CN107295010A - 一种企业网络安全管理云服务平台系统及其实现方法 - Google Patents

一种企业网络安全管理云服务平台系统及其实现方法 Download PDF

Info

Publication number
CN107295010A
CN107295010A CN201710653522.5A CN201710653522A CN107295010A CN 107295010 A CN107295010 A CN 107295010A CN 201710653522 A CN201710653522 A CN 201710653522A CN 107295010 A CN107295010 A CN 107295010A
Authority
CN
China
Prior art keywords
data
equipment
network
record
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710653522.5A
Other languages
English (en)
Inventor
胡浩
何小梅
王晶
龚道冰
陈冬
罗丁元
陈钢
唐睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Valley Network Technology Co Ltd
Original Assignee
Hangzhou Valley Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Valley Network Technology Co Ltd filed Critical Hangzhou Valley Network Technology Co Ltd
Priority to CN201710653522.5A priority Critical patent/CN107295010A/zh
Publication of CN107295010A publication Critical patent/CN107295010A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

本发明涉及企业网络的安全防护技术领域,特别涉及一种服务于企业的企业网络安全管理云服务平台系统及其实现方法。通过对企业网络上传输的数据进行分析,发现、识别企业网上所有在线的设备,获得动态的企业在线资产数据,并根据这些网络传输数据确定在线设备的正常行为模式,一旦在网络传输指令中发现异常,比如数据输出、违规访问、异常的介质存储等违背正常行为模式的事件,立即存档并生成告警信息并采取响应的防范隔离措施。本发明无需对现有的企业设备作任何修改,不需要在企业设备上加装代理软件,是一种积极的安全措施,能够对企业网络上在线设备数量和类型一目了然,实现在线设备资产管理。

Description

一种企业网络安全管理云服务平台系统及其实现方法
技术领域
本发明涉及企业网络的安全防护技术领域,特别涉及一种服务于企业的企业网络安全管理云服务平台系统及其实现方法。
背景技术
当前的中小型企业由于技术力量和资金的限制,很难再企业内部建立起一套完善的网络信息安全保障系统来管理企业网络,那么由第三方利用云技术提供网络安全服务是一个有发展前景的技术平台和商业模式。
一般来说中小型企业的网络安全管理系统主要关注数据泄露、入侵检测、内部人员的行为审计等网络信息安全事项,同时企业所有者也十分期待能够实时掌握在线网络资产的实时运行状况。由于很多威胁来源于企业内部人为因素,如何用经济有效的方法规避掉内部人员威胁,防范企业面临的安全风险是所有企业,特别是中小型企业面临的重要课题。
由第三方利用云技术为这样的企业解决方案提供了可行的企业网络信息安全服务平台。企业只需部署相对隐蔽的装置就能够将企业网络的实时网络交易数据解析出来并发送至云平台做进一步分析、判定、报告以及采取必要的防范措施。这样,一个云平台可以管理多个企业的网络信息安全,这对中小企业来讲是非常实际有效的安全管理解决方案。
发明内容
为此,本发明提供了一种企业网络安全管理云服务平台系统,用于解决企业网络的信息安全隐患,通过对企业网络上传输的数据进行分析,发现、识别企业网上所有在线的设备,获得动态的企业在线资产数据,并根据这些网络传输数据确定在线设备的正常行为模式,一旦在网络传输指令中发现异常,比如数据输出、违规访问、异常的介质存储等违背正常行为模式的事件,立即存档并生成告警信息并采取响应的防范隔离措施。
为达到上述目的,本发明公开了基于网络流量分析的中小企业安全管理服务云平台的实现方法,包括根据企业网上设备发送接收的数据包自动识别当前企业网络上连接的所有设备和设备类型,提供带有运行状态的动态资产管理;根据网络流量分析提取企业网络上每台设备的正常行为模式作为基准;基于行为基准对的网络流量分析,与预装的员工行为准则的比对实现企业网络上员工行为审计;基于设备正常行为模式对的网络流量分析,实现对企业网的入侵监测;基于设备正常行为模式对的网络流量分析,对企业网络上的每台设备数据交换记录的分析和跟踪,获得每一台设备的历史数据用于监控潜在的数据泄露;根据需要实施隔离威胁等举措并发送告警信息。实现方法需要再本地网络采集和处理网络流量提取通信协议数据信息,并通过私有加密信道转发至云平台;利用云平台分析接收到的企业网络在线设备的网络交易数据,根据所述网络交易数据的IP地址、数据包类型、以及数据类型等深度解析信息生成访问记录、事件记录和系统记录,并在此基础上产生历史数据;结合对在线设备的聚类分析结果和历史数据,发现识别企业网络上的设备,形成在线设备资产识别的基础数据;利用机器学习算法对采集的信息对设备进行分类和识别、根据当前记录和历史数据确定每一台设备的行为模式基准,检测异常行为以及完成对异常行为的后处理;在云平台预装员工行为准则,将当前与用户相关的记录比对,完成对用户行为审计,并生成用户行为档案;利用历史数据、在线设备资料和在线设备正常行为模式对当前记录进行分析,确定是否出现数据泄露和入侵行为,产生相应的告警和报告。本发明的优点和有益效果:该方法无需对现有的企业设备作任何修改,不需要在企业设备上加装代理软件,是一种积极的安全措施,能够对企业网络上在线设备数量和类型一目了然,对在线设备的运行进行实时跟踪,自动识别在线设备的正常行为模式,并感知异常状况的发生。
基于企业安全管理云服务的实现方法,进一步提出一种企业安全管理服务云平台系统,由云平台、和分布在一个或多个企业网络中的本地安全监视系统共同组成。其中,企业网络的交换机需要设置一个镜像端口,所有企业网络的网络交易数据均映射到所述镜像端口上,本地安全监视系统与所述镜像端口连接,从而获得所有在线设备发送和接收的网络交易数据。
本地安全监视系统获得所在企业网络数据后,依照截获数据的通信网络端口判断网络数据使用的通信协议,并根据通信协议对网络数据进行数据包解析,并将解析后的元数据通过私有加密信道发送给云服务平台。
云服务平台对接收到的元数据进行聚类分析,云平台的访问记录管理系统、事件记录管理系统和系统记录管理系统依据元数据中的源IP地址、目的IP地址、数据包类型、数据类型生成访问记录、事件记录和管理记录,并在此基础上分别生成各自的历史纪录。
云平台中资产管理系统依据接收到的元数据,确定对应特定IP地址的设备类型和配置,发现全部安全监视系统所在企业网络的在线设备的数量和类型;在企业网络上的安全监视系统持续将解析后的元数据发送给云服务平台,云服务平台的资产管理系统根据元数据的分类和配置、源IP地址、目的IP地址、数据包类型、数据类型跟踪设备的行为,利用机器学习的算法对设备行为进行行为模式识别,进而分析确定对应设备的正常行为模式;并将所有设备行为归档。当云服务平台发现在线设备的当前事件记录不符合对应的在线设备正常行为模式时,确定该设备发生异常行为,云服务平台对异常行为进行风险评估后生成报警记录,并根据风险程度对异常设备实施隔离。资产管理系统可以定时或按照要求生成在线资产报告。
云平台的员工行为管理系统,该系统预装员工行为准则,所述员工行为准则包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等。员工行为管理系统从网络交易数据中获得与用户行为相关的访问记录、系统记录和事件记录与员工行为准则比较,若不符合员工行为准则,执行告警和报告等后处理操作,以期达到对员工行为审计的目的。
云平台的数据泄露检测系统利用历史数据和所述在线设备的正常行为模式对企业网内所述在线设备可能受到的入侵进行实时管理和处理。当前事件不符合设备异常或用户的异常行为,但符合以下条件之一的,归类为数据泄露异常:包括但不限于系统输出异常、存储介质使用异常,访问路径异常等。
云平台的入侵检测系统利用历史数据和所述在线设备的正常行为模式对企业网内所述在线设备可能受到的入侵进行实时管理和处理。当前事件不符合设备异常或用户的异常行为,但符合以下条件之一的,归类为入侵异常:包括但不限于所述设备系统输入行为异常、所述设备系统访问记录异常、所述设备系统异常等。
本发明的优点和有益效果:该方法无需对现有的企业设备作任何修改,不需要在企业设备上加装代理软件,是一种积极的安全措施,能够对企业网络上在线设备数量和类型一目了然,实现在线设备资产管理;对在线设备的运行进行实时跟踪,自动识别在线设备的正常行为模式,并以此为依据及时发现外界对企业网络的入侵和内部数据泄露的异常状况。同时,实现对员工进行行为审计。
附图说明
图1是本发明一个具体实施例方法的网络拓扑示意图
图2是本发明安全监视系统具体实施例的组成示意图
图3是本发明中基于网络流量分析的访问记录管理系统具体实施例的组成示意图
图4是本发明中基于网络流量分析的系统记录管理系统具体实施例的组成示意图
图5是本发明中基于网络流量分析的事件记录管理系统具体实施例的组成示意图
图6是本发明中基于网络流量分析的资产管理系统具体实施例的组成示意图
图7是基于网络流量分析的资产管理系统具体实施例的一个工作流程
图8是本发明中基于网络流量分析的员工行为审计系统具体实施例的组成示意图
图9是基于网络流量分析的员工行为审计系统具体实施例的一个工作流程
图10是本发明中基于网络流量分析的入侵检测审计系统具体实施例的组成示意图
图11是基于网络流量分析的入侵检测系统具体实施例的一个工作流程
图12是本发明中基于网络流量分析的数据泄露检测系统具体实施例的组成示意图
图13是基于网络流量分析的数据泄露检测系统具体实施例的一个工作流程
附图标记:
10 企业网络
100 安全监视系统
110 数据捕获模块
120 数据分析模块
130 通信模块
140 数据存储模块
150 网络交换机
170-1,170-2,……,170-n 有线连接的企业网络在线设备
190-1,190-2,……,190-m 无线连接的企业网络在线设备
20 安全管理云
210 基于网络流量分析的访问记录管理系统
212 数据流分析模块
214 访问记录管理模块
216 访问数据记录存储
220 基于网络流量分析的系统记录管理系统
222 数据流分析模块
224 系统记录管理模块
226 系统数据记录存储
230 基于网络流量分析的事件记录管理系统
232 数据流分析模块
234 事件记录管理模块
236 事件数据记录存储
240 基于网络流量分析的资产管理系统
242 分类模块
244 设备资料分析模块
246 在线设备历史数据存储
248 在线设备资料存储
249 异常检测处理模块
250 基于网络流量分析的员工行为检测系统
252 预装用户行为准则
254 用户行为分析模块
256 用户行为历史数据存储
258 用户档案存储
259 异常检测处理模块
260 基于网络流量分析的入侵检测系统
262 记录识别模块
264 历史数据存储
266 在线设备资料存储
268 正常行为模式
269 异常检测处理模块
270 基于网络流量分析的数据泄露检测系统
272 记录分析模块
274 历史数据存储
276 在线设备资料存储
278 正常行为模式
279 异常检测处理模块
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
企业网络的安全管理云服务平台方案的基本原理是:若干有线连接的设备和若干无线连接的设备,连同网络交换机共同构建成一个企业网络,网络交换机完成所在网络的网络数据交换,通过对网络交换机的设置将包括有线连接和无线连接的所有的网络通信映射到一个端口,将安全监视系统连接到该镜像端口,安全管理云服务平台通过VPN和企业网本地安全检视系统相连,为了提供企业员工的行为审计,安全管理云服务平台应预装员工行为准则。
安全监视系统根据网络通信的TCP端口判断该数据包所使用的网络通信协议,安全监视系统根据网络通信协议对采集的网络数据进行深度包解析,得到包括数据源地址和目的地址、数据包类型、数据类型等信息,例如,当企业网络使用HTTP通信协议时,安全监视设备在获得了网络交易数据的源IP地址、目的IP地址后,根据TCP/UDP端口是80来确定上层是HTTP服务,根据不同服务的不同参数,对HTTP消息或HTTP协议数据单元(PDU)进行解析,并将这些解析后的信息通过加密通道发送至云服务平台进行进一步的分析和处理。
当安全云服务平台接收到已经分解的元数据进行进一步的分析,每一个数据交换都生成一个记录,针对相同IP地址的记录就形成了该IP地址对应在线设备的历史纪录,通过对同一IP地址的数据作进一步的数据包和数据类型的分析,安全云服务平台得到该IP地址对应的在线设备的配置信息,最终确定该IP地址对应的在线设备类型和具体配置。通过这个方法,安全云服务平台可以确定所有在线设备的类型和配置,能够自动或在得到指令后生成动态的资产报告。
在了解了在线设备类型和配置的前提下,安全云服务平台根据累积的历史记录,设备的配置资料和已知的网络通信协议通过机器学习的算法建立和更新在线设备的正常行为模式,并存储在数据库中,当安全云服务平台接收到安全监视系统获得的网络交易数据分析后得到事件记录,若该事件记录与现有的正常行为模式和预装的员工行为准则不相符时,包括但不限于越权访问、向未知主机发送数据、恶意代码传播等等。安全云服务平台记录该异常信息,并分析异常信息的类型,自动生成告警信息,在风险评估后采取响应的保护措施,包括但不限于隔离相关设备、锁定相关用户登录账户等。
图1是本发明一个安全管理云服务平台实施例的网络拓扑图,在一个企业网络10中,包括网络交换机150,与150有线连接的在线设备170-1,170-2,……,170-n,与150无线连接的在线设备190-1,190-2,……,190-m,网络交换机150与互联网30相连使企业网获得与外部网络的联系;在企业网络交换机150上配置一个镜像端口,该端口和安全监视系统100相连,通过企业网络10的交换机150的镜像端口,安全监视系统100能够获得该企业网络中所有在线设备的发送和接收的数据,并将获得的网络数据进行分析,并发送到安全管理云服务平台,安全监视系统可以是一个独立的硬件上运行的软件,也可以在企业网络的一台在线设备上运行,安全监视系统通过VPN与安全管理云平台20相连,将企业网络上采集的网络数据进行初步解析后发送到安全管理云平台20做进一步的分析和处理。
图2描述了本发明中一个安全监视系统100实施例的功能组成,安全监视系统100的主要功能有从交换机150的镜像端口获得所有设备发送和接收的网络数据的数据捕获功能110;基于传输端口获得通信息协议对网络数据进行分析的数据分析功能120;将初步分析的元数据通过VPN发送到安全管理云服务平台的通信功能130;以及本地的存储140。
图3描述了本发明中基于网络流量分析的访问记录管理系统210的一个实施例,访问记录管理系统210包括了安全监视系统100、数据流分析模块212、访问记录管理模块214和访问记录模块216。其中,安全监视系统100用于捕获在线设备发送和接收的网络数据,其中在线设备包括有线连接的在线设备170-1,170-2,……,170-n或无线连接的在线设备190-1,190-2,……,190-m,并根据捕获到的数据包使用的通信协议对网络数据进行初步的解析,然后将分解后的数据通过VPN发送到数据流分析模块212做进一步的分析和处理;数据流分析模块212对从安全监控系统100得到的初步分解后的数据进行进一步的解析,例如分析数据包的报头来确定网络交易数据中发送和接收地址,包括但不限于IP地址、MAC地址、访问应用的地址等;访问记录管理模块214利用数据流分析模块212的分析结果通过创建和更新在线设备的访问记录;访问记录数据存储模块216存储访问记录数据用于在线设备管理和用户行为管理。存储在数据存储模块216的访问记录生成和更新访问记录的历史数据。
图4描述了本发明中基于网络流量分析的系统记录管理系统220的一个实施例,访问记录管理系统220包括了安全监视系统100、数据流分析模块222、系统记录管理模块224和系统记录模块226。其中,安全监视系统100用于捕获在线设备发送和接收的网络数据,其中在线设备包括有线连接的在线设备170-1,170-2,……,170-n或无线连接的在线设备190-1,190-2,……,190-m,并根据捕获到的数据包使用的通信协议对网络数据进行初步的解析,然后将分解后的数据通过VPN发送到数据流分析模块222做进一步的分析和处理;数据流分析模块222对从安全监控系统100得到的初步分解后的数据进行进一步深度包解析,例如分析数据有效载荷来确定用户登录/登出信息、应用在在线设备上的执行情况,软件或硬件损坏信息等系统记录;系统记录管理模块224利用数据流分析模块222的分析结果通过创建和更新在线设备的系统记录;系统记录数据存储模块226存储系统记录数据用于在线设备管理和用户行为管理,存储在数据存储模块226的系统记录生成和更新系统记录的历史数据。
图5描述了本发明中基于网络流量分析的事件记录管理系统230的一个实施例的组成,访问记录管理系统230包括了安全监视系统100、数据流分析模块232、事件记录管理模块234和事件记录模块236。其中,安全监视系统100用于捕获在线设备发送和接收的网络数据,其中在线设备包括有线连接的在线设备170-1,170-2,……,170-n或无线连接的在线设备190-1,190-2,……,190-m,并根据捕获到的数据包使用的通信协议对网络数据进行初步的解析,然后将分解后的数据通过VPN发送到数据流分析模块232做进一步的分析和处理;数据流分析模块232对从安全监控系统100得到的初步分解后的数据进行进一步深度包解析,例如分析数据有效载荷来确定用户登录/登出信息、应用在在线设备上的执行情况,软件或硬件损坏信息等系统记录;系统记录管理模块234利用数据流分析模块232的分析结果通过创建和更新在线设备的事件记录;事件记录数据存储模块236存储事件记录数据提示在线设备的正在发生和已经发生的事件,存储在数据存储模块236的事件记录生成和更新事件记录的历史数据。
本发明关于资产管理系统的一个实施例的系统组成在图6中显示,基于网络流量分析的资产管理系统240是对企业网络在线设备的动态管理的系统,包括了在线设备分类模块242,在线设备历史数据模块246,设备分析模块244,在线设备资料存储模块248和设备异常检测模块249。其中在线设备的历史数据模块246存储了在线设备相关的历史数据,并实时更新,历史数据包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据;在线设备分类模块242是利用运行中的在线设备的网络数据中的信息建立在线设备详细配置信息的模块,例如通过对网络交易数据的深度包解析获得在线设备的信息包括但不限于设备类型、属性、功能、操作系统和正在执行的应用,正在使用在线设备的用户等。当出现新的在线设备,在线设备分类模块242能够通过网络数据获得的信息生成新的设备资料。在线设备分类模块242可以通过特定的接口接受管理员对分类元素的人工输入;设备分析模块244根据在线设备历史数据生成的配置资料,在一个特定的实施例中,设备分析模块244能够根据历史数据的事件记录生成在线设备的配置资料,体现在线设备的操作状态,在另一个特定的实施例中,设备分析模块244能够根据历史数据的访问记录生成在线设备的配置资料,体现在线设备与其它本地设备或外部设备交互的情况,或者在另一个特定的实施例中,设备分析模块244能够根据历史数据的事件记录生成在线设备的配置资料,体现在线设备的标识和正在执行的应用;在线设备历史数据模块246就为设备分析模块244提供了历史数据,并且线设备历史数据模块246中的历史数据是实时更新,包括了事件记录、访问记录和系统记录的历史数据;在线设备资料存储模块248存储了表明在线设备的配置的资料数据,包括在线设备异常行为的数据;异常检测模块249实时确定在线设备异常行为,异常检测模块249判断的主要依据是在线设备的历史数据和在线设备的配置资料,异常检测模块249可以根据在线设备的历史数据,并且比较当前发生的事件和在线设备的行为基准来判断在线设备是否出现异常行为,例如当前事件表明一个从没有出现的设备,并且该设备与一个未知外部主机建立了FTP连接输出数据,如果在线设备的历史数据的行为基准中都不存在这种操作,或在线设备存储资料中没有该设备的信息,异常检测模块249就可以认定这是一个异常行为。
图7是基于网络流量分析的资产管理系统240的一个具体实施例工作流程,如步骤701,安全监视系统100捕获在线设备发送和接受的网络数据包;如步骤702,设备资料分析模块244对网络数据进行深度解析获得该数据相关的在线设备的数据,对于特定的实现来说深度解析内容包括但不限于以下信息:数据包的源地址、目的地址、数据包类型、数据类型或数据包中的数据;如步骤703,在线设备历史数据模块246从步骤702获得的信息中为相关的在线设备建立/更新历史纪录,在线设备的历史记录可以包括访问记录、系统记录、事件记录或它们的任意组合内容;如步骤704,根据步骤702中获得的在线设备的历史数据,在线设备资料模块248创建或更新设备的配置资料;如步骤705,异常检测模块249根据在线设备的历史数据和配置信息判断当前网络数据是否为在线设备的异常行为,如果不是则返回步骤701,对下一个捕获到的网络数据进行分析,如果判断结果是异常行为,执行步骤707;如步骤707,在线设备资料模块248更新在线设备的配置资料标识出异常行为,异常行为检测处理模块249对异常行为进行分类并产生告警信息,然后返回步骤701。
本发明关于员工行为审计系统的一个实施例的系统组成在图8中显示,基于网络流量分析的员工行为审计系统250是对企业网络中用户行为管理的系统,包括了预装用户行为准则模块252,用户行为分析模块254,用户行为历史数据模块266,用户行为历史数据模块268,用户异常行为检测处理模块259。其中用户行为历史数据模块268存储了用户行为相关的历史数据,并实时更新,历史数据包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据;预装的用户行为准则模块252是预先根据企业需求定义的员工行为准则,包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等。当用户行为分析模块254从网络交易数据中获得用户登录信息时,通过网络数据获得该用户相关的行为信息,在一个特定的实施例中,设备分析模块254能够根据历史数据的事件记录生成/更新用户的档案资料,例如用户的登录和登出、访问记录、数据传输记录等;用户行为历史数据模块256根据用户行为分析模块254提供的记录生成/更新用户行为的历史数据,并且用户行为数据的历史数据模块256中的历史数据是实时更新,包括了事件记录、访问记录和系统记录的历史数据;用户档案存储模块258存储了用户档案信息,包括用户异常行为的信息;异常检测处理模块259实时确定当前网络数据中显示的用户异常行为,异常检测处理模块259判断的主要依据是预装的用户行为准则252的内容和用户档案资料模块258提供的信息,异常检测处理模块259可以根据用户行为的历史数据,并且比较预装的用户行为准则来判断该用户行为是否为异常行为,例如当前事件表明用户访问了没有授权的设备,异常检测处理模块259就可以认定这是一个异常用户行为,并根据风险程度进行处理,例如发出告警、暂停用户账户使用等措施。
图9是基于网络流量分析的员工行为审计系统250的一个具体实施例的工作流程,如步骤901,安全监视系统100捕获在线设备发送和接受的网络数据包;如步骤902,用户行为分析模块254对网络数据进行深度解析获得该数据相关的当前用户数据,对于特定的实现来说深度解析内容包括但不限于以下信息:数据包的源地址、目的地址、数据包类型、数据类型、数据包中的数据、用户登录/登出信息等;如步骤903,用户行为历史数据模块256从步骤902获得的信息中为相关的当前用户建立/更新历史纪录,当前用户的历史记录可以包括访问记录、系统记录、事件记录或它们的任意组合内容;如步骤904,根据步骤902中获得的当前用户的历史数据,当前用户档案模块258创建或更新当前用户的档案;如步骤905,异常检测模块259根据预装用户行为准则模块252的信息和用户档案信息判断当前网络数据是否为当前用户的异常行为,如果不是则返回步骤901,对下一个捕获到的网络数据进行分析,如果判断结果是异常行为,执行步骤907;如步骤907,当前用户档案模块258更新当前用户档案资料并标识出异常行为,异常行为检测处理模块259对根据风险程度进行处理,例如发出告警、暂停用户账户使用等措施,然后返回步骤901。
本发明关于入侵检测系统的一个实施例的系统组成在图10中显示。基于网络流量分析的入侵检测系统260是一个企业网络中在线设备的安全管理系统,包括了事件记录识别模块262,历史数据存储模块264,在线设备资料数据模块266,正常行为模式模块268和异常检测处理模块269。其中,事件记录识别模块262对安全监视系统100采集到的网络交易数据进行分析,对网络交易数据进行深度包解析后对其中与系统入侵相关的数据提取出来,例如与未知的命令服务器的连接,对程序片段在内网的传播等,事件记录识别模块262具有机器学习的能力,对以往异常记录的学习提高对事件记录识别的效率;历史数据存储模块264包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据,并且实时更新历史数据;在线设备资料数据模块266的信息来源于资产管理系统240中的在线设备资料模块248;正常行为模式模块268是根据历史数据模块264和在线设备资料数据模块266通过机器学习的算法获得在线设备的正常行为模式;异常行为检测处理模块269,根据事件记录识别模块262提供的与入侵相关联的事件记录和正常行为模式模块268的行为基准实时确定当前网络数据中事件记录是否为入侵行为,例如当前网络数据包括了未知命令服务器对企业网络中的在线设备发布的指令,或在线设备向内网中的其它设备传播未知程序等,异常行为检测处理模块269就可以认定这是一个入侵异常,并根据风险程度进行处理,告警及隔离相关在线设备。
图11是一个基于网络流量分析的入侵检测系统260具体实施例的工作流程,如步骤1101,安全监视系统100捕获在线设备发送和接受的网络数据包;如步骤1102,事件记录识别模块262对网络数据进行深度解析获得该数据与潜在入侵威胁相关的信息,对于特定的实现来说深度解析内容包括但不限于以下信息:数据包的源地址、目的地址、数据包类型、数据类型或数据包中的数据、外部未知主机的指令、对内网设备不必要的访问等等;如步骤1103,在线设备配置模块266从步骤1102获得的信息中为相关的在线设备建立/更新在线设备配置信息;如步骤1104,根据历史数据模块264的数据以及在线设备配置资料,正常行为模式模块268创建或更新设备的正常行为模式;如步骤1105,异常检测处理模块269根据步骤1102获得的与潜在入侵威胁相关的信息和正常行为模式模块268的信息判断当前网络数据是否含有入侵的异常行为,如果不是则返回步骤1101,对下一个捕获到的网络数据进行分析,如果判断结果是异常行为,执行步骤1107;如步骤1107,在线设备资料模块266更新在线设备的配置资料标识出异常行为,异常行为检测处理模块269对异常行为进行分类并产生告警信息,并根据风险程度进行处理,告警及隔离相关在线设备,然后返回步骤1101。
本发明一个关于数据泄露检测系统实施例的系统组成在图12中显示。基于网络流量分析的数据泄露检测系统270是另一个企业网络中在线设备的安全管理系统,包括了记录分析模块272,历史数据存储模块274,在线设备资料数据模块276,正常行为模式模块278和异常检测处理模块279。其中,记录分析模块272对安全监视系统100采集到的网络交易数据进行分析,对网络交易数据进行深度包解析后对其中与数据泄露相关的数据分析出来,例如与未知的主机数据连接,与非业务关联的在线设备的数据传输,网络交易数据中包屏幕拷贝或记录键盘操作的命令等,记录分析模块272具有机器学习的能力,对以往异常记录的学习提高对访问记录、系统记录、事件记录识别的效率;历史数据存储模块274包括了分别由来源于访问记录管理系统210、系统记录管理系统220、和事件记录管理系统230的访问记录、系统记录和事件记录的历史数据,并且实时更新历史数据;在线设备资料数据模块276的信息来源于资产管理系统240中的在线设备资料模块248;正常行为模式模块278是根据历史数据模块274和在线设备资料数据模块276通过机器学习的算法获得在线设备的正常行为模式;异常行为检测处理模块279根据记录分析模块272提供的与数据泄露相关联的记录和正常行为模式模块278的行为基准实时确定当前网络数据中事件记录是否为数据泄露行为,例如与未知的主机数据连接,与非业务关联的在线设备的数据传输,网络交易数据中包屏幕拷贝或记录键盘操作的命令等,异常行为检测处理模块279就可以认定这是一个数据泄露异常,并根据风险程度进行处理,包括但不限于告警及隔离相关在线设备等措施。
图13是一个基于网络流量分析的数据泄露检测系统270具体实施例的工作流程,如步骤1301,安全监视系统100捕获在线设备发送和接受的网络数据包;如步骤1302,记录分析模块272对网络数据进行深度解析获得该数据与潜在数据泄露威胁相关的信息,对于特定的实现来说深度解析内容包括但不限于以下信息:数据包的源地址、目的地址、数据包类型、数据类型或数据包中的数据、与外部未知主机的数据连接和文件发送、对内网设备不必要的访问等等;如步骤1303,在线设备配置模块276从步骤1302获得的信息中为相关的在线设备建立/更新在线设备配置信息;如步骤1104,根据历史数据模块274的历史数据以及在线设备配置资料,正常行为模式模块278创建或更新设备的正常行为模式;如步骤1305,异常检测处理模块279根据步骤1302获得的与潜在数据泄露威胁相关的信息和正常行为模式模块278的信息判断当前网络数据是否含有数据泄露的异常行为,如果不是则返回步骤1301,对下一个捕获到的网络数据进行分析,如果判断结果是异常行为,执行步骤1307;如步骤1307,在线设备资料模块276更新在线设备的配置资料标识出异常行为,异常行为检测处理模块279对异常行为进行分类并产生告警信息,并根据风险程度进行处理,告警及隔离相关在线设备,然后返回步骤1301。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (18)

1.一种企业安全管理服务云平台的实现方法,其特征在于,通过被管理网络中的网络交换机镜像端口采集所有企业网上设备接收和发送的数据,根据实际使用的通信协议对采集来的数据进行深度解析获得元数据,并在所述元数据基础上生成与在线设备相关访问记录、系统记录和事件记录;将访问记录、系统记录和事件记录用于生成与之相关的设备的历史数据;并在所述历史数据的基础上进一步生成当前的在线设备资产报告;确定和报告异常设备行为,确定和报告异常用户行为,确认和报告数据泄露和入侵等风险信息。
2.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,基于至少一个所述数据包的来源地址或目的地址,确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。
3.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,基于至少一个所述数据包的数据包类型,确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。
4.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,基于至少一个所述数据包的数据类型,确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。
5.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,根据所述的网络交易数据生成所述设备的事件记录,所述事件记录的部分或全部用于生成所述设备和所述用户的历史数据;
从所述网络交易数据中得到所述设备的访问记录,所述访问记录的部分或全部用于生成所述设备的历史数据和所述用户的历史数据;
从所述网络交易数据中得到所述设备的系统记录,所述系统记录的部分或全部用于生成所述设备和所述用户的历史数据。
6.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,
根据设备的历史数据确定所述设备的基准行为;
更新所述设备配置信息指示所述设备的基准行为;
利用所述设备的历史数据和所述设备的基准行为,生成在线设备资产报告。
7.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,所述企业安全管理服务云平台预装企业员工安全行为准则,行为准则包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等。
8.根据权利要求1所述的企业安全管理服务云平台的实现方法,其特征在于,对异常行为的分析,包括了对异常行为的分类:
将事件记录和所述设备的配置信息中的基准行为进行比对,若不相符,确定所述设备行为异常;
将历史数据和预装的员工行为准则进行比对,若不相符则确定为员工审计异常,将异常行为信息纳入员工档案并实时更新;
当前事件不符合设备或用户的异常行为,但符合以下条件之一的,归类为数据泄露异常:输出行为异常、存储介质使用异常、访问路径异常等。
当前事件不符合设备或用户的异常行为,但符合以下条件之一的,归类为入侵异常,包括但不限于所述设备系统输入行为异常、所述设备系统访问记录异常、所述设备系统异常等。
9.企业安全监控管理服务云平台系统由分布在一个或多个企业网络中的本地安全监视系统和云平台共同组成。
其中,所述本地安全监视系统与被管网络的网络交换机的镜像端口相连,通过所述镜像端口获得所在企业网络上所有网络交易数据,解析成元数据并通过私有加密通道转发至云平台。
所述云平台,包括基于网络流量分析的访问记录管理系统、事件记录管理系统和系统记录管理系统,并由访问记录、事件记录和系统记录生成设备和用户的历史数据;
所述云平台还包括资产管理系统、员工行为审计系统、数据泄露检测系统、和入侵检测系统。所述资产管理系统自动或根据指令生成当前在线资产报告并存储;所述员工行为审计系统、数据泄露检测系统和入侵检测系统根据访问记录、事件记录、系统记录和由此产生的历史数据检测、分析和报告被管网络的设备异常、用户异常、数据泄露和入侵异常行为。
10.根据权利要求9所述的企业安全管理服务云平台系统,其特征在于,所述安全监视系统至少对捕获到的数据包之一进行深度解析从至少一个数据包的有效载荷识别网络交易数据,形成元数据。
11.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,访问记录管理系统、事件记录管理系统和系统记录管理系统分别基于至少一个所述元数据中数据包的来源地址或目的地址,确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。
12.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,访问记录管理系统、事件记录管理系统和系统记录管理系统分别基于至少一个所述元数据中的数据包类型,确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。
13.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,访问记录管理系统、事件记录管理系统和系统记录管理系统分别基于至少一个所述元数据中的数据包中的数据类型,确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。
14.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,
所述的访问记录管理系统根据接收到的元数据生成所述设备的事件记录,所述事件记录的部分或全部用于生成所述设备和所述用户的历史数据;
所述的事件记录管理系统根据接收到的元数据得到所述设备的访问记录,所述访问记录的部分或全部用于生成所述设备的历史数据和所述用户的历史数据;
所述的系统记录管理系统根据接收到的元数据得到所述设备的系统记录,所述系统记录的部分或全部用于生成所述设备和所述用户的历史数据。
15.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,所述资产管理系统根据设备的历史数据确定所述设备的基准行为;更新所述设备配置信息指示所述设备的基准行为;利用所述设备的历史数据和所述设备的基准行为,生成在线设备资产报告。
16.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,所述员工行为审计系统预装企业员工安全行为准则,行为准则包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等;所述员工行为审计系统将历史数据和预装的员工行为准则进行比对,若不相符则确定为员工审计异常,将异常行为信息纳入员工档案并实时更新。
17.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,所述数据泄露检测系统发现当前事件不符合设备或用户的异常行为,但符合以下条件之一的,归类为数据泄露异常:输出行为异常、存储介质使用异常、访问路径异常等。
18.根据权利要求9述的企业安全管理服务云平台的系统,其特征在于,所述入侵检测系统发现当前事件不符合设备或用户的异常行为,但符合以下条件之一的,归类为入侵异常,包括但不限于所述设备系统输入行为异常、所述设备系统访问记录异常、所述设备系统异常等。
CN201710653522.5A 2017-08-02 2017-08-02 一种企业网络安全管理云服务平台系统及其实现方法 Pending CN107295010A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710653522.5A CN107295010A (zh) 2017-08-02 2017-08-02 一种企业网络安全管理云服务平台系统及其实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710653522.5A CN107295010A (zh) 2017-08-02 2017-08-02 一种企业网络安全管理云服务平台系统及其实现方法

Publications (1)

Publication Number Publication Date
CN107295010A true CN107295010A (zh) 2017-10-24

Family

ID=60105331

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710653522.5A Pending CN107295010A (zh) 2017-08-02 2017-08-02 一种企业网络安全管理云服务平台系统及其实现方法

Country Status (1)

Country Link
CN (1) CN107295010A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108429651A (zh) * 2018-06-06 2018-08-21 腾讯科技(深圳)有限公司 流量数据检测方法、装置、电子设备及计算机可读介质
CN108833372A (zh) * 2018-05-29 2018-11-16 深圳万发创新进出口贸易有限公司 一种企业网络安全管理云服务平台系统
CN108921365A (zh) * 2017-12-29 2018-11-30 广州英丹网络科技有限公司 一种企业健康智能管理系统
CN109992936A (zh) * 2017-12-31 2019-07-09 中国移动通信集团河北有限公司 基于数据水印的数据溯源方法、装置、设备及介质
CN110730156A (zh) * 2018-07-17 2020-01-24 国际商业机器公司 用于异常检测的分布式机器学习
CN111711616A (zh) * 2020-05-29 2020-09-25 武汉蜘易科技有限公司 网络区域边界安全防护系统、方法和设备
CN112243031A (zh) * 2020-10-15 2021-01-19 中国联合网络通信集团有限公司 响应跟进方法、系统、计算机设备及存储介质
CN112953891A (zh) * 2021-01-12 2021-06-11 南方电网数字电网研究院有限公司 一种电力运维多层次网络安全监测预警系统
CN112995277A (zh) * 2021-02-01 2021-06-18 长沙市到家悠享网络科技有限公司 访问处理方法、装置及代理服务器
CN113360894A (zh) * 2021-06-01 2021-09-07 北京天空卫士网络安全技术有限公司 一种用户行为记录方法和装置
US11381594B2 (en) * 2020-03-26 2022-07-05 At&T Intellectual Property I, L.P. Denial of service detection and mitigation in a multi-access edge computing environment
CN114765627A (zh) * 2021-01-14 2022-07-19 京东科技控股股份有限公司 数据传输方法、设备、存储介质及计算机程序产品
CN116545781A (zh) * 2023-07-06 2023-08-04 广东维信智联科技有限公司 一种云访问数据安全管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082836A (zh) * 2009-11-30 2011-06-01 中国移动通信集团四川有限公司 一种dns安全监控系统及方法
US8499330B1 (en) * 2005-11-15 2013-07-30 At&T Intellectual Property Ii, L.P. Enterprise desktop security management and compliance verification system and method
CN105391687A (zh) * 2015-10-13 2016-03-09 南京联成科技发展有限公司 一种向中小企业提供信息安全运维服务的系统与方法
CN106998326A (zh) * 2017-03-22 2017-08-01 北京匡恩网络科技有限责任公司 工业控制网络行为监测方法、装置、以及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8499330B1 (en) * 2005-11-15 2013-07-30 At&T Intellectual Property Ii, L.P. Enterprise desktop security management and compliance verification system and method
CN102082836A (zh) * 2009-11-30 2011-06-01 中国移动通信集团四川有限公司 一种dns安全监控系统及方法
CN105391687A (zh) * 2015-10-13 2016-03-09 南京联成科技发展有限公司 一种向中小企业提供信息安全运维服务的系统与方法
CN106998326A (zh) * 2017-03-22 2017-08-01 北京匡恩网络科技有限责任公司 工业控制网络行为监测方法、装置、以及系统

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108921365A (zh) * 2017-12-29 2018-11-30 广州英丹网络科技有限公司 一种企业健康智能管理系统
CN109992936B (zh) * 2017-12-31 2021-06-08 中国移动通信集团河北有限公司 基于数据水印的数据溯源方法、装置、设备及介质
CN109992936A (zh) * 2017-12-31 2019-07-09 中国移动通信集团河北有限公司 基于数据水印的数据溯源方法、装置、设备及介质
CN108833372A (zh) * 2018-05-29 2018-11-16 深圳万发创新进出口贸易有限公司 一种企业网络安全管理云服务平台系统
CN108429651A (zh) * 2018-06-06 2018-08-21 腾讯科技(深圳)有限公司 流量数据检测方法、装置、电子设备及计算机可读介质
CN108429651B (zh) * 2018-06-06 2022-02-25 腾讯科技(深圳)有限公司 流量数据检测方法、装置、电子设备及计算机可读介质
CN110730156A (zh) * 2018-07-17 2020-01-24 国际商业机器公司 用于异常检测的分布式机器学习
CN110730156B (zh) * 2018-07-17 2022-03-22 国际商业机器公司 用于异常检测的分布式机器学习
US11381594B2 (en) * 2020-03-26 2022-07-05 At&T Intellectual Property I, L.P. Denial of service detection and mitigation in a multi-access edge computing environment
CN111711616A (zh) * 2020-05-29 2020-09-25 武汉蜘易科技有限公司 网络区域边界安全防护系统、方法和设备
CN112243031A (zh) * 2020-10-15 2021-01-19 中国联合网络通信集团有限公司 响应跟进方法、系统、计算机设备及存储介质
CN112243031B (zh) * 2020-10-15 2021-12-07 中国联合网络通信集团有限公司 响应跟进方法、系统、计算机设备及存储介质
CN112953891A (zh) * 2021-01-12 2021-06-11 南方电网数字电网研究院有限公司 一种电力运维多层次网络安全监测预警系统
CN114765627A (zh) * 2021-01-14 2022-07-19 京东科技控股股份有限公司 数据传输方法、设备、存储介质及计算机程序产品
CN112995277A (zh) * 2021-02-01 2021-06-18 长沙市到家悠享网络科技有限公司 访问处理方法、装置及代理服务器
CN112995277B (zh) * 2021-02-01 2023-02-24 长沙市到家悠享网络科技有限公司 访问处理方法、装置及代理服务器
CN113360894A (zh) * 2021-06-01 2021-09-07 北京天空卫士网络安全技术有限公司 一种用户行为记录方法和装置
CN116545781A (zh) * 2023-07-06 2023-08-04 广东维信智联科技有限公司 一种云访问数据安全管理系统
CN116545781B (zh) * 2023-07-06 2023-11-24 广东维信智联科技有限公司 一种云访问数据安全管理系统

Similar Documents

Publication Publication Date Title
CN107295010A (zh) 一种企业网络安全管理云服务平台系统及其实现方法
CN112651006B (zh) 一种电网安全态势感知系统
Pilli et al. Network forensic frameworks: Survey and research challenges
Mukherjee et al. Network intrusion detection
CN107465667B (zh) 基于规约深度解析的电网工控安全协同监测方法及装置
CN106131023A (zh) 一种信息安全风险强力识别系统
CN106209826A (zh) 一种网络安全设备监测的安全事件分析方法
CN112766672A (zh) 一种基于全面评估的网络安全保障方法及系统
CN103338128A (zh) 一种具有一体化安全管控功能的信息安全管理系统
US9961047B2 (en) Network security management
CN105812200A (zh) 异常行为检测方法及装置
Brahmi et al. Towards a multiagent-based distributed intrusion detection system using data mining approaches
CN102611713A (zh) 基于熵运算的网络入侵检测方法和装置
CN115378711A (zh) 一种工控网络的入侵检测方法和系统
Skendžić et al. Management and monitoring security events in a business organization-siem system
Raja et al. Rule generation for TCP SYN flood attack in SIEM environment
Liu et al. A framework for database auditing
Al-Mamory et al. New data mining technique to enhance IDS alarms quality
Mahmoud et al. Detecting cyber attacks through measurements: learnings from a cyber range
Derrick et al. Investigating new approaches to data collection, management and analysis for network intrusion detection
Fessi et al. Data collection for information security system
Vardeva Generalized net model of an automated system for monitoring, analysing and managing events related to information security
Zhihong et al. Alertclu: A realtime alert aggregation and correlation system
CN114726587A (zh) 一种适用于工业环境的安全分析平台
Maheswaran et al. Effective Intrusion Detection System using Hybrid Ensemble Method for Cloud Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20171024

RJ01 Rejection of invention patent application after publication