CN101902338B - 一种采用统一检测框架的入侵检测系统和入侵检测方法 - Google Patents
一种采用统一检测框架的入侵检测系统和入侵检测方法 Download PDFInfo
- Publication number
- CN101902338B CN101902338B CN 200910085041 CN200910085041A CN101902338B CN 101902338 B CN101902338 B CN 101902338B CN 200910085041 CN200910085041 CN 200910085041 CN 200910085041 A CN200910085041 A CN 200910085041A CN 101902338 B CN101902338 B CN 101902338B
- Authority
- CN
- China
- Prior art keywords
- mount point
- detecting unit
- unit
- message
- detecting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为一种采用统一检测框架的入侵检测方法和系统,该方法包括:在选择的报文处理单元植入挂载点,为各检测单元配置挂载点,所需的报文特征信息在各自挂载点之前的报文处理过程中得到,将所有启用的检测单元注册到各自要挂载到的挂载点,当报文经过挂载有检测单元的挂载点时,由该挂载点上的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,报文再进入该挂载点后的报文处理单元或挂载点继续处理;该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删,节约了时间和系统资源。
Description
技术领域
本发明涉及入侵检测(Intrusion Detection System,简称IDS)系统和入侵检测方法。
背景技术
IDS系统是由硬件和软件组成的,用来检测系统或者网络以发现可能的入侵或攻击的系统,目前主流的商用IDS系统均以特征检测为核心,就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为,特征库的及时更新成为系统检测能力的关键。
如图1所示,传统的IDS处理流程为首先对网络报文进行捕获,然后对于捕获的报文进行预处理包括碎片处理,流重组和协议识别,再将数据发送到攻击特征的检测单元进行攻击行为检测,以检测到某种类型的网络攻击事件。其中传统的基于IP协议的IDS预处理流程为IP解码,IP碎片重组,IP预处理,TCP解码,如图2所示。对于经典开源的IDS社区项目,如snort等,都是在所有的协议层次解析完毕,再做统一的特征匹配,为了统一匹配,对每个报文,都需要缓存各个协议层次预处理的结果。
随着入侵方法多样化,一些攻击如慢扫描、SQL注入、XSS等攻击手法无法再用简单的特征来描述,原有检测系统的报文捕获、预处理、特征检测的框架逐渐暴露出不足,在出现新的攻击方法的时候,IDS系统需要对软件进行较多的修改才能增加新的检测方法,当某些检测方法由于某些原因不再需要时,也需要进行较多的修改才删除。因此,急需一种灵活的架构来适应日渐增多的对检测方法的增删。
发明内容
本发明要解决的技术问题是提供一种采用统一检测框架的入侵检测系统和入侵检测方法,不需改变软件架构就可以迅速实现检测单元的增删。
为了解决上述问题,本发明提供了一种采用统一检测框架的入侵检测方法,应用于包括多报文处理单元和多个检测单元的入侵检测系统,该入侵检测方法包括:
在选择的报文处理单元之后分别植入挂载点,为各检测单元分别配置要挂载到的挂载点,且各检测单元对网络攻击事件进行入侵检测所需的报文特征信息须在各自挂载点之前的报文处理过程中得到;
初始化时,根据所述配置将所有启用的检测单元注册到各自要挂载到的挂载点;
在对报文的处理过程中,当报文经过挂载有检测单元的挂载点时,由该挂载点上挂载的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,报文再进入该挂载点后的报文处理单元或挂载点继续处理。
进一步地,在配置文件中对检测单元的优先级进行设置,在同一挂载点挂载的多个检测单元按优先级从高到低的顺序排列,报文经过挂载有检测单元的挂载点时,按顺序调用检测单元对该报文进行入侵检测,根据当前检测单元的返回值决定是否需要进入下一检测单元,如果不需要或该挂载点上挂载的所有检测单元均已调用,则判断检测完成。
进一步地,为各检测单元配置一启用标志,要启用某检测单元时,将该检测单元的启用标志置为表示要启用的值,否则将该检测单元的启用标志置为表示不启用的值。
进一步地的,在为某检测单元配置要挂载到的挂载点时,是将该检测单元挂载到已得到其检测所需报文特征信息的第一个报文处理单元之后的挂载点上。
进一步地,同一挂载点的所有启用的检测单元构成以该挂载点为表头的双向链表结构中的节点。
进一步地,植入的挂载点包括以太层挂载点、IP碎片重组前挂载点、IP碎片重组后挂载点、ICMP挂载点、TCP流重组前挂载点、TCP流重组后挂载点、UDP挂载点和HTTP挂载点中的一个或多个。
为了解决上述问题,本发明还提供了一种采用统一检测框架的入侵检测系统,包括各协议层上的多个报文处理单元、用于对网络攻击事件进行入侵检测的多个检测单元,其特征在于,还包括配置单元、初始化单元以及检测控制单元,其中:
配置单元用于在选择的报文处理单元之后分别植入挂载点,以及为各检测单元分别配置要挂载到的挂载点,且各检测单元对网络攻击事件进行入侵检测所需的报文特征信息须在各自挂载点之前的报文处理过程中得到;
初始化单元用于在初始化时,根据所述配置将所有启用的检测单元注册到各自要挂载到的挂载点;
检测控制单元用于在报文经过挂载有检测单元的挂载点时,调用该挂载点上挂载的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,再进入该挂载点后的报文处理单元或挂载点继续处理。
进一步地,所述配置单元还为各检测单元分别配置了优先级;
所述初始化单元在挂载时,将同一挂载点挂载的多个检测单元按照优先级从高到低的顺序排列;
所述检测控制单元顺序调用检测单元对该报文进行入侵检测,根据当前检测单元的返回值决定是否需要进入下一检测单元,如果不需要或该挂载点上挂载的所有检测单元均已调用,则判断检测完成。
进一步地,所述初始化单元在初始化时,将各挂载点及其挂载的检测单元组织成二维的线性表,线性表的第一维是多个挂载点,线性表的第二维是检测单元的集合,同一挂载点挂载的所有检测单元构成以该挂载点为表头的双向链表结构中的节点。
进一步地,所述配置单元为各检测单元配置一启用标志,要启用某检测单元时,将该检测单元的启用标志置为表示要启用的值,否则将该检测单元的启用标志置为表示不启用的值。
所述初始化单元只将启用的检测单元注册到其要挂载到的挂载点上。
进一步地,植入的挂载点包括以太层挂载点、IP碎片重组前挂载点、IP碎片重组后挂载点、ICMP挂载点、TCP流重组前挂载点、TCP流重组后挂载点、UDP挂载点和HTTP挂载点中的一个或多个。
上述方法通过统一、灵活、可扩展的软件框架,克服传统IDS捕包、预处理、检测“三步曲”的结构,使得在出现新的攻击方法的时候,IDS系统只需要升级检测或者预处理程序片段,不需要整个程序升级,大大节约了时间和系统资源。而且,攻击检测单元的编写可以独立于IDS系统,并挂载到该检测框架中,攻击检测可以发生在系统处理的各个环节、各个协议层次上,而不是传统的所有预处理之后。当某些检测方法由于某些原因不再需要时,可以实现单个检测单元的动态卸载,而不必重新升级整个IDS引擎系统。
附图说明
图1是传统IDS处理流程图;
图2是传统的基于IP的IDS预处理流程图;
图3A是本发明实施例挂载式检测框架的示意图;
图3B是本发明实施例IDS系统的协议层结构及挂载点分布的示意图;
图4是本发明实施例统一检测框架的数据结构组织;
图5是本发明实施例引入统一检测框架后的检测流程图。
具体实施方式
本发明采用的可动态挂载检测单元的检测框架,可以灵活地进行单个检测单元在检测框架上的挂载与卸载。
下面结合附图对本发明的具体实施例进行描述。
本实施例采用统一检测框架的入侵检测系统包括各协议层上的多个报文处理单元、用于对网络攻击事件进行入侵检测的多个检测单元、配置单元、初始化单元和检测控制单元,其中:
配置单元用于在选择的报文处理单元之后分别植入挂载点,以及为各检测单元分别配置要挂载到的挂载点,且各检测单元对网络攻击事件进行入侵检测所需的报文特征信息须在各自挂载点之前的报文处理过程中得到。
文中,挂载点是引擎中报文处理流程中的关键点,它是提前定义好的,所谓植入挂载点是指在该点处插入一段作为检测框架接口的代码,检测单元可以根据需要注册到即挂载到相应位置的挂载点。
IDS系统包括多个协议层,每一协议层可以包括多种协议的报文处理单元。在任一协议层的任一报文处理单元之后(指直接相邻)都可以植入一挂载点,每一挂载点可以挂载一个或多个检测单元,显然,这些检测单元进行入侵检测所需的报文特征信息必须是该挂载点之前的报文处理单元完成报文处理时已得到的。每一挂载点及其链接的检测单元形成了统一的挂载式的检测框架。
本实施例中,配置单元还为检测单元配置了其他的一些信息,以SQL注入检测单元为例,配置文件项示例如下所示:
[SQL Injection Detect]
HOOK_POINT=IN_IP_De_Defragment //挂载点名称
Detect_Unit_name=SQL Injection Detector //检测单元名称
Lib_Path=./dynamic-detect/sql-inection-detect.so //检测单元相应文件的存储位置
Priority=Critical#Critical,Urgent,Important,Normal //检测单元挂载的优先级别
Enable=Yes#Yes-Active,No-Deactive //检测单元启用标志
启用某检测单元时,要将该检测单元的启用标志置为表示要启用的值,否则将该检测单元的启用标志置为表示不启用的值。
初始化单元用于在初始化时,根据所述配置将所有启用的检测单元注册到各自要挂载到的挂载点;
图3A中示出了两个挂载式检测框架,其中一个植入在IP解码单元之后,另一个植入在TCP解码单元之后。图3B更为详细地示出了作为示例的IDS系统中的协议层结构以及部分可能的挂载点的植入位置,如:
以太层挂载点:可挂载的有DOS/DDOS检测单元、netflow单元,以及其他不需要通用报文预处理的检测单元;
IP碎片重组前挂载点:可挂载IP协议异常检测单元,以及Flood攻击、IP选项攻击以及IP欺骗等检测单元;
IP碎片重组后挂载点:可挂载Land攻击检测、碎片攻击检测等检测单元,还可以挂载一些可选的预处理单元;
ICMP挂载点:可挂载ICMP协议异常检测、针对带宽的DoS攻击检测、针对主机的攻击检测(如Ping of Death)等检测单元;
TCP流重组前挂载点:可挂载TCP协议异常检测、TCP选项攻击、TCPFlood检测、端口扫描检测、OS指纹探测等检测单元;
TCP流重组后挂载点:可挂载一些预处理单元;
UDP挂载点:可挂载UDP Flood攻击检测、UDP扫描等检测单元;
HTTP挂载点:可挂载SQL注入攻击检测单元、XSS攻击检测单元和网页挂马检测单元等。
图4为该检测框架的数据结构组织的示意图,各挂载点和检测单元组织成二维的线性表,线性表的第一维是多个挂载点,如上所述,每一挂载点植入某一报文处理单元之后,当然也不排除植入到另一挂载点之后,即连续植入2个挂载点的可能。线性表的第二维是检测单元的集合,每个挂载点上可以依次链接一个或多个检测单元。同一挂载点挂载的所有检测单元构成以该挂载点为表头的双向链表结构中的全部或部分节点,且同一挂载点挂载的多个检测单元按照优先级从高到低的顺序排列。此外,挂载点也可用于挂载一些可选的预处理单元,或者同时挂载检测单元和预处理单元。
检测控制单元用于在报文经过挂载有检测单元的挂载点时,顺序调用该挂载点上挂载的检测单元对该报文进行入侵检测,根据当前检测单元的返回值决定是否需要进入下一检测单元,如果不需要或该挂载点上挂载的所有检测单元均已调用,则判断检测完成,检测完成后,对非最末一级的挂载点,再进入该挂载点后的报文处理单元或挂载点继续处理。同一检测单元可以多次调用,也可以中断后续优先级别低的检测单元调用。
基于以上结构的IDS系统,本实施例的入侵检测方法包括:
步骤一,在选择的多个报文处理单元之后分别植入挂载点,为各检测单元分别配置要挂载到的挂载点,各检测单元进行入侵检测所需的报文特征信息须在各自挂载点之前的报文处理过程中已得到;
一般地,可以在IDS预处理的各协议层的报文处理单元之后植入挂载点,在一个协议层有多个报文处理单元的,可以在每个报文处理单元之后都植入一个挂载点。为了实现尽快检测,可将检测单元挂载到已得到其检测所需报文特征信息的第一个报文处理单元之后的挂载点上。
本实施例中,各个检测单元的挂载通过各自的配置文件进行。可能会有部分挂载点暂时没有配置要挂载的检测单元,或配置的检测单元不启用。
步骤二,初始化时,根据所述配置,将所有启用的检测单元注册到各自要挂载到的挂载点,同一挂载点的所有启用的检测单元构成以该挂载点为表头的双向链表结构中的节点;
本实施例中,各个检测单元按照优先级从高到低的顺序依次链接,优先级越高的检测单元的位置越靠近挂载点。优先级相同的检测单元,可以按照初始化的顺序先后链接。这样对于优先级高的攻击事件,可以在第一时间被检测出来,从而最早做出响应处理,而不需要在所有的预处理、检测完成来进行。
双向链表结构的组织形式有利于方便地实现在不掉电时对挂载点的加载和卸载,但却并非唯一的组织形式。如在注册时,也可以在挂载点指示的某一内存区域记录该挂载点上挂载的各个检测单元的地址。
步骤三,在报文处理过程中,当报文经过某挂载点时,如果该挂载点链接有检测单元,则依次调用检测单元对该报文进行入侵检测,根据当前检测单元的返回值决定是否进入下一检测单元,检测完成后,如该挂载点非最末一级的挂载点,报文还要进入该挂载点后的报文处理单元继续处理。
在另一实施例中,如果连续植入两个挂载点,前一挂载点链接的检测单元完成入侵检测后,报文会进行后一挂载点继续处理。
如图6所示,假设在报文处理单元A和B之间植入一挂载点,由于整个处理流程是报文驱动的,当报文经过处理点A后,就进入了A和B之间的挂载点,如果该检测点所挂载的检测单元非空,由检测单元或者预处理单元对该报文进行检测或预处理,产生攻击事件或者预处理结果,处理完毕就进入处理点B。
在出现新的攻击方法,需要增加新的检测单元时,相应增加对该检测单元的配置信息并将其中的Enable项设为启用即可。如果某些检测方法由于某些原因,不再需要时,可以将配置文件中该检测单元的Enable项置为不启用。就可以很方便地实现单个检测单元的动态挂载和卸载。挂载时是通过双向链表结构来组织的,挂载点为该双向链表的表头,每个检测单元作为链表中的一个节点。由于各检测单元的操作时相互独立的,因此在IDS系统程序主干不变化的前提下,通过开发针对特定攻击的检测单元并挂载到相应的检测框架中,不需要升级整个IDS系统,就可实现检测能力的扩充。对可选的预处理单元的挂载和卸载也是如此。
以上虽然通过实施例描绘了本发明,但并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种采用统一检测框架的入侵检测方法,应用于包括多报文处理单元和多个检测单元的入侵检测系统,该入侵检测方法包括:
在选择的报文处理单元之后分别植入挂载点,为各检测单元分别配置要挂载到的挂载点,且各检测单元对网络攻击事件进行入侵检测所需的报文特征信息须在各自挂载点之前的报文处理过程中得到;
初始化时,根据所述配置将所有启用的检测单元注册到各自要挂载到的挂载点;
在对报文的处理过程中,当报文经过挂载有检测单元的挂载点时,由该挂载点上挂载的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,报文再进入该挂载点后的报文处理单元或挂载点继续处理;
其中,各挂载点和检测单元组织成二维的线性表,线性表的第一维是多个挂载点,线性表的第二维是检测单元的集合,每个挂载点上可以依次链接一个或多个检测单元,其中同一挂载点挂载的所有检测单元构成以该挂载点为表头的双向链表结构中的全部或部分节点。
2.如权利要求1所述的入侵检测方法,其特征在于:
在配置文件中对检测单元的优先级进行设置,在同一挂载点挂载的多个检测单元按优先级从高到低的顺序排列,报文经过挂载有检测单元的挂载点时,按顺序调用检测单元对该报文进行入侵检测,根据当前检测单元的返回值决定是否需要进入下一检测单元,如果不需要或该挂载点上挂载的所有检测单元均已调用,则判断检测完成。
3.如权利要求1或2所述的入侵检测方法,其特征在于:
为各检测单元配置一启用标志,要启用某检测单元时,将该检测单元的启用标志置为表示要启用的值,否则将该检测单元的启用标志置为表示不启用的值。
4.如权利要求1或2所述的入侵检测方法,其特征在于:
在为某检测单元配置要挂载到的挂载点时,是将该检测单元挂载到已得到其检测所需报文特征信息的第一个报文处理单元之后的挂载点上。
5.如权利要求1或2所述的入侵检测方法,其特征在于:
同一挂载点的所有启用的检测单元构成以该挂载点为表头的双向链表结构中的节点。
6.如权利要求1或2所述的入侵检测方法,其特征在于:
所述植入的挂载点包括以太层挂载点、IP碎片重组前挂载点、IP碎片重组后挂载点、ICMP挂载点、TCP流重组前挂载点、TCP流重组后挂载点、UDP挂载点和HTTP挂载点中的一个或多个。
7.一种采用统一检测框架的入侵检测系统,包括各协议层上的多个报文处理单元、用于对网络攻击事件进行入侵检测的多个检测单元,其特征在于,还包括配置单元、初始化单元以及检测控制单元,其中:
所述配置单元用于在选择的报文处理单元之后分别植入挂载点,以及为各检测单元分别配置要挂载到的挂载点,且各检测单元对网络攻击事件进行入侵检测所需的报文特征信息须在各自挂载点之前的报文处理过程中得到;
所述初始化单元用于在初始化时,根据所述配置将所有启用的检测单元注册到各自要挂载到的挂载点;
所述检测控制单元用于在报文经过挂载有检测单元的挂载点时,调用该挂载点上挂载的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,再进入该挂载点后的报文处理单元或挂载点继续处理;
其中,各挂载点和检测单元组织成二维的线性表,线性表的第一维是多个挂载点,线性表的第二维是检测单元的集合,每个挂载点上可以依次链接一个或多个检测单元,其中同一挂载点挂载的所有检测单元构成以该挂载点为表头的双向链表结构中的全部或部分节点。
8.如权利要求7所述的入侵检测系统,其特征在于:
所述配置单元还为各检测单元分别配置了优先级;
所述初始化单元在挂载时,将同一挂载点挂载的多个检测单元按照优先级从高到低的顺序排列;
所述检测控制单元顺序调用检测单元对该报文进行入侵检测,根据当前检测单元的返回值决定是否需要进入下一检测单元,如果不需要或该挂载点上挂载的所有检测单元均已调用,则判断检测完成。
9.如权利要求7或8所述的入侵检测系统,其特征在于:
所述初始化单元在初始化时,将各挂载点及其挂载的检测单元组织成二维的线性表,线性表的第一维是多个挂载点,线性表的第二维是检测单元的集合,同一挂载点挂载的所有检测单元构成以该挂载点为表头的双向链表结构中的节点。
10.如权利要求7或8所述的入侵检测系统,其特征在于:
所述配置单元为各检测单元配置一启用标志,要启用某检测单元时,将该检测单元的启用标志置为表示要启用的值,否则将该检测单元的启用标志置为表示不启用的值。
所述初始化单元只将启用的检测单元注册到其要挂载到的挂载点上。
11.如权利要求7或8所述的入侵检测系统,其特征在于:
所述植入的挂载点包括以太层挂载点、IP碎片重组前挂载点、IP碎片重组后挂载点、ICMP挂载点、TCP流重组前挂载点、TCP流重组后挂载点、UDP挂载点和HTTP挂载点中的一个或多个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910085041 CN101902338B (zh) | 2009-05-27 | 2009-05-27 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910085041 CN101902338B (zh) | 2009-05-27 | 2009-05-27 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902338A CN101902338A (zh) | 2010-12-01 |
| CN101902338B true CN101902338B (zh) | 2013-01-23 |
Family
ID=43227561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910085041 Expired - Fee Related CN101902338B (zh) | 2009-05-27 | 2009-05-27 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902338B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427423A (zh) * | 2011-11-07 | 2012-04-25 | 北京星网锐捷网络技术有限公司 | 一种网络流量跟踪及故障定位的方法、装置 |
| CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
| CN104378380A (zh) * | 2014-11-26 | 2015-02-25 | 南京晓庄学院 | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 |
| CN105306476B (zh) * | 2015-11-09 | 2018-09-11 | 北京奇虎科技有限公司 | Dns的ping包检测方法及装置 |
| CN105553998B (zh) * | 2015-12-23 | 2019-02-01 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
-
2009
- 2009-05-27 CN CN 200910085041 patent/CN101902338B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902338A (zh) | 2010-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101868720B1 (ko) | 정규 표현식들에 대한 컴파일러 | |
| CN110650128B (zh) | 一种检测以太坊数字货币盗取攻击的系统及方法 | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
| KR101536880B1 (ko) | 앵커링된 패턴들 | |
| CN101350745B (zh) | 一种入侵检测方法及装置 | |
| CN101667230B (zh) | 一种监控脚本执行的方法和装置 | |
| US20070240218A1 (en) | Malware Detection System and Method for Mobile Platforms | |
| WO2022083226A1 (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| CN112714138B (zh) | 基于攻击流量的测试方法、装置、设备及存储介质 | |
| CN101902338B (zh) | 一种采用统一检测框架的入侵检测系统和入侵检测方法 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN102281540B (zh) | 手机恶意软件查杀方法及系统 | |
| CN103634315A (zh) | 域名服务器的前端控制方法及系统 | |
| CN102075511A (zh) | 一种数据匹配设备和方法以及网络入侵检测设备和方法 | |
| CN101217547B (zh) | 基于开源内核的无状态的泛洪请求攻击过滤方法 | |
| CN101093452A (zh) | 使用系统事件信息来探测隐藏进程的系统和方法 | |
| GB2368233A (en) | Maintaining virus detection software in a mobile wireless device | |
| CN104881601A (zh) | 悬浮窗显示设置、控制方法和装置 | |
| CN110083391A (zh) | 调用请求监控方法、装置、设备及存储介质 | |
| CN103632084A (zh) | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 | |
| CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
| CN115174279B (zh) | 一种以太坊智能合约漏洞实时检测方法、终端及存储介质 | |
| CN109756467A (zh) | 一种钓鱼网站的识别方法及装置 | |
| CN102547710B (zh) | 在移动通信系统中探测病毒的方法和装置 | |
| CN103023891B (zh) | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130123 Termination date: 20180527 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |