CN116886361A - 一种基于安全大数据分析平台的自动化响应方法及系统 - Google Patents
一种基于安全大数据分析平台的自动化响应方法及系统 Download PDFInfo
- Publication number
- CN116886361A CN116886361A CN202310860043.6A CN202310860043A CN116886361A CN 116886361 A CN116886361 A CN 116886361A CN 202310860043 A CN202310860043 A CN 202310860043A CN 116886361 A CN116886361 A CN 116886361A
- Authority
- CN
- China
- Prior art keywords
- threat
- queue
- forbidden
- automatic
- sealing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000004044 response Effects 0.000 title claims abstract description 30
- 238000007405 data analysis Methods 0.000 title claims abstract description 29
- 239000000523 sample Substances 0.000 claims abstract description 31
- 230000000903 blocking effect Effects 0.000 claims abstract description 28
- 238000007789 sealing Methods 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 20
- 238000012544 monitoring process Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 13
- 238000001914 filtration Methods 0.000 claims description 12
- 230000008676 import Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 5
- 230000007123 defense Effects 0.000 abstract description 6
- 238000012351 Integrated analysis Methods 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 235000015097 nutrients Nutrition 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于安全大数据分析平台的自动化响应方法及系统。首先部署安全大数据分析平台,包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据;对收集到的原始数据进行归纳汇总,并使用多维度对安全设备日志进行分析;最后根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。本申请通过自动化防御,通过将各种告警数据整合分析研判,进行自动阻断操作,大大缩短威胁处置时间,由点到面达到全方位防护。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于安全大数据分析平台的自动化响应方法及系统。
背景技术
网络安全事件是指在网络环境中发生的各种威胁、攻击和事件,可能导致信息泄露、数据损坏、系统瘫痪等安全问题。
目前,面对网络安全事件处置主要是通过人为封禁或者将威胁IP或域名整理成文件批量导入防火墙等相关阻断设备来处理。由于网络攻击存在时效性的特点,攻击往往会在短时间内对系统或网络造成重大影响。事件处置事件耗时越长,资产风险就会越大。
发明内容
基于此,本申请实施例提供了一种基于安全大数据分析平台的自动化响应方法及系统,能够通过将各种告警数据整合分析研判,进行自动阻断操作。
第一方面,提供了一种基于安全大数据分析平台的自动化响应方法,该方法包括:
部署安全大数据分析平台;具体包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据,其中,所述原始数据至少包括设备日志或监控数据;
对收集到的原始数据进行归纳汇总,并使用多维度对安全设备日志进行分析;其中,所述多维度至少包括源IP、目标IP或协议;
根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。
可选地,在根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列,包括:
对于加入自动封禁队列的威胁IP,进行格式过滤、去重;
并分别与白名单和已处理威胁IP名单进行对比过滤;
并根据封禁队列的处理优先级进行对应处理。
可选地,封禁队列的处理优先级具体包括:
手动解封、手动封禁、自动封禁、手动批量解封、文件批量导入以及自动解封。
可选地,采用网络设备来实现自动封禁,具体包括:
根据网络设备支持的协议,将威胁IPIP推送至联动设备进行封禁;其中联动方式具体包括SSH、API以及NETCONF。
可选地,所述方法还包括:
通过手动输入或者导入的方式将威胁IP加入封禁队列。
第二方面,提供了一种基于安全大数据分析平台的自动化响应系统,该系统包括:
收集模块,用于部署安全大数据分析平台;具体包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据,其中,所述原始数据至少包括设备日志或监控数据;
分析模块,用于对收集到的原始数据进行归纳汇总,并使用多维度对安全设备日志进行分析;其中,所述多维度至少包括源IP、目标IP或协议;
封禁模块,用于根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。
可选地,封禁模块在根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列,包括:
对于加入自动封禁队列的威胁IP,进行格式过滤、去重;
并分别与白名单和已处理威胁IP名单进行对比过滤;
并根据封禁队列的处理优先级进行对应处理。
可选地,封禁队列的处理优先级具体包括:
手动解封、手动封禁、自动封禁、手动批量解封、文件批量导入以及自动解封。
可选地,采用网络设备来实现自动封禁,具体包括:
根据网络设备支持的协议,将威胁IPIP推送至联动设备进行封禁;其中联动方式具体包括SSH、API以及NETCONF。
可选地,所述系统还包括:
输入模块,用于通过手动输入或者导入的方式将威胁IP加入封禁队列。
本申请实施例提供的技术方案中首先部署安全大数据分析平台,包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据;对收集到的原始数据进行归纳汇总,并使用多维度对安全设备日志进行分析;最后根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。可以看出,本发明的有益效果在于:联动电子邮件安全、防火墙、WAF、威胁情报等多种产品组成安全运营方案,深入融合常态化安全的工作机制,结合现有安全防护设备进行一体化联动联防与处置,实现基于攻击者IP的综合威胁分析。通过主动对攻击IP封禁将攻击行为遏制在攻杀链前端,建立动态防线,大大缩短威胁处置时间,由点到面达到全方位防护。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。
图1为本申请实施例提供的一种基于安全大数据分析平台的自动化响应方法流程图;
图2为本申请实施例提供的一种基于安全大数据分析平台的自动化响应系统框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本发明的描述中,术语“包括”、“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于已明确列出的那些步骤或单元,而是还可包含虽然并未明确列出的但对于这些过程、方法、产品或设备固有的其它步骤或单元,或者基于本发明构思进一步的优化方案所增加的步骤或单元。
本发明是已安全大数据分析平台为基础,通过高效的关联分析引擎对事件的实时分析以及利用威胁情报对本地采集数据的快速查寻匹配,安全运营平台可快速发现当前对网络的攻击行为、违规访问以及对网络的APT攻击,发现网络中受控主机,及时产生告警。通过自动响应平台建立防火墙产品联动,自动阻断有害连接,最大程度保护用户IT资产。
基于攻击者视角,结合攻击溯源理念,以用户业务应用为核心,可视化为特色,以安全态势监控、事件关联分析、态势威胁情报、集中响应为重点,为网络安全决策者、管理者、运维(营)者提供全方位一体化的智能化网络安全威胁监测运营和指挥平台。
本发明,在安全大数据分析平台已有数据上,结合现有安全防护设备进行联动联防与处置,大大缩短了事件处置时间,最大程度的保护用户资产安全。具体地,请参考图1,其示出了本申请实施例提供的一种基于安全大数据分析平台的自动化响应方法的流程图,该方法可以包括以下步骤:
步骤101,部署安全大数据分析平台,具体包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据。
其中,原始数据至少包括设备日志或监控数据。
在关键网络位置部署探针和收集节点,全面收集来自安全设备和系统、主机系统、应用系统以及网络流量的日志或监控数据。从多种维度对安全设备日志进行归纳汇总,自动响应系统通过配置多维度规则,自动将规则匹配到的威胁IP加入自动封禁队列。
在本申请中在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据的过程可以包括:
确定关键网络位置:首先,需要对网络进行综合分析,识别出关键的网络位置。这些位置可能是网络交换机、路由器、服务器或其他关键设备所在的位置。
设计探针和收集节点:根据需求和目标,设计合适的探针和收集节点。探针通常是一种硬件设备或软件程序,用于监测和收集网络数据。收集节点则是用于存储和处理从探针获取的原始数据的设备或服务器。
部署探针和收集节点:将设计好的探针和收集节点部署到事先确定的关键网络位置上。对于硬件设备,需要进行物理安装和配置;而对于软件程序,需要安装在适当的主机或服务器上,并进行相应的配置和调试。
配置探针和收集节点:为了确保探针和收集节点能够正常工作,需要对其进行配置。这包括设置探针的监测参数、采样频率、数据传输方式等;对于收集节点,则需要设置数据存储方式、数据处理规则等。
测试和验证:一旦探针和收集节点配置完成,需要进行测试和验证,以确保它们能够准确地收集原始数据。这可以包括模拟网络流量、进行数据采样和监测等操作,并验证收集到的数据是否符合预期。
运维和监控:一旦部署和配置完成,需要对探针和收集节点进行运维和监控。这包括定期检查设备状态、维护设备的正常运行、监控收集到的数据质量等。
通过以上步骤,可以实现在关键网络位置部署探针和收集节点,并通过它们来收集原始数据。这些原始数据可以用于网络性能分析、安全监测、故障排查等目的。
步骤102,对收集到的原始数据进行归纳汇总,并使用多种维度对安全设备日志进行分析。
其中,多种维度至少包括源IP、目标IP或协议。
其中,对安全设备日志进行分析具体过程可以包括:
数据清洗:首先,对原始数据进行清洗和预处理。这包括去除重复数据、修复错误数据、处理缺失值等。此步骤确保数据的准确性和完整性。
数据归纳汇总:将清洗后的原始数据进行归纳汇总,以便更好地理解和分析。这可能涉及根据时间段、网络流量大小或其他相关因素对数据进行聚合。例如,将同一源IP和目标IP之间的所有通信归纳为单个记录,其中包括总传输数据量、连接次数等。
多维度分析:基于归纳后的数据,使用多种维度对安全设备日志进行分析。这些维度可以是源IP、目标IP或协议等。通过将数据按照这些维度进行分组,可以获得关于各个维度的统计信息和趋势分析。例如,可以分析具体源IP地址的攻击频率、协议类型下的恶意行为等。
安全事件识别:利用多维度分析结果,根据预先配置的规则或模型,确定威胁IP。这些规则可以基于历史攻击模式、异常行为或黑名单等信息。一旦确定了威胁IP,可以采取相应的措施,如将其加入封禁队列或触发警报。
总的来说,通过数据清洗、归纳汇总和多维度分析,能够更好地理解网络安全设备日志中的趋势和模式,并能够识别出潜在的威胁IP地址。这样的实现过程可以帮助提高网络安全的监测和应对能力。
步骤103,根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。
为防止误封用户正常业务造成不必要的影响,建立白名单,确保用户业正常使用不受影响。同时也可根据封禁时长将需解封的IP加入自动解封队列。
具体地,对于加入自动封禁队列的威胁IP,进行格式过滤、去重;并分别与白名单和已处理威胁IP名单进行对比过滤;并根据封禁队列的处理优先级进行对应处理。
考虑实际业务需要,队列处理优先级设置为手动解封、手动封禁、自动封禁、手动批量解封、文件批量导入、自动解封。
在本步骤中,响应处置具体包括按照处置队列优先级消费队列,执行封禁。对接防火墙(迪普、华为、山石等)、WAF、路由器等设备。
根据设备支持的协议进行联动,将IP推送至联动设备进行封禁。一般联动方式有SSH、API、NETCONF。
在本申请可选的实施例中,方法还包括通过手动输入或者导入的方式将威胁IP加入封禁队列。为防止出现漏报事件,或者总部下发威胁事件以及其他紧急情况需要处置,可采用认为输入或者导入的方式将威胁IP加入手动封禁队列/批量导入队列。
综上可以看出,由于网络攻击存在时效性的特点,攻击往往会在短时间内对系统或网络造成重大影响。而网络安全分析监控的工作方式为“发现异常→分析研判→事件处置”,整个工作流程耗时较长,同时网络安全事件处置主要依赖于人工的操作熟练度。本平台可联动电子邮件安全、防火墙、WAF、威胁情报等多种产品组成XDR安全运营方案,深入融合常态化安全的工作机制,结合现有安全防护设备进行一体化联动联防与处置,实现基于攻击者IP的综合威胁分析。通过主动对攻击IP封禁将攻击行为遏制在攻杀链前端,建立动态防线,大大缩短威胁处置时间,由点到面达到全方位防护。
如图2,本申请实施例还提供的一种基于安全大数据分析平台的自动化响应系统。系统包括:
收集模块,用于部署安全大数据分析平台;具体包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据,其中,原始数据至少包括设备日志或监控数据;
分析模块,用于对收集到的原始数据进行归纳汇总,并使用多维度对安全设备日志进行分析;其中,多维度至少包括源IP、目标IP或协议;
封禁模块,用于根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。
在本申请可选的实施例中,封禁模块在根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列,包括:
对于加入自动封禁队列的威胁IP,进行格式过滤、去重;
并分别与白名单和已处理威胁IP名单进行对比过滤;
并根据封禁队列的处理优先级进行对应处理。
在本申请可选的实施例中,封禁队列的处理优先级具体包括:
手动解封、手动封禁、自动封禁、手动批量解封、文件批量导入以及自动解封。
在本申请可选的实施例中,采用网络设备来实现自动封禁,具体包括:
根据网络设备支持的协议,将威胁IPIP推送至联动设备进行封禁;其中联动方式具体包括SSH、API以及NETCONF。
在本申请可选的实施例中,系统还包括:
输入模块,用于通过手动输入或者导入的方式将威胁IP加入封禁队列。
本申请实施例提供的基于安全大数据分析平台的自动化响应系统用于实现上述基于安全大数据分析平台的自动化响应方法,关于基于安全大数据分析平台的自动化响应系统的具体限定可以参见上文中对于基于安全大数据分析平台的自动化响应方法的限定,在此不再赘述。上述基于安全大数据分析平台的自动化响应系统中的各个部分可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于设备中的处理器中,也可以以软件形式存储于设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于安全大数据分析平台的自动化响应方法,其特征在于,所述方法包括:
部署安全大数据分析平台;具体包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据,其中,所述原始数据至少包括设备日志或监控数据;
对收集到的原始数据进行归纳汇总,并使用多种维度对安全设备日志进行分析;其中,所述多种维度至少包括源IP、目标IP或协议;
根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。
2.根据权利要求1所述的自动化响应方法,其特征在于,在根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列,包括:
对于加入自动封禁队列的威胁IP,进行格式过滤、去重;
并分别与白名单和已处理威胁IP名单进行对比过滤;
并根据封禁队列的处理优先级进行对应处理。
3.根据权利要求2所述的自动化响应方法,其特征在于,封禁队列的处理优先级具体包括:
手动解封、手动封禁、自动封禁、手动批量解封、文件批量导入以及自动解封。
4.根据权利要求1所述的自动化响应方法,其特征在于,采用网络设备来实现自动封禁,具体包括:
根据网络设备支持的协议,将威胁IPIP推送至联动设备进行封禁;其中联动方式具体包括SSH、API以及NETCONF。
5.根据权利要求1所述的自动化响应方法,其特征在于,所述方法还包括:
通过手动输入或者导入的方式将威胁IP加入封禁队列。
6.一种基于安全大数据分析平台的自动化响应系统,其特征在于,所述系统包括:
收集模块,用于部署安全大数据分析平台;具体包括在关键网络位置部署探针和收集节点,通过探针和收集节点收集原始数据,其中,所述原始数据至少包括设备日志或监控数据;
分析模块,用于对收集到的原始数据进行归纳汇总,并使用多维度对安全设备日志进行分析;其中,所述多维度至少包括源IP、目标IP或协议;
封禁模块,用于根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列;并采用防火墙、访问控制列表或网络设备来实现自动封禁。
7.根据权利要求6所述的自动化响应系统,其特征在于,封禁模块在根据预先配置的多维度规则,确定出威胁IP,并将其加入封禁队列,包括:
对于加入自动封禁队列的威胁IP,进行格式过滤、去重;
并分别与白名单和已处理威胁IP名单进行对比过滤;
并根据封禁队列的处理优先级进行对应处理。
8.根据权利要求7所述的自动化响应系统,其特征在于,封禁队列的处理优先级具体包括:
手动解封、手动封禁、自动封禁、手动批量解封、文件批量导入以及自动解封。
9.根据权利要求6所述的自动化响应系统,其特征在于,采用网络设备来实现自动封禁,具体包括:
根据网络设备支持的协议,将威胁IPIP推送至联动设备进行封禁;其中联动方式具体包括SSH、API以及NETCONF。
10.根据权利要求6所述的自动化响应系统,其特征在于,所述系统还包括:
输入模块,用于通过手动输入或者导入的方式将威胁IP加入封禁队列。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310860043.6A CN116886361A (zh) | 2023-07-13 | 2023-07-13 | 一种基于安全大数据分析平台的自动化响应方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310860043.6A CN116886361A (zh) | 2023-07-13 | 2023-07-13 | 一种基于安全大数据分析平台的自动化响应方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116886361A true CN116886361A (zh) | 2023-10-13 |
Family
ID=88269417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310860043.6A Pending CN116886361A (zh) | 2023-07-13 | 2023-07-13 | 一种基于安全大数据分析平台的自动化响应方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116886361A (zh) |
-
2023
- 2023-07-13 CN CN202310860043.6A patent/CN116886361A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356044B2 (en) | Security information and event management | |
CN110535855B (zh) | 一种网络事件监测分析方法和系统、信息数据处理终端 | |
US10616258B2 (en) | Security information and event management | |
WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
US20040117658A1 (en) | Security monitoring and intrusion detection system | |
JP5960978B2 (ja) | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 | |
US20050182950A1 (en) | Network security system and method | |
CN107547228B (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
CN111193738A (zh) | 一种工业控制系统的入侵检测方法 | |
CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
CN111212035A (zh) | 一种主机失陷确认及自动修复方法及基于此的系统 | |
CN112333191A (zh) | 违规网络资产检测与访问阻断方法、装置、设备及介质 | |
CN107809321B (zh) | 一种安全风险评估和告警生成的实现方法 | |
CN108418697B (zh) | 一种智能化的安全运维服务云平台的实现架构 | |
CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
KR102090757B1 (ko) | 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법 | |
JP2005202664A (ja) | 不正アクセス統合対応システム | |
CN110460558B (zh) | 一种基于可视化的攻击模型发现的方法及系统 | |
CN116886361A (zh) | 一种基于安全大数据分析平台的自动化响应方法及系统 | |
TWM632159U (zh) | 依記錄分析結果執行任務以實現設備聯防之系統 | |
CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
McEvatt | Advanced threat centre and future of security monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |