CN115587357A - 一种基于大数据的威胁场景分析方法及系统 - Google Patents

一种基于大数据的威胁场景分析方法及系统 Download PDF

Info

Publication number
CN115587357A
CN115587357A CN202211417009.3A CN202211417009A CN115587357A CN 115587357 A CN115587357 A CN 115587357A CN 202211417009 A CN202211417009 A CN 202211417009A CN 115587357 A CN115587357 A CN 115587357A
Authority
CN
China
Prior art keywords
threat
data
rule
event
event processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211417009.3A
Other languages
English (en)
Inventor
孙鸿斌
王少南
马天宁
陈青民
白旭东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing An Xin Tian Xing Technology Co ltd
Original Assignee
Beijing An Xin Tian Xing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing An Xin Tian Xing Technology Co ltd filed Critical Beijing An Xin Tian Xing Technology Co ltd
Priority to CN202211417009.3A priority Critical patent/CN115587357A/zh
Publication of CN115587357A publication Critical patent/CN115587357A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明涉及一种基于大数据的威胁场景分析方法及系统。该方法包括根据日志数据的安全威胁场景的特征形成事件规则;将事件规则导入复杂事件处理规则引擎中;所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。本发明能够从大量数据中发现威胁信息并及时告警,实现海量数据高效处理的能力,实现运维、管理、决策的提质增效。

Description

一种基于大数据的威胁场景分析方法及系统
技术领域
本发明涉及数据处理领域,特别是涉及一种基于大数据的威胁场景分析方法及系统。
背景技术
大数据时代,当前数据安全事件层出不穷,数据窃取、篡改、个人隐私泄露等数据安全问题已成为社会关注的焦点。当前一种有效的应对方式是通过分析数据安全威胁场景的特征形成事件规则,结合规则引擎进行事件告警输出。但在真实环境中往往存在复杂的攻击,例如网络安全设备告警多、散、乱,难以从中发现安全隐患,且存在大量误报信息;运维多充当救火队员,缺少高效安全运维手段,多数情况下,安全事件发生后才知晓,造成非常被动的局面;规则单一、匹配深度过浅及无关联性会导致大量的攻击行为遗漏和告警不精准问题。
基于上述问题亟需一种数据分析方法或系统。
发明内容
本发明的目的是提供一种基于大数据的威胁场景分析方法及系统,能够从大量数据中发现威胁信息并及时告警,实现海量数据高效处理的能力,实现运维、管理、决策的提质增效。
为实现上述目的,本发明提供了如下方案:
一种基于大数据的威胁场景分析方法,包括:
根据日志数据的安全威胁场景的特征形成事件规则;
将事件规则导入复杂事件处理规则引擎中;
所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。
可选地,所述根据日志数据的安全威胁场景的特征形成事件规则,具体包括:
获取不同来源的日志数据;所述不同来源的日志数据包括:服务器的日志数据、网络设备的日志数据、安全设备的日志数据以及流量日志数据;
对不同来源的日志数据进行归一化处理,并添加日志类型标签;
根据添加日志类型标签后的日志数据确定威胁事件的表现特征;
根据威胁事件的表现特征建立威胁规则时序模型,并关联威胁风险攻击模型,确定安全威胁场景的特征形成事件规则。
可选地,所述根据威胁事件的表现特征建立威胁规则时序模型,并关联威胁风险攻击模型,确定安全威胁场景的特征形成事件规则,具体包括:
根据威胁规则时序模型以及关联的威胁风险攻击模型建立时间窗以及触发条件。
可选地,所述将事件规则导入复杂事件处理规则引擎中,具体包括:
将事件规则转化成事件处理语言;
将转化后的事件规则导入复杂事件处理规则引擎中。
可选地,所述复杂事件处理规则引擎包括:实时复杂事件处理和离线复杂事件处理。
一种基于大数据的威胁场景分析系统,包括:
事件规则形成模块,用于根据日志数据的安全威胁场景的特征形成事件规则;
事件规则导入模块,用于将事件规则导入复杂事件处理规则引擎中;
威胁告警数据确定模块,用于所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。
一种基于大数据的威胁场景分析系统,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如所述的一种基于大数据的威胁场景分析方法。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明所提供的一种基于大数据的威胁场景分析方法及系统,根据日志数据的安全威胁场景的特征形成事件规则,使用复杂事件处理(Complex Event Processing,CEP)规则引擎对标准化的日志做深度关联分析,生成安全告警事件,并推送给安全运维人员,结合工作流引擎从而完成防护—检测—响应的整个安全事件运营的闭环管理。利用大数据分析与人工智能技术,并结合威胁风险攻击和风险分析模型,对不同数据进行融合分析,发现配置违规、网络安全、数据安全、行为异常等安全事件,同时利用实时复杂事件处理和离线复杂事件处理处理进行数据多维度分析计算统计,计算整体风险指数,为数据展示层提供数据支撑。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的一种基于大数据的威胁场景分析方法流程示意图;
图2为本发明所提供的一种基于大数据的威胁场景分析方法整体流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于大数据的威胁场景分析方法及系统,能够从大量数据中发现威胁信息并及时告警,实现海量数据高效处理的能力,实现运维、管理、决策的提质增效。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明所提供的一种基于大数据的威胁场景分析方法流程示意图,图2为本发明所提供的一种基于大数据的威胁场景分析方法整体流程示意图,如图1和图2所示,本发明所提供的一种基于大数据的威胁场景分析方法,包括:
S101,根据日志数据的安全威胁场景的特征形成事件规则;
S101具体包括:
获取不同来源的日志数据;所述不同来源的日志数据包括:服务器的日志数据、网络设备的日志数据、安全设备的日志数据以及流量日志数据;
对不同来源的日志数据进行归一化处理,并添加日志类型标签;其中日志类型标签包括但不限于linux-message、linux-secure、windows-secure、net-switch、net-router、safe-apt、safe-ids、safe-ips、safe-waf、safe-firewall、safe-avs、safe-avfw、safe-blj、mw-tomcat-access、mw-tomcat-error、mw-apache-access、mw-apache-error、mw-nginx-access、mw-nginx-error、db-mysql、db-oracle、bns、flow、other等,存储至数据引擎和缓存消息队列。
根据添加日志类型标签后的日志数据确定威胁事件的表现特征;采用模糊数学模型对所述待识别威胁的表现特性(字段关键词)、所述待识别威胁的流行度特征、所述待识别威胁的流量特征以及所述待识别威胁的端口协议不匹配特征进行融合,得到所述待识别威胁的综合特征值;定义影响因素的集合A={A1,A2,A3,...An},A={表现特性(字段关键词),流行度特征,流量特征,端口协议不匹配特征};
定义用到的评估集W={W1,W2,W3,...,Wm};
定义单因射:f1:A→(W),Ai|→f1(Ai)=(ai,1,ai,2,...,ai,m)∈(W),其中ai,j中的i和j分别满足1≤i≤n,1≤j≤m,其值代表Ai在Wm’因素中的评估值,并且ai,1+ai,2+ai,3+...+ai,m=1,通过中间的模糊映射,得到模糊关系。
预定义一个权重矩阵Z;Z=[Z1,Z2,...,Zn],其中,z1+z2+...+zn=1,在集合里面的每一个元素的数值代表了集合中每个影响因素的重要程度,让R与Z进行最大最小合成运算,得到特征提取的综合值。
根据威胁事件的表现特征建立威胁规则时序模型,并关联威胁风险攻击模型,确定安全威胁场景的特征形成事件规则。威胁规则时序模型为第一步关键特征,然后第二步产生关键动作,最后产生关键数据;
其中,威胁风险攻击模型技术描述了对手为达到战术目标而采取的行动。在每个战术类别中,都有有限数量的行动可以完成该战术的目标。在他们妥协后的整个行动过程中,对手不断地根据知识、获得的关于目标环境的信息、未来行动所需的信息和当前可用的能力来决定使用哪种技术。技术以独立于特定对手恶意软件和工具的方式描述操作。这种方法的好处是,它涵盖了对手通过远程访问工具、脚本或命令行界面上的交互所表现出的行为。关联威胁风险攻击模型技术包括12种战术如下:
(1)初始访问
初始访问是攻击者在企业环境中的立足点,攻击者会使用不同技术来实现这一目的。
(2)执行
无论攻击者通过任何手段,都只有“执行”战术才能最终达到攻击的目的。恶意软件或代码必须被执行,安全防御人员就一定有机会阻止或者检测发现。但是,并非所有的恶意代码都可以轻松被发现。攻击者会对其精心包装,做了加壳甚至自动备份隐藏,在面对这种机器无法扫描到的情况就需要管理员手动干预。
(3)持久化
如开勒索软件,大多数攻击者的存活时间只取决于他何时被检测系统发现。在攻击者成功“持久化”之后,即便运维人员采取重启、更改凭据等措施后,持久化依然可以让计算机再次感染病毒或维护其现有连接。例如“更改注册表、启动文件夹、镜像劫持(IFEO)”等。
(4)提权
并非每位攻击者都能够使用管理员账号进行攻击,提权成功往往意味着入侵攻击的阶段性胜利,利用系统漏洞达到root级访问权限是攻击者的核心目标之一。
(5)防御绕过
“防御绕过”战术中有一些技术可以让一些恶意代码骗过防御措施,让这些防御措施失效,也可能使其绕过白名单技术。例如,修改注册表键值、删除核心文件、禁用安全工具等。为了应对这一技术,防御方可以通过监视终端上的异常更改并收集关键系统的日志,让入侵绕无可绕。
(6)凭据访问
“凭据访问”也是攻击者当中较为常见的战术之一,“凭据”本身就是攻击者的关键目标之一。有了凭据,攻击者在节省大量的攻击成本的同时,还能减少攻击被发现的风险。因为坚固的堡垒往往容易被从内部攻破。
(7)发现
企业环境下因为业务的正常运营,必然会暴露一些有价值的信息,这些信息往往又是攻击者的目标之一。容器化的企业环境更是让这一战术更加难以防御,频频爆出的用户隐私泄密便是最好的证明。
(8)横向移动
在攻击者攻入系统后,无论是为了收集信息还是为了下一步攻击寻找突破点,通常都会试图在网络内“横向移动”。攻击者一般会先寻找一个落脚点,然后开始在各个系统中试图做出任何可能的移动,寻找更好的访问权限,最终控制整个网络。
(9)收集
“收集”战术是一种攻击者为了发现和收集实现目标所需的数据而采取的技术。我们可以利用白名单机制对这样的异常行为进行免疫防御。
(10)命令和控制
大多数恶意软件都有一定程度的命令和控制权。攻击者可以通过命令和控制权来渗透数据、控制恶意代码。对于每种命令和控制,攻击者都是从远程位置访问网络。因此实时监控、命令和控制对于解决这些技术至关重要。
(11)数据渗漏
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手数据渗透。但并不是所有恶意软件都能到达这个阶段。例如,勒索软件通常对数据逐渐渗出没有兴趣。与“收集”战术一样,白名单机制可以有效的应对这一情况。
(12)影响
用于“影响”的技术包括但不限于破坏或篡改数据,攻击者试图操纵、干扰或破坏企业的系统和数据。在极端情况下,业务流程可能表面上看起来没有问题,但其实已经被秘密篡改。
威胁风险攻击模型战术碰撞,举例说明如下:
行为:通过使用schtasks.exe的调度任务远程执行。
威胁风险攻击模型战术碰撞要求:
1.提供SMB(服务器消息块—Windows文件共享机制)访问远程系统的凭据或现有域权限。
2.能够将一个文件移动到远程系统,以便根据计划的任务执行。
3.允许在本地系统上运行schtasks.exe。默认情况下,任何用户都可以运行schtasks.exe。
4.对远程系统的管理访问,通过远程过程调用调度任务。
威胁风险攻击模型战术碰撞原因:
1.在命令行界面上调用schtasks.exe,参数用于在远程系统上执行文件。
威胁风险攻击模型战术碰撞效果:
1.exe进程在本地系统上启动。
2.从本地系统到目标系统建立RPC连接。
3.该任务的条目位于远程系统的“%SystemRoot%\Tasks\M目录下。
4.远程系统上的文件在指定的时间作为taskeng.exe的子进程执行。
5.后续的系统更改是由二进制文件或脚本的执行引起的。例如,如果程序是远程访问工具,则产生的进程可能尝试打开网络连接。
根据威胁规则时序模型以及关联的威胁风险攻击模型建立时间窗以及触发条件。
S102,将事件规则导入复杂事件处理规则引擎中;
S102具体包括:
将事件规则转化成事件处理语言;
将转化后的事件规则导入复杂事件处理规则引擎中。
所述复杂事件处理规则引擎包括:实时复杂事件处理和离线复杂事件处理。
实时复杂事件处理通过获取设备运行中的实时日志数据,使用CEP引擎检测出异常访问行为,形成安全事件,从而达到实时的安全防护。
离线复杂事件处理采用最小日志源双向关联算法从任意阶段开始搜索,结合关联条件,反复迭代搜索,在内存数据库中完成聚合关联分析处理,从而发现威胁事件。
S103,所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。
实现复杂事件处理(CEP)规则引擎的复杂事件处理步骤如下:
步骤1:根据威胁规则,归纳事件检测逻辑,并转化成事件处理语言(EPL);
步骤1.1:对检测出的安全事件发出告警。
步骤1.2:整理检测出的安全事件逻辑,形成事件描述过程添加到规则库中。
步骤2:将EPL集成到CEP规则引擎中并执行;
步骤2.1:将EPL加载到CEP规则引擎中,通过解析校验EPL等流程,最终得到一个物理执行流程图并分发到集群的各个worker节点,按照事件匹配规则对实时日志流进行检测,形成规则、监测与告警的完整过程。
步骤3:根据数据模型计算模型类型不同,加载不同的数据源;
步骤3.1:通过流式分析技术,数据来源监听kafka队列,实时读取数据进行分析,匹配威胁规则模型;
步骤3.2:静态分析数据来源为大数据存储组件(HDFS、Elasticsearch等),定时读取数据进行分析,匹配威胁规则模型;
步骤4:关联威胁风险攻击模型,识别威胁事件存在的阶段;
步骤5:形成安全事件,关联原始数据和涉及资产信息;
步骤6:安全事件闭环处置,完成防护—检测—响应的整个安全事件运营的闭环管理,
针对上述方法,本发明提供了一种基于大数据的威胁场景分析系统,包括:
事件规则形成模块,用于根据日志数据的安全威胁场景的特征形成事件规则;
事件规则导入模块,用于将事件规则导入复杂事件处理规则引擎中;
威胁告警数据确定模块,用于所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,,本发明还提供了一种基于大数据的威胁场景分析系统,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如所述的一种基于大数据的威胁场景分析方法。
本发明使用复杂事件处理技术,通过关联、时序、聚合等方式对多种数据进行分析处理,通过接收不同设备包括服务器、网络设备、安全设备等发出的安全日志、行为日志以及数据访问和传输日志,再经过平台解析、增强、归一化等技术标准化后,使用CEP规则引擎对标准化的日志做深度关联分析,生成安全告警事件,并推送给安全运维人员进行工单处置,从而完成防护—检测—响应的整个安全事件运营的闭环管理。
本发明依托大数据分析平台,利用大数据分析与人工智能技术,并结合威胁风险攻击和风险分析模型,对不同数据进行融合分析,发现配置违规、网络安全、数据安全、行为异常等安全事件,同时利用实时复杂事件处理和离线复杂事件处理进行数据多维度分析计算统计,计算整体风险指数,为数据展示层提供数据支撑。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种基于大数据的威胁场景分析方法,其特征在于,包括:
根据日志数据的安全威胁场景的特征形成事件规则;
将事件规则导入复杂事件处理规则引擎中;
所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。
2.根据权利要求1所述的一种基于大数据的威胁场景分析方法,其特征在于,所述根据日志数据的安全威胁场景的特征形成事件规则,具体包括:
获取不同来源的日志数据;所述不同来源的日志数据包括:服务器的日志数据、网络设备的日志数据、安全设备的日志数据以及流量日志数据;
对不同来源的日志数据进行归一化处理,并添加日志类型标签;
根据添加日志类型标签后的日志数据确定威胁事件的表现特征;
根据威胁事件的表现特征建立威胁规则时序模型,并关联威胁风险攻击模型,确定安全威胁场景的特征形成事件规则。
3.根据权利要求2所述的一种基于大数据的威胁场景分析方法,其特征在于,所述根据威胁事件的表现特征建立威胁规则时序模型,并关联威胁风险攻击模型,确定安全威胁场景的特征形成事件规则,具体包括:
根据威胁规则时序模型以及关联的威胁风险攻击模型建立时间窗以及触发条件。
4.根据权利要求1所述的一种基于大数据的威胁场景分析方法,其特征在于,所述将事件规则导入复杂事件处理规则引擎中,具体包括:
将事件规则转化成事件处理语言;
将转化后的事件规则导入复杂事件处理规则引擎中。
5.根据权利要求1所述的一种基于大数据的威胁场景分析方法,其特征在于,所述复杂事件处理规则引擎包括:实时复杂事件处理和离线复杂事件处理。
6.一种基于大数据的威胁场景分析系统,其特征在于,包括:
事件规则形成模块,用于根据日志数据的安全威胁场景的特征形成事件规则;
事件规则导入模块,用于将事件规则导入复杂事件处理规则引擎中;
威胁告警数据确定模块,用于所述复杂事件处理规则引擎利用复杂事件处理技术进行待识别的日志数据的威胁识别,得到威胁告警数据。
7.一种基于大数据的威胁场景分析系统,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-5中任一项所述的一种基于大数据的威胁场景分析方法。
CN202211417009.3A 2022-11-14 2022-11-14 一种基于大数据的威胁场景分析方法及系统 Pending CN115587357A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211417009.3A CN115587357A (zh) 2022-11-14 2022-11-14 一种基于大数据的威胁场景分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211417009.3A CN115587357A (zh) 2022-11-14 2022-11-14 一种基于大数据的威胁场景分析方法及系统

Publications (1)

Publication Number Publication Date
CN115587357A true CN115587357A (zh) 2023-01-10

Family

ID=84783080

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211417009.3A Pending CN115587357A (zh) 2022-11-14 2022-11-14 一种基于大数据的威胁场景分析方法及系统

Country Status (1)

Country Link
CN (1) CN115587357A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117609990A (zh) * 2023-09-18 2024-02-27 中国电子科技集团公司第十五研究所 一种基于场景关联分析引擎的自适应安全防护方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117609990A (zh) * 2023-09-18 2024-02-27 中国电子科技集团公司第十五研究所 一种基于场景关联分析引擎的自适应安全防护方法及装置

Similar Documents

Publication Publication Date Title
Apruzzese et al. Modeling realistic adversarial attacks against network intrusion detection systems
US11483318B2 (en) Providing network security through autonomous simulated environments
US7530105B2 (en) Tactical and strategic attack detection and prediction
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US9369484B1 (en) Dynamic security hardening of security critical functions
CN111931166B (zh) 基于代码注入和行为分析的应用程序防攻击方法和系统
CN113661693A (zh) 经由日志检测敏感数据暴露
EP2610776A2 (en) Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
CN110213226B (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
CN106687971A (zh) 用来减少软件的攻击面的自动代码锁定
CN109684835A (zh) 使用机器学习来检测恶意文件的系统和方法
KR102222377B1 (ko) 위협 대응 자동화 방법
US20210406368A1 (en) Deep learning-based analysis of signals for threat detection
Sharma et al. Advanced Persistent Threats (APT): evolution, anatomy, attribution and countermeasures
Ganesh et al. A systematic literature review on forensics in cloud, IoT, AI & blockchain
Perera et al. The next gen security operation center
CN115587357A (zh) 一种基于大数据的威胁场景分析方法及系统
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
Yermalovich Ontology-based model for security assessment: Predicting cyberattacks through threat activity analysis
Alsmadi Cyber threat analysis
Mukherjee et al. Evading {Provenance-Based}{ML} Detectors with Adversarial System Actions
Araujo et al. Evidential cyber threat hunting
Sneha et al. Ransomware detection techniques in the dawn of artificial intelligence: a survey
CN110247888A (zh) 一种计算机网络安全态势感知平台架构
Shin et al. Alert correlation using diamond model for cyber threat intelligence

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination