CN111835788B - 一种情报数据分发方法和装置 - Google Patents
一种情报数据分发方法和装置 Download PDFInfo
- Publication number
- CN111835788B CN111835788B CN202010727398.4A CN202010727398A CN111835788B CN 111835788 B CN111835788 B CN 111835788B CN 202010727398 A CN202010727398 A CN 202010727398A CN 111835788 B CN111835788 B CN 111835788B
- Authority
- CN
- China
- Prior art keywords
- intelligence
- data
- network element
- intelligence data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种情报数据分发方法,该方法包括:确定使用情报数据的网元设备;获取用于网元设备的情报数据分发规则;获取满足情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据;基于情报数据分发规则、至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,生成针对网元设备的第一情报数据集;以及将第一情报数据集分发至网元设备。本公开还提供了一种情报数据分发装置、一种电子设备以及一种计算机可读存储介质。
Description
技术领域
本公开涉及计算机信息安全技术领域,特别是涉及一种情报数据分发方法和装置。
背景技术
传统的防御机制往往是根据以往的“经验”来构建安全防御策略,即使是基于机器学习的检测算法也是如此,都难以应付未知攻击。在网络攻击呈现多样化、复杂化、专业化的趋势下,需要一种能够根据过去和当前网络安全状态动态调整防御策略的手段,威胁情报应运而生。
在实现本公开实施例的过程中,发明人发现:绝大多数网元设备在使用威胁情报构建安全防御策略时,都会建立自己的独立威胁情报数据库,各自予以维护,造成严重的重复劳动,同时无法保证情报数据的质量;并且使用自己的独立威胁情报处理逻辑,容易造成情报数据误用。
发明内容
本公开的一个方面提供了一种情报数据分发方法,包括:确定使用情报数据的网元设备;获取用于上述网元设备的情报数据分发规则;获取满足上述情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,上述至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据;基于上述情报数据分发规则、上述至少一个第一情报数据原子包和上述至少一个第一威胁情报处理策略,生成针对上述网元设备的第一情报数据集;以及将上述第一情报数据集分发至上述网元设备。
可选地,还包括:当用于上述网元设备的情报数据分发规则发生变化时,获取变化后的情报数据分发规则;获取满足上述变化后的情报数据分发规则的至少一个第二情报数据原子包和至少一个第二威胁情报处理策略,其中,上述至少一个第二情报数据原子包中的每个第二情报数据原子包对应于不同类型的情报数据;基于上述变化后的情报数据分发规则、上述至少一个第二情报数据原子包和上述至少一个第二威胁情报处理策略,生成针对上述网元设备的第二情报数据集;以及将上述第二情报数据集分发至上述网元设备。
可选地,上述获取用于上述网元设备的情报数据分发规则,包括:确定上述网元设备的类型;以及获取与上述网元设备的类型相匹配的情报数据分发规则。
可选地,上述获取用于上述网元设备的情报数据分发规则,包括:确定上述网元设备的类型和级别;以及获取与上述网元设备的类型和级别都相匹配的情报数据分发规则。
可选地,上述获取用于上述网元设备的情报数据分发规则,包括:获取针对上述网元设备专门定制的情报数据分发规则。
可选地,还包括:当上述至少一个第一情报数据原子包中的任意一个或多个被更新后,基于对应的更新后的第一情报数据原子包更新上述第一情报数据集;以及将更新后的第一情报数据集分发至上述网元设备。
可选地,上述基于上述情报数据分发规则、上述至少一个第一情报数据原子包和上述至少一个第一威胁情报处理策略,生成针对上述网元设备的第一情报数据集,包括:基于上述情报数据分发规则,在上述至少一个第一情报数据原子包与上述至少一个第一威胁情报处理策略之间建立关联关系;基于建立的关联关系,为每个第一情报数据原子包中的情报数据增加对应的用于表征威胁情报处理策略的字段,以便得到携带有威胁情报处理策略信息的威胁情报数据原子包;以获得的携带有威胁情报处理策略信息的威胁情报数据原子包为数据集元素,生成上述第一情报数据集。
可选地,还包括:在将上述第一情报数据集分发至上述网元设备之前,对上述第一情报数据集进行加密处理。
可选地,还包括:生成上述至少一个第一情报数据原子包,其中,上述生成上述至少一个第一情报数据原子包,包括:获取多个情报原始数据;将上述多个情报原始数据处理成对应的多个情报数据;对上述多个情报数据进行分类处理;以及针对每一类情报数据生成上述至少一个第一情报数据原子包中的一个第一情报数据原子包。
可选地,上述至少一个第一情报数据原子包的情报数据类型包括以下至少之一:公开威胁特征指标IOC类;私有威胁特征指标IOC类;公开APT类IOC;私有APT类IOC;DGA域名类;白名单类。
本公开的另一个方面提供了一种情报数据分发装置,包括:确定模块,用于确定使用情报数据的网元设备;第一获取模块,用于获取用于上述网元设备的情报数据分发规则;第二获取模块,用于获取满足上述情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,上述至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据;生成模块,用于基于上述情报数据分发规则、上述至少一个第一情报数据原子包和上述至少一个第一威胁情报处理策略,生成针对上述网元设备的第一情报数据集;以及分发模块,用于将上述第一情报数据集分发至上述网元设备。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现本公开实施例的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,上述指令在被执行时用于实现本公开实施例的方法。
本公开的另一方面提供了一种计算机程序产品,包括计算机可读指令,其中,上述计算机可读指令被执行时用于实现本公开实施例的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1A和图1B示意性示出了根据本公开实施例的适于情报数据分发方法和装置的系统架构;
图1C示意性示出了根据本公开实施例的适于情报数据分发方法和装置的应用场景;
图1D示意性示出了根据本公开实施例的适于情报数据分发方法和装置的整体架构图;
图2示意性示出了根据本公开实施例的情报数据分发方法的流程图;
图3示意性示出了根据本公开实施例的针对不同网元设备适配不同分发规则的示意图;
图4A和图4B示意性示出了根据本公开实施例的建立情报数据原子包与威胁情报处理策略之间的关联关系的示意图;
图5示意性示出了根据本公开实施例的情报数据分发装置的框图;以及
图6示意性示出了根据本公开实施例的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种能够根据各网元设备的类型/级别/定制需求精准进行情报数据分发的情报数据分发方法以及能够应用该方法的情报数据分发装置。该方法包括确定使用情报数据的网元设备;获取用于上述网元设备的情报数据分发规则;获取满足上述情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,上述至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据;基于上述情报数据分发规则、上述至少一个第一情报数据原子包和上述至少一个第一威胁情报处理策略,生成针对上述网元设备的第一情报数据集;以及将上述第一情报数据集分发至上述网元设备。
以下将结合附图和具体实施例详细阐述本公开。
图1A和图1B示意性示出了根据本公开实施例的适于情报数据分发方法和装置的系统架构。需要注意的是,图1A和图1B所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1A所示,该系统架构100A包括:服务器101和网元设备102、103、104……。
服务器101可以用于收集情报原始数据,并将收集的情报原始数据处理成情报数据。服务器101还可以用于通过分析各情报数据的类别,并基于不同类别的情报数据生成不同的情报数据原子包。服务器101还可以用于针对不同网元设备的情报数据分发规则,并基于各类情报数据原子包和威胁情报处理策略,为各网元设备生成对应的情报数据集并分发至各网元设备。
各网元设备(如网元设备102、103、104……)无需自己建立独立的威胁情报数据库,可以直接向服务器101发送请求,以请求共享服务器101端的部分或者全部情报数据。
如图1B所示,该系统架构100B包括:服务器101和网元设备102。网元设备102例如可以包括内网主机1021(或者内网主机集群)和威胁情报检测引擎1022。服务器101可以将针对网元设备102生成的情报数据集分发至威胁情报检测引擎1022。威胁情报检测引擎1022主要用于检测内网主机1021(或者内网主机集群)是否失陷。威胁情报检测引擎1022可以与NGFW、UTM、终端防病毒、虚拟化终端、云安全、NGSOC、态势感知等多种网络设备、主机应用和大数据平台环境结合,进行基于获取的情报数据集的失陷主机检测。使用威胁情报检测引擎1022的用户不需要有任何威胁情报、安全对抗知识,只需要通过简单的接口调用,就可以使产品或设备具有高精准、可定性、可拦截的威胁情报检测能力。即只要将出站流量日志作为检测对象给威胁情报检测引擎1022进行检测,就可以得到内网主机是否失陷,失陷类型是什么的结论。
应该理解,图1A和图1B中的网元设备和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的网元设备和服务器。
图1C示意性示出了根据本公开实施例的适于情报数据分发方法和装置的应用场景。同样,需要注意的是,图1C所示仅为可以应用本公开实施例的应用场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他场景。
如图1C所示,该应用场景中,服务器101可以根据网元设备(如网元设备102)的类型生成并向其分发对应的情报数据集;或者,还可以根据网元设备(如网元设备103)的类型和级别生成并向其分发对应的情报数据集;或者,还可以根据网元设备(如网元设备104)的个性化定制需求生成并向其分发对应的情报数据集。
图1D示意性示出了根据本公开实施例的适于情报数据分发方法和装置的整体架构图。同样,需要注意的是,图1D所示仅为可以应用本公开实施例的整体架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他整体架构。
如图1D所示,该整体架构可以包括:数据收集模块、数据处理模块(包括第一处理模块和第二处理模块)、情报生成模块、数据分类分级模块、规则控制模块、打包加密处理模块、数据分发模块和数据共享模块。
在本公开实施例中,服务器通过数据收集模块,对各数据源产生的数据进行收集。其中各数据源产生的数据例如可以包括但不限于开源情报原始数据、网元设备资产数据、各类安全告警数据、异常行为告警数据、恶意邮件告警数据、恶意程序告警数据、商业情报数据等。
服务器通过数据处理模块中的第一处理模块,对数据收集模块收集的情报原始数据进行标签化处理、归一化处理、聚合处理及上下文关联处理等。服务器通过数据处理模块中的第二处理模块,对经第一处理模块处理后的数据进行人工处理、研判数据的类型,同时自动化或半自动化地加入威胁评价,进而进行去重入库等操作。
服务器通过情报生成模块,并基于经数据处理模块处理入库的数据生成对应类型的情报数据。
服务器通过数据分类分级模块,将情报生成模块生成的不同类型的情报数据进行分类及分级处理,并基于预先定义的各类原子包生成规则,生成多个情报数据原子包。不同情报数据原子包中的情报数据的类型彼此不同。由此,可以将同一类型的情报数据整合在一个情报数据原子包中。这样,不同类型的情报数据可以分别整合在多个不同的情报数据原子包中,因此可以提高情报数据的质量。
规则控制模块内置有预先定义的各类原子包生成规则和各类分发规则,以及针对各类威胁情报的处理策略,可以根据这些规则实时调整并调用各类情报数据原子包,以及精准地进行情报数据分发处理。
打包加密处理模块可以针对不同分发单元进行返回字段处理,形成差异化的“定制”情报数据集以便准备分发,并采用加密算法对情报数据集中的情报数据进行整体加密处理。
数据分发模块可以将加密处理后的差异化情报数据集发布到数据共享模块。数据共享模块进而通过下载发布平台进行数据共享,并以标准化的统一接口和统一数据格式提供情报数据。这些情报数据可以被防火墙、扫描器等传统安全设备读取,并自动作出阻断及部署,从而真正发挥情报的价值。
在本公开实施例中,通过统一的数据分发模块自动加密并分发情报数据,可以提高信息的安全性。
图2示意性示出了根据本公开实施例的情报数据分发方法的流程图。
如图2所示,该方法可以包括操作S201~S205。
在操作S201,确定当前需要使用情报数据的网元设备。
在本公开实施例中,各网元设备拥有方可以向情报数据提供方发送注册请求,以便注册成为能够共享情报数据提供方发布的情报数据的用户。其中如果注册成功,则注册时登记的网元设备可以接收并使用情报数据提供方为其分发的情报数据。由此,各网元设备拥有方无需独立创建自己的威胁情报数据库,而是可以直接共享情报数据提供方提供的情报数据,因而不会造成重复劳动。
具体地,在操作S201,已注册并登记的任何网元设备都可以被确定为当前需要使用情报数据的网元设备。
接下来,在操作S202,获取用于操作S201中确定的网元设备的情报数据分发规则。
具体地,在本公开实施例中,为了提高情报数据的质量,同时为了便于管理情报数据,可以将情报数据划分为不同的类型。示例性的,可以将情报数据划分为:普通型的、公开的IOC(Indicators of Comprommise Category,威胁指标类型),普通型的、私有的IOC,APT(Advanced Persistent Threat,高级可持续威胁攻击)类的、公开的IOC,APT类的、私有的IOC,流行的、普通IOC,DGA域名类,白名单类,……。其中,白名单类可以由人工运营,也可以通过人工智能相关技术,进行自动化维护运营。
进一步,针对不同类型的情报数据,可以生成不同的情报数据原子包(简称原子包)。具体地,原子包的生成规则可以定义如下:
A:export==True、targeted==False、private==False
即原子包A中包含所有普通的、公开的IOC。
B:export==True、targeted==False、private==True
即原子包B中包含所有普通的、私有的IOC。
C:export==True、targeted==True、private==False
即原子包C中包含所有APT类的、公开的IOC。
D:export==True、targeted==True、private==True
即原子包D中包含所有APT类的、私有的IOC。
E:export==True、targeted==False、private==False、ioc_category!=″HASH″、last_seen最近半年内、records>=N需要的N条记录
即原子包D中包含N条最近半年内流行的普通IOC。
F:DGA域名类
即原子包D中包含所有DGA域名。
G:SINKHOLE类
即原子包G中包含所有白名单数据。
……
此外,为了能够针对不同类型、不同级别的网元设备精准地推送高质量的、定制化的情报数据,在本公开实施例中,还可以针对不同的应用场景,生成不同的情报数据分发规则(简称分发规则)。
应该理解,在本公开实施例中,分发规则用于定义需要分发哪些情报数据原子包以及定义需要分发的情报数据原子包分别适应哪些威胁情报处理策略。进一步,威胁情报处理策略用于定义对命中情报数据的网络攻击事件所采取的处理方法。
具体地,情报数据分发规则可以定义如下:
规则1:(C+E)*a+D*d
规则2:(A+B+C)*a+D*d
规则3:(A+B+C+D)*a
规则4:(A+B)*a+(C+D)*d
……
可以理解的是,使用规则1的网元设备需要原子包C和E以及D。其中,如果原子包C和E中的情报数据在威胁情报检测中被命中,则针对恶意信息采取a表征的威胁情报处理策略;如果原子包D中的情报数据在威胁情报检测中被命中,则针对恶意信息采取d表征的威胁情报处理策略。
类似地,使用规则2的网元设备需要原子包A、B和C以及D。其中,如果原子包A、B和C中的情报数据在威胁情报检测中被命中,则针对恶意信息采取a表征的威胁情报处理策略;如果原子包D中的情报数据在威胁情报检测中被命中,则针对恶意信息采取d表征的威胁情报处理策略。
类似地,使用规则3的网元设备需要原子包A、B、C和D。其中,如果原子包A、B、C和D中的情报数据在威胁情报检测中被命中,则针对恶意信息采取a表征的威胁情报处理策略。
类似地,使用规则4的网元设备需要原子包A和B以及C和D。其中,如果原子包A和B中的情报数据在威胁情报检测中被命中,则针对恶意信息采取a表征的威胁情报处理策略;如果原子包C和D中的情报数据在威胁情报检测中被命中,则针对恶意信息采取d表征的威胁情报处理策略。
……
需要说明的是,在本公开实施例中,同一原子包在不同的分发规则中可以对应于不同的处理策略。例如,在上述的规则1~3中,原子包C对应于处理策略a,在上述的规则4中,原子包C对应于处理策略d。此外,在本公开实施例中,当用户需求和分发规则发生变化时,还可以对预定的分发规则进行调整。
具体地,在操作S202,可以根据各网元设备的类型、级别以及个性化定制需求等特征中的一个或多个,确定并获取用于各网元设备的分发规则。
示例性的,在本公开的一个实施例中,操作S202例如可以包括:确定网元设备的类型;以及获取与网元设备的类型相匹配的情报数据分发规则。例如,防火墙、网关、扫描器等网元设备可以使用不同的情报数据分发规则。
或者,示例性的,在本公开的一个实施例中,操作S202例如可以包括:确定网元设备的类型和级别;以及获取与网元设备的类型和级别都相匹配的情报数据分发规则。例如,虽然所有的防火墙作为一类网元设备可以使用同一情报数据分发规则,但是考虑到不同的防火墙可能是不同的用户注册的,并且不同用户的级别可能不一样。例如,有的用户注册的是普通会员,有的用户注册的是高级会员等,因此还可以根据用户的级别(即网元设备的级别)为不同用户的防火墙提供不同的情报数据分发规则。例如,如果用户1为高级会员,可以使用“(A+B+C+D)*a”对用户1名下的网元设备分发情报数据。如果用户2为普通会员,可以使用“(A+C)*a”对用户2名下的网元设备分发情报数据。显然,用户级别越高,可以共享更多的私有情报数据。
或者,示例性的,在本公开的一个实施例中,操作S202例如可以包括:获取针对网元设备专门定制的情报数据分发规则。即,在本公开实施例中,可以为用户提供个性化定制服务。
示例性的,如图3所示,如果网元设备102的用户注册的是普通会员,则可以仅根据网元设备102的类型为其分配对应的情报数据分发规则。如果网元设备103的用户注册的是高级会员,则可以仅根据网元设备103的类型和级别(如高级会员)为其分配对应的情报数据分发规则。或者,如果网元设备104的用户注册的是高级会员,则还可以先查看该用户是否提出了个性化定制需求。如果用户提出了个性化定制需求,则可以直接为网元设备104分配专门定制的情报数据分发规则。否则,如果用户没有提出个性化定制需求,则可以根据网元设备104的类型和级别(如高级会员)为其分配对应的情报数据分发规则。
通过本公开实施例,由于对各网元设备进行了分类、分级,因此在针对各网元设备分发情报数据集时,可以满足不同安全级别的网元设备的定制化服务。
再接下来,在操作S203,获取满足情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据。
具体地,在操作S203,可以根据情报数据分发规则,提取对应的情报数据原子包和威胁情报处理策略,并依此生成对应的情报数据集。
示例性的,如果用于网元设备1的情报数据分发规则为上述的规则1(即(C+E)*a+D*d),则需要提取的原子包包括原子包C和E以及D,需要提取的威胁情报处理策略包括处理策略a和d。
需要说明的是,该方法还可以包括:在操作S203之前,生成至少一个第一情报数据原子包。
其中,生成至少一个第一情报数据原子包例如可以包括如下操作。
获取多个情报原始数据。
将多个情报原始数据处理成对应的多个情报数据。
对多个情报数据进行分类处理。
针对每一类情报数据生成至少一个第一情报数据原子包中的一个第一情报数据原子包。
在本公开实施例中,在将多个情报原始数据处理成对应的多个情报数据时,可以执行以下操作:先对收集的情报原始数据进行标签化处理、归一化处理、聚合处理及上下文关联处理等;再进行人工处理、研判数据的类型,同时自动化或半自动化地加入威胁评价,进而进行去重入库等操作。
具体地,可以将情报数据化分为如下类别:公开威胁特征指标IOC类;私有威胁特征指标IOC类;公开APT类IOC;私有APT类IOC;DGA域名类;白名单类……。并基于上述类别分别生成如下原子包:公开的IOC类原子包、私有的IOC类原子包、公开APT类IOC原子包、私有APT类IOC原子包、DGA域名类原子包、白名单类原子包……。
通过本公开实施例,可以基于各情报数据的类别对情报数据进行整合,从而将不同类别的情报数据划分到不同的原子包中,进而可以基于用于各网元设备的情报数据分发规则,提取对应的原子包和威胁情报处理策略,并将其作为情报数据集推送给各网元设备,因而可以达到情报数据精准、高效推送的目的。并且,通过加入相关人工运营流程中的生产处理确认结果,可以提高情报数据的质量。
此外,需要说明的是,至少一个第一情报数据原子包的情报数据类型包括以下至少之一:公开威胁特征指标IOC类;私有威胁特征指标IOC类;公开APT类IOC;私有APT类IOC;DGA域名类;白名单类。
进一步,在本公开实施例中,威胁情报处理策略例如可以包括:
策略1,所有情报数据库均未命中,不告警0;
策略2,公开的IOC类情报数据库被命中,告警,且可拦截;
策略3,永恒之蓝类特殊IOC情报数据库被命中,仅告警,不可拦截;
策略4,私有APT类IOC情报数据库被命中,仅打点,不拦截,且不告警;
策略5,某些情报数据库被命中,但不告警,可拦截;
……
然后,在操作S204,基于情报数据分发规则、至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,生成针对网元设备的第一情报数据集。
在本公开的一个实施例中,操作S204例如可以包括:基于情报数据分发规则,在至少一个第一情报数据原子包与至少一个第一威胁情报处理策略之间建立关联关系;基于建立的关联关系,为每个第一情报数据原子包中的情报数据增加对应的用于表征威胁情报处理策略的字段,以便得到携带有威胁情报处理策略信息的威胁情报数据原子包;以及以获得的携带有威胁情报处理策略信息的威胁情报数据原子包为数据集元素,生成第一情报数据集。
应该理解,在本公开实施例中,建立各原子包与威胁情报处理策略的关联关系以及在情报数据中增加用于表征威胁情报处理策略的字段的相关操作既可以实时完成,也可以通过预处理完成。
例如,如果分发规则是基于已知网元设备的类型,或者基于已知网元设备的类型的类型和级别预先定义的,则可以基于预定义的分发规则生成对应的情报数据集。而在生成该对应的情报数据集的过程中,可以预先创建上述关联关系并增加上述字段。
再例如,如果分发规则是用户提交的请求专门定制的,则可以在响应于用户请求的过程中,实时创建上述关联关系并增加上述字段。
示例性的,如图4A所示,假设针对网元设备使用上述的规则2“(A+B+C)*a+D*d”分发情报数据,那么在建立原子包与威胁情报处理策略之间的关联关系时,原子包A、B、C均与威胁情报处理策略a关联,原子包D则与威胁情报处理策略d关联。此时在生成针对上述网元设备的情报数据集时需要在原子包A、B、C中的各情报数据后增加用于表征威胁情报处理策略a的字段(如a处理策略的ID等),同时需要在原子包D中的各情报数据后增加用于表征威胁情报处理策略d的字段(如d处理策略的ID等)。
示例性的,如图4B所示,假设针对网元设备使用上述的规则4“(A+B)*a+(C+D)*d”分发情报数据,那么在建立原子包与威胁情报处理策略之间的关联关系时,原子包A、B均与威胁情报处理策略a关联,原子包C、D则与威胁情报处理策略d关联。此时在生成针对上述网元设备的情报数据集时需要在原子包A、B中的各情报数据后增加用于表征威胁情报处理策略a的字段(如a处理策略的ID等),同时需要在原子包C、D中的各情报数据后增加用于表征威胁情报处理策略d的字段(如d处理策略的ID等)。
通过本公开实施例,在针对不同的网元设备生成对应的情报数据集时,可以在各情报数据原子包中的情报数据后添加字段来表征对应的威胁情报处理策略,因而克服了相关技术中容易造成情报数据误使用的缺陷。并且,在情报数据被命中的情况下,能够直接依据被命中的情报数据后添加的表征处理策略的字段进行阻断、拦截或者告警等。
再然后,在操作S205,将第一情报数据集分发至网元设备。
具体地,在操作S205,生成第一情报数据集后可以自动分发至前述的网元设备。
进一步,在本公开实施例中,该方法还可以包括:在将第一情报数据集分发至网元设备之前,对第一情报数据集进行加密处理。
通过本公开实施例,对第一情报数据集进行整体加密处理,可以防止情报数据泄露,保证情报数据安全。
在本公开实施例中,对于任何一个网元设备而言,如果用户的安全需求和情报数据分发要求发生变化,都可能导致分发给网元设备的情报数据集发生变化。例如,如果用户的网元设备升级了,则可能要求安全等级相应升级,此时可能会引起情报数据集更新操作。再例如,如果用户的会员等级升级了(如由普通会员升级为高级会员),则也可能要求安全等级相应升级,此时也可能会引起情报数据集更新操作。
示例性的,在本公开的一个实施例中,该方法还可以包括如下操作。
当用于网元设备的情报数据分发规则发生变化时,获取变化后的情报数据分发规则。
获取满足变化后的情报数据分发规则的至少一个第二情报数据原子包和至少一个第二威胁情报处理策略,其中,至少一个第二情报数据原子包中的每个第二情报数据原子包对应于不同类型的情报数据。
基于变化后的情报数据分发规则、至少一个第二情报数据原子包和至少一个第二威胁情报处理策略,生成针对网元设备的第二情报数据集。
将第二情报数据集分发至网元设备。
需要说明的是,在本公开实施例中,生成第二情报数据集的方法与前述实施例中生成第一情报数据集的方法类似,在此不再赘述。
在本公开实施例中,在将第二情报数据集分发至网元设备后,用户可以根据实际情况选择使用最新分发的情报数据(第二情报数据集)过滤网络攻击事件,还是选择继续使用之前分发的情报数据(第一情报数据集)过滤网络攻击事件。
或者,示例性的,在本公开的另一个实施例中,该方法还可以包括如下操作。
当至少一个第一情报数据原子包中的任意一个或多个被更新后,基于对应的更新后的第一情报数据原子包更新第一情报数据集。
将更新后的第一情报数据集分发至网元设备。
具体地,在本公开实施例中,情报数据分发规则没有发生变化,发生变化的仅仅是情报数据原子包。此时,可以基于原来的情报数据分发规则,重新提取新的情报数据原子包和威胁情报处理策略,并基于重新提取的情报数据原子包和威胁情报处理策略生成新的情报数据集。
需要说明的是,在本公开实施例中,生成生成新的情报数据集的方法与前述实施例中生成第一情报数据集的方法类似,在此不再赘述。
在本公开实施例中,在将更新后的第一情报数据集至网元设备后,用户可以根据实际情况选择使用最新分发的情报数据(更新后的第一情报数据集)过滤网络攻击事件,还是选择继续使用之前分发的情报数据(第一情报数据集)过滤网络攻击事件。
通过本公开实施例,可以根据情报数据分发规则、原子包等的变化及时更新网元设备端的情报数据,以防止网元设备端在进行恶意信息检测时出现恶意信息误报或者漏报等。
图5示意性示出了根据本公开实施例的情报数据分发装置的框图。
如图5所示,情报数据分发装置500包括确定模块501、第一获取模块502、第二获取模块503、生成模块504和分发模块505。该情报数据分发装置可以执行上面参考方法实施例部分描述的方法,在此不再赘述。
具体地,确定模块501,用于确定使用情报数据的网元设备。
第一获取模块502,用于获取用于网元设备的情报数据分发规则。
第二获取模块503,用于获取满足情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据。
生成模块504(第一生成模块),用于基于情报数据分发规则、至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,生成针对网元设备的第一情报数据集。
分发模块505(第一分发模块),用于将第一情报数据集分发至网元设备。
作为一种可选的实施例,该装置例如还可以包括第三获取模块、第四获取模块、第二生成模块和第二分发模块。
具体地,第三获取模块,用于当用于网元设备的情报数据分发规则发生变化时,获取变化后的情报数据分发规则。
第四获取模块,用于获取满足变化后的情报数据分发规则的至少一个第二情报数据原子包和至少一个第二威胁情报处理策略,其中,至少一个第二情报数据原子包中的每个第二情报数据原子包对应于不同类型的情报数据。
第二生成模块,用于基于变化后的情报数据分发规则、至少一个第二情报数据原子包和至少一个第二威胁情报处理策略,生成针对网元设备的第二情报数据集。
第二分发模块,用于将第二情报数据集分发至网元设备以替换之前分发的第一情报数据集。
作为一种可选的实施例,第一获取模块包括:第一确定单元和第一获取单元。
第一确定单元,用于确定网元设备的类型。
第一获取单元,用于获取与网元设备的类型相匹配的情报数据分发规则。
作为一种可选的实施例,第一获取模块包括:第二确定单元和第二获取单元。
第二确定单元,用于确定网元设备的类型和级别。
第二获取单元,用于获取与网元设备的类型和级别都相匹配的情报数据分发规则。
作为一种可选的实施例,第一获取模块还用于:获取针对网元设备专门定制的情报数据分发规则。
作为一种可选的实施例,该装置还可以包括:第一更新模块和第三分发模块。
第一更新模块,用于当至少一个第一情报数据原子包中的任意一个或多个被更新后,基于对应的更新后的第一情报数据原子包更新第一情报数据集。
第三分发模块,用于将更新后的第一情报数据集分发至网元设备以替换更新前的第一情报数据集。
作为一种可选的实施例,生成模块包括:创建单元和字段增加单元。
创建单元,用于基于情报数据分发规则,在至少一个第一情报数据原子包与至少一个第一威胁情报处理策略之间建立关联关系;以及
字段增加单元,用于基于建立的关联关系,为每个第一情报数据原子包中的情报数据增加用于表征威胁情报处理策略的字段。
作为一种可选的实施例,该装置还可以包括:加密模块,用于在将第一情报数据集分发至网元设备之前,对第一情报数据集进行加密处理。
作为一种可选的实施例,该装置还可以包括:第三生成模块,用于生成至少一个第一情报数据原子包。其中,第三生成模块具体用于:获取多个情报原始数据;将多个情报原始数据处理成对应的多个情报数据;对多个情报数据进行分类处理;以及针对每一类情报数据生成至少一个第一情报数据原子包中的一个第一情报数据原子包。
作为一种可选的实施例,至少一个第一情报数据原子包的情报数据类型包括以下至少之一:公开威胁特征指标IOC类;私有威胁特征指标IOC类;公开APT类IOC;私有APT类IOC;DGA域名类;白名单类。
需要说明的是,本公开中装置部分的实施例与本公开中方法部分的实施例对应类似,并且所达到的技术效果也对应类似,在此不再赘述。
根据本公开的实施例的模块、单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,确定模块501、第一获取模块502、第二获取模块503、生成模块504和分发模块505中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,确定模块501、第一获取模块502、第二获取模块503、生成模块504和分发模块505中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,确定模块501、第一获取模块502、第二获取模块503、生成模块504和分发模块505中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的电子设备的框图。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600包括处理器610、计算机可读存储介质620。该电子设备600可以执行根据本公开实施例的方法。
具体地,处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质620,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质620可以包括计算机程序621,该计算机程序621可以包括代码/计算机可执行指令,其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。
计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序621中的代码可以包括一个或多个程序模块,例如包括621A、模块621B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器610执行时,使得处理器610可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,确定模块501、第一获取模块502、第二获取模块503、生成模块504和分发模块505中的至少一个可以实现为参考图6描述的计算机程序模块,其在被处理器610执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时电可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (11)
1.一种情报数据分发方法,包括:
确定使用情报数据的网元设备;
获取用于所述网元设备的情报数据分发规则;
获取满足所述情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,所述至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据;
基于所述情报数据分发规则、所述至少一个第一情报数据原子包和所述至少一个第一威胁情报处理策略,生成针对所述网元设备的第一情报数据集;以及
将所述第一情报数据集分发至所述网元设备;
其中,所述获取用于所述网元设备的情报数据分发规则,包括以下之一:
确定所述网元设备的类型,并获取与所述网元设备的类型相匹配的情报数据分发规则;
确定所述网元设备的类型和级别,并获取与所述网元设备的类型和级别都相匹配的情报数据分发规则;
获取针对所述网元设备专门定制的情报数据分发规则。
2.根据权利要求1所述的方法,还包括:
当用于所述网元设备的情报数据分发规则发生变化时,获取变化后的情报数据分发规则;
获取满足所述变化后的情报数据分发规则的至少一个第二情报数据原子包和至少一个第二威胁情报处理策略,其中,所述至少一个第二情报数据原子包中的每个第二情报数据原子包对应于不同类型的情报数据;
基于所述变化后的情报数据分发规则、所述至少一个第二情报数据原子包和所述至少一个第二威胁情报处理策略,生成针对所述网元设备的第二情报数据集;以及
将所述第二情报数据集分发至所述网元设备。
3.根据权利要求1所述的方法,还包括:
当所述至少一个第一情报数据原子包中的任意一个或多个被更新后,基于对应的更新后的第一情报数据原子包更新所述第一情报数据集;以及
将更新后的第一情报数据集分发至所述网元设备。
4.根据权利要求1所述的方法,其中,所述基于所述情报数据分发规则、所述至少一个第一情报数据原子包和所述至少一个第一威胁情报处理策略,生成针对所述网元设备的第一情报数据集,包括:
基于所述情报数据分发规则,在所述至少一个第一情报数据原子包与所述至少一个第一威胁情报处理策略之间建立关联关系;
基于建立的关联关系,为每个第一情报数据原子包中的情报数据增加对应的用于表征威胁情报处理策略的字段,以便得到携带有威胁情报处理策略信息的威胁情报数据原子包;以及
以获得的携带有威胁情报处理策略信息的威胁情报数据原子包为数据集元素,生成所述第一情报数据集。
5.根据权利要求1所述的方法,还包括:在将所述第一情报数据集分发至所述网元设备之前,
对所述第一情报数据集进行加密处理。
6.根据权利要求1所述的方法,还包括:生成所述至少一个第一情报数据原子包,其中,
所述生成所述至少一个第一情报数据原子包,包括:
获取多个情报原始数据;
将所述多个情报原始数据处理成对应的多个情报数据;
对所述多个情报数据进行分类处理;以及
针对每一类情报数据生成所述至少一个第一情报数据原子包中的一个第一情报数据原子包。
7.根据权利要求1所述的方法,其中,所述至少一个第一情报数据原子包的情报数据类型包括以下至少之一:
公开威胁特征指标IOC类;
私有威胁特征指标IOC类;
公开APT类IOC;
私有APT类IOC;
DGA域名类;
白名单类。
8.一种情报数据分发装置,包括:
确定模块,用于确定使用情报数据的网元设备;
第一获取模块,用于获取用于所述网元设备的情报数据分发规则;
第二获取模块,用于获取满足所述情报数据分发规则的至少一个第一情报数据原子包和至少一个第一威胁情报处理策略,其中,所述至少一个第一情报数据原子包中的每个第一情报数据原子包对应于不同类型的情报数据;
生成模块,用于基于所述情报数据分发规则、所述至少一个第一情报数据原子包和所述至少一个第一威胁情报处理策略,生成针对所述网元设备的第一情报数据集;以及
分发模块,用于将所述第一情报数据集分发至所述网元设备;
其中,所述获取用于所述网元设备的情报数据分发规则,包括以下之一:
确定所述网元设备的类型,并获取与所述网元设备的类型相匹配的情报数据分发规则;
确定所述网元设备的类型和级别,并获取与所述网元设备的类型和级别都相匹配的情报数据分发规则;
获取针对所述网元设备专门定制的情报数据分发规则。
9.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1至7中任一项所述的方法。
11.一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行根据权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010727398.4A CN111835788B (zh) | 2020-07-24 | 2020-07-24 | 一种情报数据分发方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010727398.4A CN111835788B (zh) | 2020-07-24 | 2020-07-24 | 一种情报数据分发方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835788A CN111835788A (zh) | 2020-10-27 |
| CN111835788B true CN111835788B (zh) | 2022-08-02 |
Family
ID=72926274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010727398.4A Active CN111835788B (zh) | 2020-07-24 | 2020-07-24 | 一种情报数据分发方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835788B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
| CN113297578B (zh) * | 2021-06-25 | 2022-03-04 | 铭台(北京)科技有限公司 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
| CN113992339B (zh) * | 2021-09-09 | 2024-04-05 | 奇安信科技集团股份有限公司 | 数据共享方法及装置,电子设备,存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103037414A (zh) * | 2012-11-21 | 2013-04-10 | 大唐移动通信设备有限公司 | 通信系统中的策略控制方法及系统 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN108833389A (zh) * | 2018-06-05 | 2018-11-16 | 北京奇安信科技有限公司 | 一种情报数据共享处理方法及装置 |
| CN110661795A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 一种向量级威胁情报自动生产、分发系统及方法 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9258321B2 (en) * | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| US10764310B2 (en) * | 2016-03-25 | 2020-09-01 | Cisco Technology, Inc. | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems |
-
2020
- 2020-07-24 CN CN202010727398.4A patent/CN111835788B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103037414A (zh) * | 2012-11-21 | 2013-04-10 | 大唐移动通信设备有限公司 | 通信系统中的策略控制方法及系统 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN108833389A (zh) * | 2018-06-05 | 2018-11-16 | 北京奇安信科技有限公司 | 一种情报数据共享处理方法及装置 |
| CN110661795A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 一种向量级威胁情报自动生产、分发系统及方法 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835788A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111835788B (zh) | 一种情报数据分发方法和装置 | |
| US20200382556A1 (en) | Template-Driven Intent-Based Security | |
| US11575563B2 (en) | Cloud security management | |
| EP3149582B1 (en) | Method and apparatus for a scoring service for security threat management | |
| US20150347773A1 (en) | Method and system for implementing data security policies using database classification | |
| US20080320583A1 (en) | Method for Managing a Virtual Machine | |
| CN109088909B (zh) | 一种基于商户类型的服务灰度发布方法及设备 | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| US10979446B1 (en) | Automated vulnerability chaining | |
| US20220083661A1 (en) | Utilizing Machine Learning to detect malicious Office documents | |
| US20240028721A1 (en) | Utilizing Machine Learning to detect malicious executable files efficiently and effectively | |
| Ransbotham et al. | The impact of immediate disclosure on attack diffusion and volume | |
| Hegarty et al. | Extrusion detection of illegal files in cloud-based systems | |
| EP3462709B1 (en) | A network interface device | |
| US20200162339A1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| US11588678B2 (en) | Generating incident response action recommendations using anonymized action implementation data | |
| US11599522B2 (en) | Hardware trust boundaries and graphs in a data confidence fabric | |
| CN114095186A (zh) | 威胁情报应急响应方法及装置 | |
| US20110238587A1 (en) | Policy management system and method | |
| US20240171614A1 (en) | System and method for internet activity and health forecasting and internet noise analysis | |
| US11671433B2 (en) | Data loss prevention incident forwarding | |
| US20230403301A1 (en) | Infrastructural edge security as a service | |
| US20210099492A1 (en) | System and method for regulated message routing and global policy enforcement | |
| Keeriyattil | Zero Trust Networks with VMware NSX: Build Highly Secure Network Architectures for Your Data Centers | |
| WO2023117282A1 (en) | A method for monitoring or validating compliance of a device on a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |