CN102469117B - 一种异常访问行为的识别方法及装置 - Google Patents
一种异常访问行为的识别方法及装置 Download PDFInfo
- Publication number
- CN102469117B CN102469117B CN201010534500.5A CN201010534500A CN102469117B CN 102469117 B CN102469117 B CN 102469117B CN 201010534500 A CN201010534500 A CN 201010534500A CN 102469117 B CN102469117 B CN 102469117B
- Authority
- CN
- China
- Prior art keywords
- domain name
- access behavior
- abnormal access
- blacklist
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种异常访问行为的识别方法及装置,所述识别方法包括:采集WAP网关的HTTP数据包;根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;根据所述异常访问行为记录表对所述域名黑名单进行更新。本发明不需要依赖于病毒库,就能实现对异常访问行为的自动和及时的识别,从而为手机病毒的识别提供便利。
Description
技术领域
本发明属于移动通信领域,特别涉及一种异常访问行为的识别方法及装置。
背景技术
随着智能手机的普及,以及手机处理器的芯片功能越来越强大,手机逐渐与PDA进行融合,手机已成为可以进行移动通讯的小型计算机。但是,手机运算能力和存储容量的提高为病毒的寄存和传播提供了条件。
现有技术中,主要是通过对病毒样本进行分析来识别手机病毒。病毒样本的来源包括:FANS用户举报、论坛举报、蜜罐收集和病毒联盟样本交换等。
具体分析步骤包括:
步骤一、静态扫描
分析文件程序是否有调用联网、发短信等程序,这是对程序代码的初步分析测试。
步骤二、黑盒测试
通过文件安装后进行手机监测,检查是否有病毒行为,这是对程序文件的黑盒测试。
步骤三、DEBUG分析
通过手机与电脑配合,对安装的程序进行逐步调试,抓取各个步骤与外界的交互信息,进行动态分析。
上述技术方案至少存在如下缺点:
(1)局限于病毒样本采集,属于被动发现;
(2)病毒发现不及时:由于目前手机病毒从病毒制作者发布病毒到病毒爆发之间有较长的潜伏期,样本采集基本无法在病毒潜伏期完成。
现有技术中的另外一种识别手机病毒的方法为:在WAP(无线应用协议)网关或者GPRS(通用分组无线业务)网络加入数据旁路设备,通过所述数据旁路设备来获取数据流,然后,基于已知病毒库对数据流进行分析,从而识别手机病毒。这种技术方案的缺点是:只能识别已知病毒,无法发现未知病毒。
发明内容
有鉴于此,本发明的目的是提供一种异常访问行为的识别方法及装置,不需要依赖于病毒库,就能实现对异常访问行为的自动和及时的识别,从而为手机病毒的识别提供便利。
为实现上述目的,本发明提供一种异常访问行为的识别方法,包括:
一种异常访问行为的识别方法,包括:
采集WAP网关的HTTP数据包;
根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
根据所述异常访问行为记录表对所述域名黑名单进行更新。
上述的识别方法,其中,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别方法,其中,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别方法,其中:
对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
上述的识别方法,其中,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
上述的识别方法,其中,所述用户敏感信息包括IMSI和/或IMEI。
为实现上述目的,本发明还提供一种异常访问行为的识别装置,包括:
一种异常访问行为的识别装置,包括:
数据采集模块,用于采集WAP网关的HTTP数据包;
匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。
上述的识别装置,其中,所述匹配模块进一步用于:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别装置,其中,所述匹配模块进一步用于:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别装置,其中,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
上述的识别装置,其中,所述黑名单更新模块进一步用于:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
上述的识别装置,其中,所述用户敏感信息包括IMSI和/或IMEI。
与现有技术相比,本发明的有益效果是:
本发明基于采集到的WAP网关的HTTP数据包,根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成异常访问行为记录表,不需要依赖于病毒库,就实现了异常访问行为的自动识别,并且,该方案的识别效率也较高。在识别出用户的异常访问行为后,就可以基于所述异常访问行为进行手机病毒(包括后门和流氓软件)的识别了。另外,本发明还实现了域名黑名单的自动更新。
附图说明
图1为本发明实施例的手机病毒特征的识别方法流程图;
图2为发明实施例中获取异常访问行为记录表的一种实现方式流程图;
图3为本发明实施例的手机病毒特征的识别装置结构图;
图4为图3中的记录表生成模块的详细结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
参照图1,本发明实施例的手机病毒特征的识别方法,包括如下步骤:
步骤101:获取异常访问行为记录表;
所述异常访问行为记录表中记录有用户的异常访问行为,每条异常访问行为记录包括:用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
软件平台一般是指手机所使用的操作系统,例如,MTK、塞班、Andriod等,同一软件平台,还可以对应不同的软件版本。手机访问网络时,在访问请求数据包的UA中会携带该软件平台信息。
所述异常访问行为记录表可以通过外部输入得到。
所述异常访问行为记录表也可以通过采集WAP网关的HTTP数据包,然后根据关键字列表对所述HTTP数据包进行匹配得到,具体方法请参见后文。
步骤102:根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
由于异常访问行为记录表中包括域名项目,那么,就可以将异常访问行为记录表中具有相同域名的记录归为一类,对于每个域名,都生成对应该域名的异常访问行为记录子表。即,对于每个异常访问行为记录子表,该子表中的每条记录都包括有相同的域名。
在本步骤中,还可以对异常访问行为记录表中的域名进行预处理,并根据预处理后的域名对所述异常访问行为记录表中的记录进行归类,生成相应的异常访问行为记录子表。具体如下:
(1)对于IP地址形式的域名,将记录表中的域名替换为该域名所属网段的域名。
(2)对包含字母的域名,将相似的域名归为一个域名,例如:caijing.3g.cn与caipiao.3g.cn为相似域名,将记录表中的这些域名都替换为3g.cn,又例如:lyrics.m-tunes.com.cn、mservice.m-tunes.com.cn、update2.m-tunes.com.c为相似域名,将记录表中的这些域名都替换为m-tunes.com.cn。
在进行上述替换后,就以替换后的域名对异常访问行为记录表中的记录进行归类。
步骤103:对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
步骤104:当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征;
在将域名及对应的软件平台记录为手机病毒特征后,通过少量的人工判断就可以核实其是否为手机病毒。;
步骤105:当所述判断结果为否时,将相应的域名加入到域名白名单中。
由于异常访问行为记录子表中包括UA项目,而所述UA中包括终端型号和软件平台,那么,就可以获取到该子表的每条记录对应的软件平台,如果每条记录对应的软件平台都相同,则可以确定多种终端型号采用的都是相同的软件平台,而对于同一种手机病毒来说,其一般不会跨软件平台存在,因此,在确定多种终端型号采用的都是相同的软件平台时,则可以确定是由于手机病毒导致了对相应域名(该异常访问行为记录子表对应的域名)的访问,即,该子表中的异常访问行为为病毒行为。
同理,在确定多种终端型号采用的不是同一个软件平台时,则可以认为该子表中的异常访问行为不是病毒行为,此时,相应的域名是可信的域名,可以将其加入到域名白名单中。
为提高手机病毒特征的识别准确率,上述步骤103中还可以包括:对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;
此时,所述判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
举例如下:
对于某一异常访问行为记录子表,从中选取包含的记录条数最高的20种终端型号,再根据以下的方法确定该子表中的异常访问行为是否为病毒行为:
(1)如果这20种终端型号为跨软件平台,如MTK、塞班、Andriod等,基于手机操作系统相对封闭这一特殊性,手机病毒极少能够跨软件平台存在,这种情况下,可以认为该子表中的异常访问行为不是病毒行为,于是,将该域名加入到域名白名单中;
(2)如果这20种终端型号集中在某一软件平台,如下表举例所示,则可以认为该子表中的异常访问行为是病毒行为,并以该域名来标识手机病毒。
域名 | 软件平台 |
liyongquan33.com | internet browser Client 1.0 |
通过上述方案,将访问同一域名的不同终端型号与软件平台的关系识别出来,若访问同一域名的终端型号都对应同一软件平台,则基本可以确认基于该软件平台存在手机病毒,该手机病毒的发作导致了对该域名的访问,从而通过该域名即可标识该病毒。后续可以基于上述数据以及进一步获取的手机病毒详细特征进行手机病毒的发布。
以下介绍上述方案中获取异常访问行为记录表的一种实现方式。
该实现方式中,设计由WAP网关(或者,WAP业务经由的SGSN(服务GPRS支持节点)、GGSN(网关GPRS支持节点)、Gn口、Gi口以及在这些环节通过分光器接入的不良信息监测系统、信令监测系统等)自动记录手机用户上网的异常访问行为信息,即记录每个上网用户最新访问的异常域名信息,每次异常访问生成一条记录,每15分钟(时间可配)生成一个文本文件,提供给手机病毒识别算法进行处理。
参照图2,该实现方式具体包括如下步骤:
步骤201:采集WAP网关的HTTP数据包;
在本实施例中,以数据采集的执行主体为部署于Gi口的不良信息检测系统为例进行说明。不良信息监测系统部署于WAP网关与GGSN之间的Gi口,采集的数据结构与WAP网关中的数据结构相同,采集点比WAP网关相对集中,部署成本低。
当不良信息监测系统接收到一个用户的HTTP数据包(包括get请求和post请求)时,就生成一条话单记录,话单信息包括用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
步骤202:根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成异常访问行为记录表;
其中,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,所述用户敏感信息包括IMSI(国际移动用户识别码)和/或IMEI(国际移动设备标识)。初始化时,所述域名黑名单为空,或者,直接接收外部输入的域名黑名单。然后,域名黑名单可以进行动态更新(参见步骤203)。
以下提供两种具体的匹配方法。
方法一
从所述HTTP数据包中获取URL(统一资源定位符)数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为,于是,在异常访问行为记录表中添加一条记录。异常访问行为记录包括:用户的手机号码、上网时实用的UA、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
对于病毒行为,一般会在URL中携带用户的敏感信息。因此,在方法一中,仅对HTTP数据包中的URL进行匹配,按照这种匹配方式进行匹配的速度较块。但是,在HTTP数据包中的其他字段中也可能携带用户敏感信息,因此,这种匹配方式匹配的不是很完整。
方法二
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为于是,在异常访问行为记录表中添加一条记录。异常访问行为记录包括:用户的手机号码、上网时实用的UA、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
方法二实现了对HTTP数据包的完整匹配,但是,相对于方法一,其匹配的速度较慢。
在具体实现时,可以将上述的方法一和方法二进行结合。例如,对每15分钟的数据进行一次如方式一所述的不完整匹配,每隔60分钟,采集部分数据进行如方式二所述的完整匹配。
此外,考虑到随着异常访问行为数据的不断扩展,异常访问行为记录表中的记录将越来越多,为降低后续手机病毒识别的工作量,在本步骤中,对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
步骤203:根据所述异常访问行为记录表对所述域名黑名单进行更新。
具体包括:对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。如此,实现了域名黑名单的自动更新。
相应地,本发明实施例还提供一种手机病毒特征的识别装置。
参照图3,本发明实施例的手机病毒的识别装置,包括记录表生成模块10、记录子表生成模块20、判断模块30和病毒特征识别模块40,其中:
记录表生成模块10,用于获取异常访问行为记录表。
所述异常访问行为记录表中记录有用户的异常访问行为,每条异常访问行为记录包括:用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
所述异常访问行为记录表可以通过外部输入得到。
所述异常访问行为记录表也可以通过采集WAP网关的HTTP数据包,然后根据关键字列表对所述HTTP数据包进行匹配得到,具体请参见后文。
记录子表生成模块20,用于根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表。
由于异常访问行为记录表中包括域名项目,那么,就可以将异常访问行为记录表中具有相同域名的记录归为一类,对于每个域名,都生成对应该域名的异常访问行为记录子表。即,对于每个异常访问行为记录子表,该子表中的每条记录都包括有相同的域名。
判断模块30,用于对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果。
优选地,所述识别装置中还可以包括统计模块(图未示),用于对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号。此时,所述判断模块30判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
病毒特征识别模块40,用于当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,当所述判断结果为否时,将相应的域名加入到域名白名单中。
由于异常访问行为记录子表中包括UA项目,而所述UA中包括终端型号和软件平台,那么,就可以获取到该子表的每条记录对应的软件平台,如果每条记录对应的软件平台都相同,则可以确定多种终端型号采用的都是相同的软件平台,而对于同一种手机病毒来说,其一般不会跨软件平台存在,因此,在确定多种终端型号采用的都是相同的软件平台时,则可以确定是由于手机病毒导致了对相应域名(该异常访问行为记录子表对应的域名)的访问,即,该子表中的异常访问行为为病毒行为。
同理,在确定多种终端型号采用的不是同一个软件平台时,则可以认为该子表中的异常访问行为不是病毒行为,此时,相应的域名是可信的域名,可以将其加入到域名白名单中。
以下介绍的记录表生成模块10一种具体实现方式。
参照图4,所述记录表生成模块10具体包括数据采集模块11、匹配模块12和黑名单更新模块13。其中:
数据采集模块11,用于采集WAP网关的HTTP数据包。具体的采集位置请参见方法实施例。
匹配模块12,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表。
其中,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,所述用户敏感信息包括IMSI(国际移动用户识别码)和/或IMEI(国际移动设备标识)。初始化时,所述域名黑名单为空,或者,直接接收外部输入的域名黑名单。然后,域名黑名单可以进行动态更新。
以下提供匹配模块12的两种匹配方式。
方式一
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
方式二
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
优选地,所述匹配模块12对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
黑名单更新模块13,用于根据所述异常访问行为记录表对所述域名黑名单进行更新,具体为:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
综上所述,本发明基于采集到的WAP网关的HTTP数据包,根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成异常访问行为记录表,不需要依赖于病毒库,就实现了异常访问行为的自动识别,并且,该方案的识别效率也较高。在识别出用户的异常访问行为后,就可以基于所述异常访问行为进行手机病毒(包括后门和流氓软件)的识别了。另外,本发明还实现了域名黑名单的自动更新。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求范围当中。
Claims (12)
1.一种异常访问行为的识别方法,其特征在于,包括:
采集WAP网关的HTTP数据包;
根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,每条异常访问行为记录包括:用户的手机号码、上网时实用的用户代理、访问时间和访问的域名,其中,所述用户代理包括终端型号和软件平台;
根据所述异常访问行为记录表对所述域名黑名单进行更新;
所述方法还包括:
获取异常访问行为记录表;
根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,当所述判断结果为否时,将相应的域名加入到域名白名单中。
2.如权利要求1所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
3.如权利要求1所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
4.如权利要求2或3所述的识别方法,其特征在于:
对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
5.如权利要求1所述的识别方法,其特征在于,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
6.如权利要求1所述的识别方法,其特征在于,所述用户敏感信息包括IMSI和/或IMEI。
7.一种异常访问行为的识别装置,其特征在于,包括:
数据采集模块,用于采集WAP网关的HTTP数据包;
匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。
所述识别装置还包括:
记录表生成模块,用于获取异常访问行为记录表;
记录子表生成模块,用于根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
判断模块,用于对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
病毒特征识别模块,用于当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,当所述判断结果为否时,将相应的域名加入到域名白名单中。
8.如权利要求7所述的识别装置,其特征在于,所述匹配模块进一步用于:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
9.如权利要求7所述的识别装置,其特征在于,所述匹配模块进一步用于:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
10.如权利要求8或9所述的识别装置,其特征在于,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
11.如权利要求7所述的识别装置,其特征在于,所述黑名单更新模块进一步用于:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
12.如权利要求7所述的识别装置,其特征在于,所述用户敏感信息包括IMSI和/或IMEI。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010534500.5A CN102469117B (zh) | 2010-11-08 | 2010-11-08 | 一种异常访问行为的识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010534500.5A CN102469117B (zh) | 2010-11-08 | 2010-11-08 | 一种异常访问行为的识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102469117A CN102469117A (zh) | 2012-05-23 |
CN102469117B true CN102469117B (zh) | 2014-11-05 |
Family
ID=46072282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010534500.5A Active CN102469117B (zh) | 2010-11-08 | 2010-11-08 | 一种异常访问行为的识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102469117B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103581909B (zh) * | 2012-07-31 | 2016-12-21 | 华为技术有限公司 | 一种疑似手机恶意软件的定位方法及其装置 |
CN104080148A (zh) * | 2013-03-29 | 2014-10-01 | 华为终端有限公司 | 实现快速网络连接的方法和装置 |
CN105024969B (zh) * | 2014-04-17 | 2018-04-03 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
CN105813114B (zh) * | 2016-03-07 | 2019-09-20 | 北京星网锐捷网络技术有限公司 | 一种确定接入共享主机方法及装置 |
CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
CN106779675A (zh) * | 2016-11-22 | 2017-05-31 | 国家计算机网络与信息安全管理中心山东分中心 | 一种手机银行支付安全监测分析方法与系统 |
CN109981389A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团辽宁有限公司 | 手机号码识别方法、装置、设备及介质 |
CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
CN109743309B (zh) * | 2018-12-28 | 2021-09-10 | 微梦创科网络科技(中国)有限公司 | 一种非法请求识别方法、装置及电子设备 |
CN111556080A (zh) * | 2020-05-18 | 2020-08-18 | 网易(杭州)网络有限公司 | 网络节点监控方法、装置、介质及电子设备 |
CN112667875B (zh) * | 2020-12-24 | 2024-07-30 | 恒安嘉新(北京)科技股份公司 | 一种数据获取、数据分析方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035128A (zh) * | 2007-04-18 | 2007-09-12 | 大连理工大学 | 基于中文标点符号的三重网页文本内容识别及过滤方法 |
CN101167063A (zh) * | 2005-03-28 | 2008-04-23 | Duaxes株式会社 | 通信控制装置及通信控制系统 |
CN101282366A (zh) * | 2008-05-21 | 2008-10-08 | 北京中企开源信息技术有限公司 | 点对点网络中的数据传输处理方法及装置 |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
-
2010
- 2010-11-08 CN CN201010534500.5A patent/CN102469117B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101167063A (zh) * | 2005-03-28 | 2008-04-23 | Duaxes株式会社 | 通信控制装置及通信控制系统 |
CN101035128A (zh) * | 2007-04-18 | 2007-09-12 | 大连理工大学 | 基于中文标点符号的三重网页文本内容识别及过滤方法 |
CN101282366A (zh) * | 2008-05-21 | 2008-10-08 | 北京中企开源信息技术有限公司 | 点对点网络中的数据传输处理方法及装置 |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102469117A (zh) | 2012-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102469117B (zh) | 一种异常访问行为的识别方法及装置 | |
CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
CN105022960B (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及系统 | |
CN105007282B (zh) | 面向网络服务提供商的恶意软件网络行为检测方法及系统 | |
CN102469435B (zh) | 一种提高移动终端的终端型号识别准确率的方法及装置 | |
CN102938789B (zh) | 一种移动互联网手机应用下载组合分析方法和装置 | |
CN105072045B (zh) | 一种具有恶意软件网络行为发现能力的无线路由器 | |
CN103546343B (zh) | 网络流量分析系统的网络流量展示方法和系统 | |
CN103368978B (zh) | 实现智能移动终端应用漏洞和通信安全检测的方法 | |
CN105187392A (zh) | 基于网络接入点的移动终端恶意软件检测方法及其系统 | |
CN105187395A (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及系统 | |
CN102469460B (zh) | 一种识别非法国际移动设备识别码的方法及装置 | |
CN107133161B (zh) | 一种生成客户端性能测试脚本方法及装置 | |
CN110083391A (zh) | 调用请求监控方法、装置、设备及存储介质 | |
CN105868040A (zh) | 日志采集方法及采集终端 | |
CN104640138B (zh) | 一种定位问题终端的方法及装置 | |
CN102469450B (zh) | 一种手机病毒特征的识别方法及装置 | |
CN103345786A (zh) | 一种基于wifi网络的自动签到方法 | |
CN104182681A (zh) | 基于hook的iOS系统关键行为检测装置和方法 | |
CN104092660B (zh) | 一种访问网络站点的方法 | |
CN106067879A (zh) | 信息的检测方法及装置 | |
CN103326930A (zh) | 开放平台接口自动巡检方法和系统 | |
CN109104381A (zh) | 一种基于第三方流量http报文的移动应用识别方法 | |
CN1937461B (zh) | 基于终端管理业务的终端测试装置 | |
CN116049808B (zh) | 一种基于大数据的设备指纹采集系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |