CN115529188A - 数据处理方法、装置、存储介质及电子设备 - Google Patents

数据处理方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN115529188A
CN115529188A CN202211210355.4A CN202211210355A CN115529188A CN 115529188 A CN115529188 A CN 115529188A CN 202211210355 A CN202211210355 A CN 202211210355A CN 115529188 A CN115529188 A CN 115529188A
Authority
CN
China
Prior art keywords
rule
regular
score
target
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211210355.4A
Other languages
English (en)
Other versions
CN115529188B (zh
Inventor
温展鹏
夏锦辉
汪来富
刘东鑫
刘光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211210355.4A priority Critical patent/CN115529188B/zh
Publication of CN115529188A publication Critical patent/CN115529188A/zh
Application granted granted Critical
Publication of CN115529188B publication Critical patent/CN115529188B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种数据处理方法、装置、存储介质及电子设备;涉及计算机技术领域。所述方法包括:将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。本公开通过计算各个正则规则的规则得分,可以优先调度规则得分较高的正则规则对数据进行威胁检测,使得在数据量处于高位时也能优先输出高价值的安全事件,从而保证数据的处理效率。

Description

数据处理方法、装置、存储介质及电子设备
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种数据处理方法、数据处理装置、计算机可读存储介质以及电子设备。
背景技术
随着网络攻击手段和渠道的多元化发展,网络威胁呈现迅速恶性演变,这对网络威胁检测能力提出了更高的要求。目前,现有的威胁检测系统通常采用正则特征匹配、威胁情报分析等方法从网络流量中识别威胁。
为了及时发现并生成高精准度的攻击告警,需要保证多个威胁检测引擎具备海量数据的实时处理能力,还需要根据集群算力对各个威胁检测引擎进行灵活调度,以处理更多高价值的数据。
但是,现有的威胁检测引擎缺乏以线程粒度进行算力调度的能力,如果无法以线程粒度进行监控调度,在过量回溯时业务线程容易出现任务卡停等现象,从而影响数据的处理效率。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种数据处理方法、数据处理装置、计算机可读存储介质以及电子设备,进而至少在一定程度上克服相关技术中由于现有的威胁检测引擎缺乏以线程粒度进行算力调度的能力导致数据的处理效率较低的问题。
根据本公开的第一方面,提供一种数据处理方法,包括:
将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;
根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;
将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
在本公开的一种示例性实施例中,所述多维度规则参数包括规则匹配信息、安全漏洞信息和规则威胁等级;
所述根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,包括:
根据各个所述正则规则的所述规则匹配信息计算各个所述正则规则的第一分值;
根据各个所述正则规则的所述安全漏洞信息计算各个所述正则规则的第二分值;
根据预设的各个所述正则规则的所述规则威胁等级计算各个所述正则规则的第三分值;
对所述第一分值、所述第二分值和所述第三分值进行加权求和,得到各个所述正则规则的所述规则得分。
在本公开的一种示例性实施例中,所述根据各个所述正则规则的所述规则匹配信息计算各个所述正则规则的第一分值,包括:
统计各所述正则规则在第一预设周期内的第一命中次数;
统计各所述正则规则在第二预设周期内的第二命中次数,所述第二预设周期包含多个所述第一预设周期,
根据所述第一命中次数和所述第二命中次数计算各所述正则规则的所述第一分值。
在本公开的一种示例性实施例中,所述根据所述第一命中次数和所述第二命中次数计算各所述正则规则的所述第一分值,包括:
根据所述第二命中次数确定目标命中次数;
当所述第一命中次数小于所述目标命中次数时,将所述第一命中次数和所述目标命中次数进行对数运算,并将运算结果作为各个所述正则规则的所述第一分值;
当所述第一命中次数大于所述目标命中次数时,将第一预设阈值作为各个所述正则规则的所述第一分值。
在本公开的一种示例性实施例中,所述安全漏洞信息包括通用漏洞披露更新时间;
所述根据各个所述正则规则的所述安全漏洞信息计算各个所述正则规则的第二分值,包括:
统计各所述正则规则在第三预设周期内的第一通用漏洞披露更新间隔时间;
统计各所述正则规则在第四预设周期内的第二通用漏洞披露更新间隔时间,所述第四预设周期包含多个所述第三预设周期,
根据所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间计算各所述正则规则的所述第二分值。
在本公开的一种示例性实施例中,所述根据所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间计算各所述正则规则的所述第二分值,包括:
根据所述第二通用漏洞披露更新间隔时间确定目标通用漏洞披露更新时间;
当所述第一通用漏洞披露更新间隔时间大于所述目标通用漏洞披露更新时间时,将所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间进行三角函数运算,并将运算结果作为各个所述正则规则的所述第二分值;
当所述第一通用漏洞披露更新间隔时间小于所述目标通用漏洞披露更新时间时,将第二预设阈值作为各个所述正则规则的所述第二分值。
在本公开的一种示例性实施例中,所述将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果,包括:
监控到所述目标网络系统内的当前数据量大于预设数据量阈值,且所述网络数据与所述目标正则规则的匹配时间小于或等于预设时间阈值时,将所述网络数据与所述目标正则规则进行匹配,得到所述威胁检测结果。
在本公开的一种示例性实施例中,所述将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果,还包括:
监控到所述目标网络系统内的当前数据量大于预设数据量阈值,且所述网络数据与所述目标正则规则的匹配时间大于所述预设时间阈值时,将所述网络数据和所述目标正则规则按照所述目标正则规则的规则得分缓存至有界优先队列中;
监控到所述目标网络系统内的当前数据量小于或等于所述预设数据量阈值时,根据所述规则得分从所述有界优先队列中选取所述网络数据和所述目标正则规则进行匹配,得到所述威胁检测结果。
根据本公开的第二方面,提供一种数据处理装置,包括:
数据分发模块,用于将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;
规则确定模块,用于根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;
规则匹配模块,用于将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
根据本公开的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的数据处理方法。
根据本公开的第四方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的数据处理方法。
本公开示例性实施例可以具有以下部分或全部有益效果:
在本公开示例实施方式所提供的数据处理方法中,通过将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。本公开通过计算各个正则规则的规则得分,可以优先调度规则得分较高的正则规则对数据进行威胁检测,使得在数据量处于高位时也能优先输出高价值的安全事件,从而保证数据的处理效率。而且,通过将正则分析线程和其它威胁检测线程进行拆分解耦,可以将算力资源灵活地分配给耗时的威胁检测任务,保证系统稳定运行的同时,进一步提高了数据的处理效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了一种可以应用本公开实施例的数据处理方法的系统架构示意图;
图2示意性示出了本公开实施例中一种数据处理方法的流程图;
图3示意性示出了本公开实施例中一种计算正则规则得分的流程图;
图4示意性示出了本公开实施例中一种实现数据处理的原理示意图;
图5示意性示出了根据本公开实施例中一种实现正则规则匹配的原理示意图;
图6示出了另一种可以应用本公开实施例的数据处理方法的系统架构示意图;
图7示意性示出了本公开实施例中一种数据处理装置的框图;
图8示出了适于用来实现本公开实施例的电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
以下对本公开实施例的技术方案进行详细阐述:
图1示出了可以应用本公开实施例的一种数据处理方法的系统架构的示意图。
如图1所示,系统架构100可以包括终端设备101、102、103中的一个或多个,网络104和服务器105。终端设备101、102、103可以是包含音频播放设备的各种电子设备,包括但不限于台式计算机、便携式计算机、智能手机和平板电脑等。服务器105可以是一台服务器,也可以是多个服务器组成的服务器集群,还可以是一个虚拟化平台或者是一个云计算服务中心。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
本公开的示例性实施方式所提供的数据处理方法可以由服务器105执行,相应地,数据处理装置可以设置于服务器105中。例如,服务器105可以对网络系统内的数据进行正则匹配分析,并将分析得到的威胁检测结果发送至终端设备101以向用户进行展示。但本领域技术人员容易理解的是,本公开的示例性实施方式所提供的数据处理方法也可以由终端设备101、102、103中的一个或多个执行,相应的,数据处理装置也可以设置于终端设备101、102、103中。例如,由终端设备101执行数据处理方法,将待处理的网络数据的威胁检测结果直接显示在终端设备101的显示屏上以向用户进行展示,本公开对此不做特殊限定。
以下对本公开实施例的技术方案进行详细阐述:
目前,现有的威胁检测系统采用正则特征匹配、威胁情报分析等方法从网络流量中识别威胁时,是通过一个线程池共同处理的,只能将算力资源平均分配到线程池中的各个线程中。因此,缺乏以线程粒度进行算力调度的能力,如果无法以线程粒度进行监控调度,在过量回溯时业务线程容易出现任务卡停等现象,从而影响数据的处理效率。
基于上述问题,本示例实施方式提供了一种数据处理方法,参考图2所示,该数据处理方法可以包括以下步骤S210至步骤S230:
步骤S210.将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;
步骤S220.根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;
步骤S230.将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
在本公开示例实施方式所提供的数据处理方法中,通过将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。本公开通过计算各个正则规则的规则得分,可以优先调度规则得分较高的正则规则对数据进行威胁检测,使得在数据量处于高位时也能优先输出高价值的安全事件,从而保证数据的处理效率。而且,通过将正则分析线程和其它威胁检测线程进行拆分解耦,可以将算力资源灵活地分配给耗时的威胁检测任务,保证系统稳定运行的同时,进一步提高了数据的处理效率。
下面,对于本示例实施方式的上述步骤进行更加详细的说明。
在步骤S210中,将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程。
威胁检测是指从目标网络系统中发现威胁的过程,威胁是指可能对计算机系统或网络造成损害的任何事物,其中,目标网络系统可以包括网络、系统和应用程序等,本公开对此不做限定。以目标网络系统为某一应用程序为例,对应的网络数据为应用程序运行过程中实时产生的日志数据。本公开示例实施方式中,对海量的日志数据进行威胁检测时,可以根据用户的实际需求将海量的日志数据分发至多个威胁检测线程,以将各个威胁检测线程进行拆分解耦。其中,威胁检测线程至少包括正则分析线程和威胁情报分析线程。例如,由于正则分析线程中规则匹配的时间占据整个威胁检测时间的90%,耗时较长,因此,可以将70%的算力资源分配给正则分析线程,将30%的算力资源分配给威胁情报分析线程。
通过将正则分析线程和威胁情报分析线程进行线程粒度的拆分解耦,可以将资源倾斜给耗时的计算任务,从而保证系统稳定运行。
在步骤S220中,根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则。
在正则分析线程中,威胁检测系统拥有一个特征库,该特征库中存放着各种各样的特征,每个特征代表一个规则,这些特征不仅可以用字符串来描述,还可以用正则表达式来描述即正则规则,更加灵活和简单。正则规则是用多个字符构造的一个表达式,字符可以分为预定义字符、特殊字符、边界匹配字符、数量表示字符等。正则分析线程中的正则规则匹配是指将收集到的网络数据和特征库中的正则规则进行匹配,根据匹配结果确定是否存在着网络入侵行为。其中,正则规则匹配通常需要将正则表达式转换为有限自动机,包括不确定的有限自动机和确定的有限自动机。
本公开示例实施方式中,正则分析线程中各个正则规则的多维度规则参数包括规则匹配信息、安全漏洞信息和规则威胁等级。参考图3所示,可以根据步骤S310至步骤S340根据正则分析线程中各个正则规则的多维度规则参数计算各个正则规则的规则得分。
步骤S310.根据各个所述正则规则的所述规则匹配信息计算各个所述正则规则的第一分值。
正则规则的规则匹配信息包括规则匹配次数和规则匹配命中次数等信息,规则匹配次数是指正则规则与网络数据的匹配次数,规则匹配命中次数是指正则规则与网络数据匹配后检测出该网络数据中存在网络入侵行为的次数。示例性的,可以统计各正则规则在第一预设周期内的第一命中次数,以及统计各正则规则在第二预设周期内的第二命中次数,需要说明的是,第二预设周期包含多个第一预设周期。举例而言,第二预设周期为某一天,第一预设周期为该天内的每个小时。然后,可以根据第一命中次数和第二命中次数计算各正则规则的第一分值,对应的,第一分值为规则匹配分值。
一种示例实施方式中,可以根据第二命中次数确定目标命中次数,当第一命中次数小于目标命中次数时,将第一命中次数和目标命中次数进行对数运算,并将运算结果作为各个正则规则的第一分值;当第一命中次数大于目标命中次数时,将第一预设阈值作为各个正则规则的第一分值。例如,可以根据式(1)计算各个正则规则的第一分值,记为RF
Figure BDA0003874939520000091
其中,N为各个正则规则在第一预设周期内的第一命中次数,E为各个正则规则在第二预设周期内的第二命中次数,2E为目标命中次数。例如,N为某个正则规则在当天内最近一个小时的命中次数,E为该正则规则在当天的平均命中次数。当N<2E时,RF=log2EN;当N>2E时,RF为第一预设阈值,如RF=1。
步骤S320.根据各个所述正则规则的所述安全漏洞信息计算各个所述正则规则的第二分值。
正则规则的安全漏洞信息包括通用漏洞披露更新时间,即CVE(CommonVulnerabilities and Exposures)更新时间。其中,通用漏洞披露包括已公开披露的各种计算机安全缺陷,通用漏洞披露更新时间是指通过不断的威胁检测发现新的安全漏洞并对已公开的各种计算机安全缺陷进行更新的间隔时间。示例性的,统计各正则规则在第三预设周期内的第一通用漏洞披露更新间隔时间,以及统计各正则规则在第四预设周期内的第二通用漏洞披露更新间隔时间,其中,第四预设周期包含多个第三预设周期。举例而言,第四预设周期为十年,第三预设周期为该十年内的每一年。然后,可以根据第一通用漏洞披露更新间隔时间和第二通用漏洞披露更新间隔时间计算各正则规则的所述第二分值,对应的,第二分值为CVE更新时间分值。
一种示例实施方式中,可以根据第二通用漏洞披露更新间隔时间确定目标通用漏洞披露更新时间,当第一通用漏洞披露更新间隔时间大于目标通用漏洞披露更新时间时,将第一通用漏洞披露更新间隔时间和第二通用漏洞披露更新间隔时间进行三角函数运算,并将运算结果作为各个正则规则的第二分值;当第一通用漏洞披露更新间隔时间小于目标通用漏洞披露更新时间时,将第二预设阈值作为各个正则规则的第二分值。例如,当三角函数为正切函数时,可以根据式(2)计算各个正则规则的第二分值,记为RU
Figure BDA0003874939520000101
其中,U为各个正则规则在第三预设周期内的第一通用漏洞披露更新间隔时间,Un为各个正则规则在第四预设周期内的第二通用漏洞披露更新间隔时间,Un/4为目标通用漏洞披露更新时间。例如,U为某个正则规则在最近一年内的CVE更新时间间隔,Un为该正则规则在最近十年内的CVE平均更新时间间隔。当
Figure BDA0003874939520000102
时,
Figure BDA0003874939520000103
Figure BDA0003874939520000104
时,RU为第二预设值,如RU=1。
步骤S330.根据预设的各个所述正则规则的所述规则威胁等级计算各个所述正则规则的第三分值。
可以为各个正则规则预设对应的规则威胁等级,对应的,第三分值为规则威胁等级分值。具体地,可以确定各个正则规则可以检测出的网络入侵行为的威胁等级,并对所有正则规则对应的威胁等级进行归一化,得到如式(3)所示的各个正则规则的规则威胁等级分值,记为RG
Figure BDA0003874939520000111
可以看出,正则规则的规则威胁等级分值RG的最大值为1。其它示例中,用户也可以根据实际的业务需求自定义各个正则规则的规则威胁等级分值RG,本公开对此不做具体限定。
步骤S340.对所述第一分值、所述第二分值和所述第三分值进行加权求和,得到各个所述正则规则的所述规则得分。
计算得到规则匹配分值RF、CVE更新时间分值Ru和规则威胁等级分值RG后,可以对规则匹配分值RF、CVE更新时间分值RU和规则威胁等级分值RG进行加权求和,即:
NR=α*RF+β*RU+γ*RG (4)
得到各个正则规则的规则得分NR;其中,α、β和γ分别为规则匹配分值RF、CVE更新时间分值RU和规则威胁等级分值RG对应的权重,有α+β+γ=1。本公开对α、β和γ的具体取值不做限定,用户可以根据实际的业务需求自定义α、β和γ的具体取值。
计算得到各个正则规则的规则得分后,可以根据各个正则规则的规则得分确定目标正则规则。示例性的,可以将规则得分大于预设规则得分阈值的正则规则作为待匹配的目标正则规则,以选出规则得分较高的正则特征优先处理。用户可以根据实际的业务需求自定义预设规则得分阈值,本公开对此不做限定。
该示例中,基于正则特征库的规则匹配次数、CVE更新时间和规则威胁等级三个维度进行权值计算,采用独有的规则分值算法计算正则特征库中各个正则规则的规则得分,从而便于对规则得分较高的正则特征优先处理,使得后续在数据量处于高位时也能优先输出高价值的安全事件,从而保证数据的处理效率。
在步骤S230中,将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
参考图4所示,从目标网络系统获取网络数据并对网络数据进行预处理,如数据清洗等操作,并将预处理后的网络数据分发至威胁情报分析线程和正则分析线程。在威胁情报分析线程中,通过进行威胁情报库匹配,得到对应的威胁检测结果,即输出1,本公开对此部分不做具体阐述。重要的是,本公开在正则分析线程中引入线程守护机制,具体地,在正则库匹配过程中设置了缓存优先队列,该队列中缓存的多个正则规则通过对应的规则得分进行排序,以得到各个正则规则的优先级。另外,还在正则分析线程中引入了监控数据单元,以对目标网络系统中的网络数据进行实时监控。
一种示例实施方式中,确定目标正则规则后,可以利用监控数据单元实时监控目标网络系统中的数据量。当监控到目标网络系统内的当前数据量大于预设数据量阈值,且网络数据与目标正则规则的匹配时间小于或等于预设时间阈值时,可以将网络数据与目标正则规则进行匹配,得到威胁检测结果。举例而言,预设数据量阈值为3000条数据,预设时间阈值为30分钟,当监控到目标网络系统内的当前数据量大于3000条数据,但网络数据与目标正则规则的匹配时间小于30分钟时,可以将目标正则规则与各个网络数据依次进行匹配,得到对应的威胁检测结果。可以理解的是,若监控到目标网络系统内的当前数据量小于3000条数据,而且网络数据与目标正则规则的匹配时间也小于30分钟时,同样可以将目标正则规则与各个网络数据依次进行匹配,输出对应的威胁检测结果,此时系统可以稳定运行,而且数据处理效率也较高。
另一种示例实施方式中,确定目标正则规则后,也可以利用监控数据单元实时监控目标网络系统中的数据量。当监控到目标网络系统内的当前数据量大于预设数据量阈值,且网络数据与目标正则规则的匹配时间大于预设时间阈值时,可以将网络数据和目标正则规则按照目标正则规则的规则得分缓存至有界优先队列中。其中,有界优先队列是指除了可以存储的元素数量有固定的上限外,在队列处于满容量时,将新元素添加到队列后,具有最高优先级的元素将从队列中弹出。
举例而言,预设数据量阈值为3000条数据,预设时间阈值为30分钟,当监控到目标网络系统内的当前数据量大于3000条数据,而且某一网络数据与目标正则规则的匹配时间大于30分钟时,说明该网络数据与该目标正则规则匹配超时。本公开示例实施方式中,为每个逻辑处理线程(如正则分析线程)单独引入一个轻量级的守护线程,例如,守护线程只负责处理日志字段的正则匹配(单条日志的多个字段先后匹配所有算分排序后的正则库),并为守护线程设置超时退出机制,以避免无限期等待的回溯,在守护线程退出时缓存数据及正则规则标识到有界优先队列,同时为队列中缓存的数据设置过期时间,避免队列数据无限增大。参考图5所示,在正则分析线程中加入线程守护机制,具体地,若匹配正则规则出现超时,可以通过守护线程模块中的处理线程将匹配超时的正则规则和网络数据缓存至有界优先队列中。具体地,可以根据匹配超时的各个正则规则的规则得分依次将正则规则缓存至有界优先队列中。如图5所示,其中,正则规则1的规则得分为1,正则规则2的规则得分为0.95,以及其它各个正则规则对应的规则得分。
该示例中,若目标网络系统的当前数据量处于峰值状态,为了安全告警时延过长甚至出现任务卡停的情况,可以将匹配延时的网络数据和正则规则缓存至有界优先队列中,以监控到目标网络系统内的数据量下降时,再从有界优先队列中选取正则规则进行匹配。具体地,当监控到目标网络系统内的当前数据量小于或等于预设数据量阈值时,根据规则得分从有界优先队列中选取网络数据和目标正则规则进行匹配,得到威胁检测结果。例如,预设数据量阈值为3000条数据,当监控到目标网络系统内的当前数据量小于或等于3000条数据时,可以选取有界优先队列中规则得分最高的正则规则优先进行计算,并输出匹配结果。本公开示例实施方式中,通过持续对系统的数据量进行监控,可以在数据波峰时按照优先级缓存数据及规则,以及在数据波谷时重新计算规则得分较高的正则规则,可以保证整个威胁检测过程中的数据处理效率。
对应的,参考图6所示,示意性地给出了可以应用本公开实施例的数据处理方法的另一种系统架构示意图,该系统架构中包括缓存单元、分布式任务监控单元、多个算力执行单元和算力调度控制单元。其中,分布式任务监控单元负责实时监测目标网络系统内的数据量变化,当数据量下降达到指定值时,算力调度控制单元开始工作,通过调用一个或多个算力执行单元读取缓存单元中的正则规则和网络数据并重新进行计算,计算完的数据从缓存中移除。
一种具体实施例中,对于正则规则为REG1,假设第一预设周期为1小时,第二预设周期为1天,该正则规则在1小时内的命中次数N为2,在1天内的平均命中次数E也为2,Un为2个月,U为1个月,RG=0.6,α=0.3、β=0.3、γ=0.4。因此,根据式(1)可以计算得到RF=0.5,根据式(2)可以计算得到RU=0.41,根据式(4)可以计算得到NR=0.513,即正则规则REG1的规则得分为0.513。若网络数据1与正则规则REG1匹配超时,将网络数据1和正则规则REG1缓存至按照规则得分排序的有界优先队列中。假设系统内的数据量指定值为3000条数据,当监控到当前数据量下降到3000条或小于3000条时,将有界优先队列中规则得分较高的数据重新计算,得出威胁检测结果。例如,若当前有界优先队列中缓存的规则得分最高的正则规则为REG1时,可以将正则规则REG1和网络数据1优先进行处理。
本公开实施例中的数据处理方法具有良好的通用性与安全保障性,通过将正则分析线程与威胁情报分析线程拆分解耦,可以将算力资源倾斜给耗时的计算任务,同时还能保证系统稳定运行;基于正则特征库的规则匹配次数、CVE更新时间和规则威胁等级三个维度进行权值计算,采用独有的规则分值算法计算正则特征库中各个正则规则的规则得分,从而便于对规则得分较高的正则特征优先处理,使得后续在数据量处于高位时也能优先输出高价值的安全事件;引入超时守护线程和缓存机制,可以避免正则过量回溯导致的算力消耗,并为网络数据及正则规则设置最大缓存时间以应对数据量持续高涨及队列无限膨胀的特殊情况。当数据量回落时调度缓存中的正则规则重新计算,实现系统的算力最大化,适用于普遍的威胁检测系统。另外,该方法支持对各类安全规则分析,以及具有分布式架构的web应用系统的使用场景,具有较好的通用性。
在本公开示例实施方式所提供的数据处理方法中,通过将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。本公开通过计算各个正则规则的规则得分,可以优先调度规则得分较高的正则规则对数据进行威胁检测,使得在数据量处于高位时也能优先输出高价值的安全事件,从而保证数据的处理效率。而且,通过将正则分析线程和其它威胁检测线程进行拆分解耦,可以将算力资源灵活地分配给耗时的威胁检测任务,保证系统稳定运行的同时,进一步提高了数据的处理效率。
应当注意,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
进一步的,本示例实施方式中,还提供了一种数据处理装置。参考图7所示,该数据处理装置700可以包括数据分发模块710、规则确定模块720和规则匹配模块730,其中:
数据分发模块710,用于将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;
规则确定模块720,用于根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;
规则匹配模块730,用于将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
在一种可选的实施方式中,所述多维度规则参数包括规则匹配信息、安全漏洞信息和规则威胁等级;规则确定模块720包括:
第一分值计算模块,用于根据各个所述正则规则的所述规则匹配信息计算各个所述正则规则的第一分值;
第二分值计算模块,用于根据各个所述正则规则的所述安全漏洞信息计算各个所述正则规则的第二分值;
第三分值计算模块,用于根据预设的各个所述正则规则的所述规则威胁等级计算各个所述正则规则的第三分值;
规则得分计算模块,用于对所述第一分值、所述第二分值和所述第三分值进行加权求和,得到各个所述正则规则的所述规则得分。
在一种可选的实施方式中,第一分值计算模块包括:
第一数据统计子模块,用于统计各所述正则规则在第一预设周期内的第一命中次数;
第二数据统计子模块,用于统计各所述正则规则在第二预设周期内的第二命中次数,所述第二预设周期包含多个所述第一预设周期,
第一分值计算子模块,用于根据所述第一命中次数和所述第二命中次数计算各所述正则规则的所述第一分值。
在一种可选的实施方式中,第一分值计算子模块包括:
第一目标数据确定单元,用于根据所述第二命中次数确定目标命中次数;
第一分值计算单元,用于当所述第一命中次数小于所述目标命中次数时,将所述第一命中次数和所述目标命中次数进行对数运算,并将运算结果作为各个所述正则规则的所述第一分值;当所述第一命中次数大于所述目标命中次数时,将第一预设阈值作为各个所述正则规则的所述第一分值。
在一种可选的实施方式中,所述安全漏洞信息包括通用漏洞披露更新时间;第二分值计算模块包括:
第三数据统计子模块,用于统计各所述正则规则在第三预设周期内的第一通用漏洞披露更新间隔时间;
第四数据统计子模块,用于统计各所述正则规则在第四预设周期内的第二通用漏洞披露更新间隔时间,所述第四预设周期包含多个所述第三预设周期,
第二分值计算子模块,用于根据所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间计算各所述正则规则的所述第二分值。
在一种可选的实施方式中,第二分值计算子模块包括:
第二目标数据确定单元,用于根据所述第二通用漏洞披露更新间隔时间确定目标通用漏洞披露更新时间;
第二分值计算单元,用于当所述第一通用漏洞披露更新间隔时间大于所述目标通用漏洞披露更新时间时,将所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间进行三角函数运算,并将运算结果作为各个所述正则规则的所述第二分值;当所述第一通用漏洞披露更新间隔时间小于所述目标通用漏洞披露更新时间时,将第二预设阈值作为各个所述正则规则的所述第二分值。
在一种可选的实施方式中,规则匹配模块730包括:
第一规则匹配子模块,用于监控到所述目标网络系统内的当前数据量大于预设数据量阈值,且所述网络数据与所述目标正则规则的匹配时间小于或等于预设时间阈值时,将所述网络数据与所述目标正则规则进行匹配,得到所述威胁检测结果。
在一种可选的实施方式中,规则匹配模块730还包括:
第二规则匹配子模块,用于监控到所述目标网络系统内的当前数据量大于预设数据量阈值,且所述网络数据与所述目标正则规则的匹配时间大于所述预设时间阈值时,将所述网络数据和所述目标正则规则按照所述目标正则规则的规则得分缓存至有界优先队列中;监控到所述目标网络系统内的当前数据量小于或等于所述预设数据量阈值时,根据所述规则得分从所述有界优先队列中选取所述网络数据和所述目标正则规则进行匹配,得到所述威胁检测结果。
上述数据处理装置中各模块的具体细节已经在对应的数据处理方法中进行了详细的描述,因此此处不再赘述。
本公开的示例性实施方式还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使电子设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。该程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在电子设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本公开的示例性实施方式还提供了一种能够实现上述方法的电子设备。下面参照图8来描述根据本公开的这种示例性实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本公开实施方式的功能和使用范围带来任何限制。
如图8所示,电子设备800可以以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:至少一个处理单元810、至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830和显示单元840。
存储单元820存储有程序代码,程序代码可以被处理单元810执行,使得处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,处理单元810可以执行图2和图4中任意一个或多个方法步骤。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)821和/或高速缓存存储单元822,还可以进一步包括只读存储单元(ROM)823。
存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824,这样的程序模块825包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开示例性实施方式的方法。
此外,上述附图仅是根据本公开示例性实施方式的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (11)

1.一种数据处理方法,其特征在于,包括:
将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;
根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;
将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
2.根据权利要求1所述的数据处理方法,其特征在于,所述多维度规则参数包括规则匹配信息、安全漏洞信息和规则威胁等级;
所述根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,包括:
根据各个所述正则规则的所述规则匹配信息计算各个所述正则规则的第一分值;
根据各个所述正则规则的所述安全漏洞信息计算各个所述正则规则的第二分值;
根据预设的各个所述正则规则的所述规则威胁等级计算各个所述正则规则的第三分值;
对所述第一分值、所述第二分值和所述第三分值进行加权求和,得到各个所述正则规则的所述规则得分。
3.根据权利要求2所述的数据处理方法,其特征在于,所述根据各个所述正则规则的所述规则匹配信息计算各个所述正则规则的第一分值,包括:
统计各所述正则规则在第一预设周期内的第一命中次数;
统计各所述正则规则在第二预设周期内的第二命中次数,所述第二预设周期包含多个所述第一预设周期,
根据所述第一命中次数和所述第二命中次数计算各所述正则规则的所述第一分值。
4.根据权利要求3所述的数据处理方法,其特征在于,所述根据所述第一命中次数和所述第二命中次数计算各所述正则规则的所述第一分值,包括:
根据所述第二命中次数确定目标命中次数;
当所述第一命中次数小于所述目标命中次数时,将所述第一命中次数和所述目标命中次数进行对数运算,并将运算结果作为各个所述正则规则的所述第一分值;
当所述第一命中次数大于所述目标命中次数时,将第一预设阈值作为各个所述正则规则的所述第一分值。
5.根据权利要求2所述的数据处理方法,其特征在于,所述安全漏洞信息包括通用漏洞披露更新时间;
所述根据各个所述正则规则的所述安全漏洞信息计算各个所述正则规则的第二分值,包括:
统计各所述正则规则在第三预设周期内的第一通用漏洞披露更新间隔时间;
统计各所述正则规则在第四预设周期内的第二通用漏洞披露更新间隔时间,所述第四预设周期包含多个所述第三预设周期,
根据所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间计算各所述正则规则的所述第二分值。
6.根据权利要求5所述的数据处理方法,其特征在于,所述根据所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间计算各所述正则规则的所述第二分值,包括:
根据所述第二通用漏洞披露更新间隔时间确定目标通用漏洞披露更新时间;
当所述第一通用漏洞披露更新间隔时间大于所述目标通用漏洞披露更新时间时,将所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间进行三角函数运算,并将运算结果作为各个所述正则规则的所述第二分值;
当所述第一通用漏洞披露更新间隔时间小于所述目标通用漏洞披露更新时间时,将第二预设阈值作为各个所述正则规则的所述第二分值。
7.根据权利要求1所述的数据处理方法,其特征在于,所述将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果,包括:
监控到所述目标网络系统内的当前数据量大于预设数据量阈值,且所述网络数据与所述目标正则规则的匹配时间小于或等于预设时间阈值时,将所述网络数据与所述目标正则规则进行匹配,得到所述威胁检测结果。
8.根据权利要求7所述的数据处理方法,其特征在于,所述将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果,还包括:
监控到所述目标网络系统内的当前数据量大于预设数据量阈值,且所述网络数据与所述目标正则规则的匹配时间大于所述预设时间阈值时,将所述网络数据和所述目标正则规则按照所述目标正则规则的规则得分缓存至有界优先队列中;
监控到所述目标网络系统内的当前数据量小于或等于所述预设数据量阈值时,根据所述规则得分从所述有界优先队列中选取所述网络数据和所述目标正则规则进行匹配,得到所述威胁检测结果。
9.一种数据处理装置,其特征在于,包括:
数据分发模块,用于将目标网络系统内待处理的网络数据分发至多个威胁检测线程,所述威胁检测线程至少包括正则分析线程;
规则确定模块,用于根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的规则得分,并根据所述规则得分确定目标正则规则;
规则匹配模块,用于将所述网络数据与所述目标正则规则进行匹配,得到威胁检测结果。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-8任一项所述方法。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-8任一项所述的方法。
CN202211210355.4A 2022-09-30 2022-09-30 数据处理方法、装置、存储介质及电子设备 Active CN115529188B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211210355.4A CN115529188B (zh) 2022-09-30 2022-09-30 数据处理方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211210355.4A CN115529188B (zh) 2022-09-30 2022-09-30 数据处理方法、装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN115529188A true CN115529188A (zh) 2022-12-27
CN115529188B CN115529188B (zh) 2024-01-30

Family

ID=84701658

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211210355.4A Active CN115529188B (zh) 2022-09-30 2022-09-30 数据处理方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN115529188B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792804A (zh) * 2024-02-28 2024-03-29 成都九洲电子信息系统股份有限公司 基于位图和预过滤的网络威胁筛选方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120284221A1 (en) * 2009-11-17 2012-11-08 Jerome Naifeh Methods and apparatus for analyzing system events
CN111416818A (zh) * 2020-03-17 2020-07-14 北京金山云网络技术有限公司 网站的安全防护方法、装置和服务器
CN111935149A (zh) * 2020-08-11 2020-11-13 北京天融信网络安全技术有限公司 一种漏洞检测方法及系统
CN112491784A (zh) * 2020-10-14 2021-03-12 新浪网技术(中国)有限公司 Web网站的请求处理方法及装置、计算机可读存储介质
CN112700252A (zh) * 2021-03-25 2021-04-23 腾讯科技(深圳)有限公司 一种信息安全性检测方法、装置、电子设备和存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120284221A1 (en) * 2009-11-17 2012-11-08 Jerome Naifeh Methods and apparatus for analyzing system events
CN111416818A (zh) * 2020-03-17 2020-07-14 北京金山云网络技术有限公司 网站的安全防护方法、装置和服务器
CN111935149A (zh) * 2020-08-11 2020-11-13 北京天融信网络安全技术有限公司 一种漏洞检测方法及系统
CN112491784A (zh) * 2020-10-14 2021-03-12 新浪网技术(中国)有限公司 Web网站的请求处理方法及装置、计算机可读存储介质
CN112700252A (zh) * 2021-03-25 2021-04-23 腾讯科技(深圳)有限公司 一种信息安全性检测方法、装置、电子设备和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792804A (zh) * 2024-02-28 2024-03-29 成都九洲电子信息系统股份有限公司 基于位图和预过滤的网络威胁筛选方法及系统
CN117792804B (zh) * 2024-02-28 2024-06-11 成都九洲电子信息系统股份有限公司 基于位图和预过滤的网络威胁筛选方法及系统

Also Published As

Publication number Publication date
CN115529188B (zh) 2024-01-30

Similar Documents

Publication Publication Date Title
Yadwadkar et al. Selecting the best vm across multiple public clouds: A data-driven performance modeling approach
US11442764B2 (en) Optimizing the deployment of virtual resources and automating post-deployment actions in a cloud environment
EP3635602B1 (en) Validating correlation between chains of alerts using cloud view
US9612807B2 (en) Code placement using a dynamic call graph
US10248561B2 (en) Stateless detection of out-of-memory events in virtual machines
US10783002B1 (en) Cost determination of a service call
US10831785B2 (en) Identifying security breaches from clustering properties
US10073866B2 (en) Dynamic test case prioritization for relational database systems
US20130205027A1 (en) Automatic Cloud Provisioning Based on Related Internet News and Social Network Trends
US20080189488A1 (en) Method and apparatus for managing a stack
US20090216707A1 (en) File resource usage information in metadata of a file
CN111338901A (zh) 一种Redis监控方法、Redis监控装置及终端
US12019739B2 (en) User behavior risk analytic system with multiple time intervals and shared data extraction
CN115529188B (zh) 数据处理方法、装置、存储介质及电子设备
CN113762906A (zh) 任务周期延迟的告警方法、装置、设备及存储介质
US10120719B2 (en) Managing resource consumption in a computing system
CN109643349B (zh) 基于症状时长以及端点在环境中的重要性的端点的动态排名和呈现
CN102004674A (zh) 用于基于策略的适应性程序配置的系统及方法
US11477215B2 (en) Scaling a processing resource of a security information and event management system
CN117033146A (zh) 指定共识合约执行进程的识别方法、装置、设备及介质
JP7305641B2 (ja) リモートデバイスからのアプリケーションアクティビティデータをトラッキングし、リモートデバイスのための修正動作データ構造を生成するための方法およびシステム
US20200192778A1 (en) Real-time collaboration dynamic logging level control
US11620205B2 (en) Determining influence of applications on system performance
CN112306831B (zh) 计算集群错误预测方法及相关设备
Li et al. dCCPI-predictor: A state-aware approach for effectively predicting cross-core performance interference

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant