CN109525558B - 数据泄露检测方法、系统、装置及存储介质 - Google Patents
数据泄露检测方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN109525558B CN109525558B CN201811233456.7A CN201811233456A CN109525558B CN 109525558 B CN109525558 B CN 109525558B CN 201811233456 A CN201811233456 A CN 201811233456A CN 109525558 B CN109525558 B CN 109525558B
- Authority
- CN
- China
- Prior art keywords
- data leakage
- target feature
- flow
- data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据泄露检测方法、系统、装置及存储介质,通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种数据泄露检测方法、系统、装置及存储介质。
背景技术
随着计算机技术的快速发展,企业向电子化转型,极大的方便了人们的生活,同时也带来了许多的安全问题。当成功入侵计算机后,黑客可以以远程显示协议(RemoteDisplay Protocol,RDP)、安全外壳协议(Secure Shell,SSH)、文件传输协议(FileTransfer Protocol,FTP)、服务器信息块(Server Message Block,SMB)等协议将转移数据文件,进行数据贩卖、欺诈、商业竞争等恶意活动,使企业面临巨大的经济损失。
当前数据文件泄漏检测方案主要有以下两种:
1)基于内容特征识别数据文件的数据泄漏检测方案,用户通过预定义或自定义的数据关键字特征,在数据文件传输过程中对数据内容进行匹配,若匹配上则进行告警或拦截。这种方案的缺点在于无法应对加密型文件,当攻击者使用RDP、SSH等加密协议或直接对文件进行加密后传输,系统将无法检测,同时存在大量的漏判和误判行为,系统准确度的核心在于关键字特征集是否完备以及精准。
2)基于用户操作行为分析的数据泄漏检测方案,该方案需要在终端侧安装特定的检测分析装置,对用户的操作行为进行审计分析。首先,对于终端侧安装软件会影响业务的稳定性,修改系统的配置、对进程行为进行劫持、软件自身的故障等行为都会加大系统的不稳定性,同时增加系统开销。其次,当终端数量多时,检测系统的可维护性就很差,部署也比较困难。
发明内容
本发明的主要目的在于提供一种数据泄露检测方法、系统、装置及存储介质,旨在解决现有技术中数据泄露检测系统存在大量的漏判和误判行为,并且稳定性差、开销大及部署困难的技术问题。
为实现上述目的,本发明提供一种数据泄露检测方法,所述数据泄露检测方法包括以下步骤:
检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;
追踪并记录各会话的流量行为,生成历史流量日志;
将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;
获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;
根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。
优选地,所述追踪并记录各会话的流量行为,生成历史流量日志,具体包括:
获取各会话对应的IP信息、端口信息及协议信息,根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为;
记录各会话的流量行为,并根据各会话的流量行为生成历史流量日志。
优选地,所述获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略,具体包括:
获取所述目标特征的类别;
在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁;
在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁。
优选地,所述在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁,具体包括:
在所述数据泄露判断策略为从IP异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的源IP,根据所述源IP与预设恶意IP黑名单是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从访问时间异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的访问时间,根据所述访问时间与预设异常访问时间是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从流量大小异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征在预设时间内的上行流量大小,根据所述上行流量大小是否超过预设流量阈值,判断所述目标特征是否存在数据泄露威胁。
优选地,所述在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁,具体包括:
在所述数据泄露判断策略为从协议异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的协议流量,根据所述协议流量传输的文件信息是否异常,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从端口异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的端口,根据所述端口是否为非标准端口,判断所述目标特征是否存在数据泄露威胁。
优选地,所述获取所述目标特征的类别,具体包括:
对所述目标特征分别进行协议解析和流量分析,根据协议解析结果和流量分析结果确定所述目标特征的类别。
优选地,所述根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁之后,所述数据泄露检测方法还包括:
当所述目标特征存在数据泄露威胁时,获取所述目标特征对应的会话信息;
将所述会话信息在本地显示界面中展示,在接收到用户输入的应对指令时,对所述应对指令进行响应。
此外,为实现上述目的,本发明还提出一种检测装置,所述检测装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据泄露检测程序,所述数据泄露检测程序配置为实现如上文所述的数据泄露检测方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有数据泄露检测程序,所述数据泄露检测程序被处理器执行时实现如上文所述的数据泄露检测方法的步骤。
此外,为实现上述目的,本发明还提供一种数据泄露检测系统,所述数据泄露检测系统包括:
检测模块,用于识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;
会话追踪模块,用于追踪并记录各会话的流量行为,生成历史流量日志;
行为识别模块,用于将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;
策略确定模块,用于获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;
威胁判断模块,用于根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。
本发明提出的数据泄露检测方法,通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的检测装置结构示意图;
图2为本发明数据泄露检测方法第一实施例的流程示意图;
图3为本发明数据泄露检测方法第二实施例的流程示意图;
图4为本发明数据泄露检测方法第三实施例的流程示意图;
图5为本发明数据泄露检测系统第一实施例的功能模块图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的解决方案主要是:通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率,解决了现有技术中数据泄露检测系统存在大量的漏判和误判行为,并且稳定性差、开销大及部署困难的技术问题。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的检测装置结构示意图。
如图1所示,该检测装置可以包括:处理器1001,例如CPU,通信总线1002、用户端接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户端接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户端接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的检测装置结构并不构成对该服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户端接口模块以及数据泄露检测程序。
本发明检测装置通过处理器1001调用存储器1005中存储的数据泄露检测程序,并执行以下操作:
识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;
追踪并记录各会话的流量行为,生成历史流量日志;
将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;
获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;
根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。
进一步地,处理器1001可以调用存储器1005中存储的数据泄露检测程序,还执行以下操作:
获取各会话对应的IP信息、端口信息及协议信息,根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为;
记录各会话的流量行为,并根据各会话的流量行为生成历史流量日志。
进一步地,处理器1001可以调用存储器1005中存储的数据泄露检测程序,还执行以下操作:
获取所述目标特征的类别;
在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁;
在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁。
进一步地,处理器1001可以调用存储器1005中存储的数据泄露检测程序,还执行以下操作:
在所述数据泄露判断策略为从IP异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的源IP,根据所述源IP与预设恶意IP黑名单是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从访问时间异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的访问时间,根据所述访问时间与预设异常访问时间是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从流量大小异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征在预设时间内的上行流量大小,根据所述上行流量大小是否超过预设流量阈值,判断所述目标特征是否存在数据泄露威胁。
进一步地,处理器1001可以调用存储器1005中存储的数据泄露检测程序,还执行以下操作:
在所述数据泄露判断策略为从协议异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的协议流量,根据所述协议流量传输的文件信息是否异常,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从端口异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的端口,根据所述端口是否为非标准端口,判断所述目标特征是否存在数据泄露威胁。
进一步地,处理器1001可以调用存储器1005中存储的数据泄露检测程序,还执行以下操作:
对所述目标特征分别进行协议解析和流量分析,根据协议解析结果和流量分析结果确定所述目标特征的类别。
进一步地,处理器1001可以调用存储器1005中存储的数据泄露检测程序,还执行以下操作:
当所述目标特征存在数据泄露威胁时,获取所述目标特征对应的会话信息;
将所述会话信息在本地显示界面中展示,在接收到用户输入的应对指令时,对所述应对指令进行响应。
本实施例通过上述方案,通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率。
基于上述硬件结构,提出本发明数据泄露检测方法实施例。
参照图2,图2为本发明数据泄露检测方法第一实施例的流程示意图。
在第一实施例中,所述数据泄露检测方法包括以下步骤:
步骤S10、检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话。
需要说明的是,所述数据服务器为当前网络中各种流量行为对应的服务器,对所述数据服务器的识别可以是通过业务数据特征匹配进行识别,也可以是通过用户手动配置进行识别,当然还可以是通过其他方式进行识别,本实施例对此不加以限制;所述预设关键流量传输节点为预先设置的在流量传输节点中比较重要的节点,可以是网络边界,也可以是需要保护的服务器终端前端,还可以是其他重要的节点,本实施例对此不加以限制。
可以理解的是,通过识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,可以获得各访问流量对应的会话,所述会话作为后续检测是否存在数据泄露威胁的基础,通过对预设关键流量传输节点的访问流量进行检测,可以使数据泄露检测更加容易部署,只需要将检测系统通过串联或旁路部署在网络边界或需要保护的计算机终端前端,不需要变更已有业务,也无需对每台终端进行维护。
步骤S20、追踪并记录各会话的流量行为,生成历史流量日志。
需要说明的是,各会话的流量行为为各会话产生的流量行为,包括但不限于上行的数据量、下行的数据量及单位时间流量大小等信息,通过追踪并记录各会话的流量行为,可以将各会话的流量行为生成历史流量日志,从而方便后续流量分析。
步骤S30、将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征。
可以理解的是,所述预设异常特征集为预先设置的异常特征集,可以是通过大量数据训练学习获得的异常特征的集合,也可以是技术人员根据日常操作经验自行拟定的异常特征集合,当然还可以是通过其他方式预先设置的异常特征集,本实施例对此不加以限制;通过将所述历史流量日志中的特征与预设异常特征集中的异常特征进行匹配,获得与预设异常特征集中的异常特征匹配的异常行为特征,将该异常行为特征作为目标特征,通过对历史流量日志中的流量行为进行分析,无论数据是否被加密,都可以有效检测,房子被攻击者绕过。
步骤S40、获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略。
应当理解的是,所述数据泄露判断策略为预先设定的数据泄露判断策略,获取所述目标特征的类别,即对所述目标特征进行分类,根据所述目标特征的类别确定对应的数据泄露判断策略,不同的目标特征的类别对应着不同的数据泄露判断策略。
步骤S50、根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。
可以理解的是,通过所述数据泄露判断策略可以对所述目标特征进行判断,当满足所述数据泄露判断策略中的条件时,可以判断目标特征存在数据泄露威胁。
在具体实现中,不同数据泄露判断策略判断所述目标特征是否存在数据泄露威胁的方式也不同,例如,利用RDP协议进行数据文件转移的行为,可以定义在单位时间内上行流量超过50M,即认为符合数据泄露特性,存在数据泄露威胁;利用FTP协议进行数据文件转移的行为,可以定义传输文件格式,当格式为excel,word等格式文件则认为符合数据泄露特性,存在数据泄露威胁。
进一步地,所述步骤S50之后,所述数据泄露检测方法还包括:
当所述目标特征存在数据泄露威胁时,获取所述目标特征对应的会话信息;
将所述会话信息在本地显示界面中展示,在接收到用户输入的应对指令时,对所述应对指令进行响应。
可以理解的是,将所述目标特征对应的会话信息在本地显示界面中展示,可以供用户进行选择进行相应的操作,在接收到用户输入的应对指令时,对所述应对指令进行响应,所述应对指令包括但不限于告警、阻断、放行及记录日志等操作。
本实施例通过上述方案,通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率。
进一步地,图3为本发明数据泄露检测方法第二实施例的流程示意图,如图3所示,基于第一实施例提出本发明数据泄露检测方法第二实施例,在本实施例中,所述步骤S20具体包括以下步骤:
步骤S21、获取各会话对应的IP信息、端口信息及协议信息,根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为。
可以理解的是,各会话对应的IP信息包括源IP信息和目的IP信息;所述端口信息包括源端口信息和目的端口信息,协议信息为各会话所使用的协议相应的信息;通过获取各会话对应的IP信息、端口信息及协议信息,可以根据所述IP信息、所述端口信息及所述协议信息追踪到各会话的流量行为。
步骤S22、记录各会话的流量行为,并根据各会话的流量行为生成历史流量日志。
可以理解的是,在追踪到各会话的流量行为后,可以对各会话的流量行为进行记录,并对各会话的流量行为进行整理分类,生成历史流量日志,有利于后续行为特征的分析判断。
本实施例通过上述方案,获取各会话对应的IP信息、端口信息及协议信息,根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为;记录各会话的流量行为,并根据各会话的流量行为生成历史流量日志,生成历史流量日志,有利于后续行为特征的分析判断,节省了数据泄露检测的时间,提高了数据泄露检测的速度和效率。
进一步地,图4为本发明数据泄露检测方法第三实施例的流程示意图,如图4所示,基于第二实施例提出本发明数据泄露检测方法第三实施例,在本实施例中,所述步骤S40具体包括以下步骤:
步骤S41、获取所述目标特征的类别。
需要说明的是,不同的目标特征对应着不同的类别,通过获取所述目标特征的类别有利于确定对应的数据泄露判断策略,从而加快数据泄露检测的速度。
进一步地,所述步骤S41具体包括以下步骤:
对所述目标特征分别进行协议解析和流量分析,根据协议解析结果和流量分析结果确定所述目标特征的类别。
可以理解的是,通过对所述目标特征分别进行协议解析和流量分析,可以获得相应的协议解析结果和流量分析结果,从而根据所述协议解析结果和流量分析结果确定所述目标特征的类别偏向于协议特征还是流量特征,有利于后续目标特征对应的数据泄露判断策略的确定。
步骤S42、在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁。
需要说明的是,所述通用性异常特征包括但不限于访问IP异常特征、访问时间异常特征及流量大小异常特征,当然还可以是包括其他类型的特征,本实施例对此不加以限制。
可以理解的是,在所述目标特征的类别为通用性异常特征时,可以确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁。
进一步地,所述步骤S42具体包括以下步骤:
在所述数据泄露判断策略为从IP异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的源IP,根据所述源IP与预设恶意IP黑名单是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从访问时间异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的访问时间,根据所述访问时间与预设异常访问时间是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从流量大小异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征在预设时间内的上行流量大小,根据所述上行流量大小是否超过预设流量阈值,判断所述目标特征是否存在数据泄露威胁。
应当理解的是,所述预设恶意IP黑名单为预先设置的用于记录和保存恶意IP的名单,若所述源IP与预设恶意IP黑名单匹配,则认为存在恶意IP访问行为,恶意IP包括但不限于病毒指挥控制服务器(Command and Control server,C&C)IP、恶意域名解析对应的IP和黑客攻击IP等,若所述源IP与预设恶意IP黑名单不匹配,则认为访问IP正常。
可以理解的是,所述预设异常访问时间为预先设置的用于判断访问时间是否异常的实际,通常企业的业务访问行为都比较固定,在非正常业务时间段的访问,比如凌晨12点,此类时间段对业务发起的访问较大可能性为非法访问行为,通过对历史行为进行学习,可以发现非正业务时间段的访问行为,从而在所述访问时间与预设异常访问时间匹配时,认为存在数据泄露威胁,不匹配时,则认为不存在时间泄露威胁。
应当理解的是,所述预设流量阈值为预先设置的流量阈值,若在预设时间内上行流量大小超过所述预设流量阈值,则认为存在数据泄露的风险,所述预设时间可以为小时、分钟和秒等单位,所述预设流量阈值可以是通过大量数据学习训练获得,也可以是技术人员根据日常操作经验确定的正常上行流量大小基线,当然还可以是通过其他方式确定的流量阈值,本实施例对此不加以限制。
步骤S43、在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁。
需要说明的是,所述协议针对性异常特征包括但不限于协议异常状态特征和端口异常特征,当然还可以是包括其他类型的特征,本实施例对此不加以限制。
进一步地,所述步骤S43具体包括以下步骤:
在所述数据泄露判断策略为从协议异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的协议流量,根据所述协议流量传输的文件信息是否异常,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从端口异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的端口,根据所述端口是否为非标准端口,判断所述目标特征是否存在数据泄露威胁。
可以理解的是,当所述目标特征的协议流量传输的文件信息存在异常时,判定所述目标特征存在数据泄露威胁,类似于FTP、SMB等协议可识别传输内容的协议流量,通过识别传输的文件类型及文件名称等方式可以识别所述目标特征是否存在数据文件泄露行为。
应当理解的是,当所述目标特征的端口为非标准端口时,判断所述目标特征存在数据泄露威胁,所述目标特征对应的标准协议在非标准端口上运行,例如FTP协议出现在非21端口,则判定所述目标特征存在数据泄露威胁。
本实施例通过上述方案,通过获取所述目标特征的类别;在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁;在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率。
本发明进一步提供一种数据泄露检测系统。
参照图5,图5为本发明数据泄露检测系统第一实施例的功能模块图。
本发明数据泄露检测系统第一实施例中,该数据泄露检测系统包括:
检测模块10,用于检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话。
需要说明的是,所述数据服务器为当前网络中各种流量行为对应的服务器,对所述数据服务器的识别可以是通过业务数据特征匹配进行识别,也可以是通过用户手动配置进行识别,当然还可以是通过其他方式进行识别,本实施例对此不加以限制;所述预设关键流量传输节点为预先设置的在流量传输节点中比较重要的节点,可以是网络边界,也可以是需要保护的服务器终端前端,还可以是其他重要的节点,本实施例对此不加以限制。
可以理解的是,通过识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,可以获得各访问流量对应的会话,所述会话作为后续检测是否存在数据泄露威胁的基础,通过对预设关键流量传输节点的访问流量进行检测,可以使数据泄露检测更加容易部署,只需要将检测系统通过串联或旁路部署在网络边界或需要保护的计算机终端前端,不需要变更已有业务,也无需对每台终端进行维护。
会话追踪模块20,用于追踪并记录各会话的流量行为,生成历史流量日志。
需要说明的是,各会话的流量行为为各会话产生的流量行为,包括但不限于上行的数据量、下行的数据量及单位时间流量大小等信息,通过追踪并记录各会话的流量行为,可以将各会话的流量行为生成历史流量日志,从而方便后续流量分析。
行为识别模块30,用于将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征。
可以理解的是,所述预设异常特征集为预先设置的异常特征集,可以是通过大量数据训练学习获得的异常特征的集合,也可以是技术人员根据日常操作经验自行拟定的异常特征集合,当然还可以是通过其他方式预先设置的异常特征集,本实施例对此不加以限制;通过将所述历史流量日志中的特征与预设异常特征集中的异常特征进行匹配,获得与预设异常特征集中的异常特征匹配的异常行为特征,将该异常行为特征作为目标特征,通过对历史流量日志中的流量行为进行分析,无论数据是否被加密,都可以有效检测,房子被攻击者绕过。
策略确定模块40,用于获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略。
应当理解的是,所述数据泄露判断策略为预先设定的数据泄露判断策略,获取所述目标特征的类别,即对所述目标特征进行分类,根据所述目标特征的类别确定对应的数据泄露判断策略,不同的目标特征的类别对应着不同的数据泄露判断策略。
威胁判断模块50,用于根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。
可以理解的是,通过所述数据泄露判断策略可以对所述目标特征进行判断,当满足所述数据泄露判断策略中的条件时,可以判断目标特征存在数据泄露威胁。
在具体实现中,不同数据泄露判断策略判断所述目标特征是否存在数据泄露威胁的方式也不同,例如,利用RDP协议进行数据文件转移的行为,可以定义在单位时间内上行流量超过50M,即认为符合数据泄露特性,存在数据泄露威胁;利用FTP协议进行数据文件转移的行为,可以定义传输文件格式,当格式为excel,word等格式文件则认为符合数据泄露特性,存在数据泄露威胁。
本实施例通过上述方案,通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有数据泄露检测程序,所述数据泄露检测程序被处理器执行时实现如下操作:
识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;
追踪并记录各会话的流量行为,生成历史流量日志;
将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;
获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;
根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁。
进一步地,所述数据泄露检测程序被处理器执行时还实现如下操作:
获取各会话对应的IP信息、端口信息及协议信息,根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为;
记录各会话的流量行为,并根据各会话的流量行为生成历史流量日志。
进一步地,所述数据泄露检测程序被处理器执行时还实现如下操作:
获取所述目标特征的类别;
在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁;
在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁。
进一步地,所述数据泄露检测程序被处理器执行时还实现如下操作:
在所述数据泄露判断策略为从IP异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的源IP,根据所述源IP与预设恶意IP黑名单是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从访问时间异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的访问时间,根据所述访问时间与预设异常访问时间是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从流量大小异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征在预设时间内的上行流量大小,根据所述上行流量大小是否超过预设流量阈值,判断所述目标特征是否存在数据泄露威胁。
进一步地,所述数据泄露检测程序被处理器执行时还实现如下操作:
在所述数据泄露判断策略为从协议异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的协议流量,根据所述协议流量传输的文件信息是否异常,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从端口异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的端口,根据所述端口是否为非标准端口,判断所述目标特征是否存在数据泄露威胁。
进一步地,所述数据泄露检测程序被处理器执行时还实现如下操作:
对所述目标特征分别进行协议解析和流量分析,根据协议解析结果和流量分析结果确定所述目标特征的类别。
进一步地,所述数据泄露检测程序被处理器执行时还实现如下操作:
当所述目标特征存在数据泄露威胁时,获取所述目标特征对应的会话信息;
将所述会话信息在本地显示界面中展示,在接收到用户输入的应对指令时,对所述应对指令进行响应。
本实施例通过上述方案,通过检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;追踪并记录各会话的流量行为,生成历史流量日志;将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁,可以对异常行为特征进行针对性的处理,提高了对数据泄露判断的精准度,并且有效防止了数据加密攻击行为,不需要变更已有业务,部署及维护更加方便,节省了数据泄露检测的时间,提高了数据泄露检测的全面性,的准确性,提升了数据泄露检测的速度和效率。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种数据泄露检测方法,其特征在于,所述数据泄露检测方法包括:
检测装置识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;
追踪并记录各会话的流量行为,生成历史流量日志;
将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;
获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;
根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁;
其中,所述获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略,具体包括:
获取所述目标特征的类别;
在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁;
在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁。
2.如权利要求1所述的数据泄露检测方法,其特征在于,所述追踪并记录各会话的流量行为,生成历史流量日志,具体包括:
获取各会话对应的IP信息、端口信息及协议信息,根据所述IP信息、所述端口信息及所述协议信息追踪各会话的流量行为;
记录各会话的流量行为,并根据各会话的流量行为生成历史流量日志。
3.如权利要求1所述的数据泄露检测方法,其特征在于,所述在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁,具体包括:
在所述数据泄露判断策略为从IP异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的源IP,根据所述源IP与预设恶意IP黑名单是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从访问时间异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征中的访问时间,根据所述访问时间与预设异常访问时间是否匹配,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从流量大小异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征在预设时间内的上行流量大小,根据所述上行流量大小是否超过预设流量阈值,判断所述目标特征是否存在数据泄露威胁。
4.如权利要求1所述的数据泄露检测方法,其特征在于,所述在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁,具体包括:
在所述数据泄露判断策略为从协议异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的协议流量,根据所述协议流量传输的文件信息是否异常,判断所述目标特征是否存在数据泄露威胁;
和/或,
在所述数据泄露判断策略为从端口异常状态判断所述目标特征是否存在数据泄露威胁时,获取所述目标特征的端口,根据所述端口是否为非标准端口,判断所述目标特征是否存在数据泄露威胁。
5.如权利要求1所述的数据泄露检测方法,其特征在于,所述获取所述目标特征的类别,具体包括:
对所述目标特征分别进行协议解析和流量分析,根据协议解析结果和流量分析结果确定所述目标特征的类别。
6.如权利要求1至5中任一项所述的数据泄露检测方法,其特征在于,所述根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁之后,所述数据泄露检测方法还包括:
当所述目标特征存在数据泄露威胁时,获取所述目标特征对应的会话信息;
将所述会话信息在本地显示界面中展示,在接收到用户输入的应对指令时,对所述应对指令进行响应。
7.一种数据泄露检测系统,其特征在于,所述数据泄露检测系统包括:
检测模块,用于识别当前网络中存在的数据服务器,对所述数据服务器中预设关键流量传输节点的访问流量进行检测,获得各访问流量对应的会话;
会话追踪模块,用于追踪并记录各会话的流量行为,生成历史流量日志;
行为识别模块,用于将所述历史流量日志中与预设异常特征集匹配的异常行为特征作为目标特征;
策略确定模块,用于获取所述目标特征的类别,根据所述目标特征的类别确定对应的数据泄露判断策略;
威胁判断模块,用于根据所述数据泄露判断策略判断所述目标特征是否存在数据泄露威胁;
其中,所述策略确定模块,还用于获取所述目标特征的类别,在所述目标特征的类别为通用性异常特征时,确定对应的数据泄露判断策略为从IP异常状态、访问时间异常状态和/或流量大小异常状态判断所述目标特征是否存在数据泄露威胁,在所述目标特征的类别为协议针对性异常特征时,确定对应的数据泄露判断策略为从协议异常状态和/或端口异常判断所述目标特征是否存在数据泄露威胁。
8.一种检测装置,其特征在于,所述检测装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据泄露检测程序,所述数据泄露检测程序配置为实现如权利要求1至6中任一项所述的数据泄露检测方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有数据泄露检测程序,所述数据泄露检测程序被处理器执行时实现如权利要求1至6中任一项所述的数据泄露检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811233456.7A CN109525558B (zh) | 2018-10-22 | 2018-10-22 | 数据泄露检测方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811233456.7A CN109525558B (zh) | 2018-10-22 | 2018-10-22 | 数据泄露检测方法、系统、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109525558A CN109525558A (zh) | 2019-03-26 |
CN109525558B true CN109525558B (zh) | 2022-02-22 |
Family
ID=65772348
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811233456.7A Active CN109525558B (zh) | 2018-10-22 | 2018-10-22 | 数据泄露检测方法、系统、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109525558B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112347501A (zh) * | 2019-08-06 | 2021-02-09 | 中国移动通信集团广东有限公司 | 数据处理方法、装置、设备及存储介质 |
CN110798472B (zh) * | 2019-11-01 | 2022-01-07 | 杭州数梦工场科技有限公司 | 数据泄露检测方法与装置 |
CN110866700B (zh) * | 2019-11-19 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 确定企业员工信息泄露源的方法及装置 |
CN110933076A (zh) * | 2019-11-28 | 2020-03-27 | 广州市百果园信息技术有限公司 | 客户端上传监控方法、装置、设备及计算机存储介质 |
CN113132297B (zh) * | 2019-12-30 | 2023-04-18 | 北京国双科技有限公司 | 数据泄露的检测方法及装置 |
CN110958274A (zh) * | 2019-12-31 | 2020-04-03 | 深信服科技股份有限公司 | 服务器安全状态的检测方法、装置、电子设备及存储介质 |
CN111181978B (zh) * | 2019-12-31 | 2022-09-30 | 深信服科技股份有限公司 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
CN111563022B (zh) * | 2020-05-12 | 2023-09-05 | 中国民航信息网络股份有限公司 | 一种集中式存储器监控方法和装置 |
CN111753328B (zh) * | 2020-06-03 | 2023-03-17 | 支付宝(杭州)信息技术有限公司 | 隐私数据的泄露风险检测方法及系统 |
CN111814144B (zh) * | 2020-07-14 | 2023-11-07 | 深信服科技股份有限公司 | 一种泄露数据处理方法、装置、设备及介质 |
CN112115493B (zh) * | 2020-09-16 | 2022-11-18 | 安徽长泰科技有限公司 | 一种基于数据采集的数据泄露的防护系统 |
CN114465741B (zh) * | 2020-11-09 | 2023-09-26 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
CN113541941A (zh) * | 2021-07-02 | 2021-10-22 | 珠海格力电器股份有限公司 | 一种密钥处理方法、装置、电子设备及存储介质 |
CN114077722A (zh) * | 2021-10-20 | 2022-02-22 | 深信服科技股份有限公司 | 数据泄密追踪方法、装置、电子设备和计算机存储介质 |
CN114244564B (zh) * | 2021-11-16 | 2024-04-16 | 北京网宿科技有限公司 | 攻击防御方法、装置、设备及可读存储介质 |
CN114465963B (zh) * | 2021-12-24 | 2022-10-25 | 北京环宇博亚科技有限公司 | 交换机异常检测方法、装置、电子设备和计算机可读介质 |
CN114079624B (zh) * | 2022-01-18 | 2022-04-08 | 广东道一信息技术股份有限公司 | 一种基于多用户接入的架构数据流监测方法及系统 |
CN115577369B (zh) * | 2022-12-09 | 2023-07-14 | 北京仁科互动网络技术有限公司 | 源代码泄露行为检测方法、装置、电子设备及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102857486B (zh) * | 2012-04-01 | 2015-10-21 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN105991595B (zh) * | 2015-02-15 | 2020-08-07 | 华为技术有限公司 | 网络安全防护方法及装置 |
CN106453392B (zh) * | 2016-11-14 | 2019-04-09 | 中国人民解放军防空兵学院 | 基于流量特征分布的全网络异常流识别方法 |
CN107404494B (zh) * | 2017-08-21 | 2020-04-21 | 奇安信科技集团股份有限公司 | 异常事件信息处理方法及装置 |
CN107888602A (zh) * | 2017-11-23 | 2018-04-06 | 北京白山耘科技有限公司 | 一种检测异常用户的方法及装置 |
-
2018
- 2018-10-22 CN CN201811233456.7A patent/CN109525558B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109525558A (zh) | 2019-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
US20200153852A1 (en) | Locally Detecting Phishing Weakness | |
US10534917B2 (en) | Testing for risk of macro vulnerability | |
JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
WO2021217049A1 (en) | Detection and prevention of external fraud | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
CN111447232A (zh) | 一种网络流量检测方法及装置 | |
US11711383B2 (en) | Autonomous generation of attack signatures to detect malicious network activity | |
CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
US11916945B2 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
CN113037713B (zh) | 网络攻击的对抗方法、装置、设备及存储介质 | |
CN113839935A (zh) | 网络态势感知方法、装置及系统 | |
CN106341819A (zh) | 基于蜜罐技术的钓鱼WiFi识别系统与方法 | |
CN111541655A (zh) | 网络异常流量检测方法、控制器及介质 | |
US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN106561026A (zh) | 一种基于用户账号操作行为诊断入侵的方法及系统 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |