CN108229175B - 一种多维异构取证信息的关联分析系统及方法 - Google Patents
一种多维异构取证信息的关联分析系统及方法 Download PDFInfo
- Publication number
- CN108229175B CN108229175B CN201711464616.4A CN201711464616A CN108229175B CN 108229175 B CN108229175 B CN 108229175B CN 201711464616 A CN201711464616 A CN 201711464616A CN 108229175 B CN108229175 B CN 108229175B
- Authority
- CN
- China
- Prior art keywords
- event
- events
- data
- evidence
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000012549 training Methods 0.000 claims abstract description 32
- 238000010801 machine learning Methods 0.000 claims description 23
- 230000004927 fusion Effects 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 8
- 238000012098 association analyses Methods 0.000 description 2
- 230000001364 causal effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/254—Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/283—Multi-dimensional databases or data warehouses, e.g. MOLAP or ROLAP
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种多维异构取证信息的关联分析系统及方法,所述系统包括:多维异构取证数据采集子系统,用于采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;安全事件关联分析子系统,用于根据安全事件训练集建立安全事件判断模型,并根据所述安全事件判断模型获取所述多维异构取证数据采集子系统输出的所述融合后的事件为各可能安全事件的概率,选取概率最大的前K个可能安全事件,对所述K个可能安全事件所对应的取证数据进行关联组合。本发明能够有效融合多维异构取证数据,获得不同事件组合形成的安全事件的发生概率,提高了安全事件判断精度,能够构建安全事件完整、准确、真实的证据链。
Description
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种多维异构取证信息的关联分析系统及方法。
背景技术
随着网络的飞速发展以及社会信息化程度的逐步提高,信息系统的安全漏洞和网络恶意行为不断出现,网络安全事件层出不穷。现有安全防护技术,能够防住已知攻击,但对APT(Advanced Persistent Threats,高级持续性威胁)等手段不断演进、利用0day漏洞的高级威胁而言,效果甚微,特别是国家重要信息系统的安全防护。因此,有必要采取主动防御技术,既要拦截网络攻击,还应对攻击者进行溯源,提取证据,并掌控攻击动向。
在实际中,大部分的安全事件并不是孤立产生的,它们之间存在着一定的时序或因果联系。安全事件关联分析是指结合安全事件的运行环境,对原来相对孤立的低层的网络安全事件数据集进行关联整合,并通过过滤、聚合等手段去伪存真,发掘隐藏在这些数据之后的事件之间的真实联系,辅助识别网络威胁和复杂的攻击样式,生成高级层面的安全场景,为网络安全态势感知及攻击发现提供可靠的知识支撑。
但是目前研究工作主要针对单一取证信息来源进行关联分析,比如从文本或者手机中,因为缺乏对取证信息的关联整合,导致单一来源取证信息对于证据链的准确程度把握不够,难以从总体上准确把握网络安全态势。
发明内容
本发明提供一种克服上述问题或者至少部分地解决上述问题的一种多维异构取证信息的关联分析系统及方法。
根据本发明的一个方面,提供一种多维异构取证信息的关联分析系统,包括:
多维异构取证数据采集子系统,用于采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;
安全事件关联分析子系统,用于通过机器学习的方法获取所述多维异构取证数据采集子系统的输出结果为各可能安全事件的概率,将概率最大的前K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
其中,所述多维异构取证数据采集子系统进一步包括:
分类训练模块,用于从至少一种数据源中提取出有效信息进行训练,并针对每种数据源通过机器学习方法建立可能事件判断模型;
事件分类模块,用于存储所述可能事件判断模型,采集来自不同数据源的取证数据,并根据所述可能事件判断模型对所述来自不同数据源的取证数据所对应的可能事件进行判断;
事件融合模块,用于依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件。
其中,所述安全事件关联分析子系统进一步包括:
安全事件训练模块,用于将安全事件训练集作为输入,通过机器学习的方法构建安全事件判断模型;
安全事件判断模块,用于存储所述安全事件判断模型,并根据所述安全事件判断模型获取所述多维异构取证数据采集子系统的输出结果为各可能安全事件的概率;
安全事件组合模块,用于选取概率最大的前K个可能安全事件,并对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
其中,所述多维异构的取证数据包括:web数据、视频数据、音频数据、文本和图像。
根据本发明的另一个方面,提供一种多维异构取证信息的关联分析方法,包括:
S1,采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;
S2,通过机器学习的方法获取所述融合后的事件为各可能安全事件的概率,选取概率最大的前K个可能安全事件,并对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
其中,所述步骤S1进一步包括:
S11,从至少一种数据源中提取出有效信息进行训练,并针对每种数据源通过机器学习方法建立可能事件判断模型;
S12,采集来自不同数据源的取证数据,并根据所述可能事件判断模型对所述来自不同数据源的取证数据所对应的可能事件进行判断;
S13,依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件。
其中,所述步骤S2进一步包括:
S21,将安全事件训练集作为输入,通过机器学习的方法建立安全事件判断模型;
S22,根据所述安全事件判断模型获取所述融合后的事件为各可能安全事件的概率;
S23,选取概率最大的前K个可能安全事件,对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
其中,所述多源异构的取证数据包括:web数据、视频数据、音频数据、文本和图像。
本发明提出的一种多维异构取证信息的关联分析系统及方法,能够从多维异构取证数据中分类各类事件,有效融合多维异构取证数据,能获得不同事件组合形成的安全事件的发生概率,并从可能的事件组合中挑选出可能性最大的几种组合,提高了安全事件判断精度,能够构建安全事件完整、准确、真实的证据链。
附图说明
图1为本发明一实施例提供的一种多维异构取证信息的关联分析系统的结构示意图;
图2为本发明另一实施例提供的多维异构取证数据采集子系统的结构示意图;
图3为本发明另一实施例提供的安全事件关联分析子系统的结构示意图;
图4为本发明另一实施例提供的一种多维异构取证信息的关联分析系统的结构框图;
图5为本发明另一实施例提供的一种多维异构取证信息的关联分析方法的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
如图1所示,为本发明一实施例提供的一种多维异构取证信息的关联分析系统的结构示意图,包括:多维异构取证数据采集子系统1和安全事件关联分析子系统2,其中,
所述多维异构取证数据采集子系统1用于采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;
所述安全事件关联分析子系统2用于通过机器学习的方法获取所述多维异构取证数据采集子系统的输出结果为各可能安全事件的概率,将概率最大的前K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
具体地,多维异构的取证数据是指来自不同数据源的取证数据,可能来源于多维异构空间,包括web数据、视频数据、音频数据、文本和图像等。多维异构取证数据采集子系统1采集上述不同数据源的取证数据,通过分析判断挖掘出这些多维异构的取证数据所反映的具体事件类型,并对这些多维异构的取证数据所反映的具体事件进行基于时空或因果关系的关联分析,并依据每种数据源的取证数据来源的可信度进行权重分配,对所述各具体事件进行融合,获得融合后的事件,作为所述安全事件关联分析子系统2的输入,融合后的事件可能有多个种类。
安全事件关联分析子系统2通过采用机器学习的方法判断所述多维异构取证数据采集子系统输出的融合后的事件是否为安全事件,以及属于各类可能的安全事件发生的概率是多大,按照概率从大到小选出可能性最大的K个安全事件,然后,将各可能安全事件所对应的取证数据进行关联组合,即获得安全事件的证据链,可实现对安全事件的提前感知,有效把握安全态势。
本发明提出的一种多维异构取证信息的关联分析系统,能够从多维异构取证数据中分类各类事件,有效融合多维异构取证数据,能获得不同事件组合形成的安全事件的发生概率,并从可能的事件组合中挑选出可能性最大的几种组合,提高了安全事件判断精度,能够构建安全事件完整、准确、真实的证据链。
如图2所示,为基于上述实施例所提供的多维异构取证数据采集子系统的结构示意图,所述多维异构取证数据采集子系统1包括:分类训练模块11、事件分类模块12和事件融合模块13,其中,
所述分类训练模块11用于从至少一种数据源中提取出有效信息进行训练,并针对每种数据源通过机器学习方法建立可能事件判断模型;
所述事件分类模块12用于存储所述可能事件判断模型,采集来自不同数据源的取证数据,并根据所述可能事件判断模型对所述来自不同数据源的取证数据所对应的可能事件进行判断;
所述事件融合模块13用于依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件。
具体地,所述分类训练模块11通过机器学习的方法为多维异构的取证数据建立可能事件的分类判断模型,首先获取至少一种取证数据来源的取证数据,包括:web数据、视频数据、音频数据、文本和图像等类型,分别从这些取证数据中提取出有效信息,并针对每种数据源分别进行可能事件判断模型的训练,训练完成后将选用的模型以及最终参数导入事件分类模块12中。
事件分类模块12则根据所述分类训练模块11所训练好的可能事件判断模型对所采集到的来自不同数据源的取证数据进行分类判断,判断取证数据所对应的事件类型。
事件融合模块13用于对多源异构的取证数据所对应的事件进行融合,使多源异构的取证数据能够融合起来用于安全事件的判断,具体地依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件。
如图3所示,为基于上述实施例所提供的安全事件关联分析子系统的结构示意图,所述安全事件关联分析子系统2包括:安全事件训练模块21、安全事件判断模块22和安全事件组合模块23,其中,
所述安全事件训练模块21用于将安全事件训练集作为输入,通过机器学习方法构建安全事件判断模型;
所述安全事件判断模块22用于存储所述安全事件判断模型,并根据所述安全事件判断模型获取所述多维异构取证数据采集子系统的输出结果为各可能安全事件的概率;
所述安全事件组合模块23用于选取概率最大的前K个可能安全事件,对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
具体地,安全事件训练模块21首先获取安全事件训练集,该安全事件训练集尽可能多地包含已知的安全事件,然后将该安全事件训练集作为输入,通过现有机器学习的方法构建用于进行安全事件分类的安全事件判断模型。
然后安全事件判断模块22则将训练完成的安全事件判断模型的相关参数存储下来,并根据该安全事件判断模型对所述多维异构取证数据采集子系统的输出结果即融合后的事件进行判断,判断该融合后的事件是否为安全事件,同时输出属于某类具体的安全事件的概率。
安全事件组合模块则选取概率最大的前K个可能安全事件,对所述K各可能安全事件所对应的取证数据进行组合,从而获得安全事件的证据链。
如图4所示,为本发明实施例提供的一种多维异构取证信息的关联分析系统的结构框图,所述多维异构的取证数据包括但不限于:web数据、视频数据、音频数据、文本和图像等。
如图5所示,为本发明另一实施例提供的一种多维异构取证信息的关联分析方法的流程示意图,包括:
S1,采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;
S2,通过机器学习的方法获取所述融合后的事件为各可能安全事件的概率,选取概率最大的前K个可能安全事件,并对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数。
具体地,多维异构的取证数据是指来自不同数据源的取证数据,可能来源于多维异构空间,包括web、视频、音频、图像、文本等。S1中,通过采集上述不同数据源的取证数据,然后分析判断挖掘出这些多维异构的取证数据所反映的具体事件类型,并对这些多维异构的取证数据所反映的具体事件进行基于时空或因果关系的关联分析,并依据每种数据源的取证数据来源的可信度进行权重分配,对所述各具体事件进行融合,获得融合后的事件,作为所述安全事件关联分析子系统2的输入,融合后的事件可能有多个种类。
S2中,通过采用机器学习的方法判断所述多维异构取证数据采集子系统输出的融合后的事件是否为安全事件,以及属于各类可能的安全事件发生的概率是多大,按照概率从大到小选出可能性最大的K个安全事件,然后,将各可能安全事件所对应的取证数据进行关联组合,即获得安全事件的证据链,可实现对安全事件的提前感知,有效把握安全态势。
基于上述实施例,所述步骤S1进一步包括:
S11,从至少一种数据源中提取出有效信息进行训练,并针对每种数据源通过机器学习方法建立可能事件判断模型;
S12,采集来自不同数据源的取证数据,并根据所述可能事件判断模型对所述来自不同数据源的取证数据所对应的可能事件进行判断;
S13,依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件。
具体地,S11中,通过机器学习的方法为多维异构的取证数据建立可能事件的分类判断模型,首先获取至少一种取证数据来源的取证数据,包括:web、视频、音频、文本和图像等,分别从这些取证数据中提取出有效信息,并针对每种数据源分别进行可能事件判断模型的训练,训练完成后获得将选用的模型以及最终参数。
S12,根据所述训练好的可能事件判断模型对所采集到的来自不同数据源的取证数据进行分类判断,判断取证数据所对应的事件类型。
S13,对多源异构的取证数据所对应的事件进行融合,使多源异构的取证数据能够融合起来用于安全事件的判断,具体地依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件。
基于上述实施例,所述步骤S2进一步包括:
S21,将安全事件训练集作为输入,通过机器学习方法建立安全事件判断模型;
S22,根据所述安全事件判断模型获取所述融合后的事件为各可能安全事件的概率;
S23,选取概率最大的前K个可能安全事件,对所述K个可能安全事件所对应的取证数据进行关联组合生成安全事件的证据链,其中,K为大于零的自然数。
具体地,首先通过获取安全事件训练集,该安全事件训练集尽可能多地包含已知的安全事件,然后将该安全事件训练集作为输入通过现有机器学习的方法构建用于进行安全事件分类的安全事件判断模型。
然后将训练完成的安全事件判断模型的相关参数存储下来,并根据该安全事件判断模型对所述多维异构取证数据采集子系统输出的融合后的事件进行判断,判断该融合后的事件是否为安全事件,同时输出属于某类具体的安全事件的概率。
最后,在S23中,选取概率最大的前K个可能安全事件,对所述K各可能安全事件所对应的取证数据进行组合,从而获得安全事件的证据链。
基于上述实施例,所述多源异构的取证数据包括:web数据、视频数据、音频数据、文本和图像。
即所述多源异构的取证数据包括但不限于如下几种形式:web数据、视频数据、音频数据、文本和图像。
本发明提出的一种多维异构取证信息的关联分析方法,能够从多维异构取证数据中分类各类事件,有效融合多维异构取证数据,能获得不同事件组合形成的安全事件的发生概率,并从可能的事件组合中挑选出可能性最大的几种组合,提高了安全事件判断精度,能够构建安全事件完整、准确、真实的证据链。
最后,本发明的方法仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种多维异构取证信息的关联分析系统,其特征在于,包括:
多维异构取证数据采集子系统,用于采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;
安全事件关联分析子系统,用于通过机器学习的方法获取所述多维异构取证数据采集子系统的输出结果为各可能安全事件的概率,将概率最大的前K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数;
其中,所述多维异构取证数据采集子系统进一步包括:
分类训练模块,用于从至少一种数据源中提取出有效信息进行训练,并针对每种数据源通过机器学习方法建立可能事件判断模型;
事件分类模块,用于存储所述可能事件判断模型,采集来自不同数据源的取证数据,并根据所述可能事件判断模型对所述来自不同数据源的取证数据所对应的可能事件进行判断;
事件融合模块,用于依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件;
其中,所述安全事件关联分析子系统进一步包括:
安全事件训练模块,用于将安全事件训练集作为输入,通过机器学习方法构建安全事件判断模型;
安全事件判断模块,用于存储所述安全事件判断模型,并根据所述安全事件判断模型获取所述多维异构取证数据采集子系统的输出结果为各可能安全事件的概率;
安全事件组合模块,用于选取概率最大的前K个可能安全事件,并对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数;
其中,所述多维异构的取证数据包括:web数据、视频数据、音频数据、文本和图像。
2.一种多维异构取证信息的关联分析方法,其特征在于,包括:
S1,采集多维异构的取证数据,并对所述取证数据所对应的可能事件进行判断和融合,输出融合后的事件;
S2,通过机器学习的方法获取所述融合后的事件为各可能安全事件的概率,选取概率最大的前K个可能安全事件,并对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数;
其中,所述步骤S1进一步包括:
S11,从至少一种数据源中提取出有效信息进行训练,并针对每种数据源通过机器学习方法建立可能事件判断模型;
S12,采集来自不同数据源的取证数据,并根据所述可能事件判断模型对所述来自不同数据源的取证数据所对应的可能事件进行判断;
S13,依据可信度为所述不同数据源分别设置权重参数,并根据所述权重参数将所述来自不同数据源的取证数据所对应的可能事件进行融合,并输出融合后的事件;
其中,所述步骤S2进一步包括:
S21,将安全事件训练集作为输入,通过机器学习方法建立安全事件判断模型;
S22,根据所述安全事件判断模型获取所述融合后的事件为各可能安全事件的概率;
S23,选取概率最大的前K个可能安全事件,对所述K个可能安全事件所对应的取证数据进行关联组合,生成安全事件的证据链,其中,K为大于零的自然数;
其中,所述多维异构的取证数据包括:web数据、视频数据、音频数据、文本和图像。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711464616.4A CN108229175B (zh) | 2017-12-28 | 2017-12-28 | 一种多维异构取证信息的关联分析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711464616.4A CN108229175B (zh) | 2017-12-28 | 2017-12-28 | 一种多维异构取证信息的关联分析系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108229175A CN108229175A (zh) | 2018-06-29 |
| CN108229175B true CN108229175B (zh) | 2020-04-10 |
Family
ID=62646569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711464616.4A Expired - Fee Related CN108229175B (zh) | 2017-12-28 | 2017-12-28 | 一种多维异构取证信息的关联分析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108229175B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111737529B (zh) * | 2020-07-23 | 2020-12-18 | 北京东方通科技股份有限公司 | 一种多源异构数据采集方法 |
| US11444923B2 (en) | 2020-07-29 | 2022-09-13 | International Business Machines Corporation | Runtime detection of database protocol metadata anomalies in database client connections |
| CN113609259A (zh) * | 2021-08-16 | 2021-11-05 | 山东新一代信息产业技术研究院有限公司 | 视频和自然语言的多模态推理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592038A (zh) * | 2011-01-07 | 2012-07-18 | 中国科学院计算技术研究所 | 基于ds推理的无线传感器网络多目标跟踪数据关联方法 |
| CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
| KR101703972B1 (ko) * | 2015-09-30 | 2017-02-22 | 한국지질자원연구원 | 공간정보를 이용한 지하수 부존 지역 예측시스템 및 지하수 부존 지역 예측방법 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| CN102035855B (zh) * | 2010-12-30 | 2014-05-07 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN107172022B (zh) * | 2017-05-03 | 2021-01-01 | 成都国腾实业集团有限公司 | 基于入侵途径的apt威胁检测方法和系统 |
| CN107204876B (zh) * | 2017-05-22 | 2020-09-29 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
-
2017
- 2017-12-28 CN CN201711464616.4A patent/CN108229175B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592038A (zh) * | 2011-01-07 | 2012-07-18 | 中国科学院计算技术研究所 | 基于ds推理的无线传感器网络多目标跟踪数据关联方法 |
| CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
| KR101703972B1 (ko) * | 2015-09-30 | 2017-02-22 | 한국지질자원연구원 | 공간정보를 이용한 지하수 부존 지역 예측시스템 및 지하수 부존 지역 예측방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108229175A (zh) | 2018-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3528463B1 (en) | An artificial intelligence cyber security analyst | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| CN106713371B (zh) | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 | |
| US9628507B2 (en) | Advanced persistent threat (APT) detection center | |
| CN116662989B (zh) | 一种安全数据解析方法及系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| US20230007042A1 (en) | A method and system for determining and acting on an email cyber threat campaign | |
| CN108229175B (zh) | 一种多维异构取证信息的关联分析系统及方法 | |
| CN109818964B (zh) | 一种DDoS攻击检测方法、装置、设备以及存储介质 | |
| CN103763124A (zh) | 一种互联网用户行为分析预警系统及方法 | |
| CN104660594A (zh) | 一种面向社交网络的虚拟恶意节点及其网络识别方法 | |
| US20220360597A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
| US11689547B2 (en) | Information analysis system, information analysis method, and recording medium | |
| US20170134411A1 (en) | Methods and Automated Systems to Effectively Resist (PAMD) Cyber Attacks | |
| CN108900467B (zh) | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 | |
| CN111245784A (zh) | 多维度检测恶意域名的方法 | |
| CN114528457B (zh) | Web指纹检测方法及相关设备 | |
| CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
| CN113542262A (zh) | 用于信息系统的信息安全威胁智能预警方法和装置 | |
| CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| CN117454380B (zh) | 恶意软件的检测方法、训练方法、装置、设备及介质 | |
| Kumar et al. | IIoT-IDS network using inception CNN model | |
| CN117792733A (zh) | 一种网络威胁的检测方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200410 |