CN112231479A - 一种安全审计方法及装置 - Google Patents

一种安全审计方法及装置 Download PDF

Info

Publication number
CN112231479A
CN112231479A CN202011147291.9A CN202011147291A CN112231479A CN 112231479 A CN112231479 A CN 112231479A CN 202011147291 A CN202011147291 A CN 202011147291A CN 112231479 A CN112231479 A CN 112231479A
Authority
CN
China
Prior art keywords
traffic
flow
logs
library
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011147291.9A
Other languages
English (en)
Other versions
CN112231479B (zh
Inventor
杨洪起
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202011147291.9A priority Critical patent/CN112231479B/zh
Publication of CN112231479A publication Critical patent/CN112231479A/zh
Application granted granted Critical
Publication of CN112231479B publication Critical patent/CN112231479B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/335Filtering based on additional data, e.g. user or group profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本说明书提供一种安全审计方法及装置,涉及网络安全技术领域。一种安全审计方法,包括:根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型,其中,安全日志包括正常日志和告警日志;当无法根据分类模型确定接收到的流量的业务类型时,将流量标记为异常状态;提取被标记为异常状态的流量的流量特征,根据安全设备内的特征库对流量特征进行匹配;当根据特征库未匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的异常日志;当根据特征库匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的告警日志。通过上述方法,能够提升人工分析时定位安全问题的效率。

Description

一种安全审计方法及装置
技术领域
本说明书涉及网络安全技术领域,尤其涉及一种安全审计方法及装置。
背景技术
在网络安全领域,以日志分析为主要手段的安全审计措施,是定位安全事件、分析事件影响以及进行安全事件应急处置的重要举措。
目前,在对安全事件进行处理时,日志分析是先从网络中部署的各类安全设备所收集的日志开始,从安全设备统计的安全日志中分析并期望找出导致该安全事件的原因,然而对于安全设备不能识别的、或者安全设备漏报的攻击,在安全日志中不会体现,因此,如果想定位这些安全问题,安全专家需要从所有日志中进行人工分析。人为地对所有日志进行分析,并从中进行安全问题的定位,会消耗大量的时间,降低了人工分析时对安全问题进行定位的效率。
发明内容
为克服相关技术中存在的问题,本说明书提供了一种安全审计方法及装置。
根据本说明书实施方式的第一方面,提供了一种安全审计方法,包括:
根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型,其中,安全日志包括正常日志和告警日志;
当无法根据分类模型确定接收到的流量的业务类型时,将流量标记为异常状态;
提取被标记为异常状态的流量的流量特征,根据安全设备内的特征库对流量特征进行匹配;
当根据特征库未匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的异常日志;
当根据特征库匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的告警日志。
可选的,该安全审计方法,还包括:
根据安全设备内的特征库所生成的告警日志进行训练,生成告警模型;
根据安全设备内的特征库对流量特征进行匹配,具体为:
根据告警模型对流量特征进行匹配。
可选的,该特征库为静态特征库。
可选的,在安全设备中生成针对被标记为异常状态的流量的异常日志之前,还包括:
查询静态特征库中关闭的安全策略;
更新静态特征库,以开启静态特征库中关闭的安全策略;
根据更新后的静态特征库对流量特征进行匹配。
根据本说明书实施方式的第二方面,提供了一种安全审计装置应用于安全设备,装置包括:
聚类单元,用于根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型,其中,安全日志包括正常日志和告警日志;
标记单元,用于当无法根据分类模型确定接收到的流量的业务类型时,将流量标记为异常状态;
匹配单元,用于提取被标记为异常状态的流量的流量特征,根据安全设备内的特征库对流量特征进行匹配;
生成单元,用于当根据特征库未匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的异常日志;当根据特征库匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的告警日志。
可选的,该安全审计装置,还包括:
训练单元,用于根据安全设备内的特征库所生成的告警日志进行训练,生成告警模型;
匹配单元,具体用于根据告警模型对流量特征进行匹配。
可选的,该特征库为静态特征库。
可选的,该安全审计装置,还包括:
查询单元,用于查询静态特征库中关闭的安全策略;
更新单元,用于更新静态特征库,以开启静态特征库中关闭的安全策略;
匹配单元,还用于根据更新后的静态特征库对流量特征进行匹配。
本说明书的实施方式提供的技术方案可以包括以下有益效果:
本说明书实施方式中,通过聚类对安全设备内的安全日志进行分析,获取分类模型,在接收到流量时,预先根据分类模型筛选出无法识别的流量,并进行标记,再通过特征库对无法识别的流量进行二次筛选,从中分别确定出安全事件生成对应的告警日志以及无法匹配特征库的疑似安全事件生成对应的异常日志,从而使得工作人员进行人工分析时将安全设备漏报的异常日志与正常日志中区分出来,提升进行人工分析时对安全问题进行定位的效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施方式,并与说明书一起用于解释本说明书的原理。
图1是本申请所涉及的一种安全审计方法的流程图;
图2是本申请所涉及的一种安全审计方法的组网图;
图3是本申请所涉及的一种安全审计装置的示意结构图。
具体实施方式
这里将详细地对示例性实施方式进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施方式中所描述的实施方式并不代表与本说明书相一致的所有实施方式。
本申请提供了一种安全审计方法,如图1所示,包括:
S100、根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型。
该安全设备可以为网络防火墙或具有防火墙功能的网关设备等。在安全设备运行的过程中,会根据安全设备所设置特征库,用于根据接收到的流量中提取的流量特征进行匹配,以对确定该流量是否为攻击流量,并根据特征库对流量特征的匹配结果,对该流量进行处理,在安全设备中生成对应的安全日志。其中,安全日志包括正常日志和告警日志,正常日志是针对未匹配到特征库的流量生成的,告警日志是针对匹配到了特征库的流量生成的。
在安全设备开始工作后,安全设备会收集安全日志并进行存储,由于安全设备接收到的流量大部分为正常流量,因此,可以根据业务类型对安全日志作为训练集进行聚类分析。
聚类分析为一种无监督学习方式,可以根据训练集中的内容进行,具体的聚类分析方式为常见的机器自学习的分析方式,在此不做限定,例如可以采用K-均值、K-中心点等算法实现。在本申请中,可以将安全设备中的安全日志作为训练集进行聚类分析,生成包含有多个业务类的分类模型,并根据业务类型获取分类模型。该分类模型用于对流量进行分类,以确定安全设备接收到的流量所对应的类别。
此时,安全设备继续接收外部流量,在接收到外部的流量时,确定该流量引起了安全事件,比如网络拥塞、网络服务缓慢或服务停止等情况,而正常业务高峰时也没有出现过以上现象,可排除网络带宽资源问题,初步确定为网络攻击所导致安全事件。当确定出现安全事件后,安全设备将会对流量进行如下处理。
S102、当无法根据分类模型确定接收到的流量的业务类型时,将流量标记为异常状态。
S104、提取被标记为异常状态的流量的流量特征,根据安全设备内的特征库对流量特征进行匹配。
由于安全设备根据存储的安全日志进行聚类分析,获取了针对业务的分类模型,因此,安全设备在后续接收到流量时,可以基于分类模型对流量进行业务类型的判定。
如果能够识别出流量的业务类型,则提取出该流量的流量特征,并基于原有的方式进行特征库的匹配。此时,如果特征库能够匹配到该流量特征,则可以认定为是攻击流量,进行阻断或丢弃,并生成针对该攻击流量的告警日志;如果特征库未能匹配到流量特征,则可以认定该流量为正常流量,对该正常流量进行放行,并生成正常日志。但在原有的方式中,被当作正常流量放行的流量,其中可能存在需要进行人工分析的流量,这些流量被放行是由于未能够被识别出来,因此,在生成安全日志时,需要对全部的正常日志进行分析才能够从中找出存在网络攻击的流量加以阻断,这一人工分析的过程需要很大的工作量。
在本申请中,如果基于分类模型未能识别出流量的业务类型,则可以认为该流量为之前未曾出现的业务类型,此时,安全设备会将该流量标记为异常状态,并提取处于异常状态的流量的流量特征。
这里所说的标记可以采用不同的形式,第一种情况下,可以单独设置一种日志类型称为异常日志,在后续根据特征库未匹配到该流量的流量特征时,针对该流量生成异常日志。
在第二种情况下,可以使用原有的日志类型(即,经特征库匹配判定为“正常”的日志)。由于特征库匹配不成功的流量会被安全设备放行,此处不能识别的攻击流量所生成的日志会出现在所有的正常日志中。在分类模型未能匹配到这些流量的情况下,首先对这些流量进行记录,该记录可以传递至后续根据特征库进行匹配的过程,其后,在特征库进行匹配后,针对这些被记录的流量会生成一份“正常”日志,在这些“正常”日志中会被设置一个标识,用于标记该“正常”日志是针对未能识别业务类型所生成的,这种被标记的“正常”日志可以被称为异常日志,也既是将异常日志作为正常日志的一个子集。
在后述内容中,将这些被标记的日志统一称为异常日志,以区分正常日志。
S106、当根据特征库未匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的异常日志。
S108、当根据特征库匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的告警日志。
此处,特征库可以为工作人员预先在安全设备上静态特征库,也可以是将安全设备上已经配置的特征库作为训练集进行训练,生成模型。此模型可称为告警模型,该告警模型用于对处于异常状态的流量进行二次筛选,确定处于异常状态的流量是否为攻击流量。
针对分类模型识别出的、并且根据特征库未匹配到的流量,可以认为是正常流量,对于正常流量可以直接放行,并在安全设备内生成正常日志。
针对攻击流量的处理,无需区分分类模型是否匹配,在根据特征库匹配后,都会被安全设备进行阻断或丢弃,并生成告警日志存储在安全设备内。
在根据特征库(静态特征库或者根据特征库而生成的告警模型)匹配到流量的流量特征时,则认为该流量是攻击流量进行处理,在未匹配到时,则认为该流量是未能识别出业务类型的异常流量。
针对根据分类模型未能确定业务类型的流量(即,被标记为异常状态的流量),未能根据特征库匹配到该流量的流量特征时,生成异常日志,以使该异常日志能够从大量的正常日志中被区分出来。这样一来,在工作人员后续进行安全审计的过程中,可以根据标记或日志类型从安全日志中筛选出针对未能识别的流量所对应的日志,从而缩减了工作人员从安全设备中大量的正常日志中筛选出未能识别的流量所消耗的时间,提升了人工分析时对安全问题进行定位的效率。
另外,在根据特征库对被标记为异常状态的流量的流量特征进行匹配时,未匹配到流量特征可能是由于静态特征库中的部分安全策略被关闭了。因此,为了能够更准确地确定该处于异常状态的流量所生成的日志是否被标记为异常日志,在安全设备中生成针对被标记为异常状态的流量的异常日志之前,还包括:
S105A、查询静态特征库中关闭的安全策略。
S105B、更新静态特征库,以开启静态特征库中关闭的安全策略。
S105C、根据更新后的静态特征库对流量特征进行匹配。
在根据特征库未匹配到被标记为异常状态的流量时,先不生成异常日志,而是对特征库中现有的安全策略进行筛查,确定其中处于关闭(未生效)状态的安全策略。将这些安全策略的状态置于开启(生效)状态,完成对于特征库的更新。
在更新之后,根据当前的特征库对流量特征再次进行匹配。具体的处理方式于步骤S106和步骤S108相似,在此不再赘述。
另外,为了避免重复地根据特征库进行流量特征的匹配,此时,可以针对一个流量设置更新特征库的次数为1,即仅会更新一次特征库。
并且,由于关闭某些安全策略是为了提升安全设备对流量的过滤效率,因此,在进行更新后,针对预先置为关闭状态的安全策略,还可以设置一个复位标记,即在完成针对一个流量的处理后,重新关闭更新特征库时所开启的安全策略,从而提升安全设备对于流量进行过滤的效率。
下面结合一个具体的实施方式,对本申请所涉及的一种安全审计方法进行说明。
在如图2所示的组网中,外部网络访问主机时,需要通过安全设备进行过滤。需要说明的是,图2仅示出了组网中的部分设备,并不作为对于本申请所应用的组网的限定。另外,针对安全设备的组网不限于图2所的形式,也可以采用其他安全设备的组网方式。
S1、安全设备根据业务类型对存储的安全日志进行聚类分析,生成分类模型。
在安全设备(例如防火墙)中,工作人员可以根据已知的攻击方式设置特征库,在特征库中存储有安全策略,这些安全策略可以分为特征以及对应的处理方式,例如,来自A网段的流量对应的处理为阻断等。
在安全设备接收到外部网络访问主机的流量时,提取流量的流量特征,并根据特征库去匹配被提取的流量特征,确定对应的处理方式,并根据处理结果生成对应的安全日志。
安全设备可以按照一定的周期对周期内所生成的安全日志进行聚类分析,生成分类模型,该分类模型可以对接收到的流量进行业务类型的区分。
S2、安全设备将特征库作为训练集进行训练,生成告警模型。
步骤S1和步骤S2无需区分执行的先后顺序,也可能是分别处理。
S3、安全设备接收外部网络的流量,根据生成的分类模型确定该流量的业务类型。
此时,如果分类模型能够匹配到流量,则认为该流量为能够被识别的流量,执行S4;如果分类模型无法匹配到流量,则认为该流量为未识别的流量,将该流量标记为异常状态,执行S5。
S4、安全设备提取流量的流量特征,根据告警模型对提取出的流量特征进行匹配。如果匹配,则可以认为该流量为攻击流量,对该流量进行阻断,如图2中的流量2,并生成告警日志;如果未匹配,则可以认为该流量为正常流量,对该流量进行放行,如图2中的流量3,并生成正常日志。
此时,安全设备中生成的两条安全日志,可以如下表1所示,其中,日志类型为1表示该安全日志为告警日志,日志类型为2表示该安全日志为正常日志。
Figure BDA0002740118980000081
Figure BDA0002740118980000091
表1
S5、安全设备提取流量的流量特征,根据告警模型对被标记为异常状态的流量进行匹配。
在安全设备通过告警模型对该流量进行匹配时,可以确定该流量为未识别业务类型的流量。此时,安全设备同样需要提取该流量的流量特征,并通过告警模型对该流量特征进行匹配。
如果通过告警模型匹配到了流量的流量特征,则执行步骤S6;如果通过告警模型未匹配到流量的流量特征,则执行步骤S7。
S6、安全设备确定该异常流量为攻击流量,进行阻断,并生成针对该异常流量的告警日志。
即使在根据分类模型未能识别该流量,并标记为异常流量,如果根据告警模型匹配到了该异常流量,则仍然将该异常流量视为攻击流量,进行阻断,并针对该异常流量生成告警日志。
S7、安全设备对该异常流量进行放行处理,并生成针对该异常流量的异常日志。
在表1的基础上,安全设备生成针对异常流量的异常日志,该异常日志的日志类型被记为3,最终,针对图2中所示的流量1、流量2和流量3,安全设备中生成三条安全日志,如下表2所示。
日志类型 流量特征1 流量特征2 …… 流量特征N
1 A1 A2 AN
2 B1 B2 BN
3 C1 C2 CN
表2
此后,如果工作人员需要进行人工分析,则可以根据日志类型,从安全设备内存储的所有安全日志中直接获取到异常日志进行展示,以使工作人员能够提升人工分析的效率。
相对应的,本申请还提供了一种安全审计装置,如图3所示,应用于安全设备,装置包括:
聚类单元,用于根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型,其中,安全日志包括正常日志和告警日志;
标记单元,用于当无法根据分类模型确定接收到的流量的业务类型时,将流量标记为异常状态;
匹配单元,用于提取被标记为异常状态的流量的流量特征,根据安全设备内的特征库对流量特征进行匹配;
生成单元,用于当根据特征库未匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的异常日志;当根据特征库匹配到流量特征时,在安全设备中生成针对被标记为异常状态的流量的告警日志。
可选的,该安全审计装置,还包括:
训练单元,用于根据安全设备内的特征库所生成的告警日志进行训练,生成告警模型;
匹配单元,具体用于根据告警模型对流量特征进行匹配。
可选的,该特征库为静态特征库。
可选的,该安全审计装置,还包括:
查询单元,用于查询静态特征库中关闭的安全策略;
更新单元,用于更新静态特征库,以开启静态特征库中关闭的安全策略;
匹配单元,还用于根据更新后的静态特征库对流量特征进行匹配。
本说明书实施方式中,通过聚类对安全设备内的安全日志进行分析,获取分类模型,在接收到流量时,预先根据分类模型筛选出无法识别的流量,并进行标记,再通过特征库对无法识别的流量进行二次筛选,从中分别确定出安全事件生成对应的告警日志以及无法匹配特征库的疑似安全事件生成对应的异常日志,从而使得工作人员进行人工分析时将安全设备漏报的异常日志与正常日志中区分出来,提升人工分析时对安全问题进行定位的效率。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。
以上所述仅为本说明书的较佳实施方式而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (8)

1.一种安全审计方法,其特征在于,包括:
根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型,其中,所述安全日志包括正常日志和告警日志;
当无法根据分类模型确定接收到的流量的业务类型时,将所述流量标记为异常状态;
提取被标记为异常状态的流量的流量特征,根据所述安全设备内的特征库对所述流量特征进行匹配;
当根据所述特征库未匹配到所述流量特征时,在所述安全设备中生成针对被标记为异常状态的流量的异常日志;
当根据所述特征库匹配到所述流量特征时,在所述安全设备中生成针对被标记为异常状态的流量的告警日志。
2.根据权利要求1所述的方法,其特征在于,还包括:
根据所述安全设备内的特征库所生成的告警日志进行训练,生成告警模型;
所述根据所述安全设备内的特征库对所述流量特征进行匹配,具体为:
根据所述告警模型对所述流量特征进行匹配。
3.根据权利要求1所述的方法,其特征在于,所述特征库为静态特征库。
4.根据权利要求3所述的方法,其特征在于,在所述安全设备中生成针对被标记为异常状态的流量的异常日志之前,还包括:
查询所述静态特征库中关闭的安全策略;
更新所述静态特征库,以开启所述静态特征库中关闭的安全策略;
根据更新后的静态特征库对所述流量特征进行匹配。
5.一种安全审计装置,其特征在于,应用于安全设备,所述装置包括:
聚类单元,用于根据业务类型对安全设备内所记录的安全日志进行聚类分析,获取分类模型,其中,所述安全日志包括正常日志和告警日志;
标记单元,用于当无法根据分类模型确定接收到的流量的业务类型时,将所述流量标记为异常状态;
匹配单元,用于提取被标记为异常状态的流量的流量特征,根据所述安全设备内的特征库对所述流量特征进行匹配;
生成单元,用于当根据所述特征库未匹配到所述流量特征时,在所述安全设备中生成针对被标记为异常状态的流量的异常日志;当根据所述特征库匹配到所述流量特征时,在所述安全设备中生成针对被标记为异常状态的流量的告警日志。
6.根据权利要求5所述的装置,其特征在于,还包括:
训练单元,用于根据所述安全设备内的特征库所生成的告警日志进行训练,生成告警模型;
所述匹配单元,具体用于根据所述告警模型对所述流量特征进行匹配。
7.根据权利要求5所述的装置,其特征在于,所述特征库为静态特征库。
8.根据权利要求7所述的装置,其特征在于,还包括:
查询单元,用于查询所述静态特征库中关闭的安全策略;
更新单元,用于更新所述静态特征库,以开启所述静态特征库中关闭的安全策略;
所述匹配单元,还用于根据更新后的静态特征库对所述流量特征进行匹配。
CN202011147291.9A 2020-10-23 2020-10-23 一种安全审计方法及装置 Active CN112231479B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011147291.9A CN112231479B (zh) 2020-10-23 2020-10-23 一种安全审计方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011147291.9A CN112231479B (zh) 2020-10-23 2020-10-23 一种安全审计方法及装置

Publications (2)

Publication Number Publication Date
CN112231479A true CN112231479A (zh) 2021-01-15
CN112231479B CN112231479B (zh) 2023-03-31

Family

ID=74110572

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011147291.9A Active CN112231479B (zh) 2020-10-23 2020-10-23 一种安全审计方法及装置

Country Status (1)

Country Link
CN (1) CN112231479B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113919799A (zh) * 2021-09-09 2022-01-11 广州鲁邦通智能科技有限公司 一种云管理平台审计控制器集群数据的方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010128947A (ja) * 2008-11-28 2010-06-10 Nippon Telegr & Teleph Corp <Ntt> 非定常度推定装置、非定常度推定方法、非定常度推定プログラム
CN105574205A (zh) * 2016-01-18 2016-05-11 国家电网公司 分布式计算环境的日志动态分析系统
CN106504099A (zh) * 2015-09-07 2017-03-15 国家计算机网络与信息安全管理中心 一种构建用户画像的系统
CN110019074A (zh) * 2017-12-30 2019-07-16 中国移动通信集团河北有限公司 访问路径的分析方法、装置、设备及介质
CN111191077A (zh) * 2019-12-20 2020-05-22 中译语通文娱科技(青岛)有限公司 一种视频内容识别自动分类的算法
CN111245793A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 网络数据的异常分析方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010128947A (ja) * 2008-11-28 2010-06-10 Nippon Telegr & Teleph Corp <Ntt> 非定常度推定装置、非定常度推定方法、非定常度推定プログラム
CN106504099A (zh) * 2015-09-07 2017-03-15 国家计算机网络与信息安全管理中心 一种构建用户画像的系统
CN105574205A (zh) * 2016-01-18 2016-05-11 国家电网公司 分布式计算环境的日志动态分析系统
CN110019074A (zh) * 2017-12-30 2019-07-16 中国移动通信集团河北有限公司 访问路径的分析方法、装置、设备及介质
CN111191077A (zh) * 2019-12-20 2020-05-22 中译语通文娱科技(青岛)有限公司 一种视频内容识别自动分类的算法
CN111245793A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 网络数据的异常分析方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
WANG XINLIANG ET AL.: ""Analysis of anomaly packet"s feature based on honeypot"", 《IEEE INTERNATIONAL CONFERENCE ON BROADBAND NETWORK & MULTIMEDIA TECHNOLOGY》 *
付迎丁: ""基于聚类技术的异常检测研究"", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113919799A (zh) * 2021-09-09 2022-01-11 广州鲁邦通智能科技有限公司 一种云管理平台审计控制器集群数据的方法及系统
CN113919799B (zh) * 2021-09-09 2022-04-22 广州鲁邦通智能科技有限公司 一种云管理平台审计控制器集群数据的方法及系统

Also Published As

Publication number Publication date
CN112231479B (zh) 2023-03-31

Similar Documents

Publication Publication Date Title
CN104937886B (zh) 日志分析装置、信息处理方法
CN106357618B (zh) 一种Web异常检测方法和装置
Kuznetsov et al. The statistical analysis of a network traffic for the intrusion detection and prevention systems
CN110336827B (zh) 一种基于异常字段定位的Modbus TCP协议模糊测试方法
KR101239401B1 (ko) 보안 시스템의 로그 분석 시스템 및 방법
CN107404400A (zh) 一种网络态势感知实现方法及装置
US7234166B2 (en) Event sequence detection
EP2023572B1 (en) Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor
CN107528832A (zh) 一种面向系统日志的基线构建与未知异常行为检测方法
CN112019478A (zh) 基于trdp协议列车网络的安全防护方法、装置及系统
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN112463772B (zh) 日志处理方法、装置、日志服务器及存储介质
CN114021040A (zh) 基于业务访问的恶意事件的告警及防护方法和系统
CN106302450A (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
CN108540473A (zh) 一种数据分析方法及数据分析装置
CN112231479B (zh) 一种安全审计方法及装置
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
US20150150132A1 (en) Intrusion detection system false positive detection apparatus and method
CN117319047A (zh) 一种基于网络安全异常检测的网络路径分析方法及系统
CN112528325A (zh) 一种数据信息的安全处理方法及系统
CN114205146A (zh) 一种多源异构安全日志的处理方法及装置
KR101003502B1 (ko) 문자열의 유사성과 포함성을 바탕으로 하는 시그니처스트링 생성방법
CN111917715B (zh) 一种基于802.11ac MAC层指纹的设备识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant