CN114268460A - 一种网络安全异常检测方法、装置、存储介质及计算设备 - Google Patents
一种网络安全异常检测方法、装置、存储介质及计算设备 Download PDFInfo
- Publication number
- CN114268460A CN114268460A CN202111411527.XA CN202111411527A CN114268460A CN 114268460 A CN114268460 A CN 114268460A CN 202111411527 A CN202111411527 A CN 202111411527A CN 114268460 A CN114268460 A CN 114268460A
- Authority
- CN
- China
- Prior art keywords
- information
- behavior
- software
- static
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 17
- 238000003860 storage Methods 0.000 title claims abstract description 11
- 238000000034 method Methods 0.000 claims abstract description 81
- 230000003068 static effect Effects 0.000 claims abstract description 70
- 230000008569 process Effects 0.000 claims abstract description 56
- 230000002159 abnormal effect Effects 0.000 claims abstract description 35
- 238000004540 process dynamic Methods 0.000 claims abstract description 22
- 239000000523 sample Substances 0.000 claims abstract description 21
- 230000008859 change Effects 0.000 claims abstract description 18
- 230000006399 behavior Effects 0.000 claims description 87
- 238000012544 monitoring process Methods 0.000 claims description 18
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims description 2
- 239000000203 mixture Substances 0.000 claims 1
- 239000002994 raw material Substances 0.000 claims 1
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种网络安全异常检测方法、装置、存储介质及计算设备,该方法采用采集探针采集电力物联网边缘设备的软件静态指纹信息和进程动态行为信息构建可信软件基和行为基线;将进程的行为信息与本地的行为基线模型进行对比,计算行为偏离度,从而发现安全异常;将关键路径下的变化二进制文件和新进程对应的进程文件与可信软件基比对,将比对异常的二进制文件上传至服务端进行云查杀;用户对于异常告警进行人工研判,根据结果处置异常或更新可信软件基和行为基线。本发明通过构建可信软件基和行为基线,对超出标准的包括软件静态指纹信息和进程动态行为的变化进行监控,能够识别出及电力物联网边缘设备异常行为,保证设备的安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种网络安全异常检测方法、装置、存储介质及计算设备。
背景技术
电力物联网边缘设备的安全影响到电力系统的安全,面对网络攻击的多样性、新颖性,检测难度大、成本高。
目前对于物联网设备的网络安全防护主要是将物联网设备置于隔离网或者加强口令复杂度等方法来提升联网设备的网络安全,但这些方法会影响用户的使用体验,并不能很好地满足用户需求。
发明内容
本发明的目的在于提供一种面向电力物联网边缘设备的网络安全异常检测方法、装置、存储介质及计算设备,对电力物联网边缘设备进行异常进程检测,保证设备的安全性。
为了实现上述目标,本发明采用如下技术方案:
本发明提供一种网络安全异常检测方法,包括:
监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;
分别将监控的所述电力物联网边缘设备系统关键路径下的静态二进制文件和所述设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
进一步的,还包括:
采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;
根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。
进一步的,采集电力物联网边缘设备正常运行时的软件静态指纹信息,包括:
采用采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集软件静态指纹信息;所述软件静态指纹信息包括下述中的至少一种:名称、版本、软件HASH、操作系统。
进一步的,采集电力物联网边缘设备正常运行时的进程动态行为信息,包括:
采用采集探针通过/proc目录获取进程动态行为信息;所述进程动态行为信息包括下述中的至少一种:进程的创建;打开文件;绑定端口;建立连接的操作。
进一步的,本地和服务端同时保存所述根据软件静态指纹信息构建的本地可信软件基和所述根据进程动态行为信息构建的本地行为基线集合,服务端对本地可信软件基和本地行为基线集合的内容修改后同步至客户端。
进一步的,监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息,包括:
采用采集探针通过Linux inotify机制实时监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息;
所述关键路径预先配置。
进一步的,所述静态二进制文件的变化信息包括内容和权限的变化;
将关键路径下静态二进制文件的内容和权限的变化作为异常告警上报至服务端。
进一步的,将设备进程的实时行为信息与本地行为基线集合进行比对,对超出所述本地行为基线集合的行为,产生异常告警上报至服务端。
进一步的,所述将比对异常的静态二进制文件上传至服务端进行云查杀,包括:利用开源查杀引擎ClamAv对上传的异常的静态二进制文件进行云查杀。
进一步的,所述进行云查杀,还包括,对于通过云查杀的文件产生可疑告警,对于未通过的文件及相应的进程产生紧急告警。
本发明还提供一种网络安全异常检测装置,包括:
第一判断模块,用于监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;
以及,
第二判断模块,用于分别将监控的电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
进一步的,还包括构建模块,
所述构建模块用于,采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;
根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。
本发明第三方面提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的方法中的任一方法。
本发明第四方面提供一种计算设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
本发明所达到的有益效果:本发明通过构建可信软件基和行为基线,对超出标准的包括软件静态指纹信息和进程动态行为的变化进行监控,能够识别出及电力物联网边缘设备异常行为,保证设备的安全性。
附图说明
图1为本发明中构建本地可信软件基和本地行为基线集合示意图;
图2为本发明的异常检测架构。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明提供一种网络安全异常检测方法,包括:
监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;
分别将监控的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
作为一种优选的实施方式,一种网络安全异常检测方法,包括以下步骤:
步骤一,采用采集探针采集电力物联网边缘设备的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端构建可信软件基和行为基线;
步骤二,采用采集探针监控设备系统关键路径下的静态二进制文件的变化信息和进程的实时行为;
步骤三,采集探针上报步骤二中采集到的静态二进制文件的变化信息,同时将进程的实时行为信息与本地的行为基线模型进行对比,判断是否存在行为偏离,将异常结果上传至服务端;
步骤四,采用采集探针分别将步骤三中关键路径下的静态二进制文件和进程对应的进程文件与可信软件基比对,将比对异常的静态二进制文件上传至服务端进行云查杀;
步骤五,用户对于异常告警进行人工研判,根据结果处置异常或更新可信软件基和行为基线。
本领域人员应该知道,采集探针是装在边缘设备的一个主机agent探针,属于业界常用的工具,负责与服务端进行通信,功能包括信息采集以及执行服务端下发的任务等。
需要说明的是,对于静态二进制文件和进程对应的进程文件,可以从静态和动态的区别来进行理解,静态就是指它只是个可执行的程序,但不一定正在运行,关键路径可以理解为/bin、/sbin等某几个关键的目录,由于考虑性能开销,不可能采集所有目录的二进制文件,所以就定义了一些关键的目录;动态指正在运行的进程,进程所对应的二进制文件可能存在于系统的所有目录中,不一定在关键路径下
本发明实施例中,软件静态指纹信息,包括名称、版本、软件HASH、操作系统。采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集到这些信息。比如Centos的rpm,Debian的dpkg。
本发明实施例中,进程动态行为信息,包括进程的创建、打开文件、绑定端口、建立连接的操作。采集探针通过/proc目录获取当前进程文件读写、端口开放、对外连接、新建进程、进程间通信的行为。同时通过Linux auditd采集实时的进程行为。为了构建进程的行为基线,即设备上进程正常行为的总和,这一动态的学习可以长达一周或更久,从而确保行为基线的适用性。
本发明实施例中,采集探针将以上采集的信息进行本地缓存并上传至服务端,服务端将信息录入数据库,从而构建了可信软件基和行为基线,具体可参见图1,可信软件基和行为基线还可以进行后期的人工优化,使可信软件基和行为基线更加的准确和全面。
本发明实施例中,可信软件基和行为基线由客户端和服务端共同保存,服务端可以审核可信软件基和行为基线的内容并进行修改,修改的内容将同步至客户端。
本发明实施例中,采集探针软件使用Linux inotify机制实时监控设备系统关键路径下的静态二进制文件的变化,包括内容和权限的变化。同时,对于采集探针软件可以配置需要监控的关键路径,包括/bin、/sbin以及电力物联网边缘设备的业务软件路径等。
本发明实施例中,采集探针软件使用Linux auditd机制对进程的实时行为进行监控,包括进程的创建、打开文件、绑定端口、建立连接。
本发明实施例中,采集探针将关键路径下静态二进制文件内容和权限的变化作为异常告警上报至服务端。
本发明实施例中,对于进程打开文件、绑定端口、建立连接的行为,采集探针将其与本地行为基线集合进行比较,确认是否存在行为偏离。如果存在行为偏离,则产生异常告警上报至服务端。
本地行为基线集合为,相同的二进制文件生成的进程有一个打开文件、绑定端口、建立连接的集合,将该集合作为本地行为基线集合。任何超出该集合的行为属于行为偏离。
本发明实施例中,对于关键路径下的静态二进制文件和进程相应的进程文件,客户端将其静态指纹信息与可信软件基进行比较。如果比较相同则认为此上报信息内容为可信,如果比较不同,采集探针将上传该静态二进制文件至服务端,服务端通过云查杀对文件进行扫描。对于通过云查杀的文件产生“可疑”告警,对于未通过的文件及其相应进程的行为产生“紧急”告警。
所述的云查杀,是利用开源查杀引擎ClamAv对采集探针上传的文件进行安全性分析。
本发明实施例中,对于步骤三产生的异常告警和步骤四产生的“可疑”告警需要用户进行人工研判,确认静态文件或进程行为是否符合业务系统正常运行特征。如果符合,用户可以通过置白操作将该“异常”添加至可信软件基或行为基线中。如果不符合的以及“紧急”的告警可以进行人工的处置。
本发明通过采集探针初期的采集、学习以及后期的人工优化,能够使可信软件基和行为基线更加的准确和全面,同时确保异常告警的准确性。
本发明的另一个实施例提供一种面向电力物联网边缘设备的网络安全异常检测装置,包括:
第一判断模块,用于监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;
以及,
第二判断模块,用于分别将监控的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
本发明第三各实施例提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的方法中的任一方法。
本发明第四个实施例提供一种计算设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (14)
1.一种网络安全异常检测方法,其特征在于,包括:
监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据所述静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;
分别将监控的所述电力物联网边缘设备系统关键路径下的静态二进制文件和所述设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
2.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,还包括:
采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;
根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。
3.根据权利要求2所述的一种网络安全异常检测方法,其特征在于,采集电力物联网边缘设备正常运行时的软件静态指纹信息,包括:
采用采集探针通过获取电力物联网边缘设备操作系统的软件包列表采集软件静态指纹信息;所述软件静态指纹信息包括下述中的至少一种:名称;版本;软件HASH;操作系统。
4.根据权利要求2所述的一种网络安全异常检测方法,其特征在于,采集电力物联网边缘设备正常运行时的进程动态行为信息,包括:
采用采集探针通过/proc目录获取进程动态行为信息;所述进程动态行为信息包括下述中的至少一种:进程的创建;打开文件;绑定端口;建立连接的操作。
5.根据权利要求2所述的一种网络安全异常检测方法,其特征在于,本地和服务端同时保存所述根据软件静态指纹信息构建的本地可信软件基和所述根据进程动态行为信息构建的本地行为基线集合,服务端对本地可信软件基和本地行为基线集合的内容修改后同步至客户端。
6.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息,包括:
采用采集探针通过Linux inotify机制实时监控电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程的实时行为信息;
所述关键路径预先配置。
7.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,所述静态二进制文件的变化信息包括内容和权限的变化;
将关键路径下静态二进制文件的内容和权限的变化作为异常告警上报至服务端。
8.根据权利要求6所述的一种网络安全异常检测方法,其特征在于,将设备进程的实时行为信息与本地行为基线集合进行比对,对超出所述本地行为基线集合的行为,产生异常告警上报至服务端。
9.根据权利要求1所述的一种网络安全异常检测方法,其特征在于,所述将比对异常的静态二进制文件上传至服务端进行云查杀,包括:
利用开源查杀引擎ClamAv对上传的异常的静态二进制文件进行云查杀。
10.根据权利要求9所述的一种网络安全异常检测方法,其特征在于,所述进行云查杀,还包括,
对于通过云查杀的文件产生可疑告警,对于未通过的文件及相应的进程产生紧急告警。
11.一种网络安全异常检测装置,其特征在于,包括:
第一判断模块,用于监控电力物联网边缘设备系统关键路径下的静态二进制文件,并根据静态二进制文件的变化信息生成异常告警,以及监控设备进程的实时行为信息,并与本地行为基线集合进行比对,根据异常结果生成异常告警;
以及,
第二判断模块,用于分别将监控的电力物联网边缘设备系统关键路径下的静态二进制文件和设备进程对应的进程文件与本地可信软件基进行比对,并将比对异常的静态二进制文件上传至服务端进行云查杀;以及根据云查杀结果生成不同等级的告警信息。
12.根据权利要求11所述的一种网络安全异常检测装置,其特征在于,还包括构建模块,
所述构建模块用于,采集电力物联网边缘设备正常运行时的软件静态指纹信息和进程动态行为信息进行本地存储并上报至服务端;
根据所述软件静态指纹信息构建本地可信软件基,根据所述进程动态行为信息构建本地行为基线集合。
13.一种存储一个或多个程序的计算机可读存储介质,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至10所述的方法中的任一方法。
14.一种计算设备,其特征在于:包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至10所述的方法中的任一方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111411527.XA CN114268460B (zh) | 2021-11-25 | 2021-11-25 | 一种网络安全异常检测方法、装置、存储介质及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111411527.XA CN114268460B (zh) | 2021-11-25 | 2021-11-25 | 一种网络安全异常检测方法、装置、存储介质及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114268460A true CN114268460A (zh) | 2022-04-01 |
| CN114268460B CN114268460B (zh) | 2024-02-13 |
Family
ID=80825551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111411527.XA Active CN114268460B (zh) | 2021-11-25 | 2021-11-25 | 一种网络安全异常检测方法、装置、存储介质及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114268460B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120167057A1 (en) * | 2010-12-22 | 2012-06-28 | Microsoft Corporation | Dynamic instrumentation of software code |
| US9239922B1 (en) * | 2013-03-11 | 2016-01-19 | Trend Micro Inc. | Document exploit detection using baseline comparison |
| CN106709351A (zh) * | 2017-02-22 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种软件基本信任机制的处理方法及相关设备 |
| CN110620768A (zh) * | 2019-09-16 | 2019-12-27 | 北京方研矩行科技有限公司 | 一种用于物联网智能终端的基线安全检测方法及装置 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
| CN113676486A (zh) * | 2021-08-27 | 2021-11-19 | 国网浙江桐乡市供电有限公司 | 边缘物联代理安全策略 |
-
2021
- 2021-11-25 CN CN202111411527.XA patent/CN114268460B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120167057A1 (en) * | 2010-12-22 | 2012-06-28 | Microsoft Corporation | Dynamic instrumentation of software code |
| US9239922B1 (en) * | 2013-03-11 | 2016-01-19 | Trend Micro Inc. | Document exploit detection using baseline comparison |
| CN106709351A (zh) * | 2017-02-22 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种软件基本信任机制的处理方法及相关设备 |
| CN110620768A (zh) * | 2019-09-16 | 2019-12-27 | 北京方研矩行科技有限公司 | 一种用于物联网智能终端的基线安全检测方法及装置 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
| CN113676486A (zh) * | 2021-08-27 | 2021-11-19 | 国网浙江桐乡市供电有限公司 | 边缘物联代理安全策略 |
Non-Patent Citations (1)
| Title |
|---|
| 任江春;王志英;戴葵;: "一种新的进程可信保护方法", 武汉大学学报(理学版), no. 05 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114268460B (zh) | 2024-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2893447B1 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
| CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
| US10412109B2 (en) | Method for detecting vulnerabilities in a virtual production server of a virtual or cloud computer system | |
| Wu et al. | Towards a SCADA forensics architecture | |
| US20200202008A1 (en) | Collection of plc indicators of compromise and forensic data | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| US11803461B2 (en) | Validation of log files using blockchain system | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
| US20130111018A1 (en) | Passive monitoring of virtual systems using agent-less, offline indexing | |
| CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| CN111754359A (zh) | 一种智能制造工业大数据处理平台的安全监控方法和系统 | |
| CN114268460B (zh) | 一种网络安全异常检测方法、装置、存储介质及计算设备 | |
| EP4068687A1 (en) | System and method for anomaly detection in a computer network | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN110647771B (zh) | 一种mysql数据库存储完整性校验保护方法及装置 | |
| Meenakshi et al. | Literature survey on log-based anomaly detection framework in cloud | |
| JP6041727B2 (ja) | 管理装置、管理方法及び管理プログラム | |
| CN111814138A (zh) | 一种基于云平台的软件安全管理系统 | |
| CN115577369B (zh) | 源代码泄露行为检测方法、装置、电子设备及存储介质 | |
| CN115098602B (zh) | 基于大数据平台的数据处理方法、装置、设备及存储介质 | |
| CN116089965B (zh) | 一种基于sod风险模型的信息安全应急管理系统及方法 | |
| US20240020391A1 (en) | Log-based vulnerabilities detection at runtime | |
| CN117061250B (zh) | 基于数据中台的网络安全预警方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |