CN108494727A - 一种用于网络安全管理的安全事件闭环处理方法 - Google Patents
一种用于网络安全管理的安全事件闭环处理方法 Download PDFInfo
- Publication number
- CN108494727A CN108494727A CN201810119528.9A CN201810119528A CN108494727A CN 108494727 A CN108494727 A CN 108494727A CN 201810119528 A CN201810119528 A CN 201810119528A CN 108494727 A CN108494727 A CN 108494727A
- Authority
- CN
- China
- Prior art keywords
- data
- security incident
- security
- acquisition
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于网络安全管理的安全事件闭环处理方法,包括:事件采集器从安全设备和系统中采集安全事件和预警日志,进行数据清洗/过滤、归并和规范化处理后,存储至数据库;系统调度扫描器对受保护的资产进行扫描,发现资产漏洞和获取资产信息,从数据库中读取所述安全事件和预警日志,将安全事件与资产漏洞进行关联分析,并对安全事件的风险性定级;对步骤S200中风险性定级为高风险的安全事件,发出告警;对告警进行记录并处理;再次采集安全设备和系统中的资产漏洞,确认已消除预警。安全事件闭环处理流程能整合和收集各种安全信息,并汇总到一起进行统一分析和检测。数据由离散变为集中,便于操作,提高工作效率。
Description
技术领域
本发明涉及网络安全技术领域,具体的说,是一种用于网络安全管理的安全事件闭环处理方法。
背景技术
由于安全设备种类繁多、预警日志数量众多,安全防护设备与安全扫描设备间相互缺乏信息交互,无法对安全资源有效整合,各个安全设备形成安全孤岛,无法最大化发挥应有价值。企业安全管理人员难以结合网络安全威胁和资产脆弱性对网络安全态势进行全面的分析和掌控,无法形成各类告警事件的采集、分析、告警、响应和整改的流程化管理。负责信息安全的人员和部门往往不能将主要经历用于关键风险事件的处理上。企业通常会选择多种安全产品,例如防火墙、入侵检测系统、防病毒产品、VPN和漏洞扫描工具等,各种产品部署分散、相互割裂,每一种产品都有各自的控制台和数据库,导致独立分散的安全数据孤岛,管理员没有时间分别处理来自不同产品数以百万的安全事件,高优先级安全事件长时间得不到关注,消失在海量安全事件中。同时,安全设备在对网络进行保护时会产生大量的安全事件日志,包括系统攻击、网站攻击、病毒、木马、蠕虫等等,不同厂家的设备产生的事件类型都不一样。这些安全事件,不但种类繁多,并且误报率高,给安全管理人员在操作上带来了很大的不确定性。
发明内容
本发明的目的在于提供一种用于网络安全管理的安全事件闭环处理方法,用于解决现有技术中的安全设备产生的安全事件日志类型不统一导致管理员操作繁琐、处理效率不高的问题。
为了达到上述目的,本发明通过下述技术方案实现:
一种用于网络安全管理的安全事件闭环处理方法,包括:
步骤S100:事件采集器从安全设备和系统中采集安全事件和预警日志,进行数据清洗/过滤、归并和规范化处理后,存储至数据库;
步骤S200:系统调度扫描器对受保护的资产进行扫描,发现资产漏洞和获取资产信息,从数据库中读取所述安全事件和预警日志,将安全事件与资产漏洞进行关联分析,并对安全事件的风险性定级;
步骤S300:对步骤S200中风险性定级为高风险的安全事件,发出告警;
步骤S400:对告警进行记录并处理;
步骤S500:再次采集安全设备和系统中的资产漏洞,确认已消除预警。
工作原理:
系统的基础数据平台负责安全数据的集中采集,通过事件采集器集中地从各种安全设备采集安全事件和预警日志,从不同种类的安全设备采集的离散的事件类型,预警日志类型不一,首先需要进行统一过滤,丢弃掉符合过滤规则的数据,对其他数据进行标准格式化,然后在统一归档,存储至数据库,形成数据仓库,作为关联分析和风险评估的基础。系统调度扫描器对受保护的资产包括主机和网站进行定期或者不定期的扫描,对扫描发现的资产漏洞和获取的资产信息进行归并。这些资产漏洞构成了资产的脆弱性,为了获得更完整、全面的漏洞检测,系统可以调度不同厂家、不同型号的扫描器进行交叉扫描,并对扫面结果进行合并。将扫描到的资产漏洞与采集的安全事件融合在一起,并采用关联分析引擎进行多种方式的时间关联,包括逻辑关联、交叉关联、清单关联和资产关联,判断安全时间为外部入侵或内部违规,并结合资产漏洞进行风险评估分析,判断为高风险、中风险或者一般风险。系统对定义为高风险的安全事件进行告警。根绝预设的告警策略,告警策略包括可执行邮件、短信、Syslog等方式,通知负责人。系统对事件的告警进行记录,并记录处理过程。负责人执行紧急事件处理流程,对存在漏洞的资产进行整改。整改完成后调用扫描器再次进行资产漏洞扫描,确认资产漏洞已被修复,安全事件隐患已消除。采用集中采集、统一过滤、标准格式化、统一归档和关联分析,结合多种扫描工具的接入与调度,来进行资产脆弱性管理和安全事件验证,并根据预定义规则发起安全事件的应急与预警流程、资产漏洞的整改流程,实现对安全事件进行事件采集、漏洞检测、关联分析、风险预警、应急响应和安全整改的闭环处理流程。
进一步地,所述步骤S100具体包括:
步骤S110:定义安全事件的采集范围、采集能力、数据处理和数据存储;
步骤S120:事件采集器进行安全事件和预警日志采集;
步骤S130:将所述安全事件和预警日志进行备份;
步骤S140:将所述安全事件和预警日志进行数据标准化处理;
步骤S150: 将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。
工作原理:
数据采集集中化:明确安全数据采集对象,列出用于分析的数据来源,集中存储;数据标准化:采集后的原始数据经过清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据,规范数据在各个阶段的数据格式;规范、标准化后的数据存储至分布式检索系统以支持对原始数据、标准化数据的全文检索,并存储至分布式文件系统,已支持安全数据共享。
进一步地,所述采集范围包括内部因素,外部因素和情报,所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问,所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问;所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。
工作原理:
通过定义数据采集的范围、采集频率和采集方式,全面采集安全威胁要素,实现安全数据的集中采集、存储、检索及对外接口。采集方式包括主动采集:采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据;被动采集:采集节点通过Syslog、Webservice、Flow等协议被动接收数据;代理采集:在数据源上安装代理进行日志采集,如操作系统日志,应用系统日志等;上传数据:将本地文件系统的文件或文件压缩包上传到系统中。
进一步地,所述步骤S140具体包括:
步骤S141:数据清洗/过滤,将采集的数据与匹配规则进行对比,匹配过滤规则的日志直接丢弃;
步骤S142:数据标准化,根据每种类型数据的标准库规则,实现字段的标准化;
步骤S143:在标准化的数据之后增加资产信息,完成关联补齐;
步骤S144:在关联补齐后的数据增加标记信息,完成数据标签化。
工作原理:
数据的清洗/过滤中过滤掉的数据包括:不属于数据源中的数据;重复数据;噪音数据;数据不完整或不合理性的数据;低于业务需求的最低级别以下的数据。数据标准化:对异构原始数据进行统一格式化处理,以满足存储层数据格式定义的要求。对于被标准化的数据应保存原始日志。数据标准化的原则包括但不限于:在保证基本扩展能力的基础上,根据每种类型数据的标准库规则,实现相关字段的标准化;对于常用的字段,保证字段内容的一致性,消除不同事件对于相似问题描述的不一致性,满足依赖于这些字段的规则的可移植性。未被标准化的数据应保存原始日志。可用于事后为该特定数据再定义标准化规则。关联补齐:采集到的数据之间存在关联性,通过关联补齐后形成完整的数据,能够丰富数据本身,以便于后期的统计分析,数据关联补齐的对象包括但不限于:用户信息、资产信息和威胁情报。数据标签化:基于关联补齐后的数据,结合数据所属业务系统、设备类型等信息,在原数据基础上进行标记。数据标签化的原则包括但不限于:根据业务系统打标签;根据设备类型打标签;根据时间来打标签;根据责任人来打标签;根据数据自身逻辑的分类打标签;根据数据的使用目的打标签。
进一步地,所述步骤S141具体包括:
清洗:采用数据转换组件进行字段提取、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分;
修改:修改错误数据;
删除:删除重复性数据。
工作原理:
清洗:针对数据格式的不一致、数据输入错误、数据不完整等问题,支持对数据进行转换和加工;修改:修改由于业务系统不够健全,在接收输入后没有进行判断直接写入后台数据库造成的错误数据,比如数值数据输成全角数字字符、字符串数据后面有一个回车、日期格式不正确、日期越界等;删除:重复性数据。
进一步地,所述步骤S120具体包括:
步骤S121:制定数据采集的采集频率、采集协议、采集方式和采集部署;
步骤S122:为事件采集器配置不同的数据采集策略,所述数据采集策略包括动态配置采集周期、清洗过滤策略;
步骤S123:事件采集器从安全设备和系统采集安全事件和预警日志采集。
工作原理:
采集方式:采集模块原则上以主动采集为主,被动收集为辅,除了采集对象自身无存储功能,如防火墙,IDS等等设备,可以采用被动采集外,其他的数据优先以主动的方式获取数据。需要支持的数据采集方式如下:主动采集:支持采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据。被动采集:支持采集节点通过Syslog、Webservice、Flow等协议被动接收数据。代理采集:支持在数据源上安装代理进行日志采集,如操作系统日志,应用系统日志等。上传数据:上载数据可以将本地文件系统的文件或文件压缩包上传到系统中。采集部署:支持分布式多节点部署;支持多采集节点存活、健康状态监控,发现节点异常后,及时告警;支持对采集节点性能监控,保证采集性能与数据量匹配,防止数据丢失。采集策略管理:采集策略管理是指对设备的采集策略的管理,包括采集频率、采集协议、采集目标、过滤策略等。平台为每个数据采集器配置不同的采集策略,保证每个数据采集器有针对性的采集数据,如动态配置采集周期,清洗过滤策略等。
进一步地,所述步骤S200中的关联分析包括逻辑关联、交叉关联、资产关联和清单关联;具体步骤包括:
步骤S210:制定安全事件执行策略;
步骤S220:将采集到的安全事件与安全事件执行策略进行匹配;
步骤S230:采用关联分析引擎进行资产关联、清单关联和交叉关联,挖掘安全事件与设备、应用或系统之间的关系;
步骤S240:确定安全事件的风险级别。
工作原理:
逻辑关联,根据安全事件发生的因果关系,进行逻辑上关联分析,支持逻辑的比较和嵌套,支持前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理等;资产关联,将安全事件关联到资产,过滤掉相关程度较低的事件;清单关联,将安全事件与被攻击目标的操作系统、提供的服务等信息进行关联,进一步过滤没有造成安全威胁的事件。清单关联用来实现安全事件攻击类型与受保护资产类型进行关联。系统会对每一个受保护资产建立一份清单,清单内容包括操作系统类型、所提供的服务、开放的端口等信息,如果安全事件的攻击类型与目的主机的清单不匹配,则该安全事件风险值降低;否则,该安全事件的风险值提高;交叉关联用来实现安全事件与资产脆弱性关联分析,是将安全事件与导致安全事件的安全漏洞进行映射,如果该安全事件所依赖的脆弱性在受攻击的主机系统中不存在,则该安全事件风险值降低;否则,该安全事件的风险值提高。为确保交叉关联的完整性和准确性,会采用不同的漏洞扫描工具对目的系统进行漏洞扫描,并对检测结果进行对比与并合,提高脆弱性检测的可信度。通过安全事件与扫描结果的交叉验证,以及不同扫描器扫描结果之间的交叉验证,提高威胁识别准确性,大幅减少需管理员关注的安全事件数量,减轻管理员负担,根据资产、安全事件、漏洞三者之间的关系,智能分析多源海量数据,快速识别高危风险事件,根据预定义策略及时做出响应。
进一步地,所述步骤S400具体包括:
步骤S410:执行预设的应急响应策略,将待执行任务通过短信、邮件下发给负责人;
步骤S420:进行漏洞修复,进行阻断攻击。
响应风险告警,修复资产漏洞,消除了安全隐患。
本发明与现有技术相比,具有以下优点及有益效果:
安全事件闭环处理流程能收集、监视和报告企业中的防火墙、入侵防御系统、防病毒产品、数据防泄漏产品、VPN、访问控制审计产品等发生的行为,用于整合和收集各种安全信息,并汇总到一起进行统一分析和检测。数据由离散变为集中,便于操作,提高工作效率。对漏洞扫描工具进行统一调度和集中管理,能屏蔽不同产品之间的差异,实现企业级安全漏洞的集中标识和管理,同时安全漏洞会与安全事件分析相结合,实现全面的安全风险评估。
附图说明
图1为本发明的架构图;
图2为本发明中数据采集存储的流程图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合图1所示,一种用于网络安全管理的安全事件闭环处理方法,包括:
步骤S100:事件采集器从安全设备和系统中采集安全事件和预警日志,进行数据清洗/过滤、归并和规范化处理后,存储至数据库;
步骤S200:系统调度扫描器对受保护的资产进行扫描,发现资产漏洞和获取资产信息,从数据库中读取所述安全事件和预警日志,将安全事件与资产漏洞进行关联分析,并对安全事件的风险性定级;
步骤S300:对步骤S200中风险性定级为高风险的安全事件,发出告警;
步骤S400:对告警进行记录并处理;
步骤S500:再次采集安全设备和系统中的资产漏洞,确认已消除预警。
工作原理:
系统的基础数据平台负责安全数据的集中采集,通过事件采集器集中地从各种安全设备采集安全事件和预警日志,从不同种类的安全设备采集的离散的事件类型,预警日志类型不一,首先需要进行统一过滤,丢弃掉符合过滤规则的数据,对其他数据进行标准格式化,然后在统一归档,存储至数据库,形成数据仓库,作为关联分析和风险评估的基础。系统调度扫描器对受保护的资产包括主机和网站进行定期或者不定期的扫描,对扫描发现的资产漏洞和获取的资产信息进行归并。这些资产漏洞构成了资产的脆弱性,为了获得更完整、全面的漏洞检测,系统可以调度不同厂家、不同型号的扫描器进行交叉扫描,并对扫面结果进行合并。将扫描到的资产漏洞与采集的安全事件融合在一起,并采用关联分析引擎进行多种方式的时间关联,包括逻辑关联、交叉关联、清单关联和资产关联,判断安全时间为外部入侵或内部违规,并结合资产漏洞进行风险评估分析,判断为高风险、中风险或者一般风险。系统对定义为高风险的安全事件进行告警。根绝预设的告警策略,告警策略包括可执行邮件、短信、Syslog等方式,通知负责人。系统对事件的告警进行记录,并记录处理过程。负责人执行紧急事件处理流程,对存在漏洞的资产进行整改。整改完成后调用扫描器再次进行资产漏洞扫描,确认资产漏洞已被修复,安全事件隐患已消除。采用集中采集、统一过滤、标准格式化、统一归档和关联分析,结合多种扫描工具的接入与调度,来进行资产脆弱性管理和安全事件验证,并根据预定义规则发起安全事件的应急与预警流程、资产漏洞的整改流程,实现对安全事件进行事件采集、漏洞检测、关联分析、风险预警、应急响应和安全整改的闭环处理流程。安全事件闭环处理流程能收集、监视和报告企业中的防火墙、入侵防御系统、防病毒产品、数据防泄漏产品、VPN、访问控制审计产品等发生的行为,用于整合和收集各种安全信息,并汇总到一起进行统一分析和检测。数据由离散变为集中,便于操作,提高工作效率。
实施例2:
在实施例1的基础上,结合图1所示,所述步骤S100具体包括:
步骤S110:定义安全事件的采集范围、采集能力、数据处理和数据存储;
步骤S120:事件采集器进行安全事件和预警日志采集;
步骤S130:将所述安全事件和预警日志进行备份;
步骤S140:将所述安全事件和预警日志进行数据标准化处理;
步骤S150: 将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。
工作原理:
数据采集集中化:明确安全数据采集对象,列出用于分析的数据来源,集中存储;数据标准化:采集后的原始数据经过清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据,规范数据在各个阶段的数据格式;规范、标准化后的数据存储至分布式检索系统以支持对原始数据、标准化数据的全文检索,并存储至分布式文件系统,已支持安全数据共享。
进一步地,所述采集范围包括内部因素,外部因素和情报,所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问,所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问;所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。
工作原理:
通过定义数据采集的范围、采集频率和采集方式,全面采集安全威胁要素,实现安全数据的集中采集、存储、检索及对外接口。采集方式包括主动采集:采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据;被动采集:采集节点通过Syslog、Webservice、Flow等协议被动接收数据;代理采集:在数据源上安装代理进行日志采集,如操作系统日志,应用系统日志等;上传数据:将本地文件系统的文件或文件压缩包上传到系统中。
实施例3:
在实施例2的基础上,结合附图1和图所示,所述步骤S140具体包括:
步骤S141:数据清洗/过滤,将采集的数据与匹配规则进行对比,匹配过滤规则的日志直接丢弃;
步骤S142:数据标准化,根据每种类型数据的标准库规则,实现字段的标准化;
步骤S143:在标准化的数据之后增加资产信息,完成关联补齐;
步骤S144:在关联补齐后的数据增加标记信息,完成数据标签化。
工作原理:
数据的清洗/过滤中过滤掉的数据包括:不属于数据源中的数据;重复数据;噪音数据;数据不完整或不合理性的数据;低于业务需求的最低级别以下的数据。以防火墙日志为例:%PIX-7-710005: UDP request discarded from 192.168.24.181/26917 to inside:192.168.24.212/137%,防火墙日志标准化后如表1所示:
表1 防火墙日志标准化信息表
数据标准化:对异构原始数据进行统一格式化处理,以满足存储层数据格式定义的要求。对于被标准化的数据应保存原始日志。数据标准化的原则包括但不限于:在保证基本扩展能力的基础上,根据每种类型数据的标准库规则,实现相关字段的标准化;对于常用的字段,保证字段内容的一致性,消除不同事件对于相似问题描述的不一致性,满足依赖于这些字段的规则的可移植性。未被标准化的数据应保存原始日志。可用于事后为该特定数据再定义标准化规则。关联补齐:采集到的数据之间存在关联性,通过关联补齐后形成完整的数据,能够丰富数据本身,以便于后期的统计分析,数据关联补齐的对象包括但不限于:用户信息、资产信息和威胁情报。数据标签化:基于关联补齐后的数据,结合数据所属业务系统、设备类型等信息,在原数据基础上进行标记。数据标签化的原则包括但不限于:根据业务系统打标签;根据设备类型打标签;根据时间来打标签;根据责任人来打标签;根据数据自身逻辑的分类打标签;根据数据的使用目的打标签。
进一步地,所述步骤S141具体包括:
清洗:采用数据转换组件进行字段提取、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分;
修改:修改错误数据;
删除:删除重复性数据。
工作原理:
清洗:针对数据格式的不一致、数据输入错误、数据不完整等问题,支持对数据进行转换和加工;修改:修改由于业务系统不够健全,在接收输入后没有进行判断直接写入后台数据库造成的错误数据,比如数值数据输成全角数字字符、字符串数据后面有一个回车、日期格式不正确、日期越界等;删除:重复性数据。
实施例4:
在实施例3的基础上,结合附图1和2所示,所述步骤S120具体包括:
步骤S121:制定数据采集的采集频率、采集协议、采集方式和采集部署;
步骤S122:为事件采集器配置不同的数据采集策略,所述数据采集策略包括动态配置采集周期、清洗过滤策略;
步骤S123:事件采集器从安全设备和系统采集安全事件和预警日志采集。
工作原理:
采集方式:采集模块原则上以主动采集为主,被动收集为辅,除了采集对象自身无存储功能,如防火墙,IDS等等设备,可以采用被动采集外,其他的数据优先以主动的方式获取数据。需要支持的数据采集方式如下:主动采集:支持采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据。被动采集:支持采集节点通过Syslog、Webservice、Flow等协议被动接收数据。代理采集:支持在数据源上安装代理进行日志采集,如操作系统日志,应用系统日志等。上传数据:上载数据可以将本地文件系统的文件或文件压缩包上传到系统中。采集部署:支持分布式多节点部署;支持多采集节点存活、健康状态监控,发现节点异常后,及时告警;支持对采集节点性能监控,保证采集性能与数据量匹配,防止数据丢失。采集策略管理:采集策略管理是指对设备的采集策略的管理,包括采集频率、采集协议、采集目标、过滤策略等。平台为每个数据采集器配置不同的采集策略,保证每个数据采集器有针对性的采集数据,如动态配置采集周期,清洗过滤策略等。
实施例5:
在实施例4的基础上,结合附图1和2所示,所述步骤S200中的关联分析包括逻辑关联、交叉关联、资产关联和清单关联;具体步骤包括:
步骤S210:制定安全事件执行策略;
步骤S220:将采集到的安全事件与安全事件执行策略进行匹配;
步骤S230:采用关联分析引擎进行资产关联、清单关联和交叉关联,挖掘安全事件与设备、应用或系统之间的关系;
步骤S240:确定安全事件的风险级别。
工作原理:
逻辑关联,根据安全事件发生的因果关系,进行逻辑上关联分析,支持逻辑的比较和嵌套,支持前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理等;资产关联,将安全事件关联到资产,过滤掉相关程度较低的事件;清单关联,将安全事件与被攻击目标的操作系统、提供的服务等信息进行关联,进一步过滤没有造成安全威胁的事件。清单关联用来实现安全事件攻击类型与受保护资产类型进行关联。系统会对每一个受保护资产建立一份清单,清单内容包括操作系统类型、所提供的服务、开放的端口等信息,如果安全事件的攻击类型与目的主机的清单不匹配,则该安全事件风险值降低;否则,该安全事件的风险值提高;交叉关联用来实现安全事件与资产脆弱性关联分析,是将安全事件与导致安全事件的安全漏洞进行映射,如果该安全事件所依赖的脆弱性在受攻击的主机系统中不存在,则该安全事件风险值降低;否则,该安全事件的风险值提高。为确保交叉关联的完整性和准确性,会采用不同的漏洞扫描工具对目的系统进行漏洞扫描,并对检测结果进行对比与并合,提高脆弱性检测的可信度。通过安全事件与扫描结果的交叉验证,以及不同扫描器扫描结果之间的交叉验证,提高威胁识别准确性,大幅减少需管理员关注的安全事件数量,减轻管理员负担,根据资产、安全事件、漏洞三者之间的关系,智能分析多源海量数据,快速识别高危风险事件,根据预定义策略及时做出响应。
进一步地,所述步骤S400具体包括:
步骤S410:执行预设的应急响应策略,将待执行任务通过短信、邮件下发给负责人;
步骤S420:进行漏洞修复,进行阻断攻击。
响应风险告警,修复资产漏洞,消除了安全隐患。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (8)
1.一种用于网络安全管理的安全事件闭环处理方法,其特征在于,包括:
步骤S100:事件采集器从安全设备和系统中采集安全事件和预警日志,进行数据清洗/过滤、归并和规范化处理后,存储至数据库;
步骤S200:系统调度扫描器对受保护的资产进行扫描,发现资产漏洞和获取资产信息,从数据库中读取所述安全事件和预警日志,将安全事件与资产漏洞进行关联分析,并对安全事件的风险性定级;
步骤S300:对步骤S200中风险性定级为高风险的安全事件,发出告警;
步骤S400:对告警进行记录并处理;
步骤S500:再次采集安全设备和系统中的资产漏洞,确认已消除预警。
2.根据权利要求1所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S100具体包括:
步骤S110:定义安全事件的采集范围、采集能力、数据处理和数据存储;
步骤S120:事件采集器进行安全事件和预警日志采集;
步骤S130:将所述安全事件和预警日志进行备份;
步骤S140:将所述安全事件和预警日志进行数据标准化处理;
步骤S150: 将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。
3.根据权利要求2所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述采集范围包括内部因素,外部因素和情报,所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问,所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问;所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。
4.根据权利要求3所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S140具体包括:
步骤S141:数据清洗/过滤,将采集的数据与匹配规则进行对比,匹配过滤规则的日志直接丢弃;
步骤S142:数据标准化,根据每种类型数据的标准库规则,实现字段的标准化;
步骤S143:在标准化的数据之后增加资产信息,完成关联补齐;
步骤S144:在关联补齐后的数据增加标记信息,完成数据标签化。
5.根据权利要求4所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S141具体包括:
清洗:采用数据转换组件进行字段提取、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分;
修改:修改错误数据;
删除:删除重复性数据。
6.根据权利要求5所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S120具体包括:
步骤S121:制定数据采集的采集频率、采集协议、采集方式和采集部署;
步骤S122:为事件采集器配置不同的数据采集策略,所述数据采集策略包括动态配置采集周期、清洗过滤策略;
步骤S123:事件采集器从安全设备和系统采集安全事件和预警日志采集。
7.根据权利要求6所述的一种用于网络安全管理的安全时间闭环处理方法,其特征在于,所述步骤S200中的关联分析包括逻辑关联、交叉关联、资产关联和清单关联;具体步骤包括:
步骤S210:制定安全事件执行策略;
步骤S220:将采集到的安全事件与安全事件执行策略进行匹配;
步骤S230:采用关联分析引擎进行资产关联、清单关联和交叉关联,挖掘安全事件与设备、应用或系统之间的关系;
步骤S240:确定安全事件的风险级别。
8.根据权利要求7所述的一种用于网络安全管理的安全事件闭环处理方法,其特征在于,所述步骤S400具体包括:
步骤S410:执行预设的应急响应策略,将待执行任务通过短信、邮件下发给负责人;
步骤S420:进行漏洞修复,进行阻断攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810119528.9A CN108494727A (zh) | 2018-02-06 | 2018-02-06 | 一种用于网络安全管理的安全事件闭环处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810119528.9A CN108494727A (zh) | 2018-02-06 | 2018-02-06 | 一种用于网络安全管理的安全事件闭环处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108494727A true CN108494727A (zh) | 2018-09-04 |
Family
ID=63344590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810119528.9A Pending CN108494727A (zh) | 2018-02-06 | 2018-02-06 | 一种用于网络安全管理的安全事件闭环处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108494727A (zh) |
Cited By (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109214192A (zh) * | 2018-10-24 | 2019-01-15 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
CN109672663A (zh) * | 2018-11-09 | 2019-04-23 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
CN109714351A (zh) * | 2018-12-29 | 2019-05-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种资产保护方法及服务器 |
CN110135705A (zh) * | 2019-04-24 | 2019-08-16 | 徐昊 | 综合安全管理指标数字化执行系统 |
CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
CN110225065A (zh) * | 2019-07-16 | 2019-09-10 | 广东申立信息工程股份有限公司 | 一种网络安全预警系统 |
CN110572403A (zh) * | 2019-09-12 | 2019-12-13 | 海南电网有限责任公司信息通信分公司 | 一种web安全监测系统及其方法 |
CN110716973A (zh) * | 2019-09-23 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 基于大数据的安全事件上报平台及方法 |
CN110896386A (zh) * | 2018-09-12 | 2020-03-20 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
CN111049858A (zh) * | 2019-12-26 | 2020-04-21 | 杭州安恒信息技术股份有限公司 | 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备 |
CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
CN111147521A (zh) * | 2020-01-02 | 2020-05-12 | 深圳市高德信通信股份有限公司 | 一种企业专用网络安全事件管理系统 |
CN111147491A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
CN111224988A (zh) * | 2020-01-08 | 2020-06-02 | 国网陕西省电力公司信息通信公司 | 一种网络安全信息过滤方法 |
CN111479271A (zh) * | 2020-04-03 | 2020-07-31 | 北京锐云通信息技术有限公司 | 基于资产属性标记分组的无线安全检测与防护方法及系统 |
CN111881456A (zh) * | 2020-07-29 | 2020-11-03 | 江苏云从曦和人工智能有限公司 | 一种安全风险管控方法、装置、设备和介质 |
CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
CN112398835A (zh) * | 2020-11-03 | 2021-02-23 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 基于网络设备日志分析的网络安全预警技术系统 |
CN112468457A (zh) * | 2020-11-12 | 2021-03-09 | 中国建设银行股份有限公司 | 一种事件处置方法、装置、电子设备及可读存储介质 |
CN112487418A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种应对计算机网络信息安全事件处理方法 |
CN112491805A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
CN112583791A (zh) * | 2020-11-16 | 2021-03-30 | 浙江乾冠信息安全研究院有限公司 | 一种网络安全预警管理平台和方法 |
CN112636957A (zh) * | 2020-12-11 | 2021-04-09 | 微医云(杭州)控股有限公司 | 基于日志的预警方法、装置、服务器及存储介质 |
CN112866219A (zh) * | 2021-01-07 | 2021-05-28 | 深圳市永达电子信息股份有限公司 | 一种安全管控方法及系统 |
CN113034028A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种责任溯源的认定系统 |
CN113051573A (zh) * | 2021-02-19 | 2021-06-29 | 广州银汉科技有限公司 | 一种基于大数据的主机安全实时监控警报系统 |
CN113162897A (zh) * | 2020-12-24 | 2021-07-23 | 江苏天创科技有限公司 | 一种工业控制网络安全过滤系统及方法 |
CN113489703A (zh) * | 2021-06-29 | 2021-10-08 | 深信服科技股份有限公司 | 一种安全防护系统 |
CN113486358A (zh) * | 2021-07-09 | 2021-10-08 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
CN113568811A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 分布式安全监测数据处理方法 |
US11165807B2 (en) * | 2017-06-26 | 2021-11-02 | Fluency Corp. | System and method for assigning threat valuations to network events and security events |
CN113625663A (zh) * | 2020-05-07 | 2021-11-09 | 宝武炭材料科技有限公司 | 一种综合态势管控系统 |
CN113904838A (zh) * | 2021-09-30 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种传感器数据检测方法、装置、电子设备及存储介质 |
CN113992430A (zh) * | 2021-12-24 | 2022-01-28 | 北京微步在线科技有限公司 | 一种失陷处理方法及装置 |
CN114020784A (zh) * | 2021-09-26 | 2022-02-08 | 天翼爱音乐文化科技有限公司 | 一种数据风险识别方法、系统、装置及存储介质 |
CN114189349A (zh) * | 2021-10-19 | 2022-03-15 | 广东南方通信建设有限公司 | 一种安全监测预警平台、安全监测预警方法及存储介质 |
CN114205143A (zh) * | 2021-12-09 | 2022-03-18 | 国家电网有限公司信息通信分公司 | 一种面向异构安全设备的智能化协同防御的方法及系统 |
CN114499998A (zh) * | 2021-12-31 | 2022-05-13 | 奇安信科技集团股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
CN115021953A (zh) * | 2022-04-18 | 2022-09-06 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
CN115080554A (zh) * | 2022-07-22 | 2022-09-20 | 安徽省大数据中心 | 一种基于多维数据碰撞分析的告警方法及系统 |
CN116318751A (zh) * | 2022-09-07 | 2023-06-23 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
US20100162392A1 (en) * | 2008-12-22 | 2010-06-24 | Electronics And Telecommunications Research Institute | Apparatus and method for monitoring security status of wireless network |
CN104378365A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种能够进行协同分析的安全管理中心 |
CN105868876A (zh) * | 2015-01-21 | 2016-08-17 | 国家电网公司 | 一种基于过程监视的集中运维故障闭环处理方法 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107547526A (zh) * | 2017-08-17 | 2018-01-05 | 北京奇安信科技有限公司 | 一种云地结合的数据处理方法及装置 |
-
2018
- 2018-02-06 CN CN201810119528.9A patent/CN108494727A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100162392A1 (en) * | 2008-12-22 | 2010-06-24 | Electronics And Telecommunications Research Institute | Apparatus and method for monitoring security status of wireless network |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN104378365A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种能够进行协同分析的安全管理中心 |
CN105868876A (zh) * | 2015-01-21 | 2016-08-17 | 国家电网公司 | 一种基于过程监视的集中运维故障闭环处理方法 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107547526A (zh) * | 2017-08-17 | 2018-01-05 | 北京奇安信科技有限公司 | 一种云地结合的数据处理方法及装置 |
Cited By (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11165807B2 (en) * | 2017-06-26 | 2021-11-02 | Fluency Corp. | System and method for assigning threat valuations to network events and security events |
US11949706B2 (en) | 2017-06-26 | 2024-04-02 | Fluency Corp. | System and method for assigning threat valuations to network events and security events |
CN110896386A (zh) * | 2018-09-12 | 2020-03-20 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
US11405416B2 (en) | 2018-09-12 | 2022-08-02 | Siemens Ltd., China | Method and device for identifying security threats, storage medium, processor and terminal |
CN109214192B (zh) * | 2018-10-24 | 2021-01-29 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
CN109214192A (zh) * | 2018-10-24 | 2019-01-15 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
CN111126729A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 智能化的安全事件闭环处置系统及其方法 |
CN109672663A (zh) * | 2018-11-09 | 2019-04-23 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
CN109714351A (zh) * | 2018-12-29 | 2019-05-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种资产保护方法及服务器 |
CN109714351B (zh) * | 2018-12-29 | 2021-05-04 | 绿盟科技集团股份有限公司 | 一种资产保护方法及服务器 |
CN110135705A (zh) * | 2019-04-24 | 2019-08-16 | 徐昊 | 综合安全管理指标数字化执行系统 |
CN110149350B (zh) * | 2019-06-24 | 2021-11-05 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
CN110225065A (zh) * | 2019-07-16 | 2019-09-10 | 广东申立信息工程股份有限公司 | 一种网络安全预警系统 |
CN110572403A (zh) * | 2019-09-12 | 2019-12-13 | 海南电网有限责任公司信息通信分公司 | 一种web安全监测系统及其方法 |
CN110716973A (zh) * | 2019-09-23 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 基于大数据的安全事件上报平台及方法 |
CN111049858A (zh) * | 2019-12-26 | 2020-04-21 | 杭州安恒信息技术股份有限公司 | 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备 |
CN111147491A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
CN111147521B (zh) * | 2020-01-02 | 2022-10-18 | 深圳市高德信通信股份有限公司 | 一种企业专用网络安全事件管理系统 |
CN111147521A (zh) * | 2020-01-02 | 2020-05-12 | 深圳市高德信通信股份有限公司 | 一种企业专用网络安全事件管理系统 |
CN111224988A (zh) * | 2020-01-08 | 2020-06-02 | 国网陕西省电力公司信息通信公司 | 一种网络安全信息过滤方法 |
CN111479271B (zh) * | 2020-04-03 | 2023-07-25 | 北京锐云通信息技术有限公司 | 基于资产属性标记分组的无线安全检测与防护方法及系统 |
CN111479271A (zh) * | 2020-04-03 | 2020-07-31 | 北京锐云通信息技术有限公司 | 基于资产属性标记分组的无线安全检测与防护方法及系统 |
CN113625663A (zh) * | 2020-05-07 | 2021-11-09 | 宝武炭材料科技有限公司 | 一种综合态势管控系统 |
CN113625663B (zh) * | 2020-05-07 | 2024-05-17 | 宝武碳业科技股份有限公司 | 一种综合态势管控系统 |
CN111881456A (zh) * | 2020-07-29 | 2020-11-03 | 江苏云从曦和人工智能有限公司 | 一种安全风险管控方法、装置、设备和介质 |
CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
CN112398835A (zh) * | 2020-11-03 | 2021-02-23 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 基于网络设备日志分析的网络安全预警技术系统 |
CN112491805A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
CN112468457A (zh) * | 2020-11-12 | 2021-03-09 | 中国建设银行股份有限公司 | 一种事件处置方法、装置、电子设备及可读存储介质 |
CN112583791A (zh) * | 2020-11-16 | 2021-03-30 | 浙江乾冠信息安全研究院有限公司 | 一种网络安全预警管理平台和方法 |
CN112487418A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种应对计算机网络信息安全事件处理方法 |
CN112636957B (zh) * | 2020-12-11 | 2023-02-21 | 微医云(杭州)控股有限公司 | 基于日志的预警方法、装置、服务器及存储介质 |
CN112636957A (zh) * | 2020-12-11 | 2021-04-09 | 微医云(杭州)控股有限公司 | 基于日志的预警方法、装置、服务器及存储介质 |
CN113162897A (zh) * | 2020-12-24 | 2021-07-23 | 江苏天创科技有限公司 | 一种工业控制网络安全过滤系统及方法 |
CN112866219A (zh) * | 2021-01-07 | 2021-05-28 | 深圳市永达电子信息股份有限公司 | 一种安全管控方法及系统 |
CN113051573A (zh) * | 2021-02-19 | 2021-06-29 | 广州银汉科技有限公司 | 一种基于大数据的主机安全实时监控警报系统 |
CN113034028A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种责任溯源的认定系统 |
CN113489703A (zh) * | 2021-06-29 | 2021-10-08 | 深信服科技股份有限公司 | 一种安全防护系统 |
CN113486358A (zh) * | 2021-07-09 | 2021-10-08 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
CN113486358B (zh) * | 2021-07-09 | 2023-06-02 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
CN113568811A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 分布式安全监测数据处理方法 |
CN114020784A (zh) * | 2021-09-26 | 2022-02-08 | 天翼爱音乐文化科技有限公司 | 一种数据风险识别方法、系统、装置及存储介质 |
CN113904838A (zh) * | 2021-09-30 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种传感器数据检测方法、装置、电子设备及存储介质 |
CN114189349A (zh) * | 2021-10-19 | 2022-03-15 | 广东南方通信建设有限公司 | 一种安全监测预警平台、安全监测预警方法及存储介质 |
CN114205143A (zh) * | 2021-12-09 | 2022-03-18 | 国家电网有限公司信息通信分公司 | 一种面向异构安全设备的智能化协同防御的方法及系统 |
CN113992430A (zh) * | 2021-12-24 | 2022-01-28 | 北京微步在线科技有限公司 | 一种失陷处理方法及装置 |
CN114499998A (zh) * | 2021-12-31 | 2022-05-13 | 奇安信科技集团股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
CN114499998B (zh) * | 2021-12-31 | 2024-05-10 | 奇安信科技集团股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
CN115021953A (zh) * | 2022-04-18 | 2022-09-06 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
CN115021953B (zh) * | 2022-04-18 | 2024-05-24 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
CN115080554A (zh) * | 2022-07-22 | 2022-09-20 | 安徽省大数据中心 | 一种基于多维数据碰撞分析的告警方法及系统 |
CN116318751A (zh) * | 2022-09-07 | 2023-06-23 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
CN116318751B (zh) * | 2022-09-07 | 2023-10-03 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494727A (zh) | 一种用于网络安全管理的安全事件闭环处理方法 | |
Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
AU2003219885B2 (en) | Method and apparatus for monitoring a database system | |
US6347374B1 (en) | Event detection | |
US20140172495A1 (en) | System and method for automated brand protection | |
JP2006504178A (ja) | Itインフラにおける総合侵害事故対応システムおよびその動作方法 | |
CN112039862B (zh) | 一种面向多维立体网络的安全事件预警方法 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
JP2005259140A (ja) | データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置 | |
JP2010525424A (ja) | 悪用及び乱用を検出するシステム及び方法 | |
US20210234884A1 (en) | Information Security System Based on Multidimensional Disparate User Data | |
US9961047B2 (en) | Network security management | |
Yamin et al. | Implementation of insider threat detection system using honeypot based sensors and threat analytics | |
CN111274276A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
CN113364745A (zh) | 一种日志收集与分析处理方法 | |
KR20110110431A (ko) | 정보보안 장치 및 방법 | |
Thomas et al. | ETHICAL ISSUES OF USER BEHAVIORAL ANALYSIS THROUGH MACHINE LEARNING. | |
JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
US20230396640A1 (en) | Security event management system and associated method | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
Goodman | Making computer crime count | |
KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
Macak et al. | Scenarios for process-aware insider attack detection in manufacturing | |
CN109120448B (zh) | 一种告警方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180904 |