CN111800395A - 一种威胁情报防御方法和系统 - Google Patents
一种威胁情报防御方法和系统 Download PDFInfo
- Publication number
- CN111800395A CN111800395A CN202010560143.3A CN202010560143A CN111800395A CN 111800395 A CN111800395 A CN 111800395A CN 202010560143 A CN202010560143 A CN 202010560143A CN 111800395 A CN111800395 A CN 111800395A
- Authority
- CN
- China
- Prior art keywords
- threat
- information
- intelligence
- source
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种威胁情报防御方法和系统,该方法包括:获取威胁情报;基于威胁情报获取威胁情报管理平台;将威胁情报管理平台和安全大数据分析平台进行碰撞匹配,得到告警信息;对告警信息进行正常扫描任务筛选处理,得到威胁告警信息;将威胁告警信息和动态资产库进行关联分析,定位到威胁告警信息对应的威胁源;对威胁告警信息和威胁源进行封堵。本申请可以有效地保证网络安全。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种威胁情报防御方法和系统。
背景技术
随着科技的发展,计算机网络也在不断的普及。由于计算机网络具有开放性、互联性和多样的连接方式,网络用户经常面临着网络黑客的网络攻击,因此面对侵袭网络的种种威胁,保证网络安全是至关重要的。
在保证网络安全方面,现有技术一般通过部署防火墙、入侵检测系统等安全产品,进行诸如攻击行为感知、日志收集与分析和安全通报等安全防御手段。这些安全产品通过将待检测的网络安全事件和云端数据进行对比,若发现威胁情报,则进行威胁告警提醒用户,并对威胁情报进行拦截,以保证网络安全。
然而本申请的发明人发现,网络攻击方式会不断变化导致对应的威胁情报是具有时效性的,因此现有的安全产品相对具有滞后性,对网络安全事件的处理效果较差。同时对于一些系统正常的扫描任务会判定为攻击行为,导致威胁告警的数量大,误报率较高,从而无法快速定位到威胁源,是的安全防护的响应时间较长。即现有技术存在安全防护效果低的缺点。
发明内容
本申请提供了一种威胁情报防御方法和系统,以解决现有技术保证网络安全时防护效果低的问题。
为了解决上述技术问题,本申请实施例公开了如下技术方案:
第一方面,本申请提供了一种威胁情报防御方法,该方法包括:
获取威胁情报;
基于所述威胁情报获取威胁情报管理平台;
将所述威胁情报管理平台和安全大数据分析平台进行碰撞匹配,得到告警信息;
对所述告警信息进行正常扫描任务筛选处理,得到威胁告警信息;
将所述威胁告警信息和动态资产库进行关联分析,定位到所述威胁告警信息对应的威胁源;
对所述威胁告警信息和所述威胁源进行封堵。
可选的,所述威胁情报包括:开源威胁情报、第三方商业情报和内部自产私有情报;
所述威胁情报的获取方法包括:Scripts软件获取、爬虫和API接口调用。
可选的,所述基于所述威胁情报获取威胁情报管理平台,包括:
将所述威胁情报进行数据存储;
根据所述威胁情报确定威胁信息关键要素,所述威胁信息关键要素包括:可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法和应对措施;
根据所述威胁信息关键要素构建威胁情报库;
根据所述威胁情报库构建威胁情报管理平台。
可选的,所述将所述威胁情报管理平台和安全大数据分析平台进行碰撞匹配,包括:
基于安全大数据分析平台获取各类网络信息;
基于所述威胁情报库和各类网络信息构建威胁情报演化应用场景,所述威胁情报演化应用场景包括:恶意域名的自动识别、安全告警的有效识别、敏感信息的泄露检测、网络流量检测、内部威胁情报的利用和办公电脑访问恶意IP自别识别;
根据所述威胁情报演化应用场景获取告警信息。
可选的,所述安全大数据分析平台包括:
平台规则检测引擎、机器学习引擎、威胁情报分析引擎、图形计算引擎和用户行为分析引擎。
可选的,所述对所述告警信息进行正常扫描任务筛选处理,包括:
基于扫描备案管理平台获取正常扫描任务备案信息;
将所述正常扫描任务备案信息从所述告警信息中剔除,得到威胁告警信息。
可选的,所述基于扫描备案管理平台获取正常扫描任务备案信息,包括:
基于扫描备案管理平台对备案信息进行审核处理,所述审核处理包括:内部自查、入网测试、安全加固、边界测试、渗透测试、web扫描和等保测评;
对审核处理后合格的备案信息进行扫描任务处理,得到正常扫描任务备案信息;
其中,备案信息包括:审核状态、信息所属单位、测试周期、源IP、源IP设备类型、目的IP、测试人员、测试人员联系方式、测试人员所属单位、测试负责人、测试负责人联系方式、测试目的、测试范围、是否签订保密协议及第三方人员背景调查、备注、备案录入时间和审核人。
可选的,所述动态资产库包括:IT资产库、终端准入资产和IP区域;
所述将所述威胁告警信息和动态资产库进行关联分析,包括:
将威胁源IP与所述终端准入资产进行关联,若可以关联上,则显示出威胁源IP地址、MAC地址、组织机构和用户信息;若未能关联上,则:
将威胁源IP与所述IT资产进行关联;若可以关联上,则显示出威胁源IP地址、业务系统、部署位置、系统负责人和联系电话;若未能关联上,则:
将威胁源IP与所述IP区域进行关联,最终显示出威胁源IP的IP网段和组织机构信息。
可选的,所述对所述威胁告警信息和所述威胁源进行封堵,包括:
将预设的一键封堵平台和所述预设的安全大数据分析平台自动联动,用于对所述威胁告警信息进行封堵;
将预设的一键封堵平台和所述威胁情报管理平台进行阻断联动,用于对所述威胁源进行封堵。
第二方面,本申请提供了一种威胁情报防御系统,包括:
威胁情报云,用于获取威胁情报;
威胁情报管理平台,用于存储所述威胁情报并构建威胁情报库;
安全大数据分析平台,用于和所述威胁情报管理平台进行碰撞匹配,得到告警信息;
扫描备案管理平台,用于对所述告警信息进行正常扫描任务筛选处理,得到威胁告警信息;
威胁源定位模块,用于将所述威胁告警信息和动态资产库进行关联分析,定位到所述威胁告警信息对应的威胁源;
一键封堵平台,用于对所述威胁告警信息和所述威胁源进行封堵。
与现有技术相比,本申请的有益效果为:
本申请提供了一种威胁情报防御方法和系统,该方法包括:获取威胁情报;基于威胁情报获取威胁情报管理平台;将威胁情报管理平台和安全大数据分析平台进行碰撞匹配,得到告警信息;对告警信息进行正常扫描任务筛选处理,得到威胁告警信息;将威胁告警信息和动态资产库进行关联分析,定位到威胁告警信息对应的威胁源;对威胁告警信息和威胁源进行封堵。本申请先利用安全大数据分析平台对威胁情报进行一次筛选,进行威胁告警,再过滤掉正常扫描任务,实现二次筛选,确定威胁告警信息;利用威胁告警信息进行威胁源定位,从而将网络威胁进行封堵。因此本申请误报率低,可以快速定位威胁源,安全防护的响应时间短,可以有效地保证网络安全。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的威胁情报防御方法的整体流程图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
参见图1,为本申请实施例提供的威胁情报防御方法的整体流程图。如图1所示,该方法包括以下步骤:
S1、获取威胁情报;
S2、基于上述威胁情报获取威胁情报管理平台;
S3、将上述威胁情报管理平台和安全大数据分析平台进行碰撞匹配,得到告警信息;
S4、对上述告警信息进行正常扫描任务筛选处理,得到威胁告警信息;
S5、将上述威胁告警信息和动态资产库进行关联分析,定位到上述威胁告警信息对应的威胁源;
S6、对上述威胁告警信息和上述威胁源进行封堵。
下面对各个步骤进行详细描述:
在步骤S1中,获取威胁情报。
具体的,上述威胁情报包括但不限于以下内容:开源威胁情报、第三方商业情报和内部自产私有情报。
本申请实施例可通过Scripts软件、爬虫或API接口调用等方式得到威胁情报。
具体的,开源威胁情报指公开来源的威胁情报,可以从专业的恶意代码信息查询网站、国家公共漏洞库、网络安全专业信息网站和各类新闻网站的网络安全子站中获取。
第三方商业情报指:在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。可通过采购安全厂商威胁情报相关产品,且该情报支持线上实时更新。
内部自产私有情报指:列行开展渗透测试、安全事件分析、病毒木马分析、恶意域名访问分析等过程中收集的威胁情报信息。
对接各类安全设备告警,通过机器学习,自动生产威胁情报。
本申请实施例在获取威胁情报的同时,也一并收集维护日志运营过程中处理的威胁源以及维护行业内通报的威胁源。
在步骤S2,基于上述威胁情报获取威胁情报管理平台。
具体的,威胁情报管理平台的构建方法包括:
S201、将上述威胁情报进行数据存储,得到一个具体的信息数据库,可用于实时查询和更新威胁情报。
S202、根据上述威胁情报确定威胁信息关键要素。
具体的,上述威胁信息关键要素包括:可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法和应对措施。
本申请实施例以《信息安全技术网络安全威胁信息格式规范》(GB/T 36643-2018)标准为指导,制定和指导数据库。在威胁情报采集和运用过程中,本申请实施例总结出8个威胁信息组件,每个组件包含要素本身属性和其他组件的关系信息,是构成威胁信息库的关键要素。
S203、根据上述威胁信息关键要素构建威胁情报库。
具体的,在本申请实施例中,威胁情报库还可以包括以下信息:
攻击者身份:指威胁情报需要能够帮助云南电网将攻击/恶意活动最终溯源至相应的组织(网络犯罪团体、黑客等)。
攻击的原因:指了解对方动机,以及他们会在攻击中投入多少精力,以及针对性有多强等。
攻击的目的:指了解攻击的目的,对于企业和组织基于资产重要性调整响应优先级别。
攻击者策略和方法:指包含了攻击者所用的工具、基础设施等。
攻击者的位置:指结合攻击的地方所在国家,以及其地缘政治状况,自然能够帮助云南电网和组织更好的理解地方情况。
如何组织情报:指包括IOC一类的技术指标(比如IP地址、哈希值等)提供的信息可用来更准确地检测和标记恶意行为。
如何缓解攻击:指通过应急响应机制来保护企业的信息资产。
根据上述威胁情报库构建威胁情报管理平台,威胁情报管理平台可实时查询威胁情报等信息。
本申请实施例还可以将威胁源存储到威胁情报管理平台中,威胁情报管理平台可以实现对安全事件威胁的快速研判、响应、处置及溯源,从而形成与第三方设备有效的联动防御。
在步骤S3中,获取告警信息。
具体的,包括以下步骤:
S301、基于安全大数据分析平台获取各类网络信息。
具体的,本申请实施例采用的安全大数据分析平台包括:平台规则检测引擎、机器学习引擎、威胁情报分析引擎、图形计算引擎和用户行为分析引擎。
下面对每个引擎进行详细介绍,其中:
规则检测引擎:基于关联规则检测引擎是指按用户预定义的告警规则进行关联分析。首先是按厂家、威胁类型来预定义若干种可疑活动。系统接收到安全事件后,将其与规则进行比较时,规则就会触发。规则可以与防火墙、UTM、NGFW、IPS、IDS多种网络设备以及各种主机和应用环境结合,进行基于网络和主机的恶意代码检测。
机器学习引擎:通过机器学习和算法对大量的历史日志和安全信息的关联,对用户的行为进行一个长周期的分析,建立正常用户行为基线或画像,找出异常行为和隐藏的威胁,无论是外部APT攻击,还是内部发生的威胁及违规事件等。作用为通过机器学习能够预测未知威胁,并根据不变化的环境来适应,辅助其它引擎优化规则库和场景库,且有效的提高告警及时率和准确率。场景为:对于规则无法匹配的,以用户为主体从时间序列、行为序列等多维度进行分析;关联用户与资产的访问行为;用机器学习算法或预定义规则找出严重偏离基线的异常行为;用户是否存在非工作时间内大量的违规操作行为等。
威胁情报分析引擎:通过引入开源威胁情报、商用情报(需采购)、内部自产情报等,结合机器学习智能分析筛选,生成精准的入侵检测指标(IOC),有效的提高告警准确率。作用为充分的利用威胁情报及数据驱动技术,从海量的日志中通过威胁情报分析引擎可以实时的关联出恶意威胁,并产生告警信息,触发一封堵平台进行自动封堵。
图形计算引擎:通过图像识别技术,将需识别的图像通过机器学习训练后,事先存入数据库,其中数据库是基于ES的图数据库系统,底层存储为源生图数据结构,且优化数据关联搜索。作用为通过图形计算引擎高效快速的识别出舆情网站、未备案的网站的相关公司logo、商标、图片等信息。
用户行为分析引擎:根据用户的行为,结合机器学习算法有效监控登录类异常,文件访问类异常,邮件类异常,VPN连接类异常,网络访问类异常等多类型异常场景,有效监控用户的异常行为,确保了告警了准确率。作用为通过用户的行为来有效的监控用户的异常行为,及时的产生告警信息。
各类网络信息包括:DNS日志;IPS、外部防火墙、WAF和APT等;敏感信息;镜像流量原始数据包;办公网DNS日志等。
各类网络信息的获取方法为:
首先确定需要收集的数据源,通过统一采集代理收集数据,然后通过消息系统集群对数据进行缓存,然后通过采集代理对数据进行范式化及打标签后,按数据模型要求统一存储到NoSql(非关系型大数据库)集群,利用安全大数据分析平台对数据进行关联分析展现。具体的,数据源包括:DNS日志;WEB访问日志;主机(操作系统、数据库、中间件)网络设备;安全设备(IPS、外部防火墙、WAF和APT);PKI、VPN、4A、准入系统、上网行为审计、防病毒、终端流量、威胁情报、镜像流量原始数据包等数据信息。
S302、基于上述威胁情报库和各类日志信息构建威胁情报演化应用场景。
上述威胁情报演化应用场景包括:恶意域名的自动识别、安全告警的有效识别、敏感信息的泄露检测、网络流量检测、内部威胁情报的利用和办公电脑访问恶意IP自别识别。
具体的,恶意域名的自动识别指:利用安全大数据分析平台收集的DNS日志与威胁情报库进行碰撞,对匹配的恶意域名及时产生告警,快速感知内部失陷主机,以最大限度避免威胁的扩散。
安全告警的有效识别指:利用安全大数据分析平台收集的IPS、外部防火墙、WAF、APT等,对通信双方的地址、端口、协议及数据包载荷特征,进行威胁情报匹配,对匹配的恶意特征进行告警,快速感知内部失陷主机,阻断外部攻击来源IP,可以有效降低现有大量误报造成的“告警噪音”,有效提高安全设备的检测和分析能力。
敏感信息的泄露检测指:通过威胁情报收集到泄露信息,并根据大数据处理得到的具有普遍性的信息在电网内部系统进行检测。
网络流量检测指:将采集到的镜像流量原始数据包及解析后的协议日志与威胁情报进行特征匹配,从而发行网络流量中可能存在的恶意攻击行为。
内部威胁情报的利用指:内部威胁情报包括:威胁单、安全监控、渗透测试、弱口令等。利用本地威胁情报与安全大数据分析平台的日志定时碰撞(本申请实施例设定为每5分钟一次),实现对碰撞成功的威胁进行关联演化应用,可以快速感知内部失陷主机,阻断外部攻击来源IP。
办公电脑访问恶意IP自别识别:利用安全大数据分析平台收集的办公网DNS日志与威胁情报库进行碰撞,对匹配的恶意IP及时产生告警,快速感知内部失陷主机,以最大限度避免威胁的扩散。
S303、根据上述威胁情报演化应用场景得到告警信息。
对于威胁情报演化应用场景中检测到的威胁,将其标记为告警信息。
在步骤S4中,对上述告警信息进行正常扫描任务筛选处理,得到威胁告警信息。
具体的,包括以下步骤:
S401、基于扫描备案管理平台获取正常扫描任务备案信息。
具体的,本申请实施例中扫描备案管理平台指:支持扫描备案管理及审批管理流程的平台。
扫描备案管理平台主要收集扫描、测试备案信息,集中管理备案信息,为报备单位提供扫描、测试备案的录入、内部审批、变更、查询、统计等管理功能;保证备案信息的真实准确,数据更规范化和标准化,同时,数据收集不在依靠人工完成,并且人工收集备案数据工作量大、效率低、容易出错、数据不完整、数据失真、缺少有效的分析手段;扫描备案管理平台成为备案用户和备案管理员提供有效沟通平台,与传统管理方式相比,大大减轻了工作量,实现了数据实时有效的管理,系统支持基础软件平台和专用硬件平台,提供多种灵活部署方式,能够实现轻量级的部署方案,支持分布式部署方案,灵活的适应各种网络拓扑环境。
当报备单位需开展扫描任务时,登录扫描备案管理平台录入备案信息,审核通过后方可开展扫描任务。在安全大数据分析平台的告警列表中,把告警列表与审核通过的IP备案信息进行关联匹配,对关联上的告警排除或在加白(正常扫描任务)列表显示此告警,剩下的告警则是威胁的攻击事件,这样可以有效的将正常扫描任务产生的攻击和非正常来源的攻击行为进行区分,进而排除正常扫描任务产生的告警信息。
在本申请实施例中,步骤S401具体包括:
基于扫描备案管理平台对备案信息进行审核处理,具体的,上述审核处理包括:内部自查、入网测试、安全加固、边界测试、渗透测试、web扫描和等保测评。
对审核处理后合格的备案信息进行扫描任务处理,得到正常扫描任务备案信息。其中,备案信息包括:审核状态、信息所属单位、测试周期、源IP、源IP设备类型、目的IP、测试人员、测试人员联系方式、测试人员所属单位、测试负责人、测试负责人联系方式、测试目的、测试范围、是否签订保密协议及第三方人员背景调查、备注、备案录入时间和审核人。
本申请实施例通过扫描备案管理平台统一入口集中管控备案信息,当开展扫描任务时,都必需通过平台进行上报,审核后方可开展扫描任务,这样对正常扫描任务进行了确认,通过集中审核管理漏洞扫描任务,可以有效的将正常扫描任务产生的攻击和非正常来源的功击行为进行区分,进而排除正常扫描任务产生的告警信息。
S402、将上述正常扫描任务备案信息从上述告警信息中剔除,得到威胁告警信息。
本申请实施例可以将扫描备案管理平台和安全大数据分析平台进行联动,将正常扫描任务备案信息从告警信息中剔除,得到威胁告警信息,威胁告警信息即为影响网络安全的威胁信息。
在步骤S5中,将上述威胁告警信息和动态资产库进行关联分析,定位到上述威胁告警信息对应的威胁源。
具体的,动态资产库包括:IT资产库、终端准入资产和IP区域。
其中,IT资产库主要存储服务器相关资产信息(包括:IP地址、MAC地址、业务系统、资产类型、服务及版本、开放端口、所属单位、负责人、负责人电话、部署位置等);终端准入资产是记录了办入终端入网时的相关信息(包括:IP地址、MAC地址、主机名、用户名、组织机构等);IP区域主要存储了单位的IP网段信息(包括:IP网段、网关、子网掩码、单位或部门、位置、用途等)。
本申请实施例根据上述三种资产区域构建了动态资产库,即动态资产库为一个可根据公司需求构建的现有资产库。
动态资产库和威胁告警信息的关联分析具体包括:
将威胁源IP与上述终端准入资产进行关联,判断:二者是否可以关联上;
若可以关联上,则显示出威胁源IP地址、MAC地址、组织机构、用户信息;若未能关联上,则:
将威胁源IP与上述IT资产进行关联;并判断,威胁源IP与上述IT资产是否可以关联上;
若可以关联上,则显示出威胁源IP地址、业务系统、部署位置、系统负责人、联系电话;若未能关联上,则:将威胁源IP与上述IP区域进行关联,最终显示出威胁源IP的IP网段和组织机构信息,具体可以显示当前IP位于哪个单位的哪个网段。
本申请实施例将动态资产库和威胁告警信息进行关联分析,可以实时掌握当前病毒木马感染情况,自动定位到个人或组织机构,有效提高病毒木马分析的效率。
在步骤S6中,对上述威胁告警信息和上述威胁源进行封堵。
具体的,本申请实施例可以将预设的一键封堵平台和安全大数据分析平台自动联动,用于对上述威胁告警信息进行封堵。
同时还可以将预设的一键封堵平台和上述威胁情报管理平台进行阻断联动,用于对威胁源进行封堵。
在本申请的一个实施例中,还提供了一种威胁情报防御系统,上述系统包括:
威胁情报云,用于获取威胁情报;
威胁情报管理平台,用于存储所述威胁情报并构建威胁情报库;
安全大数据分析平台,用于和上述威胁情报管理平台进行碰撞匹配,得到告警信息;
扫描备案管理平台,用于对上述告警信息进行正常扫描任务筛选处理,得到威胁告警信息;
威胁源定位模块,用于将上述威胁告警信息和动态资产库进行关联分析,定位到上述威胁告警信息对应的威胁源;
一键封堵平台,用于对上述威胁告警信息和上述威胁源进行封堵。
由于以上实施方式均是在其他方式之上引用结合进行说明,不同实施例之间均具有相同的部分,本说明书中各个实施例之间相同、相似的部分互相参见即可。在此不再详细阐述。
综上所述,与现有技术相比,具备以下有益效果:
本申请实施例提供了一种威胁情报防御方法和系统,该方法包括:获取威胁情报;基于上述威胁情报获取威胁情报管理平台;将威胁情报管理平台和安全大数据分析平台进行碰撞匹配,得到告警信息;对告警信息进行正常扫描任务筛选处理,得到威胁告警信息;将威胁告警信息和动态资产库进行关联分析,定位到威胁告警信息对应的威胁源;对威胁告警信息和威胁源进行封堵。本申请先利用安全大数据分析平台对威胁情报进行一次筛选,进行威胁告警,再利用扫描备案管理平台过滤掉正常扫描任务,实现二次筛选,确定威胁告警信息;利用威胁告警信息进行威胁源定位,从而将网络威胁进行封堵。因此本申请误报率低,可以快速定位威胁源,安全防护的响应时间短,可以有效地保证网络安全。
由于以上实施方式均是在其他方式之上引用结合进行说明,不同实施例之间均具有相同的部分,本说明书中各个实施例之间相同、相似的部分互相参见即可。在此不再详细阐述。
需要说明的是,在本说明书中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或暗示这些实体或操作之间存在任何这种实际的关系或顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的电路结构、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种电路结构、物品或者设备所固有的要素。在没有更多限制的情况下,有语句“包括一个......”限定的要素,并不排除在包括所述要素的电路结构、物品或者设备中还存在另外的相同要素。
本领域技术人员在考虑说明书及实践这里发明的公开后,将容易想到本申请的其他实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求的内容指出。以上所述的本申请实施方式并不构成对本申请保护范围的限定。
Claims (10)
1.一种威胁情报防御方法,其特征在于,所述方法包括:
获取威胁情报;
基于所述威胁情报获取威胁情报管理平台;
将所述威胁情报管理平台和安全大数据分析平台进行碰撞匹配,得到告警信息;
对所述告警信息进行正常扫描任务筛选处理,得到威胁告警信息;
将所述威胁告警信息和动态资产库进行关联分析,定位到所述威胁告警信息对应的威胁源;
对所述威胁告警信息和所述威胁源进行封堵。
2.根据权利要求1所述的防御方法,其特征在于,所述威胁情报包括:开源威胁情报、第三方商业情报和内部自产私有情报;
所述威胁情报的获取方法包括:Scripts软件获取、爬虫和API接口调用。
3.根据权利要求1所述的防御方法,其特征在于,所述基于所述威胁情报获取威胁情报管理平台,包括:
将所述威胁情报进行数据存储;
根据所述威胁情报确定威胁信息关键要素,所述威胁信息关键要素包括:可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法和应对措施;
根据所述威胁信息关键要素构建威胁情报库;
根据所述威胁情报库构建威胁情报管理平台。
4.根据权利要求3所述的防御方法,其特征在于,所述将所述威胁情报管理平台和安全大数据分析平台进行碰撞匹配,包括:
基于安全大数据分析平台获取各类网络信息;
基于所述威胁情报库和各类网络信息构建威胁情报演化应用场景,所述威胁情报演化应用场景包括:恶意域名的自动识别、安全告警的有效识别、敏感信息的泄露检测、网络流量检测、内部威胁情报的利用和办公电脑访问恶意IP自别识别;
根据所述威胁情报演化应用场景获取告警信息。
5.根据权利要求1所述的防御方法,其特征在于,所述安全大数据分析平台包括:
平台规则检测引擎、机器学习引擎、威胁情报分析引擎、图形计算引擎和用户行为分析引擎。
6.根据权利要求1所述的防御方法,其特征在于,所述对所述告警信息进行正常扫描任务筛选处理,包括:
基于扫描备案管理平台获取正常扫描任务备案信息;
将所述正常扫描任务备案信息从所述告警信息中剔除,得到威胁告警信息。
7.根据权利要求6所述的防御方法,其特征在于,所述基于扫描备案管理平台获取正常扫描任务备案信息,包括:
基于扫描备案管理平台对备案信息进行审核处理,所述审核处理包括:内部自查、入网测试、安全加固、边界测试、渗透测试、web扫描和等保测评;
对审核处理后合格的备案信息进行扫描任务处理,得到正常扫描任务备案信息;
其中,备案信息包括:审核状态、信息所属单位、测试周期、源IP、源IP设备类型、目的IP、测试人员、测试人员联系方式、测试人员所属单位、测试负责人、测试负责人联系方式、测试目的、测试范围、是否签订保密协议及第三方人员背景调查、备注、备案录入时间和审核人。
8.根据权利要求1所述的防御方法,其特征在于,所述动态资产库包括:IT资产库、终端准入资产和IP区域;
所述将所述威胁告警信息和动态资产库进行关联分析,包括:
将威胁源IP与所述终端准入资产进行关联,若可以关联上,则显示出威胁源IP地址、MAC地址、组织机构和用户信息;若未能关联上,则:
将威胁源IP与所述IT资产进行关联;若可以关联上,则显示出威胁源IP地址、业务系统、部署位置、系统负责人和联系电话;若未能关联上,则:
将威胁源IP与所述IP区域进行关联,最终显示出威胁源IP的IP网段和组织机构信息。
9.根据权利要求1所述的防御方法,其特征在于,所述对所述威胁告警信息和所述威胁源进行封堵,包括:
将预设的一键封堵平台和所述预设的安全大数据分析平台自动联动,用于对所述威胁告警信息进行封堵;
将预设的一键封堵平台和所述威胁情报管理平台进行阻断联动,用于对所述威胁源进行封堵。
10.一种威胁情报防御系统,其特征在于,所述系统包括:
威胁情报云,用于获取威胁情报;
威胁情报管理平台,用于存储所述威胁情报并构建威胁情报库;
安全大数据分析平台,用于和所述威胁情报管理平台进行碰撞匹配,得到告警信息;
扫描备案管理平台,用于对所述告警信息进行正常扫描任务筛选处理,得到威胁告警信息;
威胁源定位模块,用于将所述威胁告警信息和动态资产库进行关联分析,定位到所述威胁告警信息对应的威胁源;
一键封堵平台,用于对所述威胁告警信息和所述威胁源进行封堵。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010560143.3A CN111800395A (zh) | 2020-06-18 | 2020-06-18 | 一种威胁情报防御方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010560143.3A CN111800395A (zh) | 2020-06-18 | 2020-06-18 | 一种威胁情报防御方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111800395A true CN111800395A (zh) | 2020-10-20 |
Family
ID=72802989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010560143.3A Pending CN111800395A (zh) | 2020-06-18 | 2020-06-18 | 一种威胁情报防御方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111800395A (zh) |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988341A (zh) * | 2020-09-10 | 2020-11-24 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、计算机系统和存储介质 |
| CN112565300A (zh) * | 2020-12-25 | 2021-03-26 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
| CN112583828A (zh) * | 2020-12-10 | 2021-03-30 | 深圳市中博科创信息技术有限公司 | 一种企业服务门户的安全防护方法 |
| CN113259356A (zh) * | 2021-05-21 | 2021-08-13 | 北京国联天成信息技术有限公司 | 大数据环境下的威胁情报与终端检测响应方法及系统 |
| CN113347200A (zh) * | 2021-06-25 | 2021-09-03 | 东莞市汇学汇玩教育科技有限公司 | 基于互联网行为大数据的信息提示方法及云计算ai系统 |
| CN113411199A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 智能等保测评的安全测试方法及系统 |
| CN113489703A (zh) * | 2021-06-29 | 2021-10-08 | 深信服科技股份有限公司 | 一种安全防护系统 |
| CN113489716A (zh) * | 2021-07-02 | 2021-10-08 | 南京联成科技发展股份有限公司 | 一种基于集中管控的威胁情报数据关联分析系统 |
| CN113542253A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种网络流量检测方法、装置、设备及介质 |
| CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
| CN113691524A (zh) * | 2021-08-23 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种告警信息处理方法、系统、电子设备及存储介质 |
| CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及系统 |
| CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN114006722A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及系统 |
| CN114070608A (zh) * | 2021-11-12 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种基于流量分析的资产优化方法及装置 |
| CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN114205169A (zh) * | 2021-12-20 | 2022-03-18 | 上海纽盾科技股份有限公司 | 网络安全防御方法、装置及系统 |
| CN114301706A (zh) * | 2021-12-31 | 2022-04-08 | 上海纽盾科技股份有限公司 | 基于目标节点中现有威胁的防御方法、装置及系统 |
| CN114338110A (zh) * | 2021-12-20 | 2022-04-12 | 上海纽盾科技股份有限公司 | 态势感知中威胁信息的预测防御方法、装置及系统 |
| CN114697052A (zh) * | 2020-12-25 | 2022-07-01 | 北京千里日成科技有限公司 | 网络防护方法及装置 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN115001867A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | 网络资产数据威胁狩猎方法、装置、电子设备和存储介质 |
| CN115134258A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115277247A (zh) * | 2022-08-15 | 2022-11-01 | 中国工商银行股份有限公司 | 情报处理方法、装置、电子设备、存储介质和程序产品 |
| CN115442279A (zh) * | 2022-09-02 | 2022-12-06 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
| CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
| CN115964256A (zh) * | 2023-03-16 | 2023-04-14 | 北京锐服信科技有限公司 | 一种资产管理场景下的告警方法及系统 |
| CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
| CN117478433A (zh) * | 2023-12-27 | 2024-01-30 | 天津市品茗科技有限公司 | 一种网络与信息安全动态预警系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| US10581897B1 (en) * | 2017-07-26 | 2020-03-03 | EMC IP Holding Company LLC | Method and system for implementing threat intelligence as a service |
-
2020
- 2020-06-18 CN CN202010560143.3A patent/CN111800395A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10581897B1 (en) * | 2017-07-26 | 2020-03-03 | EMC IP Holding Company LLC | Method and system for implementing threat intelligence as a service |
| CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
| CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Non-Patent Citations (1)
| Title |
|---|
| 孙辉等: "《大数据技术在信息网络威胁情报中的运用研究》", 《信息技术与网络安全》 * |
Cited By (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988341B (zh) * | 2020-09-10 | 2022-08-02 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、计算机系统和存储介质 |
| CN111988341A (zh) * | 2020-09-10 | 2020-11-24 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、计算机系统和存储介质 |
| CN112583828A (zh) * | 2020-12-10 | 2021-03-30 | 深圳市中博科创信息技术有限公司 | 一种企业服务门户的安全防护方法 |
| CN112583828B (zh) * | 2020-12-10 | 2022-07-01 | 深圳市中博科创信息技术有限公司 | 一种企业服务门户的安全防护方法 |
| CN114697052B (zh) * | 2020-12-25 | 2023-10-27 | 北京国双千里科技有限公司 | 网络防护方法及装置 |
| CN112565300A (zh) * | 2020-12-25 | 2021-03-26 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
| CN114697052A (zh) * | 2020-12-25 | 2022-07-01 | 北京千里日成科技有限公司 | 网络防护方法及装置 |
| CN113411199A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 智能等保测评的安全测试方法及系统 |
| CN113259356A (zh) * | 2021-05-21 | 2021-08-13 | 北京国联天成信息技术有限公司 | 大数据环境下的威胁情报与终端检测响应方法及系统 |
| CN113347200A (zh) * | 2021-06-25 | 2021-09-03 | 东莞市汇学汇玩教育科技有限公司 | 基于互联网行为大数据的信息提示方法及云计算ai系统 |
| CN113347200B (zh) * | 2021-06-25 | 2022-03-04 | 任拓数据科技(上海)有限公司 | 基于互联网行为大数据的信息提示方法及云计算ai系统 |
| CN113489703A (zh) * | 2021-06-29 | 2021-10-08 | 深信服科技股份有限公司 | 一种安全防护系统 |
| CN113489716A (zh) * | 2021-07-02 | 2021-10-08 | 南京联成科技发展股份有限公司 | 一种基于集中管控的威胁情报数据关联分析系统 |
| CN113542253A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种网络流量检测方法、装置、设备及介质 |
| CN113691524A (zh) * | 2021-08-23 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种告警信息处理方法、系统、电子设备及存储介质 |
| CN113672939A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
| CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN113904920B (zh) * | 2021-09-14 | 2023-10-03 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及系统 |
| CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及系统 |
| CN114006722B (zh) * | 2021-09-14 | 2023-10-03 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及系统 |
| CN114006723B (zh) * | 2021-09-14 | 2023-08-18 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN114006722A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及系统 |
| CN114070608A (zh) * | 2021-11-12 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种基于流量分析的资产优化方法及装置 |
| CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN114070629B (zh) * | 2021-11-16 | 2023-10-20 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN114338110B (zh) * | 2021-12-20 | 2024-05-10 | 上海纽盾科技股份有限公司 | 态势感知中威胁信息的预测防御方法、装置及系统 |
| CN114205169A (zh) * | 2021-12-20 | 2022-03-18 | 上海纽盾科技股份有限公司 | 网络安全防御方法、装置及系统 |
| CN114338110A (zh) * | 2021-12-20 | 2022-04-12 | 上海纽盾科技股份有限公司 | 态势感知中威胁信息的预测防御方法、装置及系统 |
| CN114205169B (zh) * | 2021-12-20 | 2023-09-08 | 上海纽盾科技股份有限公司 | 网络安全防御方法、装置及系统 |
| CN114301706A (zh) * | 2021-12-31 | 2022-04-08 | 上海纽盾科技股份有限公司 | 基于目标节点中现有威胁的防御方法、装置及系统 |
| CN114301706B (zh) * | 2021-12-31 | 2023-07-21 | 上海纽盾科技股份有限公司 | 基于目标节点中现有威胁的防御方法、装置及系统 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN115134258B (zh) * | 2022-06-29 | 2024-01-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
| CN115134258A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
| CN115225384B (zh) * | 2022-07-19 | 2024-01-23 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115001867B (zh) * | 2022-08-01 | 2022-11-04 | 北京微步在线科技有限公司 | 网络资产数据威胁狩猎方法、装置、电子设备和存储介质 |
| CN115001867A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | 网络资产数据威胁狩猎方法、装置、电子设备和存储介质 |
| CN115277247A (zh) * | 2022-08-15 | 2022-11-01 | 中国工商银行股份有限公司 | 情报处理方法、装置、电子设备、存储介质和程序产品 |
| CN115442279B (zh) * | 2022-09-02 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
| CN115442279A (zh) * | 2022-09-02 | 2022-12-06 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
| CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
| CN115964256A (zh) * | 2023-03-16 | 2023-04-14 | 北京锐服信科技有限公司 | 一种资产管理场景下的告警方法及系统 |
| CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
| CN116527323B (zh) * | 2023-04-04 | 2024-01-30 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
| CN117478433A (zh) * | 2023-12-27 | 2024-01-30 | 天津市品茗科技有限公司 | 一种网络与信息安全动态预警系统 |
| CN117478433B (zh) * | 2023-12-27 | 2024-04-19 | 天津市品茗科技有限公司 | 一种网络与信息安全动态预警系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| US11212299B2 (en) | System and method for monitoring security attack chains | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| US9008617B2 (en) | Layered graphical event mapping | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| US20060031938A1 (en) | Integrated emergency response system in information infrastructure and operating method therefor | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| US10742664B2 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| Bhardwaj et al. | A framework for effective threat hunting | |
| US20230300153A1 (en) | Data Surveillance In a Zero-Trust Network | |
| CN113783886A (zh) | 一种基于情报和数据的电网智慧运维方法及其系统 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
| CN117478433A (zh) | 一种网络与信息安全动态预警系统 | |
| Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
| Seker | Cyber Threat Intelligence Understanding Fundamentals | |
| US11575702B2 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| Bourekkache et al. | Computer and Network Security: Ontological and Multi-agent System for Intrusion Detection. | |
| Xu et al. | [Retracted] Method of Cumulative Anomaly Identification for Security Database Based on Discrete Markov chain | |
| Gavrilovic et al. | Snort IDS system visualization interface | |
| Yuva Kumar | Behavioural Based Threat Modelling to Increase the Efficiency in Breach Identification and Notification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201020 |
|
| RJ01 | Rejection of invention patent application after publication |