CN114448685A - 一种生成网络协议报文防护策略的方法及装置 - Google Patents

一种生成网络协议报文防护策略的方法及装置 Download PDF

Info

Publication number
CN114448685A
CN114448685A CN202210037925.8A CN202210037925A CN114448685A CN 114448685 A CN114448685 A CN 114448685A CN 202210037925 A CN202210037925 A CN 202210037925A CN 114448685 A CN114448685 A CN 114448685A
Authority
CN
China
Prior art keywords
protocol
network protocol
identified
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210037925.8A
Other languages
English (en)
Other versions
CN114448685B (zh
Inventor
易从勉
穆帅
周建伟
樊志甲
叶晓虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202210037925.8A priority Critical patent/CN114448685B/zh
Publication of CN114448685A publication Critical patent/CN114448685A/zh
Application granted granted Critical
Publication of CN114448685B publication Critical patent/CN114448685B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Communication Control (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及网络安全技术领域,尤其涉及一种生成网络协议报文防护策略的方法及装置,分别确定各待识别网络协议对应的协议类型,其中,所述各待识别网络协议为通过安全性校验的网络协议;针对所述各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于所述特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式;基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略。这样,能够自动化生成网络协议报文防护策略,从而提高生成网络协议报文防护策略的效率,缩短采取有效防护手段的时间。

Description

一种生成网络协议报文防护策略的方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种生成网络协议报文防护策略的方法及装置。
背景技术
随着信息技术领域与工业控制领域的不断交叉融合,越来越多的信息技术应用于工业控制领域,工控系统的开放程度也越来越高。然而,工控系统的开放在为工业生产带来极大推动的同时,也带来了许多安全性问题,如,木马、病毒、网络攻击等。因此,需要对工控系统的网络协议报文进行防护。
相关技术中,通常是通过人工对各网络协议报文进行分析,再通过硬编码的方式,生成网络协议报文防护策略,从而实现对工控系统的网络协议报文的防护。
然而,相关技术中的这种方式,由于需要人工对各网络协议报文进行分析和特征提取,因此,无法在短时间内形成有效的网络协议报文防护策略,生成网络协议报文防护策略的效率不高。
发明内容
本申请实施例提供一种生成网络协议报文防护策略的方法及装置,以提高生成网络协议报文防护策略的效率,缩短采取有效防护手段的时间。
本申请实施例提供的具体技术方案如下:
一种生成网络协议报文防护策略的方法,包括:
分别确定各待识别网络协议对应的协议类型,其中,所述各待识别网络协议为通过安全性校验的网络协议;
针对所述各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于所述特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式;
基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略。
可选的,分别确定各待识别网络协议对应的协议类型,具体包括:
分别对各待识别网络协议的报文包头信息进行识别,获得所述各待识别网络协议各自对应的协议类型。
可选的,基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,具体包括:
基于任意一种待识别网络协议的报文包头信息,确定该待识别网络协议的解码结果;
若确定所述解码结果为可解码,则基于该待识别网络协议对应的协议类型,从预设的各第一信息提取方式中,确定出该待识别网络协议对应的特征提取方式;
若确定所述解码结果为无法解码,则基于该待识别网络协议对应的协议类型,从预设的各第二信息提取方式中,确定出该待识别网络协议对应的特征提取方式。
可选的,若所述特征提取方式为第一信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息,具体包括:
确定该待识别网络协议的协议码,其中,所述协议码用于唯一区分待识别网络协议;
基于所述协议码,确定该待识别网络协议的各第一固定字段;
将所述各第一固定字段各自对应的第一字段值,作为该待识别网络协议的协议信息。
可选的,若所述特征提取方式为第二信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息,具体包括:
基于所述第二信息提取方式,确定各第二固定字段;
识别该待识别网络协议中的各第二固定字段各自对应的字段值,获得该待识别网络协议的固定字段信息,以及,基于统计算法获得该待识别网络协议的各协议特征串信息;
生成包含有所述各固定字段信息和所述各协议特征串信息的协议信息。
可选的,基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略,具体包括:
基于各第一信息提取方式下的协议信息,以及各第二信息提取方式下的协议信息,生成网络协议报文防护策略。
一种生成网络协议报文防护策略的装置,包括:
确定模块,用于分别确定各待识别网络协议对应的协议类型,其中,所述各待识别网络协议为通过安全性校验的网络协议;
处理模块,用于针对所述各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于所述特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式;
第一生成模块,用于基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略。
可选的,确定模块具体用于:
分别对各待识别网络协议的报文包头信息进行识别,获得所述各待识别网络协议各自对应的协议类型。
可选的,基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式时,处理模块具体用于:
基于任意一种待识别网络协议的报文包头信息,确定该待识别网络协议的解码结果;
若确定所述解码结果为可解码,则基于该待识别网络协议对应的协议类型,从预设的各第一信息提取方式中,确定出该待识别网络协议对应的特征提取方式;
若确定所述解码结果为无法解码,则基于该待识别网络协议对应的协议类型,从预设的各第二信息提取方式中,确定出该待识别网络协议对应的特征提取方式。
可选的,若所述特征提取方式为第一信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息时,处理模块具体用于:
确定该待识别网络协议的协议码,其中,所述协议码用于唯一区分待识别网络协议;
基于所述协议码,确定该待识别网络协议的各第一固定字段;
将所述各第一固定字段各自对应的第一字段值,作为该待识别网络协议的协议信息。
可选的,若所述特征提取方式为第二信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息时,处理模块具体用于:
基于所述第二信息提取方式,确定各第二固定字段;
识别该待识别网络协议中的各第二固定字段各自对应的字段值,获得该待识别网络协议的固定字段信息,以及,基于统计算法获得该待识别网络协议的各协议特征串信息;
生成包含有所述各固定字段信息和所述各协议特征串信息的协议信息。
可选的,第一生成模块具体用于:
基于各第一信息提取方式下的协议信息,以及各第二信息提取方式下的协议信息,生成网络协议报文防护策略。
可选的,还包括第二生成模块,所述第二生成模块用于:
分别对预设的各第一已知网络协议进行信息识别,获得所述各已知网络协议各自对应的第一固定字段,并基于所述各第一固定字段,生成第一信息提取方式;以及,所述第二生成模块还用于:
分别确定预设的各第二已知网络协议的协议类型,以及,确定所述各第二网络协议各自对应的第二固定字段,并基于各协议类型和第二固定字段,生成第二信息提取方式。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述生成网络协议报文防护策略的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述生成网络协议报文防护策略的方法的步骤。
本申请实施例中,分别确定各待识别网络协议对应的协议类型,针对各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于特征提取方式,获得该待识别网络协议的协议信息,基于确定出的各协议信息,生成包含有各协议信息的网络协议报文防护策略。这样,由于每种待识别网络协议对应的协议信息可能不相同,因此,根据每种待识别网络协议对应的特征提取方式,自动快速分析出每种待识别网络协议各自对应的协议信息,从而能够基于确定出的各协议信息生成网络协议报文防护策略,提高了生成网络协议报文防护策略的效率,缩短采取有效防护手段的时间。并且,由于网络协议报文防护策略是基于特征提取方式自动生成的,因此,相比于相关技术中需要通过人工分析网络协议报文防护策略来说,能够提高生成网络协议报文防护策略的准确性,进一步保证网络协议报文的安全性。
附图说明
图1为本申请实施例中一种确定特征提取方式的流程示意图;
图2为本申请实施例中一种生成网络协议报文防护策略方法的流程图;
图3为本申请实施例中一种生成网络报文防护策略方法的另一流程图;
图4为本申请实施例中生成网络协议报文防护策略装置的结构示意图;
图5为本申请实施例中电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
互联网正在以惊人的速度改变用户的生活方式和工作效率,从商业机构到个人,均将越来越多地通过互联网处理事务、发送电子邮件、购物和办公,会给社会、企业乃至用户个人带来了前所未有的便利,上述这些便利均得益于互联网的开放性特征和匿名性特征,然而,上述特征会导致互联网不可避免地存在信息安全隐患。
随着信息技术领域、工业控制领域、互联网+领域、物联网领域的不断交叉融合,越来越多的信息技术应用于工业控制领域,工控系统的开放程度也越来越高,在为工业生产带来极大推动的同时,也带来了如木马、病毒、网络攻击等安全问题,安全问题会成为制约信息化与工业化深度融合发展的重要因素。
相关技术中,通常是通过人工对各网络协议报文进行分析,再通过硬编码的方式,生成网络协议报文防护策略,实现对工控系统中传输的网络协议报文的防护,保证了工控系统的安全性。
然而,相关技术中的这种方式,由于需要人工对各网络协议报文进行分析、特征提取和整理,才能够生成网络协议报文防护策略,因此,通过相关技术中的这种方式,无法在短时间内形成有效的网络协议报文防护策略,生成网络协议报文防护策略的效率不高。
为了解决上述问题,本申请实施例中,提供了一种生成网络协议报文防护策略的方法,分别确定各待识别网络协议对应的协议类型,其中,各待识别网络协议为通过安全性校验的网络协议,针对各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式,基于确定出的各协议信息,生成包含有各协议信息的网络协议报文防护策略。这样,能够实现协议信息的自动化提取,从而提高生成网络协议报文防护策略的效率,缩短采取有效防护手段的时间。
基于上述实施例,参阅图1所示,为本申请实施例中一种确定特征提取方式的流程示意图,具体包括:
步骤10:分别对预设的各第一已知网络协议进行信息识别,获得各第一已知网络协议各自对应的第一固定字段,并基于各第一固定字段,生成第一信息提取方式。
本申请实施例中,分别针对各预设的第一已知网络协议,执行以下操作:对任意一第一已知网络协议进行信息识别,确定该第一已知网络协议对应的第一固定字段,并基于确定出的各第一固定字段,生成第一信息提取方式。
其中,第一已知网络协议的各第一固定字段分别为协议码字段、源端口字段、目的端口字段、功能码字段,则基于各第一固定字段,生成第一信息提取方式,从而在基于第一信息提取方式对待识别网络协议进行信息识别时,可以基于第一信息提取方式中的协议码字段,确定待识别网络协议中协议码字段对应的取值,基于第一信息提取方式中的源端口字段,确定待识别网络协议中源端口字段对应的取值,从而获得待识别网络协议的源端口,基于第一信息提取方式中的目的端口字段,确定待识别网络协议中目的端口字段对应的取值,从而获得待识别网络协议的目的端口,以及,基于第一信息提取方式中的功能码字段,确定待识别网络协议中功能码字段对应的取值,从而获得待识别网络协议的功能码。
例如,基于第一信息特征提取方式,能够获得待识别网络协议的协议码为0x64、源端口为6179、目的端口为102,以及功能码为Write。
下面对本申请实施例中协议类型和对应的第一信息提取方式进行说明,参阅表1所示,为本申请实施例中第一信息提取方式表。
表1.
Figure BDA0003468792380000081
其中,当协议类型为链路层协议时,对应的第一信息提取方式为提取链路层协议的包长度范围信息、协议码、协议数据;当协议类型为网络层协议时,对应的第一信息提取方式为提取网络层协议的包长度范围信息、协议码、协议数据;当协议类型为应用层协议时,对应的第一信息提取方式为提取应用层协议的包长度范围信息、源端口、目的端口、传输层协议类型、功能码和数据。
步骤11:分别确定预设的各第二已知网络协议的协议类型,以及,确定所述各第二网络协议各自对应的第二固定字段,并基于各协议类型和第二固定字段,生成第二信息提取方式。
本申请实施例中,在获得各第二已知网络协议后,分别确定各第二已知网络协议各自对应的协议类型,并分别对各第二已知网络协议进行识别,确定各第二已知网络协议各自对应的各第二固定字段,并基于各协议类型与各第二固定字段,生成第二信息提取方式。
需要说明的是,第二信息提取方式中,还包括协议特征串信息。
每种协议类型有其关联的各第二固定字段,下面以协议类型为链路层协议、网络层协议和应用层协议,下面对本申请实施例中协议类型和对应的第二信息提取方式进行说明,参阅表2所示,为本申请实施例中第二信息提取方式表。
表2.
Figure BDA0003468792380000082
Figure BDA0003468792380000091
其中,当协议类型为链路层协议时,对应的第二信息提取方式为提取链路层协议的包长度范围信息、协议码、协议特征串信息;当协议类型为网络层协议时,对应的第二信息提取方式为提取网络层协议的包长度范围信息、协议码、协议特征串信息;当协议类型为应用层协议时,对应的第二信息提取方式为提取应用层协议的包长度范围信息、源端口、目的端口、协议特征串信息和传输层协议类型。
本申请实施例中,通过对已知网络协议进行识别,并基于已知网络协议形成特征提取方式,能够为后续生成网络协议报文防护策略提供基准,从而实现有效对现场环境进行防护或检测。
基于上述实施例,参阅图2所示,为本申请实施例中一种生成网络协议报文防护策略方法的流程图,具体包括:
步骤20:分别确定各待识别网络协议对应的协议类型。
其中,各待识别网络协议为通过安全性校验的网络协议。
本申请实施例中,分别对各待识别网络协议进行分析,从而获得各待识别网络协议对应的协议类型。
需要说明的是,本申请实施例中,为确定协议类型提供了一种可能的实施方式,下面对本申请实施例中分别确定各待识别网络协议对应的协议类型的过程进行详细阐述,具体包括:
分别对各待识别网络协议的报文包头信息进行识别,获得所述各待识别网络协议各自对应的协议类型。
本申请实施例中,由于每一种待识别网络协议各自对应有网络协议报文,每个网络协议报文均包含有报文包头信息,因此,基于对报文包头信息识别,可以获得待识别网络协议对应的协议类型。本申请实施例中,分别对各待识别网络协议对应的报文包头信息进行识别,从而能够从报文包头信息中,获得各待识别网络协议各自对应的协议类型。
步骤21:针对各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于特征提取方式,获得该待识别网络协议的协议信息。
其中,每种协议类型各自对应一种特征提取方式。
本申请实施例中,在执行步骤21时,需要分别获得各待识别网络协议的协议信息,具体的,以任意一种待识别网络协议(以下称为待识别网络协议a)为例,介绍获得协议信息过程如下:
基于待识别网络协议a对应的协议类型,确定待识别网络协议a的特征提取方式,并基于特征提取方式,获得待识别网络协议a的协议信息。
本申请实施例中,在获得待识别网络协议a对应的协议类型之后,由于每种协议类型对应一种特征提取方式,因此,根据待识别网络协议a对应的协议类型,以及各协议类型与各特征提取方式之间的对应关系,确定出待识别网络协议a的特征提取方式,然后,基于确定出的特征提取方式,对待识别网络协议a进行识别,从而获得待识别网络协议a的协议信息。
需要说明的是,本申请实施例中,由于待识别网络协议a可能为已知的公开网络协议,也可能为未知或无法解码的网络协议,因此,可以针对待识别网络协议a是否能够解码,以及待识别网络协议a对应的协议类型,确定出对应的特征提取方式,下面对本申请实施例中,确定待识别网络协议a对应的特征提取方式的过程进行详细阐述,具体包括:
S211:基于任意一种待识别网络协议的报文包头信息,确定该待识别网络协议的解码结果。
本申请实施例中,由于报文包头信息中包含有协议码,因此,获取协议可解码列表,在协议可解码列表中包含有可被解码的网络协议对应的协议码,然后,对任意一种待识别网络协议的报文包头信息进行识别,从而获得该待识别网络协议的协议码,然后,判断该待识别网络协议的协议码是否包含在协议可解码列表中,若确定该待识别网络协议的协议码包含在协议可解码列表中,则确定该待识别网络协议的解码结果为可解码,若确定该待识别网络协议的协议码未包含在协议可解码列表中,则确定该待识别网络协议的解码结果为无法解码。
可选的,本申请实施例中,还可以在服务器中预先存储协议解码结果列表,协议解码结果列表中包含有各个网络协议对应的解码结果,当识别获得待识别网络协议的协议名称之后,可直接根据待识别网络协议对应的协议名称,确定出待识别网络协议的解码结果,解码结果为可解码或无法解码,本申请实施例中对此并不进行限制。
例如,假设协议解码列表中包含的可解码协议为http,ftp,dnp3,iec104,待识别网络协议对应的协议名称为http,则确定该待识别网络协议包含在协议可解码列表中,确定该待识别网络协议的解码为可解码。
S212:若确定解码结果为可解码,则基于该待识别网络协议对应的协议类型,从预设的各第一信息提取方式中,确定出该待识别网络协议对应的特征提取方式。
本申请实施例中,若确定待识别网络协议对应的解码结果为可解码,则基于该待识别网络协议对应的协议类型,从预先设置的各第一信息提取方式中,确定该待识别网络协议的协议类型对应的目标第一信息提取方式,并将确定出的目标第一信息提取方式作为该待识别网络协议对应的特征提取方式。
可选的,本申请实施例中,当特征提取方式为第一信息提取方式时,可以基于待识别网络协议的协议码直接确定出待识别网络协议对应的协议信息,下面对本申请实施例中当特征提取方式为第一信息提取方式,则基于特征提取方式,获得该待识别网络协议的协议信息的过程进行详细阐述,具体包括:
S2121:确定该待识别网络协议的协议码。
其中,协议码用于唯一区分待识别网络协议。
本申请实施例中,对待识别网络协议进行识别,确定该待识别网络协议的协议码。
需要说明的是,本申请实施例中,待识别网络协议的协议码用于唯一区分待识别网络协议。
例如,待识别网络协议对应的协议码为0x64,本申请实施例中对此并不进行限制。
S2122:基于协议码,确定该待识别网络协议的各第一固定字段。
本申请实施例中,由于待识别网络协议为可解码的网络协议,这种类型的网络协议能够直接确定出其对应的协议信息,因此,基于协议码,确定该待识别网络协议的各第一固定字段。
S2123:将各第一固定字段各自对应的第一字段值,作为该待识别网络协议的协议信息。
读取各第一固定字段各自的取值,获得各第一固定字段各自对应的第一字段值,并将读取获得的各第一字段值,作为该待识别网络协议的协议信息。
需要说明的是,本申请实施例中的协议信息包括包长度范围信息和功能码。
S213:若确定解码结果为无法解码,则基于该待识别网络协议对应的协议类型,从预设的各第二信息提取方式中,确定出该待识别网络协议对应的特征提取方式。
本申请实施例中,若确定待识别网络协议对应的解码结果为无法解码,则基于该待识别网络协议对应的协议类型,从预先设置的各第二信息提取方式中,确定该待识别网络协议的协议类型对应的目标第二信息提取方式,并将确定出的目标第二信息提取方式作为该待识别网络协议对应的特征提取方式。
需要说明的是,本申请实施例中,当待识别网络协议的解码结果为可解码时,则能够基于待识别网络协议的协议码,确定出待识别网络协议的功能码,若待识别网络协议的解码结果为无法解码,则能够确定出待识别网络协议的协议特征串信息。
其中,协议特征串信息表征网络协议里面具有的特征字段值信息,在该网络协议的交互中,出现频率非常高,或者每个网络协议报文中都具有的协议特征。
功能码表征网络协议里面对目标设备进行相关操作的信息,例如读,写,运行,停止等,本申请实施例中对此并不进行限制。
例如,网络协议DNP3的功能码为81Read、89Select等。
可选的,本申请实施例中,当特征提取方式为第二信息提取方式时,需要根据确定出的第二信息提取方式,获得待识别网络协议的协议信息,下面对本申请实施例中当特征提取方式为第二信息提取方式,则基于特征提取方式,获得该待识别网络协议的协议信息的过程进行详细阐述,具体包括:
S2131:基于第二信息提取方式,确定各第二固定字段。
本申请实施例中,基于第二信息提取方式,确定出待识别网络协议的固定字段。
需要说明的是,本申请实施例中的第二固定字段表征待识别网络协议的协议信息在网络协议中的位置的信息,对待识别网络协议的第二固定字段的取值进行识别,即可获得待识别网络协议的协议信息。
例如,当待识别网络协议为网络层协议时,则确定出待识别网络协议的第二固定字段为协议码在待识别网络协议中的位置。
又例如,当待识别网络协议为应用层协议时,则确定出待识别网络协议的第二固定字段为目的端口在待识别网络协议中的位置,并确定出待识别网络协议的另一第二固定字段为源端口在待识别网络协议中的位置。
需要说明的是,不同的协议类型所对应的第二信息提取方式可能是不同的,因此,不同的协议类型所对应的各第二固定字段可能也是不同的,本申请实施例中对此并不进行限制。
S2132:识别该待识别网络协议中的各第二固定字段各自对应的字段值,获得该待识别网络协议的固定字段信息,以及,基于统计算法获得该待识别网络协议的各协议特征串信息。
本申请实施例中,在确定出待识别网络协议的各第二固定字段之后,对待识别网络协议中的各第二固定字段的取值进行提取,从而获得各第二固定字段各自对应的字段值,并将确定出的各第二固定字段各自对应的字段值,作为该待识别网络协议的固定字段信息,同时,基于统计算法,确定该待识别网络协议的各协议特征串信息,从而获得待识别网络的各个协议特征串信息。
例如,假设待识别网络协议的协议类型为链路层协议,则确定链路层协议对应的第二信息提取方式为,确定待识别网络协议的包长度范围信息,协议码和协议特征串信息,则确定出包长度范围信息为40~1004,协议码为0x8892,协议特征串信息为\xfe\xff,\xfe\xfe,\xfe\xfd。
需要说明的是,链路层协议对应的上层协议码为16进制格式的数据,例如0x8892,0x后面全是16进制的数字,一般为4个上层协议码格式,协议特征串信息可能为多个,本申请实施例中对此并不进行限制。
又例如,假设待识别网络协议的协议类型为网络层协议,则确定网络层协议对应的第二信息提取方式为,确定待识别网络协议的包长度范围信息,协议码和协议特征串信息,则确定出包长度范围信息为8~1300,协议码为0x96,协议特征串信息为\x12\x00\xfe\x04\xef\xff\xfa,\x11\x00\xee\xff。
需要说明的是,网络层协议对应的上层协议码为16进制格式的数据,例如0x59,0x后面全是16进制的数字,一般为2个上层协议码格式,协议特征串信息可能为多个,本申请实施例中对此并不进行限制。
再例如,假设待识别网络协议的协议类型为应用层协议,则确定应用层协议对应的第二信息提取方式为,确定待识别网络协议的包长度范围信息,源端口,目的端口、协议特征串信息和传输层协议类型,则确定出包长度范围信息26~1453,源端口为6179,目的端口为102,协议特征串信息分别可以表示为\x72\x01,\x72\x02,\x72\x03,\x31\x00\x00\x04\xca,\x32\x00\x00\x04\xca,\x31\x00\x00\x05\x42,\x32\x00\x00\x05\x42,传输层协议类型为“TCP”。
需要说明的是,协议特征串信息可能为多个,本申请实施例中对此并不进行限制。
另外,需要说明的是,对于链路层报文,包含有链路层协议,对于网络层报文,包含有链路层协议和网络层协议,对于传输层报文,包含有链路层协议、网络层协议和传输层协议,对于应用层报文,其包含有链路层协议、网络层协议、传输层协议和应用层协议。
可选的,本申请实施例中,为基于统计算法获得该待识别网络协议的各协议特征串信息提供了一种可能的实施方式,具体地,可对待识别网络协议进行特征提取,获得待识别网络协议的各候选特征串信息,并分别确定每个候选特征串信息在该待识别网络协议中的出现次数,确定出现次数超过预设的次数阈值对应的候选协议特征串信息,并将确定出的出现次数超过预设的次数阈值的候选协议特征串信息,作为最终确定出的待识别网络的各协议特征串信息。
当然,本申请实施例中,还可基于其它统计算法获得待识别网络的各协议特征串信息,对此并不进行限制。
S2133:生成包含有各固定字段信息和各协议特征串信息的协议信息。
本申请实施例中,在确定出固定字段信息和各协议特征串信息之后,对各固定字段信息以及各协议特征串信息进行合并,从而生成包含有各固定字段信息和各协议特征串信息的协议信息。
步骤22:基于确定出的各协议信息,生成包含有各协议信息的网络协议报文防护策略。
本申请实施例中,基于确定出的协议信息,生成包含有各协议信息的网络协议报文防护策略。
可选的,本申请实施例中,为生成包含有各协议信息的网络协议报文防护策略提供了一种可能的实施方式,具体包括:
基于各第一信息提取方式下的协议信息,以及各第二信息提取方式下的协议信息,生成网络协议报文防护策略。
本申请实施例中,在获得各第一信息提取方式下的协议信息,以及获得各第二信息提取方式下的协议信息之后,基于各第一信息提取方式下的协议信息,以及各第二信息提取方式下的协议信息,生成网络协议报文防护策略。
本申请实施例中,对已知的可解码的网络协议进行人工分析,生成对应的各第一信息提取方式,从而通过机器学习,自动快速分析出可解码的待识别网络协议的协议信息,并对未知的无法解码的网络协议进行人工分析,生成对应的第二信息提取方式,从而通过机器学习,自动快速分析出无法解码的待识别网络协议的协议信息,从而生成网络协议报文防护策略,能够有效对现场环境进行防护和检测,缩短采取有效防护手段的时间。
基于上述实施例,参阅图3所示,为本申请实施例中一种生成网络报文防护策略方法的另一流程图,具体包括:
步骤300:通过对常见的网络协议进行人工分析,生成各第一信息提取方式和各第二信息提取方式。
步骤301:依次获得待识别网络协议报文。
步骤302:基于待识别网络协议报文对应的包头信息,确定待识别网络协议的解码结果和协议类型。
步骤303:判断待识别网络协议的解码结果是否为可解码,若是,则执行步骤304,若否,则执行步骤305。
步骤304:基于待识别网络协议对应的协议类型,从预设的各第一信息提取方式中,确定出待识别网络协议对应的特征提取方式。
步骤305:基于待识别网络协议对应的协议类型,从预设的各第二信息提取方式中,确定出待识别网络协议对应的特征提取方式。
步骤306:基于特征提取方式,获得待识别网络协议的协议信息。
步骤307:判断各待识别网络协议对应的协议信息是否均提取完成,若是,则执行步骤309,若否,则执行步骤308。
步骤308:从未提取完成的各待识别网络协议报文中选取下一个待识别网络协议报文。
步骤309:将各协议信息应用到装置中。
步骤310:基于确定出的各协议信息,生成包含有各协议信息的网络协议报文防护策略。
本申请实施例中,针对解码结果为可解码的待识别网络协议进行自动分析,可直接基于待识别网络协议的协议码确定出对应的协议信息,并且,针对解码结果为无法解码的待识别网络协议,基于对应的协议类型,提取相关的协议信息,从而根据各协议信息生成网络协议报文防护策略,这样,能够快速地形成网络协议报文防护策略,从而快速有效的对现场实施防护或检测,缩短采取有效防护手段的时间。
基于同一发明构思,本申请实施例中还提供了一种生成网络协议报文防护策略的装置,该生成网络协议报文防护策略的装置例如可以是前述实施例中的服务器,该生成网络协议报文防护策略的装置可以是硬件结构、软件模块、或硬件结构加软件模块。基于上述实施例,参阅图4所示为本申请实施例中生成网络协议报文防护策略的装置的结构示意图,具体包括:
确定模块400,用于分别确定各待识别网络协议对应的协议类型,其中,所述各待识别网络协议为通过安全性校验的网络协议;
处理模块410,用于针对所述各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于所述特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式;
第一生成模块420,用于基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略。
可选的,确定模块400具体用于:
分别对各待识别网络协议的报文包头信息进行识别,获得所述各待识别网络协议各自对应的协议类型。
可选的,基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式时,处理模块410具体用于:
基于任意一种待识别网络协议的报文包头信息,确定该待识别网络协议的解码结果;
若确定所述解码结果为可解码,则基于该待识别网络协议对应的协议类型,从预设的各第一信息提取方式中,确定出该待识别网络协议对应的特征提取方式;
若确定所述解码结果为无法解码,则基于该待识别网络协议对应的协议类型,从预设的各第二信息提取方式中,确定出该待识别网络协议对应的特征提取方式。
可选的,若所述特征提取方式为第一信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息时,处理模块410具体用于:
确定该待识别网络协议的协议码,其中,所述协议码用于唯一区分待识别网络协议;
基于所述协议码,确定该待识别网络协议的各第一固定字段;
将所述各第一固定字段各自对应的第一字段值,作为该待识别网络协议的协议信息。
可选的,若所述特征提取方式为第二信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息时,处理模块410具体用于:
基于所述第二信息提取方式,确定各第二固定字段;
识别该待识别网络协议中的各第二固定字段各自对应的字段值,获得该待识别网络协议的固定字段信息,以及,基于统计算法获得该待识别网络协议的各协议特征串信息;
生成包含有所述各固定字段信息和所述各协议特征串信息的协议信息。
可选的,第一生成模块420具体用于:
基于各第一信息提取方式下的协议信息,以及各第二信息提取方式下的协议信息,生成网络协议报文防护策略。
可选的,还包括第二生成模块430,所述第二生成模块430用于:
分别对预设的各第一已知网络协议进行信息识别,获得所述各已知网络协议各自对应的第一固定字段,并基于所述各第一固定字段,生成第一信息提取方式;以及,所述第二生成模块430还用于:
分别确定预设的各第二已知网络协议的协议类型,以及,确定所述各第二网络协议各自对应的第二固定字段,并基于各协议类型和第二固定字段,生成第二信息提取方式。
基于上述实施例,参阅图5所示为本申请实施例中电子设备的结构示意图。
本申请实施例提供了一种电子设备,该电子设备可以包括处理器510(CenterProcessing Unit,CPU)、存储器520、输入设备530和输出设备540等,输入设备530可以包括键盘、鼠标、触摸屏等,输出设备540可以包括显示设备,如液晶显示器(Liquid CrystalDisplay,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器520可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器510提供存储器520中存储的程序指令和数据。在本申请实施例中,存储器520可以用于存储本申请实施例中任一种生成网络协议报文防护策略的方法的程序。
处理器510通过调用存储器520存储的程序指令,处理器510用于按照获得的程序指令执行本申请实施例中任一种生成网络协议报文防护策略的方法。
基于上述实施例,本申请实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的生成网络协议报文防护策略的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种生成网络协议报文防护策略的方法,其特征在于,包括:
分别确定各待识别网络协议对应的协议类型,其中,所述各待识别网络协议为通过安全性校验的网络协议;
针对所述各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于所述特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式;
基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略。
2.如权利要求1所述的方法,其特征在于,分别确定各待识别网络协议对应的协议类型,具体包括:
分别对各待识别网络协议的报文包头信息进行识别,获得所述各待识别网络协议各自对应的协议类型。
3.如权利要求1所述的方法,其特征在于,基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,具体包括:
基于任意一种待识别网络协议的报文包头信息,确定该待识别网络协议的解码结果;
若确定所述解码结果为可解码,则基于该待识别网络协议对应的协议类型,从预设的各第一信息提取方式中,确定出该待识别网络协议对应的特征提取方式;
若确定所述解码结果为无法解码,则基于该待识别网络协议对应的协议类型,从预设的各第二信息提取方式中,确定出该待识别网络协议对应的特征提取方式。
4.如权利要求3所述的方法,其特征在于,若所述特征提取方式为第一信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息,具体包括:
确定该待识别网络协议的协议码,其中,所述协议码用于唯一区分待识别网络协议;
基于所述协议码,确定该待识别网络协议的各第一固定字段;
将所述各第一固定字段各自对应的第一字段值,作为该待识别网络协议的协议信息。
5.如权利要求3所述的方法,其特征在于,若所述特征提取方式为第二信息提取方式,则基于所述特征提取方式,获得该待识别网络协议的协议信息,具体包括:
基于所述第二信息提取方式,确定各第二固定字段;
识别该待识别网络协议中的各第二固定字段各自对应的字段值,获得该待识别网络协议的固定字段信息,以及,基于统计算法获得该待识别网络协议的各协议特征串信息;
生成包含有所述各固定字段信息和所述各协议特征串信息的协议信息。
6.如权利要求3-5任一项所述的方法,其特征在于,基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略,具体包括:
基于各第一信息提取方式下的协议信息,以及各第二信息提取方式下的协议信息,生成网络协议报文防护策略。
7.如权利要求1所述的方法,其特征在于,还包括:
分别对预设的各第一已知网络协议进行信息识别,获得所述各已知网络协议各自对应的第一固定字段,并基于所述各第一固定字段,生成第一信息提取方式;以及,
分别确定预设的各第二已知网络协议的协议类型,以及,确定所述各第二网络协议各自对应的第二固定字段,并基于各协议类型和第二固定字段,生成第二信息提取方式。
8.一种生成网络协议报文防护策略的装置,其特征在于,包括:
确定模块,用于分别确定各待识别网络协议对应的协议类型,其中,所述各待识别网络协议为通过安全性校验的网络协议;
处理模块,用于针对所述各待识别网络协议,分别执行以下操作:基于任意一种待识别网络协议对应的协议类型,确定该待识别网络协议的特征提取方式,并基于所述特征提取方式,获得该待识别网络协议的协议信息,其中,每种协议类型各自对应一种特征提取方式;
第一生成模块,用于基于确定出的各协议信息,生成包含有所述各协议信息的网络协议报文防护策略。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
CN202210037925.8A 2022-01-13 2022-01-13 一种生成网络协议报文防护策略的方法及装置 Active CN114448685B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210037925.8A CN114448685B (zh) 2022-01-13 2022-01-13 一种生成网络协议报文防护策略的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210037925.8A CN114448685B (zh) 2022-01-13 2022-01-13 一种生成网络协议报文防护策略的方法及装置

Publications (2)

Publication Number Publication Date
CN114448685A true CN114448685A (zh) 2022-05-06
CN114448685B CN114448685B (zh) 2023-11-03

Family

ID=81368754

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210037925.8A Active CN114448685B (zh) 2022-01-13 2022-01-13 一种生成网络协议报文防护策略的方法及装置

Country Status (1)

Country Link
CN (1) CN114448685B (zh)

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101287010A (zh) * 2008-06-12 2008-10-15 华为技术有限公司 识别和验证消息协议类型的方法和装置
US20110305141A1 (en) * 2010-06-08 2011-12-15 Itsik Horovitz Systems and methods for extracting media from network traffic having unknown protocols
US20150350232A1 (en) * 2012-12-18 2015-12-03 Beijing Qihoo Technology Company Limited Method, Device and System for Recognizing Network Behavior of Program
CN106357685A (zh) * 2016-10-28 2017-01-25 北京神州绿盟信息安全科技股份有限公司 一种防御分布式拒绝服务攻击的方法及装置
US20170085682A1 (en) * 2015-09-22 2017-03-23 Audio-Technica U.S., Inc. Method and system for interchangeable network communications protocol configurations
CN106712902A (zh) * 2016-12-19 2017-05-24 上海东软载波微电子有限公司 Modbus协议文件的编码、解码方法及编码器、解码器
CN106878307A (zh) * 2017-02-21 2017-06-20 电子科技大学 一种基于误码率模型的未知通信协议识别方法
CN108234347A (zh) * 2017-12-29 2018-06-29 北京神州绿盟信息安全科技股份有限公司 一种提取特征串的方法、装置、网络设备及存储介质
CN109391700A (zh) * 2018-12-12 2019-02-26 北京华清信安科技有限公司 基于深度流量感知的物联网安全云平台
CN109977693A (zh) * 2019-03-08 2019-07-05 北京椒图科技有限公司 一种强制访问控制规则的生成方法及装置
CN110011973A (zh) * 2019-03-06 2019-07-12 浙江国利网安科技有限公司 工业控制网络访问规则构建方法及训练系统
CN111884876A (zh) * 2020-07-22 2020-11-03 杭州安恒信息技术股份有限公司 一种网络协议的协议类型检测方法、装置、设备及介质
CN112118232A (zh) * 2020-08-25 2020-12-22 通号城市轨道交通技术有限公司 报文协议解析方法及装置
CN112671726A (zh) * 2020-12-10 2021-04-16 国网思极网安科技(北京)有限公司 工业控制协议解析方法、装置、电子设备和存储介质
CN112788015A (zh) * 2020-12-31 2021-05-11 天津大学 一种基于工业网关的工控协议识别与解析方法
WO2021217588A1 (zh) * 2020-04-30 2021-11-04 华为技术有限公司 一种报文解析方法和装置

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101287010A (zh) * 2008-06-12 2008-10-15 华为技术有限公司 识别和验证消息协议类型的方法和装置
US20110305141A1 (en) * 2010-06-08 2011-12-15 Itsik Horovitz Systems and methods for extracting media from network traffic having unknown protocols
US20150350232A1 (en) * 2012-12-18 2015-12-03 Beijing Qihoo Technology Company Limited Method, Device and System for Recognizing Network Behavior of Program
US20170085682A1 (en) * 2015-09-22 2017-03-23 Audio-Technica U.S., Inc. Method and system for interchangeable network communications protocol configurations
CN106357685A (zh) * 2016-10-28 2017-01-25 北京神州绿盟信息安全科技股份有限公司 一种防御分布式拒绝服务攻击的方法及装置
CN106712902A (zh) * 2016-12-19 2017-05-24 上海东软载波微电子有限公司 Modbus协议文件的编码、解码方法及编码器、解码器
CN106878307A (zh) * 2017-02-21 2017-06-20 电子科技大学 一种基于误码率模型的未知通信协议识别方法
CN108234347A (zh) * 2017-12-29 2018-06-29 北京神州绿盟信息安全科技股份有限公司 一种提取特征串的方法、装置、网络设备及存储介质
CN109391700A (zh) * 2018-12-12 2019-02-26 北京华清信安科技有限公司 基于深度流量感知的物联网安全云平台
CN110011973A (zh) * 2019-03-06 2019-07-12 浙江国利网安科技有限公司 工业控制网络访问规则构建方法及训练系统
CN109977693A (zh) * 2019-03-08 2019-07-05 北京椒图科技有限公司 一种强制访问控制规则的生成方法及装置
WO2021217588A1 (zh) * 2020-04-30 2021-11-04 华为技术有限公司 一种报文解析方法和装置
CN111884876A (zh) * 2020-07-22 2020-11-03 杭州安恒信息技术股份有限公司 一种网络协议的协议类型检测方法、装置、设备及介质
CN112118232A (zh) * 2020-08-25 2020-12-22 通号城市轨道交通技术有限公司 报文协议解析方法及装置
CN112671726A (zh) * 2020-12-10 2021-04-16 国网思极网安科技(北京)有限公司 工业控制协议解析方法、装置、电子设备和存储介质
CN112788015A (zh) * 2020-12-31 2021-05-11 天津大学 一种基于工业网关的工控协议识别与解析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马多贺;李琼;林东岱;: "基于POF的网络窃听攻击移动目标防御方法", 通信学报, no. 02, pages 77 - 91 *

Also Published As

Publication number Publication date
CN114448685B (zh) 2023-11-03

Similar Documents

Publication Publication Date Title
CN112953933B (zh) 异常攻击行为检测方法、装置、设备及存储介质
US10152591B2 (en) Protecting against malware variants using reconstructed code of malware
JP6126672B2 (ja) 悪性コード検出方法及びシステム
US7854002B2 (en) Pattern matching for spyware detection
Chen et al. An anti-phishing system employing diffused information
EP3345117A1 (en) Systems and methods for detecting and preventing spoofing
CN105653984B (zh) 文件指纹校验方法及装置
Yoo et al. Two-phase malicious web page detection scheme using misuse and anomaly detection
CN110659807B (zh) 一种基于链路的风险用户识别方法及装置
CN111159697A (zh) 一种密钥检测方法、装置及电子设备
JP7314243B2 (ja) マルウェアの悪意ある行為フィーチャー情報を生成する方法
WO2018121464A1 (zh) 一种病毒检测方法及装置、存储介质
Yoo et al. The image game: exploit kit detection based on recursive convolutional neural networks
DR et al. Malicious URL Detection and Classification Analysis using Machine Learning Models
Khan et al. A dynamic method of detecting malicious scripts using classifiers
CN112839055A (zh) 面向tls加密流量的网络应用识别方法及装置
CN114448685A (zh) 一种生成网络协议报文防护策略的方法及装置
CN109325348B (zh) 应用安全的分析方法、装置、计算设备及计算机存储介质
CN107995167B (zh) 一种设备识别方法及服务器
CN108491718B (zh) 一种实现信息分类的方法及装置
CN113361597B (zh) 一种url检测模型的训练方法、装置、电子设备和存储介质
CN109214212B (zh) 信息防泄露方法及装置
CN113364766A (zh) 一种apt攻击的检测方法及装置
CN112511568A (zh) 一种网络安全事件的关联分析方法、装置及存储介质
CN112003833A (zh) 异常行为检测方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant