CN113037779A - 一种积极防御系统中的智能自学习白名单方法和系统 - Google Patents
一种积极防御系统中的智能自学习白名单方法和系统 Download PDFInfo
- Publication number
- CN113037779A CN113037779A CN202110420108.6A CN202110420108A CN113037779A CN 113037779 A CN113037779 A CN 113037779A CN 202110420108 A CN202110420108 A CN 202110420108A CN 113037779 A CN113037779 A CN 113037779A
- Authority
- CN
- China
- Prior art keywords
- data
- normal
- white list
- learning
- intelligent self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明涉及一种积极防御系统中的智能自学习白名单方法和系统。该智能自学习白名单方法包括:获取用户发出的用于访问业务系统的业务数据;获取正常业务数据特征库;根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据。本发明提供的积极防御系统中的智能自学习白名单方法和系统,通过学习用户对被保护业务系统的正常业务流量的数据信息,生成智能自学习白名单,不但解决了复杂业务系统和大数据量的误报问题,而且能够极大提升被保护业务系统的访问安全性,将本发明方便快捷应用于各个领域,使得安全防御技术得到巨大提升。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种积极防御系统中的智能自学习白名单方法和系统。
背景技术
业务系统可能遭受的安全威胁主要有:恶意扫描、黑客攻击、恶意代码攻击、中间人攻击、僵尸网络等。另外,很多业务系统上线运行很长时间后,业务系统自身存在逻辑问题、代码问题、BUG等系列缺陷,造成业务系统的缺陷容易被恶意利用。
据统计,大部分的网络攻击行为都来自于应用层面,大部分企业部署了入侵检测系统、网络防火墙、网络防病毒等网络安全防护系统。其中,防火墙技术多采用黑名单机制对有安全威胁的访问进行限制,但是黑名单的数据量较大,并且白名单中的客户端发生任何危险行为都会被列入黑名单,导致黑名单机制不可控,拦截不够准确。
随着对安全等级要求的提升,对于受保护业务系统,白名单检测技术能起到更好的防御效果。白名单通常是预先存储,判断客户端和被保护业务系统之间的连接是否符合白名单,符合则通过,不符合则阻断并报警。
现有安全防护技术存在如下几个问题:
1、实际应用中,在复杂业务系统和大数据量时精度和效率都难以满足需求,误报严重。
2、传统的网络安全技术大多采用一次安全认证,认证通过后即长期授予权限。攻击者可以通过冒用合法用户身份的方式侵入系统,从而导致安全等级降低或安全机制失效。
3、若将客户端访问被保护业务系统的所有业务数据进行多重安全检测,会大量占用防御系统的资源。
发明内容
为解决现有技术中存在的上述问题,本发明提供了一种积极防御系统中的智能自学习白名单方法和系统。
为实现上述目的,本发明提供了如下方案:
一种积极防御系统中的智能自学习白名单方法,包括:
获取用户发出的用于访问业务系统的访问请求,生成所述用户的身份信息;所述身份信息为访问客户端的多元组特征值;所述多元组特征值包括:源IP地址、源端口、目的IP地址、协议号和目的端口;
获取正常业务数据特征库;所述正常业务数据特征库为基于白名单学习模型构建的数据库;
根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据;所述正常业务数据是指对被保护业务系统进行正常流量的数据信息。
优选地,所述正常业务数据特征库的构建过程为:
获取用户历史访问业务系统的正常业务数据;
根据多元组特征值对所述正常业务数据创建会话,并对所述会话处理得到处理后的会话;所述处理包括筛选和分类;
获取白样本学习模型;
将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征,并将所述正常业务数据特征进行存储,得到正常数据特征库。
优选地,对所述会话处理得到处理后的会话,具体包括:
对所述会话进行筛选得到正常业务数据;
将所述正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类,得到分类后的数据信息;所述分类后的数据信息即为所述处理后的会话。
优选地,所述根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据,之后还包括:
当所述业务数据属于正常数据时,将所述业务数据存储至所述正常数据特征库。
优选地,所述获取用户发出的用于访问业务系统的业务数据,之后还包括:
将所述业务数据存储在缓存数据库中,并当所述业务数据在所述缓存数据库中存储的时间超过预设时间后,将所述业务数据从所述缓存数据库中清除。
对应于上述提供的积极防御系统中的智能自学习白名单方法,本发明还提供了一种积极防御系统中的智能自学习白名单系统,该系统包括:
客户端,用于用户发出用于访问业务系统的业务数据;
数据收集模块,与所述客户端连接,用于获取用户发出的用于访问业务系统的访问请求,生成所述用户的身份信息;所述身份信息为访问客户端的多元组特征值;所述多元组特征值包括:源IP地址、源端口、目的IP地址、协议号和目的端口;
正常业务数据特征库获取模块,与所述数据收集模块连接,用于获取正常业务数据特征库;所述正常业务数据特征库为基于白名单学习模型构建的数据库;
智能自学习白名单生成模块,与所述正常业务数据特征库获取模块连接,用于根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据;所述正常业务数据是指对被保护业务系统进行正常流量的数据信息。
优选地,还包括:
正常业务数据特征库构建模块,与所述数据收集模块连接,用于构建所述正常业务数据特征库;所述数据收集模块还用于获取用户历史访问业务系统的正常业务数据;
分析处理模块,与所述数据收集模块连接,用于根据多元组特征值对所述正常业务数据创建会话,并对所述会话处理得到处理后的会话;所述处理包括筛选和分类;
白样本学习模型获取模块,与所述分析处理模块连接,用于获取白样本学习模型;
正常数据特征库构建模块,与所述白样本学习模型获取模块连接,用于将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征,并将所述正常业务数据特征进行存储,得到正常数据特征库。
优选地,所述分析处理模块具体包括:
筛选单元,与所述数据收集模块连接,用于对所述会话进行筛选得到正常业务数据;
分类单元,与所述筛选单元连接,用于将所述正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类,得到分类后的数据信息;所述分类后的数据信息即为所述处理后的会话。
优选地,还包括:
数据存储模块,分别与所述数据收集模块和所述智能自学习白名单生成模块连接,用于当所述业务数据属于正常数据时,将所述业务数据存储至所述正常数据特征库。
优选地,还包括:
数据清洗模块,,用于将所述业务数据存储在缓存数据库中,并当所述业务数据在所述缓存数据库中存储的时间超过预设时间后,将所述业务数据从所述缓存数据库中清除。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供的积极防御系统中的智能自学习白名单方法和系统,通过学习用户对被保护业务系统的正常业务流量的数据信息,生成智能自学习白名单,不但解决了复杂业务系统和大数据量的误报问题,而且能够极大提升被保护业务系统的访问安全性,将本发明方便快捷应用于各个领域,使得安全防御技术得到巨大提升。
并且,通过学习正常业务数据,能够智能自学习准确生成白名单规则,实现了白名单及时更新。将该方法部署到积极防御系统,能够增强防护的实效性,提高业务系统的保护效率;在处理内外网数据传递情境下,可降低防御系统的资源消耗。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的积极防御系统中的智能自学习白名单方法的流程图;
图2为本发明提供的积极防御系统中的智能自学习白名单系统的结构示意图;
图3为本发明实施例提供的积极防御系统中的智能自学习白名单白名单方法的实施框架图;
图4为本发明实施例提供的积极防御系统加载白名单防护流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在实际部署应用中,绝大多数客户端业务数据都是合法的,只有少数存在恶意攻击。遵循最小权限原则,构筑客户端到业务系统的积极防御,对白名单进行动态更新。因此有必要提出一种积极防御系统中的智能自学习白名单方法和系统,以解决现有技术中存在的在复杂业务系统和大数据量时精度和效率都难以满足需求、误报严重,攻击者可以通过冒用合法用户身份的方式侵入系统,从而导致安全等级降低或安全机制失效,以及大量占用防御系统的资源的问题。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,本发明提供的积极防御系统中的智能自学习白名单方法包括:
步骤100:获取用户发出的用于访问业务系统的访问请求,生成用户的身份信息;身份信息为访问客户端的多元组特征值;多元组特征值包括:源IP地址、源端口、目的IP地址、协议号和目的端口。在本发明中多元值特征值优选为五元组,但不限于此,还可以为四元组、六元组甚至八元组等等。
步骤101:获取正常业务数据特征库。正常业务数据特征库为基于白名单学习模型构建的数据库。
步骤102:根据正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据智能自学习白名单确定业务数据是否属于正常数据。正常业务数据是指对被保护业务系统进行正常流量的数据信息。具体的,当业务数据属于正常数据时,将业务数据存储至正常数据特征库。
优选地,上述正常业务数据特征库的构建过程为:
S1、获取用户历史访问业务系统的正常业务数据。
S2、根据多元组特征值对正常业务数据创建会话,并对会话处理得到处理后的会话;处理包括筛选和分类。其中,对会话处理得到处理后的会话的具体过程为:
对会话进行筛选得到正常业务数据。
将正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类,得到分类后的数据信息。分类后的数据信息即为处理后的会话。
S3、获取白样本学习模型。
S4、将处理后的会话输入白样本学习模型中得到正常业务数据特征,并将正常业务数据特征进行存储,得到正常数据特征库。
进一步,为了实现了白名单及时更新、降低防御系统的资源消耗,在获取用户发出的用于访问业务系统的业务数据之后还包括:
将业务数据存储在缓存数据库中,并当业务数据在缓存数据库中存储的时间超过预设时间后,将业务数据从缓存数据库中清除。
对应于上述提供的积极防御系统中的智能自学习白名单方法,本发明还提供了一种积极防御系统中的智能自学习白名单系统,如图2和图3所示,该系统包括:客户端、数据收集模块、正常业务数据特征库获取模块和智能自学习白名单生成模块。
其中,客户端用于用户发出用于访问业务系统的业务数据。本发明中采用的客户端可以是手机、电脑(笔记本电脑、台式电脑、平板电脑等)、智能手表手环等电子设备。
数据收集模块,与客户端连接,用于获取用户发出的用于访问业务系统的访问请求,生成用户的身份信息;身份信息为访问客户端的多元组特征值;多元组特征值包括:源IP地址、源端口、目的IP地址、协议号和目的端口。并且,数据收集模块将收到的业务数据进行监听,并将监听到的业务数据保存到缓存数据库中。
正常业务数据特征库获取模块,与数据收集模块连接,用于获取正常业务数据特征库。正常业务数据特征库为基于白名单学习模型构建的数据库。
智能自学习白名单生成模块,与正常业务数据特征库获取模块连接,用于根据正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据智能自学习白名单确定业务数据是否属于正常数据。正常业务数据是指对被保护业务系统进行正常流量的数据信息。
优选地,本发明提供的积极防御系统中的智能自学习白名单系统还包括:正常业务数据特征库构建模块、分析处理模块、白样本学习模型获取模块和正常数据特征库构建模块。
其中,正常业务数据特征库构建模块,与数据收集模块连接,用于构建正常业务数据特征库。数据收集模块还用于获取用户历史访问业务系统的正常业务数据。
分析处理模块,与数据收集模块连接,用于根据多元组特征值对正常业务数据创建会话,并对会话处理得到处理后的会话;处理包括筛选和分类。具体的讲,分析处理模块对会话进行分析处理得到数据信息,具体的,积极防御系统对会话进行分析处理,包括信息筛选分类、信息转化。具体的讲,信息筛选分类包括以下步骤:
筛选出客户端与业务系统之间的正常业务数据。其中,正常业务数据是客户端对被保护业务系统的正常流量的数据信息。异常业务数据加载调用白名单配置文件进行安全检测。
白样本学习模型获取模块,与分析处理模块连接,用于获取白样本学习模型。具体的,将处理后的数据信息输入到白样本学习模型上进行学习。即,通过对包括源IP地址、源端口、目的IP地址、协议号、目的端口、持续时间、包字节数、总字节数进行统计分析,通过学习,获得正常业务数据的相关特征值,以白名单的方式识别判断非法业务数据,从而达到积极防御效果。
正常数据特征库构建模块,与白样本学习模型获取模块连接,用于将处理后的会话输入白样本学习模型中得到正常业务数据特征,并将正常业务数据特征进行存储,得到正常数据特征库。
优选地,上述分析处理模块具体包括:筛选单元和分类单元。
其中,筛选单元,与数据收集模块连接,用于对会话进行筛选得到正常业务数据。
分类单元,与筛选单元连接,用于将正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类,得到分类后的数据信息。分类后的数据信息即为处理后的会话。具体的,将正常业务数据分别按照同一个源IP地址和同一个目的IP地址之间的连接数分类。设定时段内连接同一个源IP地址的目的IP地址数分类。设定时段内连接同一个目的IP地址的源IP地址数分类。
优选地,本发明提供的积极防御系统中的智能自学习白名单系统还包括:数据存储模块和数据清洗模块。
其中,数据存储模块,分别与数据收集模块和智能自学习白名单生成模块连接,用于当业务数据属于正常数据时,将业务数据存储至正常数据特征库。
数据清洗模块,用于将业务数据存储在缓存数据库中,并当业务数据在缓存数据库中存储的时间超过预设时间后,将业务数据从缓存数据库中清除。
在本发明中,基于以上具体设置,智能自学习白名单生成过程与积极防御系统安全检测实时同步进行,保证学习结果的实时性,防护效果好。学习白样本学习模型内的业务数据,建立正常数据特征库。
建立的正常业务数据特征库,是指学习大量经过分析处理后的正常业务数据,并建立正常业务数据特征库。
本发明主要通过数据收集模块监听业务数据收集到缓存数据库中,分析处理模块以五元组为特征值对业务数据创建会话并对对会话进行筛选分类和转化到白样本学习模型中,智能自学习白名单学习白样本学习模型内的业务数据建立正常数据特征库。
其中,业务数据需要实时收集,数据收集模块与积极防御系统安全检测同步进行,判断业务数据是否存在于图4中的缓存数据库中。若缓存数据库中已存在则停止收集,若缓存数据库中不存在则将该业务数据写入缓存数据库。
如图4所示,本发明实施例的白名单动态更新及防护流程图,积极防御系统配置白名单模块初始状态,根据智能自学习白名单更新白名单模块(即存储有正常业务数据特征库的模块),积极防御系统可以加载白名单模块的配置文件,对新的业务数据进行安全检测,实现安全防护。
具体的讲,积极防御系统配置白名单模块可以采用多种方式,配置白名单模块的规则库,也可以直接对白名单模块清零。
选择何种方式,根据实际安全防护场景而定,本发明中,积极防御系统基于业务数据的最小权限原则,适用白名单模块清零方式,可以保证数据的安全实效性。
具体的讲,智能自学习白名单更新白名单模块,是从智能自学习白名单中获取自学习结果,生成新的白名单模块。
白名单模块会生成相应的白名单配置文件,积极防御系统可以加载配置文件。
具体的讲,对新的业务数据进行安全检测,进行以下预置操作:
当新的业务数据触发白名单模块,则执行包括但不限于:
通行:直接转发至被保护业务系统。
继续:结束本次检测,进行其它安全检测。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种积极防御系统中的智能自学习白名单方法,其特征在于,包括:
获取用户发出的用于访问业务系统的访问请求,生成所述用户的身份信息;所述身份信息为访问客户端的多元组特征值;所述多元组特征值包括:源IP地址、源端口、目的IP地址、协议号和目的端口;
获取正常业务数据特征库;所述正常业务数据特征库为基于白名单学习模型构建的数据库;
根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据;所述正常业务数据是指对被保护业务系统进行正常流量的数据信息。
2.根据权利要求1所述的积极防御系统中的智能自学习白名单方法,其特征在于,所述正常业务数据特征库的构建过程为:
获取用户历史访问业务系统的正常业务数据;
根据多元组特征值对所述正常业务数据创建会话,并对所述会话处理得到处理后的会话;所述处理包括筛选和分类;
获取白样本学习模型;
将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征,并将所述正常业务数据特征进行存储,得到正常数据特征库。
3.根据权利要求2所述的积极防御系统中的智能自学习白名单方法,其特征在于,对所述会话处理得到处理后的会话,具体包括:
对所述会话进行筛选得到正常业务数据;
将所述正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类,得到分类后的数据信息;所述分类后的数据信息即为所述处理后的会话。
4.根据权利要求1所述的积极防御系统中的智能自学习白名单方法,其特征在于,所述根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据,之后还包括:
当所述业务数据属于正常数据时,将所述业务数据存储至所述正常数据特征库。
5.根据权利要求1所述的积极防御系统中的智能自学习白名单方法,其特征在于,所述获取用户发出的用于访问业务系统的业务数据,之后还包括:
将所述业务数据存储在缓存数据库中,并当所述业务数据在所述缓存数据库中存储的时间超过预设时间后,将所述业务数据从所述缓存数据库中清除。
6.一种积极防御系统中的智能自学习白名单系统,其特征在于,包括:
客户端,用于用户发出用于访问业务系统的业务数据;
数据收集模块,与所述客户端连接,用于获取用户发出的用于访问业务系统的访问请求,生成所述用户的身份信息;所述身份信息为访问客户端的多元组特征值;所述多元组特征值包括:源IP地址、源端口、目的IP地址、协议号和目的端口;
正常业务数据特征库获取模块,与所述数据收集模块连接,用于获取正常业务数据特征库;所述正常业务数据特征库为基于白名单学习模型构建的数据库;
智能自学习白名单生成模块,与所述正常业务数据特征库获取模块连接,用于根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单,依据所述智能自学习白名单确定所述业务数据是否属于正常数据;所述正常业务数据是指对被保护业务系统进行正常流量的数据信息。
7.根据权利要求6所述的积极防御系统中的智能自学习白名单系统,其特征在于,还包括:
正常业务数据特征库构建模块,与所述数据收集模块连接,用于构建所述正常业务数据特征库;所述数据收集模块还用于获取用户历史访问业务系统的正常业务数据;
分析处理模块,与所述数据收集模块连接,用于根据多元组特征值对所述正常业务数据创建会话,并对所述会话处理得到处理后的会话;所述处理包括筛选和分类;
白样本学习模型获取模块,与所述分析处理模块连接,用于获取白样本学习模型;
正常数据特征库构建模块,与所述白样本学习模型获取模块连接,用于将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征,并将所述正常业务数据特征进行存储,得到正常数据特征库。
8.根据权利要求7所述的积极防御系统中的智能自学习白名单系统,其特征在于,所述分析处理模块具体包括:
筛选单元,与所述数据收集模块连接,用于对所述会话进行筛选得到正常业务数据;
分类单元,与所述筛选单元连接,用于将所述正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类,得到分类后的数据信息;所述分类后的数据信息即为所述处理后的会话。
9.根据权利要求6所述的积极防御系统中的智能自学习白名单系统,其特征在于,还包括:
数据存储模块,分别与所述数据收集模块和所述智能自学习白名单生成模块连接,用于当所述业务数据属于正常数据时,将所述业务数据存储至所述正常数据特征库。
10.根据权利要求6所述的积极防御系统中的智能自学习白名单系统,其特征在于,还包括:
数据清洗模块,,用于将所述业务数据存储在缓存数据库中,并当所述业务数据在所述缓存数据库中存储的时间超过预设时间后,将所述业务数据从所述缓存数据库中清除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110420108.6A CN113037779B (zh) | 2021-04-19 | 2021-04-19 | 一种积极防御系统中的智能自学习白名单方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110420108.6A CN113037779B (zh) | 2021-04-19 | 2021-04-19 | 一种积极防御系统中的智能自学习白名单方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113037779A true CN113037779A (zh) | 2021-06-25 |
CN113037779B CN113037779B (zh) | 2022-02-11 |
Family
ID=76457925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110420108.6A Active CN113037779B (zh) | 2021-04-19 | 2021-04-19 | 一种积极防御系统中的智能自学习白名单方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113037779B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113726761A (zh) * | 2021-08-27 | 2021-11-30 | 深圳供电局有限公司 | 一种基于白名单的网络安全防护方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
CN108512841A (zh) * | 2018-03-23 | 2018-09-07 | 四川长虹电器股份有限公司 | 一种基于机器学习的智能防御系统及防御方法 |
CN111143387A (zh) * | 2019-12-26 | 2020-05-12 | 武汉极意网络科技有限公司 | 黑白样本库动态维护方法、设备、存储介质及装置 |
CN111669354A (zh) * | 2019-03-08 | 2020-09-15 | 天津大学 | 基于机器学习的威胁情报工业防火墙 |
CN112488226A (zh) * | 2020-12-10 | 2021-03-12 | 中国电子科技集团公司第三十研究所 | 一种基于机器学习算法的终端异常行为识别方法 |
-
2021
- 2021-04-19 CN CN202110420108.6A patent/CN113037779B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
CN108512841A (zh) * | 2018-03-23 | 2018-09-07 | 四川长虹电器股份有限公司 | 一种基于机器学习的智能防御系统及防御方法 |
CN111669354A (zh) * | 2019-03-08 | 2020-09-15 | 天津大学 | 基于机器学习的威胁情报工业防火墙 |
CN111143387A (zh) * | 2019-12-26 | 2020-05-12 | 武汉极意网络科技有限公司 | 黑白样本库动态维护方法、设备、存储介质及装置 |
CN112488226A (zh) * | 2020-12-10 | 2021-03-12 | 中国电子科技集团公司第三十研究所 | 一种基于机器学习算法的终端异常行为识别方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113726761A (zh) * | 2021-08-27 | 2021-11-30 | 深圳供电局有限公司 | 一种基于白名单的网络安全防护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113037779B (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vishwakarma et al. | A survey of DDoS attacking techniques and defence mechanisms in the IoT network | |
US10762201B2 (en) | Apparatus and method for conducting endpoint-network-monitoring | |
Singh et al. | Issues and challenges in DNS based botnet detection: A survey | |
KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
US11038906B1 (en) | Network threat validation and monitoring | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
US9503469B2 (en) | Anomaly detection system for enterprise network security | |
KR102387725B1 (ko) | 멀웨어 호스트 넷플로우 분석 시스템 및 방법 | |
CN106713371B (zh) | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 | |
CN111193719A (zh) | 一种网络入侵防护系统 | |
KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
US9749338B2 (en) | System security monitoring | |
EP3414663A1 (en) | Automated honeypot provisioning system | |
CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
CN109347806A (zh) | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 | |
CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
Unal et al. | Towards prediction of security attacks on software defined networks: A big data analytic approach | |
CN113037779B (zh) | 一种积极防御系统中的智能自学习白名单方法和系统 | |
CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
Aljuhani et al. | Mitigation of application layer DDoS flood attack against web servers | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
El‐Hajj et al. | Updating snort with a customized controller to thwart port scanning | |
Abhijith et al. | First Level Security System for Intrusion Detection and Prevention in LAN | |
Lysenko et al. | Botnet Detection Approach Based on DNS. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |