CN102111400B - 一种木马检测方法、装置及系统 - Google Patents
一种木马检测方法、装置及系统 Download PDFInfo
- Publication number
- CN102111400B CN102111400B CN201010581622.XA CN201010581622A CN102111400B CN 102111400 B CN102111400 B CN 102111400B CN 201010581622 A CN201010581622 A CN 201010581622A CN 102111400 B CN102111400 B CN 102111400B
- Authority
- CN
- China
- Prior art keywords
- wooden horse
- feature
- message
- identification information
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文;本发明实施例与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种木马检测方法、装置及系统。
背景技术
在网络安全领域,木马(Trojan Horse)通常指内部包含为了完成特殊任务而编制的代码程序。这种程序通常是隐藏的,能够在没有获得用户许可的情况下,进行拷贝文件、窃取用户密码、监视用户操作等恶意操作。
现有技术中对木马的检测主要是基于单包网络行为,将木马的网络特征搜集在木马特征库中,检测工具获取某一帧网络数据流中的关键字段作为特征码,以扫描的方式将所获取的网络数据流中的特征码同木马特征库中的特征码进行比对,如果在木马特征库中比对到相同的特征码,则判定网络中存在木马,并进行相应的报警。
发明人发现:上述方法中,由于网络中的部分木马是在同一源码的程序上开发出来的,大部分的网络行为特征相似,因此,通过获取某一帧网络数据流中的关键字段作为特征码进行判断的方法,容易导致木马事件的误报。
发明内容
本发明实施例提供一种木马检测方法、装置及系统,有效地提高了木马攻击行为检测的准确率。
本发明实施例提供一种木马检测方法,包括:
通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;
当满足预置的第二次匹配条件时,,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;
如果判断结果为是,则确定所述可疑特征报文为木马特征报文。
本发明实施例还提供一种木马检测装置,包括:
可疑报文获取单元,用于通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;
时序特征匹配单元,用于当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;
判断单元,用于当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑木马特征报文为木马特征报文。
本发明实施例还提供一种木马检测系统,包括:
木马特征库,用于存储木马报文特征信息;
时序特征库,用于存储预先按照木马程序的执行时序进行关联的木马特征身份信息;
木马检测装置,通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;如果判断结果为是,则确定所述可疑特征报文为木马特征报文。
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,才确定可疑特征报文为木马特征报文;本发明实施例与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种木马检测方法;
图2是本发明实施例提供的另一种木马检测方法;
图3是本发明实施例提供的一种木马检测装置;
图4是本发明实施例提供的另一种木马检测装置结构图;
图5是本发明实施例提供的一种木马检测系统。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例中,报文也可以替换成数据包、数据帧、数据块、信元、分组等其他形式的网络传输数据单元,只要可以被检测的,即符合本发明的发明构想。
本发明实施例提供一种木马检测方法,包括:
步骤100:通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文身份标识信息进行缓存;
在本发明实施例中,木马检测装置对网络设备中的会话流进行报文的捕获,将捕获得到的报文按照捕获的时序与预置的木马特征数据库中的木马报文特征进行匹配,当然,获取报文除了捕获的方式,也可以由网络设备主动将报文发送给木马检测装置;如果所捕获的报文中特征与所述数据库中的木马报文特征匹配一致,则确定该报文特征为可疑特征报文;
其中,预置的木马特征数据库中的特征可以是木马的名称、版本号、通信指令、操作指令等。
步骤102:当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是按照执行时序进行关联的木马特征身份标识信息;
为实现发明目的,本发明实施例中需要预置一个木马时序特征库,所述预置的木马时序特征库中集合了按照木马程序的执行时序进行关联的木马特征;通过发明人研究发现,木马攻击的行为过程主要分为三个状态:状态1:木马上线;状态2:木马操作;状态3:木马下线;并且按照状态1至状态3的执行时序进行;因此本发明实施例利用木马攻击行为的执行时序这个特点预先设置木马时序特征库,通过分析已知的木马程序特征以及特征的执行时序,将木马特征按照木马程序的执行时序进行关联后,放入所述的木马时序特征库中;其中,放入木马特征库中的木马特征身份标识信息,可以是能够标识报文的特征标识,例如木马身份标识码(TID,uniquely identify Trojan rules),将木马特征的TID码按照木马程序的执行时序进行关联后,放入所述的木马时序特征库中,例如:木马攻击程序中木马上线特征TID码为:1001,木马操作特征TID码:1002,木马下线特征TID码:1003,在木马时序特征库中,将木马特征的TID码按照执行时序进行关联组成表达式,如表达式:E[1001]->E[1002]->E[1003];
其中,预置的第二次匹配条件可以是缓存达到预置的时长,例如,预置时长为1分钟,在第一次匹配上特征的1分钟内,存在可疑身份标识分别为1001、1002、1003、的报文,则在每隔1分钟时进行一回第二次匹配,匹配表达式E[1001]->E[1002]->E[1003];也可以是缓存内容到达预置的大小,例如,预置缓存大小为1K时,在缓存容量达到1K时进行二次匹配,并且使用先进先出的方式对缓存内容进行删除。
在本实施例中,当第一次匹配得到可疑特征报文后,为提高第二次匹配的匹配效率,缓存的可疑特征报文信息可以是可疑特征报文的身份标识信息,例如:缓存用于标识报文特征的唯一性的TID码,在进行第二次匹配时仅匹配报文的身份标识;
步骤104:当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑特征报文为木马特征报文;
其中,该方法还可以包括:当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式不匹配时,确定所匹配的可疑特征报文不是木马特征报文。
通常可疑特征报文检测装置针对数据流进行捕获报文时,当发现所捕获的报文为可疑特征报文时就将其身份标识进行缓存,因此,可疑特征报文的身份标识的缓存按照被发现的时序保存在缓存中;其中,针对数据流捕获报文可以是:针对具有相同源IP和目的IP的多会话流中捕获不同报文,具体方式本实施例不做限制。
本实施例中,所缓存的可疑特征报文身份标识信息按照缓存时序与预置的木马时序特征库中表达式进行第二次匹配,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息,可以是:
首先判断缓存中所存储的可疑特征报文身份标识信息是否能在预置的木马时序特征库中匹配到相同的木马特征身份标识信息;当匹配到有相同的木马特征报文身份标识信息时,则继续判断所匹配得到的相同可疑特征报文的缓存时序是否和木马特征的执行时序相同;如果是,则确定可疑特征报文为木马特征报文,如果否,则确定可疑特征报文不是木马特征报文;
当然,为了提高匹配效率,在判断缓存中所存储的可疑特征报文身份标识信息是否与预置的表达式匹配时,也可以先判断缓存顺序为第一的可疑特征报文是否有木马特征身份标识信息匹配,如果是,则再继续判断缓存顺序在第二的可疑特征报文身份标识信息是否有木马特征身份标识信息匹配,如果否,则停止匹配,以此类推,直到缓存中的可疑特征报文匹配完毕;
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文;而现有技术中由于一些木马的通信格式以简单的数字来约定,对于特征码为数字的正常数据帧,在网络行为检测时,也容易被误报为木马。本发明实施例与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
参见图2,本发明还提供另一种木马检测方法,相较于前一实施例,本实施例中增加了当完成上述实施例中的第二次匹配后,对于缓存中已经存储的特征报文进行处理的步骤,具体包括:
步骤200:通过将报文的特征按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文身份标识进行缓存;
步骤202:当满足预置的第二次匹配条件时,将所缓存的可疑特征报文身份标识信息按照缓存时序与预置的木马时序特征库中表达式进行第二次匹配,所述的表达式是按照执行时序进行关联的木马特征身份标识信息;
步骤204:当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定可疑特征报文为木马特征报文;
上述步骤的具体实现过程和前述实施例相同,在本实施例中不再赘述;
步骤206:所述第二次匹配完成后,删除缓存中已经匹配过的可疑特征报文的身份标识信息;
步骤208:当缓存中存储容量达到预置的第二阈值时,对缓存中已存储的可疑特征报文的身份标识信息采用先进先出的方式进行删除,并且优先删除已经匹配过的身份信息内容。
其中,当缓存中存储容量达到预置的第二阈值时,对于缓存中的已存储的特征报文可以而采用先进先出的方式对缓冲中已存储的可以特征报文身份标识进行删除,可以保证将所存储的数据中最旧的数据被删除;而在所述第二次匹配结束后,删除已经匹配过的身份标识信息内容,这样可以保证缓存的存储效率。
本发明实施例中,在前述实施例的基础上,对缓存中内容采用先进先出进行删除,有效保证了缓存效率的同时,与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
参见图3,本发明实施例还提供一种木马检测装置,可以应用前述木马检测方法,该装置包括:
可疑报文获取单元300,用于通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文身份标识信息进行缓存;
其中,可疑报文获取单元对网络设备中的会话流进行报文的捕获,将捕获得到的报文按照捕获的时序与预置的木马特征数据库中的特征进行匹配;如果所捕获的报文中特征与所述数据库中的特征匹配一致,则确定该报文特征为可疑特征报文;
时序特征匹配单元304,用于当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配其中,所述的表达式是按照执行时序进行关联的木马特征身份标识信息;
在本实施例中,按照执行时序进行关联的木马特征身份标识表达式和方法实施例中的生成表达式的方法相同,在此不再赘述。当第一次匹配得到可疑特征报文后,为提高第二次匹配的匹配效率,时序特征匹配单元所缓存的可疑特征报文信息可以是可疑特征报文的身份标识信息,例如:缓存用于标识报文特征的唯一性的TID码,在进行第二次匹配时仅匹配报文的身份标识;
判断单元306,用于当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑木马特征报文为木马特征报文;
其中,判断单元,还可以用于当可疑特征报文身份标识信息以及缓存时序与预置的木马特征库中特征身份标识信息以及执行时序不匹配时,确定所匹配的可疑特征报文不是木马特征报文。
图4为另一种木马检测装置结构图,其中木马检测装置的时序特征匹配单元304可以包括:
身份标识匹配单元41,用于判断缓存中所存储的可疑特征报文身份标识信息是否能在预置的木马时序特征库中匹配到相同的木马特征身份标识信息匹配;
时序特征匹配单元42,用于当匹配到有相同的木马特征报文身份标识信息时,则继续判断所匹配得到的相同可疑特征报文的缓存时序是否和木马特征的执行时序相同,并将判断结果发送至判断单元;
通常可疑报文获取单元针对数据流进行捕获报文时,当发现所捕获的报文为可疑特征报文时就将其进行缓存,因此,可疑特征报文的缓存按照被发现的时序保存在缓存中;其中,针对数据流捕获报文可以是:针对具有相同源IP和目的IP的多会话流中捕获不同报文,具体方式本实施例不做限制。
进一步,为了能保证缓存效率,保证缓存中最旧的数据删除掉。本发明实施例中可疑报文获取单元300,还可以用于:当缓存中存储容量达到预置第二阈值时,对已缓存的可疑特征报文的身份标识信息采用先进先出的方式进行删除;
另外,为提高缓存中数据存储的效率,本发明实施例中可疑报文获取单元300,还可以用于:当完成第二次匹配后,删除已经匹配过的信息内容。
本发明实施例中除时序特征匹配单元304外,其他模块及功能和前一实施例相同,在此不再赘述。
参见图5,本发明实施例还提供一种木马检测系统,包括:
木马特征库502,用于存储木马报文特征信息;
其中,预置的木马特征数据库中的特征信息可以是木马的名称、版本号、通信指令、操作指令等;
时序特征库504,用于存储预先按照木马程序的执行时序进行关联的木马特征身份标识信息的表达式;
木马检测装置500,通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;如果判断结果为是,则确定所述可疑特征报文为木马特征报文;
其中,木马时序特征库中表达式的生产和前述方法实施例中所述的设置方法相同,木马检测装置前文也有描述,在此不再赘述。本实施例所提供的木马检测系统可以作为网络安全检测类产品,例如:防火墙、安全网关等;
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文;与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种木马检测方法,其特征在于,包括:
通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;
当满足预置的第二次匹配条件时,将所缓存的可疑特征报文身份标识信息按照缓存时序与预置的木马时序特征库中表达式进行第二次匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;
如果判断结果为是,则确定所述可疑特征报文为木马特征报文。
2.根据权利要求1所述的木马检测方法,其特征在于:
所述将所缓存的可疑特征报文身份标识信息按照缓存时序与预置的木马时序特征库中表达式进行第二次匹配,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息,包括:
判断缓存中可疑特征报文的身份标识信息是否能与预置的木马时序特征库中的木马特征身份标识信息匹配;
如果匹配,则继续判断该可疑特征报文的缓存时序是否和木马特征的执行时序相同。
3.根据权利要求1或2所述的木马检测方法,其特征在于,所述预置的第二次匹配条件包括:
当所述缓存中存储的可疑特征报文的身份标识达到预置的时长;
或
当所述缓存中容量达到预置第一阈值的大小。
4.根据权利要求1或2所述的木马检测方法,其特征在于,还包括:
当缓存中存储容量达到预置第二阈值时,对已缓存的可疑特征报文的身份标识信息采用先进先出的方式进行删除。
5.根据权利要求4所述的木马检测方法,其特征在于还包括:
所述第二次匹配完成后,删除缓存中已经匹配过的可疑特征报文的身份标识信息。
6.根据权利要求3所述的木马检测方法,其特征在于:所述身份标识信息为木马身份标识码(TID,uniquely identify Trojan rules)。
7.一种木马检测装置,其特征在于,包括:
可疑报文获取单元,用于通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;
时序特征匹配单元,用于当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;
判断单元,用于当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑木马特征报文为木马特征报文。
8.根据权利要求7所述的木马检测装置,其特征在于,所述时序特征匹配单元包括:
身份标识匹配单元,用于判断缓存中所存储的可疑特征报文身份标识信息是否能在预置的木马时序特征库中匹配到相同的木马特征身份标识信息;
时序特征匹配单元,用于当匹配到有相同的木马特征报文身份标识信息时,则继续判断所匹配得到的相同可疑特征报文的缓存时序是否和木马特征的执行时序相同,并将判断结果发送至判断单元。
9.根据权利要求7或8所述的木马检测装置,其特征在于,所述可疑报文获取单元,还可以用于:当缓存中存储容量达到预置第二阈值时,对已缓存的可疑特征报文的身份标识信息采用先进先出的方式进行删除。
10.根据权利要求9所述的木马检测装置,其特征在于,所述可疑报文获取单元,还可以用于:
所述第二次匹配完成后,删除缓存中已经匹配过的可疑特征报文的身份标识信息。
11.一种木马检测系统,其特征在于,包括:
木马特征库,用于存储木马报文特征信息;
时序特征库,用于存储预先按照木马程序的执行时序进行关联的木马特征身份信息;
木马检测装置,通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;如果判断结果为是,则确定所述可疑特征报文为木马特征报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010581622.XA CN102111400B (zh) | 2010-12-07 | 2010-12-07 | 一种木马检测方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010581622.XA CN102111400B (zh) | 2010-12-07 | 2010-12-07 | 一种木马检测方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102111400A CN102111400A (zh) | 2011-06-29 |
| CN102111400B true CN102111400B (zh) | 2014-07-09 |
Family
ID=44175430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010581622.XA Active CN102111400B (zh) | 2010-12-07 | 2010-12-07 | 一种木马检测方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102111400B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523223B (zh) * | 2011-12-20 | 2014-08-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
| CN102761458B (zh) * | 2011-12-20 | 2014-11-05 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
| CN103220658A (zh) * | 2012-01-19 | 2013-07-24 | 中国移动通信集团广东有限公司 | 防吸费方法、防吸费检测方法、装置与系统 |
| CN103593611A (zh) * | 2013-11-05 | 2014-02-19 | 安一恒通(北京)科技有限公司 | 一种快速识别病毒的方法和装置 |
| CN107045480A (zh) * | 2016-02-05 | 2017-08-15 | 北京京东尚科信息技术有限公司 | 基于Spring表达式语言来读取和写入缓存存储器的方法和装置 |
| CN107342969B (zh) * | 2016-05-03 | 2021-04-20 | 阿里巴巴集团控股有限公司 | 报文识别的系统、方法和装置 |
| US10425443B2 (en) * | 2016-06-14 | 2019-09-24 | Microsoft Technology Licensing, Llc | Detecting volumetric attacks |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801030A (zh) * | 2004-12-31 | 2006-07-12 | 福建东方微点信息安全有限责任公司 | 一种区分有害程序行为的方法 |
| CN1822593A (zh) * | 2006-03-20 | 2006-08-23 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
| CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101605132A (zh) * | 2009-07-13 | 2009-12-16 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
| CN101621504A (zh) * | 2008-06-30 | 2010-01-06 | 中兴通讯股份有限公司 | 深度报文检测方法和系统 |
-
2010
- 2010-12-07 CN CN201010581622.XA patent/CN102111400B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801030A (zh) * | 2004-12-31 | 2006-07-12 | 福建东方微点信息安全有限责任公司 | 一种区分有害程序行为的方法 |
| CN1822593A (zh) * | 2006-03-20 | 2006-08-23 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
| CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101621504A (zh) * | 2008-06-30 | 2010-01-06 | 中兴通讯股份有限公司 | 深度报文检测方法和系统 |
| CN101605132A (zh) * | 2009-07-13 | 2009-12-16 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102111400A (zh) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102111400B (zh) | 一种木马检测方法、装置及系统 | |
| CN103034807B (zh) | 恶意程序检测方法和装置 | |
| US9462009B1 (en) | Detecting risky domains | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
| US20180131705A1 (en) | Visibility of Non-Benign Network Traffic | |
| CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
| WO2013091534A1 (zh) | 一种木马检测的方法及装置 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| CN110313147B (zh) | 数据处理方法、装置和系统 | |
| CN103955645A (zh) | 恶意进程行为的检测方法、装置及系统 | |
| CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| CN112953971A (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| CN103888282A (zh) | 基于核电站的网络入侵报警方法和系统 | |
| CN103401845A (zh) | 一种网址安全性的检测方法、装置 | |
| CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
| CN113141335B (zh) | 网络攻击检测方法及装置 | |
| CN110830500B (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
| Tabrizi et al. | A model-based intrusion detection system for smart meters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: High tech Park No. 88 University of Electronic Science and technology of Sichuan province in 611731 Chengdu city high tech Zone West Park area Qingshui River Tianchen Road No. 5 building D Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: High tech Park No. 88 University of Electronic Science and technology of Sichuan province in 611731 Chengdu city high tech Zone West Park area Qingshui River Tianchen Road No. 5 building D Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220915 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Area D, Building 5, High-tech Park, University of Electronic Science and Technology of China, No. 88, Tianchen Road, Qingshuihe Area, Western Park, High-tech Zone, Chengdu, Sichuan Province Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| TR01 | Transfer of patent right |