CN114039758A - 一种基于事件检测模式的网络安全威胁识别方法 - Google Patents
一种基于事件检测模式的网络安全威胁识别方法 Download PDFInfo
- Publication number
- CN114039758A CN114039758A CN202111285739.8A CN202111285739A CN114039758A CN 114039758 A CN114039758 A CN 114039758A CN 202111285739 A CN202111285739 A CN 202111285739A CN 114039758 A CN114039758 A CN 114039758A
- Authority
- CN
- China
- Prior art keywords
- event
- threat
- model
- data
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000001514 detection method Methods 0.000 title claims abstract description 29
- 238000012549 training Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 7
- 238000013058 risk prediction model Methods 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 claims description 24
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 11
- 238000012512 characterization method Methods 0.000 claims description 5
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 238000010219 correlation analysis Methods 0.000 abstract description 4
- 238000012423 maintenance Methods 0.000 abstract description 4
- 238000009412 basement excavation Methods 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012805 post-processing Methods 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000000546 chi-square test Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013179 statistical model Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于事件检测模式的网络安全威胁识别方法。该方法对网络各节点事件大数据进行特征工程处理,对特征工程处理后的数据按照事件点与事件流的两种模式进行模型学习训练,生成事件点异常检测模型、事件流风险预测模型两类的模型知识。在模型知识的基础上,对于单点事件的威胁识别,计算该事件特征与某类威胁模型异常点特征的匹配值来判断是否存在潜在的威胁;对于类似多步攻击之类多个关联事件的威胁识别,则首先使用关联分析算法得到关联事件的特征序列,再计算该事件流的序列特征与某类威胁模型序列特征的匹配值来预测是否存在潜在的威胁。本发明方法能够实现即时威胁的识别、隐藏威胁的挖掘,极大提高了网络安全运维的水平。
Description
技术领域
本发明涉及网络安全领域,特别是一种基于事件检测模式的网络安全威胁识别方法。
背景技术
在现代的网络环境与庞杂的网络资产背景下,解决如何即时高效地识别威胁识别、如何全面洞察整体网络的威胁态势这类问题的重要性日益突出。但传统的威胁识别手段存在不少局限性。从安全运维人员的角度看,以人力为主的威胁监控耗时费力,效率低下,安全运维人员对潜在威胁的分析与未知类型威胁的预测能力均普遍不足;从安全防护工具的角度看,现有工具的威胁识别实现过于依赖规则,缺乏数据之间关联能力,缺乏智能预警能力。
发明内容
本发明的目的在于提供一种基于事件检测模式的网络安全威胁识别方法,该方法提出了事件点检测模式与事件流检测模式相结合的思路,事件点检测模式主要实现单点事件的威胁识别,事件流检测模式主要实现多个关联事件流的威胁识别。在具体实现上,两种检测模式将综合应用大数据、人工智能等领域技术,放弃根据具体威胁进行的具体编程,从而能够从百万级、千万级数量以及不同类型的事件中更灵活、更智能地分析事件数据并识别威胁。
为实现上述目的,本发明的技术方案是:一种基于事件检测模式的网络安全威胁识别方法,包括如下步骤:
步骤S1、采集网络各节点的历史原始事件数据;
步骤S2、对原始事件数据进行特征工程过程,生成事件的特征数据;
步骤S3、对特征数据按单点事件、多个关联事件的模式分别进行模型训练,生成对应的事件点异常检测模型、事件流风险预测模型;
步骤S4、对实时采集数据实施特征化工程,并输入到威胁识别模型应用入口;
步骤S5、以并行或串行的方式对实时特征数据进行基于事件点威胁模型与基于事件流威胁模型的匹配度计算;
步骤S6、当单点特征数据或序列特征数据的匹配度超过某一阈值,则触发威胁处理模块,并视需要,根据确认结果进行威胁模型的反馈、修正、优化。
在本发明一实施例中,该方法威胁识别分为单点事件即事件点、多个关联事件即事件流识别模式,并将该两种模式运用在威胁识别模型的训练和模型知识的应用过程。
在本发明一实施例中,该方法在训练数据的准备,或模型训练过程,或模型知识生成,或者威胁识别过程,均按事件点、事件流模式进行。
在本发明一实施例中,该方法可以灵活地根据包括网络事件数的量级、计算模型的准确度、计算资源性能差异、威胁识别实时性的因素灵活地将基于事件点的威胁识别模式、基于事件流的威胁识别模式以并行或串行的方式进行组合。
相较于现有技术,本发明具有以下有益效果:
(1)本发明实现了以网络节点事件的大数据集为基础,以AI为核心技术,挖掘事件发生规律或用户行为模式,实现威胁的实时检测与发现,实现风险的智能分析与预测。
(2)本发明能够大幅提升对安全威胁的发现识别、理解分析能力,有效地改变传统的以“制度+人力”为主的网络安全运维方式,并带来成本低、准度高、反应快等优势。
附图说明
图1为本发明实施例的方法原理图。
图2为本发明实施例的功能模块图。
图3为本发明实施例的总体流程图。
图4为本发明实施例的并行方式的威胁识别流程图。
图5为本发明实施例的串行方式的威胁识别流程图。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
本实施例提供一种基于事件检测模式的网络威胁识别的方法,在网络事件特征化工程的基础上,应用单事件检测模式与多事件检测模式相结合,单事件异常检测主要实现“事件点”的威胁识别,多事件异常检测主要实现“事件流”的威胁识别。同时在实现上,两种检测模式将应用各种AI领域技术,放弃根据具体威胁进行的具体编程,从而能够通过从数百万条各类事件中更灵活、更智能地分析数据并识别威胁,具体实现方法包括以下步骤:
步骤S1、采集网络各节点的历史原始事件数据;
步骤S2、对原始事件数据进行特征工程过程,生成事件的特征数据;
步骤S3、对特征数据按单点事件、多个关联事件的模式分别进行模型训练,生成对应的事件点异常检测模型、事件流风险预测模型;
步骤S4、对实时采集数据进行特征工程过程,并输入到威胁识别模型的应用入口;
步骤S5、以并行或串行的方式对实时特征数据进行基于事件点威胁模型与基于事件流威胁模型的匹配度计算;
步骤S6、当单点特征数据或序列特征数据的匹配度超过某一阈值,则触发威胁处理模块,并视需要,根据确认结果进行威胁模型的反馈、修正、优化。
在本实施例中,把威胁识别分为单点事件(事件点)、多个关联事件(事件流)识别模式,并将该两种模式运用在威胁识别模型的训练和模型知识的应用过程。
在本实施例中,无论是训练数据的准备,或模型训练过程,或模型知识生成,或者威胁识别过程,均按事件点、事件流模式进行。
在本实施例中,可以灵活地根据网络事件数的量级、计算模型的准确度、计算资源性能差异、威胁识别实时性等因素灵活地将基于事件点的威胁识别模式、基于事件流的威胁识别模式以并行或串行的方式进行组合。
较佳的,在本实施例中,事件采集的节点类型包括各类网络设备、服务器、容器、传感器、网络用户等,原始数据包括日志、流量、消息等形式。
较佳的,在本实施例中,为了增强模型的威胁识别能力,用户行为数据还可以引入防守方与攻击方的行为数据,这些数据可以采集自网络安全演练过程、真实网络攻防活动,并涵盖尽可能多类型的攻防行为。除了上述事件类型的数据,模型还将引入静态数据或准静态数据,包括设备资产数据、网络拓扑数据、文件指纹数据、IP/域名可信度数据等。由于行为主体的经验和知识可能带来潜在的非故意的威胁,我们也可以引入流程、文化等非有形资产的相关数据。。
较佳的,在本实施例中,对事件数据进行特征工程过程可以综合运用包括数据预处理、特征提取、降维等特征工程技术对事件原始数据进行加工处理。具体的方法包括但不限于同趋化处理、无量纲化、对定量特征二值化、对定性特征哑编码、文本特征属性转换、缺失值计算、卡方检验、递归特征消除、基于惩罚项或树模型的特征选择、线性判别分析(LDA)等。
较佳的,本实施例的事件点检测具体实现逻辑如下:
采集网络事件数据并完成特征化特征,对单点数据特征数据使用基于统计模型的方法、基于邻近度的方法、基于密度的方法、孤立森林算法等,计算事件对象与同类事件的差异,获得一个基于距离或基于密度的异常得分,得分越高则代表该事件异常可能性越高。
较佳的,本实施例的事件流检测具体实现逻辑如下:
采集网络事件数据并完成特征化特征,采用基于相似度、关联规则、主成分分析、机器推理等方法进行特征数据进行关联分析,生成特征数据序列。在特征数据序列的基础上,通过机器学习在一系列行为事件对应的特征序列中发现规律,并按对安全的友好型、可信度高低生成表示“安全”的或表示“威胁”的不同规则。
以下为本发明具体实现过程。
如图1所示方法原理图,其中x轴表示事件时间序列,y轴表示事件空间类型。该原理图包括如下内容:
(1)事件点威胁识别,主要基于单点事件数据的特征分析与模型匹配,即提取某一时间窗口的某一事件的特征,该事件的部分特征符合该类事件威胁模型的规则(或规律)或匹配值超过某一阈值,则判断存在威胁。
(2)事件流威胁识别,主要基于关联事件序列的特征分析与模型匹配,即通过关联分析获取某一事件流,该事件流的序列特征符合该类事件流威胁模型的规则(或规律)或匹配值超过某一阈值,则预测存在威胁。
如图2所示功能模块图,包括如下内容:
(1)网络事件采集模块,该模块主要集成与实现不同网络节点各类事件(包括但不限于日志、性能、流量)的采集与汇聚、存储。
(2)数据特征工程模块,该模块提供公共的、通用的数据特征过程能力,通过数据的清洗、切割、字段扩充、格式化等加工任务,解决不同来源的事件的特征规格量纲不一致、信息冗余、定性特征不能直接使用、值缺失等问题。
(3)模型训练模块,该模块在事件数据集的基础上,使用机器学习、深度学习、机器推理和很多相关技术来进行模型训练,生成模型知识(威胁模型库)。
(4)模型应用模块,该模块利用学习训练得到的威胁模型库,对实时生成的特征数据进行事件点异常检测、事件流风险预测,完成威胁识别。
(5)威胁处理模块,该模块根据威胁类型、威胁等级、匹配度等预测信息启动相应的告警推送、告警确认等识别后处理工作。
如图3所示总体流程图,包括如下内容:
(1)使用syslog、Logstash、Prometheus等现有成熟的工具完成网络原始事件数据的采集;
(2)对进行原始事件数据进行数据清理、、对定量特征二值化、对定性特征哑编码、文本特征属性转换、缺失值计算、特征提取、特征降维等特征工程过程,获得事件特征数据;
(3)在事件特征数据基础进行模型训练、测试,划分恶意流量与正常流量,标记正常用户与非正常用户,学习事件特征与威胁定性之间的关联规律,生成威胁模型库;
(4)对实时网络事件进行特征过程,获取实时特征数据;
(5)对实时特征数据应用威胁模型,根据网络事件数的量级、计算模型的准确度、计算资源性能差异、威胁识别实时性等因素选择并行或串行的方式进行事件点威胁检测、事件流威胁检测;
(6)对威胁检测的结果进行确认等处理,视需要根据确认结果进行威胁模型的反馈、修正、优化。
如图4所示威胁识别流程(并行方式),包括如下内容:
(1)威胁识别模块接收网络事件的实时特征数据;
(2)同时进行事件点、事件流的威胁识别进程:提取某一事件的特征,然后应用事件点异常检测模型对该事件的特征数据进行异常点检测;同时,对该事件进行朔源与关联分析,获取与该事件相关联的完整事件流的序列特征,然后应用事件流风险预测模型对该序列特征进行匹配计算。
(3)其它流程环节参考总体流程图。
如图5所示威胁识别流程(串行方式),包括如下内容:
(1)威胁识别模块接收网络事件的实时特征数据;
(2)先对时间窗口内的某一事件进行朔源与关联分析,获取与该事件相关联的完整事件流的序列特征;
(3)逐个遍历该序列特征中的每个事件特征,然后应用事件点异常检测模型对该事件的特征数据进行异常点检测;
(4)如果单点威胁模型匹配度大于某一阈值,则触发告警等后处理策略,同时结束该事件流序列的遍历,开始下一个事件流的威胁识别;
(5)如果按单点威胁模型匹配遍历完该事件流序列中全部节点,则应用流事件流检测模型对该事件流的序列特征进行匹配计算;
(6)其它流程环节参考总体流程图。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (4)
1.一种基于事件检测模式的网络安全威胁识别方法,其特征在于,包括如下步骤:
步骤S1、采集网络各节点的历史原始事件数据;
步骤S2、对原始事件数据进行特征工程过程,生成事件的特征数据;
步骤S3、对特征数据按单点事件、多个关联事件的模式分别进行模型训练,生成对应的事件点异常检测模型、事件流风险预测模型;
步骤S4、对实时采集数据实施特征化工程,并输入到威胁识别模型应用入口;
步骤S5、以并行或串行的方式对实时特征数据进行基于事件点威胁模型与基于事件流威胁模型的匹配度计算;
步骤S6、当单点特征数据或序列特征数据的匹配度超过某一阈值,则触发威胁处理模块,并视需要,根据确认结果进行威胁模型的反馈、修正、优化。
2.根据权利要求1所述的一种基于事件检测模式的网络安全威胁识别方法,其特征在于,该方法威胁识别分为单点事件即事件点、多个关联事件即事件流识别模式,并将该两种模式运用在威胁识别模型的训练和模型知识的应用过程。
3.根据权利要求2所述的一种基于事件检测模式的网络安全威胁识别方法,其特征在于,该方法在训练数据的准备,或模型训练过程,或模型知识生成,或者威胁识别过程,均按事件点、事件流模式进行。
4.根据权利要求3所述的一种基于事件检测模式的网络安全威胁识别方法,其特征在于,该方法可以灵活地根据包括网络事件数的量级、计算模型的准确度、计算资源性能差异、威胁识别实时性的因素灵活地将基于事件点的威胁识别模式、基于事件流的威胁识别模式以并行或串行的方式进行组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111285739.8A CN114039758A (zh) | 2021-11-02 | 2021-11-02 | 一种基于事件检测模式的网络安全威胁识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111285739.8A CN114039758A (zh) | 2021-11-02 | 2021-11-02 | 一种基于事件检测模式的网络安全威胁识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114039758A true CN114039758A (zh) | 2022-02-11 |
Family
ID=80135961
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111285739.8A Pending CN114039758A (zh) | 2021-11-02 | 2021-11-02 | 一种基于事件检测模式的网络安全威胁识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039758A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114528550A (zh) * | 2022-03-03 | 2022-05-24 | 黑龙江卓成智能科技有限公司 | 一种应用于电商大数据威胁识别的信息处理方法及系统 |
CN114584402A (zh) * | 2022-05-07 | 2022-06-03 | 浙江御安信息技术有限公司 | 一种基于攻击特征识别标签库的威胁过滤研判方法 |
CN115168895A (zh) * | 2022-07-08 | 2022-10-11 | 哈尔滨汇谷科技有限公司 | 结合人工智能的用户信息威胁分析方法及服务器 |
CN115632884A (zh) * | 2022-12-21 | 2023-01-20 | 徐工汉云技术股份有限公司 | 基于事件分析的网络安全态势感知方法与系统 |
CN116663022A (zh) * | 2023-08-02 | 2023-08-29 | 深圳海云安网络安全技术有限公司 | 一种基于多库融合的场景化威胁建模方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN108923975A (zh) * | 2018-07-05 | 2018-11-30 | 中山大学 | 一种面向分布式网络的流量行为分析方法 |
WO2020083023A1 (zh) * | 2018-10-22 | 2020-04-30 | 中兴通讯股份有限公司 | 一种事件流处理方法、电子设备和可读存储介质 |
CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
CN111950810A (zh) * | 2020-08-27 | 2020-11-17 | 南京大学 | 一种基于自演化预训练的多变量时间序列预测方法和设备 |
CN112583645A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种自动检测安全威胁的方法 |
EP3817316A1 (en) * | 2019-10-30 | 2021-05-05 | Vocalink Limited | Detection of security threats in a network environment |
-
2021
- 2021-11-02 CN CN202111285739.8A patent/CN114039758A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
CN108616381A (zh) * | 2018-02-28 | 2018-10-02 | 北京奇艺世纪科技有限公司 | 一种事件关联报警方法和装置 |
CN108923975A (zh) * | 2018-07-05 | 2018-11-30 | 中山大学 | 一种面向分布式网络的流量行为分析方法 |
WO2020083023A1 (zh) * | 2018-10-22 | 2020-04-30 | 中兴通讯股份有限公司 | 一种事件流处理方法、电子设备和可读存储介质 |
EP3817316A1 (en) * | 2019-10-30 | 2021-05-05 | Vocalink Limited | Detection of security threats in a network environment |
CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
CN111950810A (zh) * | 2020-08-27 | 2020-11-17 | 南京大学 | 一种基于自演化预训练的多变量时间序列预测方法和设备 |
CN112583645A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种自动检测安全威胁的方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114528550A (zh) * | 2022-03-03 | 2022-05-24 | 黑龙江卓成智能科技有限公司 | 一种应用于电商大数据威胁识别的信息处理方法及系统 |
CN114528550B (zh) * | 2022-03-03 | 2022-12-23 | 北京优天下科技股份有限公司 | 一种应用于电商大数据威胁识别的信息处理方法及系统 |
CN114584402A (zh) * | 2022-05-07 | 2022-06-03 | 浙江御安信息技术有限公司 | 一种基于攻击特征识别标签库的威胁过滤研判方法 |
CN114584402B (zh) * | 2022-05-07 | 2022-08-05 | 浙江御安信息技术有限公司 | 基于攻击特征识别标签库的威胁过滤研判方法 |
CN115168895A (zh) * | 2022-07-08 | 2022-10-11 | 哈尔滨汇谷科技有限公司 | 结合人工智能的用户信息威胁分析方法及服务器 |
CN115168895B (zh) * | 2022-07-08 | 2023-12-12 | 深圳市芒果松科技有限公司 | 结合人工智能的用户信息威胁分析方法及服务器 |
CN115632884A (zh) * | 2022-12-21 | 2023-01-20 | 徐工汉云技术股份有限公司 | 基于事件分析的网络安全态势感知方法与系统 |
CN116663022A (zh) * | 2023-08-02 | 2023-08-29 | 深圳海云安网络安全技术有限公司 | 一种基于多库融合的场景化威胁建模方法 |
CN116663022B (zh) * | 2023-08-02 | 2024-03-08 | 深圳海云安网络安全技术有限公司 | 一种基于多库融合的场景化威胁建模方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114039758A (zh) | 一种基于事件检测模式的网络安全威胁识别方法 | |
Ektefa et al. | Intrusion detection using data mining techniques | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
CN112114579B (zh) | 一种基于攻击图的工业控制系统安全度量方法 | |
CN106375339A (zh) | 基于事件滑动窗口的攻击模式检测方法 | |
CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
CN110933083B (zh) | 一种基于分词与攻击匹配的漏洞等级评估装置及其方法 | |
CN107104951B (zh) | 网络攻击源的检测方法和装置 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
CN113205134A (zh) | 一种网络安全态势预测方法及系统 | |
CN113852615A (zh) | 一种在多级dns环境中失陷主机监测方法及装置 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN117240522A (zh) | 基于攻击事件模型的漏洞智能挖掘方法 | |
Nalavade et al. | Finding frequent itemsets using apriori algorithm to detect intrusions in large dataset | |
Sridevi et al. | Genetic algorithm and artificial immune systems: A combinational approach for network intrusion detection | |
Zhu et al. | Business process mining based insider threat detection system | |
CN112751863B (zh) | 一种攻击行为分析方法及装置 | |
Yu et al. | Mining anomaly communication patterns for industrial control systems | |
Azeroual et al. | A framework for implementing an ml or dl model to improve intrusion detection systems (ids) in the ntma context, with an example on the dataset (cse-cic-ids2018) | |
Zhang et al. | Hybrid intrusion detection based on data mining | |
Khan et al. | Learning time-based rules for prediction of alarms from telecom alarm data using ant colony optimization | |
CN115514582B (zh) | 基于att&ck的工业互联网攻击链关联方法及系统 | |
CN115174217B (zh) | 一种基于soar的安全数据编排自动化分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |