CN111953636B - 内网威胁检测方法、装置、计算机可读存储介质和计算机设备 - Google Patents
内网威胁检测方法、装置、计算机可读存储介质和计算机设备 Download PDFInfo
- Publication number
- CN111953636B CN111953636B CN201910404378.0A CN201910404378A CN111953636B CN 111953636 B CN111953636 B CN 111953636B CN 201910404378 A CN201910404378 A CN 201910404378A CN 111953636 B CN111953636 B CN 111953636B
- Authority
- CN
- China
- Prior art keywords
- session
- user
- intranet
- cache
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种内网威胁检测方法、装置、计算机可读存储介质和计算机设备。涉及网络安全领域,解决了人工对内网安全进行监测导致的漏检和效率低下的问题。该方法包括:为用户内网访问会话创建会话缓存;根据实时产生的内网访问日志,更新所述会话缓存;在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。本发明提供的技术方案适用于内网环境安全管理,实现了对内网威胁的自动检测。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种内网威胁检测方法、装置、计算机可读存储介质和计算机设备。
背景技术
随着移动互联网的普及和大数据时代的发展,互联网每天产生大量的用户数据,对数据的安全保护是必不可少的。企业的数据大都存储在自己的机房,通过企业的内网访问,因此内网安全也尤为重要。公司员工的VPN账号被泄漏、被不法分子暴力破解等问题,都是内网中较常出现的安全隐患。
内网安全保障一般通过安全工程师人工的对日志进行分析来进行,消耗较多人力成本。且日志中的数据都是杂乱无序的,人工筛查效率不高,导致不能及时发现系统内网攻击,也无法确定攻击发生的时间、发起攻击用户等详细信息,无法稳定的保证内网的安全。
发明内容
本发明旨在解决上面描述的问题。
根据本发明的第一方面,提供了一种内网威胁检测方法,包括:
为用户内网访问会话创建会话缓存;
根据实时产生的内网访问日志,更新所述会话缓存;
在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。
优选的,根据实时产生的内网访问日志,更新所述会话缓存的步骤包括:
将实时产生的内网访问日志解析成标准结构化数据;
从所述标准结构化数据中提取用户会话信息,所述用户会话信息中包含用户访问会话的状态码;
将提取得到的所述用户会话信息加入所述会话缓存。
优选的,在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理的步骤包括:
根据所述状态码,统计各类状态出现次数;
在一类或多类状态的出现次数符合预置的异常规则时,判定发生异常;
根据具体异常,进行相应的异常处理。
优选的,所述状态码至少包含如下类型的状态中的任一或任意多类:
认证成功Authentication succeeded,认证失败Authentication failed,开始建立请求,会话状态更新,终止请求。
优选的,在为用户内网访问会话创建会话缓存时,通过用户名与呼叫站点标志唯一标识所述会话缓存。
优选的,在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理的步骤之后,还包括:
在所述用户内网访问会话结束后,根据所述会话缓存,生成用户会话记录。
根据本发明的又一方面,提供了一种内网威胁检测装置,包括:
缓存创建模块,用于为用户内网访问会话创建会话缓存;
信息缓存模块,用于根据实时产生的内网访问日志,更新所述会话缓存;
威胁发现模块,用于在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。
优选的,所述信息缓存模块包括:
结构化单元,用于将实时产生的内网访问日志解析成标准结构化数据;
信息提取单元,用于从所述标准结构化数据中提取用户会话信息,所述用户会话信息中包含用户访问会话的状态码;
缓存单元,用于将提取得到的所述用户会话信息加入所述会话缓存。
根据本发明的又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现本发明提供的内网威胁检测方法的步骤。
根据本发明的又一方面,提供了一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,所述处理器执行所述计算机程序时实现本发明提供的内网威胁检测方法的步骤。
本发明提供了一种内网威胁检测方法、装置、计算机可读存储介质和计算机设备。为用户内网访问会话创建会话缓存,并根据实时产生的内网访问日志,更新所述会话缓存,在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。解决了人工对内网安全进行监测导致的漏检和效率低下的问题,实现了对内网威胁的自动检测。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1示例性地示出了本发明的一实施例提供的一种内网威胁检测方法的流程;
图2示例性地示出了图1中步骤103的具体流程;
图3示例性地示出了图1中步骤104的具体流程;
图4示例性地示出了一种用户会话记录的展示界面;
图5示例性地示出了一种遭受暴力破解成功的用户账号对应的还原后的用户会话信息展示界面;
图6示例性地示出了一种用户访问的原始请求展示界面;
图7示例性地示出了一种多个用户的用户会话信息展示界面;
图8示例性地示出了一种内网威胁检测装置的结构;
图9示例性地示出了图8中信息缓存模块802的结构;
图10示例性地示出了本发明的一实施例提供的一种计算机设备的结构。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
内网安全保障一般通过安全工程师人工的对日志进行分析来进行,消耗较多人力成本。且日志中的数据都是杂乱无序的,人工筛查效率不高,导致不能及时发现系统内网攻击,也无法确定攻击发生的时间、发起攻击用户等详细信息,无法稳定的保证内网的安全。
为了解决上述问题,本发明的实施例提供了一种内网威胁检测方法、装置、计算机可读存储介质和计算机设备。
本发明的一实施例提供了一种内网威胁检测方法,将实时产生的内网访问日志通过流的方式推入系统,将日志解析成标准结构化数据(如JSON的结构化数据),根据日志中会话的状态码分别对信息进行统计。当用户完成会话后,将信息写入存储中,根据生成的数据对其进行统计和处理。
使用本发明实施例提供的方法完成内网安全保障的流程如图1所示,包括:
步骤101、实时产生的内网访问日志通过流的方式推入系统。
本步骤中,通过流的方式实现日志接入。
例如,将Cisco IOS中RADIUS的日志接入系统中。以下为一种日志信息的举例:
2019-03-18 11:24:44.802 +08:00 0007042601 3000 NOTICE Radius-Accounting:RADIUS Accounting start request,ConfigVersionId=73,Device IPAddress=10.0.21.66,RequestLatency=3,NetworkDeviceName=WANDA-SEC-VPN-GATEWAYS,User-Name=yuwenbin,NAS-IP-Address=10.0.21.66,NAS-Port=266731520,Service-Type=Framed,Framed-Protocol=PPP,Class=[],class="OU"=SSL_GP_1,
class="CACS":0ac7754fq6Zwa/9nbQxeoE8rSM3W809sijhJt6WSJy3JAot6xVI:ISE-1/340094700/476612,Called-Station-ID=36.110.72.51,Calling-Station-ID=1.56.200.141,Acct-Status-Type=Start,Acct-Delay-Time=0,Acct-Session-Id=F442FD40,Acct-Authentic=RADIUS,NAS-Port-Type=Virtual,Tunnel-Client-Endpoint=(tag=0)1.56.200.141,CVPN3000/ASA/PIX7x-Tunnel-Group-Name=DefaultWEBVPNGroup,CVPN3000/ASA/PIX7x-Client-Type=2,CVPN3000/ASA/PIX7x-Session-Type=1,CVPN3000/ASA/PIX7x-Session-Subtype=3,AcsSessionID=ISE-1/340094700/476614,SelectedAccessService=Default Network Access,Step=11004,Step=11017,Step=15049,#015
步骤102、为用户内网访问会话创建会话缓存。
本步骤中,当用户首次发起访问请求时,为用户内网访问会话创建会话缓存,后续可将该用户内网访问会话保留过程中持续生成的新的内网访问日志中的用户会话信息更新至该会话缓存中。
优选的,本步骤中,通过用户名与呼叫站点标志唯一标识所述会话缓存。例如,将内网访问日志中的User-Name与Calling-Station-ID作为唯一Key标识该会话缓存。用User-Name和Calling-Station-ID两个参数来标识一个会话缓存更加精确,可以预防相同用户在同一时刻、不同的电脑上同时登录。
以下为会话缓存的初始数据结构的一个举例:
{
"Start_Time":"第一个请求的时间戳",
"User_Name":"请求的用户名",
"Calling_Station_ID":"客户端",
"Succeed_Count":"用户认证成功的次数",
"Failed_Count":"用户认证失败的次数"
}
在后续更新会话缓存的过程中,也可在以上举例的初始数据结构中添加更多信息。
步骤103、根据实时产生的内网访问日志,更新所述会话缓存。
本步骤具体如图2所示,包括:
步骤1031、将实时产生的内网访问日志解析成标准结构化数据。
第二步,日志解析:将日志根据文档进行结构化解析。解析结果如下
其中,“status”和“type_status”两个字段均可标识会话状态,字段内容均可作为状态码。“status”是数字格式,较为简洁,多用于程序中;“type_status”是字符串格式,内容较为详细,多用于文档注解。“status”与“type_status”代表的意义是相同的。
步骤1032、从所述标准结构化数据中提取用户会话信息。
本步骤中,从结构化后的内网访问日志中提取用户会话信息,所述用户会话信息中包含用户访问会话的状态码。
所述状态码包含如下类型的状态中的任一或任意多类:
认证成功Authentication succeeded,认证失败Authentication failed,开始建立请求,会话状态更新,终止请求。
例如:
状态Authentication succeeded:为用户认证成功,可在会话缓存中更新用户认证成功次数加一。
状态Authentication failed:为用户认证失败,可在会话缓存中更新用户认证失败次数加一。
状态RADIUS Accounting start request:为一种开始建立请求状态,表明用户开始建立请求连接,日志中首次出现Acct-Session-Id信息。将Acct-Seesion-Id信息存入用户当前的会话缓存中。
状态RADIUS Accounting watchdog update:为一种会话状态更新状态,表明系统为用户分配了内网IP信息,用户已经可以正常访问内网设备。可将Framed-IP-Address信息存入用户的会话缓存中。
状态RADIUS Accounting stop request:为一种终止请求状态,表明客户端与内网断开连接,用户登出。可将登出的时间与会话缓存合并,在后续生成用户会话记录时,写入所述用户会话记录。
步骤1033、将提取得到的所述用户会话信息加入所述会话缓存。
步骤104、在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。
本发明实施例中,可根据系统使用情况和实际应用管理需要,设置一系列的异常规则,在出现符合所述异常规则的事件(例如用户认证失败次数达到异常规则规定上限时),即可判定发生异常,并触发后续的异常处理。
本步骤的分析处理过程具体如图3所示,包括:
步骤1041、根据所述状态码,统计各类状态出现次数。
步骤1042、在一类或多类状态的出现次数符合预置的异常规则时,判定发生异常。
步骤1043、根据具体异常,进行相应的异常处理。
例如,异常规则为当用户认证失败次数大于5次后判定存在异常,异常处理方式为系统发送邮件通知用户发生了连续5次输入密码错误。
异常规则为当用户认证失败次数大于20次后判定存在异常,异常处理方式为系统将发送告警消息给给管理员,提示客户存在被暴力破解的可能。可以自动将该用户临时封禁半小时,也可等待管理员进一步操作指示。
步骤105、在所述用户内网访问会话结束后,根据所述会话缓存,生成用户会话记录。
本步骤中,对会话进行还原,将会话缓存结合用户登出信息等生成用户会话记录。在用户会话记录中记录了用户全部的访问行为,便于后续进一步查看分析。优选的,可采用可视化方式展示用户会话记录,以方便用户查看。
图4为一种用户会话记录的展示界面示例,其中列出了用户名、时间(记录生成时间)、状态码、呼叫站点标志、客户端的IP地址(Framed-IP-Address)、会话标识(Acct-Session-Id)等信息,具体展示界面中呈现的信息内容可配置,优选的,可根据不同的操作者账号建立不同的配置文件,依据各操作者的习惯展示信息。
遭受暴力破解成功的用户账号对应的还原后的用户会话信息样例如图5所示。
通过查看还原后的会话可以发现,经过大量的密码尝试登陆后,用户成功撞出密码,在2019-03-08 14:17:56成功登陆系统内网,在2019-03-08 18:18:14断开连接,停留4小时左右。
在查看用户会话信息时,还可以进一步查看用户访问的原始请求,图6为一种用户访问的原始请求的示例。此外,还可在同一界面中显示内网中多个主要用户的用户会话信息,图7为一种多个用户的用户会话信息展示界面示例。
本发明的一实施例还提供了一种内网威胁检测装置,其结构如图8所示,包括:
缓存创建模块801,用于为用户内网访问会话创建会话缓存;
信息缓存模块802,用于根据实时产生的内网访问日志,更新所述会话缓存;
威胁发现模块803,用于在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。
优选的,所述信息缓存模块802的结构如图9所示,包括:
结构化单元8021,用于将实时产生的内网访问日志解析成标准结构化数据;
信息提取单元8022,用于从所述标准结构化数据中提取用户会话信息,所述用户会话信息中包含用户访问会话的状态码;
缓存单元8023,用于将提取得到的所述用户会话信息加入所述会话缓存。
如图8和图9所示的内网威胁检测装置,可集成于内网内的实体设备中,通过实体设备实现相应功能。
本发明的一实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现本发明的实施例提供的内网威胁检测方法的步骤。
本发明的一实施例还提供了一种计算机设备,其结构如图10所示,包括处理器、存储器和存储于所述存储器上的计算机程序,所述处理器执行所述计算机程序时实现本发明的实施例提供的内网威胁检测方法的步骤。
本发明的实施例提供了一种内网威胁检测方法、装置、计算机可读存储介质和计算机设备。为用户内网访问会话创建会话缓存,并根据实时产生的内网访问日志,更新所述会话缓存,在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理。解决了人工对内网安全进行监测导致的漏检和效率低下的问题,实现了对内网威胁的自动检测。
采用可视化的界面,通过对系统日志的实时分析,直接将有威胁的用户,IP、发生的攻击事件展示给安全工程师,能够极大的降低安全工程师的工作成本。通过系统设置对应的触发条件,可以实现自动化的安全防护,保证了内网系统的安全。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明的意图也包含这些改动和变型在内。
Claims (7)
1.一种内网威胁检测方法,其特征在于,包括:
为用户内网访问会话创建会话缓存;
根据实时产生的内网访问日志,更新所述会话缓存;
在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理;
所述根据实时产生的内网访问日志,更新所述会话缓存的步骤包括:
将实时产生的内网访问日志解析成标准结构化数据;
从所述标准结构化数据中提取用户会话信息,所述用户会话信息中包含用户访问会话的状态码,所述状态码至少包含如下类型的状态中的任一或任意多类:认证成功Authentication succeeded,认证失败Authentication failed,开始建立请求,会话状态更新,终止请求;
将提取得到的所述用户会话信息加入所述会话缓存。
2.根据权利要求1所述的内网威胁检测方法,其特征在于,在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理的步骤包括:
根据所述状态码,统计各类状态出现次数;
在一类或多类状态的出现次数符合预置的异常规则时,判定发生异常;
根据具体异常,进行相应的异常处理。
3.根据权利要求1所述的内网威胁检测方法,其特征在于,在为用户内网访问会话创建会话缓存时,通过用户名与呼叫站点标志唯一标识所述会话缓存。
4.根据权利要求1至3任一项所述的内网威胁检测方法,其特征在于,在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理的步骤之后,还包括:
在所述用户内网访问会话结束后,根据所述会话缓存,生成用户会话记录。
5.一种内网威胁检测装置,其特征在于,包括:
缓存创建模块,用于为用户内网访问会话创建会话缓存;
信息缓存模块,用于根据实时产生的内网访问日志,更新所述会话缓存;
威胁发现模块,用于在所述会话缓存中的用户会话信息指示发生异常时,进行异常处理;
所述信息缓存模块包括:
结构化单元,用于将实时产生的内网访问日志解析成标准结构化数据;
信息提取单元,用于从所述标准结构化数据中提取用户会话信息,所述用户会话信息中包含用户访问会话的状态码,所述状态码至少包含如下类型的状态中的任一或任意多类:认证成功Authentication succeeded,认证失败Authentication failed,开始建立请求,会话状态更新,终止请求;
缓存单元,用于将提取得到的所述用户会话信息加入所述会话缓存。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-4中任意一项所述方法的步骤。
7.一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-4中任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910404378.0A CN111953636B (zh) | 2019-05-15 | 2019-05-15 | 内网威胁检测方法、装置、计算机可读存储介质和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910404378.0A CN111953636B (zh) | 2019-05-15 | 2019-05-15 | 内网威胁检测方法、装置、计算机可读存储介质和计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111953636A CN111953636A (zh) | 2020-11-17 |
CN111953636B true CN111953636B (zh) | 2023-01-31 |
Family
ID=73335811
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910404378.0A Active CN111953636B (zh) | 2019-05-15 | 2019-05-15 | 内网威胁检测方法、装置、计算机可读存储介质和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111953636B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7779021B1 (en) * | 2004-03-09 | 2010-08-17 | Versata Development Group, Inc. | Session-based processing method and system |
CN103023710A (zh) * | 2011-09-21 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种安全测试系统和方法 |
CN104426713A (zh) * | 2013-08-28 | 2015-03-18 | 腾讯科技(北京)有限公司 | 网络站点访问效果数据的监测方法和装置 |
CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
CN108306879A (zh) * | 2018-01-30 | 2018-07-20 | 福建师范大学 | 基于Web会话流的分布式实时异常定位方法 |
CN109729050A (zh) * | 2017-10-31 | 2019-05-07 | 北京国双科技有限公司 | 一种网络访问监控方法及装置 |
-
2019
- 2019-05-15 CN CN201910404378.0A patent/CN111953636B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7779021B1 (en) * | 2004-03-09 | 2010-08-17 | Versata Development Group, Inc. | Session-based processing method and system |
CN103023710A (zh) * | 2011-09-21 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种安全测试系统和方法 |
CN104426713A (zh) * | 2013-08-28 | 2015-03-18 | 腾讯科技(北京)有限公司 | 网络站点访问效果数据的监测方法和装置 |
CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
CN109729050A (zh) * | 2017-10-31 | 2019-05-07 | 北京国双科技有限公司 | 一种网络访问监控方法及装置 |
CN108306879A (zh) * | 2018-01-30 | 2018-07-20 | 福建师范大学 | 基于Web会话流的分布式实时异常定位方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111953636A (zh) | 2020-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105306445B (zh) | 用于检测服务器的漏洞的系统和方法 | |
US9569471B2 (en) | Asset model import connector | |
US10491621B2 (en) | Website security tracking across a network | |
CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
CN110088744A (zh) | 一种数据库维护方法及其系统 | |
CN112738138B (zh) | 云安全托管方法、装置、设备及存储介质 | |
CN113419935B (zh) | 移动端性能监控方法、装置、设备及存储介质 | |
US10678933B2 (en) | Security systems GUI application framework | |
CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
CN111726333A (zh) | 安全配置的核查方法与系统 | |
CN113259197A (zh) | 一种资产探测方法、装置及电子设备 | |
CN113206761A (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
CN111191240B (zh) | 互联网电子证据的采集方法、装置及设备 | |
CN114208114A (zh) | 每参与者的多视角安全上下文 | |
CN115001967A (zh) | 一种数据采集方法、装置、电子设备及存储介质 | |
CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
CN111953636B (zh) | 内网威胁检测方法、装置、计算机可读存储介质和计算机设备 | |
CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
US20230094119A1 (en) | Scanning of Content in Weblink | |
WO2020000753A1 (zh) | 一种设备安全监控方法和装置 | |
CN112995143B (zh) | 一种基于邮件系统的安全通报方法、装置、设备及介质 | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN114386047A (zh) | 应用漏洞检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |