CN113810362B - 一种安全风险检测处置方法 - Google Patents
一种安全风险检测处置方法 Download PDFInfo
- Publication number
- CN113810362B CN113810362B CN202110857561.3A CN202110857561A CN113810362B CN 113810362 B CN113810362 B CN 113810362B CN 202110857561 A CN202110857561 A CN 202110857561A CN 113810362 B CN113810362 B CN 113810362B
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- log information
- module
- treatment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000001514 detection method Methods 0.000 title claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 38
- 238000007789 sealing Methods 0.000 claims abstract description 38
- 238000004458 analytical method Methods 0.000 claims abstract description 26
- 238000007405 data analysis Methods 0.000 claims abstract description 5
- 238000005111 flow chemistry technique Methods 0.000 claims abstract description 5
- 230000000903 blocking effect Effects 0.000 claims description 41
- 238000004220 aggregation Methods 0.000 claims description 29
- 230000002776 aggregation Effects 0.000 claims description 29
- 238000001914 filtration Methods 0.000 claims description 27
- 230000004931 aggregating effect Effects 0.000 claims description 9
- 238000005096 rolling process Methods 0.000 claims description 7
- 230000010365 information processing Effects 0.000 claims description 5
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种安全风险检测处置系统及其方法,该系统包括依次连接的整体分析模块、Flink流式处理模块和联动处置模块,整体分析模块分别与多个安全设备相连接,用于接收多个安全设备实时发出的日志信息,通过对接收的日志信息处理,并将处理好的日志信息发布到kafka消息队列供其他信息消费者进行消费,进入Flink流式处理模块进行数据的分析;Flink流式处理模块用于分析判断数据是否为网络威胁,并将判断为网络威胁的数据发送至联动处置模块进行处置;联动处置模块结合预设的白名单数据,对判断为网络威胁的数据进行封禁处置。与现有技术相比,本发明基于有向图对安全攻击进行检测,能够及时准确地检测出风险,并能对风险进行自动处置,以实现自动防御。
Description
技术领域
本发明涉及网络安全风险检测与安全防护技术领域,尤其是涉及一种安全风险检测处置系统及其方法。
背景技术
随着当前安全态势感知平台的建立,安全告警类日志均发送至态势感知平台集中分析处置,通常大多数态势感知平台使用关联分析的方法对安全类告警进行分析。这种方法对多种安全告警数据的准确性以及日志规范存在较大的依赖,也就难以保证对风险检测的准确性。
此外,传统的信息安全风险处置方法是通过IPS(入侵防御系统)设备实现的。传统方法为第四层(网络层)主动防护手段。这种方法存在着对网络上层协议无法理解,而且网络威胁特征匹配不准确的问题,而造成上述问题的主要原因是由于入侵防御系统工作在网络层,因此对网络层以上的协议无感知;其次,IPS主要通过正则方式去匹配网络攻击payload,容易存在误报或者漏报的问题。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种安全风险检测处置系统及其方法,基于有向图对安全攻击进行检测,并能实现自动防御。
本发明的目的可以通过以下技术方案来实现:一种安全风险检测处置系统,包括依次连接的整体分析模块、Flink流式处理模块和联动处置模块,所述整体分析模块分别与多个安全设备相连接,用于接收多个安全设备实时发出的日志信息,通过对接收的日志信息处理,并将处理好的日志信息发布到kafka消息队列供其他信息消费者进行消费,进入Flink流式处理模块进行数据的分析;
所述Flink流式处理模块用于分析判断数据是否为网络威胁,并将判断为网络威胁的数据发送至联动处置模块进行处置;
所述联动处置模块结合预设的白名单数据,对判断为网络威胁的数据进行封禁处置。
进一步地,所述整体分析模块包括信息处理单元,所述信息处理单元用于对日志信息进行解析、范化和富化处理。
进一步地,所述Flink流式处理模块包括数据过滤单元、水印标记单元、分组单元、聚合单元以及威胁评估单元,所述数据过滤单元用于过滤得到有效数据,所述水印标记单元用于对有效数据进行时间水印标记,所述分组单元根据有效数据的IP地址进行分组,所述聚合单元用于对窗口期的日志信息进行聚合,所述威胁评估单元根据威胁模型对数据进行威胁性评估,并将评估为网络威胁的数据发送至联动处置模块。
进一步地,所述联动处置模块包括比较单元和层次封禁单元,所述比较单元用于判断网络威胁的数据是否为白名单数据,所述层次封禁单元根据网络威胁数据的当前封禁次数进行相应封禁处理。
一种安全风险检测处置方法,包括以下步骤:
S1、整体分析模块从各安全设备获取实时的日志信息;
S2、整体分析模块对接收的日志信息进行解析、范化和富化处理,并将处理后的日志信息写入kafka消息队列;
S3、Flink流式处理模块从kafka消息队列获取日志信息,对有效数据进行过滤、对数据打上时间水印、进行特征信息进行分组、设置滚动时间窗口、对窗口期的日志信息进行聚合、返回数据结果、再对数据进行有效性过滤,最后根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估得到数据对应的风险威胁值,结合设定的阈值,判断该数据是否为网络威胁,若判断为是,则将该网络威胁数据发送给联动处置模块,否则过滤忽略该数据;
S4、联动处置模块接收网络威胁数据,通过白名单比较筛选得到待封禁的数据,之后根据层次封禁策略对待封禁数据进行封禁处理。
进一步地,所述步骤S3具体包括以下步骤:
S31、Flink流式处理模块从kafka消息队列获取日志信息;
S32、对获取的日志信息进行数据过滤,得到有效数据;
S33、对有效数据进行时间水印标记,之后格式化数据生成Java对象、根据攻击IP地址信息进行分组、设置窗口滚动时间、对窗口期的日志信息进行聚合,得到聚合结果;
S34、对聚合结果进行数据过滤,之后根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估得到数据对应的风险威胁值,结合设定的阈值,判断该数据是否为网络威胁,若判断为是,则将该网络威胁数据发送给联动处置模块,否则过滤忽略该数据。
进一步地,所述步骤S31具体包括以下步骤:
S311、获取Flink运行环境;
S312、生成kafka配置文件;
S313、创建kafka消费对象;
S314、从kafka消息队列获取日志信息。
进一步地,所述步骤S33中对窗口期的日志信息进行聚合的具体过程为:
S331、初始化对象;
S332、单个节点数据聚合;
S333、集群数据聚合;
S334、返回聚合结果。
进一步地,所述步骤S34具体包括以下步骤:
S341、对聚合结果进行数据过滤;
S342、针对数据过滤后的聚合结果,根据威胁模型建立相应的攻击有向图,对攻击有向图中每条有向线上的攻击类型以及攻击次数节点要素进行打分,统计得到总分值,即为风险威胁值;
S343、若统计得到的风险威胁值小于设定的阈值,则过滤忽略该数据,否则判定为网络威胁数据,并将该网络威胁数据的IP地址信息发送给联动处置模块。
进一步地,所述层次封禁策略具体为:
若当前为第一次封禁,则封禁该地址15分钟后,自动释放;
若当前为第二次封禁,则封禁该地址30分钟后,自动释放;
若当前为第三次封禁,则封禁该地址60分钟后,自动释放;
若当前为第四次封禁,则封禁该地址240分钟后,自动释放;
若当前为第五次及以上封禁,则封禁该地址一天后,自动释放。
与现有技术相比,本发明将多个安全设备连接至整体分析模块,并将整体分析模块依次连接Flink流式处理模块和联动处置模块,利用整体分析模块接收多个安全设备实时发出的日志信息,并将处理好的日志信息发布到kafka消息队列供其他信息消费者进行消费,进入Flink流式处理模块进行数据的分析;利用Flink流式处理模块根据威胁模型建立攻击者攻击有向图,以分析判断数据是否为网络威胁;利用联动处置模块结合预设的白名单数据,对判断为网络威胁的数据进行封禁处置,由此能够实现多个安全设备的关联告警、大大提升告警的准确性;
本发明采用联动处置模块进行封禁处理,联动处置模块作为旁路设备,通过发送复位包进行封禁,和传统串联部署的IPS相比,本发明技术方案不会影响正常的数据吞吐量,不会造成网络带宽瓶颈;同时,外部风险阻断时间为动态,可以有效降低对生产系统的影响;
本发明采用层次化的封禁策略、并自动释放已封禁的地址,通过自动化处置风险的方式,由此解决阻断时由于发生业务行为引起的告警问题,保证业务能够正常运行。
附图说明
图1为本发明的系统结构示意图;
图2为本发明的方法流程示意图;
图3为实施例的应用过程示意图;
图4为实施例中Flink流式处理过程示意图;
图5为实施例中联动处置过程示意图;
图中标记说明:1、整体分析模块,2、Flink流式处理模块,3、联动处置模块,4、安全设备。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
一种安全风险检测处置系统,包括依次连接的整体分析模块1、Flink流式处理模块2和联动处置模块3,整体分析模块1分别与多个安全设备4相连接,用于接收多个安全设备4实时发出的日志信息,通过对接收的日志信息处理,并将处理好的日志信息发布到kafka消息队列供其他信息消费者进行消费,进入Flink流式处理模块2进行数据的分析,具体的,整体分析模块1包括信息处理单元,信息处理单元用于对日志信息进行解析、范化和富化处理;
Flink流式处理模块2用于分析判断数据是否为网络威胁,并将判断为网络威胁的数据发送至联动处置模块3进行处置,具体的,Flink流式处理模块2包括数据过滤单元、水印标记单元、分组单元、聚合单元以及威胁评估单元,数据过滤单元用于过滤得到有效数据,水印标记单元用于对有效数据进行时间水印标记,分组单元根据有效数据的IP地址进行分组,聚合单元用于对窗口期的日志信息进行聚合,威胁评估单元根据威胁模型对数据进行威胁性评估,并将评估为网络威胁的数据发送至联动处置模块3;
联动处置模块3结合预设的白名单数据,对判断为网络威胁的数据进行封禁处置,具体的,联动处置模块包括比较单元和层次封禁单元,比较单元用于判断网络威胁的数据是否为白名单数据,层次封禁单元根据网络威胁数据的当前封禁次数进行相应封禁处理。
将上述系统应用于实际,以实现一种安全风险检测处置方法,如图2所示,包括以下步骤:
S1、整体分析模块从各安全设备获取实时的日志信息;
S2、整体分析模块对接收的日志信息进行解析、范化和富化处理,并将处理后的日志信息写入kafka消息队列;
S3、Flink流式处理模块从kafka消息队列获取日志信息,对有效数据进行过滤、对数据打上时间水印、进行特征信息进行分组、设置滚动时间窗口、对窗口期的日志信息进行聚合、返回数据结果、再对数据进行有效性过滤,最后根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估得到数据对应的风险威胁值,结合设定的阈值,判断该数据是否为网络威胁,若判断为是,则将该网络威胁数据发送给联动处置模块,否则过滤忽略该数据;
S4、联动处置模块接收网络威胁数据,通过白名单比较筛选得到待封禁的数据,之后根据层次封禁策略对待封禁数据进行封禁处理。
其中,步骤S3具体包括以下步骤:
S31、Flink流式处理模块从kafka消息队列获取日志信息:
首先获取Flink运行环境;
之后生成kafka配置文件;
然后创建kafka消费对象;
最后从kafka消息队列获取日志信息;
S32、对获取的日志信息进行数据过滤,得到有效数据;
S33、对有效数据进行时间水印标记,之后格式化数据生成Java对象、根据攻击IP地址信息进行分组、设置窗口滚动时间、对窗口期的日志信息进行聚合,得到聚合结果:
首先初始化对象;
之后进行单个节点数据聚合;
然后进行集群数据聚合;
最后返回聚合结果;
S34、对聚合结果进行数据过滤,之后根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估得到数据对应的风险威胁值,结合设定的阈值,判断该数据是否为网络威胁,若判断为是,则将该网络威胁数据发送给联动处置模块,否则过滤忽略该数据,具体的:
首先对聚合结果进行数据过滤;
之后针对数据过滤后的聚合结果,根据威胁模型建立相应的攻击有向图,对攻击有向图中每条有向线上的攻击类型以及攻击次数节点要素进行打分,统计得到总分值,即为风险威胁值;
若统计得到的风险威胁值小于设定的阈值,则过滤忽略该数据,否则判定为网络威胁数据,并将该网络威胁数据的IP地址信息发送给联动处置模块。
本实施例中,设定的层次封禁策略具体为:
若当前为第一次封禁,则封禁该地址15分钟后,自动释放;
若当前为第二次封禁,则封禁该地址30分钟后,自动释放;
若当前为第三次封禁,则封禁该地址60分钟后,自动释放;
若当前为第四次封禁,则封禁该地址240分钟后,自动释放;
若当前为第五次及以上封禁,则封禁该地址一天后,自动释放。
本实施例应用上述技术方案,具体应用过程如图3所示,其整体分析及处置流程包括:接收各类安全设备实时发出的安全告警信息,通过对告警信息进行解析、范化以及富化处理,将处理好的告警信息,发布到kafka消息队列供其他信息消费者进行消费,进入Flink流式处理子流程进行数据的分析,再将分析结果发送至联动处置子流程进行处置。
图4所示为Flink流式处理过程:从kafka获得预处置好的数据,对有效数据进行过滤,对数据打上时间水印,进行特征信息进行分组,设置滚动时间窗口,对窗口期的日志信息进行聚合,返回数据结果,再对数据进行有效性过滤,根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估风险威胁值,对风险进行处置,进入联动处置子流程。
图5所示为联动处置过程:接收外部提交的风险IP地址信息,判断该地址是否为白名单,如果是白名单中地址,忽略该地址;如果不在白名单中,对该风险地址实施封禁处置,采用的层次封禁策略如下:
第一次封禁,封禁该地址15分钟后,自动释放;
第二次封禁,封禁该地址30分钟后,自动释放;
第三次封禁,封禁该地址60分钟后,自动释放;
第四次封禁,封禁该地址240分钟后,自动释放;
第五次及以上封禁,封禁该地址一天后,自动释放。
综上可知,本发明能够高效准确地对各类安全设备告警信息进行处理,结合攻击有向图的方式,以及时准确地检测出风险,并对风险进行自动化处置,告警的准确度大大提高;
此外,本发明能够根据企业用户自身需求进行灵活配置,以设定相应的规则,本发明封禁处理时使用旁路设备发送reset包,并且采用层次化封禁策略以及自动释放已封禁地址的方式,能够有效减轻安全运维以及处置对公司业务活动的影响,相对传统安全防护方案,不会造成网络带宽瓶颈;同时,外部风险阻断时间为动态,可以有效降低对生产系统的影响。
Claims (6)
1.一种安全风险检测处置方法,应用于一种安全风险检测处置系统,其特征在于,所述系统包括依次连接的整体分析模块(1)、Flink流式处理模块(2)和联动处置模块(3),所述整体分析模块(1)分别与多个安全设备(4)相连接,用于接收多个安全设备(4)实时发出的日志信息,通过对接收的日志信息处理,并将处理好的日志信息发布到kafka消息队列供其他信息消费者进行消费,进入Flink流式处理模块(2)进行数据的分析;
所述Flink流式处理模块(2)用于分析判断数据是否为网络威胁,并将判断为网络威胁的数据发送至联动处置模块(3)进行处置,所述Flink流式处理模块(2)包括数据过滤单元、水印标记单元、分组单元、聚合单元以及威胁评估单元,所述数据过滤单元用于过滤得到有效数据,所述水印标记单元用于对有效数据进行时间水印标记,所述分组单元根据有效数据的IP地址进行分组,所述聚合单元用于对窗口期的日志信息进行聚合,所述威胁评估单元根据威胁模型对数据进行威胁性评估,并将评估为网络威胁的数据发送至联动处置模块(3);
所述联动处置模块(3)结合预设的白名单数据,对判断为网络威胁的数据进行封禁处置;
所述方法包括以下步骤:
S1、整体分析模块从各安全设备获取实时的日志信息;
S2、整体分析模块对接收的日志信息进行解析、范化和富化处理,并将处理后的日志信息写入kafka消息队列;
S3、Flink流式处理模块从kafka消息队列获取日志信息,对日志信息进行过滤得到有效数据、对有效数据打上时间水印、进行特征信息进行分组、设置滚动时间窗口、对窗口期的日志信息进行聚合、返回聚合结果、再对聚合结果进行有效性过滤,最后根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估得到数据对应的风险威胁值,结合设定的阈值,判断该数据是否为网络威胁,若判断为是,则将该网络威胁数据发送给联动处置模块,否则过滤忽略该数据;
S4、联动处置模块接收网络威胁数据,通过白名单比较筛选得到待封禁的数据,之后根据层次封禁策略对待封禁数据进行封禁处理;
所述步骤S3具体包括以下步骤:
S31、Flink流式处理模块从kafka消息队列获取日志信息;
S32、对获取的日志信息进行数据过滤,得到有效数据;
S33、对有效数据进行时间水印标记,之后格式化数据生成Java对象、根据攻击IP地址信息进行分组、设置窗口滚动时间、对窗口期的日志信息进行聚合,得到聚合结果;
S34、对聚合结果进行数据过滤,之后根据威胁模型建立攻击者攻击有向图,根据攻击图中威胁等级评估得到数据对应的风险威胁值,结合设定的阈值,判断该数据是否为网络威胁,若判断为是,则将该网络威胁数据发送给联动处置模块,否则过滤忽略该数据;
所述步骤S34具体包括以下步骤:
S341、对聚合结果进行数据过滤;
S342、针对数据过滤后的聚合结果,根据威胁模型建立相应的攻击有向图,对攻击有向图中每条有向线上的攻击类型以及攻击次数节点要素进行打分,统计得到总分值,即为风险威胁值;
S343、若统计得到的风险威胁值小于设定的阈值,则过滤忽略该数据,否则判定为网络威胁数据,并将该网络威胁数据的IP地址信息发送给联动处置模块。
2.根据权利要求1所述的一种安全风险检测处置方法,其特征在于,所述整体分析模块(1)包括信息处理单元,所述信息处理单元用于对日志信息进行解析、范化和富化处理。
3.根据权利要求1所述的一种安全风险检测处置方法,其特征在于,所述联动处置模块(3)包括比较单元和层次封禁单元,所述比较单元用于判断网络威胁的数据是否为白名单数据,所述层次封禁单元根据网络威胁数据的当前封禁次数进行相应封禁处理。
4.根据权利要求1所述的一种安全风险检测处置方法,其特征在于,所述步骤S31具体包括以下步骤:
S311、获取Flink运行环境;
S312、生成kafka配置文件;
S313、创建kafka消费对象;
S314、从kafka消息队列获取日志信息。
5.根据权利要求1所述的一种安全风险检测处置方法,其特征在于,所述步骤S33中对窗口期的日志信息进行聚合的具体过程为:
S331、初始化对象;
S332、单个节点数据聚合;
S333、集群数据聚合;
S334、返回聚合结果。
6.根据权利要求1所述的一种安全风险检测处置方法,其特征在于,所述层次封禁策略具体为:
若当前为第一次封禁,则封禁该地址15分钟后,自动释放;
若当前为第二次封禁,则封禁该地址30分钟后,自动释放;
若当前为第三次封禁,则封禁该地址60分钟后,自动释放;
若当前为第四次封禁,则封禁该地址240分钟后,自动释放;
若当前为第五次及以上封禁,则封禁该地址一天后,自动释放。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110857561.3A CN113810362B (zh) | 2021-07-28 | 2021-07-28 | 一种安全风险检测处置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110857561.3A CN113810362B (zh) | 2021-07-28 | 2021-07-28 | 一种安全风险检测处置方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113810362A CN113810362A (zh) | 2021-12-17 |
CN113810362B true CN113810362B (zh) | 2024-02-13 |
Family
ID=78893165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110857561.3A Active CN113810362B (zh) | 2021-07-28 | 2021-07-28 | 一种安全风险检测处置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113810362B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296913A (zh) * | 2022-08-05 | 2022-11-04 | 武汉思普崚技术有限公司 | 一种适应flink作业规则的快速编排系统 |
CN115766225B (zh) * | 2022-11-16 | 2024-05-28 | 四川新网银行股份有限公司 | 基于蜜罐诱捕攻击行为分析的自动化防御方法和系统 |
CN115630374B (zh) * | 2022-12-22 | 2023-04-14 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 可信数控系统的测试方法、装置、计算机设备和存储介质 |
CN117118761B (zh) * | 2023-10-25 | 2024-04-09 | 中汽智联技术有限公司 | 一种贯穿智能汽车信息安全的纵深防御系统和方法 |
CN117834307B (zh) * | 2024-03-06 | 2024-05-10 | 深圳百沃彰世科技有限公司 | 基于通讯状态的数据传输网络数据传输防护方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743118A (zh) * | 2017-09-25 | 2018-02-27 | 北京奇安信科技有限公司 | 一种分级式网络安全防护方法及装置 |
CN110289995A (zh) * | 2019-06-11 | 2019-09-27 | 同济大学 | 基于利用属性攻击图的社交网络行为监控方法及装置 |
CN110602137A (zh) * | 2019-09-25 | 2019-12-20 | 光通天下网络科技股份有限公司 | 恶意ip和恶意url拦截方法、装置、设备及介质 |
CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
CN111404909A (zh) * | 2020-03-10 | 2020-07-10 | 上海豌豆信息技术有限公司 | 一种基于日志分析的安全检测系统及方法 |
CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
CN112685394A (zh) * | 2020-12-25 | 2021-04-20 | 北京鼎普科技股份有限公司 | 一种基于Flink的实时威胁情报关联方法、装置、系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017218636A1 (en) * | 2016-06-14 | 2017-12-21 | Sdn Systems, Llc | System and method for automated network monitoring and detection of network anomalies |
-
2021
- 2021-07-28 CN CN202110857561.3A patent/CN113810362B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743118A (zh) * | 2017-09-25 | 2018-02-27 | 北京奇安信科技有限公司 | 一种分级式网络安全防护方法及装置 |
CN110289995A (zh) * | 2019-06-11 | 2019-09-27 | 同济大学 | 基于利用属性攻击图的社交网络行为监控方法及装置 |
CN110602137A (zh) * | 2019-09-25 | 2019-12-20 | 光通天下网络科技股份有限公司 | 恶意ip和恶意url拦截方法、装置、设备及介质 |
CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
CN111404909A (zh) * | 2020-03-10 | 2020-07-10 | 上海豌豆信息技术有限公司 | 一种基于日志分析的安全检测系统及方法 |
CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
CN112685394A (zh) * | 2020-12-25 | 2021-04-20 | 北京鼎普科技股份有限公司 | 一种基于Flink的实时威胁情报关联方法、装置、系统 |
Non-Patent Citations (1)
Title |
---|
张景林.《安全系统工程》.2019,第63-76页. * |
Also Published As
Publication number | Publication date |
---|---|
CN113810362A (zh) | 2021-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113810362B (zh) | 一种安全风险检测处置方法 | |
CN106790023B (zh) | 网络安全联合防御方法和装置 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN101803337B (zh) | 入侵检测方法和系统 | |
CN103957203B (zh) | 一种网络安全防御系统 | |
CN107888887A (zh) | 一种监测燃气管道第三方破坏的视频监控预警方法及系统 | |
CN107517214A (zh) | 用于提供计算机网络安全的系统和方法 | |
CN103532957B (zh) | 一种木马远程shell行为检测装置及方法 | |
CN102857486A (zh) | 下一代应用防火墙系统及防御方法 | |
CN105554016A (zh) | 网络攻击的处理方法和装置 | |
CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
CN103905459A (zh) | 基于云端的智能安全防御系统及防御方法 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
CN112511351B (zh) | 基于mes标识数据互通系统的安全态势预测方法及系统 | |
CN106789351A (zh) | 一种基于sdn的在线入侵防御方法和系统 | |
CN108600166A (zh) | 一种网络安全检测方法和系统 | |
CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
CN104796822A (zh) | 音频啸叫检测方法、使用该方法的视频监控方法及系统 | |
Lu et al. | Detecting network anomalies using CUSUM and EM clustering | |
CN106850501A (zh) | 检测僵木蠕网络的方法以及系统 | |
Xue et al. | Research of worm intrusion detection algorithm based on statistical classification technology | |
CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
CN112583792A (zh) | 一种网站群日常监测系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |