CN1961323A - 使用改进侵入检测审计与智能安全分析的比较来区分相关网络安全威胁的方法和系统 - Google Patents
使用改进侵入检测审计与智能安全分析的比较来区分相关网络安全威胁的方法和系统 Download PDFInfo
- Publication number
- CN1961323A CN1961323A CNA200580010457XA CN200580010457A CN1961323A CN 1961323 A CN1961323 A CN 1961323A CN A200580010457X A CNA200580010457X A CN A200580010457XA CN 200580010457 A CN200580010457 A CN 200580010457A CN 1961323 A CN1961323 A CN 1961323A
- Authority
- CN
- China
- Prior art keywords
- intrusion
- network
- examining
- invade
- networks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Investigating Or Analyzing Materials By The Use Of Electric Means (AREA)
- Measurement Of Resistance Or Impedance (AREA)
Abstract
提供区分相关安全威胁的设备、方法和计算机程序。在传统计算机系统的情况下,由于通常不能量化“威胁”,所以将安全威胁与实际安全威胁区分开是复杂和困难的任务。通过使用智能概念集群技术,可以将威胁与无害行为准确区分开。因而,通常可以使电子商务和信息技术系统更安全,而无需牺牲效率。
Description
技术领域
本发明涉及网络安全,更具体地涉及概念集群的使用以便确定和消除潜在的安全威胁。
背景技术
由于当前商业界不断增加对信息技术(IT)的依赖,所以保护IT基础设施的需要不断增加。在保护IT基础设施时,网络安全变成极为重要的问题。出于例如限制停机时间和提供安全数据传输的各种原因,需要保护IT基础设施。
然而,安全措施的实现不是简单的任务。对于IT系统,安全性的基本方案是监视IT网络上的业务以识别指示系统侵入的模式。可以使用例如回归分析和某些感应技术的各种方法来识别侵入模式。通常,安全方案监视使用行为,并且请求网络端口和资源以便确定潜在侵入风险。
例如,在白天或夜间的某些时间的某些请求可以表示系统攻击。因而,模式分析可以被用来进行这种确定。然而,攻击的方法既不是有限的也不是静态的。而是,攻击的方法不断变化。因此,必须更新模式分析以至少对试图对IT基础设施造成伤害的人保持相等的合计,或至少保持近似的对等。
另外,随着在网络上出现的事件量相对于通常较少数量的实际侵入发生增长时,确定威胁的难度相应地增加。可以简化空间,但是如果空间太一般化,则模式将触发误检(false positive),从而不必要地中断系统操作,浪费管理资源并且降低系统可靠性。
因此,需要一种使用定性和定量测量的方法和/或设备来提高分析潜在安全风险的准确度,其解决至少一些涉及与当前安全算法相关的常规方法和设备的问题。
发明内容
本发明提供了一种用于确定对信息技术(IT)基础设施的计算机安全威胁的设备。网络扫描器使用至少一种分类法(taxonomy)来确定可能的侵入。侵入检测器检测至少一个实际侵入。误检/正检(truepositive)(FPTP)检测器比较所确定的可能侵入和所检测的实际侵入以更新该分类法。
附图说明
为了更全面地理解本发明及其优点,现在参照下面结合附图的描述,其中:
图1是描述样本分类法的模块图;
图2是描述用于区分相关安全威胁的系统的模块图;以及
图3是描述用于区分相关安全威胁的方法的流程图。
具体实施方式
在下面的讨论中,提出许多特定细节以提供对本发明的透彻理解。然而,本领域的技术人员理解,可在没有这些特定细节的情况下实践本发明。在其它实例中,以示意或模块图的形式图解了众所周知的单元,以免不必要的细节遮盖本发明。另外,省略了涉及网络通信、电磁信令技术等等的大部分细节,只要不认为这样的细节对于获得本发明的完整理解是必要的,并且被认为在相关技术领域普通技术人员的理解范围内。
还应注意,除非另外指出,否则这里描述的所有功能可以通过任意硬件或软件、或其某些组合来实现。然而,在一个最优实施例中,除非另外指出,否则由例如计算机或电子数据处理器的处理器基于例如计算机程序代码的代码、软件、和/或被编码以执行这些功能的集成电路来执行这些功能。
参考附图的图1,附图标记100通常指示描述样本分类法的模块图。分类法100包括第一级120,第二级122,第三级124和第四级126。第一级120包括一周各天的类别102。第二级122包括周末类别104和工作日类别106。第三级包括星期六类别108,星期天类别110,星期一类别112和星期五类别114。第四级126包括第一时间标签t1,第二时间标签t2和第三时间标签t3。
在形成分类法时,不同等级的每个被相关起来。时间标签t1、t2和t3的每个出现在一周的特定时间。因此,每个时间标签t1、t2和t3可以被分类为例如星期六108的一周的特定日子,并且可以被分类为例如周末104的一周的时间。换言之,每个后续等级是前面等级的单个或多个子集。
相应地,对于时间标签所属的子集,数值可以与每个时间标签t1、t2和t3相关。这种分类被称作″集群″,并且明确表示被称作″集群化″。接着,该数值可以被用于确定威胁等级。
安全分析通常需要将事件的组合和序列与已知侵入相关起来。由于可能的组合和序列的数量是巨大的,所以非常难于识别有用的模式。使用例如图1的样本分类法的分类法的集群分析是有效的数据精减工具,其用于把可能组合和序列的数量降低到更加快速地实时处理的规模。集群化试图把对象组成类别或集群,其中一个类别的对象具有类似特征。
使用相似度和差异的定量或数值测量的多数模式分析效果非常好。然而,许多有用的测量和模式是定性或主观的,并且因此,不具有使它们易于进行相似度或差异测量的特性。例如,难于在确定香蕉、岩石和悠悠球之间的相似度时一致地使用定量测量。
如果在安全性方面考虑常见测量,例如IP地址(例如9.8.765.43),则这个″数″实际表示身份。不同的IP地址可以具有从安全性立场来说有意义的不同特性。例如,如图1中那样,如果地址是动态的,则它们表示特定IP提供商,特定地理位置或一周的某日。
参考附图的图2,附图标记200通常表示描述区分相关安全威胁的系统的模块图。系统200包括计算机网络201,信息技术计算机(IT)基础设施203,服务器和侵入检测器204,以及误检/正检检测器205。
计算机网络201通过第一通信信道210被连接到网络扫描器202。并且,计算机网络201通过第二通信信道211被连接到IT计算机基础设施203。计算机网络201可以包括任何类型,包含但不限于因特网。此外,任何上述通信信道将涵盖无线链路、分组交换信道、电路交换或直接通信信道、信息传送的任何其它信道、以及这些信道的任何组合。此外,如图2所示,任何上述通信信道可以通过多个通信信道或单个通信信道被连接到每个部件。
网络扫描器202是系统200的另一个单元。网络扫描器202提供IT计算机基础设施203的威胁评估分析。网络扫描器202通过第三通信信道212被连接到IT计算机基础设施203。网络扫描器还通过第一通信信道210被连接到计算机网络201。网络扫描器202通过第四通信信道213另外连接到误检/正检检测器205。通过攻击模拟和各种其它技术,网络扫描器能够确定攻击的可能模式。换言之,网络扫描器202把可观察的数据组织成有意义的结构或开发出分类法。例如,从特定公司检测出的使用可能本身是无用的,但是结合其它数据,可以开发出对应于一个攻击的相关性。存在大量提供网络扫描和开发分类法的服务,例如CycSecure(Cycorp公司的注册商标和产品,Suite 100,3721执行中心驱动器,Austin,TX 78731)。此外,任何上述通信信道将涵盖无线线路、分组交换信道、直接通信信道以及三者的任何组合。此外,如图2所示,任何上述通信信道可以通过多个通信信道或单个通信信道被连接到每个部件。
IT计算机基础设施203是需要保护的部件。IT计算机基础设施203通过第二通信信道211被连接到计算机网络。并且,IT计算机基础设施203通过第三通信信道212被连接到网络扫描器202。IT计算机基础设施203还通过第五通信信道214被连接到服务器和侵入检测器204。IT计算机基础设施203可以由单个或多个计算机和/或服务器组成。IT计算机基础设施203还提供由企业用于运营的主机。此外,任何上述通信信道将涵盖无线线路、分组交换信道、直接通信信道以及三者的任何组合。此外,如图2所示,任何上述通信信道可以通过多个通信信道或单个通信信道被连接到每个部件。
服务器和侵入检测器204监视IT计算机基础设施203。服务器和侵入检测器204通过第五通信信道214被连接到IT计算机基础设施203。并且,服务器和侵入检测器204通过第六通信信道215被连接到误检/正检检测器205。服务器和侵入检测器监视IT计算机基础设施203上的实际使用和攻击,并且产生网络侵入报告。并且,服务器和侵入检测器204可以把来自误检/正检检测器205的对比数据转发到IT计算机基础设施203,以改进语义集群分析。此外,任何上述通信信道将涵盖无线线路、分组交换信道、直接通信信道以及三者的任何组合。此外,如图2所示,任何上述通信信道可以通过多个通信信道或单个通信被连接到每个部件。
误检/正检检测器205是提高威胁评估的准确性的更新部件。误检/正检检测器205通过第四通信信道213被连接到网络扫描器。并且,误检/正检检测器205通过第六通信信道215被连接到服务器和侵入检测器。误检/正检检测器205比较从网络扫描器21和服务器和侵入检测器204产生的数据,以将确定为正检的所识别威胁与确定为误检的所识别威胁区分开。一旦完成威胁的区分,则划分威胁的优选级并且更新IT计算机基础设施的防御软件。误检/正检检测器205使用的威胁分析方法下面在图3的流程图中详细描述。此外,任何上述通信信道将涵盖无线链路、分组交换信道、电路切换或直接通信信道、信息传送的任何其它信道、以及这些信道的任何组合。此外,如图2所示,任何上述通信信道可以通过多个通信信道或单个通信被连接到每个部件。
参考图3,附图标记300通常表示描述区分相关安全威胁的方法的流程图。在步骤301,审计网络侵入检测设备。图2的系统200能够监视例如图2的网络扫描器202的各种网络扫描设备。图2的网络扫描器202对图2的IT计算机基础设施202的防御结构的弱点进行威胁评估。图2的误检/正检检测器205审计图2的网络扫描器203的结果,以便获得通过威胁评估确定的所有可能威胁。
在步骤302,取得网络侵入报告。图2的服务器和侵入检测器204进行侵入和安全失误的实际测量。通过图2的系统200的监视,图2的服务器和侵入检测器204产生网络侵入报告并且把报告传递给图2的误检/正检检测器205。
在步骤303、304和305,比较网络侵入报告和威胁评估。图2的误检/正检检测器205执行该比较。通过进行比较,图2的误检/正检检测器205可以确定哪个评估的威胁是实际威胁以及哪个评估的威胁是无害的。在步骤304,如果所评估的威胁是无害的,则图2的误检/正检检测器205接着可以把所评估的威胁标记为误检。同样,在步骤305,如果所评估的威胁是实际威胁,则图2的误检/正检检测器205可以把所评估的威胁标记为正检。
在步骤306、307以及308,改进语义集群。图2的IT计算机基础设施203的防御算法从图2的误检/正检检测器205实时接收所标记的评估的威胁。精确的标记允许防御算法快速地更新包括防御算法的语义集群,以允许先前可能被错误地确定为实际安全风险的无害使用。同样,在步骤307,依据规模对正检进行分类,并且在步骤308,基于用户所定义的优先级对正检划分优先级。正检安全威胁的组织允许图2的IT计算机基础设施203的更好防御。因此,图3的改进技术降低了模式空间的规模并且识别出潜在威胁而无需触发许多假实例。
从上述描述还将理解,各种修改以及变化可以在不偏离本发明的真实宗旨的前提下在本发明的优选实施例中进行。这个描述只为了说明并且不应该被解释为限制性的。本发明的范围应当仅由以下权利要求书的语言限制。
已经参照某些本发明的优选实施例描述了本发明,然而应当注意,所公开的实施例是示例性的而不是限制性的,并且在上述公开中考虑了广泛的差异、修改、变化和替换,并且在某些情况下,本发明的某些特征可以被使用而无需对应使用其它特征。本领域的技术人员基于上述优选实施例的描述的回顾可以考虑许多这种差异和修改。因此,广义并且以符合本发明的范围的方式解释所附权利要求书是适当的。
Claims (20)
1.一种确定计算机安全威胁的方法,包括:
获得具有多个可能网络侵入的标记的可能侵入报告;
从安全网络取得具有至少一个实际侵入的标记的实际侵入报告,其中安全网络至少被配置成使用至少一个分类法;
比较可能侵入报告和实际侵入报告,以确定一或多个误检和一或多个正检;以及
用所述误检中的至少一个和所述正检中的至少一个来更新所述至少一个分类法。
2.如权利要求1所述的方法,其中比较步骤还包括:
当未曾发生至少一个实际侵入对应事件时,把多个可能网络侵入的至少一个可能网络侵入的标记标记为误检;以及
当发生至少一个实际侵入对应事件时,把该多个可能网络侵入的该至少一个可能网络侵入的标记标记为正检。
3.如权利要求1所述的方法,其中更新至少一个分类法还包括对该多个网络侵入中标记为正检的至少一个可能网络侵入进行分类。
4.如权利要求1所述的方法,其中更新至少一个分类法还包括划分该多个网络侵入中标记为正检的至少一个可能网络侵入的优先级。
5.一种确定计算机安全威胁的设备,包括:
用于获得具有多个可能网络侵入的标记的可能侵入报告的装置;
用于从安全网络取得具有至少一个实际侵入的标记的实际侵入报告的装置,其中安全网络至少被配置成使用至少一个分类法;
用于比较可能侵入报告和实际侵入报告以确定一或多个误检和一或多个正检的装置;以及
用于用所述误检中的至少一个和所述正检中的至少一个来更新所述至少一个分类法的装置。
6.如权利要求5所述的设备,其中用于比较的装置还包括:
用于当未曾发生至少一个实际侵入对应事件时,把多个可能网络侵入的至少一个可能网络侵入的标记标记为误检的装置;以及
用于当发生至少一个实际侵入对应事件时,把该多个可能网络侵入的该至少一个可能网络侵入的标记标记为正检的装置。
7.如权利要求5所述的设备,其中用于更新至少一个分类法的装置还包括用于对该多个网络侵入中标记为正检的至少一个可能网络侵入进行分类的装置。
8.如权利要求5所述的设备,其中用于更新至少一个分类法的装置还包括用于划分该多个网络侵入中标记为正检的至少一个可能网络侵入的优先级的装置。
9.一种用于确定计算机安全威胁的计算机程序产品,该计算机程序产品具有在其上实施计算机产品的介质,该计算机程序包括:
用于获得具有多个可能网络侵入的标记的可能侵入报告的计算机代码;
用于从安全网络取得具有至少一个实际侵入的标记的实际侵入报告的计算机代码,其中安全网络至少被配置成使用至少一个分类法;
用于比较可能侵入报告和实际侵入报告以确定一或多个误检和一或多个正检的计算机代码;以及
用于用所述误检中的至少一个和所述正检中的至少一个来更新所述至少一个分类法的计算机代码。
10.如权利要求9所述的计算机程序产品,其中用于比较的计算机代码还包括:
用于当未曾发生至少一个实际侵入对应事件时,把多个可能网络侵入的至少一个可能网络侵入的标记标记为误检的计算机代码;以及
用于当发生至少一个实际侵入对应事件时,把该多个可能网络侵入的该至少一个可能网络侵入的标记标记为正检的计算机代码。
11.如权利要求9所述的计算机程序产品,其中用于更新至少一个分类法的计算机代码还包括用于对该多个网络侵入中标记为正检的至少一个可能网络侵入进行分类的计算机程序产品。
12.如权利要求9所述的计算机程序产品,其中用于更新至少一个分类法的计算机代码还包括用于划分该多个网络侵入中标记为正检的至少一个可能网络侵入的优先级的计算机程序产品。
13.一种确定计算机安全威胁的处理器,该处理器包含有计算机程序,该计算机程序包括:
用于获得具有多个可能网络侵入的标记的可能侵入报告的计算机代码;
用于从安全网络取得具有至少一个实际侵入的标记的实际侵入报告的计算机代码,其中安全网络至少被配置成使用至少一个分类法;
用于比较可能侵入报告和实际侵入报告以确定一或多个误检和一或多个正检的计算机代码;以及
用于用所述误检中的至少一个和所述正检中的至少一个来更新所述至少一个分类法的计算机代码。
14.如权利要求13所述的计算机程序代码,其中用于比较的计算机代码还包括:
用于当未曾发生至少一个实际侵入对应事件时,把多个可能网络侵入的至少一个可能网络侵入的标记标记为误检的计算机代码;以及
用于当发生至少一个实际侵入对应事件时,把该多个可能网络侵入的该至少一个可能网络侵入的标记标记为正检的计算机代码。
15.如权利要求13所述的计算机程序代码,其中用于更新至少一个分类法的计算机代码还包括用于对该多个网络侵入中标记为正检的至少一个可能网络侵入进行分类的计算机程序产品。
16.如权利要求13所述的计算机程序代码,其中用于更新至少一个划分法的计算机代码还包括用于划分该多个网络侵入中标记为正检的至少一个可能网络侵入的优先级的计算机程序产品。
17.一种至少连接到信息技术(IT)基础设施的用于确定计算机安全威胁的设备,包括:
网络扫描器,其中网络扫描器至少使用至少一个分类法确定至少一个可能侵入;
侵入检测器,其中侵入检测器至少检测至少一个实际侵入;以及
误检/正检(FPTP)检测器,其中FPTP检测器至少比较至少一个可能侵入和至少一个实际侵入以便更新该至少一个分类法。
18.如权利要求17所述的设备,其中FPTP检测器至少还被配置为把该至少一个可能侵入标记为误检或正检。
19.如权利要求18所述的设备,其中FPTP检测器至少被配置为对标记为正检的可能侵入进行分类。
20.如权利要求18所述的设备,其中FPTP检测器至少被配置为划分标记为正检的可能侵入的优先级。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/821,042 | 2004-04-08 | ||
US10/821,042 US7406606B2 (en) | 2004-04-08 | 2004-04-08 | Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1961323A true CN1961323A (zh) | 2007-05-09 |
CN100456258C CN100456258C (zh) | 2009-01-28 |
Family
ID=35062061
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB200580010457XA Active CN100456258C (zh) | 2004-04-08 | 2005-03-29 | 使用改进侵入检测审计与智能安全分析的比较来区分相关网络安全威胁的方法和系统 |
Country Status (10)
Country | Link |
---|---|
US (1) | US7406606B2 (zh) |
EP (1) | EP1741223B1 (zh) |
JP (1) | JP4808703B2 (zh) |
KR (1) | KR101013264B1 (zh) |
CN (1) | CN100456258C (zh) |
AT (1) | ATE470301T1 (zh) |
CA (1) | CA2562358C (zh) |
DE (1) | DE602005021630D1 (zh) |
TW (1) | TWI335504B (zh) |
WO (1) | WO2005101720A2 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060101516A1 (en) * | 2004-10-12 | 2006-05-11 | Sushanthan Sudaharan | Honeynet farms as an early warning system for production networks |
KR100891329B1 (ko) | 2007-01-26 | 2009-03-31 | 삼성전자주식회사 | 반도체 소자 및 그 제조 방법 |
FR2918813B1 (fr) * | 2007-07-12 | 2012-11-16 | Augier S A | "systeme de gestion d'un reseau d'eclairage" |
EP2040435B1 (en) * | 2007-09-19 | 2013-11-06 | Alcatel Lucent | Intrusion detection method and system |
US20090297043A1 (en) * | 2008-05-28 | 2009-12-03 | International Business Machines Corporation | Pattern scanner and editor for security audit systems |
KR101394591B1 (ko) * | 2012-11-23 | 2014-05-12 | 건국대학교 산학협력단 | 네트워크의 침입을 탐지하는 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 |
JP6196397B2 (ja) | 2014-10-21 | 2017-09-13 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
US10476947B1 (en) | 2015-03-02 | 2019-11-12 | F5 Networks, Inc | Methods for managing web applications and devices thereof |
US11616806B1 (en) | 2015-05-08 | 2023-03-28 | F5, Inc. | Methods for protecting web based resources from D/DoS attacks and devices thereof |
US9923910B2 (en) | 2015-10-05 | 2018-03-20 | Cisco Technology, Inc. | Dynamic installation of behavioral white labels |
US10834110B1 (en) * | 2015-12-18 | 2020-11-10 | F5 Networks, Inc. | Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof |
US10397250B1 (en) | 2016-01-21 | 2019-08-27 | F5 Networks, Inc. | Methods for detecting remote access trojan malware and devices thereof |
WO2018013244A1 (en) | 2016-07-14 | 2018-01-18 | IronNet Cybersecurity, Inc. | Simulation and virtual reality based cyber behavioral systems |
US10432652B1 (en) | 2016-09-20 | 2019-10-01 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network behavior and devices thereof |
US11038869B1 (en) | 2017-05-12 | 2021-06-15 | F5 Networks, Inc. | Methods for managing a federated identity environment based on application availability and devices thereof |
US10931691B1 (en) | 2017-10-09 | 2021-02-23 | F5 Networks, Inc. | Methods for detecting and mitigating brute force credential stuffing attacks and devices thereof |
US11539740B1 (en) | 2018-02-02 | 2022-12-27 | F5, Inc. | Methods for protecting CPU during DDoS attack and devices thereof |
US11349981B1 (en) | 2019-10-30 | 2022-05-31 | F5, Inc. | Methods for optimizing multimedia communication and devices thereof |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088804A (en) * | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
US6282546B1 (en) * | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
GB2380303B (en) * | 2000-05-28 | 2005-09-14 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
US7437762B2 (en) * | 2001-11-29 | 2008-10-14 | International Business Machines Corporation | Method, computer program element and a system for processing alarms triggered by a monitoring system |
JP3609382B2 (ja) * | 2002-03-22 | 2005-01-12 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
CA2486695A1 (en) | 2002-05-22 | 2003-12-04 | Lucid Security Corporation | Adaptive intrusion detection system |
-
2004
- 2004-04-08 US US10/821,042 patent/US7406606B2/en active Active
-
2005
- 2005-03-29 DE DE602005021630T patent/DE602005021630D1/de active Active
- 2005-03-29 CN CNB200580010457XA patent/CN100456258C/zh active Active
- 2005-03-29 EP EP05730339A patent/EP1741223B1/en active Active
- 2005-03-29 AT AT05730339T patent/ATE470301T1/de not_active IP Right Cessation
- 2005-03-29 WO PCT/US2005/010358 patent/WO2005101720A2/en active Application Filing
- 2005-03-29 JP JP2007507357A patent/JP4808703B2/ja active Active
- 2005-03-29 CA CA2562358A patent/CA2562358C/en active Active
- 2005-03-29 KR KR1020067020202A patent/KR101013264B1/ko not_active IP Right Cessation
- 2005-04-04 TW TW094110749A patent/TWI335504B/zh not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
EP1741223A4 (en) | 2008-07-23 |
US7406606B2 (en) | 2008-07-29 |
DE602005021630D1 (de) | 2010-07-15 |
EP1741223B1 (en) | 2010-06-02 |
WO2005101720A2 (en) | 2005-10-27 |
WO2005101720A3 (en) | 2006-12-21 |
CN100456258C (zh) | 2009-01-28 |
EP1741223A2 (en) | 2007-01-10 |
JP2007533001A (ja) | 2007-11-15 |
KR101013264B1 (ko) | 2011-02-11 |
ATE470301T1 (de) | 2010-06-15 |
US20050229253A1 (en) | 2005-10-13 |
TW200613969A (en) | 2006-05-01 |
CA2562358A1 (en) | 2005-10-27 |
TWI335504B (en) | 2011-01-01 |
CA2562358C (en) | 2014-03-25 |
KR20070008611A (ko) | 2007-01-17 |
JP4808703B2 (ja) | 2011-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100456258C (zh) | 使用改进侵入检测审计与智能安全分析的比较来区分相关网络安全威胁的方法和系统 | |
CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
CN110572413A (zh) | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 | |
CN103782303A (zh) | 对于恶意过程的基于非签名的检测的系统和方法 | |
CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
CN102546641B (zh) | 一种在应用安全系统中进行精确风险检测的方法及系统 | |
CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
CN111049828B (zh) | 网络攻击检测及响应方法及系统 | |
KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
CN115211075A (zh) | 网络环境中的网络攻击识别 | |
CN113765850B (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
US20220026580A1 (en) | Method, system, and apparatus for verification of operation using gps receiver input within integrated circuits and electronic systems using an operation navigation system | |
CN108509796B (zh) | 一种风险性的检测方法及服务器 | |
CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
RU2737229C1 (ru) | Способ защиты систем управления транспортных средств от вторжений | |
US20090276853A1 (en) | Filtering intrusion detection system events on a single host | |
CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
US12086247B2 (en) | Logical identification of malicious threats across a plurality of end-point devices | |
CN115913789B (zh) | 一种网络攻击的识别方法及装置 | |
US20240154990A1 (en) | Device for automatically sorting cyber attack based on artificial intelligence using security event of different kinds of security devices | |
Jin et al. | A feature space analysis for anomaly detection | |
CN117786692A (zh) | 一种恶意程序的检测方法、设备及储存介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |