CN110324353B - 一种网络追踪长链条攻击的方法、装置和系统 - Google Patents

一种网络追踪长链条攻击的方法、装置和系统 Download PDF

Info

Publication number
CN110324353B
CN110324353B CN201910626344.6A CN201910626344A CN110324353B CN 110324353 B CN110324353 B CN 110324353B CN 201910626344 A CN201910626344 A CN 201910626344A CN 110324353 B CN110324353 B CN 110324353B
Authority
CN
China
Prior art keywords
data
data segments
abnormal
network
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910626344.6A
Other languages
English (en)
Other versions
CN110324353A (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN201910626344.6A priority Critical patent/CN110324353B/zh
Publication of CN110324353A publication Critical patent/CN110324353A/zh
Application granted granted Critical
Publication of CN110324353B publication Critical patent/CN110324353B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络追踪长链条攻击的方法、装置和系统,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,从而实现在大量网络节点中追踪攻击片段的目的,并辅助不断训练分析模型,提高追踪的精确度。

Description

一种网络追踪长链条攻击的方法、装置和系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络追踪长链条攻击的方法、装置和系统。
背景技术
当前网络通信面临越来越隐蔽的安全问题,很多攻击来自于隐蔽的、碎片化的形式,现有的防范网络攻击的方法会失效。尤其现在的网络通常具有大量网络节点,攻击者将片段可以分散在各个不同的网络节点上,从而逃避被发现。急需一种能够基于大数据、追踪片段的网络监测攻击的方法。
发明内容
本发明的目的在于提供一种网络追踪长链条攻击的方法、装置和系统,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,解决现有技术中无法在大量网络节点中追踪片段的问题,并辅助不断训练分析模型,提高追踪的精确度。
第一方面,本申请提供一种网络追踪长链条攻击的方法,所述方法包括:
网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;
所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕;
所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。
结合第一方面,在第一方面第一种可能的实现方式中,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。
结合第一方面,在第一方面第二种可能的实现方式中,所述网络侧服务器固定周期向各个网络节点发送指令。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络节点在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。
第二方面,本申请提供一种网络追踪长链条攻击的装置,应用于网络节点上,执行全部或部分的方法,所述装置包括:
指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本,以及调用本地策略扫描所述数据片段副本,检查是否包含指定关键词;
数据发送单元,用于将所述数据片段副本在业务处理间隙封装上传给服务器,所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果。
第三方面,本申请提供一种网络追踪长链条攻击的服务器,位于网络侧,执行全部或部分的方法,所述服务器包括:
指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据合并单元,用于接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
传递单元,用于将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。
第四方面,本申请提供一种网络追踪长链条攻击的系统,所述系统包括应用有如第二方面所述装置的多个网络节点,以及如第三方面所述的服务器。
本发明提供一种网络追踪长链条攻击的方法、装置和系统,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,从而实现在大量网络节点中追踪攻击片段的目的,并辅助不断训练分析模型,提高追踪的精确度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网络追踪长链条攻击的方法的流程图;
图2为本发明网络追踪长链条攻击的装置的内部结构图;
图3为本发明网络追踪长链条攻击的服务器的内部结构图;
图4为本发明网络追踪长链条攻击的系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的网络追踪长链条攻击的方法的流程图,所述方法包括:
网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;
所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕;
所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。
在一些优选实施例中,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。
在一些优选实施例中,所述网络侧服务器固定周期向各个网络节点发送指令档。
在一些优选实施例中,所述网络节点在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。
图2为本申请提供的网络追踪长链条攻击的装置的内部结构图,所述装置包括:
指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本,以及调用本地策略扫描所述数据片段副本,检查是否包含指定关键词;
数据发送单元,用于将所述数据片段副本在业务处理间隙封装上传给服务器,所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果。
在一些优选实施例中,所述装置在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。
图3为本申请提供的网络追踪长链条攻击的服务器的内部结构图,所述服务器包括:
指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;
数据合并单元,用于接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
传递单元,用于将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;
模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。
在一些优选实施例中,所述网络侧服务器是集群服务器。
在一些优选实施例中,所述网络侧服务器固定周期向各个网络节点发送指令档。
图4为本申请提供的网络追踪长链条攻击的系统的架构图,所述系统包括应用有如图2所示装置的多个网络节点,以及如图3所示的服务器。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (7)

1.一种网络追踪长链条攻击的方法,其特征在于,包括:
网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到网络侧服务器;
所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段;
所述各个网络节点先调用本地策略扫描所述数据片段,检查是否包含指定关键词,再将所述数据片段在业务处理间隙封装上传给网络侧服务器;所述封装包括在数据片段中插入数据发起者标识、所述检查的结果;
所述网络侧服务器接收到封装后的数据片段后,将解析后的数据片段与网络侧服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
所述网络侧服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
所述网络侧服务器将所述前后关联关系、所述途径点、所述潜在攻击轨迹传递给显示处理装置;
所述网络侧服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕;
所述显示处理装置接收到所述前后关联关系、所述途径点、所述潜在攻击轨迹后,将所述途径点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。
2.根据权利要求1所述的方法,其特征在于,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。
3.根据权利要求1-2任一所述的方法,其特征在于,所述网络侧服务器固定周期向各个网络节点发送指令。
4.根据权利要求3所述的方法,其特征在于,所述网络节点在业务处理间隙上传数据片段包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向网络侧服务器上传数据片段。
5.一种网络追踪长链条攻击的装置,应用于网络节点上,执行如权利要求1-4任一项所述的方法,其特征在于,包括:
指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到网络侧服务器;
数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段,以及调用本地策略扫描所述数据片段,检查是否包含指定关键词;
数据发送单元,用于将所述数据片段在业务处理间隙封装上传给网络侧服务器,所述封装包括在数据片段中插入数据发起者标识、所述检查的结果。
6.一种网络追踪长链条攻击的网络侧服务器,位于网络侧,执行如权利要求1-4任一项所述的方法,其特征在于,包括:
指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到网络侧服务器;
数据合并单元,用于接收到封装后的数据片段后,将解析后的数据片段与网络侧服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;
分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;
传递单元,用于将所述前后关联关系、所述途径点、所述潜在攻击轨迹传递给显示处理装置;
模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。
7.一种网络追踪长链条攻击的系统,其特征在于,所述系统包括应用有如权利要求5所述装置的多个网络节点,以及如权利要求6所述的网络侧服务器。
CN201910626344.6A 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和系统 Active CN110324353B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910626344.6A CN110324353B (zh) 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910626344.6A CN110324353B (zh) 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和系统

Publications (2)

Publication Number Publication Date
CN110324353A CN110324353A (zh) 2019-10-11
CN110324353B true CN110324353B (zh) 2022-02-25

Family

ID=68121944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910626344.6A Active CN110324353B (zh) 2019-07-11 2019-07-11 一种网络追踪长链条攻击的方法、装置和系统

Country Status (1)

Country Link
CN (1) CN110324353B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104283889A (zh) * 2014-10-20 2015-01-14 国网重庆市电力公司电力科学研究院 基于网络架构的电力系统内部apt攻击检测及预警系统
CN105376245A (zh) * 2015-11-27 2016-03-02 杭州安恒信息技术有限公司 一种基于规则的apt攻击行为的检测方法
CN105763529A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种网络环境下攻击链获取方法及系统
CN107018143A (zh) * 2017-05-03 2017-08-04 成都国腾实业集团有限公司 基于大数据分析的apt监测防御平台的监测防御系统
CN108418843A (zh) * 2018-06-11 2018-08-17 中国人民解放军战略支援部队信息工程大学 基于攻击图的网络攻击目标识别方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10289841B2 (en) * 2015-04-16 2019-05-14 Nec Corporation Graph-based attack chain discovery in enterprise security systems
US10298607B2 (en) * 2015-04-16 2019-05-21 Nec Corporation Constructing graph models of event correlation in enterprise security systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104283889A (zh) * 2014-10-20 2015-01-14 国网重庆市电力公司电力科学研究院 基于网络架构的电力系统内部apt攻击检测及预警系统
CN105376245A (zh) * 2015-11-27 2016-03-02 杭州安恒信息技术有限公司 一种基于规则的apt攻击行为的检测方法
CN105763529A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种网络环境下攻击链获取方法及系统
CN107018143A (zh) * 2017-05-03 2017-08-04 成都国腾实业集团有限公司 基于大数据分析的apt监测防御平台的监测防御系统
CN108418843A (zh) * 2018-06-11 2018-08-17 中国人民解放军战略支援部队信息工程大学 基于攻击图的网络攻击目标识别方法及系统

Also Published As

Publication number Publication date
CN110324353A (zh) 2019-10-11

Similar Documents

Publication Publication Date Title
CN110505241B (zh) 一种网络攻击面检测方法及系统
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和系统
US20160380867A1 (en) Method and System for Detecting and Identifying Assets on a Computer Network
CN105743732B (zh) 一种记录局域网文件传输路径和分布情况的方法及系统
CN113114680B (zh) 用于文件上传漏洞的检测方法和检测装置
CN110381047B (zh) 一种网络攻击面追踪的方法、服务器和系统
CN110351273B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN110365673B (zh) 一种隔离网络攻击面的方法、服务器和系统
CN111831574B (zh) 回归测试规划方法、装置、计算机系统和介质
CN112953971A (zh) 一种网络安全流量入侵检测方法和系统
CN110351274B (zh) 一种网络攻击面追踪的方法、服务器和系统
CN110830496A (zh) 一种防止扫描权限文件的系统的使用方法及作业方法
CN113595932A (zh) 数据乱序报文的处理方法及专用集成电路
CN110324353B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN113098852A (zh) 一种日志处理方法及装置
CN111885088A (zh) 基于区块链的日志监测方法及装置
CN110378404B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN110365675B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN116545701A (zh) Http报文规则匹配方法、系统、设备及介质
CN107948022B (zh) 一种对等网络流量的识别方法及识别装置
CN114598622B (zh) 数据监控方法及装置、存储介质、计算机设备
CN110324354B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN113055291B (zh) 一种数据包发送方法、路由器、数据包传输系统
CN113806204B (zh) 一种报文字段相关性的评估方法、装置、系统及存储介质
CN114595761A (zh) 一种网络数据智能分发服务系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant