CN111930882B - 一种服务器异常溯源方法、系统及存储介质 - Google Patents
一种服务器异常溯源方法、系统及存储介质 Download PDFInfo
- Publication number
- CN111930882B CN111930882B CN202010610656.0A CN202010610656A CN111930882B CN 111930882 B CN111930882 B CN 111930882B CN 202010610656 A CN202010610656 A CN 202010610656A CN 111930882 B CN111930882 B CN 111930882B
- Authority
- CN
- China
- Prior art keywords
- server
- information
- index
- mirror image
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 230000002159 abnormal effect Effects 0.000 claims abstract description 57
- 238000004458 analytical method Methods 0.000 claims abstract description 44
- 230000005856 abnormality Effects 0.000 claims abstract description 23
- 238000012098 association analyses Methods 0.000 claims abstract description 19
- 230000008030 elimination Effects 0.000 claims abstract description 18
- 238000003379 elimination reaction Methods 0.000 claims abstract description 18
- 238000010219 correlation analysis Methods 0.000 claims abstract description 6
- 239000003795 chemical substances by application Substances 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 6
- 239000012634 fragment Substances 0.000 claims description 6
- 238000005215 recombination Methods 0.000 claims description 6
- 230000006798 recombination Effects 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/3331—Query processing
- G06F16/334—Query execution
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/31—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种服务器异常溯源方法、系统及存储介质,服务器异常溯源系统包括:服务器信息分析引擎:采集服务器信息,并对采集的服务器信息进行解析以及范式化处理,得到服务器数据;网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;关联分析引擎:对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。提高了服务器异常定位能力,并不依赖于服务器自身的网络拓扑结构,自主实现对服务器异常定位溯源能力。
Description
技术领域
本发明涉及一种服务器异常溯源方法、系统及存储介质,属于网络安全技术领域。
背景技术
随着企业网络安全意识的日益增强,企业采购大量不同厂商的安全设备如WAF、IPS、IDS等,这些安全设备为企业的网络安全员在安全分析过程提供了重要依据。但是针对这些设备对产生的流量异常告警,并没有溯源到具体服务器或者终端。同时由于企业内部的日常管理需要,其内部的服务器网络拓扑无时无刻不在发生变化,所以针对网络告警如何溯源到具体服务器则是个重要课题。传统的网络异常告警溯源是流量的溯源,由于其结构特点,无法满足对具体服务器的溯源定位。
综上所述,对于不同网络拓扑环境、不同厂商中的网络异常告警数据,使用传统的异常溯源处理方法并不能定位服务器位置,这样对网络安全员在处置网络安全事件时,会大大影响响应处置时间,容易导致安全事件影响扩大,造成更多不必要的安全风险。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种服务器异常溯源方法、系统及存储介质,解决了传统的网络安全分析过程中,无法及时定位异常发生位置的情况。
为达到上述目的,本发明是采用下述技术方案实现的:
一种服务器异常溯源方法,所述方法包括:
采集服务器信息,并对采集的服务器信息进行解码分析以及范式化处理,得到服务器数据;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
结合第一方面,进一步的,采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
结合第一方面,进一步的,通过Agent采集的服务器信息包括下述中至少一种:服务器资产数据;API调用;系统日志;事件日志;命令行;插件。
结合第一方面,进一步的,采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
结合第一方面,进一步的,所述异常告警日志包括下述中的至少一种:对攻击方;受攻击方;事件发生时间;攻击动作;危害级别信息的描述。
第二方面,本发明提供了一种服务器异常溯源系统,包括:
服务器信息分析引擎:采集服务器信息,并对采集的服务器信息进行解析以及范式化处理,得到服务器数据;
网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
关联分析引擎:对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
结合第二方面,进一步的,所述服务器信息分析引擎具体用于:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
结合第二方面,进一步的,所述网络流异常分析引擎具体用于:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
第三方面,本发明提供了一种服务器异常溯源系统,包括处理器和存储器,所述存储器上存储有程序,所述程序能够被所述处理器加载执行如前述方法的步骤。
第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法的步骤。
与现有技术相比,本发明实施例所提供的一种服务器异常溯源方法、系统及存储介质所达到的有益效果包括:将异常告警日志索引和服务器数据索引进行关联分析,实现了流量异常告警的溯源定位,提高了网络安全员的异常事件处理能力,在传统的异常告警日志分析基础上,提高了服务器异常定位能力,并不依赖于服务器自身的网络拓扑结构,自主实现对服务器异常定位溯源能力。
附图说明
图1是根据本发明实施例提供的一种服务器异常溯源方法、系统及存储介质的主引擎、从模块协作架构图。
具体实施方式
本发明旨在克服传统的网络安全分析过程中,无法及时定位异常发生位置的情况,实现了一种服务器异常溯源方法、系统及存储介质。该框架服务器包括信息分析引擎、网络流异常分析引擎、关联分析引擎三大类引擎,服务器信息分析引擎负责通过Agent采集服务器重要运行信息,网络流异常分析引擎通过NTA分析得到网络异常告警日志和告警索引,关联分析引擎的内关联模块去除服务器冗余信息并得到服务器信息索引,关联分析引擎的外部特征关联模块通过不同的规则模块定义,根据服务器信息索引和告警索引,基于特征(时间、目的IP、目的端口、源IP、源端口)匹配对告警事件进行关联,从而达到异常溯源。
如图1所示,根据本发明实施例提供的一种服务器异常溯源方法,所述方法包括:
采集服务器信息,并对采集信息进行解码分析以及范式化处理,得到服务器数据保存到ES或者Splunk中;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,将异常告警日志保存到ES或者Splunk中,并得到异常告警日志索引;
对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,溯源到具体服务器并定位到网络异常发生位置。
将异常告警日志索引和服务器数据索引进行关联分析,实现了流量异常告警的溯源定位,提高了网络安全员的异常事件处理能力,在传统的异常告警日志分析基础上,提高了服务器异常定位能力,并不依赖于服务器自身的网络拓扑结构,自主实现对服务器异常定位溯源能力。
采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括如下步骤:
通过Agent采集服务器信息;
对Agent采集的数据进行解析,包括解密、解压、范式化处理等;
对Agent采集的数据进行规则匹配处理;
对Agent采集的数据进行按规则解析,得到需要的数据字段,然后进行范式化处理。
通过Agent采集的服务器信息包括:
API获取:操作系统信息、网卡信息、设备硬件信息、安装程序、补丁、开放端口、注册表、进程信息
事件日志:网络连接、用户行为(用户登录)、文件
命令行:进程信息、端口(远程IP、进程)、补丁...
插件:Osquery、rootcheck、Sysmon、文件完整性、漏洞扫描、杀毒引擎、自研扫描工具、用户访问(用户登录)、文件。
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括如下步骤:
获取服务器网络流量的镜像;
对采集的镜像流量进行分片重组、协议识别、协议分析、异常检测处理;
异常告警,生成告警日志,包含对攻击方、受攻击方、事件发生时间、攻击动作、危害级别等信息的描述,为关联分析引擎提供事件数据支持。
如图1所示,根据本发明实施例提供的一种服务器异常溯源系统,包括:
服务器信息分析引擎:通过Agent采集服务器信息,并对采集信息进行解码分析以及范式化处理,得到服务器数据保存到ES或者Splunk中;
网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,将异常告警日志保存到ES或者Splunk中,并得到异常告警日志索引;
关联分析引擎:对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,溯源到具体服务器并定位到网络异常发生位置。
上述服务器信息分析引擎内置有解码模块、规则匹配模块、解析模块,将Agent采集的不同信息进行解码分析,然后进行范式化处理。
上述网络流异常分析引擎内置有流量解析处理模块、告警分析模块、告警审计模块、告警规则管理模块、流量存储模块,对采集的镜像流量进行处理并得到异常告警日志,对采集的镜像流量进行处理并得到异常告警日志。
上述关联分析引擎内置有内关联模块、外部特征关联模块、特征管理模块,所述内关联模块用于对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,所述外部特征关联模块用于将异常告警日志索引和服务器数据索引进行关联分析,溯源到具体服务器并定位到网络异常发生位置,所述特征管理模块用于管理内关联模块、外部特征关联模块。
服务器信息分析引擎运行过程为:
Agent将定时采集到的各种服务器数据依次发送到服务器信息分析引擎,Agent采集的数据依次经过解析模块、规则匹配模块、范式化处理,依据不同日志(事件)类别,按照处理的最细粒度进一步分为信息类型匹配、信息数据字段匹配、字段合并去重、与服务器资产数据相关联,进行关联信息处理及关联字段的范式化处理,形成最终范式化结果。其中:
1)信息采集,通过Agent采集服务器信息,包括:
API获取:操作系统信息、网卡信息、设备硬件信息、安装程序、补丁、开放端口、注册表、进程信息;
事件日志:网络连接、用户行为(用户登录)、文件
命令行:进程信息、端口(远程IP、进程)、补丁...
插件:Osquery、rootcheck、Sysmon、文件完整性、漏洞扫描、杀毒引擎、自研扫描工具、用户访问(用户登录)、文件
2)解析引擎,对Agent采集的数据进行解析,包括解密、解压、范式化处理等;
3)规则引擎加载,加载规则引擎,对Agent采集的数据进行规则匹配处理;
4)Agent数据分析,具体过程根据规则对Agent数据进行按规则解析,得到需要的数据字段,然后进行范式化处理,并保存到ES或者Splunk等非关联数据库中。
网络流异常分析引擎,服务器镜像流量通过关联预设告警规则识别和提取规则,将网络流量告警数据进行范式化处理,并保存到ES或者Splunk等非关联数据库中。主要步骤为:
1)镜像流量采集,获取服务器网络流量的镜像;
2)镜像流量处理,对镜像流量进行分片重组、协议识别、协议分析、异常检测;
3)异常告警,生成告警日志,包含对攻击方、受攻击方、事件发生时间、攻击动作、危害级别等信息的描述,为关联分析模型引擎提供事件数据支持。
4)生成异常告警索引,将异常告警日志保存到ES或者Splunk中,并得到异常告警索引。
关联分析引擎,通过内关联模块降低采集的服务器信息冗余,生成服务器信息索引。通过外部特征关联模块将网络流量异常信息与服务器信息进行关联,最后溯源到网络异常位置。
1)引擎启动,加载关联分析引擎中内关联模块、外部特征关联模块;
2)内关联模块,针对服务器Agent收集的不同时间的数据信息,依据关联规则,对服务器数据进行去冗余处理,得到去冗余后的服务器数据索引;
3)外部特征关联处理,将网络流异常分析引擎得到的异常告警根据关联特征,通过特征匹配规则,通过生成匹配查询语句,分别查询冗余后的服务器数据索引和异常告警索引,最后得到关联数据;
对3)关联后的查询数据进行范式化化处理,最后生成溯源结果。
根据本发明实施例提供的一种服务器异常溯源系统,包括处理器和存储器,所述存储器上存储有程序,所述程序能够被所述处理器加载执行如前述方法的步骤。
根据本发明实施例提供的一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法的步骤。
本发明在NTA流量分析基础上,通过Agent采集服务器信息,充分利用Agent动态采集服务器信息的能力,设计了自主服务器异常溯源分析方法,将网络流量告警日志与服务器运行信息相结合,将异常告警索引和服务器运行信息去冗余信息索引进行关联分析,实现了流量异常告警的溯源定位,提高了网络安全员的异常事件处理能力。利用该方法配合自动化分析引擎,能够帮助网络安全元迅速分析并定位服务器安全问题。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (6)
1.一种服务器异常溯源方法,其特征在于,所述方法包括:
采集服务器信息,并对采集的服务器信息进行解码分析以及范式化处理,得到服务器数据;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器;所述将异常告警日志索引和服务器数据索引进行关联分析,具体为:通过不同的规则模块定义,根据服务器数据索引和异常告警日志索引,基于特征匹配对告警事件进行关联,所述特征包括时间、目的IP、目的端口、源IP、源端口;
采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
2.根据权利要求1所述的服务器异常溯源方法,其特征在于,通过Agent采集的服务器信息包括下述中至少一种:服务器资产数据;API调用;系统日志;事件日志;命令行;插件。
3.根据权利要求1所述的服务器异常溯源方法,其特征在于,所述异常告警日志包括下述中的至少一种:对攻击方;受攻击方;事件发生时间;攻击动作;危害级别信息的描述。
4.一种服务器异常溯源系统,其特征在于,包括:
服务器信息分析引擎:采集服务器信息,并对采集的服务器信息进行解析以及范式化处理,得到服务器数据;
网络流异常分析引擎:采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
关联分析引擎:对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器;所述将异常告警日志索引和服务器数据索引进行关联分析,具体为:通过不同的规则模块定义,根据服务器数据索引和异常告警日志索引,基于特征匹配对告警事件进行关联,所述特征包括时间、目的IP、目的端口、源IP、源端口;
所述服务器信息分析引擎具体用于:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理;
所述网络流异常分析引擎具体用于:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
5.一种服务器异常溯源系统,其特征在于,包括处理器和存储器,所述存储器上存储有程序,所述程序能够被所述处理器加载执行如权利要求1至3任一项所述方法的步骤。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~3任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010610656.0A CN111930882B (zh) | 2020-06-30 | 2020-06-30 | 一种服务器异常溯源方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010610656.0A CN111930882B (zh) | 2020-06-30 | 2020-06-30 | 一种服务器异常溯源方法、系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111930882A CN111930882A (zh) | 2020-11-13 |
CN111930882B true CN111930882B (zh) | 2024-04-02 |
Family
ID=73317665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010610656.0A Active CN111930882B (zh) | 2020-06-30 | 2020-06-30 | 一种服务器异常溯源方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111930882B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112783718A (zh) * | 2020-12-31 | 2021-05-11 | 航天信息股份有限公司 | 一种用于系统异常的管理系统及方法 |
CN113179182B (zh) * | 2021-04-27 | 2022-11-22 | 中国联合网络通信集团有限公司 | 网络监管方法、装置、设备及存储介质 |
CN113364624B (zh) * | 2021-06-04 | 2022-07-15 | 上海天旦网络科技发展有限公司 | 基于边缘计算的混合云流量采集方法和系统 |
CN113905042A (zh) * | 2021-10-18 | 2022-01-07 | 杭州安恒信息技术股份有限公司 | 一种ftp服务器的定位方法、装置、设备及存储介质 |
CN114139943A (zh) * | 2021-11-30 | 2022-03-04 | 广东电网有限责任公司 | 电力物联网通信安全防护系统、方法及可读存储介质 |
CN114363160A (zh) * | 2021-12-31 | 2022-04-15 | 锐捷网络股份有限公司 | 基于广域网的网络管理方法及装置 |
CN114285727A (zh) * | 2022-01-04 | 2022-04-05 | 中国建设银行股份有限公司 | 网络传输异常的处理方法、装置、电子设备及存储介质 |
CN114629970B (zh) * | 2022-01-14 | 2023-07-21 | 华信咨询设计研究院有限公司 | 一种tcp/ip流量还原方法 |
CN115174144A (zh) * | 2022-05-30 | 2022-10-11 | 江苏安几科技有限公司 | 零信任网关自安全检测方法及装置 |
CN115442279B (zh) * | 2022-09-02 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101188531A (zh) * | 2007-12-27 | 2008-05-28 | 沈阳东软软件股份有限公司 | 一种监测网络流量异常的方法及系统 |
WO2017122166A1 (en) * | 2016-01-15 | 2017-07-20 | Kentik Technologies, Inc. | Network monitoring, detection, and analysis system |
CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
CN110659273A (zh) * | 2019-09-20 | 2020-01-07 | 南方电网科学研究院有限责任公司 | 分布式大数据采集平台的数据异常监控及修复方法 |
-
2020
- 2020-06-30 CN CN202010610656.0A patent/CN111930882B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101188531A (zh) * | 2007-12-27 | 2008-05-28 | 沈阳东软软件股份有限公司 | 一种监测网络流量异常的方法及系统 |
WO2017122166A1 (en) * | 2016-01-15 | 2017-07-20 | Kentik Technologies, Inc. | Network monitoring, detection, and analysis system |
CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
CN110659273A (zh) * | 2019-09-20 | 2020-01-07 | 南方电网科学研究院有限责任公司 | 分布式大数据采集平台的数据异常监控及修复方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111930882A (zh) | 2020-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111930882B (zh) | 一种服务器异常溯源方法、系统及存储介质 | |
US10812499B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
US10148685B2 (en) | Event correlation across heterogeneous operations | |
CN107958322B (zh) | 一种城市网络空间综合治理系统 | |
Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
US9742788B2 (en) | Event correlation across heterogeneous operations | |
CN108111487B (zh) | 一种安全监控方法及系统 | |
US20180234445A1 (en) | Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence | |
Taveras | SCADA live forensics: real time data acquisition process to detect, prevent or evaluate critical situations | |
CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
CN104038466A (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
CN114143064B (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
US20200053183A1 (en) | Comparison of behavioral populations for security and compliance monitoring | |
EP2936772A1 (en) | Network security management | |
CN111935064A (zh) | 一种工控网络威胁自动隔离方法及系统 | |
GB2592132A (en) | Enterprise network threat detection | |
CN117527412A (zh) | 数据安全监测方法及装置 | |
CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
CN115361182B (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
US20190363925A1 (en) | Cybersecurity Alert Management System | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN118540142A (zh) | 一种网络安全联合分析自动研判方法 | |
CN118350007A (zh) | 一种数据梳理溯源方法、装置、设备及可读存储介质 | |
CN118523957A (zh) | 网络安全告警事件处理方法、装置、计算机设备 | |
CN118784336A (zh) | 日志数据获取方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |