CN112966002B - 一种安全管理方法、装置、设备及机器可读存储介质 - Google Patents
一种安全管理方法、装置、设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN112966002B CN112966002B CN202110222335.8A CN202110222335A CN112966002B CN 112966002 B CN112966002 B CN 112966002B CN 202110222335 A CN202110222335 A CN 202110222335A CN 112966002 B CN112966002 B CN 112966002B
- Authority
- CN
- China
- Prior art keywords
- sub
- rule
- safety
- rules
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供一种安全管理方法、装置、设备及机器可读存储介质,该方法包括:生成安全日志子规则、目标设备子规则、脆弱性子规则;选择关联的安全日志子规则、目标设备子规则、脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。通过本公开的技术方案,根据安全日志、目标设备的信息和脆弱性建立子规则,当进行安全分析时,首先运行子规则,并记录子规则的运行结果,安全规则根据关联的子规则的运行结果和预设运算关系,得到安全状态。
Description
技术领域
本公开涉及通信技术领域,尤其是涉及一种安全管理方法、装置、设备及机器可读存储介质。
背景技术
在云场景环境中,部署防火墙、入侵检测等安全设备,以防护目标设备安全,如何评估目标设备安全状态变得日益迫切。一种方案中仅对安全日志进行审计,利用关联规则挖掘出有效的安全事件,去评估目标设备安全状态。
通过安全设备日志维度挖掘安全事件,缺少目标设备以及目标设备脆弱性维度的子规则事件。在关联分析过程中每个规则的子规则都需要从全量数据中找到与之匹配的日志数据,会重复计算多次,从而影响分析效率。
发明内容
有鉴于此,本公开提供一种安全管理方法、装置及电子设备、机器可读存储介质,以改善上述安全分析重复计算较多、缺少与目标设备脆弱性关联之一的技术问题。
具体地技术方案如下:
本公开提供了一种安全管理方法,应用于安全设备,所述方法包括:根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。
作为一种技术方案,所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
作为一种技术方案,所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
作为一种技术方案,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:若判定符合安全规则,则输出安全事件,记录安全日志;若判定不符合安全规则,则记录安全日志。
本公开同时提供了一种安全管理装置,应用于安全设备,所述装置包括:子规则模块,用于根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;规则模块,用于根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;运行模块,用于根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。
作为一种技术方案,所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
作为一种技术方案,所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
作为一种技术方案,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:若判定符合安全规则,则输出安全事件,记录安全日志;若判定不符合安全规则,则记录安全日志。
本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的安全管理方法。
本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的安全管理方法。
本公开提供的上述技术方案至少带来了以下有益效果:
根据安全日志、目标设备的信息和脆弱性建立子规则,当进行安全分析时,首先运行子规则,并记录子规则的运行结果,安全规则根据关联的子规则的运行结果和预设运算关系,得到安全状态,避免子规则在不同安全规则下重复运行计算,且建立与目标设备安全脆弱性的关联。
附图说明
为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
图1是本公开一种实施方式中的安全管理方法的流程图;
图2是本公开一种实施方式中的安全管理装置的结构图;
图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在一种技术方案中,收集多种安全设备日志,通过配置关联规则挖掘出安全事件。
首先配置安全规则,安全规则定义依据应用场景,安全规则可以绑定多个子规则,从而挖掘出有价值的安全日志集合,如恶意主机外联、漏洞利用攻击、感染恶意文件等。
然后配置子规则,子规则定义依据每种安全设备日志细分出具体攻击场景,将每种类型定义为一种子事件,如恶意域名事件、恶意文件事件、扫描侦查事件等。
安全规则可以配置多个子规则,子规则之间可以有多种运算关系,如全部匹配、任一匹配、顺序匹配等,具体地,规则中子规则之间使用全部匹配时,需要满足每条子规则的条件,才会输出该规则的安全事件;使用任意匹配时,需要满足任一个子规则,就会输出该规则的安全事件;使用顺序匹配时,需要顺序满足子规则,才会输出该规则的安全事件。
通过上述方法进行关联规则配置后,启动任务获取规则集合,对收到安全设备日志数据流进行分析,对数据流中数据每条规则根据配置的子规则都需要做判断,符合规则的条件后,输出安全事件。
其中,根据各种安全设备上报的日志进行划分归类,抽象成不同类型的安全日志子规则;根据场景配置规则,规则下挂不同的安全日志子规则。
具体执行时,获取规则列表,任务建立起规则树,存储规则包含子规则的关系图;获取安全设备上报的日志数据,每个规则根据规则所包含的子规则列表对日志数据流中全部数据进行分析,如果符合规则,输出安全事件,否则,不输出。
通过安全设备日志维度挖掘安全事件,缺少目标设备以及目标设备脆弱性维度的子规则事件。关联规则配置完后,规则的子规则只隶属于该规则,在关联分析过程中每个规则的子规则都需要从全量数据中找到与之匹配的日志数据,当规则中子规则被其他规则重复使用时,会重复计算多次,从而影响分析效率。
有鉴于此,本公开提供一种安全管理方法、装置及电子设备、机器可读存储介质,以改善上述技术问题的问题。
具体地技术方案如后述。
在一种实施方式中,本公开提供了一种安全管理方法,应用于安全设备,所述方法包括:根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。
具体地,如图1,包括以下步骤:
步骤S11,根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则。
步骤S12,根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系。
步骤S13,根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。
根据安全日志、目标设备的信息和脆弱性建立子规则,当进行安全分析时,首先运行子规则,并记录子规则的运行结果,安全规则根据关联的子规则的运行结果和预设运算关系,得到安全状态,避免子规则在不同安全规则下重复运行计算,且建立与目标设备安全脆弱性的关联。
在一种实施方式中,所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
在一种实施方式中,所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
在一种实施方式中,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:若判定符合安全规则,则输出安全事件,记录安全日志;若判定不符合安全规则,则记录安全日志。
在一种实施方式中,以目标设备为核心进行关联安全规则配置,将目标设备抽象成子规则,同时根据目标设备脆弱性生成子规则并与安全日志子规则均作为辅助条件,满足目标设备安全状态监测需求。
改进安全规则配置后的匹配方法,将子规则作为安全规则的引用,每个安全规则都可以复用子规则,在数据流匹配中,每个子规则只会处理一次日志数据,从而提高分析效率。
根据安全设备上报的安全日志,以及目标设备、目标设备脆弱性生成子规则,以目标设备为核心进行关联分析数据,通过安全规则引用子规则的形式,每个子规则只会处理一次日志数据,让安全规则复用子规则处理后的结果,以达到提高分析效率。
根据各种安全设备上报的日志进行划分归类,生成不同类型的安全日志子规则。录入目标设备,获取目标设备价值、目标设备关注度、目标设备安全防护级别等目标设备基本信息,生成不同类型的目标设备子规则。录入目标设备脆弱性信息,获取目标设备所属的安全漏洞、密码强度、配置风险等信息,生成不同类型的目标设备脆弱性子规则。根据场景配置安全规则,安全规则根据需要引用不同的子规则。
运行子规则,将所有子规则去匹配日志数据、目标设备数据、目标设备脆弱性数据,所有子规则只需处理一次,同时缓存子规则命中后的数据信息。运行安全规则,获取安全规则树中安全规则引用子规则关系图,根据安全规则里配置的子规则之间运算关系,对子规则命中后的缓存数据进行子规则之间运算,由于子规则命中后的缓存数据可以重复利用,可以有效改善技术方案一中多安全规则引用相同子规则时子规则需要重复计算问题,如果符合安全规则,输出安全事件,否则,不输出。
在一种实施方式中,本公开同时提供了一种安全管理装置,如图2,应用于安全设备,所述装置包括:子规则模块21,用于根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;规则模块22,用于根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;运行模块23,用于根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。
在一种实施方式中,所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
在一种实施方式中,所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
在一种实施方式中,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:若判定符合安全规则,则输出安全事件,记录安全日志;若判定不符合安全规则,则记录安全日志。
装置实施方式与对应的方法实施方式相同或相似,在此不再赘述。
在一种实施方式中,本公开提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的安全管理方法,从硬件层面而言,硬件架构示意图可以参见图3所示。
在一种实施方式中,本公开提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的安全管理方法。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施方式阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施方式可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本公开的实施方式可提供为方法、系统或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本公开的实施方式而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。
Claims (10)
1.一种安全管理方法,其特征在于,应用于安全设备,所述方法包括:
根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;
根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;
根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,具体地,包括,
由安全规则复用子规则处理后的结果,运行子规则时,将所有子规则匹配日志数据、目标设备数据、目标设备脆弱性数据,每个子规则处理一次日志数据并缓存命中的数据信息,获取安全规则树中安全规则引用子规则关系图,根据安全规则里配置的子规则之间运算关系,运行安全规则时,对子规则命中后的缓存数据进行子规则之间运算。
2.根据权利要求1所述的方法,其特征在于,
所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
3.根据权利要求1所述的方法,其特征在于,
所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
4.根据权利要求1所述的方法,其特征在于,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:
若判定符合安全规则,则输出安全事件,记录安全日志;
若判定不符合安全规则,则记录安全日志。
5.一种安全管理装置,其特征在于,应用于安全设备,所述装置包括:
子规则模块,用于根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;
规则模块,用于根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;
运行模块,用于根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,具体地,包括,
由安全规则复用子规则处理后的结果,运行子规则时,将所有子规则匹配日志数据、目标设备数据、目标设备脆弱性数据,每个子规则处理一次日志数据并缓存命中的数据信息,获取安全规则树中安全规则引用子规则关系图,根据安全规则里配置的子规则之间运算关系,运行安全规则时,对子规则命中后的缓存数据进行子规则之间运算。
6.根据权利要求5所述的装置,其特征在于,
所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
7.根据权利要求5所述的装置,其特征在于,
所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
8.根据权利要求5所述的装置,其特征在于,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:
若判定符合安全规则,则输出安全事件,记录安全日志;
若判定不符合安全规则,则记录安全日志。
9.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令,以实现权利要求1-4任一所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110222335.8A CN112966002B (zh) | 2021-02-28 | 2021-02-28 | 一种安全管理方法、装置、设备及机器可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110222335.8A CN112966002B (zh) | 2021-02-28 | 2021-02-28 | 一种安全管理方法、装置、设备及机器可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112966002A CN112966002A (zh) | 2021-06-15 |
CN112966002B true CN112966002B (zh) | 2023-04-18 |
Family
ID=76275810
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110222335.8A Active CN112966002B (zh) | 2021-02-28 | 2021-02-28 | 一种安全管理方法、装置、设备及机器可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112966002B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112422638A (zh) * | 2020-10-28 | 2021-02-26 | 北京北明数科信息技术有限公司 | 数据实时流处理方法、系统、计算机装置和存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102158355B (zh) * | 2011-03-11 | 2013-08-14 | 广州蓝科科技股份有限公司 | 一种可并发和断续分析的日志事件关联分析方法和装置 |
US10158660B1 (en) * | 2013-10-17 | 2018-12-18 | Tripwire, Inc. | Dynamic vulnerability correlation |
JPWO2019181005A1 (ja) * | 2018-03-19 | 2021-03-11 | 日本電気株式会社 | 脅威分析システム、脅威分析方法および脅威分析プログラム |
US11012472B2 (en) * | 2018-12-05 | 2021-05-18 | International Business Machines Corporation | Security rule generation based on cognitive and industry analysis |
CN110545276B (zh) * | 2019-09-03 | 2022-06-21 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
CN110620790B (zh) * | 2019-10-10 | 2021-11-02 | 国网山东省电力公司信息通信公司 | 一种网络安全设备联动处置方法及装置 |
CN110855625A (zh) * | 2019-10-17 | 2020-02-28 | 新华三信息安全技术有限公司 | 基于流式处理的异常分析方法、装置及存储介质 |
CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
-
2021
- 2021-02-28 CN CN202110222335.8A patent/CN112966002B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112422638A (zh) * | 2020-10-28 | 2021-02-26 | 北京北明数科信息技术有限公司 | 数据实时流处理方法、系统、计算机装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112966002A (zh) | 2021-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
Sheen et al. | Ransomware detection by mining API call usage | |
US11847216B2 (en) | Analysis device, analysis method and computer-readable recording medium | |
US20170155683A1 (en) | Remedial action for release of threat data | |
CN113486339A (zh) | 一种数据处理方法、装置、设备及机器可读存储介质 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
EP3531324A1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
KR102045772B1 (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
CN112966002B (zh) | 一种安全管理方法、装置、设备及机器可读存储介质 | |
CN112559595A (zh) | 安全事件挖掘方法、装置、存储介质及电子设备 | |
CN113992355B (zh) | 一种攻击预测方法、装置、设备及机器可读存储介质 | |
CN111818030A (zh) | 一种恶意域名请求终端的快速定位处置方法及系统 | |
CN112953895B (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
Flaglien et al. | Identifying malware using cross-evidence correlation | |
US10599845B2 (en) | Malicious code deactivating apparatus and method of operating the same | |
CN111353155B (zh) | 一种进程注入的检测方法、装置、设备及介质 | |
CN113779575A (zh) | 一种攻击分析处理方法、装置、设备及机器可读存储介质 | |
CN114021134A (zh) | 基于关联程序追踪的程序处理方法及装置、存储介质 | |
CN113987502A (zh) | 目标程序检测方法、设备及存储介质 | |
CN116471071A (zh) | 一种可疑文件深度分析鉴定方法、系统、设备及介质 | |
CN115333772A (zh) | 网络安全检测方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |