CN110535855A - 一种网络事件监测分析方法和系统、信息数据处理终端 - Google Patents
一种网络事件监测分析方法和系统、信息数据处理终端 Download PDFInfo
- Publication number
- CN110535855A CN110535855A CN201910804559.2A CN201910804559A CN110535855A CN 110535855 A CN110535855 A CN 110535855A CN 201910804559 A CN201910804559 A CN 201910804559A CN 110535855 A CN110535855 A CN 110535855A
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- monitoring
- event
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,公开了一种网络事件监测分析方法和系统、信息数据处理终端,数据采集层,用于实现镜像数据流量的采集和深度包检测;数据共享层,用于对数据采集层处理的镜像数据流量进行多维度的分析,同时对外输出接口提供数据源;业务展示层,用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图。本发明能有效发现网络内部的违规资产、行为、策略和威胁,网络外部的攻击和威胁并及时预警;提供多种响应方式,帮助企业做到事前发现安全威胁和风险,及时通知企业管理者或安全设备完成威胁的阻击和风险的蔓延,确保资产和信息安全,把安全事件控制在最小范围内。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种网络事件监测分析方法和系统、信息数据处理终端。
背景技术
目前,最接近的现有技术:随着信息化建设的深化和大数据、物联网、云计算和移动互联网等信息化技术的出现和发展,我国政企客户在IT网络安全领域面临比以往更为复杂的局面,新的信息安全问题不断浮出水面。这里面既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和信息泄漏。尽管很多政企行业客户已建设有完善的网络隔离和防护体系,也很难发现和预防来自组织内部的违规操作和信息泄露等问题。各个安全防护系统之间缺少协同分析和处置安全事件的工作机制,在护网行动中,相关的事件分析、事件流转、追踪、报告等工作,均需要事件分析组成员人工处理。随着护网工作的不断深入,安全事件数量的不断增多,人工处理的弊端也逐渐显现:事件无法及时响应、不能在第一时间处理、难以有效处理海量日志等。
针对政企行业客户的网络空间安全管理需求,亟需一种全方位全天候安全事件监测与分析系统,对全网各个系统的安全事件实现统一管理、分析、告警和处置,可监测企业网络环境中的各种事件,如潜伏的入侵者或恶意的内部人员、不依赖于少数训练有素的专家来发现攻击;能对安全事件进行分类,并能确定事件的严重性和优先级;能识别政企内部的信息资产、安全漏洞和风险;能跟根据级别告警和已定义的业务流程或工单进行处置等。
综上所述,现有技术存在的问题是:
(1)现有的网络隔离和防护体系很难发现和预防来自组织内部的违规操作和信息泄露。
(2)现有安全事件处理方式中,事件无法及时响应、不能在第一时间处理、难以有效处理海量日志。
发明内容
针对现有技术存在的问题,本发明提供了一种网络事件监测分析方法和系统、信息数据处理终端。
本发明是这样实现的,一种网络事件监测分析系统,所述网络事件监测分析系统包括:
数据采集层,用于实现镜像数据流量的采集和深度包检测;
数据共享层,用于对数据采集层处理的镜像数据流量进行多维度的分析,同时对外输出接口提供数据源;
业务展示层,用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图。
进一步,所述数据采集层还包括:
深度包检测模块,用于对镜像数据流量进行报文重组、还原、检测分析,支持识别和解析标准协议和非标准协议;支持对ISO的1-7层进行深度分析支持对ISO的1-7层进行深度分析;
接口模块,用于给数据共享层的数据处理模块上传数据;根据设定上报条件阈值,上报DPI生成的事件、文件和监测日志;同时与数据共享层的知识库链接,接受知识库下发的规则。
进一步,所述数据共享层还包括:
数据处理模块,用于接受来自深度包检测模块、第三方系统的数据,按照不同的数据类别清洗、解析、整合,根据数据处理规则对数据按事件维度进行归并,同时加入相关标识;
数据分析模块,用于集成各种AI算法、事件分析算法,对数据处理模块处理的数据进行多维度的分析。数据分析模块的算法包含关联分析引擎,所述引擎实时分析采集的安全日志和流量元数据,及时发现已知的攻击和威胁,形成安全事件;所述算法包含关联分析算法,从时间维度、IP维度多维度分析事件之间的关系;
摄像跟踪分析模块,用于实现对流量数据包的每一帧进行轨迹回放,捕获事件的瞬间状态,分析事件的影响程度,通过每一个数据包或访问行为路径,找到其存在的威胁或事件,完成事件的追踪取证;
核心知识库,包括资产库、安全事件库、威胁情报库、规则专家库和白名单,用于接收多种来源的知识数据,并按照标准准则进行处理、入库,同时根据指令生成各种规则并下发到所述数据采集层的接口模块,同时也为数据共享层对外输出接口提供数据源;
实时数据输入输出接口,用于实现数据共享层的系统总线与I/O设备之间实时数据的信号传输;
非实时数据输入输出接口,用于实现数据共享层的系统总线与I/O设备之间非实时数据的信号传输。
进一步,所述业务展示层还包括:
安全事件视图单元,用于实现全方位视图,以各种图示的方式展示各种事件的汇总信息,包括总数、按照重要程度或严重等级分化展示各个级别的数量;
网络视图单元,用于展示全网的网络拓扑图和状态;
终端视图单元,用于展示全网内终端的状态;
预警视图单元,用于根据严重程度和优先级展示告警信息;
处置事件视图单元,用于展示事件处理的状态记录,包括事件处理的时间、申请人、审批人、生效时间和处理效果;
工单视图单元,用于展示定制化的工单流转、安全运维与应急处置的效果。
本发明的另一目的在于提供一种执行所述网络事件监测分析系统的网络事件监测分析方法,所述网络事件监测分析方法包括以下步骤;
第一步,数据采集层DPI具备多线程还原捕获的能力,根据规则类别的数量自动调整并发线程数,并实现多线程下载传播类样本的捕获还原功能;采用基于对多线程多分片包文件还原技术,通过镜像捕获的会话数据包,根据IP五元组数据以及时间进行会话重组提取;将相同的会话进行合并、数据包编码排序组包等,同时结合样本捕获的策略,根据会话下载的文件类型格式、大小判定是否捕获样本,再根据编码顺序组包后判定MD5特征,还原符合特征规则的疑似样本、传播类样本的文件,生成监测日志。访问日志监测,针对采集到的全流量,一条流输出一条话单记录,话单记录包括协议、源IP、目的IP、端口、流量、访问URL等信息;协议识别,识别出全流量中的所有协议,按照规则中的协议过滤,对命中的协议,输出相关信息;文件还原,通过采集到的流量,对FTP、EMAIL和HTTP等协议中一些特定格式的文件内容进行还原,计算文件的MD5值,并生成一条文件还原记录,包含MD5值和匹配的原来的文件名称,协议等信息;可以配置是否进行文件后缀名检查和是否去重的功能;如果配置为不对文件后缀名检查,则对要还原的文件只会进行特征匹配,匹配才还原;如果配置为去重功能,则已经还原过的文件将不会再还原,只生成文件发现记录,包含MD5值和匹配的原来的文件名称,协议等信息;实时流量监测,通过统计每个收到的数据包的大小,然后判断该数据包的源目的ip是否属于规则中配置的内网IP段,如果命中统计此IP的流量,统计包括此ip的上行流量、下行流量、tcp上行流量、tcp下行流量;操作系统监测,通过接收目标主机的SYN包和SYN+ACK包,分析该数据包的ip选项和tcp选项部分然,与特征进行比较,最终识别出操作系统,同时能识别NAT设备,通过保存一个主机的最近一次的匹配信息,比如操作系统名字、ttl、tcp选项的时间戳、以及客户端的端口等信息,与接收到的数据包进行比较,并且累计积分,首先会被判定为host change,当积分达到设定的阈值,则评定为ipsharing,即为nat设备;摄像头抓包,根据接收到的规则,包括IP、IP+PORT等规则生成PCAP文件。
第二步,数据共享层的数据分析模块的算法包含关联分析引擎,引擎实时分析采集的安全日志和流量元数据,及时发现已知的攻击和威胁,形成安全事件;所述算法包含关联分析算法;从时间维度、IP维度等多维度分析事件之间的关系;资产数据分析,对各种资产的规模、数量、类型和状态等不同维度分析,威胁数据分析,从攻击数量、类型、攻击源和攻击目标等维度分析,结合知识库,给出威胁程度的等级。
第三步,数据共享层的摄像跟踪分析模块,针对每一个未知的威胁或事件的可疑来源生成监测规则,并传输给所述知识库,并通过知识库将监测规则下发到所述数据采集层的接口模块;DPI收到接口模块接受到的规则,记录监测到的符合规则全流量包,并通过接口模块上传数据处理模块;
第四步,业务展示层的工单视图,针对发现的安全事件、告警、预警和安全通知等创建工单,并自定义工单流转流程;通过工单的确认、审批和办结等完成安全管理工作的流转;既生成单次任务工单,也生成周期性任务工单,设定优先级和工单时限;在派发工单的时,以邮件方式通知运维人员。
进一步,所述网络事件监测分析方法的深度包检测采用零拷贝技术,将收到的数据拷贝到缓存,同时提供给数据解析模块多个不同引擎进程各一份数据,进行协议识别、分析、组包、组流,针对不同环节的特征规则进行匹配比对,记录符合规则的事件;
数据采集层的DPI具备多线程还原捕获的能力,根据规则类别的数量自动调整并发线程数,并实现多线程下载传播类样本的捕获还原功能;采用基于对多线程多分片包文件还原技术,通过镜像捕获的会话数据包;根据IP五元组数据以及时间进行会话重组提取,将相同的会话进行合并、数据包编码排序组包等,同时结合样本捕获的策略;根据会话下载的文件类型格式、大小判定是否捕获样本,再根据编码顺序组包后判定MD5特征,还原符合特征规则的疑似样本、传播类样本的文件,生成监测日志。
进一步,所述网络事件监测分析方法的摄像跟踪分析针对每一个未知的威胁或事件的可疑来源生成监测规则,并传输给所述知识库,并通过知识库将监测规则下发到所述数据采集层的接口模块,DPI收到接口模块接受到的规则,记录监测到的符合规则全流量包,并通过接口模块上传数据处理模块;
所述现网络事件监测分析方法的AI算法中包含深度分析算法,针对事件的行为,探索整个事件过程,构建事件行为链和影响程度;所述AI算法发现未知威胁的异常行,从海量日志和流量元数据中选择属性特征进行学习,构建实体的行为基线模型,通过实际值与预测值的偏差分析设定异常行为的严重程度等级,通过安全分析师进一步分析确认安全事件。
本发明的另一目的在于提供一种实现所述网络事件监测分析方法的计算机程序。
本发明的另一目的在于提供一种实现所述网络事件监测分析方法的信息数据处理终端。
本发明的另一目的在于提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行所述的网络事件监测分析方法。
综上所述,本发明的优点及积极效果为:本发明的安全事件监测与分析系统,通过自主创新的知识库、监测技术、大数据AI分析和结合各企业处理流程和安全要求,集中收集并存储客户IT环境的资产、运行状态、漏洞、安全配置、日志、流量等安全相关的数据,内置大数据存储和多种AI分析引擎,融合多种情境数据和外部安全情报,有效发现网络内部的违规资产、行为、策略和威胁,网络外部的攻击和威胁,及时预警,提供包括工单在内的多种响应方式,帮助企业解决“未知安全威胁”的探测、安全监测、威胁检测、安全事件分析、审计与追踪溯源、调查取证、应急处置告警和处置,从而做到事前发现安全威胁和风险,及时通知企业管理者或安全设备完成威胁(对信息资产造成破坏或对业务造成中断)的阻击和风险的蔓延,确保资产和信息安全,把安全事件控制在最小范围内。
附图说明
图1是本发明实施例提供的网络事件监测分析系统结构示意图;
图2是本发明实施例提供的数据采集层的结构示意图;
图3是本发明实施例提供的数据共享层的结构示意图;
图4是本发明实施例提供的业务展示层的结构示意图;
图中:1、数据采集层;1-1、深度包检测模块;1-2、接口模块;2、数据共享层;2-1、数据处理模块;2-2、数据分析模块;2-3、摄像跟踪分析模块;2-4、核心知识库;2-5、实时数据输入输出接口;2-6、非实时数据输入输出接口;3、业务展示层;3-1、安全事件视图单元;3-2、网络视图单元;3-3、终端视图单元;3-4、预警视图单元;3-5、处置事件视图单元;3-6、工单视图单元。
图5是本发明实施例提供的网络事件监测分析方法流程图。
图6是本发明实施例提供的网络事件监测分析系统的原理示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种网络事件监测分析方法和系统,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的网络事件监测分析系统包括:数据采集层1、数据共享层2、业务展示层3。
数据采集层1,用于实现镜像数据流量的采集和深度包检测。
数据共享层2,用于对数据采集层1处理的镜像数据流量进行多维度的分析,同时对外输出接口提供数据源。
业务展示层3,用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图。
如图2所示,数据采集层1还包括:深度包检测(DPI)模块1-1、接口模块1-2。
深度包检测模块1-1,用于对镜像数据流量进行报文重组、还原、检测分析,支持识别和解析标准协议和非标准协议;支持对ISO的1-7层进行深度分析支持对ISO的1-7层进行深度分析。深度包检测模块1-1采用零拷贝技术,将收到的数据拷贝到缓存,同时提供给数据解析模块多个不同引擎进程各一份数据,进行协议识别、分析、组包、组流,针对不同环节的特征规则进行匹配比对,记录符合规则的事件。数据采集层1的DPI具备多线程还原捕获的能力,根据规则类别的数量自动调整并发线程数,并实现多线程下载传播类样本的捕获还原功能;采用基于对多线程多分片包文件还原技术,通过镜像捕获的会话数据包,根据IP五元组数据以及时间进行会话重组提取,将相同的会话进行合并、数据包编码排序组包等,同时结合样本捕获的策略,根据会话下载的文件类型格式、大小等判定是否捕获样本,再根据编码顺序组包后判定MD5特征,还原符合特征规则的疑似样本、传播类样本的文件,生成监测日志。
接口模块1-2,用于给数据共享层2的数据处理模块2-1上传数据;根据设定上报条件阈值,上报DPI生成的事件、文件和监测日志;同时与数据共享层的知识库链接,接受知识库下发的规则。
如图3所示,数据共享层2还包括:
数据处理模块2-1,用于接受来自深度包检测(DPI)模块1-1、第三方系统的数据,按照不同的数据类别清洗、解析、整合,根据数据处理规则对数据按事件维度进行归并,同时加入相关标识。
数据分析模块2-2,用于集成各种AI算法、事件分析算法,对数据处理模块处理2-1的数据进行多维度的分析。数据分析模块2-2的算法包含关联分析引擎,所述引擎实时分析采集的安全日志和流量元数据,及时发现已知的攻击和威胁,形成安全事件;所述算法包含关联分析算法,从时间维度、IP维度等多维度分析事件之间的关系。
摄像跟踪分析模块2-3,用于实现对流量数据包的每一帧进行轨迹回放,捕获事件的瞬间状态,分析事件的影响程度,通过每一个数据包或访问行为路径,找到其存在的威胁或事件,完成事件的追踪取证。摄像跟踪分析模块2-3针对每一个未知的威胁或事件的可疑来源生成监测规则,并传输给所述知识库,并通过所述知识库将监测规则下发到所述数据采集层1的接口模块1-2,DPI收到接口模块1-2接受到的规则,记录监测到的符合规则全流量包,并通过接口模块1-2上传数据处理模块2-1。
核心知识库2-4,包括资产库、安全事件库、威胁情报库、规则专家库和白名单,用于接收多种来源的知识数据,并按照标准准则进行处理、入库,同时根据指令生成各种规则并下发到所述数据采集层1的接口模块1-2,同时也为数据共享层2对外输出接口提供数据源。
实时数据输入输出接口2-5,用于实现数据共享层2的系统总线与I/O设备之间实时数据的信号传输。
非实时数据输入输出接口2-6,用于实现数据共享层2的系统总线与I/O设备之间非实时数据的信号传输。
如图4所示,业务展示层3还包括:
安全事件视图单元3-1,用于实现全方位视图,以各种图示的方式展示各种事件的汇总信息,包括总数、按照重要程度或严重等级分化展示各个级别的数量。
网络视图单元3-2,用于展示全网的网络拓扑图和状态。
终端视图单元3-3,用于展示全网内终端的状态。
预警视图单元3-4,用于根据严重程度和优先级展示告警信息。
处置事件视图单元3-5(在线系统),用于展示事件处理的状态记录,包括事件处理的时间、申请人、审批人、生效时间和处理效果。
工单视图单元3-6(离线系统),用于展示定制化的工单流转、安全运维与应急处置的效果。工单视图3-6针对发现的安全事件、告警、预警和安全通知等创建工单,并自定义工单流转流程,通过工单的确认、审批和办结等完成安全管理工作的流转;既可以生成单次任务工单,也可以生成周期性任务工单,可设定优先级和工单时限;在派发工单的时,以邮件方式通知运维人员。
如图5所示,本发明实施例提供的网络事件监测分析方法包括以下步骤:
S501:数据采集层DPI具备多线程还原捕获的能力,根据规则类别的数量自动调整并发线程数,并实现多线程下载传播类样本的捕获还原功能;采用基于对多线程多分片包文件还原技术,通过镜像捕获的会话数据包,根据IP五元组数据以及时间进行会话重组提取,将相同的会话进行合并、数据包编码排序组包等,同时结合样本捕获的策略,根据会话下载的文件类型格式、大小等判定是否捕获样本,再根据编码顺序组包后判定MD5特征,还原符合特征规则的疑似样本、传播类样本的文件,生成监测日志;
S502:数据共享层的数据分析模块的算法包含关联分析引擎,引擎实时分析采集的安全日志和流量元数据,及时发现已知的攻击和威胁,形成安全事件;所述算法包含关联分析算法,从时间维度、IP维度等多维度分析事件之间的关系;
S503:数据共享层的摄像跟踪分析模块,针对每一个未知的威胁或事件的可疑来源生成监测规则,并传输给所述知识库,并通过知识库将监测规则下发到所述数据采集层的接口模块,DPI收到接口模块接受到的规则,记录监测到的符合规则全流量包,并通过接口模块上传数据处理模块;
S504:业务展示层的工单视图,针对发现的安全事件、告警、预警和安全通知等创建工单,并自定义工单流转流程,通过工单的确认、审批和办结等完成安全管理工作的流转;既可以生成单次任务工单,也可以生成周期性任务工单,可设定优先级和工单时限;在派发工单的时,以邮件方式通知运维人员。
在本发明的优选实施例中,步骤S501访问日志监测,针对采集到的全流量,一条流输出一条话单记录,话单记录包括协议、源IP、目的IP、端口、流量、访问URL等信息;协议识别,识别出全流量中的所有协议,按照规则中的协议过滤,对命中的协议,输出相关信息;文件还原,通过采集到的流量,对FTP、EMAIL和HTTP等协议中一些特定格式的文件内容进行还原,计算文件的MD5值,并生成一条文件还原记录,包含MD5值和匹配的原来的文件名称,协议等信息;可以配置是否进行文件后缀名检查和是否去重的功能;如果配置为不对文件后缀名检查,则对要还原的文件只会进行特征匹配,匹配才还原;如果配置为去重功能,则已经还原过的文件将不会再还原,只生成文件发现记录,包含MD5值和匹配的原来的文件名称,协议等信息;实时流量监测,通过统计每个收到的数据包的大小,然后判断该数据包的源目的ip是否属于规则中配置的内网IP段,如果命中统计此IP的流量,统计包括此ip的上行流量、下行流量、tcp上行流量、tcp下行流量;操作系统监测,通过接收目标主机的SYN包和SYN+ACK包,分析该数据包的ip选项和tcp选项部分然,与特征进行比较,最终识别出操作系统,同时能识别NAT设备,通过保存一个主机的最近一次的匹配信息,比如操作系统名字、ttl、tcp选项的时间戳、以及客户端的端口等信息,与接收到的数据包进行比较,并且累计积分,首先会被判定为host change,当积分达到设定的阈值,则评定为ip sharing,即为nat设备;摄像头抓包,根据接收到的规则,包括IP、IP+PORT等规则生成PCAP文件。
在本发明的优选实施例中,步骤S502资产数据分析,对各种资产的规模、数量、类型和状态等不同维度分析,威胁数据分析,从攻击数量、类型、攻击源和攻击目标等维度分析,结合知识库,给出威胁程度的等级。
本发明实施例提供的网络事件监测分析方法的AI算法中包含深度分析算法,针对事件的行为,探索整个事件过程,构建事件行为链和影响程度;所述AI算法发现未知威胁的异常行,从海量日志和流量元数据中选择属性特征进行学习,构建实体的行为基线模型,通过实际值与预测值的偏差分析设定异常行为的严重程度等级,通过安全分析师进一步分析确认安全事件。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络事件监测分析系统,其特征在于,所述网络事件监测分析系统包括:
数据采集层,用于实现镜像数据流量的采集和深度包检测;
数据共享层,用于对数据采集层处理的镜像数据流量进行多维度的分析,同时对外输出接口提供数据源;
业务展示层,用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图。
2.如权利要求1所述的网络事件监测分析系统,其特征在于,所述数据采集层还包括:
深度包检测模块,用于对镜像数据流量进行报文重组、还原、检测分析,支持识别和解析标准协议和非标准协议;支持对ISO的1-7层进行深度分析支持对ISO的1-7层进行深度分析;
接口模块,用于给数据共享层的数据处理模块上传数据;根据设定上报条件阈值,上报DPI生成的事件、文件和监测日志;同时与数据共享层的知识库链接,接受知识库下发的规则。
3.如权利要求1所述的网络事件监测分析系统,其特征在于,所述数据共享层还包括:
数据处理模块,用于接受来自深度包检测模块、第三方系统的数据,按照不同的数据类别清洗、解析、整合,根据数据处理规则对数据按事件维度进行归并,同时加入相关标识;
数据分析模块,用于集成各种AI算法、事件分析算法,对数据处理模块处理的数据进行多维度的分析;数据分析模块的算法包含关联分析引擎,所述引擎实时分析采集的安全日志和流量元数据,及时发现已知的攻击和威胁,形成安全事件;所述算法包含关联分析算法,从时间维度、IP维度等多维度分析事件之间的关系;
摄像跟踪分析模块,用于实现对流量数据包的每一帧进行轨迹回放,捕获事件的瞬间状态,分析事件的影响程度,通过每一个数据包或访问行为路径,找到其存在的威胁或事件,完成事件的追踪取证;
核心知识库,包括资产库、安全事件库、威胁情报库、规则专家库和白名单,用于接收多种来源的知识数据,并按照标准准则进行处理、入库,同时根据指令生成各种规则并下发到所述数据采集层的接口模块,同时也为数据共享层对外输出接口提供数据源;
实时数据输入输出接口,用于实现数据共享层的系统总线与I/O设备之间实时数据的信号传输;
非实时数据输入输出接口,用于实现数据共享层的系统总线与I/O设备之间非实时数据的信号传输。
4.如权利要求1所述的网络事件监测分析系统,其特征在于,所述业务展示层还包括:
安全事件视图单元,用于实现全方位视图,以各种图示的方式展示各种事件的汇总信息,包括总数、按照重要程度或严重等级分化展示各个级别的数量;
网络视图单元,用于展示全网的网络拓扑图和状态;
终端视图单元,用于展示全网内终端的状态;
预警视图单元,用于根据严重程度和优先级展示告警信息;
处置事件视图单元,用于展示事件处理的状态记录,包括事件处理的时间、申请人、审批人、生效时间和处理效果;
工单视图单元,用于展示定制化的工单流转、安全运维与应急处置的效果。
5.一种执行权利要求1所述网络事件监测分析系统的网络事件监测分析方法,其特征在于,所述网络事件监测分析方法包括以下步骤;
第一步,数据采集层DPI具备多线程还原捕获的能力,根据规则类别的数量自动调整并发线程数,并实现多线程下载传播类样本的捕获还原功能;采用基于对多线程多分片包文件还原技术,通过镜像捕获的会话数据包,根据IP五元组数据以及时间进行会话重组提取;将相同的会话进行合并、数据包编码排序组包等,同时结合样本捕获的策略,根据会话下载的文件类型格式、大小判定是否捕获样本,再根据编码顺序组包后判定MD5特征,还原符合特征规则的疑似样本、传播类样本的文件,生成监测日志;
访问日志监测,针对采集到的全流量,一条流输出一条话单记录,话单记录包括协议、源IP、目的IP、端口、流量、访问URL;协议识别,识别出全流量中的所有协议,按照规则中的协议过滤,对命中的协议,输出相关信息;文件还原,通过采集到的流量,对FTP、EMAIL和HTTP协议中特定格式的文件内容进行还原,计算文件的MD5值,并生成一条文件还原记录,包含MD5值和匹配的原来的文件名称,协议信息;配置是否进行文件后缀名检查和是否去重的功能;如果配置为不对文件后缀名检查,则对要还原的文件只会进行特征匹配,匹配才还原;如果配置为去重功能,则已经还原过的文件将不会再还原,只生成文件发现记录,包含MD5值和匹配的原来的文件名称,协议信息;实时流量监测,通过统计每个收到的数据包的大小,然后判断该数据包的源目的ip是否属于规则中配置的内网IP段,如果命中统计此IP的流量,统计包括此ip的上行流量、下行流量、tcp上行流量、tcp下行流量;操作系统监测,通过接收目标主机的SYN包和SYN+ACK包,分析该数据包的ip选项和tcp选项部分然,与特征进行比较,最终识别出操作系统,同时能识别NAT设备,通过保存一个主机的最近一次的匹配信息;与接收到的数据包进行比较,并且累计积分,首先会被判定为host change,当积分达到设定的阈值,则评定为ip sharing,即为nat设备;摄像头抓包,根据接收到的规则,包括IP、IP+PORT规则生成PCAP文件;
第二步,数据共享层的数据分析模块的算法包含关联分析引擎,引擎实时分析采集的安全日志和流量元数据,及时发现已知的攻击和威胁,形成安全事件;所述算法包含关联分析算法;从时间维度、IP维度多维度分析事件之间的关系;
资产数据分析,对各种资产的规模、数量、类型和状态不同维度分析,威胁数据分析,从攻击数量、类型、攻击源和攻击目标维度分析,结合知识库,给出威胁程度的等级;
第三步,数据共享层的摄像跟踪分析模块,针对每一个未知的威胁或事件的可疑来源生成监测规则,并传输给所述知识库,并通过知识库将监测规则下发到所述数据采集层的接口模块;DPI收到接口模块接受到的规则,记录监测到的符合规则全流量包,并通过接口模块上传数据处理模块;
第四步,业务展示层的工单视图,针对发现的安全事件、告警、预警和安全通知等创建工单,并自定义工单流转流程;通过工单的确认、审批和办结等完成安全管理工作的流转;既生成单次任务工单,也生成周期性任务工单,设定优先级和工单时限;在派发工单时,以邮件方式通知运维人员。
6.如权利要求5所述的网络事件监测分析方法,其特征在于,所述网络事件监测分析方法的深度包检测采用零拷贝技术,将收到的数据拷贝到缓存,同时提供给数据解析模块多个不同引擎进程各一份数据,进行协议识别、分析、组包、组流,针对不同环节的特征规则进行匹配比对,记录符合规则的事件;
数据采集层的DPI具备多线程还原捕获的能力,根据规则类别的数量自动调整并发线程数,并实现多线程下载传播类样本的捕获还原功能;采用基于对多线程多分片包文件还原技术,通过镜像捕获的会话数据包;根据IP五元组数据以及时间进行会话重组提取,将相同的会话进行合并、数据包编码排序组包等,同时结合样本捕获的策略;根据会话下载的文件类型格式、大小判定是否捕获样本,再根据编码顺序组包后判定MD5特征,还原符合特征规则的疑似样本、传播类样本的文件,生成监测日志。
7.如权利要求5所述的网络事件监测分析方法,其特征在于,所述网络事件监测分析方法的摄像跟踪分析针对每一个未知的威胁或事件的可疑来源生成监测规则,并传输给所述知识库,并通过知识库将监测规则下发到所述数据采集层的接口模块,DPI收到接口模块接受到的规则,记录监测到的符合规则全流量包,并通过接口模块上传数据处理模块;
所述现网络事件监测分析方法的AI算法中包含深度分析算法,针对事件的行为,探索整个事件过程,构建事件行为链和影响程度;所述AI算法发现未知威胁的异常行,从海量日志和流量元数据中选择属性特征进行学习,构建实体的行为基线模型,通过实际值与预测值的偏差分析设定异常行为的严重程度等级,通过安全分析师进一步分析确认安全事件。
8.一种实现权利要求5~7任意一项所述网络事件监测分析方法的计算机程序。
9.一种实现权利要求5~7任意一项所述网络事件监测分析方法的信息数据处理终端。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求5-7任意一项所述的网络事件监测分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910804559.2A CN110535855B (zh) | 2019-08-28 | 2019-08-28 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910804559.2A CN110535855B (zh) | 2019-08-28 | 2019-08-28 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535855A true CN110535855A (zh) | 2019-12-03 |
| CN110535855B CN110535855B (zh) | 2021-07-30 |
Family
ID=68664998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910804559.2A Active CN110535855B (zh) | 2019-08-28 | 2019-08-28 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535855B (zh) |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
| CN111181962A (zh) * | 2019-12-30 | 2020-05-19 | 成都科来软件有限公司 | 一种数据完整度合并系统 |
| CN111262728A (zh) * | 2020-01-08 | 2020-06-09 | 国网福建省电力有限公司 | 基于日志端口流量的流量负载监控系统 |
| CN111563264A (zh) * | 2020-04-21 | 2020-08-21 | 仲恺农业工程学院 | 基于大数据信息安全事件自动关联及快速响应系统及方法 |
| CN111818041A (zh) * | 2020-07-06 | 2020-10-23 | 桦蓥(上海)信息科技有限责任公司 | 一种基于网络层报文解析的实时报文处理系统及方法 |
| CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
| CN112165487A (zh) * | 2020-09-27 | 2021-01-01 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
| CN112182510A (zh) * | 2020-09-17 | 2021-01-05 | 支付宝(杭州)信息技术有限公司 | 产品覆盖程度的度量方法、装置及设备 |
| CN112257069A (zh) * | 2020-10-20 | 2021-01-22 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全事件审计方法 |
| CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测系统 |
| CN112583804A (zh) * | 2020-12-05 | 2021-03-30 | 星极实业(深圳)有限公司 | 一种可实时进行网络违法行为追踪取证的监测管理系统 |
| CN112804190A (zh) * | 2020-12-18 | 2021-05-14 | 国网湖南省电力有限公司 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
| CN113037775A (zh) * | 2021-03-31 | 2021-06-25 | 上海天旦网络科技发展有限公司 | 网络应用层全流量向量化记录生成方法和系统 |
| CN113034028A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种责任溯源的认定系统 |
| CN113055339A (zh) * | 2019-12-26 | 2021-06-29 | 中国移动通信集团海南有限公司 | 一种进程数据的处理方法、装置、存储介质和计算机设备 |
| CN113067835A (zh) * | 2021-04-14 | 2021-07-02 | 华能国际电力股份有限公司 | 一种集成自适应失陷指标处理系统 |
| CN113179267A (zh) * | 2021-04-27 | 2021-07-27 | 长扬科技(北京)有限公司 | 一种网络安全事件关联分析方法和系统 |
| CN113411378A (zh) * | 2021-05-26 | 2021-09-17 | 深圳万物安全科技有限公司 | 基于事件触发的资产管理方法、系统及计算机可读介质 |
| CN113625663A (zh) * | 2020-05-07 | 2021-11-09 | 宝武炭材料科技有限公司 | 一种综合态势管控系统 |
| CN113904894A (zh) * | 2021-09-29 | 2022-01-07 | 智新科技股份有限公司 | Can网络数据安全监控方法、装置、设备及可读存储介质 |
| CN114048856A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
| CN114143058A (zh) * | 2021-11-25 | 2022-03-04 | 山东科技大学 | 一种数据全流量漏洞采集方法 |
| CN114143078A (zh) * | 2021-11-29 | 2022-03-04 | 平安证券股份有限公司 | 互联网资产安全威胁的处理方法、装置、设备及存储介质 |
| CN114448819A (zh) * | 2021-12-24 | 2022-05-06 | 固安县艾拉信息科技有限公司 | 基于网络实时数据的密码分析和实现方法 |
| CN114826895A (zh) * | 2022-04-24 | 2022-07-29 | 金祺创(北京)技术有限公司 | 一种大型骨干内网nat流量大数据智能分析告警定位方法及监控系统 |
| CN115277602A (zh) * | 2022-06-22 | 2022-11-01 | 全知科技(杭州)有限责任公司 | 一种api网关流量镜像方法 |
| CN115348334A (zh) * | 2021-05-13 | 2022-11-15 | 中移(上海)信息通信科技有限公司 | 一种数据的解析方法、装置及相关设备 |
| CN116488912A (zh) * | 2023-04-27 | 2023-07-25 | 徐州医科大学 | 一种基于突变模型有限状态的网络流量监测方法及系统 |
| CN116938600A (zh) * | 2023-09-14 | 2023-10-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
| CN117640258A (zh) * | 2024-01-25 | 2024-03-01 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产测绘的防护方法、装置、设备和存储介质 |
| CN114143058B (zh) * | 2021-11-25 | 2024-06-04 | 山东科技大学 | 一种数据全流量漏洞采集方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790193A (zh) * | 2016-12-30 | 2017-05-31 | 山石网科通信技术有限公司 | 基于主机网络行为的异常检测方法和装置 |
| WO2017105383A1 (en) * | 2015-12-14 | 2017-06-22 | Siemens Aktiengesellschaft | System and method for passive assessment of industrial perimeter security |
| CN106888133A (zh) * | 2015-12-15 | 2017-06-23 | 中国电信股份有限公司 | 应用测速方法及装置 |
| CN107958322A (zh) * | 2017-10-09 | 2018-04-24 | 中国电子科技集团公司第二十八研究所 | 一种城市网络空间综合治理系统 |
| CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
| CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
| US20190260929A1 (en) * | 2016-11-08 | 2019-08-22 | Sony Corporation | Image transfer apparatus, image transfer method, program, and moving image generating system |
-
2019
- 2019-08-28 CN CN201910804559.2A patent/CN110535855B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017105383A1 (en) * | 2015-12-14 | 2017-06-22 | Siemens Aktiengesellschaft | System and method for passive assessment of industrial perimeter security |
| CN106888133A (zh) * | 2015-12-15 | 2017-06-23 | 中国电信股份有限公司 | 应用测速方法及装置 |
| US20190260929A1 (en) * | 2016-11-08 | 2019-08-22 | Sony Corporation | Image transfer apparatus, image transfer method, program, and moving image generating system |
| CN106790193A (zh) * | 2016-12-30 | 2017-05-31 | 山石网科通信技术有限公司 | 基于主机网络行为的异常检测方法和装置 |
| CN107958322A (zh) * | 2017-10-09 | 2018-04-24 | 中国电子科技集团公司第二十八研究所 | 一种城市网络空间综合治理系统 |
| CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
| CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
Non-Patent Citations (1)
| Title |
|---|
| 张宇 等: ""告警管理数据采集层详细设计"", 《中国传媒科技》 * |
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113055339A (zh) * | 2019-12-26 | 2021-06-29 | 中国移动通信集团海南有限公司 | 一种进程数据的处理方法、装置、存储介质和计算机设备 |
| CN113055339B (zh) * | 2019-12-26 | 2023-04-28 | 中国移动通信集团海南有限公司 | 一种进程数据的处理方法、装置、存储介质和计算机设备 |
| CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
| CN111181962A (zh) * | 2019-12-30 | 2020-05-19 | 成都科来软件有限公司 | 一种数据完整度合并系统 |
| CN111181962B (zh) * | 2019-12-30 | 2022-04-12 | 科来网络技术股份有限公司 | 一种数据完整度合并系统 |
| CN111262728A (zh) * | 2020-01-08 | 2020-06-09 | 国网福建省电力有限公司 | 基于日志端口流量的流量负载监控系统 |
| CN111563264A (zh) * | 2020-04-21 | 2020-08-21 | 仲恺农业工程学院 | 基于大数据信息安全事件自动关联及快速响应系统及方法 |
| CN113625663A (zh) * | 2020-05-07 | 2021-11-09 | 宝武炭材料科技有限公司 | 一种综合态势管控系统 |
| CN113625663B (zh) * | 2020-05-07 | 2024-05-17 | 宝武碳业科技股份有限公司 | 一种综合态势管控系统 |
| CN111818041A (zh) * | 2020-07-06 | 2020-10-23 | 桦蓥(上海)信息科技有限责任公司 | 一种基于网络层报文解析的实时报文处理系统及方法 |
| CN111818041B (zh) * | 2020-07-06 | 2022-06-03 | 桦蓥(上海)信息科技有限责任公司 | 一种基于网络层报文解析的实时报文处理系统及方法 |
| CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
| CN112182510A (zh) * | 2020-09-17 | 2021-01-05 | 支付宝(杭州)信息技术有限公司 | 产品覆盖程度的度量方法、装置及设备 |
| CN112165487A (zh) * | 2020-09-27 | 2021-01-01 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
| CN112257069A (zh) * | 2020-10-20 | 2021-01-22 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全事件审计方法 |
| CN112583804A (zh) * | 2020-12-05 | 2021-03-30 | 星极实业(深圳)有限公司 | 一种可实时进行网络违法行为追踪取证的监测管理系统 |
| CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测系统 |
| CN112804190A (zh) * | 2020-12-18 | 2021-05-14 | 国网湖南省电力有限公司 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
| CN112804190B (zh) * | 2020-12-18 | 2022-11-29 | 国网湖南省电力有限公司 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
| CN113037775A (zh) * | 2021-03-31 | 2021-06-25 | 上海天旦网络科技发展有限公司 | 网络应用层全流量向量化记录生成方法和系统 |
| CN113037775B (zh) * | 2021-03-31 | 2022-07-29 | 上海天旦网络科技发展有限公司 | 网络应用层全流量向量化记录生成方法和系统 |
| CN113034028A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种责任溯源的认定系统 |
| CN113067835B (zh) * | 2021-04-14 | 2022-07-15 | 华能国际电力股份有限公司 | 一种集成自适应失陷指标处理系统 |
| CN113067835A (zh) * | 2021-04-14 | 2021-07-02 | 华能国际电力股份有限公司 | 一种集成自适应失陷指标处理系统 |
| CN113179267A (zh) * | 2021-04-27 | 2021-07-27 | 长扬科技(北京)有限公司 | 一种网络安全事件关联分析方法和系统 |
| CN115348334A (zh) * | 2021-05-13 | 2022-11-15 | 中移(上海)信息通信科技有限公司 | 一种数据的解析方法、装置及相关设备 |
| CN115348334B (zh) * | 2021-05-13 | 2023-10-27 | 中移(上海)信息通信科技有限公司 | 一种数据的解析方法、装置及相关设备 |
| CN113411378A (zh) * | 2021-05-26 | 2021-09-17 | 深圳万物安全科技有限公司 | 基于事件触发的资产管理方法、系统及计算机可读介质 |
| CN113904894A (zh) * | 2021-09-29 | 2022-01-07 | 智新科技股份有限公司 | Can网络数据安全监控方法、装置、设备及可读存储介质 |
| CN114143058A (zh) * | 2021-11-25 | 2022-03-04 | 山东科技大学 | 一种数据全流量漏洞采集方法 |
| CN114143058B (zh) * | 2021-11-25 | 2024-06-04 | 山东科技大学 | 一种数据全流量漏洞采集方法 |
| CN114143078A (zh) * | 2021-11-29 | 2022-03-04 | 平安证券股份有限公司 | 互联网资产安全威胁的处理方法、装置、设备及存储介质 |
| CN114448819A (zh) * | 2021-12-24 | 2022-05-06 | 固安县艾拉信息科技有限公司 | 基于网络实时数据的密码分析和实现方法 |
| CN114448819B (zh) * | 2021-12-24 | 2024-03-22 | 固安县艾拉信息科技有限公司 | 基于网络实时数据的密码分析和实现方法 |
| CN114048856B (zh) * | 2022-01-11 | 2022-05-03 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
| CN114048856A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
| CN114826895A (zh) * | 2022-04-24 | 2022-07-29 | 金祺创(北京)技术有限公司 | 一种大型骨干内网nat流量大数据智能分析告警定位方法及监控系统 |
| CN115277602A (zh) * | 2022-06-22 | 2022-11-01 | 全知科技(杭州)有限责任公司 | 一种api网关流量镜像方法 |
| CN115277602B (zh) * | 2022-06-22 | 2023-07-28 | 全知科技(杭州)有限责任公司 | 一种api网关流量镜像方法 |
| CN116488912A (zh) * | 2023-04-27 | 2023-07-25 | 徐州医科大学 | 一种基于突变模型有限状态的网络流量监测方法及系统 |
| CN116938600B (zh) * | 2023-09-14 | 2023-11-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
| CN116938600A (zh) * | 2023-09-14 | 2023-10-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
| CN117640258A (zh) * | 2024-01-25 | 2024-03-01 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产测绘的防护方法、装置、设备和存储介质 |
| CN117640258B (zh) * | 2024-01-25 | 2024-04-26 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产测绘的防护方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535855B (zh) | 2021-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535855A (zh) | 一种网络事件监测分析方法和系统、信息数据处理终端 | |
| US11336669B2 (en) | Artificial intelligence cyber security analyst | |
| CN109861995A (zh) | 一种网络空间安全大数据智能分析方法、计算机可读介质 | |
| CN113098892B (zh) | 基于工业互联网的数据防泄漏系统以及方法 | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN109977689B (zh) | 一种数据库安全审计方法、装置及电子设备 | |
| US8082337B1 (en) | System for assessment of policy compliance of an arbitrary information topology | |
| CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
| CN108763957A (zh) | 一种数据库的安全审计系统、方法及服务器 | |
| CN107317718B (zh) | 一种运维服务管理方法及管理平台 | |
| US10885185B2 (en) | Graph model for alert interpretation in enterprise security system | |
| Tianfield | Cyber security situational awareness | |
| CN104247340A (zh) | 用于执行消息交换核算的方法和系统 | |
| Stolfo et al. | Behavior profiling of email | |
| CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
| US9961047B2 (en) | Network security management | |
| CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
| CN116226894B (zh) | 一种基于元仓的数据安全治理系统及方法 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
| CN116662989A (zh) | 一种安全数据解析方法及系统 | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| CN113792308A (zh) | 一种面向政务敏感数据安全行为风险分析方法 | |
| US20230092819A1 (en) | Systems and methods for determining cause of performance change using machine learning techniques | |
| Grobauer et al. | Carmentis: A co-operative approach towards situation awareness and early warning for the internet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |