CN1655526A - 计算机网络应急响应之安全策略生成系统 - Google Patents
计算机网络应急响应之安全策略生成系统 Download PDFInfo
- Publication number
- CN1655526A CN1655526A CN 200410016220 CN200410016220A CN1655526A CN 1655526 A CN1655526 A CN 1655526A CN 200410016220 CN200410016220 CN 200410016220 CN 200410016220 A CN200410016220 A CN 200410016220A CN 1655526 A CN1655526 A CN 1655526A
- Authority
- CN
- China
- Prior art keywords
- response mode
- attack
- strategy generation
- response
- coefficient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种计算机网络应急响应之安全策略生成系统,其特征在于:安全策略生成模块启动并接受到攻击事件信息,安全策略生成模块将调用数据库中对攻击事件的预设定义信息,再将攻击事件信息与数据库中对攻击事件的预设定义信息比较,安全策略生成模块会确定相应的响应方式集合A,安全策略生成模块再对确定的相应响应方式集合A进行策略分析和筛选,经分析和筛选后得到响应方式子集,最后安全策略生成模块再根据策略制约原则,选择综合系数最高的响应方式作后最终响应方式,本系统为一种反应机敏、排难迅速、恢复有效的网络应急排难处理系统。
Description
技术领域:
本发明涉及计算机网络安全的技术领域,具体的说是一种对计算机网络非法入侵的网络应急响应之安全策略生成系统。
背景技术:
计算机安全,国际标准化委员会的定义:为数据处理系统和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄露。 随着科技的发展和时间的推移,“计算机安全”的发展划分为三个阶段:第一阶段,计算机安全(过去):通指实体安全、系统安全、系统可靠性;第二阶段,网络安全(现在):通指多机系统、开放式系统互联、通信与数据传输;第三阶段,信息安全(未来):通指资料、信息、社会、心理、生存环境,信息战争。
随着科技、计算机和Internet的飞速发展,计算机安全受到越来越严重的挑战。人们面临着网络攻击事件急剧增加及恶性病毒的严重泛滥。目前,防火墙和防病毒软件仍然是许多网络所采取的仅有的网络安全措施。事实证明,在当今的网络攻击(如Code Red、Nimda事件)和黑客利用系统漏洞对系统进行的攻击中,防火墙和防病毒软件都没有发挥作用。尤其对于大规模的分布式拒绝服务的攻击,现有防火墙的手工配置管理机制无法满足大规模网络的管理需求,导致安全管理人员不堪重负。于是计算机安全领域实时提出了入侵响应技术。“响应”是对入侵行为的反应机制,它分为主动响应和被动响应。目前的响应方式只能局限于本地的入侵对象,而且缺乏自动的、网络范围内、针对真实源端的有效响应。
目前的信息安全技术领域的IDS(Intrusion Detection System主机入侵检测系统)和/NIDS(Network Intrusion Detection System网络入侵检测系统)技术已经十分成熟(入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术,违反安全策略的行为有:入侵----非法用户的违规行为;滥用----用户的违规行为),计算机网络之应急响应与灾难恢复软件就对该成熟技术进行借鉴,再在该成熟技术上的进行拓展,加入应急相应与容灾备份主要功能。
发明内容:
本发明的目的在于提供一种计算机网络应急响应之安全策略生成系统,它可克服现有网络应急响应处理技术中的一些不足。
为了实现上述目的,本发明的技术方案是:计算机网络应急响应之安全策略生成系统,它主要包括交换机,路由器、以太网集线器和外部网段,其特征在于:所述计算机网络应急响应之安全策略生成系统将外部网段通过交换机,路由器、以太网集线器与内部服务网段连接,内部服务网段通过交换机与内部管理网段连接,其中,内部服务网段中设有鹰眼网络入侵检测仪和若干台服务器,内部管理网段中设有控制中心服务器和日志终端,控制中心服务器中设有预警处理模块,当攻击事件发生时,鹰眼网络入侵检测仪首先判断识别攻击事件类型,然后将攻击事件类型发送到预警处理模块,预警处理模块会将相关攻击事件信息传递给虚拟推理机程序,虚拟推理机程序启动安全策略生成模块,安全策略生成模块启动并接受到攻击事件信息,安全策略生成模块将调用数据库中对攻击事件的预设定义信息,再将攻击事件信息与数据库中对攻击事件的预设定义信息比较,安全策略生成模块会确定相应的响应方式集合A,安全策略生成模块再对确定的相应响应方式集合A进行策略分析和筛选,经分析和筛选后得到响应方式子集,最后安全策略生成模块再根据策略制约原则,选择综合系数最高的响应方式作后最终响应方式。
本发明提供了一种计算机网络应急响应之安全策略生成系统,本系统针对传统的入侵检测仪对于入侵行为响应的所存在的局限性,借鉴了当前先进的技术,建立了基于策略响应的智能平台,这个智能平台能够实现计算机网络系统的智能响应和安全策略的快速生成。为了真正提高网络生存能力,将开发实现以主动防御和应急响应灾难恢复能力相结合的计算机网络系统。计算机网络系统的应急响应和快速恢复技术智能平台是将应急响应系统整体框架在计算机网络系统中实现的一个智能系统。其主要目的是为建立信息安全应急响应服务体系提供技术手段。它是在实现了事件分析诊断与攻击取证技术,网络化系统容灾技术,系统和数据快速恢复技术为一体的应急响应技术基础之上建立一个相对智能的控制和处理平台,以实现已有技术和系统的总体控制和智能融合,是一种反应机敏、排难迅速、恢复有效的网络应急排难处理系统。
附图说明:
图1为本计算机网络应急响应之安全策略生成系统的网络拓扑结构图
图2为本发明分析处理流程图。
图3为本发明一实施例分析处理流程图。
具体实施方式:
下面结合附图和实施例对本发明作进一步的描述。
本发明为一种计算机网络应急响应之安全策略生成系统,它主要包括交换机1,路由器2、以太网集线器3、外部网段4,其区别于现有技术在于:所述计算机网络应急响应之安全策略生成系统将外部网段通过交换机,路由器、以太网集线器与内部服务网段5连接,内部服务网段通过交换机与内部管理网段6连接,其中,内部服务网段中设有鹰眼网络入侵检测仪7和若干台服务器8,内部管理网段中设有控制中心服务器9和日志终端10,控制中心服务器中设有预警处理模块,当攻击事件发生时,鹰眼网络入侵检测仪首先判断识别攻击事件类型,然后将攻击事件类型发送到预警处理模块,预警处理模块会将相关攻击事件信息传递给虚拟推理机程序,虚拟推理机程序启动安全策略生成模块,安全策略生成模块启动并接受到攻击事件信息,攻击事件信息的内容包括入侵事件的事件类型、危险等级和针对对象三个参数,安全策略生成模块将调用数据库中对攻击事件的预设定义信息,再将攻击事件信息与数据库中对攻击事件的预设定义信息比较,安全策略生成模块会确定相应的响应方式集合A,安全策略生成模块再对确定的相应响应方式集合A进行策略分析和筛选,经分析和筛选后得到响应方式子集,最后安全策略生成模块再根据策略制约原则,选择综合系数最高的响应方式作后最终响应方式。
安全策略生成模块再对相应响应方式集合进行策略分析和筛选的流程为:
第一步对响应方式集合中的所有响应方式按策略安全级别高低进行分析比较,可根据用户预先设定的综合系数,筛选掉一个响应方式,得到一个响应方式子集B,从响应方式A中排除部分策略。得到响应方式B的原则如下:
| 策略安全级别 | 响应方式集合B原则 |
| 高安全级别 | 允许使用综合系数高的响应方式,为了系统安全,牺牲本业务乃至其他业务。 |
| 中安全级别 | 使用综合系数为中的响应方式,平衡安全与服务。 |
| 低安全级别 | 使用综合系数为低的响应方式,不能使用综合系数高的响应方式(如重起和关闭主机) |
综合系数=(响应方式业务影响度*2+响应方式安全系数)/2。响应方式业务影响度和响应方式安全系数是由安全策略生成模块设定的,其中响应方式业务影响度是指响应方式对其它业务的影响程度,响应方式安全系数是指响应方式对系统安全的影响程度。
第二步安全策略生成模块再对响应方式子集B中所有响应方式按危险级别高低进行分析比较,根据用户预先设定的综合系数,筛选掉一个响应方式,得到一个响应方式子集C,从响应方式B中排除部分策略。得到响应方式C的原则如下:
| 攻击事件的危险级别 | 响应方式集合C原则 |
| 危险级别高 | 使用综合系数中等的响应方式,不使用综合系数低的响应方式 |
| 危险级别中 | 使用综合系数中等的响应方式 |
| 危险级别低 | 不使用综合系数高的响应方式(前提是策略安全级别不是高安全级别) |
第三步安全策略生成模块再对响应方式子集C中所有响应方式按代理系数高低进行分析比较,根据用户预先设定的综合系数,筛选掉一个响应方式,得到一个响应方式子集D,代理系数是用来衡量自身安全性的,主要是参照代理的操作系统和其运行的应用程序的信息,公式定义:
| 攻击事件中有针对对象 | 攻击事件中无针对对象 |
| 代理系数=操作系统安全系数 | 代理系数=操作系统安全系数 |
最后根据策略制约原则,在响应方式子集D中选择综合系数最高的响应方式作后最终响应方式。
鹰眼网络入侵检测仪可以识别以下19大类,共计800余种的入侵行为,19大类分别为:后门程序攻击、分布式拒绝服务攻击、缓冲区溢出攻击、Ftp服务攻击、帐户信息查询服务攻击、Icmp协议攻击、其它类型攻击、Netbios协议攻击、远过程调用服务攻击、扫描器软件攻击、邮件传输协议攻击、Telnet服务攻击、Tftp协议攻击、Webcgi程序攻击(webcf)、Coldfusion类型web服务器攻击、Frontpage类型web服务器攻击、IIs类型web服务器攻击、其它类型web服务器攻击、xwindow服务器攻击。
在本发明一实施例中,外部网段中的非法客户通过外部主机试图在内部主机FTP服务器攫取passwd文件,此时整体网络架构如图1中所示,包括外部、服务和管理三个网段组成的网络和过滤、处理二个模块;正常访问者的计算机和攻击者计算机均通过外部网段与路由器连接,路由器的一输出端与装有鹰眼网络入侵检测仪的服务网段连接,路由器的另一输出端与管理网段连接,外部网段与路由器之间通过交换机S1连接,路由器与服务网段之间通过以太网集线器连接,管理网段与路由器之间通过交换机S2连接,管理网段连接有控制中心服务器、控制终端、日志终端,服务网段与管理网段之间装有至少四个服务器和鹰眼网络入侵检测仪,鹰眼网络入侵检测仪发现该种ftp攻击类型(对应于第4大类攻击类型----Ftp服务器攻击),当鹰眼网络入侵检测仪识别该攻击后,过滤模块最先收到鹰眼网络入侵检测仪发送的Trap包,该模块在该动作前会先行读取配置信息;如果该配置信息读取失败,则在界面上提示用户“配置信息读取失败;若配置信息成功读取后,则开始设置时间链表,确定缺省时间链表,在设置的缺省时间链表内可以存储Trap数据包,在设置的时间链表如果有相重的Trap数据包来访时,则不予以处理,若是新的Trap数据包则加入该时间链表;Trap数据包停留在设置时间链表后会被删除;对于时间链表的处理会有二种处理,在时间链表的左侧分支中,是专门检测时间链表中的Trap数据包是否超过链表的时间长度的;如果时间链表中的Trap超过链表的时间长度,则删除该链表中的Trap数据包;如果时间链表中的Trap没有超过链表的时间长度,则继续检测该时间链表是否有超时Trap数据包;在时间链表的右侧分支中,是作加入新包及判断是否有重包的处理动作,它首先格式化Trap数据包,提取如攻击类型、源IP地址、源端口号、目标IP地址和目标端口号的主要字段;如果新接收的Trap数据包与时间链表中的Trap数据包的攻击类型、源IP地址、源端口号、目标IP地址和目标端口号这五个字段相同,则删除新接收的Trap数据包;如果新接收的Trap数据包与时间链表中的Trap数据包中攻击类型、源IP地址、源端口号、目标IP地址和目标端口号这五个字段任何一个不同,则加入新接收的Trap数据包到时间链表中。处理模块接收到过滤模块的发送来的Trap数据包;首先判断该Trap数据包是否是指定的版本格式,当接收的Trap版本不是指定的版本格式时,将不予以处理;接收指定到版本的Trap数据包后,然后进行格式化处理,提取需要的数据字段,进入日志的处理;日志处理完成之后进入事件类型及告警级别的确定;然后将相关参数传递出。预警过滤处理模块发送Trap数据包,预警过滤处理子模块收到Trap数据包后,首先检测预警过滤处理子模块中的时间链表是否有相同的Trap数据包,如果没有则加入时间链表中(另外:Trap数据包如果超出设置的时间段,该Trap数据包则会被删除掉),预警过滤子模块再发送该Trap数据包到预警分析和处理子模块,预警分析和处理子模块收到Trap数据包后,进行格式化处理得到攻击类型、源IP地址、源端口号、目标IP地址和目标端口号字段,然后分析该攻击类型,得到攻击事件(分为未知类型、Web事件、Ftp事件、数据库服务事件、邮件服务事件、扫描事件、后门程序事件和拒绝服务事件)、危险级别(分为“高级危险、中级危”和低级危险三级)和针对对象三个字段,这里得到的攻击事件为Ftp事件,危险级别为高级危险,针对对象没有,最后预警分析和处理子模块将这些参数发送给安全策略生成模块;安全策略生成模块启动并接收到三个参数,分别为入侵事件的事件类型、危险等级和针对对象。这里收到的事件类型是‘Ftp事件’,危险等级为高级危险,针对对象则为无,每种攻击事件对应的响应方式在数据库中都有定义,Ftp事件对应的响应方式有5种:关闭连接、关闭端口、漂移、重启机器和关机。这5种响应方式也就构成了响应方式集合A;另外,每种响应方式中在数据库中都有业务影响度和安全系数的定义值,业务影响度、安全系数和综合系数三者之间的关系是这样的:综合系数=(响应方式业务影响度+响应方式安全系数)/2。关闭连接的业务影响度为1,安全系数为1,所以关闭连接的综合系数为1;关闭端口的业务影响度为2,安全系数为2,所以关闭端口的综合系数为2;漂移的业务影响度为3,安全系数为3,所以漂移的综合系数为3;重启机器的业务影响度为4,安全系数为4,所以重启机器的综合系数为4;关机的业务影响度为5,安全系数为5,所以关机的综合系数为5。策略安全级别分为高、中和低三种,这里假设用户设置策略安全级别为低。根据得响应方式集合B的原则,则不使用综合系数高的响应方式,所以排除关机的策略(综合系数最高,值为为5),从而得到响应方式集合B为4种策略,分别为关闭连接、关闭端口、漂移和重启机器,见图3中的流程。由于Ftp攻击事件的危险等级为高级,根据得到响应方式集合B的原则,则不使用综合系数低的响应方式,所以排除关闭连接的策略(综合系数最低,为1),从而得到响应方式集合C为3种策略:关闭端口、漂移、重启机器,见图3中的流程。被攻击的机器同时也是运行服务的代理机器,假设被攻击的是一台windows2000补丁为sp3的机器,从数据库的软件系数表中(由专家维护)查得,这种环境的代理系数为0.6(按照机器的操作系统、安装补丁以及应用程序的不同代理机器对应不同的代理系数,最低为0,最高为1,数值越高说明机器的安全性越高,最高的代理系数为1,大于0.3为高代理系数,<=0.3为低代理系数),这个代理系数是比较高的,该代理比较安全,所以在响应方式集合C中选择综合系数偏低的策略(这里的原则是:代理系数高的,则相应综合系数要求低的,反之选用综合系数要求高的),从而得到响应方式集合D为2种策略:关闭端口、漂移,见图3中的流程。参照数据库的响应方式表中的制约情况知道,关闭端口和漂移两种策略是相互制约的,所以选取综合系数更高的漂移策略,见图3中的流程。最后在这次攻击时,安全策略生成模块得到漂移的响应策略,安全策略生成模块将最终生成的响应策略传送给控制中心服务器中的信息发送模块,信息发送模块将响应策略信息发送给路由器代理模块,路由器代理模块执行由WinNT-Web服务器切换到Mosx-Web服务器的IP切换命令,最终达到防御攻击事件的结果。
在使用中,所有响应策略都可由控制中心内的信息发送模块将响应策略信息发送给内部服务网段中的服务器代理模块或路由器代理模块,最终由服务器代理模块或路由器代理模块去执行响应策略。
Claims (3)
1、计算机网络应急响应之安全策略生成系统,它主要包括交换机,路由器、以太网集线器和外部网段,其特征在于:所述计算机网络应急响应之安全策略生成系统将外部网段通过交换机,路由器、以太网集线器与内部服务网段连接,内部服务网段通过交换机与内部管理网段连接,其中,内部服务网段中设有鹰眼网络入侵检测仪和若干台服务器,内部管理网段中设有控制中心服务器和日志终端,控制中心服务器中设有预警处理模块,当攻击事件发生时,鹰眼网络入侵检测仪首先判断识别攻击事件类型,然后将攻击事件类型发送到预警处理模块,预警处理模块会将相关攻击事件信息传递给虚拟推理机程序,虚拟推理机程序启动安全策略生成模块,安全策略生成模块启动并接受到攻击事件信息,安全策略生成模块将调用数据库中对攻击事件的预设定义信息,再将攻击事件信息与数据库中对攻击事件的预设定义信息比较,安全策略生成模块会确定相应的响应方式集合A,安全策略生成模块再对确定的相应响应方式集合A进行策略分析和筛选,经分析和筛选后得到响应方式子集,最后安全策略生成模块再根据策略制约原则,选择综合系数最高的响应方式作后最终响应方式。
2、按权利要求1所述的计算机网络应急响应之安全策略生成系统,其特征在于:攻击事件信息的内容包括入侵事件的事件类型、危险等级和针对对象三个参数。
3、按权利要求1所述的计算机网络应急响应之安全策略生成系统,其特征在于:安全策略生成模块再对相应响应方式集合进行策略分析和筛选的流程为首先对响应方式集合中的所有响应方式按策略安全级别高低进行分析比较,可根据用户预先设定的综合系数,筛选掉一个响应方式,得到一个响应方式子集B,安全策略生成模块再对响应方式子集B中所有响应方式按危险级别高低进行分析比较,根据用户预先设定的综合系数,筛选掉一个响应方式,得到一个响应方式子集C,安全策略生成模块再对响应方式子集C中所有响应方式按代理系数高低进行分析比较,根据用户预先设定的综合系数,筛选掉一个响应方式,得到一个响应方式子集D,最后根据策略制约原则,在响应方式子集D中选择综合系数最高的响应方式作后最终响应方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410016220XA CN100521625C (zh) | 2004-02-11 | 2004-02-11 | 计算机网络应急响应之安全策略生成系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410016220XA CN100521625C (zh) | 2004-02-11 | 2004-02-11 | 计算机网络应急响应之安全策略生成系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1655526A true CN1655526A (zh) | 2005-08-17 |
| CN100521625C CN100521625C (zh) | 2009-07-29 |
Family
ID=34892208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410016220XA Expired - Fee Related CN100521625C (zh) | 2004-02-11 | 2004-02-11 | 计算机网络应急响应之安全策略生成系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100521625C (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007115457A1 (fr) * | 2006-04-06 | 2007-10-18 | Huawei Technologies Co., Ltd. | Point d'application de politiques et procédé et système de liaison pour système de détection d'intrus |
| CN100429894C (zh) * | 2006-09-28 | 2008-10-29 | 北京启明星辰信息技术有限公司 | 入侵检测虚拟引擎技术实现方法 |
| WO2010017679A1 (zh) * | 2008-08-15 | 2010-02-18 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| CN101222498B (zh) * | 2008-01-29 | 2011-05-11 | 中兴通讯股份有限公司 | 一种提高网络安全性的方法 |
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN102428474B (zh) * | 2009-11-19 | 2015-05-06 | 株式会社日立制作所 | 计算机系统、管理系统和记录介质 |
| CN109194501A (zh) * | 2018-08-09 | 2019-01-11 | 广东电网有限责任公司信息中心 | 智能自动化的内网应用系统应急响应处置的方法 |
| CN109815853A (zh) * | 2019-01-04 | 2019-05-28 | 深圳壹账通智能科技有限公司 | 活体检测方法、装置、计算机设备和存储介质 |
| CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
-
2004
- 2004-02-11 CN CNB200410016220XA patent/CN100521625C/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007115457A1 (fr) * | 2006-04-06 | 2007-10-18 | Huawei Technologies Co., Ltd. | Point d'application de politiques et procédé et système de liaison pour système de détection d'intrus |
| CN100429894C (zh) * | 2006-09-28 | 2008-10-29 | 北京启明星辰信息技术有限公司 | 入侵检测虚拟引擎技术实现方法 |
| CN101222498B (zh) * | 2008-01-29 | 2011-05-11 | 中兴通讯股份有限公司 | 一种提高网络安全性的方法 |
| WO2010017679A1 (zh) * | 2008-08-15 | 2010-02-18 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN101350745B (zh) * | 2008-08-15 | 2011-08-03 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN102428474B (zh) * | 2009-11-19 | 2015-05-06 | 株式会社日立制作所 | 计算机系统、管理系统和记录介质 |
| CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| CN101969445B (zh) * | 2010-11-03 | 2014-12-17 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| CN102594783B (zh) * | 2011-01-14 | 2014-10-22 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN109194501A (zh) * | 2018-08-09 | 2019-01-11 | 广东电网有限责任公司信息中心 | 智能自动化的内网应用系统应急响应处置的方法 |
| CN109815853A (zh) * | 2019-01-04 | 2019-05-28 | 深圳壹账通智能科技有限公司 | 活体检测方法、装置、计算机设备和存储介质 |
| CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN110881051B (zh) * | 2019-12-24 | 2022-04-29 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100521625C (zh) | 2009-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| Schnackengerg et al. | Cooperative intrusion traceback and response architecture (CITRA) | |
| US8245297B2 (en) | Computer security event management system | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| Stiawan et al. | The trends of intrusion prevention system network | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| CN101518021A (zh) | 安全处理合法拦截的网络流量的系统和方法 | |
| CN102014116A (zh) | 防御分布式网络泛洪攻击 | |
| CN100521625C (zh) | 计算机网络应急响应之安全策略生成系统 | |
| CN108768917A (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| Lim et al. | Network anomaly detection system: The state of art of network behaviour analysis | |
| CN114124516B (zh) | 态势感知预测方法、装置及系统 | |
| Tang et al. | A simple framework for distributed forensics | |
| CN113329017A (zh) | 网络安全风险的检测系统及方法 | |
| Shah et al. | Signature-based network intrusion detection system using SNORT and WINPCAP | |
| KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| CN101656632A (zh) | 大型网络内的病毒监控方法及装置 | |
| KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
| Mai et al. | J-Honeypot: a Java-based network deception tool with monitoring and intrusion detection | |
| Peterson | Intrusion detection and cyber security monitoring of SCADA and DCS Networks | |
| Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
| Yu et al. | On defending peer-to-peer system-based active worm attacks | |
| US11962604B2 (en) | Home-based physical and cyber integrated security-intrusion detection system (PCIS-IDS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090729 Termination date: 20190211 |