CN111930882A - 一种服务器异常溯源方法、系统及存储介质 - Google Patents

一种服务器异常溯源方法、系统及存储介质 Download PDF

Info

Publication number
CN111930882A
CN111930882A CN202010610656.0A CN202010610656A CN111930882A CN 111930882 A CN111930882 A CN 111930882A CN 202010610656 A CN202010610656 A CN 202010610656A CN 111930882 A CN111930882 A CN 111930882A
Authority
CN
China
Prior art keywords
server
information
anomaly
flow
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010610656.0A
Other languages
English (en)
Other versions
CN111930882B (zh
Inventor
林学峰
李冬
常英贤
于晓文
蒋甜
沈伟
陈剑飞
廖鹏
吴超
李唱
葛国栋
刘新
王文婷
马雷
赵子岩
闫龙川
陈智雨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
State Grid Shandong Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Original Assignee
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
State Grid Shandong Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Information and Telecommunication Co Ltd, State Grid Shandong Electric Power Co Ltd, Nari Information and Communication Technology Co, State Grid Electric Power Research Institute filed Critical State Grid Corp of China SGCC
Priority to CN202010610656.0A priority Critical patent/CN111930882B/zh
Publication of CN111930882A publication Critical patent/CN111930882A/zh
Application granted granted Critical
Publication of CN111930882B publication Critical patent/CN111930882B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/31Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种服务器异常溯源方法、系统及存储介质,服务器异常溯源系统包括:服务器信息分析引擎:采集服务器信息,并对采集的服务器信息进行解析以及范式化处理,得到服务器数据;网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;关联分析引擎:对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。提高了服务器异常定位能力,并不依赖于服务器自身的网络拓扑结构,自主实现对服务器异常定位溯源能力。

Description

一种服务器异常溯源方法、系统及存储介质
技术领域
本发明涉及一种服务器异常溯源方法、系统及存储介质,属于网络安全技术领域。
背景技术
随着企业网络安全意识的日益增强,企业采购大量不同厂商的安全设备如WAF、IPS、IDS等,这些安全设备为企业的网络安全员在安全分析过程提供了重要依据。但是针对这些设备对产生的流量异常告警,并没有溯源到具体服务器或者终端。同时由于企业内部的日常管理需要,其内部的服务器网络拓扑无时无刻不在发生变化,所以针对网络告警如何溯源到具体服务器则是个重要课题。传统的网络异常告警溯源是流量的溯源,由于其结构特点,无法满足对具体服务器的溯源定位。
综上所述,对于不同网络拓扑环境、不同厂商中的网络异常告警数据,使用传统的异常溯源处理方法并不能定位服务器位置,这样对网络安全员在处置网络安全事件时,会大大影响响应处置时间,容易导致安全事件影响扩大,造成更多不必要的安全风险。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种服务器异常溯源方法、系统及存储介质,解决了传统的网络安全分析过程中,无法及时定位异常发生位置的情况。
为达到上述目的,本发明是采用下述技术方案实现的:
一种服务器异常溯源方法,所述方法包括:
采集服务器信息,并对采集的服务器信息进行解码分析以及范式化处理,得到服务器数据;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
结合第一方面,进一步的,采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
结合第一方面,进一步的,通过Agent采集的服务器信息包括下述中至少一种:服务器资产数据;API调用;系统日志;事件日志;命令行;插件。
结合第一方面,进一步的,采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
结合第一方面,进一步的,所述异常告警日志包括下述中的至少一种:对攻击方;受攻击方;事件发生时间;攻击动作;危害级别信息的描述。
第二方面,本发明提供了一种服务器异常溯源系统,包括:
服务器信息分析引擎:采集服务器信息,并对采集的服务器信息进行解析以及范式化处理,得到服务器数据;
网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
关联分析引擎:对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
结合第二方面,进一步的,所述服务器信息分析引擎具体用于:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
结合第二方面,进一步的,所述网络流异常分析引擎具体用于:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
第三方面,本发明提供了一种服务器异常溯源系统,包括处理器和存储器,所述存储器上存储有程序,所述程序能够被所述处理器加载执行如前述方法的步骤。
第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法的步骤。
与现有技术相比,本发明实施例所提供的一种服务器异常溯源方法、系统及存储介质所达到的有益效果包括:将异常告警日志索引和服务器数据索引进行关联分析,实现了流量异常告警的溯源定位,提高了网络安全员的异常事件处理能力,在传统的异常告警日志分析基础上,提高了服务器异常定位能力,并不依赖于服务器自身的网络拓扑结构,自主实现对服务器异常定位溯源能力。
附图说明
图1是根据本发明实施例提供的一种服务器异常溯源方法、系统及存储介质的主引擎、从模块协作架构图。
具体实施方式
本发明旨在克服传统的网络安全分析过程中,无法及时定位异常发生位置的情况,实现了一种服务器异常溯源方法、系统及存储介质。该框架服务器包括信息分析引擎、网络流异常分析引擎、关联分析引擎三大类引擎,服务器信息分析引擎负责通过Agent采集服务器重要运行信息,网络流异常分析引擎通过NTA分析得到网络异常告警日志和告警索引,关联分析引擎的内关联模块去除服务器冗余信息并得到服务器信息索引,关联分析引擎的外部特征关联模块通过不同的规则模块定义,根据服务器信息索引和告警索引,基于特征(时间、目的IP、目的端口、源IP、源端口)匹配对告警事件进行关联,从而达到异常溯源。
如图1所示,根据本发明实施例提供的一种服务器异常溯源方法,所述方法包括:
采集服务器信息,并对采集信息进行解码分析以及范式化处理,得到服务器数据保存到ES或者Splunk中;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,将异常告警日志保存到ES或者Splunk中,并得到异常告警日志索引;
对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,溯源到具体服务器并定位到网络异常发生位置。
将异常告警日志索引和服务器数据索引进行关联分析,实现了流量异常告警的溯源定位,提高了网络安全员的异常事件处理能力,在传统的异常告警日志分析基础上,提高了服务器异常定位能力,并不依赖于服务器自身的网络拓扑结构,自主实现对服务器异常定位溯源能力。
采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括如下步骤:
通过Agent采集服务器信息;
对Agent采集的数据进行解析,包括解密、解压、范式化处理等;
对Agent采集的数据进行规则匹配处理;
对Agent采集的数据进行按规则解析,得到需要的数据字段,然后进行范式化处理。
通过Agent采集的服务器信息包括:
API获取:操作系统信息、网卡信息、设备硬件信息、安装程序、补丁、开放端口、注册表、进程信息
事件日志:网络连接、用户行为(用户登录)、文件
命令行:进程信息、端口(远程IP、进程)、补丁...
插件:Osquery、rootcheck、Sysmon、文件完整性、漏洞扫描、杀毒引擎、自研扫描工具、用户访问(用户登录)、文件。
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括如下步骤:
获取服务器网络流量的镜像;
对采集的镜像流量进行分片重组、协议识别、协议分析、异常检测处理;
异常告警,生成告警日志,包含对攻击方、受攻击方、事件发生时间、攻击动作、危害级别等信息的描述,为关联分析引擎提供事件数据支持。
如图1所示,根据本发明实施例提供的一种服务器异常溯源系统,包括:
服务器信息分析引擎:通过Agent采集服务器信息,并对采集信息进行解码分析以及范式化处理,得到服务器数据保存到ES或者Splunk中;
网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,将异常告警日志保存到ES或者Splunk中,并得到异常告警日志索引;
关联分析引擎:对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,溯源到具体服务器并定位到网络异常发生位置。
上述服务器信息分析引擎内置有解码模块、规则匹配模块、解析模块,将Agent采集的不同信息进行解码分析,然后进行范式化处理。
上述网络流异常分析引擎内置有流量解析处理模块、告警分析模块、告警审计模块、告警规则管理模块、流量存储模块,对采集的镜像流量进行处理并得到异常告警日志,对采集的镜像流量进行处理并得到异常告警日志。
上述关联分析引擎内置有内关联模块、外部特征关联模块、特征管理模块,所述内关联模块用于对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,所述外部特征关联模块用于将异常告警日志索引和服务器数据索引进行关联分析,溯源到具体服务器并定位到网络异常发生位置,所述特征管理模块用于管理内关联模块、外部特征关联模块。
服务器信息分析引擎运行过程为:
Agent将定时采集到的各种服务器数据依次发送到服务器信息分析引擎,Agent采集的数据依次经过解析模块、规则匹配模块、范式化处理,依据不同日志(事件)类别,按照处理的最细粒度进一步分为信息类型匹配、信息数据字段匹配、字段合并去重、与服务器资产数据相关联,进行关联信息处理及关联字段的范式化处理,形成最终范式化结果。其中:
1)信息采集,通过Agent采集服务器信息,包括:
API获取:操作系统信息、网卡信息、设备硬件信息、安装程序、补丁、开放端口、注册表、进程信息;
事件日志:网络连接、用户行为(用户登录)、文件
命令行:进程信息、端口(远程IP、进程)、补丁...
插件:Osquery、rootcheck、Sysmon、文件完整性、漏洞扫描、杀毒引擎、自研扫描工具、用户访问(用户登录)、文件
2)解析引擎,对Agent采集的数据进行解析,包括解密、解压、范式化处理等;
3)规则引擎加载,加载规则引擎,对Agent采集的数据进行规则匹配处理;
4)Agent数据分析,具体过程根据规则对Agent数据进行按规则解析,得到需要的数据字段,然后进行范式化处理,并保存到ES或者Splunk等非关联数据库中。
网络流异常分析引擎,服务器镜像流量通过关联预设告警规则识别和提取规则,将网络流量告警数据进行范式化处理,并保存到ES或者Splunk等非关联数据库中。主要步骤为:
1)镜像流量采集,获取服务器网络流量的镜像;
2)镜像流量处理,对镜像流量进行分片重组、协议识别、协议分析、异常检测;
3)异常告警,生成告警日志,包含对攻击方、受攻击方、事件发生时间、攻击动作、危害级别等信息的描述,为关联分析模型引擎提供事件数据支持。
4)生成异常告警索引,将异常告警日志保存到ES或者Splunk中,并得到异常告警索引。
关联分析引擎,通过内关联模块降低采集的服务器信息冗余,生成服务器信息索引。通过外部特征关联模块将网络流量异常信息与服务器信息进行关联,最后溯源到网络异常位置。
1)引擎启动,加载关联分析引擎中内关联模块、外部特征关联模块;
2)内关联模块,针对服务器Agent收集的不同时间的数据信息,依据关联规则,对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引;
3)外部特征关联处理,将网络流异常分析引擎得到的异常告警根据关联特征,通过特征匹配规则,通过生成匹配查询语句,分别查询冗余后的服务器数据索引和异常告警索引,最后得到关联数据;
对3)关联后的查询数据进行范式化化处理,最后生成溯源结果。
根据本发明实施例提供的一种服务器异常溯源系统,包括处理器和存储器,所述存储器上存储有程序,所述程序能够被所述处理器加载执行如前述方法的步骤。
根据本发明实施例提供的一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法的步骤。
本发明在NTA流量分析基础上,通过Agent采集服务器信息,充分利用Agent动态采集服务器信息的能力,设计了自主服务器异常溯源分析方法,将网络流量告警日志与服务器运行信息相结合,将异常告警索引和服务器运行信息去冗余信息索引进行关联分析,实现了流量异常告警的溯源定位,提高了网络安全员的异常事件处理能力。利用该方法配合自动化分析引擎,能够帮助网络安全元迅速分析并定位服务器安全问题。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种服务器异常溯源方法,其特征在于,所述方法包括:
采集服务器信息,并对采集的服务器信息进行解码分析以及范式化处理,得到服务器数据;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
2.根据权利要求1所述的服务器异常溯源方法,其特征在于,采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
3.根据权利要求2所述的服务器异常溯源方法,其特征在于,通过Agent采集的服务器信息包括下述中至少一种:服务器资产数据;API调用;系统日志;事件日志;命令行;插件。
4.根据权利要求1所述的服务器异常溯源方法,其特征在于,采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
5.根据权利要求4所述的服务器异常溯源方法,其特征在于,所述异常告警日志包括下述中的至少一种:对攻击方;受攻击方;事件发生时间;攻击动作;危害级别信息的描述。
6.一种服务器异常溯源系统,其特征在于,包括:
服务器信息分析引擎:采集服务器信息,并对采集的服务器信息进行解析以及范式化处理,得到服务器数据;
网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
关联分析引擎:对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
7.根据权利要求6所述的服务器异常溯源系统,其特征在于,所述服务器信息分析引擎具体用于:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
8.根据权利要求6所述的服务器异常溯源系统,其特征在于,所述网络流异常分析引擎具体用于:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
9.一种服务器异常溯源系统,其特征在于,包括处理器和存储器,所述存储器上存储有程序,所述程序能够被所述处理器加载执行如权利要求1至5任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~5任一项所述方法的步骤。
CN202010610656.0A 2020-06-30 2020-06-30 一种服务器异常溯源方法、系统及存储介质 Active CN111930882B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010610656.0A CN111930882B (zh) 2020-06-30 2020-06-30 一种服务器异常溯源方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010610656.0A CN111930882B (zh) 2020-06-30 2020-06-30 一种服务器异常溯源方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN111930882A true CN111930882A (zh) 2020-11-13
CN111930882B CN111930882B (zh) 2024-04-02

Family

ID=73317665

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010610656.0A Active CN111930882B (zh) 2020-06-30 2020-06-30 一种服务器异常溯源方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN111930882B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112783718A (zh) * 2020-12-31 2021-05-11 航天信息股份有限公司 一种用于系统异常的管理系统及方法
CN113179182A (zh) * 2021-04-27 2021-07-27 中国联合网络通信集团有限公司 网络监管方法、装置、设备及存储介质
CN113364624A (zh) * 2021-06-04 2021-09-07 上海天旦网络科技发展有限公司 基于边缘计算的混合云流量采集方法和系统
CN113905042A (zh) * 2021-10-18 2022-01-07 杭州安恒信息技术股份有限公司 一种ftp服务器的定位方法、装置、设备及存储介质
CN114139943A (zh) * 2021-11-30 2022-03-04 广东电网有限责任公司 电力物联网通信安全防护系统、方法及可读存储介质
CN114285727A (zh) * 2022-01-04 2022-04-05 中国建设银行股份有限公司 网络传输异常的处理方法、装置、电子设备及存储介质
CN114363160A (zh) * 2021-12-31 2022-04-15 锐捷网络股份有限公司 基于广域网的网络管理方法及装置
CN114629970A (zh) * 2022-01-14 2022-06-14 华信咨询设计研究院有限公司 一种tcp/ip流量还原方法
CN115174144A (zh) * 2022-05-30 2022-10-11 江苏安几科技有限公司 零信任网关自安全检测方法及装置
CN115442279A (zh) * 2022-09-02 2022-12-06 杭州安恒信息技术股份有限公司 一种告警源定位方法、装置、设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188531A (zh) * 2007-12-27 2008-05-28 沈阳东软软件股份有限公司 一种监测网络流量异常的方法及系统
WO2017122166A1 (en) * 2016-01-15 2017-07-20 Kentik Technologies, Inc. Network monitoring, detection, and analysis system
CN107769958A (zh) * 2017-09-01 2018-03-06 杭州安恒信息技术有限公司 基于日志的服务器网络安全事件自动化分析方法及系统
CN108259462A (zh) * 2017-11-29 2018-07-06 国网吉林省电力有限公司信息通信公司 基于海量网络监测数据的大数据安全分析系统
CN109800140A (zh) * 2018-12-27 2019-05-24 北京奇安信科技有限公司 业务告警事件起因分析的方法、装置、设备及介质
CN110392039A (zh) * 2019-06-10 2019-10-29 浙江高速信息工程技术有限公司 基于日志和流量采集的网络系统事件溯源方法及系统
CN110659273A (zh) * 2019-09-20 2020-01-07 南方电网科学研究院有限责任公司 分布式大数据采集平台的数据异常监控及修复方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188531A (zh) * 2007-12-27 2008-05-28 沈阳东软软件股份有限公司 一种监测网络流量异常的方法及系统
WO2017122166A1 (en) * 2016-01-15 2017-07-20 Kentik Technologies, Inc. Network monitoring, detection, and analysis system
CN107769958A (zh) * 2017-09-01 2018-03-06 杭州安恒信息技术有限公司 基于日志的服务器网络安全事件自动化分析方法及系统
CN108259462A (zh) * 2017-11-29 2018-07-06 国网吉林省电力有限公司信息通信公司 基于海量网络监测数据的大数据安全分析系统
CN109800140A (zh) * 2018-12-27 2019-05-24 北京奇安信科技有限公司 业务告警事件起因分析的方法、装置、设备及介质
CN110392039A (zh) * 2019-06-10 2019-10-29 浙江高速信息工程技术有限公司 基于日志和流量采集的网络系统事件溯源方法及系统
CN110659273A (zh) * 2019-09-20 2020-01-07 南方电网科学研究院有限责任公司 分布式大数据采集平台的数据异常监控及修复方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112783718A (zh) * 2020-12-31 2021-05-11 航天信息股份有限公司 一种用于系统异常的管理系统及方法
CN113179182A (zh) * 2021-04-27 2021-07-27 中国联合网络通信集团有限公司 网络监管方法、装置、设备及存储介质
CN113179182B (zh) * 2021-04-27 2022-11-22 中国联合网络通信集团有限公司 网络监管方法、装置、设备及存储介质
CN113364624A (zh) * 2021-06-04 2021-09-07 上海天旦网络科技发展有限公司 基于边缘计算的混合云流量采集方法和系统
CN113905042A (zh) * 2021-10-18 2022-01-07 杭州安恒信息技术股份有限公司 一种ftp服务器的定位方法、装置、设备及存储介质
CN114139943A (zh) * 2021-11-30 2022-03-04 广东电网有限责任公司 电力物联网通信安全防护系统、方法及可读存储介质
CN114363160A (zh) * 2021-12-31 2022-04-15 锐捷网络股份有限公司 基于广域网的网络管理方法及装置
CN114285727A (zh) * 2022-01-04 2022-04-05 中国建设银行股份有限公司 网络传输异常的处理方法、装置、电子设备及存储介质
CN114629970A (zh) * 2022-01-14 2022-06-14 华信咨询设计研究院有限公司 一种tcp/ip流量还原方法
CN115174144A (zh) * 2022-05-30 2022-10-11 江苏安几科技有限公司 零信任网关自安全检测方法及装置
CN115442279A (zh) * 2022-09-02 2022-12-06 杭州安恒信息技术股份有限公司 一种告警源定位方法、装置、设备及存储介质
CN115442279B (zh) * 2022-09-02 2024-04-26 杭州安恒信息技术股份有限公司 一种告警源定位方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111930882B (zh) 2024-04-02

Similar Documents

Publication Publication Date Title
CN111930882B (zh) 一种服务器异常溯源方法、系统及存储介质
EP3079337B1 (en) Event correlation across heterogeneous operations
CN108933791B (zh) 一种基于电力信息网安全防护策略智能优化方法及装置
US9300682B2 (en) Composite analysis of executable content across enterprise network
EP2893447B1 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
KR20190090037A (ko) 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
Stirland et al. Developing cyber forensics for SCADA industrial control systems
IL262866A (en) Automated investigation of computer systems through behavioral intelligence
KR101676366B1 (ko) 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
US20120311562A1 (en) Extendable event processing
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN111885210A (zh) 一种基于最终用户环境的云计算网络监控系统
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN111935064A (zh) 一种工控网络威胁自动隔离方法及系统
GB2592132A (en) Enterprise network threat detection
CN112039858A (zh) 一种区块链服务安全加固系统与方法
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
CN110363381B (zh) 一种信息处理方法和装置
CN111786986A (zh) 一种数控系统网络入侵防范系统及方法
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
CN115865525B (zh) 日志数据处理方法、装置、电子设备和存储介质
KR101973728B1 (ko) 통합 보안 이상징후 모니터링 시스템
CN113297583B (zh) 漏洞风险分析方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant