CN112804190B - 一种基于边界防火墙流量的安全事件检测方法及系统 - Google Patents
一种基于边界防火墙流量的安全事件检测方法及系统 Download PDFInfo
- Publication number
- CN112804190B CN112804190B CN202011503101.2A CN202011503101A CN112804190B CN 112804190 B CN112804190 B CN 112804190B CN 202011503101 A CN202011503101 A CN 202011503101A CN 112804190 B CN112804190 B CN 112804190B
- Authority
- CN
- China
- Prior art keywords
- data packet
- source
- message
- structured data
- current structured
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明公开了一种基于边界防火墙流量的安全事件检测方法及系统,包括在目标网络的边界防火墙采集全量数据包报文;将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中;针对消息队列中的结构化数据包报文进行安全事件检测。本发明能够实现对网络异常流量的监测,减少公司对于终端安全管控中人员的投入量,提高了网络的准确性、安全性等,避免了安排专人7×24小时实时监控录和定期扫描而产生地额外金钱开销;本发明能够实现对网络中安全事件的准确检测,便捷了工作人员的工作,提高了工作人员的工作效益,加强了网络设备的管理,保证了设备运行安全、防止发生安全事件。
Description
技术领域
本发明涉及网络安全,具体涉及一种基于边界防火墙流量的安全事件检测方法及系统。
背景技术
对于电力系统而言,安全漏洞和Web系统安全事件,不仅可导致数据被盗取和篡改,也可导致各种连上能源互联网的智能设备损坏,甚至切断电网,造成大规模的断电事件。在Web和移动应用安全领域,尚未全面开展安全分析、检测技术研究工作,缺乏自动化检测工具和手段,不能对网络行为进行跟踪分析,难以有效辅助对信息安全故障和安全事件的全面记录和事后追溯定位。基于此背景,如何实现、开展电力移动互联与Web应用安全检测关键技术,已成为一项亟待解决的关键技术问题。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种基于边界防火墙流量的安全事件检测方法及系统,本发明能够实现对网络异常流量的监测,减少公司对于终端安全管控中人员的投入量,提高了网络的准确性、安全性等,避免了安排专人7×24小时实时监控录和定期扫描而产生地额外金钱开销;本发明能够实现对网络中安全事件的准确检测,便捷了工作人员的工作,提高了工作人员的工作效益,加强了网络设备的管理,保证了设备运行安全、防止发生安全事件。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于边界防火墙流量的安全事件检测方法,包括:
1)在目标网络的边界防火墙采集全量数据包报文;
2)将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中;
3)针对消息队列中的结构化数据包报文进行安全事件检测。
可选地,步骤2)中结构化处理时,得到的结果包括数据包报文的五元组、TCP 标志位、报文长度、会话标识以及载荷。
可选地,所述五元组包括协议、源IP、源端口、目标IP和目标端口。
可选地,步骤3)包括:
3.1)判断消息队列是否为空,若非空则跳转步骤3.2);否则跳转步骤3.1);
3.2)从消息队列中取出一个结构化数据包报文作为当前结构化数据包报文;
3.3)读取当前结构化数据包报文中的TCP 标志位,若TCP 标志位为SYN或ACK,则跳转步骤3.4);否则跳转步骤3.1);
3.4)判断源IP是否为目标网络的内部网段IP地址,若是内部网段IP地址,则跳转步骤3.5);否则跳转步骤3.1);
3.5)将源IP、源端口和预设档案数据中的服务器备案信息进行匹配,若和预设档案数据中的服务器备案信息匹配不成功,则判定当前结构化数据包报文对应的源IP、源端口为非法对外服务,跳转步骤3.1)。
可选地,步骤3.5)中判定当前结构化数据包报文对应的源IP、源端口为非法对外服务之后、跳转步骤3.1)之前,还包括发出告警的步骤。
可选地,步骤3.5)中判定当前结构化数据包报文对应的源IP、源端口为非法对外服务之后、跳转步骤3.1)之前,还包括控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤。
可选地,所述对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤之后,还包括控制当前结构化数据包报文对应的源IP对应的主机进行安全扫描和加固处理的步骤,且在完成安全扫描和加固处理后,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机取消实施限制访问的步骤。
可选地,步骤3.2)中还包括:提取当前结构化数据包报文的载荷,将当前结构化数据包报文的载荷与预设的病毒特征库进行报文特征匹配,如果匹配成功,则判定发现有病毒木马特征的报文,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤。
可选地,所述判定发现有病毒木马特征的报文之后,还包括控制当前结构化数据包报文对应的源IP对应的主机进行安全扫描和加固处理的步骤,且在完成安全扫描和加固处理后,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机取消实施限制访问的步骤。
此外,本发明还提供一种基于边界防火墙流量的安全事件检测系统,包括相互连接的微处理器和存储器,该微处理器被编程或配置以执行所述所述的基于边界防火墙流量的安全事件检测方法的步骤,或者该存储器中存储有被编程或配置以执行所述所述的基于边界防火墙流量的安全事件检测方法的计算机程序。
此外,本发明还提供一种计算机可读存储介质,该计算机可读存储介质中存储有被编程或配置以执行所述所述的基于边界防火墙流量的安全事件检测方法的计算机程序。
和现有技术相比,本发明具有下述优点:
1、本发明包括在目标网络的边界防火墙采集全量数据包报文,将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中,针对消息队列中的结构化数据包报文进行安全事件检测,通过上述方式,能够实现对网络异常流量的监测,减少公司对于终端安全管控中人员的投入量,提高了网络的准确性、安全性等,避免了安排专人7×24小时实时监控录和定期扫描而产生地额外金钱开销;本发明能够实现对网络中安全事件的准确检测,便捷了工作人员的工作,提高了工作人员的工作效益,加强了网络设备的管理,保证了设备运行安全、防止发生安全事件。
2、本发明在目标网络的边界防火墙采集全量数据包报文,将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中,针对消息队列中的结构化数据包报文进行安全事件检测,可实现海量流量数据分析。
3、本发明通过将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中,可实现多源日志采集,实现对交换机和防火墙等网络设备出口流量和网络行为日志等多源异构日志的统一采集。
附图说明
图1为本发明实施例方法的基本流程示意图。
图2为本发明实施例中的系统结构示意图。
具体实施方式
如图1和图2所示,本实施例基于边界防火墙流量的安全事件检测方法包括:
1)在目标网络的边界防火墙采集全量数据包报文;
2)将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中;
3)针对消息队列中的结构化数据包报文进行安全事件检测。
本实施例中,步骤1)中在目标网络的边界防火墙采集全量数据包报文具体是指镜像边界防火墙的网络出口流量数据,可实现海量流量数据分析。参见图2,本实施例步骤1)在目标网络的边界防火墙采集全量数据包报文具体采用Kafka Spout实现,作为一种可选的实施方式,可将采集得到的全量数据包报文进行全流量存储到服务器ES中。
本实施例中,步骤2)中通过将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中,可实现多源日志采集,实现对交换机和防火墙等网络设备出口流量和网络行为日志等多源异构日志的统一采集。本实施例中,步骤2)中结构化处理时,得到的结果包括数据包报文的五元组、TCP 标志位、报文长度、会话标识以及载荷。本实施例中,五元组包括协议、源IP、源端口、目标IP和目标端口。
本实施例中,步骤3)包括:
3.1)判断消息队列是否为空,若非空则跳转步骤3.2);否则跳转步骤3.1);
3.2)从消息队列中取出一个结构化数据包报文作为当前结构化数据包报文;
3.3)读取当前结构化数据包报文中的TCP 标志位,若TCP 标志位为SYN或ACK,则跳转步骤3.4);否则跳转步骤3.1);
3.4)判断源IP是否为目标网络的内部网段IP地址,若是内部网段IP地址,则跳转步骤3.5);否则跳转步骤3.1);
3.5)将源IP、源端口和预设档案数据中的服务器备案信息进行匹配,若和预设档案数据中的服务器备案信息匹配不成功,则判定当前结构化数据包报文对应的源IP、源端口为非法对外服务,跳转步骤3.1)。
本实施例中,步骤3.5)中判定当前结构化数据包报文对应的源IP、源端口为非法对外服务之后、跳转步骤3.1)之前,还包括发出告警(同时告警用户和管理员)的步骤。
本实施例中,步骤3.5)中判定当前结构化数据包报文对应的源IP、源端口为非法对外服务之后、跳转步骤3.1)之前,还包括控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤。
本实施例中,前述对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤之后,还包括控制当前结构化数据包报文对应的源IP对应的主机进行安全扫描和加固处理的步骤,且在完成安全扫描和加固处理后,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机取消实施限制访问的步骤。
本实施例中,步骤3.2)中还包括:提取当前结构化数据包报文的载荷,将当前结构化数据包报文的载荷与预设的病毒特征库进行报文特征匹配,如果匹配成功,则判定发现有病毒木马特征的报文,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤。
本实施例中,前述判定发现有病毒木马特征的报文之后,还包括控制当前结构化数据包报文对应的源IP对应的主机进行安全扫描和加固处理的步骤,且在完成安全扫描和加固处理后,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机取消实施限制访问的步骤。
作为一种可选的方式,本实施例中还可根据需要在中部后3.2)中基于预先构建的基于流数据处理的实时攻击检测模型,实行对java反序列化、心脏滴血等20余中流行漏洞的攻击的实时在线检测。在实时攻击检测模型采用机器学习分类模型实现,其输入为报文的五元组、TCP 标志位、报文长度、会话标识以及载荷,输出为漏洞的攻击分类,在使用前需要预先采用漏洞的攻击样本及其标签完成训练,以建立输入为报文的特征(五元组、TCP 标志位、报文长度、会话标识以及载荷)、漏洞的攻击分之间的映射关系。
针对独立移动应用,可通过研究其测试方法和测试项目,从测试环境搭建、测试工具使用、漏洞威胁定级、测试报告模板等方面指导测试的流程,最终形成统一的形成测试规范。研究测试集成技术,实现测试平台对于自定义和第三方的安全测试工具的集成。
参见图2,本实施例中目标网络中还包括:1、集中处理:包括数据清洗后执行步骤2)~3)及其相关步骤。此外,还包括针对结构化数据包报文的源IP进行频率统计,获得目标网络内的服务器热度,并存储到数据库DB。还包括根据结构化数据包报文,对于目标网络中的设备进行资产刷新,并通过Redi组件存储到服务器ES。还包括针对结构化数据包报文的源端口和目标端口进行异常端口检测,若监测到异常端口,则发送消息给对应目标网络中的客户端的IP地址(IP GEO)。2、客户端的处理:目标网络中的客户端针对采集得到的全量数据包报文进行清洗得到自身相关的全量数据包报文,然后针对自身相关的全量数据包报文进行异常检测,包括基于预先构建的基于流数据处理的实时攻击检测模型,实行对java反序列化、心脏滴血等20余中流行漏洞的攻击的实时在线检测。在实时攻击检测模型采用机器学习分类模型实现,其输入为报文的五元组、TCP 标志位、报文长度、会话标识以及载荷,输出为漏洞的攻击分类,在使用前需要预先采用漏洞的攻击样本及其标签完成训练,以建立输入为报文的特征(五元组、TCP 标志位、报文长度、会话标识以及载荷)、漏洞的攻击分之间的映射关系。如果实时在线检测到漏洞的攻击,则发出告警。
综上所述,本实施例基于边界防火墙流量的安全事件检测方法在实时处理部分通过消费消息队列的结构化消息并对消息中 tcp 标志为 SYN 和 ACK 的消息进行进一步处理。处理方法是:判断源IP 是否为内部网段ip地址,并和档案数据中的服务器备案信息进行匹配,如果在备案信息中没有查到相应的档案数据则认为该服务器和端口为非法的对外服务。进一步告警和联动其它网络设备实时的对非法访问请求进行阻断同时对违规行为进行记录。对含有载荷(payload)的消息结合病毒特征库进行报文特征匹配,如果发现有病毒木马特征的报文进行存储进一步分析是否需要主机进行安全扫描和加固处理。通过边界防火墙获取运行终端的所有流量信息;通过匹配特征库,判断该终端访问是否存在异常;通过对存在异常的终端实施限制访问、同时告警用户和管理员;随后进行自动安全加固,加固完成再次进行安全检测,通过检测恢复正常运行。
此外,本实施例还提供一种基于边界防火墙流量的安全事件检测系统,包括相互连接的微处理器和存储器,该微处理器被编程或配置以执行前述前述的基于边界防火墙流量的安全事件检测方法的步骤,或者该存储器中存储有被编程或配置以执行前述前述的基于边界防火墙流量的安全事件检测方法的计算机程序。
此外,本实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有被编程或配置以执行前述所述的基于边界防火墙流量的安全事件检测方法的计算机程序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种基于边界防火墙流量的安全事件检测方法,其特征在于,包括:
1)在目标网络的边界防火墙采集全量数据包报文;
2)将采集得到的数据包报文进行实时解析、结构化处理后存储到消息队列中;
3)针对消息队列中的结构化数据包报文进行安全事件检测,包括:
3.1)判断消息队列是否为空,若非空则跳转步骤3.2);否则跳转步骤3.1);
3.2)从消息队列中取出一个结构化数据包报文作为当前结构化数据包报文;
3.3)读取当前结构化数据包报文中的TCP 标志位,若TCP 标志位为SYN或ACK,则跳转步骤3.4);否则跳转步骤3.1);
3.4)判断源IP是否为目标网络的内部网段IP地址,若是内部网段IP地址,则跳转步骤3.5);否则跳转步骤3.1);
3.5)将源IP、源端口和预设档案数据中的服务器备案信息进行匹配,若和预设档案数据中的服务器备案信息匹配不成功,则判定当前结构化数据包报文对应的源IP、源端口为非法对外服务,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问,跳转步骤3.1)。
2.根据权利要求1所述的基于边界防火墙流量的安全事件检测方法,其特征在于,步骤2)中结构化处理时,得到的结果包括数据包报文的五元组、TCP 标志位、报文长度、会话标识以及载荷,所述五元组包括协议、源IP、源端口、目标IP和目标端口。
3.根据权利要求1所述的基于边界防火墙流量的安全事件检测方法,其特征在于,步骤3.5)中判定当前结构化数据包报文对应的源IP、源端口为非法对外服务之后、跳转步骤3.1)之前,还包括发出告警的步骤。
4.根据权利要求1所述的基于边界防火墙流量的安全事件检测方法,其特征在于,所述对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤之后,还包括控制当前结构化数据包报文对应的源IP对应的主机进行安全扫描和加固处理的步骤,且在完成安全扫描和加固处理后,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机取消实施限制访问的步骤。
5.根据权利要求1所述的基于边界防火墙流量的安全事件检测方法,其特征在于,步骤3.2)中还包括:提取当前结构化数据包报文的载荷,将当前结构化数据包报文的载荷与预设的病毒特征库进行报文特征匹配,如果匹配成功,则判定发现有病毒木马特征的报文,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机进行实施限制访问的步骤。
6.根据权利要求5所述的基于边界防火墙流量的安全事件检测方法,其特征在于,所述判定发现有病毒木马特征的报文之后,还包括控制当前结构化数据包报文对应的源IP对应的主机进行安全扫描和加固处理的步骤,且在完成安全扫描和加固处理后,控制当前结构化数据包报文对应的源IP对应的网络设备对当前结构化数据包报文对应的源IP对应的主机取消实施限制访问的步骤。
7.一种基于边界防火墙流量的安全事件检测系统,包括相互连接的微处理器和存储器,其特征在于,该微处理器被编程或配置以执行权利要求1~6中任意一项所述的基于边界防火墙流量的安全事件检测方法的步骤,或者该存储器中存储有被编程或配置以执行权利要求1~6中任意一项所述的基于边界防火墙流量的安全事件检测方法的计算机程序。
8.一种计算机可读存储介质,其特征在于,该计算机可读存储介质中存储有被编程或配置以执行权利要求1~6中任意一项所述的基于边界防火墙流量的安全事件检测方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011503101.2A CN112804190B (zh) | 2020-12-18 | 2020-12-18 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011503101.2A CN112804190B (zh) | 2020-12-18 | 2020-12-18 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112804190A CN112804190A (zh) | 2021-05-14 |
CN112804190B true CN112804190B (zh) | 2022-11-29 |
Family
ID=75806862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011503101.2A Active CN112804190B (zh) | 2020-12-18 | 2020-12-18 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112804190B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113660146B (zh) * | 2021-10-20 | 2021-12-21 | 成都数默科技有限公司 | 一种网络边界流量采集方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020165947A1 (en) * | 2000-09-25 | 2002-11-07 | Crossbeam Systems, Inc. | Network application apparatus |
US10063591B1 (en) * | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
CN106656991B (zh) * | 2016-10-28 | 2019-05-07 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
CN108289088B (zh) * | 2017-01-09 | 2020-12-11 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
CN109917758A (zh) * | 2019-01-25 | 2019-06-21 | 北京交通大学 | 一种工业设备数据的处理方法及系统 |
-
2020
- 2020-12-18 CN CN202011503101.2A patent/CN112804190B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112804190A (zh) | 2021-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108933791B (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
CN108848067B (zh) | 智能学习并预置只读白名单规则的opc协议安全防护方法 | |
US11563755B2 (en) | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform | |
US8191149B2 (en) | System and method for predicting cyber threat | |
CN107632918B (zh) | 计算存储设备的监控系统及方法 | |
US7114183B1 (en) | Network adaptive baseline monitoring system and method | |
CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
EP3534232B1 (en) | A safety monitoring method and apparatus for an industrial control system | |
CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
CN111800419B (zh) | 一种SDN环境下DDoS攻击检测系统及方法 | |
CN112804190B (zh) | 一种基于边界防火墙流量的安全事件检测方法及系统 | |
CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
CN117240594A (zh) | 一种多维度网络安全运维防护管理系统及方法 | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
CN115618353B (zh) | 一种工业生产安全的识别系统及方法 | |
CN112153076A (zh) | 一种计算机网络安全入侵检测系统 | |
KR100432168B1 (ko) | 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법 | |
CN114374838A (zh) | 一种网络摄像头监测方法、装置、设备及介质 | |
Yu et al. | Mining anomaly communication patterns for industrial control systems | |
CN115442279B (zh) | 一种告警源定位方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |