【技术实现步骤摘要】
基于多源安全检测框架的检测方法及系统
本申请涉及安全检测
,具体而言,涉及一种基于多源安全检测框架的检测方法及系统。
技术介绍
随着信息技术的不断发展,信息安全问题也日益突出。传统的信息安全检测所使用的产品、检测策略一般都是较为分散且使用困难,而且伴随黑客技术的愈发成熟,各类黑客工具的使用也是极为广泛,其中一些工具也能在如Github等开源社区平台上轻易获得,例如Empire、gh0stRAT(一个远程控制框架)等,而且诸如Sqlmap、Acunetix扫描器、MSF(Metasploit)一些渗透测试工具也被广泛使用,虽然各类安全产品如下一代防火墙、入侵检测系统、防病毒系统、端点检测响应(EndpointDetectionResponse,简称EDR)等产品都能或多或少地检测到一些安全问题,但对于无明显特征的网络活动或主机活动则无能为力,即对于一些未知威胁的检测可能存在比较大的局限性,因为它们不会覆盖一些看似正常的网络访问或主机操作,故一般企业单位会部署诸如态势感知产品、安全管理产品或下一代安全事件管理系统(NG-S...
【技术保护点】
1.一种基于多源安全检测框架的检测方法,其特征在于,所述方法包括:/n根据安全威胁的各特征及其之间的关系从多源安全检测框架中选取基于关系代数的基础算子,所述多源安全检测模型为利用预定义的检测算子组合得到检测策略以对各种来源数据进行安全检测的统一检测框架;/n根据选取的基础算子构建形式化检测策略;/n基于检测策略进行安全威胁的检测。/n
【技术特征摘要】
1.一种基于多源安全检测框架的检测方法,其特征在于,所述方法包括:
根据安全威胁的各特征及其之间的关系从多源安全检测框架中选取基于关系代数的基础算子,所述多源安全检测模型为利用预定义的检测算子组合得到检测策略以对各种来源数据进行安全检测的统一检测框架;
根据选取的基础算子构建形式化检测策略;
基于检测策略进行安全威胁的检测。
2.根据权利要求1所述的基于多源安全检测框架的检测方法,其特征在于,所述根据安全威胁的各特征及其之间的关系从多源安全检测框架中选取基于关系代数的基础算子包括:
若各特征之间的存在时序关系,则选取取序列算子;
若各特征之间的不存在时序关系,则选取选择算子。
3.根据权利要求2所述的基于多源安全检测框架的检测方法,其特征在于,所述根据选取的基础算子构建形式化检测策略包括:
若各特征之间的存在时序关系,则根据取序列算子创建每个特征对应的检测函数,并结合且运算得到形式化检测策略。
4.根据权利要求2所述的基于多源安全检测框架的检测方法,其特征在于,所述根据选取的基础算子构建形式化检测策略包括:
若各特征之间的不存在时序关系,则根据选择算子创建每个特征对应的检测函数,并结合析取或且运算得到形式化检测策略。
5.根据权利要求4所述的基于多源安全检测框架的检测方法,其特征在于,在创建每个特征对应的检测函数之前,所述方法还包括:
根据投影算子和/或连接算子进行检测数据集的预处理。
6.根据权利要求3所述的基于多源安全检测框架的检测方法,其...
【专利技术属性】
技术研发人员:陈虎,唐开达,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。