CN117294517A - 解决异常流量的网络安全保护方法及系统 - Google Patents
解决异常流量的网络安全保护方法及系统 Download PDFInfo
- Publication number
- CN117294517A CN117294517A CN202311366878.2A CN202311366878A CN117294517A CN 117294517 A CN117294517 A CN 117294517A CN 202311366878 A CN202311366878 A CN 202311366878A CN 117294517 A CN117294517 A CN 117294517A
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- abnormal
- traffic
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 199
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000012423 maintenance Methods 0.000 claims abstract description 61
- 238000012545 processing Methods 0.000 claims abstract description 59
- 230000008859 change Effects 0.000 claims abstract description 22
- 238000010586 diagram Methods 0.000 claims description 44
- 230000005540 biological transmission Effects 0.000 claims description 34
- 238000004458 analytical method Methods 0.000 claims description 26
- 238000007781 pre-processing Methods 0.000 claims description 16
- 238000012502 risk assessment Methods 0.000 claims description 16
- 230000006378 damage Effects 0.000 claims description 15
- 239000012634 fragment Substances 0.000 claims description 12
- 238000012216 screening Methods 0.000 claims description 10
- 238000001914 filtration Methods 0.000 claims description 9
- 238000007621 cluster analysis Methods 0.000 claims description 5
- 238000012512 characterization method Methods 0.000 claims description 4
- 230000000007 visual effect Effects 0.000 abstract description 9
- 230000007547 defect Effects 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 26
- 238000011156 evaluation Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 10
- 238000012800 visualization Methods 0.000 description 8
- 238000010276 construction Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000013179 statistical model Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明公开了一种解决异常流量的网络安全保护方法及系统,涉及系统运维技术领域。首先,周期性采集待监控系统的网络运行流量,并确定网络运行流量中是否包含异常攻击流量,然后,在确定网络运行流量中包含异常攻击流量的情况下,确定异常攻击流量所指向的攻击位置,并根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段,并根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级。最后,根据异常攻击流量的危险等级,执行对应的运维处理策略。在本发明中,增强了对全流程可视化系统的网络安全保护能力,并且提高了系统的稳定性和可靠性,解决了全流程可视化系统在网络安全保护运维方面存在缺陷的解决。
Description
技术领域
本发明涉及系统运维技术领域,具体涉及一种解决异常流量的网络安全保护方法及网络安全保护系统。
背景技术
全流程可视化系统通常被设计用于显示系统的整个工作流程,并且可以展示每个步骤的执行情况。全流程可视化系统往往会用图形化的方式来呈现数据,如图表、图形和流程图,以便用户更容易地理解数据和进程。然而,正是因为全流程可视化系统具有如此高的可视性,攻击者可以利用这种特性来误导用户。攻击者可以使用各种技术,如操纵数据、伪造信息或篡改图表等,来改变系统中展示的信息。这样,用户就会被误导,从而采取错误的决策或行动。
相关技术中,现有的全流程可视化系统在网络安全保护的运维方面存在缺陷,主要表现容易受到恶意攻击和数据泄露的威胁,并且对网络流量的监测和防范能力也较差,因此容易受到篡改和攻击。
发明内容
本发明针对现有的问题,提出了一种解决异常流量的网络安全保护方法及网络安全保护系统,具体技术方案如下:
在本发明的第一方面,提供一种解决异常流量的网络安全保护方法,方法包括:
周期性采集待监控系统的网络运行流量,并确定网络运行流量中是否包含异常攻击流量;
在确定网络运行流量中包含异常攻击流量的情况下,确定异常攻击流量所指向的攻击位置;
根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段,并根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级;
根据异常攻击流量的危险等级,执行对应的运维处理策略。
可选地,确定网络运行流量中是否包含异常攻击流量的步骤,包括:
对网络运行流量进行预处理,以获得待识别流量片段,其中,预处理至少包括去重操作、过滤操作;
根据待识别流量片段与预设筛选规则的匹配情况,确定网络运行流量中是否包含异常攻击流量;和/或,
确定待识别流量片段的行为特征,并根据待识别流量片段的行为特征,确定网络运行流量中是否包含异常攻击流量。
可选地,确定异常攻击流量所指向的攻击位置的步骤,包括:
根据待监控系统中所有网络设备的配置信息,构建待监控系统的网络拓扑图;
对异常攻击流量的流量数据包进行解析,确定异常攻击流量的源IP地址、目的IP地址、源端口以及目的端口,并确定异常攻击流量的流量传输路径图;
根据流量传输路径图和网络拓扑图,确定异常攻击流量所指向的攻击位置。
可选地,根据流量传输路径图和网络拓扑图,确定异常攻击流量所指向的攻击位置的步骤,包括:
根据网络拓扑图,确定异常攻击流量的初始攻击位置,其中,初始攻击位置包括外部攻击位置和内部攻击位置;
根据流量传输路径图,对初始攻击位置进行修正,以获得异常攻击流量的修正攻击位置。
可选地,根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段的步骤,包括:
对异常攻击流量进行聚类分析,以获得至少一个聚类结果,其中,聚类结果为具有相似变化模式的流量数据点集合;
根据每个聚类结果和预先定义的攻击阶段模型的匹配情况,确定每个聚类结果对应的攻击阶段。
可选地,根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级的步骤,包括:
根据攻击阶段,确定异常攻击流量对待监控系统造成的损害程度,并根据损害程度,确定第一危险评估分数;
根据攻击位置,确定异常攻击流量对待监控系统造成的影响程度,并根据影响程度,确定第二危险评估分数;
根据第一危险评估分数和第二危险评估分数,确定异常攻击流量的危险等级,其中,危险等级包括高危险等级和低危险等级。
可选地,运维处理策略包括内部运维处理策略和外部运维处理策略,根据异常攻击流量的危险等级,执行对应的运维处理策略的步骤,包括:
在危险等级为高危险等级的情况下,执行的内部运维处理策略为关闭受攻击位置对应的服务,执行的外部运维处理策略为进行攻击溯源;
在危险等级为低危险等级的情况下,执行的内部运维处理策略为启动诱骗网络,执行的外部运维处理策略为更改防火墙规。
可选地,在根据异常攻击流量的危险等级,执行对应的运维处理策略的步骤之后,方法还包括:
生成安全日志和事件信息,并输出本次攻击的智能分析报告。
第二方面,本发明实施例提供了一种网络安全保护系统,系统包括:
采集分析模块,用于周期性采集待监控系统的网络运行流量,并确定网络运行流量中是否包含异常攻击流量;
攻击位置确定模块,用于在确定网络运行流量中包含异常攻击流量的情况下,确定异常攻击流量所指向的攻击位置;
危险等级确定模块,用于根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段,并根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级;
运维策略确定模块,用于根据异常攻击流量的危险等级,执行对应的运维处理策略。
可选地,采集分析模块,包括:
预处理子模块,用于对网络运行流量进行预处理,以获得待识别流量片段,其中,预处理至少包括去重操作、过滤操作;
第一确定子模块,用于根据待识别流量片段与预设筛选规则的匹配情况,确定网络运行流量中是否包含异常攻击流量;
第二确定子模块确定待识别流量片段的行为特征,并根据待识别流量片段的行为特征,确定网络运行流量中是否包含异常攻击流量。
可选地,攻击位置确定模块包括:
第一构建子模块,用于根据待监控系统中所有网络设备的配置信息,构建待监控系统的网络拓扑图;
第二构建子模块,用于对异常攻击流量的流量数据包进行解析,确定异常攻击流量的源IP地址、目的IP地址、源端口以及目的端口,并确定异常攻击流量的流量传输路径图;
定位子模块,用于根据流量传输路径图和网络拓扑图,确定异常攻击流量所指向的攻击位置。
可选地,定位子模块,包括:
初始定位单元,用于根据网络拓扑图,确定异常攻击流量的初始攻击位置,其中,初始攻击位置包括外部攻击位置和内部攻击位置;
修正单元,用于根据流量传输路径图,对初始攻击位置进行修正,以获得异常攻击流量的修正攻击位置。
可选地,危险等级确定模块包括:
聚类子模块,用于对异常攻击流量进行聚类分析,以获得至少一个聚类结果,其中,聚类结果为具有相似变化模式的流量数据点集合;
匹配子模块,用于根据每个聚类结果和预先定义的攻击阶段模型的匹配情况,确定每个聚类结果对应的攻击阶段。
可选地,危险等级确定模块还包括:
第一评估子模块,用于根据攻击阶段,确定异常攻击流量对待监控系统造成的损害程度,并根据损害程度,确定第一危险评估分数;
第二评估子模块,用于根据攻击位置,确定异常攻击流量对待监控系统造成的影响程度,并根据影响程度,确定第二危险评估分数;
综合评估子模块,用于根据第一危险评估分数和第二危险评估分数,确定异常攻击流量的危险等级,其中,危险等级包括高危险等级和低危险等级。
可选地,运维策略确定模块,包括:
高危险等级策略匹配子模块,用于在危险等级为高危险等级的情况下,执行的内部运维处理策略为关闭受攻击位置对应的服务,执行的外部运维处理策略为进行攻击溯源;
低危险等级策略匹配子模块,用于在危险等级为低危险等级的情况下,执行的内部运维处理策略为启动诱骗网络,执行的外部运维处理策略为更改防火墙规则。
本发明实施例第三方面提出一种电子设备,电子设备包括:
至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本发明实施例第一方面提出方法步骤。
本发明实施例第四方面提出一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例第一方面提出方法。
本发明具有以下有益效果:
本发明提供了一种针对可视化系统在网络安全保护的运维方面存在缺陷的解决方案。其主要通过周期性采集网络运行流量,确定其中是否包含异常攻击流量,确定攻击位置以及攻击阶段,并根据危险等级执行对应的运维处理策略。
该方案的优点如下:
增强了可视化系统的网络安全保护能力:通过周期性采集网络运行流量,及时发现并确定异常攻击流量,从而增强了可视化系统的网络安全保护能力,减少了系统被攻击的风险。
改善了可视化系统的监测和防范能力:通过根据异常攻击流量的变化情况确定攻击阶段,结合攻击位置,确定异常攻击流量的危险等级,并执行对应的运维处理策略,该方案改善了可视化系统的监测和防范能力,减少了系统被恶意攻击和数据泄露的威胁。
提高了系统的稳定性和可靠性:通过根据异常攻击流量的危险等级执行对应的运维处理策略,该方案可以快速响应和处理系统中的安全问题,提高了系统的稳定性和可靠性,减少了系统被篡改和攻击的风险。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本发明实施例涉及的硬件运行环境的电子设备结构示意图;
图2是本发明实施例提供的一种解决异常流量的网络安全保护方法的步骤流程图;
图3是本发明实施例提供的一种网络安全保护系统的功能模块示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如背景技术所言,全流程可视化系统是一种能够对数据流程、模型建立和分析过程进行可视化呈现和交互操作的系统,网络攻击是网络安全领域的一个重要问题,攻击者可能利用各种方式对网络系统进行攻击,例如DDoS(分布式拒绝服务攻击)、SQL注入、XSS跨站脚本攻击等。这些攻击可能会导致网络系统崩溃、数据泄露、信息泄露等严重后果。而相比于其他的系统,全流程可视化系统由于其超高的可视性,因此在遭受网络攻击时,会比其他系统更容易造成对用户的误导,基于此,提出了本发明的方法。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的电子设备结构示意图。
如图1所示,该电子设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储系统。
本领域技术人员可以理解,图1中示出的结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及电子程序。
在图1所示的电子设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明电子设备中的处理器1001、存储器1005可以设置在电子设备中,电子设备通过处理器1001调用存储器1005中存储的网络安全保护系统,并执行本发明实施例提供的解决异常流量的网络安全保护方法。
参照图2,基于前述硬件运行环境,本发明的实施例提供了一种解决异常流量的网络安全保护方法,具体可以包括以下步骤:
S201:周期性采集待监控系统的网络运行流量,并确定网络运行流量中是否包含异常攻击流量。
在本实施方式中,待监控系统即指代需要进行网络安全保护的全流程可视化系统,周期性采集待监控系统的网络运行流量,是指定期收集待监控系统中各个网络节点之间的数据传输流量,并对流量进行分析和处理,以便检测和识别是否存在异常攻击流量,异常攻击流量指的是网络中的一种异常流量,通常是指攻击者针对特定网络或系统发起的攻击所产生的流量,而异常攻击流量可能会对网络和系统的安全和稳定造成重大威胁,因此需要及时地进行识别和处理。
在一种可行的实施方式中,确定网络运行流量中是否包含异常攻击流量的步骤,包括:
S201-1:对网络运行流量进行预处理,以获得待识别流量片段,其中,预处理至少包括去重操作、过滤操作。
在本实施方式中,网络流量是指在网络上传输的数据包,它包括许多信息,例如源地址、目标地址、端口号、协议类型等。在网络运行的过程中,会产生大量的流量数据,其中包含了正常的流量和异常的攻击流量。因此,需要对网络运行流量进行预处理,以便获得待识别流量片段,以便后续的安全检测和识别。预处理至少包括去重、过滤等操作。去重的目的是去除重复的流量数据,以减少存储空间和加快数据处理速度。过滤的目的是去除一些不必要的流量数据,例如一些无用的协议或者端口,以及一些不安全的流量数据,例如DDoS攻击流量和恶意软件下载流量等。通过预处理网络运行流量,可以减少数据处理的复杂性和开销,同时提高安全检测和识别的效率和准确性。
作为示例的,对于去重操作,可以采用哈希表数据结构来实现,将相同的流量数据映射到同一个哈希值或者布隆过滤器中进行存储,避免重复存储相同的数据。对于过滤操作,可以采用访问控制列表、防火墙等安全设备来实现,将不安全的流量数据过滤掉,只保留正常的流量数据。
S201-2:根据待识别流量片段与预设筛选规则的匹配情况,确定网络运行流量中是否包含异常攻击流量。
对于待识别的流量片段,可以先将它们与预设的筛选规则进行匹配,如果匹配成功,则说明这些流量可能包含异常攻击流量。匹配的过程通常采用正则表达式或通配符等方法。如果匹配失败,则说明这些流量不是异常攻击流量,可以进一步分析它们的内容和特征。预设筛选规则是为了检测网络中的异常流量而设置的一组规则。预设筛选规则可以基于多种因素进行设置,如源地址、目标地址、端口号、协议类型、数据包大小、数据包频率、数据包流量、数据包方向等等,本发明对筛选规则的具体内容不进行限定。
S201-3:确定待识别流量片段的行为特征,并根据待识别流量片段的行为特征,确定网络运行流量中是否包含异常攻击流量。
在本实施方式中,行为特征是指流量在网络中表现出来的特定行为模式或属性,攻击者常常会发送大量重复的数据包或尝试利用漏洞进行攻击,这些行为特征与正常流量有所不同,可以被用来确定是否存在异常攻击流量,通过对待识别流量片段的流量数据包的头部和负载信息进行分析,可以确定流量的来源、目的、传输协议、应用类型、内容等信息,从而判断待识别流量片段的行为特征。此外,建立基于统计或机器学习的模型,也可以确定待识别流量片段行为特征。通过对正常流量进行分析和建模,可以建立出一些统计模型,例如频率模型、分布模型等。也可以通过对正常流量和异常流量进行特征提取和学习,建立起分类器或聚类器,用于对新的流量进行分类或聚类。
作为示例的,以电商网站为例,对于正常的流量行为,用户通常会浏览商品、加入购物车、结算下单等操作。这些操作会产生相应的HTTP请求,例如访问商品详情页、添加商品到购物车等。因此,可以通过建立基于统计或机器学习的模型,对正常的HTTP请求行为进行建模。对于新的HTTP请求,可以与模型进行比较,如果符合正常行为模式,则判定为正常流量;否则,可能存在异常攻击流量,需要进行进一步分析和处理。如果系统检测到一个大量的HTTP请求访问同一个URL,但请求方法却不是GET或POST,或者请求头信息异常,可能存在恶意攻击行为,需要对这些请求进行过滤或拦截。此时,通过分析HTTP请求的行为特征,可以对异常流量进行识别和防御,保证网络的安全和稳定。
S202:在确定网络运行流量中包含异常攻击流量的情况下,确定异常攻击流量所指向的攻击位置。
在本实施方式中,在网络运行的数据流量中,如果存在异常的攻击流量,那么就需要进一步确定这个攻击流量所指向的被攻击位置,即攻击目标的位置。通常,在网络安全中,攻击者会尝试利用各种漏洞和技术,对网络中的特定目标进行攻击,例如企业的服务器、数据库等。这些攻击可能会导致被攻击的位置出现异常流量,从而影响其正常运行。因此,识别和确定这些异常流量所指向的被攻击位置对于保护网络安全非常重要。
而确定异常攻击流量所指向的攻击位置的步骤,包括:
S202-1:根据待监控系统中所有网络设备的配置信息,构建待监控系统的网络拓扑图。
在本实施方式中,根据待监控系统中的所有网络设备的配置信息,创建一个展示网络设备之间关系的图形,在这个拓扑图中,每个网络设备都表示为一个节点,节点之间的连接关系表示为边。例如有一个路由器作为网络的核心,连接着多个交换机和服务器。这些设备之间的连接关系可以表示为拓扑图中的边。通过这个拓扑图,可以看到整个网络的拓扑结构,包括设备之间的物理连接方式,以及它们之间的逻辑关系,从而帮助快速了解网络拓扑结构,从而更好地管理和维护网络设备,提高网络的稳定性和可靠性。
作为示例的,构建待监控系统的网络拓扑图的具体过程可以为:
要构建一个待监控系统的网络拓扑图,需要先收集每个网络设备的配置信息,例如交换机、路由器、防火墙等等。假设收集到的设备信息如下:
交换机A:设备名称为SwitchA,设备类型为交换机,设备IP地址为192.168.1.1,设备端口有8个。 交换机B:设备名称为SwitchB,设备类型为交换机,设备IP地址为192.168.1.2,设备端口有8个。 路由器:设备名称为Router,设备类型为路由器,设备IP地址为192.168.1.254,设备端口有4个。 防火墙:设备名称为Firewall,设备类型为防火墙,设备IP地址为192.168.1.253,设备端口有2个。接着,需要确定设备之间的连接关系。假设SwitchA和SwitchB通过端口1相连,SwitchB和Router通过端口2相连,Router和Firewall通过端口3相连,那么可以得到如下的连接关系图:
SwitchA -- Port1 -- SwitchB -- Port2 -- Router -- Port3 -- Firewall
然后,可以使用在线拓扑图工具或者绘图软件来进行设计和绘制网络拓扑图。最后,需要不断地更新拓扑图,以反映网络的变化,例如新增或删除设备、改变连接方式等等。
S202-2:对异常攻击流量的流量数据包进行解析,确定异常攻击流量的源IP地址、目的IP地址、源端口以及目的端口,并确定异常攻击流量的流量传输路径图。
在本实施方式中,通过解析网络流量数据包,以确定攻击流量的源IP地址、目的IP地址、源端口和目的端口等信息。通过这些信息,可以进一步确定攻击的类型、攻击的目标和攻击的来源。除了确定攻击流量的基本信息外,还需要生成攻击流量的流量传输路径图。这个过程中需要对网络拓扑结构进行分析,并确定攻击流量的传输路径,以便更好地了解攻击的过程和攻击的影响范围。
作为示例的,假设有一台服务器收到了大量的TCP SYN请求,这是DDoS攻击的一种形式。对于这种攻击流量,可以进行数据包解析,确定攻击流量的源IP地址、目的IP地址、源端口和目的端口等信息。同时,通过对网络拓扑结构进行分析,可以确定攻击流量的传输路径,生成相应的流量传输路径图。这些信息对于进一步分析和处理攻击事件非常有用。
S202-3:根据流量传输路径图和网络拓扑图,确定异常攻击流量所指向的攻击位置。
在本实施方式中,在网络攻击事件中,攻击者通常会尝试在网络拓扑中的某个位置上进行攻击,以达到其攻击目的。因此,通过分析异常攻击流量的流量传输路径图和网络拓扑图,可以确定攻击流量所指向的攻击位置。首先,需要对网络拓扑进行分析,确定各个网络设备的位置、功能和连接方式。这个过程中需要了解网络结构、设备配置和网络流量的特征等。在分析网络拓扑图的同时,还需要考虑安全策略和防御措施,以了解攻击者可能会采用的攻击方式和漏洞。其次,需要分析异常攻击流量的流量传输路径图,确定攻击流量在网络中的传输路径和经过的设备。通过比较流量传输路径图和网络拓扑图,可以找到攻击流量的终点,即攻击位置。攻击位置可能是一个主机、一个路由器、一个防火墙或其他网络设备。
而根据流量传输路径图和网络拓扑图,确定异常攻击流量所指向的攻击位置的步骤,包括:
S202-3-1:根据网络拓扑图,确定异常攻击流量的初始攻击位置,其中,初始攻击位置包括外部攻击位置和内部攻击位置。
在本实施方式中,在网络安全领域,确定攻击源的位置非常重要,可以帮助安全专业人员更好地了解攻击事件的性质和来源,从而制定相应的安全措施。在这个过程中,首先需要确定攻击流量的初始攻击位置。所谓初始攻击位置,是指攻击流量最初进入网络的地点。根据攻击流量在网络中的传输路径,可以推断攻击流量的初始攻击位置。攻击流量的初始攻击位置可能在网络的外部,也可能在网络的内部。对于外部攻击,攻击流量通常是通过互联网进入网络的。攻击者可能通过各种方式攻击企业的公网IP地址或域名,从而进入企业内部网络。在这种情况下,攻击流量的初始攻击位置就是企业的公网IP地址或域名所在的位置。对于内部攻击,攻击流量通常是从企业内部的某个设备进入网络的。攻击者可能通过入侵企业内部的某个主机或服务器,从而获得对内部网络的控制权。在这种情况下,攻击流量的初始攻击位置就是攻击者所入侵的设备所在的位置。
S202-3-2:根据流量传输路径图,对初始攻击位置进行修正,以获得异常攻击流量的修正攻击位置。
在本实施方式中,修正攻击位置是指根据流量传输路径图对初始攻击位置进行修正,以便更好地了解攻击的过程和攻击的影响范围,即根据流量传输路径图分析出攻击流量实际经过的路径,然后调整初始攻击位置,使得它更接近实际攻击位置。具体来说,根据流量传输路径图,可以确定攻击流量传输的路径,从而确定攻击流量的修正攻击位置。在这个过程中,需要考虑网络中各个节点之间的带宽、路由规则等因素,以便更准确地确定攻击流量的修正攻击位置。通过修正攻击位置,可以更好地了解攻击的影响范围和影响程度。
作为示例的,待监控系统中包含多台服务器和路由器。某一时刻,其中一台服务器收到了大量的异常攻击流量,通过网络拓扑图可以确定攻击流量的传输路径和节点之间的关系,确定了初始攻击位置。而在这个过程中,发现攻击流量的初始攻击位置并不是在被攻击的服务器上,而是在其他节点上。在这种情况下,就需要对初始攻击位置进行修正,以获得修正攻击位置,从而更好地了解攻击的影响范围和程度。
S203:根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段,并根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级。
在本实施方式中,异常攻击流量的变化情况指的是监测网络流量时所检测到的异常攻击流量的变化规律和趋势。在网络流量中,正常的数据流量会有一定的规律和趋势,而攻击流量则通常会突破这些规律和趋势,表现出异常的特征,攻击阶段是指网络攻击在实施过程中经历的不同阶段或状态,攻击者通常会通过多个步骤或阶段来实现攻击目的,例如侦察阶段、渗透阶段、控制阶段、窃密阶段和毁灭阶段。
而根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段的步骤,包括:
S203-1:对异常攻击流量进行聚类分析,以获得至少一个聚类结果,其中,聚类结果为具有相似变化模式的流量数据点集合。
S203-2:根据每个聚类结果和预先定义的攻击阶段模型的匹配情况,确定每个聚类结果对应的攻击阶段。
在S203-1至S203-2的实施方式中,对异常攻击流量进行聚类分析,目的是将具有相似变化模式的流量数据点集合分到同一个聚类中。聚类分析是一种无监督学习技术,它可以将数据点分成几个不同的类别,每个类别包含有相似的特征。对于异常攻击流量的聚类分析,可以使用聚类算法来实现,通过聚类分析,可以快速地识别攻击流量中的异常模式。攻击阶段模型是一种基于攻击行为的模型,它可以将攻击行为分为不同的阶段。在攻击阶段模型中,每个阶段都对应着一些典型的攻击行为和攻击流量特征。通过将攻击流量聚类成若干个集合,然后将每个集合与预先定义的攻击阶段模型进行匹配,就可以确定每个集合所对应的攻击阶段。
作为示例的,一个聚类集合中的流量数据点可能包含有大量的扫描端口行为和攻击包行为,这就可以被匹配到“侦察阶段”的模型中。又例如,另一个聚类集合中的流量数据点可能包含有大量的漏洞利用和密码破解行为,这就可以被匹配到“渗透阶段”的模型中。
异常攻击流量的危险等级是根据异常攻击流量的特征和攻击行为的危害程度来评估和确定的。具体而言,可以通过分析异常攻击流量的特征、攻击行为的类型和目标系统的重要性等因素,来评估攻击的危险程度,并将其划分为不同的等级,例如低、高等级。
而根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级的步骤,包括:
S203-3:根据攻击阶段,确定异常攻击流量对待监控系统造成的损害程度,并根据损害程度,确定第一危险评估分数。
S203-4:根据攻击位置,确定异常攻击流量对待监控系统造成的影响程度,并根据影响程度,确定第二危险评估分数;
S203-5:根据第一危险评估分数和第二危险评估分数,确定异常攻击流量的危险等级,其中,危险等级包括高危险等级和低危险等级。
在S203-3至S203-5的实施方式中,首先,需要确定攻击所处的不同阶段(例如侦察、攻击和控制等),并基于这些阶段评估异常攻击流量对系统造成的损害程度,例如数据丢失、系统崩溃、信息泄露等,并计算第一危险评估分数。然后,需要确定攻击所处的位置(例如内部、外部等),并评估异常攻击流量对系统的影响程度,例如对系统的可用性、机密性和完整性造成的影响,并计算第二危险评估分数。最后,需要将第一和第二危险评估分数相加,以确定异常攻击流量的总危险评估分数,并将其映射到高危险等级或低危险等级。
作为示例的,假设异常攻击流量的攻击阶段是“攻击阶段”,并且攻击造成的损害程度被评估为高,这意味着攻击者可能会窃取系统中的敏感数据和信息,例如用户凭据和财务数据,则将第一危险评估分数分配为9,并且异常攻击流量的攻击位置是服务器区域,并且攻击造成的影响程度被评估为中等,则将第二危险评估分数分配为5,最后,将第一和第二危险评估分数相加得到14。根据该分数,将异常攻击流量的危险等级评估为高危险等级。
S204:根据异常攻击流量的危险等级,执行对应的运维处理策略。
在本实施方式中,根据危险等级的高低,可以采取不同的运维处理策略,以最大程度地保护网络系统的安全。一般来说,危险等级较低的攻击可以通过基本的防御措施进行处理。对于危险等级较高的攻击,可能需要采取更加复杂的处理策。具体的处理策略也会根据攻击类型、攻击目标、攻击来源等因素而有所不同,而根据异常攻击流量的危险等级,执行对应的运维处理策略的步骤,包括:
S204-1:在危险等级为高危险等级的情况下,执行的内部运维处理策略为关闭受攻击位置对应的服务,执行的外部运维处理策略为进行攻击溯源。
S204-2:在危险等级为低危险等级的情况下,执行的内部运维处理策略为启动诱骗网络,执行的外部运维处理策略为更改防火墙规则。
在本实施方式中,在S204-1至S204-2的实施方式中,当异常攻击流量被判定为高危险等级时,系统将采取关闭受攻击位置对应服务的内部运维处理策略,以防止攻击进一步危害系统。同时,为了彻底根除攻击的威胁,系统还将采取进行攻击溯源的外部运维处理策略,以追踪攻击来源,锁定攻击者的IP地址,并且采取相应的防御措施来保护系统。当异常攻击流量被判定为低危险等级时,系统将采取启动诱骗网络的内部运维处理策略,以吸引攻击者的注意力,降低攻击流量的危害。同时,系统还将采取更改防火墙规则的外部运维处理策略,以隔离攻击流量,保护系统的安全性。
在一种可行的实施方式中,在根据异常攻击流量的危险等级,执行对应的运维处理策略的步骤之后,方法还包括:
生成安全日志和事件信息,并输出本次攻击的智能分析报告。
在本实施方式中,在执行完成运维处理策略之后,可以根据前面处理过程中收集的相关信息,可以生成安全日志和事件信息,其中包括攻击时间、攻击方式、攻击目标、攻击者IP、攻击位置等信息。生成的安全日志和事件信息应当存储在安全日志库或事件管理系统中,以便后续查询和分析。输出智能分析报告,基于安全日志和事件信息,可以进行智能分析,包括对攻击方式、攻击目的、攻击者特征等方面进行分析和判断,并输出智能分析报告。智能分析报告可以包括以下内容:攻击类型、攻击目标、攻击时间、攻击者IP、攻击方式、攻击位置、攻击影响等信息。智能分析报告可以以文本、图表等形式进行展示,以便安全管理人员进行分析和决策。
作为示例的,假设待监控系统受到了一次恶意软件攻击,攻击位置为企业内部的基础数据服务器,攻击类型为勒索软件,攻击时间为2022年5月1日凌晨3点,攻击者IP地址为58.23.156.19。根据上述攻击位置和攻击类型,执行对应的运维处理策略,即关闭邮件服务器,并进行备份和恢复。接着,系统会自动记录相关的安全日志和事件信息,包括攻击时间、攻击方式、攻击目标、攻击者IP、攻击位置等信息,并存储在安全日志库中。最后,安全管理人员可以查看智能分析报告,根据报告中的分析结果,判断攻击类型、攻击目的、攻击者特征等信息。
本发明通过采集网络运行流量,确定异常攻击流量,并根据危险等级执行对应的运维处理策略,有效地解决了可视化系统在网络安全保护的运维方面存在的缺陷,提高了系统的安全性、稳定性和可靠性,减少了系统被攻击的风险。
本发明实施例还提供了一种网络安全保护系统,参照图3,示出了本发明一种网络安全保护系统的功能模块图,该系统可以包括以下模块:
采集分析模块301,用于周期性采集待监控系统的网络运行流量,并确定网络运行流量中是否包含异常攻击流量;
攻击位置确定模块302,用于在确定网络运行流量中包含异常攻击流量的情况下,确定异常攻击流量所指向的攻击位置;
危险等级确定模块303,用于根据异常攻击流量的变化情况,确定异常攻击流量表征的攻击阶段,并根据攻击位置以及攻击阶段,确定异常攻击流量的危险等级;
运维策略确定模块304,用于根据异常攻击流量的危险等级,执行对应的运维处理策略。
在一种可行的实施方式中,采集分析模块301,包括:
预处理子模块,用于对网络运行流量进行预处理,以获得待识别流量片段,其中,预处理至少包括去重操作、过滤操作;
第一确定子模块,用于根据待识别流量片段与预设筛选规则的匹配情况,确定网络运行流量中是否包含异常攻击流量;
第二确定子模块确定待识别流量片段的行为特征,并根据待识别流量片段的行为特征,确定网络运行流量中是否包含异常攻击流量。
在一种可行的实施方式中,攻击位置确定模块302包括:
第一构建子模块,用于根据待监控系统中所有网络设备的配置信息,构建待监控系统的网络拓扑图;
第二构建子模块,用于对异常攻击流量的流量数据包进行解析,确定异常攻击流量的源IP地址、目的IP地址、源端口以及目的端口,并确定异常攻击流量的流量传输路径图;
定位子模块,用于根据流量传输路径图和网络拓扑图,确定异常攻击流量所指向的攻击位置。
在一种可行的实施方式中,定位子模块,包括:
初始定位单元,用于根据网络拓扑图,确定异常攻击流量的初始攻击位置,其中,初始攻击位置包括外部攻击位置和内部攻击位置;
修正单元,用于根据流量传输路径图,对初始攻击位置进行修正,以获得异常攻击流量的修正攻击位置。
在一种可行的实施方式中,危险等级确定模块303包括:
聚类子模块,用于对异常攻击流量进行聚类分析,以获得至少一个聚类结果,其中,聚类结果为具有相似变化模式的流量数据点集合;
匹配子模块,用于根据每个聚类结果和预先定义的攻击阶段模型的匹配情况,确定每个聚类结果对应的攻击阶段。
在一种可行的实施方式中,危险等级确定模块303还包括:
第一评估子模块,用于根据攻击阶段,确定异常攻击流量对待监控系统造成的损害程度,并根据损害程度,确定第一危险评估分数;
第二评估子模块,用于根据攻击位置,确定异常攻击流量对待监控系统造成的影响程度,并根据影响程度,确定第二危险评估分数;
综合评估子模块,用于根据第一危险评估分数和第二危险评估分数,确定异常攻击流量的危险等级,其中,危险等级包括高危险等级和低危险等级。
在一种可行的实施方式中,运维策略确定模块304包括:
高危险等级策略匹配子模块,用于在危险等级为高危险等级的情况下,执行的内部运维处理策略为关闭受攻击位置对应的服务,执行的外部运维处理策略为进行攻击溯源;
低危险等级策略匹配子模块,用于在危险等级为低危险等级的情况下,执行的内部运维处理策略为启动诱骗网络,执行的外部运维处理策略为更改防火墙规则。
需要说明的是,本发明实施例的网络安全保护系统300的具体实施方式参照前述本发明实施例第一方面提出的解决异常流量的网络安全保护方法的具体实施方式,在此不再赘述。
基于同一发明构思,本发明另一实施例提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信,
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现本发明的解决异常流量的网络安全保护方法。
以上对所提供的一种解决异常流量的网络安全保护方法及网络安全保护系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的解决异常流量的网络安全保护方法及网络安全保护系统的核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种解决异常流量的网络安全保护方法,其特征在于,所述方法包括:
周期性采集待监控系统的网络运行流量,并确定所述网络运行流量中是否包含异常攻击流量;
在确定所述网络运行流量中包含异常攻击流量的情况下,确定所述异常攻击流量所指向的攻击位置;
根据所述异常攻击流量的变化情况,确定所述异常攻击流量表征的攻击阶段,并根据所述攻击位置以及所述攻击阶段,确定所述异常攻击流量的危险等级;
根据所述异常攻击流量的危险等级,执行对应的运维处理策略。
2.根据权利要求1所述的解决异常流量的网络安全保护方法,其特征在于,确定所述网络运行流量中是否包含异常攻击流量的步骤,包括:
对所述网络运行流量进行预处理,以获得待识别流量片段,其中,所述预处理至少包括去重操作、过滤操作;
根据所述待识别流量片段与预设筛选规则的匹配情况,确定所述网络运行流量中是否包含异常攻击流量;和/或,
确定所述待识别流量片段的行为特征,并根据所述待识别流量片段的行为特征,确定所述网络运行流量中是否包含异常攻击流量。
3.根据权利要求1所述的解决异常流量的网络安全保护方法,其特征在于,确定所述异常攻击流量所指向的攻击位置的步骤,包括:
根据所述待监控系统中所有网络设备的配置信息,构建所述待监控系统的网络拓扑图;
对所述异常攻击流量的流量数据包进行解析,确定所述异常攻击流量的源IP地址、目的IP地址、源端口以及目的端口,并确定所述异常攻击流量的流量传输路径图;
根据所述流量传输路径图和所述网络拓扑图,确定所述异常攻击流量所指向的攻击位置。
4.根据权利要求3所述的解决异常流量的网络安全保护方法,其特征在于,根据所述流量传输路径图和所述网络拓扑图,确定所述异常攻击流量所指向的攻击位置的步骤,包括:
根据所述网络拓扑图,确定所述异常攻击流量的初始攻击位置,其中,所述初始攻击位置包括外部攻击位置和内部攻击位置;
根据所述流量传输路径图,对所述初始攻击位置进行修正,以获得所述异常攻击流量的修正攻击位置。
5.根据权利要求1所述的解决异常流量的网络安全保护方法,其特征在于,所述根据所述异常攻击流量的变化情况,确定所述异常攻击流量表征的攻击阶段的步骤,包括:
对所述异常攻击流量进行聚类分析,以获得至少一个聚类结果,其中,所述聚类结果为具有相似变化模式的流量数据点集合;
根据每个所述聚类结果和预先定义的攻击阶段模型的匹配情况,确定每个所述聚类结果对应的攻击阶段。
6.根据权利要求1所述的解决异常流量的网络安全保护方法,其特征在于,所述根据所述攻击位置以及所述攻击阶段,确定所述异常攻击流量的危险等级的步骤,包括:
根据所述攻击阶段,确定所述异常攻击流量对所述待监控系统造成的损害程度,并根据所述损害程度,确定第一危险评估分数;
根据所述攻击位置,确定所述异常攻击流量对所述待监控系统造成的影响程度,并根据所述影响程度,确定第二危险评估分数;
根据所述第一危险评估分数和所述第二危险评估分数,确定所述异常攻击流量的危险等级,其中,所述危险等级包括高危险等级和低危险等级。
7.根据权利要求6所述的解决异常流量的网络安全保护方法,其特征在于,所述运维处理策略包括内部运维处理策略和外部运维处理策略,根据所述异常攻击流量的危险等级,执行对应的运维处理策略的步骤,包括:
在所述危险等级为所述高危险等级的情况下,执行的内部运维处理策略为关闭受所述攻击位置对应的服务,执行的外部运维处理策略为进行攻击溯源;
在所述危险等级为所述低危险等级的情况下,执行的内部运维处理策略为启动诱骗网络,执行的外部运维处理策略为更改防火墙规则。
8.根据权利要求7所述的解决异常流量的网络安全保护方法,其特征在于,在所述根据所述异常攻击流量的危险等级,执行对应的运维处理策略的步骤之后,所述方法还包括:
生成安全日志和事件信息,并输出本次攻击的智能分析报告。
9.一种网络安全保护系统,其特征在于,所述系统包括:
采集分析模块,用于周期性采集所述待监控系统的网络运行流量,并确定所述网络运行流量中是否包含异常攻击流量;
攻击位置确定模块,用于在确定所述网络运行流量中包含异常攻击流量的情况下,确定所述异常攻击流量所指向的攻击位置;
危险等级确定模块,用于根据所述异常攻击流量的变化情况,确定所述异常攻击流量表征的攻击阶段,并根据所述攻击位置以及所述攻击阶段,确定所述异常攻击流量的危险等级;
运维策略确定模块,用于根据所述异常攻击流量的危险等级,执行对应的运维处理策略。
10.根据权利要求9所述的网络安全保护系统,其特征在于,所述采集分析模块,包括:
预处理子模块,用于对所述网络运行流量进行预处理,以获得待识别流量片段,其中,所述预处理至少包括去重操作、过滤操作;
第一确定子模块,用于根据所述待识别流量片段与预设筛选规则的匹配情况,确定所述网络运行流量中是否包含异常攻击流量;
第二确定子模块确定所述待识别流量片段的行为特征,并根据所述待识别流量片段的行为特征,确定所述网络运行流量中是否包含异常攻击流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311366878.2A CN117294517A (zh) | 2023-10-20 | 2023-10-20 | 解决异常流量的网络安全保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311366878.2A CN117294517A (zh) | 2023-10-20 | 2023-10-20 | 解决异常流量的网络安全保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117294517A true CN117294517A (zh) | 2023-12-26 |
Family
ID=89251754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311366878.2A Pending CN117294517A (zh) | 2023-10-20 | 2023-10-20 | 解决异常流量的网络安全保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117294517A (zh) |
-
2023
- 2023-10-20 CN CN202311366878.2A patent/CN117294517A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3588898B1 (en) | Defense against apt attack | |
| CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
| US11068588B2 (en) | Detecting irregularities on a device | |
| US9032521B2 (en) | Adaptive cyber-security analytics | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| CN113472721B (zh) | 一种网络攻击检测方法及装置 | |
| US20030135749A1 (en) | System and method of defining the security vulnerabilities of a computer system | |
| US20130031635A1 (en) | System, Method and Computer Readable Medium for Evaluating a Security Characteristic | |
| CN111565184A (zh) | 一种网络安全评估装置、方法、设备及介质 | |
| US10652259B2 (en) | Information processing apparatus, method and medium for classifying unauthorized activity | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN110868418A (zh) | 一种威胁情报生成方法、装置 | |
| CN113079185A (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| Tanakas et al. | A novel system for detecting and preventing SQL injection and cross-site-script | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| CN117294517A (zh) | 解决异常流量的网络安全保护方法及系统 | |
| Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| Raulerson | Modeling cyber situational awareness through data fusion | |
| CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |