CN112468515A - 基于多源信息分析的网络攻击监测方法 - Google Patents

基于多源信息分析的网络攻击监测方法 Download PDF

Info

Publication number
CN112468515A
CN112468515A CN202011478956.4A CN202011478956A CN112468515A CN 112468515 A CN112468515 A CN 112468515A CN 202011478956 A CN202011478956 A CN 202011478956A CN 112468515 A CN112468515 A CN 112468515A
Authority
CN
China
Prior art keywords
flow
module
network attack
data
malicious code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011478956.4A
Other languages
English (en)
Inventor
宋宣霈
尹严研
张卫
胡婷
郭子仪
韩清瑶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jinghang Computing Communication Research Institute
Original Assignee
Beijing Jinghang Computing Communication Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jinghang Computing Communication Research Institute filed Critical Beijing Jinghang Computing Communication Research Institute
Priority to CN202011478956.4A priority Critical patent/CN112468515A/zh
Publication of CN112468515A publication Critical patent/CN112468515A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

本发明属于计算机技术领域,具体涉及一种基于多源信息分析的网络攻击监测方法。所述方法基于网络攻击监测系统来实施,所述网络攻击监测系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;本发明技术效果在于:全面感知网络威胁:基于流量分析,精准识别网络安全隐患,构建灵敏的网络威胁感知能力,展示全方位的网络安全态势。及时止损与快速响应:通过网络攻击安全分析,提供网络安全威胁评估报告,辅助网络安全管理人员及时采取相应处置措施,阻止事态继续发展。

Description

基于多源信息分析的网络攻击监测方法
技术领域
本发明属于计算机技术领域,具体涉及一种基于多源信息分析的网络攻击监测方法。
背景技术
随着计算机技术的不断发展,网络安全问题变得越来越受人关注,信息网络和安全体系逐渐成为信息化健康发展的基础和保障。就目前而言,无论是操作系统、应用软件、网络设备还是业务系统都普遍存在未知的漏洞,这使得在网络军火民用化、网络攻击组织化的大背景下,网络安全面临更加严峻的挑战,对网络安全监测提出了更高的要求。
目前,传统的网络安全监测方法大都是基于已知规则库进行监测,可检测出已知安全威胁,但对未知威胁则无能为力,且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提高网络安全监测能力。
(二)技术方案
为解决上述技术问题,本发明提供一种基于多源信息分析的网络攻击监测方法,所述方法基于网络攻击监测系统来实施,所述网络攻击监测系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;
所述方法包括如下步骤:
步骤1:规则制定模块根据固定与浮动位置关键词、应用协议内容,制定流量抽样的标准,使流量采集模块按照流量比例方式、IP五元组方式或时间方式对流量进行抽样采集;
步骤2:流量采集模块按照抽样采集规则,对流量进行数据采集,并将流量数据传递给流量处理模块;
步骤3:流量处理模块对采集的流量数据进行去重操作、规范化操作和压缩处理操作,并传递给流量扫描与分析模块;
步骤4:恶意代码样本采集模块在恶意代码样本库中获取恶意代码样本,并传递给流量扫描与分析模块;
步骤5:流量扫描与分析模块将处理后的流量数据存储成流量文件,同时结合恶意代码样本,对要监测的流量文件进行检测,当在流量文件中识别出与恶意代码样本相匹配的内容时,认为发现网络攻击行为,则生成报警事件数据,传递给威胁评估与预警发布模块;
步骤6:威胁评估与预警发布模块接收报警事件数据并实现威胁评估、特征提取与样本库升级、事件报警功能。
其中,所述规则制定模块工作过程中,所述按照流量比例方式抽样,指的是按百分比对流量进行抽样采集。
其中,所述规则制定模块工作过程中,所述按照IP五元组方式抽样,指的是按源IP、源端口、目的IP、目的端口、协议对流量进行抽样采集。
其中,所述规则制定模块工作过程中,所述按照时间方式抽样,指的是按时间段对流量进行抽样采集,时间段可精确到分钟。
其中,所述流量处理模块工作过程中,所述去重操作指的是:过滤重复的流量数据。
其中,所述流量处理模块工作过程中,所述规范化操作指的是:对原始流量数据进行格式规范化处理,将原始流量处理为pcap格式的数据。
其中,所述流量处理模块工作过程中,所述压缩操作指的是:将流量数据进行压缩后再上传。
其中,所述威胁评估与预警发布模块工作过程中,所述威胁评估指的是:将报警事件数据与历史记录的威胁事件数据进行分析比对,评估网络攻击的受影响范围和目标威胁情况,并生成评估报告。
其中,所述威胁评估与预警发布模块工作过程中,所述特征提取与样本库升级指的是:辅助分析报警事件数据中携带的新型网络攻击和恶意代码的特征信息,并添加更新到统一的恶意代码样本库中,完成恶意代码样本库升级。
其中,所述威胁评估与预警发布模块工作过程中,所述事件报警指的是:显示、查询、统计报警事件数据的信息,并生成报表。
(三)有益效果
与现有技术相比较,本发明提出一种基于流量分析的网络攻击监测方法,能够结合流量、样本、行为等多源信息,进行威胁线索发现与综合分析,通过自定义规则、流量还原等功能捕获和分析大量网络数据,发现潜伏的未知攻击,实现数据包级的追踪取证,为网络安全管理人员提供网络攻击数据的自动检测和辅助分析手段,提升网络攻击事件综合分析能力。
本发明技术效果在于:
(1)全面感知网络威胁:基于流量分析,精准识别网络安全隐患,构建灵敏的网络威胁感知能力,展示全方位的网络安全态势。
(2)及时止损与快速响应:通过网络攻击安全分析,提供网络安全威胁评估报告,辅助网络安全管理人员及时采取相应处置措施,阻止事态继续发展。
(3)数据取证与责任判定:对网络原始通讯数据进行全流量完整保存,能够还原网络安全事件发生时的全部网络通讯内容,实现数据包级的数据取证和责任判断,并对攻击事件的影响和处置效果进行长期跟踪与评估。
附图说明
图1为本发明技术方案的结构示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
为解决上述技术问题,本发明提供一种基于多源信息分析的网络攻击监测方法,所述方法基于网络攻击监测系统来实施,如图1所示,所述网络攻击监测系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;
所述方法包括如下步骤:
步骤1:规则制定模块根据固定与浮动位置关键词、应用协议内容,制定流量抽样的标准,使流量采集模块按照流量比例方式、IP五元组方式或时间方式对流量进行抽样采集;
步骤2:流量采集模块按照抽样采集规则,对流量进行数据采集,并将流量数据传递给流量处理模块;
步骤3:流量处理模块对采集的流量数据进行去重操作、规范化操作和压缩处理操作,并传递给流量扫描与分析模块;
步骤4:恶意代码样本采集模块在恶意代码样本库中获取恶意代码样本,并传递给流量扫描与分析模块;
步骤5:流量扫描与分析模块将处理后的流量数据存储成流量文件,同时结合恶意代码样本,对要监测的流量文件进行检测,当在流量文件中识别出与恶意代码样本相匹配的内容时,认为发现网络攻击行为,则生成报警事件数据,传递给威胁评估与预警发布模块;
步骤6:威胁评估与预警发布模块接收报警事件数据并实现威胁评估、特征提取与样本库升级、事件报警功能。
其中,所述规则制定模块工作过程中,所述按照流量比例方式抽样,指的是按百分比对流量进行抽样采集。
其中,所述规则制定模块工作过程中,所述按照IP五元组方式抽样,指的是按源IP、源端口、目的IP、目的端口、协议对流量进行抽样采集。
其中,所述规则制定模块工作过程中,所述按照时间方式抽样,指的是按时间段对流量进行抽样采集,时间段可精确到分钟。
其中,所述流量处理模块工作过程中,所述去重操作指的是:过滤重复的流量数据。
其中,所述流量处理模块工作过程中,所述规范化操作指的是:对原始流量数据进行格式规范化处理,将原始流量处理为pcap格式的数据。
其中,所述流量处理模块工作过程中,所述压缩操作指的是:将流量数据进行压缩后再上传。
其中,所述威胁评估与预警发布模块工作过程中,所述威胁评估指的是:将报警事件数据与历史记录的威胁事件数据进行分析比对,评估网络攻击的受影响范围和目标威胁情况,并生成评估报告。
其中,所述威胁评估与预警发布模块工作过程中,所述特征提取与样本库升级指的是:辅助分析报警事件数据中携带的新型网络攻击和恶意代码的特征信息,并添加更新到统一的恶意代码样本库中,完成恶意代码样本库升级。
其中,所述威胁评估与预警发布模块工作过程中,所述事件报警指的是:显示、查询、统计报警事件数据的信息,并生成报表。
此外,本发明还提供一种基于多源信息分析的网络攻击监测系统,如图1所示,所述系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;
所述规则制定模块用于根据固定与浮动位置关键词、应用协议内容,制定流量抽样的标准,使流量采集模块按照流量比例方式、IP五元组方式或时间方式对流量进行抽样采集;
所述流量采集模块用于按照抽样采集规则,对流量进行数据采集,并将流量数据传递给流量处理模块;
所述流量处理模块用于对采集的流量数据进行去重操作、规范化操作和压缩处理操作,并传递给流量扫描与分析模块;
所述恶意代码样本采集模块用于在恶意代码样本库中获取恶意代码样本,并传递给流量扫描与分析模块;
所述流量扫描与分析模块用于将处理后的流量数据存储成流量文件,同时结合恶意代码样本,对要监测的流量文件进行检测,当在流量文件中识别出与恶意代码样本相匹配的内容时,认为发现网络攻击行为,则生成报警事件数据,传递给威胁评估与预警发布模块;
所述威胁评估与预警发布模块用于接收报警事件数据并实现威胁评估、特征提取与样本库升级、事件报警功能。
其中,所述规则制定模块工作过程中,所述按照流量比例方式抽样,指的是按百分比对流量进行抽样采集。
其中,所述规则制定模块工作过程中,所述按照IP五元组方式抽样,指的是按源IP、源端口、目的IP、目的端口、协议对流量进行抽样采集。
其中,所述规则制定模块工作过程中,所述按照时间方式抽样,指的是按时间段对流量进行抽样采集,时间段可精确到分钟。
其中,所述流量处理模块工作过程中,所述去重操作指的是:过滤重复的流量数据。
其中,所述流量处理模块工作过程中,所述规范化操作指的是:对原始流量数据进行格式规范化处理,将原始流量处理为pcap格式的数据。
其中,所述流量处理模块工作过程中,所述压缩操作指的是:将流量数据进行压缩后再上传。
其中,所述威胁评估与预警发布模块工作过程中,所述威胁评估指的是:将报警事件数据与历史记录的威胁事件数据进行分析比对,评估网络攻击的受影响范围和目标威胁情况,并生成评估报告。
其中,所述威胁评估与预警发布模块工作过程中,所述特征提取与样本库升级指的是:辅助分析报警事件数据中携带的新型网络攻击和恶意代码的特征信息,并添加更新到统一的恶意代码样本库中,完成恶意代码样本库升级。
其中,所述威胁评估与预警发布模块工作过程中,所述事件报警指的是:显示、查询、统计报警事件数据的信息,并生成报表。
实施例1
本实施例提供一种基于多源信息分析的网络攻击监测系统,其包括流量监测采集模块、网络攻击分析模块、恶意代码分析模块、威胁评估与预警发布模块等。
基于流量分析的网络攻击监测系统工作流程如下:
(1)流量监测采集模块
a)采集还原,采集还原网络安全监测探针设备监测的可疑原始流量数据,对流量数据进行规范化处理和存储,实现检索、流量还原、文件提取等功能。
b)采集规则,针对IP五元组、固定与浮动位置关键词、应用协议等内容,以可视化方式定义并向网络安全监测探针设备下发流量采集规则。
1)IP五元组是指源IP地址、目的IP地址、源端口、目的端口、协议;
2)固定与浮动位置关键词是指关键词在报文中的位置(位数、字节、字段等)是固定或浮动的;
3)应用协议包括HTTP、FTP、TELNET、SMTP、POP3、SNMP、SCTP、SIP、长报文传输协议、短报文传输协议、实时报文传输协议等。
(2)网络攻击分析模块
a)流量还原,对原始流量按会话检索,对会话进行流量还原,提取网络层、传输层和应用层信息,支持解析的应用层协议包括HTTP、FTP、TELNET、SMTP、POP3、SNMP、SCTP、SIP、长报文传输协议、短报文传输协议、实时报文传输协议等,对会话以五元组及应用协议多维度统计分析并生成分析报表。
b)关联分析,以时间、IP地址、网络端口、应用协议、攻击类型等多种维度组合定义基于逻辑表达式的关联分析规则。
c)辅助分析,基于流量还原和关联分析,辅助辨别可疑行为、提取攻击特征,并生成分析报告。
d)动态分析,抽取还原网络通信流量中的特定协议内容,转换流量中的源、目标地址信息,并将其注入沙箱进行动态分析,监测其对目标系统的影响,分析提取其行为特征,辅助分析判断流量的性质和危害,并生成分析报告。
(3)恶意代码分析模块
a)样本获取,可从以下渠道获取疑似恶意代码样本:
1)提取还原网络通信流量中文件;
2)由主机入侵检测防护软件等安全防护装备提交;
3)通过样本提交页面人工提交。
b)样本处理,在提交沙箱分析之前,对样本进行预处理:
1)自动对样本文件进行编号;
2)对zip,rar,7z和tar(gz)包裹自动解压,提供可配置的默认解压密码;
3)分析样本文件格式等基本属性,进行分拣;
4)计算文件哈希,做去重处理。
c)自动分析,能够自动分析样本行为,生成可疑代码自动分析报告:
1)在沙箱运行环境加载样本,并对样本的行为进行动态分析,包括文件创建/修改/删除、注册表创建/修改/删除、驱动加载/卸载、内核调用、外设访问、网络访问,以及进程的创建/注入/停止等,辅助分析判断文件的性质和危害,并生成分析报告;
2)可在自动化分析过程中,人工登录后台,干预样本执行流程;
3)能够修改或增加可疑行为判断规则。
d)样本管理,能够对分析过的样本进行存储和管理:
1)能够对目标样本本身及其释放文件的存储;
2)记录样本来源、文件编号、文件类型、分析报告等信息;
3)能够对样本信息进行检索统计,生成统计分析报表,能够以柱形图、饼图、雷达图、散点图、网状图等方式显示统计结果,支持分析结果展现方式的定制。
(4)威胁评估与预警发布模块
a)威胁评估,提供与已知威胁进行分析比对的功能,支持评估网络攻击的受影响范围和目标威胁情况,并生成评估报告。
b)特征提取与升级,能够辅助分析新型网络攻击和恶意代码的特征信息,并添加到统一的特征库中,面向全网提供特征库升级服务。
c)事件报警,能够显示、查询、统计安全事件报警信息,并生成报表:
1)接收网络安全监测探针等设备产生的安全事件告警信息;
2)自身分析产生的安全事件告警信息。
d)预警发布,动态发布威胁评估、攻击传播扩散趋势等相关信息。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种基于多源信息分析的网络攻击监测方法,其特征在于,所述方法基于网络攻击监测系统来实施,所述网络攻击监测系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;
所述方法包括如下步骤:
步骤1:规则制定模块根据固定与浮动位置关键词、应用协议内容,制定流量抽样的标准,使流量采集模块按照流量比例方式、IP五元组方式或时间方式对流量进行抽样采集;
步骤2:流量采集模块按照抽样采集规则,对流量进行数据采集,并将流量数据传递给流量处理模块;
步骤3:流量处理模块对采集的流量数据进行去重操作、规范化操作和压缩处理操作,并传递给流量扫描与分析模块;
步骤4:恶意代码样本采集模块在恶意代码样本库中获取恶意代码样本,并传递给流量扫描与分析模块;
步骤5:流量扫描与分析模块将处理后的流量数据存储成流量文件,同时结合恶意代码样本,对要监测的流量文件进行检测,当在流量文件中识别出与恶意代码样本相匹配的内容时,认为发现网络攻击行为,则生成报警事件数据,传递给威胁评估与预警发布模块;
步骤6:威胁评估与预警发布模块接收报警事件数据并实现威胁评估、特征提取与样本库升级、事件报警功能。
2.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述规则制定模块工作过程中,所述按照流量比例方式抽样,指的是按百分比对流量进行抽样采集。
3.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述规则制定模块工作过程中,所述按照IP五元组方式抽样,指的是按源IP、源端口、目的IP、目的端口、协议对流量进行抽样采集。
4.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述规则制定模块工作过程中,所述按照时间方式抽样,指的是按时间段对流量进行抽样采集,时间段可精确到分钟。
5.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述流量处理模块工作过程中,所述去重操作指的是:过滤重复的流量数据。
6.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述流量处理模块工作过程中,所述规范化操作指的是:对原始流量数据进行格式规范化处理,将原始流量处理为pcap格式的数据。
7.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述流量处理模块工作过程中,所述压缩操作指的是:将流量数据进行压缩后再上传。
8.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述威胁评估与预警发布模块工作过程中,所述威胁评估指的是:将报警事件数据与历史记录的威胁事件数据进行分析比对,评估网络攻击的受影响范围和目标威胁情况,并生成评估报告。
9.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述威胁评估与预警发布模块工作过程中,所述特征提取与样本库升级指的是:辅助分析报警事件数据中携带的新型网络攻击和恶意代码的特征信息,并添加更新到统一的恶意代码样本库中,完成恶意代码样本库升级。
10.如权利要求1所述的基于多源信息分析的网络攻击监测方法,其特征在于,所述威胁评估与预警发布模块工作过程中,所述事件报警指的是:显示、查询、统计报警事件数据的信息,并生成报表。
CN202011478956.4A 2020-12-15 2020-12-15 基于多源信息分析的网络攻击监测方法 Pending CN112468515A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011478956.4A CN112468515A (zh) 2020-12-15 2020-12-15 基于多源信息分析的网络攻击监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011478956.4A CN112468515A (zh) 2020-12-15 2020-12-15 基于多源信息分析的网络攻击监测方法

Publications (1)

Publication Number Publication Date
CN112468515A true CN112468515A (zh) 2021-03-09

Family

ID=74804380

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011478956.4A Pending CN112468515A (zh) 2020-12-15 2020-12-15 基于多源信息分析的网络攻击监测方法

Country Status (1)

Country Link
CN (1) CN112468515A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115473675A (zh) * 2022-08-08 2022-12-13 北京永信至诚科技股份有限公司 一种网络安全态势感知方法、装置、电子设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110302656A1 (en) * 2009-02-24 2011-12-08 Fadi El-Moussa Detecting malicious behaviour on a computer network
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN110545293A (zh) * 2019-10-08 2019-12-06 贵州银智科技发展有限公司 一种精准式网络攻击检测预警平台
CN110866249A (zh) * 2018-12-11 2020-03-06 北京安天网络安全技术有限公司 一种动态检测恶意代码的方法、装置及电子设备
CN110912889A (zh) * 2019-11-22 2020-03-24 上海交通大学 一种基于智能化威胁情报的网络攻击检测系统和方法
CN112511387A (zh) * 2020-12-15 2021-03-16 北京京航计算通讯研究所 基于多源信息分析的网络攻击监测系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110302656A1 (en) * 2009-02-24 2011-12-08 Fadi El-Moussa Detecting malicious behaviour on a computer network
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统
CN110866249A (zh) * 2018-12-11 2020-03-06 北京安天网络安全技术有限公司 一种动态检测恶意代码的方法、装置及电子设备
CN110545293A (zh) * 2019-10-08 2019-12-06 贵州银智科技发展有限公司 一种精准式网络攻击检测预警平台
CN110912889A (zh) * 2019-11-22 2020-03-24 上海交通大学 一种基于智能化威胁情报的网络攻击检测系统和方法
CN112511387A (zh) * 2020-12-15 2021-03-16 北京京航计算通讯研究所 基于多源信息分析的网络攻击监测系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
SACHIN GUPTA: "Efficient malicious domain detection using word segmentation and BM pattern matching", 《 2016 INTERNATIONAL CONFERENCE ON RECENT ADVANCES AND INNOVATIONS IN ENGINEERING (ICRAIE)》 *
刘家佳: "《移动智能终端安全》", 30 November 2019, 西安电子科技大学出版社 *
邓志情: "恶意代码监測系统的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115473675A (zh) * 2022-08-08 2022-12-13 北京永信至诚科技股份有限公司 一种网络安全态势感知方法、装置、电子设备及介质

Similar Documents

Publication Publication Date Title
US10872151B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
CN112511387A (zh) 基于多源信息分析的网络攻击监测系统
US8805995B1 (en) Capturing data relating to a threat
US10176321B2 (en) Leveraging behavior-based rules for malware family classification
CN112953933B (zh) 异常攻击行为检测方法、装置、设备及存储介质
US11949692B1 (en) Method and system for efficient cybersecurity analysis of endpoint events
US9628507B2 (en) Advanced persistent threat (APT) detection center
US9635040B2 (en) Method and apparatus for collecting information for identifying computer attack
CN107295021B (zh) 一种基于集中管理的主机的安全检测方法及系统
CN108650225B (zh) 一种远程安全监测设备、系统及远程安全监测方法
CN111726357A (zh) 攻击行为检测方法、装置、计算机设备及存储介质
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN107995179B (zh) 一种未知威胁感知方法、装置、设备及系统
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
CN109815702B (zh) 软件行为的安全检测方法、装置及设备
CN112468515A (zh) 基于多源信息分析的网络攻击监测方法
KR101174635B1 (ko) 자동화된 악성코드 긴급대응 시스템 및 방법
CN112134870B (zh) 一种网络安全威胁阻断方法、装置、设备和存储介质
CN110224975B (zh) Apt信息的确定方法及装置、存储介质、电子装置
CN112637215A (zh) 网络安全检测方法、装置、电子设备及可读存储介质
CN110188537B (zh) 数据的分离存储方法及装置、存储介质、电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210309