CN110677472B - 基于ioc智能提取及共享的协同防御方法 - Google Patents
基于ioc智能提取及共享的协同防御方法 Download PDFInfo
- Publication number
- CN110677472B CN110677472B CN201910907364.0A CN201910907364A CN110677472B CN 110677472 B CN110677472 B CN 110677472B CN 201910907364 A CN201910907364 A CN 201910907364A CN 110677472 B CN110677472 B CN 110677472B
- Authority
- CN
- China
- Prior art keywords
- ioc
- module
- data
- latest
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于IOC智能提取及共享的协同防御方法:包括以下步骤:S1)、单体检测设备上的IOC提取及上传模块上送提取的最新IOC数据到云端IOC情报中心模块的IOC采集过滤模块;S2)、云端IOC情报中心模块的IOC采集过滤模块将最新IOC数据与云端IOC情报中心模块中已有IOC匹配,更新或新增共享分发IOC情报库,通知IOC变更数据到云端IOC情报中心模块的IOC共享分发模块;S3)、单体检测设备的IOC同步模块从云端IOC情报中心的IOC共享分发模块同步最新IOC;S4)、单体检测设备的IOC检测模块根据IOC对网络行为进行匹配检测产生告警。本发明可以形成一种具有更高检测能力及更少资源消耗的协同防御体系。
Description
技术领域
本发明涉及一种IOC智能提取及共享方法,具体涉及一种基于IOC智能提取及共享的协同防御方法。
背景技术
网络攻击趋于专业化和产业化,入侵手法也愈发多样化和复杂化,新型的网络攻击方式和未知威胁,使防御体系逐渐采用深度机器学习和行为分析等检测方法。
而无论是深度机器学习还是行为分析检测,和传统的基于已知规则的检测方式相比,都会有更多的硬件资源消耗,在同样的单体检测设备上,则体现为更差的检测性能及效能;同时,由于同一类型的不同单体检测设备上,因为维护不及时、新老版本无法平滑升级、硬件规格不同等各种原因,广泛存在版本和检测策略不统一、检测能力存在很大差异的问题。
如IDS/IPS等传统的网络安全检测防御设备,均采用内置规则库对网络流量进行匹配,这种基于已知规则的检测方式很容易被绕过,无法检测发现新型网络攻击和未知威胁,因此,深度机器学习和行为分析被引入信息安全领域,用以预测、预防检测、响应和监测,普遍适用于网络流量分析和入侵检测、端点反恶意软件及各类应用防火墙等产品的技术层。
而无论是深度机器学习还是行为分析检测,因为涉及大量分类、聚类等计算,对硬件资源要求高;以及为更多发现和捕获异常行为,需要进行长周期下各类网络或系统行为的关联分析,存在检测性能和效能较为低下的特点。
同时,同一类型的不同单体检测设备上,因为维护不及时、新老版本无法平滑升级、硬件规格不同等各种原因,广泛存在版本和检测策略不统一、检测能力存在很大差异的问题,单体检测设备所有的检测能力均来自于设备本身的计算能力,老版本、旧设备检测能力薄弱,存在漏报率高或容易被绕过的问题。
这要求各单体检测设备能够及时将检测的结果进行共享,以智能生成先验知识,其他单体检测设备根据共享的先验知识快速识别异常行为,以减少重复的深度机器学习和行为分析带来的资源消耗及检测时延。
同时,同一类型的不同单体检测设备上,通过使用共享的先验知识,可以解决老版本或相对比较陈旧的单体检测设备检测能力较为薄弱的问题。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的基于IOC智能提取及共享的协同防御方法。
为解决上述技术问题,本发明提供一种基于IOC智能提取及共享的协同防御方法:包括以下步骤:
S1)、单体检测设备上的IOC提取及上传模块上送提取的最新IOC数据到云端IOC情报中心模块的IOC采集过滤模块;
S2)、云端IOC情报中心模块的IOC采集过滤模块将最新IOC数据与云端IOC情报中心模块中已有IOC匹配,更新或新增共享分发IOC情报库,通知IOC变更数据到云端IOC情报中心模块的IOC共享分发模块;
S3)、单体检测设备的IOC同步模块从云端IOC情报中心的IOC共享分发模块同步最新IOC;
S4)、单体检测设备的IOC检测模块根据IOC对网络行为进行匹配检测产生告警。
作为对本发明基于IOC智能提取及共享的协同防御方法的改进:
在步骤S1)中:IOC提取及上传模块对网络行为或系统行为使用各种现有技术进行各类深度机器学习和行为分析,并产生告警,从深度机器学习和行为分析产生的告警中提取IOC数据,作为最新IOC数据。
作为对本发明基于IOC智能提取及共享的协同防御方法的进一步改进:
这些IOC数据包括两个特征;特征1:属于网络行为或系统行为的关键要素,如文件Hash、域名、源IP、目的IP、时间戳;特征2:携带单体检测设备的版本号信息。
作为对本发明基于IOC智能提取及共享的协同防御方法的进一步改进:
在步骤2)中:
IOC采集过滤模块接收各单体检测设备的IOC提取及上传模块智能产生的最新IOC数据,最新IOC数据和共享分发IOC情报库中的已有IOC数据进行匹配;
如果共享分发IOC情报库尚未收录该最新IOC数据,则新增最新IOC数据到云端,并记录相应的版本号和时间戳信息;如果云端已经记录最新IOC数据,则和云端已有IOC数据对应版本号做比较,当云端已有IOC数据对应版本号比该最新IOC数据对应设备版本号要更旧时,把云端已有IOC数据对应版本号信息更新为该最新IOC数据对应设备版本号;通知IOC变更数据到云端IOC情报中心模块的IOC共享分发模块。
作为对本发明基于IOC智能提取及共享的协同防御方法的进一步改进:
在步骤3)中:
单体检测设备的IOC同步模块向云端IOC情报中心的IOC共享分发模块发起IOC同步请求,IOC同步请求携带本设备版本号及最新同步的IOC时间戳;从而获取比该IOC同步请求中的设备版本号相同或更新的,且时间戳比该次请求同步的时间戳更新的所有IOC,单体检测设备的IOC同步模块获取该IOC列表后在本地记录,同时记录该次IOC列表中最新的时间戳,作为已同步IOC数据。
作为对本发明基于IOC智能提取及共享的协同防御方法的进一步改进:
在步骤4)中:
IOC同步模块将已同步IOC数据发送给IOC检测模块;IOC检测模块根据已同步IOC数据,分别形成文件Hash、域名、源IP、目的IP匹配库,对于任何网络行为或系统行为中包含文件Hash、域名、源IP或目的IP时,均进行提取并在相应的匹配库中进行搜索匹配,对于匹配上的网络行为或系统行为直接进行告警。
本发明基于IOC智能提取及共享的协同防御方法的技术优势为:
本发明通过IOC的智能提取及共享,可以有效把单体检测设备中发现的、基于深度机器学习或行为分析的检测结果,形成IOC,并且共享到比该单体检测设备版本相同或版本更早的单体检测设备中,以减缓其他单体检测设备因深度机器学习或行为分析的资源消耗,同时解决因未及时使用最新版本而导致的部分检测能力的缺失,从而形成一种具有更高检测能力及更少资源消耗的协同防御体系。
具体有:
1、单体检测设备基于深度机器学习和行为分析检测结果智能生产IOC;
2、单体检测设备将智能生产的IOC,携带该设备版本号等信息一并上传到云端IOC情报中心;
3、所有单体检测设备根据本设备版本号,到云端IOC情报中心同步未曾同步的,且携带的设备版本号比本设备版本号相同或更新的IOC情报数据;
4、单体检测设备根据从云端IOC情报中心同步的IOCs进行匹配检测,以形成协同防御能力。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明基于IOC智能提取及共享的协同防御方法的流程示意图;
图2为关键要素匹配的流程示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于IOC智能提取及共享的协同防御方法,如图2所示;包括云端IOC情报中心模块和单体检测设备模块。
云端IOC情报中心模块包括IOC采集过滤模块和IOC共享分发模块:
IOC采集过滤模块:根据各个单体检测设备(例如单体检测设备A和单体检测设备B)上送的版本号、IOC及对应威胁信息,与云端IOC情报中心模块中已有IOC匹配,更新或新增共享分发IOC情报库。上述版本号指单体检测设备中软件版本号,由软件安装或升级过程设定;上述IOC指单体检测设备,基于深度机器学习和行为分析检测结果中文件Hash、域名、IP等数据,按约定格式所形成的情报指标数据;上述对应威胁信息,指产生IOC所对应的,基于深度机器学习和行为分析检测结果中除IOC之外的其他详细威胁信息,如URL、发生时间等数据。云端IOC情报中心通过数据库等手段存储IOC,以IOC中文件Hash、域名、IP等为关键索引,数据库为共享分发IOC情报库,云端IOC采集过滤模块及IOC共享分发模块均能访问该共享分发IOC情报库。
IOC共享分发模块:提供IOC获取API接口,根据IOC更新请求中的版本号及上次更新时间戳,提供对应增量IOC情报数据。
单体检测设备模块包括IOC提取及上传模块模块、IOC同步模块和IOC检测:
IOC提取及上传模块:提供基于深度机器学习和行为分析检测结果中文件Hash、域名、IP等数据并按格式形成IOC,上送给云端IOC情报中心模块的IOC采集过滤模块。
IOC同步模块:主动向云端IOC情报中心发起轮询,是否有更新的可用IOC情报数据,如果发现有更新的可用IOC需要同步,则从云端IOC情报中心下载到本地。
IOC检测:根据IOC不同类型对网络行为或系统行为进行检测,如IOC为恶意域名时,对DNS域名解析行为中的域名和该IOC进行碰撞匹配,如果匹配成功,则认为该DNS域名解析行为是恶意网络行为或系统行为。
交互路径说明:
图中的路径(1):单体检测设备上的IOC提取及上传模块上送提取的最新IOC数据到情报中心模块的IOC采集过滤模块。
图中的路径(2):云端IOC情报中心模块的IOC采集过滤模块将最新IOC数据与云端IOC情报中心模块中已有IOC匹配,更新或新增共享分发IOC情报库,通知IOC变更数据到云端IOC情报中心模块的IOC共享分发模块。
云端IOC采集过滤模块以最新IOC数据中文件Hash、域名、IP为检索条件,到共享分发IOC情报库中进行检索,对于检索成功的IOC,则更新共享分发IOC情报库中该IOC的对应威胁信息,并在原IOC对应版本号较当前收集的IOC对应版本号更旧的情况下,对版本号进行更新;并同步该IOC变更数据到云端IOC情报中心模块的IOC共享分发模块。对于检索未成功的IOC,则把该IOC、版本号及对应威胁信息写入共享分发IOC情报库,并同步该IOC变更数据到云端IOC情报中心模块的IOC共享分发模块。
图中的路径(3):单体检测设备的IOC同步模块从云端IOC情报中心的IOC共享分发模块同步最新IOC。
图中的路径(4):单体检测设备的IOC检测模块根据IOC对网络行为进行匹配检测产生告警。
IOC智能提取的工作原理包括以下步骤:
步骤1:单体检测设备的IOC提取及上传模块从深度机器学习和行为分析产生的告警中提取IOC数据,作为最新IOC数据;
对网络行为或系统行为使用各种现有技术进行各类深度机器学习和行为分析,并产生告警,从告警信息中提取网络行为或系统行为的关键要素。
这些IOC数据包括两个特征。特征1:属于网络行为或系统行为的关键要素,如文件Hash、域名、源IP、目的IP、时间戳。特征2:携带单体检测设备的版本号信息。
步骤2:IOC采集过滤过程
IOC采集过滤模块接收各单体检测设备的IOC提取及上传模块智能产生的最新IOC数据,最新IOC数据和共享分发IOC情报库中的已有IOC数据进行匹配;
如果共享分发IOC情报库尚未收录该最新IOC数据,则新增最新IOC数据到云端,并记录相应的版本号和时间戳信息;如果云端已经记录最新IOC数据,则和云端已有IOC数据对应版本号做比较,当云端已有IOC数据对应版本号比该最新IOC数据对应设备版本号要更旧时,把云端已有IOC数据对应版本号信息更新为该最新IOC数据对应设备版本号,因更新版本号设备所产生的IOC可适用于更旧版本号的设备中,所以以此操作来提升该IOC的适用范围。
通过共享IOC进行协同防御的工作原理,包括以下步骤:
步骤1:IOC共享分发和同步
单体检测设备的IOC同步模块向云端IOC情报中心的IOC共享分发模块发起IOC同步请求,IOC同步请求携带本设备版本号及最新同步的IOC时间戳。从而获取比该IOC同步请求中的设备版本号相同或更新的,且时间戳比该次请求同步的时间戳更新的所有IOC,单体检测设备的IOC同步模块获取该IOC列表后在本地记录,同时记录该次IOC列表中最新的时间戳,作为已同步IOC数据。
单体检测设备的IOC提取及上传模块提取的“最新IOC数据”、或者云端IOC情报中心IOC采集过滤模块接收的“最新IOC数据”,均指某单体检测设备通过深度机器学习和行为分析告警数据中提取的IOC数据。
步骤2:单体检测设备根据IOC匹配检测模块
IOC同步模块将已同步IOC数据发送给IOC检测模块;IOC检测模块根据已同步IOC数据,分别形成文件Hash、域名、源IP、目的IP匹配库,对于任何网络行为或系统行为中包含文件Hash、域名、源IP或目的IP时,均进行提取并在相应的匹配库中进行搜索匹配,对于匹配上的网络行为或系统行为直接进行告警,而无需再进行深度机器学习和行为分析,以节省系统资源开销。
首次请求IOC同步时的时间戳T:单体检测设备在从未发起IOC同步请求时,本地没有任何IOC,也没有最新IOC时间戳,首次发起IOC同步时的时间戳使用1970-01-0100:00:00。
IOC:Indicator of Compromise,威胁情报指标,一种在系统日志、网络行为或文件中发现的数据,这些数据可以识别系统或网络上潜在的恶意活动,如DNS域名、文件Hash值、IP地址等。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (2)
1.基于IOC智能提取及共享的协同防御方法,其特征在于:包括以下步骤:
S1)、单体检测设备上的IOC提取及上传模块上送提取的最新IOC数据到云端IOC情报中心模块的IOC采集过滤模块;
单体检测设备的IOC提取及上传模块从深度机器学习和行为分析产生的告警中提取IOC数据,作为最新IOC数据;
对网络行为或系统行为使用各种现有技术进行各类深度机器学习和行为分析,并产生告警,从告警信息中提取网络行为或系统行为的关键要素;
这些IOC数据包括两个特征;特征1:属于网络行为或系统行为的关键要素,包括文件Hash、域名、源IP、目的IP、时间戳;特征2:携带单体检测设备的版本号信息;
S2)、云端IOC情报中心模块的IOC采集过滤模块将最新IOC数据与云端IOC情报中心模块中已有IOC匹配,然后通知IOC变更数据到云端IOC情报中心模块的IOC共享分发模块;
IOC采集过滤模块接收各单体检测设备的IOC提取及上传模块智能产生的最新IOC数据,最新IOC数据和共享分发IOC情报库中的已有IOC数据进行匹配;
如果共享分发IOC情报库尚未收录该最新IOC数据,则新增最新IOC数据到云端,并记录相应的版本号和时间戳信息;如果云端已经记录最新IOC数据,则和云端已有IOC数据对应版本号做比较,当云端已有IOC数据对应版本号比该最新IOC数据对应设备版本号要更旧时,把云端已有IOC数据对应版本号信息更新为该最新IOC数据对应设备版本号;通知IOC变更数据到云端IOC情报中心模块的IOC共享分发模块;
S3)、单体检测设备的IOC同步模块从云端IOC情报中心的IOC共享分发模块同步最新IOC;
单体检测设备的IOC同步模块向云端IOC情报中心的IOC共享分发模块发起IOC同步请求,IOC同步请求携带本设备版本号及最新同步的IOC时间戳;从而获取比该IOC同步请求中的设备版本号相同或更新的,且时间戳比该次请求同步的时间戳更新的所有IOC,单体检测设备的IOC同步模块获取该IOC列表后在本地记录,同时记录该次IOC列表中最新的时间戳,作为已同步IOC数据;
单体检测设备的IOC提取及上传模块提取的“最新IOC数据”、或者云端IOC情报中心IOC采集过滤模块接收的“最新IOC数据”,均指某单体检测设备通过深度机器学习和行为分析告警数据中提取的IOC数据;
S4)、单体检测设备的IOC检测模块根据IOC对网络行为进行匹配检测产生告警;
IOC同步模块将已同步IOC数据发送给IOC检测模块;IOC检测模块根据已同步IOC数据,分别形成文件Hash、域名、源IP、目的IP匹配库,对于任何网络行为或系统行为中包含文件Hash、域名、源IP或目的IP时,均进行提取并在相应的匹配库中进行搜索匹配,对于匹配上的网络行为或系统行为直接进行告警,而无需再进行深度机器学习和行为分析,以节省系统资源开销;
首次请求IOC同步时的时间戳T:单体检测设备在从未发起IOC同步请求时,本地没有任何IOC,也没有最新IOC时间戳,首次发起IOC同步时的时间戳使用1970-01-01 00:00:00;
IOC:Indicator of Compromise,威胁情报指标,一种在系统日志、网络行为或文件中发现的数据,这些数据可以识别系统或网络上潜在的恶意活动,包括DNS域名、文件Hash值、IP地址。
2.根据权利要求1所述的基于IOC智能提取及共享的协同防御方法,其特征在于:
在步骤S1)中:IOC提取及上传模块对网络行为或系统行为使用各种现有技术进行各类深度机器学习和行为分析,并产生告警,从深度机器学习和行为分析产生的告警中提取IOC数据,作为最新IOC数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910907364.0A CN110677472B (zh) | 2019-09-24 | 2019-09-24 | 基于ioc智能提取及共享的协同防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910907364.0A CN110677472B (zh) | 2019-09-24 | 2019-09-24 | 基于ioc智能提取及共享的协同防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110677472A CN110677472A (zh) | 2020-01-10 |
CN110677472B true CN110677472B (zh) | 2022-08-23 |
Family
ID=69078896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910907364.0A Active CN110677472B (zh) | 2019-09-24 | 2019-09-24 | 基于ioc智能提取及共享的协同防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110677472B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116781432A (zh) * | 2023-08-24 | 2023-09-19 | 北京微步在线科技有限公司 | 一种情报数据的更新方法、装置、计算机设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
CN110177100A (zh) * | 2019-05-28 | 2019-08-27 | 哈尔滨工程大学 | 一种协同网络防御的安全设备数据通信协议 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
CN101938460B (zh) * | 2010-06-22 | 2014-04-09 | 北京中兴网安科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
US8438644B2 (en) * | 2011-03-07 | 2013-05-07 | Isight Partners, Inc. | Information system security based on threat vectors |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
CN106878262B (zh) * | 2016-12-19 | 2021-04-16 | 新华三技术有限公司 | 报文检测方法及装置、建立本地威胁情报库的方法及装置 |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
CN107391598B (zh) * | 2017-06-30 | 2021-01-26 | 北京航空航天大学 | 一种威胁情报自动生成方法及系统 |
CN109547479A (zh) * | 2018-12-27 | 2019-03-29 | 国网浙江省电力有限公司电力科学研究院 | 一种工业环境中威胁情报整合系统和方法 |
-
2019
- 2019-09-24 CN CN201910907364.0A patent/CN110677472B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
CN110177100A (zh) * | 2019-05-28 | 2019-08-27 | 哈尔滨工程大学 | 一种协同网络防御的安全设备数据通信协议 |
Non-Patent Citations (2)
Title |
---|
Hyeisun Cho, Seulgi Lee."Method of Quantification of Cyber Threat based on Indicator of Compromise".《 2018 International Conference on Platform Technology and Service 》.2018, * |
李瑜."美国网络威胁情报共享技术框架与标准浅析".《保密科学技术》.2016, * |
Also Published As
Publication number | Publication date |
---|---|
CN110677472A (zh) | 2020-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11876821B1 (en) | Combined real-time and batch threat detection | |
US10855715B2 (en) | Method for predicting security risks of assets on a computer network | |
US10867034B2 (en) | Method for detecting a cyber attack | |
US10666668B2 (en) | Interface providing an interactive trendline for a detected threat to facilitate evaluation for false positives | |
US10567424B2 (en) | Determining security actions for security threats using enrichment information | |
CN101714931A (zh) | 一种未知恶意代码的预警方法、设备和系统 | |
CN110677472B (zh) | 基于ioc智能提取及共享的协同防御方法 | |
CN114124516A (zh) | 态势感知预测方法、装置及系统 | |
US11477161B1 (en) | Systems and methods for detecting DNS communications through time-to-live analyses | |
Fatemi et al. | Threat hunting in windows using big security log data | |
CN113849820A (zh) | 一种漏洞检测方法及装置 | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
KR101131072B1 (ko) | 네트워크 시간 동기화 정보를 이용한 복수 단말 분류 방법 | |
CN108055276B (zh) | 面向大数据应用平台的入侵检测实时分析系统 | |
EP3484122A1 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
CN111371917A (zh) | 一种域名检测方法及系统 | |
US11936545B1 (en) | Systems and methods for detecting beaconing communications in aggregated traffic data | |
Brilingaitė et al. | Time-line alignment of cyber incidents in heterogeneous environments | |
CN115277077A (zh) | 一种确定处于通信频繁模式的受控设备的方法及系统 | |
CN110912860B (zh) | 一种检测伪周期性访问行为的方法及装置 | |
CN117914511A (zh) | 一种基于数据交换、日志分析的安全审计系统 | |
CN117768221A (zh) | 互联网资产暴露面探测方法、系统、电子设备及存储介质 | |
Deason et al. | Problem Statement and Methodology | |
CN115296888A (zh) | 数据雷达监测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |