CN115208601A - 一种主动防御恶意扫描的方法及系统 - Google Patents
一种主动防御恶意扫描的方法及系统 Download PDFInfo
- Publication number
- CN115208601A CN115208601A CN202111096657.9A CN202111096657A CN115208601A CN 115208601 A CN115208601 A CN 115208601A CN 202111096657 A CN202111096657 A CN 202111096657A CN 115208601 A CN115208601 A CN 115208601A
- Authority
- CN
- China
- Prior art keywords
- defense
- login
- source address
- data
- malicious scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000007123 defense Effects 0.000 claims abstract description 143
- 238000004458 analytical method Methods 0.000 claims abstract description 22
- 238000012544 monitoring process Methods 0.000 claims abstract description 16
- 230000002265 prevention Effects 0.000 claims abstract description 10
- 238000005516 engineering process Methods 0.000 claims description 11
- 238000004519 manufacturing process Methods 0.000 claims description 8
- 238000007726 management method Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 238000013500 data storage Methods 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000013480 data collection Methods 0.000 claims description 3
- 238000013075 data extraction Methods 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 238000009826 distribution Methods 0.000 claims description 2
- 239000003607 modifier Substances 0.000 claims description 2
- 230000006399 behavior Effects 0.000 abstract description 49
- 230000000875 corresponding effect Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000008260 defense mechanism Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000007717 exclusion Effects 0.000 description 2
- 210000003128 head Anatomy 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种主动防御恶意扫描的方法及系统,所述方法包括:收集来自IPS和商户前台系统的用户行为日志数据,并存储至数据仓库ODS层;对存储的用户行为日志数据进行分析,分析其恶意扫描规律;针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略;根据制定的所述防御策略,将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中;将恶意扫描IP黑名单应用于防火墙,在恶意扫描IP黑名单之内的IP禁止访问;输出IPS的监控数据,根据监控数据所获得的防御结果调整并优化所述防御策略。本申请可以精准、及时地区分正常使用行为和恶意扫描行为,并对恶意扫描行为进行主动防御。
Description
技术领域
本发明涉及互联网风险控制领域,尤其涉及一种主动防御恶意扫描的方法及系统。
背景技术
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,例如,网上购物、商业贸易、金融财务等。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨人员的攻击。
在众多的恶意网络攻击当中,网际互连协议(Internet Protocol,IP)扫描是最普遍的一种攻击途径,在互联网世界中,每天都有百万以上的IP在不断扫描公网IP,用以发现漏洞并尝试入侵。目前恶意扫描和正常访问的界线没有那么清晰,不法分子会通过模拟普通用户的正常使用行为去进行恶意扫描。
主动防御技术是网络安全领域的一门新兴技术,就是在入侵行为对网络或系统造成危害之前,识别可疑威胁行为,以便及时进行网络隔离或流量诱捕。近几年,网络空间的主动防御技术成为越来越重要的研究课题。
因此,如何精准、及时地区分正常使用行为和恶意扫描行为,并对恶意扫描行为进行主动防御,是本领域技术人员所面对的技术问题。
发明内容
本发明的目的在于提供一种主动防御恶意扫描的方法及系统,以解决上述技术背景中提出的问题。
为实现上述目的,本发明采用以下技术方案:
本申请第一个方面提供了一种主动防御恶意扫描的方法,包括:
A1,收集来自IPS(入侵防御系统)和商户前台系统的用户行为日志数据,并存储至数据仓库ODS层;
A2,对数据仓库ODS层存储的用户行为日志数据进行分析,分析其恶意扫描规律;针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,所述防御策略由规则组组成;
A3,根据制定的所述防御策略,将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中;
A4,将恶意扫描IP黑名单应用于防火墙,在恶意扫描IP黑名单之内的IP 禁止访问;
A5,输出IPS的监控数据,根据监控数据所获得的防御结果调整并优化步骤A2中制定的所述防御策略。
优选地,所述步骤A1具体包括:
从生产机房IPS(入侵防御系统)确定所需收集的日志数据,该日志数据存储在ES数据库中,所述ES数据库中存储的数据字段,包括IPS主机地址、危险等级、协议、事件描述、源地址IP、源端口、目的地址IP、目的端口、发生时间中的一种或几种;以及
从商户前台系统确定所需收集的登录日志数据,该登录日志数据存储在 mongoDB数据库中,所述mongoDB数据库中存储的数据字段,包括登录源地址IP、登录时间、登录用户名、登录结果、登录备注中的一种或多种;
从生产机房IPS的ES数据库读取所需收集的日志数据,从商户前台系统的mongoDB数据库读取所需收集的登录日志数据,使用数据仓库预设的抽取任务和预先配置的调度任务,将所需数据写入数据仓库ODS层中;其中,所需数据包含历史数据和实时数据。
更优选地,所述使用数据仓库预设的抽取任务和预先配置的调度任务获取所需数据,包括:
读取任务;
获取所述任务的触发时间条件;
根据触发时间条件中的数据调度时间进行计时,当到达调度周期时,执行数据抽取;
其中,所述数据调度时间包括调度周期,所述调度周期以月、周、日、时、分或秒为单位设置。
优选地,步骤A2中,所述对数据仓库ODS层存储的用户行为日志数据进行分析,具体包括:
观察数据仓库ODS层的IPS的日志样本数据,根据防御事件的危害等级、源地址IP对应的防御事件种类、防御频率关键特征来分析恶意扫描规律;以及
观察数据仓库ODS层的商户前台系统的登录日志样本数据,根据登录用户名的合规性、登录失败的频次来分析恶意扫描规律。
优选地,步骤A2中,所述针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,具体包括:
针对IPS的分析规律制定第一防御策略,所述第一防御策略包括:
1)不管防御事件的危害等级,一旦满足N小时内,源地址IP对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上非预设的IP白名单中的 IP,立即将源地址IP加入恶意扫描IP黑名单;
2)不管防御事件的危害等级,一旦满足N小时内,源地址IP对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上是预设的IP白名单中的 IP,则邮件短信告警至预先确定的终端;
3)针对高危害等级的防御事件,一旦满足N小时内,源地址IP对应的防御事件的防御次数大于等于N2次,且该源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
4)针对高危害等级的防御事件,一旦满足N小时内,源地址IP对应的防御事件的防御次数大于等于N2次,且该源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
针对商户前台系统登录的分析规律制定第二防御策略,所述第二防御策略包括:
1)针对高危害等级的恶意扫描,一旦满足N小时内,登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼,且该登录源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
2)针对高危害等级的恶意扫描,一旦满足N小时内,登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼,且该登录源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
3)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,且该登录源地址IP历史上尚未成功登录过,且该登录源地址IP历史上非预设的IP 白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
4)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,且该登录源地址IP历史上有成功登录的记录,但近N4个月未成功登录过,且该登录源地址IP近N4个月非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
5)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
其中,所述N、N1、N2、N3和N4,均为大于等于1的自然数。
优选地,所述步骤A3具体包括:
在数据仓库DW层创建恶意扫描IP黑名单的列表,该列表包括的字段包括序号、黑名单IP、IP状态、是否列入白名单、IP应用状态、创建人、创建事件、修改人、修改时间中的任意一种或多种;
将步骤A2制定的防御策略,使用使用数据仓库的转换加载任务流程和调度任务配置技术,输出到数据仓库DW层的恶意扫描IP黑名单的列表中;
其中,所述IP状态包括:启用和禁用;
所述IP应用状态包括:拉黑状态、解封状态和永久拉黑状态,所述拉黑状态表示该IP添加至防火墙,所述解封状态表示该IP移除防火墙,所述永久拉黑状态表示该IP添加至防火墙且永不移除。
优选地,所述步骤A4具体包括:
B1,定时获取恶意扫描IP黑名单;
B2,判断恶意扫描IP黑名单中的IP是否是预设的IP白名单中的IP,若是,则不加入防火墙,结束流程;否则,执行步骤B3;
B3,判断该IP被拉黑的次数(即加入防火墙的次数)是否小于等于N次,若是,执行步骤B4;否则,执行步骤B5;
B4,该IP在超过N1小时后进行解封,移除防火墙,结束流程;
B5,将该IP永久加入防火墙,结束流程。
优选地,所述步骤A5具体包括:
输出IPS的黑名单IP的监控报表,根据报表结果调整并优化所述防御策略;
输出IPS防御攻击类型事件的监控报表,根据报表结果调整并优化所述防御策略。
本申请第二个方面提供了一种主动防御恶意扫描的系统,包括:
日志数据收集存储模块,用于收集来自IPS和商户前台系统的用户行为日志数据,并存储至数据仓库ODS层;
防御策略管理模块,用于对数据仓库ODS层存储的用户行为日志数据进行分析,分析其恶意扫描规律,并针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,所述防御策略由规则组组成;
恶意扫描IP黑名单输出模块,用于根据制定的所述防御策略,将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中;
主动防御模块,用于将恶意扫描IP黑名单应用于防火墙,在恶意扫描IP黑名单之内的IP禁止访问;
防御策略优化模块,用于根据IPS的监控数据所获得的防御结果调整并优化防御策略管理模块中制定的防御策略。
本申请第三个方面还提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的主动防御恶意扫描的方法。
本申请第四个方面还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的主动防御恶意扫描的方法。
与现有技术相比,本发明的技术方案具有以下有益效果:
本发明是通过收集用户行为日志,数据分析规律获取恶意扫描行为并制定防御策略,使用数据仓库技术将恶意扫描策略结果自动同步至数据应用层,以达到主动并且自动防御恶意扫描行为。本发明具有以下特点:1)整个防御策略配置中有IP白名单表,以防止信息安全工程师测试误中策略导致生产事故。该IP白名单包括:公司机房IP,公司办公IP,公司办公测试IP等,一旦防御策略输出恶意扫描黑名单IP中含IP白名单中的IP,则该IP不进入恶意扫描黑名单IP的列表。2)整个防御应用中,防御机制比较灵活,既有针对恶意扫描行为的用户永久拉黑机制,也有针对非恶意扫描行为误中防御策略的解封机制。本发明可以精准、及时地区分正常使用行为和恶意扫描行为,并对恶意扫描行为进行主动防御,将任何有损信息安全的苗头扼杀在萌芽状态。
附图说明
构成本申请的一部分附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本发明实施例一中的一种主动防御恶意扫描的方法的原理图;
图2是本发明实施例一中收集用户行为数据并进行存储的实现流程图;
图3是本发明实施例一中调度任务配置的示例图;
图4是本发明实施例一中数据仓库ODS层的IPS存储的部分日志样本数据示例图;
图5是本发明实施例一中将防御策略使用数据仓库的转换加载任务流程+调度任务配置技术输出到数据仓库DW层的实现流程图;
图6是本发明实施例一中将恶意扫描IP黑名单应用于防火墙,使该IP禁止访问的流程示意图;
图7是本发明实施例一中IPS输出的黑名单IP监控报表示例图;
图8是本发明实施例二的一种主动防御恶意扫描的系统的结构框图;
图9是本发明实验结果中恶意扫描IP黑名单在防御前和防御后的IP数量变化图;
图10是本发明实验结果中IPS防御次数在防御前和防御后的数量变化图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序,应该理解这样使用的数据在适当情况下可以互换。此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一:
本发明一种主动防御恶意扫描的方法,如图1所示的原理图,其具体实现过程一共包括五个阶段:
阶段一:收集用户行为日志数据并进行存储。
参阅图2,其具体步骤包括:
1)从生产机房IPS(入侵防御系统)确定所需收集的日志数据,该日志数据存储在ES数据库中,存储的数据字段包括IPS主机地址、危险等级、协议、事件描述、源地址IP、源端口、目的地址IP、目的端口、发生时间中的一种或几种。
其中,IPS(入侵防御系统,Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, ApplicationGateway)的补充。IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。ES数据库,是非关系型数据库,是一个接近实时的搜索平台。
2)从商户前台系统确定所需收集的登录日志数据,该登录日志数据存储在mongoDB数据库中,存储的数据字段包括登录源地址IP、登录时间、登录用户名、登录结果、登录备注中的一种或多种。其中,mongoDB数据库,是基于分布式文件存储的数据库。
3)从生产机房IPS的ES数据库读取所需收集的日志数据,从商户前台系统的mongoDB数据库读取所需收集的登录日志数据,使用数据仓库预设的抽取任务和预先配置的调度任务,将所需数据写入数据仓库ODS层(mysql数据库) 中。其中,所需数据包含历史数据和实时数据。
上述的ODS(Operational Data Store),是一种数据存储系统,它将来自不同数据源的数据(各种操作型数据库、外部数据源等)通过ETL过程汇聚整合成面向主题的、集成的、企业全局的、一致的数据集合(主要是最新的或者最近的细节数据以及可能需要的汇总数据),用于满足企业准实时的OLAP操作和企业全局的OLTP操作,并为数据仓库提供集成后的数据,将数据仓库系统中的 ETL过程下沉到ODS中完成以减轻数据仓库的压力。
上述的数据仓库ODS层,用于存放原始数据,保持数据原貌不做处理。
上述的调度任务配置,用于控制任务的启动运行(启动时间、运行周期及触发条件),实现数据的传输转换操作。
调度任务配置的示例图如图3所示。该示例中,先设定任务标识,然后设定该任务标识的触发时间条件,该触发时间条件中包含有数据调度时间,例如:每日凌晨1点触发,每月1日凌晨2点触发等。数据调度时间中包括调度周期,所述调度周期以月、周、日、时、分或秒为单位设置。配置好任务调度后,各任务会按照预设的调度时间进行触发,即:先读取任务标识,获取该任务标识对应的触发时间条件,然后根据触发时间条件中的数据调度时间进行计时,当到达调度周期时,自动执行数据抽取。
阶段二:分析用户行为日志数据并制定防御策略。
步骤S1:对数据仓库ODS层存储的用户行为日志数据进行分析,获取恶意扫描行为。其具体步骤如下:
1)观察数据仓库ODS层的IPS的部分日志样本数据(参阅图4),从防御事件的危害等级、源地址IP对应的防御事件种类、防御频率等方向分析恶意扫描规律;
2)观察数据仓库ODS层的商户前台系统的部分登录日志样本数据,从登录用户名的合规性、登录失败的频次等方向分析恶意扫描规律。
步骤S2:针对IPS的分析规律制定第一防御策略,所述第一防御策略包括:
1)不管防御事件的危害等级,一旦满足N小时内,源地址IP(排除局域网IP:172和192开头的)对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
2)不管防御事件的危害等级,一旦满足N小时内,源地址IP(排除局域网 IP:172和192开头的)对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至运营专员处理;
3)针对高危害等级的防御事件,一旦满足N小时内,源地址IP(排除局域网IP:172和192开头的)对应的防御事件的防御次数大于等于N2次,且该源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
4)针对高危害等级的防御事件,一旦满足N小时内,源地址IP(排除局域网IP:172和192开头的)对应的防御事件的防御次数大于等于N2次,且该源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至运营专员处理。
步骤S3:针对商户前台系统登录的分析规律制定第二防御策略,所述第二防御策略包括:
1)针对高危害等级的恶意扫描,一旦满足N小时内,登录源地址IP对应的登录用户名或登录备注字段一旦出现黑客组织字眼,且该登录源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
2)针对高危害等级的恶意扫描,一旦满足N小时内,登录源地址IP对应的登录用户名或登录备注字段一旦出现黑客组织字眼,且该登录源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至运营专员处理;
3)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,且该登录源地址IP历史上尚未成功登录过,且该登录源地址IP历史上非预设的IP 白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
4)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,且该登录源地址IP历史上有成功登录的记录,但近N4个月未成功登录过,且该登录源地址IP近N4个月非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
5)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP,则邮件短信告警至运营专员处理。
上述防御规则中的N、N1、N2、N3和N4,均为大于等于1的自然数。
阶段三:使用数据仓库技术并精准输出恶意扫描IP黑名单。
其具体步骤包括:
1)在数据仓库DW层创建恶意扫描IP黑名单的列表,详见表1。
表1,
2)将阶段二的防御策略使用数据仓库的转换加载任务流程+调度任务配置技术(参阅图5),输出到数据仓库DW层的恶意扫描IP黑名单的列表中。输出结果有:黑名单IP(防御策略得出)、state(默认启用)、white_list(默认黑名单状态)、apply_state(默认初始化状态)、create_by(IPS或商户前台系统) 和create_at(当前时间)。
3)针对数据仓库的转换加载任务流程+调度任务配置技术任务难点,主要在SQL撰写拼接上。以下是其中某策略SQL解决方案示例:
策略:不管防御事件的危害等级,一旦满足N小时内,源地址IP(排除局域网IP:172和192开头的)对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上非预设的IP白名单(商户业务IP表)中的IP,立即将源地址 IP加入恶意扫描IP黑名单。
该策略及对应的SQL分解如下:
(a)N小时内:
select*from IPS表where时间>=date_sub(now(),interval N hour)
(b)源地址排除局域网IP:172和192开头的:
select*from IPS表where源地址IP not like‘192%’and源地址IP not like‘172%’
(c)防御事件类型的次数大于等于N1次:
select源地址IP from(
select源地址IP,count(distinct防御事件)防御事件类型次数
from IPS表
where时间>=date_sub(now(),interval N hour)
and源地址IP not like‘192%’and源地址IP not like‘172%’
group by源地址IP
)表
where防御事件类型次数>=N1
(d)该源地址IP历史上非预设的IP白名单(商户业务IP表)中的业务IP:
select业务IP from商户业务IP表
将以上分解策略及SQL拼接如下:
select
/**表1.源地址IP去重**/
distinct表1.源地址IP
from IPS表as表1
left join(
/**查询防御事件类型的次数大于等于N1次的源地址IP**/
select源地址IP from(
/**查询源地址IP出现的防御事件类型的次数**/
select源地址IP,count(distinct防御事件)防御事件类型次数
from IPS表
where时间>=date_sub(now(),interval N hour)
and源地址IP not like‘192%’and源地址IP not like‘172%’
group by源地址IP)表where防御事件类型次数>=N1
)表2on表1.源地址IP=表2.源地址IP left join(
/**查询商户业务IP**/
select业务IP from商户业务IP表
)表3on表1.源地址IP=表3.源地址IP where/**表示N小时内**/
表1.时间>=date_sub(now(),interval N hour)
/**表示排除局域网IP:172和192开头的**/
and表1.源地址IP not like‘192%’and表1.源地址IP not like‘172%’
/**表2.源地址IP非空,表示能关联到,即该源地址IP防御事件类型的次数大于等于N1次**/
and表2.源地址IP is not null
/**表3.业务IP空,表示不能关联到,即该源地址IP历史上非预设的商户业务IP**/
and表3.业务IP is null
其余的防御策略,均按该SQL解决方案进行类似处理。
阶段四:将恶意扫描IP黑名单应用于防火墙,使恶意扫描IP黑名单之内的 IP禁止访问。
参阅图6所示,其具体步骤包括:
B1,使用JAVA程序定时获取获取黑名单初始化IP;
B2,判断初始化IP是否为预设的IP白名单中的IP(配置IP白名单表,在该表中的IP,如若同时也在恶意扫描IP黑名单中,不应用于防火墙),如果是,则不加入防火墙,结束流程;否则,执行步骤B3;
B3,判断该IP被拉黑的次数(即加入防火墙的次数)是否小于等于N次,若是,执行步骤B4;否则,执行步骤B5;
B4,该IP在超过N1小时后进行解封(即移除防火墙),结束流程;
B5,将IP加入防火墙,永不解封(即永不移除防火墙),结束流程。
阶段五:输出防御成果报表,并反馈至第二个阶段优化防御策略。
其具体步骤包括:
1)输出IPS黑名单IP监控报表(参阅图7),根据报表结果调整并优化防御策略;
2)输出IPS防御攻击类型事件监控报表,根据报表结果调整并优化防御策略(调整防御危害等级高的事件类型)。
实施例二:
参阅图8所示,本实施例提供了一种主动防御恶意扫描的系统,包括:
日志数据收集存储模块100,用于收集来自IPS和商户前台系统的用户行为日志数据,并存储至数据仓库ODS层;
防御策略管理模块200,用于对数据仓库ODS层存储的用户行为日志数据进行分析,分析其恶意扫描规律,并针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,所述防御策略由规则组组成;
恶意扫描IP黑名单输出模块300,用于根据制定的所述防御策略,输出恶意扫描IP黑名单;
主动防御模块400,用于将恶意扫描IP黑名单应用于防火墙,在恶意扫描 IP黑名单之内的IP禁止访问;
防御策略优化模块500,用于根据IPS的监控数据所获得的防御结果调整并优化防御策略管理模块200中的防御策略。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上所述的主动防御恶意扫描的方法的步骤。
由于电子设备部分的实施例与主动防御恶意扫描的方法部分的实施例相互对应,因此电子设备部分的实施例请参见主动防御恶意扫描的方法部分的实施例的描述,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上所述的主动防御恶意扫描的方法的步骤。
由于计算机可读存储介质部分的实施例与主动防御恶意扫描的方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见主动防御恶意扫描的方法部分的实施例的描述,这里不再赘述。
实验结果:
本发明精准、实时、有效地防御了不法分子的恶意扫描行为,从系统上线之后,效果非常显著。
图9是恶意扫描IP黑名单中的IP数量的变化图,左侧为防御前的效果,右侧为防御后的效果。由图9可见,恶意扫描IP黑名单中的IP数量由每天的数十个变成每天几个,采取了主动防御后的黑名单IP的数量显著减少。
图10是IPS防御次数的数量变化图,左侧为防御前的效果,右侧为防御后的效果。IPS防御次数也由每天的数千次变成每天数百次,采取了主动防御后的 IPS防御次数显著减少。
综上所述,本发明是通过收集用户行为日志,数据分析规律获取恶意扫描行为并制定防御策略,使用数据仓库技术将恶意扫描策略结果自动同步至数据应用层,以达到主动并且自动防御恶意扫描行为。本发明具有以下特点:1)整个防御策略配置中有IP白名单表,以防止信息安全工程师测试误中策略导致生产事故。该IP白名单包括:公司机房IP,公司办公IP,公司办公测试IP等,一旦防御策略输出恶意扫描黑名单IP中含IP白名单中的IP,则该IP不进入恶意扫描黑名单IP的列表。2)整个防御应用中,防御机制比较灵活,既有针对恶意扫描行为的用户永久拉黑机制,也有针对非恶意扫描行为误中防御策略的解封机制。本发明可以精准、及时地区分正常使用行为和恶意扫描行为,并对恶意扫描行为进行主动防御,将任何有损信息安全的苗头扼杀在萌芽状态。
以上对本发明的具体实施例进行了详细描述,但其只是作为范例,本发明并不限制于以上描述的具体实施例。对于本领域技术人员而言,任何对本发明进行的等同修改和替代也都在本发明的范畴之中。因此,在不脱离本发明的精神和范围下所作的均等变换和修改,都应涵盖在本发明的范围内。
Claims (9)
1.一种主动防御恶意扫描的方法,其特征在于,包括:
A1,收集来自IPS和商户前台系统的用户行为日志数据,并存储至数据仓库ODS层;
A2,对数据仓库ODS层存储的用户行为日志数据进行分析,分析其恶意扫描规律;针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,所述防御策略由规则组组成;
A3,根据制定的所述防御策略,将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中;
A4,将恶意扫描IP黑名单应用于防火墙,在恶意扫描IP黑名单之内的IP禁止访问;
A5,输出IPS的监控数据,根据监控数据所获得的防御结果调整并优化步骤A2中制定的所述防御策略。
2.根据权利要求1所述的一种主动防御恶意扫描的方法,其特征在于,所述步骤A1具体包括:
从生产机房IPS确定所需收集的日志数据,该日志数据存储在ES数据库中,所述ES数据库中存储的数据字段,包括IPS主机地址、危险等级、协议、事件描述、源地址IP、源端口、目的地址IP、目的端口、发生时间中的一种或几种;以及
从商户前台系统确定所需收集的登录日志数据,该登录日志数据存储在mongoDB数据库中,所述mongoDB数据库中存储的数据字段,包括登录源地址IP、登录时间、登录用户名、登录结果、登录备注中的一种或多种;
从生产机房IPS的ES数据库读取所需收集的日志数据,从商户前台系统的mongoDB数据库读取所需收集的登录日志数据,使用数据仓库预设的抽取任务和预先配置的调度任务,将所需数据写入数据仓库ODS层中;其中,所需数据包含历史数据和实时数据。
3.根据权利要求2所述的一种主动防御恶意扫描的方法,其特征在于,所述使用数据仓库预设的抽取任务和预先配置的调度任务获取所需数据,包括:
读取任务;
获取所述任务的触发时间条件;
根据触发时间条件中的数据调度时间进行计时,当到达调度周期时,执行数据抽取;
其中,所述数据调度时间包括调度周期,所述调度周期以月、周、日、时、分或秒为单位设置。
4.根据权利要求1所述的一种主动防御恶意扫描的方法,其特征在于,步骤A2中,所述对数据仓库ODS层存储的用户行为日志数据进行分析,具体包括:
观察数据仓库ODS层的IPS的日志样本数据,根据防御事件的危害等级、源地址IP对应的防御事件种类、防御频率关键特征来分析恶意扫描规律;以及
观察数据仓库ODS层的商户前台系统的登录日志样本数据,根据登录用户名的合规性、登录失败的频次来分析恶意扫描规律。
5.根据权利要求1所述的一种主动防御恶意扫描的方法,其特征在于,步骤A2中,所述针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,具体包括:
针对IPS的分析规律制定第一防御策略,所述第一防御策略包括:
1)不管防御事件的危害等级,一旦满足N小时内,源地址IP对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
2)不管防御事件的危害等级,一旦满足N小时内,源地址IP对应的防御事件类型的次数大于等于N1次,且该源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
3)针对高危害等级的防御事件,一旦满足N小时内,源地址IP对应的防御事件的防御次数大于等于N2次,且该源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
4)针对高危害等级的防御事件,一旦满足N小时内,源地址IP对应的防御事件的防御次数大于等于N2次,且该源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
针对商户前台系统登录的分析规律制定第二防御策略,所述第二防御策略包括:
1)针对高危害等级的恶意扫描,一旦满足N小时内,登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼,且该登录源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
2)针对高危害等级的恶意扫描,一旦满足N小时内,登录源地址IP对应的登录用户名或登录备注字段出现黑客组织字眼,且该登录源地址IP历史上是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
3)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,且该登录源地址IP历史上尚未成功登录过,且该登录源地址IP历史上非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
4)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,且该登录源地址IP历史上有成功登录的记录,但近N4个月未成功登录过,且该登录源地址IP近N4个月非预设的IP白名单中的IP,立即将源地址IP加入恶意扫描IP黑名单;
5)不管恶意扫描危害等级,一旦满足N小时内,登录源地址IP对应的登录用户名规则明显与预设的登录用户名规则不同,登录失败次数超过N3次,但该登录源地址IP近N4个月有成功登录的记录或该登录源地址IP近N4个月是预设的IP白名单中的IP,则邮件短信告警至预先确定的终端;
其中,所述N、N1、N2、N3和N4,均为大于等于1的自然数。
6.根据权利要求1所述的一种主动防御恶意扫描的方法,其特征在于,所述步骤A3具体包括:
在数据仓库DW层创建恶意扫描IP黑名单的列表,该列表包括的字段包括序号、黑名单IP、IP状态、是否列入白名单、IP应用状态、创建人、创建事件、修改人、修改时间中的任意一种或多种;
将步骤A2制定的防御策略,使用使用数据仓库的转换加载任务流程和调度任务配置技术,输出到数据仓库DW层的恶意扫描IP黑名单的列表中;
其中,所述IP状态包括:启用和禁用;
所述IP应用状态包括:拉黑状态、解封状态和永久拉黑状态,所述拉黑状态表示该IP添加至防火墙,所述解封状态表示该IP移除防火墙,所述永久拉黑状态表示该IP添加至防火墙且永不移除。
7.根据权利要求1所述的一种主动防御恶意扫描的方法,其特征在于,所述步骤A4具体包括:
B1,定时获取恶意扫描IP黑名单;
B2,判断恶意扫描IP黑名单中的IP是否是预设的IP白名单中的IP,若是,则不加入防火墙,结束流程;否则,执行步骤B3;
B3,判断该IP加入防火墙的次数是否小于等于N次,若是,执行步骤B4;否则,执行步骤B5;
B4,该IP在超过N1小时后进行解封,移除防火墙,结束流程;
B5,将该IP永久加入防火墙,结束流程。
8.根据权利要求1所述的一种主动防御恶意扫描的方法,其特征在于,所述步骤A5具体包括:
输出IPS的黑名单IP的监控报表,根据报表结果调整并优化所述防御策略;
输出IPS防御攻击类型事件的监控报表,根据报表结果调整并优化所述防御策略。
9.一种主动防御恶意扫描的系统,其特征在于,包括:
日志数据收集存储模块,用于收集来自IPS和商户前台系统的用户行为日志数据,并存储至数据仓库ODS层;
防御策略管理模块,用于对数据仓库ODS层存储的用户行为日志数据进行分析,分析其恶意扫描规律,并针对IPS的分析规律、以及商户前台系统登录的分析规律分别制定防御策略,所述防御策略由规则组组成;
恶意扫描IP黑名单输出模块,用于根据制定的所述防御策略,将可疑IP的信息输出至数据仓库DW层创建的恶意扫描IP黑名单的列表中;
主动防御模块,用于将恶意扫描IP黑名单应用于防火墙,在恶意扫描IP黑名单之内的IP禁止访问;
防御策略优化模块,用于根据IPS的监控数据所获得的防御结果调整并优化防御策略管理模块中制定的防御策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111096657.9A CN115208601B (zh) | 2021-09-18 | 2021-09-18 | 一种主动防御恶意扫描的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111096657.9A CN115208601B (zh) | 2021-09-18 | 2021-09-18 | 一种主动防御恶意扫描的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208601A true CN115208601A (zh) | 2022-10-18 |
| CN115208601B CN115208601B (zh) | 2024-02-06 |
Family
ID=83574250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111096657.9A Active CN115208601B (zh) | 2021-09-18 | 2021-09-18 | 一种主动防御恶意扫描的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208601B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115766225A (zh) * | 2022-11-16 | 2023-03-07 | 四川新网银行股份有限公司 | 基于蜜罐诱捕攻击行为分析的自动化防御方法和系统 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100656351B1 (ko) * | 2005-09-12 | 2006-12-11 | 한국전자통신연구원 | 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치 |
| US20080295169A1 (en) * | 2007-05-25 | 2008-11-27 | Crume Jeffery L | Detecting and defending against man-in-the-middle attacks |
| CN101986324A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于恶意软件检测的事件的异步处理 |
| US20120240185A1 (en) * | 2000-09-25 | 2012-09-20 | Harsh Kapoor | Systems and methods for processing data flows |
| CN103475637A (zh) * | 2013-04-24 | 2013-12-25 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
| CN105323206A (zh) * | 2014-06-04 | 2016-02-10 | 同程网络科技股份有限公司 | Ip防御方法 |
| CN106453397A (zh) * | 2016-11-18 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种通过分析大数据自动识别网络抢票及入侵的方法 |
| CN106534114A (zh) * | 2016-11-10 | 2017-03-22 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击系统 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| US10009358B1 (en) * | 2014-02-11 | 2018-06-26 | DataVisor Inc. | Graph based framework for detecting malicious or compromised accounts |
| WO2018112878A1 (zh) * | 2016-12-23 | 2018-06-28 | 深圳投之家金融信息服务有限公司 | 一种基于令牌机制的检测和防御cc攻击的系统和方法 |
| CN110866246A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码攻击的检测方法、装置及电子设备 |
| CN111030981A (zh) * | 2019-08-13 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种阻断恶意文件持续攻击的方法、系统及存储设备 |
| KR102132936B1 (ko) * | 2019-11-26 | 2020-07-13 | 주식회사 한메가 | 고객 맞춤형 금융거래 서비스 운영 방법 |
| CN112511546A (zh) * | 2020-12-03 | 2021-03-16 | 广州万方计算机科技有限公司 | 基于日志分析的漏洞扫描方法、装置、设备和存储介质 |
| CN112861119A (zh) * | 2019-11-27 | 2021-05-28 | 郭东林 | 一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统 |
-
2021
- 2021-09-18 CN CN202111096657.9A patent/CN115208601B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120240185A1 (en) * | 2000-09-25 | 2012-09-20 | Harsh Kapoor | Systems and methods for processing data flows |
| KR100656351B1 (ko) * | 2005-09-12 | 2006-12-11 | 한국전자통신연구원 | 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치 |
| US20080295169A1 (en) * | 2007-05-25 | 2008-11-27 | Crume Jeffery L | Detecting and defending against man-in-the-middle attacks |
| CN101986324A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于恶意软件检测的事件的异步处理 |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN103475637A (zh) * | 2013-04-24 | 2013-12-25 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
| US10009358B1 (en) * | 2014-02-11 | 2018-06-26 | DataVisor Inc. | Graph based framework for detecting malicious or compromised accounts |
| CN105323206A (zh) * | 2014-06-04 | 2016-02-10 | 同程网络科技股份有限公司 | Ip防御方法 |
| CN106534114A (zh) * | 2016-11-10 | 2017-03-22 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击系统 |
| CN106453397A (zh) * | 2016-11-18 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种通过分析大数据自动识别网络抢票及入侵的方法 |
| WO2018112878A1 (zh) * | 2016-12-23 | 2018-06-28 | 深圳投之家金融信息服务有限公司 | 一种基于令牌机制的检测和防御cc攻击的系统和方法 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN110866246A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码攻击的检测方法、装置及电子设备 |
| CN111030981A (zh) * | 2019-08-13 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种阻断恶意文件持续攻击的方法、系统及存储设备 |
| KR102132936B1 (ko) * | 2019-11-26 | 2020-07-13 | 주식회사 한메가 | 고객 맞춤형 금융거래 서비스 운영 방법 |
| CN112861119A (zh) * | 2019-11-27 | 2021-05-28 | 郭东林 | 一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统 |
| CN112511546A (zh) * | 2020-12-03 | 2021-03-16 | 广州万方计算机科技有限公司 | 基于日志分析的漏洞扫描方法、装置、设备和存储介质 |
Non-Patent Citations (6)
| Title |
|---|
| KÜBRA KALKAN; GÜRKAN GÜR; FATIH ALAGÖZ;: "SDNScore: A statistical defense mechanism against DDoS attacks in SDN environment", 2017 IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS (ISCC), pages 669 - 675 * |
| SHANG GAO; ZECHENG LI; BIN XIAO; GUIYI WEI: "Security Threats in the Data Plane of Software-Defined Networks", IEEE NETWORK, pages 108 - 113 * |
| 刘建臣;: "防御单包攻击", 网络安全和信息化, no. 09, pages 126 - 129 * |
| 孙丽娜: "计算机网络病毒防御系统开发中数据挖掘技术应用", 软件导刊, pages 166 - 169 * |
| 熊涛: "大数据在高校网络系统安全及防护中的应用分析", 现代信息技术, pages 144 - 146 * |
| 王文明;李海炜;: "SQL服务器注入攻击的主动防御技术研究", 计算机科学, no. 3, pages 16 - 20 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115766225A (zh) * | 2022-11-16 | 2023-03-07 | 四川新网银行股份有限公司 | 基于蜜罐诱捕攻击行为分析的自动化防御方法和系统 |
| CN115766225B (zh) * | 2022-11-16 | 2024-05-28 | 四川新网银行股份有限公司 | 基于蜜罐诱捕攻击行为分析的自动化防御方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208601B (zh) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
| CN113225349B (zh) | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| WO2015149062A1 (en) | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| US20220070185A1 (en) | Method for responding to threat transmitted through communication network | |
| US20170111391A1 (en) | Enhanced intrusion prevention system | |
| CN109962927B (zh) | 基于威胁情报的防攻击方法 | |
| JP2017211978A (ja) | 業務処理システム監視装置および監視方法 | |
| Bollinger et al. | Crafting the InfoSec playbook: security monitoring and incident response master plan | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| Shin et al. | Focusing on the weakest link: A similarity analysis on phishing campaigns based on the att&ck matrix | |
| Lopatina et al. | Data risks identification in healthcare sensor networks | |
| EP3414683B1 (en) | Comparison of behavioral populations for security and compliance monitoring | |
| CN114208114A (zh) | 每参与者的多视角安全上下文 | |
| CN115208601B (zh) | 一种主动防御恶意扫描的方法及系统 | |
| Miloslavskaya et al. | Taxonomy for unsecure big data processing in security operations centers | |
| US20220391500A1 (en) | Automated adjustment of security alert components in networked computing systems | |
| CN105978908A (zh) | 一种非实时信息网站安全保护方法和装置 | |
| CN108881929B (zh) | 一种设置直播间登录提示的方法和装置 | |
| Boggs et al. | Discovery of emergent malicious campaigns in cellular networks | |
| RU2514137C1 (ru) | Способ автоматической настройки средства безопасности | |
| US12026253B2 (en) | Determination of likely related security incidents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |