CN109784043A - 攻击事件还原方法、装置、电子设备及存储介质 - Google Patents
攻击事件还原方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN109784043A CN109784043A CN201811654204.1A CN201811654204A CN109784043A CN 109784043 A CN109784043 A CN 109784043A CN 201811654204 A CN201811654204 A CN 201811654204A CN 109784043 A CN109784043 A CN 109784043A
- Authority
- CN
- China
- Prior art keywords
- attack
- address
- warning information
- scoring
- line segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000003860 storage Methods 0.000 title claims abstract description 16
- 230000009467 reduction Effects 0.000 claims abstract description 12
- 238000004590 computer program Methods 0.000 claims description 7
- 230000002776 aggregation Effects 0.000 claims description 4
- 238000004220 aggregation Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 claims description 4
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 230000003542 behavioural effect Effects 0.000 claims 2
- 230000015572 biosynthetic process Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000008439 repair process Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000006116 polymerization reaction Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- YHVACWACSOJLSJ-UHFFFAOYSA-N n-methyl-n-(1-oxo-1-phenylpropan-2-yl)nitrous amide Chemical compound O=NN(C)C(C)C(=O)C1=CC=CC=C1 YHVACWACSOJLSJ-UHFFFAOYSA-N 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击事件还原方法,应用于计算机技术领域,包括:获取预置时间段内产生的告警信息,并按照预置评分规则,对告警信息进行评分,告警信息包括攻击地址、攻击行为和受害地址信息,对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,攻击有向线段的评分为对应告警信息内分值最高的评分,将具有同一节点的攻击有向线段进行连接,形成攻击链,攻击链的评分为形成攻击链的攻击有向线段的评分之积。本发明还公开了一种攻击事件还原装置、电子设备及存储介质,可根据攻击链还原攻击事件,同时对攻击链进行评分,使用户可根据评分结果处理攻击事件。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种攻击事件还原方法、装置、电子设备及存储介质。
背景技术
目前的信息安全事件分析技术,主要思路是通过安全设备产生告警,由安全工程师查看该告警,处理事件。这种方法主要能够发现某一个攻击点,或者某一次漏洞利用,但无法完整的还原和描述攻击者从开始收集信息、到扫描、再到攻击尝试,以及攻击成功的利用等整个攻击过程。且告警数量众多,纷繁复杂,经常会导致有用的信息隐蔽在海量的告警事件中,被忽略。
发明内容
本发明的主要目的在于提供一种攻击事件还原方法、装置、电子设备及存储介质,可完整的分析和描述出完整的攻击行为,快捷准确的还原攻击过程。
为实现上述目的,本发明实施例第一方面提供一种攻击事件还原方法,包括:
获取预置时间段内产生的告警信息,并按照预置评分规则,对所述告警信息进行评分,所述告警信息包括攻击地址、攻击行为和受害地址信息;
对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;
将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。
本发明实施例第二方面提供一种攻击事件还原装置,包括:
获取模块,用于获取预置时间段内产生的告警信息,所述告警信息包括攻击地址、攻击行为和受害地址信息;
评分模块,用于按照预置评分规则,对所述告警信息进行评分;
聚合模块,用于对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;
连接模块,用于将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。
本发明实施例第三方面提供了一种电子设备,包括:
存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现本发明实施例第一方面提供的攻击事件还原方法。
本发明实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例第一方面提供的攻击事件还原方法。
从上述本发明实施例可知,本发明提供的攻击事件还原方法、装置、电子设备及存储介质,通过获取预置时间段内产生的告警信息,并按照预置评分规则,对告警信息进行评分,告警信息包括攻击地址、攻击行为和受害地址信息,对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,攻击有向线段的评分为对应告警信息内分值最高的评分,攻击有向线段的两个节点分别表示攻击地址和受害地址,攻击有向线段的方向由攻击地址指向受害地址,将具有同一节点的攻击有向线段进行连接,形成攻击链,攻击链的评分为形成攻击链的攻击有向线段的评分之积,可根据攻击链还原攻击事件,同时对攻击链进行评分,使用户可根据评分结果处理攻击事件。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的攻击事件还原方法的流程示意图;
图2为本发明又一实施例提供的攻击事件还原装置的结构示意图;
图3为本发明又一实施例提供的攻击事件还原装置中评分装置的结构示意图
图4示出了一种电子设备的硬件结构图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的攻击事件还原方法、装置、电子设备及存储介质,主要针对告警信息按照阶段进行分类、评级、聚合、关联、排序,从而描述出完整的攻击事件的过程,并按照攻击可能造成的危害由高到低进行展示,提示组织、机构或企业处理存在的安全攻击事件、修补漏洞和相关业务,提升自身信息安全防护能力。
在本发明实施例中,攻击地址是指攻击者的IP地址,受害地址是指受害者的IP地址。
请参阅图1,图1为本发明第一实施例提供的攻击事件还原方法的流程示意图,该方法可应用于电子设备中,电子设备包括:手机、平板电脑(Portable Android Device,PAD),笔记本电脑以及个人数字助理(Personal Digital Assistant,PDA)等,该方法主要包括以下步骤:
S101、获取预置时间段内产生的告警信息,并按照预置评分规则,对告警信息进行评分,告警信息包括攻击地址、攻击行为和受害地址信息;
将告警信息的攻击行为按照预置分类规则进行分类。具体的,可以告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。
其中,信息收集类告警主要包括端口扫描、主机或系统指纹探测、软件或组件版本扫描、漏洞扫描等位于网络攻击第一个阶段,即信息收集,这一阶段常见的攻击行为的告警。
攻击尝试类告警,主要描述攻击者在尝试使用漏洞或者欺骗的方法攻击受害者系统这一阶段,在攻击过程中,攻击者行为产生的告警。主要包括漏洞利用尝试类告警、IOC通信类告警以及钓鱼、欺骗行为的告警。
攻击成功类告警,描述的是攻击者攻击成功,一定程度上甚至完全控制了受害者主机这种情况产生的告警。主要包括C&C通信类告警、远控类告警(木马或者SHELL等)、漏洞利用成功类告警等等。
后攻击类告警,主要描述攻击者在完成上述攻击行为后,继续攻击其他主机或者系统产生的告警。比如,病毒或者蠕虫的内部传播告警,提权类告警,内网系统间非正常通信行为的告警等。
将受害地址的重要等级按照预置第一评分规则进行评分。示例性的,将评分等级分为三级,将重要的受害地址,即被攻击后会产生重大影响的受害地址评为一级,将普通的受害地址,即被攻击后会产生一般影响的受害地址评为二级,将不重要的受害地址,即被攻击后会产生微弱影响的受害地址评为三级。
根据告警信息的攻击行为的分类结果和受害地址的评分结果,按照预置第二评分规则,对告警信息进行评分。具体的,由告警信息的攻击行为和受害地址的重要性决定对告警信息的评分,示例性的,可以将评分等级分为四级,严重级别、高危级别、中危级别和低危级别。
其中,严重级别,可表示为P0,评分为9-10分,对受害者系统造成严重危害,包括但不限于业务中断、最高密级数据丢失、系统受到难以修复的损害等。
高危级别,可表示为P1,评分为7-8分,对受害者系统造成较为严重的危害,包括但不限于业务未中断,但受到严重影响(必须处理速度不可接受、部分业务流程出现问题等)、高密级数据泄露,系统受到需要较长时间才能修复的损失等。
中危级别,可表示为P2,评分为4-6分,对受害者系统造成一定程度的影响,包括但不限于业务处理速度缓慢,或者业务其他变化但损失较轻。低密级数据泄露,或一般敏感数据泄露,系统遭受到一定损失但可以较快修复等。
低危级别,可表示为P3,评分为1-3分,对受害者系统造成轻微的影响,包括但不限于业务轻微变化,一般信息泄露,系统受到改变但基本没有影响或者不需要修复。
S102、对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,攻击有向线段的评分为对应告警信息内分值最高的评分;
其中,攻击有向线段的两个节点分别表示攻击地址和受害地址,攻击有向线段的方向由攻击地址指向受害地址
在对告警信息进行分类和评分之后,进行聚合,聚合根据攻击者和受害者的IP地址进行聚合;例如,IP地址A攻击了IP地址B,在攻击过程中一共出发了15条告警,我们使用一个由A到B的攻击有向线段描述这次攻击。同时,该攻击有向线段的分值为15条告警中的最高评分。
S103、将具有同一节点的攻击有向线段进行连接,形成攻击链,攻击链的评分为形成攻击链的攻击有向线段的评分之积;
连接具有同一节点的攻击有向线段,即是指关联具有相同IP地址的告警信息。具体的,例如,有一条有A到B的攻击有向线段和一条由B到C的攻击有向线段,则通过同一节点B,把两个攻击有向线段连接起来,成为一条由A到B再到C的攻击链。
需要说明的是,上述两条线的时间在同一预置时间段范围内,例如一天或者一周。
S104、按照攻击链评分值的大小,由大到小排列攻击链。
以下以攻击者A攻击受害者B,对本申请的攻击事件还原方法进行具体说明:
攻击者A首先从外网对我方受害者B的主机进行信息收集(NMAP)扫描,发现了我方有一个站点,存在漏洞控制了主机B,由于网络规划原因没有触发我方安全设备告警。然后提取了受害者B的账号密码,尝试横向扩展到主机C,结果失败,触发了告警。然后扫描主机网段内的主机D,利用一个漏洞控制了主机D。获取了主机D的账号,由于配置不善。主机D的账号与主机E相同,攻击者又控制了主机E。在安全设备上存在B到C和B到D到E的两条攻击链。且B到D到E的攻击链排序比前者高。安全工程师在第一时间处置了高危险等级的B到D到E的攻击链,完善了防护措施,修复了系统,然后排查了C,确认无误后,直接还原了攻击者A先攻击B,然后尝试攻击C失败,但是攻击D成功,继而攻击E成功的整个攻击事件。
在本发明实施例中,通过获取预置时间段内产生的告警信息,并按照预置评分规则,对告警信息进行评分,告警信息包括攻击地址、攻击行为和受害地址信息,对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,攻击有向线段的评分为对应告警信息内分值最高的评分,攻击有向线段的两个节点分别表示攻击地址和受害地址,攻击有向线段的方向由攻击地址指向受害地址,将具有同一节点的攻击有向线段进行连接,形成攻击链,攻击链的评分为形成攻击链的攻击有向线段的评分之积,可根据攻击链还原攻击事件,同时对攻击链进行评分,使用户可根据评分结果处理攻击事件。
请参阅图2,图2是本发明又一实施例提供的攻击事件还原装置的结构示意图,该装置可内置于电子设备中,该装置主要包括:
获取模块201、评分模块202、聚合模块203和连接模块204。
获取模块201,用于获取预置时间段内产生的告警信息,告警信息包括攻击地址、攻击行为和受害地址信息。
评分模块202,用于按照预置评分规则,对告警信息进行评分。
进一步地,请参阅图3,评分模块202包括:
分类子模块2021,用于将告警信息的攻击行为按照预置分类规则进行分类。具体的,可以告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。
第一评分子模块2022,用于将受害地址的重要等级按照预置第一评分规则进行评分。
第二评分子模块2023,根据告警信息的攻击行为的分类结果和受害地址的评分结果,按照预置第二评分规则,对告警信息进行评分。具体的,由告警信息的攻击行为和受害地址的重要性决定对告警信息的评分,示例性的,可以将评分等级分为四级,严重级别、高危级别、中危级别和低危级别。
聚合模块203,用于对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,攻击有向线段的评分为对应告警信息内分值最高的评分,攻击有向线段的两个节点分别表示攻击地址和受害地址,攻击有向线段的方向由攻击地址指向受害地址。
在对告警信息进行分类和评分之后,进行聚合,聚合根据攻击者和受害者的IP地址进行聚合;例如,IP地址A攻击了IP地址B,在攻击过程中一共出发了15条告警,我们使用一个由A到B的攻击有向线段描述这次攻击。同时,该攻击有向线段的分值为15条告警中的最高评分。
连接模块204,用于将具有同一节点的攻击有向线段进行连接,形成攻击链,攻击链的评分为形成攻击链的攻击有向线段的评分之积。
连接具有同一节点的攻击有向线段,即是指关联具有相同IP地址的告警信息。具体的,例如,有一条有A到B的攻击有向线段和一条由B到C的攻击有向线段,则通过同一节点B,把两个攻击有向线段连接起来,成为一条由A到B再到C的攻击链。
需要说明的是,上述两条线的时间在同一预置时间段范围内,例如一天或者一周。
更多的,该装置还包括排列模块205,用于按照攻击链评分值的大小,由大到小排列攻击链。
本发明实施例中,通过获取预置时间段内产生的告警信息,并按照预置评分规则,对告警信息进行评分,告警信息包括攻击地址、攻击行为和受害地址信息,对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,攻击有向线段的评分为对应告警信息内分值最高的评分,攻击有向线段的两个节点分别表示攻击地址和受害地址,攻击有向线段的方向由攻击地址指向受害地址,将具有同一节点的攻击有向线段进行连接,形成攻击链,攻击链的评分为形成攻击链的攻击有向线段的评分之积,可根据攻击链还原攻击事件,同时对攻击链进行评分,使用户可根据评分结果处理攻击事件。
请参见图4,图4示出了一种电子设备的硬件结构图。
本实施例中所描述的电子设备,包括:
存储器31、处理器32及存储在存储器31上并可在处理器上运行的计算机程序,处理器执行该程序时实现前述图1所示实施例中描述的攻击事件还原方法。
进一步地,该电子设备还包括:
至少一个输入设备33;至少一个输出设备34。
上述存储器31、处理器32输入设备33和输出设备34通过总线35连接。
其中,输入设备33具体可为摄像头、触控面板、物理按键或者鼠标等等。输出设备34具体可为显示屏。
存储器31可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器31用于存储一组可执行程序代码,处理器32与存储器31耦合。
进一步地,本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的终端中,该计算机可读存储介质可以是前述图4所示实施例中的存储器。该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述图1或图2所示实施例中描述的攻击事件还原方法。进一步地,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的多个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信链接可以是通过一些接口,模块的间接耦合或通信链接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本发明所提供的攻击事件还原方法、装置、电子设备及存储介质的描述,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种攻击事件还原方法,其特征在于,包括:
获取预置时间段内产生的告警信息,并按照预置评分规则,对所述告警信息进行评分,所述告警信息包括攻击地址、攻击行为和受害地址信息;
对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;
将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。
2.根据权利要求1所述的攻击事件还原方法,其特征在于,所述按照预置评分规则,对所述告警信息进行评分包括:
将所述告警信息的攻击行为按照预置分类规则进行分类;
将所述受害地址的重要等级按照预置第一评分规则进行评分;
根据所述告警信息的攻击行为的分类结果和受害地址的评分结果,按照预置第二评分规则,对所述告警信息进行评分。
3.根据权利要求2所述的攻击事件还原方法,其特征在于,所述将所述告警信息的攻击行为按照预置分类规则进行分类包括:
根据所述行为信息,按照预置分类规则,将所述告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。
4.根据权利要求1至3任意一项所述的攻击事件还原方法,其特征在于,所述形成攻击链之后,还包括:
按照所述攻击链评分值的大小,由大到小排列所述攻击链。
5.一种攻击事件还原装置,其特征在于,包括:
获取模块,用于获取预置时间段内产生的告警信息,所述告警信息包括攻击地址、攻击行为和受害地址信息;
评分模块,用于按照预置评分规则,对所述告警信息进行评分;
聚合模块,用于对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;
连接模块,用于将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。
6.根据权利要求5所述的攻击事件还原装置,其特征在于,所述评分模块包括:
分类子模块,用于将所述告警信息的攻击行为按照预置分类规则进行分类;
第一评分子模块,用于将所述受害地址的重要等级按照预置第一评分规则进行评分;
第二评分子模块,用于根据所述告警信息的攻击行为的分类结果和受害地址的评分结果,按照预置第二评分规则,对所述告警信息进行评分。
7.根据权利要求6所述的攻击事件还原装置,其特征在于,所述分类子模块具体用于根据所述行为信息,按照预置分类规则,将所述告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。
8.根据权利要求5至7任意一项所述的攻击事件还原装置,其特征在于,所述装置还包括:
排列模块,用于按照所述攻击链评分值的大小,由大到小排列所述攻击链。
9.一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现权利要求1至4中的任一项所述的攻击事件还原方法中的各个步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至4中的任一项所述的攻击事件还原方法中的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811654204.1A CN109784043A (zh) | 2018-12-29 | 2018-12-29 | 攻击事件还原方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811654204.1A CN109784043A (zh) | 2018-12-29 | 2018-12-29 | 攻击事件还原方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109784043A true CN109784043A (zh) | 2019-05-21 |
Family
ID=66499670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811654204.1A Pending CN109784043A (zh) | 2018-12-29 | 2018-12-29 | 攻击事件还原方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109784043A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519264A (zh) * | 2019-08-26 | 2019-11-29 | 奇安信科技集团股份有限公司 | 攻击事件的追踪溯源方法、装置及设备 |
| CN110620690A (zh) * | 2019-09-19 | 2019-12-27 | 国网思极网安科技(北京)有限公司 | 一种网络攻击事件的处理方法及其电子设备 |
| CN110855497A (zh) * | 2019-11-19 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 一种基于大数据环境的告警排序方法及装置 |
| CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN111858482A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种攻击事件追踪溯源方法、系统、终端及存储介质 |
| CN112039841A (zh) * | 2020-07-23 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 安全事件归并处理方法、装置、电子设备及存储介质 |
| CN114760185A (zh) * | 2022-03-15 | 2022-07-15 | 深信服科技股份有限公司 | 告警信息处理方法、装置、电子设备及存储介质 |
| CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499928A (zh) * | 2009-03-18 | 2009-08-05 | 苏州盛世阳科技有限公司 | 一种基于聚类分析的网络入侵场景图生成方法 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| EP2947595A1 (en) * | 2013-01-21 | 2015-11-25 | Mitsubishi Electric Corporation | Attack analysis system, coordination device, attack analysis coordination method, and program |
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN105827450A (zh) * | 2016-04-11 | 2016-08-03 | 全球能源互联网研究院 | 一种脆弱性修复策略生成方法 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
-
2018
- 2018-12-29 CN CN201811654204.1A patent/CN109784043A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499928A (zh) * | 2009-03-18 | 2009-08-05 | 苏州盛世阳科技有限公司 | 一种基于聚类分析的网络入侵场景图生成方法 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| EP2947595A1 (en) * | 2013-01-21 | 2015-11-25 | Mitsubishi Electric Corporation | Attack analysis system, coordination device, attack analysis coordination method, and program |
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN105827450A (zh) * | 2016-04-11 | 2016-08-03 | 全球能源互联网研究院 | 一种脆弱性修复策略生成方法 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519264A (zh) * | 2019-08-26 | 2019-11-29 | 奇安信科技集团股份有限公司 | 攻击事件的追踪溯源方法、装置及设备 |
| CN110519264B (zh) * | 2019-08-26 | 2022-09-30 | 奇安信科技集团股份有限公司 | 攻击事件的追踪溯源方法、装置及设备 |
| CN110620690A (zh) * | 2019-09-19 | 2019-12-27 | 国网思极网安科技(北京)有限公司 | 一种网络攻击事件的处理方法及其电子设备 |
| CN110855497A (zh) * | 2019-11-19 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 一种基于大数据环境的告警排序方法及装置 |
| CN110855497B (zh) * | 2019-11-19 | 2022-09-27 | 杭州安恒信息技术股份有限公司 | 一种基于大数据环境的告警排序方法及装置 |
| CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN111858482A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种攻击事件追踪溯源方法、系统、终端及存储介质 |
| CN111858482B (zh) * | 2020-07-15 | 2021-10-15 | 北京市燃气集团有限责任公司 | 一种攻击事件追踪溯源方法、系统、终端及存储介质 |
| CN112039841A (zh) * | 2020-07-23 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 安全事件归并处理方法、装置、电子设备及存储介质 |
| CN114760185A (zh) * | 2022-03-15 | 2022-07-15 | 深信服科技股份有限公司 | 告警信息处理方法、装置、电子设备及存储介质 |
| CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
| CN114944956B (zh) * | 2022-05-27 | 2024-07-09 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109784043A (zh) | 攻击事件还原方法、装置、电子设备及存储介质 | |
| US11637853B2 (en) | Operational network risk mitigation system and method | |
| US20240086930A1 (en) | Blockchain transaction safety | |
| US11727121B2 (en) | Method and system for neural network deployment in software security vulnerability testing | |
| US20210392152A1 (en) | Intrusion detection using robust singular value decomposition | |
| CN107798390A (zh) | 一种机器学习模型的训练方法、装置以及电子设备 | |
| US8739290B1 (en) | Generating alerts in event management systems | |
| CN111565184A (zh) | 一种网络安全评估装置、方法、设备及介质 | |
| CN111800385B (zh) | 分布式裁决方法、分布式裁决系统及拟态构造架构 | |
| CN109871683B (zh) | 一种数据库防护系统及方法 | |
| CN107508681A (zh) | 区块链密钥保护方法及装置 | |
| WO2021136313A1 (zh) | 一种基于攻防对抗的电子邮件系统安全评价方法及装置 | |
| EP3958152B1 (en) | Attack scenario simulation device, attack scenario generation system, and attack scenario generation method | |
| CN113472800A (zh) | 汽车网络安全风险评估方法、装置、存储介质和电子设备 | |
| Caston et al. | Risks and anatomy of data breaches | |
| Clinton | Fixing American cybersecurity: Creating a strategic public-private partnership | |
| CN108073703A (zh) | 一种评论信息获取方法、装置、设备及存储介质 | |
| CN105069158B (zh) | 数据挖掘方法及系统 | |
| CN110138778B (zh) | 一种基于博弈论的网络攻击风险控制方法及系统 | |
| Kenkel et al. | Uncertainty in crisis bargaining with multiple policy options | |
| Bradford Franklin | The Need for Countries to Establish Robust and Transparent Vulnerabilities Equities Processes | |
| CN110347514A (zh) | 事件处理方法和装置 | |
| US12063226B1 (en) | Graph-based multi-staged attack detection in the context of an attack framework | |
| Sung et al. | Understanding the propagation dynamics of multipartite computer virus | |
| CN117828601B (zh) | 基于对抗性恶意软件的恶意软件检测工具推荐方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information |