CN102945340A - 信息对象检测方法及系统 - Google Patents

信息对象检测方法及系统 Download PDF

Info

Publication number
CN102945340A
CN102945340A CN2012104075756A CN201210407575A CN102945340A CN 102945340 A CN102945340 A CN 102945340A CN 2012104075756 A CN2012104075756 A CN 2012104075756A CN 201210407575 A CN201210407575 A CN 201210407575A CN 102945340 A CN102945340 A CN 102945340A
Authority
CN
China
Prior art keywords
detected
described object
influence factor
credit value
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012104075756A
Other languages
English (en)
Other versions
CN102945340B (zh
Inventor
王卫东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201210407575.6A priority Critical patent/CN102945340B/zh
Publication of CN102945340A publication Critical patent/CN102945340A/zh
Application granted granted Critical
Publication of CN102945340B publication Critical patent/CN102945340B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种信息对象检测方法及系统。方法包括:检测设备接收来自待检测对象的信息,待检测对象的信息携带有待检测对象的标识;检测设备根据待检测对象的标识,查询信誉值数据库获取待检测对象的信誉值;待检测对象的信誉值是通过对待检测对象在指定时间内的影响因素进行综合评测得到的,影响因素是指对待检测对象的安全性有影响的待检测对象的行为或状态;检测设备将待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取待检测对象的信誉值所属的第一信誉值范围,并根据第一信誉值范围对应的检测策略对待检测对象的信息进行安全检测。采用本发明技术方案可以提高检测性能,降低误判和漏判概率。

Description

信息对象检测方法及系统
技术领域
本发明涉及网络安全领域,尤其涉及一种信息对象检测方法及系统。
背景技术
在现有的入侵防护、访问控制、攻击防护、反垃圾邮件等系统中,对异常信息流量的检测大多是基于恶意特征进行判断的。基于恶意特征的检测方法是将恶意特征转化成判定规则,被检测信息通过检测设备时,检测设备对信息进行协议解码,然后与预先存储的判定规则进行比对,以确定被检测信息是否存在异常。
传统的基于特征的检测方法没有参考被检测对象的历史行为,仅根据当前行为孤立的进行判断,在大数据环境下存在性能瓶颈,误判和漏判概率较高。
发明内容
本发明实施例提供一种信息对象检测方法及系统,用以提高检测性能,降低误判和漏判概率。
第一方面提供一种信息对象检测方法,包括:
检测设备接收来自待检测对象的信息,所述待检测对象的信息携带有所述待检测对象的标识;
所述检测设备根据所述待检测对象的标识,查询信誉值数据库获取所述待检测对象的信誉值;所述待检测对象的信誉值是通过对所述待检测对象在指定时间内的影响因素进行综合评测得到的,所述影响因素是指对所述待检测对象的安全性有影响的所述待检测对象的行为或状态;
所述检测设备将所述待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取所述待检测对象的信誉值所属的第一信誉值范围,并根据所述第一信誉值范围对应的检测策略对所述待检测对象的信息进行安全检测。
第二方面提供一种信息对象检测系统,包括:检测设备;
所述检测设备包括:
接收模块,用于接收来自待检测对象的信息,所述待检测对象的信息携带有所述待检测对象的标识;
获取模块,用于根据所述待检测对象的标识,查询信誉值数据库获取所述待检测对象的信誉值;所述待检测对象的信誉值是通过对所述待检测对象在指定时间内的影响因素进行综合评测得到的,所述影响因素是指对所述待检测对象的安全性有影响的所述待检测对象的行为或状态;
检测模块,用于将所述待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取所述待检测对象的信誉值所属的第一信誉值范围,并根据所述第一信誉值范围对应的检测策略对所述待检测对象的信息进行安全检测。
本发明实施例提供的信息对象检测方法及系统,通过在指定时间内对影响待检测对象的与信息安全相关的行为和/或状态进行综合评测得到待检测对象的信誉值,检测设备在接收到待检测对象的信息后,从中获取待检测对象的标识,进而根据待检测对象的标识去查询信誉值数据库,从中获取待检测对象的信誉值,再将待检测对象的信誉值与预先设置至少一个信誉值范围进行比较,得到待检测对象的信誉值所属的信誉值范围,然后根据待信誉值范围对应的检测策略对待检测对象的信息进行安全检测,由此可见,本发明对待检测对象的信息进行安全检测使用的根据待检测对象在一段时间内的综合多个行为和/或状态得到的信誉值,而不是仅根据待检测对象当前时刻的某一行为特征或状态,有利于提高在大数据环境下的检测性能,有利于降低误判和漏判概率。
附图说明
图1为本发明一实施例提供的信息对象检测方法的流程图;
图2为本发明另一实施例提供的信息对象检测方法的流程图;
图3为本发明一实施例提供的信息对象检测系统的结构示意图。
具体实施方式
图1为本发明一实施例提供的信息对象检测方法的流程图。如图1所示,本实施例的方法包括:
步骤101、检测设备接收来自待检测对象的信息,该待检测对象的信息携带有该待检测对象的标识。
在信息安全中,需要进行安全检测的对象有很多,例如可以是服务器、客户端、还可以是一个网际协议(Internet Protocol,简称为IP)地址、用户标识(ID)、文件或邮件等。这些对象有些具有一定的包含关系,例如IP地址可以作为客户端的一个属性,用户ID可以是某个用户在服务器或客户端上注册的用户名称,等等。另外,影响不同对象的安全性的关键因素也不尽同相同。在本实施例中,待检测对象可以是信息安全中需要进行安全检测的任意对象,例如可以是服务器、客户端、IP地址、用户ID、文件或邮件等。相应地,检测设备是与被检测对象有关的设备,例如检测设备可以是待检测对象的信息要经过的设备。
具体的,检测设备接收来自待检测对象的信息,待检测对象的信息携带有待检测设备的标识。待检测设备的标识可以是任何可以唯一标识该待检测设备的信息,根据待检测设备的具体实现不同,待检测设备的标识有所不同。例如,如果待检测设备是服务器或客户端,则待检测对象的标识可以是IP地址、介质访问控制(Medium Access Control,简称为MAC)地址或名称等;如果待检测对象是一个IP地址,则该待检测对象的标识可以就是该IP地址本身;如果待检测对象是一个文件,则待检测对象的标识可以是文件名。
步骤102、检测设备根据待检测对象的标识,查询信誉值数据库获取该待检测对象的信誉值,该待检测对象的信誉值是通过对待检测对象在指定时间内的影响因素进行综合评测得到的,这里的影响因素是指对待检测对象的安全性有影响的该待检测对象的行为或状态。
在本实施例中,信誉值数据库中存储了多个需要进行安全检测的对象的信誉值,这里使用信誉值表征每个需要进行安全检测的对象的安全程度。为了区分不同需要进行安全检测的对象,信誉值数据库中还存储有每个需要进行检测的对象的标识。另外,为了克服现有技术中基于恶意特征的检测方法仅根据待检测对象当前时刻的行为或信息进行检测存在误判和漏判概率较高的缺陷,本实施例中的信誉值是对需要进行安全检测的对象一段时间内的影响因素进行综合评测得到的,这里的影响因素是指对需要进行安全检测的对象的安全性有影响的各种因素,主要是指需要进行安全检测的对象的行为或状态。其中,根据需要进行安全检测的对象的不同,进行综合评测使用的影响因素也会不同,使用的影响因素的个数也会有所不同,例如可以使用多个行为信息,也可以使用多个对象信息,还可以同时使用多个行为信息和属性信息。也就是说,本实施例的信誉值考虑了需要进行安全检测的对象的历史行为和/或状态,因此更能体现该对象的安全程度。
基于上述,待检测对象的信誉值是通过对该待检测对象在指定时间内的影响因素进行综合评测得到的,该待检测对象的信誉值考虑了该待检测对象的历史行为和/或状态。
本实施例给出了多个影响因素,例如包括:是否包括漏洞信息、域名属性、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件、响应时延、出现频度和业务与应用是否存在异常行为等等。下面对每个影响因素进行解释说明。
漏洞信息:待检测对象是否含有漏洞以及漏洞的危险等级都会影响该待检测对象的信誉。例如,通过获取待检测对象的操作系统、应用软件、数据库以及Web服务器软件、Web应用程序等软件的版本以及补丁程序信息可以获知该待检测对象的漏洞情况。此影响因素主要用于评价服务器。
域名属性:域名对应的IP地址的数量及稳定程度以及域名所属分类、域名所有者信息等都是用于判断域名信誉的依据。例如那些具有Fast-Flux特性的域名信誉值就会低,同样动态域名的信誉会比静态域名的信誉低。另外,网站/网页的排名信息(如Google的PageRank和Alex的网站排名)也可以作为待检测对象的信誉的参考。
IP地址类型:不通过类型的IP地址的信誉并不相同。例如,那些属于数字用户线路(Digital Subscriber Line,简称为DSL)、有线宽带、拨号接入或者是网吧的IP地址,可信度通常比较低。
恶意代码:恶意代码因素是指待检测对象(主要是指客户机或服务器)感染了恶意代码、待检测对象(主要是指邮件或文件)包含恶意代码或网页上被挂马等行为。
入侵、攻击、扫描行为:如果待检测对象有扫描、入侵、参与攻击、访问蜜网设备、与其它恶意客户端有通讯联系等恶意行为,其可信度会降低。
欺诈行为:欺诈是指待检测对象有伪造源IP、发送欺诈链接、发送含恶意代码的文件、无法完成身份认证等行为。
爬虫行为:爬虫从网络上抓取信息,会严重影响被访问站点的性能。因此有类似爬虫行为的待检测对象(这里主要是指客户端)在信誉方面要大打折扣。
僵尸主机:待检测对象(这里主要是指服务器)在感染僵尸程序以后,会主动寻找其它僵尸主机和控制主机,加入到僵尸网络中听从下一步的指令。如果能确认待检测对象有类似行为,其信誉值应该受很大影响。例如待检测对象查询属于僵尸控制主机的域名,则可以断定该待检测对象感染了僵尸网络。
代理行为:对于客户端来说,通常都是用浏览器直接访问站点。采用代理访问可以看作一种不正常的行为。可以把代理服务器的代理行为分为代理服务和非代理服务。代理服务是指代理服务器是公开的正式提供服务的站点发出的请求。非代理服务有可能是临时的、非公开的或是“洋葱路由(TheOnion Router)”发出的请求。代理服务的信誉应该高于非代理服务。代理服务器在转发请求时,还分为实名代理和匿名代理两种方式。实名代理的信誉应该高于匿名代理。对于判断待检测对象是否有代理行为主要适用于待检测对象是客户机的情况。
垃圾邮件:发送垃圾邮件的行为一般都是通过工具或由僵尸程序完成的。因此,只要确认待检测对象有发送垃圾邮件的行为,则应该降低该待检测对象的信誉。
响应时延:对某种请求的响应超过合理的预期,或是远低于历史记录都可视为一种异常。例如在P2P网络中,节点对请求响应的延时是影响该节点信誉的重要因素。因此,根据待检测对象的响应时延也是影响待检测对象的信誉的因素。
出现频度:某个特定对象出现的频度也是影响该对象的信誉的因素。例如某个进程在绝大多数设备上都出现,则该进程很可能是个正常进程。再例如,某个特定内容的电子邮件出现的频率很高,则说明该邮件很可能是垃圾邮件。因此,待检测对象的出现频度也是影响待检测对象的信誉的因素。出现频度这一因素主要适用于待检测对象是文件或邮件或进程的情况。
业务与应用存在异常行为:有些异常行为是业务或应用层面的,并不能直接判断带有恶意。例如账号的异地登录、反复频繁登录、长时间隐身等。再例如电子商务交易中不履行义务的行为。但是,待检测对象的业务或应用是否存在异常行为也是影响待检测对象的信誉的因素。
不同影响因素所属的类别不同,并且不同影响因素的适用的待检测对象也不同。表1给出了每个影响因素所属的类别以及适用的待检测对象的信息。
表1
由上述可见,如果待检测对象为客户端,则上述所有影响因素都适用。如果待检测对象为服务器或文件或邮件,则上述所有影响因素中的是否包括漏洞信息、域名属性和是否包含恶意代码较为适用。如果待检测对象是IP地址,则上述所有影响因素中除域名属性、出现频度和业务与应用是否存在异常行为不适用之外,其他都适用。如果待检测对象是用户ID,则上述所有影响因素中除域名属性、响应时延和出现频度不适用之外,其他都适用。
具体的,在检测设备获取到待检测对象的标识后,根据待检测对象的标识去查询信誉值数据库,从信誉值数据库中获取待检测对象的信誉值。
步骤103、检测设备将待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取待检测对象所属的第一信誉值范围,并根据第一信誉值范围对应的检测策略对待检测对象的信息进行安全检测。
在本实施例中,检测设备上预先设置有至少一个信誉值范围,每个信誉值范围对应不同检测深度的检测策略。检测设备在获取到待检测对象的信誉值之后,将待检测对象的信誉值与预设的至少一个信誉值范围进行比较,确定待检测对象的信誉值所属的信誉值范围,为了简化描述,将待检测对象的信誉值所属的信誉值范围称为第一信誉值范围,然后检测设备根据第一信誉值范围对应的检测策略对该待检测对象的信息进行安全检测。如果该待检测对象的信息是安全的,则检测设备允许该待检测对象的信息通过,如果待检测对象的信息不安全,则检测设备拒绝该待检测对象的信息通过。
由上述可见,本实施例通过在指定时间内对影响待检测对象的信息安全相关的行为和/或状态进行综合评测得到待检测对象的信誉值,检测设备预先设置多个信誉值范围,并为每个信誉值范围设置相应的检测策略,检测设备在接收到待检测对象的信息后,从中获取待检测对象的标识,进而根据待检测对象的标识去查询信誉值数据库,从中获取待检测对象的信誉值,再将待检测对象的信誉值与预先设置至少一个信誉值范围进行比较,得到待检测对象的信誉值所属的信誉值范围,然后根据待信誉值范围对应的检测策略对待检测对象的信息进行安全检测,由此可见,本实施例对待检测对象的信息进行安全检测使用的是由待检测对象在一段时间内的综合多个行为和/或状态得到的信誉值,而不是仅根据待检测对象当前时刻的某一行为特征或状态,充分考虑了待检测对象的历史数据,有利于提高在大数据环境下的检测性能,有利于降低误判和漏判概率。
另外,本实施例使用信誉值来表征各待检测对象的安全性,使得检测设备可以预先配置不同的信誉值范围,并为每个信誉值范围配置不同检测深度的检测策略,实现了检测策略的量化,有利于与其他需要对待检测对象的信息进行安全检测的设备上的检测策略相关联,不同检测设备对应于同一信誉值范围可以配置检测深度相适应的检测策略,有利于在不同风险情况下,可以统一协调采用相应的检测策略,进一步提高安全检测的准确性。
图2为本发明另一实施例提供的信息对象检测方法的流程图。如图2所示,本实施例的方法包括:
步骤201、采集器在指定时间内采集待检测对象的影响因素的数据。
步骤202、信誉值分析器对采集器采集到的待检测对象的影响因素的数据进行综合评测,生成待检测对象的信誉值。
步骤203、信誉值分析器将待检测对象的信誉值存储到信誉值数据库中。
在本实施例中,在使用待检测对象的信誉值之前,会预先生成待检测对象的信誉值并将其存储到信誉值数据库中。
具体的,采集器会在指定的一段时间内对待检测对象的影响因素进行采集。这里采集器在指定时间段内采集的待检测对象的影响因素可以是一个或多个。
可选的,采集器可以采用主动探测的方式来获取待检测对象的影响因素。例如,采集器在指定时间内主动向待检测对象发送探测包或者主动丢弃来自待检测对象的数据包,根据待检测对象对探测包或者对采集器丢弃数据包的行为的响应情况,获得待检测对象的影响因素的数据。该实施方式比较适用于待检测对象是客户端的情况。其中,通过主动探测的方式,采集器可以获知客户端是否包含恶意代码,是否为僵尸主机等影响因素。
可选的,采集器还可以通过网络监听的方式来采集待检测对象的影响因素的数据。具体的,采集器在指定时间内对待检测对象的信息进行网络监听,获得待检测对象的影响因素的数据。例如,采集器可以对待检测对象的一些关键数据进行监听,例如通过观察超文本传输协议(Hypertext TransferProtocol,简称为HTTP)包头信息,可以得知待检测对象是否使用代理服务器发送访问,以及代理是实名方式还是匿名方式等。又例如,采集器还可以通过对待检测对象的流量进行监,以判断待检测对象是否为网络爬虫的访问。
可选的,采集器还可以采用日志分析的方式采集待检测对象的影响因素的数据。具体的,采集器在指定时间内可以对采集器上的各种日志进行分析统计,获得待检测对象的影响因素的数据。例如,采集器可以通过对流量日志(例如Netflow记录)的统计分析发现待检测对象是否是参与攻击的IP地址。另外,采集器通过分析防火墙日志、Web服务器日志、邮件服务器日志也可以获得一些影响待检测对象的安全性的因素。
可选的,采集器还可以直接从第三方服务器获得待检测对象的影响因素的数据,第三方服务器存储有待检测对象的影响因素以及对待检测对象的影响因素的评价信息等。第三方服务器可以是提供商和搜索引擎(如Google的PageRank)提供的服务器,或者是网站排名信息提供商(如Alex)提供的服务器等。
可选的,采集器可以采用以下格式对采集到待检测对象的影响因素的数据进行管理。
Dk={对象ID,监测值,监测类型,时间戳}
其中,对象ID是待检测对象的身份标识;监测值是采集器输出的数值(例如可以是采集器采集到的待检测对象的响应延迟、域名属性等影响因素的数据);监测类型是指采集器的设备类型(例如可以是垃圾邮件过滤器);时间戳(timestamp)可以是采集器采集到待检测对象的影响因素的数据的时间,通过记录该时间有利于对多次发生的类似事件进行检测。
采集器采集到待检测对象的影响因素的数据后提供给信誉值分析器,以供信誉值分析器对采集器采集到的待检测对象的影响因素的数据进行综合评测,生成待检测对象的信誉值。
可选的,信誉值分析器对采集器采集到的待检测对象的影响因素的数据进行综合评测,生成待检测对象的信誉值的一种实施方式包括:
信誉值分析器将采集器采集到的待检测对象的影响因素的数据与预设的正常因素信息进行比较,以给待检测对象的影响因素进行打分。这里给影响因素打分包括给影响因素评奖励分或惩罚分。例如,如果比较发现待检测对象的影响因素能够获得良好反馈,例如属于正常行为,则给该影响因素一个奖励分;如果比较发现待检测对象的影响因素会获得恶劣的反馈,例如属于恶意行为,则给该影响因素一个惩罚分。
接着,信誉值分析器根据公式(1),生成待检测对象的信誉值。
R=∑(αi(t)Ci0+Ci)-∑(βj(t)Pj0+Pj)+∑γkRk/∑k,(1)
其中,R表示所述待检测对象的信誉值。Ci0为到本次采集操作为止计算出的所述待检测对象的第i个影响因素的累积奖励分;Ci表示根据本次采集到的数据给所述待检测对象的第i个影响因素打出的奖励分,i>0;αi(t)是所述待检测对象的第i个影响因素的累积奖励分的权重值,也是一个时间衰减的函数;αi(t)=αie-λΔt,λ是衰减系数,控制衰减快慢,Δt是本次采集操作到上一次采集操作之间的时间差,单位为秒,αi是第i个影响因素的累计奖励分对应的权重初始值。Pj0表示到本次采集操作为止计算出的所述待检测对象的第j个影响因素的累积惩罚分,j>0,且i≠j;Pj表示根据本次采集到的数据给所述待检测对象的第j个影响因素打出的惩罚分;βj(t)是所述待检测对象的第j个影响因素的惩罚分的权重值,也是一个时间衰减的函数;βj(t)=βje-λΔt,βj是第j个影响因素的累计惩罚分对应的权重初始值。
Rk表示所述待检测对象的第k个影响因素的第三方评价分,k>0;
γk表示所述待检测对象的第k个影响因素的第三方评价分的权重值。
公式(1)中的αi(t)和βj(t)都是时间的函数,并且它们都会随时间从初始值递减到0;αi和βj分别为对应的初始值。
由上述可见,信誉值的计算综合的多方面的具有一定时间跨度的行为或状态数据,使得信誉值包含的信息更丰富,更具有参考意义。因此,信誉值分析器计算出待检测设备的信誉值并将其存储到信誉值数据库中,为检测设备基于信誉值对待检测设备进行安全检测提供了条件。
步骤204、检测设备接收来自待检测对象的信息,待检测对象的信息携带有待检测对象的标识。
步骤205、检测设备根据待检测对象的标识,查询信誉值数据库获取待检测对象的信誉值。
步骤206、检测设备将待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取待检测对象的信誉值所属的第一信誉值范围,并根据第一信誉值范围对应的检测策略对待检测对象的信息进行安全检测。
上述步骤204-步骤206的描述可参见图1所示实施例中步骤101-步骤103的描述,在此不再赘述。
由上述可见,在本实施例中,采集器通过在指定时间内采集待检测对象的行为和/或状态,信誉值分析器对待检测对象的行为和/或状态进行综合评测得到待检测对象的信誉值,检测设备预先设置多个信誉值范围,并为每个信誉值范围设置相应的检测策略,检测设备在接收到待检测对象的信息后,从中获取待检测对象的标识,进而根据待检测对象的标识去查询信誉值数据库,从中获取待检测对象的信誉值,再将待检测对象的信誉值与预先设置至少一个信誉值范围进行比较,得到待检测对象的信誉值所属的信誉值范围,然后根据待信誉值范围对应的检测策略对待检测对象的信息进行安全检测,由此可见,本实施例对待检测对象的信息进行安全检测使用的是由待检测对象在一段时间内的综合多个行为和/或状态得到的信誉值,而不是仅根据待检测对象当前时刻的某一个行为特征或状态,充分考虑了待检测对象的历史数据,有利于提高在大数据环境下的检测性能,有利于降低误判和漏判概率。
另外,本实施例使用信誉值来表征各待检测对象的安全性,使得检测设备可以预先配置不同的信誉值范围,并为每个信誉值范围配置不同检测深度的检测策略,实现了检测策略的量化,有利于与其他需要对待检测对象的信息进行安全检测的设备上的检测策略相关联,不同检测设备对应于同一信誉值范围可以配置检测深度相适应的检测策略,有利于在不同风险情况下,可以统一协调采用相应的检测策略,进一步提高安全检测的准确性。
图3为本发明一实施例提供的信息对象检测系统的结构示意图。如图3所示,本实施例的信息对象检测系统包括:检测设备30。
检测设备30包括:接收模块31、获取模块32和检测模块33。
接收模块31,用于接收来自待检测对象的信息,所述待检测对象的信息携带有所述待检测对象的标识。
获取模块32,与接收模块31连接,用于根据接收模块31接收到的所述待检测对象的标识,查询信誉值数据库获取所述待检测对象的信誉值;所述待检测对象的信誉值是通过对所述待检测对象在指定时间内的影响因素进行综合评测得到的,所述影响因素是指对所述待检测对象的安全性有影响的所述待检测对象的行为或状态。
检测模块33,与获取模块32连接,用于将获取模块32获取的所述待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取所述待检测对象的信誉值所属的第一信誉值范围,并根据所述第一信誉值范围对应的检测策略对所述待检测对象的信息进行安全检测。
在一可选实施方式中,如图3所示,本实施例的系统还包括:采集器40和信誉值分析器50。
采集器40,与获取模块32连接,用于在获取模块32查询信誉值数据库获取所述待检测对象的信誉值之前,在所述指定时间内采集所述待检测对象的影响因素的数据。
信誉值分析器50,与采集器40连接,用于对采集器40采集到的所述待检测对象的影响因素的数据进行综合评测,生成所述待检测对象的信誉值,并将所述待检测对象的信誉值存储到所述信誉值数据库中。
可选的,信誉值分析器50具体可用于将采集器40采集到的所述待检测对象的影响因素的数据与预设的正常因素信息进行比较,以给所述待检测对象的影响因素进行打分,并根据公式(1)生成所述待检测对象的信誉值。其中关于公式(1)可参见上述方法实施例的描述,在此不再赘述。
基于上述,采集器40还用于在信誉值分析器50根据公式(1)生成所述待检测对象的信誉值之前,从第三方服务器获得所述待检测对象的第k个影响因素的第三方评价分,所述第三方服务器存储有所述待检测对象的影响因素的评价信息。
在一可选实施方式中,采集器40在指定时间内采集待检测对象的影响因素的数据的方式可以包括以下几种:
采集器40具体可用于在所述指定时间内主动向所述待检测对象发送探测包或者主动丢弃来自所述待检测对象的数据包,根据所述待检测对象对所述探测包或者对所述采集器丢弃数据包的行为的响应情况,获得所述待检测对象的影响因素的数据。或者
采集器40具体可用于在所述指定时间内对所述待检测对象的信息进行网络监听,获得所述待检测对象的影响因素的数据。或者
采集器40具体可用于在所述指定时间内对所述采集器上的各种日志进行分析统计分析,获得所述待检测对象的影响因素的数据。
在一可选实施方式中,检测设备上预先设置的至少一个信誉值范围中每个信誉值范围对应不同检测深度的检测策略。
可选的,根据待检测对象的不同,待检测对象的影响因素也会不同。下面举例说明:
所述待检测对象为客户端,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、域名属性、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件、响应时延、出现频度和业务与应用是否存在异常行为。或者
所述待检测对象为服务器或文件或邮件,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、域名属性和是否包含恶意代码。或者
所述待检测对象为IP地址,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件和响应时延。或者
所述待检测对象为用户ID,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件和业务与应用是否存在异常行为。
本实施例提供的信息对象检测系统的各设备或功能模块可用于执行图1或图2所示方法实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例提供的信息对象检测系统,采集器和信誉值分析器通过在指定时间内对影响待检测对象的与信息安全相关的行为和/或状态进行综合评测得到待检测对象的信誉值,检测设备在接收到待检测对象的信息后,从中获取待检测对象的标识,进而根据待检测对象的标识去查询信誉值数据库,从中获取待检测对象的信誉值,再将待检测对象的信誉值与预先设置至少一个信誉值范围进行比较,得到待检测对象的信誉值所属的信誉值范围,然后根据待信誉值范围对应的检测策略对待检测对象的信息进行安全检测,由此可见,本发明对待检测对象的信息进行安全检测使用的根据待检测对象在一段时间内的综合多个行为和/或状态得到的信誉值,而不是仅根据待检测对象当前时刻的某一行为特征或状态,有利于提高在大数据环境下的检测性能,有利于降低误判和漏判概率。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (14)

1.一种信息对象检测方法,其特征在于,包括:
检测设备接收来自待检测对象的信息,所述待检测对象的信息携带有所述待检测对象的标识;
所述检测设备根据所述待检测对象的标识,查询信誉值数据库获取所述待检测对象的信誉值;所述待检测对象的信誉值是通过对所述待检测对象在指定时间内的影响因素进行综合评测得到的,所述影响因素是指对所述待检测对象的安全性有影响的所述待检测对象的行为或状态;
所述检测设备将所述待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取所述待检测对象的信誉值所属的第一信誉值范围,并根据所述第一信誉值范围对应的检测策略对所述待检测对象的信息进行安全检测。
2.根据权利要求1所述的信息对象检测方法,其特征在于,所述检测设备根据所述待检测对象的标识,查询信誉值数据库获取所述待检测对象的信誉值之前包括:
采集器在所述指定时间内采集所述待检测对象的影响因素的数据;
信誉值分析器对所述采集器采集到的所述待检测对象的影响因素的数据进行综合评测,生成所述待检测对象的信誉值;
所述信誉值分析器将所述待检测对象的信誉值存储到所述信誉值数据库中。
3.根据权利要求2所述的信息对象检测方法,其特征在于,所述信誉值分析器对所述采集器采集到的所述待检测对象的影响因素的数据进行综合评测,生成所述待检测对象的信誉值包括:
所述信誉值分析器将所述采集器采集到的所述待检测对象的影响因素的数据与预设的正常因素信息进行比较,以给所述待检测对象的影响因素进行打分;
所述信誉值分析器根据公式R=∑(αi(t)Ci0+Ci)-∑(βj(t)Pj0+Pj)+∑γkRk/∑k,生成所述待检测对象的信誉值;
其中,R表示所述待检测对象的信誉值;
Ci0为到本次采集为止计算出的所述待检测对象的第i个影响因素的累积奖励分;
Ci表示根据本次采集到的数据给所述待检测对象的第i个影响因素打出的奖励分,i>0;
αi(t)是所述待检测对象的第i个影响因素的累积奖励分的权重值,是一个时间衰减的函数;αi(t)=αie-λΔt,λ是衰减系数,Δt是本次采集操作与上次采集操作之间的时间差;
Pj0为到本次采集为止计算出的所述待检测对象的第j个影响因素的累积惩罚分,j>0,且i≠j;
Pj表示根据本次采集到的数据给所述待检测对象的第j个影响因素打出的惩罚分;
βj(t)是所述待检测对象的第j个影响因素的累积惩罚分的权重值,是一个时间衰减的函数;βj(t)=βje-λΔt
Rk表示所述待检测对象的第k个影响因素的第三方评价分,k>0;
γk表示所述待检测对象的第k个影响因素的第三方评价分的权重值。
4.根据权利要求3所述的信息对象检测方法,其特征在于,所述信誉值分析器根据公式R=∑(αi(t)Ci0+Ci)-∑(βj(t)Pj0+Pj)+∑γkRk/∑k,生成所述待检测对象的信誉值之前包括:
所述采集器从第三方服务器获得所述待检测对象的第k个影响因素的第三方评价分,所述第三方服务器存储有所述待检测对象的影响因素的评价信息。
5.根据权利要求2或3或4所述的信息对象检测方法,其特征在于,所述采集器在所述指定时间内采集所述待检测对象的影响因素的数据包括:
所述采集器在所述指定时间内主动向所述待检测对象发送探测包或者主动丢弃来自所述待检测对象的数据包,根据所述待检测对象对所述探测包或者对所述采集器丢弃数据包的行为的响应情况,获得所述待检测对象的影响因素的数据;或者
所述采集器在所述指定时间内对所述待检测对象的信息进行网络监听,获得所述待检测对象的影响因素的数据;或者
所述采集器在所述指定时间内对所述采集器上的各种日志进行分析统计分析,获得所述待检测对象的影响因素的数据。
6.根据权利要求1或2或3或4所述的信息对象检测方法,其特征在于,所述至少一个信誉值范围中每个信誉值范围对应不同检测深度的检测策略。
7.根据权利要求1或2或3或4所述的信息对象检测方法,其特征在于,所述待检测对象为客户端,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、域名属性、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件、响应时延、出现频度和业务与应用是否存在异常行为;或者
所述待检测对象为服务器或文件或邮件,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、域名属性和是否包含恶意代码;或者
所述待检测对象为IP地址,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件和响应时延;或者
所述待检测对象为用户ID,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件和业务与应用是否存在异常行为。
8.一种信息对象检测系统,其特征在于,包括:检测设备;
所述检测设备包括:
接收模块,用于接收来自待检测对象的信息,所述待检测对象的信息携带有所述待检测对象的标识;
获取模块,用于根据所述待检测对象的标识,查询信誉值数据库获取所述待检测对象的信誉值;所述待检测对象的信誉值是通过对所述待检测对象在指定时间内的影响因素进行综合评测得到的,所述影响因素是指对所述待检测对象的安全性有影响的所述待检测对象的行为或状态;
检测模块,用于将所述待检测对象的信誉值与预设的至少一个信誉值范围进行比较,获取所述待检测对象的信誉值所属的第一信誉值范围,并根据所述第一信誉值范围对应的检测策略对所述待检测对象的信息进行安全检测。
9.根据权利要求8所述的信息对象检测系统,其特征在于,还包括:采集器和信誉值分析器;
所述采集器,用于在所述获取模块查询信誉值数据库获取所述待检测对象的信誉值之前,在所述指定时间内采集所述待检测对象的影响因素的数据;
所述信誉值分析器,用于对所述采集器采集到的所述待检测对象的影响因素的数据进行综合评测,生成所述待检测对象的信誉值,并将所述待检测对象的信誉值存储到所述信誉值数据库中。
10.根据权利要求9所述的信息对象检测系统,其特征在于,所述信誉值分析器具体用于将所述采集器采集到的所述待检测对象的影响因素的数据与预设的正常因素信息进行比较,以给所述待检测对象的影响因素进行打分,根据公式R=∑(αi(t)Ci0+Ci)-∑(βj(t)Pj0+Pj)+∑γkRk/∑k,生成所述待检测对象的信誉值;
其中,R表示所述待检测对象的信誉值;
Ci0为到本次采集操作为止计算出的所述待检测对象的第i个影响因素的累积奖励分;
Ci表示根据本次采集到的数据给所述待检测对象的第i个影响因素打出的奖励分,i>0;
αi(t)是所述待检测对象的第i个影响因素的累积奖励分的权重值,是一个时间衰减的函数;αi(t)=αie-λΔt,λ是衰减系数,Δt是本次采集操作与上次采集操作之间的时间差;
Pj0为到本次采集为止计算出的所述待检测对象的第j个影响因素的累积惩罚分,j>0,且i≠j;
Pj表示根据本次采集到的数据给所述待检测对象的第j个影响因素打出的惩罚分;
βj(t)是所述待检测对象的第j个影响因素的累积惩罚分的权重值,是一个时间衰减的函数;βj(t)=βje-λΔt
Rk表示所述待检测对象的第k个影响因素的第三方评价分,k>0;
γk表示所述待检测对象的第k个影响因素的第三方评价分的权重值。
11.根据权利要求10所述的信息对象检测系统,其特征在于,所述采集器还用于在所述信誉值分析器根据公式R=∑(αi(t)Ci0+Ci)-∑(βj(t)Pj0+Pj)+∑γkRk/∑k,生成所述待检测对象的信誉值之前,从第三方服务器获得所述待检测对象的第k个影响因素的第三方评价分,所述第三方服务器存储有所述待检测对象的影响因素的评价信息。
12.根据权利要求9或10或11所述的信息对象检测系统,其特征在于,所述采集器具体用于在所述指定时间内主动向所述待检测对象发送探测包或者主动丢弃来自所述待检测对象的数据包,根据所述待检测对象对所述探测包或者对所述采集器丢弃数据包的行为的响应情况,获得所述待检测对象的影响因素的数据;或者
所述采集器具体用于在所述指定时间内对所述待检测对象的信息进行网络监听,获得所述待检测对象的影响因素的数据;或者
所述采集器具体用于在所述指定时间内对所述采集器上的各种日志进行分析统计分析,获得所述待检测对象的影响因素的数据。
13.根据权利要求8或9或10或11所述的信息对象检测系统,其特征在于,所述至少一个信誉值范围中每个信誉值范围对应不同检测深度的检测策略。
14.根据权利要求8或9或10或11所述的信息对象检测系统,其特征在于,所述待检测对象为客户端,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、域名属性、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件、响应时延、出现频度和业务与应用是否存在异常行为;或者
所述待检测对象为服务器或文件或邮件,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、域名属性和是否包含恶意代码;或者
所述待检测对象为IP地址,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件和响应时延;或者
所述待检测对象为用户ID,所述待检测对象的影响因素包括以下影响因素中的至少一个:是否包括漏洞信息、IP地址类型、是否包含恶意代码、是否为入侵行为、是否为攻击行为、是否为扫描行为、是否为欺诈行为、是否为爬虫行为、是否为僵尸主机、是否为代理行为、是否发送垃圾邮件和业务与应用是否存在异常行为。
CN201210407575.6A 2012-10-23 2012-10-23 信息对象检测方法及系统 Active CN102945340B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210407575.6A CN102945340B (zh) 2012-10-23 2012-10-23 信息对象检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210407575.6A CN102945340B (zh) 2012-10-23 2012-10-23 信息对象检测方法及系统

Publications (2)

Publication Number Publication Date
CN102945340A true CN102945340A (zh) 2013-02-27
CN102945340B CN102945340B (zh) 2016-04-20

Family

ID=47728281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210407575.6A Active CN102945340B (zh) 2012-10-23 2012-10-23 信息对象检测方法及系统

Country Status (1)

Country Link
CN (1) CN102945340B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104426708A (zh) * 2013-08-23 2015-03-18 北京神州泰岳软件股份有限公司 一种安全检测服务执行方法及系统
CN104506356A (zh) * 2014-12-24 2015-04-08 网易(杭州)网络有限公司 一种确定ip地址信誉度的方法和装置
CN104506522A (zh) * 2014-12-19 2015-04-08 北京神州绿盟信息安全科技股份有限公司 漏洞扫描方法及装置
CN105072119A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名解析会话模式分析的恶意域名检测方法及装置
CN105072120A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名服务状态分析的恶意域名检测方法及装置
CN105119915A (zh) * 2015-08-14 2015-12-02 中国传媒大学 基于情报分析的恶意域名检测方法及装置
CN105610833A (zh) * 2015-12-30 2016-05-25 新浪网技术(中国)有限公司 一种基于ip信誉值的邮件反垃圾方法及系统
CN106549959A (zh) * 2016-10-26 2017-03-29 中国银联股份有限公司 一种代理网际协议ip地址的识别方法及装置
CN111147489A (zh) * 2019-12-26 2020-05-12 中国科学院信息工程研究所 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN111209566A (zh) * 2019-12-26 2020-05-29 武汉极意网络科技有限公司 一种多层威胁拦截的智能反爬虫系统及方法
CN111262901A (zh) * 2019-07-29 2020-06-09 深圳百灵声学有限公司 多对多通信系统及其运行方法
CN111832024A (zh) * 2020-07-27 2020-10-27 广州智云尚大数据科技有限公司 一种大数据安全防护方法及系统
CN113282922A (zh) * 2021-06-29 2021-08-20 北京安天网络安全技术有限公司 对移动存储设备进行防护控制的方法、装置、设备及介质
CN115733632A (zh) * 2021-08-26 2023-03-03 腾讯科技(深圳)有限公司 目标对象检测方法、装置、计算机设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101674264A (zh) * 2009-10-20 2010-03-17 哈尔滨工程大学 基于用户关系挖掘及信誉评价的垃圾邮件检测装置及方法
US20110179477A1 (en) * 2005-12-09 2011-07-21 Harris Corporation System including property-based weighted trust score application tokens for access control and related methods
CN102413011A (zh) * 2011-11-18 2012-04-11 奇智软件(北京)有限公司 一种局域网安全评估的方法和系统
CN102739675A (zh) * 2012-06-28 2012-10-17 奇智软件(北京)有限公司 网站安全检测方法与装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110179477A1 (en) * 2005-12-09 2011-07-21 Harris Corporation System including property-based weighted trust score application tokens for access control and related methods
CN101674264A (zh) * 2009-10-20 2010-03-17 哈尔滨工程大学 基于用户关系挖掘及信誉评价的垃圾邮件检测装置及方法
CN102413011A (zh) * 2011-11-18 2012-04-11 奇智软件(北京)有限公司 一种局域网安全评估的方法和系统
CN102739675A (zh) * 2012-06-28 2012-10-17 奇智软件(北京)有限公司 网站安全检测方法与装置

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104426708A (zh) * 2013-08-23 2015-03-18 北京神州泰岳软件股份有限公司 一种安全检测服务执行方法及系统
CN104506522A (zh) * 2014-12-19 2015-04-08 北京神州绿盟信息安全科技股份有限公司 漏洞扫描方法及装置
US10642985B2 (en) 2014-12-19 2020-05-05 NSFOCUS Information Technology Co., Ltd. Method and device for vulnerability scanning
CN104506522B (zh) * 2014-12-19 2017-12-26 北京神州绿盟信息安全科技股份有限公司 漏洞扫描方法及装置
CN104506356B (zh) * 2014-12-24 2018-06-15 网易(杭州)网络有限公司 一种确定ip地址信誉度的方法和装置
CN104506356A (zh) * 2014-12-24 2015-04-08 网易(杭州)网络有限公司 一种确定ip地址信誉度的方法和装置
CN105072119A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名解析会话模式分析的恶意域名检测方法及装置
CN105072120A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名服务状态分析的恶意域名检测方法及装置
CN105119915A (zh) * 2015-08-14 2015-12-02 中国传媒大学 基于情报分析的恶意域名检测方法及装置
CN105610833B (zh) * 2015-12-30 2019-01-18 新浪网技术(中国)有限公司 一种基于ip信誉值的邮件反垃圾方法及系统
CN105610833A (zh) * 2015-12-30 2016-05-25 新浪网技术(中国)有限公司 一种基于ip信誉值的邮件反垃圾方法及系统
CN106549959A (zh) * 2016-10-26 2017-03-29 中国银联股份有限公司 一种代理网际协议ip地址的识别方法及装置
CN111262901A (zh) * 2019-07-29 2020-06-09 深圳百灵声学有限公司 多对多通信系统及其运行方法
CN111147489A (zh) * 2019-12-26 2020-05-12 中国科学院信息工程研究所 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN111209566A (zh) * 2019-12-26 2020-05-29 武汉极意网络科技有限公司 一种多层威胁拦截的智能反爬虫系统及方法
CN111832024A (zh) * 2020-07-27 2020-10-27 广州智云尚大数据科技有限公司 一种大数据安全防护方法及系统
CN111832024B (zh) * 2020-07-27 2021-09-24 东方财富信息股份有限公司 一种大数据安全防护方法及系统
CN113282922A (zh) * 2021-06-29 2021-08-20 北京安天网络安全技术有限公司 对移动存储设备进行防护控制的方法、装置、设备及介质
CN115733632A (zh) * 2021-08-26 2023-03-03 腾讯科技(深圳)有限公司 目标对象检测方法、装置、计算机设备及存储介质
CN115733632B (zh) * 2021-08-26 2024-06-25 腾讯科技(深圳)有限公司 目标对象检测方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN102945340B (zh) 2016-04-20

Similar Documents

Publication Publication Date Title
CN102945340B (zh) 信息对象检测方法及系统
CN102594825B (zh) 一种内网木马的检测方法和装置
CN105027510B (zh) 网络监视装置和网络监视方法
CN107465651B (zh) 网络攻击检测方法及装置
CN101924757B (zh) 追溯僵尸网络的方法和系统
Gugelmann et al. An automated approach for complementing ad blockers’ blacklists
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
US8321934B1 (en) Anti-phishing early warning system based on end user data submission statistics
CN103179132B (zh) 一种检测和防御cc攻击的方法及装置
US11269995B2 (en) Chain of events representing an issue based on an enriched representation
US20090049547A1 (en) System for real-time intrusion detection of SQL injection web attacks
CN102571812B (zh) 一种网络威胁的跟踪识别方法及装置
JP2004318552A (ja) Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
Iqbal et al. Fcfraud: Fighting click-fraud from the user side
Yu et al. Online botnet detection based on incremental discrete fourier transform
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
GB2602967A (en) Anomalous network behaviour identification
CN102130791A (zh) 一种在网关上检测代理的方法、装置及网关服务器
CN102984003A (zh) 网络接入检测系统和网络接入检测方法
CN107426136A (zh) 一种网络攻击的识别方法和装置
CN107231383A (zh) Cc攻击的检测方法及装置
CN111371917B (zh) 一种域名检测方法及系统
CN112804192A (zh) 暗网泄露监测方法、装置、电子设备、程序和介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 3rd floor, Yitai building, 4 Beiwa Road, Haidian District, Beijing

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.

CP01 Change in the name or title of a patent holder