CN110764969A - 网络攻击溯源方法及装置 - Google Patents
网络攻击溯源方法及装置 Download PDFInfo
- Publication number
- CN110764969A CN110764969A CN201911023632.9A CN201911023632A CN110764969A CN 110764969 A CN110764969 A CN 110764969A CN 201911023632 A CN201911023632 A CN 201911023632A CN 110764969 A CN110764969 A CN 110764969A
- Authority
- CN
- China
- Prior art keywords
- address information
- network
- network address
- attack
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/29—Geographical information databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T11/00—2D [Two Dimensional] image generation
- G06T11/20—Drawing from basic elements, e.g. lines or circles
- G06T11/206—Drawing of charts or graphs
Abstract
本申请提供一种网络攻击溯源方法及装置。其中,所述方法包括,当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志,基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中,然后将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息。最后根据所述攻击源和攻击目标的网络位置信息可以快速生成网络攻击路径图,能够实时准确地还原整个网络攻击拓扑,进而用户可以快速对遭受攻击的网络资产和用户终端进行告警和修复,减少相应损失。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种网络攻击溯源方法及装置。
背景技术
近年来,随着网络的不断普及,网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势。因此,网络安全问题也需要网络用户不断的关注并采取有效的安全防护措施。
目前,大多数的网络安全防护方案都是安全管理员通过安全运行中心SOC(Security Operation Center),进行人工管理,对于网络攻击事件进行手动统计和人工工单下发处理。由于人工管理和人工预警会不可避免的存在滞后性,导致网络遭受一定的损失。
而为了减少网络攻击造成的损失,越来越多的安全分析场景需要对全网环境中遭受的攻击进行快速准确还原,以能够实时准确的描述出全网资产(如各种通信网络设备)和用户终端(如各式电脑)遭受的攻击,并进行实时告警和工单处理。在遭遇网络攻击时,安全防御日志源(各种用于防御网络攻击的安全设备)会产生大量的日志,导致用户无法快速留存和发现重要的日志。
因此,如何实时准确的显示当前网络中哪些资产和用户终端遭受了具体的攻击和安全事件,进而对关键网络资产和用户终端进行告警和修复,还原整个网络攻击拓扑,是本领域亟需解决的技术问题。
发明内容
有鉴于此,本申请提供一种网络攻击溯源方法及装置、一种网络攻击溯源设备以及一种计算机可读存储介质,以能够实时准确地还原整个网络攻击拓扑。
本申请第一方面提供一种网络攻击溯源方法,包括:
当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志;
基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中;
将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息;其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系;
根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。
在本申请的一些实施方式中,所述网络地址信息为外网地址信息或内网地址信息;
所述网络位置信息为国家地理位置信息或资产位置信息;
所述基础信息数据库中包括国家地理数据库和资产基础信息数据库,所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系,所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系。
在本申请的一些实施方式中,所述将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息,包括:
判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息;
若是外网地址信息,则将网络地址信息与国家地理数据库进行匹配,得到网络地址信息对应的国家地理位置信息;
若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,得到网络地址信息对应的资产位置信息。
在本申请的一些实施方式中,所述若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,包括:
判断所述网络地址信息所属内网网段,所述内网网段包括内网用户网段和内网区域网段;
若所述网络地址信息属于内网用户网段,则按照资产基础信息数据库中的用户信息生成用户名;
若所述网络地址信息属于内网区域网段,则按照以下匹配规则进行匹配:
将所述网络地址信息与资产基础信息数据库中的三元组网络地址信息进行匹配,所述三元组网络地址信息包括IP地址、端口号和网络域名;
若没有匹配的三元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的二元组网络地址信息进行匹配,所述二元组网络地址信息包括IP地址和端口号;
若没有匹配的二元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的单一IP网络地址信息进行匹配。
在本申请的一些实施方式中,所述方法还包括:
监控网络地址信息与网络位置信息的对应关系是否发生改变;若是,则更新所述基础信息数据库。
本申请第二方面提供一种网络攻击溯源装置,包括:
获取模块,用于当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志;
提取模块,用于基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中;
匹配模块,将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息;其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系;
生成模块,用于根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。
在本申请的一些实施方式中,所述网络地址信息为外网地址信息或内网地址信息;
所述网络位置信息为国家地理位置信息或资产位置信息;
所述基础信息数据库中包括国家地理数据库和资产基础信息数据库,所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系,所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系。
在本申请的一些实施方式中,所述匹配模块,包括:
判断单元,用于判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息;
外网匹配单元,用于若是外网地址信息,则将网络地址信息与国家地理数据库进行匹配,得到网络地址信息对应的国家地理位置信息;
内网匹配单元,用于若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,得到网络地址信息对应的资产位置信息。
在本申请的一些实施方式中,所述内网匹配单元,具体用于:
判断所述网络地址信息所属内网网段,所述内网网段包括内网用户网段和内网区域网段;
若所述网络地址信息属于内网用户网段,则按照资产基础信息数据库中的用户信息生成用户名;
若所述网络地址信息属于内网区域网段,则按照以下匹配规则进行匹配:
将所述网络地址信息与资产基础信息数据库中的三元组网络地址信息进行匹配,所述三元组网络地址信息包括IP地址、端口号和网络域名;
若没有匹配的三元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的二元组网络地址信息进行匹配,所述二元组网络地址信息包括IP地址和端口号;
若没有匹配的二元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的单一IP网络地址信息进行匹配。
在本申请的一些实施方式中,所述装置还包括:
更新模块,用于监控网络地址信息与网络位置信息的对应关系是否发生改变;若是,则更新所述基础信息数据库。
本申请第三方面提供一种网络攻击溯源设备,该设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现以实现本申请第一方面所述的方法。
本申请第四方面提供一种计算机可读存储介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现本申请第一方面所述的方法。
相较于现有技术,本申请提供的网络攻击溯源方法、装置、设备及存储介质,当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志,基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中,然后将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息。其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系。最后根据所述攻击源和攻击目标的网络位置信息可以快速生成网络攻击路径图,能够实时准确地还原整个网络攻击拓扑,进而用户可以快速对遭受攻击的网络资产和用户终端进行告警和修复,减少相应损失。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本申请的一些实施方式所提供的一种网络攻击溯源方法的流程图;
图2示出了本申请的一些实施方式所提供的网络攻击路径示意图;
图3示出了本申请的一些实施方式所提供的网络地址信息匹配的流程图;
图4示出了本申请的一些实施方式所提供的一种网络攻击溯源装置的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
另外,术语“第一”和“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例提供一种网络攻击溯源方法及装置、一种网络攻击溯源设备以及一种计算机可读存储介质,下面结合附图进行说明。
请参考图1,其示出了本申请的一些实施方式所提供的一种网络攻击溯源方法的流程图,如图所示,所述网络攻击溯源方法,可以包括以下步骤:
步骤S101:当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志。
本实施例中,上述网络为构建的一个内网,其中包括很多用于联网的网络设备以及用户终端(或称为用户主机)等资产,还有至少一台用于监控网络攻击的安全设备。该安全设备在网络遭受攻击时会生成攻击事件对应的日志数据(攻击日志),该日志数据中会记录有攻击事件的源IP地址、目的IP地址、端口号、网络域名、攻击类型等。
实际应用中,网络内资产往往属于不同的区域,例如服务中心、办公区等。对于当前已在网络中的资产,也就是内网节点,一般都会对应有资产基础信息(例如资产名称、所属业务名称、所属业务ID、资产类型名称、资产价值)和网络位置信息(例如资产区域ID、资产所述区域的父子结构)。可以理解,每条日志数据中记录的攻击源可能为内网节点,也可以是外网节点,当为外网节点时,可以根据其网络地址信息判断其网络位置信息,也就是其对应的地理位置信息。
实际应用中,可以在当前网络中设置一采集器,用来采集当前网络中安全设备最新生成的与攻击事件对应的日志数据,该采集器可以单独设置,也可以集成到安全设备中,采集日志数据的方式可以为主动采集和被动采集,被动采集为安全设备产生日志数据后自动发送至采集器。
步骤S102:基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中。
实际应用中,流式计算的具体算法,可以根据实际场景选用SPARK流式技术或STORM流式技术
步骤S103:将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息。
其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系。
其中,上述网络地址信息可以为外网地址信息,也可以为内网地址信息,具体可以根据外网网段的划分和用户配置的内网网段来区分;所述网络位置信息包括国家地理位置信息(例如美国、广州等)和资产位置信息(资产所属区域等)。
其中,所述基础信息数据库是根据网络地址信息与网络位置信息的对应关系预先建立在内存中的。实际应用中,可以在用户按照区域分别录入资产基础信息至SOC平台时,以触发流式丰富插件的方式将区域拓扑信息、资产信息和用户信息全部写入基础信息数据库中,该流式丰富插件为一程序,可以实时监控网络资产信息的变化。因此,当用户更新网络资产信息时,同样会触发流式丰富插件,将最新资产信息写入基础信息数据库中。本实施例可以实时进行内网资产自动发现并且和攻击日志进行关联,也可以动态生成全网资产的拓扑图。
举例说明,假设某建设厅内网环境中有核心业务系统的配置如下,用户在SOC平台中进行录入。
| 资产名称 | IP地址 | 端口号 | 网络域名 |
| oracle服务器 | 182.9.0.2 | 1521 | |
| 核心业务数据查询应用 | 182.9.0.3 | 3306 | webdomain.cn |
用户录入后,流式丰富插件会实时触发,将以上信息按照内存数据结构刷入基础信息数据库中。该内存数据结构包括上述资产基础信息(例如资产名称、所属业务名称、所属业务ID、资产类型名称、资产价值)和网络位置信息(例如资产区域ID、资产所述区域的父子结构),以及网络地址信息(例如IP地址、端口号和网络域名)。
可以理解,建立在内存中的数据库可以称为内存数据库,内存数据库就是将数据放在内存中直接操作的数据库,相对于磁盘,内存的数据读写速度要高出几个数量级,将数据保存在内存中相比从磁盘上访问能够极大地提高应用的性能,因此,通过上述方案可以实时快速将日志数据中的网络地址信息还原为具体的区域信息或地理位置信息。
具体的,内存采用高速缓存集群(如远程字典服务,Remote Dictionary Server,REDIS)。
步骤S104:根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。
本实施例中,利用步骤S103的匹配结果,通过二次聚合分析,可以生成完整的网络攻击路径图,攻击事件的攻击路径图可以清楚的对攻击事件的攻击源和沿途受害主机进行定位,例如,攻击路径为美国弗洛里达州(外网)至某省建设厅资产信息处(内网),攻击类型为恶意漏洞扫描,攻击病毒为木马肉机;再比如,攻击路径从用户研发区(内网)至用户核心服务器对外服务区(内网),攻击病毒为勒索病毒。
为了便于理解,请参看图2,其示出了本申请的一些实施方式所提供的网络攻击路径示意图,如图所示,包括内网和外网,外网攻击源位于英国伦敦和中国广州,内网节点资产按照资产价值划分,分别标以不同的颜色,例如,
“红色表示资产价值值为5-很高”,“橙黄表示资产价值值为4-高”,“黄色表示资产价值值为3-中”,“蓝色表示资产价值值为2-低”,“绿色表示资产价值值为1-很低”。还规定了恶意文件扩散方式图例,如邮件扩散图例和http扩散图例。通过上述网络攻击路径图可以清楚看到恶意文件的攻击路径,便于有针对性的网络防御。
以上,为本申请实施例提供的一种网络攻击溯源方法的示例性说明,本申请上述实施例提供的网络攻击溯源方法,当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志,基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中,然后将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息。其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系。最后根据所述攻击源和攻击目标的网络位置信息可以快速生成网络攻击路径图,能够实时准确地还原整个网络攻击拓扑,进而用户可以快速对遭受攻击的网络资产和用户终端进行告警和修复,减少相应损失。
在本申请实施例的一些变更实施方式中,所述基础信息数据库可以分为国家地理数据库和资产基础信息数据库,所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系,所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系,这样有利于分别进行维护和更新。
为了便于理解上述匹配过程,以下结合图3进行说明,图3示出了本申请的一些实施方式所提供的网络地址信息匹配的流程图,如图3所示,基于上述实施方式,上述步骤S102可以具体实现为:
S1、内外网判断:判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息;
S2、匹配国家地理数据库:若是外网地址信息,则将网络地址信息与国家地理数据库进行匹配,得到网络地址信息对应的国家地理位置信息;具体的,若判断结果为外网地址信息,则将网络地址信息与国家地理数据库进行匹配,可以把IP地址丰富成国家或地区。
S3、匹配资产基础信息数据库:若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,得到网络地址信息对应的资产位置信息。
若判断结果为内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,可以具体实现为:
S31、内网网段判断:判断所述网络地址信息所属内网网段,所述内网网段包括内网用户网段和内网区域网段;
S32、用户信息匹配:若所述网络地址信息属于内网用户网段,则按照资产基础信息数据库中的用户信息生成用户名;
若所述网络地址信息属于内网区域网段,则按照以下匹配规则进行匹配:
S33、三元组匹配:将所述网络地址信息与资产基础信息数据库中的三元组网络地址信息进行匹配,所述三元组网络地址信息包括IP地址、端口号和网络域名;
S34、二元组匹配:若没有匹配的三元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的二元组网络地址信息进行匹配,所述二元组网络地址信息包括IP地址和端口号;
S35、单一IP匹配:若没有匹配的二元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的单一IP网络地址信息进行匹配。
S36、若最终无法匹配,则将攻击日志数据加入攻击数据库,并生成告警工单,用户即可通过常规的联动处理进行实时阻断和隔离。
例如,内网IP地址是下面几个网段的IP地址,用户可以自行设置。
10.0.0.0~10.255.255.255(内网区域网段)
172.16.0.0~172.31.255.255(内网区域网段)
192.168.0.0~192.168.255.255(内网用户网段)
在前述任一实施方式的基础上,在一些变更实施方式中,上述方法还可以包括:监控网络地址信息与网络位置信息的对应关系是否发生改变;若是,则更新所述基础信息数据库。
具体的,可以利用流式丰富插件实时监控网络资产信息的变化,当有变化时,对内存中的基础信息数据库进行更新。本实施方式,通过实时更新,可以保持内存中基础信息数据库的准确性,有利于生成攻击路径的准确。
在上述的实施例中,提供了一种网络攻击溯源方法,与之相对应的,本申请还提供一种网络攻击溯源装置。本申请实施例提供的网络攻击溯源装置可以实施上述网络攻击溯源方法,该网络攻击溯源装置可以通过软件、硬件或软硬结合的方式来实现。例如,该网络攻击溯源装置可以包括集成的或分开的功能模块或单元来执行上述各方法中的对应步骤。请参考图4,其示出了本申请的一些实施方式所提供的一种网络攻击溯源装置的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
如图4所示,所述网络攻击溯源装置10,可以包括:
获取模块101,用于当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志;
提取模块102,用于基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中;
匹配模块103,将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息;其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系;
生成模块104,用于根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。
在本申请实施例的一些变更实施方式中,所述网络地址信息为外网地址信息或内网地址信息;
所述网络位置信息为国家地理位置信息或资产位置信息;
所述基础信息数据库中包括国家地理数据库和资产基础信息数据库,所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系,所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系。
在本申请实施例的一些变更实施方式中,所述匹配模块103,可以包括:
判断单元,用于判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息;
外网匹配单元,用于若是外网地址信息,则将网络地址信息与国家地理数据库进行匹配,得到网络地址信息对应的国家地理位置信息;
内网匹配单元,用于若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,得到网络地址信息对应的资产位置信息。
在本申请实施例的一些变更实施方式中,所述内网匹配单元,具体用于:
判断所述网络地址信息所属内网网段,所述内网网段包括内网用户网段和内网区域网段;
若所述网络地址信息属于内网用户网段,则按照资产基础信息数据库中的用户信息生成用户名;
若所述网络地址信息属于内网区域网段,则按照以下匹配规则进行匹配:
将所述网络地址信息与资产基础信息数据库中的三元组网络地址信息进行匹配,所述三元组网络地址信息包括IP地址、端口号和网络域名;
若没有匹配的三元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的二元组网络地址信息进行匹配,所述二元组网络地址信息包括IP地址和端口号;
若没有匹配的二元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的单一IP网络地址信息进行匹配。
在本申请实施例的一些变更实施方式中,所述装置10还包括:
更新模块,用于监控网络地址信息与网络位置信息的对应关系是否发生改变;若是,则更新所述基础信息数据库。
本申请实施例提供的网络攻击溯源装置10,与本申请前述实施例提供的网络攻击溯源方法出于相同的发明构思,具有相同的有益效果。
为了实现上述各实施例,本申请一实施例还提出了一种网络攻击溯源设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述任一实施例的网络攻击溯源方法。所述网络攻击溯源设备与本申请实施例提供的网络攻击溯源方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的网络攻击溯源方法对应的计算机可读存储介质,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的网络攻击溯源方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的网络攻击溯源方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些物理端口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围,其均应涵盖在本申请的权利要求和说明书的范围当中。
Claims (10)
1.一种网络攻击溯源方法,其特征在于,包括:
当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志;
基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中;
将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息;其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系;
根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。
2.根据权利要求1所述的方法,其特征在于,所述网络地址信息为外网地址信息或内网地址信息;
所述网络位置信息为国家地理位置信息或资产位置信息;
所述基础信息数据库中包括国家地理数据库和资产基础信息数据库,所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系,所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息,包括:
判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息;
若是外网地址信息,则将网络地址信息与国家地理数据库进行匹配,得到网络地址信息对应的国家地理位置信息;
若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,得到网络地址信息对应的资产位置信息。
4.根据权利要求3所述的方法,其特征在于,所述若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,包括:
判断所述网络地址信息所属内网网段,所述内网网段包括内网用户网段和内网区域网段;
若所述网络地址信息属于内网用户网段,则按照资产基础信息数据库中的用户信息生成用户名;
若所述网络地址信息属于内网区域网段,则按照以下匹配规则进行匹配:
将所述网络地址信息与资产基础信息数据库中的三元组网络地址信息进行匹配,所述三元组网络地址信息包括IP地址、端口号和网络域名;
若没有匹配的三元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的二元组网络地址信息进行匹配,所述二元组网络地址信息包括IP地址和端口号;
若没有匹配的二元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的单一IP网络地址信息进行匹配。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
监控网络地址信息与网络位置信息的对应关系是否发生改变;若是,则更新所述基础信息数据库。
6.一种网络攻击溯源装置,其特征在于,包括:
获取模块,用于当接收到网络中安全设备上报的攻击事件时,获取所述安全设备生成的与所述攻击事件对应的攻击日志;
提取模块,用于基于流式计算,提取所述攻击日志中攻击源和攻击目标的网络地址信息,并存储到内存中;
匹配模块,将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配,得到所述攻击源和攻击目标的网络位置信息;其中,所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系;
生成模块,用于根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。
7.根据权利要求6所述的装置,其特征在于,所述网络地址信息为外网地址信息或内网地址信息;
所述网络位置信息为国家地理位置信息或资产位置信息;
所述基础信息数据库中包括国家地理数据库和资产基础信息数据库,所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系,所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系。
8.根据权利要求7所述的装置,其特征在于,所述匹配模块,包括:
判断单元,用于判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息;
外网匹配单元,用于若是外网地址信息,则将网络地址信息与国家地理数据库进行匹配,得到网络地址信息对应的国家地理位置信息;
内网匹配单元,用于若是内网地址信息,则将网络地址信息与资产基础信息数据库进行匹配,得到网络地址信息对应的资产位置信息。
9.根据权利要求8所述的装置,其特征在于,所述内网匹配单元,具体用于:
判断所述网络地址信息所属内网网段,所述内网网段包括内网用户网段和内网区域网段;
若所述网络地址信息属于内网用户网段,则按照资产基础信息数据库中的用户信息生成用户名;
若所述网络地址信息属于内网区域网段,则按照以下匹配规则进行匹配:
将所述网络地址信息与资产基础信息数据库中的三元组网络地址信息进行匹配,所述三元组网络地址信息包括IP地址、端口号和网络域名;
若没有匹配的三元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的二元组网络地址信息进行匹配,所述二元组网络地址信息包括IP地址和端口号;
若没有匹配的二元组网络地址信息,则将所述网络地址信息与资产基础信息数据库中的单一IP网络地址信息进行匹配。
10.根据权利要求6至9任一项所述的装置,其特征在于,所述装置还包括:
更新模块,用于监控网络地址信息与网络位置信息的对应关系是否发生改变;若是,则更新所述基础信息数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911023632.9A CN110764969A (zh) | 2019-10-25 | 2019-10-25 | 网络攻击溯源方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911023632.9A CN110764969A (zh) | 2019-10-25 | 2019-10-25 | 网络攻击溯源方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110764969A true CN110764969A (zh) | 2020-02-07 |
Family
ID=69333704
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911023632.9A Pending CN110764969A (zh) | 2019-10-25 | 2019-10-25 | 网络攻击溯源方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110764969A (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN111885034A (zh) * | 2020-07-15 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 物联网攻击事件追踪方法、装置和计算机设备 |
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN112839061A (zh) * | 2021-03-04 | 2021-05-25 | 哈尔滨安天科技集团股份有限公司 | 一种基于区域特征的溯源方法和装置 |
| CN113360892A (zh) * | 2020-03-04 | 2021-09-07 | 中国电信股份有限公司 | 攻击路径还原方法和装置、计算机可读存储介质 |
| CN113407874A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 网络地址展示方法、装置、电子设备及可读存储介质 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
| CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
| CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
| CN114422163A (zh) * | 2021-11-26 | 2022-04-29 | 苏州浪潮智能科技有限公司 | 一种内网安全防护方法、系统、计算机设备及存储介质 |
| CN114448679A (zh) * | 2022-01-04 | 2022-05-06 | 深圳萨摩耶数字科技有限公司 | 攻击链构建方法、装置、电子设备及存储介质 |
| CN114499959A (zh) * | 2021-12-24 | 2022-05-13 | 北京网神洞鉴科技有限公司 | 服务器攻击溯源方法及装置 |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
| CN114780956A (zh) * | 2022-06-21 | 2022-07-22 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源系统 |
| CN114844658A (zh) * | 2021-01-15 | 2022-08-02 | 中国移动通信有限公司研究院 | 一种确定归属地源地址方法、装置及存储介质 |
| CN115242608A (zh) * | 2022-07-12 | 2022-10-25 | 广东润联信息技术有限公司 | 告警信息的生成方法、装置、设备及存储介质 |
| CN115622796A (zh) * | 2022-11-16 | 2023-01-17 | 南京南瑞信息通信科技有限公司 | 网络安全联动响应作战图生成方法、系统、装置及介质 |
| CN115801305A (zh) * | 2022-09-08 | 2023-03-14 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050060582A1 (en) * | 2003-09-17 | 2005-03-17 | Choi Yang Seo | Apparatus and method for providing real-time traceback connection using connection redirection technique |
| KR20130049336A (ko) * | 2011-11-04 | 2013-05-14 | 한국전자통신연구원 | 공격 근원지 및 공격 유포지 추적 방법 및 시스템 |
| CN104901850A (zh) * | 2015-06-12 | 2015-09-09 | 国家计算机网络与信息安全管理中心广东分中心 | 一种恶意代码终端感染机器网络定位方法 |
| CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN107360271A (zh) * | 2017-08-22 | 2017-11-17 | 顺丰科技有限公司 | 网络设备信息获取及ip地址自动分割方法、系统及设备 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
-
2019
- 2019-10-25 CN CN201911023632.9A patent/CN110764969A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050060582A1 (en) * | 2003-09-17 | 2005-03-17 | Choi Yang Seo | Apparatus and method for providing real-time traceback connection using connection redirection technique |
| KR20130049336A (ko) * | 2011-11-04 | 2013-05-14 | 한국전자통신연구원 | 공격 근원지 및 공격 유포지 추적 방법 및 시스템 |
| CN104901850A (zh) * | 2015-06-12 | 2015-09-09 | 国家计算机网络与信息安全管理中心广东分中心 | 一种恶意代码终端感染机器网络定位方法 |
| CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN107360271A (zh) * | 2017-08-22 | 2017-11-17 | 顺丰科技有限公司 | 网络设备信息获取及ip地址自动分割方法、系统及设备 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113360892A (zh) * | 2020-03-04 | 2021-09-07 | 中国电信股份有限公司 | 攻击路径还原方法和装置、计算机可读存储介质 |
| CN113360892B (zh) * | 2020-03-04 | 2023-12-01 | 中国电信股份有限公司 | 攻击路径还原方法和装置、计算机可读存储介质 |
| CN113407874A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 网络地址展示方法、装置、电子设备及可读存储介质 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN111488572B (zh) * | 2020-03-27 | 2024-01-19 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN111885034A (zh) * | 2020-07-15 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 物联网攻击事件追踪方法、装置和计算机设备 |
| CN111885034B (zh) * | 2020-07-15 | 2022-09-13 | 杭州安恒信息技术股份有限公司 | 物联网攻击事件追踪方法、装置和计算机设备 |
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN114844658A (zh) * | 2021-01-15 | 2022-08-02 | 中国移动通信有限公司研究院 | 一种确定归属地源地址方法、装置及存储介质 |
| CN112839061B (zh) * | 2021-03-04 | 2022-11-25 | 安天科技集团股份有限公司 | 一种基于区域特征的溯源方法和装置 |
| CN112839061A (zh) * | 2021-03-04 | 2021-05-25 | 哈尔滨安天科技集团股份有限公司 | 一种基于区域特征的溯源方法和装置 |
| CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
| CN114422163A (zh) * | 2021-11-26 | 2022-04-29 | 苏州浪潮智能科技有限公司 | 一种内网安全防护方法、系统、计算机设备及存储介质 |
| CN114422163B (zh) * | 2021-11-26 | 2023-07-21 | 苏州浪潮智能科技有限公司 | 一种内网安全防护方法、系统、计算机设备及存储介质 |
| CN114499959A (zh) * | 2021-12-24 | 2022-05-13 | 北京网神洞鉴科技有限公司 | 服务器攻击溯源方法及装置 |
| CN114499959B (zh) * | 2021-12-24 | 2024-04-16 | 北京网神洞鉴科技有限公司 | 服务器攻击溯源方法及装置 |
| CN114448679A (zh) * | 2022-01-04 | 2022-05-06 | 深圳萨摩耶数字科技有限公司 | 攻击链构建方法、装置、电子设备及存储介质 |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
| CN114780956A (zh) * | 2022-06-21 | 2022-07-22 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源系统 |
| CN115242608A (zh) * | 2022-07-12 | 2022-10-25 | 广东润联信息技术有限公司 | 告警信息的生成方法、装置、设备及存储介质 |
| CN115801305A (zh) * | 2022-09-08 | 2023-03-14 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
| CN115801305B (zh) * | 2022-09-08 | 2023-11-07 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
| CN115622796A (zh) * | 2022-11-16 | 2023-01-17 | 南京南瑞信息通信科技有限公司 | 网络安全联动响应作战图生成方法、系统、装置及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110764969A (zh) | 网络攻击溯源方法及装置 | |
| CN107623697B (zh) | 一种基于攻防随机博弈模型的网络安全态势评估方法 | |
| US10867034B2 (en) | Method for detecting a cyber attack | |
| Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
| US20200013065A1 (en) | Method and Apparatus of Identifying a Transaction Risk | |
| KR101497610B1 (ko) | 컴퓨터 네트워크 보안을 보조하기 위한 자산 모델의 실시간식별 및 자산의 카테고리화 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN111581397A (zh) | 一种基于知识图谱的网络攻击溯源方法、装置及设备 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| WO2015149062A1 (en) | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment | |
| US11431792B2 (en) | Determining contextual information for alerts | |
| US11115455B2 (en) | Technique for monitoring activity in a content delivery network utilizing geohashing indexes | |
| CN113612783B (zh) | 一种蜜罐防护系统 | |
| CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN104871171A (zh) | 分布式模式发现 | |
| CN110445772B (zh) | 一种基于主机关系的互联网主机扫描方法及系统 | |
| Khan et al. | Towards an applicability of current network forensics for cloud networks: A SWOT analysis | |
| CN112422513A (zh) | 一种基于网络流量报文的异常检测和攻击发起者分析系统 | |
| CN116644468A (zh) | 一种矿用通风机故障监测用智能信息存储系统 | |
| CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
| Tao et al. | A hybrid alarm association method based on AP clustering and causality | |
| CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
| CN101197810A (zh) | 一种实时检测蠕虫的方法 | |
| CN108809909A (zh) | 数据处理方法及数据处理装置 | |
| CN113923025A (zh) | 一种工控网络中的威胁检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200207 |
|
| RJ01 | Rejection of invention patent application after publication |