CN116319074B - 一种基于多源日志的失陷设备检测方法、装置及电子设备 - Google Patents
一种基于多源日志的失陷设备检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN116319074B CN116319074B CN202310530915.2A CN202310530915A CN116319074B CN 116319074 B CN116319074 B CN 116319074B CN 202310530915 A CN202310530915 A CN 202310530915A CN 116319074 B CN116319074 B CN 116319074B
- Authority
- CN
- China
- Prior art keywords
- equipment
- abnormal
- log
- suspected
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/289—Phrasal analysis, e.g. finite state techniques or chunking
- G06F40/295—Named entity recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明涉及一种基于多源日志的失陷设备检测方法、装置及电子设备,其先获取多源网络日志,然后融合流量日志得到融合表,再根据预设异常行为特征对融合表进行异常行为检测,得到异常设备身份信息,再对安全日志进行疑似失陷设备判定得到疑似失陷设备,最后基于预设网络攻击知识图谱判定疑似失陷设备得到目标失陷设备。相比于现有技术,本发明回溯的时间范围更大,能发现更多隐藏的异常行为。同时,利用异常设备身份信息结合安全日志进行疑似失陷资产判定,既能减少对海量安全告警聚合分析的开销,又能对疑似失陷设备做进一步的是否失陷判定,得到疑似失陷设备,解决了如何针对长时间范围内的海量流量数据进行检测以识别异常行为设备的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于多源日志的失陷设备检测方法、装置及电子设备。
背景技术
失陷设备检测是一种技术,用于检测网络中的潜在攻击者或恶意软件。它可以帮助网络管理员发现可能已被攻击的系统,并采取相应的措施来保护网络安全。常见的检测手段包括安全漏洞扫描、网络流量监控、恶意软件检测等。一旦发现设备已经被入侵,需要立即进行隔离、修复和升级,以保证网络安全。
传统的网络安全领域一般采用基于流量特征、基于行为特征和基于设备特征等多种方法来识别失陷设备或设备,主要依赖于设备的行为特征来进行检测。基于流量特征的方法通过分析网络流量中的特征来识别失陷设备,如流量大小、流量方向、流量频率等;基于行为特征的方法通过分析失陷设备的行为特征来识别失陷设备,如访问行为、通信行为、应用行为等;基于设备特征的方法通过分析失陷设备的主机特征来识别失陷设备,如操作系统类型、安全补丁状况、开放端口等。
但是,无论是基于流量特征、基于行为特征、还是基于设备特征的方法,均无法准确地对持续时间较长且攻击方式隐蔽的异常行为进行识别,并且在面对海量的事件情况下,性能受到了极大的限制。
发明内容
有鉴于此,有必要提供一种基于多源日志的失陷设备检测方法、系统及电子设备,用以解决现有技术无法针对长时间范围内的海量流量数据进行检测以识别异常行为设备的问题。
为达到上述技术目的,本发明采取了以下技术方案:
第一方面,本发明提供了一种基于多源日志的失陷设备检测方法,包括:
获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志;
基于预设融合原则融合所述流量日志,得到融合表;
根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息;
根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备;
获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。
进一步的,所述基于预设融合原则融合所述流量日志,得到融合表,包括:
根据所述预设融合原则,得到融合特征字段;
根据所述融合特征字段,合并所述流量日志中,具有相同所述融合特征字段的日志项,得到所述融合表。
进一步的,所述根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,包括:
根据所述预设回溯时间段,从所述融合表中筛选出位于所述预设回溯时间段内的表项,得到第一数据表;
从所述第一数据表中筛选出符合预设数据流向的表项,得到第二数据表;
根据所述预设异常行为特征,得到异常行为字段值;
从所述第二数据表中筛选出包括所述异常行为字段值的表项,并根据筛选出的表项,得到所述异常设备身份信息。
进一步的,所述异常行为特征包括黑名单通信、统计阈值异常和包含特定关键字,所述黑名单通信对应的异常行为字段值包括位于预设黑名单中的主机地址、域名和统一资源定位符;所述统计阈值异常对应的异常行为字段值包括文件大小阈值、会话数量阈值和响应失败次数阈值;所述包含特定关键字对应的异常行为字段值包括预设敏感字。
进一步的,所述安全日志包括异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息;所述根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,包括:
从所述安全日志中筛选出包括所述异常设备身份信息的日志项,得到第三数据表;
提取所述第三数据表中的异常设备身份信息、访问方向信息、攻击方向信息、威胁等级信息,得到第四数据表;
基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
进一步的,所述异常设备身份信息包括IP地址;所述基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备,包括:
基于所述第四数据表,根据所述访问方向信息,判断所述异常设备身份信息为源IP地址或目的IP地址,得到目标访问方向;
根据所述目标访问方向,聚合所述第四数据表中的异常设备身份信息、所述攻击方向信息和所述威胁等级信息,得到第五数据表以及目标攻击方向;
基于所述第五数据表,根据所述目标攻击方向和异常设备身份信息对应的威胁等级,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
进一步的,所述安全日志还包括威胁类型信息;所述获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备,包括:
获取所述疑似失陷设备的安全日志;
根据所述疑似失陷设备的安全日志,基于所述预设网络攻击知识图谱,构建所述安全日志中的威胁类型和所述预设网络攻击知识图谱中的攻击战术的映射关系,得到攻击战术链列表;
根据所述攻击战术链列表的长度和所述攻击战术链列表的攻击类型,判断所述疑似失陷设备是否为所述目标失陷设备。
第二方面,本发明还提供了一种基于多源日志的失陷设备检测装置,包括:
日志获取模块,用于获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志;
日志融合模块,用于基于预设融合原则融合所述流量日志,得到融合表;
异常检测模块,用于根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息;
初次判定模块,用于根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备;
二次判定模块,用于获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。
第三方面,本发明还提供了一种电子设备,包括存储器和处理器,其中,
存储器,用于存储程序;
处理器,与存储器耦合,用于执行存储器中存储的程序,以实现上述任一种实现方式中的基于多源日志的失陷设备检测方法中的步骤。
第四方面,本发明还提供了一种计算机可读存储介质,用于存储计算机可读取的程序或指令,程序或指令被处理器执行时,能够实现上述任一种实现方式中的基于多源日志的失陷设备检测方法中的步骤。
本发明提供一种基于多源日志的失陷设备检测方法、装置及电子设备,其先获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志,然后基于预设融合原则融合所述流量日志,得到融合表,再根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,之后根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,最后获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。相比于现有技术,本发明通过融合流量日志的方式,利用预设回溯时间段,找到异常设备身份信息,回溯的时间范围更大,能发现更多隐藏的异常行为。同时,利用异常设备身份信息结合安全日志进行疑似失陷资产判定,既能减少对海量安全告警聚合分析的开销,又能通过安全日志提供的信息,对疑似失陷设备做进一步的是否失陷判定,得到疑似失陷设备,解决了如何针对长时间范围内的海量流量数据进行检测以识别异常行为设备的问题。
附图说明
图1为本发明提供的基于多源日志的失陷设备检测方法一实施例的方法流程图;
图2为图1中步骤S104一实施例的方法流程图;
图3为本发明提供的基于多源日志的失陷设备检测方法一实施例中判定疑似失陷设备的流程示意图;
图4为本发明提供的基于多源日志的失陷设备检测装置一实施例的结构示意图;
图5为本发明提供的电子设备的结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
在阐述具体的实施例之前,本文首先对一些相关名词进行解释:
多源日志分析: 通过收集和分析多种类型设备产生的日志,提取每个日志文件中的关键信息和特征,例如流量日志中的IP地址、时间戳、访问域名、上传和下载流量,以及访问内容等;安全日志中的源IP、目的IP、威胁名称、威胁类型、威胁等级、攻击链等;将不同来源的日志数据进行关联分析,找出失陷设备存在的异常行为和攻击,从而更好地识别出未知的失陷设备。
网络流量的异常行为主要包括:
1.大量的传输数据:失陷设备可能会向外部设备发送大量的数据,这些数据可能是机密信息、恶意代码或者其他不正常的数据。
2.反复的连接请求:失陷设备可能会以异常的频率向外部主机发送连接请求,这些连接请求可能是攻击者使用的控制信令或者漏洞利用代码。
3.不正常的端口使用:失陷设备可能会使用不正常的端口进行通信,例如使用常见的攻击者后门所使用的端口或者使用被禁止的端口进行通信。
4.异常的通信模式:失陷设备可能会使用异常的通信模式进行通信,例如使用加密通信、使用不正常的协议或者使用异常的数据包格式。
5.高频率的数据传输:失陷设备可能会以异常的高频率向外部主机发送数据,这些数据可能是用于创建DDoS攻击或者进行数据窃取的。
以上这些网络流量异常可能表明设备已经被攻击者入侵,因此需要及时进行处理和排查。
ATT&CK攻击技术:是MITRE公司开发的攻击战术和技术框架(即一种网络攻击知识图谱),用于描述攻击者在攻击中使用的技术和行为。
ATT&CK攻击技术描述的是在攻击中使用多种攻击技术,包括恶意软件、网络钓鱼、社交工程、漏洞利用、密码破解等等,常用来结合安全日志分析,通过构建威胁类型和ATT&CK攻击战术之间的对应关系,从而实现告警类型和ATT&CK攻击战术之间的映射,达到帮助安全团队更好地理解攻击者的攻击方式和行为,进而更准确和快速地识别出失陷设备。
失陷设备:也可以称之为失陷资产,失陷设备是指已经被攻击者入侵并被控制的计算机、服务器、路由器、交换机、防火墙等可以用IP标识的网络设备或主机。攻击者可以通过漏洞利用、社交工程、网络钓鱼等方式将恶意代码或者后门程序植入到设备中,从而实现对设备的控制和操纵。失陷设备可能被用于发起DDoS攻击、窃取敏感数据、进行远程控制等恶意行为。由于失陷设备常常被攻击者用作攻击的跳板,因此对失陷设备的及时检测和处理尤为重要。
传统的网络安全领域一般采用基于流量特征、基于行为特征和基于设备特征等多种方法来识别失陷设备或设备,主要依赖于设备的行为特征来进行检测。
基于流量特征的方法:通过分析网络流量中的特征来识别失陷设备,如流量大小、流量方向、流量频率等;
基于行为特征的方法:通过分析失陷设备的行为特征来识别失陷设备,如访问行为、通信行为、应用行为等
基于设备特征的方法:通过分析失陷设备的主机特征来识别失陷设备,如操作系统类型、安全补丁状况、开放端口等。
然而,这种检测设备是否失陷的方案可能存在以下缺点:
误判率高:基于流量特征的方法容易被黑客绕过,导致失陷设备无法被准确识别。比如:攻击者成功渗透进内网之后,其后续的行为可能不带有明显的流量特征,因此此时难以简单的通过流量的特征行为来进行失陷设备的检测。
检测效率低:基于行为特征和主机特征的方法需要对大量的数据进行分析和比对,而且需要专业的技术人员进行处理,成本较高。
1.缺乏大规模数据集:机器学习算法需要大规模的数据集来训练模型,以便能够正确地识别失陷设备。然而,对于某些设备类型可能缺乏足够的数据,导致训练出的模型无法准确地识别失陷设备。
2.数据不平衡:在某些情况下,失陷设备的数量可能远远少于正常设备的数量,导致数据不平衡。这会导致机器学习算法过于偏向正常设备,而无法准确地识别失陷设备。
3.特征选择:机器学习算法需要输入一组特征来识别失陷设备。然而,在某些情况下,选择哪些特征能够有效地识别失陷设备可能不明确。
4.对抗攻击:恶意攻击者可能会针对机器学习算法进行对抗攻击,以欺骗算法,导致误判。例如,攻击者可能会通过改变数据中的某些特征,使得算法无法正确识别失陷设备。
5.算法选择:选择哪种机器学习算法能够最好地识别失陷设备可能需要进行多次试验和比较,以确定最佳算法。此外,不同的设备类型可能需要不同的算法来进行识别。
本发明通过对流量日志及安全日志进行回溯聚合并统一分析,以得到疑似失陷设备,再通过预设网络攻击知识图谱对疑似失陷设备的相关日志进行验证,以确认失陷设备。
在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明提供了一种基于多源日志的失陷设备检测方法、装置、电子设备及存储介质,以下分别进行说明。
结合图1所示,本发明的一个具体实施例,公开了一种基于多源日志的失陷设备检测方法,包括:
S101、获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志;
S102、基于预设融合原则融合所述流量日志,得到融合表;
S103、根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息;
S104、根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备;
S105、获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。
本发明提供一种基于多源日志的失陷设备检测方法、装置及电子设备,其先获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志,然后基于预设融合原则融合所述流量日志,得到融合表,再根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,之后根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,最后获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。相比于现有技术,本发明通过融合流量日志的方式,利用预设回溯时间段,找到异常设备身份信息,回溯的时间范围更大,能发现更多隐藏的异常行为。同时,利用异常设备身份信息结合安全日志进行疑似失陷资产判定,既能减少对海量安全告警聚合分析的开销,又能通过安全日志提供的信息,对疑似失陷设备做进一步的是否失陷判定,得到疑似失陷设备,解决了如何针对长时间范围内的海量流量数据进行检测以识别异常行为设备的问题。
在一个优选的实施例中,上述步骤S102、基于预设融合原则融合所述流量日志,得到融合表,具体包括:
根据所述预设融合原则,得到融合特征字段;
根据所述融合特征字段,合并所述流量日志中,具有相同所述融合特征字段的日志项,得到所述融合表。
本发明还提供一更加详细的实施例,用以更加清楚地说明上述步骤S102:
采集流量日志和安全日志,根据不同的行为特征和攻击特征,进行分表存储。
对来源于不同设备的流量日志,进行多源数据融合,存储在一张表里,提高存储和后续分析的性能。融合的原则按照行为特征相同、携带的信息相同(相近)、逻辑意义相同等维度。如来源于不同设备的流量日志,均包含网络访问行为,可将其融合一张表(即所述融合表)进行描述(以上即所述预设融合原则)。
具体如下所示:
1.首先提取网络访问行为存在的日志:
如:流量探针的http日志,从web服务器采集的apache日志,终端的网络连接日志(http连接)等都是描述网络访问行为的流量日志。
2.找出上述行为日志描述相同意义的字段,进行统一描述字段存储。
综上分析,可以将网络访问行为日志表示成如下表:
进一步的,在一个优选的实施例中,上述步骤S103、根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,包括:
根据所述预设回溯时间段,从所述融合表中筛选出位于所述预设回溯时间段内的表项,得到第一数据表;
从所述第一数据表中筛选出符合预设数据流向的表项,得到第二数据表;
根据所述预设异常行为特征,得到异常行为字段值;
从所述第二数据表中筛选出包括所述异常行为字段值的表项,并根据筛选出的表项,得到所述异常设备身份信息。
具体地,在一个优选的实施例中,所述异常行为特征包括黑名单通信、统计阈值异常和包含特定关键字,所述黑名单通信对应的异常行为字段值包括位于预设黑名单中的主机地址、域名和统一资源定位符;所述统计阈值异常对应的异常行为字段值包括文件大小阈值、会话数量阈值和响应失败次数阈值;所述包含特定关键字对应的异常行为字段值包括预设敏感字。
本发明还提供一更加详细的实施例,用以更加清楚地说明上述步骤S103:
回溯一段范围内的数据如1hours(即所述预设回溯时间段),筛选出其中流量方向为内对外(即预设数据流向)的流量数据,根据以下内对外异常行为特征(即所述异常行为字段值):黑名单通信、统计阈值异常、包含特定关键字等过滤出具有异常行为特征的异常设备。下表为本实施例中所采用的具体的异常行为字段:
可以理解的是,回溯流量数据的方向可以由内至外,可以是由内至内,也可以是由外至内,其中内网可以是内置的网段,也可以是手动配置的网段。异常行为特征可以动态扩展,可以根据流量数据的方向,自定义异常行为检测特征(即自定义异常行为字段值)。
进一步的,结合图2所示,在一个优选的实施例中,上述步骤S104、根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,具体包括:
S201、从所述安全日志中筛选出包括所述异常设备身份信息的日志项,得到第三数据表;
S202、提取所述第三数据表中的异常设备身份信息、访问方向信息、攻击方向信息、威胁等级信息,得到第四数据表;
S203、基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
具体地,在一个优选的实施例中,所述异常设备身份信息包括IP地址,上述步骤中的步骤S203、所述基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备,具体包括:
基于所述第四数据表,根据所述访问方向信息,判断所述异常设备身份信息为源IP地址或目的IP地址,得到目标访问方向;
根据所述目标访问方向,聚合所述第四数据表中的异常设备身份信息、所述攻击方向信息和所述威胁等级信息,得到第五数据表以及目标攻击方向;
基于所述第五数据表,根据所述目标攻击方向和异常设备身份信息对应的威胁等级,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
本发明还提供一更加详细的实施例,用以更加清楚地说明上述步骤S104:
以异常设备作为过滤条件去安全日志中进行匹配,如果能够匹配到对应的数据存在(即得到第三数据表),则按照下面的疑似失陷资产检测流程去判定疑似失陷资产:
1.获取到的异常设备IP(即所述异常设备身份信息)是内网IP:192.168.223.11,存在于安全日志中;
2.通过提取安全日志的源IP(sip),目的IP(dip),访问方向、威胁等级、威胁类型等字段,得到所述第四数据表,并进行分析;
3.通过访问方向判断,聚合内网IP:192.168.223.11的数据,判断该IP是sip还是dip,即得到目标访问方向;
4.然后以192.168.223.11作为待检测设备资产,聚合攻击方向、威胁等级和威胁类型,得到所述第五数据表并进行分析;
5.根据攻击方向进行判断,该待检测设备资产:192.168.223.11为攻击者还是被攻击者,即得到所述目标攻击方向;
6.如果该IP:192.168.223.11作为攻击者则直接判定为疑似失陷资产;
7.如果该IP:192.168.223.11作为被攻击者则根据威胁等级是否大于中,如果是则判定为疑似失陷资产。
上述过程可以参考图3,图3为本实施例中判定疑似失陷设备的具体流程图。
进一步的,在一个优选的实施例中,所述安全日志还包括威胁类型信息,上述步骤S105、获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备,还包括:
获取所述疑似失陷设备的安全日志;
根据所述疑似失陷设备的安全日志,基于所述预设网络攻击知识图谱,构建所述安全日志中的威胁类型和所述预设网络攻击知识图谱中的攻击战术的映射关系,得到攻击战术链列表;
根据所述攻击战术链列表的长度和所述攻击战术链列表的攻击类型,判断所述疑似失陷设备是否为所述目标失陷设备。
本发明还提供一更加详细的实施例,用以更加清楚地说明上述步骤S105:
针对生成的疑似失陷资产进行失陷资产判定,具体流程如下图所示:
1.首先判断是否有疑似资产生成;
2.通过获取ATT&CK知识库(即所述预设网络攻击知识图谱),构建威胁类型和ATT&CK战术的映射关系,从而获取攻击战术链列表,
然后通过判断链表的长度和攻击类型是否超过阈值来判断是否为失陷资产。
如对Tomcat 弱口令--批量设备沦陷、svn代码泄露事件进行分析如下:
下述对应的行为对应的威胁类型、攻击战术映射
1.发现10.5.xx.xx开放端口并存在Tomcat管理页面-->端口扫描-->端口扫描
2.定制xx常用弱口令-->口令猜测 -->攻击入侵
3.登录请求-->web访问 -->网络访问
4.对该登录接口进行口令尝试-->口令暴力破解 -->攻击入侵
5.部署webshell-->木马攻击 -->漏洞攻击
6.命令执行-->远程命令执行漏洞攻击 -->漏洞攻击
7.获取10.5.xx.xx Root权限-->权限提升 -->权限提升
8.发现svn连接信息-->信息窃取 -->信息危害
9.登录192.168.5.246 Web SVN -->账号登录 -->认证授权
10.获取xx产品代码 -->任意文件漏洞读取 -->漏洞攻击
可以理解的是,失陷资产判定,可以根据ATT&CK知识图谱进行判断,实际中也可以选择其他的现有的网络攻击知识图谱,例如DE3FEND、CAPEC等满足威胁类型和攻击战术可以构建映射关系的知识图谱,
需要说明的是,碍于篇幅限制,本发明无法对每个步骤都做出具体说明,前文中没有具体解释的名词或者方法步骤,均为本领域技术人员能够理解的现有技术。
为了更好实施本发明实施例中的基于多源日志的失陷设备检测方法,在基于多源日志的失陷设备检测方法基础之上,对应的,请参阅图4,图5为本发明提供的基于多源日志的失陷设备检测装置的一实施例的结构示意图,本发明实施例提供的一种基于多源日志的失陷设备检测装置400,包括:
日志获取模块410,用于获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志;
日志融合模块420,用于基于预设融合原则融合所述流量日志,得到融合表;
异常检测模块430,用于根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息;
初次判定模块440,用于根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备;
二次判定模块450,用于获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。
这里需要说明的是:上述实施例提供的对应的装置400可实现上述各方法实施例中描述的技术方案,上述各模块或单元具体实现的原理可参见上述方法实施例中的相应内容,此处不再赘述。
请参阅图5,图5为本发明实施例提供的电子设备的结构示意图。基于上述基于多源日志的失陷设备检测方法,本发明还相应提供了一种基于多源日志的失陷设备检测设备500,即上述电子设备,基于多源日志的失陷设备检测设备500可以是移动终端、桌上型计算机、笔记本、掌上电脑及服务器等计算设备。该基于多源日志的失陷设备检测设备500包括处理器510、存储器520及显示器530。图5仅示出了基于多源日志的失陷设备检测设备的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
存储器520在一些实施例中可以是基于多源日志的失陷设备检测设备500的内部存储单元,例如基于多源日志的失陷设备检测设备500的硬盘或内存。存储器520在另一些实施例中也可以是基于多源日志的失陷设备检测设备500的外部存储设备,例如基于多源日志的失陷设备检测设备500上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)等。进一步地,存储器520还可以既包括基于多源日志的失陷设备检测设备500的内部存储单元也包括外部存储设备。存储器520用于存储安装于基于多源日志的失陷设备检测设备500的应用软件及各类数据,例如安装基于多源日志的失陷设备检测设备500的程序代码等。存储器520还可以用于暂时地存储已经输出或者将要输出的数据。在一实施例中,存储器520上存储有基于多源日志的失陷设备检测程序540,该基于多源日志的失陷设备检测程序540可被处理器510所执行,从而实现本申请各实施例的基于多源日志的失陷设备检测方法。
处理器510在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器520中存储的程序代码或处理数据,例如执行基于多源日志的失陷设备检测方法等。
显示器530在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器530用于显示在基于多源日志的失陷设备检测设备500的信息以及用于显示可视化的用户界面。基于多源日志的失陷设备检测设备500的部件510-530通过系统总线相互通信。
在一实施例中,当处理器510执行存储器520中基于多源日志的失陷设备检测程序540时实现如上的基于多源日志的失陷设备检测方法中的步骤。
本实施例还提供了一种计算机可读存储介质,其上存储有基于多源日志的失陷设备检测程序,该基于多源日志的失陷设备检测程序被处理器执行时可实现上述实施例中的步骤。
本发明提供一种基于多源日志的失陷设备检测方法、装置及电子设备,其先获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志,然后基于预设融合原则融合所述流量日志,得到融合表,再根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,之后根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,最后获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备。相比于现有技术,本发明通过融合流量日志的方式,利用预设回溯时间段,找到异常设备身份信息,回溯的时间范围更大,能发现更多隐藏的异常行为。同时,利用异常设备身份信息结合安全日志进行疑似失陷资产判定,既能减少对海量安全告警聚合分析的开销,又能通过安全日志提供的信息,对疑似失陷设备做进一步的是否失陷判定,得到疑似失陷设备,解决了如何针对长时间范围内的海量流量数据进行检测以识别异常行为设备的问题。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (7)
1.一种基于多源日志的失陷设备检测方法,其特征在于,包括:
获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志;
基于预设融合原则融合所述流量日志,得到融合表;
根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息;
根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备;
获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备;
其中,所述基于预设融合原则融合所述流量日志,得到融合表,包括:
根据所述预设融合原则,得到融合特征字段;
根据所述融合特征字段,合并所述流量日志中,具有相同所述融合特征字段的日志项,得到所述融合表;
其中,所述根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,包括:
根据所述预设回溯时间段,从所述融合表中筛选出位于所述预设回溯时间段内的表项,得到第一数据表;
从所述第一数据表中筛选出符合预设数据流向的表项,得到第二数据表;
根据所述预设异常行为特征,得到异常行为字段值;
从所述第二数据表中筛选出包括所述异常行为字段值的表项,并根据筛选出的表项,得到所述异常设备身份信息;
其中,所述安全日志包括异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息;所述根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,包括:
从所述安全日志中筛选出包括所述异常设备身份信息的日志项,得到第三数据表;
提取所述第三数据表中的异常设备身份信息、访问方向信息、攻击方向信息、威胁等级信息,得到第四数据表;
基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
2.根据权利要求1所述的基于多源日志的失陷设备检测方法,其特征在于,所述预设异常行为特征包括黑名单通信、统计阈值异常和包含特定关键字,所述黑名单通信对应的异常行为字段值包括位于预设黑名单中的主机地址、域名和统一资源定位符;所述统计阈值异常对应的异常行为字段值包括文件大小阈值、会话数量阈值和响应失败次数阈值;所述包含特定关键字对应的异常行为字段值包括预设敏感字。
3.根据权利要求1所述的基于多源日志的失陷设备检测方法,其特征在于,所述异常设备身份信息包括IP地址;所述基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备,包括:
基于所述第四数据表,根据所述访问方向信息,判断所述异常设备身份信息为源IP地址或目的IP地址,得到目标访问方向;
根据所述目标访问方向,聚合所述第四数据表中的异常设备身份信息、所述攻击方向信息和所述威胁等级信息,得到第五数据表以及目标攻击方向;
基于所述第五数据表,根据所述目标攻击方向和异常设备身份信息对应的威胁等级,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
4.根据权利要求1所述的基于多源日志的失陷设备检测方法,其特征在于,所述安全日志还包括威胁类型信息;所述获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备,包括:
获取所述疑似失陷设备的安全日志;
根据所述疑似失陷设备的安全日志,基于所述预设网络攻击知识图谱,构建所述安全日志中的威胁类型和所述预设网络攻击知识图谱中的攻击战术的映射关系,得到攻击战术链列表;
根据所述攻击战术链列表的长度和所述攻击战术链列表的攻击类型,判断所述疑似失陷设备是否为所述目标失陷设备。
5.一种基于多源日志的失陷设备检测装置,其特征在于,包括:
日志获取模块,用于获取来源于不同设备的网络日志,所述网络日志包括流量日志和安全日志;
日志融合模块,用于基于预设融合原则融合所述流量日志,得到融合表;
异常检测模块,用于根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息;
初次判定模块,用于根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备;
二次判定模块,用于获取所述疑似失陷设备的网络日志,并根据所述疑似失陷设备的网络日志,基于预设网络攻击知识图谱判定所述疑似失陷设备,得到目标失陷设备;
其中,所述基于预设融合原则融合所述流量日志,得到融合表,包括:
根据所述预设融合原则,得到融合特征字段;
根据所述融合特征字段,合并所述流量日志中,具有相同所述融合特征字段的日志项,得到所述融合表;
其中,所述根据预设异常行为特征,对所述融合表中位于预设回溯时间段内的表项进行异常行为检测,得到异常设备身份信息,包括:
根据所述预设回溯时间段,从所述融合表中筛选出位于所述预设回溯时间段内的表项,得到第一数据表;
从所述第一数据表中筛选出符合预设数据流向的表项,得到第二数据表;
根据所述预设异常行为特征,得到异常行为字段值;
从所述第二数据表中筛选出包括所述异常行为字段值的表项,并根据筛选出的表项,得到所述异常设备身份信息;
其中,所述安全日志包括异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息;所述根据所述异常设备身份信息,对所述安全日志中与所述异常设备身份信息匹配的日志项进行疑似失陷设备判定,得到疑似失陷设备,包括:
从所述安全日志中筛选出包括所述异常设备身份信息的日志项,得到第三数据表;
提取所述第三数据表中的异常设备身份信息、访问方向信息、攻击方向信息、威胁等级信息,得到第四数据表;
基于所述第四数据表,根据异常设备身份信息、访问方向信息、攻击方向信息和威胁等级信息,判定所述异常设备身份信息所表示的设备是否为所述疑似失陷设备。
6.一种电子设备,其特征在于,包括存储器和处理器,其中,
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述权利要求1至4中任一项所述基于多源日志的失陷设备检测方法中的步骤。
7.一种计算机可读存储介质,其特征在于,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时,能够实现上述权利要求1至4中任一项所述基于多源日志的失陷设备检测方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310530915.2A CN116319074B (zh) | 2023-05-12 | 2023-05-12 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310530915.2A CN116319074B (zh) | 2023-05-12 | 2023-05-12 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116319074A CN116319074A (zh) | 2023-06-23 |
| CN116319074B true CN116319074B (zh) | 2023-08-15 |
Family
ID=86801663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310530915.2A Active CN116319074B (zh) | 2023-05-12 | 2023-05-12 | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319074B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116567062B (zh) * | 2023-07-07 | 2023-09-26 | 北京安博通科技股份有限公司 | 基于流量日志发现资产的方法、装置、电子设备及介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100027836A (ko) * | 2008-09-03 | 2010-03-11 | 충남대학교산학협력단 | 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템 |
| CN103138989A (zh) * | 2013-02-25 | 2013-06-05 | 武汉华工安鼎信息技术有限责任公司 | 一种海量日志分析系统及方法 |
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
| EP3595257A1 (en) * | 2018-07-10 | 2020-01-15 | Nokia Solutions and Networks Oy | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device |
| CN111245787A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 一种失陷设备识别与设备失陷度评估的方法、装置 |
| CN113542311A (zh) * | 2021-09-17 | 2021-10-22 | 成都数默科技有限公司 | 一种实时检测失陷主机并回溯的方法 |
| CN114189367A (zh) * | 2021-11-30 | 2022-03-15 | 南京理工大学 | 一种基于知识图谱的安全日志分析系统 |
| CN115296924A (zh) * | 2022-09-22 | 2022-11-04 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
| CN115643035A (zh) * | 2021-07-05 | 2023-01-24 | 中国石油化工股份有限公司 | 基于多源日志的网络安全态势评估方法 |
| WO2023060942A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
-
2023
- 2023-05-12 CN CN202310530915.2A patent/CN116319074B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100027836A (ko) * | 2008-09-03 | 2010-03-11 | 충남대학교산학협력단 | 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템 |
| CN103138989A (zh) * | 2013-02-25 | 2013-06-05 | 武汉华工安鼎信息技术有限责任公司 | 一种海量日志分析系统及方法 |
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| EP3595257A1 (en) * | 2018-07-10 | 2020-01-15 | Nokia Solutions and Networks Oy | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device |
| CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
| CN111245787A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 一种失陷设备识别与设备失陷度评估的方法、装置 |
| CN115643035A (zh) * | 2021-07-05 | 2023-01-24 | 中国石油化工股份有限公司 | 基于多源日志的网络安全态势评估方法 |
| CN113542311A (zh) * | 2021-09-17 | 2021-10-22 | 成都数默科技有限公司 | 一种实时检测失陷主机并回溯的方法 |
| WO2023060942A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN114189367A (zh) * | 2021-11-30 | 2022-03-15 | 南京理工大学 | 一种基于知识图谱的安全日志分析系统 |
| CN115296924A (zh) * | 2022-09-22 | 2022-11-04 | 中国电子科技集团公司第三十研究所 | 一种基于知识图谱的网络攻击预测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 蒋宏宇 ; 吴亚东 ; 孙蒙新 ; 王笑 ; 张雨薇 ; .多源网络安全日志数据融合与可视分析方法研究.西南科技大学学报.2017,(第01期),第70-77页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116319074A (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| EP3588898B1 (en) | Defense against apt attack | |
| US10230750B2 (en) | Secure computing environment | |
| KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
| EP1995929B1 (en) | Distributed system for the detection of eThreats | |
| US20170230336A1 (en) | Automated honeypot provisioning system | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| Kaur et al. | Automatic attack signature generation systems: A review | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
| Borys et al. | An evaluation of IoT DDoS cryptojacking malware and Mirai botnet | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Auliar et al. | Security in iot-based smart homes: A taxonomy study of detection methods of mirai malware and countermeasures | |
| Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
| US20190173908A1 (en) | Automatic User Session Profiling System for Detecting Malicious Intent | |
| CN113824678B (zh) | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |