CN115086013A - 风险识别方法、装置、电子设备、存储介质和计算机程序产品 - Google Patents
风险识别方法、装置、电子设备、存储介质和计算机程序产品 Download PDFInfo
- Publication number
- CN115086013A CN115086013A CN202210663116.8A CN202210663116A CN115086013A CN 115086013 A CN115086013 A CN 115086013A CN 202210663116 A CN202210663116 A CN 202210663116A CN 115086013 A CN115086013 A CN 115086013A
- Authority
- CN
- China
- Prior art keywords
- host
- configuration file
- hosts
- risk
- risk identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 238000004590 computer program Methods 0.000 title claims description 11
- 230000008569 process Effects 0.000 claims description 20
- 238000013507 mapping Methods 0.000 claims description 9
- 238000011144 upstream manufacturing Methods 0.000 claims description 6
- 230000002265 prevention Effects 0.000 abstract description 5
- 238000011156 evaluation Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012502 risk assessment Methods 0.000 description 3
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 2
- 206010072219 Mevalonic aciduria Diseases 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种风险识别方法、装置、电子设备、存储介质和计算机程序产品,属于计算机及网络安全技术领域,风险识别方法包括建立各个主机之间的关联关系,扫描出暴露在外网的主机,根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。本申请可以及时发现潜在安全威胁,全面提升企业单位的安全预防能力。
Description
技术领域
本申请属于计算机及网络安全技术领域,具体涉及一种风险识别方法、装置、电子设备、存储介质和计算机程序产品。
背景技术
互联网的普及和网络技术的发展使得越来越多的企业将自己的资产接入了互联网,在享受互联网带来的便利的同时,各企业和单位的资产也面临着网络安全威胁。企业主机资产安全评估是指对企业中的固定资产如主机的固有的或潜在的危险及其严重程度所进行的分析与评估,并根据评估结果采取预防或防护对策。
现有技术中,评估方法主要是对每个主机单独进行安全评估,不能根据主机间关联关系识别出主机资产存在的潜在风险,评估结果不准确或安全风险未及时发现,从而导致主机资产遭受攻击,造成企业经济损失。
发明内容
为至少在一定程度上克服传统风险识别方法对每个主机单独进行安全评估,未能及时发现潜在风险,造成企业经济损失的问题,本申请提供一种风险识别方法、装置、电子设备、存储介质和计算机程序产品。
第一方面,本申请提供一种风险识别方法,包括:
建立各个主机之间的关联关系;
扫描出暴露在外网的主机;
根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。
进一步的,所述建立各个主机之间的关联关系,包括:
获取每个主机的IP地址以及每个主机所连接的其他主机的IP地址;
根据所述每个主机所连接的其他主机的IP地址确定每个主机的直接关联主机;
根据所述每个主机的直接关联主机所连接的其他主机的IP地址确定每个主机的间接关联主机;
将每个主机的IP地址、每个主机的直接关联主机的IP地址和每个主机的间接关联主机的IP地址进行关联以建立各个主机之间的关联关系。
进一步的,获取每个主机所连接的其他主机的IP地址,包括:
获取主机中负载均衡软件的配置文件在主机中的存放路径;
根据所述存放路径获取所述负载均衡软件的配置文件;
对所述负载均衡软件的配置文件进行解析以获取所述主机所连接的其他主机的IP地址。
进一步的,所述获取主机中负载均衡软件的配置文件在主机中的存放路径,包括:
判断负载均衡软件的配置文件是否存放在默认路径;
若是,将所述默认路径作为所述负载均衡软件的配置文件在主机中的存放路径。
进一步的,若负载均衡软件的配置文件未存放在默认路径,还包括:
获取所述负载均衡软件对应进程中的路径关键字;
根据所述路径关键字确定所述负载均衡软件的配置文件在主机中的存放路径;
或,
通过正则式在进程命令行中查找配置文件对应二进制的字符串;
将查找到的所述配置文件对应二进制的字符串所在目录位置作为所述负载均衡软件的配置文件在主机中的存放路径。
进一步的,所述配置文件包括根配置文件和子配置文件,还包括:
判断所述根配置文件和子配置文件的存放路径是否出现循环;
若是,解析的配置文件为未出现循环时的存放路径下对应的根配置文件,或者,解析的配置文件为未出现循环时的存放路径下对应的根配置文件和子配置文件。
进一步的,所述判断所述根配置文件和子配置文件的存放路径是否出现循环,包括:
创建第一指针和第二指针,所述第一指针和第二指针同时指向配置文件的同一路径节点;
控制第一指针每次向下移动一个路径节点,第二指针每次向下移动两个路径节点;
若第一指针和第二指针指向的路径节点存在同时指向同一路径节点情况,则判定所述根配置文件和子配置文件的存放路径出现循环。
进一步的,所述对所述负载均衡软件的配置文件进行解析以获取所述主机所连接的其他主机的IP地址,包括:
解析所述配置文件中的上游主机信息字段,在所述上游主机信息字段中提取与所述配置文件所在主机相连接的其他主机的IP地址信息。
进一步的,所述暴露在外网的主机通过实际IP与外网连接,所述根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,包括:
根据各个主机之间的关联关系识别出与所述实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
进一步的,还包括:
扫描所述潜在风险主机中的进程端口数据以筛选出所述潜在风险主机上的开放端口;
获取所述开放端口发送的网络请求数据中服务应用程序数据,将所述服务应用程序数据对应的服务应用程序作为潜在风险服务。
进一步的,所述暴露在外网的主机通过虚拟IP与外网连接,所述根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,包括:
根据预设的虚拟IP与实际IP的映射关系识别出所述虚拟IP对应的实际IP;
根据各个主机之间的关联关系识别出与所述实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
进一步的,还包括:
根据预设的服务应用程序与主机端口的映射关系获取所述潜在风险主机端口对应的服务应用程序,将所述潜在风险主机端口对应的服务应用程序作为潜在风险服务。
进一步的,还包括:
根据每个主机的业务信息为每个主机添加标签;
设置标签对应的安全项目等级标准;
根据所述标签对应的安全项目等级标准输出资产安全评估结果,所述资产安全评估结果包括潜在风险主机、安全告警、安全防护情况和安全漏洞中的至少一种。
第二方面,本申请提供一种风险识别装置,包括:
建立模块,用于建立各个主机之间的关联关系;
扫描模块,用于扫描出暴露在外网的主机;
识别模块,用于根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。
第三方面,本申请提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第一方面所述的风险识别方法。
第四方面,本申请提供一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行第一方面所述的风险识别方法。
第五方面,本申请提供一种计算机程序产品,包括:
计算机程序,所述计算机程序在被处理器执行时实现根据第一方面所述的风险识别方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
本发明实施例提供的风险识别方法、装置、电子设备、存储介质和计算机程序产品,风险识别方法包括建立各个主机之间的关联关系,扫描出暴露在外网的主机,根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,可以及时发现潜在安全威胁,全面提升企业单位的安全预防能力。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请一个实施例提供的一种风险识别方法的流程图。
图2为本申请另一个实施例提供的一种风险识别方法的流程图。
图3为本申请一个实施例提供的一种主机资产关联图。
图4为本申请一个实施例提供的另一种风险识别方法的流程图。
图5为本申请另一个实施例提供的一种风险识别方法的流程图。
图6为本申请一个实施例提供的另一种风险识别方法的流程图。
图7为本申请一个实施例提供的一种风险识别装置的功能结构图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将对本申请的技术方案进行详细的描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本申请所保护的范围。
图1为本申请一个实施例提供的风险识别方法的流程图,如图1所示,该风险识别方法,包括:
S11:建立各个主机之间的关联关系;
S12:扫描出暴露在外网的主机;
本申请实施例中,通过扫描器扫描每个主机发送的网络请求数据,通过网络请求数据中的外网IP字段wlan_ip和外网IP类型字段wlan_ip_type,例如,wlan_ip:10.10.10.1:8080;wlan_ip_type:HOST物理机实IP;则可以获取到连接外网的主机的实际IP地址为10.10.10.1:8080,将IP地址为10.10.10.1:8080对应的主机确定为暴露在外网的主机。
S13:根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。
现有技术中,评估方法主要是对每个主机单独进行安全评估,不能根据主机间关联关系识别出主机资产存在的潜在风险,评估结果不准确或安全风险未及时发现,从而导致主机资产遭受攻击,造成企业经济损失。
本申请实施例中,风险识别方法包括建立各个主机之间的关联关系,扫描出暴露在外网的主机,根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,可以及时发现潜在安全威胁,全面提升企业单位的安全预防能力。
图2为本申请另一个实施例提供的风险识别方法的流程图,如图2所示,上一实施例中S11的具体实现方法,包括:
S21:获取每个主机的IP地址以及每个主机所连接的其他主机的IP地址;
S22:根据每个主机所连接的其他主机的IP地址确定每个主机的直接关联主机;
S23:根据每个主机的直接关联主机所连接的其他主机的IP地址确定每个主机的间接关联主机;
一个主机的间接关联主机为不与该主机直接连接,而通过其他主机与该主机连接的主机,例如,主机X所连接的其他主机的IP地址为10.10.10.2:8080,则将10.10.10.2:8080对应的主机确定为主机X的直接关联主机Y;而主机Y所连接的其他主机的IP地址为10.10.10.3:8080,则将10.10.10.3:8080对应的主机Z确定为主机X的间接关联主机。
S24:将每个主机的IP地址、每个主机的直接关联主机的IP地址和每个主机的间接关联主机的IP地址进行关联以建立各个主机之间的关联关系。
通过建立各个主机之间的关联关系,可以根据一个主机所关联的其他主机,在该主机存在风险时,可以及时找出与其关联的主机作为潜在风险主机,从而全面提升安全预防能力。
一些实施例中,还包括:根据各个主机之间的关联关系绘制主机资产关联图,如图3所示,主机资产关联图包括每个主机节点以及每个主机节点第一跳连接主机、第二跳连接主机以及多跳连接主机。在风险识别时,通过第一跳识别出潜在风险主机时继续进行第二跳识别,再次识别出潜在风险主机,以此类推,以识别出全部潜在风险主机。
如图4所示,S21可进一步包括:
S41:获取主机中负载均衡软件的配置文件在主机中的存放路径;
本申请实施例中,获取主机中负载均衡软件的配置文件在主机中的存放路径,包括:
S411:判断负载均衡软件的配置文件是否存放在默认路径,若是,执行S412;否则,执行S413;
S412:将默认路径作为负载均衡软件的配置文件在主机中的存放路径。
默认路径通常为/usr/local/nginx/conf;
S413:获取负载均衡软件对应进程中的路径关键字;
S414:根据路径关键字确定负载均衡软件的配置文件在主机中的存放路径。
例如,在命令行中输入修改路径指令:nginx-c,识别nginx进程的路径关键字,根据路径关键字确定nginx应用的配置文件所在路径。
一些实施例中,在负载均衡软件的配置文件未存放在默认路径时,还包括:
通过正则式在进程命令行中查找配置文件对应二进制的字符串;
将查找到的配置文件对应二进制的字符串所在目录位置作为负载均衡软件的配置文件在主机中的存放路径。
例如,主文件的路径通常为conf/nginx.conf;通过正则查找"--conf-path=(.+?)\s"查找二进制中的字符串中对应的nginx应用的配置文件,并识别出nginx应用的配置文件所在的路径。
一些实施例中,配置文件包括根配置文件和子配置文件,获取主机中负载均衡软件的配置文件在主机中的存放路径前,还包括:判断根配置文件和子配置文件的存放路径是否出现循环。
本申请实施例中,判断根配置文件和子配置文件的存放路径是否出现循环,包括:
创建第一指针和第二指针,第一指针和第二指针同时指向配置文件的同一路径节点;
控制第一指针每次向下移动一个路径节点,第二指针每次向下移动两个路径节点;
若第一指针和第二指针指向的路径节点存在同时指向同一路径节点情况,则判定根配置文件和子配置文件的存放路径出现循环。
例如,通过查找指令include upstreams/*.conf,识别nginx应用的配置文件中的include关键字,判断配置文件的子文件中的递归包含情况,并进行环的判断,例如链表A->B->C->D->B->C->D,两个指针最初都指向节点A,进入第一轮循环,第一指针移动到了节点B,第二指针移动到了C。第二轮循环,第一指针移动到了节点C,第二指针移动到了节点B。第三轮循环,第一指针移动到了节点D,第二指针移动到了节点D,此时两指针指向同一节点,此时判定nginx应用的配置文件路径存在环,此时nginx的配置文件存放路径存在异常。
若根配置文件下的第一个子配置文件的存放路径与根配置文件相同,则解析的配置文件为根配置文件;若根配置文件下的多层子配置文件的存放路径出现环,解析的配置文件为未出现循环时的存放路径下对应的根配置文件和子配置文件。
一些实施例中,在配置文件存放路径出现环时,发送提示信息。
S42:根据存放路径获取负载均衡软件的配置文件;
S43:对负载均衡软件的配置文件进行解析以获取主机所连接的其他主机的IP地址。
本申请实施例中,对负载均衡软件的配置文件进行解析以获取主机所连接的其他主机的IP地址,包括:
解析配置文件中的上游主机信息字段,在上游主机信息字段中提取与配置文件所在主机相连接的其他主机的IP地址信息。
负载均衡软件常见应用为单台服务器难以负荷,使用多台服务器组成集群,集群前端使用负载均衡软件进行负载均衡,将请求数据分散地转发至后端服务器集群中,实现负载的分发。
本申请中利用负载均衡软件的负载均衡功能获取每个主机所连接的其他主机的IP地址,以便于建立各个主机之间的关联关系,不需要额外增加其他硬件或软件,简单方便,节约成本。
负载均衡软件例如为nginx软件,nginx支持TCP/IP的控制,只需要对客户端的请求进行TCP/IP协议的包转发就可以实现负载均衡,性能快,并且只需要底层进行应用处理,不需要复杂的上层传输逻辑。
本申请实施例中,对负载均衡软件的配置文件进行解析获取主机所连接的其他主机的IP地址,根据每个主机所连接的其他主机的IP地址建立各个主机之间的关联关系,可以准确、快速的识别出各个主机之间的关联,为后续确定潜在风险主机提供基础。
图5为本申请另一个实施例提供的风险识别方法的流程图,如图5所示,该风险识别方法,包括:
S51:建立各个主机之间的关联关系;
S52:扫描出暴露在外网的主机,判断暴露在外网的主机是否通过实际IP与外网连接,若是,执行S53;否则,执行S56;
可以通过网络数据请求中外网IP类型字段判断暴露在外网的主机是否通过实际IP与外网连接,外网IP类型字段的内容为QLB虚IP或HOST物理机实IP。
S53:暴露在外网的主机通过实际IP与外网连接,根据各个主机之间的关联关系识别出与实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
S54:扫描潜在风险主机中的进程端口数据以筛选出潜在风险主机上的开放端口;
S55:获取开放端口发送的网络请求数据中服务应用程序数据,将服务应用程序数据对应的服务应用程序作为潜在风险服务。
网络请求数据包括内容例如为:
wlan_ip:外网IP;
wlan_ip_type:外网IP类型:QLB虚IP/HOST物理机实IP;
wlan_port:外网端口;
hids_uuid:HIDS的UUID;
hids_client_ip:HIDS的client_ip;hids_local_ip:外网如果为QLB,则为后端IP;
hids_local_port:后端端口;
hids_proc_name:后端应用服务名;
hids_proc_exe:后端应用可执行程序;
hids_proc_md5:后端应用MD5;created_at:更新时间;
wlan_ip_owner:机器owner;
wlan_ip_project:机器项目;
wlan_ip_service:机器业务线;
scan_proc:扫描器远程扫描的端口服务名:ssh;
scan_status:扫描器远程扫描的端口状态:open/closer;
scan_version:扫描器远程判断的端口服务版本:OpenSSH 5.8;
is_http:是否为服务;
scan_at:云扫描时间。
通过wlan_ip字段可以识别出暴露在外网的主机IP地址,例如,wlan_ip:10.10.10.1:8080,则可以识别出暴露在外网的主机IP地址为10.10.10.1:8080;wlan_ip_type字段可以确定暴露在外网的主机IP地址是实际IP还是虚拟IP;通过scan_proc字段、scan_status字段可以获取潜在风险主机端口对应的服务应用程序;通过scan_version字段可以获取服务应用程序版本号。
S56:暴露在外网的主机通过虚拟IP与外网连接,根据预设的虚拟IP与实际IP的映射关系识别出虚拟IP对应的实际IP;
例如预设的虚IP所在的宿主机与后端真实主机的IP地址映射关系为150.150.150.150:80->10.10.10.1:8080,则10.10.10.1的宿主机对应的10.10.10.1:8080为后端真实主机IP。
S57:根据各个主机之间的关联关系识别出与实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
S58:根据预设的服务应用程序与主机端口的映射关系获取潜在风险主机端口对应的服务应用程序,将潜在风险主机端口对应的服务应用程序作为潜在风险服务。
一些实施例中,在识别出开放外网的主机后,二次扫描开放外网的主机中的进程,每个端口映射五元组信息,五元组信息包括源IP,源端口,目的IP,目的端口,对应进程PID。在获取进程PID后还可以获取进程对应的服务应用程序,从而获取开放外网的主机上的所有开放端口及开放端口对应的服务应用程序数据,服务应用程序数据包括服务应用程序名称和服务应用程序版本号,可以方便用户直接定位到具体进程或服务应用程序以及服务应用程序版本号,预防风险发生。
传统安全评估方法中,对每个主机单独进行识别,识别出主机是否与外网连接,若与外网连接,识别出存在风险,若不与外网连接,在识别出不存在风险,并未进行深层次识别,不能及时发现潜在风险,存在安全隐患。
本申请实施例中,自动化地识别主机上的负载均衡软件,并对负载均衡软件进行解析,可以快速地识别外网开放主机及直接或间接与外网连接的主机,外网开放主机为风险主机,直接或间接与外网连接的主机作为潜在风险主机。
图6为本申请另一个实施例提供的风险识别方法的流程图,如图6所示,该风险识别方法,包括:
S61:根据每个主机的业务信息为每个主机添加标签;
若主机的业务信息为重要信息,则可以为该主机添加“重要”标签;若主机的业务信息为一般信息,则可以为该主机添加“一般”标签;若主机的业务信息为测试信息,则可以为该主机添加“测试”标签。
S62:设置标签对应的安全项目等级标准;
安全项目包括安全基线、安全防护情况、安全告警和安全漏洞等,安全基线即主机被入侵的风险级别;安全防护情况为对应的网站是否有接入WAF对应的防护措施;安全告警为历史上是否发生过告警,即历史有入侵风险事件;安全漏洞为是否发现过安全漏洞。
设置标签对应的安全项目等级标准例如,“重要”标签对应的安全基线的级别为高,“一般”标签对应的安全基线的级别为中,“测试”标签对应的安全基线的级别为低。
S63:根据标签对应的安全项目等级标准输出资产安全评估结果,资产安全评估结果包括潜在风险主机、安全告警、安全防护情况和安全漏洞中的至少一种。
例如,若判断出“重要”标签对应的主机安全基线为中时,输出潜在风险评估结果为存在潜在风险,请及时处理,若判断出“测试”标签对应的主机安全基线为中时,则输出潜在风险评估结果为不存在风险。同理,其他安全项目如安全防护情况、安全告警和安全漏洞以上述分级方式进行处理。通过对各个主机进行分级后评分,避免统一标准造成风险遗漏,或风险等级要求过高影响各主机正常工作。
通过主机标签作出安全态势评估并对漏洞分级处置,进一步提升主机资产安全性。
本申请实施例中,通过自动化、快速地识别外网开放主机以及潜在风险主机,并结合暴露在外网的主机以及潜在风险主机上的业务信息、硬件信息等,进行综合评分,有助于漏洞分优先级处理,进一步提升主机资产安全。
图7为本申请一个实施例提供的风险识别装置的功能结构图,如图7所示,该风险识别装置,包括:
建立模块71,用于建立各个主机之间的关联关系;
扫描模块72,用于扫描出暴露在外网的主机;
识别模块73,用于根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。
一些实施例中,建立模块71被配置为:
获取每个主机的IP地址以及每个主机所连接的其他主机的IP地址;
根据每个主机所连接的其他主机的IP地址确定每个主机的直接关联主机;
根据每个主机的直接关联主机所连接的其他主机的IP地址确定每个主机的间接关联主机;
将每个主机的IP地址、每个主机的直接关联主机的IP地址和每个主机的间接关联主机的IP地址进行关联以建立各个主机之间的关联关系。
其中,获取每个主机所连接的其他主机的IP地址,包括:
获取主机中负载均衡软件的配置文件在主机中的存放路径;
根据存放路径获取负载均衡软件的配置文件;
对负载均衡软件的配置文件进行解析以获取主机所连接的其他主机的IP地址。
进一步的,获取主机中负载均衡软件的配置文件在主机中的存放路径,包括:
判断负载均衡软件的配置文件是否存放在默认路径;
若是,将默认路径作为负载均衡软件的配置文件在主机中的存放路径。
若负载均衡软件的配置文件未存放在默认路径,还包括:
获取负载均衡软件对应进程中的路径关键字;
根据路径关键字确定负载均衡软件的配置文件在主机中的存放路径;
或,通过正则式在进程命令行中查找配置文件对应二进制的字符串;
将查找到的配置文件对应二进制的字符串所在目录位置作为负载均衡软件的配置文件在主机中的存放路径。
配置文件包括根配置文件和子配置文件,还包括:
判断根配置文件和子配置文件的存放路径是否出现循环;
若是,解析的配置文件为未出现循环时的存放路径下对应的根配置文件,或者,解析的配置文件为未出现循环时的存放路径下对应的根配置文件和子配置文件。
一些实施例中,识别模块73被配置为:
第一种情形:暴露在外网的主机通过实际IP与外网连接,根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,包括:
根据各个主机之间的关联关系识别出与实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
扫描潜在风险主机中的进程端口数据以筛选出潜在风险主机上的开放端口;
获取开放端口发送的网络请求数据中服务应用程序数据,将服务应用程序数据对应的服务应用程序作为潜在风险服务。
第二种情形:暴露在外网的主机通过虚拟IP与外网连接,根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,包括:
根据预设的虚拟IP与实际IP的映射关系识别出虚拟IP对应的实际IP;
根据各个主机之间的关联关系识别出与实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
根据预设的服务应用程序与主机端口的映射关系获取潜在风险主机端口对应的服务应用程序,将潜在风险主机端口对应的服务应用程序作为潜在风险服务。
一些实施例中,还包括:输出模块,用于根据每个主机的业务信息为每个主机添加标签;设置标签对应的安全项目等级标准;根据标签对应的安全项目等级标准输出资产安全评估结果,资产安全评估结果包括潜在风险主机、安全告警、安全防护情况和安全漏洞中的至少一种。
本申请实施例中,通过建立模块建立各个主机之间的关联关系;扫描模块扫描出暴露在外网的主机;识别模块根据各个主机之间的关联关系识别出与暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,既可以识别外网服务主机也可以识别机器多跳信息,输出潜在风险评估结果,同时也可以主机标签确定项目等级以及根据漏洞数量进行处置,提升主机资产安全性。
本申请实施例提供一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被所述至少一个处理器执行的指令,指令被所述至少一个处理器执行,以使至少一个处理器能够执行上述实施例所述的风险识别方法。
本申请实施例提供一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行上述实施例所述的风险识别方法。
本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据上述实施例所述的风险识别方法。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
需要说明的是,本发明不局限于上述最佳实施方式,本领域技术人员在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本发明的保护范围之内。
Claims (17)
1.一种风险识别方法,其特征在于,包括:
建立各个主机之间的关联关系;
扫描出暴露在外网的主机;
根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。
2.根据权利要求1所述的风险识别方法,其特征在于,所述建立各个主机之间的关联关系,包括:
获取每个主机的IP地址以及每个主机所连接的其他主机的IP地址;
根据所述每个主机所连接的其他主机的IP地址确定每个主机的直接关联主机;
根据所述每个主机的直接关联主机所连接的其他主机的IP地址确定每个主机的间接关联主机;
将每个主机的IP地址、每个主机的直接关联主机的IP地址和每个主机的间接关联主机的IP地址进行关联以建立各个主机之间的关联关系。
3.根据权利要求2所述的风险识别方法,其特征在于,获取每个主机所连接的其他主机的IP地址,包括:
获取主机中负载均衡软件的配置文件在主机中的存放路径;
根据所述存放路径获取所述负载均衡软件的配置文件;
对所述负载均衡软件的配置文件进行解析以获取所述主机所连接的其他主机的IP地址。
4.根据权利要求3所述的风险识别方法,其特征在于,所述获取主机中负载均衡软件的配置文件在主机中的存放路径,包括:
判断负载均衡软件的配置文件是否存放在默认路径;
若是,将所述默认路径作为所述负载均衡软件的配置文件在主机中的存放路径。
5.根据权利要求4所述的风险识别方法,其特征在于,若负载均衡软件的配置文件未存放在默认路径,还包括:
获取所述负载均衡软件对应进程中的路径关键字;
根据所述路径关键字确定所述负载均衡软件的配置文件在主机中的存放路径;
或,
通过正则式在进程命令行中查找配置文件对应二进制的字符串;
将查找到的所述配置文件对应二进制的字符串所在目录位置作为所述负载均衡软件的配置文件在主机中的存放路径。
6.根据权利要求3~5任一项所述的风险识别方法,其特征在于,所述配置文件包括根配置文件和子配置文件,还包括:
判断所述根配置文件和子配置文件的存放路径是否出现循环;
若是,解析的配置文件为未出现循环时的存放路径下对应的根配置文件,或者,解析的配置文件为未出现循环时的存放路径下对应的根配置文件和子配置文件。
7.根据权利要求6所述的风险识别方法,其特征在于,所述判断所述根配置文件和子配置文件的存放路径是否出现循环,包括:
创建第一指针和第二指针,所述第一指针和第二指针同时指向配置文件的同一路径节点;
控制第一指针每次向下移动一个路径节点,第二指针每次向下移动两个路径节点;
若第一指针和第二指针指向的路径节点存在同时指向同一路径节点情况,则判定所述根配置文件和子配置文件的存放路径出现循环。
8.根据权利要求3所述的风险识别方法,其特征在于,所述对所述负载均衡软件的配置文件进行解析以获取所述主机所连接的其他主机的IP地址,包括:
解析所述配置文件中的上游主机信息字段,在所述上游主机信息字段中提取与所述配置文件所在主机相连接的其他主机的IP地址信息。
9.根据权利要求1所述的风险识别方法,其特征在于,所述暴露在外网的主机通过实际IP与外网连接,所述根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,包括:
根据各个主机之间的关联关系识别出与所述实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
10.根据权利要求9所述的风险识别方法,其特征在于,还包括:
扫描所述潜在风险主机中的进程端口数据以筛选出所述潜在风险主机上的开放端口;
获取所述开放端口发送的网络请求数据中服务应用程序数据,将所述服务应用程序数据对应的服务应用程序作为潜在风险服务。
11.根据权利要求1所述的风险识别方法,其特征在于,所述暴露在外网的主机通过虚拟IP与外网连接,所述根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机,包括:
根据预设的虚拟IP与实际IP的映射关系识别出所述虚拟IP对应的实际IP;
根据各个主机之间的关联关系识别出与所述实际IP对应主机直接关联或间接关联的主机作为潜在风险主机。
12.根据权利要求11所述的风险识别方法,其特征在于,还包括:
根据预设的服务应用程序与主机端口的映射关系获取所述潜在风险主机端口对应的服务应用程序,将所述潜在风险主机端口对应的服务应用程序作为潜在风险服务。
13.根据权利要求1所述的风险识别方法,其特征在于,还包括:
根据每个主机的业务信息为每个主机添加标签;
设置标签对应的安全项目等级标准;
根据所述标签对应的安全项目等级标准输出资产安全评估结果,所述资产安全评估结果包括潜在风险主机、安全告警、安全防护情况和安全漏洞中的至少一种。
14.一种风险识别装置,其特征在于,包括:
建立模块,用于建立各个主机之间的关联关系;
扫描模块,用于扫描出暴露在外网的主机;
识别模块,用于根据各个主机之间的关联关系识别出与所述暴露在外网的主机直接关联或间接关联的主机作为潜在风险主机。
15.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-13中任一项所述的风险识别方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-13中任一项所述的风险识别方法。
17.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-13中任一项所述的风险识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210663116.8A CN115086013B (zh) | 2022-06-13 | 2022-06-13 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210663116.8A CN115086013B (zh) | 2022-06-13 | 2022-06-13 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115086013A true CN115086013A (zh) | 2022-09-20 |
CN115086013B CN115086013B (zh) | 2024-08-09 |
Family
ID=83250607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210663116.8A Active CN115086013B (zh) | 2022-06-13 | 2022-06-13 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115086013B (zh) |
Citations (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002026907A (ja) * | 2000-05-25 | 2002-01-25 | Lucent Technol Inc | 通信ネットワークセキュリティ方法および通信ネットワークのネットワークセキュリティを分析するための方法および通信システムおよびセキュリティホストコンピュータおよび機械で読み出し可能な媒体。 |
US20060265751A1 (en) * | 2005-05-18 | 2006-11-23 | Alcatel | Communication network security risk exposure management systems and methods |
CN1874228A (zh) * | 2005-05-18 | 2006-12-06 | 阿尔卡特公司 | 安全风险分析系统和方法 |
CN1996326A (zh) * | 2005-09-22 | 2007-07-11 | 阿尔卡特公司 | 信息系统服务级安全风险分析 |
CN102170431A (zh) * | 2011-03-25 | 2011-08-31 | 中国电子科技集团公司第三十研究所 | 一种主机风险评估方法和装置 |
US20150040229A1 (en) * | 2013-08-05 | 2015-02-05 | Netflix, Inc. | Dynamic security testing |
CN106453386A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市魔方安全科技有限公司 | 基于分布式技术的自动化互联网资产监控和风险检测方法 |
CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
CN108494787A (zh) * | 2018-03-29 | 2018-09-04 | 北京理工大学 | 一种基于资产关联图的网络风险评估方法 |
CN109117641A (zh) * | 2018-08-15 | 2019-01-01 | 北京理工大学 | 一种基于i-hmm的网络安全风险评估方法 |
CN110677400A (zh) * | 2019-09-20 | 2020-01-10 | 武汉思普崚技术有限公司 | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 |
CN110933101A (zh) * | 2019-12-10 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 安全事件日志处理方法、装置及存储介质 |
CN110971622A (zh) * | 2020-03-04 | 2020-04-07 | 信联科技(南京)有限公司 | 一种公网应用系统与内网应用系统间双向访问方法及系统 |
CN111800286A (zh) * | 2019-04-09 | 2020-10-20 | 中国移动通信集团山东有限公司 | 内网资产的探测方法、装置和电子设备 |
US20200358807A1 (en) * | 2019-05-10 | 2020-11-12 | Cybeta, LLC | System and method for cyber security threat assessment |
CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
WO2021174693A1 (zh) * | 2020-03-05 | 2021-09-10 | 平安科技(深圳)有限公司 | 一种数据分析方法、装置、计算机系统及可读存储介质 |
CN113472775A (zh) * | 2021-06-29 | 2021-10-01 | 深信服科技股份有限公司 | 一种暴露面确定方法、系统及存储介质 |
US20210314338A1 (en) * | 2020-04-03 | 2021-10-07 | Zscaler, Inc. | Network exposure detection and security assessment tool |
CN113489749A (zh) * | 2021-09-03 | 2021-10-08 | 北京华云安信息技术有限公司 | 网络资产安全画像的生成方法、装置、设备以及存储介质 |
CN113824680A (zh) * | 2021-07-26 | 2021-12-21 | 北京墨云科技有限公司 | 一种网络安全分析方法、装置、计算机设备及存储介质 |
CN114095218A (zh) * | 2021-11-05 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种资产漏洞管理方法及装置 |
US20220103592A1 (en) * | 2020-09-30 | 2022-03-31 | Forescout Technologies, Inc. | Enhanced risk assessment |
CN114268446A (zh) * | 2020-09-15 | 2022-04-01 | 中国电信股份有限公司 | 数据资产安全性评估方法、装置以及存储介质 |
-
2022
- 2022-06-13 CN CN202210663116.8A patent/CN115086013B/zh active Active
Patent Citations (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002026907A (ja) * | 2000-05-25 | 2002-01-25 | Lucent Technol Inc | 通信ネットワークセキュリティ方法および通信ネットワークのネットワークセキュリティを分析するための方法および通信システムおよびセキュリティホストコンピュータおよび機械で読み出し可能な媒体。 |
US20060265751A1 (en) * | 2005-05-18 | 2006-11-23 | Alcatel | Communication network security risk exposure management systems and methods |
CN1874228A (zh) * | 2005-05-18 | 2006-12-06 | 阿尔卡特公司 | 安全风险分析系统和方法 |
CN1996326A (zh) * | 2005-09-22 | 2007-07-11 | 阿尔卡特公司 | 信息系统服务级安全风险分析 |
CN102170431A (zh) * | 2011-03-25 | 2011-08-31 | 中国电子科技集团公司第三十研究所 | 一种主机风险评估方法和装置 |
US20150040229A1 (en) * | 2013-08-05 | 2015-02-05 | Netflix, Inc. | Dynamic security testing |
CN106453386A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市魔方安全科技有限公司 | 基于分布式技术的自动化互联网资产监控和风险检测方法 |
CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
CN108494787A (zh) * | 2018-03-29 | 2018-09-04 | 北京理工大学 | 一种基于资产关联图的网络风险评估方法 |
CN109117641A (zh) * | 2018-08-15 | 2019-01-01 | 北京理工大学 | 一种基于i-hmm的网络安全风险评估方法 |
CN111800286A (zh) * | 2019-04-09 | 2020-10-20 | 中国移动通信集团山东有限公司 | 内网资产的探测方法、装置和电子设备 |
US20200358807A1 (en) * | 2019-05-10 | 2020-11-12 | Cybeta, LLC | System and method for cyber security threat assessment |
CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
CN110677400A (zh) * | 2019-09-20 | 2020-01-10 | 武汉思普崚技术有限公司 | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 |
CN110933101A (zh) * | 2019-12-10 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 安全事件日志处理方法、装置及存储介质 |
CN110971622A (zh) * | 2020-03-04 | 2020-04-07 | 信联科技(南京)有限公司 | 一种公网应用系统与内网应用系统间双向访问方法及系统 |
WO2021174693A1 (zh) * | 2020-03-05 | 2021-09-10 | 平安科技(深圳)有限公司 | 一种数据分析方法、装置、计算机系统及可读存储介质 |
US20210314338A1 (en) * | 2020-04-03 | 2021-10-07 | Zscaler, Inc. | Network exposure detection and security assessment tool |
CN114268446A (zh) * | 2020-09-15 | 2022-04-01 | 中国电信股份有限公司 | 数据资产安全性评估方法、装置以及存储介质 |
US20220103592A1 (en) * | 2020-09-30 | 2022-03-31 | Forescout Technologies, Inc. | Enhanced risk assessment |
CN113472775A (zh) * | 2021-06-29 | 2021-10-01 | 深信服科技股份有限公司 | 一种暴露面确定方法、系统及存储介质 |
CN113824680A (zh) * | 2021-07-26 | 2021-12-21 | 北京墨云科技有限公司 | 一种网络安全分析方法、装置、计算机设备及存储介质 |
CN113489749A (zh) * | 2021-09-03 | 2021-10-08 | 北京华云安信息技术有限公司 | 网络资产安全画像的生成方法、装置、设备以及存储介质 |
CN114095218A (zh) * | 2021-11-05 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种资产漏洞管理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115086013B (zh) | 2024-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11683333B1 (en) | Cybersecurity and threat assessment platform for computing environments | |
US11308211B2 (en) | Security incident disposition predictions based on cognitive evaluation of security knowledge graphs | |
US11785040B2 (en) | Systems and methods for cyber security alert triage | |
US11012472B2 (en) | Security rule generation based on cognitive and industry analysis | |
US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
US8095984B2 (en) | Systems and methods of associating security vulnerabilities and assets | |
US9690937B1 (en) | Recommending a set of malicious activity detection rules in an automated, data-driven manner | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
KR102295654B1 (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
CN112422484B (zh) | 确定用于处理安全事件的剧本的方法、装置及存储介质 | |
US11533325B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
US20150213272A1 (en) | Conjoint vulnerability identifiers | |
US11811811B1 (en) | File scanner to detect malicious electronic files | |
US20200028857A1 (en) | Systems and Methods for Reporting Computer Security Incidents | |
CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
US12050696B2 (en) | Agent-based vulnerability management | |
US20240098105A1 (en) | Tactics, techniques, and procedures (ttp) based threat hunting | |
US11991193B2 (en) | Relationship-based conversion of cyber threat data into a narrative-like format | |
CN115086013A (zh) | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 | |
US12086261B2 (en) | Displaying cyber threat data in a narrative-like format | |
Aldea et al. | Software vulnerabilities integrated management system | |
CN116074029A (zh) | 风险预测信息确定方法、装置、电子设备及存储介质 | |
US20240223590A1 (en) | Systems and methods for cyber risk assessment for computing systems | |
US20230362017A1 (en) | Cryptographic inventory system | |
WO2024093872A1 (en) | Auto-detection of observables and auto-disposition of alerts in an endpoint detection and response (edr) system using machine learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |