CN117313109A - 一种基于异常告警的系统动态安全评估方法及系统 - Google Patents

一种基于异常告警的系统动态安全评估方法及系统 Download PDF

Info

Publication number
CN117313109A
CN117313109A CN202311501908.6A CN202311501908A CN117313109A CN 117313109 A CN117313109 A CN 117313109A CN 202311501908 A CN202311501908 A CN 202311501908A CN 117313109 A CN117313109 A CN 117313109A
Authority
CN
China
Prior art keywords
alarm
abnormal
map
abnormal alarm
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311501908.6A
Other languages
English (en)
Inventor
徐丙凤
陈鑫恺
陈嘉玲
王磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Forestry University
Original Assignee
Nanjing Forestry University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Forestry University filed Critical Nanjing Forestry University
Priority to CN202311501908.6A priority Critical patent/CN117313109A/zh
Publication of CN117313109A publication Critical patent/CN117313109A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于异常告警的系统动态安全评估方法及系统,涉及系统安全评估和安全防护技术领域,包括:采集系统终端和网络设备产生的异常告警信息并构建告警图谱;对异常告警信息进行分析处理,输出异常告警记录;基于异常告警记录更新告警图谱;基于更新后的告警图谱进行系统安全性评估。本发明以异常检测算法产生的告警信息为基础,针对未知类型攻击进行系统安全评估,通过动态构建告警图谱并综合分析系统中存在的异常告警信息,减少误报,使得安全评估结果更加可靠。基于告警图谱揭示未知类型攻击的执行流程,便于系统安全管理员制定最优防御策略。以攻击的执行流程作为安全评估依据,使得评估结果可直观量化展示,易于理解和应用。

Description

一种基于异常告警的系统动态安全评估方法及系统
技术领域
本发明涉及系统安全评估和安全防护技术领域,更具体的说是涉及一种基于异常告警的系统动态安全评估方法及系统。
背景技术
针对重要应用系统,如工业互联网系统、政府网络系统等,如何实时动态评估其安全性是一项重要挑战。这是由于此类系统有着严格的安全要求,能够较好抵御已知威胁攻击。因此,若采用一般的指标式安全评估方法,如判断设备操作系统是否为最新、设备软件是否存在漏洞、是否安装杀毒软件等,评估结果始终指示系统为高安全性。但在实际中,黑客可利用零日漏洞发动未知类型攻击,进而入侵此类应用系统。即此类系统在面对未知类型攻击时,其安全性将显著降低。因此,重要应用系统的安全评估应以未知类型攻击为主,并能揭示未知类型攻击的进展趋势,从而为系统安全管理员提供更好的决策依据。
为有效识别未知类型攻击,现有研究异常检测算法以系统运行产生的正常行为数据为建模对象,若待检测行为显著偏离正常行为,则判断存在异常,可能存在未知类型攻击。异常检测能够准确识别出未知类型攻击,但同时也会产生大量误报,限制其实际应用。
因此,如何提出一种基于异常告警的系统动态安全评估方法及系统,以异常检测算法产生的告警信息为基础,通过动态构建告警图谱并综合分析系统中存在的异常告警信息,从而显著减少误报是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种基于异常告警的系统动态安全评估方法及系统,以异常检测算法产生的告警信息为基础,通过动态构建告警图谱并综合分析系统中存在的异常告警信息,从而显著减少误报。基于告警图谱揭示未知类型攻击的执行流程,便于系统安全管理员制定最优防御策略。以攻击的执行流程作为安全评估依据,评估结果可直观量化展示,易于理解和应用。
为了实现上述目的,本发明采用如下技术方案:
一种基于异常告警的系统动态安全评估方法,包括:
采集系统终端和网络设备产生的异常告警信息并构建告警图谱;
对异常告警信息进行分析处理,输出异常告警记录;
基于所述异常告警记录更新告警图谱;
基于更新后的告警图谱,建立有向边,遍历预设入度的节点,将以预设入度的节点为起点的最长路径和预设阈值比较进行系统安全性评估。
可选的,所述异常告警记录包括:告警产生的时间、目标主机IP地址和告警事件内容。
可选的,所述采集系统终端和网络设备产生的异常告警信息包括:在系统终端和网络设备中部署异常检测程序,其中,所述系统终端为系统中运行的主机节点,所述网络设备为系统中部署的路由器和交换机,所述异常检测程序为基于网络流量的异常检测或基于系统日志的异常检测,选择多个所述系统终端和网络设备部署异常检测程序。
可选的,所述对异常告警信息进行分析处理包括:检测出异常后,系统终端和网络设备主动将异常告警信息发送至服务器,服务器被动接收异常告警信息;或者服务器主动获取异常告警信息,服务器轮询访问系统终端和网络设备,若有新的异常告警,则读取相关信息数据。
可选的,所述输出异常告警记录包括:异常告警记录表示为基于目标主机IP地址、告警时间和告警内容列表的三元组,其中,目标主机IP地址为产生异常行为的系统终端或网络设备的IP地址,告警时间为告警产生的时间。
可选的,所述输出异常告警记录还包括:针对每一条异常告警信息,提取对应的目标主机IP地址、告警时间以及告警内容,将具有相同目标主机IP地址的异常告警信息合并为一条异常告警记录。
可选的,所述基于所述异常告警记录更新告警图谱包括:
S1:以目标主机IP为关键词查询告警图谱,若查询结果为空,执行步骤S2,否则,执行步骤S3;
S2:在告警图谱中新建节点,节点的标记为目标主机IP地址,节点的属性为告警时间和告警内容列表;
S3:更新对应节点属性,将告警时间和告警内容列表替换为最新值;
S4:依据系统的网络拓扑,在告警图谱中寻找同目标主机IP地址有网络通路的所有节点,并建立有向边。
可选的,所述有向边的建立过程如下:
记目标主机IP地址所标记的节点为NIP,告警图谱中与NIP存在网络通过的节点记为NE,若NIP的告警时间小于NE的告警时间,则以NIP为起点,NE为终点,建立有向边,反之,若NIP的告警时间大于等于NE的告警时间,则以NE为起点,NIP为终点,建立有向边。
可选的,所述基于更新后的告警图谱进行系统安全性评估包括:
S11:遍历告警图谱,寻找所有入度为0的节点,记入度为0的节点数量为z,记入度为0的节点为Ni,1≤i≤z;
S22:遍历告警图谱,寻找所有以Ni为起点的路径,将其中最长的路径记为Pmax
S33:将Pmax的长度记为l,若l≤1,将系统安全值评估为100;若l=2,将系统安全值评估为60;若l≥3,将系统安全值评估为0。
可选的,一种基于异常告警的系统动态安全评估系统,包括:
采集模块:用于采集系统终端和网络设备产生的异常告警信息并构建告警图谱;
分析模块:用于对异常告警信息进行分析处理,输出异常告警记录;
更新模块:用于基于所述异常告警记录更新告警图谱;
评估模块:用于基于更新后的告警图谱,建立有向边,遍历预设入度的节点,将以预设入度的节点为起点的最长路径和预设阈值比较进行系统安全性评估。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种基于异常告警的系统动态安全评估方法及系统,具有如下有益效果:
本发明公开了一种基于异常告警的系统动态安全评估方法,包括:采集系统终端和网络设备产生的异常告警信息并构建告警图谱;对异常告警信息进行分析处理,输出异常告警记录;基于所述异常告警记录更新告警图谱;基于更新后的告警图谱进行系统安全性评估。本发明以异常检测算法产生的告警信息为基础,针对未知类型攻击进行系统安全评估,通过动态构建告警图谱并综合分析系统中存在的异常告警信息,从而显著减少误报,使得安全评估结果更加可靠。基于告警图谱揭示未知类型攻击的执行流程,便于系统安全管理员制定最优防御策略。以攻击的执行流程作为安全评估依据,使得评估结果可直观量化展示,易于理解和应用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的一种基于异常告警的系统动态安全评估方法流程示意图。
图2为本发明提供的测试平台示意图。
图3为本发明提供的告警图谱示例图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于异常告警的系统动态安全评估方法,如图1所示,包括:
采集系统终端和网络设备产生的异常告警信息并构建告警图谱;
对异常告警信息进行分析处理,输出异常告警记录;
基于所述异常告警记录更新告警图谱;
基于更新后的告警图谱,建立有向边,遍历预设入度的节点,将以预设入度的节点为起点的最长路径和预设阈值比较进行系统安全性评估。
进一步的,在系统终端和网络设备中部署异常检测程序。系统终端为系统中运行的主机节点,包括应用服务器、业务主机等。网络设备为系统中部署的路由器、交换机等设备。系统安全管理员依据实际需求,选择合适数量的系统终端和网络设备部署异常检测程序。异常检测程序亦依据实际需求选择,如基于网络流量的异常检测、基于系统日志的异常检测等。异常检测程序产生的告警信息格式可不相同,但应包含告警产生的时间、目标主机IP地址、告警事件内容等基本元素。
进一步的,服务器采集系统终端和网络设备产生的异常告警信息。服务器可采用多种方式采集系统终端和网络设备产生的异常告警信息。如检测出异常后,系统终端和网络设备主动将异常告警信息发送至服务器,服务器被动接收异常告警信息。此外,服务器也可主动获取异常告警信息。如服务器轮询访问系统终端和网络设备,若有新的异常告警,则读取相关信息数据。
进一步的,服务器分析处理异常告警信息,提取目标主机IP地址、告警时间以及告警内容,形成异常告警记录。异常告警记录可表示为<目标主机IP地址,告警时间,告警内容列表>三元组。其中,目标主机IP地址为产生异常行为的系统终端或网络设备的IP地址。告警时间为告警产生时间。由于异常检测无法直接确定未知类型攻击的具体攻击行为,告警内容仅用于人工辅助分析。并不使用告警内容来确定未知类型攻击的具体执行步骤和进行安全评估。
进一步的,所述对异常告警信息进行分析处理,输出异常告警记录包括:
针对每一条异常告警信息,提取对应的目标主机IP地址、告警时间以及告警内容;
将具有相同目标主机IP地址的异常告警信息合并为一条异常告警记录。具体的,告警时间为最早出现的异常告警信息中所记录的时间,告警内容列表为告警内容的集合。
服务器以目标主机IP地址为节点标记,以网络连接关系为边,更新告警图谱。其中,告警图谱为有向图。
进一步的,告警图谱为一张有向图,图中节点的标记为目标主机IP地址,节点的属性为告警时间和告警内容列表。图中的边为网络连通关系,同目标主机IP地址有网络通路的节点,建立有向边。即告警图谱会动态更新,一开始为空,后来出现异常告警信息,将这些信息逐渐加入,形成告警图谱。
进一步的,所述基于所述异常告警记录更新告警图谱包括:
S1:以目标主机IP为关键词查询告警图谱,若查询结果为空,执行步骤S2,否则,执行步骤S3;
S3:在告警图谱中新建节点,节点的标记为目标主机IP地址,节点的属性为告警时间和告警内容列表;
S3:更新对应节点属性,将告警时间和告警内容列表替换为最新值;
S4:依据系统实际的网络拓扑,在告警图谱中寻找同目标主机IP地址有网络通路的所有节点,并建立有向边。
其中,在S4中,若未找到同目标主机IP地址有网络通路的节点,则目标主机IP地址所标记的节点为孤立节点。若存在同目标主机IP地址有网络通路的节点,则建立有向边。有向边的建立过程如下:
记目标主机IP地址所标记的节点为NIP,告警图谱中与NIP存在网络通过的节点记为NE。若NIP的告警时间小于NE的告警时间,则以NIP为起点,NE为终点,建立有向边。反之,若NIP的告警时间大于等于NE的告警时间,则以NE为起点,NIP为终点,建立有向边。以时间关系定义边的方向,可以避免告警图谱中出现环路,且符合真实世界中恶意攻击不同步骤之间的先后顺序关系。
进一步的,基于更新后的告警图谱进行系统安全性评估包括:
由于以时间先后顺序定义告警图谱中边的方向,因此在图中存在最早时间,即必然存在入度为0的节点。
S11:遍历告警图谱,寻找所有入度为0的节点。记入度为0的节点数量为z,记入度为0的节点为Ni,1≤i≤z;
S22:告警图谱中寻找所有以Ni为起点的路径,将其中最长的路径记为Pmax
S33:将Pmax的长度记为l。若l≤1,则表明系统中存在的异常告警主要为孤立事件,系统安全性高,将系统安全值评估为100。若l=2,则表明系统中存在潜在的入侵威胁,但未知类型攻击为起始状态,将系统安全值评估为60。若l≥3,则表明系统中存在未知类型攻击,且攻击已逐步开展,将系统安全值评估为0。
在具体实施方式中,一种基于异常告警的系统动态安全评估系统,包括:
采集模块:用于采集系统终端和网络设备产生的异常告警信息并构建告警图谱;
分析模块:用于对异常告警信息进行分析处理,输出异常告警记录;
更新模块:用于基于所述异常告警记录更新告警图谱;
评估模块:用于基于更新后的告警图谱,建立有向边,遍历预设入度的节点,将以预设入度的节点为起点的最长路径和预设阈值比较进行系统安全性评估。
在具体实施例中,利用虚拟机,在可控制环境中搭建如图2所示的测试平台。在测试平台中,网络路由器、外网主机、防火墙以及内网业务服务器中均安装异常检测程序。其中,路由器和防火墙执行网络流量异常判断,外网主机和内网业务服务器执行系统日志异常判断。在检测出异常后,异常检测程序主动将异常告警信息发送至系统安全评估服务器进行分析处理。外网主机安装Win7、Win10等操作系统,防火墙和内网业务服务器安装Ubuntu18.04操作系统。
使用Kali操作系统模拟黑客攻击。黑客攻击的核心目标是获得内网业务服务器的控制权限。为此,首先执行端口扫描,获取外网主机的IP地址、端口号以及操作系统版本等信息。网络路由器针对端口扫描,产生多条异常告警信息。安全评估服务器合并同类的异常告警信息,形成异常告警记录,例如:<10.0.1.1,2023-07-15T14:35:46,{端口扫描}>。其中,10.0.1.1为网络路由器IP地址,2023-07-15T14:35:46表示最早的告警时间,2023年7月15日14时35分46秒。{端口扫描}表示告警内容的集合。
端口扫描完成后,黑客利用Win7操作系统漏洞,入侵了一台外网主机,并在该主机中安装后门程序。该外网主机异常检测程序实时分析系统日志,识别出通过网络下载并安装程序的异常行为。外网主机将该异常告警信息发送至安全评估服务器,安全评估服务器更新告警图谱。接着,黑客以入侵的外网主机为跳板,尝试口令猜测登录防火墙系统。防火墙中安装的异常检测程序检测出多次登录失败行为,发出对应告警信息。安全评估服务器接收到告警信息后,再次更新告警图谱。更新后的告警图谱如图3所示。安全评估服务器基于告警图谱进行安全评估,以10.0.1.1节点为起点,最长路径长度为3,因而系统安全性评估值为0。
系统安全管理员依据告警图谱,可直观分析黑客攻击路径,以便于制定最佳防御策略。如临时断开防火墙同外网主机之间的网络连接,增强防火墙口令复杂度,更新防火墙和外网主机操作系统,修复漏洞。对外网主机执行恶意软件定位与查杀工作等。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于异常告警的系统动态安全评估方法,其特征在于,包括:
采集系统终端和网络设备产生的异常告警信息并构建告警图谱;
对异常告警信息进行分析处理,输出异常告警记录;
基于所述异常告警记录更新告警图谱;
基于更新后的告警图谱,建立有向边,遍历预设入度的节点,将以预设入度的节点为起点的最长路径和预设阈值比较进行系统安全性评估。
2.根据权利要求1所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述异常告警记录包括:告警产生的时间、目标主机IP地址和告警事件内容。
3.根据权利要求1所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述采集系统终端和网络设备产生的异常告警信息包括:在系统终端和网络设备中部署异常检测程序,其中,所述系统终端为系统中运行的主机节点,所述网络设备为系统中部署的路由器和交换机,所述异常检测程序为基于网络流量的异常检测或基于系统日志的异常检测,选择多个所述系统终端和网络设备部署异常检测程序。
4.根据权利要求1所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述对异常告警信息进行分析处理包括:检测出异常后,系统终端和网络设备主动将异常告警信息发送至服务器,服务器被动接收异常告警信息;或者服务器主动获取异常告警信息,服务器轮询访问系统终端和网络设备,若有新的异常告警,则读取相关信息数据。
5.根据权利要求1所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述输出异常告警记录包括:异常告警记录表示为基于目标主机IP地址、告警时间和告警内容列表的三元组,其中,目标主机IP地址为产生异常行为的系统终端或网络设备的IP地址,告警时间为告警产生的时间。
6.根据权利要求5所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述输出异常告警记录还包括:针对每一条异常告警信息,提取对应的目标主机IP地址、告警时间以及告警内容,将具有相同目标主机IP地址的异常告警信息合并为一条异常告警记录。
7.根据权利要求1所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述基于所述异常告警记录更新告警图谱包括:
S1:以目标主机IP为关键词查询告警图谱,若查询结果为空,执行步骤S2,否则,执行步骤S3;
S2:在告警图谱中新建节点,节点的标记为目标主机IP地址,节点的属性为告警时间和告警内容列表;
S3:更新对应节点属性,将告警时间和告警内容列表替换为最新值;
S4:依据系统的网络拓扑,在告警图谱中寻找同目标主机IP地址有网络通路的所有节点,并建立有向边。
8.根据权利要求7所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述有向边的建立过程如下:
记目标主机IP地址所标记的节点为NIP,告警图谱中与NIP存在网络通过的节点记为NE,若NIP的告警时间小于NE的告警时间,则以NIP为起点,NE为终点,建立有向边,反之,若NIP的告警时间大于等于NE的告警时间,则以NE为起点,NIP为终点,建立有向边。
9.根据权利要求1所述的一种基于异常告警的系统动态安全评估方法,其特征在于,所述进行系统安全性评估包括:
S11:遍历告警图谱,寻找所有入度为0的节点,记入度为0的节点数量为z,记入度为0的节点为Ni,1≤i≤z;
S22:遍历告警图谱,寻找所有以Ni为起点的路径,将其中最长的路径记为Pmax
S33:将Pmax的长度记为l,若l≤1,将系统安全值评估为100;若l=2,将系统安全值评估为60;若l≥3,将系统安全值评估为0。
10.一种基于异常告警的系统动态安全评估系统,其特征在于,包括:
采集模块:用于采集系统终端和网络设备产生的异常告警信息并构建告警图谱;
分析模块:用于对异常告警信息进行分析处理,输出异常告警记录;
更新模块:用于基于所述异常告警记录更新告警图谱;
评估模块:用于基于更新后的告警图谱,建立有向边,遍历预设入度的节点,将以预设入度的节点为起点的最长路径和预设阈值比较进行系统安全性评估。
CN202311501908.6A 2023-11-13 2023-11-13 一种基于异常告警的系统动态安全评估方法及系统 Pending CN117313109A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311501908.6A CN117313109A (zh) 2023-11-13 2023-11-13 一种基于异常告警的系统动态安全评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311501908.6A CN117313109A (zh) 2023-11-13 2023-11-13 一种基于异常告警的系统动态安全评估方法及系统

Publications (1)

Publication Number Publication Date
CN117313109A true CN117313109A (zh) 2023-12-29

Family

ID=89286695

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311501908.6A Pending CN117313109A (zh) 2023-11-13 2023-11-13 一种基于异常告警的系统动态安全评估方法及系统

Country Status (1)

Country Link
CN (1) CN117313109A (zh)

Similar Documents

Publication Publication Date Title
US8418247B2 (en) Intrusion detection method and system
CN111490970A (zh) 一种网络攻击的溯源分析方法
CN112184091B (zh) 工控系统安全威胁评估方法、装置和系统
JP2015076863A (ja) ログ分析装置、方法およびプログラム
Mukhopadhyay et al. A comparative study of related technologies of intrusion detection & prevention systems
US10652259B2 (en) Information processing apparatus, method and medium for classifying unauthorized activity
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN111049827A (zh) 一种网络系统安全防护方法、装置及其相关设备
CN113542275A (zh) 一种发电厂工业控制系统的漏洞发现方法
JP2012064208A (ja) ネットワークウイルス防止方法及びシステム
CN115208634A (zh) 一种网络资产的监管引擎
CN113315767A (zh) 一种电力物联网设备安全检测系统及方法
CN112398829A (zh) 一种电力系统的网络攻击模拟方法及系统
CN117527412A (zh) 数据安全监测方法及装置
CN113645181A (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
CN117749426A (zh) 一种基于图神经网络的异常流量检测方法
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
CN116318783B (zh) 基于安全指标的网络工控设备安全监测方法及装置
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
Mustapha et al. Limitation of honeypot/honeynet databases to enhance alert correlation
CN115955333A (zh) C2服务器识别方法、装置、电子设备及可读存储介质
CN117313109A (zh) 一种基于异常告警的系统动态安全评估方法及系统
CN111404917B (zh) 一种基于工控仿真设备的威胁情报分析检测方法及系统
Li et al. Research on Intrusion Detection Technology of Electric Control System Based on Machine Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination