CN112887159A - 一种统计告警方法和装置 - Google Patents
一种统计告警方法和装置 Download PDFInfo
- Publication number
- CN112887159A CN112887159A CN202110323085.7A CN202110323085A CN112887159A CN 112887159 A CN112887159 A CN 112887159A CN 202110323085 A CN202110323085 A CN 202110323085A CN 112887159 A CN112887159 A CN 112887159A
- Authority
- CN
- China
- Prior art keywords
- information
- user
- target
- port information
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明涉及一种统计告警方法和装置,该方法包括:获取用户的网络环境和流量数据信息;根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息;将目标IP信息和目标端口信息对应添加至白名单库;对流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;根据白名单库,对第一IP信息和第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配,得到匹配结果;如果匹配结果为匹配成功,则生成告警信息并发送至用户;告警信息用于指示用户的流量数据信息为异常。本方案能够降低点对点环境下统计告警的误报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种统计告警方法和装置。
背景技术
随着互联网科技的高速发展,日常生活中越来越离不开互联网,但同时网络攻击也变得更加频繁。现有的网络安全设备大多基于统计的安全检测告警算法进行告警,比如,常见的网络攻击包括:恶意的向某个服务器端口发送大量的SYN包,会使服务器打开大量的半开连接,从而消耗大量的服务器资源,同时也使得正常的连接请求无法被相应。如此,基于现有安全检测告警算法可以在SYN包超出预设阈值时发出告警,以便及时作出防御。
然而,在点对点传输网络(peer-to-peer,简称P2P)中,数据传输过程中本就会产生大量的SYN包的无效连接,采用现有基于统计的安全检测告警算法,则将该传输环境下产生的SYN包无效连接计入在内,从而产生误报。
鉴于此,针对以上不足,需要提供一种统计告警方法和装置来解决上述不足。
发明内容
本发明要解决的技术问题在于如何降低点对点环境下统计告警的误报率,针对现有技术中的缺陷,提供了一种统计告警方法和装置。
为了解决上述技术问题,第一方面,本发明提供了一种统计告警方法,该方法包括:
获取用户的网络环境和流量数据信息;
根据所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息;
将所述目标IP信息和所述目标端口信息对应添加至白名单库;
对所述流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;
根据所述白名单库,对所述第一IP信息和所述第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;其中,所述第一IP信息中包括目标IP信息和第二IP信息;所述第一端口信息中包括所述目标端口信息和所述第二端口信息;
利用预设的告警匹配算法对所述第二IP信息和所述第二端口信息进行匹配,得到匹配结果;
如果所述匹配结果为匹配成功,则生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。
可选地,所述网络环境中包括至少两个节点;
所述用户的网络环境包括:BitTorrent传输环境;
所述根据所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息,包括:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述BitTorrent传输环境的BitTorrent资源信息;
对所述BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
可选地,所述网络环境中包括至少两个节点;
所述用户的网络环境包括:ED2K传输环境;
所述根据所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息,包括:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述ED2K传输环境的ED2K资源信息;
对所述ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
可选地,所述对所述流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,包括:
确定所述流量数据信息中包括的协议类型;
根据所述协议类型对所述流量数据信息进行分类,获得对应每一类协议类型的流量文件;
对每一类协议类型的流量文件进行解析处理,得到对应的所述第一IP信息和所述第一端口信息。
可选地,所述利用预设的告警匹配算法对所述第二IP信息和所述第二端口进行匹配,得到匹配结果,包括:
利用预测的告警匹配算法,确定预设的黑名单库中所包括的异常流量数据信息与所述第二IP信息和所述第二端口信息之间的相似度;其中,所述异常流量数据信息中包括对应的恶意IP信息和恶意端口信息;
针对每一组第二IP信息和第二端口信息,判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值;
如果是,则该组第二IP信息和第二端口信息为异常流量数据信息,并记录匹配次数;
判断所记录的所述匹配次数是否大于预设次数阈值,得到所述匹配结果;
如果是,则确定该匹配结果为匹配成功。
可选地,在所述生成告警信息并发送至所述用户之后,进一步包括:
对确定为异常的数据流量信息进行特征提取;
得到对应的更新恶意IP信息和更新恶意端口信息,并添加至所述预设的黑名单库中。
可选地,在所述生成告警信息并发送至所述用户之后,进一步包括:
检测所述用户的网络环境;
当检测到所述用户的网络环境发生变化时,获取当前所述用户的网络环境;
确定对应当前所述用户的网络环境的目标IP信息和目标端口信息;
将所述目标IP信息和所述目标端口信息对应添加至白名单库,获得更新白名单库。
第二方面,本发明还提供了一种统计告警装置,包括:
获取模块,用于获取用户的网络环境和流量数据信息;
白名单构建模块,用于根据由所述获取模块获取到的所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息,并将所述目标IP信息和所述目标端口信息对应添加至白名单库;
解析模块,用于对由所述获取模块获取到的所述流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;
筛选模块,用于根据由所述白名单构建模块得到的所述白名单库,对由所述解析模块获得的所述第一IP信息和所述第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;其中,所述第一IP信息中包括目标IP信息和第二IP信息;所述第一端口信息中包括所述目标端口信息和所述第二端口信息;
判断模块,用于利用预设的告警匹配算法对由所述筛选模块确定的所述第二IP信息和所述第二端口信息进行匹配,得到匹配结果;如果所述匹配结果为匹配成功,则生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。
可选地,所述网络环境中包括至少两个节点;
所述用户的网络环境包括:BitTorrent传输环境;
所述白名单构建模块,还用于执行如下操作:
获取所述用户的网络环境中所包括的所述至少两个节点;
对所述BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
可选地,所述网络环境中包括至少两个节点;
所述用户的网络环境包括:ED2K传输环境;
所述白名单构建模块,还用于执行如下操作:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述ED2K传输环境的ED2K资源信息;
对所述ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
第三方面,本发明还提供了一种统计告警装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面或第一方面的任一可能的实现方式所提供的统计告警方法。
第四方面,本发明还提供了计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面或第一方面的任一可能的实现方式所提供的统计告警方法。
本发明实施例所提供的一种统计告警方法和装置,该方法首先获取用户的网络环境和流量数据信息,以根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息,并将所确定的该目标IP信息和目标端口信息对应添加至白名单库中,获得白名单库,再对所获取的流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,根据白名单库,将第一IP信息和第一端口信息中包括的目标IP信息和目标端口信息进行剔除,获得对应的第二IP信息和第二端口信息,以利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配,当所得到的匹配结果为匹配成功时,生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。由此可见,通过根据用户的网络环境获得对应的白名单库,可以将所获取的流量数据信息进行筛选,剔除白名单库中的目标IP信息和目标端口信息之后,再进行告警匹配,如此,实现了将对应用户当前网络环境所产生的半连接或无效连接实现进行剔除,以避免其参与统计告警,从而可以消除因此产生的误报,提高统计告警方法的精确性,降低误报率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例所提供的一种统计告警方法;
图2是本发明实施例所提供的另一种统计告警方法;
图3是本发明实施例所提供的一种统计告警装置所在设备的示意图;
图4是本发明实施例所提供的一种统计告警装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如背景技术所述,在现有技术中,点对点传输网络(peer-to-peer,简称P2P)的数据传输过程中本就会产生大量的SYN包的半连接或无效连接,采用现有基于统计的安全检测告警算法,会将该传输环境下产生的SYN包无效连接计入在内,从而产生误报。
具体而言,上述告警算法未对P2P网络传输过程中产生的半连接或无效连接的SYN包进行剔除,从而导致其被该告警算法统计在内。
因此,可以考虑对用户的网络环境确定白名单库,以将P2P网络传输过程中产生的半连接或无效连接归入白名单中,并将所获取的流量数据信息中包括的该白名单库的信息进行剔除,再对剔除后的流量数据信息进行告警匹配。
以上就是本发明所提供的构思,下面描述本发明所提供构思的具体实现方式。
如图1所示,本发明实施例提供的一种统计告警方法,该方法包括如下步骤:
步骤101:获取用户的网络环境和流量数据信息;
步骤102:根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息;
步骤103:将目标IP信息和目标端口信息对应添加至白名单库;
步骤104:对流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;
步骤105:根据白名单库,对第一IP信息和第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;其中,第一IP信息中包括目标IP信息和第二IP信息;第一端口信息中包括目标端口信息和第二端口信息;
步骤106:利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配,得到匹配结果;如果匹配结果为匹配成功,则生成告警信息并发送至用户;告警信息用于指示用户的流量数据信息为异常。
在本发明实施例中,首先获取用户的网络环境和流量数据信息,以根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息,并将所确定的该目标IP信息和目标端口信息对应添加至白名单库中,获得白名单库,再对所获取的流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,根据白名单库,将第一IP信息和第一端口信息中包括的目标IP信息和目标端口信息进行剔除,获得对应的第二IP信息和第二端口信息,以利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配,当所得到的匹配结果为匹配成功时,生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。由此可见,通过根据用户的网络环境获得对应的白名单库,可以将所获取的流量数据信息进行筛选,剔除白名单库中的目标IP信息和目标端口信息之后,再进行告警匹配,如此,实现了将对应用户当前网络环境所产生的半连接或无效连接实现进行剔除,以避免其参与统计告警,从而可以消除因此产生的误报,提高统计告警方法的精确性,降低误报率。
需要说明的是,网络之间互连的协议外文是Internet Protocol的外语缩写,中文缩写为“网协”。缩写为IP。IP信息为对应的网络协议地址等信息。
在本发明实施例中,不仅可以消除告警中的大部分误报,提高统计告警方法的精确性。还能够在判断网络中的异常行为事件时进行告警,可信度高,从而减少了误报率,提高了网络的安全性。
在本发明的一个实施例中,在不同的网络环境中,可以对不同的资源信息进行处理以获得白名单库中的目标IP信息和所述目标端口信息,以下将对不同的网络环境进行详细地说明。
(1)针对用户的网络环境为BitTorrent传输环境时,网络环境中包括至少两个节点;
步骤102根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息,包括:
获取用户的网络环境中所包括的至少两个节点;
获取对应BitTorrent传输环境的BitTorrent资源信息;
对BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
(2)针对用户的网络环境为ED2K传输环境时,网络环境中包括至少两个节点;
步骤102根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息,包括:
获取用户的网络环境中所包括的至少两个节点;
获取对应ED2K传输环境的ED2K资源信息;
对ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
需要说明的是,点对点传输环境中包括BitTorrent传输环境和ED2K传输环境;BitTorrent传输环境是基于BitTorrent(一种P2P内容分发协议)的传输环境,ED2K传输环境是基于ED2K(eDonkey2000network的缩写,一种文件共享网络)的传输环境。具体地,对资源信息进行解析时,是通过对应的协议从网络数据中爬取对应的IP信息和端口信息。
在本发明实施例中,用户为处于点对点传输网络环境中的用户端,其中,该点对点传输网络环境(即用户的网络环境)中包括至少两个节点,且针对每一个节点,均可以获取传输过程中对应该节点的IP信息和端口信息。对于BitTorrent传输环境,首先可以从预先获取的网络数据中确定对应该用户传输环境的BitTorrent资源信息(比如,torrent格式的文件、磁力链接Magnet的地址信息),对BitTorrent资源信息进行解析,获得对应该网络环境中至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息,以便生成白名单库。同样地,对于ED2K传输环境,首先可以从预先获取的网络数据中确定对应该用户传输环境的ED2K资源信息(比如,ED2K的地址信息),再对该ED2K资源信息进行解析,获得对应该网络环境中至少一个节点的IP信息和端口信息,并确定为对应的目标IP信息和目标端口信息,以便生成白名单库。
如此,通过对BitTorrent资源信息和ED2K资源信息进行解析,便可以事先确定对应该用户环境中的节点的目标IP信息和目标端口信息,从而据此对点对点传输环境中产生的无效连接或半连接的识别,进行剔除,降低统计告警的误报率。
在步骤103中,将目标IP信息和目标端口信息对应添加至白名单库,获得对应该用户的白名单库。其中,该白名单库中存储有该用户的网络环境中各节点的目标IP信息和目标端口信息,利用该白名单库可以识别点对点传输环境(该用户的网络环境)中产生的无效连接或半连接。
可选地,在图1所示的一种统计告警方法中,步骤104对流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,包括:
确定流量数据信息中包括的协议类型;
根据协议类型对流量数据信息进行分类,获得对应每一类协议类型的流量文件;
对每一类协议类型的流量文件进行解析处理,得到对应的第一IP信息和第一端口信息。
在本发明实施例中,在确定流量数据信息所包括的协议类型后,根据各协议类型对流量数据信息进行分类,获得对应每一类协议类型的流量文件,分别对每一类协议类型的流量文件进行解析处理,得到该流量文件中包括的第一IP信息和第一端口信息。如此,便可以获得当前用户所获取的流量数据信息中包括的所有IP信息和端口信息。
具体地,协议类型包括但不限于HTTP协议、FTP协议、SMTP协议,根据协议类型获得的流量文件包括但不限于比特流(BitTorrent)中的torrent种子信息、ED2K的地址信息、磁力链接(Magnet,为BitTorrent使用的链接)的地址信息。
例如,当获得的流量文件中包括torrent文件信息时,首先根据对应的协议类型和流量文件还原该torrent文件,并对该torrent文件提取Tracker服务器地址,可以从获取的流量文件中析对Tracker服务器地址发起的请求响应结果,得到该流量文件中包括的第一IP信息和第一端口信息;也可以主动使用对Tracker服务器地址发起请求进行提取,得到该流量文件中包括的第一IP信息和第一端口信息。
例如,当获得的流量文件中包括ED2K地址时,可以直接对该ED2K地址所包含的第一IP信息和第一端口信息进行提取;也可以对该ED2K地址进行解析获得哈希信息,再根据哈希信息去相应的资源服务器获取其对应的IP信息和端口信息,即获得对应该流量文件的第一IP信息和第一端口信息。
例如,当获得的流量文件中包括Magnet地址时,首先对该Magnet地址进行解析获得哈希信息,再通过KRPC协议查询该哈希信息对应的IP信息和端口信息,即获得对应该流量文件的第一IP信息和第一端口信息。
在步骤105中,根据白名单库,对第一IP信息和第一端口信息进行筛选,即将所包括的对应白名单库中的目标IP信息和目标端口信息进行剔除,以得到对应的第二IP信息和第二端口信息。如此,便将当前用户所获取的流量数据信息中包括的由点对点传输环境(该用户的网络环境)中产生的无效连接或半连接进行剔除,以减少误报,保证告警的精确率。
可选地,在图1所示的一种统计告警方法中,步骤106中利用预设的告警匹配算法对第二IP信息和第二端口进行匹配,得到匹配结果,包括:
利用预测的告警匹配算法,确定预设的黑名单库中所包括的异常流量数据信息与第二IP信息和第二端口信息之间的相似度;其中,异常流量数据信息中包括对应的恶意IP信息和恶意端口信息;
针对每一组第二IP信息和第二端口信息,判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值;
如果是,则该组第二IP信息和第二端口信息为异常流量数据信息,并记录匹配次数;
判断所记录的匹配次数是否大于预设次数阈值,得到匹配结果;
如果是,则确定该匹配结果为匹配成功。
在本发明实施例中,利用预设的告警匹配算法,首先确定所获得的每一组第二IP信息和第二端口信息与预设的黑名单库中所包括的恶意IP信息和恶意端口信息的相似度,当该组第二IP信息和第二端口信息的相似度大于预设相似度阈值时,则确定该组第二IP信息和第二端口信息为异常流量数据信息,并记录匹配次数,同时当所记录的匹配次数大于预设次数阈值时,得到匹配成功的匹配结果,生成告警信息并发送至用户,用于指示用户的流量数据信息为异常。
在本发明实施例中,当该组第二IP信息和第二端口信息的相似度不大于预设相似度阈值时,则该组第二IP信息和第二端口信息为非异常流量数据信息,且无需记录匹配次数。当所记录的匹配次数不大于预设次数阈值时,得到匹配失败的匹配结果,即当前用户的流量数据信息未发现异常。如此,对剔除白名单库中的目标IP信息和目标端口信息后,再通过上述判断可以实现精准告警,减少管理人员的工作量,同时以便用户在接收告警信息后及时作出响应,维护网络安全。
可选地,在图1所示的一种统计告警方法中,在步骤106生成告警信息并发送至用户之后,进一步包括:
对确定为异常的数据流量信息进行特征提取;
得到对应的更新恶意IP信息和更新恶意端口信息,并添加至预设的黑名单库中。
在本发明实施例中,在将告警信息发送至用户之后,进一步包括对黑名单库的更新,具体地,对确定为异常的数据流量信息进行特征提取,得到对应的更新恶意IP信息和更新恶意端口信息,并添加至预设的黑名单库中,实现对黑名单库的更新。如此,利用该更新的黑名单库增加了对异常流量数据信息的告警能力,进而可以提高告警准确率。
可选地,在图1所示的一种统计告警方法中,在步骤106在生成告警信息并发送至用户之后,进一步包括:
检测用户的网络环境;
当检测到用户的网络环境发生变化时,获取当前用户的网络环境;
确定对应当前用户的网络环境的目标IP信息和目标端口信息;
将目标IP信息和目标端口信息对应添加至白名单库,获得更新白名单库。
在本发明实施例中,在将告警信息发送至用户之后,进一步包括对白名单库的更新,具体地,检测用户的网络环境,当检测到用户的网络环境发生变化时,对当前用户的网络环境进行获取,并重新确定该当前用户的网络环境中的目标IP信息和目标端口信息,并将其对应添加至白名单库中,获得更新白名单库,实现对白名单库的更新。如此,当用户的网络环境发生变化时,可以及时对白名单库进行更新,包括删除原有的目标IP信息和目标端口信息,增加更新的目标IP信息和目标端口信息等,从而根据用户的网络环境随时对白名单库进行调整,实现了白名单库的灵活扩展,从而保证了对异常流量数据信息的精准告警。
为了更加清楚地说明本发明的技术方案及优点,如图2所示,下面对本发明实施例提供的一种统计告警方法进行详细的说明,具体包括:
步骤201:获取用户的网络环境和流量数据信息。
步骤202:构建白名单库。
具体地,用户的网络环境中包括至少两个节点;
针对BitTorrent传输环境,获取对应BitTorrent传输环境的BitTorrent资源信息;对BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息;
针对ED2K传输环境,获取对应ED2K传输环境的ED2K资源信息;对ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息;
将上述目标IP信息和目标端口信息对应添加至白名单库。
步骤203:获得对应流量数据信息的第一IP信息和第一端口信息。
具体地,对流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,包括:
确定流量数据信息中包括的协议类型;
根据协议类型对流量数据信息进行分类,获得对应每一类协议类型的流量文件;
对每一类协议类型的流量文件进行解析处理,得到对应的第一IP信息和第一端口信息。
步骤204:对流量数据信息进行筛选。
具体地,根据白名单库,对第一IP信息和第一端口信息进行筛选,即将所包括的对应白名单库中的目标IP信息和目标端口信息进行剔除,得到对应的第二IP信息和第二端口信息;其中,第一IP信息中包括目标IP信息和第二IP信息;第一端口信息中包括目标端口信息和第二端口信息。
步骤205:进行告警匹配。
具体地,利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配,得到匹配结果,包括:
利用预测的告警匹配算法,确定预设的黑名单库中所包括的异常流量数据信息与第二IP信息和第二端口信息之间的相似度;其中,异常流量数据信息中包括对应的恶意IP信息和恶意端口信息;
针对每一组第二IP信息和第二端口信息,判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值;
如果是,则该组第二IP信息和第二端口信息为异常流量数据信息,并记录匹配次数;
判断所记录的匹配次数是否大于预设次数阈值,得到匹配结果;
如果是,则确定该匹配结果为匹配成功。
步骤206:生成告警信息并发送至用户。
具体地,如果匹配结果为匹配成功,则生成告警信息并发送至用户;告警信息用于指示用户的流量数据信息为异常。
步骤207:更新黑名单库。
具体地,对确定为异常的数据流量信息进行特征提取;
得到对应的更新恶意IP信息和更新恶意端口信息,并添加至预设的黑名单库中。
步骤208:更新白名单库。
具体地,检测用户的网络环境;
当检测到用户的网络环境发生变化时,获取当前用户的网络环境;
确定对应当前用户的网络环境的目标IP信息和目标端口信息;
将目标IP信息和目标端口信息对应添加至白名单库,获得更新白名单库。
需要说明的是,步骤207和步骤208之间并没有明显的先后顺序,可以同时对黑名单库和白名单库进行更新,也可以先对白名单库进行更新,再对黑名单库进行更新。
如图3、图4所示,本发明实施例提供了一种统计告警装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种统计告警装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种统计告警装置,包括:
获取模块401,用于获取用户的网络环境和流量数据信息;
白名单构建模块402,用于根据由获取模块401获取到的用户的网络环境,确定对应用户的目标IP信息和目标端口信息,并将目标IP信息和目标端口信息对应添加至白名单库;
解析模块403,用于对由获取模块401获取到的流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;
筛选模块404,用于根据由白名单构建模块402得到的白名单库,对由解析模块403获得的第一IP信息和第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;其中,第一IP信息中包括目标IP信息和第二IP信息;第一端口信息中包括目标端口信息和第二端口信息;
判断模块405,用于利用预设的告警匹配算法对由筛选模块404确定的第二IP信息和第二端口信息进行匹配,得到匹配结果;如果匹配结果为匹配成功,则生成告警信息并发送至用户;告警信息用于指示用户的流量数据信息为异常。
可选地,在图4所示一种统计告警装置的基础上,网络环境中包括至少两个节点;用户的网络环境包括:BitTorrent传输环境;
白名单构建模块402,还用于执行如下操作:
获取用户的网络环境中所包括的至少两个节点;
获取对应BitTorrent传输环境的BitTorrent资源信息;
对BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
可选地,在图4所示一种统计告警装置的基础上,网络环境中包括至少两个节点;用户的网络环境包括:ED2K传输环境;
白名单构建模块402,还用于执行如下操作:
获取用户的网络环境中所包括的至少两个节点;
获取对应ED2K传输环境的ED2K资源信息;
对ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
可选地,在图4所示一种统计告警装置的基础上,解析模块403,还用于执行如下操作:
确定流量数据信息中包括的协议类型;
根据协议类型对流量数据信息进行分类,获得对应每一类协议类型的流量文件;
对每一类协议类型的流量文件进行解析处理,得到对应的第一IP信息和第一端口信息。
可选地,在图4所示一种统计告警装置的基础上,判断模块405,还用于执行如下操作:
利用预测的告警匹配算法,确定预设的黑名单库中所包括的异常流量数据信息与第二IP信息和第二端口信息之间的相似度;其中,异常流量数据信息中包括对应的恶意IP信息和恶意端口信息;
针对每一组第二IP信息和第二端口信息,判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值;
如果是,则该组第二IP信息和第二端口信息为异常流量数据信息,并记录匹配次数;
判断所记录的匹配次数是否大于预设次数阈值,得到匹配结果;
如果是,则确定该匹配结果为匹配成功。
可选地,在图4所示一种统计告警装置的基础上,该装置进一步包括:第一更新模块,该第一更新模块用于执行如下操作:
对确定为异常的数据流量信息进行特征提取;
得到对应的更新恶意IP信息和更新恶意端口信息,并添加至预设的黑名单库中。
可选地,在图4所示一种统计告警装置的基础上,该装置进一步包括:第二更新模块,该第二更新模块用于执行如下操作:
检测用户的网络环境;
当检测到用户的网络环境发生变化时,获取当前用户的网络环境;
确定对应当前用户的网络环境的目标IP信息和目标端口信息;
将目标IP信息和目标端口信息对应添加至白名单库,获得更新白名单库。
可以理解的是,本发明实施例示意的结构并不构成对一种统计告警装置的具体限定。在本发明的另一些实施例中,一种统计告警装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种统计告警装置,包括:至少一个存储区和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行本发明任一实施例中的一种统计告警方法。
本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行本发明任一实施例中的一种统计告警方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
综上所述,本发明所提供的一种统计告警方法和装置,首先获取用户的网络环境和流量数据信息,以根据用户的网络环境,确定对应用户的目标IP信息和目标端口信息,并将所确定的该目标IP信息和目标端口信息对应添加至白名单库中,获得白名单库,再对所获取的流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,根据白名单库,将第一IP信息和第一端口信息中包括的目标IP信息和目标端口信息进行剔除,获得对应的第二IP信息和第二端口信息,以利用预设的告警匹配算法对第二IP信息和第二端口信息进行匹配,当所得到的匹配结果为匹配成功时,生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。至少具有如下有益效果:通过根据用户的网络环境获得对应的白名单库,可以将所获取的流量数据信息进行筛选,剔除白名单库中的目标IP信息和目标端口信息之后,再进行告警匹配,如此,实现了将对应用户当前网络环境所产生的半连接或无效连接实现进行剔除,以避免其参与统计告警,从而可以消除因此产生的误报,提高统计告警方法的精确性,降低误报率。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种统计告警方法,其特征在于,包括:
获取用户的网络环境和流量数据信息;
根据所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息;
将所述目标IP信息和所述目标端口信息对应添加至白名单库;
对所述流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;
根据所述白名单库,对所述第一IP信息和所述第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;其中,所述第一IP信息中包括目标IP信息和第二IP信息;所述第一端口信息中包括所述目标端口信息和所述第二端口信息;
利用预设的告警匹配算法对所述第二IP信息和所述第二端口信息进行匹配,得到匹配结果;
如果所述匹配结果为匹配成功,则生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。
2.根据权利要求1所述的方法,其特征在于,所述网络环境中包括至少两个节点;
所述用户的网络环境包括:BitTorrent传输环境;
所述根据所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息,包括:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述BitTorrent传输环境的BitTorrent资源信息;
对所述BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息;
和/或,
所述用户的网络环境包括:ED2K传输环境;
所述根据所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息,包括:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述ED2K传输环境的ED2K资源信息;
对所述ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
3.根据权利要求1所述的方法,其特征在于,所述对所述流量数据信息进行解析,获得对应的第一IP信息和第一端口信息,包括:
确定所述流量数据信息中包括的协议类型;
根据所述协议类型对所述流量数据信息进行分类,获得对应每一类协议类型的流量文件;
对每一类协议类型的流量文件进行解析处理,得到对应的所述第一IP信息和所述第一端口信息。
4.根据权利要求1所述的方法,其特征在于,所述利用预设的告警匹配算法对所述第二IP信息和所述第二端口进行匹配,得到匹配结果,包括:
利用预测的告警匹配算法,确定预设的黑名单库中所包括的异常流量数据信息与所述第二IP信息和所述第二端口信息之间的相似度;其中,所述异常流量数据信息中包括对应的恶意IP信息和恶意端口信息;
针对每一组第二IP信息和第二端口信息,判断对应该组第二IP信息和第二端口信息的相似度是否大于预设相似度阈值;
如果是,则该组第二IP信息和第二端口信息为异常流量数据信息,并记录匹配次数;
判断所记录的所述匹配次数是否大于预设次数阈值,得到所述匹配结果;
如果是,则确定该匹配结果为匹配成功。
5.根据权利要求4所述的方法,其特征在于,在所述生成告警信息并发送至所述用户之后,进一步包括:
对确定为异常的数据流量信息进行特征提取;
得到对应的更新恶意IP信息和更新恶意端口信息,并添加至所述预设的黑名单库中。
6.根据权利要求1至5中任一所述的方法,其特征在于,在所述生成告警信息并发送至所述用户之后,进一步包括:
检测所述用户的网络环境;
当检测到所述用户的网络环境发生变化时,获取当前所述用户的网络环境;
确定对应当前所述用户的网络环境的目标IP信息和目标端口信息;
将所述目标IP信息和所述目标端口信息对应添加至白名单库,获得更新白名单库。
7.一种统计告警装置,其特征在于,包括:
获取模块,用于获取用户的网络环境和流量数据信息;
白名单构建模块,用于根据由所述获取模块获取到的所述用户的网络环境,确定对应所述用户的目标IP信息和目标端口信息,并将所述目标IP信息和所述目标端口信息对应添加至白名单库;
解析模块,用于对由所述获取模块获取到的所述流量数据信息进行解析,获得对应的第一IP信息和第一端口信息;
筛选模块,用于根据由所述白名单构建模块得到的所述白名单库,对由所述解析模块获得的所述第一IP信息和所述第一端口信息进行筛选,得到对应的第二IP信息和第二端口信息;其中,所述第一IP信息中包括目标IP信息和第二IP信息;所述第一端口信息中包括所述目标端口信息和所述第二端口信息;
判断模块,用于利用预设的告警匹配算法对由所述筛选模块确定的所述第二IP信息和所述第二端口信息进行匹配,得到匹配结果;如果所述匹配结果为匹配成功,则生成告警信息并发送至所述用户;所述告警信息用于指示所述用户的流量数据信息为异常。
8.根据权利要求7所述的装置,其特征在于,所述网络环境中包括至少两个节点;
所述用户的网络环境包括:BitTorrent传输环境;
所述白名单构建模块,还用于执行如下操作:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述BitTorrent传输环境的BitTorrent资源信息;
对所述BitTorrent资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息;
和/或,
所述用户的网络环境包括:ED2K传输环境;
所述白名单构建模块,还用于执行如下操作:
获取所述用户的网络环境中所包括的所述至少两个节点;
获取对应所述ED2K传输环境的ED2K资源信息;
对所述ED2K资源信息进行解析,获得对应至少一个节点的IP信息和端口信息,并将该IP信息和端口信息确定为对应的目标IP信息和目标端口信息。
9.一种统计告警装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至6中任一项所述的方法。
10.计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110323085.7A CN112887159B (zh) | 2021-03-26 | 2021-03-26 | 一种统计告警方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110323085.7A CN112887159B (zh) | 2021-03-26 | 2021-03-26 | 一种统计告警方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887159A true CN112887159A (zh) | 2021-06-01 |
| CN112887159B CN112887159B (zh) | 2023-04-28 |
Family
ID=76042392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110323085.7A Active CN112887159B (zh) | 2021-03-26 | 2021-03-26 | 一种统计告警方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887159B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114866316A (zh) * | 2022-04-29 | 2022-08-05 | 中国科学院信息工程研究所 | 安全防护方法、装置、设备、存储介质及程序产品 |
| CN115314252A (zh) * | 2022-07-06 | 2022-11-08 | 北京神州慧安科技有限公司 | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
| CN115858295A (zh) * | 2022-12-16 | 2023-03-28 | 长扬科技(北京)股份有限公司 | 一种监控告警方法、装置、计算设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| US20160050229A1 (en) * | 2004-11-23 | 2016-02-18 | Kodiak Networks, Inc. | Voip denial-of-service protection mechanisms from attack |
| CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
| CN108092962A (zh) * | 2017-12-08 | 2018-05-29 | 北京奇安信科技有限公司 | 一种恶意url检测方法及装置 |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
-
2021
- 2021-03-26 CN CN202110323085.7A patent/CN112887159B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160050229A1 (en) * | 2004-11-23 | 2016-02-18 | Kodiak Networks, Inc. | Voip denial-of-service protection mechanisms from attack |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
| CN108092962A (zh) * | 2017-12-08 | 2018-05-29 | 北京奇安信科技有限公司 | 一种恶意url检测方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114257404B (zh) * | 2021-11-16 | 2024-04-30 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114866316A (zh) * | 2022-04-29 | 2022-08-05 | 中国科学院信息工程研究所 | 安全防护方法、装置、设备、存储介质及程序产品 |
| CN115314252A (zh) * | 2022-07-06 | 2022-11-08 | 北京神州慧安科技有限公司 | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
| CN115858295A (zh) * | 2022-12-16 | 2023-03-28 | 长扬科技(北京)股份有限公司 | 一种监控告警方法、装置、计算设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887159B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112887159B (zh) | 一种统计告警方法和装置 | |
| AU2012282792B2 (en) | Syntactical fingerprinting | |
| CN111917740B (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
| CN112272186B (zh) | 一种网络流量检测装置、方法及电子设备和存储介质 | |
| JP2007013343A (ja) | ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置 | |
| JP2010152773A (ja) | 攻撃判定装置及び攻撃判定方法及びプログラム | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| CN110868418A (zh) | 一种威胁情报生成方法、装置 | |
| CN111818073B (zh) | 一种失陷主机检测方法、装置、设备及介质 | |
| CN111625841B (zh) | 一种病毒处理方法、装置及设备 | |
| CN112287336A (zh) | 基于区块链的主机安全监控方法、装置、介质及电子设备 | |
| CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| CN114189390A (zh) | 一种域名检测方法、系统、设备及计算机可读存储介质 | |
| CN114301659A (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
| CN113849820A (zh) | 一种漏洞检测方法及装置 | |
| CN112988670A (zh) | 一种日志数据的处理方法和装置 | |
| JP2007074339A (ja) | 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| US9385992B2 (en) | Inline key-based peer-to-peer processing | |
| CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN111079144B (zh) | 一种病毒传播行为检测方法及装置 | |
| CN109218305B (zh) | 基于报警聚合的网络取证方法及装置 | |
| CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 | |
| Jeng et al. | Md-minerp: Interaction profiling bipartite graph mining for malware-control domain detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |