CN110430159A - 一种平台服务器防火墙策略开放范围过大预警方法 - Google Patents

一种平台服务器防火墙策略开放范围过大预警方法 Download PDF

Info

Publication number
CN110430159A
CN110430159A CN201910535058.9A CN201910535058A CN110430159A CN 110430159 A CN110430159 A CN 110430159A CN 201910535058 A CN201910535058 A CN 201910535058A CN 110430159 A CN110430159 A CN 110430159A
Authority
CN
China
Prior art keywords
alarm
log
information
early warning
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910535058.9A
Other languages
English (en)
Other versions
CN110430159B (zh
Inventor
李巍
张文杰
王鸥
于亮亮
雷震江
杨超
王磊
周旭
程硕
郑善奇
杨明钰
金成明
张靖欣
张东芳
齐俊
李蒸
刘育博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201910535058.9A priority Critical patent/CN110430159B/zh
Publication of CN110430159A publication Critical patent/CN110430159A/zh
Application granted granted Critical
Publication of CN110430159B publication Critical patent/CN110430159B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本发明为一种平台服务器防火墙策略开放范围过大预警方法,该方法包括:获取SYSLOG日志服务器的包过滤日志信息,防火墙现行策略信息;对获取的过滤日志信息解析出每一条包过滤日志中的字段,进行大数据分析,形成固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化,确定最精简策略;通过最精简策略与原始策略的对比确定告警级别,生成包含告警编号、告警时间、告警等级、告警名称、告警所属单位、告警源IP、告警目的IP、告警服务端口、处置建议、包过滤日志分析报告的预警信息。本发明保证核心服务器区的网络访问得到最有效的控制与限制,达到提高服务器安全性,降低安全威胁的目的。

Description

一种平台服务器防火墙策略开放范围过大预警方法
技术领域
本发明涉及计算机预警领域,具体地来讲为一种平台服务器防火墙策略开放范围过大预警方法。
背景技术
对于电网整个系统领域而言,协同办公,整个系统访问量数量大,需要在服务器中控制开放程度,以便于用于快速分析防火墙策略的精简性,便于各使用用户能否确定最终的防火墙策略包括源地址、目的地址、服务均最小化,达到快速更新,并及时处置的效果,提升服务器安全能力。
发明内容
本发明所要解决的技术问题在于提供一种平台服务器防火墙策略开放范围过大预警方法,保证核心服务器区的网络访问得到最有效的控制与限制,达到提高服务器安全性,降低安全威胁的目的。
本发明是这样实现的,
一种平台服务器防火墙策略开放范围过大预警方法,该方法包括:
步骤1、获取SYSLOG日志服务器的包过滤日志信息,防火墙现行策略信息;
步骤2、对获取的过滤日志信息解析出每一条包过滤日志中的字段,进行大数据分析,形成固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化,确定最精简策略;
步骤3、通过最精简策略与原始策略的对比确定告警级别,生成包含告警编号、告警时间、告警等级、告警名称、告警所属单位、告警源IP、告警目的IP、告警服务端口、处置建议、包过滤日志分析报告的预警信息。
进一步地,步骤1中所述包过滤日志包括源IP、目的IP、服务端口信息、访问时间、以及过滤形式,SYSLOG日志服务器开放采集服务器的访问权限,采集服务器采集到相关日志后发送至大数据平台进行解析。
进一步地,所述步骤2中进行大数据分析包括:对包过滤日志进行匹配,只要有匹配成功的,则将配对成功的包过滤日志所对应的源IP、目的IP以及服务端口确定为正确的数据,加入最精简策略之中,以此类推对近N万条策略以及近M天内包过滤日志进行分析,进而获得最精简策略。
进一步地,所述步骤3中将最精简策略与现行策略进行比对得到三组数据:
以上三组数据形成两级预警形式包括一级预警和二级预警。
进一步地,
一级预警包括:
当(1)×(2)×(3)≥0.8时,表明现行策略极为接近最精简策略,无预警信息生成;
当0.4≤(1)×(2)×(3)<0.8时,表明现行策略略大于最精简策略,生成一般告警信息;
当(1)×(2)×(3)<0.4时,表明现行策略较大于最精简策略,生成严重告警信息。
进一步地,所述二级预警包括:
当(1),(2),(3)中任意一个都满足(x)≥0.9,x=1,2,3时,表明现行策略极为接近最精简策略,无预警信息生成;
当(1),(2),(3)中任意一个都满足0.6≤(x)<0.9,x=1,2,3时,表明现行策略略大于最精简策略,生成一般告警信息,同时生成现行策略与最精简策略的对比结果;
当(1),(2),(3)中任意一个都满足(x)<0.6,x=1,2,3时,表明现行策略与最精简策略偏差过大,生成严重告警信息,同时生成现行策略与最精简策略的对比结果。
进一步地,一级预警和二级预警顺序判别,先判别一级预警,再判别二级预警,生成相应等级的告警信息,同时生成包括源IP、目的IP和服务端口的条目以及占比的分析报告。
本发明与现有技术相比,有益效果在于:
本发明通过采集服务器区域防火墙的SYSLOG日志服务器的包过滤日志,对近N万条策略以及近M天内包过滤日志进行综合分析,包括固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化等分析结果,确定最精简策略,通过与原始策略的对比确定告警级别(若策略相差过大则为严重告警,策略相差不大为一般告警),下发至相关使用的用户,督促整改进而保证核心服务器区的网络访问得到最有效的控制与限制,达到提高服务器安全性,降低安全威胁的目的。
本发明用户终端访问服务器区,服务器区域防火墙的SYSLOG日志服务器会记录包过滤日志,包过滤日志包括源IP、目的IP、服务端口信息、访问时间、过滤形式等信息,SYSLOG日志服务器将开放采集服务器的访问权限,采集到相关日志后发送至大数据平台进行解析,大数据平台对采集到的数据(近N万条策略以及近M天内包过滤日志:N和M具体数值)进行处理,经过大数据分析处理形成固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化等分析结果,进而确定最精简策略,通过与原始策略的对比确定告警级别(若策略相差过大则为严重告警,策略相差不大为一般告警),无差别则无警告信息产生,督促相关使用用户的单位进行整改。
附图说明
图1为本发明平台服务器防火墙策略开放范围过大预警方法的流程图;
图2为本发明方法应用的硬件结构布置。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参见图1结合图2所示,一种平台服务器防火墙策略开放范围过大预警方法,该方法包括:
步骤1、获取SYSLOG日志服务器的包过滤日志信息,防火墙现行策略信息;
步骤2、对获取的过滤日志信息解析出每一条包过滤日志中的字段,进行大数据分析,形成固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化,确定最精简策略;
步骤3、通过最精简策略与原始策略的对比确定告警级别,生成包含告警编号、告警时间、告警等级、告警名称、告警所属单位、告警源IP、告警目的IP、告警服务端口、处置建议、包过滤日志分析报告的预警信息。
服务器区域防火墙的SYSLOG日志服务器的包过滤日志库,防火墙现行策略库、处置知识信息库。见表1所示,
表1
SYSLOG日志服务器的包过滤日志:
包过滤日志格式说明:
包过滤日志系统(简称日志服务器),是实现接收、分析、保存设备发出的有关用户历史行为信息的设备。日志服务器通过设备接口从设备获取用户行为,并分析展示。
包过滤日志即为用户访问行为信息,用户访问成功时,设备可以送出一条日志(即通过日志);访问失败时,设备也可以送出一条日志(即阻断日志)。用户可以通过设置适当的日志服务器分担方式决定设备发送给对应的日志服务器所需要的日志。
包过滤日志由日志头和日志体两部分构成。日志头一般由日志长度、日志类型标识、源IP地址、日志发送时间、动作等组成;日志体一般包括报文中的五元组信息、报文入接口、报文出接口等信息。日志格式分为流日志格式和Syslog日志格式两大类,不同的日志格式对应的具体字段组成存在差异,流日志格式和Syslog格式之间是互斥支持的,详细信息见各格式说明。
流日志格式说明:
流日志由两个可识别的部分组成,第一个部分称为LogHead,即日志头,日志头由日志长度和日志格式类型标志等组成,每一个日志发送报文包含唯一的日志头;第二个部分称为LogBody,即日志体,日志体根据日志格式以及日志报文类型的不同,组成字段存在差异,此外,流日志格式还支持日志体聚合功能,即一个日志发送报文可以在其日志头后接多个日志体,聚合强度根据各流日志格式对应日志体的长度不同存在差异。
LogHead定义:
IPv4流日志格式的LogHead部分由Type和Length组成,Type固定为8。各字段定义如下表2:
表2
LogBody定义:
IPv4日志是设备在IPv4网络环境中对用户的访问信息进行的记录,具体字段组成及各字段定义如下表3所示:
表3
日志发送报文结构如下表4所示:
表4
Syslog日志格式说明
Syslog日志由两个可识别的部分组成,第一个部分称为Header,第二个部分称为MSG。整个Syslog报文采用ASCII文本方式进行设备操作行为记录,包的总长度必须不能超过1024个字节。对Syslog消息的最小长度不做出限制。一个Syslog日志发送报文包含唯一的日志头和日志体,不支持聚合功能。以Syslog日志格式发送通过或阻断日志。
Header定义:
IPv4Syslog日志格式的Header部分包括有日志类型码(默认为142)、包过滤日志版本号(默认为1)、日志发送设备管理口的IPv4地址以及Syslog生成的时间戳等字段,为了提高解析时报文识别的可靠性,日志类型码带“<>”。具体字段组成及各字段定义如下表5所示:
表5
MSG定义:
一个IPv4包过滤Syslog格式的日志发送报文包含唯一的日志头和日志体,不支持聚合功能。支持TCP、UDP、ICMP等协议的报文以Syslog格式发送阻断或通过日志。
IPv4包过滤日志Syslog格式的MSG部分采用ASCII文本形式,各字段间用“|”分隔,具体字段组成及各字段定义如下表7所示:
表7
步骤1中,包过滤日志包括源IP、目的IP、服务端口信息、访问时间、以及过滤形式,SYSLOG日志服务器开放采集服务器的访问权限,采集服务器采集到相关日志后发送至大数据平台进行解析,解析出每一条包过滤日志中的Source IP、Source Port、Destination IP以及Destination Port四个字段。
步骤2中进行大数据分析包括:对包过滤日志进行匹配,只要有匹配成功的,则将配对成功的包过滤日志所对应的源IP、目的IP以及服务端口确定为正确的数据,加入最精简策略之中,以此类推对近N万条策略以及近M天内包过滤日志进行分析,进而获得最精简策略。
策略对比阶段:采集到SYSLOG日志服务器相关日志后发送至大数据平台进行解析,根据固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化的原则,进行最精简策略制定,将防火墙现行策略与之进行比较,根据差异大小生成“策略收缩预警信息”。
策略对比采用“存在即合理”的判别机制,即只要有包过滤日志匹配存在,就认为此包过滤日志所对应的源IP、目的IP以及服务端口为正确的,将他们加入最精简策略之中,以此类推对近N万条策略以及近M天内包过滤日志进行分析,进而获得最精简策略。
步骤3中,将最精简策略与现行策略进行比对得到三组数据:
以上三组数据作为根据进行预警,采取两级预警形式:
一级预警,有以下三种情况:
当(1)×(2)×(3)≥0.8时,表明现行策略极为接近最精简策略,无预警信息生成。
当0.4≤(1)×(2)×(3)<0.8时,表明现行策略略大于最精简策略,生成一般告警信息。
当(1)×(2)×(3)<0.4时,表明现行策略较大于最精简策略,生成严重告警信息。
二级预警,也有以下三种情况:
当(1),(2),(3)中任意一个都满足(x)≥0.9,x=1,2,3时,表明现行策略极为接近最精简策略,无预警信息生成。
当(1),(2),(3)中任意一个都满足0.6≤(x)<0.9,x=1,2,3时,表明现行策略略大于最精简策略,生成一般告警信息,同时生成现行策略与最精简策略的对比结果。
当(1),(2),(3)中任意一个都满足(x)<0.6,x=1,2,3时,表明现行策略与最精简策略偏差过大,生成严重告警信息,同时生成现行策略与最精简策略的对比结果。
在一级预警中阈值0.8和0.4的设置,可根据各用户根据自身业务量具体情况自行确定,当也应符合相应要求,比如0.8在极值情况下(1)=(2)=(3),此时各项比率超过92%,可以任务策略基本满足规范;同理0.4设置也是如此。
在二级预警中阈值0.9和0.6的设置,也可根据各用户根据自身业务量具体情况自行确定,当也应符合相应要求设置。
一级预警和二级预警顺序判别,即先判别一级预警,再判别二级预警,两者相比取其重,生成相应等级的告警信息,同时生成源IP、目的IP和服务端口的条目、占比等分析报告。
预警信息包含有告警编号、告警时间、告警等级、告警名称、告警所属单位、告警源IP、告警目的IP、告警服务端口、处置建议、包过滤日志分析报告等内容。对于告警处置建议
相关用户服务器防火墙管理人员利用预警信息中的包过滤日志分析报告,根据相关业务需求合理更新现行策略以实现源地址、目的地址、服务均最小化,进而提高了服务器的网络安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种平台服务器防火墙策略开放范围过大预警方法,其特征在于,该方法包括:
步骤1、获取SYSLOG日志服务器的包过滤日志信息,防火墙现行策略信息;
步骤2、对获取的过滤日志信息解析出每一条包过滤日志中的字段,进行大数据分析,形成固定源IP和目的IP的服务最小化、固定源IP和服务的目的IP最小化、固定目的IP和服务的源IP最小化,确定最精简策略;
步骤3、通过最精简策略与原始策略的对比确定告警级别,生成包含告警编号、告警时间、告警等级、告警名称、告警所属单位、告警源IP、告警目的IP、告警服务端口、处置建议、包过滤日志分析报告的预警信息。
2.按照权利要求1所述的方法,其特征在于,步骤1中所述包过滤日志包括源IP、目的IP、服务端口信息、访问时间、以及过滤形式,SYSLOG日志服务器开放采集服务器的访问权限,采集服务器采集到相关日志后发送至大数据平台进行解析。
3.按照权利要求1所述的方法,其特征在于,所述步骤2中进行大数据分析包括:对包过滤日志进行匹配,只要有匹配成功的,则将配对成功的包过滤日志所对应的源IP、目的IP以及服务端口确定为正确的数据,加入最精简策略之中,以此类推对近N万条策略以及近M天内包过滤日志进行分析,进而获得最精简策略。
4.按照权利要求1所述的方法,其特征在于,所述步骤3中将最精简策略与现行策略进行比对得到三组数据:
以上三组数据形成两级预警形式包括一级预警和二级预警。
5.按照权利要求4所述的方法,其特征在于,
一级预警包括:
当(1)×(2)×(3)≥0.8时,表明现行策略极为接近最精简策略,无预警信息生成;
当0.4≤(1)×(2)×(3)<0.8时,表明现行策略略大于最精简策略,生成一般告警信息;
当(1)×(2)×(3)<0.4时,表明现行策略较大于最精简策略,生成严重告警信息。
6.按照权利要求4所述的方法,其特征在于,所述二级预警包括:
当(1),(2),(3)中任意一个都满足(x)≥0.9,x=1,2,3时,表明现行策略极为接近最精简策略,无预警信息生成;
当(1),(2),(3)中任意一个都满足0.6≤(x)<0.9,x=1,2,3时,表明现行策略略大于最精简策略,生成一般告警信息,同时生成现行策略与最精简策略的对比结果;
当(1),(2),(3)中任意一个都满足(x)<0.6,x=1,2,3时,表明现行策略与最精简策略偏差过大,生成严重告警信息,同时生成现行策略与最精简策略的对比结果。
7.按照权利要求4所述的方法,其特征在于,一级预警和二级预警顺序判别,先判别一级预警,再判别二级预警,生成相应等级的告警信息,同时生成包括源IP、目的IP和服务端口的条目以及占比的分析报告。
CN201910535058.9A 2019-06-20 2019-06-20 一种平台服务器防火墙策略开放范围过大预警方法 Active CN110430159B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910535058.9A CN110430159B (zh) 2019-06-20 2019-06-20 一种平台服务器防火墙策略开放范围过大预警方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910535058.9A CN110430159B (zh) 2019-06-20 2019-06-20 一种平台服务器防火墙策略开放范围过大预警方法

Publications (2)

Publication Number Publication Date
CN110430159A true CN110430159A (zh) 2019-11-08
CN110430159B CN110430159B (zh) 2022-01-11

Family

ID=68408770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910535058.9A Active CN110430159B (zh) 2019-06-20 2019-06-20 一种平台服务器防火墙策略开放范围过大预警方法

Country Status (1)

Country Link
CN (1) CN110430159B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110881051A (zh) * 2019-12-24 2020-03-13 深信服科技股份有限公司 安全风险事件处理方法、装置、设备及存储介质
CN111049801A (zh) * 2019-11-15 2020-04-21 广东电网有限责任公司 一种防火墙策略检测方法
CN111478889A (zh) * 2020-03-27 2020-07-31 新浪网技术(中国)有限公司 一种告警方法及装置
CN111585957A (zh) * 2020-04-01 2020-08-25 新华三信息安全技术有限公司 报文处理方法、装置、网络设备及存储介质
CN116208373A (zh) * 2022-12-30 2023-06-02 北京天融信网络安全技术有限公司 报文过滤配置的方法、装置、电子设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873441A (zh) * 2012-12-12 2014-06-18 中国电信股份有限公司 防火墙安全规则优化方法及装置
CN105187435A (zh) * 2015-09-24 2015-12-23 浪潮电子信息产业股份有限公司 一种防火墙规则过滤优化方法
CN108462717A (zh) * 2018-03-21 2018-08-28 北京理工大学 基于规则匹配命中率和分布方差的防火墙规则集优化方法
WO2019066295A1 (ko) * 2017-09-28 2019-04-04 큐비트시큐리티 주식회사 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873441A (zh) * 2012-12-12 2014-06-18 中国电信股份有限公司 防火墙安全规则优化方法及装置
CN105187435A (zh) * 2015-09-24 2015-12-23 浪潮电子信息产业股份有限公司 一种防火墙规则过滤优化方法
WO2019066295A1 (ko) * 2017-09-28 2019-04-04 큐비트시큐리티 주식회사 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법
CN108462717A (zh) * 2018-03-21 2018-08-28 北京理工大学 基于规则匹配命中率和分布方差的防火墙规则集优化方法
CN109639743A (zh) * 2018-12-13 2019-04-16 成都亚信网络安全产业技术研究院有限公司 一种防火墙策略检测方法及设备

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049801A (zh) * 2019-11-15 2020-04-21 广东电网有限责任公司 一种防火墙策略检测方法
CN111049801B (zh) * 2019-11-15 2022-02-11 广东电网有限责任公司 一种防火墙策略检测方法
CN110881051A (zh) * 2019-12-24 2020-03-13 深信服科技股份有限公司 安全风险事件处理方法、装置、设备及存储介质
CN110881051B (zh) * 2019-12-24 2022-04-29 深信服科技股份有限公司 安全风险事件处理方法、装置、设备及存储介质
CN111478889A (zh) * 2020-03-27 2020-07-31 新浪网技术(中国)有限公司 一种告警方法及装置
CN111585957A (zh) * 2020-04-01 2020-08-25 新华三信息安全技术有限公司 报文处理方法、装置、网络设备及存储介质
CN111585957B (zh) * 2020-04-01 2023-03-28 新华三信息安全技术有限公司 报文处理方法、装置、网络设备及存储介质
CN116208373A (zh) * 2022-12-30 2023-06-02 北京天融信网络安全技术有限公司 报文过滤配置的方法、装置、电子设备及介质

Also Published As

Publication number Publication date
CN110430159B (zh) 2022-01-11

Similar Documents

Publication Publication Date Title
CN110430159A (zh) 一种平台服务器防火墙策略开放范围过大预警方法
US11316848B2 (en) System and method for protecting specified data combinations
CN104937886B (zh) 日志分析装置、信息处理方法
US7644438B1 (en) Security event aggregation at software agent
CN104115463B (zh) 用于处理网络元数据的流式传输方法和系统
US8209759B2 (en) Security incident manager
Cuppens Managing alerts in a multi-intrusion detection environment
CN101582905B (zh) 基于分组的网络的攻击保护
Debar et al. Aggregation and correlation of intrusion-detection alerts
US7234166B2 (en) Event sequence detection
US20090238088A1 (en) Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system
US20030084318A1 (en) System and method of graphically correlating data for an intrusion protection system
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
US20150304333A1 (en) Network Zone Identification In A Network Security System
EP2023572A2 (en) Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor
CN109561051A (zh) 内容分发网络安全检测方法及系统
US20030084340A1 (en) System and method of graphically displaying data for an intrusion protection system
CN102945254B (zh) 在tb级海量审计数据中发现异常数据的方法
KR100832088B1 (ko) 시그니처 그래프를 이용한 하이브리드 기반 침입탐지시스템
CN112398835A (zh) 基于网络设备日志分析的网络安全预警技术系统
CN111865951A (zh) 一种基于数据包特征提取的网络数据流异常检测方法
CN105025006B (zh) 一种积极的信息安全运维平台
US10338544B2 (en) Communication configuration analysis in process control systems
CN112769739A (zh) 数据库操作违规处理方法、装置及设备
CN112231479B (zh) 一种安全审计方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant