CN115643118B - 一种用于tda的防御威胁攻击的方法、电子设备和介质 - Google Patents
一种用于tda的防御威胁攻击的方法、电子设备和介质 Download PDFInfo
- Publication number
- CN115643118B CN115643118B CN202211660769.7A CN202211660769A CN115643118B CN 115643118 B CN115643118 B CN 115643118B CN 202211660769 A CN202211660769 A CN 202211660769A CN 115643118 B CN115643118 B CN 115643118B
- Authority
- CN
- China
- Prior art keywords
- analysis result
- data packet
- program
- content analysis
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防御威胁攻击的方法,所述方法用于TDA,所述TDA安装在网络交换机上,所述方法包括:获取所述网络交换机接收到的原始数据包;创建所述原始数据包的镜像数据包;根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。所述方法能够有效防御威胁攻击,提高通信安全性。本发明还公开了一种电子设备及计算机存储介质。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种用于威胁发现设备(TDA,ThreatDiscovery Appliance)的防御威胁攻击的方法、一种电子设备和一种计算机可读介质。
背景技术
APT(Advanced Persistent Threat,高级持续性威胁)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,大多数APT攻击都是利用未知漏洞(如0 day)和未知恶意代码来进行的。然而,传统的依靠已知特征检测攻击的IDS(IntrusionDetection Systems,入侵检测系统)和IPS(Intrusion Prevention System,入侵防御系统),在无法预知攻击特征和攻击行为模式的情况下,对APT攻击将无能为力。
发明内容
本发明提供一种防御威胁攻击的方法、一种电子设备和一种计算机可读介质。
为了实现上述目的,本发明第一方面提供一种防御威胁攻击的方法,其中,所述方法用于威胁发现设备TDA,所述TDA安装在网络交换机上,所述方法包括:
获取所述网络交换机接收到的原始数据包;
创建所述原始数据包的镜像数据包;
根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;
在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。
可选地,所述发现规则包括程序发现规则、攻击发现规则和交叉关联规则,所述内容分析结果包括第一分析结果、第二分析结果和第三分析结果;
所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:
利用所述程序发现规则对所述镜像数据包进行匹配,得到第一分析结果;
利用所述攻击发现规则对所述镜像数据包进行匹配,得到第二分析结果;
通过所述交叉关联规则对所述第一分析结果、以及所述第二分析结果均指示安全的内容进行分析,得到第三分析结果;
所述威胁通知消息中携带有标记指示消息和程序标识,所述标记指示消息用于指示所述网络交换机对所述程序标识对应的程序进行标记。
可选地,所述程序发现规则包括恶意程序发现规则和/或未经授权程序发现规则,且所述未经授权程序发现规则所处理的程序、以及所述恶意程序发现规则所处理的程序均选自以下至少之一:
即时通讯程序、P2P文件共享程序、流媒体程序、邮件传输协议SMTP中继服务、域名解析系统DNS服务。
可选地,所述攻击发现规则包括web攻击及邮件攻击发现规则。
可选地,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息之前,所述方法还包括:
对所述内容分析结果进行聚合,获得聚合结果;
根据所述聚合结果确定是否存在威胁。
可选地,所述获取所述网络交换机接收到的原始数据包,包括:
扫描所述网络交换机的所有端口,获取所述网络交换机接收到的原始数据包。
可选地,所述方法还包括:
根据所述内容分析结果,更新本地的逻辑分析日志文件。
可选地,在创建所述原始数据包的镜像数据包之后,所述方法还包括:利用预设的通讯协议转换规则对所述镜像数据包进行通讯协议转换,得到支持特定通讯协议的镜像数据包;
所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:所述根据预设的发现规则对所述支持特定通讯协议的镜像数据包进行内容分析处理,得到内容分析结果。
作为本公开的第二个方面,提供一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现所述防御威胁攻击的方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
作为本公开的第三个方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现所述防御威胁攻击的方法。
本发明具有如下优点:
通过获取所述网络交换机接收到的原始数据包,创建所述原始数据包的镜像数据包,根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息,能够有效防御威胁攻击,提高通信安全性。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例提供的一种防御威胁攻击的方法的流程示意图;
图2为步骤S13的一种实施方式的示意图;
图3为本发明实施例提供的TDA的一种实施方式的模块示意图;
图4是本发明实施例所提供的电子设备的模块示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如本发明所使用的,术语“和/或”包括一个或多个相关列举条目的任何和全部组合。
本发明所使用的术语仅用于描述特定实施例,且不意欲限制本发明。如本发明所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。
当本发明中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
本发明所述实施例可借助本发明的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。
除非另外限定,否则本发明所用的全部术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本发明的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本发明明确如此限定。
APT攻击已被证实能渗透进入标准安全防御体系,而且能在窃取数据、实施破坏后数月不被发现。从2015年至今,安全专家团队已发现20多个0 Day漏洞,涉及Windows 操作系统、IE浏览器、Flash Player(一种多媒体程序播放器)、Office(微软公司开发的办公软件)等。
APT攻击的原理相较于其他攻击形式的原理而言,更为高级、先进和隐蔽,其高级性主要体现在:在发动APT攻击之前需要对攻击对象的业务流程和目标系统进行精确的信息收集。在信息收集过程中,APT攻击会主动挖掘攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0 day漏洞进行攻击。
传统的安全防御体系产品主要工作在OSI(Open System Interconnection,网络七层协议)网络中的2-7层进行数据分析,其中,与APT攻击相关的7层网络设备主要使用IPS和IDS功能。目前IDS和IPS的核心防御模式是利用攻击特征库对已知特征进行模式匹配以检测攻击行为,然而,大多数APT攻击都是利用未知漏洞(如0 day)和未知恶意代码来进行的,传统的依靠已知特征检测攻击的IDS和IPS,在无法预知攻击特征和攻击行为模式的情况下,对APT攻击将无能为力。
APT攻击通常都会在内网内留下蛛丝马迹,若按照传统的安全事件分析思路,可以从企业内部安全设备的告警日志中找到相关信息,但传统安全设备并不具备对APT攻击的有效检测手段,也就不可能生成相应的告警日志,安全人员很难从这些告警日志中找出真正的威胁信息。若采用全流量采集方法,全流量数据采集会占用巨大的存储空间,则设备存储成本会很高,企业通常很难有足够的存储资源来支撑长时间的存储,同时,全流量数据不但包含结构化数据还包含图片和视频等多种格式,很难对其进行格式化检索,这也导致了安全人员很难从海量数据中定位到有价值的威胁数据。
因此,急需一种针对APT攻击的有效解决方案,以便可以及时发现和精准定位潜藏在网络内部的APT安全威胁,可以对入侵途径及攻击场景进行甄别和溯源,最大程度地减少APT安全威胁带来的损失。
第一方面,本发明实施例提供一种防御威胁攻击的方法,所述方法用于威胁发现设备TDA,所述TDA安装在网络交换机上,如图1所示,所述方法可以包括如下步骤:
在步骤S11中,获取所述网络交换机接收到的原始数据包;
在步骤S12中,创建所述原始数据包的镜像数据包;
在步骤S13中,根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;
在步骤S14中,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。
其中,内容分析结果可以为存在威胁或不存在威胁,在所述内容分析结果为存在威胁的情况下,内容分析结果还可以包括预设的威胁来源标识和威胁类型标识,例如,威胁来源标识可以是程序标识、报文标识、邮件标识等等,威胁类型标识可以包括APT攻击标识、DNS欺骗标识等等。
获取所述网络交换机接收到的原始数据包后,并不根据预设的发现规则直接对原始镜像数据包进行内容分析处理,而是对原始数据包的镜像数据包进行内容分析处理,有效避免网络服务中断。
从上述步骤S11-S14可以看出,本发明实施例提供的防御威胁攻击的方法,通过获取所述网络交换机接收到的原始数据包,创建所述原始数据包的镜像数据包,根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息,能够有效防御威胁攻击,提高通信安全性。
作为一种可选实施方式,所述发现规则可以包括程序发现规则、攻击发现规则和交叉关联规则。相应地,所述内容分析结果包括第一分析结果、第二分析结果和第三分析结果。
相应地,如图2所示,步骤S13可以包括:
在步骤S131中,利用所述程序发现规则对所述镜像数据包进行匹配,得到第一分析结果;
在步骤S132中,利用所述攻击发现规则对所述镜像数据包进行匹配,得到第二分析结果;
在步骤S133中,通过所述交叉关联规则对所述第一分析结果、以及所述第二分析结果均指示安全的内容进行分析,得到第三分析结果。
通过步骤S131可以发现具有威胁的程序,通过攻击发现规则可以发现针对数据发起的攻击,通过交叉关联规则可以对第一分析结果、和第二分析结果认定为安全的部分进行进一步的分析,以进一步发现隐蔽细小的威胁活动。
在本公开中,对所述程序发现规则不做特殊的限定。作为一种可选实施方式,所述程序发现规则包括恶意程序发现规则,通过所述恶意程序发现规则可以确定所述镜像数据包中是否存在恶意程序。
作为另一种可选实施方式,所述程序发现规则还可以包括未经授权程序发现规则,通过所述未经授权程序发现规则可以确定镜像数据包中是否存在未经授权程序。
相应地,所述威胁通知消息中携带有标记指示消息和程序标识,所述标记指示消息用于指示所述网络交换机对所述程序标识对应的程序进行标记。
在本公开中,所述程序发现规则所处理的程序包括以下至少之一:
即时通讯程序、P2P文件共享程序、流媒体程序、邮件传输协议SMTP中继服务、域名解析系统DNS服务。
在一些实施例中,所述供给发现规则包括web攻击及邮件攻击发现规则。
在本公开中,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息之前,所述方法还包括:
对所述内容分析结果进行聚合,获得聚合结果;
根据所述聚合结果确定是否存在威胁。
在一些实施例中,所述获取所述网络交换机接收到的原始数据包(即步骤S11)可以包括如下步骤:扫描所述网络交换机的所有端口,获取所述网络交换机接收到的原始数据包。
在一些实施例中,在所述创建所述原始数据包的镜像数据包(即步骤S12)之后,所述方法还可以包括如下步骤:根据预设的关联规则对所述镜像数据包进行关联分析处理,得到关联分析结果。
在一些实施例中,所述方法还可以包括如下步骤:根据所述内容分析结果,更新本地的逻辑分析日志文件。
TDA提供的威胁管理服务利用强大的“云安全”技术进行关联分析,以提高威胁检测及根源分析效率。先进的相关性逻辑分析日志文件将减少误报,从而发现隐藏的恶意威胁,确保更高的检测准确性。
随着网络安全威胁的不断演化,企业亟需解决的威胁已由传统安全威胁转为针对性攻击和APT等未知威胁。未知威胁针对性强、潜伏时间长,面对这类威胁,依靠单一术和产品,企业很难做出有效的威胁发现和阻断措施。为帮助企业应对,最新的安全威胁实现内部安全产品的联动机制。联动机制旨在帮助企业构建更有效的未知威防御和治理体系,确保在网络网关、物理服务器、物理终端、云和虚拟化终端层面为企业来最佳的安全防护。
在一些实施例中,在创建所述原始数据包的镜像数据包(即步骤S12)之后,所述方法还可以包括如下步骤:
利用预设的通讯协议转换规则对所述镜像数据包进行通讯协议转换,得到支持特定通讯协议的镜像数据包。
相应的,所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果(即步骤S13)可以包括如下步骤:所述根据预设的发现规则对所述支持特定通讯协议的镜像数据包进行内容分析处理,得到内容分析结果。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
第二方面,本发明实施例提供一种TDA,如图3所示,该TDA可以包括如下模块:
获取模块101,用于获取所述网络交换机接收到的原始数据包;
创建模块102,用于创建所述原始数据包的镜像数据包;
处理模块103,用于根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;
发送模块104,用于在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。
需要明确的是,本发明并不局限于上文实施例中所描述并在图中示出的特定配置和处理。为了描述的方便和简洁,这里省略了对已知方法的详细描述,并且上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
参照图4,本发明实施例提供一种电子设备,其包括:
一个或多个处理器101;
存储器102,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述任意一项的防御威胁攻击方法;
一个或多个I/O接口103,连接在处理器与存储器之间,配置为实现处理器与存储器的信息交互。
其中,处理器101为具有数据处理能力的器件,其包括但不限于中央处理器(CPU)等;存储器102为具有数据存储能力的器件,其包括但不限于随机存取存储器(RAM,更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH);I/O接口(读写接口)103连接在处理器101与存储器902间,能实现处理器101与存储器102的信息交互,其包括但不限于数据总线(Bus)等。
在一些实施例中,处理器101、存储器102和I/O接口103通过总线相互连接,进而与计算设备的其它组件连接。
本实施例还提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本实施例提供的防御威胁攻击方法,为避免重复描述,在此不再赘述防御威胁攻击方法的具体步骤。
本领域普通技术人员可以理解,上文中所发明方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本实施例的范围之内并且形成不同的实施例。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (9)
1.一种防御威胁攻击的方法,其特征在于,所述方法用于TDA,所述TDA安装在网络交换机上,所述方法包括:
获取所述网络交换机接收到的原始数据包;
创建所述原始数据包的镜像数据包;
根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;
在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息,
所述发现规则包括程序发现规则、攻击发现规则和交叉关联规则,所述内容分析结果包括第一分析结果、第二分析结果和第三分析结果;
所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:
利用所述程序发现规则对所述镜像数据包进行匹配,得到第一分析结果;
利用所述攻击发现规则对所述镜像数据包进行匹配,得到第二分析结果;
通过所述交叉关联规则对所述第一分析结果、以及所述第二分析结果均指示安全的内容进行分析,得到第三分析结果;
所述威胁通知消息中携带有标记指示消息和程序标识,所述标记指示消息用于指示所述网络交换机对所述程序标识对应的程序进行标记。
2.根据权利要求1所述的方法,其特征在于,所述程序发现规则包括恶意程序发现规则和/或未经授权程序发现规则,且所述未经授权程序发现规则所处理的程序、以及所述恶意程序发现规则所处理的程序均选自以下至少之一:
即时通讯程序、P2P文件共享程序、流媒体程序、邮件传输协议SMTP中继服务、域名解析系统DNS服务。
3.根据权利要求1所述的方法,其特征在于,所述攻击发现规则包括web攻击及邮件攻击发现规则。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息之前,所述方法还包括:
对所述内容分析结果进行聚合,获得聚合结果;
根据所述聚合结果确定是否存在威胁。
5.根据权利要求1-3中任一项所述的方法,其特征在于,所述获取所述网络交换机接收到的原始数据包,包括:
扫描所述网络交换机的所有端口,获取所述网络交换机接收到的原始数据包。
6.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法还包括:
根据所述内容分析结果,更新本地的逻辑分析日志文件。
7.根据权利要求1-3中任一项所述的方法,其特征在于,在创建所述原始数据包的镜像数据包之后,所述方法还包括:利用预设的通讯协议转换规则对所述镜像数据包进行通讯协议转换,得到支持特定通讯协议的镜像数据包;
所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:所述根据预设的发现规则对所述支持特定通讯协议的镜像数据包进行内容分析处理,得到内容分析结果。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现根据权利要求1-7中任意一项所述的防御威胁攻击的方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
9.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1-7中任意一项所述的防御威胁攻击的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211660769.7A CN115643118B (zh) | 2022-12-23 | 2022-12-23 | 一种用于tda的防御威胁攻击的方法、电子设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211660769.7A CN115643118B (zh) | 2022-12-23 | 2022-12-23 | 一种用于tda的防御威胁攻击的方法、电子设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115643118A CN115643118A (zh) | 2023-01-24 |
CN115643118B true CN115643118B (zh) | 2023-05-23 |
Family
ID=84949881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211660769.7A Active CN115643118B (zh) | 2022-12-23 | 2022-12-23 | 一种用于tda的防御威胁攻击的方法、电子设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115643118B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101540704B (zh) * | 2009-05-05 | 2011-06-15 | 北京神舟航天软件技术有限公司 | 不可信dbms恶意入侵检测系统及方法 |
WO2015149062A1 (en) * | 2014-03-28 | 2015-10-01 | Zitovault, Inc. | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN114900349A (zh) * | 2022-04-26 | 2022-08-12 | 广西电网有限责任公司 | 一种变电站二次设备集中安防运维方法及系统 |
-
2022
- 2022-12-23 CN CN202211660769.7A patent/CN115643118B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115643118A (zh) | 2023-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US7917955B1 (en) | System, method and computer program product for context-driven behavioral heuristics | |
US20160381070A1 (en) | Protocol based detection of suspicious network traffic | |
CN110730175A (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
CN112583845B (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
Canfora et al. | Detection of malicious web pages using system calls sequences | |
KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
EP3331210B1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination | |
Hegarty et al. | Extrusion detection of illegal files in cloud-based systems | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
CN115643118B (zh) | 一种用于tda的防御威胁攻击的方法、电子设备和介质 | |
CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
Athavale et al. | Framework for threat analysis and attack modelling of network security protocols | |
Coulibaly | An overview of intrusion detection and prevention systems | |
CN115664764A (zh) | 一种流量阻断系统及方法 | |
Manan et al. | Characterizing current features of malicious threats on websites | |
Kergl et al. | Detection of zero day exploits using real-time social media streams | |
CN113923025A (zh) | 一种工控网络中的威胁检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |