一种网络攻击异常检测方法

    公开(公告)号:CN105553998A

    公开(公告)日:2016-05-04

    申请号:CN201510976440.5

    申请日:2015-12-23

    发明人: 刘方 饶志宏 徐锐

    IPC分类号: H04L29/06

    CPC分类号: H04L63/1425

    摘要: 本发明公开了一种网络攻击异常检测方法,涉及信息安全技术领域,本发明技术要点:步骤1:在网络流量汇聚节点部署流量数据采集设备;步骤2:从采集到的流量数据中提取网络行为特征值;步骤3:对网络行为特征值进行降维及标准化;步骤4:确定正常的网络行为特征值,基于正常的网络行为特征值的集合建立正常行为模型;步骤5:基于正常行为模型对其他网络行为特征值进行检测,判断是否出现异常网络行为;在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。

    基于轻量级领域本体的安全设备威胁情报共享方法

    公开(公告)号:CN106777222B

    公开(公告)日:2020-05-08

    申请号:CN201611217864.4

    申请日:2016-12-26

    摘要: 本发明涉及威胁情报技术领域,公开了一种基于轻量级领域本体的安全设备威胁情报共享方法。包括以下过程:步骤1、采用轻量级本体作为设备间的信息沟通媒介,建立威胁情报通用领域本体;步骤2、情报生产者将威胁情报通用领域本体本地化,从网络空间获取原始威胁情报信息,将原始威胁情报信息转化并映射为轻量级本体知识;步骤3、情报转发者基于本体通信服务将轻量级本体知识转发给情报使用者;步骤4、情报使用者将接收到的轻量级本体知识转化并适配为本地专用策略描述并作用于网络空间的运行。提高安全设备间威胁情报共享准确度,增强设备间威胁情报交互的扩展性能力、内容关联能力、接口开放能力以及概念一致性能力,提升威胁情报共享效率。

    一种分布式网络资产探测方法

    公开(公告)号:CN109660401A

    公开(公告)日:2019-04-19

    申请号:CN201811591364.6

    申请日:2018-12-20

    摘要: 本发明公开了一种分布式网络资产探测方法,包括如下步骤:1)部署多个具备资产探测功能的探测节点;2)根据IP位置信息,将IP地址划分为多个探测目标IP列表;3)构建探测节点选择策略模型,并为各目标IP列表选择合理的探测节点;4)在各探测节点对目标IP列表进行活跃主机存活性探测;5)对存活目标IP进行开放端口探测;6)对存活目标IP开放端口发送探测报文,并通过比对指纹库获取网络资产信息。本方法通过构建多个不同国家地区的探测节点,并且采用探测节点优化选择策略,选择最适合目标IP列表的探测节点,显著提高了网络资产的探测效率和探测结果的准确度。