CN110365698A - 风险评估方法与装置 - Google Patents
风险评估方法与装置 Download PDFInfo
- Publication number
- CN110365698A CN110365698A CN201910689128.6A CN201910689128A CN110365698A CN 110365698 A CN110365698 A CN 110365698A CN 201910689128 A CN201910689128 A CN 201910689128A CN 110365698 A CN110365698 A CN 110365698A
- Authority
- CN
- China
- Prior art keywords
- user
- risk
- risks
- assumptions
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供风险评估方法与装置,以实现对用户进行风险评估。上述方法包括:采集与用户相关的操作行为数据;对采集到的操作行为数据进行分析,确定用户当前是否发生安全事件;若确定用户当前发生安全事件,根据用户当前发生的安全事件所对应的起始分数和风险因子权重,计算用户的风险分数;根据风险分数对用户进行风险等级评估,得到风险评估结果。本发明实施例可在用户维度及时发现风险,后续可根据风险评估结果针对高危用户采取相应的措施。
Description
技术领域
本发明涉及网络技术领域,特别涉及风险评估方法与装置。
背景技术
随着网络技术的发展,企业/政府等内网的互联网化程度越来越高,通过互联网提供相关的服务也越来越多,随之而来的网络安全威胁也越来越多。
黑客可通过钓鱼、挂马等攻击方式,对办公电脑进行控制或数据洗劫,从而获取进入内网的入口信息(例如内网用户的账号、密码等),进而以获取到的内网用户的帐号、密码等进行恶意操作。因此,现在亟须对内网用户进行风险评估,以找到存在风险的用户。
发明内容
有鉴于此,本发明实施例提供风险评估方法与装置,以实现对用户进行风险评估。
为实现上述目的,本发明实施例提供如下技术方案:
一种风险评估方法,包括:
采集与用户相关的操作行为数据;
对采集到的操作行为数据进行分析,确定所述用户当前是否发生安全事件;
若确定所述用户当前发生安全事件,根据所述用户当前发生的安全事件所对应的起始分数和风险因子权重,计算所述用户的风险分数;
根据所述风险分数对所述用户进行风险等级评估,得到风险评估结果。
可选的,所述用户当前发生的安全事件为目标安全事件;所述根据所述用户当前发生的所对应的起始分数和风险因子权重,计算所述用户的风险分数包括:根据所述目标安全事件对应的起始分数和风险因子权重,计算所述目标安全事件对应的风险分数;将所述用户所有安全事件所对应的风险分数相累加,得到所述用户的风险分数。
可选的,所述根据所述目标安全事件对应的起始分数和风险因子权重,计算所述目标安全事件对应的风险分数包括:根据所述目标安全事件所属类型确定所述起始分数;确定与所述目标安全事件对应的至少一个风险因子子权重;将各风险因子子权重相加,得到所述风险因子权重;计算所述起始分数与所述风险因子权重的乘积,得到所述目标安全事件对应的风险分数。
可选的,所述对采集到的操作行为数据进行分析,确定所述用户当前是否发生安全事件包括:根据用户操作行为基线对采集到的操作行为数据进行分析,确定所述用户当前是否发生偏离操作行为基线的安全事件。
可选的,所述至少一个风险因子子权重包括:表征偏离操作行为基线的程度的第一风险因子子权重。
可选的,所述至少一个风险因子还包括:表征访问对象威胁程度的第二风险因子子权重,以及,表征用户账号重要程度的第三风险因子子权重中的至少一种。
可选的,还包括:采集所述用户的用户信息;其中,所述用户的用户信息包括访问对象及用户标识;所述用户标识包括账号、IP地址和MAC地址中的至少一种;所述访问对象包括用户所访问的IP地址和域名中的至少一种;获取威胁情报;所述威胁情报包括恶意IP地址和域名中的至少一种;其中,第二风险因子子权重是根据所获取的威胁情报和用户信息而确定的。
可选的,所述操作行为基线包括:登录时间基线、访问应用速率基线、访问应用个数基线和数据下载速率基线中的至少一种;安全事件所属的类型包括:偏离登录时间基线、偏离访问应用速率基线、偏离访问应用个数基线和偏离数据下载速率基线中的至少一种。
一种风险评估装置,包括:
数据采集模块,用于采集与用户相关的操作行为数据;
分析模块,用于对采集到的操作行为数据进行分析,确定所述用户当前是否发生安全事件;
风险评估模块,用于:
若确定所述用户当前发生安全事件,根据所述用户当前发生的安全事件所对应的起始分数和风险因子权重,计算所述用户的风险分数;
根据所述风险分数对所述用户进行风险等级评估,得到风险评估结果。
一种风险评估装置,至少包括处理器和存储器;所述处理器通过执行所述存储器中存放的程序以及调用其他设备,执行上述的方法。
可见,在本发明实施例中,对采集的用户相关的操作行为数据进行分析,确定其当前是否发生安全事件,若发生,则根据所发生安全事件的起始分数和风险因子权重计算用户的风险分数,再根据风险分数实现对用户进行风险评估,得到风险评估结果。本发明实施例可在用户维度及时发现风险,后续可根据风险评估结果针对高危用户采取相应的措施。
附图说明
图1为本发明实施例提供的风险评估装置示例性结构图;
图2为本发明实施例提供的风险评估装置的一种示例性应用场景;
图3为本发明实施例提供的风险评估装置的另一种示例性应用场景;
图4为本发明实施例提供的风险评估方法的一种示例性流程图;
图5为本发明实施例提供的风险评估方法的另一种示例性流程图;
图6为本发明实施例提供的数据处理过程示意图;
图7为本发明实施例提供的风险评估装置的一种示例性结构;
图8为本发明实施例提供的风险评估装置的一种示例性结构。
具体实施方式
为了引用和清楚起见,下文中使用的技术名词、简写或缩写总结如下:
MAC:Media Access ControlAddress,媒体访问控制地址;
URL:Uniform Resource Locator,统一资源定位符,指网络地址。
本发明实施例提供了风险评估方法与装置,以实现对用户进行风险评估。
请参见图1,上述风险评估装置包括:数据采集模块1、分析模块2和风险评估模块3。
在本发明其他实施例中,仍请参见图1,上述风险评估装置还可包括:用户信息采集模块4和威胁情报模块5。
后续将结合风险评估方法对上述各模块的作用进行进一步的介绍。
上述风险评估装置中的各模块可以软件或组件的形式部署于同一服务器(例如风险评估服务器)或普通电脑上,或者,上述风险评估装置所包含的各模块可分别为独立的服务器。
图2示出了上述风险评估装置的一种示例性应用场景:在内网(例如私有云、政府服务网)不与互联网互联的情况下,风险评估装置中的数据采集模块1(图2中的数据采集服务器)采集与用户相关的操作行为数据(例如东西向流量、日志等),数据分析模块2(图2中的数据分析服务器)则对采集到的操作行为数据进行分析,确定用户当前是否发生安全事件,若确定出用户当前发生安全事件,风险评估模块3(图2中的风险评估服务器)根据其他模块提供的数据进行风险评估,得到风险评估结果。
上述风险评估装置亦可用于内网通过应用系统与互联网互联的应用场景(请参见图3),在此场景下,数据采集模块1(图3中的数据采集服务器)可采集与用户相关的操作行为数据(例如内网的东西向流量、应用系统与互联网间的南北向流量、日志等),数据分析模块2(图3中的数据分析服务器)可对采集到的操作行为数据进行分析,确定用户当前是否发生安全事件,若确定出用户当前发生安全事件,风险评估模块3(图3中的风险评估服务器)根据其他模块提供的数据进行风险评估,得到风险评估结果。
下面将基于上述共性介绍,对本发明实施例做进一步详细说明。
图4示出了由上述风险评估装置所执行的风险评估方法的一种示例性流程,包括:
S1:采集与用户相关的(当前)操作行为数据。
其中,用户可以用内网账户、IP地址,乃至MAC地址表征。
操作行为数据可包括:网络流量以及日志(例如业务日志、安全设备日志)。
网络流量可细分为南北向流量和东西向流量。以图2所示应用场景为例,可在内网数据汇集点(例如交换机、分流器)的镜像口部署流量探针采集东西向流量。以图3所示应用场景为例,可在应用系统的互联网出口部署流量探针采集南北向流量。流量探针会将采集到的网络流量提供给数据采集模块1。
日志采集则可使用syslog协议或日志采集客户端采集后再提供给数据采集模块1。
日志采集的数据源可为应用或数据库。
网络流量和日志的具体用途将在后续的实施例中加以详细介绍。
需要说明的是,步骤S1采集的是大批用户的操作行为数据。
S2:对采集到的操作行为数据进行分析,确定用户当前是否发生安全事件。
安全事件内容可包括:发生时间、名称、类型、涉及IP地址或账号、事件详情等。
步骤S2可由前述的分析模块2执行,对每一用户的操作数据都会进行分析,以确定是否发生安全事件。
在一个示例中,可根据操作行为基线对采集到的操作行为数据进行分析,确定用户当前是否发生偏离操作行为基线的安全事件。
更具体的,可根据操作行为数据与操作行为基线的偏离程度确定是否产生安全事件,偏离程度可以偏离值表示,示例性的,可设计偏离值>偏离阈值时,确定发生安全事件,上述偏离阈值可以动态调整,例如可调整为100%、150%等。
具体的,操作行为基线类型可进一步包括:登录时间基线、访问应用速率基线、访问应用个数基线和数据下载速率基线、数据上传速率基线中的至少一种。
安全事件所属的类型与操作行为基线类型相对应,其可包括:偏离登录时间基线、偏离访问应用速率基线、偏离访问应用个数基线、偏离数据下载速率基线和偏离数据上传速率基线中的至少一种。
当然,在实际中可以不同的数字、字符等表征不同的安全事件类型。
以Lucy为例,假定其登陆时间偏离了登陆时间基线,计算出的偏离值为200%,若偏离阈值为150%,则可确定Lucy当前发生了安全事件,其类型为偏离登录时间基线。
S3:若确定上述用户当前发生安全事件,根据用户当前发生的安全事件所对应的起始分数和风险因子权重,计算用户的风险分数;
为称呼方便,可将用户当前发生的安全事件称为目标安全事件。
在一个示例中,可根据目标安全事件对应的起始分数和风险因子权重,计算目标安全事件对应的风险分数;然后,再将用户所有安全事件所对应的风险分数相累加,得到该用户的风险分数。
在一个示例中,所有的安全事件可包括在本次风险评估过程中发生的安全事件,举例来讲,本次风险评估过程中发生了N起安全事件,则可将这N起安全事件的风险分数累加,作为用户的风险分数。
在另一个示例中,所有安全事件可包括当前的安全事件和历史安全事件。以Lucy为例,假设其当前的目标安全事件对应的风险分数为x,其历史安全事件累加的风险分数为100,则可将Lucy的风险分数更新为100+x。
在一个示例中,安全事件的起始分数可与安全事件的类型有关,也即不同类型对应不同的起始分数。
表1示例性地示出了安全事件的类型与起始分数之间的对应关系,当然,本领域技术人员可根据实际情况对该对应关系进行灵活调整,在此不作赘述。
事件类型 | 起始分数 |
偏离登录时间基线 | 10 |
偏离访问应用速率基线 | 20 |
偏离访问应用个数基线 | 10 |
偏离数据下载速率基线 | 20 |
偏离数据上传速率基线 | 10 |
表1
至于风险因子权重,在本发明后续实施例中将进行详细介绍。
S4:根据上述风险分数对该用户进行风险等级评估,得到风险评估结果。
在一个示例中,不同的风险分数对应不同的风险等级,则进行风险等级评估具体可包括:查询与用户风险分数相对应的风险等级,得出该用户的风险等级(即风险评估结果),后续可根据风险评估结果进行相应的控制。
具体的,风险等级可包括低风险、中风险、高风险三种。当然,本领域技术人员可根据需要将风险等级划分得更细致或更简单,在此不作赘述。
步骤S3-S4可由前述的风险评估模块3执行。
风险评估装置可周期性自动执行上述风险评估方法,本领域技术人员可根据需要灵活设定周期的长度,例如一天、一周等。
可见,在本发明实施例中,对采集的用户相关的操作行为数据进行分析,确定其当前是否发生安全事件,若发生,则根据所发生安全事件的起始分数和风险因子权重计算用户的风险分数,再根据风险分数实现对用户进行风险评估,得到风险评估结果。本发明实施例可在用户维度及时发现风险,后续可根据风险评估结果针对高危用户采取相应的措施。
在本发明其他实施例中,风险因子权重是由至少一个风险因子子权重相加得到的,某一安全事件的风险分数,则是将相应的起始分数与风险因子权重相乘得到的。
以n表示某一类型的安全事件p的起始分数,假定共m个风险因子子权重,分别以r1至rm表示(m不小于1)。
则安全事件p的风险分数=n*(r1+r2+r3+……+rm)。
在一个示例中,m个风险因子子权重可包括:表征偏离操作行为基线的程度的第一风险因子子权重r1相对应。
在另一示例中,上述m个风险因子还可包括:表征访问对象的威胁程度的第二风险因子子权重r2,以及,表征用户账号重要程度的第三风险因子子权重r3中的至少一种。
其中,访问对象可包括用户访问的IP地址和域名中的至少一种,不同的访问对象可能会有不同的威胁程度,所对应的子权重也会不同。下表2即示出了访问对象与第二风险因子子权重r2间的示例性关系。
IP/域名 | 风险因子子权重 |
122.13.12.31 | 0.3 |
aaa.aaa.com | 0.5 |
12.32.113.12 | 0.8 |
表2
不同类型的账号其重要程度也不同,所对应的子权重也会有区别,下表3则示出了不同类型的账号与第三风险因子子权重r3间的示例性关系。
账号 | 风险因子子权重 |
admin | 0.8 |
Test | 0.2 |
Dfak | 0.6 |
表3
下面基于上述描述对风险评估方法进行更为详细的介绍,请参见图5,其示例性得包括如下步骤:
S51:使用历史操作行为数据建立或更新操作行为基线。
操作行为基线类型可进一步包括:登录时间基线、访问应用速率基线、访问应用个数基线和数据下载速率基线、数据上传速率基线中的至少一种。
在本实施例中,每一类型的操作行为基线均是分析模块2根据历史操作行为数据分析得到的,分析方法可示例性得可为协同过滤算法。例如,可根据过去一个月的用户历史操作行为数据通过协同过滤算法建立登录时间基线。
在一个示例中,可针对每一用户建立操作行为基线。
在另一个示例中,也可令操作行为相似的一批用户共用同一操作行为基线。
以使用协同过滤算法建立或更新登录时间基线为例,可先计算用户间的相似度,将相似度一致的用户划分在一个群组中,令同一群组中的用户共用同一登录时间基线。例如,上白班和上夜班的用户其可划分为不同的群组,其登陆时间基线也是不同的。
更具体的,使用协同过滤算法建立登录时间基线需要如下步骤:
A:收集5月份各用户每天的历史登录时间。
需要说明的是,协同过滤算法一般用于个性化推荐物品,本申请中将登录时间类比为用户喜欢的物品。
B:计算用户间的相似度,将相似度一致的用户划分在一个群组。
假定在某群组中,某一用户的登陆时间如下:
5.1:{8:00,8:30,9:30,16:00},
5.2:{8:00,8:30,9:30,16:00},
5.3:{8:00,8:30,9:30,15:00},……
另一用户的登陆时间如下:
5.1:{8:00,8:30,9:30,16:00},
5.2:{8:00,8:30,9:00,16:00},
5.3:{8:00,8:30,9:30,17:00},……
用户间不同的登陆时间已加粗表示。
C:将同一群组中用户的所有登陆时间的集合,作为向这一群组用户推荐的登录时间。
仍沿用前例,则推荐的登录时间(即时间基线)包括:
8:00,8:30,9:30,16:00,9:00,17:00。
其他基线的建立和更新与之类似,在此不作赘述。
与前述步骤S1中采集的操作行为数据相同,历史操作行为数据包括:网络流量以及日志(例如业务日志、安全设备日志)。
此外,介绍下操作行为数据的作用:
一,业务日志:
业务日志包括登入、登出日志,通过登入、登出日志可分析得到用户的登陆时间,可用于建立登陆时间基线。
二,网络流量:
网络流量包括:通过网络发出去的数据包。通过数据包可得到源地址、目的地址。其中,若目的地址是某一应用的IP地址,则可分析得到源地址所对应的用户访问了哪一应用,而若数据包中进一步携带了URL,则可分析出该应用提供的请求和服务,为判断用户的访问应用速率、数据下载速率、数据上传速率提供了依据。
此外,在分析出访问了哪些应用后,也可相应得出访问应用个数。
此外,用户在登陆时,会发登陆请求包,并会接到登陆成功的标识,因此,在未获取到登入、登出日志的情况下,还可通过网络流量估计登陆时间。
三,安全设备日志:
以防火墙的安全设备日志为例,防火墙的安全设备日志中可能记录了:防火墙拦截了某一IP地址的攻击,对于发起过攻击的IP地址,其对应的第二风险因子的子权重会提高。
S52:建立安全事件的类型与起始分数之间的对应关系。
上表1示例性地示出了安全事件的类型与起始分数之间的对应关系,当然,本领域技术人员可根据实际情况对对应关系进行灵活调整,在此不作赘述。
S52可由前述的分析模块2执行。
S53:建立或更新不同偏离值与第一风险因子子权重间的对应关系。
表4示例性地示出了偏离值与第一风险因子子权重之间的对应关系,当然,本领域技术人员可根据实际情况对对应关系进行灵活调整,在此不作赘述。
偏离值 | 风险因子子权重 |
0~99% | 0 |
100%~199% | 0.2 |
200%~299% | 0.3 |
300%以上 | 0.4 |
表4
S53可由前述的风险评估模块3执行。
下面介绍偏离值的计算:
1,对于偏离登录时间基线的偏离值的计算:
①先确定用户新登录时间(当前登陆时间)是否为异常点。确定方式示例性得如下:
A:分别计算新登录时间与登录时间基线中每一登录时间的差值;
以登录时间基线包括{8:00,8:30,9:30,16:00,17:00}:新登陆时间为10:00为例,则新登录时间与登录时间基线中的各登录时间的差值分别为:
(120分钟、90分钟、30分钟、360分钟、420分钟);
B:确定差值中的最小差值是否小于预设的差值阈值,若是,则确定新登录时间不是异常点,若否,则确定新登录时间为异常点。
仍沿用前例,(120分钟、90分钟、30分钟、360分钟、420分钟)中最小差值为30分钟,假定差值阈值为60分钟,则因为30<60,则可确定新登录时间不是异常点,未偏离基线。
②将最小差值与差值阈值的比例关系作为偏离值。
假定最小差值为60分钟,差值阈值为60分钟,则偏离值为100%;而若最小差值为120,则偏离值为200%。
2,对于偏离访问应用速率基线的偏离值的计算:
①先确定用户新访问应用速率(当前访问应用速率)是否为异常点。确定方式示例性得如下:
A:计算新访问应用速率与访问应用速率基线的差值;
假定新访问应用速率为20kb/s,访问应用速率基线为10kb/s,则二者差值为10kb/s。
B:确定差值是否小于预设的第一速度差值阈值,若是,则确定新访问应用速率不是异常点,若否,则确定新访问应用速率为异常点。
仍沿用前例,假定新访问应用速率与访问应用速率基线的差值为10kb/s,第一速度差值阈值为10kb/s,则可确定新访问应用速率是异常点,偏离了基线。
②将差值与第一速度差值阈值的比例关系作为偏离值。
假定新访问应用速率与访问应用速率基线的差值为10kb/s,第一速度差值阈值为10kb/s,则偏离值为100%。
3,对于偏离数据下载速率基线的偏离值的计算:
①先确定用户新数据下载速率(当前数据下载速率)是否为异常点。确定方式示例性得如下:
A:计算新数据下载速率与数据下载速率基线的差值;
假定新数据下载速率为20kb/s,数据下载速率基线为10kb/s,则二者差值为10kb/s。
B:确定差值是否小于预设的第二速度差值阈值,若是,则确定新数据下载速率不是异常点,若否,则确定新数据下载速率为异常点。
仍沿用前例,假定新数据下载速率与数据下载速率基线的差值为10kb/s,第二速度差值阈值为5kb/s,则可确定新数据下载速率是异常点,偏离了基线。
②将差值与第二速度差值阈值的比例关系作为偏离值。
假定新数据下载速率与数据下载速率基线的差值为10kb/s,第二速度差值阈值为5kb/s,则偏离值为200%。
对于偏离数据上传速率基线的偏离值的计算与之类似,在此不作赘述。
4,对于访问应用个数基线的偏离值的计算:
①先确定用户新访问应用个数(当前访问应用个数)是否为异常点。确定方式示例性得如下:
A:计算新访问应用个数与访问应用个数基线的差值;
假定新访问应用个数为20个,访问应用个数基线为10个,二者差值为10。
B:确定差值是否小于预设的个数差值阈值,若是,则确定新访问应用个数不是异常点,若否,则确定新访问应用个数为异常点。
仍沿用前例,假定新访问应用个数与访问应用个数基线的差值为10,个数差值阈值为5,则可确定新访问应用个数是异常点,偏离了基线。
②将差值与个数差值阈值的比例关系作为偏离值。
沿用前例,假定新访问应用个数与访问应用个数基线的差值为10s,个数差值阈值为5,则偏离值为200%。
S54:根据获取的威胁情报建立或更新访问对象与第二风险因子子权重间的对应关系。
其中,访问对象包含IP地址和域名中的至少一种,威胁情报包括恶意IP地址和域名中的至少一种。
上表2即示出了访问对象与第二风险因子子权重间的示例性关系,当然,本领域技术人员可根据实际情况对对应关系进行灵活调整,在此不作赘述。
需要说明的是,其他安全设备上报的安全事件,若包含拦截的IP地址,发动攻击的IP地址,则可将该IP地址加入上表2,自动或由专家决定为其分配第二风险因子子权重。
S54可由前述的风险评估模块3执行,而威胁情报可由前述的威胁情报模块5获取后提供给风险评估模块3。
具体的,威胁情报模块5可从互联网的商业威胁情报中心或安全设备(例如防火墙)获取威胁情报。
S55:建立不同类型的账号与第三风险因子子权重间的对应关系。
上表3即示出了不同类型的账号与第三子权重间的示例性关系,当然,本领域技术人员可根据实际情况对对应关系进行灵活调整,在此不作赘述。
S55可由前述的风险评估模块3执行。
S56:从不同的数据源处对与用户相关的操作行为数据进行采集;
操作行为数据的相关介绍请参见本文前述记载,在此不作赘述。
S57:将采集到的操作行为数据进行格式化处理;
由于数据源不同,数据格式不统一,需要进行格式化处理。
在一个示例中,格式化处理可包括范式化处理。
举例来讲,用户输出了一个syslog日志:
Apr 23 17:15:15lirong-920181testsyslog[27214]:syslog test messagegenerated in program
可按照timestamp hostname ident[pid]:log message的格式将日志切分提取为timestamp、hostname、ident、pid、message这几个字段。
S56-S57与前述S1相对应,可由前述的数据采集模块1执行。
S58:根据操作行为基线对采集到的当前操作行为数据进行分析,确定用户当前是否发生偏离操作行为基线的安全事件,若发生,进入S59,否则,结束对该用户的风险评估。
具体的,可根据当前操作行为数据分析得到用户当前的登陆时间、访问应用速率、访问应用个数、数据下载速率、数据上传速度等操作行为特征。
随后,计算各类型的操作行为特征与相应类型的操作行为基线间的偏离值,再根据偏离值是否超过权重阈值,来确定用户当前是否发生了该类型的安全事件。
举例来讲,可根据Lucy的当前操作行为数据分析得到当前登陆时间,并计算出当前的登陆时间与登陆时间基线偏离值,假定偏离值为200%,若偏离阈值为100%,则可确定Lucy当前发生了类型为偏离登录时间基线的安全事件。
步骤S58可由前述的分析模块2执行。
为方便起见,后续将用户当前发生的安全事件称为目标安全事件。
S59:根据目标安全事件所属类型确定起始分数;
步骤S59可由前述的风险评估模块3执行。
具体的,请参见图6,分析模块2可将目标安全事件提供给风险评估模块3,由风险评估模块3根据安全事件类型与起始分数间的对应关系,来确定起始分数。
假定Lucy发生了目标安全事件,其类型为偏离登录时间基线,以表1所示对应关系为例,其对应的起始分数为10。
S510:采集用户的用户信息;
步骤S510可由前述的用户信息采集模块4执行。
在一个示例中,用户信息可包括访问对象及用户标识。
其中,用户标识包括账号、IP地址和MAC地址中的至少一种;而访问对象包括用户所访问的IP地址和域名中的至少一种。
S511:确定各风险因子子权重,将各风险因子子权重相加,得到风险因子权重;
步骤S511可由前述的风险评估模块3执行。
风险评估模块3可通过查找各对应关系确定各风险因子对应的子权重。
仍沿用前例,假设Lucy访问的IP地址是12.32.113.12,通过查找表2,确定其对应的子权重是0.8;Lucy使用账户是Test类型,通过查找表3,确定其对应的子权重是0.2;同时,Lucy当前的登陆时间与登陆时间基线偏离值为200%,通过查找表4,确定其对应的子权重是0.3。
将0.8、0.2与0.3相加,得到风险因子权重为1.3。
S512:计算起始分数与风险因子权重的乘积,得到目标安全事件对应的风险分数。
步骤S512可由前述的风险评估模块3执行。
仍沿用前例,Lucy发生了类型为偏离登录时间基线的目标安全事件(以A1表示),起始分数是10,风险因子权重为1.3,则该目标安全事件对应的风险分数是10*1.3=13。
再假定Lucy还发生了类型为偏离数据下载速率基线的目标安全事件(以A2表示),起始分数是20,该目标安全事件所涉及的访问对象为IP地址12.32.113.12,通过查找表2,确定其对应的子权重是0.8;Lucy使用账户是Test类型,通过查找表3,确定其对应的子权重是0.2;再假定Lucy偏离基线程度是100%,通过查找表4,确定其对应的子权重是0.2。
则该目标安全事件A2的风险得分是20*(0.8+0.2+0.2)=24。
S513:将用户所有安全事件所对应的风险分数相累加,得到该用户的风险分数。
假定Lucy仅发生了上述目标安全事件A1和A2,则Lucy的风险分数为13+24=37。
在本发明其他实施例中,也可为其他安全设备上报的安全事件分配一个风险分数,直接累加。
步骤S513可由前述的风险评估模块3执行。
S514:根据上述风险分数对该用户进行风险等级评估,得到风险评估结果。
步骤S514可由前述的风险评估模块3执行,S514与前述的步骤S4相类似,在此不作赘述。
在本发明实施例中,专家可定期分析对比安全事件,根据应用系统运行情况判断安全事件的危害,增加新的风险因子子权重、修改子权重或更新起始分数,使得风险分数计算更准确。
需要说明的是,传统防御体系中,会通过主机探针或流量探针采集大量数据后,会分析上报攻击安全事件,并根据攻击安全事件的描述采取对应的防御措施,如限制源IP访问,安装漏洞补丁等。
然而,对于黑客长时间持续潜伏在系统中,持续渗透到网络内部的行为,传统防御体系难以侦测。
本发明实施例所提供的技术方案,基于用户的操作行为基线生成安全事件,一旦黑客有所行动,其操作行为偏离了操作行为基线,即使黑客不进行攻击,也可从用户维度发现风险,在企业网络受到攻击之前针对高危用户提前进行预防。并且,本发明实施例综合了多种类型的操作行为基线,从多种角度判定是否发生安全事件,进而对用户进行风险等级评估,其准确性相对更高,能发现企业网络受到的威胁,减少受攻击后的损失。
图7示出了上述风险评估装置的一种示例性结构,包括:
数据采集模块1,用于采集与用户相关的操作行为数据;
分析模块2,用于对采集到的操作行为数据进行分析,确定用户当前是否发生安全事件;
风险评估模块3,用于:
若确定所述用户当前发生安全事件,根据所述用户当前发生的安全事件所对应的起始分数和风险因子权重,计算所述用户的风险分数;
根据所述风险分数对所述用户进行风险等级评估,得到风险评估结果。
相关内容请参见本文前述记载,在此不作赘述。
可选的,在本发明其他实施例中,上述用户当前发生的安全事件为目标安全事件;
在根据上述用户当前发生的所对应的起始分数和风险因子权重,计算上述用户的风险分数的方面,上述所有实施例中的风险评估模块3可具体用于:
根据目标安全事件对应的起始分数和风险因子权重,计算目标安全事件对应的风险分数;
将上述用户所有安全事件所对应的风险分数相累加,得到用户的风险分数。
相关内容请参见本文前述记载,在此不作赘述。
可选的,在本发明其他实施例中,在根据上述目标安全事件对应的起始分数和风险因子权重,计算上述目标安全事件对应的风险分数的方面,上述所有实施例中的风险评估模块3可具体用于:
根据目标安全事件所属类型确定起始分数;
确定与目标安全事件对应的至少一个风险因子子权重;
将各风险因子子权重相加,得到上述风险因子权重;
计算上述起始分数与上述风险因子权重的乘积,得到上述目标安全事件对应的风险分数。
相关内容请参见本文前述记载,在此不作赘述。
可选的,在对采集到的操作行为数据进行分析,确定上述用户当前是否发生安全事件的方面,上述所有实施例中的分析模块2可具体用于:
根据用户操作行为基线对采集到的操作行为数据进行分析,确定上述用户当前是否发生偏离操作行为基线的安全事件。
相关内容请参见本文前述记载,在此不作赘述。
可选的,在本发明其他实施例中,上述至少一个风险因子子权重包括:表征偏离操作行为基线的程度的第一风险因子子权重。
可选的,在本发明其他实施例中,上述至少一个风险因子还包括:表征访问对象威胁程度的第二风险因子子权重,以及,表征用户账号重要程度的第三风险因子子权重中的至少一种。
相关内容请参见本文前述记载,在此不作赘述。
可选的,在本发明其他实施例中,仍请参见图7,风险评估装置还包括用户信息采集模块4和威胁情报模块5。
用户信息采集模块2可用于:采集上述用户的用户信息;
其中,用户信息包括访问对象及用户标识;
进一步的,用户标识可包括账号、IP地址和MAC地址中的至少一种;
访问对象可包括用户所访问的IP地址和域名中的至少一种;
威胁情报模块5可用于:获取威胁情报;
其中,威胁情报包括恶意IP地址和域名中的至少一种;前述的第二风险因子子权重是根据所获取的威胁情报和用户信息而确定的。
相关内容请参见本文前述记载,在此不作赘述。
可选的,在本发明其他实施例中,上述操作行为基线包括:登录时间基线、访问应用速率基线、访问应用个数基线和数据下载速率基线中的至少一种;安全事件所属的类型包括:偏离登录时间基线、偏离访问应用速率基线、偏离访问应用个数基线和偏离数据下载速率基线中的至少一种。
相关内容请参见本文前述记载,在此不作赘述。
图8示出了上述实施例中风险评估装置的一种可能的硬件结构示意图,包括:总线、处理器1、存储器2、通信接口3、输入设备4和输出设备5。处理器1、存储器2、通信接口3、输入设备4和输出设备5通过总线相互连接。其中:
总线可包括一通路,在计算机系统各个部件之间传送信息。
处理器1可以是通用处理器,例如通用中央处理器(CPU)、网络处理器(NetworkProcessor,简称NP)、微处理器等,也可以是特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。还可以是数字信号处理器(DSP)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器2中保存有执行本发明技术方案的程序或脚本,还可以保存有操作系统和其他关键业务。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。脚本则通常以文本(如ASCII)保存,只在被调用时进行解释或编译。
输入设备4可包括接收用户输入的数据和信息的装置,例如键盘、鼠标、摄像头、语音输入装置、触摸屏等。
输出设备5可包括允许输出信息给用户的装置,例如显示屏、扬声器等。
通信接口3可包括使用任何收发器一类的装置,以便与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(WLAN)等。
处理器1通过执行存储器2中所存放的程序以及调用其他设备,可实现上述实施例提供的风险评估方法。
此外,图7所示的风险评估装置各单元的功能,可由前述的处理器1执行存储器2中所存放的程序以及调用其他设备实现。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及模型步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或模型的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、WD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种风险评估方法,其特征在于,包括:
采集与用户相关的操作行为数据;
对采集到的操作行为数据进行分析,确定所述用户当前是否发生安全事件;
若确定所述用户当前发生安全事件,根据所述用户当前发生的安全事件所对应的起始分数和风险因子权重,计算所述用户的风险分数;
根据所述风险分数对所述用户进行风险等级评估,得到风险评估结果。
2.如权利要求1所述的方法,其特征在于,
所述用户当前发生的安全事件为目标安全事件;
所述根据所述用户当前发生的所对应的起始分数和风险因子权重,计算所述用户的风险分数包括:
根据所述目标安全事件对应的起始分数和风险因子权重,计算所述目标安全事件对应的风险分数;
将所述用户所有安全事件所对应的风险分数相累加,得到所述用户的风险分数。
3.如权利要求2所述的方法,其特征在于,所述根据所述目标安全事件对应的起始分数和风险因子权重,计算所述目标安全事件对应的风险分数包括:
根据所述目标安全事件所属类型确定所述起始分数;
确定与所述目标安全事件对应的至少一个风险因子子权重;
将各风险因子子权重相加,得到所述风险因子权重;
计算所述起始分数与所述风险因子权重的乘积,得到所述目标安全事件对应的风险分数。
4.如权利要求3所述的方法,其特征在于,所述对采集到的操作行为数据进行分析,确定所述用户当前是否发生安全事件包括:
根据用户操作行为基线对采集到的操作行为数据进行分析,确定所述用户当前是否发生偏离操作行为基线的安全事件。
5.如权利要求4所述的方法,其特征在于,所述至少一个风险因子子权重包括:表征偏离操作行为基线的程度的第一风险因子子权重。
6.如权利要求5所述的方法,其特征在于,所述至少一个风险因子还包括:表征访问对象威胁程度的第二风险因子子权重,以及,表征用户账号重要程度的第三风险因子子权重中的至少一种。
7.如权利要求6所述的方法,其特征在于,还包括:
采集所述用户的用户信息;其中,所述用户的用户信息包括访问对象及用户标识;所述用户标识包括账号、IP地址和MAC地址中的至少一种;所述访问对象包括用户所访问的IP地址和域名中的至少一种;
获取威胁情报;所述威胁情报包括恶意IP地址和域名中的至少一种;
其中,第二风险因子子权重是根据所获取的威胁情报和用户信息而确定的。
8.如权利要求4-7任一项所述的方法,其特征在于,
所述操作行为基线包括:登录时间基线、访问应用速率基线、访问应用个数基线和数据下载速率基线中的至少一种;
安全事件所属的类型包括:偏离登录时间基线、偏离访问应用速率基线、偏离访问应用个数基线和偏离数据下载速率基线中的至少一种。
9.一种风险评估装置,其特征在于,包括:
数据采集模块,用于采集与用户相关的操作行为数据;
分析模块,用于对采集到的操作行为数据进行分析,确定所述用户当前是否发生安全事件;
风险评估模块,用于:
若确定所述用户当前发生安全事件,根据所述用户当前发生的安全事件所对应的起始分数和风险因子权重,计算所述用户的风险分数;
根据所述风险分数对所述用户进行风险等级评估,得到风险评估结果。
10.一种风险评估装置,其特征在于,至少包括处理器和存储器;所述处理器通过执行所述存储器中存放的程序以及调用其他设备,执行如权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910689128.6A CN110365698A (zh) | 2019-07-29 | 2019-07-29 | 风险评估方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910689128.6A CN110365698A (zh) | 2019-07-29 | 2019-07-29 | 风险评估方法与装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110365698A true CN110365698A (zh) | 2019-10-22 |
Family
ID=68222046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910689128.6A Pending CN110365698A (zh) | 2019-07-29 | 2019-07-29 | 风险评估方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110365698A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111404903A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111400168A (zh) * | 2020-02-21 | 2020-07-10 | 中国平安财产保险股份有限公司 | 智能软件风控方法、电子装置及计算机可读存储介质 |
CN111612040A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 基于孤立森林算法的财务数据异常检测方法及相关装置 |
CN111898123A (zh) * | 2020-07-28 | 2020-11-06 | 山东英信计算机技术有限公司 | 一种恶意操作识别方法、装置、设备及可读存储介质 |
CN113779150A (zh) * | 2021-09-14 | 2021-12-10 | 杭州数梦工场科技有限公司 | 一种数据质量评估方法及装置 |
CN114826714A (zh) * | 2022-04-02 | 2022-07-29 | 北京国信网联科技有限公司 | 一种用于堡垒机的数据安全等级评价系统 |
CN115296933A (zh) * | 2022-10-08 | 2022-11-04 | 国家工业信息安全发展研究中心 | 一种工业生产数据风险等级评估方法及系统 |
CN117251851A (zh) * | 2023-11-03 | 2023-12-19 | 广东齐思达信息科技有限公司 | 一种上网行为管理审计方法 |
CN117332453A (zh) * | 2023-11-30 | 2024-01-02 | 山东街景智能制造科技股份有限公司 | 一种用于产品数据库的安全管理系统 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
CN108304308A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 用户行为监控方法、装置、计算机设备和存储介质 |
CN109241461A (zh) * | 2018-08-10 | 2019-01-18 | 新华三信息安全技术有限公司 | 一种用户画像构建方法及装置 |
US20190044963A1 (en) * | 2017-08-02 | 2019-02-07 | Code 42 Software, Inc. | User behavior analytics for insider threat detection |
CN109525611A (zh) * | 2019-01-11 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种内网用户的异常外发行为检测方法及装置 |
CN109670314A (zh) * | 2018-09-13 | 2019-04-23 | 平安普惠企业管理有限公司 | 服务器风险评估方法、装置、设备及计算机可读存储介质 |
CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
CN109831459A (zh) * | 2019-03-22 | 2019-05-31 | 百度在线网络技术(北京)有限公司 | 安全访问的方法、装置、存储介质和终端设备 |
CN110011997A (zh) * | 2019-03-28 | 2019-07-12 | 杭州数梦工场科技有限公司 | 入侵检测方法及装置和计算机可读存储介质 |
CN110059984A (zh) * | 2019-04-30 | 2019-07-26 | 深信服科技股份有限公司 | 安全风险识别方法、装置、设备及存储介质 |
-
2019
- 2019-07-29 CN CN201910689128.6A patent/CN110365698A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
US20190044963A1 (en) * | 2017-08-02 | 2019-02-07 | Code 42 Software, Inc. | User behavior analytics for insider threat detection |
CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
CN108304308A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 用户行为监控方法、装置、计算机设备和存储介质 |
CN109241461A (zh) * | 2018-08-10 | 2019-01-18 | 新华三信息安全技术有限公司 | 一种用户画像构建方法及装置 |
CN109670314A (zh) * | 2018-09-13 | 2019-04-23 | 平安普惠企业管理有限公司 | 服务器风险评估方法、装置、设备及计算机可读存储介质 |
CN109525611A (zh) * | 2019-01-11 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种内网用户的异常外发行为检测方法及装置 |
CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
CN109831459A (zh) * | 2019-03-22 | 2019-05-31 | 百度在线网络技术(北京)有限公司 | 安全访问的方法、装置、存储介质和终端设备 |
CN110011997A (zh) * | 2019-03-28 | 2019-07-12 | 杭州数梦工场科技有限公司 | 入侵检测方法及装置和计算机可读存储介质 |
CN110059984A (zh) * | 2019-04-30 | 2019-07-26 | 深信服科技股份有限公司 | 安全风险识别方法、装置、设备及存储介质 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111400168B (zh) * | 2020-02-21 | 2023-10-20 | 中国平安财产保险股份有限公司 | 智能软件风控方法、电子装置及计算机可读存储介质 |
CN111400168A (zh) * | 2020-02-21 | 2020-07-10 | 中国平安财产保险股份有限公司 | 智能软件风控方法、电子装置及计算机可读存储介质 |
CN111404903B (zh) * | 2020-03-09 | 2022-08-09 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111404903A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111612040A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 基于孤立森林算法的财务数据异常检测方法及相关装置 |
CN111612040B (zh) * | 2020-04-24 | 2024-04-30 | 平安直通咨询有限公司上海分公司 | 基于孤立森林算法的财务数据异常检测方法及相关装置 |
CN111898123A (zh) * | 2020-07-28 | 2020-11-06 | 山东英信计算机技术有限公司 | 一种恶意操作识别方法、装置、设备及可读存储介质 |
CN111898123B (zh) * | 2020-07-28 | 2022-06-10 | 山东英信计算机技术有限公司 | 一种恶意操作识别方法、装置、设备及可读存储介质 |
CN113779150A (zh) * | 2021-09-14 | 2021-12-10 | 杭州数梦工场科技有限公司 | 一种数据质量评估方法及装置 |
CN114826714A (zh) * | 2022-04-02 | 2022-07-29 | 北京国信网联科技有限公司 | 一种用于堡垒机的数据安全等级评价系统 |
CN114826714B (zh) * | 2022-04-02 | 2022-11-22 | 北京国信网联科技有限公司 | 一种用于堡垒机的数据安全等级评价系统 |
CN115296933A (zh) * | 2022-10-08 | 2022-11-04 | 国家工业信息安全发展研究中心 | 一种工业生产数据风险等级评估方法及系统 |
CN115296933B (zh) * | 2022-10-08 | 2022-12-23 | 国家工业信息安全发展研究中心 | 一种工业生产数据风险等级评估方法及系统 |
CN117251851A (zh) * | 2023-11-03 | 2023-12-19 | 广东齐思达信息科技有限公司 | 一种上网行为管理审计方法 |
CN117251851B (zh) * | 2023-11-03 | 2024-05-14 | 广东齐思达信息科技有限公司 | 一种上网行为管理审计方法 |
CN117332453A (zh) * | 2023-11-30 | 2024-01-02 | 山东街景智能制造科技股份有限公司 | 一种用于产品数据库的安全管理系统 |
CN117332453B (zh) * | 2023-11-30 | 2024-02-23 | 山东街景智能制造科技股份有限公司 | 一种用于产品数据库的安全管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110365698A (zh) | 风险评估方法与装置 | |
Wang et al. | Delving into internet DDoS attacks by botnets: characterization and analysis | |
US20210092161A1 (en) | Collaborative database and reputation management in adversarial information environments | |
US9462009B1 (en) | Detecting risky domains | |
US11916944B2 (en) | Network anomaly detection and profiling | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
Almohannadi et al. | Cyber threat intelligence from honeypot data using elasticsearch | |
US10291638B1 (en) | Cloud activity threat detection for sparse and limited user behavior data | |
US9674210B1 (en) | Determining risk of malware infection in enterprise hosts | |
CN105659245A (zh) | 上下文感知的网络取证 | |
CN105933268A (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
US8160855B2 (en) | System and method for simulating network attacks | |
BR112012018643B1 (pt) | Método para detecção de acessos não autorizados de recursos online seguros, sistema de segurança de rede para detectar acessos não autorizados de recursos online seguros e mídia de armazenamento legível por computador | |
CN112671553A (zh) | 基于主被动探测的工控网络拓扑图生成方法 | |
CN107483563A (zh) | 防爬虫的数据查询方法和装置以及客户端和服务器 | |
KR102061833B1 (ko) | 사이버 침해 사고 조사 장치 및 방법 | |
US9596321B2 (en) | Server grouping system | |
CN104935601B (zh) | 基于云的网站日志安全分析方法、装置及系统 | |
CN110620768A (zh) | 一种用于物联网智能终端的基线安全检测方法及装置 | |
CN112385196A (zh) | 用于报告计算机安全事故的系统和方法 | |
Al-Mohannadi et al. | Analysis of adversary activities using cloud-based web services to enhance cyber threat intelligence | |
CN111966967A (zh) | 一种基于区块链技术和cdn的版权存证方法及系统 | |
TW201902174A (zh) | 結合網域情資與網路流量之惡意網域偵測方法 | |
CN108234431A (zh) | 一种后台登陆行为检测方法和检测服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191022 |