CN114567498A - 用于网络行为可视化的元数据提取和处理方法及系统 - Google Patents
用于网络行为可视化的元数据提取和处理方法及系统 Download PDFInfo
- Publication number
- CN114567498A CN114567498A CN202210213171.7A CN202210213171A CN114567498A CN 114567498 A CN114567498 A CN 114567498A CN 202210213171 A CN202210213171 A CN 202210213171A CN 114567498 A CN114567498 A CN 114567498A
- Authority
- CN
- China
- Prior art keywords
- log
- field
- content
- extracting
- security analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012800 visualization Methods 0.000 title claims abstract description 28
- 238000000605 extraction Methods 0.000 title claims description 9
- 238000003672 processing method Methods 0.000 title claims description 5
- 238000004458 analytical method Methods 0.000 claims abstract description 45
- 238000012545 processing Methods 0.000 claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 26
- 230000000007 visual effect Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 37
- 238000013079 data visualisation Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005507 spraying Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及数据可视化技术领域,特别是涉及一种用于网络行为可视化的元数据提取和处理方法及系统。方法主要包括以下步骤:S1,采集和识别网络流量中的各类应用层协议数据;S2,对应用层协议数据进行提取和解析,生成元数据日志,所述元数据日志包括:HTTP日志、DNS日志、SSL会话日志、证书日志、邮件操作日志和登录日志;S3,对提取生成的元数据日志中的部分字段进行安全分析,生成用于网络行为可视化展示的安全分析结果。本发明选取了多种应用层协议数据作为日志,并对日志进行了二次安全分析处理,打上安全分析结论的标签,因此,能够直接使用处理的安全分析结果来进行可视化展示,无需依靠专家知识和经验就能完成安全分析。
Description
技术领域
本发明涉及数据可视化技术领域,特别是涉及一种用于网络行为可视化的元数据提取和处理方法及系统。
背景技术
网络安全可视化是一个新兴的交叉研究领域,它通过提供交互式可视化工具,提升网络安全分析人员感知、分析和理解网络安全问题的能力。网络安全可视化的处理流程通常可以分为:网络数据源选取、数据分析处理、图形化显示、用户交互等步骤。
在网络数据源选取上,目前网络安全可视化技术中常用的网络数据源可分为以下几种:
(1)网络流量数据:主要对网络流量的源/目的IP和源/目的端口进行可视化。(2)NetFlow:主要对流量的字节数大小、数据包数量、端口使用进行可视化。(3)日志:主要是对各类日志数据,如运维日志、会话日志等数据进行可视化。(4)网络中间设备的输出数据:主要是对网络入侵检测等中间设备输出的检测结果数据进行可视化,如告警数据。(5)其他数据:除了上述数据源外,还有如网络拓扑信息、AS属性与关系信息等数据源。
从网络数据源为日志数据来说,现有网络安全可视化选取的日志数据,大多是运维日志或传输层以下的会话类日志,对于应用层的协议元数据日志选取较少,且也都集中在HTTP、DNS这两类常用协议上。针对更多的应用层协议和应用层行为级别的元数据日志,如证书加密、登录行为、邮件行为,当前技术少有涉及。
从数据分析处理上来说,现有网络安全可视化技术中仅做了数据层面的简单处理,如数据清洗、结构化、去重,或者直接使用原始数据,并未从安全分析的角度出发对数据进行二次处理。这就导致网络数据可视化之后并不能直接体现出安全分析结果,使用人员想要通过可视化进行安全分析,需要积累大量的专家知识和经验,通过个人经验和可视化结果结合才能完成安全分析。
发明内容
本发明为了克服上述问题,对应用层协议数据进行提取,并进行安全分析和处理,提出了一种用于网络行为可视化的元数据提取和处理方法及系统。
为了实现上述发明目的,本发明提供了以下技术方案:
一种用于网络行为可视化的元数据提取和处理方法,包括以下步骤:
S1,采集和识别网络流量中的各类应用层协议数据;
S2,对应用层协议数据进行提取和解析,生成元数据日志,所述元数据日志包括:HTTP日志、DNS日志、SSL会话日志、证书日志、邮件操作日志和登录日志;
S3,对所述元数据日志中的部分字段进行安全分析,生成用于网络行为可视化展示的安全分析结果。
作为本发明的优选方案,步骤S3中,对所述HTTP日志进行安全分析的主要步骤包括:
从HTTP日志中提取URL字段的内容,根据预设的URL特征判断URL字段中的内容是否包括预设的接口信息或文件,若是,则对此条HTTP日志打上对应标签。
作为本发明的优选方案,步骤S3中,对所述DNS日志进行安全分析主要步骤包括:
从DNS日志中提取域名字段的内容,根据预设的域名特征或算法,判断域名字段的内容是否是预设的域名,若是,则对此条DNS日志打上对应标签。
作为本发明的优选方案,步骤S3中,对所述SSL会话日志进行安全分析主要步骤包括:检测客户端弱密码套件和/或检测服务器弱密码套件,并得到客户端是否支持弱套件的结果和/或服务器是否选择弱套件的结果。
作为本发明的优选方案,所述检测客户端弱密码套件具体包括以下步骤:
从所述SSL会话日志中提取客户端支持加密套件字段的内容,进行黑白名单比对,如果命中,则给客户端是否支持弱套件字段赋值为“是”。
作为本发明的优选方案,所述检测服务器弱密码套件具体包括以下步骤:
从所述SSL会话日志中提取服务器弱密码套件字段的内容,进行黑白名单比对,如果命中,则给服务器弱密码套件字段赋值为“是”。
作为本发明的优选方案,对所述邮件操作日志和登陆日志进行安全分析主要步骤包括:
从所述邮件操作日志和/或登陆日志中提取密码字段的内容,根据预设的密码特征判断提取的内容是否是弱密码,若是,则给是否弱密码字段赋值为“是”。
作为本发明的优选方案,对所述证书日志进行安全分析主要步骤包括:
从所述证书日志中提取颁发者字段的内容,根据预设的颁发者特征判断是否为非常规颁发机构,若是,则给非常规颁发机构字段赋值为“是”;
和/或
从所述证书日志中提取颁发给字段的值,根据预设的颁发给特征判断提取的内容是否是自签名证书,若是,则给自签名证书字段赋值为“是”。
作为本发明的优选方案,步骤还包括:针对不同的指标选取不同的图表用于网络行为的可视化展示。
基于相同的构思,还提出了一种用于网络行为可视化的元数据提取和处理系统,包括至少一个处理器,以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,所述指令被至少一个处理器执行,以使至少一个处理器能够执行上述任一项的方法。
与现有技术相比,本发明的有益效果:
1、增加了数据源的维度,除常用HTTP、DNS日志外,还增加了多种应用层日志,包括SSL会话日志、证书日志、邮件日志、邮件操作日志和登录日志等。对应用层日志进行提取和处理,能够帮助用户直观看到海量流量中发生的多种网络行为(如web访问、收发邮件、代理行为等),及时感知网络异常风险。
2、在对原始日志进行了二次安全分析处理过程中,针对不同的日志信息选取了能反映网络异常行为的预设内容作为判断条件,若刚好匹配,则打上安全分析结论的标签,如对HTTP日志打上高危UA、API接口、可执行文件等,对DNS日志打上DGA域名、冷僻域名等,对应用登录日志打上弱密码登录行为、密码喷射行为等。在进行数据可视化时,能够直接使用标注标签的安全分析结果来进行可视化展示,用户能够直接获悉结论,无需依靠专家知识和经验就能完成安全分析。
3、从网络行为、网络威胁的角度对流量打标签,实现了对网络端点的网络行为和威胁的概要描述。基于标签,可以直观感知和看到当前网络流量上层应用层发生的网络行为与威胁。对网络中的API接口使用、网络代理、收发邮件等行为,无需专家分析经验,通过可视化图表,就可直接得到异常网络行为和安全分析的结论。
附图说明:
图1为本发明用于网络行为可视化的元数据提取和处理方法流程图;
图2为本发明实施例1中网络安全分析可视化展示图一;
图3为本发明实施例1中网络安全分析可视化展示图二;
图4为本发明实施例1中网络安全分析可视化展示图三。
具体实施方式
下面结合试验例及具体实施方式对本发明作进一步的详细描述。但不应将此理解为本发明上述主题的范围仅限于以下的实施例,凡基于本发明内容所实现的技术均属于本发明的范围。
实施例1
本方案和现有技术相比,第一是增加了数据源的维度,除常用HTTP、DNS日志外,还增加了多种应用层协议或行为,包括SSL会话日志、证书日志、邮件操作日志、登录日志等。第二是对原始日志进行了二次安全分析处理,打上安全分析结论的标签,如对HTTP日志打上高危UA、API接口、可执行文件等,对DNS日志打上DGA域名、冷僻域名等,对应用登录日志打上弱密码登录行为、密码喷射行为等。在进行数据可视化时,能够直接使用安全分析结果来进行可视化展示,用户能够直接获悉结论,无需依靠专家知识和经验就能完成安全分析。
本方案依靠全流量识别、解析、采集和存储等技术,对网络中的全量元数据进行识别提取,再根据安全分析策略对原始数据打上网络安全分析结果的标签,打上标签的结果数据和原始数据可以直接进行可视化展示。
用于网络行为可视化的元数据提取和处理方法,流程图如图1所示,包括以下步骤:
S1、实时采集和识别网络流量中的各类应用层协议数据。使用DPDK或pfring技术,通过旁路镜像方式,实时采集和识别网络流量中各类应用层协议数据。
S2、对应用层协议数据进行提取和解析,生成元数据日志,元数据日志包括:HTTP日志、DNS日志、SSL会话日志、证书日志、邮件操作日志和登录日志等。
S3、对提取生成的元数据日志中的部分字段进行安全分析,生成安全分析结果,如:
(1)使用HTTP日志中提取的URL,根据特征匹配此URL是否是高危UA、API接口或可执行文件等,若特征命中,则对此条HTTP日志打上对应标签。
(2)使用DNS日志中提取的域名,根据特征或算法匹配此域名是否是冷僻域名或DGA域名等,若特征匹配,则对此条DNS日志打上对应标签。
(3)使用证书日志中提取的颁发机构、证书时间等,根据特征或算法匹配是否为免费颁发机构、是否为自签名证书、证书时间是否过期等,若特征匹配,则对此条证书日志打上对应标签。
(4)使用应用登录日志中提取的密码,根据特征匹配此密码是否是弱密码,是否具有密码喷射行为等,若特征匹配,则对此条登录日志打上对应标签等。
结合原始日志数据和打上标签的安全分析结果,就可以直接使用条形图、饼图、分段图、趋势图等多种可视化图形,对网络行为进行可视化展示。
步骤S3中:
对提取生成的元数据日志中的部分字段进行安全分析,主要会遇到以下四个难点:
1、数据处理的复杂度较大:数据字段类型多,涉及到int、string、数组、bool等多种字段类型,在进行可视化展示前的数据处理时需要考虑到不同类型的字段如何处理。
2、数据字段多:每一种元数据都涉及到几十个字段,哪些字段直接进行可视化展示,哪些字段需要二次处理后再展示,都需要进行合理的选取。
3、指标选取:针对不同的网络行为,需要考虑选取哪些指标才能详细的对这个网络行为进行描述。
4、图表选取的合理性:不同的指标需要选取不同的图表(饼图、TOP10、趋势图、词云等)来进行展示才能达到想要展示的效果。
对于第1个难点,解决方案是,针对不同的数据字段类型进行处理:
string类型:对于超长字段做截断处理,仅展示前n个字符;尽量避免使用需要展示所有值的图表;
Bool类型:尽量不做直接展示,使用bool类型字段来进行过滤,从而展示指标(如过滤“是否弱密码”字段,实际展示的字段是“客户端”而不是“是否弱密码”)
数组类型:不使用需要进行统计操作的图表。
对于难点2和3,主要是针对网络安全分析对元数据中的字段进行选择,详细处理如下:
(1)HTTP日志
a、检测API接口:使用req_url字段的值,采用正则语法进行匹配,若命中,则给tags字段赋上“API接口”的值;
b、检测文件上传接口:使用req_content_type字段的值,检测提取的值中是否包含“multipart/form-data”,若命中,则给tags字段赋上“文件上传接口”的值;
c、检测高危UA:使用req_url字段的值,正则匹配url中的字符,命中则给tags字段赋上“高危UA”的值;
d、检测可执行文件:使用req_url字段的值,正则匹配url中的字符,命中则给tags字段赋上“可执行文件”的值;
e、计算url长度:使用req_url字段的值,计算url长度,并生成url_len字段;
f、计算头部字段数量:计算当条日志中头部字段不为空的字段数量,并生成headCount字段。
(2)DNS日志
a、检测冷僻域名:提取domain字段的值,检测域名中是否包含异常字符串、域名长度是否超过60、是否命中正则匹配数据,命中则给threat_type字段赋值为“冷僻域名”;
b、检测DGA域名:提取domain字段的值,利用DGA算法对域名匹配规则库,命中则给threat_type字段赋值为“DGA域名”;
c、免费顶级域名检测:提取domain字段的值,检测域名结尾中是否强匹配预设的字符,命中则给threat_type字段赋值为“免费顶级域名”;
(3)SSL会话日志
a、检测客户端弱密码套件:提取cli_cipher字段(此字段为数组,包含多个值)的值,进行黑白名单比对,如果命中,则给cil_contain_weak_cipher字段赋值为“是”。
b、检测服务器弱密码套件:提取serv_weak_cipher字段(此字段仅一个值)的值,进行黑白名单比对,如果命中,则给serv_weak_cipher字段赋值为“是”。
(4)证书日志
a、检测非常规颁发机构:提取ssl_from字段的值,采用预设的特征进行匹配,命中则给un_normal_ssl字段赋值为“是”;
b、检测自签名证书:提取ssl_from和ssl_to字段的值,检测两者是否相同,相同则给from_eql_to字段赋值为“是”。
(5)邮件操作日志
a、检测弱密码:提取password字段的值,与弱密码库进行强特征匹配,命中,则给weak_pwd字段赋值为“是”。
(6)登录日志
a、检测弱密码:提取password字段的值,与弱密码库进行强特征匹配,命中,则给weak_pwd字段赋值为“是”。
对于难点4,解决的方案是用不同的指标选取不同的图表:
基于分类的指标,主要选用条形图、柱状图等;基于时间的指标,主要选用趋势图;基于多个变量的指标,主要选用散点图或气泡图;基于分布的指标,主要选用饼图;对于需要重点关注具体值的指标,主要选用TOP图或词云。
经第S2步提取和第S3步处理后,最终生成的元数据日志包括:
HTTP日志:
| 字段 | 字段解释 |
| req_url | URL |
| req_content_type | Request Content Type |
| tags | 标签 |
| url_len | URL长度 |
| headCount | 头部字段数量 |
其中,请求内容字段“req_content_type”和URL字段“req_url”被选作HTTP日志二次处理的字段。标签“tags”、URL长度“url_len”和头部字段数量“headCount”是二次处理后新增的字段。
DNS日志:
| 字段 | 字段解释 |
| domain | 域名 |
| threat_type | 情报命中 |
| request_count | 请求次数 |
| response_count | 响应次数 |
其中,域名字段“domain”被选作DNS日志的二次处理的字段。情报命中“threat_type”、请求次数“request_count”、响应次数“response_count”是二次处理后新增的字段。
SSL会话日志:
| 字段 | 字段解释 |
| cli_cipher | 客户端支持加密套件 |
| serv_cipher | 服务器选择加密套件 |
| cil_contain_weak_cipher | 客户端是否支持弱套件 |
| serv_weak_cipher | 服务器是否选择弱套件 |
其中,客户端支持加密套件字段“cli_cipher”和服务器选择加密套件字段“serv_cipher”被选作SSL会话日志的二次处理的字段。客户端是否支持弱套件“cil_contain_weak_cipher”、服务器是否选择弱套件“serv_weak_cipher”是二次处理后新增的字段。
证书日志:
| 字段 | 字段解释 |
| ssl_from | 颁发者 |
| ssl_to | 颁发给 |
| un_normal_ssl | 非常规颁发机构 |
| from_eql_to | 自签名证书 |
其中,颁发者字段“ssl_from”和颁发给字段“ssl_to”被选作证书日志的二次处理的字段。非常规颁发机构“un_normal_ssl”、自签名证书“from_eql_to”是二次处理后新增的字段。
邮件操作日志:
| 字段 | 字段解释 |
| password | 密码 |
| weak_pwd | 是否弱密码 |
其中,密码字段“password”被选作证书日志的二次处理的字段。是否弱密码“weak_pwd”、是二次处理后新增的字段。
邮件传输日志:
| 字段 | 字段解释 |
| src_ip | 源IP |
| dst_ip | 目的IP |
| sender | 发件人 |
| recipients | 收件人 |
邮件传输日志做可视化展示主要是使用原始字段进行展示,未做二次加工。此处给出了用于做可视化展示的字段。
登录日志:
| 字段 | 字段解释 |
| password | 密码 |
| weak_pwd | 是否弱密码 |
其中,密码字段“password”被选作证书日志的二次处理的字段。是否弱密码“weak_pwd”是二次处理后新增的字段。
SOCKS日志:
| 字段 | 字段解释 |
| src_ip | 源IP |
| dst_ip | 目的IP |
| src_port | 源端口 |
| dst_port | 目的端口 |
| user | 用户名 |
SOCKS日志做可视化展示主要是使用原始字段进行展示,未做二次加工。此处给出了用于做可视化展示的字段。
结合上述生成的最终元数据日志,使用条形图、饼图、分段图、趋势图等多种可视化图形,对网络行为进行可视化展示。包括以下指标(在“数据源”一列中,给出来的数据源字段是上文“元数据日志”中给出的二次处理字段,则表明此指标和二次处理打标签的字段有关系):
最终网络行为可视化效果如图2、图3和图4所示。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (10)
1.一种用于网络行为可视化的元数据提取和处理方法,其特征在于,包括以下步骤:
S1,采集和识别网络流量中的各类应用层协议数据;
S2,对应用层协议数据进行提取和解析,生成元数据日志,所述元数据日志包括:HTTP日志、DNS日志、SSL会话日志、证书日志、邮件操作日志和登录日志;
S3,对提取生成的元数据日志中的部分字段进行安全分析,生成用于网络行为可视化展示的安全分析结果。
2.如权利要求1所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,步骤S3中,对所述HTTP日志进行安全分析的主要步骤包括:
从HTTP日志中提取URL字段的内容,根据预设的URL特征判断URL字段中的内容是否包括预设的接口信息或文件,若是,则对此条HTTP日志打上对应标签。
3.如权利要求2所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,步骤S3中,对所述DNS日志进行安全分析主要步骤包括:
从DNS日志中提取域名字段的内容,根据预设的域名特征或算法,判断域名字段的内容是否是预设的域名,若是,则对此条DNS日志打上对应标签。
4.如权利要求3所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,步骤S3中,对所述SSL会话日志进行安全分析主要步骤包括:检测客户端弱密码套件和/或检测服务器弱密码套件,并得到客户端是否支持弱套件的结果和/或服务器是否选择弱套件的结果。
5.如权利要求4所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,所述检测客户端弱密码套件具体包括以下步骤:
从所述SSL会话日志中提取客户端支持加密套件字段的内容,进行黑白名单比对,如果命中,则给客户端是否支持弱套件字段赋值为“是”。
6.如权利要求5所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,所述检测服务器弱密码套件具体包括以下步骤:
从所述SSL会话日志中提取服务器弱密码套件字段的内容,进行黑白名单比对,如果命中,则给服务器弱密码套件字段赋值为“是”。
7.如权利要求6所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,对所述邮件操作日志和登陆日志进行安全分析主要步骤包括:
从所述邮件操作日志和/或登陆日志中提取密码字段的内容,根据预设的密码特征判断提取的内容是否是弱密码,若是,则给是否弱密码字段赋值为“是”。
8.如权利要求7所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,对所述证书日志进行安全分析主要步骤包括:
从所述证书日志中提取颁发者字段的内容,根据预设的颁发者特征判断是否为非常规颁发机构,若是,则给非常规颁发机构字段赋值为“是” ;
和/或
从所述证书日志中提取颁发给字段的内容,根据预设的颁发给特征判断提取的内容是否是自签名证书,若是,则给自签名证书字段赋值为“是”。
9.如权利要求1-8任一所述的一种用于网络行为可视化的元数据提取和处理方法,其特征在于,步骤还包括:针对不同的指标选取不同的图表用于网络的进行可视化展示。
10.一种用于网络行为可视化的元数据提取和处理系统,其特征在于,包括至少一个处理器,以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,所述指令被至少一个处理器执行,以使至少一个处理器能够执行权利要求1-9任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210213171.7A CN114567498B (zh) | 2022-03-04 | 2022-03-04 | 用于网络行为可视化的元数据提取和处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210213171.7A CN114567498B (zh) | 2022-03-04 | 2022-03-04 | 用于网络行为可视化的元数据提取和处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114567498A true CN114567498A (zh) | 2022-05-31 |
| CN114567498B CN114567498B (zh) | 2024-02-02 |
Family
ID=81717152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210213171.7A Active CN114567498B (zh) | 2022-03-04 | 2022-03-04 | 用于网络行为可视化的元数据提取和处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114567498B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232938A (zh) * | 2023-02-01 | 2023-06-06 | 广东为辰信息科技有限公司 | 支持任意通信协议字段可视化方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170075922A1 (en) * | 2015-09-11 | 2017-03-16 | Salesforce.Com, Inc. | Derived fields in log file processing |
| CN106534146A (zh) * | 2016-11-28 | 2017-03-22 | 北京天行网安信息技术有限责任公司 | 一种安全监测系统及方法 |
| CN109361573A (zh) * | 2018-12-13 | 2019-02-19 | 武汉市硅丰科技发展有限责任公司 | 流量日志分析方法、系统及计算机可读存储介质 |
| CN109902072A (zh) * | 2019-02-21 | 2019-06-18 | 云南电网有限责任公司红河供电局 | 一种日志处理系统 |
| CN110489464A (zh) * | 2019-07-02 | 2019-11-22 | 北京邮电大学 | 探索式图融合可视化方法和装置 |
| CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
| CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
| CN111447204A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种弱密码检测方法、装置、设备、介质 |
| CN112162965A (zh) * | 2020-10-12 | 2021-01-01 | 平安科技(深圳)有限公司 | 一种日志数据处理的方法、装置、计算机设备及存储介质 |
| CN112333130A (zh) * | 2019-08-05 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
| CN112866051A (zh) * | 2020-12-31 | 2021-05-28 | 深信服科技股份有限公司 | 一种脆弱性处理方法、装置、服务器和介质 |
| CN113111367A (zh) * | 2021-04-28 | 2021-07-13 | 北京天空卫士网络安全技术有限公司 | 一种安全信息管理方法、装置和系统 |
| CN113592522A (zh) * | 2021-02-23 | 2021-11-02 | 腾讯科技(深圳)有限公司 | 处理流量数据的方法及设备、和计算机可读存储介质 |
-
2022
- 2022-03-04 CN CN202210213171.7A patent/CN114567498B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170075922A1 (en) * | 2015-09-11 | 2017-03-16 | Salesforce.Com, Inc. | Derived fields in log file processing |
| CN106534146A (zh) * | 2016-11-28 | 2017-03-22 | 北京天行网安信息技术有限责任公司 | 一种安全监测系统及方法 |
| CN109361573A (zh) * | 2018-12-13 | 2019-02-19 | 武汉市硅丰科技发展有限责任公司 | 流量日志分析方法、系统及计算机可读存储介质 |
| CN109902072A (zh) * | 2019-02-21 | 2019-06-18 | 云南电网有限责任公司红河供电局 | 一种日志处理系统 |
| CN110489464A (zh) * | 2019-07-02 | 2019-11-22 | 北京邮电大学 | 探索式图融合可视化方法和装置 |
| CN112333130A (zh) * | 2019-08-05 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
| CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
| CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
| CN111447204A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种弱密码检测方法、装置、设备、介质 |
| CN112162965A (zh) * | 2020-10-12 | 2021-01-01 | 平安科技(深圳)有限公司 | 一种日志数据处理的方法、装置、计算机设备及存储介质 |
| CN112866051A (zh) * | 2020-12-31 | 2021-05-28 | 深信服科技股份有限公司 | 一种脆弱性处理方法、装置、服务器和介质 |
| CN113592522A (zh) * | 2021-02-23 | 2021-11-02 | 腾讯科技(深圳)有限公司 | 处理流量数据的方法及设备、和计算机可读存储介质 |
| CN113111367A (zh) * | 2021-04-28 | 2021-07-13 | 北京天空卫士网络安全技术有限公司 | 一种安全信息管理方法、装置和系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116232938A (zh) * | 2023-02-01 | 2023-06-06 | 广东为辰信息科技有限公司 | 支持任意通信协议字段可视化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114567498B (zh) | 2024-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US7073074B2 (en) | System and method for storing events to enhance intrusion detection | |
| CN106209488B (zh) | 用于检测网站攻击的方法和设备 | |
| US20140189870A1 (en) | Visual component and drill down mapping | |
| CN104579773A (zh) | 域名系统分析方法及装置 | |
| CN112347165B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| CN114422211B (zh) | 基于图注意力网络的http恶意流量检测方法及装置 | |
| CN113407886A (zh) | 网络犯罪平台识别方法、系统、设备和计算机存储介质 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN110648172A (zh) | 一种融合多种移动设备的身份识别方法和系统 | |
| CN114567498A (zh) | 用于网络行为可视化的元数据提取和处理方法及系统 | |
| CN113360566A (zh) | 一种信息内容监测方法及系统 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
| CN105262730B (zh) | 基于企业域名安全的监控方法及装置 | |
| US20070047438A1 (en) | Identifying a transaction of interest within a network | |
| CA2474815A1 (en) | Systems and methods for user identification, user demographic reporting and collecting usage data | |
| KR100656352B1 (ko) | 네트워크의 보안 관련 이벤트 정보를 표시하는 방법 | |
| JP2018060288A (ja) | ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法 | |
| Gottwalt et al. | SIM in light of big data | |
| CN114793204B (zh) | 一种网络资产探测方法 | |
| US9723017B1 (en) | Method, apparatus and computer program product for detecting risky communications | |
| CN112003884A (zh) | 一种网络资产的采集和自然语言检索方法 | |
| CN116232696A (zh) | 基于深度神经网络的加密流量分类方法 | |
| CN114866434A (zh) | 网络资产的安全评估方法及应用 | |
| CN114254023A (zh) | 数据关系可视化方法、装置、系统及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |