CN109962891A - 监测云安全的方法、装置、设备和计算机存储介质 - Google Patents
监测云安全的方法、装置、设备和计算机存储介质 Download PDFInfo
- Publication number
- CN109962891A CN109962891A CN201711422162.4A CN201711422162A CN109962891A CN 109962891 A CN109962891 A CN 109962891A CN 201711422162 A CN201711422162 A CN 201711422162A CN 109962891 A CN109962891 A CN 109962891A
- Authority
- CN
- China
- Prior art keywords
- network
- threat
- cloud
- mirror image
- valid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种监测云安全的方法、装置、设备和计算机存储介质。该方法包括:通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台软件自定义网络SDN控制器采集网络设备的日志数据;将日志数据作为日志的有效威胁信息;分析物理网络的镜像流量和虚拟网络的镜像流量,获得网络的有效威胁信息;计算云安全态势度量值;按照云安全态势度量值实时监测云平台的内部威胁和外部威胁;通过云平台SDN控制器控制安全设备处置内部威胁和/或外部威胁。根据本发明实施例提供的监测云安全的方法、装置、设备和计算机存储介质,能够全面且实时保障云平台的安全。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种监测云安全的方法、装置、设备和计算机存储介质。
背景技术
云计算是指通过虚拟化技术统一管理和调度计算、存储、网络、软件等资源,采用互联网模式将基础资源、平台能力、软件应用等服务提供给用户。随着云计算技术的快速应用,各级政府及各类企业的IT资产和应用系统逐步向云平台迁移。云计算技术具备省时、省力、省钱等优势,但也带来了新的安全问题。
对于安全问题可以监测云平台的安全数据,由于上述安全数据未能全面且实时体现云平台的安全需要,因此无法保障云平台的安全。
发明内容
本发明实施例一种监测云安全的方法、装置、设备和计算机存储介质,能够全面且实时保障云平台的安全。
根据本发明实施例的一方面,提供一种监测云安全的方法,该方法包括:
通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台软件自定义网络SDN控制器采集网络设备的日志数据;
将日志数据作为日志的有效威胁信息;
分析物理网络的镜像流量和虚拟网络的镜像流量,获得网络的有效威胁信息;
在日志的有效威胁信息和网络的有效威胁信息的基础上计算云安全态势度量值;
按照云安全态势度量值实时监测云平台的内部威胁和外部威胁;
依据云平台的内部威胁和/或外部威胁,通过云平台SDN控制器控制安全设备处置内部威胁和/或外部威胁。
在一个实施例中,云平台SDN控制器采集网络设备的日志数据包括:用户访问安全设备产生的日志数据。
在一个实施例中,将日志数据作为日志的有效威胁信息之后,还包括:
将日志的有效威胁信息进行分布式缓存,并将缓存的日志的有效威胁信息进行分布式存储。
在一个实施例中,分析物理网络的镜像流量和虚拟网络的镜像流量,获得网络的有效威胁信息,包括:
对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据,并将网络流量中间数据进行分布式缓存;
对分布式缓存的网络流量中间数据同时进行机器学习、威胁情报检测和事件关联分析,分别得到异常行为、安全威胁和安全攻击事件;
由异常行为、安全威胁和安全攻击事件,获得网络的有效威胁信息,并将网络的有效威胁信息存储于分布式存储系统。
在一个实施例中,对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据,包括:
利用反病毒软件、入侵检测技术和沙箱对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据。
在一个实施例中,在日志的有效威胁信息和网络的有效威胁信息的基础上计算云安全态势度量值,包括:
根据日志的有效威胁信息和网络的有效威胁信息得出全网每一个资产的资产风险评估值;
根据每一个资产的资产风险评估值计算云安全态势度量值。
在一个实施例中,依据云平台的内部威胁和/或外部威胁,通过云平台SDN控制器控制安全设备处置内部威胁和/或外部威胁,包括:
根据云平台的内部威胁和/或外部威胁向SDN控制器下发处置指令;
通过SDN控制器和处置指令控制安全设备处置内部威胁和/或外部威胁。
根据本发明实施例的另一方面,提供一种监测云安全的装置,该装置包括:
采集模块,用于通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台软件自定义网络SDN控制器采集网络设备的日志数据;
日志威胁分析模块,用于将日志数据作为日志的有效威胁信息;
网络威胁分析模块,用于分析物理网络的镜像流量和虚拟网络的镜像流量,获得网络的有效威胁信息;
数据分析模块,用于在日志的有效威胁信息和网络的有效威胁信息的基础上计算云安全态势度量值;
监测模块,用于按照云安全态势度量值实时监测云平台的内部威胁和外部威胁;
处置模块,用于依据云平台的内部威胁和/或外部威胁,通过云平台SDN控制器控制安全设备处置内部威胁和/或外部威胁。
在一个实施例中,网络威胁分析模块包括:
处理单元,用于对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据,并将网络流量中间数据进行分布式缓存;
分析单元,用于对分布式缓存的网络流量中间数据同时进行机器学习、威胁情报检测和事件关联分析,分别得到异常行为、安全威胁和安全攻击事件;
获取单元,用于由异常行为、安全威胁和安全攻击事件,获得网络的有效威胁信息,并将网络的有效威胁信息存储于分布式存储系统。
在一个实施例中,数据分析模块包括:
第一计算单元,用于根据日志的有效威胁信息和网络的有效威胁信息得出全网每一个资产的资产风险评估值;
第二计算单元,用于根据每一个资产的资产风险评估值计算云安全态势度量值。
根据本发明实施例的再一方面,提供一种监测云安全的设备,该设备包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现本发明实施例提供的监测云安全的方法。
根据本发明实施例的再一方面,提供一种计算机存储介质,该计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现本发明实施例提供的监测云安全的方法。
根据本发明实施例中的监测云安全的方法、装置、设备和计算机存储介质,通过利用探针及云平台SDN控制器的交互协作完成网络及安全设备资产的自动上报,并通过对网络镜像流量及日志数据的实时采集和处理,以及对各类威胁事件的态势感知及自动化处置,提升云平台安全管理质量和效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出根据本发明一实施例提供的监测云安全的方法的流程示意图;
图2示出根据本发明另一实施例提供的监测云安全的方法的流程示意图;
图3示出根据本发明一实施例提供的监测云安全的装置的结构示意图;
图4示出根据本发明另一实施例提供的监测云安全的装置结构示意图;
图5示出根据发明一实施例的监测云安全的设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
下面首先结合附图对本发明实施例提供的监测云安全的方法进行详细说明。
图1示出根据本发明实施例提供的监测云安全的方法的流程示意图。如图1所示,本实施例中的监测云安全的方法100包括以下步骤:
S110,通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台SDN控制器采集网络设备的日志数据。
在本发明的实施例中,网络探针是指位于网络出口的用于采集物理网络镜像流量的采集设备。宿主机探针是指位于云平台内的采集软探针,是采集虚拟网络镜像流量的应用设备。
其中,探针的数量可根据云资源池需要监控的业务流量和虚拟机的峰值流量进行确定,本发明实施例不做具体限制。
在本发明的实施例中,软件自定义网络(Software Defined Network,SDN)是网络虚拟化的一种实现方式,其将路由器、交换机等网络设备中的控制平面与数据转发平面分离,通过控制层集中控制,实现网络流量的灵活控制,使网络作为管道变得更加智能。SDN控制器是软件定义网络中的应用程序,负责流量控制以确保智能网络。
其中,云平台SDN控制器用于采集网络设备的日志数据,该日志数据包括用户访问安全设备产生的日志数据。也就是说,云平台SDN控制器采集的日志数据包括网络设备的日志数据和安全设备的日志数据,即日志数据包括云内路由器、交换机、防火墙、网站应用级入侵防御系统(Web Application Firewall,WAF)、入侵检测系统(Intrusion DetectionSystems,IDS)及分布式拒绝服务攻击(Distributed Denial of Service,DDOS)防护等设备的操作、访问、安全及告警等数据。
在一些实施例中,在采集网络镜像流量和日志数据之前,通过restful接口下发资产发现命令至网络出口的网络探针、云平台内的宿主机探针及云平台SDN控制器。
其中,网络探针和宿主机探针收到资产发现命令后,扫描云虚拟机的IP地址、操作系统及业务程序等信息。SDN控制器收到资产发现命令后,收集云平台网络设备及安全设备的基本信息,安全域和关联拓扑等信息。通过合并上述两类数据,建立云平台资产库并设置资产价值。其中,资产的信息是探针通过地址解析协议(Address Resolution Protocol,ARP)等协议进行解析的,资产自动发现的开关设置在探针的配置页面上。另外,资产发现还可以通过文件导入,对于资产发现的方式,本发明实施例不做具体限制。
在本发明的实施例中,资产是指安全保护的目标对象,这些对象包括网络环境中有价值的信息资源或网络设备,如网路中的主机、服务器等,以及相应的软件、硬件和服务。
在本发明的实施例中,通过安全设备实现对云资源池的南北向流量进行监控,并通过网络探针和宿主机探针实现对云资源池的东西向流量的有效监测,提升了数据采集的全面性。其中,南北向流量是指云平台内部私有网络与外部公网或管理网进行数据通信产生的流量,东西向流量是指虚拟机之间通信产生的流量。
S120,将日志数据作为日志的有效威胁信息。
在本发明的实施例中,由于云平台SDN控制器采集的日志数据为结构化数据,即日志数据为利用二维表结构来逻辑表达和实现的数据,因此该日志数据为有效威胁信息。
在本发明的实施例中,在步骤S120之后还包括:
将日志的有效威胁信息进行分布式缓存,并将缓存的日志的有效威胁信息进行分布式存储。
其中,通过对日志的有效威胁信息进行分布式缓存,提升了日志数据的吞吐量。由于日志的有效威胁信息为结构化数据,因此无需对该有效威胁信息进行处理,可直接存储于分布式存储系统。
S130,分析物理网络的镜像流量和虚拟网络的镜像流量,获得网络的有效威胁信息。
在本发明的实施中,S130包括以下步骤:
S1301,对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据,并将网络流量中间数据进行分布式缓存。
在步骤S1301中,包括以下步骤:
利用反病毒软件、入侵检测技术和沙箱对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据。
在本发明的实施例中,网络探针采集的物理网络的镜像流量和宿主机探针采集虚拟网络的镜像流量经过辅助检测和应用沙箱的预处理后输出网络流量中间数据。其中,网络流量中间数据包括全流量报文、流量元数据、应用元数据、文件样本、用户行为及审计记录等数据。
其中,辅助检测包含反病毒(Anti Virus,AV)软件和IDS引擎。反病毒软件为用于消除病毒、木马和恶意代码的软件。辅助检测用于检测云平台内外部已知威胁攻击。通过辅助检测对网络镜像流量实现过滤,减轻了应用沙箱性能压力。
应用沙箱是一个系统程序虚拟环境,在沙箱中运行浏览器或其他程序,从而模拟发现未知威胁。通过利用应用沙箱模拟全球广域网(World Wide Web,WEB)等应用环境,可识别恶意行为,并且利用全虚拟化沙箱构建操作系统及软件环境,可实时检测程序异常行为,为网络镜像流量数据分析提供网络流量中间数据及报警数据。
本发明实施例提供的监测云安全的方法,通过对网络镜像流量和日志数据的共同采集,不仅实现对云平台内外部的安全态势感知,也实现了云平台虚拟机间及内向外访问的安全态势感知。
在本发明的实施例中,获取网络流量中间数据后,将该网络流量中间数据进行分布式缓存,以提高网络流量中间数据的吞吐量。
S1302,对分布式缓存的网络流量中间数据同时进行机器学习、威胁情报检测和事件关联分析,分别得到异常行为、安全威胁和安全攻击事件。
在本发明的实施例中,网络流量中间数据为非结构化数据,因此需要对网络流量中间数据进行多重处理,以获取网络的有效威胁信息。其中,对网络流量中间数据的多重处理包括机器学习、威胁情报检测和事件关联分析等。
在本发明的实施例中,采用流式数据计算框架,对分布式缓存系统中的网络流量中间数据进行机器学习、威胁情报检测和事件关联分析等并行多重分析处理,从而实现对网络流量中间数据的实时处理。作为一个具体示例,流式数据计算框架可为Storm流式计算框架,对于流式数据计算框架,本发明实施例不做具体限制。
在本发明的实施例中,为降低网络流量中间数据分析处理延迟,引入流量分发机制,即复制3份分布式缓存系统中缓存的网络流量中间数据,并分别进行机器学习、威胁情报检测及事件关联分析。
其中,机器学习是指通过统计挖掘算法、时间序列算法和聚类算法提取网络流量中间数据的特征函数,构建程序和用户的正常行为模型。将网络流量中间数据进行正常行为模型偏离度匹配,匹配度低于临界值则判定为高级持续性威胁(Advanced PersistentThreat,APT)攻击等异常行为。
威胁情报检测是指对网络流量中间数据进行恶意IP,僵尸网络、恶意域名系统(Domain Name System,DNS)、恶意统一资源定位符(Uniform Resource Locator,URL)等多层次的威胁情报匹配,提取有效数据,以识别安全威胁。
事件关联分析是对网络流量中间数据内的文件数据、报警数据、流量元数据等进行关联分析,确定安全攻击事件。通过对网络流量中间数据的关联分析,可以提升报警准确率,并构建攻击过程的回溯分析能力。
作为一个示例,探针采集的威胁信息都是可疑的信息,例如密码暴力破解。虽然偶尔一次两次的登陆失败并不是暴力破解,但短时间内的多次登陆失败,就可以判断为暴力破解。针对这种情况进行事件关联分析,对于一次两次的登陆失败来说经过关联分析之后是无效数据,对于短时间内的多次登陆失败来说,经过关联分析之后就是有效威胁数据。其中,经过关联分析规则过滤出来的事件就是安全事件,安全事件是指对云平台造成威胁损害的直接原因,即攻击、入侵等非法行为。
S1303,由异常行为、安全威胁和安全攻击事件,获得网络的有效威胁信息,并将网络的有效威胁信息存储于分布式存储系统。
在本发明的实施例中,对网络流量中间数据进行机器学习、威胁情报检测和事件关联分析后,输出的异常行为、安全威胁和安全攻击事件为结构化数据,即通过对网络流量中间数据进行多重处理后得到的是网络的有效威胁信息。
在本发明的实施例中,将网络的有效威胁信息,即结构化数据,进行分布式存储。其中,分布式存储是一种数据存储技术,通过网络中的每台机器上的磁盘空间,并将这些分散的存储资源构成一个虚拟的存储设备。
在本发明的实施例中,将日志的有效威胁信息和网络的有效威胁信息均存储于分布式存储系统后,可对上述两类有效威胁信息添加数据索引。用户还可以通过人机交互界面,并利用全文检索技术以及威胁信息的数据索引对日志的有效威胁信息和网络的有效威胁信息进行字段拆分和内容识别,查找安全入侵的线索数据,从线索数据中还原威胁信息的入侵场景,实现对威胁信息的准确把控。
在本发明的实施例中,通过采用流式计算框架以及分布式缓存分析机制,对网络流量中间数据和日志数据进行实时处理分析,以实现实时检测和预警云平台的内部威胁和外部威胁。
S140,在日志的有效威胁信息和网络的有效威胁信息的基础上计算云安全态势度量值。
在本发明的实施例中,S140包括以下步骤:
S1401,根据日志的有效威胁信息和网络的有效威胁信息得出全网每一个资产的资产风险评估值。
作为一个示例,对分布式存储系统中存储的日志的有效威胁信息和网络的有效威胁信息进行提取分析,以获取全网每一个资产的攻击行为指数、恶意代码传播指数、漏洞分布状态指数及资产价值指数等4种指标。根据上述4种指标获取每一个资产的脆弱性、威胁频率及资产价值信息,并利用资产风险评估模型公式计算每一个资产的资产风险评估值。其中,资产风险评估模型公式如下:
其中,Threat为资产威胁频率,V_Level为资产脆弱性等级,A_Value为资产价值,risk为资产风险评估值,其中资产风险评估值的取值范围为1至5,5为最高风险等级。
S1402,根据每一个资产的资产风险评估值计算云安全态势度量值。
作为一个示例,根据云安全态势值=全网资产风险和/全网资产数*20,利用如下公式,计算云安全态势值:
R=20*(risk1+risk2+risk3.....riskn)/N (2)
其中,riskn为全网每一个资产的资产风险评估值,N为全网的资产总数量,R为云安全态势度量值。作为一个示例,若云安全态势度量值在1-20之间代表云安全态势度量值为较低,20-40之间代表云安全态势度量值为低,40-60之间代表云安全态势度量值为中等,60-80之间代表云安全态势度量值为高,80-100之间代表云安全态势度量值很高。
在本发明的实施例中,通过云安全态势度量值可以对云安全态势的总体概况实现把控。
S150,按照云安全态势度量值实时监测云平台的内部威胁和外部威胁。
在本发明的实施例中,云内部威胁和云外部威胁可通过云平台的参数配置页面的预先配置的内网IP段进行判断。也就是说,通过预先配置的内网IP段和威胁源的IP地址,就可以判断威胁源是来自内网还是来自外网,以及威胁目的是内网还是外网。
其中,根据网络的有效威胁信息、日志的有效威胁信息以及云安全态势度量值等信息可对云安全态势进行可视化呈现,使用户可以更加全面主动地感知和防御云安全风险。其中,云安全态势的可视化呈现方式为多种,例如地图、网络拓扑图、仪表盘、折线图、数据表、柱形图、计数器、饼图等,本发明实施例对云安全态势的可视化呈现方式不做具体限制。
作为一个示例,云外部安全威胁的可视化界面为基于地图的呈现界面,可呈现出云安全态势的总体概况、预设周期内的云平台威胁趋势、实时发生的安全事件、威胁资产以及威胁来源等信息。云内部安全威胁的可视化界面为基于拓扑的呈现界面,可实时呈现虚拟机被攻击概况、异常虚拟机对外攻击概况和虚拟机资产价值概况等信息。
在本发明的一些实施例中,依据资产价值和云平台的威胁类型可以配置特定威胁信息的云威胁预警及通告任务。其中,云威胁预警和通告任务的配置方式,本发明实施例不做具体限制,可视具体应用场景而定。
当检测到特定威胁信息时,可通过邮件、弹窗或短信通知使用者,具体通知方式本发明实施例不做具体限制。
在本发明的实施例中,通过图形化的方式呈现云安全态势,可实现对云安全态势概况迅速把控以及对资产、告警信息等进行多维度展现。
S160,依据云平台的内部威胁和外部威胁,通过云平台SDN控制器控制网络和/或安全设备封堵内部威胁和/或外部威胁。
在本发明的实施例中,步骤S160包括以下步骤:
S1601,根据云平台的内部威胁和/或外部威胁向SDN控制器下发处置指令;
在本发明的实施例中,当检测到云平台的内部威胁和外部威胁时,根据威胁信息类型、资产价值、风险度以及封堵防御操作影响值自主决策处置方法,并通过restful接口下发处置指令至SDN控制器。
S1602,通过SDN控制器和处置指令控制安全设备处置内部威胁和/或外部威胁。
在本发明的实施例中,SDN控制器通过netcof协议将处置命令发送至安全设备,并将检测到的威胁情报集中推送至安全设备。SDN控制器修改云网络设备流量转发表和刷新防火墙等安全设备的本地威胁库。安全设备针对该威胁情报执行攻击源地址的封堵、防御及流量清洗等操作,实现对威胁信息的处置。
本发明实施例提供的监测云安全的方法,首先利用网络探针、宿主机探针采集网络镜像流量,通过云平台SDN控制器采集网络及安全设备日志数据;然后利用大数据流式计算框架实时分析检测云平台内部威胁和外部威胁,最后通过SDN控制器控制安全设备执行威胁封堵防御,提升了云平台安全管理质量和效率。
下面结合具体的实施例,对本发明实施例提供的监测云安全的方法进行说明。图2示出本发明另一实施例的监测云安全方法200的流程示意图。图3示出本发明一实施例的监测云安全的装置300的结构示意图。
S210,用户访问目的虚拟机,用户访问流量进入网络设备。
在本发明的实施例中,以用户访问云平台内的虚拟机为例。作为一个具体示例,若用户为云外部用户,则用户访问流量进入物理网络设备;若用户为云内部虚拟机的租户,则用户访问流量进入虚拟网络设备。其中,网络设备将产生网络流量及日志数据。
S220,探针采集网络设备镜像流量,云平台SDN控制器采集网络设备日志数据并上传至数据采集模块。
在本发明的实施例中,如图3所示,图3中的数据采集模块包括监测云安全装置的采集模块和网络威胁分析模块。图3中数据采集模块包括资产发现单元、探针扫描单元、信息管理单元和数据采集单元。
其中,资产发现单元通过restful接口下发资产发现命令至网络出口的网络探针、云平台内的宿主机探针及云平台SDN控制器。网络探针和宿主机探针收到资产发现命令后启用探针扫描单元,扫描并上报云虚拟机的IP地址,操作系统及业务程序等信息。SDN控制器收到资产发现命令后启用信息管理单元,收集并上报云平台网络及安全设备基本信息,安全域及关联拓扑等信息。资源发现单元合并上报的两类数据,建立云平台资产库并设置资产价值。
在本发明的实施例中,数据采集单元通过restful接口调用探针和云平台SDN控制器,分别采集网络镜像流量数据及日志数据。其中,网络探针用于采集物理网络设备镜像流量,宿主机探针用于采集虚拟网络设备镜像流量。网络设备镜像流量经辅助检测及应用沙箱预处理后,输出网络流量中间数据并上传至数据采集模块。云平台SDN控制器采集网络设备日志数据并上传至数据采集模块。
S230,用户访问流量进入网络设备后,依据网络设备流量路由表,进入下一跳安全设备。
作为一个示例,如图3所示,对于云外部用户,用户访问流量将进入WAF、IDS或防火墙(Firewall,FW)等某一个安全设备,而对于云内部虚拟机,则用户访问流量进入虚拟防火墙VFW(Virtual Firewall,VFW)。
S240,安全设备利用安全设备本地的威胁库判断用户访问流量是否正常。
在本发明的实施例中,若安全设备确定用户访问流量为安全攻击,则安全设备封堵或清洗用户访问流量;若安全设备确定用户访问流量为正常流量,则用户访问流量经多次转发后到达用户访问的目的虚拟机。
S250,用户访问在安全设备产生日志数据,通过SDN控制器采集并上报至数据采集模块。
在本发明的实施例中,用户在访问安全设备的过程中也会产生日志数据。通过SDN控制器采集安全设备产生的日志数据,并将该日志数据上报至图3中的数据采集模块。
S260,数据处理模块接收和处理网络流量中间数据和日志数据得到网络的有效威胁信息和日志的有效威胁信息,并对上述有效威胁信息进行统计分析以输出云安全态势度量值。
在本发明的实施例中,图3中的数据处理模块包括监测云安全装置的日志威胁分析模块、网络威胁分析模块和数据分析模块。
如图3所示,数据处理模块包括威胁分析单元和统计分析单元,威胁分析单元是整个系统的核心。威胁分析单元中的缓存子单元用于将数据采集模块上传的网络流量中间数据和日志数据进行分布式缓存。通过利用数据缓存机制,提升上述数据的吞吐能力。
在本发明的实施例中,由于日志数据为结构化数据,该结构化数据为日志的有效威胁信息,可直接将缓存后的日志数据进行分布式存储。
对于分布式缓存的网络流量中间数据为非结构化数据,因此需要利用分析子单元中的流式数据计算框架,对网络流量中间数据进行机器学习、威胁情报检测和事件关联分析等并行多重分析处理,以获取网络的有效威胁信息并存储于分布式存储系统。
其中,将网络的有效威胁信息和日志的有效威胁信息进行分布式存储之后添加数据索引,该数据索引对构建威胁信息的回溯分析具有重要作用。
在本发明的实施例中,如图3所示,数据处理模块中的统计分析单元包括数据挖掘子单元和人机交互子单元。其中,数据挖掘子单元用于统计和分析网络的有效威胁信息和日志的有效威胁信息,得出全网每一个资产的资产风险评估值。利用每一个资产的资产风险评估值可计算出云安全态势度量值,该云安全态势度量值可提醒云安全态势的整体概况。
人机交互子单元引入人工交互分析,人工可以采用全文检索技术,通过数据索引对威胁信息进行字段拆分及内容识别,查找安全入侵的线索数据,从线索数据中还原威胁信息的入侵场景。
S270,预警处置模块呈现云平台内部威胁信息、外部威胁信息及云安全态势,并自动处置威胁信息。
在本发明的实施例中,图3中的预警处置模块包括监测云安全装置的监测模块和处置模块。预警处置模块包括态势管理单元和联动处置单元。
其中,态势管理单元中的态势呈现子单元根据网络的有效威胁信息、日志的有效威胁信息和云安全态势度量值,可对云平台外部威胁和云平台内部威胁进行可视化呈现。
态势管理单元中的威胁预警子单元用于根据资产价值及威胁类型配置云威胁预警及通告任务。当系统检测到特定威胁信息,将通过邮件及短信通知使用者。
其中,联动处置单元中的智能处置子单元从威胁情报中心检测到威胁信息时,智能处置子单元输出处置指令并下发至SDN控制器,并将威胁情报集中推送至安全设备。当预警处置模块检测到云平台出现安全事件时,智能处置子模块输出处置指令,通过restful接口下发至SDN控制器,控制器通过netcof协议将具体命令发送至安全设备。SDN控制器修改云网络设备流量转发表和刷新防火墙等安全设备的本地威胁库。安全设备封堵或清洗威胁信息。
本发明实施例提供的监测云安全的装置和方法,不限于云业务场景的安全态势感知处理,亦适用于传统IT业务场景的网络镜像流量及日志数据的采集及处理、安全态势感知和自动处置威胁信息等。
图4示出了根据本发明另一实施例提供的监测云安全的装置400的结构示意图。
采集模块410,用于通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台软件自定义网络SDN控制器采集网络设备的日志数据;
日志威胁分析模块420,用于将日志数据作为日志的有效威胁信息;
网络威胁分析模块430,用于分析物理网络的镜像流量和虚拟网络的镜像流量,获得网络的有效威胁信息;
数据分析模块440,用于在日志的有效威胁信息和网络的有效威胁信息的基础上计算云安全态势度量值;
监测模块450,用于按照云安全态势度量值实时监测云平台的内部威胁和外部威胁;
处置模块460,用于依据云平台的内部威胁和/或外部威胁,通过云平台SDN控制器控制安全设备处置内部威胁和/或外部威胁。
在本发明的实施例中,监测云安全的装置400还包括:
存储模块470,用于将日志的有效威胁信息进行分布式缓存,并将缓存的日志的有效威胁信息进行分布式存储。
在本发明的实施例中,云平台SDN控制器采集网络设备的日志数据包括:用户访问安全设备产生的日志数据。
在本发明的实施例中,网络威胁分析模块430包括:
处理单元4301,用于对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据,并将网络流量中间数据进行分布式缓存;
分析单元4302,用于对分布式缓存的网络流量中间数据同时进行机器学习、威胁情报检测和事件关联分析,分别得到异常行为、安全威胁和安全攻击事件;
获取单元4303,用于由异常行为、安全威胁和安全攻击事件,获得网络的有效威胁信息,并将网络的有效威胁信息存储于分布式存储系统。
在本发明的实施例中,通过利用网络探针、宿主机探针和SDN控制器采集网络镜像流量和日志数据,不仅实现了对云平台外部安全态势的感知,也实现了云平台虚拟机之间及内向外的安全态势感知。
在本发明的实施例中,网络威胁分析模块430还可具体用于:
利用反病毒软件、入侵检测技术和沙箱对物理网络的镜像流量和虚拟网络的镜像流量进行预处理得到网络流量中间数据。
在本发明的实施例中,通过对网络流量中间数据和日志数据进行分布式缓存,提高了上述数据的吞吐量。并且,通过大数据流式计算框架对网络流量中间数据进行处理,实现实时分析检测云平台内部威胁和外部威胁。
在本发明的实施例中,数据分析模块440包括:
第一计算单元4401,用于根据日志的有效威胁信息和网络的有效威胁信息得出全网每一个资产的资产风险评估值;
第二计算单元4402,用于根据每一个资产的资产风险评估值计算云安全态势度量值。
在本发明的实施例中,通过对云安全态势度量值的计算,实现了对云安全态势整体状况的把控。
在本发明的实施例中,处置模块460可具体用于:
根据云平台的内部威胁和/或外部威胁向SDN控制器下发处置指令;
通过SDN控制器和处置指令控制安全设备处置内部威胁和/或外部威胁。
在本发明的实施例中,通过处置模块实现对检测到的威胁信息的自动处置。
根据本发明实施例的监测云安全的装置的其他细节与以上结合图1至图2描述的根据本发明实施例的监测云安全的方法类似,在此不再赘述。
结合图1至图4描述的根据本发明实施例的监测云安全的方法和装置可以由监测云安全的设备来实现。图5是示出根据发明实施例的监测云安全的设备的硬件结构500示意图。
如图5所示,本实施例中的监测云安全的设备500包括:处理器501、存储器502、通信接口503和总线510,其中,处理器501、存储器502、通信接口503通过总线510连接并完成相互间的通信。
具体地,上述处理器501可以包括中央处理器(CPU),或者特定集成电路(ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器502可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器502可包括HDD、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器502可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器502可在监测云安全的设备500的内部或外部。在特定实施例中,存储器502是非易失性固态存储器。在特定实施例中,存储器502包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
通信接口503,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线510包括硬件、软件或两者,将监测云安全的设备500的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线510可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
也就是说,图5所示的监测云安全的设备500可以被实现为包括:处理器501、存储器502、通信接口503和总线510。处理器501、存储器502和通信接口503通过总线510连接并完成相互间的通信。存储器502用于存储程序代码;处理器501通过读取存储器502中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行本发明任一实施例中的监测云安全的方法,从而实现结合图1至图4描述的监测云安全的方法和装置。
本发明实施例还提供一种计算机存储介质,该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的监测云安全的方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (12)
1.一种监测云安全的方法,其特征在于,所述方法包括:
通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台软件自定义网络SDN控制器采集网络设备的日志数据;
将所述日志数据作为日志的有效威胁信息;
分析所述物理网络的镜像流量和所述虚拟网络的镜像流量,获得网络的有效威胁信息;
在所述日志的有效威胁信息和所述网络的有效威胁信息的基础上计算云安全态势度量值;
按照所述云安全态势度量值实时监测所述云平台的内部威胁和外部威胁;
依据所述云平台的内部威胁和/或外部威胁,通过所述云平台SDN控制器控制安全设备处置所述内部威胁和/或外部威胁。
2.权利要求1所述监测云安全的方法,其特征在于,所述云平台SDN控制器采集网络设备的日志数据包括:用户访问安全设备产生的日志数据。
3.权利要求1所述监测云安全的方法,其特征在于,所述将所述日志数据作为日志的有效威胁信息之后,还包括:
将所述日志的有效威胁信息进行分布式缓存,并将缓存的所述日志的有效威胁信息进行分布式存储。
4.权利要求1所述监测云安全的方法,其特征在于,所述分析所述物理网络的镜像流量和所述虚拟网络的镜像流量,获得网络的有效威胁信息,包括:
对所述物理网络的镜像流量和所述虚拟网络的镜像流量进行预处理得到网络流量中间数据,并将所述网络流量中间数据进行分布式缓存;
对分布式缓存的所述网络流量中间数据同时进行机器学习、威胁情报检测和事件关联分析,分别得到异常行为、安全威胁和安全攻击事件;
由所述异常行为、所述安全威胁和所述安全攻击事件,获得所述网络的有效威胁信息,并将所述网络的有效威胁信息存储于分布式存储系统。
5.根据权利要求4所述监测云安全的方法,其特征在于,所述对所述物理网络的镜像流量和所述虚拟网络的镜像流量进行预处理得到网络流量中间数据,包括:
利用反病毒软件、入侵检测技术和沙箱对所述物理网络的镜像流量和所述虚拟网络的镜像流量进行预处理得到网络流量中间数据。
6.根据权利要求1所述监测云安全的方法,其特征在于,所述在所述日志的有效威胁信息和所述网络的有效威胁信息的基础上计算云安全态势度量值,包括:
根据所述日志的有效威胁信息和所述网络的有效威胁信息得出全网每一个资产的资产风险评估值;
根据所述每一个资产的资产风险评估值计算云安全态势度量值。
7.根据权利要求1所述监测云安全的方法,其特征在于,所述依据所述云平台的内部威胁和/或外部威胁,通过所述云平台SDN控制器控制安全设备处置所述内部威胁和/或外部威胁,包括:
根据所述云平台的内部威胁和/或外部威胁向SDN控制器下发处置指令;
通过所述SDN控制器和所述处置指令控制安全设备处置所述内部威胁和/或外部威胁。
8.一种监测云安全的装置,其特征在于,所述装置包括:
采集模块,用于通过网络出口的网络探针采集物理网络的镜像流量、云平台内的宿主机探针采集虚拟网络的镜像流量和云平台软件自定义网络SDN控制器采集网络设备的日志数据;
日志威胁分析模块,用于将所述日志数据作为日志的有效威胁信息;
网络威胁分析模块,用于分析所述物理网络的镜像流量和所述虚拟网络的镜像流量,获得网络的有效威胁信息;
数据分析模块,用于在所述日志的有效威胁信息和所述网络的有效威胁信息的基础上计算云安全态势度量值;
监测模块,用于按照所述云安全态势度量值实时监测所述云平台的内部威胁和外部威胁;
处置模块,用于依据所述云平台的内部威胁和/或外部威胁,通过所述云平台SDN控制器控制安全设备处置所述内部威胁和/或外部威胁。
9.根据权利要求8所述监测云安全的装置,其特征在于,所述网络威胁分析模块包括:
处理单元,用于对所述物理网络的镜像流量和所述虚拟网络的镜像流量进行预处理得到网络流量中间数据,并将所述网络流量中间数据进行分布式缓存;
分析单元,用于对分布式缓存的所述网络流量中间数据同时进行机器学习、威胁情报检测和事件关联分析,分别得到异常行为、安全威胁和安全攻击事件;
获取单元,用于由所述异常行为、所述安全威胁和所述安全攻击事件,获得所述网络的有效威胁信息,并将所述网络的有效威胁信息存储于分布式存储系统。
10.根据权利要求8所述监测云安全的装置,其特征在于,所述数据分析模块包括:
第一计算单元,用于根据所述日志的有效威胁信息和所述网络的有效威胁信息得出全网每一个资产的资产风险评估值;
第二计算单元,用于根据所述每一个资产的资产风险评估值计算云安全态势度量值。
11.一种监测云安全的设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的监测云安全的方法。
12.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的监测云安全的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711422162.4A CN109962891B (zh) | 2017-12-25 | 2017-12-25 | 监测云安全的方法、装置、设备和计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711422162.4A CN109962891B (zh) | 2017-12-25 | 2017-12-25 | 监测云安全的方法、装置、设备和计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109962891A true CN109962891A (zh) | 2019-07-02 |
CN109962891B CN109962891B (zh) | 2021-10-22 |
Family
ID=67021046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711422162.4A Active CN109962891B (zh) | 2017-12-25 | 2017-12-25 | 监测云安全的方法、装置、设备和计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109962891B (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545293A (zh) * | 2019-10-08 | 2019-12-06 | 贵州银智科技发展有限公司 | 一种精准式网络攻击检测预警平台 |
CN110768832A (zh) * | 2019-10-24 | 2020-02-07 | 中国计量大学 | 一种监测工业控制系统信息安全域的方法 |
CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
CN111555919A (zh) * | 2020-04-28 | 2020-08-18 | 山石网科通信技术股份有限公司 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
CN111935145A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
CN112073389A (zh) * | 2020-08-21 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 云主机安全态势感知系统、方法、设备及存储介质 |
CN112671807A (zh) * | 2021-03-15 | 2021-04-16 | 中国电子信息产业集团有限公司第六研究所 | 威胁处理方法、装置、电子设备及计算机可读存储介质 |
CN112688899A (zh) * | 2019-10-17 | 2021-04-20 | 中国移动通信集团重庆有限公司 | 云内安全威胁检测方法、装置、计算设备及存储介质 |
CN112839052A (zh) * | 2021-01-25 | 2021-05-25 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 |
WO2021160499A1 (en) * | 2020-02-13 | 2021-08-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Security automation system |
CN113411350A (zh) * | 2021-07-28 | 2021-09-17 | 广东省大湾区集成电路与系统应用研究院 | 防御ddos攻击的网络系统 |
CN113671909A (zh) * | 2021-06-30 | 2021-11-19 | 云南昆钢电子信息科技有限公司 | 一种钢铁工控设备安全监测系统和方法 |
CN113704050A (zh) * | 2021-07-19 | 2021-11-26 | 国网河南省电力公司信息通信公司 | 云安全防护能力的虚拟资源池安全检测与监控系统 |
CN114268504A (zh) * | 2021-12-24 | 2022-04-01 | 建信金融科技有限责任公司 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
CN114666249A (zh) * | 2020-12-03 | 2022-06-24 | 腾讯科技(深圳)有限公司 | 云平台上的流量采集方法、设备以及计算机可读存储介质 |
CN114816964A (zh) * | 2022-06-29 | 2022-07-29 | 深圳竹云科技股份有限公司 | 风险模型构建方法、风险检测方法、装置、计算机设备 |
CN115484176A (zh) * | 2022-09-02 | 2022-12-16 | 浪潮云信息技术股份公司 | 一种针对分布式云体系运行态势感知分层设计方法及系统 |
CN115883400A (zh) * | 2022-11-10 | 2023-03-31 | 中国联合网络通信集团有限公司 | 一种网络监测方法、装置及存储介质 |
CN116703304A (zh) * | 2023-08-09 | 2023-09-05 | 山东水发大正物联科技有限公司 | 一种基于物联网的货物资产监管方法及系统 |
CN116827813A (zh) * | 2023-08-15 | 2023-09-29 | 广东云下汇金科技有限公司 | 一种多数据中心安全通信方法及dci装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
EP2570954A1 (en) * | 2010-12-07 | 2013-03-20 | Chengdu Huawei Symantec Technologies Co., Ltd | Method, device and system for preventing distributed denial of service attack in cloud system |
US20140245443A1 (en) * | 2013-02-27 | 2014-08-28 | Sayan Chakraborty | Cyber Defense Systems And Methods |
CN105450668A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 云安全服务实现系统和云安全服务实现方法 |
CN105959111A (zh) * | 2016-07-01 | 2016-09-21 | 何钟柱 | 基于云计算和可信计算的信息安全大数据资源访问控制系统 |
CN106100999A (zh) * | 2016-08-28 | 2016-11-09 | 北京瑞和云图科技有限公司 | 一种虚拟化网络环境中镜像网络流量控制协议 |
CN106789964A (zh) * | 2016-12-02 | 2017-05-31 | 中国移动通信集团新疆有限公司 | 云资源池数据安全检测方法及系统 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
-
2017
- 2017-12-25 CN CN201711422162.4A patent/CN109962891B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
EP2570954A1 (en) * | 2010-12-07 | 2013-03-20 | Chengdu Huawei Symantec Technologies Co., Ltd | Method, device and system for preventing distributed denial of service attack in cloud system |
US20140245443A1 (en) * | 2013-02-27 | 2014-08-28 | Sayan Chakraborty | Cyber Defense Systems And Methods |
CN105450668A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 云安全服务实现系统和云安全服务实现方法 |
CN105959111A (zh) * | 2016-07-01 | 2016-09-21 | 何钟柱 | 基于云计算和可信计算的信息安全大数据资源访问控制系统 |
CN106100999A (zh) * | 2016-08-28 | 2016-11-09 | 北京瑞和云图科技有限公司 | 一种虚拟化网络环境中镜像网络流量控制协议 |
CN106789964A (zh) * | 2016-12-02 | 2017-05-31 | 中国移动通信集团新疆有限公司 | 云资源池数据安全检测方法及系统 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
Non-Patent Citations (1)
Title |
---|
陆宏波: "云环境下的虚拟网络智能监控分析关键技术研究与应用", 《电脑知识与技术》 * |
Cited By (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545293A (zh) * | 2019-10-08 | 2019-12-06 | 贵州银智科技发展有限公司 | 一种精准式网络攻击检测预警平台 |
CN112688899A (zh) * | 2019-10-17 | 2021-04-20 | 中国移动通信集团重庆有限公司 | 云内安全威胁检测方法、装置、计算设备及存储介质 |
CN110768832A (zh) * | 2019-10-24 | 2020-02-07 | 中国计量大学 | 一种监测工业控制系统信息安全域的方法 |
CN110768832B (zh) * | 2019-10-24 | 2022-07-26 | 中国计量大学 | 一种监测工业控制系统信息安全域的方法 |
CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
WO2021160499A1 (en) * | 2020-02-13 | 2021-08-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Security automation system |
CN111555919A (zh) * | 2020-04-28 | 2020-08-18 | 山石网科通信技术股份有限公司 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
CN111935145B (zh) * | 2020-08-10 | 2021-05-25 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
CN111935145A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
CN112073389A (zh) * | 2020-08-21 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 云主机安全态势感知系统、方法、设备及存储介质 |
CN112073389B (zh) * | 2020-08-21 | 2023-01-24 | 苏州浪潮智能科技有限公司 | 云主机安全态势感知系统、方法、设备及存储介质 |
CN114666249B (zh) * | 2020-12-03 | 2023-07-07 | 腾讯科技(深圳)有限公司 | 云平台上的流量采集方法、设备以及计算机可读存储介质 |
CN114666249A (zh) * | 2020-12-03 | 2022-06-24 | 腾讯科技(深圳)有限公司 | 云平台上的流量采集方法、设备以及计算机可读存储介质 |
CN112839052B (zh) * | 2021-01-25 | 2023-02-03 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 |
CN112839052A (zh) * | 2021-01-25 | 2021-05-25 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 |
CN112671807B (zh) * | 2021-03-15 | 2021-06-25 | 中国电子信息产业集团有限公司第六研究所 | 威胁处理方法、装置、电子设备及计算机可读存储介质 |
CN112671807A (zh) * | 2021-03-15 | 2021-04-16 | 中国电子信息产业集团有限公司第六研究所 | 威胁处理方法、装置、电子设备及计算机可读存储介质 |
CN113671909A (zh) * | 2021-06-30 | 2021-11-19 | 云南昆钢电子信息科技有限公司 | 一种钢铁工控设备安全监测系统和方法 |
CN113704050A (zh) * | 2021-07-19 | 2021-11-26 | 国网河南省电力公司信息通信公司 | 云安全防护能力的虚拟资源池安全检测与监控系统 |
CN113411350A (zh) * | 2021-07-28 | 2021-09-17 | 广东省大湾区集成电路与系统应用研究院 | 防御ddos攻击的网络系统 |
CN114268504B (zh) * | 2021-12-24 | 2023-06-02 | 建信金融科技有限责任公司 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
CN114268504A (zh) * | 2021-12-24 | 2022-04-01 | 建信金融科技有限责任公司 | 云中提供网络安全检测的方法、装置、设备、介质、产品 |
CN114816964A (zh) * | 2022-06-29 | 2022-07-29 | 深圳竹云科技股份有限公司 | 风险模型构建方法、风险检测方法、装置、计算机设备 |
CN115484176A (zh) * | 2022-09-02 | 2022-12-16 | 浪潮云信息技术股份公司 | 一种针对分布式云体系运行态势感知分层设计方法及系统 |
CN115883400A (zh) * | 2022-11-10 | 2023-03-31 | 中国联合网络通信集团有限公司 | 一种网络监测方法、装置及存储介质 |
CN116703304A (zh) * | 2023-08-09 | 2023-09-05 | 山东水发大正物联科技有限公司 | 一种基于物联网的货物资产监管方法及系统 |
CN116703304B (zh) * | 2023-08-09 | 2023-10-27 | 山东水发大正物联科技有限公司 | 一种基于物联网的货物资产监管方法及系统 |
CN116827813A (zh) * | 2023-08-15 | 2023-09-29 | 广东云下汇金科技有限公司 | 一种多数据中心安全通信方法及dci装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109962891B (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
Fachkha et al. | Darknet as a source of cyber intelligence: Survey, taxonomy, and characterization | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US9032521B2 (en) | Adaptive cyber-security analytics | |
CN108833397A (zh) | 一种基于网络安全的大数据安全分析平台系统 | |
CN112602301A (zh) | 用于高效网络保护的方法和系统 | |
Yin et al. | The design of VisFlowConnect-IP: a link analysis system for IP security situational awareness | |
KR20210109292A (ko) | 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템 | |
CN107426132A (zh) | 网络攻击的检测方法和装置 | |
US10897472B1 (en) | IT computer network threat analysis, detection and containment | |
Tiwari et al. | Refinements in Zeek intrusion detection system | |
Qin et al. | Symmetry degree measurement and its applications to anomaly detection | |
Beigh et al. | Performance evaluation of different intrusion detection system: An empirical approach | |
CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
Hazarika et al. | Survey on real time security mechanisms in network forensics | |
CN110784483B (zh) | 一种基于dga异常域名的事件检测系统及方法 | |
Cheng et al. | Implementing IDS management on lock-keeper | |
Farasat et al. | Detecting and analyzing border gateway protocol blackholing activity | |
KR100870871B1 (ko) | 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템 | |
Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
Felix et al. | Framework for Analyzing Intruder Behavior of IoT Cyber Attacks Based on Network Forensics by Deploying Honeypot Technology | |
Puska et al. | Unwanted traffic characterization on IP networks by low interactive honeypot |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |