CN116170167A - 一种网络安全监控方法、装置、电子设备和存储介质 - Google Patents
一种网络安全监控方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116170167A CN116170167A CN202111415851.9A CN202111415851A CN116170167A CN 116170167 A CN116170167 A CN 116170167A CN 202111415851 A CN202111415851 A CN 202111415851A CN 116170167 A CN116170167 A CN 116170167A
- Authority
- CN
- China
- Prior art keywords
- information
- security threat
- threat information
- security
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
- G06F16/353—Clustering; Classification into predefined classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/237—Lexical tools
- G06F40/242—Dictionaries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/289—Phrasal analysis, e.g. finite state techniques or chunking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- Virology (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种网络安全监控方法,包括:获取安全威胁信息;基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。本审核还公开了一种网络安全监控装置,电子设备和存储介质。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全监控方法、装置、电子设备和存储介质。
背景技术
目前,针对家庭场景的信息安全领域存在的风险包括:不良信息威胁、和网络安全威胁等。
针对不良信息威胁,互联网环境愈渐复杂,尤其针对青少年,防网络非安全活动等成为家庭普遍面临的重要难题。网络非安全活动危害未成年人身心健康。在网络安全防护上,存在网络非安全活动失效速度快、隐蔽性强,因而存在层出不穷、难以被发现拦截的技术难点。
针对网络安全类威胁,由于家庭网络设备如智能家居设备等大多包含网络、硬件、云服务等技术,任何安全漏洞都会通过智能家居产品造成敏感隐私数据泄露,甚至对外发起攻击,如:分布式拒绝服务(DDoS)攻击。在网络安全防护上,由于木马病毒变体以及网络攻击方式的多样性,设备被入侵时无法及时发现并告知用户,安全漏洞披露后无法第一时间同步。
因此,针对家庭场景,如何提高网络访问的安全性,是亟待解决的问题。
发明内容
本申请实施例提供一种网络安全监控方法、装置、电子设备和存储介质。
本申请实施例的技术方案是这样实现的:
根据本申请实施例的第一方面,提供一种网络安全监控方法,包括:
获取安全威胁信息;
基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;
基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。
在一个实施例中,所述获取安全威胁信息,包括至少以下之一:
基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息;
基于预设蜜罐记录的攻击日志,获取所述安全威胁信息;
获取外部平台提供的所述安全威胁信息。
在一个实施例中,所述基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息,包括:
获取待检测网络地址信息对应网页结构中的网页内容,其中,所述网页内容包括:网页主题内容和/或网页正文内容;
对所述网页内容进行敏感词检测;
将满足敏感词检测条件的所述网页内容采用预设模型进行安全识别;
获取所述预设模型进行安全识别确定的非安全的所述网页内容所对应的网络地址信息。
在一个实施例中,所述预设模型,包括:
Fasttext自然语言处理NLP模型。
在一个实施例中,所述基于预设蜜罐记录的攻击日志,获取所述安全威胁信息,包括:
基于所述预定场景的网络应用环境构建所述蜜罐;
设置多个所述蜜罐,其中,每个所述蜜罐所在的地理位置和/或云服务器不都相同;
获取多个所述蜜罐的攻击日志,
根据所述攻击日志,确定所述安全威胁信息,其中,所述安全威胁信息包括:攻击资源信息和/或攻击方式信息。
在一个实施例中,所述攻击资源信息,包括:监控安全外壳协议SSH爆破字典、SSH连接客户端信息、病毒下载分发服务器信息、远程控制地址信息;
攻击方式信息,包括:攻击病毒样本信息、攻击命令信息、攻击影响信息。
在一个实施例中,所述获取外部平台提供的所述安全威胁信息,包括:
基于信息爬取规则,爬取至少一个外部平台的所述安全威胁信息。
在一个实施例中,所述方法还包括,包括:
基于每个外部平台的优先级,配置针对每个外部平台的爬取资源。
在一个实施例中,所述基于预定场景的安全需求,对所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息,包括:
基于所述预定场景的安全需求,确定多个筛选检测项;
将未通过至少一个所述筛选检测项检测的所述安全威胁信息,确定为针对所述预定场景的安全威胁信息。
在一个实施例中,所述方法还包括至少以下之一:
对针对所述预定场景的安全威胁信息进行归一化处理;
对针对所述预定场景的安全威胁信息进行分类。
在一个实施例中,所述基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问,包括:
将针对所述预定场景的安全威胁信息存储到网关设备中,由网关设备基于针对所述预定场景的安全威胁信息,识别所述预定场景下的非安全网络访问。
根据本申请实施例的第二方面,提供一种网络安全监控装置,包括:
获取模块,用于获取安全威胁信息;
确定模块,用于基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;
识别模块,用于基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。
在一个实施例中,所述获取模块,具体用于至少以下之一:
基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息;
基于预设蜜罐记录的攻击日志,获取所述安全威胁信息;
获取外部平台提供的所述安全威胁信息。
在一个实施例中,所述获取模块,具体用于:
获取待检测网络地址信息对应网页结构中的网页内容,其中,所述网页内容包括:网页主题内容和/或网页正文内容;
对所述网页内容进行敏感词检测;
将满足敏感词检测条件的所述网页内容采用预设模型进行安全识别;
获取所述预设模型进行安全识别确定的非安全的所述网页内容所对应的网络地址信息。
在一个实施例中,所述预设模型,包括:
Fasttext自然语言处理NLP模型。
在一个实施例中,所述获取模块,具体用于:
基于所述预定场景的网络应用环境构建所述蜜罐;
设置多个所述蜜罐,其中,每个所述蜜罐所在的地理位置和/或云服务器不都相同;
获取多个所述蜜罐的攻击日志,
根据所述攻击日志,确定所述安全威胁信息,其中,所述安全威胁信息包括:攻击资源信息和/或攻击方式信息。
在一个实施例中,所述攻击资源信息,包括:监控安全外壳协议SSH爆破字典、SSH连接客户端信息、病毒下载分发服务器信息、远程控制地址信息;
攻击方式信息,包括:攻击病毒样本信息、攻击命令信息、攻击影响信息。
在一个实施例中,所述获取模块,具体用于:
基于信息爬取规则,爬取至少一个外部平台的所述安全威胁信息。
在一个实施例中,所述装置还包括,包括:
配置模块,用于基于每个外部平台的优先级,配置针对每个外部平台的爬取资源。
在一个实施例中,所述确定模块,具体用于:
基于所述预定场景的安全需求,确定多个筛选检测项;
将未通过至少一个所述筛选检测项检测的所述安全威胁信息,确定为针对所述预定场景的安全威胁信息。
在一个实施例中,所述装置还包括至少以下之一:
第一处理模块,用于对针对所述预定场景的安全威胁信息进行归一化处理;
第二处理模块,用于对针对所述预定场景的安全威胁信息进行分类。
在一个实施例中,所述识别模块,具体用于:
将针对所述预定场景的安全威胁信息存储到网关设备中,由网关设备基于针对所述预定场景的安全威胁信息,识别所述预定场景下的非安全网络访问。
根据本申请实施例的第三方面,提供一种存储介质,存储有可执行程序,所述可执行程序被处理器执行时,实现第一方面所述的网络安全监控方法的步骤。
根据本申请实施例的第四方面,提供一种电子设备,包括存储器、处理器及存储在存储器上并能够由所述处理器运行的可执行程序,所述处理器运行所述可执行程序时执行如第一方面所述的网络安全监控方法的步骤。
本申请实施例提供的网络安全监控方法、装置、电子设备和存储介质,包括:获取安全威胁信息;基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。如此,通过对获取的安全威胁信息,针对安全威胁信息进行筛选,将筛选后的针对预定场景的安全威胁信息用于预定场景下的非安全网络访问的识别,提高了对预定场景下非安全网络访问的识别的针对性,提高预定场景下网络访问的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开实施例。
附图说明
图1为本申请实施例提供的一种网络安全监控方法的流程示意图;
图2为本申请实施例提供的一种安全威胁信息获取步骤示意图;
图3为本申请实施例提供的一种安全威胁信息获取流程示意图;
图4为本申请实施例提供的另一种安全威胁信息获取步骤示意图;
图5为本申请实施例提供的另一种安全威胁信息获取流程示意图;
图6为本申请实施例提供的又一种安全威胁信息获取步骤示意图;
图7为本申请实施例提供的又一种安全威胁信息获取流程示意图;
图8为本申请实施例提供的一种安全威胁信息检测流程示意图;
图9为本申请实施例提供的一种网络安全监控方法的系统架构示意图;
图10为本申请实施例提供的一种网络安全监控装置结构示意图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
目前家庭信息安全领域面临的技术难点如下:
1)非安全域名难监管:为躲避监管,非安全网站使用多层嵌套Java Script 框架,仅基于网页源码难识别。且失效极快,在某域名上短期活跃后迅速转移向新域名,难以处置拦截。
2)病毒变体难覆盖:为了避免杀软拦截,恶意软件变体多且更新快,单一厂商的情报难以实现多种恶意家族变体覆盖,无法还原攻击链条
3)漏洞同步不及时:漏洞指标未能及时同步防护设备,攻击者利用已知漏洞攻击智能家居设备,造成家庭用户隐私泄露或智能设备对外攻击
4)厂商缺乏针对性:当前第三方厂商情报侧重于政企/服务器防护场景,缺乏家庭场景安全针对性。
如图1所示,本示例性实施例提供一种网络安全监控方法,网络安全监控方法,包括:
步骤101:获取安全威胁信息;
步骤102:基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;
步骤103:基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。
本实施例中,网络安全监控方法可以由网络设备执行,如网络服务器、网关设备、路由设备等。
安全威胁信息包括但不限于:
具有不良网络信息的数据源信息,例如:具不良信息的网站的信息;
关联于网络安全类威胁的信息,例如:产生网络安全威胁的网络地址信息、网络安全威胁名称信息、网络安全威胁形式信息、网络安全威胁后果信息等。
网络设备可以通过不同方式、不同数据源等获取安全威胁信息。例如:从多个数据源获取安全威胁信息;也从识别的对网络设备产生的攻击中获取安全威胁信息等。从而可以获取更多的安全威胁信息,在基于安全威胁信息进行非安全网络访问的识别时可以提高识别率。
在一个实施例中,预定场景可以是预定的网络使用场景。例如:预定场景可以包括:家庭场景等。家庭场景可以包括:可以是在家庭局域网中对广域网的访问、在家庭局域网内的网络访问、和/或在家庭环境的软件环境等。
这里,获取的安全威胁信息是不针对于特定场景的,可以包括:针对家庭场景的安全威胁信息、针对服务器的安全威胁信息、针对公共网络的安全威胁信息、针对网络云的安全威胁信息等。因此,获取的安全威胁信息不一定完全适合家庭场景。例如,针对网络云的安全威胁信息对家庭场景并不适用等;如果基于针对网络云的安全威胁信息对家庭场景进行网络安全防护,则并不能产生较佳的效果。对于家庭场景来说过时或非可信的安全威胁信息不能对家庭场景的网络安全防护产生积极效果,反而会消耗过多的资源。
这里,建立面向家庭场景的威胁情报审核机制,对获取的安全威胁信息进行筛选,剔除不适用家庭场景的安全威胁信息,例如删除过时、非可信的安全威胁信息,保证针对预定场景的安全威胁信息的可靠性。
非安全网络访问可以是对家庭网络的攻击、可以从家庭网访问到的外部网络的不良网络信息等。
例如,可以基于木马病毒攻击对应的安全威胁信息,识别对家庭场景进行攻击的木马病毒攻击。也可以根据不良信息对应的安全威胁信息,如不良信息网站的地址信息等,识别对不良网站的访问等。
当识别出非安全网络访问时,可以在电脑等终端侧向用户发出提醒或直接拦截。从而提高家庭网络的安全性。
如此,通过对获取的安全威胁信息,针对安全威胁信息进行筛选,将筛选后的针对预定场景的安全威胁信息用于预定场景下的非安全网络访问的识别,提高了对预定场景下非安全网络访问的识别的针对性,提高预定场景下网络访问的安全性。
在一个实施例中,所述获取安全威胁信息,包括至少以下之一:
基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息;
基于预设蜜罐记录的攻击日志,获取所述安全威胁信息;
获取外部平台提供的所述安全威胁信息。
这里,敏感词可以是涉及不良信息的词、句等。基于敏感词对网络地址信息进行检测,可以是将网络地址的网页内容与敏感词进行匹配检测,如果网页内容与敏感词的匹配程度大于匹配阈值,则确定网络地址的网页内容涉及不良信息,网络设备可以将网络地址信息确定为安全威胁信息。基于非安全的网络地址信息可以用于识别不良网站等。
这里,蜜罐可以吸引不同的网络攻击行为,蜜罐可以记录网络攻击的攻击日志。可以从攻击日志提取安全威胁信息。从攻击日志提取安全威胁信息可以包括:攻击方式、攻击源等。基于蜜罐获取的安全威胁信息,可以至少用于识别恶意攻击等。
从外部平台获取的安全威胁信息,可以包括:外部设备获取的非安全的网络地址信息和网络攻击信息等。从外部平台获取的安全威胁信息还可以包括软件关联的安全威胁信息和/或硬件关联的安全威胁信息等;例如:近期安全事件、设备漏洞、厂商补丁、活跃恶意家族等。
从外部平台获取安全威胁信息,可以提高安全威胁信息的获取来源,提高安全威胁信息的信息量,进而识别更多的非安全网络访问。
如此,通过不同的途径获取安全威胁信息,提高获取安全威胁信息的灵活性。扩大了安全威胁信息的获取量。
在一个实施例中,所述基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息,包括:
获取待检测网络地址信息对应网页结构中的网页内容,其中,所述网页内容包括:网页主题内容和/或网页正文内容;
对所述网页内容进行敏感词检测;
将满足敏感词检测条件的所述网页内容采用预设模型进行安全识别;
获取所述预设模型进行安全识别确定的非安全的所述网页内容所对应的网络地址信息。
这里,网络地址信息可以是由网关等灯网络设备采集的,也可以是通过爬虫爬取的。网络地址信息可以包括但不限于网络地址、IP地址、域名等。
可以首先对网络地址信息对应的网页内容采用敏感词进行检测,将满足敏感词检测条件的网页内容采用预设模型进一步进行安全识别。
这里,满足敏感词检测条件可以包括网页内容与敏感词的匹配程度大于匹配阈值等。
预设模型可以包括机器学习模型等。可以对预设模型进行训练,将完成训练的预设模型对满足敏感词检测条件的所述网页内容进一步进行识别。从而提高对网页内容识别的准确性
在一个实施例中,所述预设模型,包括:
Fasttext自然语言处理NLP模型。
示例性的,如图2所示,可以以网关采集和外部交换爬虫获取的域名作为数据源,提取域名网页结构中的网页内容:网页主题(title)内容和/或网页正文内容,经敏感词库检测后,通过建立基于Fasttext的轻量级NLP模型,对非安全的域名进行分类识别。如图3所示,具体步骤包括:
步骤301:收集待检测网站域名。收集待检测域名的数据源上可以采用以下来源:
1)网关采集:对家庭网关采集家庭用户上网数据,提取域名。
2)合作交换:与外部进行情报数据共享获取域名。
3)开源采集:对开源非安全网站集合进行收集,如openphish等。
步骤302:获取待检测域名的网页结构、网页内容等,其中,网页内容包括:网页主题内容和/或网页正文内容等。主要流程如下:
1)抓取网页:可以采用分布式多线程请求解析模块,对待检测域名的网页源码进行爬取。
2)结构解析:通过正则表达式,识别待检测域名结构中网页内容。
步骤303:对网页内容的敏感词检测。主要流程如下:
1)收集敏感词库:这里,敏感词库可以用于对网页内容进行匹配。可以使用开源敏感词库,敏感词包括非法不良词汇。还可以从识别出的非安全网站的网页内容,提取敏感词并加入敏感词库。
2)敏感词过滤:将步骤202中的网页内容,与收集的敏感词库进行匹配。若敏感词库中出现敏感词命中网页内容,则判别为疑似非安全网页内容,将网络地址等确定非非安全网络地址。
步骤304:建立Fasttext NLP模型对非安全网站进行识别。
1)Fasttext NLP模型可以对敏感词字符变形进行识别。由于非安全网站为了躲避追查,常使用中英文、火星文混杂手法,因此Fasttext NLP模型中设计 subword n-gram概念来解决词形变化。某个词短语的subword也就是短语本身的所有n-gram词,subword构成一个词典,把这些ngrams通过哈希函数映成整数 1到K,同时也会使用词短语中的词(word)作为该词的一个ngram来学习该词的词向量,对词也构建一个词典。
可以提出一个不同的判分(scoring)函数s,将subword信息考虑进去。对于给定的一个词w,定义在w上出现的n-gram集合为:Gw∈1,...,G。将一个向量表示zg与每个n-gram g相关联,因此可以通过对这些n-gram的向量进行求和来表示词w。进而获得词w的scoring函数,如表达式(1)标识:
对于词w,它的n-gram集合中包含词w,也可以为每个词学到一个向量表示。n-gram集合也是词汇表的一个超集。例如,对于共享相同的字序列的一个词和一个n-gram,会分配不同的向量给它们,例如“黄色花瓣”和“黄色在线电影”中,两种“黄色”会分配给不同的向量。该模型允许在不同的词之间共享信誉评价,从而对一些罕见词学到可靠的向量表示。通过词w的向量表示可以对词w进行分类,判断词w是否属于敏感词字符变形,进而判断包含该词的网页内容是否安全。
2)提高准确率与速率
Fasttext NLP模型通过设计层次Softmax方法,解决了类别不均衡问题,提高违法违禁类识别准确率。层次Softmax技巧建立在Huffman编码的基础上,对标签进行编码,能够极大地缩小模型预测目标的数量。fastText利用了类别不均衡这个事实,通过使用Huffman算法建立用于表征类别的树形结构。因此,频繁出现类别的树形结构的深度要比不频繁出现类别的树形结构的深度要小,使得Fasttext NLP模型的计算效率进一步得到更高。经测试,Fasttext NLP模型解决了域名样本数量大、类别标签多的任务,提升模型识别效率,达到秒级响应。
如此,通过对网页内容采用敏感词检测,对满足敏感词检测条件的网页内容进一步采用预设模型进行识别,提高了安全威胁信息识别效率,减少了多网页内容的误判,提高了获取的安全威胁信息的准确性。通过敏感词结合预设模型进行识别,提高了网页内容的识别率,提高了识别速度。
在一个实施例中,所述基于预设蜜罐记录的攻击日志,获取所述安全威胁信息,包括:
基于所述预定场景的网络应用环境构建所述蜜罐;
设置多个所述蜜罐,其中,每个所述蜜罐所在的地理位置和/或云服务器不都相同;
获取多个所述蜜罐的攻击日志,
根据所述攻击日志,确定所述安全威胁信息,其中,所述安全威胁信息包括:攻击资源信息和/或攻击方式信息。
这里,蜜罐可以吸引不同的网络攻击行为,蜜罐可以记录网络攻击的攻击日志。可以从攻击日志提取安全威胁信息。从攻击日志提取安全威胁信息可以包括:攻击方式、攻击源等。基于蜜罐获取的安全威胁信息,可以至少用于识别恶意攻击等。
可以在多个云服务器上设置蜜罐,和/或在不同的地理位置设置蜜罐,从而吸引更多的攻击,记过获取更多的安全威胁信息。
通过多个蜜罐诱捕攻击,一方面,扩大了安全威胁信息获取的范围,提高获取安全威胁信息的数量。另一方面实现攻击者操作和恶意样本证据的保留,增加了获取安全威胁信息的途径。
示例性的,可以如图4所示可以在多个公有云上部署的蜜罐诱捕节点,通过设置家庭设备高仿真操作系统环境来诱捕攻击。捕获后通过对蜜罐日志进行监测,识别系统危险操作和攻击手法,形成家庭设备网络安全威胁信息。如图5 所述,具体步骤可以包括:
步骤501:配置基于真实的家庭场景网络应用环境的高交互蜜罐
1)蜜罐类型:可以选取高交互蜜罐(如Sysdig),可以基于真实的家庭场景网络应用环境来构建蜜罐。如此,能提供真实的服务,从而增加蜜罐环境甜度,引诱攻击者入侵系统,实现攻击交互目的。高交互蜜罐可用来获取大量的信息,能够捕获攻击者多种操作行为,从而具备发现新的攻击方式和漏洞利用方法的能力。
2)主动暴露:主动暴露脆弱面,吸引火力攻击。相比传统的防火墙技术和入侵检测技术,蜜罐技术更加主动和隐蔽,蜜罐的主要优势在于能诱导和记录网络攻击行为,阻止或延缓其对真正目标的攻击,而且能记录攻击日志,便于审计和回溯。通过主动散布漏洞和脆弱性实现了对攻击者的主动诱捕,首次将攻击感知置于主动位置,使得攻击感知不再是“撞大运”的事情,进而增加攻击感知灵敏度,有效提升感知概率。
步骤502:在多个云服务器上多点布网蜜罐
蜜罐部署:采用分布式部署将蜜罐部署于不同地域,在多个公有云上、全球多个地理位置设置高交互蜜罐诱捕节点,并开放公网访问服务。蜜罐可检测和报告本地基础设施和互联网新攻击事件。通过设置系统容易被攻击的服务,可收集正在攻击者攻击行为。留存蜜罐日志信息和流量,其中,攻击日志信息包括但不限于:攻击源IP、攻击端口、攻击网络请求、入侵时间、Shellcode等。
步骤5033:基于蜜罐攻击日志形成家庭设备网络安全威胁信息
1)蜜罐攻击日志监测与分析:分析蜜罐日志,识别系统危险操作和攻击手法,包括扫描、暴破、木马投放、漏洞利用等,并提取攻击者IP及端口、下载恶意样本地址、远控IP及端口等画像内容。形成的情报包括两类:攻击资源信息和/或攻击方式信息
在一个实施例中,所述攻击资源信息,即资产类情报,包括:监控安全外壳协议SSH爆破字典、SSH连接客户端信息、病毒下载分发服务器信息、远程控制地址信息;
攻击方式信息,即武器类情报,包括:攻击病毒样本信息、攻击命令信息、攻击影响信息。
示例性的,针对攻击资源信息可以采用表(1)所述的方式进行记录。
表1
示例性的,针对攻击方式信息可以采用表(2)所述的方式进行记录。
表2
在一个实施例中,所述获取外部平台提供的所述安全威胁信息,包括:
基于信息爬取规则,爬取至少一个外部平台的所述安全威胁信息。
这里,外部平台可以是外部用于公布网络安全事件的平台。网络安全事件可以包括硬件关联的网络安全事件,如硬件漏洞等。网络安全事件也可以包括软件关联的网络安全事件,如软件补丁等。
由于各外部平台公布的网络安全事件的内容不同、公布的方式不同、公布内容的格式不同。
因此,需要设置信息爬取规则,从各外部平台公布的网络安全事件中爬取需要的安全威胁信息。信息爬取规则可以根据各外部平台公布的方式、公布内容的格式等设置。例如,针对外部平台公布的非安全网络地址信息,可以只提取网站的IP地址等。
在一个实施例中,所述方法还包括,包括:
基于每个外部平台的优先级,配置针对每个外部平台的爬取资源。
如果同时对多个外部平台进行信息爬取,会消耗较多的爬取资源。这里,爬取资料包括网络带宽资源、爬取设备的计算资源等。因此,可以针对不同的外部平台设置优先级。当爬取资源足够时,可以同时爬取资源。如果爬取资源不足,可以基于外部平台的优先级的高低顺序,依次爬取每个外部平台的信息。
示例性的,如图6所示可以对多个外部平台的公开的网络安全威胁信息进行分布式收集。可以配置信息爬取规则,保证数据实时消费,实现对安全事件平台公布的安全威胁信息,包括近期安全事件、设备漏洞、厂商补丁、活跃恶意家族等进行监控收集。如图7所述,具体步骤可以包括:
步骤701:外部平台调研和收集
1)覆盖对象:接入网络安全厂商公告平台、威胁情报平台、安全漏洞通报平台、网络安全新闻平台,基本实现外部平台全覆盖。
2)覆盖内容:包括近期安全事件、设备漏洞、厂商补丁、活跃恶意家族等标签
步骤702:信息爬取规则设置及任务调度
1)信息爬取规则:生成站点抓取信息和爬取规则,解析引擎将通过信息爬取规则对爬取内容解析。不同站点对情报类新闻和报告的展示方式不同,整篇幅入库对资源消耗过大,因此需要提取核心可操作内容入库。核心可操作内容可以包括:开放威胁指标(IOC,Indicator of Compromise)、家族、执行命令等。
2)任务调度:根据任务的状态,任务管理器自动判断回收及释放爬取资源,调度优先级,分发服务安排爬取资源。
步骤703:通过分布式收集引擎监控系统,保证数据实时消费
实时消费:爬取后的内容,经字段归一后,实时消费存储入安全威胁信息库用于非安全网络访问的识别,保证时效性。
在一个实施例中,所述基于预定场景的安全需求,对所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息,包括:
基于所述预定场景的安全需求,确定多个筛选检测项;
将未通过至少一个所述筛选检测项检测的所述安全威胁信息,确定为针对所述预定场景的安全威胁信息。
这里,可以建立面向家庭场景的威胁情报审核机制,对获取的安全威胁信息进行筛选,剔除不适用家庭场景的安全威胁信息,例如删除过时、非可信的安全威胁信息,保证针对预定场景的安全威胁信息的可靠性。
这里,筛选检测项可以是基于预定场景的安全需求设置的。不同的筛选项可以检测不同的内容。例如,基于可以基于预定场景针对网页内容的安全需求,设置针对网页内容的筛选检测项、可以设置筛选检测项用于检测安全威胁信息是否可信。
预定场景可以具有一个或多个筛选检测项进行检测。如果安全威胁信息通过所有筛选检测项检测,则可以确定安全威胁信息针对预定场景是安全的,可以从安全威胁信息中移除。如果安全威胁信息未通过一项或多个筛选检测项检测,则可以确定安全威胁信息针对预定场景是不安全的,可以将该安全威胁信息确定为针对预定场景的安全威胁信息。
针对所述预定场景的安全威胁信息可以供网络设备预定场景下的非安全网络访问。
在一个实施例中,所述方法还包括至少以下之一:
对针对所述预定场景的安全威胁信息进行归一化处理;
对针对所述预定场景的安全威胁信息进行分类。
通过预设模型、蜜罐、和/或外部平台获取的安全威胁信息的形式、格式等均不同,因此可以对针对所述预定场景的安全威胁信息进行归一化处理,从而得到形式、格式等统一的安全威胁信息,便于后续对安全威胁信息的利用。
针对所述预定场景的安全威胁信息,还可以进行分类处理,例如可以基于安全威胁信息的安全属性进行分类。从而便于在确定非安全网络访问时,可以采用安全威胁信息的分类指示非安全网络访问的类型。
例如,安全威胁信息可以分为:脆弱性安全威胁信息、网络威胁安全威胁信息、业务安全威胁信息等。其中:脆弱性安全威胁信息可以是网络设备漏洞等信息;网络威胁安全威胁信息可以是网络攻击信息等;业务安全威胁信息可以是非安全网页内容等信息。
示例性的,针对上述不良网站识别的预设模型、高仿真蜜罐、外部平台获取的安全威胁信息,可以补充多维威胁特征和关联信息,建立面向家庭场景的威胁情报审核机制,即通过筛选检测项进行检测,剔除过时、非可信信息,保证家庭场景情报的可靠性。如图8所述,具体步骤可以包括:
步骤801:设置情报审核一票否决机制,即筛选检测项单项否决制。
由于误报的安全威胁信息,易产生大量误告警,导致真正的威胁隐藏在海量告警下,给排查带来困难。因此通过情报审核一票否决机制,剔除误报安全威胁信息。
1)设置误报判别标准:由于不同的安全威胁信息存在各自异常的特点,采用多个筛选检测项进行检测,获得的安全威胁信息按下述表格中筛选检测项的进行验证,若通过全部筛选检测项,则认为安全威胁信息为安全,即该安全威胁信息为误报;否则,确定获取的该安全威胁信息为针对预设场景的安全威胁信息。
采用多个筛选检测项进行检测如表3所示:
表3
步骤802:安全威胁信息分类及归一化处理
威胁情报应用技术:经过情报审核机制的情报,可主要分为以下类别:
(a)脆弱性安全威胁信息:这部分来自于网络空间威胁信息收集引擎,针对各类家庭物联网设备的漏洞,如弱口令、信息泄露、未授权访问等。当已知设备厂商、产品、型号、版本等信息时,可以关联脆弱性情报,及时发现其潜在的问题。
(b)威胁安全威胁信息:这部分来自于蜜罐威胁捕捉系统,可以及时发现当前网络中的攻击活动及攻击趋势、捕获新的恶意样本等。
(c)业务安全威胁信息:这部分来自于不良信息识别模型,针对家庭业务特定场景,如防非安全网络活动,具有明显的内容识别和违法文本内容拦截特点
(d)其他行业/垂直领域安全威胁信息:借助其他行业/垂直领域的情报也可以发现物联网设备存在的安全威胁信息。比如通过将物联网设备对外访问的域名、IP与区块链情报(非安全网站域名、IP)相关联,可以发现物联网设备的挖矿行为。
经多源情报聚合、关联、老化、信誉计算等,针对家庭场景的安全威胁信息如表4所示。
表4
在一个实施例中,所述基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问,包括:
将针对所述预定场景的安全威胁信息存储到网关设备中,由网关设备基于针对所述预定场景的安全威胁信息,识别所述预定场景下的非安全网络访问。
将上述针对家庭场景的安全威胁信息,通过插件等形式集成在网关路由器等网络设备中,当用户经网关访问恶意网站时,通过终端侧向用户发出提醒或直接拦截。后台家庭安全大脑可定期或实时将针对家庭场景的安全威胁信息更新至插件。
以下结合上述任意实施例提供一个具体示例:
本示例提供的网络安全监控方法的系统架构如图9所示。
网络安全监控方法可以通过至少3个路径获取安全威胁信息:
1、通过基于Fasettextde轻量级NLP模型识别不良网站的网页内容,确定网络地址信息等安全威胁信息;
2、通过高仿真蜜罐诱捕网络攻击,对攻击进行画像,形成安全威胁信息;
3、通过外部平台对家居漏铜情报、高危事件情报等安全威胁信息进行收集;
通过家庭内情报审核机制,即设备多个筛选检测项进行安全威胁信息审核,得到包括非安全网站信息等在内的针对家庭场景的安全威胁信息。
将针对家庭场景的安全威胁信息设置在网关中,当识别出非安全网络访问时,网关可以通过电脑等终端侧向用户发出提醒或直接拦截。从而提高家庭网络的安全性。
图10示出了本申请实施例提供的网络安全监控装置的一种可选流程示意图,网络安全监控装置100包括:
获取模块110,用于获取安全威胁信息;
确定模块120,用于基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;
识别模块130,用于基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。
在一个实施例中,所述获取模块110,具体用于至少以下之一:
基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息;
基于预设蜜罐记录的攻击日志,获取所述安全威胁信息;
获取外部平台提供的所述安全威胁信息。
在一个实施例中,所述获取模块110,具体用于:
获取待检测网络地址信息对应网页结构中的网页内容,其中,所述网页内容包括:网页主题内容和/或网页正文内容;
对所述网页内容进行敏感词检测;
将满足敏感词检测条件的所述网页内容采用预设模型进行安全识别;
获取所述预设模型进行安全识别确定的非安全的所述网页内容所对应的网络地址信息。
在一个实施例中,所述预设模型,包括:
Fasttext自然语言处理NLP模型。
在一个实施例中,所述获取模块110,具体用于:
基于所述预定场景的网络应用环境构建所述蜜罐;
设置多个所述蜜罐,其中,每个所述蜜罐所在的地理位置和/或云服务器不都相同;
获取多个所述蜜罐的攻击日志,
根据所述攻击日志,确定所述安全威胁信息,其中,所述安全威胁信息包括:攻击资源信息和/或攻击方式信息。
在一个实施例中,所述攻击资源信息,包括:监控安全外壳协议SSH爆破字典、SSH连接客户端信息、病毒下载分发服务器信息、远程控制地址信息;
攻击方式信息,包括:攻击病毒样本信息、攻击命令信息、攻击影响信息。
在一个实施例中,所述获取模块110,具体用于:
基于信息爬取规则,爬取至少一个外部平台的所述安全威胁信息。
在一个实施例中,所述装置100还包括,包括:
配置模块140,用于基于每个外部平台的优先级,配置针对每个外部平台的爬取资源。
在一个实施例中,所述确定模块120,具体用于:
基于所述预定场景的安全需求,确定多个筛选检测项;
将未通过至少一个所述筛选检测项检测的所述安全威胁信息,确定为针对所述预定场景的安全威胁信息。
在一个实施例中,所述装置100还包括至少以下之一:
第一处理模块150,用于对针对所述预定场景的安全威胁信息进行归一化处理;
第二处理模块160,用于对针对所述预定场景的安全威胁信息进行分类。
在一个实施例中,所述识别模块130,具体用于:
将针对所述预定场景的安全威胁信息存储到网关设备中,由网关设备基于针对所述预定场景的安全威胁信息,识别所述预定场景下的非安全网络访问。
本领域普通技术者可以理解:实现上述方法实施例的全部或部分步骤可以通过程序命令相关的硬件来完成,前述的程序可以存储于一存储介质中,所述存储介质包括:移动存储设备、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干命令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术者在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (24)
1.一种网络安全监控方法,其特征在于,包括:
获取安全威胁信息;
基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;
基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。
2.根据权利要求1所述的方法,其特征在于,所述获取安全威胁信息,包括至少以下之一:
基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息;
基于预设蜜罐记录的攻击日志,获取所述安全威胁信息;
获取外部平台提供的所述安全威胁信息。
3.根据权利要求2所述的方法,其特征在于,所述基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息,包括:
获取待检测网络地址信息对应网页结构中的网页内容,其中,所述网页内容包括:网页主题内容和/或网页正文内容;
对所述网页内容进行敏感词检测;
将满足敏感词检测条件的所述网页内容采用预设模型进行安全识别;
获取所述预设模型进行安全识别确定的非安全的所述网页内容所对应的网络地址信息。
4.根据权利要求3所述的方法,其特征在于,所述预设模型,包括:
Fasttext自然语言处理NLP模型。
5.根据权利要求2所述的方法,其特征在于,所述基于预设蜜罐记录的攻击日志,获取所述安全威胁信息,包括:
基于所述预定场景的网络应用环境构建所述蜜罐;
设置多个所述蜜罐,其中,每个所述蜜罐所在的地理位置和/或云服务器不都相同;
获取多个所述蜜罐的攻击日志,
根据所述攻击日志,确定所述安全威胁信息,其中,所述安全威胁信息包括:攻击资源信息和/或攻击方式信息。
6.根据权利要求5所述的方法,其特征在于,
所述攻击资源信息,包括:监控安全外壳协议SSH爆破字典、SSH连接客户端信息、病毒下载分发服务器信息、远程控制地址信息;
攻击方式信息,包括:攻击病毒样本信息、攻击命令信息、攻击影响信息。
7.根据权利要求2所述的方法,其特征在于,所述获取外部平台提供的所述安全威胁信息,包括:
基于信息爬取规则,爬取至少一个外部平台的所述安全威胁信息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括,包括:
基于每个外部平台的优先级,配置针对每个外部平台的爬取资源。
9.根据权利要求1所述的方法,其特征在于,所述基于预定场景的安全需求,对所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息,包括:
基于所述预定场景的安全需求,确定多个筛选检测项;
将未通过至少一个所述筛选检测项检测的所述安全威胁信息,确定为针对所述预定场景的安全威胁信息。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括至少以下之一:
对针对所述预定场景的安全威胁信息进行归一化处理;
对针对所述预定场景的安全威胁信息进行分类。
11.根据权利要求1至10任一项所述的方法,其特征在于,所述基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问,包括:
将针对所述预定场景的安全威胁信息存储到网关设备中,由网关设备基于针对所述预定场景的安全威胁信息,识别所述预定场景下的非安全网络访问。
12.一种网络安全监控装置,其特征在于,包括:
获取模块,用于获取安全威胁信息;
确定模块,用于基于预定场景的安全需求,对获取的所述安全威胁信息进行筛选,得到针对所述预定场景的安全威胁信息;
识别模块,用于基于针对所述预定场景的安全威胁信息,识别在所述预定场景下的非安全网络访问。
13.根据权利要求12所述的装置,其特征在于,所述获取模块,具体用于至少以下之一:
基于敏感词对网络地址信息进行检测,确定非安全的网络地址信息;
基于预设蜜罐记录的攻击日志,获取所述安全威胁信息;
获取外部平台提供的所述安全威胁信息。
14.根据权利要求13所述的装置,其特征在于,所述获取模块,具体用于:
获取待检测网络地址信息对应网页结构中的网页内容,其中,所述网页内容包括:网页主题内容和/或网页正文内容;
对所述网页内容进行敏感词检测;
将满足敏感词检测条件的所述网页内容采用预设模型进行安全识别;
获取所述预设模型进行安全识别确定的非安全的所述网页内容所对应的网络地址信息。
15.根据权利要求14所述的装置,其特征在于,所述预设模型,包括:
Fasttext自然语言处理NLP模型。
16.根据权利要求13所述的装置,其特征在于,所述获取模块,具体用于:
基于所述预定场景的网络应用环境构建所述蜜罐;
设置多个所述蜜罐,其中,每个所述蜜罐所在的地理位置和/或云服务器不都相同;
获取多个所述蜜罐的攻击日志,
根据所述攻击日志,确定所述安全威胁信息,其中,所述安全威胁信息包括:攻击资源信息和/或攻击方式信息。
17.根据权利要求16所述的装置,其特征在于,
所述攻击资源信息,包括:监控安全外壳协议SSH爆破字典、SSH连接客户端信息、病毒下载分发服务器信息、远程控制地址信息;
攻击方式信息,包括:攻击病毒样本信息、攻击命令信息、攻击影响信息。
18.根据权利要求13所述的装置,其特征在于,所述获取模块,具体用于:
基于信息爬取规则,爬取至少一个外部平台的所述安全威胁信息。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括,包括:
配置模块,用于基于每个外部平台的优先级,配置针对每个外部平台的爬取资源。
20.根据权利要求12所述的装置,其特征在于,所述确定模块,具体用于:
基于所述预定场景的安全需求,确定多个筛选检测项;
将未通过至少一个所述筛选检测项检测的所述安全威胁信息,确定为针对所述预定场景的安全威胁信息。
21.根据权利要求20所述的装置,其特征在于,所述装置还包括至少以下之一:
第一处理模块,用于对针对所述预定场景的安全威胁信息进行归一化处理;
第二处理模块,用于对针对所述预定场景的安全威胁信息进行分类。
22.根据权利要求12至21任一项所述的装置,其特征在于,所述识别模块,具体用于:
将针对所述预定场景的安全威胁信息存储到网关设备中,由网关设备基于针对所述预定场景的安全威胁信息,识别所述预定场景下的非安全网络访问。
23.一种存储介质,存储有可执行程序,其特征在于,所述可执行程序被处理器执行时,实现权利要求1至11任一项所述的网络安全监控方法的步骤。
24.一种电子设备,包括存储器、处理器及存储在存储器上并能够由所述处理器运行的可执行程序,其特征在于,所述处理器运行所述可执行程序时执行如权利要求1至11任一项所述的网络安全监控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111415851.9A CN116170167A (zh) | 2021-11-25 | 2021-11-25 | 一种网络安全监控方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111415851.9A CN116170167A (zh) | 2021-11-25 | 2021-11-25 | 一种网络安全监控方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116170167A true CN116170167A (zh) | 2023-05-26 |
Family
ID=86420632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111415851.9A Pending CN116170167A (zh) | 2021-11-25 | 2021-11-25 | 一种网络安全监控方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116170167A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
-
2021
- 2021-11-25 CN CN202111415851.9A patent/CN116170167A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
| CN116996326B (zh) * | 2023-09-26 | 2023-12-26 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ozkan-Okay et al. | A comprehensive systematic literature review on intrusion detection systems | |
| Einy et al. | The anomaly-and signature-based IDS for network security using hybrid inference systems | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US10693901B1 (en) | Techniques for application security | |
| CN110730175A (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| Bherde et al. | Recent attack prevention techniques in web service applications | |
| KR20210109292A (ko) | 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템 | |
| Rene et al. | Malicious code intrusion detection using machine learning and indicators of compromise | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| Sumanth et al. | Raspberry Pi based intrusion detection system using k-means clustering algorithm | |
| Nazir et al. | Network intrusion detection: Taxonomy and machine learning applications | |
| US10897472B1 (en) | IT computer network threat analysis, detection and containment | |
| CN116170167A (zh) | 一种网络安全监控方法、装置、电子设备和存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Kergl et al. | Detection of zero day exploits using real-time social media streams | |
| Beqiri | Neural networks for intrusion detection systems | |
| Javeed et al. | Artificial intelligence (AI)-based intrusion detection system for IoT-enabled networks: A state-of-the-art survey | |
| Colajanni et al. | Selective and early threat detection in large networked systems | |
| Mathews et al. | Detecting botnets using a collaborative situational-aware idps | |
| Skopik et al. | Intrusion detection in distributed systems using fingerprinting and massive event correlation | |
| Mattila | Integration of arctic node threat intelligence sharing platform with Suricata | |
| Aravamudhan et al. | A Comprehensive Survey of Intrusion Detection Systems using Advanced Technologies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |