CN111726342B - 一种提升蜜罐系统告警输出精准性的方法及系统 - Google Patents

一种提升蜜罐系统告警输出精准性的方法及系统 Download PDF

Info

Publication number
CN111726342B
CN111726342B CN202010514174.5A CN202010514174A CN111726342B CN 111726342 B CN111726342 B CN 111726342B CN 202010514174 A CN202010514174 A CN 202010514174A CN 111726342 B CN111726342 B CN 111726342B
Authority
CN
China
Prior art keywords
security
log
honeypot
alarm
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010514174.5A
Other languages
English (en)
Other versions
CN111726342A (zh
Inventor
张旗斌
金鑫
陈浩波
孙献平
吴儒俊
徐彬彬
周璐
姚亮
范峥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Group Trade Union Shanghai Committee
China Telecom Corp Ltd Shanghai Branch
Original Assignee
China Telecom Group Trade Union Shanghai Committee
China Telecom Corp Ltd Shanghai Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Group Trade Union Shanghai Committee, China Telecom Corp Ltd Shanghai Branch filed Critical China Telecom Group Trade Union Shanghai Committee
Priority to CN202010514174.5A priority Critical patent/CN111726342B/zh
Publication of CN111726342A publication Critical patent/CN111726342A/zh
Application granted granted Critical
Publication of CN111726342B publication Critical patent/CN111726342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种提升蜜罐系统告警输出精准性的方法及系统,属于网络技术与安全技术领域,方法包括:提取安全事件日志中记录的第一安全告警事件,根据安全事件日志对第一安全告警事件添加特征标签,提取攻击日志数据中的第二安全告警事件,将第一安全告警事件与第二安全告警事件进行匹配,添加详细的业务描述和全面基础信息,作为蜜罐系统告警进行输出;系统包括:第一提取模块、标记模块、第二提取模块、匹配模块、采集模块、输出模块;有益效果是:破除各网络安全设备之间信息孤岛,实现信息联动,提高蜜罐系统告警输出的精准性,避免网络安全事件响应处置中的不必要的人力资源浪费,提高安全事件的快速处置能力。

Description

一种提升蜜罐系统告警输出精准性的方法及系统
技术领域
本发明涉及网络技术与安全技术领域,尤其涉及一种提升蜜罐系统告警输出精准性的方法及系统。
背景技术
蜜罐系统是指有目的被部署,以用于由恶意软件探测、攻击和盗用,以便发现、识别和特征化这种软件的系统;随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等使得网络上每台主机随时都可能面临危险,而蜜罐以及蜜罐系统的提出正是为了主动出击研究这位安全威胁而产生,通过收集网络上的攻击活动信息来对这些攻击活动进行监视、检测和分析。
现有技术中蜜罐技术种类繁多,但总体上大多是采用被动侦听和诱惑攻击的方式实现,由于在云资源系统环境中安全事件发现能力差,常用安全设备误报警率高,使得蜜罐系统将大量无关业务行为和正常业务行为也作为告警进行输出,基于特征和智能分析的蜜罐系统无法排除大量业务正常访问而触发的误告警情况,进而导致蜜罐系统告警输出的精准性低,需要人工干预的程度高,发生安全事件后无法快速匹配信息和快速处置。
发明内容
根据现有技术中存在的上述问题,现提供一种提升蜜罐系统告警输出精准性的方法及系统,通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配,以破除各网络安全设备之间信息孤岛,实现信息联动,提高蜜罐系统告警输出的精准性,避免网络安全事件响应处置中的不必要的人力资源浪费,提高安全事件的快速处置能力。
上述技术方案具体包括:
一种提升蜜罐系统告警输出精准性的方法,其中,提供一云资源系统,所述云资源系统中包括多个安全日志采集源,所述云资源系统还部署有一蜜罐系统,所述方法进一步包括:
步骤S1,于所述多个安全日志采集源中提取安全事件日志,并提取所述安全事件日志中记录的第一安全告警事件;
步骤S2,根据所述安全事件日志对所述第一安全告警事件添加特征标签,所述特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
步骤S3,提取所述蜜罐系统采集的攻击日志数据,并提取所述攻击日志数据中的第二安全告警事件;
步骤S4,根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件:
若存在,则转向步骤S5;
若不存在,则退出;
步骤S5,根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件:
若存在,则转向步骤S6;
若不存在,则退出;
步骤S6,根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件:
若存在,则转向步骤S7;
若不存在,则退出;
步骤S7,采集所述云资源系统中各个应用程序与IP地址之间对应关系,并根据所述对应关系为所述第二告警事件添加详细的业务描述和全面基础信息,随后作为所述蜜罐系统告警进行输出。
优选地,其中,所述多个安全日志采集源包括一业务系统和至少一个网络安全设备,所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。
优选地,其中,所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容,以及从所述操作系统日志提取的攻击与异常登录尝试内容。
优选地,其中,所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
优选地,其中,所述蜜罐系统由多个蜜罐节点组成,所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。
一种蜜罐系统告警输出系统,其中,提供一云资源系统,所述云资源系统中包括多个安全日志采集源,所述云资源系统还部署有一蜜罐系统,所述告警输出系统进一步包括:
第一提取模块,连接所述多个安全日志采集源,用以于所述多个安全日志采集源中提取安全事件日志,并提取所述安全事件日志中记录的第一安全告警事件;
标记模块,连接所述第一提取模块,用于根据所述安全事件日志对所述第一安全告警事件添加特征标签,所述特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
第二提取模块,连接所述蜜罐系统,用于提取所述蜜罐系统采集的攻击日志数据,并提取所述攻击日志数据中的第二安全告警事件;
匹配模块,连接所述第二提取模块和所述标记模块,用以于所述第二安全告警事件发生的时间节点附近存在相应的所述第一安全告警事件,且所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间存在相应的所述第一安全告警事件,且存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件时,将所述第二安全告警事件输出为第一匹配数据。
采集模块,连接所述云资源系统,用于采集所述云资源系统中各个应用程序与IP地址之间对应关系;
输出模块,连接所述匹配模块和所述采集模块,用于根据所述对应关系为所述第一匹配数据添加详细的业务描述和全面基础信息,随后作为所述蜜罐系统告警进行输出。
优选地,其中,所述多个安全日志采集源包括一业务系统和至少一个网络安全设备,所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。
优选地,其中,所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容,以及从所述操作系统日志提取的攻击与异常登录尝试内容。
优选地,其中,所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
优选地,其中,所述蜜罐系统由多个蜜罐节点组成,所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。
上述技术方案的有益效果在于:
提供一种提升蜜罐系统告警输出精准性的方法及系统,通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配,以破除各网络安全设备之间信息孤岛,实现信息联动,提高蜜罐系统告警输出的精准性,避免网络安全事件响应处置中的不必要的人力资源浪费,提高安全事件的快速处置能力。
附图说明
图1是本发明的较佳实施例中,一种提升蜜罐系统告警输出精准性的方法的步骤流程示意图;
图2是本发明的较佳实施例中,一种蜜罐系统告警输出系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
一种提升蜜罐系统告警输出精准性的方法,其中,提供一云资源系统,云资源系统中包括多个安全日志采集源,云资源系统还部署有一蜜罐系统,方法进一步包括:
步骤S1,于多个安全日志采集源中提取安全事件日志,并提取安全事件日志中记录的第一安全告警事件;
步骤S2,根据安全事件日志对第一安全告警事件添加特征标签,特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
步骤S3,提取蜜罐系统采集的攻击日志数据,并提取攻击日志数据中的第二安全告警事件;
步骤S4,根据时序特征标签判断第二安全告警事件发生的时间节点附近是否存在相应的第一安全告警事件:
若存在,则转向步骤S5;
若不存在,则退出;
步骤S5,根据IP地址特征标签判断第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的第一安全告警事件:
若存在,则转向步骤S6;
若不存在,则退出;
步骤S6,根据攻击类型特征标签判断是否存在与第二安全告警事件攻击类型相同的第一安全告警事件:
若存在,则转向步骤S7;
若不存在,则退出;
步骤S7,采集云资源系统中各个应用程序与IP地址之间对应关系,并根据对应关系为第二告警事件添加详细的业务描述和全面基础信息,随后作为蜜罐系统告警进行输出。
作为优选的实施方式,根据时间和空间的定义,依据采集的日志数据中记录的内容为安全告警事件、攻击告警内容以及攻击与异常登陆尝试内容均打上时序特征标签,其中时序特征标签用来表示上述各个时间发生的具体时间;根据时序特征标签进行时间序列的匹配,具体的,通过判断蜜罐系统采集的安全告警事件发生的时间节点前后,是否存在其他数据源的安全告警提示内容,即是否存在网络安全设备采集的攻击告警内容或者业务系统采集的攻击与异常登录常识内容,如果存在,则表示时间序列的匹配成功。
随后,根据采集的日志数据中记录的内容为安全告警事件、攻击告警内容以及攻击与异常登陆尝试内容分别打上IP地址特征标签,其中IP地址特征标签用于表示攻击所指向的IP地址;根据IP地址特征标签进行地址空间的匹配,具体的,通过判断蜜罐系统采集的安全告警事件发生的节点处,其水平方向IP地址空间是否存在近似攻击行为来,如果存在,则表示地址空间匹配成功。最后,对前两项匹配均通过的安全告警事件进行攻击类型的匹配,首先根据采集的日志数据中记录的内容为安全告警事件、攻击告警内容以及攻击与异常登陆尝试内容分别打上攻击类型特征标签,然后根据安全告警事件发生的网络报文特征判断是否有第二源数据的告警可以匹配佐证。
在本发明的较佳实施例中,网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
具体的,在本实施例中,云资源系统中的云资源池环境对安全事件发现能力较差,很多常用的安全设备的误报警率高,云资源池环境中采用蜜罐方式实现安全态势感知时,基于特征和智能分析的蜜罐系统无法排除大量正常业务访问带来的误触发告警情况,进而造成入侵响应系统不计成本的进行响应,本发明中运用网络安全事件数据聚合及信息安全技术有关理论,提出了一种蜜罐系统中基于多源数据匹配提升精准命中的方法,该方法可以提高蜜罐系统告警输出的精准性,避免网络安全事件响应处置中不必要的人力资源浪费,实现信息保护和资源可用之间的平衡。本发明将蜜罐系统中的安全告警事件通过多源数据匹配的方式来降低误报警率,多源数据主要包括三个部分,第一源数据通常选择来自网络出口的IPS、IDS、WAF、FW等网络安全防护设备的安全日志,在一个具体实施例中,可以通过后台日志服务器将重要及以上等级的攻击告警内容进行收敛汇总。
在发明的较佳实施例中,第一安全告警事件包括从网络安全日志中提取的攻击告警内容,以及从操作系统日志提取的攻击与异常登录尝试内容。
在本发明的一个具体实施例中,通过一日志文本聚合检索平台,来采集对接业务系统中非蜜罐节点设备的主机安全日志,同时采集对接IPS、IDS、WAF、FW等网络安全防护设备的安全日志,进而进行多源日志聚类聚合处理,聚合安全事件和归纳时序特征。日志文本聚合检索平台使用开源Elastic Stack架构。以机器学习统计算法和大数据运算技术,实现多源安全事件的特征标签和特征升维。利用hadoop/spark大数据运算技术,完成基于用户标签组的安全事件数据联动匹配,建设和对接态势感知系统、运维数据库系统、可视化系统,实现数据价值。具体的,在本实施例中,通过面向目前最为通用的云资源池组网环境,可以应用于目前绝大部分云环境中,且多源数据也可覆盖主流安全设备和操作系统,具备很强的推广能力和落地条件。
在本发明的较佳实施例中,蜜罐系统由多个蜜罐节点组成,蜜罐节点通过虚拟机的方式部署于业务系统中。
在本发明的一个具体实施例中,蜜罐系统通过虚拟机的方式部署在业务系统中,通过对蜜罐系统所在虚拟机的操作系统日志进行实时采集,并筛选得到其中包含攻击和异常登陆尝试内容的日志作为第二源数据。第三源数据为云资源系统中,IP地址与应用程序之间的匹配关系。通过将蜜罐系统采集的疑似攻击日志数据分别与第一源数据和第二源数据进行匹配,随后再对匹配成功的安全告警事件与第三源数据进行联动,以形成具有详细业务描述,全面基础信息和误报警率极低的蜜罐系统告警。
一种蜜罐系统告警输出系统,其中,提供一云资源系统,云资源系统中包括多个安全日志采集源,云资源系统还部署有一蜜罐系统,告警输出系统进一步包括:
第一提取模块1,连接多个安全日志采集源,用以于多个安全日志采集源中提取安全事件日志,并提取安全事件日志中记录的第一安全告警事件;
标记模块2,连接第一提取模块1,用于根据安全事件日志对第一安全告警事件添加特征标签,特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
第二提取模块3,连接蜜罐系统,用于提取蜜罐系统采集的攻击日志数据,并提取攻击日志数据中的第二安全告警事件;
匹配模块4,连接第二提取模块3和标记模块2,用以于第二安全告警事件发生的时间节点附近存在相应的第一安全告警事件,且第二安全告警事件发生的IP地址对应的水平方向IP地址空间存在相应的第一安全告警事件,且存在与第二安全告警事件攻击类型相同的第一安全告警事件时,将第二安全告警事件输出为第一匹配数据。
采集模块5,连接云资源系统,用于采集云资源系统中各个应用程序与IP地址之间对应关系;
输出模块6,连接匹配模块4和采集模块5,用于根据对应关系为第一匹配数据添加详细的业务描述和全面基础信息,随后作为蜜罐系统告警进行输出。
在本发明的较佳实施例中,多个安全日志采集源包括一业务系统和至少一个网络安全设备,安全事件日志包括从网络安全设备中采集的网络安全日志和从业务系统中采集的操作系统日志。
在本发明的较佳实施例中,第一安全告警事件包括从网络安全日志中提取的攻击告警内容,以及从操作系统日志提取的攻击与异常登录尝试内容。
在本发明的较佳实施例中,网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
在本发明的较佳实施例中,蜜罐系统由多个蜜罐节点组成,蜜罐节点通过虚拟机的方式部署于业务系统中。
上述技术方案的有益效果在于:
提供一种提升蜜罐系统告警输出精准性的方法及系统,通过将蜜罐系统输出的安全告警事件分别与多源安全数据进行匹配,以破除各网络安全设备之间信息孤岛,实现信息联动,提高蜜罐系统告警输出的精准性,避免网络安全事件响应处置中的不必要的人力资源浪费,提高安全事件的快速处置能力。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。

Claims (10)

1.一种提升蜜罐系统告警输出精准性的方法,其特征在于,提供一云资源系统,所述云资源系统中包括多个安全日志采集源,所述云资源系统还部署有一蜜罐系统,所述方法进一步包括:
步骤S1,于所述多个安全日志采集源中提取安全事件日志,并提取所述安全事件日志中记录的第一安全告警事件;
步骤S2,根据所述安全事件日志对所述第一安全告警事件添加特征标签,所述特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
步骤S3,提取所述蜜罐系统采集的攻击日志数据,并提取所述攻击日志数据中的第二安全告警事件;
步骤S4,根据所述时序特征标签判断所述第二安全告警事件发生的时间节点附近是否存在相应的所述第一安全告警事件:
若存在,则转向步骤S5;
若不存在,则退出;
步骤S5,根据所述IP地址特征标签判断所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间是否存在相应的所述第一安全告警事件:
若存在,则转向步骤S6;
若不存在,则退出;
步骤S6,根据所述攻击类型特征标签判断是否存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件:
若存在,则转向步骤S7;
若不存在,则退出;
步骤S7,采集所述云资源系统中各个应用程序与IP地址之间对应关系,并根据所述对应关系为所述第二安全告警事件添加详细的业务描述和全面基础信息,随后作为所述蜜罐系统告警进行输出;
所述安全日志采集源包括一业务系统和至少一个网络安全设备;
则所述步骤S1中提取所述安全事件日志的方法包括:通过一日志文本聚合检索平台采集所述业务系统中非蜜罐节点设备的主机安全日志和所述网络安全设备的安全日志。
2.根据权利要求1所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述多个安全日志采集源包括一业务系统和至少一个网络安全设备,所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。
3.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容,以及从所述操作系统日志提取的攻击与异常登录尝试内容。
4.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
5.根据权利要求2所述的提升蜜罐系统告警输出精准性的方法,其特征在于,所述蜜罐系统由多个蜜罐节点组成,所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。
6.一种蜜罐系统告警输出系统,其特征在于,提供一云资源系统,所述云资源系统中包括多个安全日志采集源,所述云资源系统还部署有一蜜罐系统,所述告警输出系统进一步包括:
第一提取模块,连接所述多个安全日志采集源,用以于所述多个安全日志采集源中提取安全事件日志,并提取所述安全事件日志中记录的第一安全告警事件;
标记模块,连接所述第一提取模块,用于根据所述安全事件日志对所述第一安全告警事件添加特征标签,所述特征标签包括时序特征标签,IP地址特征标签和攻击类型特征标签;
第二提取模块,连接所述蜜罐系统,用于提取所述蜜罐系统采集的攻击日志数据,并提取所述攻击日志数据中的第二安全告警事件;
匹配模块,连接所述第二提取模块和所述标记模块,用以于所述第二安全告警事件发生的时间节点附近存在相应的所述第一安全告警事件,且所述第二安全告警事件发生的IP地址对应的水平方向IP地址空间存在相应的所述第一安全告警事件,且存在与所述第二安全告警事件攻击类型相同的所述第一安全告警事件时,将所述第二安全告警事件输出为第一匹配数据;
采集模块,连接所述云资源系统,用于采集所述云资源系统中各个应用程序与IP地址之间对应关系;
输出模块,连接所述匹配模块和所述采集模块,用于根据所述对应关系为所述第一匹配数据添加详细的业务描述和全面基础信息,随后作为所述蜜罐系统告警进行输出;
所述安全日志采集源包括一业务系统和至少一个网络安全设备;
则所述第一提取模块提取所述安全事件日志的方法包括:通过一日志文本聚合检索平台采集所述业务系统中非蜜罐节点设备的主机安全日志和所述网络安全设备的安全日志。
7.根据权利要求6所述的蜜罐系统告警输出系统,其特征在于,所述多个安全日志采集源包括一业务系统和至少一个网络安全设备,所述安全事件日志包括从所述网络安全设备中采集的网络安全日志和从所述业务系统中采集的操作系统日志。
8.根据权利要求7所述的蜜罐系统告警输出系统,其特征在于,所述第一安全告警事件包括从所述网络安全日志中提取的攻击告警内容,以及从所述操作系统日志提取的攻击与异常登录尝试内容。
9.根据权利要求7所述的蜜罐系统告警输出系统,其特征在于,所述网络安全日志为IPS、和/或IDS、和/或WAF、和/或FW安全防护设备日志。
10.根据权利要求7所述的蜜罐系统告警输出系统,其特征在于,所述蜜罐系统由多个蜜罐节点组成,所述蜜罐节点通过虚拟机的方式部署于所述业务系统中。
CN202010514174.5A 2020-06-08 2020-06-08 一种提升蜜罐系统告警输出精准性的方法及系统 Active CN111726342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010514174.5A CN111726342B (zh) 2020-06-08 2020-06-08 一种提升蜜罐系统告警输出精准性的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010514174.5A CN111726342B (zh) 2020-06-08 2020-06-08 一种提升蜜罐系统告警输出精准性的方法及系统

Publications (2)

Publication Number Publication Date
CN111726342A CN111726342A (zh) 2020-09-29
CN111726342B true CN111726342B (zh) 2022-08-02

Family

ID=72567231

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010514174.5A Active CN111726342B (zh) 2020-06-08 2020-06-08 一种提升蜜罐系统告警输出精准性的方法及系统

Country Status (1)

Country Link
CN (1) CN111726342B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112367315B (zh) * 2020-11-03 2021-09-28 浙江大学 一种内生安全waf蜜罐部署方法
CN112788035B (zh) * 2021-01-13 2023-02-28 深圳震有科技股份有限公司 一种5g下upf终端的网络攻击告警方法和终端
CN113890821B (zh) * 2021-09-24 2023-11-17 绿盟科技集团股份有限公司 一种日志关联的方法、装置及电子设备
CN114244617B (zh) * 2021-12-22 2024-08-27 深信服科技股份有限公司 防范非法攻击行为的方法、装置和计算可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN106254125A (zh) * 2016-08-18 2016-12-21 南京联成科技发展有限公司 基于大数据的安全事件相关性分析的方法及系统
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统
CN107404465A (zh) * 2016-05-20 2017-11-28 阿里巴巴集团控股有限公司 网络数据分析方法及服务器
CN109462599A (zh) * 2018-12-13 2019-03-12 烽台科技(北京)有限公司 一种蜜罐管理系统
CN110149350A (zh) * 2019-06-24 2019-08-20 国网安徽省电力有限公司信息通信分公司 一种告警日志关联的网络攻击事件分析方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10594716B2 (en) * 2018-01-26 2020-03-17 Connecticut Information Security LLC System and method for detecting computer network intrusions

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN107404465A (zh) * 2016-05-20 2017-11-28 阿里巴巴集团控股有限公司 网络数据分析方法及服务器
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统
CN106254125A (zh) * 2016-08-18 2016-12-21 南京联成科技发展有限公司 基于大数据的安全事件相关性分析的方法及系统
CN109462599A (zh) * 2018-12-13 2019-03-12 烽台科技(北京)有限公司 一种蜜罐管理系统
CN110149350A (zh) * 2019-06-24 2019-08-20 国网安徽省电力有限公司信息通信分公司 一种告警日志关联的网络攻击事件分析方法及装置

Also Published As

Publication number Publication date
CN111726342A (zh) 2020-09-29

Similar Documents

Publication Publication Date Title
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
CN109314698B (zh) 保护计算机网络与系统的抢占式响应安全系统
US10721245B2 (en) Method and device for automatically verifying security event
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN114679338A (zh) 一种基于网络安全态势感知的网络风险评估方法
EP2953298B1 (en) Log analysis device, information processing method and program
CN1771709B (zh) 用于产生网络攻击特征标记的方法和装置
CN108040493A (zh) 利用低置信度安全事件来检测安全事故
Krishnaveni et al. Ensemble approach for network threat detection and classification on cloud computing
EP2415229A1 (en) Method and system for alert classification in a computer network
Huang et al. Knowledge discovery from big data for intrusion detection using LDA
CN113965419B (zh) 一种通过反连判定攻击成功的方法及装置
CN117294517A (zh) 解决异常流量的网络安全保护方法及系统
Mishra et al. Efficient approaches for intrusion detection in cloud environment
CN114257403B (zh) 误报检测方法、设备及可读存储介质
Zhuge et al. Efficient event log mining with LogClusterC
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
Kamatchi et al. An efficient security framework to detect intrusions at virtual network layer of cloud computing
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
CN106993005A (zh) 一种网络服务器的预警方法及系统
CN116170167A (zh) 一种网络安全监控方法、装置、电子设备和存储介质
Priya et al. Network Attack Detection using Machine Learning
Ghourabi et al. Automatic analysis of web service honeypot data using machine learning techniques
KR102661261B1 (ko) 봇넷 탐지 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant