CN110602046B - 数据监控处理方法、装置、计算机设备和存储介质 - Google Patents
数据监控处理方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110602046B CN110602046B CN201910745449.3A CN201910745449A CN110602046B CN 110602046 B CN110602046 B CN 110602046B CN 201910745449 A CN201910745449 A CN 201910745449A CN 110602046 B CN110602046 B CN 110602046B
- Authority
- CN
- China
- Prior art keywords
- data
- acquisition request
- resource acquisition
- mirror image
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及数据安全的一种数据监控处理方法,所述方法包括:通过观察端口检测应用服务器对资源获取请求进行处理过程中的镜像端口的外发数据流量,根据请求标识获取资源获取请求的镜像数据;通过数据监控模型对镜像数据进行风险分析,生成分析结果;若分析结果中存在风险标签,对资源获取请求进行访问链还原并生成访问链数据;根据镜像数据和访问链数据对资源获取请求进行异常行为分析,得到异常行为信息;若异常行为信息中存在请求异常行为,对资源获取请求进行拦截;若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址并进行冻结。采用本方法能够准确有效地监控用户请求的异常行为并进行处理,从而有效提高数据的安全性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及数据安全的一种数据监控处理方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的迅速发展,网络数据安全问题愈加被重视。数据信息安全对个人集体和组织等都有很重要的意义,数据信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。由于网络数据具有普遍性、共享性、增值性、可处理性的特性,数据信息安全保障工作的难度大大提高,受到了日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。数据信息安全已经成为各行业信息化建设中的重要问题。
传统的敏感数据防泄漏方法大多基于终端防护,采用DLP产品,主要防止内部员工外传敏感数据。对于防范外部黑客攻击获取用户敏感数据方面,通常是对包含敏感数据的接口进行高频统计分析,然后进一步校验是否为攻击行为。这种方式存在遗漏而监控不全的风险,且仅仅通过监控阈值校验是否存在风险容易被识破,导致数据安全监控的效率较低,用户敏感数据的安全性无法得到有效地保障。
发明内容
基于此,有必要针对上述技术问题,提供一种能够准确有效地监控用户请求的异常行为并进行处理,以有效提高数据安全性的数据监控处理方法、装置、计算机设备和存储介质。
一种数据监控处理方法,所述方法包括:
通过观察端口检测应用服务器的镜像端口的外发数据流量,所述外发数据流量为所述应用服务器对用户终端发送的资源获取请求进行处理所产生,所述资源获取请求携带请求标识;
根据所述外发数据流量的请求标识获取所述资源获取请求的镜像数据;
获取预设的数据监控模型,通过所述数据监控模型对所述资源获取请求和所述镜像数据进行风险分析,生成分析结果;
若所述分析结果中存在风险标签,对所述资源获取请求进行访问链还原,生成所述资源获取请求的访问链数据;
根据所述镜像数据和所述访问链数据对所述资源获取请求进行异常行为分析,得到异常行为信息;
若所述异常行为信息中存在请求异常行为,对所述资源获取请求进行拦截;
若所述异常行为信息中存在攻击异常行为,根据所述访问链数据获取目标攻击源地址,并对所述目标攻击源地址进行冻结。
在其中一个实施例中,所述通过观察端口检测应用服务器的镜像端口的外发数据流量之前,还包括:获取应用服务器的镜像端口的镜像端口参数,以及监控服务器的观察端口的观察端口参数;根据所述镜像端口参数和观察端口参数对所述镜像端口和所述观察端口进行端口绑定配置,生成相应的端口信息;以使应用服务器获取用户终端发送的资源获取请求,从数据库中获取数据资源时,所述镜像端口对外发流量数据进行镜像处理,生成对应的镜像数据,并根据端口信息将镜像数据转发至对应的观察端口,监控服务器通过所述观察端口获取所述资源获取请求的镜像数据。
在其中一个实施例中,所述资源获取请求包括请求信息,所述对所述镜像数据进行风险分析的步骤包括:获取预设的数据监控模型,对所述请求信息和所述镜像数据进行特征提取,得到对应的请求特征向量;根据多个监控决策节点对所述请求特征向量进行决策分析,得到多个监控决策节点对应的风险指数;若所述风险指数超过预设风险阈值,则对所述资源获取请求添加风险标签,并生成分析结果。
在其中一个实施例中,所述对所述资源获取请求进行访问链还原,生成所述资源获取请求的访问链数据,包括:根据所述请求标识获取前端日志信息;根据所述镜像数据获取数据库日志信息;将所述前端日志信息与所述数据库日志信息进行关联,并获取所述资源获取请求的访问路径信息;根据所述访问路径信息对所述资源获取请求进行链路还原,生成访问链数据。
在其中一个实施例中,所述前端日志信息和所述数据库日志信息分别包括对应的访问标识,所述镜像数据包括资源标识和数据获取量,所述资源获取请求包括用户标识,所述根据所述镜像数据和所述访问链数据对所述资源获取请求进行异常行为分析的步骤包括:根据所述用户标识和访问标识对所述资源获取请求进行权限访问校验;若所述访问标识与所述用户标识不匹配,确定所述资源获取请求存在越权行为,并生成对应的权限校验结果;根据所述资源标识和数据获取量对所述资源获取请求进行敏感信息校验;若所述资源标识为敏感数据类型和/或所述数据获取量超过阈值,确定所述资源获取请求存在攻击行为,并生成对应的数据校验结果;根据所述权限校验结果和所述数据校验结果生成异常行为信息。
在其中一个实施例中,所述根据所述访问链数据获取目标攻击源地址,包括:获取所述资源获取请求对应的防火墙日志信息;根据所述访问链数据获取所述资源获取请求对应的访问路径信息;根据所述防火墙日志信息和所述访问路径信息对访问源地址进行定位;根据所述访问源地址确定所述资源获取请求对应的目标攻击源地址。
在其中一个实施例中,所述方法还包括:对存在风险标签和存在异常行为的镜像数据进行漏洞分析,分析所述镜像数据对应的数据资源的风险类型和风险位置,并生成风险分析数据;将所述风险分析数据推送至监控终端,使得所述监控终端根据所述风险分析数据对相应的业务系统进行漏洞修复。
一种数据监控处理装置,所述装置包括:
数据监控模块,用于通过观察端口检测应用服务器的镜像端口的外发数据流量,所述外发数据流量为所述应用服务器对用户终端发送的资源获取请求进行处理所产生,所述资源获取请求携带请求标识;
数据获取模块,用于根据所述外发数据流量的请求标识获取所述资源获取请求的镜像数据;
风险分析模块,用于获取预设的数据监控模型,通过所述数据监控模型对所述资源获取请求和所述镜像数据进行风险分析,生成分析结果;
异常行为分析模块,用于若所述分析结果中存在风险标签,对所述资源获取请求进行访问链还原,生成所述资源获取请求的访问链数据;根据所述镜像数据和所述访问链数据对所述资源获取请求进行异常行为分析,得到异常行为信息;
异常行为处理模块,用于若所述异常行为信息中存在请求异常行为,对所述资源获取请求进行拦截;若所述异常行为信息中存在攻击异常行为,根据所述访问链数据获取目标攻击源地址,并对所述目标攻击源地址进行冻结。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本申请任意一个实施例中提供的数据监控处理方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本申请任意一个实施例中提供的数据监控处理方法的步骤。
上述数据监控处理方法、装置、计算机设备和存储介质,应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据后,通过数据监控模型对资源获取请求和镜像数据进行风险分析。若分析结果中存在风险标签,表示该资源获取请求存在用户异常访问风险或数据泄露风险,从而能够有效分析出存在数据泄露或被攻击风险的资源获取请求。监控服务器则对资源获取请求进行访问链还原并生成对应的访问链数据,由此根据镜像数据和访问链数据对资源获取请求进行异常行为分析,若异常行为信息中存在请求异常行为,表示该访问用户存在高频请求敏感信息的异常行为,对资源获取请求进行拦截;若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址,并对目标攻击源地址进行冻结。监控服务器分析出存在数据泄露会被攻击风险的资源获取请求后,进一步根据镜像数据和访问链数据对资源获取请求进行追踪和多重检测,从而对数据链路进行完整监控。通过准确识别获取敏感数据、恶意攻击行为以及窃取数据等异常行为,并及时对请求进行拦截阻断,由此能够有效地提高数据的安全监控效率,有效地保障了数据的安全性。
附图说明
图1为一个实施例中数据监控处理方法的应用场景图;
图2为一个实施例中数据监控处理方法的流程示意图;
图3为一个实施例中对镜像数据进行风险分析步骤的流程示意图;
图4为一个实施例中对资源获取请求进行异常行为分析步骤的流程示意图;
图5为一个实施例中数据监控处理装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的数据监控处理方法,可以应用于如图1所示的应用环境中。其中,用户终端102通过网络与代理服务器104进行通信,代理服务器104通过网络与应用服务器106进行通信,应用服务器106通过网络与监控服务器108进行通信,监控服务器108通过网络与监控终端110进行通信。用户可以通过对应的用户终端102通过代理服务器104向应用服务器106发送资源获取请求等业务请求,应用服务器106可以包括对应的数据库,数据库配置有相应的镜像端口。应用服务器106接收用户终端发送的资源获取请求,资源获取请求携带用户标识和请求标识;应用服务器106根据资源获取请求从数据库中获取对应的业务数据,业务数据包括用户数据和业务相关数据;镜像端口检测从数据库流出的外发数据流量,并通过观察端口将镜像数据转发至监控服务器108,监控服务器108进而根据镜像数据对资源获取请求进行安全监控,当存在异常时,向监控终端110发送预警提示信息。其中,用户终端102和监控终端110可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,代理服务器104、应用服务器106以及监控服务器108可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种数据监控处理方法,以该方法应用于图1中的监控服务器为例进行说明,包括以下步骤:
步骤202,通过观察端口检测应用服务器的镜像端口的外发数据流量,外发数据流量为应用服务器对用户终端发送的资源获取请求进行处理所产生,资源获取请求携带请求标识。
用户可以通过对应的用户终端通过代理服务器向应用服务器发送资源获取请求等业务请求,应用服务器接收用户终端发送的资源获取请求,应用服务器则通过相应的业务系统对资源获取请求进行处理,资源获取请求携带用户标识和请求标识,资源获取请求还包括具体地请求信息。其中,应用服务器中可以包括对应的数据库,数据库配置有相应的镜像端口,监控服务器中配置有与镜像端口相匹配的观察端口。
其中,镜像端口是指被监控的端口,镜像端口用于获取收发的一个或多个源端口的数据流量以及镜像报文,并将收发的镜像报文复制发送到与监控服务器相连的观察端口,以实现对网络的监控。观察端口是指连接监控服务器的与镜像端口相匹配的端口,用于将镜像端口复制过来的镜像报文发送给监控服务器。
步骤204,根据外发数据流量的请求标识获取资源获取请求的镜像数据。
应用服务器对资源获取请求进行处理的过程中,当需要从医院服务器的数据库中获取对应的资源数据时,应用服务器的镜像端口实时监控数据库的外发数据流量,并将外发数据流量对应的镜像数据复制到监控服务器的观察端口。
监控服务器通过观察端口实时检测镜像端口的外发数据流量,并获取资源获取请求对应的外发数据流量的镜像数据。
步骤206,获取预设的数据监控模型,通过数据监控模型对资源获取请求和镜像数据进行风险分析,生成分析结果。
监控服务器获取镜像数据后,进一步获取预设的数据监控模型,其中,数据监控模型可以是基于决策树的模型。监控服务器通过数据监控模型对资源获取请求的请求信息和镜像数据进行风险分析。
具体地,监控服务器通过数据监控模型对请求信息和镜像数据进行特征提取,得到对应的数据特征,并根据多个监控决策节点对数据特征进行遍历和决策分析,得到多个监控决策节点对应的风险指数。若存在风险指数超过预设阈值的监控决策节点,则对资源获取请求添加风险标签,并生成分析结果。
步骤208,若分析结果中存在风险标签,对资源获取请求进行访问链还原,生成资源获取请求的访问链数据。
若分析结果中存在风险标签,则表示该资源获取请求存在用户异常访问风险或数据泄露风险。监控服务器则进一步对资源获取请求进行访问链还原,具体地,监控服务器可以获取资源获取请求对应的前端日志信息和数据库日志信息,并根据前端日志信息和数据库日志信息获取资源获取请求的访问路径信息,根据访问路径信息对资源获取请求进行链路还原,并生成资源获取请求的访问链数据。
步骤210,根据镜像数据和访问链数据对资源获取请求进行异常行为分析,得到异常行为信息。
其中,资源获取请求包括用户标识,镜像数据包括资源标识和数据获取量,镜像数据对应的数据资源还可以包括对应的用户标识,前端日志信息和数据库日志信息分别包括对应的访问标识。
监控服务器分析出资源获取请求存在风险时,对资源获取请求进行访问链还原,生成资源获取请求的访问链数据。监控服务器则根据镜像数据和访问链数据对资源获取请求进行异常行为分析。具体地,监控服务器对资源标识和镜像数据的数据获取量进行敏感信息校验,生成校验结果;若资源标识为敏感数据类型和/或数据获取量超过阈值,确定资源获取请求存在请求异常行为。监控服务器同时将访问标识与用户标识进行比对,生成比对结果;若访问标识与用户标识不匹配,则确定资源获取请求存在越权的攻击异常行为。监控服务器根据比对结果和校验结果生成异常分析结果信息。
步骤212,若异常行为信息中存在请求异常行为,对资源获取请求进行拦截。
步骤214,若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址,并对目标攻击源地址进行冻结。
监控服务器生成异常分析结果信息后,若异常行为信息中只存在请求异常行为,表示该访问用户存在高频请求敏感信息的异常行为,监控服务器则立即对资源获取请求进行拦截。监控服务器还可以根据资源获取请求的请求类型判断是否需要进一步获取目标攻击源地址,并对目标攻击源地址进行冻结。
若异常行为信息中存在攻击异常行为,监控服务器则立即对资源获取请求进行拦截后,根据访问链数据获取目标攻击源地址,并进一步对目标攻击源地址进行冻结。
监控服务器对资源获取请求进行拦截后,则根据异常行为信息生成对应异常行为类型的预警提示信息,并将预警提示信息发送至监控终端,使得监控终端进一步对攻击源进行分析或对业务系统进行维护。通过镜像数据库的外发出口流量,并对镜像数据进行多方位监控,能够有效地对数据进行完整监控,通过分析用户敏感数据和识别用户标识多重检测是够存在恶意攻击或窃取数据等风险行为,并及时对请求进行阻断,由此能够有效地提高数据的安全监控效率,有效地保障了数据的安全性。
上述数据监控处理方法中,应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据后,通过数据监控模型对资源获取请求和镜像数据进行风险分析。若分析结果中存在风险标签,表示该资源获取请求存在用户异常访问风险或数据泄露风险,从而能够有效分析出存在数据泄露或被攻击风险的资源获取请求。监控服务器则对资源获取请求进行访问链还原并生成对应的访问链数据,由此根据镜像数据和访问链数据对资源获取请求进行异常行为分析,若异常行为信息中存在请求异常行为,表示该访问用户存在高频请求敏感信息的异常行为,对资源获取请求进行拦截;若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址,并对目标攻击源地址进行冻结。监控服务器分析出存在数据泄露会被攻击风险的资源获取请求后,进一步根据镜像数据和访问链数据对资源获取请求进行追踪和多重检测,从而对数据链路进行完整监控。通过准确识别获取敏感数据、恶意攻击行为以及窃取数据等异常行为,并及时对请求进行拦截阻断,由此能够有效地提高数据的安全监控效率,有效地保障了数据的安全性。
在一个实施例中,通过观察端口检测应用服务器的镜像端口的外发数据流量之前,还包括配置镜像端口和观察端口的步骤:获取应用服务器的镜像端口的端口参数,以及监控服务器的观察端口的端口参数;根据端口参数对镜像端口和观察端口进行端口配置,生成相应的端口信息;以使应用服务器获取用户终端发送的资源获取请求,从数据库中获取数据资源时,镜像端口对外发流量数据进行镜像处理,生成对应的镜像数据,并根据端口信息将镜像数据转发至对应的观察端口,监控服务器通过观察端口获资源获取请求的取镜像数据。
监控服务器在对应用服务器的外发数据流量进行监控之前,还需要对应用服务器的镜像端口和监控服务器对应的观察端口进行配置。具体地,应用服务器可以预先根据镜像端口参数配置本地的镜像端口,监控服务器则根据观察端口参数配置观察端口,并获取应用服务器的镜像端口的镜像端口参数,以及监控服务器的观察端口的观察端口参数,进而根据镜像端口参数和观察端口参数对镜像端口和观察端口进行端口绑定配置,生成相应的端口信息。
监控服务器将应用服务器的镜像端口与观察端口绑定后,应用服务器则可以接收用户终端发送的资源获取请求,并通过相应的业务系统对资源获取请求进行处理,资源获取请求携带了用户标识和请求标识。应用服务器对资源获取请求进行处理的过程中,从数据库中获取数据时,应用服务器的镜像端口对外发流量数据进行监控和镜像处理,生成对应的镜像数据。应用服务器则根据端口信息将镜像数据转发至对应的观察端口,监控服务器进而可以通过关联绑定的观察端口获取资源获取请求的镜像数据。通过配置应用服务器的镜像端口和监控服务器的观察端口,使得监控服务器可以有效地获取资源获取请求的镜像数据,从而能够有效地对数据库中的外发数据进行监控。
在一个实施例中,如图3所示,资源获取请求包括请求信息,对镜像数据进行风险分析的步骤,具体包括以下内容:
步骤302,获取预设的数据监控模型,对请求信息和镜像数据进行特征提取,得到对应的请求特征向量。
步骤304,根据多个监控决策节点对请求特征向量进行决策分析,得到多个监控决策节点对应的风险指数。
步骤306,若风险指数超过预设风险阈值,则对资源获取请求添加风险标签,并生成分析结果。
监控服务器对应用服务器的镜像数据进行监控之前,还可以预先构建出数据监控模型。其中,数据监控模型可以是监控服务器通过对大量镜像数据根据预设算法进行分析和训练得到的,数据监控模型可以是基于决策树的模型,数据监控模型中包括多个预设的监控决策节点。
其中,请求信息中可以包括资源获取请求的用户标识、请求类型、业务类型以及用户权限等信息,镜像数据可以包括与该资源获取请求对应的请求频次、数据获取量、数据资源类型等信息。
应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据后,进一步获取预设的数据监控模型,通过监控模型对请求信息和镜像数据进行特征提取,得到对应的请求特征向量。具体地,监控服务器提取出请求信息和镜像数据中的多个请求特征向量后,数据监控模型中的多个监控决策节点分别对请求特征向量进行特征匹配分析,从而决策出资源获取请求对应各个监控决策节点的风险指数。例如,各个监控决策节点可以分别决策用户标识是否为高风险用户、业务类型是否为高风险业务、数据资源类型是否为敏感数据类型等多个风险指标。
监控服务器进而判断是否存在风险指数超过预设风险阈值的监控决策节点,若存在,则表示该资源获取请求存在监控决策节点所对应的风险。监控服务器则对该资源获取请求添加风险标签,以进一步分析该资源获取请求的具体风险行为。
进一步的,服务器还可以获取多个监控决策节点分别对应的风险指数,并根据预设算法和监控决策节点权重计算多个风险指数对应的总风险指数,若总风险指数超过预设风险阈值,则表示该资源获取请求存在风险。监控服务器则对该资源获取请求添加风险标签,以进一步分析该资源获取请求的具体风险行为。通过数据监控模型对多个资源获取请求的请求信息和镜像数据进行分析,能够准确有效地分析出资源获取请求是否存在风险,从而能够有效地对多个资源获取请求的安全性进行监控。
在一个实施例中,对资源获取请求进行访问链还原,生成资源获取请求的访问链数据的步骤,具体包括:根据请求标识获取前端日志信息;根据镜像数据获取数据库日志信息;将前端日志信息与数据库日志信息进行关联,并获取资源获取请求的访问路径信息;根据访问路径信息对资源获取请求进行链路还原,生成访问链数据。
应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据,进而通过预设的数据监控模型对资源获取请求和镜像数据进行风险分析。
若分析结果中存在风险标签,表示该资源获取请求存在用户异常访问风险或数据泄露风险,监控服务器需要进一步分析出该资源获取请求的具体风险行为,以对资源获取请求采取对应的处理措施。
监控服务器则对存在风险标签的资源获取请求进行访问链还原并生成对应的访问链数据,以根据镜像数据和访问链数据对资源获取请求进行异常行为分析。具体地,监控服务器根据资源获取请求的请求标识获取对应的前端日志信息,并根据用户标识和镜像数据获取对应的数据库日志信息。监控服务器则将该资源获取请求的前端日志信息和数据库日志信息进行关联,由此可以从前端日志信息和数据库日志信息中识别和获取资源获取请求的访问路径信息。监控服务器则根据识别的访问路径信息对资源获取请求进行访问链还原,并生成对应的访问链数据。通过对用户终端发送的资源获取请求进行访问链还原,可以有效地还原出用户的访问链,从而能够有效地对用户的访问行为进行监控并追踪攻击行为,从而有效地对数据资源和用户行为进行安全监控。
例如,用户在访问数据库中的数据资源时,应用服务器可能会统一调用对应的应用用户,监控服务器则无法利用用户标识作为唯一的标识来分析用户的访问链。因此,监控服务器可以通过请求标识获取对应的前端日志信息,根据用户标识和镜像数据获取对应的数据库日志信息,并将前端日志信息和数据库日志信息进行关联,由此可以根据请求标识和用户标识有效地还原用户的访问链。
在一个实施例中,如图4所示,前端日志信息和数据库日志信息分别包括对应的访问标识,镜像数据包括资源标识和数据获取量,资源获取请求包括用户标识,根据所述镜像数据和访问链数据对资源获取请求进行异常行为分析的步骤,具体包括一下内容:
步骤402,根据用户标识和访问标识对资源获取请求进行权限访问校验。
步骤404,若访问标识与用户标识不匹配,确定资源获取请求存在越权行为,并生成对应的权限校验结果。
应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据,进而通过预设的数据监控模型对资源获取请求和镜像数据进行风险分析。若分析结果中存在风险标签,表示该资源获取请求存在用户异常访问风险或数据泄露风险,从而能够有效分析出存在数据泄露或被攻击风险的资源获取请求。
监控服务器则对资源获取请求进行访问链还原并生成对应的访问链数据,具体地,监控服务器根据请求标识获取前端日志信息;根据镜像数据获取数据库日志信息;将前端日志信息与数据库日志信息进行关联,并获取资源获取请求的访问路径信息;根据访问路径信息对资源获取请求进行链路还原,生成访问链数据。
其中,资源获取请求包括用户标识,镜像数据包括资源标识和数据获取量,镜像数据对应的数据资源还可以包括对应的用户标识,前端日志信息和数据库日志信息分别包括对应的访问标识。
监控服务器得到资源获取请求的访问链数据后,从访问链数据中提取出前端日志信息对应的访问标识和数据库日志信息的访问标识。监控服务器进而根据用户标识和访问标识对资源获取请求进行权限访问校验。具体地,监控服务器对访问标识和用户标识的一致性进行验证,可以包括验证前端日志信息对应的访问标识和数据库日志信息的访问标识是否匹配,验证访问标识和资源获取请求的用户标识是否匹配,以及资源获取请求的用户标识与镜像数据对应的数据资源的用户标识是否相匹配。
若前端日志信息和数据库日志信息的访问标识一致,且与资源获取请求的用户标识和数据资源的用户标识相匹配,则表示该资源获取请求的访问权限正常。若其中任意一项不匹配,则表示资源获取请求存在越权行为,监控服务器进而生成对应的权限校验结果。通过对用户访问过程中的访问权限进行校验,能够准确有效地识别出资源获取请求是否存在越权行为。
步骤406,根据资源标识和数据获取量对资源获取请求进行敏感信息校验。
步骤408,若资源标识为敏感数据类型和/或数据获取量超过阈值,确定资源获取请求存在攻击行为,并生成对应的数据校验结果。
步骤410,根据权限校验结果和数据校验结果生成异常行为信息。
其中,监控服务器可以预先定义敏感数据或高风险数据的类型,并添加对应的敏感数据标识。监控服务器还可以预先设置资源获取请求在预设时间段内的数据获取量的数量阈值。
监控服务器进一步根据资源标识和数据获取量对资源获取请求进行敏感信息校验。具体地,监控服务器根据预先定义的敏感数据标识对资源标识进行验证,若资源标识与敏感数据标识相匹配,则表示敏感数据存在泄露或被攻击风险。监控服务器还可以对资源获取请求的请求频次和数据获取量进行校验,当请求频次超过预设频次值,以及预设时间段内的数据获取量超过数量阈值,则表示资源获取请求存在攻击行为。进一步地,若资源标识为敏感数据类型或数据获取量超过阈值中任意一项校验未通过时,则确定资源获取请求存在攻击行为,监控服务器进而生成对应的数据校验结果,并根据权限校验结果和数据校验结果生成异常行为信息。通过分别对资源获取请求的访问权限和敏感信息进行校验,能够精准有效地识别越权攻击及拖库等异常攻击行为,从而有效由此能够有效地提高数据的安全监控效率。
在一个实施例中,根据访问链数据获取目标攻击源地址,包括:获取资源获取请求对应的防火墙日志信息;根据访问链数据获取资源获取请求对应的访问路径信息;根据防火墙日志信息和访问路径信息对访问源地址进行定位;根据访问源地址确定资源获取请求对应的目标攻击源地址。
应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据,进而通过预设的数据监控模型对资源获取请求和镜像数据进行风险分析。若分析结果中存在风险标签,表示该资源获取请求存在用户异常访问风险或数据泄露风险,从而能够有效分析出存在数据泄露或被攻击风险的资源获取请求。
监控服务器则对资源获取请求进行访问链还原并生成对应的访问链数据。监控服务器进而根据镜像数据和访问链数据对资源获取请求进行异常行为分析,若异常行为信息中存在请求异常行为,表示该访问用户存在高频请求敏感信息的异常行为,对资源获取请求进行拦截;若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址,并对目标攻击源地址进行冻结。
具体地,监控服务器可以根据请求标识获取应用服务器中资源获取请求对应的防火墙日志信息,并对防火墙日志信息进行解析,得到多个访问参数。
监控服务器还可以从访问链数据中获取资源获取请求对应的防火墙日志信息。具体地,监控服务器根据资源获取请求的请求标识获取对应的前端日志信息,并根据用户标识和镜像数据获取对应的数据库日志信息。监控服务器则将该资源获取请求的前端日志信息和数据库日志信息进行关联,并进行访问链还原,由此可以从前端日志信息和数据库日志信息中识别和获取资源获取请求的访问路径信息。
监控服务器则根据防火墙日志信息的多个访问参数和访问路径信息对访问源地址进行定位。具体地,防火墙日志信息的多个访问参数可以包括源IP地址和目的IP地址、源端口和目的端口以及源MAC和目的MAC等参数信息。监控服务器进而根据访问路径信息从防火墙日志信息的访问参数中识别定位出访问源地址,进而根据访问源地址确定资源获取请求对应的目标攻击源地址。通过防火墙日志信息和访问路径信息能够精准有效地定位目标攻击源地址由此可以有效地对攻击源地址进行阻断和冻结,以有效保障数据安全性。
在一个实施例中,该方法还包括:对存在风险标签和存在异常行为的镜像数据进行漏洞分析,分析镜像数据对应的数据资源的风险类型和风险位置,并生成风险分析数据;将风险分析数据推送至监控终端,使得监控终端根据所述风险分析数据对相应的业务系统进行漏洞修复。
应用服务器获取用户终端发送的资源获取请求后,监控服务器通过观察端口检测应用服务器处理的镜像端口的外发数据流量,并获取资源获取请求对应的镜像数据后,通过数据监控模型对资源获取请求和镜像数据进行风险分析。若分析结果中存在风险标签,表示该资源获取请求存在用户异常访问风险或数据泄露风险,从而能够有效分析出存在数据泄露或被攻击风险的资源获取请求。监控服务器则对资源获取请求进行访问链还原并生成对应的访问链数据,由此根据镜像数据和访问链数据对资源获取请求进行异常行为分析,若异常行为信息中存在请求异常行为,表示该访问用户存在高频请求敏感信息的异常行为,对资源获取请求进行拦截;若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址,并对目标攻击源地址进行冻结。
监控服务器分析出存在数据泄露会被攻击风险的资源获取请求后,进一步根据镜像数据和访问链数据对存在风险标签和存在异常行为的镜像数据对应的数据资源进行漏洞分析。具体地,监控服务器可以根据预设的多个风险指标数据,分析资源数据分别对应多个风险指标数据的风险指标值。例如,监控服务器可以根据风险标签和异常行为信息分析出风险类型、风险等级、风险位置风险请求类型以及风险资源类型等多个风险指标值。
监控服务器进而根据分析得到的多个分风险指标值生成风险分析数据,并将风险分析数据推送至监控终端,以使得监控终端根据风险分析数据对相应的业务系统进行漏洞修复或安全维护。通过对多个资源获取请求的请求信息和镜像数据进行风险分析,精准识别获取敏感数据、恶意攻击行为以及窃取数据等异常行为,并及时对请求进行拦截阻断后,进一步对资源数据数据进行漏洞分析,从而能够有效分析出对应业务系统存在的漏洞和风险,进而能够有效对业务系统进行漏洞修复和安全维护,由此能够有效提高业务系统的安全性。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种数据监控处理装置,包括:数据监控模块502、数据获取模块504、风险分析模块506、异常行为分析模块508和异常行为处理模块510,其中:
数据监控模块502,用于通过观察端口检测应用服务器的镜像端口的外发数据流量,外发数据流量为应用服务器对用户终端发送的资源获取请求进行处理所产生,资源获取请求携带请求标识;
数据获取模块504,用于根据外发数据流量的请求标识获取资源获取请求的镜像数据;
风险分析模块506,用于获取预设的数据监控模型,通过数据监控模型对资源获取请求和所述镜像数据进行风险分析,生成分析结果;
异常行为分析模块508,用于若分析结果中存在风险标签,对资源获取请求进行访问链还原,生成资源获取请求的访问链数据;根据镜像数据和访问链数据对资源获取请求进行异常行为分析,得到异常行为信息;
异常行为处理模块510,用于若异常行为信息中存在请求异常行为,对资源获取请求进行拦截;若异常行为信息中存在攻击异常行为,根据访问链数据获取目标攻击源地址,并对目标攻击源地址进行冻结。
在一个实施例中,该装置还包括端口配置模块,用于获取应用服务器的镜像端口的镜像端口参数,以及监控服务器的观察端口的观察端口参数;根据镜像端口参数和观察端口参数对镜像端口和观察端口进行端口绑定配置,生成相应的端口信息;以使应用服务器获取用户终端发送的资源获取请求,从数据库中获取数据资源时,镜像端口对外发流量数据进行镜像处理,生成对应的镜像数据,并根据端口信息将镜像数据转发至对应的观察端口,监控服务器通过观察端口获取资源获取请求的镜像数据。
在一个实施例中,资源获取请求包括请求信息,风险分析模块506还用于获取预设的数据监控模型,对请求信息和镜像数据进行特征提取,得到对应的请求特征向量;根据多个监控决策节点对请求特征向量进行决策分析,得到多个监控决策节点对应的风险指数;若风险指数超过预设风险阈值,则对资源获取请求添加风险标签,并生成分析结果。
在一个实施例中,异常行为分析模块508还用于根据请求标识获取前端日志信息;根据镜像数据获取数据库日志信息;将前端日志信息与数据库日志信息进行关联,并获取资源获取请求的访问路径信息;根据访问路径信息对资源获取请求进行链路还原,生成访问链数据。
在一个实施例中,前端日志信息和数据库日志信息分别包括对应的访问标识,镜像数据包括资源标识和数据获取量,资源获取请求包括用户标识,异常行为分析模块508还用于根据用户标识和访问标识对资源获取请求进行权限访问校验;若访问标识与用户标识不匹配,确定资源获取请求存在越权行为,并生成对应的权限校验结果;根据资源标识和数据获取量对资源获取请求进行敏感信息校验;若资源标识为敏感数据类型和/或数据获取量超过阈值,确定资源获取请求存在攻击行为,并生成对应的数据校验结果;根据权限校验结果和数据校验结果生成异常行为信息。
在一个实施例中,该装置还包括攻击源地址定位模块,用于获取资源获取请求对应的防火墙日志信息;根据访问链数据获取资源获取请求对应的访问路径信息;根据防火墙日志信息和访问路径信息对访问源地址进行定位;根据访问源地址确定资源获取请求对应的目标攻击源地址。
在一个实施例中,该装置还包括风险数据分析模块,用于对存在风险标签和存在异常行为的镜像数据进行漏洞分析,分析镜像数据对应的数据资源的风险类型和风险位置,并生成风险分析数据;将风险分析数据推送至监控终端,使得监控终端根据风险分析数据对相应的业务系统进行漏洞修复。
关于数据监控处理装置的具体限定可以参见上文中对于数据监控处理方法的限定,在此不再赘述。上述数据监控处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储镜像数据、访问链数据、异常行为信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现本申请任意一个实施例中提供的数据监控处理方法的步骤。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现本申请任意一个实施例中提供的数据监控处理方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种数据监控处理方法,所述方法包括:
通过观察端口检测应用服务器的镜像端口的外发数据流量,所述外发数据流量为所述应用服务器对用户终端发送的资源获取请求进行处理所产生,所述资源获取请求携带请求标识;
根据所述外发数据流量的请求标识获取所述资源获取请求的镜像数据;
获取预设的数据监控模型,通过所述数据监控模型对所述资源获取请求和所述镜像数据进行风险分析,生成分析结果;
若所述分析结果中存在风险标签,对所述资源获取请求进行访问链还原,生成所述资源获取请求的访问链数据;
根据所述镜像数据和所述访问链数据对所述资源获取请求进行异常行为分析,得到异常行为信息;
若所述异常行为信息中存在请求异常行为,对所述资源获取请求进行拦截;
若所述异常行为信息中存在攻击异常行为,根据所述访问链数据获取目标攻击源地址,并对所述目标攻击源地址进行冻结。
2.根据权利要求1所述的方法,其特征在于,所述通过观察端口检测应用服务器的镜像端口的外发数据流量之前,还包括:
获取应用服务器的镜像端口的镜像端口参数,以及监控服务器的观察端口的观察端口参数;
根据所述镜像端口参数和观察端口参数对所述镜像端口和所述观察端口进行端口绑定配置,生成相应的端口信息;以使应用服务器获取用户终端发送的资源获取请求,从数据库中获取数据资源时,所述镜像端口对外发流量数据进行镜像处理,生成对应的镜像数据,并根据端口信息将镜像数据转发至对应的观察端口,监控服务器通过所述观察端口获取所述资源获取请求的镜像数据。
3.根据权利要求1所述的方法,其特征在于,所述资源获取请求包括请求信息,所述对所述镜像数据进行风险分析的步骤包括:
获取预设的数据监控模型,对所述请求信息和所述镜像数据进行特征提取,得到对应的请求特征向量;
根据多个监控决策节点对所述请求特征向量进行决策分析,得到多个监控决策节点对应的风险指数;
若所述风险指数超过预设风险阈值,则对所述资源获取请求添加风险标签,并生成分析结果。
4.根据权利要求1所述的方法,其特征在于,所述对所述资源获取请求进行访问链还原,生成所述资源获取请求的访问链数据,包括:
根据所述请求标识获取前端日志信息;
根据所述镜像数据获取数据库日志信息;
将所述前端日志信息与所述数据库日志信息进行关联,并获取所述资源获取请求的访问路径信息;
根据所述访问路径信息对所述资源获取请求进行链路还原,生成访问链数据。
5.根据权利要求4所述的方法,其特征在于,所述前端日志信息和所述数据库日志信息分别包括对应的访问标识,所述镜像数据包括资源标识和数据获取量,所述资源获取请求包括用户标识,所述根据所述镜像数据和所述访问链数据对所述资源获取请求进行异常行为分析的步骤包括:
根据所述用户标识和访问标识对所述资源获取请求进行权限访问校验;
若所述访问标识与所述用户标识不匹配,确定所述资源获取请求存在越权行为,并生成对应的权限校验结果;
根据所述资源标识和数据获取量对所述资源获取请求进行敏感信息校验;
若所述资源标识为敏感数据类型和/或所述数据获取量超过阈值,确定所述资源获取请求存在攻击行为,并生成对应的数据校验结果;
根据所述权限校验结果和所述数据校验结果生成异常行为信息。
6.根据权利要求1所述的方法,其特征在于,所述根据所述访问链数据获取目标攻击源地址,包括:
获取所述资源获取请求对应的防火墙日志信息;
根据所述访问链数据获取所述资源获取请求对应的访问路径信息;
根据所述防火墙日志信息和所述访问路径信息对访问源地址进行定位;
根据所述访问源地址确定所述资源获取请求对应的目标攻击源地址。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对存在风险标签和存在异常行为的镜像数据进行漏洞分析,分析所述镜像数据对应的数据资源的风险类型和风险位置,并生成风险分析数据;
将所述风险分析数据推送至监控终端,使得所述监控终端根据所述风险分析数据对相应的业务系统进行漏洞修复。
8.一种数据监控处理装置,所述装置包括:
数据监控模块,用于通过观察端口检测应用服务器的镜像端口的外发数据流量,所述外发数据流量为所述应用服务器对用户终端发送的资源获取请求进行处理所产生,所述资源获取请求携带请求标识;
数据获取模块,用于根据所述外发数据流量的请求标识获取所述资源获取请求的镜像数据;
风险分析模块,用于获取预设的数据监控模型,通过所述数据监控模型对所述资源获取请求和所述镜像数据进行风险分析,生成分析结果;
异常行为分析模块,用于若所述分析结果中存在风险标签,对所述资源获取请求进行访问链还原,生成所述资源获取请求的访问链数据;根据所述镜像数据和所述访问链数据对所述资源获取请求进行异常行为分析,得到异常行为信息;
异常行为处理模块,用于若所述异常行为信息中存在请求异常行为,对所述资源获取请求进行拦截;若所述异常行为信息中存在攻击异常行为,根据所述访问链数据获取目标攻击源地址,并对所述目标攻击源地址进行冻结。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910745449.3A CN110602046B (zh) | 2019-08-13 | 2019-08-13 | 数据监控处理方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910745449.3A CN110602046B (zh) | 2019-08-13 | 2019-08-13 | 数据监控处理方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602046A CN110602046A (zh) | 2019-12-20 |
| CN110602046B true CN110602046B (zh) | 2022-04-26 |
Family
ID=68854228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910745449.3A Active CN110602046B (zh) | 2019-08-13 | 2019-08-13 | 数据监控处理方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602046B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111212070B (zh) * | 2019-12-31 | 2022-03-08 | 奇安信科技集团股份有限公司 | 风险监控方法、装置、计算设备以及介质 |
| CN111447199A (zh) * | 2020-03-23 | 2020-07-24 | 深信服科技股份有限公司 | 服务器的风险分析方法、服务器的风险分析装置及介质 |
| CN111666186B (zh) * | 2020-04-26 | 2023-09-15 | 杭州数梦工场科技有限公司 | 数据访问异常的检测方法、装置、存储介质及计算机设备 |
| CN112257069A (zh) * | 2020-10-20 | 2021-01-22 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全事件审计方法 |
| CN112272173A (zh) * | 2020-10-22 | 2021-01-26 | 苏州斯玛维科技有限公司 | 信息分析报警方法、装置和存储介质 |
| CN114745142B (zh) * | 2020-12-23 | 2023-11-24 | 腾讯科技(深圳)有限公司 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
| CN112995277B (zh) * | 2021-02-01 | 2023-02-24 | 长沙市到家悠享网络科技有限公司 | 访问处理方法、装置及代理服务器 |
| CN113779616B (zh) * | 2021-02-08 | 2024-04-05 | 北京沃东天骏信息技术有限公司 | 用于识别数据的方法和装置 |
| CN113254994A (zh) * | 2021-05-27 | 2021-08-13 | 平安普惠企业管理有限公司 | 数据库访问方法、装置、存储介质和计算机设备 |
| CN113824693B (zh) * | 2021-08-25 | 2023-04-07 | 北京达佳互联信息技术有限公司 | 多媒体数据分享方法、装置、系统、电子设备和存储介质 |
| CN113641557B (zh) * | 2021-08-30 | 2024-05-03 | 平安证券股份有限公司 | 数据监控处理方法、装置、设备及存储介质 |
| CN114254384B (zh) * | 2021-12-10 | 2023-10-20 | 卫宁健康科技集团股份有限公司 | 医疗数据调取方法、装置和计算机设备 |
| CN114567678A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种云安全服务的资源调用方法、装置及电子设备 |
| CN115147956A (zh) * | 2022-06-29 | 2022-10-04 | 中国第一汽车股份有限公司 | 数据处理方法、装置、电子设备及存储介质 |
| CN116055217A (zh) * | 2023-03-06 | 2023-05-02 | 广州启宁信息科技有限公司 | 基于sd-wan组网安全管理方法、系统、设备及介质 |
| CN116095683B (zh) * | 2023-04-11 | 2023-06-13 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
| CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| CN108270795A (zh) * | 2018-02-23 | 2018-07-10 | 上海市信息网络有限公司 | 数据安全防泄露自救系统、方法、可读存储介质及设备 |
| CN109889552A (zh) * | 2019-04-18 | 2019-06-14 | 南瑞集团有限公司 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
| CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
| CN110019074A (zh) * | 2017-12-30 | 2019-07-16 | 中国移动通信集团河北有限公司 | 访问路径的分析方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101619414B1 (ko) * | 2015-01-06 | 2016-05-10 | 한국인터넷진흥원 | 개인화된 초기 이용행위 패턴분석을 이용한 비정상 행위 탐지시스템 |
-
2019
- 2019-08-13 CN CN201910745449.3A patent/CN110602046B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
| CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
| CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN110019074A (zh) * | 2017-12-30 | 2019-07-16 | 中国移动通信集团河北有限公司 | 访问路径的分析方法、装置、设备及介质 |
| CN108270795A (zh) * | 2018-02-23 | 2018-07-10 | 上海市信息网络有限公司 | 数据安全防泄露自救系统、方法、可读存储介质及设备 |
| CN109889552A (zh) * | 2019-04-18 | 2019-06-14 | 南瑞集团有限公司 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
| CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110602046A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602046B (zh) | 数据监控处理方法、装置、计算机设备和存储介质 | |
| US10264104B2 (en) | Systems and methods for malicious code detection accuracy assurance | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US20160241574A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN107959673B (zh) | 异常登录检测方法、装置、存储介质和计算机设备 | |
| CN111756702B (zh) | 数据安全防护方法、装置、设备和存储介质 | |
| Avritzer et al. | Monitoring for security intrusion using performance signatures | |
| JP2017523701A (ja) | 通信ネットワークに接続された作業環境への攻撃を検出する方法 | |
| CN114826880B (zh) | 一种数据安全运行在线监测系统 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Supriya et al. | Malware detection techniques: a survey | |
| CN112422527A (zh) | 变电站电力监控系统的安全防护系统、方法和装置 | |
| Xu et al. | DR@ FT: efficient remote attestation framework for dynamic systems | |
| CN114257404B (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
| US20210058414A1 (en) | Security management method and security management apparatus | |
| CN114679322A (zh) | 流量安全审计方法、系统、计算机设备 | |
| US11449610B2 (en) | Threat detection system | |
| SAADI et al. | Proposed security by IDS-AM in Android system | |
| KR102211846B1 (ko) | 랜섬웨어 탐지 시스템 및 그의 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200122 Address after: 200120 floor 15, 1333 Lujiazui Ring Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai Applicant after: Weikun (Shanghai) Technology Service Co., Ltd Address before: 13th Floor, 1333 Lujiazui Ring Road, Shanghai Free Trade Pilot Area, 200120 Applicant before: Lujiazui Shanghai international financial assets market Limited by Share Ltd |
|
| TA01 | Transfer of patent application right | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |