CN111181918A - 基于ttp的高风险资产发现和网络攻击溯源方法 - Google Patents
基于ttp的高风险资产发现和网络攻击溯源方法 Download PDFInfo
- Publication number
- CN111181918A CN111181918A CN201911203152.0A CN201911203152A CN111181918A CN 111181918 A CN111181918 A CN 111181918A CN 201911203152 A CN201911203152 A CN 201911203152A CN 111181918 A CN111181918 A CN 111181918A
- Authority
- CN
- China
- Prior art keywords
- ttp
- attack
- guid
- detected
- executing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于TTP的高风险资产发现和网络攻击溯源方法,包括以下步骤:对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁,之后将所有检测到的TTP信息显示到进程树上对应的进程。通过告警规则模型,来检测每一个攻击技术Techniques,检测到技术Techniques后每一个技术都对应一个Techniques编号(TTP编号),除了Techniques编号外还有战术Tactics编号。当检测到攻击技术Techniques时,溯源这个攻击进程的进程树。分析进程树上是否覆盖了多个攻击技术Techniques,设想当一个进程树上只检测到一个攻击技术Techniques可能是检测规则的误报,若一个进程树上检测到多个攻击技术Techniques,那大概率这个设备已经沦陷,并且被攻击者控制,进行多个恶意的攻击行为。
Description
技术领域
本发明涉及一种溯源方法,具体涉及一种基于TTP的高风险资产发现和网络攻击溯源方法。
背景技术
当今网络中存在各种各样怀揣不同目的黑客在互联网对其他个人或企业进行网络攻击,以达到他们的获取利益、提高声望、政治意图等目的。而在以往爆发的安全事件中,企业对于网络中已经失陷的主机感知能力存在问题,往往不能第一时间发现网络中的攻击。黑客在组织内部进行长期的潜伏,进行信息收集、敏感资料窃取甚至是破坏等行为。
在TTP没有被引入网络安全领域之前,在主机上发现的问题只能是一个威胁点,无法根据更多的信息去尽可能全貌的知道这个威胁点相关的上下文。在TTP被引入网络安全领域之后,可以结合TTP的信息理解攻击者的攻击意图、攻击技术、攻击过程。
在APT等高级威胁研究的领域,时常可以在各组织发布的APT报告中看到一个专业术语TTP,TTP及其中的三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标。TTP的概念最早来自于军事领域及反恐活动,随着在信息安全领域及网络安全领域的推广应用。
MITRE公司总结了244种已知的攻击技术并且为他们分配了唯一的编号。
目前现有技术存在以下缺点:
1、目前终端检测安全告警大多只是对异常行为本身进行告警,告警无法直接看出攻击者的目的及攻击技术,通过把告警映射到TTP编号来描述攻击者的目的及攻击技术。
2、目前终端只能针对恶意的特征进行告警,但是很多攻击行为会利用Windows官方的工具发起攻击,这时会绕过部分终端检测产品。我们可以通过审计可能被利用的官方工具,进行行为分析来判断机器是否沦陷。
3、目前在终端检测触发的告警间是独立的,没有一个整体的视角串联攻击者的行为,我们根据失陷主机的进程绘制进程树,并附加相关的TTP信息,可以清晰的描述机器上恶意进程的运行过程和攻击技术。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的基于TTP的高风险资产发现和网络攻击溯源方法。
为解决上述技术问题,本发明提供一种基于TTP的高风险资产发现和网络攻击溯源方法,包括以下步骤:
对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁,之后将所有检测到的TTP信息显示到进程树上对应的进程。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的改进:进程树溯源包括以下步骤:
1)、获取该可疑进程的进程Guid;执行步骤2;
2)、展示该进程Guid的进程路径;执行步骤3;
3)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤4;
4)、判断当前进程有无父进程,如有,把当前进程的父进程Guid当作进程Guid,重新执行步骤2;如没有;执行步骤5;
5)、把步骤1得到可疑进程的进程Guid当作父进程Guid搜索子进程,执行步骤6;
6)、展示该进程的进程路径;执行步骤7;
7)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤8;
8)、判断当前进程有无子进程,如有,当前进程的子进程Guid当作进程Guid,重新执行步骤6;如没有;执行步骤9;
9)、根据所有的进程得到进程树,结束。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的进一步改进:
将检测到的TTP信息,标注到进程树相应的进程上。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的进一步改进:
根据检测攻击技术Techniques的规则可靠性评估的,把规则分为失陷告警、参考告警和审计信息三类,其中高危告警和可疑的行为就是对应失陷告警和参考告警;
当检测两种情况标记主机为高风险失陷主机:
(1)、当检测到高危告警;
(2)、当检测到多个可疑的行为发生在一个进程树上。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的进一步改进:
当检测到进程Guid查询发起过网络连接时,展示该机器上检测到的TTP信息及摘要;可以根据此信息来判断是否为横向移动攻击,可在内网其他机器的TTP信息上下钻到该TTP所在的进程树。
TTP编号是来自于Att&ck框架内的一个编号(参考:https://attack.mitre.org/),上面说过TTP是战术Tactics、技术Techniques和过程Procedures,这里的TTP编号其实对应的是其中的技术Techniques的编号,但业内一般直接称呼TTP编号。每一个攻击技术对应一个唯一的Techniques编号。
Att&ck框架目前分为12个战术,每个战术下面细分出很多攻击技术,形成一个2维的矩阵,也就是说当我想到到达什么目的(战术)时,需要使用什么技术。可以通过Techniques编号、Tactics编号来确定。例如:攻击使用凭证导出技术达到了凭证获取的目的,这就是通过通过Techniques编号、Tactics编号来定位攻击者目的和使用技术的过程;
本发明基于TTP的高风险资产发现和网络攻击溯源方法的技术优势为:
1、通过把告警映射到TTP编号来描述攻击者的目的及攻击技术;
通过告警规则模型,来检测每一个攻击技术Techniques,检测到技术Techniques后每一个技术都对应一个Techniques编号(TTP编号),除了Techniques编号外还有战术Tactics编号。
2、可以通过审计可能被利用的官方工具,进行行为分析来判断机器是否沦陷。
当检测到攻击技术Techniques时,溯源这个攻击进程的进程树。分析进程树上是否覆盖了多个攻击技术Techniques,设想当一个进程树上只检测到一个攻击技术Techniques可能是检测规则的误报,若一个进程树上检测到多个攻击技术Techniques,那大概率这个设备已经沦陷,并且被攻击者控制,进行多个恶意的攻击行为。
3、根据失陷主机的进程绘制进程树,并附加相关的TTP信息,可以清晰的描述机器上恶意进程的运行过程和攻击技术。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明基于TTP的高风险资产发现和网络攻击溯源方法的流程示意图;
图2为进程树最终的效果图演示图;
图3为图2中将检测到的TTP信息标注到进程树相应的进程的示意图;
图4当检测到多个可疑的行为(感叹号标记)发生在一个进程树上的示意图;
图5为当检测到失陷主机有进程访问内网其他机器时展示该机器上检测到的TTP信息及摘要的示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于TTP的高风险资产发现和网络攻击溯源方法,如图1-5所示,包括以下步骤:
首先针对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁(预先检测设置),之后将所有检测到的TTP信息显示到进程树上对应的进程。
已经触发了TTP相关规则的进程,攻击技术Techniques的检测(TTP相关规则)均来自于Siem平台(安全信息事件管理平台,俗称日志分析平台),通过Siem平台的实时检测能力,分析实时传递来的终端日志,检测攻击技术Techniques。在原始的终端数据中操作一般会带有进程信息,可以将进程信息输出到告警中。
当有进程被检测到带有TTP标识的行为,开始溯源该进程的进程树,包括以下步骤:
1、获取该可疑进程的进程Guid;执行步骤2;
2、展示该进程的进程路径;执行步骤3;
3、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤4;
4、把当前进程的父进程Guid当作进程Guid去向前检索,溯源该进程树的前半段,直到父进程Guid当作进程Guid搜索不到其父进程才终止进行后半段溯源;
即为判断当前进程有无父进程,如有,把当前进程的父进程Guid当作进程Guid,重新执行步骤2;如没有;执行步骤5;
5、把起始进程Guid(步骤1得到可疑进程的进程Guid)当作父进程Guid搜索子进程,执行步骤6;
6、展示该进程的进程路径;执行步骤7;
7、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤8;
8、把当前进程的进程Guid当作父进程Guid去向后搜索子进程,溯源该进程树的后半段,直到当前进程Guid当作父进程Guid搜索不到其子进程才终止,进程树溯源完毕。
即为判断当前进程有无子进程,如有,当前进程的子进程Guid当作进程Guid,重新执行步骤6;如没有;执行步骤9;
9、根据所有的进程得到进程树,结束。
进程树最终的效果图演示如图2所示。
将检测到的TTP信息,标注到进程树相应的进程上,可以清晰的了解进程触发的可疑行为,如图3所示。
根据检测攻击技术Techniques的规则可靠性评估的,把规则分为失陷告警、参考告警和审计信息三类,其中高危告警和可疑的行为就是对应失陷告警和参考告警。
失陷告警:极低误报率、确切高危行为的告警
参考告警:存在误报情况的高危行为告警、较低误报率的中危告警
审计信息:可能被攻击者利用也可能是用户自己操作的行为
当检测两种情况标记主机为高风险失陷主机:
1、当检测到高危告警,如图3所示;
2、当检测到多个可疑的行为发生在一个进程树上,如图4所示。
若一个进程树上检测到多个攻击技术Techniques,那大概率这个设备已经沦陷,并且被攻击者控制,进行多个恶意的攻击行为。
当检测到失陷主机有进程访问内网其他机器(即为步骤7中进程Guid查询该进程发起过网络连接)时,展示该机器上检测到的TTP信息及摘要。可以根据此信息来判断是否为横向移动攻击,可在内网其他机器的TTP信息上下钻到该TTP所在的进程树。
进程树的溯源逻辑:
英文解释:processGuid:(进程Guid,Guid是唯一标识的ID)
Image:(进程路径)
ParentProcessGuid(父进程Guid)
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (5)
1.基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:包括以下步骤:
对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁,之后将所有检测到的TTP信息显示到进程树上对应的进程。
2.根据权利要求1所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:进程树溯源包括以下步骤:
1)、获取该可疑进程的进程Guid;执行步骤2;
2)、展示该进程Guid的进程路径;执行步骤3;
3)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤4;
4)、判断当前进程有无父进程,如有,把当前进程的父进程Guid当作进程Guid,重新执行步骤2;如没有;执行步骤5;
5)、把步骤1得到可疑进程的进程Guid当作父进程Guid搜索子进程,执行步骤6;
6)、展示该进程的进程路径;执行步骤7;
7)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤8;
8)、判断当前进程有无子进程,如有,当前进程的子进程Guid当作进程Guid,重新执行步骤6;如没有;执行步骤9;
9)、根据所有的进程得到进程树,结束。
3.根据权利要求2所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:
将检测到的TTP信息,标注到进程树相应的进程上。
4.根据权利要求3所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:
根据检测攻击技术Techniques的规则可靠性评估的,把规则分为失陷告警、参考告警和审计信息三类,其中高危告警和可疑的行为就是对应失陷告警和参考告警;
当检测两种情况标记主机为高风险失陷主机:
(1)、当检测到高危告警;
(2)、当检测到多个可疑的行为发生在一个进程树上。
5.根据权利要求4所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:
当检测到进程Guid查询发起过网络连接时,展示该机器上检测到的TTP信息及摘要;
可以根据此信息来判断是否为横向移动攻击,可在内网其他机器的TTP信息上下钻到该TTP所在的进程树。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911203152.0A CN111181918B (zh) | 2019-11-29 | 2019-11-29 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911203152.0A CN111181918B (zh) | 2019-11-29 | 2019-11-29 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111181918A true CN111181918A (zh) | 2020-05-19 |
CN111181918B CN111181918B (zh) | 2021-11-16 |
Family
ID=70648828
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911203152.0A Active CN111181918B (zh) | 2019-11-29 | 2019-11-29 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111181918B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113225356A (zh) * | 2021-07-08 | 2021-08-06 | 广东云智安信科技有限公司 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
CN113824736A (zh) * | 2021-11-22 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
CN113965407A (zh) * | 2021-11-04 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | Ioc情报文件生成方法、装置、存储介质及电子设备 |
CN114915485A (zh) * | 2022-05-31 | 2022-08-16 | 阿里云计算有限公司 | 基于ueba的异常行为分析方法及装置 |
CN115065558A (zh) * | 2022-08-11 | 2022-09-16 | 北京未来智安科技有限公司 | Apt攻击的攻击流程溯源方法及装置 |
CN115473658A (zh) * | 2021-06-10 | 2022-12-13 | 中国移动通信集团有限公司 | 网络攻击检测方法、装置、设备及计算机程序 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
US20160269424A1 (en) * | 2015-03-13 | 2016-09-15 | Microsoft Technology Licensing, Llc | Large Scale Malicious Process Detection |
WO2017046789A1 (en) * | 2015-09-15 | 2017-03-23 | Gatekeeper Ltd. | System and method for securely connecting to a peripheral device |
US20170099306A1 (en) * | 2015-10-02 | 2017-04-06 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
CN108200053A (zh) * | 2017-12-30 | 2018-06-22 | 成都亚信网络安全产业技术研究院有限公司 | 记录apt攻击操作的方法及装置 |
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
US10230749B1 (en) * | 2016-02-29 | 2019-03-12 | Palo Alto Networks, Inc. | Automatically grouping malware based on artifacts |
CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
WO2019160427A1 (en) * | 2018-02-13 | 2019-08-22 | Craig Rowland | Computer investigation method and system |
CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
-
2019
- 2019-11-29 CN CN201911203152.0A patent/CN111181918B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
US20160269424A1 (en) * | 2015-03-13 | 2016-09-15 | Microsoft Technology Licensing, Llc | Large Scale Malicious Process Detection |
WO2017046789A1 (en) * | 2015-09-15 | 2017-03-23 | Gatekeeper Ltd. | System and method for securely connecting to a peripheral device |
US20170099306A1 (en) * | 2015-10-02 | 2017-04-06 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
US10230749B1 (en) * | 2016-02-29 | 2019-03-12 | Palo Alto Networks, Inc. | Automatically grouping malware based on artifacts |
CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
CN108200053A (zh) * | 2017-12-30 | 2018-06-22 | 成都亚信网络安全产业技术研究院有限公司 | 记录apt攻击操作的方法及装置 |
WO2019160427A1 (en) * | 2018-02-13 | 2019-08-22 | Craig Rowland | Computer investigation method and system |
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
Non-Patent Citations (2)
Title |
---|
HAMAD ALMOHANNADI等: ""Cyber Threat Intelligence from Honeypot Data Using Elasticsearch"", 《2018 IEEE 32ND INTERNATIONAL CONFERENCE ON ADVANCED INFORMATION NETWORKING AND APPLICATIONS (AINA)》 * |
王浩淼: ""基于行动特征的APT攻击追踪溯源浅析"", 《网络安全技术与应用》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115473658A (zh) * | 2021-06-10 | 2022-12-13 | 中国移动通信集团有限公司 | 网络攻击检测方法、装置、设备及计算机程序 |
CN113225356A (zh) * | 2021-07-08 | 2021-08-06 | 广东云智安信科技有限公司 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
CN113965407A (zh) * | 2021-11-04 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | Ioc情报文件生成方法、装置、存储介质及电子设备 |
CN113824736A (zh) * | 2021-11-22 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
CN114915485A (zh) * | 2022-05-31 | 2022-08-16 | 阿里云计算有限公司 | 基于ueba的异常行为分析方法及装置 |
CN115065558A (zh) * | 2022-08-11 | 2022-09-16 | 北京未来智安科技有限公司 | Apt攻击的攻击流程溯源方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111181918B (zh) | 2021-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
Bryant et al. | A novel kill-chain framework for remote security log analysis with SIEM software | |
CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
KR102225460B1 (ko) | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 | |
CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
CN110598411A (zh) | 敏感信息检测方法、装置、存储介质和计算机设备 | |
CN104811447A (zh) | 一种基于攻击关联的安全检测方法和系统 | |
CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
CN111953697A (zh) | 一种apt攻击识别及防御方法 | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
US10805326B1 (en) | Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion | |
CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
Vieane et al. | Coordinated displays to assist cyber defenders | |
CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
Liew et al. | Detecting adversary using Windows digital artifacts | |
Pihelgas et al. | Frankenstack: Real-time cyberattack detection and feedback system for technical cyber exercises | |
CN113660223A (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
Gawron et al. | Automatic detection of vulnerabilities for advanced security analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |