CN111147497B - 一种基于知识不对等的入侵检测方法、装置以及设备 - Google Patents

一种基于知识不对等的入侵检测方法、装置以及设备 Download PDF

Info

Publication number
CN111147497B
CN111147497B CN201911384397.8A CN201911384397A CN111147497B CN 111147497 B CN111147497 B CN 111147497B CN 201911384397 A CN201911384397 A CN 201911384397A CN 111147497 B CN111147497 B CN 111147497B
Authority
CN
China
Prior art keywords
current
risk
intrusion
intrusion behavior
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911384397.8A
Other languages
English (en)
Other versions
CN111147497A (zh
Inventor
黄伟杰
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911384397.8A priority Critical patent/CN111147497B/zh
Publication of CN111147497A publication Critical patent/CN111147497A/zh
Application granted granted Critical
Publication of CN111147497B publication Critical patent/CN111147497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于知识不对等的入侵检测方法、装置、设备以及计算机可读存储介质,包括:当入侵检测系统获取到当前流量后,将镜像流量与入侵行为特征库中的特征进行匹配;当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;根据所述风险信息确定所述当前入侵行为的目标风险评估值,并判断所述目标风险评估值是否大于等于所述预设风险阈值;若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端。本发明所提供的方法、装置、设备以及计算机可读存储介质,提高了网络入侵检测的效率与准确性。

Description

一种基于知识不对等的入侵检测方法、装置以及设备
技术领域
本发明涉及网络安全技术领域,特别是涉及一种基于知识不对等的入侵检测方法、装置、设备以及计算机可读存储介质。
背景技术
当入侵行为发生时,网络上传输的流量在某些特性,如流量大小、数据包长以及数据包特定区域的内容等特性会表现出与正常流量的相异性,若能够尽早检测这些异常流量,就可以提前采取行动来保护网络安全。研究对这些异常流量的检测、定位造成异常的主机,进而对异常主机进行处理,对于避免网络拥塞、保证网络性能、避免网络资源的滥用以及保护网络信息安全,具有重要意义。
网络入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
目前的入侵检测系统主要分为两种。一种是根据预定义的载荷特征检测,能准确给出已知攻击的详细信息,但灵活性不足,无法对未知的威胁产生报警,而且已知攻击载荷数量较大,效率低,容易导致网络拥堵。第二种是基于机器学习的特征检测,机器学习是基于已知攻击过程训练的模型,因此无法有效检测未知的攻击方法和逻辑,因此在一定程度上拦截未知威胁,但仍然存在漏报和时延的缺陷,难以应付日益复杂的网络攻击。
现有的入侵检测系统无法对未知的威胁产生报警,并且处理效率低,速度慢,容易误报、漏报。
综上所述可以看出,如何快速判断及预警网络入侵行为是目前有待解决的问题。
发明内容
本发明的目的是提供一种基于知识不对等的入侵检测方法、装置、设备以及计算机可读存储介质,以解决现有入侵检测系统无法对未知威胁产生报警且处理效率低的问题。
为解决上述技术问题,本发明提供一种基于知识不对等的入侵检测方法,包括:当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与预先根据资产所有者和攻击者的知识不对等性构建的入侵行为特征库中的特征进行匹配;当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;根据所述风险信息确定所述当前入侵行为的目标风险评估值,并判断所述目标风险评估值是否大于等于所述预设风险阈值;若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端。
优选地,所述当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息包括:
当所述镜像流量与所述漏洞特征库中的当前特征匹配成功时,记录所述当前入侵行为的入侵时间、资产与来源以及所述当前特征对应的规则类别。
优选地,所述据所述风险信息确定目标风险评估值包括:
根据所述当前入侵行为的入侵时间,确定时间风险评估值;
根据所述当前特征对应的规则类别,确定聚类风险评估值;
根据所述当前入侵行为的资产,确定资产风险评估值;
根据所述当前入侵行为的来源,确定来源风险评估值;
根据所述时间风险评估值、所述聚类风险评估值、所述资产风险评估值与所述来源风险评估值,确定所述目标风险评估值。
优选地,所述根据所述当前入侵行为的入侵时间,确定时间风险评估值包括:
根据所述当前入侵行为的入侵时间,获取预设时间段内发生入侵行为的次数;
将所述预设时间段内发生入侵行为的次数与预设次数阈值进行比较,根据比较结果生成所述时间风险评估值。
优选地,所述根据所述当前特征对应的规则类别,确定聚类风险评估值包括:
获取所述当前特征对应的规则类别,根据所述规则类别对应的风险初始值确实聚类风险评估值。
本发明还提供了一种基于知识不对等的入侵检测装置,包括:
流量匹配模块,用于当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与预先根据资产所有者和攻击者的知识不对等性构建的入侵行为特征库中的特征进行匹配;
风险信息获取模块,用于当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;
风险评估模块,用于根据所述风险信息确定所述当前入侵行为的目标风险评估值,判断所述目标风险评估值是否大于等于所述预设风险阈值;
预警模块,用于若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端。
优选地,所述风险信息获取模块包括:
记录单元,用于当所述镜像流量与所述漏洞特征库中的当前特征匹配成功时,记录所述当前入侵行为的入侵时间、资产与来源以及所述当前特征对应的规则类别。
优选地,所述风险评估模块包括:
时间评估单元,用于根据所述当前入侵行为的入侵时间,确定时间风险评估值;
聚类评估单元,用于根据所述当前特征对应的规则类别,确定聚类风险评估值;
资产评估单元,用于根据所述当前入侵行为的资产,确定资产风险评估值;
来源评估单元,用于根据所述当前入侵行为的来源,确定来源风险评估值;
综合评估单元,用于根据所述时间风险评估值、所述聚类风险评估值、所述资产风险评估值与所述来源风险评估值,确定所述目标风险评估值。
本发明还提供了一种基于知识不对等的入侵检测设备,包括:
存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述一种基于知识不对等的入侵检测方法的步骤。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述一种基于知识不对等的入侵检测方法的步骤。
本发明所提供的基于知识不对等的入侵检测方法,预先根据资产所有者和攻击者的知识不对等性构建入侵行为特征库。所述资产所有者可以获取其资产的所有信息,而所述攻击者在攻击过程中往往只对特定信息感兴趣,这些特定信息一般不会在常规的流量中出现,所以出现这些信息就说明攻击者已经攻击成功。将这类信息作为特征,形成入侵行为特征库,对欲保护资产的镜像流量进行核查。在路由器镜像流量口部署入侵检测系统,当所述入侵检测系统获取当前流量后,将所述当前流量对应的镜像流量与所述入侵行为特征库中的特征进行匹配。当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息。根据所述风险信息确定所述当前入侵行为的目标风险评估值;并将所述目标风险评估值与所述预设风险阈值进行比较。若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息发送至用户端。本发明所提供的方法,基于资产所有者与攻击者的权限差异及可获取信息的不对称性,建立入侵行为特征库,利用入侵行为特征库可快速判断网络入侵行为,提高了网络入侵行为的检测效率及准确性,可以预警未知安全风险。
附图说明
为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的基于知识不对等的入侵检测方法的第一种具体实施例的流程图;
图2为本发明所提供的基于知识不对等的入侵检测方法的第二种具体实施例的流程图;
图3为本发明实施例提供的一种基于知识不对等的入侵检测装置的结构框图。
具体实施方式
本发明的核心是提供一种基于知识不对等的入侵检测方法、装置、设备以及计算机可读存储介质,提高了网络入侵行为检测的效率及准确性。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明所提供的基于知识不对等的入侵检测方法的第一种具体实施例的流程图;具体操作步骤如下:
步骤S101:当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与预先根据资产所有者和攻击者的知识不对等性构建的入侵行为特征库中的特征进行匹配;
所述资产所有者可以获取其资产的所有信息,而所述攻击者在攻击过程中往往只对特定信息感兴趣;通过这些特定信息往往可以确定漏洞是否存在。如能显示/etc/passwd的内容则说明文件读取包含漏洞存在;或者例如能返回ifconfig命令结果,即服务器的ip信息;则说明命令执行漏洞存在,或者其他能够更近一步获取权限的信息。这些信息一般不会在常规的流量中出现,所以出现这些信息就说明攻击者已经攻击成功。将这类信息作为特征,形成所述入侵行为特征库。
所述入侵检测系统(IDS)为一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。所述入侵检测系统部署于路由器流量镜像口,流经路由器的所有流量均被IDS获取,但不影响实际业务,为发现入侵行为做准备。
步骤S102:当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;
步骤S103:根据所述风险信息确定所述当前入侵行为的目标风险评估值,并判断所述目标风险评估值是否大于等于所述预设风险阈值;
步骤S104:若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端。
本实施例提供了一种基于知识不对等的入侵检测方法,根据攻击者和资产所有者权限差异及可获取信息的不对称性,可以快速判断及预警网络入侵行为。
基于上述实施例,在本实施例中,当所述镜像流量与所述入侵行为特征库中的某一特征匹配成功后,记录该特征对应的规则类别、当前入侵行为的入侵时间、资产与来源,以便对所述当前入侵行为进行时间、聚类、资产及来源等多个维度的风险评估,确实所述当前入侵行为的目标风险评估值。
请参考图2,图2为本发明所提供的基于知识不对等的入侵检测方法的第二种具体实施例的流程图;具体操作步骤如下:
步骤S201:根据资产所有者和攻击者的知识不对等性构建入侵行为特征库;
步骤S202:当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与所述入侵行为特征库中的特征进行匹配;
步骤S203:当所述镜像流量与所述漏洞特征库中的当前特征匹配成功时,记录所述当前入侵行为的入侵时间、资产与来源以及所述当前特征对应的规则类别;
步骤S204:根据所述当前入侵行为的入侵时间,确定时间风险评估值;
根据所述当前入侵行为的入侵时间,对所述当前入侵行为进行时间维度的统计,如在6个小时内发现超过3次,则所述时间风险评估值额外加10。
步骤S205:根据所述当前特征对应的规则类别,确定聚类风险评估值;
对所述当前入侵行为以特征规则分类,每类规则的风险值相应的初始值。对所述当前入侵行为进行聚类风险评估时,可获取与所述镜像流量匹配的当前特征所属的规则类别,确定所述当前入侵行为的聚类风险评估值。
步骤S206:根据所述当前入侵行为的资产,确定资产风险评估值;
资产维度评估是指对不同重要程度的资产,风险值不同,以及对某个资产,连续发现多条入侵行为时,风险值有一定比例的提升。
步骤S207:根据所述当前入侵行为的来源,确定来源风险评估值;
来源维度评估是指对同一来源的行为,连续发现多条入侵行为时风险值有一定比例的提升。
步骤S208:根据所述时间风险评估值、所述聚类风险评估值、所述资产风险评估值与所述来源风险评估值,确定所述目标风险评估值;
步骤S209:判断所述目标风险评估值是否大于等于所述预设风险阈值;
步骤S210:若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端。
本实施例所提供的方法,在所述入侵检测系统获取到流量以后,根据所述入侵行为特征库对镜像流量做匹配处理,然后对当前入侵行为进行风险评估,当风险评估结果达到一定阈值时,进行预警。本发明实施例的入侵行为检测具有较高的准确率及效率高,并且可以预警未知安全风险。
请参考图3,图3为本发明实施例提供的一种基于知识不对等的入侵检测装置的结构框图;具体装置可以包括:
流量匹配模块100,用于当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与预先根据资产所有者和攻击者的知识不对等性构建的入侵行为特征库中的特征进行匹配;
风险信息获取模块200,用于当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;
风险评估模块300,用于根据所述风险信息确定所述当前入侵行为的目标风险评估值,并判断所述目标风险评估值是否大于等于所述预设风险阈值;
预警模块400,用于若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端。
本实施例的基于知识不对等的入侵检测装置用于实现前述的基于知识不对等的入侵检测方法,因此基于知识不对等的入侵检测装置中的具体实施方式可见前文中的基于知识不对等的入侵检测方法的实施例部分,例如,流量匹配模块100,风险信息获取模块200,风险评估模块300,预警模块400,分别用于实现上述基于知识不对等的入侵检测方法中步骤S101,S102,S103和S104,所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再赘述。
本发明具体实施例还提供了一种基于知识不对等的入侵检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述一种基于知识不对等的入侵检测方法的步骤。
本发明具体实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述一种基于知识不对等的入侵检测方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的基于知识不对等的入侵检测方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (6)

1.一种基于知识不对等的入侵检测方法,其特征在于,包括:
当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与预先根据资产所有者和攻击者的知识不对等性构建的入侵行为特征库中的特征进行匹配;
当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;
根据所述风险信息确定所述当前入侵行为的目标风险评估值,并判断所述目标风险评估值是否大于等于预设风险阈值;
若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端;
所述当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息包括:
当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录所述当前入侵行为的入侵时间、资产与来源以及所述当前特征对应的规则类别;
所述根据所述风险信息确定目标风险评估值包括:
根据所述当前入侵行为的入侵时间,确定时间风险评估值;
根据所述当前特征对应的规则类别,确定聚类风险评估值;
根据所述当前入侵行为的资产,确定资产风险评估值;
根据所述当前入侵行为的来源,确定来源风险评估值;
根据所述时间风险评估值、所述聚类风险评估值、所述资产风险评估值与所述来源风险评估值,确定所述目标风险评估值。
2.如权利要求1所述的方法,其特征在于,所述根据所述当前入侵行为的入侵时间,确定时间风险评估值包括:
根据所述当前入侵行为的入侵时间,获取预设时间段内发生入侵行为的次数;
将所述预设时间段内发生入侵行为的次数与预设次数阈值进行比较,根据比较结果生成所述时间风险评估值。
3.如权利要求2所述的方法,其特征在于,所述根据所述当前特征对应的规则类别,确定聚类风险评估值包括:
获取所述当前特征对应的规则类别,根据所述规则类别对应的风险初始值确定聚类风险评估值。
4.一种基于知识不对等的入侵检测装置,其特征在于,包括:
流量匹配模块,用于当部署于路由器镜像流量口的入侵检测系统获取到当前流量后,将所述当前流量对应的镜像流量与预先根据资产所有者和攻击者的知识不对等性构建的入侵行为特征库中的特征进行匹配;
风险信息获取模块,用于当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录当前入侵行为的风险信息;
风险评估模块,用于根据所述风险信息确定所述当前入侵行为的目标风险评估值,判断所述目标风险评估值是否大于等于预设风险阈值;
预警模块,用于若所述目标风险评估值大于等于所述预设风险阈值,则生成预警信息,并将所述预警信息发送至用户端;
所述风险信息获取模块包括:
记录单元,用于当所述镜像流量与所述入侵行为特征库中的当前特征匹配成功时,记录所述当前入侵行为的入侵时间、资产与来源以及所述当前特征对应的规则类别;
所述风险评估模块包括:
时间评估单元,用于根据所述当前入侵行为的入侵时间,确定时间风险评估值;
聚类评估单元,用于根据所述当前特征对应的规则类别,确定聚类风险评估值;
资产评估单元,用于根据所述当前入侵行为的资产,确定资产风险评估值;
来源评估单元,用于根据所述当前入侵行为的来源,确定来源风险评估值;
综合评估单元,用于根据所述时间风险评估值、所述聚类风险评估值、所述资产风险评估值与所述来源风险评估值,确定所述目标风险评估值。
5.一种基于知识不对等的入侵检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述一种基于知识不对等的入侵检测方法的步骤。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述一种基于知识不对等的入侵检测方法的步骤。
CN201911384397.8A 2019-12-28 2019-12-28 一种基于知识不对等的入侵检测方法、装置以及设备 Active CN111147497B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911384397.8A CN111147497B (zh) 2019-12-28 2019-12-28 一种基于知识不对等的入侵检测方法、装置以及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911384397.8A CN111147497B (zh) 2019-12-28 2019-12-28 一种基于知识不对等的入侵检测方法、装置以及设备

Publications (2)

Publication Number Publication Date
CN111147497A CN111147497A (zh) 2020-05-12
CN111147497B true CN111147497B (zh) 2022-03-25

Family

ID=70521322

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911384397.8A Active CN111147497B (zh) 2019-12-28 2019-12-28 一种基于知识不对等的入侵检测方法、装置以及设备

Country Status (1)

Country Link
CN (1) CN111147497B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350745A (zh) * 2008-08-15 2009-01-21 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
CN107846418A (zh) * 2017-12-14 2018-03-27 广东天网安全信息科技有限公司 防火墙主动防护系统及防护方法
CN110602030A (zh) * 2019-05-16 2019-12-20 上海云盾信息技术有限公司 网络入侵阻断方法、服务器及计算机可读介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9800605B2 (en) * 2015-01-30 2017-10-24 Securonix, Inc. Risk scoring for threat assessment
CN107204876B (zh) * 2017-05-22 2020-09-29 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN109495424B (zh) * 2017-09-11 2021-12-31 东软集团股份有限公司 一种检测入侵流量的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350745A (zh) * 2008-08-15 2009-01-21 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
CN107846418A (zh) * 2017-12-14 2018-03-27 广东天网安全信息科技有限公司 防火墙主动防护系统及防护方法
CN110602030A (zh) * 2019-05-16 2019-12-20 上海云盾信息技术有限公司 网络入侵阻断方法、服务器及计算机可读介质

Also Published As

Publication number Publication date
CN111147497A (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
CN110472414B (zh) 系统漏洞的检测方法、装置、终端设备及介质
US10135862B1 (en) Testing security incident response through automated injection of known indicators of compromise
CN109302426B (zh) 未知漏洞攻击检测方法、装置、设备及存储介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN112184091B (zh) 工控系统安全威胁评估方法、装置和系统
CN108650225B (zh) 一种远程安全监测设备、系统及远程安全监测方法
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
CN106537872B (zh) 用于检测计算机网络中的攻击的方法
CN105009132A (zh) 基于置信因子的事件关联
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN109936475B (zh) 一种异常检测方法及装置
CN112532631A (zh) 一种设备安全风险评估方法、装置、设备及介质
CN111277561B (zh) 网络攻击路径预测方法、装置及安全管理平台
CN109144023A (zh) 一种工业控制系统的安全检测方法和设备
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN104954188A (zh) 基于云的网站日志安全分析方法、装置和系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN113315785B (zh) 一种告警消减方法、装置、设备和计算机可读存储介质
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN109462617B (zh) 一种局域网中设备通讯行为检测方法及装置
CN111147497B (zh) 一种基于知识不对等的入侵检测方法、装置以及设备
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant