CN112887310A - 一种提升网络攻击风险评估效率的方法、设备及介质 - Google Patents
一种提升网络攻击风险评估效率的方法、设备及介质 Download PDFInfo
- Publication number
- CN112887310A CN112887310A CN202110107229.5A CN202110107229A CN112887310A CN 112887310 A CN112887310 A CN 112887310A CN 202110107229 A CN202110107229 A CN 202110107229A CN 112887310 A CN112887310 A CN 112887310A
- Authority
- CN
- China
- Prior art keywords
- address
- addresses
- information
- alarm
- translated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种提升网络攻击风险评估效率的方法,包括接收监控设备发送的若干告警信息,每条告警信息中均包括IP地址;提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。本发明提供一种提升网络攻击风险评估效率的方法,打破了同一连接请求终端不同网络区域构成的“信息孤岛”,迅速形成完整的网络攻击链,可以及时有效的发现潜在的攻击征兆,进而准确评估整个安全事件的风险和网络安全态势。
Description
技术领域
本发明涉及网络风险攻击评估技术领域,尤其涉及一种提升网络攻击风险评估效率的方法、设备及介质。
背景技术
现有市场上的网络安全管理平台,在IP地址分析时,主要针对相同的源地址、目的地址、源端口、目的端口等字段进行归并、统计。
但是金融行业由于其行业特殊性,涉及大量客户信息等敏感信息和资金交易业务,所以数据传输要求安全和稳定,需要专网专用,并且对外隐藏真实地址,内部网络区域间及网络边界处通常都使用NAT(网络地址转换协议)设备对连接请求终端的IP地址进行转换。
但是目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下,难以迅速还原完整的攻击链,对整个攻击事件难以形成全面的风险评估等问题。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供一种提升网络攻击风险评估效率的方法,其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下的问题。
本发明的目的之二在于提供一种电子设备,其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下的问题。
本发明的目的之三在于提供一种计算机可读存储介质,其能解决目前的网络安全管理平台不具备对转换前、后IP地址的关联分析能力,对于内外网间、内部区域间的地址转换未形成立体的关联关系,导致同一连接请求终端的一个攻击行为,在网络的不同区域,产生大量互相独立的安全事件,形成一个个“信息孤岛”,并产生大量重复的告警,导致分析效率较为低下的问题。
本发明的目的之一采用以下技术方案实现:
一种提升网络攻击风险评估效率的方法,包括以下步骤:
S1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中包括IP地址;
S2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表;
S3、IP地址匹配,提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;
S4、划分告警信息,将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;
S5、风险评估,根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。
本发明的目的之二采用以下技术方案实现:
一种电子设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现如本发明所述的一种提升网络攻击风险评估效率的方法的步骤。
本发明的目的之三采用以下技术方案实现:
一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如本发明所述的一种提升网络攻击风险评估效率的方法的步骤。
本发明与现有技术相比,具有如下优点和有益效果:
本发明一种提升网络攻击风险评估效率的方法,包括接收监控设备发送的若干告警信息,每条所述告警信息中均包括IP地址;提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果;通过设置的IP地址映射表判断每个告警信息对应的IP地址的关联关系,可以迅速判断出属于同一连接请求终端的告警信息,将同一连接请求终端对应的若干告警信息归并为同一告警事件,打破了同一连接请求终端不同网络区域构成“信息孤岛”,迅速形成完整的网络攻击链,无需对每一个单独的网络区域的告警信息都进行评估分析,可以及时有效的发现潜在的攻击征兆,进而准确评估整个安全事件的风险和网络安全态势。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明方法的流程图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
如图1所示,本实施例中提供一种提升网络攻击风险评估效率的方法,所述方法应用于连接请求终端、目标设备以及NAT设备之间,连接请求终端与目标设备之间进行数据传输需要NAT设备进行IP地址转换,NAT设备设置在目标设备网络边界处,监控设备用于监控连接请求终端与目标设备之间进行数据传输时的数据安全性,并发出即时的告警信息。上述方法包括以下步骤:
S1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中均包括IP地址。
在本实施例中,按照是否经过NAT设备转换可以将IP地址分为经过NAT设备转换的已转换IP地址和未经NAT设备转换的未转换IP地址,按照数据源划分,IP地址包括源IP地址和目标IP地址,源IP地址为连接请求终端的地址,目标IP地址为目标设备的IP地址。源IP地址在连接请求终端与目标设备连接之间会经过NAT设备单次或多次的转换,同样目标IP地址在连接请求终端与目标设备连接之间会经过NAT设备单次或多次的转换。
S2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表。
在本实施例中,NAT设备对于IP地址的转换分为静态转换或动态转换,若为静态转换,即NAT设备将未转换IP地址转换为唯一的已转换IP地址,若为动态转换,即NAT设备将未转换IP地址转换为不唯一的已转换IP地址,随机选取预先设置多个动态转换IP地址中的一个作为已转换IP地址,例如,当IP地址未转换IP地址时,令源IP地址为A1,若为静态转换时,则NAT设备将A1转换为唯一对应的A2,A2为已转换的源IP地址;若为动态转换时,则NAT设备将A1转换为A2或A3或A4……或An,A2或A3或A4……或An为已转换的源IP地址,具体数量根据实际情况而定。因此根据NAT设备对于IP地址的转换方式将IP地址之间的关联关系划分为静态关系和动态关系,当关联关系为静态关系,IP地址映射表中IP地址之间为一对一的映射关系,IP转换信息为同一未转换IP地址对应唯一的已转换IP地址。当关联关系为动态关系,IP地址映射表中IP地址之间为多对一的映射关系,IP转换信息为同一未转换IP地址对应若干个的已转换IP地址。
S3、IP地址匹配,提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系。
本实施例中,已转换IP地址包括已转换源IP地址和已转换目标IP地址,未转换IP地址包括未转换源IP地址和未转换目标IP地址,将已转换源IP地址和未转换源IP地址作为源IP地址,将已转换目标IP地址和未转换目标IP地址作为目标IP地址,IP地址匹配具体为:提取所有告警信息中的源IP地址和目标IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的源IP地址是否存在关联关系以及每个告警信息中的目标IP地址是否存在关联关系。因此,判断每个告警信息中的所有IP地址是否与其他的告警信息中的IP地址信息均存在关联关系,才认为两个告警信息中的IP地址存在关联关系;当告警信息中的源IP地址与另一告警信息中的源IP地址有关联关系且目标IP地址与另一告警信息中目标IP地址有关联关系时才认为两个告警信息中的IP地址存在关联关系。
S4、划分告警信息,将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件。
本实施例中,将所有具有关联关系的不同IP地址对应的告警信息作为同一连接请求终端在不同数据传输阶段对应的告警信息,将所有具有关联关系的不同IP地址对应的告警信息串联在一起,组成同一告警事件。告警信息还包括警示信息,将所有具有关联关系的不同IP地址对应的告警信息串联在一起具体为:将所有具有关联关系的不同IP地址对应的告警信息中的警示信息串联在一起。
S5、风险评估,根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。
本实施例中,将关联、串联后的告警事件,上传至安全分析引擎,分析引擎从中提取各个网络实体的行为信息,以范式化格式记录保存,通过预设的安全风险分析模型进行综合分析后,形成评估结果,并以可视化的方式呈现。
本实施例中,风险评估模型主要包括:
规则模型:根据提取的网络实体的行为信息与网络攻击特征库进行规则匹配,一旦匹配到符合条件的规则,将根据攻击的危害程度形成相应等级的告警信息。
关联模型:将网络实体的行为信息范式化处理后,通过关联不同类型的设备日志类型,在持续的某个时间窗口内,结合常见的杀伤链规则,判断多个告警事件的相关性,形成动态的关联分析结果。
统计模型:通过时间维度、阈值维度、条件维度等统计网络实体的行为信息的模型,对异常行为产生告警。
AI模型:利用人工AI智能技术对海量安全日志及资产数据进行关联分析,深度挖掘告警事件与资产、用户之间的关联关系,获取隐匿程度较深的高级攻击行为。
情报模型:将网络实体的行为信息中的IP指纹、IP信誉、域名信息、域名信誉、漏洞库、文件信誉等维度信息与外部威胁情报进行匹配,形成更为精准、可信的评估结果。
本发明实施例还提供一种电子设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现如本发明所述的一种提升网络攻击风险评估效率的方法的步骤。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如本发明所述的一种提升网络攻击风险评估效率的方法的步骤。
本发明实施例中的一种提升网络攻击风险评估效率的方法,包括接收监控设备发送的若干告警信息,每条所述告警信息中均包括IP地址;提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;根据预设风险评估规则对告警事件进行风险评估,得到风险评估结果;通过设置的IP地址映射表判断每个告警信息对应的IP地址的关联关系,可以迅速判断出属于同一连接请求终端的告警信息,将同一连接请求终端对应的若干告警信息归并为同一告警事件,打破了同一连接请求终端不同网络区域构成“信息孤岛”,迅速形成完整的网络攻击链,无需对每一个单独的网络区域的告警信息都进行评估分析,可以及时有效的发现潜在的攻击征兆,进而准确评估整个安全事件的风险和网络安全态势。
以上,仅为本发明的较佳实施例而已,并非对本发明作任何形式上的限制;凡本行业的普通技术人员均可按说明书附图所示和以上而顺畅地实施本发明;但是,凡熟悉本专业的技术人员在不脱离本发明技术方案范围内,利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化,均为本发明的等效实施例;同时,凡依据本发明的实质技术对以上实施例所作的任何等同变化的更动、修饰与演变等,均仍属于本发明的技术方案的保护范围之内。
Claims (10)
1.一种提升网络攻击风险评估效率的方法,其特征在于,包括以下步骤:
S1、接收告警信息,接收监控设备发送的若干告警信息,每条告警信息中包括IP地址;
S2、设置IP地址映射表,通过NAT设备中记录的IP转换信息设置含有关联关系以及IP地址的IP地址映射表;
S3、IP地址匹配,提取所有告警信息中的IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的IP地址是否存在关联关系;
S4、划分告警信息,将所有具有关联关系的IP地址对应的告警信息归并为同一告警事件;
S5、风险评估,根据预设风险评估模型对告警事件进行风险评估,得到风险评估结果。
2.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,IP地址包括经过NAT设备转换的已转换IP地址和未经NAT设备转换的未转换IP地址。
3.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,NAT设备对于IP地址的转换包括静态转换和动态转换,若为静态转换,NAT设备将未转换IP地址转换为唯一的已转换IP地址,若为动态转换,NAT设备将未转换IP地址转换为不唯一的已转换IP地址,随机选取预先设置多个动态转换IP地址中的一个作为已转换IP地址。
4.如权利要求3所述的一种提升网络攻击风险评估效率的方法,其特征在于,NAT设备对于IP地址的转换方式将IP地址之间的关联关系划分为静态关系和动态关系,当关联关系为静态关系,IP地址映射表中IP地址之间为一对一的映射关系,IP转换信息为同一未转换IP地址对应唯一的已转换IP地址;当关联关系为动态关系,IP地址映射表中IP地址之间为多对一的映射关系,IP转换信息为同一未转换IP地址对应若干个的已转换IP地址。
5.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,已转换IP地址包括已转换源IP地址和已转换目标IP地址,未转换IP地址包括未转换源IP地址和未转换目标IP地址,将已转换源IP地址和未转换源IP地址作为源IP地址,将已转换目标IP地址和未转换目标IP地址作为目标IP地址。
6.如权利要求5所述的一种提升网络攻击风险评估效率的方法,其特征在于,IP地址匹配具体为:提取所有告警信息中的源IP地址和目标IP地址,根据预先设置在NAT设备中的IP地址映射表判断每个告警信息中的源IP地址是否存在关联关系以及每个告警信息中的目标IP地址是否存在关联关系。
7.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,步骤S4中将所有具有关联关系的不同IP地址对应的告警信息作为同一连接请求终端在不同数据传输阶段对应的告警信息,将所有具有关联关系的不同IP地址对应的告警信息串联在一起,组成同一告警事件;
告警信息还包括警示信息,将所有具有关联关系的不同IP地址对应的告警信息串联在一起具体为:将所有具有关联关系的不同IP地址对应的告警信息中的警示信息串联在一起。
8.如权利要求1所述的一种提升网络攻击风险评估效率的方法,其特征在于,步骤S5中风险评估模型主要包括:
规则模型:根据提取的网络实体的行为信息与网络攻击特征库进行规则匹配,一旦匹配到符合条件的规则,将根据攻击的危害程度形成相应等级的告警信息;
关联模型:将网络实体的行为信息范式化处理后,通过关联不同类型的设备日志类型,在持续的某个时间窗口内,结合常见的杀伤链规则,判断多个告警事件的相关性,形成动态的关联分析结果;
统计模型:通过时间维度、阈值维度、条件维度统计网络实体的行为信息的模型,对异常行为产生告警;
AI模型:利用人工AI智能技术对海量安全日志及资产数据进行关联分析,深度挖掘告警事件与资产、用户之间的关联关系,获取隐匿程度较深的高级攻击行为;
情报模型:将网络实体的行为信息中的IP指纹、IP信誉、域名信息、域名信誉、漏洞库、文件信誉维度信息与外部威胁情报进行匹配,形成更为精准、可信的评估结果。
9.一种电子设备,其特征在于,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-8中任意一项所述的提升网络攻击风险评估效率的方法的步骤。
10.一种计算机可读存储介质,其特征在于,计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8中任意一项所述的提升网络攻击风险评估效率的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110107229.5A CN112887310B (zh) | 2021-01-27 | 2021-01-27 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110107229.5A CN112887310B (zh) | 2021-01-27 | 2021-01-27 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887310A true CN112887310A (zh) | 2021-06-01 |
| CN112887310B CN112887310B (zh) | 2022-09-20 |
Family
ID=76052454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110107229.5A Active CN112887310B (zh) | 2021-01-27 | 2021-01-27 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887310B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489740A (zh) * | 2021-07-20 | 2021-10-08 | 山石网科通信技术股份有限公司 | 网络威胁情报信息的处理方法、装置、存储介质及处理器 |
| CN113949621A (zh) * | 2021-12-22 | 2022-01-18 | 北京微步在线科技有限公司 | 入侵事件的告警关联方法、装置、电子设备及存储介质 |
| CN114070650A (zh) * | 2022-01-11 | 2022-02-18 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
| CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| CN115022155A (zh) * | 2022-05-24 | 2022-09-06 | 深信服科技股份有限公司 | 信息处理方法、装置及存储介质 |
| CN115065592A (zh) * | 2022-05-24 | 2022-09-16 | 深信服科技股份有限公司 | 信息处理方法、装置及存储介质 |
| CN115412358A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100656351B1 (ko) * | 2005-09-12 | 2006-12-11 | 한국전자통신연구원 | 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치 |
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| CN102487334A (zh) * | 2010-12-06 | 2012-06-06 | 中国移动通信集团上海有限公司 | 关联告警信息的确定方法及装置 |
| CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
| CN105681274A (zh) * | 2015-12-18 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种原始告警信息处理的方法及装置 |
| CN110401614A (zh) * | 2018-04-24 | 2019-11-01 | 中移(杭州)信息技术有限公司 | 恶意域名的溯源方法及装置 |
| CN111131126A (zh) * | 2018-10-30 | 2020-05-08 | 中国电信股份有限公司 | 攻击检测方法和装置 |
| CN111709021A (zh) * | 2020-04-22 | 2020-09-25 | 中国科学院信息工程研究所 | 一种基于海量告警的攻击事件识别方法及电子装置 |
| CN111767195A (zh) * | 2020-09-02 | 2020-10-13 | 江苏达科云数据科技有限公司 | 一种告警信息智能降噪的处理方法 |
| CN112039841A (zh) * | 2020-07-23 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 安全事件归并处理方法、装置、电子设备及存储介质 |
-
2021
- 2021-01-27 CN CN202110107229.5A patent/CN112887310B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100656351B1 (ko) * | 2005-09-12 | 2006-12-11 | 한국전자통신연구원 | 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치 |
| CN201491020U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 基于事件分类和规则树的关联分析装置 |
| CN102487334A (zh) * | 2010-12-06 | 2012-06-06 | 中国移动通信集团上海有限公司 | 关联告警信息的确定方法及装置 |
| CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
| CN105681274A (zh) * | 2015-12-18 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种原始告警信息处理的方法及装置 |
| CN110401614A (zh) * | 2018-04-24 | 2019-11-01 | 中移(杭州)信息技术有限公司 | 恶意域名的溯源方法及装置 |
| CN111131126A (zh) * | 2018-10-30 | 2020-05-08 | 中国电信股份有限公司 | 攻击检测方法和装置 |
| CN111709021A (zh) * | 2020-04-22 | 2020-09-25 | 中国科学院信息工程研究所 | 一种基于海量告警的攻击事件识别方法及电子装置 |
| CN112039841A (zh) * | 2020-07-23 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 安全事件归并处理方法、装置、电子设备及存储介质 |
| CN111767195A (zh) * | 2020-09-02 | 2020-10-13 | 江苏达科云数据科技有限公司 | 一种告警信息智能降噪的处理方法 |
Non-Patent Citations (4)
| Title |
|---|
| 何学东: "安全事件管理系统中关联分析引擎的实现", 《计算机安全》 * |
| 吴建台等: "一种基于关联分析和HMM的网络安全态势评估方法", 《计算机与现代化》 * |
| 彭雪娜等: "一个融合网络安全信息的安全事件分析与预测模型", 《东北大学学报(自然科学版)》 * |
| 邓维斌等: "融合网络安全信息的网络安全态势评估模型", 《微计算机信息》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489740A (zh) * | 2021-07-20 | 2021-10-08 | 山石网科通信技术股份有限公司 | 网络威胁情报信息的处理方法、装置、存储介质及处理器 |
| CN113489740B (zh) * | 2021-07-20 | 2023-10-27 | 山石网科通信技术股份有限公司 | 网络威胁情报信息的处理方法、装置、存储介质及处理器 |
| CN113949621A (zh) * | 2021-12-22 | 2022-01-18 | 北京微步在线科技有限公司 | 入侵事件的告警关联方法、装置、电子设备及存储介质 |
| CN113949621B (zh) * | 2021-12-22 | 2022-03-29 | 北京微步在线科技有限公司 | 入侵事件的告警关联方法、装置、电子设备及存储介质 |
| CN114070650A (zh) * | 2022-01-11 | 2022-02-18 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
| CN114070650B (zh) * | 2022-01-11 | 2022-05-17 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
| CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| CN115022155A (zh) * | 2022-05-24 | 2022-09-06 | 深信服科技股份有限公司 | 信息处理方法、装置及存储介质 |
| CN115065592A (zh) * | 2022-05-24 | 2022-09-16 | 深信服科技股份有限公司 | 信息处理方法、装置及存储介质 |
| CN115412358A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
| CN115412358B (zh) * | 2022-09-02 | 2024-01-30 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887310B (zh) | 2022-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112887310B (zh) | 一种提升网络攻击风险评估效率的方法、设备及介质 | |
| CN108763031A (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
| CN114124552B (zh) | 一种网络攻击的威胁等级获取方法、装置和存储介质 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| WO2021169730A1 (zh) | 一种数据处理方法、装置和存储介质 | |
| CN105208009B (zh) | 一种账号安全检测方法及装置 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| CN111767573A (zh) | 数据库安全管理方法、装置、电子设备及可读存储介质 | |
| CN114760106B (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
| CN112748987B (zh) | 一种基于虚拟主机的行为安全处理方法及设备 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN108282446A (zh) | 识别扫描器的方法及设备 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN116595554B (zh) | 基于多维度实现政务数据安全性分析方法及装置 | |
| CN116776390A (zh) | 一种数据泄漏行为的监测方法、装置、存储介质及设备 | |
| CN115664868B (zh) | 安全等级确定方法、装置、电子设备和存储介质 | |
| CN111726355A (zh) | 一种基于大数据的网络安全态势感知系统 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN115348109B (zh) | 工业生产威胁预警方法、系统、电子设备及存储介质 | |
| CN113556308B (zh) | 一种流量安全性检测方法、系统、设备及计算机存储介质 | |
| CN114978766B (zh) | 基于大数据的隐私安全保护方法、装置、设备及介质 | |
| US11822655B1 (en) | False alarm reduction by novelty detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |