CN110765391A - 一种安全检测方法、装置、电子设备及存储介质 - Google Patents
一种安全检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110765391A CN110765391A CN201910870987.5A CN201910870987A CN110765391A CN 110765391 A CN110765391 A CN 110765391A CN 201910870987 A CN201910870987 A CN 201910870987A CN 110765391 A CN110765391 A CN 110765391A
- Authority
- CN
- China
- Prior art keywords
- path
- group
- clustering
- target
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
Abstract
本申请提供了一种安全检测方法、装置、电子设备及存储介质,其中,该方法包括:根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配第一特征组的至少一组第一特征值;基于上述第一关联关系及至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径;根据第一路径中包括的第一特征值,将至少一条第一路径划分为至少一个第一路径组,并生成对应于每个第一路径组的第一聚类交互图;基于每个第一聚类交互图中的至少一条第一路径,生成对应于每个第一聚类交互图的第一目标事件。本申请,实现了对无法定义关联规则的复杂事件进行监控,提高了监控效率。
Description
技术领域
本申请涉及安全处理技术领域,具体而言,涉及一种安全检测方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的快速发展,人们的生活也深深受到互联网的影响。在享受互联网移动技术带来便利的同时,各种信息技术安全问题也日益突出,随着网络安全事件爆发的次数日益增加,事件的影响和造成的损失也越来越大,因此安全检测的意义也变得越来越重要。
目前的安全检测方法是预先定义规则告警引擎,通过上述规则告警引擎完成对大量的数据的分析以及告警处理,以规避或降低安全事件带来的风险和损失。
但是,目前安全检测方法只能对简单场景中的简单事件进行监控,但是对于复杂场景中的复杂事件,比如有一些潜在的安全威胁事件往往事先并不知道其符合哪种关联规则,则无法进行监控,进而导致监控效率低。
发明内容
有鉴于此,本申请实施例的目的在于提供一种安全检测方法、装置、电子设备及存储介质,实现了对无法定义关联规则的复杂事件进行监控,提高了监控效率。
第一方面,本申请实施例提供了一种安全检测方法,包括:
根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配所述第一特征组的至少一组第一特征值;
基于所述第一关联关系以及所述至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径;
根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,并生成对应于每个所述第一路径组的第一聚类交互图;
针对每一个第一聚类交互图,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件。
在一种可选的实施方式中,在生成对应于该第一聚类交互图的第一目标事件之后,所述安全检测方法还包括:
根据第二特征组中的多个具有第二关联关系的第二特征,从所述目标数据源中获取匹配所述第二特征组的至少一组第二特征值;其中,至少一个所述第二特征与所述第一特征相同;
基于所述第二关联关系以及所述至少一组第二特征值,生成表征每组第二特征值之间的第二关联关系的至少一条第二路径;
根据所述第二路径中包括的第二特征值,将所述至少一条第二路径划分为至少一个第二路径组,并生成对应于每个所述第二路径组的第二聚类交互图;
针对每一个第二聚类交互图,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
在一种可选的实施方式中,所述根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,包括:
从所述第一路径中筛选出包括目标第一特征值的目标第一路径;
将包括有相同目标第一特征值的目标第一路径划分到同一个第一路径组中,得到至少一个第一路径组。
在一种可选的实施方式中,所述基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件,包括:
基于该第一聚类交互图中的至少一条第一路径以及该至少一条第一路径的聚类个数,生成对应于该第一聚类交互图的第一目标事件;
或者,
基于该第一聚类交互图中的至少一条第一路径、该至少一条第一路径的聚类个数以及该至少一条第一路径中包括的相同第一特征值的聚类个数,生成对应于该第一聚类交互图的第一目标事件。
在一种可选的实施方式中,在生成对应于每个所述第一路径组的第一聚类交互图之后,所述安全检测方法还包括:
针对所述第一聚类交互图中每一个第一特征值,统计该第一特征值对应的聚类个数;
基于各个所述第一特征值分别对应的聚类个数,将各个所述第一特征值按照聚类个数从大到小的顺序进行排序;
基于各个所述第一特征值按照聚类个数从大到小的排序顺序,在显示设备的目标展示区域依次展示各个第一特征值。
在一种可选的实施方式中,通过如下方法确定所述显示设备的目标展示区域:
针对每一个第一聚类交互图,若该第一聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内不存在其他第一聚类交互图,则确定当前展示区域为所述目标展示区域;
若该聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内存在其他第一聚类交互图,则确定当前展示区域的下一个展示区域为所述目标展示区域;
若该聚类交互图中的节点个数小于所述显示设备中当前展示区域内的可用节点个数,则确定当前展示区域为所述目标展示区域;其中,所述第一聚类交互图中的每一个第一特征值对应一个节点。
第二方面,本申请实施例还提供了一种安全检测装置,包括:
第一获取模块,用于根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配所述第一特征组的至少一组第一特征值;
第一生成模块,用于基于所述第一关联关系以及所述至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径;
第二生成模块,用于根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,并生成对应于每个所述第一路径组的第一聚类交互图;
第三生成模块,用于针对每一个第一聚类交互图,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件。
在一种可选的实施方式中,所述安全检测装置还包括:
第二获取模块,用于在生成对应于该第一聚类交互图的第一目标事件之后,根据第二特征组中的多个具有第二关联关系的第二特征,从所述目标数据源中获取匹配所述第二特征组的至少一组第二特征值;其中,至少一个所述第二特征与所述第一特征相同;
第四生成模块,用于基于所述第二关联关系以及所述至少一组第二特征值,生成表征每组第二特征值之间的第二关联关系的至少一条第二路径;
第五生成模块,用于根据所述第二路径中包括的第二特征值,将所述至少一条第二路径划分为至少一个第二路径组,并生成对应于每个所述第二路径组的第二聚类交互图;
第六生成模块,用于针对每一个第二聚类交互图,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
在一种可选的实施方式中,第二生成模块在根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组时,包括:
从所述第一路径中筛选出包括目标第一特征值的目标第一路径;
将包括有相同目标第一特征值的目标第一路径划分到同一个第一路径组中,得到至少一个第一路径组。
在一种可选的实施方式中,第三生成模块在基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件时,包括:
基于该第一聚类交互图中的至少一条第一路径以及该至少一条第一路径的聚类个数,生成对应于该第一聚类交互图的第一目标事件;
或者,
基于该第一聚类交互图中的至少一条第一路径、该至少一条第一路径的聚类个数以及该至少一条第一路径中包括的相同第一特征值的聚类个数,生成对应于该第一聚类交互图的第一目标事件。
在一种可选的实施方式中,所述安全检测装置还包括:
统计模块,用于在生成对应于每个所述第一路径组的第一聚类交互图之后,针对所述第一聚类交互图中每一个第一特征值,统计该第一特征值对应的聚类个数;
排序模块,用于基于各个所述第一特征值分别对应的聚类个数,将各个所述第一特征值按照聚类个数从大到小的顺序进行排序;
展示模块,用于基于各个所述第一特征值按照聚类个数从大到小的排序顺序,在显示设备的目标展示区域依次展示各个第一特征值。
在一种可选的实施方式中,上述安全检测装置还包括:
第一确定模块,用于针对每一个第一聚类交互图,若该第一聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内不存在其他第一聚类交互图,则确定当前展示区域为所述目标展示区域;
第二确定模块,用于若该聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内存在其他第一聚类交互图,则确定当前展示区域的下一个展示区域为所述目标展示区域;
第三确定模块,用于若该聚类交互图中的节点个数小于所述显示设备中当前展示区域内的可用节点个数,则确定当前展示区域为所述目标展示区域;其中,所述第一聚类交互图中的每一个第一特征值对应一个节点。
第三方面,本申请实施例还提供了一种电子设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如第一方面任一项所述的安全检测方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如第一方面任一项所述的安全检测方法的步骤。
本申请实施例提供的一种安全检测方法、装置、电子设备及存储介质,通过从目标数据源中获取匹配第一特征组的各组第一特征值,并基于第一特征组中多个第一特征的第一关联关系以及各组第一特征值,生成表征每组第一特征值之间的第一关联关系的各条第一路径;根据第一路径中包括的第一特征值,将各条第一路径划分为至少一个第一路径组,并生成对应于每个第一路径组的第一聚类交互图;基于每个第一聚类交互图中的至少一条第一路径,生成对应于每个第一聚类交互图的第一目标事件。通过该种方式,实现了对无法定义关联规则的复杂事件进行监控,提高了监控效率。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的一种安全检测方法的流程图;
图2a示出了本申请实施例所提供的一种第一聚类交互图的示意图;
图2b示出了本申请实施例所提供的另一种第一聚类交互图的示意图;
图3示出了本申请实施例所提供的另一种安全检测方法的流程图;
图4示出了本申请实施例所提供的另一种安全检测方法的流程图;
图5示出了本申请实施例所提供的另一种安全检测方法的流程图;
图6示出了本申请实施例所提供的一种安全检测装置的结构示意图;
图7示出了本申请实施例所提供的一种电子设备的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,互联网的安全检测方法只能对简单场景中的简单事件进行监控,但是对于复杂场景中的复杂事件,比如对无法定义关联规则的复杂事件,则无法进行监控,进而导致监控效率低。
基于此,本申请实施例提供了一种安全检测方法、装置、电子设备及存储介质,实现了对无法定义关联规则的复杂事件进行监控,提高了监控效率。下面通过实施例进行描述。
如图1所示,本申请实施例提供的了一种安全检测方法,可以应用于服务器,所述安全检测方法包括以下步骤:
S101、根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配所述第一特征组的至少一组第一特征值。
本申请实施例中,服务器中预先设置有第一特征组,该第一特征组中包括多个第一特征且多个第一特征之间具有第一关联关系。
举例来讲,定义安全攻击事件对应的第一特征组如下:谁(A)对谁(B)发起了什么攻击(C),即,定义源地址(A)到目的地址(B)到攻击特征(C)的三个关联特征,并指定A到B到C的特征顺序。
本申请实施例中,服务器(具体为服务器中的数据处理引擎)基于第一特征组中的多个第一特征,从目标数据源中获取该第一特征组中的多个第一特征分别对应的第一特征值,得到至少一组符合第一关联关系的第一特征值;同时,数据处理引擎对每组第一特征值进行数量聚类,以及对每个第一特征值进行数量聚类(即统计每个第一特征值对应的第一路径数量);其中,每组第一特征值中包括的第一特征值的数量与第一特征组中包括的第一特征的数量相同。
比如,源地址(A)到目的地址(B)到攻击特征(C)的三个关联特征的第一特征组对应的各组第一特征值如下:第一组第一特征值:网络之间互连的协议(Internet Protocol,IP)1–IP2-攻击1-5次;第二组第一特征值:IP1–IP3-攻击1-1次;第三组第一特征值:IP2–IP4-攻击2-2次;其中,源地址为IP1对应的聚类结果(即第一路径数量)为2。
S102、基于所述第一关联关系以及所述至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径。
本申请实施例中,按照第一特征组中的多个第一特征之间的第一关联关系,生成匹配第一特征组的每组特征值的第一路径。
比如,第一特征组:源地址(A)-目的地址(B)-攻击特征(C);相应的,上述第一特征组中三组第一特征值对应的第一路径分别如下:
第一组第一特征值对应的第一路径:IP1–IP2-攻击1-5次;第二组第一特征值对应的第一路径:IP1–IP3-攻击1-1次;第三组第一特征值对应的第一路径:IP4–IP5-攻击2-2次;第四组第一特征值对应的第一路径:IP5–IP6-攻击2-3次。
S103、根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,并生成对应于每个所述第一路径组的第一聚类交互图。
本申请实施例中,根据第一路径中包括的第一特征值,确定不同第一路径之间的第三关联关系,将具有第三关联关系的第一路径,划分到同一个第一路径组中,得到至少一个第一路径组。
作为一种实施方式,确定包括有相同第一特征值的第一路径之间具有第三关联关系,将上述包括有相同第一特征值的第一路径划分到同一个第一路径组中。针对每个第一路径组,基于该第一路径中的各个第一路径,生成该第一路径组对应的第一聚类交互图。本申请实施例中,每一个第一特征值为一个节点,在聚类完成后,服务器将有具有第一关联关系的节点进行聚焦,形成一个一个关联群体如图2a和图2b所示。
比如,以第一组第一特征值对应的第一路径:IP1–IP2-攻击1-5次;第二组第一特征值对应的第一路径:IP1–IP3-攻击1-1次;第三组第一特征值对应的第一路径:IP4–IP5-攻击2-2次;第四组第一特征值对应的第一路径:IP4–IP6-攻击3-3次为例:
第一组第一特征值对应的第一路径和第二组第一特征值对应的第一路径中包括有相同的第一特征值(即IP1和攻击1),因此,将这两个路径划分到一个第一路径组中;也即,将IP1–IP2-攻击1和IP1–IP3-攻击1划分到一个第一路径组中;其中,该第一路径组对应的第一聚类交互图如图2a所示。
第三组第一特征值对应的第一路径和第四组第一特征值对应的第一路径中包括有相同的第一特征值(即IP4),因此,将这两个路径划分到另一个第一路径组中;也即,将IP4–IP5-攻击2和IP4–IP6-攻击3划分到另一个第一路径组中;其中,该第一路径组对应的第一聚类交互图如图2b所示。
S104、针对每一个第一聚类交互图,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件。
本申请实施例中,针对每一个第一聚类交互图,显示该第一聚类交互图。在显示的每一个第一聚类交互图中包括各个第一特征值之间的多种第一关联关系,比如在图2a中,IP1的主机向IP2的主机发送了5次攻击1,同时,IP1的主机向IP3的主机发送了1次攻击1,IP1的主机一共发送了6次攻击。
作为一种实施方式,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件;如图2a所示,基于该第一聚类交互图中的两条第一路径(IP1–IP2-攻击1和IP1–IP3-攻击1),生成第一目标事件如下:IP1的主机向IP2的主机发送了攻击1,IP1的主机向IP3的主机发送了攻击1。
本申请实施例提供的一种安全检测方法,通过从目标数据源中获取匹配第一特征组的各组第一特征值,并基于第一特征组中多个第一特征的第一关联关系以及各组第一特征值,生成表征每组第一特征值之间的第一关联关系的各条第一路径;根据第一路径中包括的第一特征值,将各条第一路径划分为至少一个第一路径组,并生成对应于每个第一路径组的第一聚类交互图;基于每个第一聚类交互图中的至少一条第一路径,生成对应于每个第一聚类交互图的第一目标事件。通过该种方式,实现了对无法定义关联规则的复杂事件进行监控,提高了监控效率。
进一步的,本申请实施例提供的安全检测方法中,所述基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件,包括:
第一,基于该第一聚类交互图中的至少一条第一路径以及该至少一条第一路径的聚类个数,生成对应于该第一聚类交互图的第一目标事件。
比如,如图2a所示,基于该第一聚类交互图中的两条第一路径(IP1–IP2-攻击1-5次和IP1–IP3-攻击1-1次),生成第一目标事件如下:IP1的主机向IP2的主机发送了5次攻击1,IP1的主机向IP3的主机发送了1次攻击1。
第二,基于该第一聚类交互图中的至少一条第一路径、该至少一条第一路径的聚类个数以及该至少一条第一路径中包括的相同第一特征值的聚类个数,生成对应于该第一聚类交互图的第一目标事件。
比如,如图2a所示,基于该第一聚类交互图中的两条第一路径(IP1–IP2-攻击1-5次和IP1–IP3-攻击1-1次),生成第一目标事件如下:IP1的主机向IP2的主机发送了5次攻击1,IP1的主机向IP3的主机发送了1次攻击1,IP1的主机一共发送了6次攻击。
再比如,如图2b所示,基于该第一聚类交互图中的两条第一路径(IP4–IP5-攻击2-2次和IP4–IP6-攻击3-3次)以及IP4的聚类个数(比如分别为5个),生成第一目标事件如下:IP4的主机向IP5的主机发送了2次攻击2且IP4的主机向IP6的主机发送了3次攻击3,IP4的主机一共发送了5次攻击。
进一步的,如图3所示,本申请实施例提供的安全检测方法中,在生成对应于该第一聚类交互图的第一目标事件之后,所述方法还包括:
S301、根据第二特征组中的多个具有第二关联关系的第二特征,从所述目标数据源中获取匹配所述第二特征组的至少一组第二特征值;其中,至少一个所述第二特征与所述第一特征相同。
本申请实施例中,服务器中预先设置有第二特征组,该第二特征组中包括多个第二特征且多个第二特征之间具有第二关联关系。其中,上述第二特征组中至少包括一个第二特征与第一特征相同。
本申请实施例中,服务器可以通过横向拓展特征的方式来进行局部额外特征的增维分析,延伸分析宽度。比如,用户对第一特征组中的目标第一特征(比如为攻击特征)感兴趣,服务器可以对该目标第一特征(比如为攻击特征)进行增维分析。
举例来讲,主机A对主机B发起了病毒C攻击,目标第一特征为病毒C,对病毒C的增维分析为分析病毒C的威胁级别D或者历史攻击频率E,服务器通过对攻击C进行D或者E的关联特征拓展,拓展后的分析维度由A、B、C增加到A、B、C、D,或者,由A、B、C增加到A、B、C、E。在不影响整体群体数据的情况下只针对C进行D或者E的关联拓展,实现局部节点的增维钻取分析。其中,横向拓展特征分析的特点是可以进行局部增维钻取分析,使整个分析过程更加具有灵活性,而不受初始关联特征设置维度的限制。
相应的,定义攻击事件增维分析对应的第二特征组如下:攻击(C)-威胁级别(D),并指定C到D的特征顺序;或者,攻击(C)-历史攻击频率(E),并指定C到E的特征顺序。其中,上述攻击(C)与第一特征中的攻击(C)相同。
本申请实施例中,服务器(具体为服务器中的数据处理引擎)基于第二特征组中的多个第二特征,从目标数据源中获取该第二特征组中的多个第二特征分别对应的第二特征值,得到至少一组符合第二关联关系的第二特征值;同时,数据处理引擎对每组第二特征值进行数量聚类,以及对每个第二特征值进行数量聚类(即统计每个第二特征值对应的第二路径数量);其中,每组第二特征值中包括的第二特征值的数量与第二特征组中包括的第二特征的数量相同。
比如,攻击(C)到威胁级别(D)两个关联特征的第二特征组对应的各组第二特征值如下:第一组第二特征值:攻击1–威胁级别1-2次;第二组第二特征值:攻击2–威胁级别1-3次;第三组第二特征值:攻击3–威胁级别3-4次。其中,威胁级别1对应的聚类结果为5。
S302、基于所述第二关联关系以及所述至少一组第二特征值,生成表征每组第二特征值之间的第二关联关系的至少一条第二路径。
本申请实施例中,按照第二特征组中的多个第二特征之间的第二关联关系,生成匹配第二特征组的每组第二特征值的第二路径。
比如,第二特征组:攻击(C)到威胁级别(D);相应的,上述第二特征组中三组第二特征值对应的第二路径分别如下:
第一组第二特征值对应的第二路径:攻击1–威胁级别1-2次;第二组第二特征值对应的第二路径:攻击2–威胁级别1-3次;第三组第二特征值对应的第二路径:攻击3–威胁级别3-4次;第四组第二特征值对应的第二路径:攻击4–威胁级别3-5次。
S303、根据所述第二路径中包括的第二特征值,将所述至少一条第二路径划分为至少一个第二路径组,并生成对应于每个所述第二路径组的第二聚类交互图。
本申请实施例中,根据第二路径中包括的第二特征值,确定不同第二路径之间的第四关联关系,将具有第四关联关系的第二路径,划分到同一个第二路径组中,得到至少一个第二路径组。
作为一种实施方式,确定包括有相同第二特征值的第二路径之间具有第四关联关系,将上述包括有相同第二特征值的第二路径划分到同一个第二路径组中。针对每个第二路径组,基于该第二路径中的各个第二路径,生成该第二路径组对应的第二聚类交互图;
比如,以第一组第二特征值对应的第二路径:攻击1–威胁级别1-2次;
第二组第二特征值对应的第二路径:攻击2–威胁级别1-3次;第三组第二特征值对应的第二路径:攻击3–威胁级别3-4次;第四组第二特征值对应的第二路径:攻击4–威胁级别3-5次为例:
第一组第二特征值对应的第二路径和第二组第二特征值对应的第二路径中包括有相同的第二特征值(即威胁级别1),因此,将这两个第二路径划分到一个第二路径组中;也即,将攻击1–威胁级别1和攻击2–威胁级别1划分到一个第二路径组中。
第三组第二特征值对应的第二路径和第四组第二特征值对应的第二路径中包括有相同的第二特征值(即威胁级别3),因此,将这两个第二路径划分到另一个第二路径组中;也即,将攻击3–威胁级别3和攻击4–威胁级别3划分到另一个第一路径组中。
S304、针对每一个第二聚类交互图,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
本申请实施例中,针对每一个第二聚类交互图,显示该第二聚类交互图。在显示的每一个第二聚类交互图中包括各个第二特征值之间的多种第二关联关系。
作为一种实施方式,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
作为另一种实施方式,基于该第二聚类交互图中的至少一条第二路径以及该至少一条第二路径的聚类个数,生成对应于该第二聚类交互图的第二目标事件。
作为再一种实施方式,基于该第二聚类交互图中的至少一条第二路径、该至少一条第二路径的聚类个数以及该至少一条第二路径包括的相同的第二特征值的聚类个数,生成对应于该第二聚类交互图的第二目标事件。
当对应于第一特征组对应有多组第一特征值的情况下(比如,第一特征组对应3个第一特征,每个第一特征都对应20个第一特征值,一个关联群体可能会有20*20*20种关联关系),关联群体可能聚类节点会出现几百个以上,此时,需要对群体进一步分析筛选,服务器可以通过纵向钻取分析进一步过滤出多个目标可疑节点,排除干扰节点,并通过目标可疑节点进行关联节点拓展来进一步深度钻取分析。基于此,如图4所示,本申请实施例提供的安全检测方法,所述根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,包括:
S401、从所述第一路径中筛选出包括目标第一特征值的目标第一路径。
本申请实施例中,服务器中预先设置有目标第一特征值,该目标第一特征值可以为一个,也可以为多个。作为一种可选的实施方式,该目标第一特征值可以是用户关注的是某一个主机的源IP地址,也可以是某几个攻击类型。
在本申请实施例中,从第一路径中选取包括目标第一特征值的目标第一路径,进一步排除与目标第一路径无关联的干扰节点,然后,基于目标第一路径并通过延展目标第一路径中的任一节点进一步钻取分析;这里,每一个第一特征值为一个节点,上述干扰节点即与用户关注的目标第一特征值不相关的其他第一特征值。
比如,目标第一特征值为IP1,选取包括IP1的目标第一路径为:IP1–IP2-攻击1-5次和IP1–IP3-攻击1-1次。
S402、将包括有相同目标第一特征值的目标第一路径划分到同一个第一路径组中,得到至少一个第一路径组。
本申请实施例中,确定包括有相同目标第一特征值的目标第一路径之间具有第三关联关系,将上述包括有相同目标第一特征值的目标第一路径划分到同一个第一路径组中。
比如,目标第一特征值为IP1,选取出的包括IP1的目标第一路径为:IP1–IP2-攻击1-5次和IP1–IP3-攻击1-1次,由于这两个目标第一路径种均包括源IP1,因此,将这两个目标第一路径划分到同一个第一路径组中。
本申请实施例中,通过纵向钻取分析的特点是在聚类节点过多的情况下,可以迅速去噪定位目标可疑节点,并通过拓展关联特征达到以点到面的分析方式。
进一步的,本申请实施例提供的安全检测方法,所述基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件,还包括:
第一,根据异常行为对应的目标特征值,选取包括该目标特征值的目标第一路径;根据所述目标第一路径,生成具有异常行为的第一目标事件。
本申请实施例中,针对每一个第一聚类交互图,从该第一聚类交互图中选取包括该异常行为对应的目标特征值(比如攻击1)的目标第一路径为:IP1–IP2-攻击1-5次,IP1–IP3-攻击1-1次。
作为一种实施方式,选取的上述两个目标第一路径对应的第一目标事件分别为:IP1的主机向IP2的主机发送了攻击1,IP1的主机向IP3的主机发送了攻击1。
第二,根据异常行为对应的目标特征值,选取包括该目标特征值的目标第一路径;根据所述目标第一路径、所述目标第一路径的聚类个数,生成具有异常行为的第一目标事件。
本申请实施例中,针对每一个第一聚类交互图,从该第一聚类交互图中选取包括该异常行为对应的目标特征值(比如攻击1)的目标第一路径为:IP1–IP2-攻击1-5次,IP1–IP3-攻击1-1次。
作为一种实施方式,选取的上述两个目标第一路径对应的第一目标事件分别为:IP1的主机向IP2的主机发送了5次攻击1,IP1的主机向IP3的主机发送了1次攻击1。
第三,根据异常行为对应的目标特征值,选取包括该目标特征值的目标第一路径;根据所述目标第一路径、所述目标第一路径的聚类个数以及所述目标第一路径中包括的相同的第一特征值的聚类个数,生成具有异常行为的第一目标事件。
本申请实施例中,针对每一个第一聚类交互图,从该第一聚类交互图中选取包括该异常行为对应的目标特征值(比如攻击1)的目标第一路径为:IP1–IP2-攻击1-5次,IP1–IP3-攻击1-1次。
作为一种实施方式,选取的上述两个第一路径对应的第一目标事件分别为:IP1的主机向IP2的主机发送了5次攻击1,IP1的主机向IP3的主机发送了1次攻击1,攻击1对应出现了6次。
进一步的,本申请实施例提供的安全检测方法中,所述基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件,还包括以下两种方式:
第一种方式:针对该第一聚类交互图中的每一个第一特征值,从以该第一特征值作为路径终点的第一路径中,选取该第一特征值作为异常行为发起方的目标第一路径;根据所述目标第一路径,生成以该第一特征值作为异常行为发起方的第一目标事件。
比如,以特征值IP1为例,选取IP1作为异常行为发起方的目标第一路径,并基于上述目标第一路径生成以IP1作为异常行为发起方的第一目标事件。
比如,选取的目标第一路径包括:IP1–IP2-攻击1和IP1–IP3-攻击1,这两个目标第一路径对应的第一目标事件分别为:IP1的主机向IP2的主机发送了攻击1,IP1的主机向IP3的主机发送了攻击1。
第二种方式:
针对该第一聚类交互图中的每一个第一特征值,从以该第一特征值作为路径终点的第一路径中,选取该第一特征值作为被攻击方的目标第一路径;根据所述目标第一路径,生成以该第一特征值作为被攻击方的第一目标事件。
比如,以特征值IP2为例,选取IP2作为被攻击方的目标第一路径,并基于上述目标第一路径生成以IP2作为被攻击方的第一目标事件。比如,选取的目标第一路径包括:IP1–IP2-攻击1,该目标第一路径对应的第一目标事件分别为:IP1的主机向IP2的主机发送了攻击1。
进一步的,如图5所示,本申请实施例提供的安全检测方法中,在生成对应于每个所述第一路径组的第一聚类交互图之后,所述安全检测方法还包括:
S501、针对所述第一聚类交互图中每一个第一特征值,统计该第一特征值对应的聚类个数。
本申请实施例中,针对每一个第一聚类交互图,统计该第一聚类交互图中每个第一特征值对应的聚类个数。
作为一种可选的实施方式,第一聚类交互图的第一路径分别为:IP4–IP5-攻击2-2次,IP5–IP6-攻击3-3次;统计IP4对应2次,IP5对应5次,IP6对应5次。
S502、基于各个所述第一特征值分别对应的聚类个数,将各个所述第一特征值按照聚类个数从大到小的顺序进行排序。
作为一种可选的实施方式,IP4、IP5、IP6的排序方式依次为:IP5、IP6、IP4。
S503、基于各个所述第一特征值按照聚类个数从大到小的排序顺序,在显示设备的目标展示区域依次展示各个第一特征值。
作为一种可选的实施方式,在显示设备的目标展示区域从左到右依次展示按序排序的各个第一特征值。
比如,显示设备的目标展示区域从左到右依次展示IP5、IP6、IP4。
进一步的,本申请实施例提供的安全检测方法,通过如下方法确定所述显示设备的目标展示区域:
针对每一个第一聚类交互图,若该第一聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内不存在其他第一聚类交互图,则确定当前展示区域为所述目标展示区域;
若该聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内存在其他第一聚类交互图,则确定当前展示区域的下一个展示区域为所述目标展示区域;
若该聚类交互图中的节点个数小于所述显示设备中当前展示区域内的可用节点个数,则确定当前展示区域为所述目标展示区域;其中,所述第一聚类交互图中的每一个第一特征值对应一个节点。
本申请实施例中,聚类交互图在显示设备中的分布采用从左到右,自上而下进行排列,群体分布占据空间与群体大小成正比,采用这种方式可以充分利用显示设备中有限的全球广域网(World Wide Web,web)界面空间。在位置排列的时候会根据已排布群体空间计算横向剩余排布空间是否足够下一群体排列,若否,则自动换行排列,这样可以使群体排布分割一目了然。通过数据关联分群,用户可以迅速过滤掉干扰群体,大大缩小分析范围。
本申请实施例提供的一种安全检测方法,能够自动从大数据中分割出关联群体,迅速排除干扰数据,实现了对无法定义关联规则的复杂事件进行监控,大大缩减分析时间,分析更有针对性。同时本发明还提供两种钻取分析手段,支持对潜在威胁的深度和广度的分析,提高了分析质量,增加分析结果的有效性,从而达到精准定位,提高了监控效率,快速响应潜在威胁的目的,有效规避和减少安全威胁带来的损失。
基于同一发明构思,本申请实施例中还提供了与安全检测方法对应的安全检测装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述安全检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图6所示,为本申请实施例提供的一种安全检测装置的示意图,所述安全检测装置包括以下步骤:
第一获取模块601,用于根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配所述第一特征组的至少一组第一特征值;
第一生成模块602,用于基于所述第一关联关系以及所述至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径;
第二生成模块603,用于根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,并生成对应于每个所述第一路径组的第一聚类交互图;
第三生成模块604,用于针对每一个第一聚类交互图,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件。
在一种可选的实施方式中,所述安全检测装置还包括:
第二获取模块,用于在生成对应于该第一聚类交互图的第一目标事件之后,根据第二特征组中的多个具有第二关联关系的第二特征,从所述目标数据源中获取匹配所述第二特征组的至少一组第二特征值;其中,至少一个所述第二特征与所述第一特征相同;
第四生成模块,用于基于所述第二关联关系以及所述至少一组第二特征值,生成表征每组第二特征值之间的第二关联关系的至少一条第二路径;
第五生成模块,用于根据所述第二路径中包括的第二特征值,将所述至少一条第二路径划分为至少一个第二路径组,并生成对应于每个所述第二路径组的第二聚类交互图;
第六生成模块,用于针对每一个第二聚类交互图,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
在一种可选的实施方式中,第二生成模块603在根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组时,包括:
从所述第一路径中筛选出包括目标第一特征值的目标第一路径;
将包括有相同目标第一特征值的目标第一路径划分到同一个第一路径组中,得到至少一个第一路径组。
在一种可选的实施方式中,第三生成模块604在基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件时,包括:
基于该第一聚类交互图中的至少一条第一路径以及该至少一条第一路径的聚类个数,生成对应于该第一聚类交互图的第一目标事件;
或者,
基于该第一聚类交互图中的至少一条第一路径、该至少一条第一路径的聚类个数以及该至少一条第一路径中包括的相同第一特征值的聚类个数,生成对应于该第一聚类交互图的第一目标事件。
在一种可选的实施方式中,所述安全检测装置还包括:
统计模块,用于在生成对应于每个所述第一路径组的第一聚类交互图之后,针对所述第一聚类交互图中每一个第一特征值,统计该第一特征值对应的聚类个数;
排序模块,用于基于各个所述第一特征值分别对应的聚类个数,将各个所述第一特征值按照聚类个数从大到小的顺序进行排序;
展示模块,用于基于各个所述第一特征值按照聚类个数从大到小的排序顺序,在显示设备的目标展示区域依次展示各个第一特征值。
在一种可选的实施方式中,上述安全检测装置还包括:
第一确定模块,用于针对每一个第一聚类交互图,若该第一聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内不存在其他第一聚类交互图,则确定当前展示区域为所述目标展示区域;
第二确定模块,用于若该聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内存在其他第一聚类交互图,则确定当前展示区域的下一个展示区域为所述目标展示区域;
第三确定模块,用于若该聚类交互图中的节点个数小于所述显示设备中当前展示区域内的可用节点个数,则确定当前展示区域为所述目标展示区域;其中,所述第一聚类交互图中的每一个第一特征值对应一个节点。
本申请实施例提供的一种安全检测装置,通过从目标数据源中获取匹配第一特征组的各组第一特征值,并基于第一特征组中多个第一特征的第一关联关系以及各组第一特征值,生成表征每组第一特征值之间的第一关联关系的各条第一路径;根据第一路径中包括的第一特征值,将各条第一路径划分为至少一个第一路径组,并生成对应于每个第一路径组的第一聚类交互图;基于每个第一聚类交互图中的至少一条第一路径,生成对应于每个第一聚类交互图的第一目标事件。通过该种方式,实现了对无法定义关联规则的复杂事件进行监控,提高了监控效率。
如图7所示,本申请实施例提供的一种电子设备700,包括:处理器701、存储器702和总线,所述存储器702存储有所述处理器701可执行的机器可读指令,当电子设备运行时,所述处理器701与所述存储器702之间通过总线通信,所述处理器701执行所述机器可读指令,以执行如上述安全检测方法的步骤。
具体地,上述存储器702和处理器701能够为通用的存储器和处理器,这里不做具体限定,当处理器701运行存储器702存储的计算机程序时,能够执行上述安全检测方法。
对应于上述安全检测方法,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述安全检测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Re第五生成模块d-Only Memory,ROM)、随机存取存储器(R第五生成模块ndom第五生成模块ccessMemory,R第五生成模块M)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种安全检测方法,其特征在于,包括:
根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配所述第一特征组的至少一组第一特征值;
基于所述第一关联关系以及所述至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径;
根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,并生成对应于每个所述第一路径组的第一聚类交互图;
针对每一个第一聚类交互图,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件。
2.根据权利要求1所述的安全检测方法,其特征在于,在生成对应于该第一聚类交互图的第一目标事件之后,所述安全检测方法还包括:
根据第二特征组中的多个具有第二关联关系的第二特征,从所述目标数据源中获取匹配所述第二特征组的至少一组第二特征值;其中,至少一个所述第二特征与所述第一特征相同;
基于所述第二关联关系以及所述至少一组第二特征值,生成表征每组第二特征值之间的第二关联关系的至少一条第二路径;
根据所述第二路径中包括的第二特征值,将所述至少一条第二路径划分为至少一个第二路径组,并生成对应于每个所述第二路径组的第二聚类交互图;
针对每一个第二聚类交互图,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
3.根据权利要求1所述的安全检测方法,其特征在于,所述根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,包括:
从所述第一路径中筛选出包括目标第一特征值的目标第一路径;
将包括有相同目标第一特征值的目标第一路径划分到同一个第一路径组中,得到至少一个第一路径组。
4.根据权利要求1所述的安全检测方法,其特征在于,所述基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件,包括:
基于该第一聚类交互图中的至少一条第一路径以及该至少一条第一路径的聚类个数,生成对应于该第一聚类交互图的第一目标事件;
或者,
基于该第一聚类交互图中的至少一条第一路径、该至少一条第一路径的聚类个数以及该至少一条第一路径中包括的相同第一特征值的聚类个数,生成对应于该第一聚类交互图的第一目标事件。
5.根据权利要求1或2所述的安全检测方法,其特征在于,在生成对应于每个所述第一路径组的第一聚类交互图之后,所述安全检测方法还包括:
针对所述第一聚类交互图中每一个第一特征值,统计该第一特征值对应的聚类个数;
基于各个所述第一特征值分别对应的聚类个数,将各个所述第一特征值按照聚类个数从大到小的顺序进行排序;
基于各个所述第一特征值按照聚类个数从大到小的排序顺序,在显示设备的目标展示区域依次展示各个第一特征值。
6.根据权利要求5所述的安全检测方法,其特征在于,通过如下方法确定所述显示设备的目标展示区域:
针对每一个第一聚类交互图,若该第一聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内不存在其他第一聚类交互图,则确定当前展示区域为所述目标展示区域;
若该聚类交互图中的节点个数大于所述显示设备中当前展示区域内的可用节点个数且当前展示区域内存在其他第一聚类交互图,则确定当前展示区域的下一个展示区域为所述目标展示区域;
若该聚类交互图中的节点个数小于所述显示设备中当前展示区域内的可用节点个数,则确定当前展示区域为所述目标展示区域;其中,所述第一聚类交互图中的每一个第一特征值对应一个节点。
7.一种安全检测装置,其特征在于,包括:
第一获取模块,用于根据第一特征组中的多个具有第一关联关系的第一特征,从目标数据源中获取匹配所述第一特征组的至少一组第一特征值;
第一生成模块,用于基于所述第一关联关系以及所述至少一组第一特征值,生成表征每组第一特征值之间的第一关联关系的至少一条第一路径;
第二生成模块,用于根据所述第一路径中包括的第一特征值,将所述至少一条第一路径划分为至少一个第一路径组,并生成对应于每个所述第一路径组的第一聚类交互图;
第三生成模块,用于针对每一个第一聚类交互图,基于该第一聚类交互图中的至少一条第一路径,生成对应于该第一聚类交互图的第一目标事件。
8.根据权利要求7所述的安全检测装置,其特征在于,所述安全检测装置还包括:
第二获取模块,用于在生成对应于该第一聚类交互图的第一目标事件之后,根据第二特征组中的多个具有第二关联关系的第二特征,从所述目标数据源中获取匹配所述第二特征组的至少一组第二特征值;其中,至少一个所述第二特征与所述第一特征相同;
第四生成模块,用于基于所述第二关联关系以及所述至少一组第二特征值,生成表征每组第二特征值之间的第二关联关系的至少一条第二路径;
第五生成模块,用于根据所述第二路径中包括的第二特征值,将所述至少一条第二路径划分为至少一个第二路径组,并生成对应于每个所述第二路径组的第二聚类交互图;
第六生成模块,用于针对每一个第二聚类交互图,基于该第二聚类交互图中的至少一条第二路径,生成对应于该第二聚类交互图的第二目标事件。
9.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1至6任一项所述的安全检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至6任一项所述的安全检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910870987.5A CN110765391B (zh) | 2019-09-16 | 2019-09-16 | 一种安全检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910870987.5A CN110765391B (zh) | 2019-09-16 | 2019-09-16 | 一种安全检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110765391A true CN110765391A (zh) | 2020-02-07 |
CN110765391B CN110765391B (zh) | 2022-02-22 |
Family
ID=69329940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910870987.5A Active CN110765391B (zh) | 2019-09-16 | 2019-09-16 | 一种安全检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110765391B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1460932A (zh) * | 2003-06-18 | 2003-12-10 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
-
2019
- 2019-09-16 CN CN201910870987.5A patent/CN110765391B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1460932A (zh) * | 2003-06-18 | 2003-12-10 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110765391B (zh) | 2022-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
KR100885293B1 (ko) | 네트워크 보안 상황 표시 장치 및 그 방법 | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
JP7101272B2 (ja) | データ来歴を介した自動脅威アラートトリアージ | |
EP3772005A1 (en) | Visualization and control of remotely monitored hosts | |
US10237297B2 (en) | System and method for threat incident corroboration in discrete temporal reference using 3D dynamic rendering | |
US20150205956A1 (en) | Information processing apparatus, information processing method, and program | |
CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
CN103999091A (zh) | 地理映射系统安全事件 | |
JP2005038116A (ja) | 不正侵入分析装置 | |
Bajtoš et al. | Network intrusion detection with threat agent profiling | |
JP2019536158A (ja) | 検知結果が有効であるかないかを検証する方法およびシステム | |
CN114598504A (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
CN113572719B (zh) | 一种域名检测方法、装置、设备及可读存储介质 | |
CN111726352B (zh) | 可视化监测探针状态的方法、装置、计算机设备和介质 | |
Dowling et al. | Using analysis of temporal variances within a honeypot dataset to better predict attack type probability | |
CN110765391B (zh) | 一种安全检测方法、装置、电子设备及存储介质 | |
CN111988322B (zh) | 一种攻击事件展示系统 | |
Erbacher et al. | Designing visualization capabilities for IDS challenges | |
CN109308264B (zh) | 数据脱敏效果的评价方法及相应设备和存储介质 | |
Yu et al. | A visualization analysis tool for DNS amplification attack | |
Shiravi et al. | IDS alert visualization and monitoring through heuristic host selection | |
KR20150091713A (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
CN114531294A (zh) | 一种网络异常感知方法、装置、终端及存储介质 | |
JP7211427B2 (ja) | 情報処理装置、制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |