CN114465783B - 攻击点与业务报文的关联方法、关联系统及存储介质 - Google Patents
攻击点与业务报文的关联方法、关联系统及存储介质 Download PDFInfo
- Publication number
- CN114465783B CN114465783B CN202210061510.4A CN202210061510A CN114465783B CN 114465783 B CN114465783 B CN 114465783B CN 202210061510 A CN202210061510 A CN 202210061510A CN 114465783 B CN114465783 B CN 114465783B
- Authority
- CN
- China
- Prior art keywords
- message
- service
- attack
- rule
- associating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000004044 response Effects 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 13
- 230000002457 bidirectional effect Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 238000011160 research Methods 0.000 abstract description 9
- 238000001514 detection method Methods 0.000 description 8
- 230000009191 jumping Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003556 assay Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种攻击点与业务报文的关联方法、关联系统及存储介质,攻击点与业务报文的关联方法包括以下步骤:从网络上抓取报文;对抓取的报文进行解析,并构建报文对应的会话结构;利用会话结构缓存报文,并根据当前报文是否命中攻击特征规则将当前报文与攻击事件信息进行关联。本申请提供的攻击点与业务报文的关联方法能够提供基于流、基于攻击点业务报文的关联、索引,将攻击点与业务报文进行关联,为研判和取证提供与规则契合的报文序列;另外,在确保提供相对充分的研判报文的情况下,能够节省大量内存、CPU、磁盘等硬件开销。
Description
技术领域
本申请属于信息安全领域,具体涉及一种攻击点与业务报文的关联方法、关联系统及存储介质。
背景技术
在网络安全检测中,由于入侵检测系统会存在误报,因此当入侵检测系统检测到网络攻击行为发生时,就需要安全分析人员进行分析研判和取证。而进行分析研判和取证时最有效的数据是攻击行为对应的原始网络报文(该网络报文通常为pcap格式),尤其是攻击特征对应的原始网络报文。
记录攻击行为对应的原始网络报文主要有两种相关方案:一种是由入侵检测系统自身记录触发攻击事件的网络报文;另一种是由独立的全流量存储系统对完整的网络报文进行记录。前一种方案通常只能记录一个触发告警的网络报文,主要原因是受限于入侵检测系统相对有限的硬件资源(主要是内存);这种方案的缺点是单个报文可能不足以支撑安全分析人员进行研判。后一种方案虽然能够记录完整的网络报文,但是其缺点也很明显:一是对内存、CPU、硬盘等硬件资源的配置要求很高,且硬件成本很高;二是由于这类系统本身不具备入侵检测能力,其采取的全流量存储策略导致攻击行为相关的网络报文占比很小,磁盘空间浪费现象严重。
发明内容
为至少在一定程度上克服相关技术中存在的问题,本申请提供了一种攻击点与业务报文的关联方法、关联系统及存储介质。
根据本申请实施例的第一方面,本申请提供了一种攻击点与业务报文的关联方法,其包括以下步骤:
从网络上抓取报文;
对抓取的报文进行解析,并构建报文对应的会话结构;
利用会话结构缓存报文,并根据当前报文是否命中攻击特征规则将当前报文与攻击事件信息进行关联。
上述攻击点与业务报文的关联方法中,所述对抓取的报文进行解析,并构建报文对应的会话结构的具体过程为:
对报文进行以太网层、IP层、TCP层的解析,得到报文对应的五元组;所述五元组为源IP、目的IP、源端口、目的端口和传输层协议;
以报文对应的五元组为关键字,查找报文对应的会话信息;如果查找不到所述报文对应的会话信息,则为该报文新建对应的会话结构。
上述攻击点与业务报文的关联方法中,所述利用会话结构缓存报文,并根据当前报文是否命中攻击特征规则将当前报文与攻击事件信息进行关联的具体过程为:
对应用层业务进行还原,并结合应用层业务的还原状态设置报文所属的业务类型;
将报文插入会话结构的前序业务窗口链表中进行缓存,会话结构的后序业务窗口链表中用于存储历史报文触发的攻击事件还未完成业务报文推送的列表;
判断会话结构的后序业务窗口链表是否为空,如果是,则进一步判断断当前报文是否命中攻击特征规则;如果是,则进一步判断当前报文命中的是否为单包规则;如果是,则为当前报文附上攻击事件信息并推送后进行存储。
进一步地,所述会话结构的后序业务窗口链表如果不为空,则轮询后序业务窗口链表中的所有结点,其具体过程为:
判断当前报文是否满足当前结点的需求,如果是,则为该报文附上该结点对应的攻击事件信息并推送后进行存储;并进一步判断当前报文是否满足结点业务关联终止条件,如果是,则从后序业务窗口链表中摘除该结点。
更进一步地,所述结点的需求包括:
当结点对应攻击事件的规则为请求方向的单向业务规则时,需要推送请求方向的报文;当结点对应攻击事件的规则为响应方向的单向业务规则时,需要推送响应方向的报文;当结点对应攻击事件的规则为双向业务规则时,需要同时推送请求方向和响应方向的报文。
更进一步地,所述结点业务关联终止条件包括请求业务终止报文和响应业务终止报文;结点中设置有规则类型,规则类型包括请求方向的单向业务规则、响应方向的单向业务规则和双向业务规则。
进一步地,如果所述当前报文命中的不是为单包规则,则进一步判断当前报文命中的是否为单向业务规则,如果是,则将前序业务窗口链表所有相同方向的单向业务结点对应的攻击事件信息附上当前报文并推送后进行存储。
更进一步地,如果所述当前报文命中的不是单向业务规则,则表示当前报文命中的为双向业务规则,则将前序业务窗口链表所有结点逐个附上对应的攻击事件信息连同当前报文推送后进行存储。
更进一步地,上述攻击点与业务报文的关联方法中还包括以下步骤:
判断当前报文是否为响应业务终止报文,如果是,则表示当前应用层请求、响应业务对的所有报文均传输完毕,清空前序业务窗口链表,以推移到下一个请求、响应业务对的处理;否则,新建一个结点,以攻击事件信息和结点业务关联终止条件信息初始化该结点后,插入到后序业务窗口链表中;
上报攻击事件日志。
根据本申请实施例的第二方面,本申请还提供了一种攻击点与业务报文的关联系统,其包括攻击点报文关联模块、存储模块和检索模块,所述攻击点报文关联模块被配置为执行上述任一项所述的攻击点与业务报文的关联方法;所述存储模块用于对攻击点窗口报文进行保存、建立索引和提供查询接口;所述检索模块用于检索和展示攻击事件日志以及下载攻击事件关联的报文。
根据本申请实施例的第三方面,本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的攻击点与业务报文的关联方法中的步骤。
根据本申请的上述具体实施方式可知,至少具有以下有益效果:本申请提供的攻击点与业务报文的关联方法能够提供基于流、基于攻击点业务报文的关联、索引,为攻击事件研判提供最小集的原始报文;攻击事件所关联、索引的报文序列是与规则、应用层业务强相关的,能够为研判和取证提供与规则契合的报文序列;另外,在确保提供相对充分的研判报文的情况下,能够节省大量内存、CPU、磁盘等硬件开销。
应了解的是,上述一般描述及以下具体实施方式仅为示例性及阐释性的,其并不能限制本申请所欲主张的范围。
附图说明
下面的所附附图是本申请的说明书的一部分,其示出了本申请的实施例,所附附图与说明书的描述一起用来说明本申请的原理。
图1为本申请实施例提供的一种攻击点与业务报文的关联方法的流程图。
图2为本申请实施例提供的一种攻击点与业务报文的关联系统的结构框图。
附图标记说明:
1、攻击点报文关联模块;2、存储模块;3、检索模块。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚明白,下面将以附图及详细叙述清楚说明本申请所揭示内容的精神,任何所属技术领域技术人员在了解本申请内容的实施例后,当可由本申请内容所教示的技术,加以改变及修饰,其并不脱离本申请内容的精神与范围。
本申请的示意性实施例及其说明用于解释本申请,但并不作为对本申请的限定。另外,在附图及实施方式中所使用相同或类似标号的元件/构件是用来代表相同或类似部分。
关于本文中所使用的“第一”、“第二”、…等,并非特别指称次序或顺位的意思,也非用以限定本申请,其仅为了区别以相同技术用语描述的元件或操作。
关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等,均为开放性的用语,即意指包含但不限于。
关于本文中所使用的“及/或”,包括所述事物的任一或全部组合。
关于本文中的“多个”包括“两个”及“两个以上”;关于本文中的“多组”包括“两组”及“两组以上”。
某些用以描述本申请的用词将于下或在此说明书的别处讨论,以提供本领域技术人员在有关本申请的描述上额外的引导。
本申请发明人在研发过程中发现,对于绝大多数的网络攻击行为,记录攻击点关联的应用层业务报文,也就是攻击特征对应的网络报文,基本足够安全分析人员进行分析研判和取证。也就是说,只需要记录存储攻击点关联的业务报文即可。这样既能够保证研判信息的相对充分性,又能够保证与规则关联的业务的强相关性,同时能够降低对内存、CPU、磁盘等硬件资源的开销。因此,需要对攻击点及其对应的业务报文进行关联。
如图1所示,本申请提供了一种攻击点与业务报文的关联方法,其包括以下步骤:
S1、从网络上抓取报文。
S2、对抓取的报文进行解析,并构建报文对应的会话结构,其具体过程为:
对报文进行以太网层、IP层、TCP层的解析,得到报文对应的五元组。其中,五元组为源IP、目的IP、源端口、目的端口和传输层协议。
以报文对应的五元组为关键字,查找报文对应的会话信息。
如果查找不到该报文对应的会话信息,则为该报文新建对应的会话结构。如果能够查找到报文对应的会话信息,则将该查找到的会话信息作为报文的会话结构。
S3、利用会话结构缓存报文,并根据当前报文是否命中攻击特征规则将当前报文与攻击事件信息进行关联,其具体过程为:
S311、对应用层业务进行还原,并结合应用层业务的还原状态设置报文所属的业务类型。如表1所示,报文所属的业务类型包括请求业务终止报文、响应业务终止报文和业务非终止报文三类。
表1报文所属的业务类型
S312、将报文插入会话结构的前序业务窗口链表中进行缓存,会话结构的后序业务窗口链表中用于存储历史报文触发的攻击事件还未完成业务报文推送的列表。
S313、判断会话结构的后序业务窗口链表是否为空,如果是,则跳转至步骤S315;否则,跳转至步骤S314。
S314、轮询后序业务窗口链表中的所有结点,其具体过程为:
判断当前报文是否满足当前结点的需求,如果是,则为该报文附上该结点对应的攻击事件信息并推送后进行存储;并进一步判断当前报文是否满足结点业务关联终止条件,如果是,则从后序业务窗口链表中摘除该结点。其中,当前结点指轮询后序业务窗口链表时取出的结点。
需要说明的是,如果当前报文不满足当前结点的需求,则不对该报文进行处理。如果当前报文不满足结点业务关联终止条件,则不对该结点进行处理,使该结点继续保留在后序业务窗口链表中。
具体地,结点的需求包括:
当结点对应攻击事件的规则为请求方向的单向业务规则时,需要推送请求方向的报文。当结点对应攻击事件的规则为响应方向的单向业务规则时,需要推送响应方向的报文。当结点对应攻击事件的规则为双向业务规则时,需要同时推送请求方向和响应方向的报文。
如表2所示,结点业务关联终止条件包括请求业务终止报文和响应业务终止报文。结点中设置有规则类型,规则类型包括请求方向的单向业务规则、响应方向的单向业务规则和双向业务规则。例如,如果当前报文为响应业务终止报文,且结点的规则类型为响应方向的单向业务规则,则表示当前报文满足结点业务关联终止条件,则从后序业务窗口链表中摘除该结点。
表2结点业务关联终止条件
| 规则类型 | 结点业务关联终止条件 |
| 单向业务规则(请求方向) | 请求业务终止报文 |
| 单向业务规则(响应方向) | 响应业务终止报文 |
| 双向业务规则 | 响应业务终止报文 |
S315、判断当前报文是否命中攻击特征规则,如果是,则跳转至步骤S316;否则,跳转至步骤S1。
其中,攻击特征规则包括单包规则、单向业务规则和双向业务规则。
S316、判断当前报文命中的是否为单包规则,如果是,则跳转至步骤S317;否则,跳转至步骤S318。
其中,单包规则指规则匹配的数据区为TCP/UDP/IP层次,而非应用层数据区。
S317、为当前报文附上攻击事件信息并推送后进行存储。
其中,单包规则只关联和索引一个报文。
S318、判断当前报文命中的是否为单向业务规则,如果是,则跳转步骤S319;否则,表示当前报文命中的为双向业务规则,跳转至步骤S320。
S319、将前序业务窗口链表所有相同方向的单向业务结点对应的攻击事件信息附上当前报文并推送后进行存储;
前序业务窗口链表所有相同方向指请求方向或响应方向,与当前报文方向一致。
S320、将前序业务窗口链表所有结点逐个附上对应结点的攻击事件信息连同当前报文推送后进行存储。
S321、判断当前报文是否为响应业务终止报文,如果是,则表示当前应用层请求、响应业务对的所有报文均传输完毕,跳转至步骤S322;否则,表示当前应用层请求、响应业务对的所有报文尚未传输完毕,跳转至步骤S323。
S322、清空前序业务窗口链表,以推移到下一个请求、响应业务对的处理。
S323、新建一个结点,并以攻击事件信息和结点业务关联终止条件信息初始化该结点后,插入到后序业务窗口链表中。
S324、上报攻击事件日志。
本申请实施例提供的攻击点与业务报文的关联方法以流为关联的逻辑单位,以命中攻击特征规则的报文为存储触发点,结合规则所属的业务类型,只关联、索引与规则关联的业务类型的报文序列,即动态维持一个可能包含攻击点的完整业务报文序列(例如,HTTP协议的请求、响应对的报文序列为一个完整的业务报文序列,包含HTTP应用数据TCP分包的场景)。
当检测引擎判断当前报文触发了攻击事件后(即命中检测引擎预置的攻击特征规则),根据规则所属的业务类型关联、索引相关的报文序列,即:
当命中单包规则时,只索引当前报文。
当命中单向业务规则时,只索引单向业务的报文序列。例如,规则只定义以HTTP的POST请求内容作为匹配源,则命中规则后只关联、索引该报文所属的POST业务请求的报文序列。
当命中双向业务规则时,则关联、索引完整业务报文序列。例如,规则定义在HTTP的POST请求内容作为匹配源,同时定义以POST响应的内容同时作为匹配源,两匹配源同时满足时,才会触发攻击事件,即黑客通过POST提交攻击样本,同时确认服务器返回响应码200,才确认攻击成功。
通过本申请实施例提供的攻击点与业务报文的关联方法,攻击事件所关联、索引的报文序列是与规则、应用层业务强相关的。
本申请实施例提供的攻击点与业务报文的关联方法能够提供基于流、基于攻击点业务报文的关联、索引,为攻击事件研判提供最小集的原始报文。关联、索引的报文序列与规则相关进行自适应,为研判和取证提供与规则契合的报文序列。确保提供相对充分的研判报文的情况下,能够节省大量内存、CPU、磁盘等硬件开销。
在示例性实施例中,基于本申请实施例提供的攻击点与业务报文的关联方法,如图2所示,本申请实施例还提供了一种攻击点与业务报文的关联系统,其包括攻击点报文关联模块1,攻击点报文关联模块1被配置为执行本申请中任一个实施例中的攻击点与业务报文的关联方法。
需要说明的是,上述实施例提供的攻击点与业务报文的关联系统与攻击点与业务报文的关联方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请实施例提供的攻击点与业务报文的关联系统还包括存储模块2和检索模块3,其中,存储模块2用于对攻击点窗口报文进行保存、建立索引和提供查询接口;检索模块3用于检索和展示攻击事件日志以及下载攻击事件关联的报文。
具体地,存储模块2主要具有以下功能:
将攻击事件业务关联的报文写磁盘。
以攻击事件和所属的会话信息作为索引,将攻击事件对应的报文在磁盘文件的信息(包括报文个数、pcap文件名、偏移信息)关联起来,以便通过索引提取对应的报文集合。
对外提供查询接口,以便通过检索模块3下载攻击事件对应的报文集合。
在示例性实施例中,本申请实施例还提供了一种计算机存储介质,是计算机可读存储介质,例如,包括计算机程序的存储器,上述计算机程序可由处理器执行,以完成本申请中任一个实施例中的攻击点与业务报文的关联方法。
上述的本申请实施例可在各种硬件、软件编码或两者组合中进行实施。例如,本申请的实施例也可表示在数据信号处理器中执行上述方法的程序代码。本申请也可涉及计算机处理器、数字信号处理器、微处理器或现场可编程门阵列执行的多种功能。可根据本申请配置上述处理器执行特定任务,其通过执行定义了本申请揭示的特定方法的机器可读软件代码或固件代码来完成。可将软件代码或固件代码发展表示不同的程序语言与不同的格式或形式。也可表示不同的目标平台编译软件代码。然而,根据本申请执行任务的软件代码与其他类型配置代码的不同代码样式、类型与语言不脱离本申请的精神与范围。
以上所述仅为本申请示意性的具体实施方式,在不脱离本申请的构思和原则的前提下,任何本领域的技术人员所做出的等同变化与修改,均应属于本申请保护的范围。
Claims (10)
1.一种攻击点与业务报文的关联方法,其特征在于,包括以下步骤:
从网络上抓取报文;
对抓取的报文进行解析,并构建报文对应的会话结构;
利用会话结构缓存报文,并根据当前报文是否命中攻击特征规则将当前报文与攻击事件信息进行关联的具体过程为:
对应用层业务进行还原,并结合应用层业务的还原状态设置报文所属的业务类型;
将报文插入会话结构的前序业务窗口链表中进行缓存,会话结构的后序业务窗口链表中用于存储历史报文触发的攻击事件还未完成业务报文推送的列表;
判断会话结构的后序业务窗口链表是否为空,如果是,则进一步判断当前报文是否命中攻击特征规则;如果是,则进一步判断当前报文命中的是否为单包规则;如果是,则为当前报文附上攻击事件信息并推送后进行存储。
2.根据权利要求1所述的攻击点与业务报文的关联方法,其特征在于,所述对抓取的报文进行解析,并构建报文对应的会话结构的具体过程为:
对报文进行以太网层、IP层、TCP层的解析,得到报文对应的五元组;所述五元组为源IP、目的IP、源端口、目的端口和传输层协议;
以报文对应的五元组为关键字,查找报文对应的会话信息;如果查找不到所述报文对应的会话信息,则为该报文新建对应的会话结构。
3.根据权利要求1所述的攻击点与业务报文的关联方法,其特征在于,所述会话结构的后序业务窗口链表如果不为空,则轮询后序业务窗口链表中的所有结点,其具体过程为:
判断当前报文是否满足当前结点的需求,如果是,则为该报文附上该结点对应的攻击事件信息并推送后进行存储;并进一步判断当前报文是否满足结点业务关联终止条件,如果是,则从后序业务窗口链表中摘除该结点。
4.根据权利要求3所述的攻击点与业务报文的关联方法,其特征在于,所述结点的需求包括:
当结点对应攻击事件的规则为请求方向的单向业务规则时,需要推送请求方向的报文;当结点对应攻击事件的规则为响应方向的单向业务规则时,需要推送响应方向的报文;当结点对应攻击事件的规则为双向业务规则时,需要同时推送请求方向和响应方向的报文。
5.根据权利要求3所述的攻击点与业务报文的关联方法,其特征在于,所述结点业务关联终止条件包括请求业务终止报文和响应业务终止报文;结点中设置有规则类型,规则类型包括请求方向的单向业务规则、响应方向的单向业务规则和双向业务规则。
6.根据权利要求1所述的攻击点与业务报文的关联方法,其特征在于,如果所述当前报文命中的不是为单包规则,则进一步判断当前报文命中的是否为单向业务规则,如果是,则将前序业务窗口链表所有相同方向的单向业务结点对应的攻击事件信息附上当前报文并推送后进行存储。
7.根据权利要求6所述的攻击点与业务报文的关联方法,其特征在于,如果所述当前报文命中的不是单向业务规则,则表示当前报文命中的为双向业务规则,则将前序业务窗口链表所有结点逐个附上对应结点的攻击事件信息连同当前报文推送后进行存储。
8.根据权利要求7所述的攻击点与业务报文的关联方法,其特征在于,还包括以下步骤:
判断当前报文是否为响应业务终止报文,如果是,则表示当前应用层请求、响应业务对的所有报文均传输完毕,清空前序业务窗口链表,以推移到下一个请求、响应业务对的处理;否则,新建一个结点,并以攻击事件信息和结点业务关联终止条件信息初始化该结点后,插入到后序业务窗口链表中;
上报攻击事件日志。
9.一种攻击点与业务报文的关联系统,其特征在于,包括攻击点报文关联模块、存储模块和检索模块,所述攻击点报文关联模块被配置为执行如权利要求1-8任一项所述的攻击点与业务报文的关联方法;所述存储模块用于对攻击点窗口报文进行保存、建立索引和提供查询接口;所述检索模块用于检索和展示攻击事件日志以及下载攻击事件关联的报文。
10.一种存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8中任一项所述攻击点与业务报文的关联方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210061510.4A CN114465783B (zh) | 2022-01-19 | 2022-01-19 | 攻击点与业务报文的关联方法、关联系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210061510.4A CN114465783B (zh) | 2022-01-19 | 2022-01-19 | 攻击点与业务报文的关联方法、关联系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114465783A CN114465783A (zh) | 2022-05-10 |
| CN114465783B true CN114465783B (zh) | 2024-03-26 |
Family
ID=81410128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210061510.4A Active CN114465783B (zh) | 2022-01-19 | 2022-01-19 | 攻击点与业务报文的关联方法、关联系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114465783B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055219B (zh) * | 2023-03-07 | 2023-06-20 | 北京安胜华信科技有限公司 | 一种基于api访问链路防跳步方法、系统、终端及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| WO2017152877A1 (zh) * | 2016-03-11 | 2017-09-14 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN112417477A (zh) * | 2020-11-24 | 2021-02-26 | 恒安嘉新(北京)科技股份公司 | 一种数据安全监测方法、装置、设备及存储介质 |
-
2022
- 2022-01-19 CN CN202210061510.4A patent/CN114465783B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| WO2017152877A1 (zh) * | 2016-03-11 | 2017-09-14 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN107347047A (zh) * | 2016-05-04 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
| CN112417477A (zh) * | 2020-11-24 | 2021-02-26 | 恒安嘉新(北京)科技股份公司 | 一种数据安全监测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 剖析DDoS攻击对抗技术;张静;胡华平;刘波;肖枫涛;陈新;;信息安全与技术(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114465783A (zh) | 2022-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CN109600258B (zh) | 工业协议报文记录装置及方法 | |
| CN102769549B (zh) | 网络安全监控的方法和装置 | |
| EP3852327A1 (en) | Exception access behavior identification method and server | |
| CN114006771B (zh) | 一种流量检测方法及装置 | |
| CN110750785B (zh) | 针对主机端口扫描行为的检测方法及装置 | |
| CN112463772B (zh) | 日志处理方法、装置、日志服务器及存储介质 | |
| CN114465783B (zh) | 攻击点与业务报文的关联方法、关联系统及存储介质 | |
| CN109688094B (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
| CN115021997B (zh) | 一种基于机器学习的网络入侵检测系统 | |
| CN114095274A (zh) | 一种攻击研判方法及装置 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
| CN113709147B (zh) | 网络安全事件的响应方法、装置及设备 | |
| CN112671932B (zh) | 一种基于大数据和云计算的数据处理方法及云计算节点 | |
| CN111245880B (zh) | 基于行为轨迹重建的用户体验监控方法及装置 | |
| CN114510710A (zh) | 一种基于xss与sql注入的蜜罐攻击事件识别系统及方法 | |
| CN111290804B (zh) | 一种业务配置系统以及业务配置方法、装置和配置服务器 | |
| CN113596019A (zh) | 高性能网络流量数据表示和提取方法和系统 | |
| CN110300193B (zh) | 一种获取实体域名的方法和装置 | |
| CN112804070A (zh) | 业务障碍定位方法、装置及设备 | |
| CN112667646B (zh) | 一种基于大数据和云计算的数据保存方法及云计算平台 | |
| CN114268480B (zh) | 图片传输的监控方法及装置、存储介质、终端 | |
| CN111445222B (zh) | 一种数据更新方法、数据更新装置及移动终端 | |
| CN112529613A (zh) | 用户连续登录数据的处理、虚拟资源的转移方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |