CN112653678A - 一种网络安全态势感知分析方法及装置 - Google Patents
一种网络安全态势感知分析方法及装置 Download PDFInfo
- Publication number
- CN112653678A CN112653678A CN202011470482.9A CN202011470482A CN112653678A CN 112653678 A CN112653678 A CN 112653678A CN 202011470482 A CN202011470482 A CN 202011470482A CN 112653678 A CN112653678 A CN 112653678A
- Authority
- CN
- China
- Prior art keywords
- data
- model
- analysis
- attack
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种网络安全态势感知分析方法及装置,通过采集电力监控系统中各种采集对象的多种类型数据,对建构的资产数据模型、量测数据模型和人员行为模型进行实例化,进而基于实例化后的资产数据模型、量测数据模型和人员行为模型中的相关数据进行健康分析、攻击分析、行为分析和运行分析,满足电力监控系统中多样化的网络安全需求,便于运维人员及时、准确的了解电力监控系统的健康态势、攻击态势、行为态势和运行态势。
Description
技术领域
本发明涉及网络安全技术领域,更具体的,涉及一种网络安全态势感知分析方法及装置。
背景技术
电力监控系统是支撑电力系统安全稳定运行和电力可靠供应的重要手段,随着网络规模急剧扩大化和网络空间的一体化的趋势,针对电力监控系统网络安全的管控愈加复杂。
目前电力监控系统中的网络安全管理平台功能单一,无法满足更加多样化的网络安全需求。
发明内容
有鉴于此,本发明提供了一种网络安全态势感知分析方法及装置,实现对电力监控系统的健康分析、攻击分析、行为分析和运行分析。
为了实现上述发明目的,本发明提供的具体技术方案如下:
一种网络安全态势感知分析方法,包括:
采集电力监控系统中各种预设采集对象中预设类型数据,所述预设类型数据包括:资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据;
分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化;
调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布;
调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围;
调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到风险操作的人员行为记录以及行为影响和影响程度;
调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到边界设备的运行记录以及影响。
可选的,采集电力监控系统中各种预设采集对象中预设类型数据,包括:
采集电力监控系统中网络安全管理平台中数据库、主机设备、网络设备、通用安全设备和专用安全设备中的数据;
采集人员定位系统、网管系统、人像识别系统、工作票、流量采集装置、弱点采集系统、日志采集系统和堡垒机中的数据;
将采集到的数据划分为资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据。
可选的,所述分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化,包括:
构建包括电力监控系统中设备的配置属性、软件属性、硬件属性、位置属性和所属关系的所述资产数据模型;
根据采集得到的资产采集数据、情报采集数据、漏洞采集数据和配置采集数据,对所述资产数据模型进行实例化;
构建包括连接关系属性、数据信息和运行日志属性的所述量测数据模型;
根据采集得到的流量采集数据、配置采集数据和日志采集数据,对所述量测数据模型进行实例化;
构建包括电力监控系统中人员的组织属性、生物属性、位置属性和权限属性的所述人员行为模型;
根据采集得到的人员采集数据,对所述人员行为模型进行实例化。
可选的,所述调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布,包括:
获取实例化后的所述资产数据模型中的设备的软件版本、开放服务、系统组件和安全策略;
将设备的软件版本、开放服务、系统组件和安全策略与预先构建的漏洞库和基线库进行匹配比对,得到设备的漏洞和/或不合规项;
调用所述健康分析模型,根据预设健康度算法以及设备的漏洞和/或不合规项,计算电力监控系统整体的健康度,并得到健康度情况的分布。
可选的,所述调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围,包括:
获取实例化后的所述量测数据模型中的状态信息、告警信息和流量信息;
将状态信息、告警信息和流量信息与预先构建的规则库和特征库进行匹配比对,得到攻击事件;
对攻击事件进行规则关联分析、情景关联分析、行为关联分析,得到攻击事件的关联规则、攻击场景以及与其他攻击事件之间的关联;
对攻击事件进行动态基线分析,对攻击事件相关设备的运行状态进行评估;
对攻击事件进行预测分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围。
可选的,所述调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到风险操作的人员行为记录以及行为影响和影响程度,包括:
根据实例化后的所述人员行为模型中的位置信息、生物信息和角色信息,分析得到人员的物理轨迹和身份信息;
根据实例化后的所述量测数据模型中的连接关系、告警信息和操作日志,分析得到外设插拔信息、本地/远程操作以及本地/远程登录信息;
对人员的物理轨迹和身份信息、外设插拔信息、本地/远程操作以及本地/远程登录信息与预先构建的规则库进行匹配对比,得到风险操作;
对风险操作进行预测分析,得到风险操作的人员行为记录以及行为影响和影响程度。
可选的,所述调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到设备运行记录以及影响,包括:
获取实例化后的所述量测数据模型中的连接关系、告警信息、操作日志和流量日志;
对连接关系、告警信息、操作日志和流量日志与预先构建的运行基线库进行匹配比对,得到告警历史曲线、内存/cpu运行曲线、业务运行越线告警和安全业务异常告警;
获取实例化后的所述资产数据模型中的安全策略;
对安全策略与预先构建的策略基线库进行匹配比对,确定策略命中信息、策略不合规信息和策略闲置信息;
对告警历史曲线、内存/cpu运行曲线、业务运行越线告警、安全业务异常告警、策略命中信息、策略不合规信息和策略闲置信息,进行关联分析,得到边界设备的运行记录以及影响。
可选的,所述方法还包括:
基于预先构建的知识库,确定分析结果对应的设备加固处理建议。
可选的,所述方法还包括:
在展示层对健康分析结果进行健康态势展示,对攻击分析结果进行攻击态势展示,对行为分析结果进行行为态势展示,并对运行分析结果进行运行态势展示。
一种网络安全态势感知分析装置,包括:
数据采集单元,用于采集电力监控系统中各种预设采集对象中预设类型数据,所述预设类型数据包括:资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据;
数据模型构建单元,用于分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化;
健康分析单元,用于调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布;
攻击分析单元,用于调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围;
行为分析单元,用于调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到人员行为记录以及行为影响和影响程度;
运行分析单元,用于调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到设备运行记录以及影响。
相对于现有技术,本发明的有益效果如下:
本发明公开的一种网络安全态势感知分析方法,通过采集电力监控系统中各种采集对象的多种类型数据,对建构的资产数据模型、量测数据模型和人员行为模型进行实例化,进而基于实例化后的资产数据模型、量测数据模型和人员行为模型中的相关数据进行健康分析、攻击分析、行为分析和运行分析,满足电力监控系统中多样化的网络安全需求,便于运维人员及时、准确的了解电力监控系统的健康态势、攻击态势、行为态势和运行态势。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种网络安全态势感知分析方法的流程示意图;
图2为本发明实施例公开的一种健康分析模型示意图;
图3为本发明实施例公开的一种攻击分析模型示意图;
图4为本发明实施例公开的一种行为分析模型示意图;
图5为本发明实施例公开的一种运行分析模型示意图;
图6为本发明实施例公开的一种网络安全态势感知分析装置对应的电力监控系统网络安全态势感知分析功能体系示意图;
图7为本发明实施例公开的一种网络安全态势感知分析装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本实施例公开了一种网络安全态势感知分析方法,实现对电力监控系统的健康分析、攻击分析、行为分析和运行分析,具体包括以下步骤:
S101:采集电力监控系统中各种预设采集对象中预设类型数据,预设类型数据包括:资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据。
其中,预设采集对象包括:网络安全管理平台中的数据库、主机设备、网络设备、通用安全设备和专用安全设备,以及人员定位系统、网管系统、人像识别系统、工作票、流量采集装置、弱点采集系统、日志采集系统和堡垒机。
最后将采集到的数据划分为资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据,便于后续分析。
例如,资产采集数据包括:主机设备、数据库、网络设备、通用安全设备和专用安全设备等设备的IP地址、类型、状态、服务、端口等;流量采集数据包括:基于交换机等镜像口获取的网络流量;情报采集数据包括:通过情报爬虫等手段获取的威胁情报;漏洞采集数据包括:基于漏洞扫描工具分析获取的漏洞数据;配置采集数据包括:通过基线工具主动获取的、整合相关国家法律、国网电网行业标准要求的核查指标项;日志采集数据包括:主机日志、数据库日志、网络设备日志和安防设备日志(防火墙、IDS、堡垒机、数据库审计、防病毒系统、waf等);人员采集数据包括:通过人员定位、人像识别等手段获取人员的信息。
S102:分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的预设数据类型数据对资产数据模型、量测数据模型和人员行为模型进行实例化。
其中,资产数据模型包括:
配置属性:关注基线配置、网络IP\路由配置、账号配置等信息;
软件属性:关注软件版本、服务端口号等信息;
硬件属性:关注cpu、硬盘、内存等属性;
位置属性:关注设备在机房的具体位置信息;
所属关系:关注设备的业务系统、组织机构的隶属情况。
在资产数据模型构建完成后,根据采集得到的资产采集数据、情报采集数据、漏洞采集数据和配置采集数据,对资产数据模型进行实例化,配置属性、软件属性、硬件属性、位置属性和所属关系构成了资产的指纹信息,当其中某项发生变动时,平台会感知并补充至资产的指纹信息库中。
量测数据模型包括:
连接关系属性:关注u盘、串并口的插拔使用情况;关注网络连接关系;
数据信息:关注设备中是否存在恶意代码的数据。
运行日志属性:关注设备运行过程中发生的告警日志、状态日志等信息。
在量测数据模型构建完成后,根据采集得到的流量采集数据、配置采集数据和日志采集数据,对量测数据模型进行实例化。
人员行为模型包括:
组织属性:关注人员的组织机构的隶属情况及人员身份信息;
生物属性:关注人员的指纹、面部特征等生物特征信息;
位置属性:关注人员的所处位置、轨迹等信息;
权限属性:关注人员对应拥有的物理操作权限、网络使用权限等信息。
在人员行为模型构建完成后,根据采集得到的人员采集数据,对人员行为模型进行实例化。
需要说明的是,上述模型实例化过程中,需要与各类业务系统数据、各类采集日志进行对接,支持各类协议规则、接口方式的数据接入。针对设备的原始日志和其他业务系统对接的数据,按照数据标记、范式化处理、数据清洗、识别数据等过程处理所有的原始数据,最终将数据绑定在对应的数据模型上。
S103:调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布。
具体的,本实施例通过图2所示的健康分析模型进行健康分析。
首先获取实例化后的资产数据模型中的设备的软件版本、开放服务、系统组件和安全策略等指纹信息。
将设备的软件版本、开放服务、系统组件和安全策略等指纹信息等指纹信息与预先构建的漏洞和基线库进行匹配比对,得到设备的漏洞和/或不合规项。其中,漏洞库配置了每种漏洞对应的资产属性信息,基线库配置了每种不合规项对应的资产属性信息。
将得到的设备的漏洞和/或不合规项通过资产赋值计算,得到设备的漏洞和/或不合规项对应的值,进而利用预设健康度算法,计算电力监控系统整体的健康度。其中,预设健康算法可以为一种加权求和算法,如为每种漏洞和不合规项预先设置权重,将设备的漏洞和/或不合规项对应的值加权求和的倒数作为最终电力监控系统整体的健康度。将不存在漏洞和不合规项的部分确定为健康的部分,进而得到电力监控系统的健康度情况分布。
进一步,还可以预先设置漏洞或不合规项与威胁预警之间的对应关系,进而根据得到的设备的漏洞和/或不合规项进行威胁预警。
进一步,还可以基于预先构建的知识库,确定计算得到的电力监控系统整体的健康度以及健康度情况的分布所对应的设备加固处理建议。
S104:调用攻击分析模型,对实例化后的量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围。
具体的,本实施例通过图3所示的攻击分析模型进行攻击分析。
首先,获取实例化后的量测数据模型中的状态信息、告警信息和流量信息。
然后,将状态信息、告警信息和流量信息与预先构建的规则库和特征库进行匹配比对,得到攻击事件,如通过利用网络内现有的安全设备:防火墙、入侵检测、防病毒、纵向认证装置、横向隔离装置等安全设备的告警和日志、网络流量等要素与攻击规则库、攻击特征库进行匹配,识别出以下攻击风险:网络扫描、信息探测、攻击入侵、恶意代码、僵尸程序、木马后门。
再然后,对攻击事件进行规则关联分析、情景关联分析、行为关联分析,得到攻击事件的关联规则、攻击场景以及与其他攻击事件之间的关联,并对攻击事件进行动态基线分析,对攻击事件相关设备的运行状态进行评估。
具体的,规则关联分析:根据指定的条件动作关系对攻击事件设计和制定关联规则,即为每个规则指定一个条件(状态或流量指标变化达到某个标准、出现安全设备告警等等)和相应的判断或操作。
情景关联分析:基于攻击情景的关联将入侵行为描述为攻击情景,每个情景是由同一入侵者发起的一系列的攻击而引起的报警组成,此方法可以理解成规则关联分析的场景组合。
行为关联分析:采用基于概率统计的关联分析,从事件发生概率和统计数据角度出发,对报警信息(行为)间的关系以概率形式进行刻画,揭示网络安全事件的时序和因果关系。采用马尔科夫模型(由离散状态和状态转移概率矩阵组成的随机模型),事件被假定遵循马尔科夫特性,模型的下一个状态只取决于当前状态,而不依赖于之前事件的顺序。需事先设定好状态间的跃迁概率和初始状态概率,这些参数可以静态定义,也可以通过对数据集进行训练得到。通过对一连串的事件进行评估从而获得概率值,将概率与门限值进行对比,从而确定事件之间是否存在关联性。
动态基线分析:基于实时动态基线的多元异常状态估计分析方法。利用数据训练运行设备健康状态评估模型,基于模型的偏差大小进行设备运行状态评估,分析和挖掘出隐藏的设备状态异常信息。定义目标设备实时分析相关参数的整体偏离度,基于支持向量回归预测法实时计算整体偏离度的动态基线。
最后,对攻击事件进行预测分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围,具体的,通过将攻击事件和资产指纹信息做碰撞,可以分析出攻击事件的源和目的资产信息;根据网络内的告警和日志,可判定当前攻击的类型:侦查、渗透、攻陷、控制、破坏;通过攻击源ip、攻击目的ip、攻击告警时间序列作为关联分析的因素,分析并还原具有关联关系攻击链条;通过结合攻击事件的程度和安全设备防护状况,可以分析出攻击可能造成进一步的影响范围和影响程度。
进一步,还可以结合攻击详情和预先构建的攻击处置知识库,定向得到针对攻击事件的攻击处置建议。
S105:调用行为分析模型,对实例化后的人员行为模型和量测数据模型中的数据进行行为分析,得到风险操作的人员行为记录以及行为影响和影响程度;
行为分析主要通过视频监视等物理行为手段分析出人员动作、轨迹数据,通过流量分析等网络行为手段分析出指令操作、网络访问等数据,汇总正常访问模型、业务操作基线、指令操作基线、网络拓扑关系、边界安全策略等信息,关联分析得出什么人什么时间在什么地放做了什么事,造成什么样的后果,带来怎样的影响。
具体的,本实施例通过图4所示的行为分析模型进行行为分析。
首先,根据实例化后的人员行为模型中的位置信息、生物信息和角色信息,分析得到人员的物理轨迹和身份信息,并根据实例化后的量测数据模型中的连接关系、告警信息和操作日志,分析得到外设插拔信息、本地/远程操作以及本地/远程登录信息。
然后,对人员的物理轨迹和身份信息、外设插拔信息、本地/远程操作以及本地/远程登录信息与预先构建的规则库进行匹配对比,得到风险操作。具体的,通过主机agent、堡垒机日志等信息收集人员的网络操作行为数据,结合人像识别系统的人员进入日志、OMS的工单信息、人员角色信息,通过内置各类知识库、规则库,能识别以下五大防护中的各类风险操作:
物理防护:基于规则库关联日志分析识别人员有无工单进入机房,含无票进入、有票进入;
边界防护:基于规则库关联日志分析识别设备网络边界的防护风险,分为外设接入、无票违规登录、合规访问;
账户防护:基于规则库关联日志分析识别登录主机的账号是否存在风险,分为未授权访问、实名授权访问;
数据访问:基于规则库关联日志分析识别数据存在被窃取破坏的风险,分为数据增删该查、敏感数据移动、恶意代码引入;
指令防护:基于机器学习、规则库等识别网络操作命令中存在的异常命令、异常命令序列等内容。
最后,对风险操作进行预测分析,得到风险操作的人员行为记录以及行为影响和影响程度。具体的,基于以下判断逻辑分析系统面临的各类异常行为:
无票进入:通过人脸识别是否为已知人员,并关联oms工作票信息,当有人员未持票进入机房时,所有机柜、服务器都面临被入侵风险,系统基于无票识别的规则关联判定具体是谁于何时无票进入;
外设接入:通过主机agent识别有移动介质的插拔行为,当有u盘/光驱/串并口接入主机时,结合机器学习获得工单三大操作行为(运维、检修、除却)基线、工单属性(人、时间、对象),当该类插拔操作违反基线,或者操作时间、地点、人物不被工单属性所包含时,系统可判定该条插拔操作不合规。
无票违规登录:基于工单属性(人、时间、对象),当有人员登录了工单定义的范围以外的主机时,该类登录操作属于无票违规登录;
未授权访问:通过识别网路主机中登录操作的账号,当出现未实名账号登录时,系统可判定该类登录行为属于未授权访问;
敏感数据移动:基于敏感文件路径规则,结合agent上送的操作日志,当识别敏感文件出现被复制、修改、删除等操作时,系统可判定该行为操作为敏感数据移动操作;数据库的敏感表操作告警事件也属于敏感数据移动。
异常命令:通过获取网络操作中不断产生的行为操作命令,系统会结合平台的各类异常命令黑名单进行判定,如果黑名单命中,则判定该命令为异常命令。
异常命令序列:通过机器学习模块,训练生成所有操作命令序列的出现概率,再基于聚类算法对所有出现概率的结果进行聚类分析,离散的命令可定义为异常命令序列。
进一步,基于预先构建的知识库,确定行为分析结果对应的处理建议,如落实对公司人员出入的管理,不要让陌生人员靠近办公区域;要保持对未知存储介质的警惕,不要轻易读取未知U盘的数据;针对常规的运行服务器,默认禁用USB插拔;限制非root用户登录,敏感文件禁止非root用户操作;关闭不必要的资源共享,设置合理的读写权限;要限定人员操作行为,可以通过堡垒机的黑名单限制不合法的操作。
S106:调用运行分析模型,对实例化后的量测数据模型和资产数据模型中的数据进行运行分析,得到边界的设备运行记录以及影响。
运行分析主要通过实时监测、流量分析等多种手段分析出边界设备运行状态、安全策略执行状态灯,汇总正常访问模型、网络拓扑关系、边界安全策略等信息,关联分析出得出什么设备在什么时间发生了什么事,造成什么影响。
具体的,本实施例通过图5所示的运行分析模型进行运行分析。
首先,获取实例化后的量测数据模型中的连接关系、告警信息、操作日志和流量日志,并对连接关系、告警信息、操作日志和流量日志与预先构建的运行基线库进行匹配比对,得到告警历史曲线、内存/cpu运行曲线、业务运行越线告警和安全业务异常告警。
然后,获取实例化后的资产数据模型中的安全策略,对安全策略与预先构建的策略基线库进行匹配比对,确定策略命中信息、策略不合规信息和策略闲置信息。
最后,对告警历史曲线、内存/cpu运行曲线、业务运行越线告警、安全业务异常告警、策略命中信息、策略不合规信息和策略闲置信息,进行关联分析,得到边界设备的运行记录以及影响。如基于正常访问模型和边界安全策略,确定出边界设备的运行记录以及影响,再结合网络拓扑关系,确定出边界设备与其他设备之间的影响。
进一步,请参阅图6,在上述数据处理和分析模型的基础上,本实施例提供全面安全监视应用,支持资产指纹监视、网络拓扑监视、流量异常监视、安全告警监视、弱点监视、安全策略监视、人员权限监视、行为操作监视、运行基线监视等功能。通过日志分流的效果过滤掉海量告警中无意义的告警,展示真实能反映问题的告警事件。体现当日各态势指标的分布变化情况,各态势的整体指标分为人员行为合规率、全网健康指数、网络攻击链路数、系统运行可靠率等;提供智能安全分析应用,支持安全策略分析、运行风险分析、网络攻击分析、人员行为分析、脆弱性分析等功能;提供综合安全管控应用,支持告警处置、工单监控、应急指挥等功能;提供平台运维管理应用,支持人员管理、参数管理、日志管理、业务管理、知识库管理、核查管理、情报管理、资产管理、报表管理等功能。
并在展示层将实现海量信息的采集与分析、多种管理类系统的整合,在此基础上通过态势感知模型进行提炼分析,获得全网的态势情况,围绕全面监视、运行态势、攻击态势、行为态势、健康态势等方面进行可视化界面展示。
基于上述实施例公开的一种网络安全态势感知分析方法,本实施例对应公开了一种网络安全态势感知分析装置,请参阅图7,该装置包括:
数据采集单元100,用于采集电力监控系统中各种预设采集对象中预设类型数据,所述预设类型数据包括:资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据;
数据模型构建单元200,用于分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化;
健康分析单元300,用于调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布;
攻击分析单元400,用于调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围;
行为分析单元500,用于调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到人员行为记录以及行为影响和影响程度;
运行分析单元600,用于调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到设备运行记录以及影响。
可选的,所述数据采集单元100,具体用于:
采集电力监控系统中网络安全管理平台中数据库、主机设备、网络设备、通用安全设备和专用安全设备中的数据;
采集人员定位系统、网管系统、人像识别系统、工作票、流量采集装置、弱点采集系统、日志采集系统和堡垒机中的数据;
将采集到的数据划分为资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据。
可选的,所述数据模型构建单元200,具体用于:
构建包括电力监控系统中设备的配置属性、软件属性、硬件属性、位置属性和所属关系的所述资产数据模型;
根据采集得到的资产采集数据、情报采集数据、漏洞采集数据和配置采集数据,对所述资产数据模型进行实例化;
构建包括连接关系属性、数据信息和运行日志属性的所述量测数据模型;
根据采集得到的流量采集数据、配置采集数据和日志采集数据,对所述量测数据模型进行实例化;
构建包括电力监控系统中人员的组织属性、生物属性、位置属性和权限属性的所述人员行为模型;
根据采集得到的人员采集数据,对所述人员行为模型进行实例化。
可选的,所述健康分析单元300,具体用于:
获取实例化后的所述资产数据模型中的设备的软件版本、开放服务、系统组件和安全策略;
将设备的软件版本、开放服务、系统组件和安全策略与预先构建的漏洞库和基线库进行匹配比对,得到设备的漏洞和/或不合规项;
调用所述健康分析模型,根据预设健康度算法以及设备的漏洞和/或不合规项,计算电力监控系统整体的健康度,并得到健康度情况的分布。
可选的,所述攻击分析单元400,具体用于:
获取实例化后的所述量测数据模型中的状态信息、告警信息和流量信息;
将状态信息、告警信息和流量信息与预先构建的规则库和特征库进行匹配比对,得到攻击事件;
对攻击事件进行规则关联分析、情景关联分析、行为关联分析,得到攻击事件的关联规则、攻击场景以及与其他攻击事件之间的关联;
对攻击事件进行动态基线分析,对攻击事件相关设备的运行状态进行评估;
对攻击事件进行预测分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围。
可选的,所述行为分析单元500,具体用于:
根据实例化后的所述人员行为模型中的位置信息、生物信息和角色信息,分析得到人员的物理轨迹和身份信息;
根据实例化后的所述量测数据模型中的连接关系、告警信息和操作日志,分析得到外设插拔信息、本地/远程操作以及本地/远程登录信息;
对人员的物理轨迹和身份信息、外设插拔信息、本地/远程操作以及本地/远程登录信息与预先构建的规则库进行匹配对比,得到风险操作;
对风险操作进行预测分析,得到风险操作的人员行为记录以及行为影响和影响程度。
可选的,所述运行分析单元600,具体用于:
获取实例化后的所述量测数据模型中的连接关系、告警信息、操作日志和流量日志;
对连接关系、告警信息、操作日志和流量日志与预先构建的运行基线库进行匹配比对,得到告警历史曲线、内存/cpu运行曲线、业务运行越线告警和安全业务异常告警;
获取实例化后的所述资产数据模型中的安全策略;
对安全策略与预先构建的策略基线库进行匹配比对,确定策略命中信息、策略不合规信息和策略闲置信息;
对告警历史曲线、内存/cpu运行曲线、业务运行越线告警、安全业务异常告警、策略命中信息、策略不合规信息和策略闲置信息,进行关联分析,得到边界设备的运行记录以及影响。
可选的,所述装置还包括处理建议确定单元,用于基于预先构建的知识库,确定分析结果对应的设备加固处理建议。
可选的,所述装置还包括态势展示单元,用于在展示层对健康分析结果进行健康态势展示,对攻击分析结果进行攻击态势展示,对行为分析结果进行行为态势展示,并对运行分析结果进行运行态势展示。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
上述各个实施例之间可任意组合,对所公开的实施例的上述说明,本说明书中各实施例中记载的特征可以相互替换或者组合,使本领域专业技术人员能够实现或使用本申请。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络安全态势感知分析方法,其特征在于,包括:
采集电力监控系统中各种预设采集对象中预设类型数据,所述预设类型数据包括:资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据;
分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化;
调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布;
调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围;
调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到风险操作的人员行为记录以及行为影响和影响程度;
调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到边界设备的运行记录以及影响。
2.根据权利要求1所述的方法,其特征在于,采集电力监控系统中各种预设采集对象中预设类型数据,包括:
采集电力监控系统中网络安全管理平台中数据库、主机设备、网络设备、通用安全设备和专用安全设备中的数据;
采集人员定位系统、网管系统、人像识别系统、工作票、流量采集装置、弱点采集系统、日志采集系统和堡垒机中的数据;
将采集到的数据划分为资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据。
3.根据权利要求1所述的方法,其特征在于,所述分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化,包括:
构建包括电力监控系统中设备的配置属性、软件属性、硬件属性、位置属性和所属关系的所述资产数据模型;
根据采集得到的资产采集数据、情报采集数据、漏洞采集数据和配置采集数据,对所述资产数据模型进行实例化;
构建包括连接关系属性、数据信息和运行日志属性的所述量测数据模型;
根据采集得到的流量采集数据、配置采集数据和日志采集数据,对所述量测数据模型进行实例化;
构建包括电力监控系统中人员的组织属性、生物属性、位置属性和权限属性的所述人员行为模型;
根据采集得到的人员采集数据,对所述人员行为模型进行实例化。
4.根据权利要求3所述的方法,其特征在于,所述调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布,包括:
获取实例化后的所述资产数据模型中的设备的软件版本、开放服务、系统组件和安全策略;
将设备的软件版本、开放服务、系统组件和安全策略与预先构建的漏洞库和基线库进行匹配比对,得到设备的漏洞和/或不合规项;
调用所述健康分析模型,根据预设健康度算法以及设备的漏洞和/或不合规项,计算电力监控系统整体的健康度,并得到健康度情况的分布。
5.根据权利要求3所述的方法,其特征在于,所述调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围,包括:
获取实例化后的所述量测数据模型中的状态信息、告警信息和流量信息;
将状态信息、告警信息和流量信息与预先构建的规则库和特征库进行匹配比对,得到攻击事件;
对攻击事件进行规则关联分析、情景关联分析、行为关联分析,得到攻击事件的关联规则、攻击场景以及与其他攻击事件之间的关联;
对攻击事件进行动态基线分析,对攻击事件相关设备的运行状态进行评估;
对攻击事件进行预测分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围。
6.根据权利要求3所述的方法,其特征在于,所述调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到风险操作的人员行为记录以及行为影响和影响程度,包括:
根据实例化后的所述人员行为模型中的位置信息、生物信息和角色信息,分析得到人员的物理轨迹和身份信息;
根据实例化后的所述量测数据模型中的连接关系、告警信息和操作日志,分析得到外设插拔信息、本地/远程操作以及本地/远程登录信息;
对人员的物理轨迹和身份信息、外设插拔信息、本地/远程操作以及本地/远程登录信息与预先构建的规则库进行匹配对比,得到风险操作;
对风险操作进行预测分析,得到风险操作的人员行为记录以及行为影响和影响程度。
7.根据权利要求3所述的方法,其特征在于,所述调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到设备运行记录以及影响,包括:
获取实例化后的所述量测数据模型中的连接关系、告警信息、操作日志和流量日志;
对连接关系、告警信息、操作日志和流量日志与预先构建的运行基线库进行匹配比对,得到告警历史曲线、内存/cpu运行曲线、业务运行越线告警和安全业务异常告警;
获取实例化后的所述资产数据模型中的安全策略;
对安全策略与预先构建的策略基线库进行匹配比对,确定策略命中信息、策略不合规信息和策略闲置信息;
对告警历史曲线、内存/cpu运行曲线、业务运行越线告警、安全业务异常告警、策略命中信息、策略不合规信息和策略闲置信息,进行关联分析,得到边界设备的运行记录以及影响。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于预先构建的知识库,确定分析结果对应的设备加固处理建议。
9.根据权利要求4~7中任意一项所述的方法,其特征在于,所述方法还包括:
在展示层对健康分析结果进行健康态势展示,对攻击分析结果进行攻击态势展示,对行为分析结果进行行为态势展示,并对运行分析结果进行运行态势展示。
10.一种网络安全态势感知分析装置,其特征在于,包括:
数据采集单元,用于采集电力监控系统中各种预设采集对象中预设类型数据,所述预设类型数据包括:资产采集数据、流量采集数据、情报采集数据、漏洞采集数据、配置采集数据、日志采集数据和人员采集数据;
数据模型构建单元,用于分别构建资产数据模型、量测数据模型和人员行为模型,并根据采集得到的所述预设数据类型数据对所述资产数据模型、所述量测数据模型和所述人员行为模型进行实例化;
健康分析单元,用于调用健康分析模型,对实例化后的所述资产数据模型中的数据进行健康分析,计算电力监控系统整体的健康度,并得到健康度情况分布;
攻击分析单元,用于调用攻击分析模型,对实例化后的所述量测数据模型中的攻击行为相关数据,进行攻击分析,得到攻击程度信息、攻击方法、攻击链以及攻击范围;
行为分析单元,用于调用行为分析模型,对实例化后的所述人员行为模型和所述量测数据模型中的数据进行行为分析,得到人员行为记录以及行为影响和影响程度;
运行分析单元,用于调用运行分析模型,对实例化后的所述量测数据模型和所述资产数据模型中的数据进行运行分析,得到设备运行记录以及影响。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011470482.9A CN112653678B (zh) | 2020-12-14 | 2020-12-14 | 一种网络安全态势感知分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011470482.9A CN112653678B (zh) | 2020-12-14 | 2020-12-14 | 一种网络安全态势感知分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112653678A true CN112653678A (zh) | 2021-04-13 |
| CN112653678B CN112653678B (zh) | 2023-01-24 |
Family
ID=75355430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011470482.9A Active CN112653678B (zh) | 2020-12-14 | 2020-12-14 | 一种网络安全态势感知分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112653678B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113052501A (zh) * | 2021-04-25 | 2021-06-29 | 深圳市位元领航科技有限公司 | 一种基于资产的自动化安全运维方法及终端 |
| CN113742720A (zh) * | 2021-08-27 | 2021-12-03 | 贵州乌江水电开发有限责任公司 | 一种基于多级联动方式的网络安全态势感知方法 |
| CN113765915A (zh) * | 2021-09-06 | 2021-12-07 | 杭州安恒信息技术股份有限公司 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
| CN113992723A (zh) * | 2021-12-28 | 2022-01-28 | 广东智修互联大数据有限公司 | 一种基于物联网的设备维护保修及服务资源调度平台 |
| CN114499937A (zh) * | 2021-12-20 | 2022-05-13 | 中电福富信息科技有限公司 | 基于多手段深度探针及全方面安全态势感知方法及其系统 |
| CN114938300A (zh) * | 2022-05-17 | 2022-08-23 | 浙江木链物联网科技有限公司 | 基于设备行为分析的工控系统态势感知方法及其系统 |
| CN115549945A (zh) * | 2022-07-29 | 2022-12-30 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN117240594A (zh) * | 2023-10-31 | 2023-12-15 | 深圳市常行科技有限公司 | 一种多维度网络安全运维防护管理系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321574A1 (en) * | 2015-05-01 | 2016-11-03 | United States Of America As Represented By The Secretary Of The Navy | Human-Machine Visualization Interfaces and Processes for Providing Real Time or Near Real Time Actionable Information Relative to One or More Elements of One or More Networks, Networks, and Systems of Networks |
| CN106685707A (zh) * | 2016-12-15 | 2017-05-17 | 华南师范大学 | 一种分布式基础设施系统中的资产信息控制方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN109981686A (zh) * | 2019-04-15 | 2019-07-05 | 广东电网有限责任公司 | 一种基于循环对抗的网络安全态势感知方法及系统 |
| CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
-
2020
- 2020-12-14 CN CN202011470482.9A patent/CN112653678B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321574A1 (en) * | 2015-05-01 | 2016-11-03 | United States Of America As Represented By The Secretary Of The Navy | Human-Machine Visualization Interfaces and Processes for Providing Real Time or Near Real Time Actionable Information Relative to One or More Elements of One or More Networks, Networks, and Systems of Networks |
| CN106685707A (zh) * | 2016-12-15 | 2017-05-17 | 华南师范大学 | 一种分布式基础设施系统中的资产信息控制方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN109981686A (zh) * | 2019-04-15 | 2019-07-05 | 广东电网有限责任公司 | 一种基于循环对抗的网络安全态势感知方法及系统 |
| CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113052501A (zh) * | 2021-04-25 | 2021-06-29 | 深圳市位元领航科技有限公司 | 一种基于资产的自动化安全运维方法及终端 |
| CN113742720A (zh) * | 2021-08-27 | 2021-12-03 | 贵州乌江水电开发有限责任公司 | 一种基于多级联动方式的网络安全态势感知方法 |
| CN113765915A (zh) * | 2021-09-06 | 2021-12-07 | 杭州安恒信息技术股份有限公司 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
| CN114499937A (zh) * | 2021-12-20 | 2022-05-13 | 中电福富信息科技有限公司 | 基于多手段深度探针及全方面安全态势感知方法及其系统 |
| CN113992723A (zh) * | 2021-12-28 | 2022-01-28 | 广东智修互联大数据有限公司 | 一种基于物联网的设备维护保修及服务资源调度平台 |
| CN113992723B (zh) * | 2021-12-28 | 2022-04-08 | 广东立升数字技术有限公司 | 一种基于物联网的设备维护保修及服务资源调度平台 |
| CN114938300A (zh) * | 2022-05-17 | 2022-08-23 | 浙江木链物联网科技有限公司 | 基于设备行为分析的工控系统态势感知方法及其系统 |
| CN115549945A (zh) * | 2022-07-29 | 2022-12-30 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN115549945B (zh) * | 2022-07-29 | 2023-10-31 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN117240594A (zh) * | 2023-10-31 | 2023-12-15 | 深圳市常行科技有限公司 | 一种多维度网络安全运维防护管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112653678B (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112653678B (zh) | 一种网络安全态势感知分析方法及装置 | |
| Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
| Salem et al. | A survey of insider attack detection research | |
| CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
| Wang et al. | An exhaustive research on the application of intrusion detection technology in computer network security in sensor networks | |
| CN111552933A (zh) | 一种账号异常登录的识别方法与装置 | |
| US20100146622A1 (en) | Security system and method for detecting intrusion in a computerized system | |
| US20050086529A1 (en) | Detection of misuse or abuse of data by authorized access to database | |
| Yu | A survey of anomaly intrusion detection techniques | |
| Osareh et al. | Intrusion detection in computer networks based on machine learning algorithms | |
| CN107846389B (zh) | 基于用户主客观数据融合的内部威胁检测方法及系统 | |
| CN106951779A (zh) | 一种基于用户选择与设备行为分析的usb安全防护系统 | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| Telo | Ai for enhanced healthcare security: an investigation of anomaly detection, predictive analytics, access control, threat intelligence, and incident response | |
| Majidpour et al. | Application of deep learning to enhance the accuracy of intrusion detection in modern computer networks | |
| KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
| KR100918272B1 (ko) | 단일사용자 식별을 통한 보안관제시스템 및 그 방법 | |
| Hakkoymaz | Classifying Database Users for Intrusion Prediction and Detection in Data Security | |
| El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
| Shaorong et al. | Research on campus network security protection system framework based on cloud data and intrusion detection algorithm | |
| CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 | |
| KISHORE | Evaluating Shallow and Deep Neural Networks for Intrusion Detection Systems Cyber Security | |
| Mahmoud et al. | A hybrid snort-negative selection network intrusion detection technique | |
| KR102654026B1 (ko) | Pc 원격 제어, 관리 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |