CN117411732A - 网络安全事件的监测方法及其系统 - Google Patents

网络安全事件的监测方法及其系统 Download PDF

Info

Publication number
CN117411732A
CN117411732A CN202311722770.2A CN202311722770A CN117411732A CN 117411732 A CN117411732 A CN 117411732A CN 202311722770 A CN202311722770 A CN 202311722770A CN 117411732 A CN117411732 A CN 117411732A
Authority
CN
China
Prior art keywords
network
network security
abnormal
event
security event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311722770.2A
Other languages
English (en)
Other versions
CN117411732B (zh
Inventor
刘仕一
张超
毛锐
彭安庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technology & Skill Training Center Of Sichuan Electric Power Corp
Original Assignee
Technology & Skill Training Center Of Sichuan Electric Power Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Technology & Skill Training Center Of Sichuan Electric Power Corp filed Critical Technology & Skill Training Center Of Sichuan Electric Power Corp
Priority to CN202311722770.2A priority Critical patent/CN117411732B/zh
Publication of CN117411732A publication Critical patent/CN117411732A/zh
Application granted granted Critical
Publication of CN117411732B publication Critical patent/CN117411732B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全的技术领域,提供了网络安全事件的监测方法及其系统,基于用户端集群的流量传输日志,确定并监听用户端集群存在的所有异常用户端,有效节省监听的成本和提高监听可靠性;基于异常用户端的第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,实现对若干异常用户端的同步集中网络安全事件处理;对相应的服务端触发网络安全事件处理机制,将异常用户端子集所有网络安全事件派发至服务端,使服务端有序处理不同异常用户端的网络安全事件;对网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,对用户端进行及时有针对性的网络安全防控,提高网络安全监测的及时性和准确性。

Description

网络安全事件的监测方法及其系统
技术领域
本发明涉及网络安全的技术领域,特别涉及网络安全事件的监测方法及其系统。
背景技术
智能手机和便携式计算机等终端在联网工作场景中会不可避免发生网络安全事件,这些网络安全事件可包括但不限于是病毒入侵和流量攻击等。现有的终端都会安装有相应的防护软件,通过防护软件对终端进行定期的扫描监测,以此发现终端内部存在的病毒或者对外界流量攻击进行拦截,为了保证对终端进行全面准确的网络安全保护,需要定期对终端内部的防护软件进行更新。上述通过防护软件进行网络安全保护的方式只能针对单一终端进行,无法对多个终端进行同步的网络安全监测和处理,降低了网络安全监测的及时性和准确性以及降低网络安事件处理的效率,从而存在网络安全事件在网络内部蔓延的风险。
发明内容
针对现有技术存在的缺陷,本发明提供了网络安全事件的监测方法及其系统,其基于用户端集群的流量传输日志,确定用户端集群存在的所有异常用户端,以此监听所有异常用户端,有效节省监听的成本和提高监听可靠性;还基于异常用户端的第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,实现对若干异常用户端的同步集中网络安全事件处理;对相应的服务端触发网络安全事件处理机制,将异常用户端子集所有网络安全事件派发至服务端,使服务端有序处理不同异常用户端的网络安全事件;还对网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,对用户端进行及时有针对性的网络安全防控,提高网络安全监测的及时性和准确性以及网络安事件处理的效率。
本发明提供网络安全事件的监测方法,包括如下步骤:
步骤S1,获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端;基于所有异常用户端的网络IP信息,对所有异常用户端进行监听;
步骤S2,基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集;
步骤S3,基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,并构建所述服务端与所述异常用户端子集之间的网络通道;将所述异常用户端子集对应的所有网络安全事件派发至所述服务端;
步骤S4,基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;再基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态。
在本申请公开的一个实施例中,在所述步骤S1中,获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端;基于所有异常用户端的网络IP信息,对所有异常用户端进行集中监听,包括:
获取用户端集群下属所有用户端对应的流量传输日志,对所述流量传输日志进行下行流量传输状态分析处理,确定每个用户端的下行流量传输峰的传输时间间隔;若所述传输时间间隔小于预设时间间隔阈值,则确定相应的用户端受到网络流量攻击,并将所述用户端集群中受到网络流量攻击的所有用户端确定为异常用户端;
基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径;基于所有异常用户端的最小延迟监听网络路径,对所有异常用户端进行下行数据监听。
在本申请公开的一个实施例中,在所述步骤S2中,基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,包括:
对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率;基于所述异常下行数据传输速率,确定所述异常用户端各自的网络安全事件发生频率属性信息;
基于所述网络安全事件发生频率属性信息,将所述异常用户端区分为具有不同网络事件安全等级的异常用户端子集;其中,同一异常用户端子集下属所有用户端的网络安全事件发生频率位于同一事件发生频率范围,并且不同异常用户端子集对应的事件发生频率范围互不相同。
在本申请公开的一个实施例中,在所述步骤S3中,基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,并构建所述服务端与所述异常用户端子集之间的网络通道;将所述异常用户端子集对应的所有网络安全事件派发至所述服务端,包括:
获取所述异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息,以及获取服务端集群下属所有服务端各自的网络安全事件历史处理日志;将所述网络安全事件类型属性信息与所述网络安全事件历史处理日志进行对比,从所述服务端集群中选择与所述异常用户端子集匹配的服务端,并对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式;
基于所述选择的服务端和所述异常用户端子集各自对应的网关,构建所述选择的服务端与所述异常用户端子集之间的网络通道;获取所述异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将所述待处理网络安全事件队列派发至所述选择的服务端。
在本申请公开的一个实施例中,在所述步骤S4中,基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;再基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态,包括:
基于所述服务端对派发的网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对所述网络安全事件对应的用户端加载相应的防御程序;
对所述用户端的网络安全事件的防御拦截日志进行分析,确定所述用户端是否处于网络攻击拦截饱和状态,若是,则关闭所述用户端关于相应网络攻击的传输网络通道;若否,则保持所述用户端当前连接的所有传输网络通道的工作状态不变。
本发明还提供网络安全事件的监测系统,包括:
用户端识别模块,用于获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端;
用户端监听模块,用于基于所有异常用户端的网络IP信息,对所有异常用户端进行监听;
用户端区分模块,用于基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集;
服务端触发模块,用于基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制;
网络通信处理模块,用于构建所述服务端与所述异常用户端子集之间的网络通道,将所述异常用户端子集对应的所有网络安全事件派发至所述服务端;
网络安全事件排除与防御模块,用于基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;
用户端状态调整模块,用于基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态。
在本申请公开的一个实施例中,所述用户端识别模块,用于获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端,包括:
获取用户端集群下属所有用户端对应的流量传输日志,对所述流量传输日志进行下行流量传输状态分析处理,确定每个用户端的下行流量传输峰的传输时间间隔;若所述传输时间间隔小于预设时间间隔阈值,则确定相应的用户端受到网络流量攻击,并将所述用户端集群中受到网络流量攻击的所有用户端确定为异常用户端;
所述用户端监听模块,用于基于所有异常用户端的网络IP信息,对所有异常用户端进行监听,包括:
基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径;基于所有异常用户端的最小延迟监听网络路径,对所有异常用户端进行下行数据监听。
在本申请公开的一个实施例中,所述用户端区分模块,用于基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,包括:
对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率;基于所述异常下行数据传输速率,确定所述异常用户端各自的网络安全事件发生频率属性信息;
基于所述网络安全事件发生频率属性信息,将所述异常用户端区分为具有不同网络事件安全等级的异常用户端子集;其中,同一异常用户端子集下属所有用户端的网络安全事件发生频率位于同一事件发生频率范围,并且不同异常用户端子集对应的事件发生频率范围互不相同。
在本申请公开的一个实施例中,所述服务端触发模块,用于基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,包括:
获取所述异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息,以及获取服务端集群下属所有服务端各自的网络安全事件历史处理日志;将所述网络安全事件类型属性信息与所述网络安全事件历史处理日志进行对比,从所述服务端集群中选择与所述异常用户端子集匹配的服务端,并对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式;
所述网络通信处理模块,用于构建所述服务端与所述异常用户端子集之间的网络通道,将所述异常用户端子集对应的所有网络安全事件派发至所述服务端,包括:
基于所述选择的服务端和所述异常用户端子集各自对应的网关,构建所述选择的服务端与所述异常用户端子集之间的网络通道;获取所述异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将所述待处理网络安全事件队列派发至所述选择的服务端。
在本申请公开的一个实施例中,所述网络安全事件排除与防御模块,用于基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,包括:
基于所述服务端对派发的网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对所述网络安全事件对应的用户端加载相应的防御程序;
所述用户端状态调整模块,用于基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态,包括:
对所述用户端的网络安全事件的防御拦截日志进行分析,确定所述用户端是否处于网络攻击拦截饱和状态,若是,则关闭所述用户端关于相应网络攻击的传输网络通道;若否,则保持所述用户端当前连接的所有传输网络通道的工作状态不变。
相比于现有技术,该网络安全事件的监测方法及其系统基于用户端集群的流量传输日志,确定用户端集群存在的所有异常用户端,以此监听所有异常用户端,有效节省监听的成本和提高监听可靠性;还基于异常用户端的第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,实现对若干异常用户端的同步集中网络安全事件处理;对相应的服务端触发网络安全事件处理机制,将异常用户端子集所有网络安全事件派发至服务端,使服务端有序处理不同异常用户端的网络安全事件;还对网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,对用户端进行及时有针对性的网络安全防控,提高网络安全监测的及时性和准确性以及网络安事件处理的效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的网络安全事件的监测方法的流程示意图;
图2为本发明提供的网络安全事件的监测系统的框架示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明实施例提供的网络安全事件的监测方法的流程示意图。该网络安全事件的监测方法包括:
步骤S1,获取用户端集群的流量传输日志,对该流量传输日志进行分析,确定该用户端集群存在的所有异常用户端;基于所有异常用户端的网络IP信息,对所有异常用户端进行监听;
步骤S2,基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于该第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集;
步骤S3,基于该异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,并构建该服务端与该异常用户端子集之间的网络通道;将该异常用户端子集对应的所有网络安全事件派发至该服务端;
步骤S4,基于该服务端对该网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;再基于该用户端的网络安全事件的防御拦截日志,调整该用户端的工作状态。
该网络安全事件的监测方法基于用户端集群的流量传输日志,确定用户端集群存在的所有异常用户端,以此监听所有异常用户端,有效节省监听的成本和提高监听可靠性;还基于异常用户端的第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,实现对若干异常用户端的同步集中网络安全事件处理;对相应的服务端触发网络安全事件处理机制,将异常用户端子集所有网络安全事件派发至服务端,使服务端有序处理不同异常用户端的网络安全事件;还对网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,对用户端进行及时有针对性的网络安全防控,提高网络安全监测的及时性和准确性以及网络安事件处理的效率。
优选地,在该步骤S1中,获取用户端集群的流量传输日志,对该流量传输日志进行分析,确定该用户端集群存在的所有异常用户端;基于所有异常用户端的网络IP信息,对所有异常用户端进行集中监听,包括:
获取用户端集群下属所有用户端对应的流量传输日志,对该流量传输日志进行下行流量传输状态分析处理,确定每个用户端的下行流量传输峰的传输时间间隔;若该传输时间间隔小于预设时间间隔阈值,则确定相应的用户端受到网络流量攻击,并将该用户端集群中受到网络流量攻击的所有用户端确定为异常用户端;
基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径;基于所有异常用户端的最小延迟监听网络路径,对所有异常用户端进行下行数据监听。
在上述技术方案中,用户端集群下属所有用户端接入到网络后会进行数据传输交互,从而形成相应的流量传输日志,该流量传输日志全面记录每个用户端在网络进行上行数据交互和下行数据交互对应的数据流量传输情况。对该流量传输日志进行关于下行流量传输状态的分析,确定每个用户端的下行流量传输峰的传输时间间隔,即每个用户端进行下行数据交互过程中下行数据传输形成的不同相邻的流量峰的平均传输时间间隔,当该传输时间间隔越小,表明在相同时间长度内形成的下行数据传输峰的数量越多,即用户端在相同时间长度内接收到的下行数据流量越多。将该传输时间间隔与预设时间间隔阈值进行对比,从而确定用户端是否受到网络流量攻击,并将受到网络流量攻击的用户端确定为异常用户端,表明该异常用户端存在发生网络安全事件的情况。再基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径,以此对所有异常用户端进行下行数据监听,从而提高对所有异常用户端的监听实时性和有效性。
优选地,在该步骤S2中,基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于该第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,包括:
对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率;基于该异常下行数据传输速率,确定该异常用户端各自的网络安全事件发生频率属性信息;
基于该网络安全事件发生频率属性信息,将该异常用户端区分为具有不同网络事件安全等级的异常用户端子集;其中,同一异常用户端子集下属所有用户端的网络安全事件发生频率位于同一事件发生频率范围,并且不同异常用户端子集对应的事件发生频率范围互不相同。
在上述技术方案中,对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率,通常而言当异常用户端的异常下行数据传输速率越大,其发生网络安全事件的频率也越大。根据该异常下行数据传输速率,确定该异常用户端各自的网络安全事件发生频率属性信息,便于对异常用户端的网络安全事件发生次数状态进行量化确定。还有,基于该网络安全事件发生频率属性信息,将该异常用户端区分为具有不同网络事件安全等级的异常用户端子集,其中当网络安全事件发生频率越高,对应的异常用户端的网络安全事件等级越高,即对应的异常用户端当前发生的网络安全事件对异常用户端自身的正常工作影响越大。通过将所有异常用户端划分为不同异常用户端子集,便于后续对同一异常用户端子集下属所有异常用户端进行集中的网络安全事件处理,减少网络安全事件的处理工作量。
优选地,在该步骤S3中,基于该异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,并构建该服务端与该异常用户端子集之间的网络通道;将该异常用户端子集对应的所有网络安全事件派发至该服务端,包括:
获取该异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息,以及获取服务端集群下属所有服务端各自的网络安全事件历史处理日志;将该网络安全事件类型属性信息与该网络安全事件历史处理日志进行对比,从该服务端集群中选择与该异常用户端子集匹配的服务端,并对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式;
基于该选择的服务端和该异常用户端子集各自对应的网关,构建该选择的服务端与该异常用户端子集之间的网络通道;获取该异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将该待处理网络安全事件队列派发至该选择的服务端。
在上述技术方案中,将该异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息与服务端集群下属所有服务端各自的网络安全事件历史处理日志进行对比,这样能够从服务端集群中选择出适合处理该异常用户端对应的网络安全事件的服务端,对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式,有效提高服务端对网络安全事件的处理效率和可靠性。此外,还基于该选择的服务端和该异常用户端子集各自对应的网关,构建该选择的服务端与该异常用户端子集之间的网络通道,保证选择的服务端对该异常用户端子集下属所有异常用户端的集中化专门操作。并且获取该异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将该待处理网络安全事件队列派发至该选择的服务端,这样选择的服务端能够有序全面处理所有异常用户端发生的网络安全事件。
优选地,在该步骤S4中,基于该服务端对该网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;再基于该用户端的网络安全事件的防御拦截日志,调整该用户端的工作状态,包括:
基于该服务端对派发的网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对该网络安全事件对应的用户端加载相应的防御程序;
对该用户端的网络安全事件的防御拦截日志进行分析,确定该用户端是否处于网络攻击拦截饱和状态,若是,则关闭该用户端关于相应网络攻击的传输网络通道;若否,则保持该用户端当前连接的所有传输网络通道的工作状态不变。
在上述技术方案中,基于该服务端对派发的网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对该网络安全事件对应的用户端加载相应的防御程序,从而对相应异常用户端进行不同方面的安全处理。此外,还对该用户端的网络安全事件的防御拦截日志进行分析,确定该用户端是否处于网络攻击拦截饱和状态,当该用户端处于网络攻击拦截饱和状态,则关闭该用户端关于相应网络攻击的传输网络通道,避免用户端继续受到网络攻击并无法全面准确拦截所有网络攻击而影响自身的正常安全运行。
参阅图2,为本发明实施例提供的网络安全事件的监测系统的框架示意图。该网络安全事件的监测系统包括:
用户端识别模块,用于获取用户端集群的流量传输日志,对该流量传输日志进行分析,确定该用户端集群存在的所有异常用户端;
用户端监听模块,用于基于所有异常用户端的网络IP信息,对所有异常用户端进行监听;
用户端区分模块,用于基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于该第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集;
服务端触发模块,用于基于该异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制;
网络通信处理模块,用于构建该服务端与该异常用户端子集之间的网络通道,将该异常用户端子集对应的所有网络安全事件派发至该服务端;
网络安全事件排除与防御模块,用于基于该服务端对该网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;
用户端状态调整模块,用于基于该用户端的网络安全事件的防御拦截日志,调整该用户端的工作状态。
该网络安全事件的监测系统基于用户端集群的流量传输日志,确定用户端集群存在的所有异常用户端,以此监听所有异常用户端,有效节省监听的成本和提高监听可靠性;还基于异常用户端的第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,实现对若干异常用户端的同步集中网络安全事件处理;对相应的服务端触发网络安全事件处理机制,将异常用户端子集所有网络安全事件派发至服务端,使服务端有序处理不同异常用户端的网络安全事件;还对网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,对用户端进行及时有针对性的网络安全防控,提高网络安全监测的及时性和准确性以及网络安事件处理的效率。
优选地,该用户端识别模块,用于获取用户端集群的流量传输日志,对该流量传输日志进行分析,确定该用户端集群存在的所有异常用户端,包括:
获取用户端集群下属所有用户端对应的流量传输日志,对该流量传输日志进行下行流量传输状态分析处理,确定每个用户端的下行流量传输峰的传输时间间隔;若该传输时间间隔小于预设时间间隔阈值,则确定相应的用户端受到网络流量攻击,并将该用户端集群中受到网络流量攻击的所有用户端确定为异常用户端;
该用户端监听模块,用于基于所有异常用户端的网络IP信息,对所有异常用户端进行监听,包括:
基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径;基于所有异常用户端的最小延迟监听网络路径,对所有异常用户端进行下行数据监听。
在上述技术方案中,用户端集群下属所有用户端接入到网络后会进行数据传输交互,从而形成相应的流量传输日志,该流量传输日志全面记录每个用户端在网络进行上行数据交互和下行数据交互对应的数据流量传输情况。对该流量传输日志进行关于下行流量传输状态的分析,确定每个用户端的下行流量传输峰的传输时间间隔,即每个用户端进行下行数据交互过程中下行数据传输形成的不同相邻的流量峰的平均传输时间间隔,当该传输时间间隔越小,表明在相同时间长度内形成的下行数据传输峰的数量越多,即用户端在相同时间长度内接收到的下行数据流量越多。将该传输时间间隔与预设时间间隔阈值进行对比,从而确定用户端是否受到网络流量攻击,并将受到网络流量攻击的用户端确定为异常用户端,表明该异常用户端存在发生网络安全事件的情况。再基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径,以此对所有异常用户端进行下行数据监听,从而提高对所有异常用户端的监听实时性和有效性。
优选地,该用户端区分模块,用于基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于该第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,包括:
对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率;基于该异常下行数据传输速率,确定该异常用户端各自的网络安全事件发生频率属性信息;
基于该网络安全事件发生频率属性信息,将该异常用户端区分为具有不同网络事件安全等级的异常用户端子集;其中,同一异常用户端子集下属所有用户端的网络安全事件发生频率位于同一事件发生频率范围,并且不同异常用户端子集对应的事件发生频率范围互不相同。
在上述技术方案中,对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率,通常而言当异常用户端的异常下行数据传输速率越大,其发生网络安全事件的频率也越大。根据该异常下行数据传输速率,确定该异常用户端各自的网络安全事件发生频率属性信息,便于对异常用户端的网络安全事件发生次数状态进行量化确定。还有,基于该网络安全事件发生频率属性信息,将该异常用户端区分为具有不同网络事件安全等级的异常用户端子集,其中当网络安全事件发生频率越高,对应的异常用户端的网络安全事件等级越高,即对应的异常用户端当前发生的网络安全事件对异常用户端自身的正常工作影响越大。通过将所有异常用户端划分为不同异常用户端子集,便于后续对同一异常用户端子集下属所有异常用户端进行集中的网络安全事件处理,减少网络安全事件的处理工作量。
优选地,该服务端触发模块,用于基于该异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,包括:
获取该异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息,以及获取服务端集群下属所有服务端各自的网络安全事件历史处理日志;将该网络安全事件类型属性信息与该网络安全事件历史处理日志进行对比,从该服务端集群中选择与该异常用户端子集匹配的服务端,并对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式;
该网络通信处理模块,用于构建该服务端与该异常用户端子集之间的网络通道,将该异常用户端子集对应的所有网络安全事件派发至该服务端,包括:
基于该选择的服务端和该异常用户端子集各自对应的网关,构建该选择的服务端与该异常用户端子集之间的网络通道;获取该异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将该待处理网络安全事件队列派发至该选择的服务端。
在上述技术方案中,将该异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息与服务端集群下属所有服务端各自的网络安全事件历史处理日志进行对比,这样能够从服务端集群中选择出适合处理该异常用户端对应的网络安全事件的服务端,对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式,有效提高服务端对网络安全事件的处理效率和可靠性。此外,还基于该选择的服务端和该异常用户端子集各自对应的网关,构建该选择的服务端与该异常用户端子集之间的网络通道,保证选择的服务端对该异常用户端子集下属所有异常用户端的集中化专门操作。并且获取该异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将该待处理网络安全事件队列派发至该选择的服务端,这样选择的服务端能够有序全面处理所有异常用户端发生的网络安全事件。
优选地,该网络安全事件排除与防御模块,用于基于该服务端对该网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,包括:
基于该服务端对派发的网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对该网络安全事件对应的用户端加载相应的防御程序;
该用户端状态调整模块,用于基于该用户端的网络安全事件的防御拦截日志,调整该用户端的工作状态,包括:
对该用户端的网络安全事件的防御拦截日志进行分析,确定该用户端是否处于网络攻击拦截饱和状态,若是,则关闭该用户端关于相应网络攻击的传输网络通道;若否,则保持该用户端当前连接的所有传输网络通道的工作状态不变。
在上述技术方案中,基于该服务端对派发的网络安全事件的识别结果,对该网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对该网络安全事件对应的用户端加载相应的防御程序,从而对相应异常用户端进行不同方面的安全处理。此外,还对该用户端的网络安全事件的防御拦截日志进行分析,确定该用户端是否处于网络攻击拦截饱和状态,当该用户端处于网络攻击拦截饱和状态,则关闭该用户端关于相应网络攻击的传输网络通道,避免用户端继续受到网络攻击并无法全面准确拦截所有网络攻击而影响自身的正常安全运行。
从上述实施例的内容可知,该网络安全事件的监测方法及其系统基于用户端集群的流量传输日志,确定用户端集群存在的所有异常用户端,以此监听所有异常用户端,有效节省监听的成本和提高监听可靠性;还基于异常用户端的第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,实现对若干异常用户端的同步集中网络安全事件处理;对相应的服务端触发网络安全事件处理机制,将异常用户端子集所有网络安全事件派发至服务端,使服务端有序处理不同异常用户端的网络安全事件;还对网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,对用户端进行及时有针对性的网络安全防控,提高网络安全监测的及时性和准确性以及网络安事件处理的效率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.网络安全事件的监测方法,其特征在于,其包括如下步骤:
步骤S1,获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端;基于所有异常用户端的网络IP信息,对所有异常用户端进行监听;
步骤S2,基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集;
步骤S3,基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,并构建所述服务端与所述异常用户端子集之间的网络通道;将所述异常用户端子集对应的所有网络安全事件派发至所述服务端;
步骤S4,基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;再基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态。
2.如权利要求1所述的网络安全事件的监测方法,其特征在于:
在所述步骤S1中,获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端;基于所有异常用户端的网络IP信息,对所有异常用户端进行集中监听,包括:
获取用户端集群下属所有用户端对应的流量传输日志,对所述流量传输日志进行下行流量传输状态分析处理,确定每个用户端的下行流量传输峰的传输时间间隔;若所述传输时间间隔小于预设时间间隔阈值,则确定相应的用户端受到网络流量攻击,并将所述用户端集群中受到网络流量攻击的所有用户端确定为异常用户端;
基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径;基于所有异常用户端的最小延迟监听网络路径,对所有异常用户端进行下行数据监听。
3.如权利要求1所述的网络安全事件的监测方法,其特征在于:
在所述步骤S2中,基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,包括:
对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率;基于所述异常下行数据传输速率,确定所述异常用户端各自的网络安全事件发生频率属性信息;
基于所述网络安全事件发生频率属性信息,将所述异常用户端区分为具有不同网络事件安全等级的异常用户端子集;其中,同一异常用户端子集下属所有用户端的网络安全事件发生频率位于同一事件发生频率范围,并且不同异常用户端子集对应的事件发生频率范围互不相同。
4.如权利要求1所述的网络安全事件的监测方法,其特征在于:
在所述步骤S3中,基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,并构建所述服务端与所述异常用户端子集之间的网络通道;将所述异常用户端子集对应的所有网络安全事件派发至所述服务端,包括:
获取所述异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息,以及获取服务端集群下属所有服务端各自的网络安全事件历史处理日志;将所述网络安全事件类型属性信息与所述网络安全事件历史处理日志进行对比,从所述服务端集群中选择与所述异常用户端子集匹配的服务端,并对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式;
基于所述选择的服务端和所述异常用户端子集各自对应的网关,构建所述选择的服务端与所述异常用户端子集之间的网络通道;获取所述异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将所述待处理网络安全事件队列派发至所述选择的服务端。
5.如权利要求1所述的网络安全事件的监测方法,其特征在于:
在所述步骤S4中,基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;再基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态,包括:
基于所述服务端对派发的网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对所述网络安全事件对应的用户端加载相应的防御程序;
对所述用户端的网络安全事件的防御拦截日志进行分析,确定所述用户端是否处于网络攻击拦截饱和状态,若是,则关闭所述用户端关于相应网络攻击的传输网络通道;若否,则保持所述用户端当前连接的所有传输网络通道的工作状态不变。
6.网络安全事件的监测系统,其特征在于,包括:
用户端识别模块,用于获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端;
用户端监听模块,用于基于所有异常用户端的网络IP信息,对所有异常用户端进行监听;
用户端区分模块,用于基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集;
服务端触发模块,用于基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制;
网络通信处理模块,用于构建所述服务端与所述异常用户端子集之间的网络通道,将所述异常用户端子集对应的所有网络安全事件派发至所述服务端;
网络安全事件排除与防御模块,用于基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理;
用户端状态调整模块,用于基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态。
7.如权利要求6所述的网络安全事件的监测系统,其特征在于:
所述用户端识别模块,用于获取用户端集群的流量传输日志,对所述流量传输日志进行分析,确定所述用户端集群存在的所有异常用户端,包括:
获取用户端集群下属所有用户端对应的流量传输日志,对所述流量传输日志进行下行流量传输状态分析处理,确定每个用户端的下行流量传输峰的传输时间间隔;若所述传输时间间隔小于预设时间间隔阈值,则确定相应的用户端受到网络流量攻击,并将所述用户端集群中受到网络流量攻击的所有用户端确定为异常用户端;
所述用户端监听模块,用于基于所有异常用户端的网络IP信息,对所有异常用户端进行监听,包括:
基于所有异常用户端各自接入的网关的IP信息,确定对每个异常用户端进行监听的最小延迟监听网络路径;基于所有异常用户端的最小延迟监听网络路径,对所有异常用户端进行下行数据监听。
8.如权利要求6所述的网络安全事件的监测系统,其特征在于:
所述用户端区分模块,用于基于对所有异常用户端的监听结果,确定所有异常用户端各自的第一网络事件属性信息;基于所述第一网络事件属性信息,将所有异常用户端区分为具有不同网络事件安全等级的异常用户端子集,包括:
对所有异常用户端的下行数据监听结果进行分析,得到所有异常用户端各自的异常下行数据传输速率;基于所述异常下行数据传输速率,确定所述异常用户端各自的网络安全事件发生频率属性信息;
基于所述网络安全事件发生频率属性信息,将所述异常用户端区分为具有不同网络事件安全等级的异常用户端子集;其中,同一异常用户端子集下属所有用户端的网络安全事件发生频率位于同一事件发生频率范围,并且不同异常用户端子集对应的事件发生频率范围互不相同。
9.如权利要求6所述的网络安全事件的监测系统,其特征在于:
所述服务端触发模块,用于基于所述异常用户端子集下属所有用户端各自的第二网络事件属性信息,对服务端集群中相应的服务端触发网络安全事件处理机制,包括:
获取所述异常用户端子集下属所有用户端各自发生的网络安全事件类型属性信息,以及获取服务端集群下属所有服务端各自的网络安全事件历史处理日志;将所述网络安全事件类型属性信息与所述网络安全事件历史处理日志进行对比,从所述服务端集群中选择与所述异常用户端子集匹配的服务端,并对选择的服务端触发网络安全事件处理机制,从而使选择的服务端进入网络安全事件处理工作模式;
所述网络通信处理模块,用于构建所述服务端与所述异常用户端子集之间的网络通道,将所述异常用户端子集对应的所有网络安全事件派发至所述服务端,包括:
基于所述选择的服务端和所述异常用户端子集各自对应的网关,构建所述选择的服务端与所述异常用户端子集之间的网络通道;获取所述异常用户端下属所有用户端各自的待处理网络安全事件,基于所有待处理网络安全事件的发生时间由早到晚的顺序,形成待处理网络安全事件队列,并将所述待处理网络安全事件队列派发至所述选择的服务端。
10.如权利要求6所述的网络安全事件的监测系统,其特征在于:
所述网络安全事件排除与防御模块,用于基于所述服务端对所述网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络安全事件排除处理和防御处理,包括:
基于所述服务端对派发的网络安全事件的识别结果,对所述网络安全事件对应的用户端进行网络病毒查杀处理和网络攻击拦截处理,以及对所述网络安全事件对应的用户端加载相应的防御程序;
所述用户端状态调整模块,用于基于所述用户端的网络安全事件的防御拦截日志,调整所述用户端的工作状态,包括:
对所述用户端的网络安全事件的防御拦截日志进行分析,确定所述用户端是否处于网络攻击拦截饱和状态,若是,则关闭所述用户端关于相应网络攻击的传输网络通道;若否,则保持所述用户端当前连接的所有传输网络通道的工作状态不变。
CN202311722770.2A 2023-12-15 2023-12-15 网络安全事件的监测方法及其系统 Active CN117411732B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311722770.2A CN117411732B (zh) 2023-12-15 2023-12-15 网络安全事件的监测方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311722770.2A CN117411732B (zh) 2023-12-15 2023-12-15 网络安全事件的监测方法及其系统

Publications (2)

Publication Number Publication Date
CN117411732A true CN117411732A (zh) 2024-01-16
CN117411732B CN117411732B (zh) 2024-03-22

Family

ID=89496549

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311722770.2A Active CN117411732B (zh) 2023-12-15 2023-12-15 网络安全事件的监测方法及其系统

Country Status (1)

Country Link
CN (1) CN117411732B (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103441986A (zh) * 2013-07-29 2013-12-11 中国航天科工集团第二研究院七〇六所 一种瘦客户端模式的数据资源安全管控方法
US8779921B1 (en) * 2010-05-14 2014-07-15 Solio Security, Inc. Adaptive security network, sensor node and method for detecting anomalous events in a security network
CN107682351A (zh) * 2017-10-20 2018-02-09 携程旅游网络技术(上海)有限公司 网络安全监控的方法、系统、设备及存储介质
US20190363925A1 (en) * 2018-05-22 2019-11-28 Critical Start, Inc. Cybersecurity Alert Management System
CN111818025A (zh) * 2020-06-23 2020-10-23 五八有限公司 一种用户终端的检测方法和装置
CN112115026A (zh) * 2020-09-15 2020-12-22 招商局金融科技有限公司 服务器集群监控方法、装置、电子设备及可读存储介质
CN212259006U (zh) * 2020-07-15 2020-12-29 中创为(成都)量子通信技术有限公司 一种网络安全管理设备
CN112398803A (zh) * 2019-08-19 2021-02-23 江苏巨麦信息技术有限公司 一种物联网系统安全威胁监测与防御系统及方法
CN112995196A (zh) * 2021-03-23 2021-06-18 上海纽盾科技股份有限公司 网络安全等级保护中态势感知信息的处理方法及系统
CN114385452A (zh) * 2022-01-12 2022-04-22 芃飞软件科技无锡有限公司 智能集群日志监控分析方法
CN114745426A (zh) * 2021-01-07 2022-07-12 腾讯科技(深圳)有限公司 终端的异常监控方法、装置、设备、可读存储介质及系统
KR102542720B1 (ko) * 2022-10-27 2023-06-14 주식회사 이노티움 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템
CN116382952A (zh) * 2022-12-30 2023-07-04 北京明朝万达科技股份有限公司 一种异常处理方法、装置和系统
CN116545678A (zh) * 2023-04-27 2023-08-04 上海金电网安科技有限公司 网络安全防护方法、装置、计算机设备和存储介质

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8779921B1 (en) * 2010-05-14 2014-07-15 Solio Security, Inc. Adaptive security network, sensor node and method for detecting anomalous events in a security network
CN103441986A (zh) * 2013-07-29 2013-12-11 中国航天科工集团第二研究院七〇六所 一种瘦客户端模式的数据资源安全管控方法
CN107682351A (zh) * 2017-10-20 2018-02-09 携程旅游网络技术(上海)有限公司 网络安全监控的方法、系统、设备及存储介质
US20190363925A1 (en) * 2018-05-22 2019-11-28 Critical Start, Inc. Cybersecurity Alert Management System
CN112398803A (zh) * 2019-08-19 2021-02-23 江苏巨麦信息技术有限公司 一种物联网系统安全威胁监测与防御系统及方法
CN111818025A (zh) * 2020-06-23 2020-10-23 五八有限公司 一种用户终端的检测方法和装置
CN212259006U (zh) * 2020-07-15 2020-12-29 中创为(成都)量子通信技术有限公司 一种网络安全管理设备
CN112115026A (zh) * 2020-09-15 2020-12-22 招商局金融科技有限公司 服务器集群监控方法、装置、电子设备及可读存储介质
CN114745426A (zh) * 2021-01-07 2022-07-12 腾讯科技(深圳)有限公司 终端的异常监控方法、装置、设备、可读存储介质及系统
CN112995196A (zh) * 2021-03-23 2021-06-18 上海纽盾科技股份有限公司 网络安全等级保护中态势感知信息的处理方法及系统
CN114385452A (zh) * 2022-01-12 2022-04-22 芃飞软件科技无锡有限公司 智能集群日志监控分析方法
KR102542720B1 (ko) * 2022-10-27 2023-06-14 주식회사 이노티움 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템
CN116382952A (zh) * 2022-12-30 2023-07-04 北京明朝万达科技股份有限公司 一种异常处理方法、装置和系统
CN116545678A (zh) * 2023-04-27 2023-08-04 上海金电网安科技有限公司 网络安全防护方法、装置、计算机设备和存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
向永谦 等: "基于网络日志进行大数据分析的安全感知", 自动化博览, no. 06, 15 June 2018 (2018-06-15) *
张飚;: "校园网络中的常见安全问题及解决措施", 曲靖师范学院学报, no. 06, 26 November 2007 (2007-11-26) *
汤网祥 等: "大规模软件系统日志汇集服务平台设计与实现", 计算机应用与软件, no. 11, 12 November 2018 (2018-11-12) *

Also Published As

Publication number Publication date
CN117411732B (zh) 2024-03-22

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
EP3544250B1 (en) Method and device for detecting dos/ddos attack, server, and storage medium
US20210194903A1 (en) Baselining techniques for detecting anomalous https traffic behavior
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US20190034631A1 (en) System and method for malware detection
KR101077135B1 (ko) 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
US8549645B2 (en) System and method for detection of denial of service attacks
US20190098043A1 (en) Ddos defence in a packet-switched network
US20140181968A1 (en) Monitoring Operational Activities In Networks And Detecting Potential Network Intrusions And Misuses
Bhushan et al. Hypothesis test for low-rate DDoS attack detection in cloud computing environment
CN112491883A (zh) 一种检测web攻击的方法、装置、电子装置和存储介质
CN110618977B (zh) 登录异常检测方法、装置、存储介质和计算机设备
Luxemburk et al. Detection of https brute-force attacks with packet-level feature set
CN112434304A (zh) 防御网络攻击的方法、服务器及计算机可读存储介质
Mohan et al. Complex event processing based hybrid intrusion detection system
CN108712365B (zh) 一种基于流量日志的DDoS攻击事件检测方法及系统
CN117411732B (zh) 网络安全事件的监测方法及其系统
CN112217777A (zh) 攻击回溯方法及设备
Tyagi et al. A novel HTTP botnet traffic detection method
US20210058414A1 (en) Security management method and security management apparatus
CN116488923A (zh) 一种基于openstack的网络攻击场景构建方法
Shomura et al. Analyzing the number of varieties in frequently found flows
Shan-Shan et al. The APT detection method based on attack tree for SDN
CN114257403A (zh) 误报检测方法、设备及可读存储介质
CN111835719A (zh) 基于多终端检验的计算机网络防火墙系统及其工作方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant