CN110809010A - 威胁信息处理方法、装置、电子设备及介质 - Google Patents
威胁信息处理方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN110809010A CN110809010A CN202010015893.2A CN202010015893A CN110809010A CN 110809010 A CN110809010 A CN 110809010A CN 202010015893 A CN202010015893 A CN 202010015893A CN 110809010 A CN110809010 A CN 110809010A
- Authority
- CN
- China
- Prior art keywords
- attack
- threat
- events
- information processing
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明公开了一种威胁信息处理方法,涉及信息安全技术领域,用于解决难以对各个攻击源作出针对性威胁预测的问题,该方法具体包括以下步骤:获取待处理集合,将待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;获取各个威胁事件的基础信息,基础信息包括攻击源和攻击目标;将攻击源相同的威胁事件归为同组并记为嫌疑组;统计各个嫌疑组的攻击目标数量并记为数量a1,判断数量a1是否大于预设值b1,若是,则标记对应的攻击源。本发明还公开了一种威胁信息处理装置、电子设备、计算机可读介质。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种威胁信息处理方法、装置、电子设备及介质。
背景技术
当今的信息化发展及演变已极大地改变了人类的社会生活,但伴随着信息化的快速发展,网络安全形势也愈加严峻。尽管网络攻击手段逐步向简单化综合化演变,但网络攻击类型却逐步向多样化复杂化发展。
目前在网络安全分析的相关技术中,使用的分析数据一般是通用设备的安全数据,例如防火墙、安全日志等数据,对这些数据进行分析可以获取网络的整体安全状况,但是针对性不强,难以对各个攻击源作出针对性威胁预测。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供一种威胁信息处理方法,其具有便于对各个攻击源做出针对性威胁预测的优点。
本发明的目的之一采用如下技术方案实现:一种威胁信息处理方法,包括以下步骤:
获取待处理集合,将所述待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;
获取各个威胁事件的基础信息,所述基础信息包括攻击源和攻击目标;
将攻击源相同的所述威胁事件归为同组并记为嫌疑组;
统计各个嫌疑组对应的攻击目标数量并记为数量a1,判断所述数量a1是否大于预设值b1,若是,则标记对应的攻击源。
进一步地,所述攻击类型包括DDoS攻击、木马攻击、邮件威胁、蠕虫攻击、网络钓鱼攻击、口令入侵、节点攻击、网络监听、安全漏洞、端口扫描。
进一步地,还包括以下步骤:
将攻击目标相同的所述威胁事件归为同组并记为受害组;
统计各个受害组对应的攻击源数量并记为数量a2,判断所述数量a2是否大于预设值b2,若是,则标记对应的攻击目标。
进一步地,所述基础信息还包括所述威胁事件的发生时间,所述嫌疑组和所述受害组均基于所述发生时间排序。
进一步地,还包括以下步骤:
将被标记的所述攻击源、被标记的所述攻击目标均记为标记IP;
将所述标记IP与IP地址库匹配,得到所述标记IP的区域数据;
判断所述区域数据是否为无,若否则进入有区域处理模式,若是则进入无区域处理模式。
进一步地,所述有区域处理模式包括以下步骤:
获取IP通报数据库,所述IP通报数据库包括被通报的IP;
判断所述标记IP是否与所述IP通报数据库匹配,若否,则更新所述IP通报数据库。
进一步地,所述无区域处理模式包括以下步骤:
获取IP通报数据库,所述IP通报数据库包括被通报的IP;
判断所述标记IP是否与所述IP通报数据库匹配,若否则更新所述IP通报数据库,并对所述标记IP进行溯源;若是,则将所述IP通报数据库内与所述标记IP匹配的IP记为匹配IP;
判断所述匹配IP与所述标记IP的规则ID是否相同,若否则更新所述IP通报数据库,并对所述标记IP进行溯源。
本发明的目的之二在于提供一种威胁信息处理方法,其具有便于对各个攻击源做出针对性威胁预测的优点。
本发明的目的之二采用如下技术方案实现:一种威胁信息处理装置,其特征在于,包括:
待处理集合获取模块,用于获取待处理集合,将所述待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;
基础信息获取模块,用于获取各个威胁事件的基础信息,所述基础信息包括攻击源和攻击目标;
分组模块,用于将攻击源相同的威胁事件归为同组并记为嫌疑组;
统计判断模块,用于统计各个嫌疑组对应的攻击目标数量并记为数量a1,判断所述数量a1是否大于预设值b1,若是,则标记对应的攻击源。
本发明的目的之三在于提供执行发明目的之一的电子设备,其包括处理器、存储介质以及计算机程序,所述计算机程序存储于存储介质中,所述计算机程序被处理器执行时实现上述的威胁信息处理方法。
本发明的目的之四在于提供存储发明目的之一的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的威胁信息处理方法。
相比现有技术,本发明的有益效果在于:待处理集合的威胁事件对应同一攻击类型且均发生在预设区域内,在待处理集合的基础上基于攻击源进行分组,以得到同一类型的攻击源对应的攻击目标及攻击目标的数量,从而具有便于对各个攻击源做出针对性威胁预测的优点;基于事件的攻击类型进行集合分类,基于攻击源对威胁事件进行分组,从而便于执行统计各个攻击源对应的攻击目标,以提高整体的处理效率。
附图说明
图1为实施例一所示方法的流程图;
图2为实施例二所示方法的流程图;
图3为实施例三所示步骤S70至步骤S110的流程图;
图4为实施例四为装置的结构框图;
图5为实施例五电子设备的结构框图。
图中:1、待处理集合获取模块;2、基础信息获取模块;3、分组模块;4、统计判断模块;5、电子设备;51、处理器;52、存储器;53、输入装置;54、输出装置。
具体实施方式
以下将结合附图,对本发明进行更为详细的描述,需要说明的是,以下参照附图对本发明进行的描述仅是示意性的,而非限制性的。各个不同实施例之间可以进行相互组合,以构成未在以下描述中示出的其他实施例。
实施例一
本实施例提供了一种威胁信息处理方法,旨在解决难以对各个攻击源作出针对性威胁预测的问题。具体地,参照图1所示,该威胁信息处理方法,具体包括以下步骤S10~步骤S40。
步骤S10、获取待处理集合,将待处理集合的事件记为威胁事件。具体地,攻击源对预设区域内的设备进行攻击的过程即为事件,该事件包含于威胁信息内。
值得说明的是,各个事件均关联有相应的攻击类型,针对于攻击类型均设置有相应的集合。例如:当执行设备捕获了一个新事件时,则会根据新事件对应的攻击类型,将该新事件归于相应的集合内。
该攻击类型包括但不限于DDoS攻击、木马攻击、邮件威胁、蠕虫攻击、网络钓鱼攻击、口令入侵、节点攻击、网络监听、安全漏洞、端口扫描,从而该集合包括但不限于DDoS攻击集合、木马攻击集合、邮件威胁集合、蠕虫攻击集合、网络钓鱼攻击集合、口令入侵集合、节点攻击集合、网络监听集合、安全漏洞集合、端口扫描集合。
值得说明的是,若发现有新型攻击类型,则建设与新型攻击类型相应的集合,从而应对多变的攻击类型,以为后期的黑客画像、全面感知网络整体安全状况和摸清安全底数提供坚实的数据依据。
值得说明的是,该预设区域可以自定义,但该方法的执行设备均可以调取预设区域内各个设备的威胁信息,从而该方法优选为应用于公安系统、企业系统、学校系统等。
步骤S20、获取各个威胁事件的基础信息。基础信息包括攻击源和攻击目标。值得说明的是,攻击源是指攻击者所使用的IP,攻击目标是被攻击者所使用的IP,威胁事件的所属地址是指攻击目标的所属地址。
步骤S30、将攻击源相同的威胁事件归为同组并记为嫌疑组。嫌疑组内的威胁事件攻击类型相同、攻击源相同,从而可以通过对嫌疑组的分析得到相应的信息,以便于对各个攻击源做出针对性威胁预测。
具体地,针对各个嫌疑组内的威胁数据进行数据清洗,数据清洗规则可以自定义。例如:在数据清洗时,去除攻击目标不是指定IP的数据。
值得说明的是,基础信息还包括发生时间,该发生时间属于该待处理集合的预设时间范围内。各个嫌疑组在执行数据清洗之后,按照发生时间进行排序,优选为降序排列,从而便于快速了解威胁事件与时间的关系,以便于进行相应的威胁预判。
步骤S40包括以下步骤。
步骤S401、统计各个嫌疑组对应的攻击目标数量并记为数量a1。具体地,在步骤S30中,嫌疑组内的威胁事件按照发生时间排列,其结果可以按照相应的保存规则保存于文档或列表内,然后获取该文档或列表的起始行和结束行,以得到相应的行数,从而得到攻击目标的数量a1.
步骤S402、判断数量a1是否大于预设值b1,若是,则执行步骤S403、标记对应的攻击源;若否,则判断该结束行是否是最后一行,若是则结束,若否,则将起始行的下一行更新为起始行,然后执行步骤S401。
值得说明的是,该预设值b1可以根据实际情况进行自定义修改。通过标记对应的攻击源,以便于识别并进行后续的操作。
值得说明的是,该方法中的步骤是基于执行设备完成的。具体地,该执行设备可以为服务器、用户端、处理器等,但该执行设备不限于上述设备。
综上,通过该方法得到同一类型的攻击源对应的攻击目标及攻击目标的数量,从而具有便于对各个攻击源做出针对性威胁预测的优点;基于事件的攻击类型进行集合分类,基于攻击源对威胁事件进行分类,从而便于执行统计各个攻击源对应的攻击目标,以提高整体的处理效率;通过建设相应类型的集合,从而应对多变的攻击类型,以为后期的黑客画像、全面感知网络整体安全状况和摸清安全底数提供坚实的数据依据。
实施例二
本实施例提供一种威胁信息处理方法,参照图2所示,本实施例在实施例一的基础上进行的。具体地,该威胁信息处理方法还包括以下步骤。
步骤S50、将攻击目标相同的威胁事件归为同组并记为受害组。受害组内的威胁事件攻击类型相同、攻击目标相同,从而可以通过对受害组的分析得到相应的信息,以便于对各个攻击目标做出针对性威胁预测。
具体地,针对各个受害组内的威胁数据进行数据清洗,数据清洗规则可以自定义。例如:在数据清洗时,去除攻击目标不是指定IP的数据。
值得说明的是,基础信息还包括发生时间,该发生时间属于该待处理集合的预设时间范围内。各个受害组在执行数据清洗之后,按照发生时间对攻击源进行排序,优选为降序排列,从而便于快速了解威胁事件与时间的关系,以便于进行相应的威胁预判。
该威胁信息处理方法还包括步骤S60,步骤S60包括以下步骤。
步骤S601、统计各个受害组对应的攻击目标数量并记为数量a2。具体地,在步骤S50中,受害组内的威胁事件按照发生时间排列,其结果可以按照保存规则保存于文档或列表内,然后获取该文档或列表的起始行和结束行,以得到相应的行数,从而得到攻击目标的数量a2.
步骤S602、判断数量a2是否大于预设值b2,若是,则执行步骤S603、标记对应的攻击目标;若否,则判断该结束行是否是最后一行,若是则结束,若否,则将起始行的下一行更新为起始行,然后执行步骤S601。该预设值b2可以根据实际情况进行自定义修改。通过标记对应的攻击目标,以便于识别并进行后续的操作。
值得说明的是,步骤S30与步骤S50可以同步执行,也可以先执行步骤S30的相应步骤然后执行步骤S50的相应步骤,也可以先执行步骤S50的相应步骤然后执行步骤S30的相应步骤。
实施例三
本实施例提供一种威胁信息处理方法,参照图1、图2和图3所示,本实施例在实施例一和/或实施例二的基础上进行的。具体地,该威胁信息处理方法还包括以下步骤。
步骤S70、将步骤S403中被标记的攻击源、步骤S603中被标记的攻击目标均记为标记IP。值得说明的是,得到的标记IP可以按照预设规则排队。
步骤S80、将标记IP与IP地址库匹配,得到标记IP的区域数据。值得说明的是,IP地址库内的IP均关联有区域数据、运营商、用途等。其中区域数据可以为无,也可以为具体体位置。
步骤S90、判断区域数据是否为无,若否,则执行步骤S100、进入有区域处理模式;若是,则执行步骤S110进入无区域处理模式。从而对标记IP进行分流处理,以提高整体效率。
具体地,步骤S100包括以下步骤。
步骤S1001、获取IP通报数据库。IP通报数据库包括被通报的IP,被通报的IP表示已经被记录保存;
步骤S1002、判断标记IP是否与IP通报数据库匹配,若否,则执行步骤S1003、该标记IP添加于IP通报数据库;若是,则更新该标记IP 的匹配次数或结束。
具体地,步骤S110包括以下步骤。
步骤S1101、获取IP通报数据库。IP通报数据库包括被通报的IP,被通报的IP表示已经被记录保存。
步骤S1102、判断标记IP是否与IP通报数据库匹配,若否则执行步骤S1103、将该标记IP添加于IP通报数据库,然后对标记IP进行溯源并通报,然后更新相应的IP地址库;若是,则执行步骤S1104、将IP通报数据库内与标记IP匹配的IP记为匹配IP并执行步骤S1105。
步骤S1105、判断匹配IP与标记IP的规则ID是否相同,若否,则执行步骤S1103,若是,则更新该标记IP 的匹配次数或结束。
综上,将相应的标记IP添加于IP通报数据库内,从而实现了相应数据分析及及保存,以便于对各个攻击源或攻击目标作出针对性威胁预测。
实施例四
本实施例提供了一种威胁信息处理装置,旨在解决难以对各个攻击源作出针对性威胁预测的问题。具体地,参照图4所示,该威胁信息处理装置,具体包括待处理集合获取模块1、基础信息获取模块2、分组模块3及统计判断模块4。
待处理集合获取模块1用于获取待处理集合,将待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;
基础信息获取模块2用于获取各个威胁事件的基础信息,基础信息包括攻击源和攻击目标;
分组模块3用于将攻击源相同的威胁事件归为同组并记为嫌疑组;
统计判断模块4用于统计各个嫌疑组的攻击目标数量并记为数量a1,判断数量a1是否大于预设值b1,若是,则标记对应的攻击源。
优选地,攻击类型包括DDoS攻击、木马攻击、邮件威胁、蠕虫攻击、网络钓鱼攻击、口令入侵、节点攻击、网络监听、安全漏洞、端口扫描。
优选地,该该威胁信息处理装置还包括受害处理模块,受害处理模块用于执行以下步骤:将攻击目标相同的威胁事件归为同组并记为受害组;统计各个受害组的攻击源数量并记为数量a2,判断数量a2是否大于预设值b2,若是,则标记对应的攻击目标。
实施例五
电子设备5可以是台式计算机、笔记本电脑、服务器(实体服务器或云服务器)等,甚至也可以是手机或平板电脑等,
图5为本发明实施例五提供的一种电子设备的结构示意图,如图4和图5所示,该电子设备5包括处理器51、存储器52、输入装置53和输出装置54;计算机设备中处理器51的数量可以是一个或多个,图5中以一个处理器51为例;电子设备5中的处理器51、存储器52、输入装置53和输出装置54可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器52作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的威胁信息处理方法对应的程序指令/模块,该程序指令/模块为威胁信息处理装置中的待处理集合获取模块1、基础信息获取模块2、分组模块3及统计判断模块4。处理器51通过运行存储在存储器52中的软件程序、指令/模块,从而执行电子设备5的各种功能应用以及数据处理,即实现上述实施例一至实施例三的任意实施例或实施例组合的威胁信息处理方法。
存储器52可主要包括存储程序区和存储数据区,其中存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。存储器52还可以进一步设置为包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至电子设备5。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
值得说明的是,输入装置53可以用于接收待处理集合及基础信息等数据。输出装置54可以包括文档或显示屏等显示设备。具体地,当输出装置为文档时,可以将对应信息按照特定的格式记录于文档内,在实现数据保存的同时,还实现了数据的整合;当输出装置为显示屏等显示设备时,直接将对应信息投放于显示屏等设备上,以便于用户实时查看。
实施例六
本发明实施例六还提供一种计算机可读存储介质,其包含计算机可执行指令,计算机可执行指令在由计算机处理器执行时用于执行上述的威胁信息处理方法,该方法包括:
获取待处理集合,将待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;
获取各个威胁事件的基础信息,基础信息包括攻击源和攻击目标;
将攻击源相同的威胁事件归为同组并记为嫌疑组;
统计各个嫌疑组的攻击目标数量并记为数量a1,判断数量a1是否大于预设值b1,若是,则标记对应的攻击源。
当然,本发明实施例所提供的一种计算机可读存储介质,其计算机可执行指令不限于如上的方法操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FlASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明中实施例一至实施例三任意实施例或实施例组合的威胁信息处理方法。
值得注意的是,上述的威胁信息处理的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可。另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
上述实施方式仅为本发明的优选实施方式,不能以此来限定本发明保护的范围,本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换均属于本发明所要求保护的范围。
Claims (10)
1.一种威胁信息处理方法,其特征在于,包括以下步骤:
获取待处理集合,将所述待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;
获取各个威胁事件的基础信息,所述基础信息包括攻击源和攻击目标;
将攻击源相同的所述威胁事件归为同组并记为嫌疑组;
统计各个嫌疑组对应的攻击目标数量并记为数量a1,判断所述数量a1是否大于预设值b1,若是,则标记对应的攻击源。
2.根据权利要求1所述的威胁信息处理方法,其特征在于,所述攻击类型包括DDoS攻击、木马攻击、邮件威胁、蠕虫攻击、网络钓鱼攻击、口令入侵、节点攻击、网络监听、安全漏洞、端口扫描。
3.根据权利要求1所述的威胁信息处理方法,其特征在于,还包括以下步骤:
将攻击目标相同的所述威胁事件归为同组并记为受害组;
统计各个受害组对应的攻击源数量并记为数量a2,判断所述数量a2是否大于预设值b2,若是,则标记对应的攻击目标。
4.根据权利要求3所述的威胁信息处理方法,其特征在于,所述基础信息还包括所述威胁事件的发生时间,所述嫌疑组和所述受害组均基于所述发生时间排序。
5.根据权利要求3或4所述的威胁信息处理方法,其特征在于,还包括以下步骤:
将被标记的所述攻击源、被标记的所述攻击目标均记为标记IP;
将所述标记IP与IP地址库匹配,得到所述标记IP的区域数据;
判断所述区域数据是否为无,若否则进入有区域处理模式,若是则进入无区域处理模式。
6.根据权利要求5所述的威胁信息处理方法,其特征在于,所述有区域处理模式包括以下步骤:
获取IP通报数据库,所述IP通报数据库包括被通报的IP;
判断所述标记IP是否与所述IP通报数据库匹配,若否,则更新所述IP通报数据库。
7.根据权利要求5所述的威胁信息处理方法,其特征在于,所述无区域处理模式包括以下步骤:
获取IP通报数据库,所述IP通报数据库包括被通报的IP;
判断所述标记IP是否与所述IP通报数据库匹配,若否则更新所述IP通报数据库,并对所述标记IP进行溯源;若是,则将所述IP通报数据库内与所述标记IP匹配的IP记为匹配IP;
判断所述匹配IP与所述标记IP的规则ID是否相同,若否,则更新所述IP通报数据库,并对所述标记IP进行溯源。
8.一种威胁信息处理装置,其特征在于,包括:
待处理集合获取模块,用于获取待处理集合,将所述待处理集合的事件记为威胁事件,各个威胁事件的攻击类型相同且所属地址均位于预设区域内;
基础信息获取模块,用于获取各个威胁事件的基础信息,所述基础信息包括攻击源和攻击目标;
分组模块,用于将攻击源相同的威胁事件归为同组并记为嫌疑组;
统计判断模块,用于统计各个嫌疑组对应的攻击目标数量并记为数量a1,判断所述数量a1是否大于预设值b1,若是,则标记对应的攻击源。
9.一种电子设备,其包括处理器、存储介质以及计算机程序,所述计算机程序存储于存储介质中,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任意一项所述的威胁信息处理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任意一项所述的威胁信息处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010015893.2A CN110809010B (zh) | 2020-01-08 | 2020-01-08 | 威胁信息处理方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010015893.2A CN110809010B (zh) | 2020-01-08 | 2020-01-08 | 威胁信息处理方法、装置、电子设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110809010A true CN110809010A (zh) | 2020-02-18 |
CN110809010B CN110809010B (zh) | 2020-05-08 |
Family
ID=69493413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010015893.2A Active CN110809010B (zh) | 2020-01-08 | 2020-01-08 | 威胁信息处理方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110809010B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756720A (zh) * | 2020-06-16 | 2020-10-09 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
CN112187720A (zh) * | 2020-09-01 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
CN112751883A (zh) * | 2021-01-19 | 2021-05-04 | 光通天下网络科技股份有限公司 | Ip威胁分值判定方法、装置、设备及介质 |
CN113810351A (zh) * | 2020-06-16 | 2021-12-17 | 深信服科技股份有限公司 | 网络攻击的攻击者确定方法及装置和计算机可读存储介质 |
CN114726623A (zh) * | 2022-04-08 | 2022-07-08 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
CN114826707A (zh) * | 2022-04-13 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
CN115085955A (zh) * | 2021-03-11 | 2022-09-20 | 中国电信股份有限公司 | 网络安全处理方法及装置、存储介质、电子设备 |
CN116938600A (zh) * | 2023-09-14 | 2023-10-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1770700A (zh) * | 2004-11-01 | 2006-05-10 | 中兴通讯股份有限公司 | 计算机攻击的威胁评估方法 |
CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
CN105681274A (zh) * | 2015-12-18 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种原始告警信息处理的方法及装置 |
CN107786539A (zh) * | 2017-09-20 | 2018-03-09 | 杭州安恒信息技术有限公司 | 一种基于dns进行防cc攻击的方法 |
US20190014084A1 (en) * | 2016-02-26 | 2019-01-10 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
CN110324312A (zh) * | 2019-05-22 | 2019-10-11 | 北京瀚海思创科技有限公司 | 网络攻击地图显示方法及存储介质 |
-
2020
- 2020-01-08 CN CN202010015893.2A patent/CN110809010B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1770700A (zh) * | 2004-11-01 | 2006-05-10 | 中兴通讯股份有限公司 | 计算机攻击的威胁评估方法 |
CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
CN105681274A (zh) * | 2015-12-18 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种原始告警信息处理的方法及装置 |
US20190014084A1 (en) * | 2016-02-26 | 2019-01-10 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
CN107786539A (zh) * | 2017-09-20 | 2018-03-09 | 杭州安恒信息技术有限公司 | 一种基于dns进行防cc攻击的方法 |
CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
CN110324312A (zh) * | 2019-05-22 | 2019-10-11 | 北京瀚海思创科技有限公司 | 网络攻击地图显示方法及存储介质 |
Non-Patent Citations (1)
Title |
---|
吴祎凡: ""基于多维度信息的网络攻击溯源技术研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756720A (zh) * | 2020-06-16 | 2020-10-09 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
CN111756720B (zh) * | 2020-06-16 | 2023-03-24 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
CN113810351A (zh) * | 2020-06-16 | 2021-12-17 | 深信服科技股份有限公司 | 网络攻击的攻击者确定方法及装置和计算机可读存储介质 |
CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
CN111953697B (zh) * | 2020-08-14 | 2023-08-18 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
CN112187720B (zh) * | 2020-09-01 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
CN112187720A (zh) * | 2020-09-01 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
CN112751883A (zh) * | 2021-01-19 | 2021-05-04 | 光通天下网络科技股份有限公司 | Ip威胁分值判定方法、装置、设备及介质 |
CN112751883B (zh) * | 2021-01-19 | 2023-11-24 | 杨建鑫 | Ip威胁分值判定方法、装置、设备及介质 |
CN115085955A (zh) * | 2021-03-11 | 2022-09-20 | 中国电信股份有限公司 | 网络安全处理方法及装置、存储介质、电子设备 |
CN115085955B (zh) * | 2021-03-11 | 2024-03-19 | 中国电信股份有限公司 | 网络安全处理方法及装置、存储介质、电子设备 |
CN114726623A (zh) * | 2022-04-08 | 2022-07-08 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
CN114726623B (zh) * | 2022-04-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
CN114826707A (zh) * | 2022-04-13 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
CN114826707B (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
CN116938600A (zh) * | 2023-09-14 | 2023-10-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
CN116938600B (zh) * | 2023-09-14 | 2023-11-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110809010B (zh) | 2020-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
US10735455B2 (en) | System for anonymously detecting and blocking threats within a telecommunications network | |
CN109495443B (zh) | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 | |
US20130081065A1 (en) | Dynamic Multidimensional Schemas for Event Monitoring | |
CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
US9569471B2 (en) | Asset model import connector | |
US20130081141A1 (en) | Security threat detection associated with security events and an actor category model | |
US9900335B2 (en) | Systems and methods for prioritizing indicators of compromise | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
US20130333034A1 (en) | Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion | |
JP7204247B2 (ja) | 脅威対応自動化方法 | |
US11595418B2 (en) | Graphical connection viewer for discovery of suspect network traffic | |
US20130198168A1 (en) | Data storage combining row-oriented and column-oriented tables | |
WO2011149773A2 (en) | Security threat detection associated with security events and an actor category model | |
EP3343421A1 (en) | System to detect machine-initiated events in time series data | |
US10142359B1 (en) | System and method for identifying security entities in a computing environment | |
CN112287340B (zh) | 用于终端攻击的取证溯源方法、装置、计算机设备 | |
CN112350864B (zh) | 域控终端的保护方法、装置、设备和计算机可读存储介质 | |
US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |