CN113034028A - 一种责任溯源的认定系统 - Google Patents
一种责任溯源的认定系统 Download PDFInfo
- Publication number
- CN113034028A CN113034028A CN202110392547.0A CN202110392547A CN113034028A CN 113034028 A CN113034028 A CN 113034028A CN 202110392547 A CN202110392547 A CN 202110392547A CN 113034028 A CN113034028 A CN 113034028A
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- data acquisition
- event
- responsibility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012790 confirmation Methods 0.000 title claims abstract description 45
- 238000004458 analytical method Methods 0.000 claims abstract description 85
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000007405 data analysis Methods 0.000 claims abstract description 28
- 238000007781 pre-processing Methods 0.000 claims abstract description 7
- 238000007726 management method Methods 0.000 claims description 61
- 230000006399 behavior Effects 0.000 claims description 56
- 238000010219 correlation analysis Methods 0.000 claims description 45
- 230000008569 process Effects 0.000 claims description 40
- 238000012550 audit Methods 0.000 claims description 18
- 238000013480 data collection Methods 0.000 claims description 17
- 238000007639 printing Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 13
- 238000011161 development Methods 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 10
- 230000003287 optical effect Effects 0.000 claims description 10
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 8
- 238000007792 addition Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000013500 data storage Methods 0.000 claims description 6
- 238000009434 installation Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 238000011835 investigation Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 claims description 3
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 claims description 3
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 claims description 3
- 101150030531 POP3 gene Proteins 0.000 claims description 3
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000012098 association analyses Methods 0.000 claims description 3
- 230000001364 causal effect Effects 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 238000012502 risk assessment Methods 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 238000012800 visualization Methods 0.000 claims description 3
- 230000006872 improvement Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0631—Resource planning, allocation, distributing or scheduling for enterprises or organisations
- G06Q10/06311—Scheduling, planning or task assignment for a person or group
- G06Q10/063114—Status monitoring or status determination for a person or group
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/252—Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
- G06Q30/0185—Product, service or business identity fraud
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Databases & Information Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种责任溯源的认定系统,包括软硬件基础层、基础模块、数据采集层、预处理层、数据分析层和展示管理层,所述软硬件基础层为责任溯源认定系统统一监控和管理的对象,包括主机、网络、数据库、服务器、云平台、业务应用、证书、网络设备,责任溯源认定系统为软硬件基础层的上层管理分析平台;本发明将取证的对象由原来单一的终端采集信息转变为各种终端、服务器、网络、数据库、应用、网络设备、证书、云平台等系统的采集信息,通过数据采集层采集海量数据,根据实际情况和需求,在知识背景下合理的对原始采集数据源进行预处理,从而将采集到的信息保持在可以处理的范围内,为安全事件责任定位提供有效依据。
Description
技术领域
本发明涉及责任认定技术领域,尤其涉及一种责任溯源的认定系统。
背景技术
随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益加强,信息安全已经成为国家安全的重要组成部分,网络信任体系是国家信息安全保障体系的重要组成部分,是实施国家信息化战略的重要保障,是建设诚信和谐社会的必然要求,是信息化和信息安全的重要基础设施,推进网络信任体系的建设,对于加快各种信息系统和网络的应用进程,维护网络活动中有关各方的合法权益,促进电子政务、电子商务的发展,为信息化建设提供安全保障,具有现实和长远的意义;
网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,来解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系,其中责任认定是建立在身份认证和授权管理的基础上的审计机制,在网络系统安全中发挥着重要作用,完备的责任认定数据分析系统是有效推进责任认定工作的前提,是实现网络行为可核查、网络事件责任可追究的基础;
现有技术中,责任认定的取证对象一般为单一的终端采集信息,数据单一,难以为安全事件责任定位提供有效依据,认定结果不具备说服力,且现有技术中,分析过程需要从头到尾分析所有日志的所有记录,效率低下,因此,本发明提出一种责任溯源的认定系统以解决现有技术中存在的问题。
发明内容
针对上述问题,本发明提出一种责任溯源的认定系统,该责任溯源的认定系统将取证的对象由原来单一的终端采集信息转变为各种终端、服务器、网络、数据库、应用、网络设备、证书、云平台等系统的采集信息,通过数据采集层采集海量数据,根据实际情况和需求,在知识背景下合理的对原始采集数据源进行预处理,从而将采集到的信息保持在可以处理的范围内,为安全事件责任定位提供有效依据。
为实现本发明的目的,本发明通过以下技术方案实现:一种责任溯源的认定系统,包括软硬件基础层、基础模块、数据采集层、预处理层、数据分析层和展示管理层,所述软硬件基础层为责任溯源认定系统统一监控和管理的对象,包括主机、网络、数据库、服务器、云平台、业务应用、证书、网络设备,责任溯源认定系统为软硬件基础层的上层管理分析平台,同时软硬件基础层是责任溯源认定系统实现安全监控和管理的具体手段和数据来源;所述基础模块包括实名身份认证模块和时间戳同步模块;所述数据采集层用于采集被监控对象层的数据,并将该数据上传到数据分析层,包括终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统;所述预处理层用于对采集的信息进行数据清洗、数据归一和分布式储存;所述数据分析层以线索分析和特征提取为基础,通过事件研判,根据分析人员设定的条件做出对应的风险评估,以及判断指定时间范围内某类事件的发展趋势,所述展示管理层通过可视化的方式将监测对象的运行状态、安全事件、安全风险展现给用户,使用户全面掌握当前网络安全状态,并预测未来网络安全发展趋势并依此修改、制定管理规则、配置策略。
进一步改进在于:所述终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统用于:用户数据采集、进程数据采集、服务数据采集、共享数据采集、打印数据采集、文件数据采集、开关机数据采集、刻录数据采集、软件数据采集、日志数据采集、注册表数据采集、硬件数据采集、流量数据采集、第三方数据库数据采集、日志文件采集和协议采集。
进一步改进在于:所述用户数据采集支持对主机上用户的变更,包括增加、删除、修改用户的行为进行数据采集,同时对主机进行控制,包括禁止其增加用户、禁止修改用户;所述进程数据采集支持采集主机上的进程数据信息,通过对进程黑白名单的设置,将进程设置为合法和非法进程,一旦主机上启动非法黑名单进程,及时阻断并报警,启动白名单中的进程则记录,但不阻断,实时监测主机上进程使用情况,包括内存、CPU使用率;所述服务数据采集支持收集系统服务数据信息,包括服务名、服务描述、服务启动类型以及服务的当前状态,当对受控主机启动、关闭服务时,产生报警信息,通过设置服务的黑白名单,启动黑名单中的服务报警,一旦对白名单中的服务进行了属性的修改则产生报警;所述共享数据采集支持对主机上的共享文件进行数据采集,采集主机的文件共享情况,包括共享文件路径、文件名信息,同时监控是否允许主机增加共享、删除共享操作;所述打印数据采集支持对主机的打印行为进行数据采集,控制本地打印与网络打印,详细记录文件打印的时间、用户、使用的打印机信息;所述文件数据采集支持根据文件的扩展名、文件名、路径名,对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行数据采集,并针对客户端用户向可移动设备复制的文件进行数据采集;所述开关机数据采集支持对主机的开关机操作进行数据采集,通过策略设置,对非指定时间内开机的行为进行报警;所述刻录数据采集支持对光盘刻录的行为进行数据采集,禁止、允许刻录行为;所述软件数据采集支持对主机软件安装情况并对软件安装信息变化进行数据采集,包括软件的安装和卸载,产生相应的报警信息;所述日志数据采集支持对主机上的系统日志、安全日志进行统一数据采集和管理;所述注册表数据采集支持对主机上注册表的变更,包括增加、删除、修改注册表的行为进行数据采集,同时对主机进行控制,包括禁止其增加、修改、删除注册表项以及项数据;所述硬件数据采集通过设置规则,禁止主机的外联设备,并对其进行监管和控制,允许、禁止用户使用计算机的光驱、USB设备在内的I/O设备、USB光驱,记录被监控主机违规操作情况;所述流量数据采集支持对网络上的数据流量进行数据采集,支持按照IP地址、上传流量、下载流量、部门和风险级别进行分析,对超出设定流量的访问行为采取告警监控措施,并记入日志,并定义条件对IP、TCP、UDP、ICMP、HTTP、SMTP、FTP、POP3应用协议的网络流量进行分析监测;所述第三方数据库数据采集支持oracle、SQL Server、达梦数据库的数据采集过滤处理;所述日志文件采集支持应用、系统日志文件采集,支持配置日志文件格式;所述协议采集支持常用协议数据采集,包括tcp、ftp、syslog、http、pop3、smtp、telnet、ip-mac协议。
进一步改进在于:所述数据分析层包括事件关联分析模块、责任认定分析模块和安全事件预警模块,所述事件关联分析模块将来自不同事件源的事件进行分析,从海量事件中过滤出有逻辑相关的事件序列,并根据告警策略、资产的业务价值和资产的脆弱性,形成相应的告警事件,事件关联分析模块具备事件关联分析引擎,用于识别可能成为安全威胁的事件,关联分析引擎结合资产和漏洞对安全事件提供多维关联分析,并预置关联分析规则,甄别出可能成功的违规行为,使管理员能够迅速关注高危安全事件,关联分析方式包括:逻辑关联:根据安全事件发生的因果关系,进行逻辑上关联分析,支持逻辑的比较和嵌套,支持前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理;资产关联:将安全事件关联到资产,过滤掉相关程度低的事件;清单关联:将安全事件与操作系统、提供的服务信息进行关联,进一步过滤没有造成安全威胁的事件;交叉关联:将安全事件与资源、人员进行关联;所述事件关联分析模块内置关联分析规则库,提供规则编辑器,用于事件分析人员编写关联分析规则,针对关联分析产生的安全事件追溯其关联事件。
进一步改进在于:所述责任认定分析模块为建立在身份认证和授权管理基础上的审计机制,通过记录、保留、审计安全相关事件来确定行为主体的责任,从而实现网络行为可核查、网络事件责任可追究的目标,其中,责任认定对象包括硬件设备、软件应用以及信息资源;责任认定分析服务由数据采集分析人员协助用户管理人员进行数据的收集,并利用系统进行智能汇总,定期由数据采集分析人员协助管理人员对汇总的综合信息进行人工分析,并提交最终数据采集报告;责任认定分析功能包括日志数据分类管理、数据存储管理、责任认定分析报告服务和数据查询统计,所述日志数据分类管理支持按照收集对象、日志级别、事件属性和系统自定义的规则对收集的日志数据进行分类管理;数据存储管理支持对收集的原始日志数据、经过预处理的日志数据、分析报告及关联日志证据信息进行安全保存;责任认定分析报告服务提供异常、违规行为责任认定的支撑服务,通过对关联事件收集的分类日志数据进行关联整合、分析和智能检索,形成涉及该安全事件行为主体的行为轨迹,实现安全事件的倒查追溯、取证,并输出形成该安全事件的分析报告支撑用户进行安全事件的责任认定工作,在内容上包含该安全事件关联的所有人员、事件产生的起始时间、事件产生位置、事件过程和结果分析、事件安全级别和事件责任认定初步判定服务支撑信息,支持根据用户预设的安全事件类型、范围条件,根据需要,自动按用户要求定时提供当天安全事件的责任认定服务的分析报告;所述数据查询统计提供日志数据收集对象数量、分类日志数量、分析报告数量、下级系统数量查询、统计功能,支持从多个维度实时对统计对象进行统计分析和图形化方式进行可视化呈现。
进一步改进在于:所述安全事件预警模块通过安全事件分析生成系统运维分析报告、行为常规分析报告、异常行为分析报告和违规操作行为报告,运维分析报告、行为常规分析报告为日常行为分析,根据日常行为信息自主生成安全操作的日志模板,通过比对,确认用户操作有无异常行为或违规操作;异常行为分析报告和违规操作行为报告为责任认定服务,用户通过时间节点、事件主体、关键字、身份信息进行筛选,由责任认定数据分析系统排除无关信息,形成相关责任认定报告用于事件溯源和责任认定分析,针对分析结果,对用户进行安全事件的预警。
进一步改进在于:所述展示管理层提供首页动态展示功能,用于展示事件关联分析模块、责任认定分析模块和安全事件预警模块的数据。
进一步改进在于:所述数据采集层中,采集数据的传输采用一次性密码认证的帧传输方式,一帧包括帧头、内容和帧尾,对整个帧进行加密,并且增加完整性校验,支持数据签名和可信时间戳,当数据采集层与数据分析层连接不成功,则采集数据加密后临时保存于本地,等连接后再上传,同时本地信息删除,且数据采集层中,在没有授权的情况下,无法卸载、删除、修改和禁止相关的采集进程和服务的运行。
进一步改进在于:责任溯源认定系统采用多级分布式部署,支持配置上下级联动,支持多级部署方式,支持数据上报与协查,对于跨区域跨网段的大型网络在各服务节点部署管理中心,多级中心之间,上级中心向下级中心下发策略文件,下级中心严格按照策略执行,并制定次生策略,下级中心定时将报警信息发送到上级中心,以供上级查阅或深度分析。
本发明的有益效果为:本发明将取证的对象由原来单一的终端采集信息转变为各种终端、服务器、网络、数据库、应用、网络设备、证书、云平台等系统的采集信息,通过数据采集层采集海量数据,根据实际情况和需求,在知识背景下合理的对原始采集数据源进行预处理,从而将采集到的信息保持在可以处理的范围内,为安全事件责任定位提供有效依据,且本发明对采集的日志数据的格式进行统一,转换为关联分析可以处理的比较规范的数据,并在庞大的采集信息中寻找责任认定工作人员感兴趣的相关数据,避免从头到尾分析所有日志的所有记录,以节省时间、提高效率,并通过数据关联分析算法进行分析,执行的过程是具有逻辑性的日志发掘过程,分析结果具有说服力,同时,从海量数据中分析和统计网络中存在的安全威胁,通过关联分析及与其他组件的组合,实现安全预警、防护、责任认定的闭环管理,帮助客户及时准确地了解自身网络安全现状和走势,从而以最小的投入获取最大的安全,另外,本发明生成责任认定分析报告、系统运维分析报告、行为常规分析报告、异常行为分析报告和违规操作行为报告,方便对所有的事件信息进行查询、统计、分析,使用方便。
附图说明
图1为本发明的系统架构概括示意图;
图2为本发明的系统架构示意图;
图3为本发明的提交数据采集报告流程图;
图4为本发明的分布式部署示意图。
具体实施方式
为了加深对本发明的理解,下面将结合实施例对本发明做进一步详述,本实施例仅用于解释本发明,并不构成对本发明保护范围的限定。
根据图1、2、3、4所示,本实施例提出了一种责任溯源的认定系统,包括软硬件基础层、基础模块、数据采集层、预处理层、数据分析层和展示管理层,所述软硬件基础层为责任溯源认定系统统一监控和管理的对象,包括主机、网络、数据库、服务器、云平台、业务应用、证书、网络设备,责任溯源认定系统为软硬件基础层的上层管理分析平台,同时软硬件基础层是责任溯源认定系统实现安全监控和管理的具体手段和数据来源;所述基础模块包括实名身份认证模块和时间戳同步模块;所述数据采集层用于采集被监控对象层的数据,并将该数据上传到数据分析层,包括终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统;所述预处理层用于对采集的信息进行数据清洗、数据归一和分布式储存;所述数据分析层以线索分析和特征提取为基础,通过事件研判,根据分析人员设定的条件做出对应的风险评估,以及判断指定时间范围内某类事件的发展趋势,所述展示管理层通过可视化的方式将监测对象的运行状态、安全事件、安全风险展现给用户,使用户全面掌握当前网络安全状态,并预测未来网络安全发展趋势并依此修改、制定管理规则、配置策略。
所述终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统用于:用户数据采集、进程数据采集、服务数据采集、共享数据采集、打印数据采集、文件数据采集、开关机数据采集、刻录数据采集、软件数据采集、日志数据采集、注册表数据采集、硬件数据采集、流量数据采集、第三方数据库数据采集、日志文件采集和协议采集。
所述用户数据采集支持对主机上用户的变更,包括增加、删除、修改用户的行为进行数据采集,同时对主机进行控制,包括禁止其增加用户、禁止修改用户;所述进程数据采集支持采集主机上的进程数据信息,通过对进程黑白名单的设置,将进程设置为合法和非法进程,一旦主机上启动非法黑名单进程,及时阻断并报警,启动白名单中的进程则记录,但不阻断,实时监测主机上进程使用情况,包括内存、CPU使用率;所述服务数据采集支持收集系统服务数据信息,包括服务名、服务描述、服务启动类型以及服务的当前状态,当对受控主机启动、关闭服务时,产生报警信息,通过设置服务的黑白名单,启动黑名单中的服务报警,一旦对白名单中的服务进行了属性的修改则产生报警;所述共享数据采集支持对主机上的共享文件进行数据采集,采集主机的文件共享情况,包括共享文件路径、文件名信息,同时监控是否允许主机增加共享、删除共享操作;所述打印数据采集支持对主机的打印行为进行数据采集,控制本地打印与网络打印,详细记录文件打印的时间、用户、使用的打印机信息;所述文件数据采集支持根据文件的扩展名、文件名、路径名,对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行数据采集,并针对客户端用户向可移动设备复制的文件进行数据采集;所述开关机数据采集支持对主机的开关机操作进行数据采集,通过策略设置,对非指定时间内开机的行为进行报警;所述刻录数据采集支持对光盘刻录的行为进行数据采集,禁止、允许刻录行为;所述软件数据采集支持对主机软件安装情况并对软件安装信息变化进行数据采集,包括软件的安装和卸载,产生相应的报警信息;所述日志数据采集支持对主机上的系统日志、安全日志进行统一数据采集和管理;所述注册表数据采集支持对主机上注册表的变更,包括增加、删除、修改注册表的行为进行数据采集,同时对主机进行控制,包括禁止其增加、修改、删除注册表项以及项数据;所述硬件数据采集通过设置规则,禁止主机的外联设备,并对其进行监管和控制,允许、禁止用户使用计算机的光驱、USB设备在内的I/O设备、USB光驱,记录被监控主机违规操作情况;所述流量数据采集支持对网络上的数据流量进行数据采集,支持按照IP地址、上传流量、下载流量、部门和风险级别进行分析,对超出设定流量的访问行为采取告警监控措施,并记入日志,并定义条件对IP、TCP、UDP、ICMP、HTTP、SMTP、FTP、POP3应用协议的网络流量进行分析监测;所述第三方数据库数据采集支持oracle、SQL Server、达梦数据库的数据采集过滤处理;所述日志文件采集支持应用、系统日志文件采集,支持配置日志文件格式;所述协议采集支持常用协议数据采集,包括tcp、ftp、syslog、http、pop3、smtp、telnet、ip-mac协议。
所述数据分析层包括事件关联分析模块、责任认定分析模块和安全事件预警模块,所述事件关联分析模块将来自不同事件源的事件进行分析,从海量事件中过滤出有逻辑相关的事件序列,并根据告警策略、资产的业务价值和资产的脆弱性,形成相应的告警事件,事件关联分析模块具备事件关联分析引擎,用于识别可能成为安全威胁的事件,关联分析引擎结合资产和漏洞对安全事件提供多维关联分析,并预置关联分析规则,甄别出可能成功的违规行为,使管理员能够迅速关注高危安全事件,关联分析方式包括:逻辑关联:根据安全事件发生的因果关系,进行逻辑上关联分析,支持逻辑的比较和嵌套,支持前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理;资产关联:将安全事件关联到资产,过滤掉相关程度低的事件;清单关联:将安全事件与操作系统、提供的服务信息进行关联,进一步过滤没有造成安全威胁的事件;交叉关联:将安全事件与资源、人员进行关联;所述事件关联分析模块内置关联分析规则库,提供规则编辑器,用于事件分析人员编写关联分析规则,针对关联分析产生的安全事件追溯其关联事件。
所述责任认定分析模块为建立在身份认证和授权管理基础上的审计机制,通过记录、保留、审计安全相关事件来确定行为主体的责任,从而实现网络行为可核查、网络事件责任可追究的目标,其中,责任认定对象包括硬件设备、软件应用以及信息资源;责任认定分析服务由数据采集分析人员协助用户管理人员进行数据的收集,并利用系统进行智能汇总,定期由数据采集分析人员协助管理人员对汇总的综合信息进行人工分析,并提交最终数据采集报告,提交数据采集报告的格式可由双方协定,主要包括以下流程:见图3;责任认定分析功能包括日志数据分类管理、数据存储管理、责任认定分析报告服务和数据查询统计,所述日志数据分类管理支持按照收集对象、日志级别、事件属性和系统自定义的规则对收集的日志数据进行分类管理;数据存储管理支持对收集的原始日志数据、经过预处理的日志数据、分析报告及关联日志证据信息进行安全保存;责任认定分析报告服务提供异常、违规行为责任认定的支撑服务,通过对关联事件收集的分类日志数据进行关联整合、分析和智能检索,形成涉及该安全事件行为主体的行为轨迹,实现安全事件的倒查追溯、取证,并输出形成该安全事件的分析报告支撑用户进行安全事件的责任认定工作,在内容上包含该安全事件关联的所有人员、事件产生的起始时间、事件产生位置、事件过程和结果分析、事件安全级别和事件责任认定初步判定服务支撑信息,支持根据用户预设的安全事件类型、范围条件,根据需要,自动按用户要求定时提供当天安全事件的责任认定服务的分析报告;所述数据查询统计提供日志数据收集对象数量、分类日志数量、分析报告数量、下级系统数量查询、统计功能,支持从多个维度实时对统计对象进行统计分析和图形化方式进行可视化呈现。
所述安全事件预警模块通过安全事件分析生成系统运维分析报告、行为常规分析报告、异常行为分析报告和违规操作行为报告,运维分析报告、行为常规分析报告为日常行为分析,根据日常行为信息自主生成安全操作的日志模板,通过比对,确认用户操作有无异常行为或违规操作;异常行为分析报告和违规操作行为报告为责任认定服务,用户通过时间节点、事件主体、关键字、身份信息进行筛选,由责任认定数据分析系统排除无关信息,形成相关责任认定报告用于事件溯源和责任认定分析,针对分析结果,对用户进行安全事件的预警。
所述展示管理层提供首页动态展示功能,用于展示事件关联分析模块、责任认定分析模块和安全事件预警模块的数据。
所述数据采集层中,采集数据的传输采用一次性密码认证的帧传输方式,一帧包括帧头、内容和帧尾,对整个帧进行加密,并且增加完整性校验,支持数据签名和可信时间戳,当数据采集层与数据分析层连接不成功,则采集数据加密后临时保存于本地,等连接后再上传,同时本地信息删除,且数据采集层中,在没有授权的情况下,无法卸载、删除、修改和禁止相关的采集进程和服务的运行。
责任溯源认定系统采用多级分布式部署,支持配置上下级联动,支持多级部署方式,支持数据上报与协查,对于跨区域跨网段的大型网络在各服务节点部署管理中心,多级中心之间,上级中心向下级中心下发策略文件,下级中心严格按照策略执行,并制定次生策略,下级中心定时将报警信息发送到上级中心,以供上级查阅或深度分析。
验证例:系统在网络信息安全管理中的作用
1、取证作用:对内网公务人员和工作人员的泄密、违规操作、误操作、失密、窃密、篡改、删除、非法拨号、指定路径下文件的变更等行为提供责任认定查处的依据。
2、防范作用:对光驱、软驱、USB口、打印机等设备的使用进行授权。
3、安全管理作用:安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目前的“技管并重”,责任认定数据分析系统实质上是“技管并重”管理中的重要一环,初步实现了运用技术手段解决信息安全管理中的问题。
4、通过部署责任认定数据分析系统,实现多元化的数据采集,进行数据的收存查和深度分析,并通过多样化的告警响应,及时响应安全事件。部署该系统也是组织符合等保、分保、内控等相关政策、法规、行业规定和标准,实现安全事件分析和取证定责,是信息系统安全管理的必要手段。
本发明将取证的对象由原来单一的终端采集信息转变为各种终端、服务器、网络、数据库、应用、网络设备、证书、云平台等系统的采集信息,通过数据采集层采集海量数据,根据实际情况和需求,在知识背景下合理的对原始采集数据源进行预处理,从而将采集到的信息保持在可以处理的范围内,为安全事件责任定位提供有效依据,且本发明对采集的日志数据的格式进行统一,转换为关联分析可以处理的比较规范的数据,并在庞大的采集信息中寻找责任认定工作人员感兴趣的相关数据,避免从头到尾分析所有日志的所有记录,以节省时间、提高效率,并通过数据关联分析算法进行分析,执行的过程是具有逻辑性的日志发掘过程,分析结果具有说服力,同时,从海量数据中分析和统计网络中存在的安全威胁,通过关联分析及与其他组件的组合,实现安全预警、防护、责任认定的闭环管理,帮助客户及时准确地了解自身网络安全现状和走势,从而以最小的投入获取最大的安全,另外,本发明生成责任认定分析报告、系统运维分析报告、行为常规分析报告、异常行为分析报告和违规操作行为报告,方便对所有的事件信息进行查询、统计、分析,使用方便。
以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (9)
1.一种责任溯源的认定系统,其特征在于:包括软硬件基础层、基础模块、数据采集层、预处理层、数据分析层和展示管理层,所述软硬件基础层为责任溯源认定系统统一监控和管理的对象,包括主机、网络、数据库、服务器、云平台、业务应用、证书、网络设备,责任溯源认定系统为软硬件基础层的上层管理分析平台,同时软硬件基础层是责任溯源认定系统实现安全监控和管理的具体手段和数据来源;所述基础模块包括实名身份认证模块和时间戳同步模块;所述数据采集层用于采集被监控对象层的数据,并将该数据上传到数据分析层,包括终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统;所述预处理层用于对采集的信息进行数据清洗、数据归一和分布式储存;所述数据分析层以线索分析和特征提取为基础,通过事件研判,根据分析人员设定的条件做出对应的风险评估,以及判断指定时间范围内某类事件的发展趋势,所述展示管理层通过可视化的方式将监测对象的运行状态、安全事件、安全风险展现给用户,使用户全面掌握当前网络安全状态,并预测未来网络安全发展趋势并依此修改、制定管理规则、配置策略。
2.根据权利要求1所述的一种责任溯源的认定系统,其特征在于:所述终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统用于:用户数据采集、进程数据采集、服务数据采集、共享数据采集、打印数据采集、文件数据采集、开关机数据采集、刻录数据采集、软件数据采集、日志数据采集、注册表数据采集、硬件数据采集、流量数据采集、第三方数据库数据采集、日志文件采集和协议采集。
3.根据权利要求2所述的一种责任溯源的认定系统,其特征在于:所述用户数据采集支持对主机上用户的变更,包括增加、删除、修改用户的行为进行数据采集,同时对主机进行控制,包括禁止其增加用户、禁止修改用户;所述进程数据采集支持采集主机上的进程数据信息,通过对进程黑白名单的设置,将进程设置为合法和非法进程,一旦主机上启动非法黑名单进程,及时阻断并报警,启动白名单中的进程则记录,但不阻断,实时监测主机上进程使用情况,包括内存、CPU使用率;所述服务数据采集支持收集系统服务数据信息,包括服务名、服务描述、服务启动类型以及服务的当前状态,当对受控主机启动、关闭服务时,产生报警信息,通过设置服务的黑白名单,启动黑名单中的服务报警,一旦对白名单中的服务进行了属性的修改则产生报警;所述共享数据采集支持对主机上的共享文件进行数据采集,采集主机的文件共享情况,包括共享文件路径、文件名信息,同时监控是否允许主机增加共享、删除共享操作;所述打印数据采集支持对主机的打印行为进行数据采集,控制本地打印与网络打印,详细记录文件打印的时间、用户、使用的打印机信息;所述文件数据采集支持根据文件的扩展名、文件名、路径名,对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行数据采集,并针对客户端用户向可移动设备复制的文件进行数据采集;所述开关机数据采集支持对主机的开关机操作进行数据采集,通过策略设置,对非指定时间内开机的行为进行报警;所述刻录数据采集支持对光盘刻录的行为进行数据采集,禁止、允许刻录行为;所述软件数据采集支持对主机软件安装情况并对软件安装信息变化进行数据采集,包括软件的安装和卸载,产生相应的报警信息;所述日志数据采集支持对主机上的系统日志、安全日志进行统一数据采集和管理;所述注册表数据采集支持对主机上注册表的变更,包括增加、删除、修改注册表的行为进行数据采集,同时对主机进行控制,包括禁止其增加、修改、删除注册表项以及项数据;所述硬件数据采集通过设置规则,禁止主机的外联设备,并对其进行监管和控制,允许、禁止用户使用计算机的光驱、USB设备在内的I/O设备、USB光驱,记录被监控主机违规操作情况;所述流量数据采集支持对网络上的数据流量进行数据采集,支持按照IP地址、上传流量、下载流量、部门和风险级别进行分析,对超出设定流量的访问行为采取告警监控措施,并记入日志,并定义条件对IP、TCP、UDP、ICMP、HTTP、SMTP、FTP、POP3应用协议的网络流量进行分析监测;所述第三方数据库数据采集支持oracle、SQL Server、达梦数据库的数据采集过滤处理;所述日志文件采集支持应用、系统日志文件采集,支持配置日志文件格式;所述协议采集支持常用协议数据采集,包括tcp、ftp、syslog、http、pop3、smtp、telnet、ip-mac协议。
4.根据权利要求1所述的一种责任溯源的认定系统,其特征在于:所述数据分析层包括事件关联分析模块、责任认定分析模块和安全事件预警模块,所述事件关联分析模块将来自不同事件源的事件进行分析,从海量事件中过滤出有逻辑相关的事件序列,并根据告警策略、资产的业务价值和资产的脆弱性,形成相应的告警事件,事件关联分析模块具备事件关联分析引擎,用于识别可能成为安全威胁的事件,关联分析引擎结合资产和漏洞对安全事件提供多维关联分析,并预置关联分析规则,甄别出可能成功的违规行为,使管理员能够迅速关注高危安全事件,关联分析方式包括:逻辑关联:根据安全事件发生的因果关系,进行逻辑上关联分析,支持逻辑的比较和嵌套,支持前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理;资产关联:将安全事件关联到资产,过滤掉相关程度低的事件;清单关联:将安全事件与操作系统、提供的服务信息进行关联,进一步过滤没有造成安全威胁的事件;交叉关联:将安全事件与资源、人员进行关联;所述事件关联分析模块内置关联分析规则库,提供规则编辑器,用于事件分析人员编写关联分析规则,针对关联分析产生的安全事件追溯其关联事件。
5.根据权利要求4所述的一种责任溯源的认定系统,其特征在于:所述责任认定分析模块为建立在身份认证和授权管理基础上的审计机制,通过记录、保留、审计安全相关事件来确定行为主体的责任,从而实现网络行为可核查、网络事件责任可追究的目标,其中,责任认定对象包括硬件设备、软件应用以及信息资源;责任认定分析服务由数据采集分析人员协助用户管理人员进行数据的收集,并利用系统进行智能汇总,定期由数据采集分析人员协助管理人员对汇总的综合信息进行人工分析,并提交最终数据采集报告;责任认定分析功能包括日志数据分类管理、数据存储管理、责任认定分析报告服务和数据查询统计,所述日志数据分类管理支持按照收集对象、日志级别、事件属性和系统自定义的规则对收集的日志数据进行分类管理;数据存储管理支持对收集的原始日志数据、经过预处理的日志数据、分析报告及关联日志证据信息进行安全保存;责任认定分析报告服务提供异常、违规行为责任认定的支撑服务,通过对关联事件收集的分类日志数据进行关联整合、分析和智能检索,形成涉及该安全事件行为主体的行为轨迹,实现安全事件的倒查追溯、取证,并输出形成该安全事件的分析报告支撑用户进行安全事件的责任认定工作,在内容上包含该安全事件关联的所有人员、事件产生的起始时间、事件产生位置、事件过程和结果分析、事件安全级别和事件责任认定初步判定服务支撑信息,支持根据用户预设的安全事件类型、范围条件,根据需要,自动按用户要求定时提供当天安全事件的责任认定服务的分析报告;所述数据查询统计提供日志数据收集对象数量、分类日志数量、分析报告数量、下级系统数量查询、统计功能,支持从多个维度实时对统计对象进行统计分析和图形化方式进行可视化呈现。
6.根据权利要求4所述的一种责任溯源的认定系统,其特征在于:所述安全事件预警模块通过安全事件分析生成系统运维分析报告、行为常规分析报告、异常行为分析报告和违规操作行为报告,运维分析报告、行为常规分析报告为日常行为分析,根据日常行为信息自主生成安全操作的日志模板,通过比对,确认用户操作有无异常行为或违规操作;异常行为分析报告和违规操作行为报告为责任认定服务,用户通过时间节点、事件主体、关键字、身份信息进行筛选,由责任认定数据分析系统排除无关信息,形成相关责任认定报告用于事件溯源和责任认定分析,针对分析结果,对用户进行安全事件的预警。
7.根据权利要求4所述的一种责任溯源的认定系统,其特征在于:所述展示管理层提供首页动态展示功能,用于展示事件关联分析模块、责任认定分析模块和安全事件预警模块的数据。
8.根据权利要求1所述的一种责任溯源的认定系统,其特征在于:所述数据采集层中,采集数据的传输采用一次性密码认证的帧传输方式,一帧包括帧头、内容和帧尾,对整个帧进行加密,并且增加完整性校验,支持数据签名和可信时间戳,当数据采集层与数据分析层连接不成功,则采集数据加密后临时保存于本地,等连接后再上传,同时本地信息删除,且数据采集层中,在没有授权的情况下,无法卸载、删除、修改和禁止相关的采集进程和服务的运行。
9.根据权利要求1所述的一种责任溯源的认定系统,其特征在于:责任溯源认定系统采用多级分布式部署,支持配置上下级联动,支持多级部署方式,支持数据上报与协查,对于跨区域跨网段的大型网络在各服务节点部署管理中心,多级中心之间,上级中心向下级中心下发策略文件,下级中心严格按照策略执行,并制定次生策略,下级中心定时将报警信息发送到上级中心,以供上级查阅或深度分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110392547.0A CN113034028A (zh) | 2021-04-13 | 2021-04-13 | 一种责任溯源的认定系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110392547.0A CN113034028A (zh) | 2021-04-13 | 2021-04-13 | 一种责任溯源的认定系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113034028A true CN113034028A (zh) | 2021-06-25 |
Family
ID=76456662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110392547.0A Pending CN113034028A (zh) | 2021-04-13 | 2021-04-13 | 一种责任溯源的认定系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113034028A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709140A (zh) * | 2021-08-26 | 2021-11-26 | 上海汉开科技股份有限公司 | 一种基于综合审计的云大数据智能安全管控系统 |
| CN113810371A (zh) * | 2021-08-04 | 2021-12-17 | 苏州椰云科技有限公司 | 一种软硬件解耦平台的安全管理方法 |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901837A (zh) * | 2015-06-19 | 2015-09-09 | 成都国腾实业集团有限公司 | 网络用户行为责任认定与管理系统 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
-
2021
- 2021-04-13 CN CN202110392547.0A patent/CN113034028A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901837A (zh) * | 2015-06-19 | 2015-09-09 | 成都国腾实业集团有限公司 | 网络用户行为责任认定与管理系统 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
Non-Patent Citations (3)
| Title |
|---|
| 汉邦软科集团: "汉邦一体化安全管理中心", 《网易》 * |
| 汉邦软科集团: "汉邦信息安全综合强审计监控系统技术白皮书4.0", 《豆丁》 * |
| 汉邦软科集团: "汉邦服务器监控与审计系统", 《搜狐》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810371A (zh) * | 2021-08-04 | 2021-12-17 | 苏州椰云科技有限公司 | 一种软硬件解耦平台的安全管理方法 |
| CN113810371B (zh) * | 2021-08-04 | 2023-04-18 | 苏州椰云科技有限公司 | 一种软硬件解耦平台的安全管理方法 |
| CN113709140A (zh) * | 2021-08-26 | 2021-11-26 | 上海汉开科技股份有限公司 | 一种基于综合审计的云大数据智能安全管控系统 |
| CN113709140B (zh) * | 2021-08-26 | 2023-06-27 | 上海汉开科技股份有限公司 | 一种基于综合审计的云大数据智能安全管控系统 |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
| CN114598506B (zh) * | 2022-02-22 | 2023-06-30 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113098892B (zh) | 基于工业互联网的数据防泄漏系统以及方法 | |
| Kent et al. | Guide to Computer Security Log Management:. | |
| CN113034028A (zh) | 一种责任溯源的认定系统 | |
| US9154521B2 (en) | Anomalous activity detection | |
| CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
| CN113032710A (zh) | 一种综合审计监管系统 | |
| CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
| CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
| EP1955159B1 (en) | Log collection, structuring and processing | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| CA2553601A1 (en) | Managed distribution of digital assets | |
| CN113516337A (zh) | 数据安全运营的监控方法及装置 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN111914300A (zh) | 一种防止文件泄密的文档加密装置与方法 | |
| CN112419130A (zh) | 基于网络安全监控和数据分析的应急响应系统及方法 | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| Al-Fedaghi et al. | Events classification in log audit | |
| Fink et al. | Bridging the Host-Network Divide: Survey, Taxonomy, and Solution. | |
| CN115550068A (zh) | 一种主机日志信息安全审计方法 | |
| Kent et al. | Sp 800-92. guide to computer security log management | |
| JP2006114044A (ja) | コンピュータ・ネットワークへの不正アクセスを検出するためのシステムおよび方法 | |
| CN112685768A (zh) | 一种基于软件资产审计的数据防泄漏方法及装置 | |
| Awotipe | Log analysis in cyber threat detection | |
| CN110991865A (zh) | 运维审计系统的智能威胁分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210625 |