买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：汉江水利水电(集团)有限责任公司

摘要：本发明公开了一种态势感知系统的信息系统场景化分析模型，包括以下方法：1、资产主动外连检测；2、暴力破解检测；3、DNS隧道检测；4异地账号登录检测；5HTTP代理检测；6邮件敏感关键词检测；7邮件附件敏感后缀检测；8弱口令监测；9reGeorg隧道发现；10socks代理检测；11VPN账号登录地域分布统计；12VPN账号登录行为统计；13DGA域名发现；14DNS服务器发现；15扫描行为发现。本系统过对水利关键信息基础设施网络安全纵深防御体系的完善，强化关键信息基础设施运行状态、网络安全风险、网络安全情报等信息的采集及分析处理，有利于加强丹江口水利枢纽关键信息基础设施管理。

主权项：1.一种态势感知系统的信息系统场景化分析模型，其特征在于，包括以下方法：1、资产主动外连检测其检测逻辑方法为：首先判断源IP是否是属于业务资产，再判断目的IP是否是属于外网IP，业务资产请求过外网IP，就属于业务资产主动外连；其展示逻辑方法为：要展示资产外连的流量，上下行之和，目的IP的ISP和外连IP归属地，帮助用户定位内网资产，发现非法的主动外连行为；2、暴力破解检测其检测逻辑方法为：在1分钟以内，按照源IP，目的IP，目的端口，协议类型，为四元组判断，连续登录失败超过100次以上，就属于暴力破解行为；展示逻辑方法为：展示被登录失败次数最多的源IP的TOP10，被尝试最多的账号，详细列表；3、DNS隧道检测其检测逻辑方法为：请求DNS的总长度超过50，并且子域名长度占总长度的一半以上，其中倒数第二个“.”以前的部分按照“.”分割成多个子域名；同时以源IP、目的IP、根域名为三元组，判断在3分钟内是否有连续10次以上的相同心跳间隔请求；其展示逻辑方法为：展示DNSTunnel的请求的详情，按照源IP和域名进行归并展示；4异地账号登录检测其检测逻辑方法为：只检测SMTP、POP3、SSH、RDP、FTP、MSSQL、MYSQL、REDIS、ES、ORACLE协议，判断内网资产即目的IP是否被外网IP即源IP尝试登录过，按照源IP、目的IP、协议、账号、hour时间进行归并；其展示逻辑方法为：在列表中展示登录尝试资产的详情和成功率；5HTTP代理检测其检测逻辑方法为：判断在tcp载荷里面是否有特殊HTTP代理的特征码，如果有就是HTTP代理；其展示逻辑方法为：通过词云的方式来展示使用最多的TOP20的代理，列表以源IP，代理，端口做为三元组进行归并，展示详情；6邮件敏感关键词检测其检测逻辑方法为：通过定义的敏感关键词，匹配邮件正文内容，如果匹配中关键词，就进行告警；其展示逻辑方法为：通过云词展示匹配最多的TOP20的敏感关键词，列表展示匹配中的邮件简要信息，点击查看可以看邮件的详情；7邮件附件敏感后缀检测其检测逻辑方法为：通过定义的敏感后缀，匹配邮件正文内容，如果匹配中后缀，就进行告警；其展示逻辑方法为：通过列表展示匹配中的邮件简要信息，点击查看可以看邮件的详情；8弱口令监测，即明文密码泄露检测其检测逻辑方法为：只检测SMTP和POP3的协议的登录数据，并且只对登录成功的账号做检测；匹配内置的弱口令，看是否命中；其展示逻辑方法为：通过词云展示被命中最多TOP20的资产IP，列表展示命中的弱口令、受影响账号、受影响资产；9reGeorg隧道发现其检测逻辑方法为：判断web访问日志里面是否有命令语句，并且对应的文件索引里是否有文件上传；其展示逻辑方法为：显示网络流量中使用reGeorg代理攻击的场景，详情可查看流量关系图及列表；10socks代理检测其检测逻辑方法为：判断在tcp载荷里面是否有特殊socks的特征码，如果有就是socks代理；其展示逻辑方法为：通过词云的方式来展示使用最多的TOP20的代理，列表以源IP，代理，端口做为三元组进行归并，展示详情；11VPN账号登录地域分布统计其检测逻辑方法为：首先判断日志是否是VPN网关日志，再判断是否是登录请求，再判断在3分钟以内，连续超10次以上登录成功率小于30％是否存在两地不可达的情况，如果不可达这标记本次和前后两次的登录行为为异常行为，在数据库中产生异常类型的记录；其展示逻辑方法为：在列表中按源IP、源IP归属地、账号、认证服务器、登录次数、登录成功率进行归并展示详情；12VPN账号登录行为统计其检测逻辑方法为：首先判断日志是否是VPN网关日志，再判断是否是登录请求，再判断在3分钟以内，连续超10次以上登录成功率小于30％是否存在两地不可达的情况，如果不可达这标记本次和前后两次的登录行为为异常行为，在数据库中产生异常类型的记录；其展示逻辑方法为：可提供日志的系统：大数据存储与分析平台或流量传感器通过列表展示账号的登录次数和登录成功率反映是否有可能出现账号暴力破解，账号滥用等情况；如果该账号有异常登录行为，则展示异常符号可提供日志的系统：大数据存储与分析平台或流量传感器，点击详情后该异常符号置灰；列表中是安装账号进行归并后的数据，查看详情中是该目标账号详细的日记记录情况，包括异常和正常的；13DGA域名发现其检测逻辑方法为：读取dns解析日志里面的host字段，取出域名，通过机器学习模型判断该域名是DGA产生的概率，如果概率大于0.990％，就在数据库中产生异常类型的记录；14DNS服务器发现其检测逻辑方法为：发往该DNS服务器解析的请求的主域名不超过5个，则判定为异常服务器；其展示逻辑方法为：通过饼图展示所有的DNS服务器被请求的次数；列表以服务器IP，端口号进行归并，统计请求次数，上级服务器数组；对于异常服务器可点击详情，查看指定服务器和端口处理的域名解析列表；15扫描行为发现其检测逻辑方法为：利用态势感知沉淀的核心规则，匹配流量日志中的特定字段信息，从中发现存在安全威胁的告警数据；其展示逻辑方法为：通过词云展示扫描工具的类型；列表以源地址进行归并，展示内容为源地址、源端口、目的地址、目的端口；词云可以与列表进行联动，点击词云中的某个工具类型，列表过滤出与该工具相关的扫描源地址。

全文数据：

权利要求：

百度查询： 汉江水利水电(集团)有限责任公司 一种态势感知系统的信息系统场景化分析模型