生威胁情报。上述方法使用了较为简单的白名单方法,首先产生威胁情报的方式较为单一,威胁情报来源也不够广泛,漏报或误报率可能较高,方法泛化性较差。而且,仅仅描述了产生威胁情报的方法,并没有形成一种完备的威胁情报分析分析系统。(2)威胁情报共享方法则是基于解决当前在网络威胁情报自动化处理和跨部门信息共享之间存在的缺乏统一规范、情报共享效率低和情报由于共享带来的泄密风险的问题而提出的。
发明内容
针对现有技术存在的不足,本发明目的是提供一种面向攻击溯源的威胁情报分析系统,本发明将威胁情报共享和威胁情报分析系统融合在一起,将威胁情报共享作为威胁情报来源的外部输入,使威胁情报分析系统的数据更加广泛,通过情报共享获得攻击者的相关信息,同时结合企业内部的基础安全监测系统和安全分析模块提供的威胁情报,能够准确快速的锁定攻击者。
为了实现上述目的,本发明是通过如下的技术方案来实现:
本发明的一种面向攻击溯源的威胁情报分析系统,包括内部威胁情报收集模块、外部威胁情报收集模块和攻击溯源分析模块;所述内部威胁情报收集模块包括安全检测模块和安全分析模块;所述外部威胁情报收集模块包括互联网公开情报源、合作交换情报源和商业共享情报源;所述攻击溯源分析模块包括攻击者溯源和攻击主机溯源;通过所述内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块,所述攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源,将得到的结果反馈给安全检测模块和安全分析模块;同时结果也会和外部合作企业进行威胁情报共享交换。
上述安全检测模块中的情报来源包括:防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统;当数据流通过防火墙时,防火墙所记录下的日志信息;入侵检测系统对异常网络行为进行记录,并产生的日志信息;漏洞扫描系统基于漏洞数据库,通过扫描对企业内部计算机系统的安全脆弱性进行检测,从而找出的可利用漏洞信息;防病毒系统对网络内部的可疑文件进行隔离产生的信息;终端安全管理系统收集的安全管理事件操作信息。
上述安全分析模块中的情报来源是:安全信息与事件管理SIEM、安全运营中心和安全管理平台;安全信息与事件管理SIEM从企业安全控件、主机操作系统收集得到的安全日志数据;安全运营中心针对企业海量事件和漏洞信息进行收集过滤、管理和分析得到的情报;安全管理平台以安全风险管理为指导的面向信息资产的安全运行监测、风险度量和安全运维得到的信息。
上述互联网公开情报源中的情报来源是:安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉;所述合作交换情报源中的情报来源是:来自建立合作关系的机构,通过在互利互惠基础上实现的共享合作机制进行保障的合作交换情报;所述商业共享情报源中的情报来源是:完全通过商业付费行为得到的商业购买情报。
上述攻击者溯源具体采用的方法如下:
(1-1)攻击代码分析:基于流量分析、逆向分析攻击代码,收集攻击者使用的控制服务器C&C地址、攻击者的目的(信息收集、系统破坏)、攻击者使用的漏洞、攻击代码的传播方式、主机驻留的手段等攻击细节情报;
(1-2)攻击模式分析:基于统计学习的方法分析攻击时序模式、攻击频率模式、攻击特征模式、攻击手法模式,形成攻击模式情报;
(1-3)社会网络分析:利用社工库,结合域名与注册邮箱的关联关系,再关联常见社交网络用户信息进行关联,形成攻击者画像证据链,从而寻找到背后的攻击者的真正身份。
上述攻击主机溯源具体采用的方法如下:
(2-1)僵尸网络主机判定,一种通过外部威胁情报共享分析判定,另一种是通过内部威胁情报产生的情报判定;
(2-2)网络跳板主机判定,通过外部威胁情报共享与内部主动对攻击主机反向渗透扫描联合判定;
(2-3)攻击主机的IP地址是否是真实IP地址,是否通过IP代理,一种通过外部威胁情报共享分析判定,另一种是通过爬取网络空间共享出来的代理IP地址进行判定;
(2-4)攻击主机网络隐蔽信道判定,通过收集暗网地址进行判定。
本发明的优点在于:威胁情报来源方式更为广泛,结合外部公开情报和合作机构共享情报,不仅可以单独、快速完成威胁情报分析检测,也可以为针对企业的攻击提供预测。此外,该方法面向攻击溯源,从源头上分析攻击的方式目的,更好的辨别攻击者的身份。同时使用资源少,运行效率高,泛化性能好。
附图说明
图1为本发明实施例的基于面向攻击溯源的威胁情报分析系统的模块示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参见图1,本发明包括内部威胁情报源模块、外部威胁情报源模块和攻击溯源分析模块。
其中,内部威胁情报源模块,主要指机构自身的安全监测防护分析系统所形成的威胁情报,包括来自安全检测模块的数据和安全分析模块的数据。安全检测模块,比如防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统等。企业内部安全分析模块,比如SIME、安全运营中心和安全管理平台;
其中,外部威胁情报源模块,主要指来自外部机构的威胁情报源,包括互联网公开情报源,合作交换情报源和商业共享情报源;
其中,攻击溯源分析模块,包括攻击者溯源和攻击主机溯源。其中,攻击者溯源分析包括攻击代码分析、攻击模式分析、社会网络分析等;攻击主机溯源包括僵尸网络、匿名网络、网络跳板以及网络隐蔽信道等。
内部威胁情报源模块具体包括:
防火墙:数据流通过防火墙时,记录数据流活动。
入侵检测系统:实时监控网络,对异常的网络行为发出警报并记录,记录的信息是威胁情报的主要来源;
漏洞扫描系统:基于漏洞数据库,通过扫描对企业内部计算机系统的安全脆弱性进行检测,找出可利用漏洞;
防病毒系统:企业通过自身网络内部的反病毒产品检测病毒,将可疑数据信息隔离,也是威胁情报的主要来源;
终端安全管理系统:对企业内部所有网络设备进行安全管理和风险管控,将各个安全部件反馈的信息加以分辨,上传至威胁情报分析系统;
安全信息与事件管理SIEM:安全信息和时间管理,负责从企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告,同时将安全日志数据作为威胁情报分析系统的数据来源;
安全运营中心:专门的安全事件管理工具,针对企业海量事件和漏洞信息进行收集过滤、管理和分析,同样也是威胁情报分析系统分的数据来源;
安全管理平台:类似于安全运营中心,但更多地是以企业资产为核心,以安全事件处理为关键流程,以安全风险管理为指导的一个面向信息资产的安全运行监测、风险度量和安全运维的技术平台,也作为威胁情报产生的来源。
外部威胁情报源模块,涉及的情报来源初步包括:
互联网公开情报源:即基于网络互联网的公开可获取的相关威胁情报,主要来自互联网已公开的情报源,及各种订阅的安全信息,漏洞信息、等数据。公开的信息包含了安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉等,可通过网络爬虫进行采集;
合作交换情报源:来自建立合作关系的机构,这往往通过在互利互惠基础上实现的共享合作机制进行保障,所获得的情报有较为直观的攻击者的信息,比如攻击者的惯用攻击方法手段和一些特征习惯;
商业共享情报源:指完全通过商业付费行为得到的情报源,这往往来自专门的威胁情报供应商。
攻击溯源分析模块,主要包括:
攻击者溯源:寻找实施攻击的幕后黑客及其组织,主要通过结合威胁情报和攻击事件信息进行基于大数据的挖掘分析,可以实现对攻击者的刻画,对攻击行为的关联分析,从未为揭示攻击过程和确定攻击者身份提供有效的信息。
攻击主机溯源:寻找和定位发起攻击事件的主控机器,主要是利用威胁情报进行关联分析,以实现对采用隐匿技术机制的攻击行为进行溯源分析。
攻击者溯源主要包括如下方法:
(1-1)攻击代码分析:通过分析攻击代码,判断攻击种类。
(1-2)攻击模式分析:判断攻击是如何被执行的,判断攻击模式的类型,是服务拒绝攻击,利用型攻击,信息收集型攻击还是假消息攻击。
(1-3)社会网络分析:指研究一组行动者的关系的研究方法,焦点是关系和关系的模式,采用的方式和方法从概念上有别于传统的统计分析和数据处理方法。在威胁情报分析系统中,根据威胁情报,分析一组威胁情报之间的关系,对同类威胁情报或者攻击寻找背后的攻击者的真正身份。
攻击主机溯源主要包括如下方法:
(2-1)僵尸网络:指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。系统需要判断攻击主机是否来源于僵尸网络。
(2-2)网络跳板:系统需要判断攻击主机是否是跳板主机,是否是攻击者利用该主机作为网络跳板发起的攻击。
(2-3)匿名网络:所谓匿名网络,不仅仅是网络中网络用户的匿名性,也可能是攻击者通过代理IP等手段,隐藏自己的IP,使系统很难找到真正的攻击主机。
(2-4)网络隐蔽信道:隐蔽信道是信息隐藏技术的扩展,它不像加密方法一样将密文暴露给攻击者,而是通过隐藏通信通道的方法来隐蔽地将信息从一段传递到另一端。因此,系统判断信息是否通过网络隐蔽信道进行传输。
本发明不仅仅依赖互联网公开数据,同时结合企业自身的安全日志信息以及合作企业的情报共享得到威胁情报,不仅可以独立、快速完成攻击溯源分析,也可以为企业提供安全防护。此外,该方法面向攻击溯源,从源头上分析攻击者的攻击手段、攻击目标,攻击意图,攻击者身份,即得到所谓的“黑客肖像”,从而更好的确定攻击者身份。同时系统运行使用资源少,运行效率高,泛化性能好。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种面向攻击溯源的威胁情报分析系统,其特征在于,包括内部威胁情报收集模块、外部威胁情报收集模块和攻击溯源分析模块;
所述内部威胁情报收集模块包括安全检测模块和安全分析模块;
所述外部威胁情报收集模块包括互联网公开情报源、合作交换情报源和商业共享情报源;
所述攻击溯源分析模块包括攻击者溯源和攻击主机溯源;
通过所述内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块,所述攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源,将得到的结果反馈给安全检测模块和安全分析模块;同时结果也会和外部合作企业进行威胁情报共享交换。
2.根据权利要求1所述的面向攻击溯源的威胁情报分析系统,其特征在于,所述安全检测模块中的情报来源包括:防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统;
当数据流通过防火墙时,防火墙所记录下的日志信息;入侵检测系统对异常网络行为进行记录,并产生的日志信息;漏洞扫描系统基于漏洞数据库,通过扫描对企业内部计算机系统的安全脆弱性进行检测,从而找出的可利用漏洞信息;防病毒系统对网络内部的可疑文件进行隔离产生的信息;终端安全管理系统收集的安全管理事件操作信息。
3.根据权利要求1所述的面向攻击溯源的威胁情报分析系统,其特征在于,所述安全分析模块中的情报来源是:安全信息与事件管理SIEM、安全运营中心和安全管理平台;
安全信息与事件管理SIEM从企业安全控件、主机操作系统收集得到的安全日志数据;安全运营中心针对企业海量事件和漏洞信息进行收集过滤、管理和分析得到的情报;安全管理平台以安全风险管理为指导的面向信息资产的安全运行监测、风险度量和安全运维得到的信息。
4.根据权利要求1所述的面向攻击溯源的威胁情报分析系统,其特征在于,
所述互联网公开情报源中的情报来源是:安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉;
所述合作交换情报源中的情报来源是:来自建立合作关系的机构,通过在互利互惠基础上实现的共享合作机制进行保障的合作交换情报;
所述商业共享情报源中的情报来源是:完全通过商业付费行为得到的商业购买情报。
5.根据权利要求1所述的面向攻击溯源的威胁情报分析系统,其特征在于,所述攻击者溯源具体采用的方法如下:
(1-1)攻击代码分析:基于流量分析、逆向分析攻击代码,收集攻击者使用的控制服务器C&C地址、攻击者的目的、攻击者使用的漏洞、攻击代码的传播方式、主机驻留的手段;
(1-2)攻击模式分析:基于统计学习的方法分析攻击时序模式、攻击频率模式、攻击特征模式、攻击手法模式,形成攻击模式情报;
(1-3)社会网络分析:利用社工库,结合域名与注册邮箱的关联关系,再关联常见社交网络用户信息进行关联,形成攻击者画像证据链,从而寻找到背后的攻击者的真正身份。
6.根据权利要求1所述的面向攻击溯源的威胁情报分析系统,其特征在于,所述攻击主机溯源具体采用的方法如下:
(2-1)僵尸网络主机判定,一种是通过外部威胁情报共享分析判定,另一种是通过内部威胁情报产生的情报判定;
(2-2)网络跳板主机判定,通过外部威胁情报共享与内部主动对攻击主机反向渗透扫描联合判定;
(2-3)攻击主机的IP地址是否是真实IP地址,是否通过IP代理,一种是通过外部威胁情报共享分析判定,另一种是通过爬取网络空间共享出来的代理IP地址进行判定;
(2-4)攻击主机网络隐蔽信道判定,通过收集暗网地址进行判定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710281842.2A CN107046543A (zh) | 2017-04-26 | 2017-04-26 | 一种面向攻击溯源的威胁情报分析系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710281842.2A CN107046543A (zh) | 2017-04-26 | 2017-04-26 | 一种面向攻击溯源的威胁情报分析系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107046543A true CN107046543A (zh) | 2017-08-15 |
Family
ID=59546565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710281842.2A Pending CN107046543A (zh) | 2017-04-26 | 2017-04-26 | 一种面向攻击溯源的威胁情报分析系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107046543A (zh) |
Cited By (51)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
CN108259511A (zh) * | 2018-02-28 | 2018-07-06 | 公安部第研究所 | 一种网络空间威胁情报共享系统及方法 |
CN108683685A (zh) * | 2018-06-19 | 2018-10-19 | 三江学院 | 一种针对xss攻击的云安全cdn系统及监测方法 |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
CN108881271A (zh) * | 2018-07-03 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 一种代理主机的反向追踪溯源方法及装置 |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
CN109299174A (zh) * | 2018-09-11 | 2019-02-01 | 北京奇安信科技有限公司 | 一种多源情报数据聚合处理方法及装置 |
CN109361643A (zh) * | 2018-06-22 | 2019-02-19 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
CN109583193A (zh) * | 2017-09-29 | 2019-04-05 | 卡巴斯基实验室股份制公司 | 目标攻击的云检测、调查以及消除的系统和方法 |
CN109714199A (zh) * | 2018-12-18 | 2019-05-03 | 中科曙光国际信息产业有限公司 | 基于大数据架构的网络流量分析与溯源系统 |
CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、系统及存储介质 |
CN110113350A (zh) * | 2019-05-15 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110213236A (zh) * | 2019-05-05 | 2019-09-06 | 深圳市腾讯计算机系统有限公司 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
CN110213226A (zh) * | 2019-04-23 | 2019-09-06 | 南瑞集团有限公司 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
CN110247888A (zh) * | 2019-04-17 | 2019-09-17 | 郑州轻工业学院 | 一种计算机网络安全态势感知平台架构 |
CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
CN110677472A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于ioc智能提取及共享的协同防御方法 |
CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
CN111209564A (zh) * | 2020-01-03 | 2020-05-29 | 深信服科技股份有限公司 | 一种云平台安全状态预测方法、装置、设备及存储介质 |
CN111343169A (zh) * | 2020-02-19 | 2020-06-26 | 中能融合智慧科技有限公司 | 一种工控环境下安全资源汇聚与情报共享的系统及方法 |
CN111339398A (zh) * | 2019-12-19 | 2020-06-26 | 杭州安恒信息技术股份有限公司 | 一种多元化大数据情报分析系统及其分析方法 |
CN111641619A (zh) * | 2020-05-21 | 2020-09-08 | 杭州安恒信息技术股份有限公司 | 一种基于大数据构建黑客画像的方法、装置和计算机设备 |
CN111787024A (zh) * | 2020-07-20 | 2020-10-16 | 浙江军盾信息科技有限公司 | 网络攻击证据的搜集方法、电子装置及存储介质 |
CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
CN112464666A (zh) * | 2019-08-19 | 2021-03-09 | 四川大学 | 一种基于暗网数据的未知网络威胁自动发现方法 |
CN112511513A (zh) * | 2020-11-19 | 2021-03-16 | 西安电子科技大学 | 基于Tor网络业务的威胁情报接入工具箱 |
CN112532652A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于多源数据的攻击行为画像装置及方法 |
CN112583820A (zh) * | 2020-12-09 | 2021-03-30 | 南方电网科学研究院有限责任公司 | 一种基于攻击拓扑的电力攻击测试系统 |
CN112597490A (zh) * | 2020-12-16 | 2021-04-02 | 平安消费金融有限公司 | 安全威胁编排响应方法、装置、电子设备及可读存储介质 |
CN112688929A (zh) * | 2020-12-18 | 2021-04-20 | 福建中信网安信息科技有限公司 | 一种基于互联网威胁情报的共享系统 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
CN112839029A (zh) * | 2020-12-22 | 2021-05-25 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
CN113098852A (zh) * | 2021-03-25 | 2021-07-09 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
CN113162953A (zh) * | 2021-06-09 | 2021-07-23 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
CN114003904A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
CN114417329A (zh) * | 2021-12-08 | 2022-04-29 | 国家电网有限公司信息通信分公司 | 基于联邦学习的威胁情报生产与分析方法 |
CN114666101A (zh) * | 2022-03-01 | 2022-06-24 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统、方法、设备及介质 |
CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
CN115296936A (zh) * | 2022-10-08 | 2022-11-04 | 四川安洵信息技术有限公司 | 一种反网络犯罪辅侦的自动化方法及系统 |
CN115967548A (zh) * | 2022-12-04 | 2023-04-14 | 广州魔番网络科技有限公司 | 一种基于大数据信息安全的安全防护指标优化方法及人工智能系统 |
CN114417329B (zh) * | 2021-12-08 | 2024-10-01 | 国家电网有限公司信息通信分公司 | 基于联邦学习的威胁情报生产与分析方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020038430A1 (en) * | 2000-09-13 | 2002-03-28 | Charles Edwards | System and method of data collection, processing, analysis, and annotation for monitoring cyber-threats and the notification thereof to subscribers |
CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
CN105897751A (zh) * | 2016-06-03 | 2016-08-24 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
WO2017052643A1 (en) * | 2015-09-25 | 2017-03-30 | Hewlett Packard Enterprise Development Lp | Associations among data records in a security information sharing platform |
-
2017
- 2017-04-26 CN CN201710281842.2A patent/CN107046543A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020038430A1 (en) * | 2000-09-13 | 2002-03-28 | Charles Edwards | System and method of data collection, processing, analysis, and annotation for monitoring cyber-threats and the notification thereof to subscribers |
WO2017052643A1 (en) * | 2015-09-25 | 2017-03-30 | Hewlett Packard Enterprise Development Lp | Associations among data records in a security information sharing platform |
CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
CN105897751A (zh) * | 2016-06-03 | 2016-08-24 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
Non-Patent Citations (3)
Title |
---|
李建华: "网络空间威胁情报感知、共享与分析技术综述", 《网络与信息安全学报》 * |
杨泽明: "面向攻击溯源的威胁情报共享利用研究", 《信息安全研究》 * |
陈周国: "网络攻击追踪溯源层次分析", 《计算机系统应用》 * |
Cited By (71)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
CN107370763B (zh) * | 2017-09-04 | 2020-10-20 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
CN109583193A (zh) * | 2017-09-29 | 2019-04-05 | 卡巴斯基实验室股份制公司 | 目标攻击的云检测、调查以及消除的系统和方法 |
CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
CN108259511A (zh) * | 2018-02-28 | 2018-07-06 | 公安部第研究所 | 一种网络空间威胁情报共享系统及方法 |
CN108683685A (zh) * | 2018-06-19 | 2018-10-19 | 三江学院 | 一种针对xss攻击的云安全cdn系统及监测方法 |
CN109361643A (zh) * | 2018-06-22 | 2019-02-19 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
CN109361643B (zh) * | 2018-06-22 | 2021-05-25 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
CN109194605B (zh) * | 2018-07-02 | 2020-08-25 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
CN108881271A (zh) * | 2018-07-03 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 一种代理主机的反向追踪溯源方法及装置 |
CN108881271B (zh) * | 2018-07-03 | 2021-01-26 | 杭州安恒信息技术股份有限公司 | 一种代理主机的反向追踪溯源方法及装置 |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN109299174A (zh) * | 2018-09-11 | 2019-02-01 | 北京奇安信科技有限公司 | 一种多源情报数据聚合处理方法及装置 |
CN109714199B (zh) * | 2018-12-18 | 2022-02-22 | 中科曙光国际信息产业有限公司 | 基于大数据架构的网络流量分析与溯源系统 |
CN109714199A (zh) * | 2018-12-18 | 2019-05-03 | 中科曙光国际信息产业有限公司 | 基于大数据架构的网络流量分析与溯源系统 |
CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、系统及存储介质 |
CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
CN110247888A (zh) * | 2019-04-17 | 2019-09-17 | 郑州轻工业学院 | 一种计算机网络安全态势感知平台架构 |
CN110213226A (zh) * | 2019-04-23 | 2019-09-06 | 南瑞集团有限公司 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
CN110213226B (zh) * | 2019-04-23 | 2021-08-24 | 南瑞集团有限公司 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
CN110213236A (zh) * | 2019-05-05 | 2019-09-06 | 深圳市腾讯计算机系统有限公司 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
CN110213236B (zh) * | 2019-05-05 | 2022-09-27 | 深圳市腾讯计算机系统有限公司 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
CN110138770B (zh) * | 2019-05-13 | 2021-08-06 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110113350A (zh) * | 2019-05-15 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
CN110113350B (zh) * | 2019-05-15 | 2021-04-02 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
CN110460594B (zh) * | 2019-07-31 | 2022-02-25 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
CN111177720B (zh) * | 2019-08-08 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
CN112464666A (zh) * | 2019-08-19 | 2021-03-09 | 四川大学 | 一种基于暗网数据的未知网络威胁自动发现方法 |
CN112464666B (zh) * | 2019-08-19 | 2023-07-21 | 四川大学 | 一种基于暗网数据的未知网络威胁自动发现方法 |
CN110677472A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于ioc智能提取及共享的协同防御方法 |
CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
CN111339398A (zh) * | 2019-12-19 | 2020-06-26 | 杭州安恒信息技术股份有限公司 | 一种多元化大数据情报分析系统及其分析方法 |
CN111209564B (zh) * | 2020-01-03 | 2022-11-22 | 深信服科技股份有限公司 | 一种云平台安全状态预测方法、装置、设备及存储介质 |
CN111209564A (zh) * | 2020-01-03 | 2020-05-29 | 深信服科技股份有限公司 | 一种云平台安全状态预测方法、装置、设备及存储介质 |
CN111343169A (zh) * | 2020-02-19 | 2020-06-26 | 中能融合智慧科技有限公司 | 一种工控环境下安全资源汇聚与情报共享的系统及方法 |
CN111641619A (zh) * | 2020-05-21 | 2020-09-08 | 杭州安恒信息技术股份有限公司 | 一种基于大数据构建黑客画像的方法、装置和计算机设备 |
CN111787024A (zh) * | 2020-07-20 | 2020-10-16 | 浙江军盾信息科技有限公司 | 网络攻击证据的搜集方法、电子装置及存储介质 |
CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
CN112511513A (zh) * | 2020-11-19 | 2021-03-16 | 西安电子科技大学 | 基于Tor网络业务的威胁情报接入工具箱 |
CN112583820A (zh) * | 2020-12-09 | 2021-03-30 | 南方电网科学研究院有限责任公司 | 一种基于攻击拓扑的电力攻击测试系统 |
CN112583820B (zh) * | 2020-12-09 | 2022-06-17 | 南方电网科学研究院有限责任公司 | 一种基于攻击拓扑的电力攻击测试系统 |
CN112597490A (zh) * | 2020-12-16 | 2021-04-02 | 平安消费金融有限公司 | 安全威胁编排响应方法、装置、电子设备及可读存储介质 |
CN112688929B (zh) * | 2020-12-18 | 2023-05-23 | 福建中信网安信息科技有限公司 | 一种基于互联网威胁情报的共享系统 |
CN112688929A (zh) * | 2020-12-18 | 2021-04-20 | 福建中信网安信息科技有限公司 | 一种基于互联网威胁情报的共享系统 |
CN112532652A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于多源数据的攻击行为画像装置及方法 |
CN112839029A (zh) * | 2020-12-22 | 2021-05-25 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
CN113098852B (zh) * | 2021-03-25 | 2022-11-22 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
CN113098852A (zh) * | 2021-03-25 | 2021-07-09 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
CN113162953A (zh) * | 2021-06-09 | 2021-07-23 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
CN113852641B (zh) * | 2021-09-30 | 2024-06-04 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
CN114417329B (zh) * | 2021-12-08 | 2024-10-01 | 国家电网有限公司信息通信分公司 | 基于联邦学习的威胁情报生产与分析方法 |
CN114417329A (zh) * | 2021-12-08 | 2022-04-29 | 国家电网有限公司信息通信分公司 | 基于联邦学习的威胁情报生产与分析方法 |
CN114003904B (zh) * | 2021-12-31 | 2022-03-08 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
CN114003904A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
CN114666101A (zh) * | 2022-03-01 | 2022-06-24 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统、方法、设备及介质 |
CN114666101B (zh) * | 2022-03-01 | 2024-03-22 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统及方法 |
CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
CN115296936A (zh) * | 2022-10-08 | 2022-11-04 | 四川安洵信息技术有限公司 | 一种反网络犯罪辅侦的自动化方法及系统 |
CN115967548B (zh) * | 2022-12-04 | 2024-04-09 | 深圳市众志天成科技有限公司 | 一种基于大数据信息安全的安全防护指标优化方法及人工智能系统 |
CN115967548A (zh) * | 2022-12-04 | 2023-04-14 | 广州魔番网络科技有限公司 | 一种基于大数据信息安全的安全防护指标优化方法及人工智能系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
Yaacoub et al. | Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations | |
Heckman et al. | Active cyber defense with denial and deception: A cyber-wargame experiment | |
Lutta et al. | The complexity of internet of things forensics: A state-of-the-art review | |
Sigholm et al. | Towards offensive cyber counterintelligence: Adopting a target-centric view on advanced persistent threats | |
Gao et al. | Information security investment when hackers disseminate knowledge | |
CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
CN107579997A (zh) | 无线网络入侵检测系统 | |
Goel et al. | Attribution across cyber attack types: network intrusions and information operations | |
CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
Ng et al. | Honeypot frameworks and their applications: a new framework | |
Adewopo et al. | Plunge into the underworld: A survey on emergence of darknet | |
CN117375997A (zh) | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 | |
Shrivastava et al. | Network forensics: Today and tomorrow | |
Perera et al. | The next gen security operation center | |
Yasinsac et al. | Honeytraps, a network forensic tool | |
Rutherford et al. | Using an improved cybersecurity kill chain to develop an improved honey community | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
Kara | Don't bite the bait: phishing attack for internet banking (e-banking) | |
Cascavilla | The Rise of Cybercrime and Cyber-Threat Intelligence: Perspectives and Challenges From Law Enforcement | |
Nallaperumal | CyberSecurity Analytics to Combat Cyber Crimes | |
Mudgal et al. | Experiment Based Study to Enhance the Security of Cyber Space | |
Subhan et al. | Unveiling Attack Patterns: A Study of Adversary Behavior from Honeypot Data | |
Yu et al. | Automated Framework for Scalable Collection and Intelligent Analytics of Hacker IRC Information | |
Maurushat et al. | Artificial intelligence enabled cyber fraud: a detailed look into payment diversion fraud and ransomware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170815 |
|
RJ01 | Rejection of invention patent application after publication |