CN115514529B - 一种威胁情报数据处理方法、设备及存储设备 - Google Patents
一种威胁情报数据处理方法、设备及存储设备 Download PDFInfo
- Publication number
- CN115514529B CN115514529B CN202211016961.2A CN202211016961A CN115514529B CN 115514529 B CN115514529 B CN 115514529B CN 202211016961 A CN202211016961 A CN 202211016961A CN 115514529 B CN115514529 B CN 115514529B
- Authority
- CN
- China
- Prior art keywords
- threat information
- threat
- data
- sdk
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种威胁情报数据处理方法、设备及存储设备,包括以下步骤:获取威胁情报数据;按威胁情报的不同维度属性,对威胁情报进行分类筛选,得到筛选后的威胁情报;对筛选后的威胁情报进行数据压缩和数据转换,得到SDK威胁情报工具包;将SDK威胁情报工具包加载于内存,并利用SDK威胁情报工具包进行实时数据检测,得到检测结果;将检测结果保存至本地威胁情报库;利用本地威胁情报库和SDK威胁情报包,进行威胁情报实时预测。本发明有益效果是:提升了利用威胁情报进行攻击检测的效率、建设成本低、降低了外部数据调用风险、提高了威胁情报数据的重复利用和溯源分析能力。
Description
技术领域
本发明涉及网络安全数据处理领域,尤其涉及一种威胁情报数据处理方法。
背景技术
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
在网络安全行业,常说的威胁情报可以认为是一种用于识别和检测威胁的失陷标识,如IP、域名、URL、HASH等已知攻击特征,以及相关的归属标签。
传统网络安全防护手段通过部署防火墙、入侵检测系统等安全产品,配置相应访问控制策略和审计策略,对网络安全状况进行监测。这种防护模式能抵御一定的网络安全攻击,但仍具有滞后性,事件处理效果受限于安全设备对安全事件的识别能力。
现今网络攻防环境愈发复杂,威胁情报现在作为一种弥补攻防信息不对称的安全技术逐渐得到了广泛的认识,基于威胁情报的攻击检测和防御手段被许多企业应用于自身网络安全建设。
当前对于威胁情报数据的处理方式主要包括两种:
1、建立云端威胁情报平台,将各类威胁情报数据存储于云端平台进行统一管理。云端威胁情报平台通过提供标准接口,将威胁情报数据开放给不同使用方。不同企事业单位等网络安全建设的需求方,通过本地建设的各类网络安全系统与云端威胁情报平台进行对接,按需读取威胁情报数据进行攻击检测和防御。
这种方案的好处是只需要建设一套云端威胁情报系统,各个威胁情报数据的使用方只需通过读取云端威胁情报即可,无需各自在本地建设一套威胁情报系统,大大降低了威胁情报的建设和运营成本。但存在的问题是云端威胁情报平台大多部署于公有云平台,相对企业内网部署和建设的各类网络安全系统来说,一般需要开放外网访问权限才能够访问和使用威胁情报数据,这无疑给企业内部网络带来了风险和隐患。此外,这种从云端读取威胁情报进行攻击检测的方式效率较低,无法满足网络攻击检测的实时性需求,更多的时候是作为一种离线分析和的调查取证的手段。
2、建立本地威胁情报系统,将威胁情报数据存储于本地威胁情报数据库,在本地进行管理和维护。此时威胁情报数据均存储于本地内网环境,本地各类网络安全系统直接读取内网威胁情报,在需要进行网络行为特征的检测或安全验证时实时读取威胁情报进行匹配分析,帮助发现网络攻击行为并进一步采取防御措施。
这种方案的好处是通过本地化的威胁情报建设满足了各类企事业单位等网络安全建设者对于威胁情报的使用需求,相比云端威胁情报平台,无需开放访问外网即可实现数据使用。但是对企业而言,本地化威胁情报数系统的建设和运营成本较高。同样地,这种基于数据库查询式的攻击检测方式效率低,在数据量大的情况无法满足网络攻击检测的实时性需求,通常只能作为一种离线检测分析的手段。
发明内容
有鉴于此,针对现有的威胁情报数据处理无法满足网络攻击检测的实时性需求,仅能作离线处理的技术问题,本发明提供一种威胁情报数据处理方法,具体包括以下步骤:
S1:获取威胁情报数据;按威胁情报的不同维度属性,对威胁情报进行分类筛选,得到筛选后的威胁情报;
S2:对筛选后的威胁情报进行数据压缩和数据转换,得到SDK威胁情报工具包;
S3:将SDK威胁情报工具包加载于内存,并利用SDK威胁情报工具包进行实时数据检测,得到检测结果;
S4:将检测结果保存至本地威胁情报库;
S5:利用本地威胁情报库和SDK威胁情报包,进行威胁情报实时预测。
一种存储设备,所述存储设备存储指令及数据用于实现一种威胁情报数据处理方法。
一种威胁情报数据处理设备,包括:处理器及存储设备;所述处理器加载并执行存储设备中的指令及数据用于实现一种威胁情报数据处理方法。
本发明提供的有益效果是:
1、SDK威胁情报工具包可加载于内存,大大提升了利用威胁情报进行攻击检测的效率。
2、SDK威胁情报数据经过压缩和数据筛选,仅纳入活跃高精准情报,大大提升了威胁检测的准确性。
3、SDK轻量级威胁情报工具,建设成本低便于集成到已有网络安全系统,降低了企业威胁情报系统建设和威胁情报数据购买的成本。
4、本地化安装和部署,降低了外部数据调用风险,提升了威胁情报数据使用的安全性。
5、利用SDK威胁情报工具包建立并持续运营本地威胁情报库,提高了威胁情报数据的重复利用和溯源分析能力。
附图说明
图1是本发明方法流程示意图;
图2是本发明中SDK威胁情报工具包的构建流程示意图;
图3是利用SDK工具包进行实时数据检测的流程示意图;
图4是利用SDK威胁情报工具包和本地威胁情报库进行调查取证预测的方法流程示意图;
图5是本发明实施例的硬件设备工作示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地描述。
请参考图1,图1是本发明方法的流程图;本发明提供的一种威胁情报数据处理方法,具体包括以下步骤:
S1:获取威胁情报数据;按威胁情报的不同维度属性,对威胁情报进行分类筛选,得到筛选后的威胁情报;
需要说明的是,在本发明实施例中,威胁情报的不同维度属性包括:时效性、情报状态和情报精准度;作为其它实施例,还可以包括其它不同的维度属性,比如威胁情报的来源等,这里仅作示意性说明,不用以进行限定;
需要说明的是,根据威胁情报的不同维度属性,对威胁情报进行分类,其目的是对威胁情报进行一个初步过滤,或者筛选,筛选出高可信度的威胁情报。
下面以本发明时效性、情报状态和情报精准度的三个属性为例,对威胁情报作出具体的分类划分。
1、威胁情报的时效性
按照威胁情报的时效性,可以将威胁情报分为活跃、不活跃和过期情报。
活跃的威胁情报一般指近七天发起过攻击行为或有恶意活动的攻击特征;
不活跃的威胁情报指超过7天无任何恶意活动和攻击行为的攻击特征;
过期的威胁情报指已被处理或超过30天无任何恶意活动和攻击行为的攻击特征。这些攻击特征包括IP、域名等。
2、威胁情报的状态
按照威胁情报的状态,可以将威胁情报分为黑、白、灰;
状态为黑的威胁情报指信息准确且活跃度高的攻击特征;
状态为白的情报指正常无害的网络特征;
状态为灰的情报指不活跃或已过期的攻击特征。
3、威胁情报的精准度
按照威胁情报的精准度,可以将威胁情报分为高精准情报和信誉情报;
高精准情报指情报信息准确且活跃度高的攻击特征,一般而言活跃的威胁情报都属于高精准情报,高精准情报均为活跃的攻击特征;
信誉情报指不活跃或过期的威胁情报,信誉情报代表攻击特征曾经有过恶意活动。
对高精准情报检的检测命中,其结果属于高危事件,需立即拦截和响应;信誉情报的检测命中,结果可根据实际情况判断具体行为是否存在异常再做响应处理。
而在本申请中,对威胁情报数据进行筛选,主要是筛选出高精准度的威胁情报。也即,首先考虑高精准度的威胁情报,对于其它信誉情报,不予考虑,予以过滤。
而关于威胁情报的时效性属性,会应用在本申请后文的数据库更新中;关于威胁情报的状态,会应用在本申请后文的攻击检测中。
S2:对筛选后的威胁情报进行数据压缩和数据转换,得到SDK威胁情报工具包;
结合本申请实施例,本申请选取高精准威胁情报数据进行压缩,以SDK形式封装为轻量级的威胁情报工具包,该SDK可安装并集成于各类网络安全系统内部,并提供可调用API检测接口供不同网络安全系统进行攻击检测。
由于SDK的形式加载在内存中这个优点,使得本申请可以支持实时检测和快速响应,检测和数据处理性能大大优于存储于本地数据库或云端的威胁情报数据调用。
SDK威胁情报工具包主要集成用于实时攻击检测的高精准情报。
请参考图2,图2是本发明中SDK威胁情报工具包的构建流程示意图;
作为本申请实施例而言,SDK威胁情报工具包的构建主要包括以下过程:
1、首先从存量威胁情报中筛选出时效期“活跃”、状态为“黑”的高精准威胁情报。这类情报的特点是近7天有明确攻击行为或恶意活动记录,状态为黑的网络特征,如恶意IP、恶意域名等;
2、对筛选出的威胁情报数据进行压缩和转换。
数据压缩具体指:对筛选后的威胁情报,根据实际情况保留威胁情报中的所需字段。
需要说明的是,根据当前主流的一些威胁情报行业标准如STIX、TAXII可得知,其定义的单条威胁情报数据包含近百个数据字段,信息量极大。此时的威胁情报哪怕拿到也只能作为一种事后调查取证的数据源,而不利于作为一种实时检测手段集成到网络安全系统内。因此,此步骤对威胁情报数据进行压缩,去掉大量不必要的威胁情报信息内容,仅保留作为攻击检测结果判定的必要数据项。
在本申请实施例中保留的字段包括:威胁特征、威胁类型、威胁等级、情报状态。
数据转换:针对数据压缩后的威胁情报,建立所需字段的数字映射表,以数字存储形式表示所有字段内容。
具体说,为进一步降低威胁情报数据的内存占用,需要对上述保留的字段内容进行数据格式转换。根据不同数据格式的内存占用可知:一个中文占2个字节空间,一个英文字母占1个字节空间,一个数字占一个字节空间。
此处选择将威胁情报数据内容转换为数字进行保存,建立一套中英文内容与数字的映射关系,以帮助识别检测结果、降低威胁情报的内存占用。
举例:
一条威胁情报数据可表示为{"la":182.12.34.11,"st":3,"ca":{"l":4,"m":4}};
其中la代表威胁特征,st代表情报状态,ca.l代表威胁等级,ca.m代表威胁类型。
IP地址为182.12.34.11的威胁特征,情报状态为黑,威胁等级为高危,威胁类型为窃密软件。
具体的,本申请也提供了下列对照表作为参考,仅作示意性说明。
表1情报状态映射对照表
情报状态(数字表示) | 情报状态(对应中英文结果) |
1 | 白 |
2 | 灰 |
3 | 黑 |
表2威胁等级映射对照表
威胁等级(数字表示) | 威胁等级(对应中英文结果) |
1 | 信息 |
2 | 低危 |
3 | 中危 |
4 | 高危 |
5 | 严重 |
表3威胁类型映射对照表
威胁类型(数字表示) | 威胁类型(对应中英文结果) |
1 | 网络钓鱼 |
2 | 恶意软件 |
3 | 间谍软件 |
4 | 窃密软件 |
5 | 勒索软件 |
6 | 挖矿软件 |
7 | 僵尸网络 |
8 | DGA域名 |
9 | 漏洞利用 |
10 | Web攻击 |
11 | DDoS攻击 |
12 | 网络扫描 |
13 | APT |
14 | 数据泄露 |
15 | 网络攻击 |
16 | 恶意网站 |
17 | 其他 |
3、将上述威胁情报封装为SDK工具包,SDK工具包主要包括两个部分:威胁情报数据封装之后.dat文件和提供威胁情报调用检测的.so接口函数文件。
.so接口函数文件提供的可执行操作包括:启用操作、数据加载操作、数据检测操作、停用操作。
4、启动SDK并在内存中加载运行。根据SDK工具包提供的.so接口函数文件,启用SDK并执行数据加载操作。
5、等待执行数据检测;
S3:将SDK威胁情报工具包加载于内存,并利用SDK威胁情报工具包进行实时数据检测,得到检测结果;
S4:将检测结果保存至本地威胁情报库;
本申请中步骤S3中的实时数据检测,具体包括以下过程:
S21、获取实时数据的网络特征;
S22、调用SDK威胁情报工具包对网络特征进行攻击检测,得到检测结果;
判断检测结果是否属于威胁情报中的某个字段,若是,则将检测结果存储至本地威胁情报数据库,否则丢弃检测结果,不予保存;
所述本地威胁情报库按照预设周期进行更新。
需要说明的是,请参考图3,图3是利用SDK工具包进行实时数据检测的流程示意图;具体的实施流程如下:
1、从实时网络流量、日志中获取待检测网络特征数据如IP、域名等,调用SDK威胁情报工具包的数据检测接口进行攻击检测。
2、SDK威胁情报工具包返回网络特征的检测结果,如果匹配命中且结果为“黑”则生成攻击事件并进行告警提示。
同时,将该威胁情报信息保存至本地威胁情报库。本地威胁情报库的数据字段包括:情报更新时间、威胁特征、情报状态、威胁等级、威胁类型、情报活跃度。如果未命中则不保存。
本地威胁情报库数据字段与SDK威胁情报检测结果的关系如下表所示:
表4本地威胁情报库数据字段与SDK威胁情报检测结果的关系
3、根据本地威胁情报库中情报数据的更新时间监测威胁情报状态变化,将超过7天未更新的威胁情报活跃度标记为“不活跃”,状态标记为“灰”。超过30天未更新的威胁情报标记为“过期”。
S5:利用本地威胁情报库和SDK威胁情报包,进行威胁情报实时预测。
需要说明的是,本发明还可利用SDK威胁情报工具对可疑攻击行为进行预测;
步骤S5具体为:
S31、获取外部网络安全系统的可疑网络行为数据;
S32、调用SDK威胁情报工具包进行可疑网络行为数据检测分析,得到检测结果;
S33、将检测结果与本地威胁情报库进行字段匹配,若存在相应的字段匹配,则本地威胁情报库输出与该匹配结果相关的其它威胁情报数据字段,以预测该可疑网络行为的其它可能行为。
请参考图4,图4是利用SDK威胁情报工具包和本地威胁情报库进行调查取证预测的方法流程示意图。
具体的说,包括以下流程:
1、从外部网络安全系统获取可疑网络行为和攻击事件的网络特征如IP、域名等,优先其SDK威胁情报工具包检测结果为主,如SDK威胁情报工具包未检出则进一步查询本地威胁情报库。
2、具体过程为:调用SDK威胁情报工具包的数据检测接口进行检测分析,看检测结果是否为黑。如果SDK检测结果为“黑”,则返回该网络特征的检测结果,同时将SDK威胁情报工具包中检出的威胁情报结果保存至本地威胁情报库。
如果本地威胁情报库中存在相同的网络特征情报,则以最新检测结果覆盖更新。如果SDK检测结果不为“黑”,则进一步查询本地威胁情报库,返回本地威胁情报库查询结果作为调查分析取证预测的依据。
3、根据本地威胁情报库中情报数据的更新时间监测威胁情报状态变化,将超过7天未更新的威胁情报活跃度标记为“不活跃”,状态标记为“灰”。超过30天未更新的威胁情报标记为“过期”。
请参见图5,图5是本发明实施例的硬件设备工作示意图,所述硬件设备具体包括:一种威胁情报数据处理设备401、处理器402及存储设备403。
一种威胁情报数据处理设备401:所述一种A设备401实现所述一种威胁情报数据处理方法。
处理器402:所述处理器402加载并执行所述存储设备403中的指令及数据用于实现所述一种威胁情报数据处理方法。
存储设备403:所述存储设备403存储指令及数据;所述存储设备403用于实现所述一种威胁情报数据处理方法。
综合来看,本发明的有益效果是:
1、SDK威胁情报工具包可加载于内存,大大提升了利用威胁情报进行攻击检测的效率。
2、SDK威胁情报数据经过压缩和数据筛选,仅纳入活跃高精准情报,大大提升了威胁检测的准确性。
3、SDK轻量级威胁情报工具,建设成本低便于集成到已有网络安全系统,降低了企业威胁情报系统建设和威胁情报数据购买的成本。
4、本地化安装和部署,降低了外部数据调用风险,提升了威胁情报数据使用的安全性。
5、利用SDK威胁情报工具包建立并持续运营本地威胁情报库,提高了威胁情报数据的重复利用和溯源分析能力。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种威胁情报数据处理方法,其特征在于:包括以下步骤:
S1:获取威胁情报数据;按威胁情报的不同维度属性,对威胁情报进行分类筛选,得到筛选后的威胁情报;
S2:对筛选后的威胁情报进行数据压缩和数据转换,得到SDK威胁情报工具包;
S3:将SDK威胁情报工具包加载于内存,并利用SDK威胁情报工具包进行实时数据检测,得到检测结果;
S4:将检测结果保存至本地威胁情报库;
S5:利用本地威胁情报库和SDK威胁情报包,进行威胁情报实时预测;
步骤S2中的数据压缩,具体指:对筛选后的威胁情报,根据实际情况保留威胁情报中的所需字段;
步骤S2中的数据转换,具体指:针对数据压缩后的威胁情报,建立所需字段的数字映射表,以数字存储形式表示所有字段内容;
步骤S3中的实时数据检测,具体包括以下过程:
S21、获取实时数据的网络特征;
S22、调用SDK威胁情报工具包对网络特征进行攻击检测,得到检测结果;判断检测结果是否属于威胁情报中的某个字段,若是,则将检测结果存储至本地威胁情报数据库,否则丢弃检测结果,不予保存;
步骤S5具体为:
S31、获取外部网络安全系统的可疑网络行为数据;
S32、调用SDK威胁情报工具包进行可疑网络行为数据检测分析,得到检测结果;
S33、将检测结果与本地威胁情报库进行字段匹配,若存在相应的字段匹配,则本地威胁情报库输出与该匹配结果相关的其它威胁情报数据字段,以预测该可疑网络行为的其它可能行为。
2.如权利要求1所述的一种威胁情报数据处理方法,其特征在于:威胁情报的不同维度属性包括:威胁情报的时效性、状态和精准度。
3.如权利要求1所述的一种威胁情报数据处理方法,其特征在于:所述本地威胁情报库按照预设周期进行更新。
4.一种存储设备,其特征在于:所述存储设备存储指令及数据用于实现权利要求1~3所述的任意一种威胁情报数据处理方法。
5.一种威胁情报数据处理设备,其特征在于:包括:处理器及存储设备;所述处理器加载并执行存储设备中的指令及数据用于实现权利要求1~3所述的任意一种威胁情报数据处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211016961.2A CN115514529B (zh) | 2022-08-22 | 2022-08-22 | 一种威胁情报数据处理方法、设备及存储设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211016961.2A CN115514529B (zh) | 2022-08-22 | 2022-08-22 | 一种威胁情报数据处理方法、设备及存储设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115514529A CN115514529A (zh) | 2022-12-23 |
CN115514529B true CN115514529B (zh) | 2023-09-22 |
Family
ID=84501624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211016961.2A Active CN115514529B (zh) | 2022-08-22 | 2022-08-22 | 一种威胁情报数据处理方法、设备及存储设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115514529B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
CN110913032A (zh) * | 2019-11-18 | 2020-03-24 | 国家电网有限公司 | 一种电网威胁情报实现dns域名请求分析方法及其平台 |
CN112202818A (zh) * | 2020-12-01 | 2021-01-08 | 南京中孚信息技术有限公司 | 一种融合威胁情报的网络流量入侵检测方法及系统 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CN112995229A (zh) * | 2021-05-17 | 2021-06-18 | 金锐同创(北京)科技股份有限公司 | 网络攻击流量检测方法、装置、设备及计算机可读存储介质 |
CN113420150A (zh) * | 2021-07-06 | 2021-09-21 | 北京信安天途科技有限公司 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
CN114547415A (zh) * | 2022-02-23 | 2022-05-27 | 中原工学院 | 工业物联网中基于网络威胁情报的攻击模拟方法 |
CN114697052A (zh) * | 2020-12-25 | 2022-07-01 | 北京千里日成科技有限公司 | 网络防护方法及装置 |
-
2022
- 2022-08-22 CN CN202211016961.2A patent/CN115514529B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
CN110913032A (zh) * | 2019-11-18 | 2020-03-24 | 国家电网有限公司 | 一种电网威胁情报实现dns域名请求分析方法及其平台 |
CN112202818A (zh) * | 2020-12-01 | 2021-01-08 | 南京中孚信息技术有限公司 | 一种融合威胁情报的网络流量入侵检测方法及系统 |
CN114697052A (zh) * | 2020-12-25 | 2022-07-01 | 北京千里日成科技有限公司 | 网络防护方法及装置 |
CN112995229A (zh) * | 2021-05-17 | 2021-06-18 | 金锐同创(北京)科技股份有限公司 | 网络攻击流量检测方法、装置、设备及计算机可读存储介质 |
CN113420150A (zh) * | 2021-07-06 | 2021-09-21 | 北京信安天途科技有限公司 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
CN114547415A (zh) * | 2022-02-23 | 2022-05-27 | 中原工学院 | 工业物联网中基于网络威胁情报的攻击模拟方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115514529A (zh) | 2022-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
US9191398B2 (en) | Method and system for alert classification in a computer network | |
CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
US20230007042A1 (en) | A method and system for determining and acting on an email cyber threat campaign | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
EP2577552A2 (en) | Dynamic multidimensional schemas for event monitoring priority | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
CN111541655A (zh) | 网络异常流量检测方法、控制器及介质 | |
Krauß et al. | Ontology-based detection of cyber-attacks to SCADA-systems in critical infrastructures | |
CN108566392B (zh) | 基于机器学习的防御cc攻击系统与方法 | |
CN113468542A (zh) | 一种暴露面资产风险评估方法、装置、设备及介质 | |
CN114579636A (zh) | 数据安全风险预测方法、装置、计算机设备和介质 | |
CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
CN115361235A (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
CN115580448A (zh) | 工控网络恶意代码检测方法、系统、设备及存储介质 | |
Zawoad et al. | Phish-net: investigating phish clusters using drop email addresses | |
CN114268446B (zh) | 数据资产安全性评估方法、装置以及存储介质 | |
CN115514529B (zh) | 一种威胁情报数据处理方法、设备及存储设备 | |
CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
CN113992371B (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 | |
CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 | |
CN114866299A (zh) | 网络数据转发方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |