[發(fā)明專利]基于網(wǎng)絡攻擊的數(shù)據(jù)采集、分析方法及系統(tǒng)在審
| 申請?zhí)枺?/td> | 202010060513.7 | 申請日: | 2020-01-19 |
| 公開(公告)號: | CN113141334A | 公開(公告)日: | 2021-07-20 |
| 發(fā)明(設計)人: | 龔玉山;黎健欣;張鑫 | 申請(專利權)人: | 奇安信科技集團股份有限公司;網(wǎng)神信息技術(北京)股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京英特普羅知識產(chǎn)權代理有限公司 11015 | 代理人: | 程超 |
| 地址: | 100088 北京市西城區(qū)*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 網(wǎng)絡 攻擊 數(shù)據(jù) 采集 分析 方法 系統(tǒng) | ||
1.一種基于網(wǎng)絡攻擊的分析方法,其特征在于,應用于內(nèi)部網(wǎng)絡,包括:
獲取所述內(nèi)部網(wǎng)絡中至少一個終端設備的系統(tǒng)數(shù)據(jù);
分別對每一個所述系統(tǒng)數(shù)據(jù)解析,獲取相應的待檢測數(shù)據(jù)及每一待檢測數(shù)據(jù)對應的數(shù)據(jù)類型;
依據(jù)所述待檢測數(shù)據(jù)對應的數(shù)據(jù)類型,對相應的所述待檢測數(shù)據(jù)進行威脅檢測,獲取相應的異常數(shù)據(jù);
對全部所述異常數(shù)據(jù)進行統(tǒng)計分析,生成異常路徑信息。
2.根據(jù)權利要求1所述的基于網(wǎng)絡攻擊的分析方法,其特征在于,所述分別對每一個所述系統(tǒng)數(shù)據(jù)解析,獲取相應的待檢測數(shù)據(jù)及每一待檢測數(shù)據(jù)對應的數(shù)據(jù)類型,包括:
分別對每一個所述系統(tǒng)數(shù)據(jù)解壓、解密,獲取待檢測數(shù)據(jù)序列;
獲取所述待檢測數(shù)據(jù)序列中每一個所述待檢測數(shù)據(jù)對應的數(shù)據(jù)類型。
3.根據(jù)權利要求1或2所述的基于網(wǎng)絡攻擊的分析方法,其特征在于,所述待檢測數(shù)據(jù)對應的數(shù)據(jù)類型包括:進程列表類、系統(tǒng)服務類、敏感目錄類、系統(tǒng)安全日志類、啟動項類和網(wǎng)絡鏈接類中的至少一種。
4.根據(jù)權利要求1所述的基于網(wǎng)絡攻擊的分析方法,其特征在于,所述對全部所述異常數(shù)據(jù)進行統(tǒng)計分析,生成異常路徑信息,包括:
獲取每一個所述異常數(shù)據(jù)中的訪問節(jié)點數(shù)據(jù)及相應的時間數(shù)據(jù);
根據(jù)全部所述時間數(shù)據(jù)生成時間軸;
依據(jù)所述時間軸中的所述時間數(shù)據(jù),將相應的訪問節(jié)點數(shù)據(jù)關聯(lián),生成所述異常路徑信息。
5.根據(jù)權利要求1所述的網(wǎng)絡攻擊檢測方法,其特征在于,還包括:
識別每一個所述異常數(shù)據(jù)的威脅級別;
基于所述威脅級別標記所述異常路徑信息中相應的終端設備的異常數(shù)據(jù)。
6.根據(jù)權利要求1所述的網(wǎng)絡攻擊檢測方法,其特征在于,還包括:
根據(jù)所述異常路徑信息生成標識訪問節(jié)點數(shù)據(jù)及訪問方向的關聯(lián)分析圖像。
7.一種基于網(wǎng)絡攻擊的數(shù)據(jù)采集方法,其特征在于,應用于終端設備中,所述方法包括:
采集所述終端設備中的第一系統(tǒng)信息;
將所述第一系統(tǒng)信息轉換為預設格式的第二系統(tǒng)信息;
對所述第二系統(tǒng)信息加密、壓縮生成系統(tǒng)數(shù)據(jù),并輸出所述系統(tǒng)數(shù)據(jù)。
8.一種基于網(wǎng)絡攻擊的分析系統(tǒng),其特征在于,應用于內(nèi)部網(wǎng)絡,包括通信連接的終端設備和服務器;其中,
所述終端設備用于第一系統(tǒng)信息,將所述第一系統(tǒng)信息轉換為預設格式的第二系統(tǒng)信息,對所述第二系統(tǒng)信息加密、壓縮生成系統(tǒng)數(shù)據(jù),并發(fā)送至所述服務器;
所述服務器用于獲取至少一個所述終端設備發(fā)送的系統(tǒng)數(shù)據(jù),分別對每一個所述系統(tǒng)數(shù)據(jù)解析,獲取相應的待檢測數(shù)據(jù)及每一待檢測數(shù)據(jù)對應的數(shù)據(jù)類型,依據(jù)所述待檢測數(shù)據(jù)對應的數(shù)據(jù)類型,對相應的所述待檢測數(shù)據(jù)進行威脅檢測,獲取相應的異常數(shù)據(jù),對全部所述異常數(shù)據(jù)進行統(tǒng)計分析,生成異常路徑信息。
9.一種計算機設備,所述計算機設備,包括存儲器、處理器以及存儲在存儲器上并可在處理器上運行的計算機程序,所述處理器執(zhí)行所述計算機程序時實現(xiàn)權利要求 1至7任一項所述方法的步驟。
10.一種計算機可讀存儲介質(zhì),其上存儲有計算機程序,其特征在于:所述計算機程序被處理器執(zhí)行時實現(xiàn)權利要求 1至7任一項所述方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于奇安信科技集團股份有限公司;網(wǎng)神信息技術(北京)股份有限公司,未經(jīng)奇安信科技集團股份有限公司;網(wǎng)神信息技術(北京)股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010060513.7/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡和網(wǎng)絡終端
- 網(wǎng)絡DNA
- 網(wǎng)絡地址自適應系統(tǒng)和方法及應用系統(tǒng)和方法
- 網(wǎng)絡系統(tǒng)及網(wǎng)絡至網(wǎng)絡橋接器
- 一種電力線網(wǎng)絡中根節(jié)點網(wǎng)絡協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡裝置、網(wǎng)絡系統(tǒng)、網(wǎng)絡方法以及網(wǎng)絡程序
- 從重復網(wǎng)絡地址自動恢復的方法、網(wǎng)絡設備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡的訓練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡管理方法和裝置
- 數(shù)據(jù)顯示系統(tǒng)、數(shù)據(jù)中繼設備、數(shù)據(jù)中繼方法、數(shù)據(jù)系統(tǒng)、接收設備和數(shù)據(jù)讀取方法
- 數(shù)據(jù)記錄方法、數(shù)據(jù)記錄裝置、數(shù)據(jù)記錄媒體、數(shù)據(jù)重播方法和數(shù)據(jù)重播裝置
- 數(shù)據(jù)發(fā)送方法、數(shù)據(jù)發(fā)送系統(tǒng)、數(shù)據(jù)發(fā)送裝置以及數(shù)據(jù)結構
- 數(shù)據(jù)顯示系統(tǒng)、數(shù)據(jù)中繼設備、數(shù)據(jù)中繼方法及數(shù)據(jù)系統(tǒng)
- 數(shù)據(jù)嵌入裝置、數(shù)據(jù)嵌入方法、數(shù)據(jù)提取裝置及數(shù)據(jù)提取方法
- 數(shù)據(jù)管理裝置、數(shù)據(jù)編輯裝置、數(shù)據(jù)閱覽裝置、數(shù)據(jù)管理方法、數(shù)據(jù)編輯方法以及數(shù)據(jù)閱覽方法
- 數(shù)據(jù)發(fā)送和數(shù)據(jù)接收設備、數(shù)據(jù)發(fā)送和數(shù)據(jù)接收方法
- 數(shù)據(jù)發(fā)送裝置、數(shù)據(jù)接收裝置、數(shù)據(jù)收發(fā)系統(tǒng)、數(shù)據(jù)發(fā)送方法、數(shù)據(jù)接收方法和數(shù)據(jù)收發(fā)方法
- 數(shù)據(jù)發(fā)送方法、數(shù)據(jù)再現(xiàn)方法、數(shù)據(jù)發(fā)送裝置及數(shù)據(jù)再現(xiàn)裝置
- 數(shù)據(jù)發(fā)送方法、數(shù)據(jù)再現(xiàn)方法、數(shù)據(jù)發(fā)送裝置及數(shù)據(jù)再現(xiàn)裝置
