CN103428223A - 一种木马行为识别方法与系统 - Google Patents

一种木马行为识别方法与系统 Download PDF

Info

Publication number
CN103428223A
CN103428223A CN2013103816680A CN201310381668A CN103428223A CN 103428223 A CN103428223 A CN 103428223A CN 2013103816680 A CN2013103816680 A CN 2013103816680A CN 201310381668 A CN201310381668 A CN 201310381668A CN 103428223 A CN103428223 A CN 103428223A
Authority
CN
China
Prior art keywords
wooden horse
network
behavior
network termination
identified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013103816680A
Other languages
English (en)
Other versions
CN103428223B (zh
Inventor
陈俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wuyi Jiayu Technology Co ltd
Yongxin Zhicheng Technology Group Co ltd
Original Assignee
Beijing Yongxin Zhicheng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yongxin Zhicheng Technology Co Ltd filed Critical Beijing Yongxin Zhicheng Technology Co Ltd
Priority to CN201310381668.0A priority Critical patent/CN103428223B/zh
Publication of CN103428223A publication Critical patent/CN103428223A/zh
Application granted granted Critical
Publication of CN103428223B publication Critical patent/CN103428223B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种木马行为的识别方法及系统;所述方法包括:配置木马行为特征;捕获网络包;基于所述木马行为特征识别所述网络包的木马行为状态;记录识别出的木马行为状态,基于该记录识别木马行为。本发明能够有效识别木马行为。

Description

一种木马行为识别方法与系统
技术领域
本发明涉及网络安全领域,尤其涉及一种木马行为识别方法与系统。
背景技术
目前,随着计算机网络的快速发展,网络信息系统已经成为人们共享信息与交流的重要工具,同时与黑客和早期病毒相比,木马已经成为互联网的主要危害,木马以偷窥别人隐私和获得经济利益为目的,具有隐蔽性强、攻击范围广与危害大等特点,目前部署到网络安全设备上的木马检测功能,存在以下问题:
(1)只能基于木马静态代码特征识别植入过程中的木马;
(2)只能基于不够全面的木马行为特征识别通信过程中的木马。
发明内容
本发明要解决的技术问题是如何有效识别木马行为。
为了解决上述问题,本发明提供了一种木马行为的识别方法,包括:
配置木马行为特征;
捕获网络包;
基于所述木马行为特征识别所述网络包的木马行为状态;
记录识别出的木马行为状态,基于该记录识别木马行为。
可选地,所述木马行为特征包括以下任一情况或其任意组合:
响应内容为域名:端口或IP地址:端口格式;
响应包长度小于200个字节,并且内容离散度大于0.3;
内网终端发送到外网终端的数据包长度大于200个字节。
可选地,所述基于木马行为特征识别网络包的木马行为状态的步骤包括:
当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;
当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;
当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态。
可选地,所述记录识别出的木马行为状态,基于该记录识别木马行为的步骤包括:
当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;
根据该记录,将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。
可选地,所述的方法还包括:
配置木马控制特征和木马控制命令;所述木马控制特征为:数据包长度小于200个字节,并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1;
所述记录识别出的木马行为状态,基于该记录识别木马行为的步骤后还包括:
对于所述木马行为外网终端发送给内网终端的网络包,或所述木马行为内网终端从外网终端接收的网络包,基于所述木马控制特征识别木马控制行为状态;
将识别为木马控制行为状态的网络包的载荷与木马控制命令进行匹配;基于匹配成功的木马控制命令识别木马名称,并将发送该网络包的外网终端识别为控制端,将接收该网络包的内网终端识别为被控制端。
本申请还提供了一种木马行为的识别系统,包括:
管理模块,用于配置木马行为特征;
捕包模块,用于捕获网络包;
识别模块,用于基于所述木马行为特征识别所述网络包的木马行为状态;
关联模块,用于记录识别出的木马行为状态,基于该记录识别木马行为。
可选地,木马行为特征包括以下任一情况或其任意组合:
响应内容为域名:端口或IP地址:端口格式;
响应包长度小于200个字节,并且内容离散度大于0.3;
内网发送到外网的数据包长度大于200个字节。
可选地,所述识别模块基于所述木马行为特征识别网络包的木马行为状态是指:
所述识别模块当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态。
可选地,所述关联模块记录识别出的木马行为状态,基于该记录识别木马行为是指:
所述关联模块当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;根据该记录,将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。
可选地,所述的系统还包括:解析模块;
所述管理模块还用于配置木马控制特征和木马控制命令;所述木马控制特征为:数据包长度小于200个字节,并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1;
所述识别模块还用于对所述木马行为外网终端发送给内网终端的网络包,或所述木马行为内网终端从外网终端接收的网络包,基于所述木马控制特征识别木马控制行为状态;
所述解析模块用于将识别为木马控制行为状态的网络包的载荷与所述木马控制命令进行匹配;基于匹配成功的木马控制命令识别木马名称,并将发送该网络包的外网终端识别为控制端,将接收该网络包的内网终端识别为被控制端。
本发明的技术方案部署到局域网中,能够有效与准确地识别、记录木马行为,为木马行为跟踪与网络取证提供了全面准确的证据和可靠的保障,进而可保护网络用户的信息资产利益。
附图说明
图1是实施例一的例子中木马行为识别的流程图;
图2是实施例二的一种木马行为的识别系统的示意框图;
图3是实施例二的例子中木马行为的识别系统的组网示意图;
图4是实施例二的例子中木马行为的识别系统的工作流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一、一种木马行为的识别方法,包括:
配置木马行为特征;
捕获网络包;
基于所述木马行为特征识别所述网络包的木马行为状态;
记录识别出的木马行为状态,基于该记录识别木马行为。
本实施例的一种实施方式中,所述木马行为特征包括以下任一情况或其任意组合:
响应内容为域名:端口或IP地址:端口格式;
响应包长度小于200个字节,并且内容离散度大于0.3;
内网发送到外网的数据包长度大于200个字节。
本实施方式中,所述基于所述木马行为特征识别网络包的木马行为状态的步骤具体可以包括:
当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;
当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;
当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态。
本实施方式中,所述记录识别出的木马行为状态,基于该记录识别木马行为的步骤具体可以包括:
当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;
根据该记录,将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。
本实施例的一种实施方式中,所述方法还可以包括:
配置木马控制特征和木马控制命令;所述木马控制特征可以但不限于为:
数据包长度小于200个字节并且外网发送到内网的数据包长度与内网发送到外网的数据包长度比例大于1;所述木马控制命令可以为木马控制中常见的命令字、指令等。
该实施方式中,所述记录识别出的木马行为状态,基于该记录识别木马行为的步骤后还可以包括:
对于所述木马行为外网终端发送给内网终端的网络包,或所述木马行为内网终端从外网终端接收的网络包,基于所述木马控制特征识别木马控制行为状态;
将识别为木马控制行为状态的网络包的载荷与木马控制命令进行匹配;基于匹配成功的木马控制命令识别木马名称,并将发送该网络包的外网终端识别为控制端,将接收该网络包的内网终端识别为被控制端。
本实施例的一种实施方式中,识别出控制端、被控制端后还可以获取被控制端IP地址对应的MAC地址;存储被控制端的MAC地址、IP地址与端口、控制端IP地址与端口、控制端的IP地址与端口、协议、木马名称与木马控制命令信息。
本实施例的一个具体例子如图1所示,首先配置木马行为特征;在本例子中,木马行为特征配置为以下条件:响应内容为域名:端口或IP地址:端口格式;响应包长度小于200个字节,并且内容离散度大于0.3;内网发送到外网的数据包长度大于200个字节。木马控制特征配置为:数据包长度小于200个字节并且外网发送到内网的数据包长度与内网发送到外网的数据包长度比例大于1。后续的识别过程包括步骤201~205。
步骤201:解析所捕获的网络包的内容格式,计算内容离散度(熵值)、计算包长度与包长度比例。
步骤202:判断是否响应内容为域名:端口或IP地址:端口格式;如果是则将网络包识别为木马控制端信息获取行为状态,进行步骤203;如果不是则直接进行步骤203。
步骤203:判断是否响应包长度小于200个字节,并且内容离散度大于0.3;如果是则将网络包识别为木马连接与认证行为状态,并解析出会话密钥,进行步骤204;如果不是则直接进行步骤204。
步骤204:判断内网发送到外网的数据包是否长度大于200个字节,如果是则将网络包识别为识别木马窃密行为状态,进行步骤205;如果不是则直接进行步骤205。
步骤205:判断外网发送到内网的数据包长度是否小于200个字节,且长度与内网发送到外网的数据包长度比例大于1,如果是则将网络包识别为木马控制行为状态。
实施例二、一种木马行为的识别系统,如图2所示,包括:
管理模块,用于配置木马行为特征;
捕包模块,用于捕获网络包;
识别模块,用于基于所述木马行为特征识别所述网络包的木马行为状态;
关联模块,用于记录识别出的木马行为状态,基于该记录识别木马行为。
本实施例的一种实施方式中,所述木马行为特征包括以下任一情况或其任意组合:
响应内容为域名:端口或IP地址:端口格式;
响应包长度小于200个字节,并且内容离散度大于0.3;
内网发送到外网的数据包长度大于200个字节。
本实施方式中,所述识别模块基于所述木马行为特征识别网络包的木马行为状态具体可以是指:
所述识别模块当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态。
本实施方式中,所述关联模块记录识别出的木马行为状态,基于该记录识别木马行为具体可以是指:
所述关联模块当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;根据该记录,将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。
本实施例的一种实施方式中,所述系统还可以包括:解析模块;
所述管理模块还可以用于配置木马控制特征和木马控制命令;所述木马控制特征为:数据包长度小于200个字节,并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1;
所述识别模块还可以用于对所述木马行为外网终端发送给内网终端的网络包,或所述木马行为内网终端从外网终端接收的网络包,基于所述木马控制特征识别木马控制行为状态;
所述解析模块用于将识别为木马控制行为状态的网络包的载荷与所述木马控制命令进行匹配;基于匹配成功的木马控制命令识别木马控制行为,包括识别木马名称,将发送该网络包的外网终端识别为控制端,将接收该网络包的内网终端识别为被控制端。
所述木马控制命令可以为木马控制中常见的命令字、指令等;可以但不限于将木马控制命令保存在木马控制命令表中;所述木马控制命令表包括表名、木马名称、木马类型、控制命令、控制参数与创建时间字段。
所述木马控制特征可以但不限于为:数据包长度小于200个字节并且外网发送到内网的数据包长度与内网发送到外网的数据包长度比例大于1。
可以但不限于将木马控制特征保存在木马控制特征信息表中;所述木马控制特征信息表包括表名、木马控制特征值、木马名称与创建时间字段。
本实施例的一种实施方式中,所述系统还可以包括:
记录模块,用于获取被控制端IP地址对应的MAC地址;存储被控制端的MAC地址、IP地址与端口、控制端IP地址与端口、控制端的IP地址与端口、协议、木马名称与木马控制命令信息。
所述记录模块可以但不限于将木马行为信息记录在木马行为信息表中;所述木马行为信息表包括表名、被控制端的MAC地址、IP地址与端口、控制端IP地址与端口、协议、木马名称与木马控制命令信息与创建时间字段。
本实施例中,所述识别系统可以采用信息库存储所述木马行为信息表、木马控制特征信息表、木马控制命令表。
本实施例的一个例子中,所述系统的组网结构如图3所示。其中,局域网包括网络设备、网络安全设备、主机与终端,其中网络设备包括路由器与交换机;网络安全设备包括防火墙、VPN、网络防病毒系统及入侵检测系统等;主机包括Web服务器、邮件服务器及文件服务器等;终端包括用户计算机及自助终端。Internet(互联网)包括路由器,可以传送和路由网络流量。
本实施例的一个例子中,所述木马行为的识别系统的工作流程如图4所示,包括步骤401~408。
步骤401:初始化模块进行初始化,管理模块配置木马控制特征、木马控制命令与审计策略并储存到记录模块中的信息库里。
步骤402:捕包模块捕获网络包。
步骤403:捕包模块解析网络包头信息,包括源IP地址、目的IP地址、源端口、目的端口、协议号、载荷长度。
步骤404:识别模块基于木马行为特征识别网络包的木马行为状态。
步骤405:关联模块记录识别出的木马行为状态并据此识别木马行为。
步骤406:识别模块基于木马控制行为特征识别木马控制状态;
步骤407:解析模块基于木马控制命令识别木马控制行为;
步骤408:记录模块记录木马行为和木马控制行为并存储到信息库中。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。

Claims (10)

1.一种木马行为的识别方法,包括:
配置木马行为特征;
捕获网络包;
基于所述木马行为特征识别所述网络包的木马行为状态;
记录识别出的木马行为状态,基于该记录识别木马行为。
2.如权利要求1所述的方法,其特征在于,所述木马行为特征包括以下任一情况或其任意组合:
响应内容为域名:端口或IP地址:端口格式;
响应包长度小于200个字节,并且内容离散度大于0.3;
内网终端发送到外网终端的数据包长度大于200个字节。
3.如权利要求2所述的方法,其特征在于,所述基于木马行为特征识别网络包的木马行为状态的步骤包括:
当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;
当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;
当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态。
4.如权利要求3所述的方法,其特征在于,所述记录识别出的木马行为状态,基于该记录识别木马行为的步骤包括:
当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;
根据该记录,将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。
5.如权利要求4所述的方法,其特征在于,还包括:
配置木马控制特征和木马控制命令;所述木马控制特征为:数据包长度小于200个字节,并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1;
所述记录识别出的木马行为状态,基于该记录识别木马行为的步骤后还包括:
对于所述木马行为外网终端发送给内网终端的网络包,或所述木马行为内网终端从外网终端接收的网络包,基于所述木马控制特征识别木马控制行为状态;
将识别为木马控制行为状态的网络包的载荷与木马控制命令进行匹配;基于匹配成功的木马控制命令识别木马名称,并将发送该网络包的外网终端识别为控制端,将接收该网络包的内网终端识别为被控制端。
6.一种木马行为的识别系统,其特征在于,包括:
管理模块,用于配置木马行为特征;
捕包模块,用于捕获网络包;
识别模块,用于基于所述木马行为特征识别所述网络包的木马行为状态;
关联模块,用于记录识别出的木马行为状态,基于该记录识别木马行为。
7.如权利要求6所述的系统,其特征在于,木马行为特征包括以下任一情况或其任意组合:
响应内容为域名:端口或IP地址:端口格式;
响应包长度小于200个字节,并且内容离散度大于0.3;
内网发送到外网的数据包长度大于200个字节。
8.如权利要求7所述的系统,其特征在于,所述识别模块基于所述木马行为特征识别网络包的木马行为状态是指:
所述识别模块当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态。
9.如权利要求8所述的系统,其特征在于,所述关联模块记录识别出的木马行为状态,基于该记录识别木马行为是指:
所述关联模块当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;根据该记录,将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。
10.如权利要求9所述的系统,其特征在于,还包括:解析模块;
所述管理模块还用于配置木马控制特征和木马控制命令;所述木马控制特征为:数据包长度小于200个字节,并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1;
所述识别模块还用于对所述木马行为外网终端发送给内网终端的网络包,或所述木马行为内网终端从外网终端接收的网络包,基于所述木马控制特征识别木马控制行为状态;
所述解析模块用于将识别为木马控制行为状态的网络包的载荷与所述木马控制命令进行匹配;基于匹配成功的木马控制命令识别木马名称,并将发送该网络包的外网终端识别为控制端,将接收该网络包的内网终端识别为被控制端。
CN201310381668.0A 2013-08-28 2013-08-28 一种木马行为识别方法与系统 Active CN103428223B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310381668.0A CN103428223B (zh) 2013-08-28 2013-08-28 一种木马行为识别方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310381668.0A CN103428223B (zh) 2013-08-28 2013-08-28 一种木马行为识别方法与系统

Publications (2)

Publication Number Publication Date
CN103428223A true CN103428223A (zh) 2013-12-04
CN103428223B CN103428223B (zh) 2016-08-10

Family

ID=49652399

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310381668.0A Active CN103428223B (zh) 2013-08-28 2013-08-28 一种木马行为识别方法与系统

Country Status (1)

Country Link
CN (1) CN103428223B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111046600A (zh) * 2018-10-11 2020-04-21 株洲中车时代电气股份有限公司 一种动态载荷识别方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801030A (zh) * 2004-12-31 2006-07-12 福建东方微点信息安全有限责任公司 一种区分有害程序行为的方法
CN1818823A (zh) * 2005-02-07 2006-08-16 福建东方微点信息安全有限责任公司 基于程序行为分析的计算机防护方法
CN102202064A (zh) * 2011-06-13 2011-09-28 刘胜利 基于网络数据流分析的木马通信行为特征提取方法
CN102571796A (zh) * 2012-01-13 2012-07-11 电子科技大学 一种移动互联网中僵尸木马防护方法及其系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801030A (zh) * 2004-12-31 2006-07-12 福建东方微点信息安全有限责任公司 一种区分有害程序行为的方法
CN1818823A (zh) * 2005-02-07 2006-08-16 福建东方微点信息安全有限责任公司 基于程序行为分析的计算机防护方法
CN102202064A (zh) * 2011-06-13 2011-09-28 刘胜利 基于网络数据流分析的木马通信行为特征提取方法
CN102571796A (zh) * 2012-01-13 2012-07-11 电子科技大学 一种移动互联网中僵尸木马防护方法及其系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
孙海涛: "基于通信行为分析的木马检测技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111046600A (zh) * 2018-10-11 2020-04-21 株洲中车时代电气股份有限公司 一种动态载荷识别方法

Also Published As

Publication number Publication date
CN103428223B (zh) 2016-08-10

Similar Documents

Publication Publication Date Title
US10212224B2 (en) Device and related method for dynamic traffic mirroring
US9954873B2 (en) Mobile device-based intrusion prevention system
US9256636B2 (en) Device and related method for application identification
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
US9584393B2 (en) Device and related method for dynamic traffic mirroring policy
US9230213B2 (en) Device and related method for scoring applications running on a network
US20160191568A1 (en) System and related method for network monitoring and control based on applications
US20140282823A1 (en) Device and related method for establishing network policy based on applications
US7376745B2 (en) Network address generating system, network address generating apparatus and method, program and storage medium
WO2012077603A1 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
TWI514184B (zh) 用於動態地改變網路狀態之系統及方法
CN102438028B (zh) 一种防止dhcp服务器欺骗的方法、装置及系统
US20090144818A1 (en) System and method for using variable security tag location in network communications
TW201407405A (zh) 在一動態電腦網路中過濾通信之防火牆
US9398045B2 (en) Network device and method for avoiding address resolution protocol attack
CN101902482B (zh) 基于IPv6自动配置实现终端安全准入控制的方法和系统
CN112134893B (zh) 物联网安全防护方法、装置、电子设备及存储介质
CN104113548B (zh) 一种认证报文处理方法及装置
CN101820396A (zh) 一种报文安全性验证的方法和设备
EP3499908B1 (en) A device and method for the determination of applications running on a network
CN103166960A (zh) 接入控制方法及装置
TW201408023A (zh) 於原有硬體中實施活動目標技術之系統及方法
CN105978859B (zh) 一种报文处理的方法和装置
US8745691B1 (en) System, method, and computer program product for preventing communication of data over a network connection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100094 No. 4, building 8, No. 305, West flourishing road, Haidian District, Beijing

Applicant after: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

Address before: 102208, room 530, amber world, No. 85, West Street, Changping District, Beijing, Huilongguan

Applicant before: BEIJING YONGXIN ZHICHENG TECHNOLOGY Co.,Ltd.

COR Change of bibliographic data
C14 Grant of patent or utility model
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Chen Jun

Inventor after: Cai Jingjing

Inventor after: Zhang Xuefeng

Inventor after: Zhang Heng

Inventor before: Chen Jun

CB03 Change of inventor or designer information
TR01 Transfer of patent right

Effective date of registration: 20221118

Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee after: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

Patentee after: Beijing Wuyi Jiayu Technology Co.,Ltd.

Address before: No. 305, Building 4, Yard 8, Dongbei Wangxi Road, Haidian District, Beijing 100094

Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

TR01 Transfer of patent right
CP01 Change in the name or title of a patent holder

Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd.

Patentee after: Beijing Wuyi Jiayu Technology Co.,Ltd.

Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

Patentee before: Beijing Wuyi Jiayu Technology Co.,Ltd.

CP01 Change in the name or title of a patent holder