CN103595732B - 一种网络攻击取证的方法及装置 - Google Patents
一种网络攻击取证的方法及装置 Download PDFInfo
- Publication number
- CN103595732B CN103595732B CN201310629423.5A CN201310629423A CN103595732B CN 103595732 B CN103595732 B CN 103595732B CN 201310629423 A CN201310629423 A CN 201310629423A CN 103595732 B CN103595732 B CN 103595732B
- Authority
- CN
- China
- Prior art keywords
- data
- daily record
- attack
- acquisition
- record data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种网络攻击取证的方法及装置,用以提高网络的安全级别。该方法包括:当网站受到攻击时,获取当前攻击数据的来源IP地址,在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据,对获取的所述日志数据进行分析,取得网络攻击的证据。本发明通过大数据分析技术对大量的网络日志对应的行为数据进行分析,可以获得网络攻击的完整证据。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种网络攻击取证的方法及装置。
背景技术
在信息时代高速发展的今天,互联网网络日益成为重要的信息交换手段。但是,由于网络具有开放性,互联性等特征,使得网络常常受到诸如黑客、恶意软件和其他不轨的网络攻击。具体地,网络攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。随着技术的日新月异,网络攻击的手段也越来也多,这些网络攻击使得网络用户的安全得不到保障,可能会给网络用户带来经济上的损失,更进一步,网络攻击可能会给社会和国家的安全带来威胁。
目前,很多网站都采用了一些防范措施来应对网络攻击,例如:使用能防病毒、防黑客的防火墙软件,建立完善的访问控制策略、以及采用加密技术等。但是,这些措施仅仅能对网络攻击进行防御,还不能对网络攻击进行扼制,更加不能对那些已造成经济损失或危害国家人民安全的网络攻击进行严厉打击。
因此,急需要强有力的手段来打击这些网络攻击,而网络攻击的取证是打击网络攻击的必不可少步骤。
发明内容
本发明提供一种网络攻击取证的方法及装置,用以提高网络的安全级别。
本发明提供一种网络攻击取证的方法,包括:
当网站受到攻击时,获取当前攻击数据的来源IP地址;
在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据;
对获取的所述日志数据进行分析,取得网络攻击的证据。
本发明提供一种网络攻击取证的装置,包括:
获取单元,用于当网站受到攻击时,获取当前攻击数据的来源IP地址;
查找单元,用于在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据;
取证单元,用于对获取的所述日志数据进行分析,取得网络攻击的证据。
本发明实施例中,从多个网站的网站日志数据中,获取包括攻击数据的来源IP地址的每条日志数据,然后,对获取的日志数据进行分析,取得网络攻击的证据,这样,基于多个网站的网站日志数据上,进行大数据的分析,取得网络攻击的证据,从而,有了取得的网络攻击的证据,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例一中网络攻击取证的流程图;
图2为本发明实施例二中网络攻击取证的流程图;
图3为本发明实施例三中网络攻击取证的流程图;
图4为本发明实施例四中网络攻击取证的装置的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
网络攻击可能会造成互联网瘫痪,可能会给网络用户带来经济上的损失,也可能会给社会和国家的安全带来威胁,因此,在积极防御网络攻击的同时还需配合强有力的打击手段,而本发明实施例中的网络攻击取证的过程就是打击网络攻击的必不可少步骤。
实施例一:参见图1,网络攻击取证的过程包括:
步骤101:当网站受到攻击时,获取当前攻击数据的来源IP地址。
网站被黑客频繁访问、登录,或者,被黑客修改或删除了程序,或者,被黑客种植木马程序等等这些现象出现时,可确定网站受到攻击了。当网站受到攻击时,就可获取到引起攻击的当前攻击数据的来源互联网协议(Internet Protocol Address,IP)地址。
网站一般都有防盗链技术或者采用了防火墙软件,通过它们就可以直接获取当前攻击数据的来源IP地址。或者,直接编写一端现有的JAVA程序或#C程序也能获得获取当前攻击数据的来源IP地址。
步骤102:在保存的多个网站的网站日志数据中,获取包括来源IP地址的每条日志数据。
本发明实施例的网络攻击的取证过程是基于大数据上的,需要有多个网站的网站日志数据,因此,这里需要已获取并保存多个网站的网络日志数据,这样,才能基于这些保存的多个网站的网络日志数据,获取包括来源IP地址的每条日志数据。
较佳地,在保存的多个网站的网络日志数据中,查找包括上述来源IP地址的每条日志数据,从而获取查找到的包括上述来源IP地址的每条日志数据。
步骤103:对获取的日志数据进行分析,取得网络攻击的证据。
一般,日志数据包括:host、时间、IP地址、统一资源定位符(Uniform ResourceLocator,URL)、网页参数等信息。这样,对获取的日志数据中的这些信息进行分析,就可以取得网络攻击的证据。例如:根据获取的日志数据,确定网络攻击的恶意程序,或者,根据获取的日志数据进行攻击会给还原,或者,根据获取的日志数据确定黑客的位置等等。
较佳地,本发明实施例中,日志数据还包括cookie信息,有了cookie信息就可进行攻击会话的还原,包括:执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据,根据获得的行为数据,进行攻击会话的还原。
另外,可对获取的日志数据中的每条日志数据进行分析,确定出有对应恶意程序的日志数据,具体包括:从获取的日志数据中确定一条日志数据作为当前日志数据,并获取当前日志数据中携带的网页参数,将网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,获取对应的网页文件的源代码,通过源代码确定网络攻击的恶意程序。
上述是两种分析取证的过程,但是本发明实施例不限于此,其他的通过网络日志分析,取得网络攻击证据的过程就不再一一列举了。
本发明实施例,基于多个网站的网站日志数据上,进行大数据的分析,可以取得网络攻击的证据,这样,有了取得的网络攻击的证据,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
根据上述实施例可知,在进行网络攻击取证的过程之前,还需保存多个网站的网站日志数据。可手动或通过专业软件自动获取多个网站的网站日志数据,较佳地,通过内容分发网络(Content Delivery Network,CDN)记录多个网站的网站日志数据。这样,可获得多个网站的网站日志数据。当记录了成千上万个网站的网络日志数据后,就使得本发明实施例网络攻击取证的过程是基于大数据上的,需要用到大数据技术。而大数据技术,是指从各种各样类型的数据中,快速获得有价值信息的能力。适用于大数据的技术,包括大规模并行处理(MPP)数据库,数据挖掘电网,分布式文件系统,分布式数据库,云计算平台,互联网,和可扩展的存储系统等,具体的大数据技术处理过程就不再累述了。而本发明实施例网络攻击的取证过程基于大数据上,能扩大网络攻击取证的覆盖面,更能进一步提高网络攻击取证的可信度。
实施例二:本发明实施例中,日志数据中携带cookie信息,因此,对大数据量的日志数据进行分析后可进行攻击会话还原。参见图2,本实施例中网络攻击取证的过程包括:
步骤201:当网站受到攻击时,获取当前攻击数据的来源IP地址。
这里,可通过现有的防火墙软件获取当前攻击数据的来源IP地址。
步骤202:在保存的多个网站的网站日志数据中,获取包括来源IP地址的每条日志数据。
本实施例中,已通过CDN记录多个网站的网站日志数据,因此,可从中将所有包括上述来源IP地址的日志数据查找出来,从而,获得包括来源IP地址的每条日志数据。
步骤203:执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据。
本实施例中,日志数据中除了包括:host、时间、IP地址、URL、网页参数等这些基本信息,还对日志数据进行了扩展,使得日志数据还携带有cookie信息。日志数据携带有cookie信息就能获得操作者的身份信息,从而使得日志数据中包括一个会话所需的完整信息,即包括了cookie信息(执行主体)、IP地址(地点)、时间、URL和网页参数(干什么)等这些信息后可形成一个会话。因此,执行一条携带cookie信息的日志数据对应的行为,就获得对应的一块行为数据。
步骤204:根据获得的行为数据,进行攻击会话的还原。
会话可简单理解为:用户开一个浏览器,访问某一个网页站点,在这个站点点击多个超链接,访问服务器多个网页资源,然后关闭浏览器,整个过程称之为一个会话。实质上,会话是一个客户与服务器之间的不中断的请求响应序列。
有了上述的执行日志数据获得的行为数据,可知道谁在什么地点登陆了网站,对网页进行了什么具体操作,得到一个完整的会话,若是攻击会话的,则取得了整个攻击会话的完整过程的证据。
现有技术中可通过对攻击数据的分析,获得一个攻击点的信息,例如:能获得黑客A登陆网站B的行为(例如,小偷到门B前的照片),黑客A删除网站的内容行为(例如,小偷蹲下撬门的背影照片),黑客A删去日志离开的行为(例如,小偷作案后离开的照片),有了上述行为能从一定程度取得网络攻击的证据,但是,正如由于小偷蹲下撬门的照片是背影照片,因此,可能是小偷D撬门C的照片,从而不能证明是小偷A撬了门B一样,可见,这些证据还不能黑客A攻击了网站B,而本发明实施中,日志数据携带了host、时间、IP地址、URL、网页参数、还有cookie等信息,并且是多条从多个网站的网站日志数据获取的日志数据,因此,在有了时间、地点、人物、具体行为等参数下,执行日志数据获得对应的行为数据后,就可还原成一个完整的会话而不是片段的行为点,正如不是单独的照片而是一段撬门视频,这样,每个会话都是一个强有力的证据。
由于执行携带cookie信息的每条日志数据对应的行为获得行为数据从而还原出会话,但是,可能因cookie信息不同,或、URL以及网页参数的不同,这样,还原形成了多条会话。其中,形成的会话中如有攻击会话,那根据本实施例还原出的会话就是较佳的网络攻击的证据。
本实施例中,由于对日志数据进行扩展,这样,保存的多个网站的网站日志数据中的每条日志数据都携带有cookie信息,从而,获取的包括来源IP地址的每条日志数据也都携带有cookie信息,从而,执行了携带cookie信息的每条日志数据后,能将会话还原出来,当确定还原出的会话是攻击会话时,即可将还原出的攻击会话作为网络攻击的证据,该证据不是行为片段,而是完整的会话过程,增加了网络攻击的证据的法律效力,提高了对网络攻击打击的准确性,进一步,减少了网络犯罪的几率,提高了网络安全的安全等级。
实施例三:本实施中,对大量的日志数据进行分析,能定位出网络攻击的恶意程序。参见图3,网络攻击取证的过程包括:
步骤301:当网站受到攻击时,获取当前攻击数据的来源IP地址。
这里,可通过现有的一些JAVA程序获取当前攻击数据的来源IP地址。
步骤302:在保存的多个网站的网站日志数据中,获取包括来源IP地址的每条日志数据。
本实施例中,同样,已通过CDN记录多个网站的网站日志数据,可通过来源IP地址去匹配,从保存的日志数据查找出包括来源IP地址的每条日志数据,从而,获得这些日志数据。
步骤303:从获取的日志数据中确定一条日志数据作为当前日志数据,并获取当前日志数据中携带的网页参数。
同样,日志数据中包括host、时间、IP地址、URL、网页参数等这些基本信息,较佳地,还可包括cookie信息。
可按照设定规则,将获取的日志数据中的一条日志数据作为当前日志数据,例如:按照时间顺序,或者,设定的host顺序等。
对当前日志数据进行提取,获取当前日志数据中携带的网页参数。
步骤304:本地保存的行为数据库中的特征数据中是否存在与获取的网页参数匹配的第一特征数据?若是,执行步骤305,否则,执行步骤307。
这里,需将获取的网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,执行步骤305,否则,执行步骤307。
例如:本地保存的行为数据库中的一个特征数据中包含有字符串“/cgi-bin/phf?”,那么当获取的网页参数也包含有字符串“/cgi-bin/phf?”时,即可确定行为数据库中存在与网页参数匹配的第一特征数据,就可执行后续步骤305,进一步确定进行网络攻击的具体行为。
由于需与本地保存的行为数据库中特征数据进行匹配,因此,这种方式下的行为数据库非常关键,需根据新的网络攻击行为及特征的出现,不断地进行更新以及补充。
步骤305:获取与第一特征数据对应的网页文件的源代码。
可通过网络爬虫或者其他的应用程序获取与第一特征数据对应的网页文件的源代码。
步骤306:通过源代码确定网络攻击的恶意程序。
获得源代码后,可手动比对或者自动比对确定源代码是否为网络攻击的恶意程序。具体的方法有多种,其中一种自动确定源代码是否为网络攻击的恶意程序的过程包括:
将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,确认与源代码对应的网页文件为恶意后门程序。
步骤307:确定是否还有获取的日志数据未进行分析?若是,返回步骤303,若不是,则取证流程结束。
需对获取的每条日志数据进行分析,确定对应的源代码是否为恶意代码,因此,若还有获取的日志数据未进行分析,则需返回步骤303进行分析,若获取的每条日志数据都被分析了,则取证流程结束。
通过上述过程,可确定一个,两个,或多个恶意程序,取得网络攻击的证据,从而,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
上述两个实施例仅是根据大量日志数据取得网络攻击的证据的两个示例,但是本发明不限于此,本发明实施例还可根据对获取的日志数据分析,确定IP地址是否为代理服务器的IP地址,或者,确定黑客的隐藏信息,或者,确定黑客不经攻击了网站A,还攻击了网站B等。具体实施过程就不再一一例举了。
实施四:本实施例根据上述网络攻击取证的过程,可构建一种网络攻击取证的装置,如图4所示,该装置包括:获取单元410、查找单元420,以及取证单元430。其中,
获取单元410,用于当网站受到攻击时,获取当前攻击数据的来源IP地址。
查找单元420,用于在保存的多个网站的网站日志数据中,获取包括获取单元410获取的来源IP地址的每条日志数据。
取证单元430,用于对查找单元420获取的日志数据进行分析,取得网络攻击的证据。
本发明实施例中,由于是基于大数据上进行的分析,需要提前保存多个网站的网站日志数据,因此,该装置还包括:
记录单元,用于通过内容分发网络(CDN)记录多个网站的网站日志数据。
取证单元430可通过对获取的日志数据的不同分析过程,获得不同的网络攻击证据,因此,取证单元430,具体用于执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据,根据获得的行为数据,进行攻击会话的还原。或者,
取证单元430,具体用于从获取的日志数据中确定一条日志数据作为当前日志数据,并获取当前日志数据中携带的网页参数,将网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,获取对应网页文件的源代码,通过源代码确定网络攻击的恶意程序。
当然,取证单元430可采用多种方法来通过源代码确定网络攻击的恶意程序。其中,取证单元430可采用匹配的方式确定源代码是否为网络攻击的恶意程序,因此,取证单元430,还用于将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,确认与源代码对应的网页文件为恶意后门程序。
本实施例中的网络攻击取证的装置还可根据对获取的日志数据分析,确定IP地址是否为代理服务器的IP地址,或者,确定黑客的隐藏信息,或者,确定黑客不经攻击了网站A,还攻击了网站B等。具体实施过程就不再一一例举了。
本发明实施例中的网络攻击取证的装置在基于大量的网络日志数据的基础上,对获取的日志数据进行分析,获得网络攻击的证据,从而,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种网络攻击取证的方法,其特征在于,包括:
当网站受到攻击时,获取当前攻击数据的来源IP地址;
在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据;
对获取的所述日志数据进行分析,取得网络攻击的证据;
其中,对获取的所述日志数据进行分析,取得网络攻击的证据,包括:从获取的所述日志数据中确定一条日志数据作为当前日志数据,并获取所述当前日志数据中携带的网页参数;
将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;
执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据;
根据获得的所述行为数据,进行攻击会话的还原;
所述日志数据包括:host、时间、IP地址、URL、网页参数和cookie信息。
2.如权利要求1所述的方法,其特征在于,所述获取当前攻击数据的来源IP地址之前,还包括:
通过内容分发网络(CDN)记录所述多个网站的网站日志数据。
3.如权利要求1所述的方法,其特征在于,所述对获取的所述日志数据进行分析,取得网络攻击的证据还包括:
当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应的网页文件的源代码;
通过所述源代码确定网络攻击的恶意程序。
4.如权利要求3所述的方法,其特征在于,所述通过所述源代码确定网络攻击的恶意程序包括:
将所述源代码与保存的恶意代码数据库中的每段恶意源代码进行比对;
当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时,确认与所述源代码对应的网页文件为恶意后门程序。
5.一种网络攻击取证的装置,其特征在于,包括:
获取单元,用于当网站受到攻击时,获取当前攻击数据的来源IP地址;
查找单元,用于在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据;
取证单元,用于对获取的所述日志数据进行分析,取得网络攻击的证据;
所述取证单元,具体用于从获取的所述日志数据中确定一条日志数据作为当前日志数据,并获取所述当前日志数据中携带的网页参数,将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据;根据获得的所述行为数据,进行攻击会话的还原;
所述日志数据包括:host、时间、IP地址、URL、网页参数和cookie信息。
6.如权利要求5所述的装置,其特征在于,还包括:
记录单元,用于通过内容分发网络(CDN)记录所述多个网站的网站日志数据。
7.如权利要求5所述的装置,其特征在于,
所述取证单元,还具体用于当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应网页文件的源代码,通过所述源代码确定网络攻击的恶意程序。
8.如权利要求7所述的装置,其特征在于,
所述取证单元,还用于将所述源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时,确认与所述源代码对应的网页文件为恶意后门程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310629423.5A CN103595732B (zh) | 2013-11-29 | 2013-11-29 | 一种网络攻击取证的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310629423.5A CN103595732B (zh) | 2013-11-29 | 2013-11-29 | 一种网络攻击取证的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103595732A CN103595732A (zh) | 2014-02-19 |
| CN103595732B true CN103595732B (zh) | 2017-09-15 |
Family
ID=50085714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310629423.5A Active CN103595732B (zh) | 2013-11-29 | 2013-11-29 | 一种网络攻击取证的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103595732B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825942B (zh) * | 2014-02-24 | 2018-07-10 | 可牛网络技术(北京)有限公司 | 自动查询应用程序app行为报告的方法、装置及服务器 |
| CN104660604A (zh) * | 2015-02-25 | 2015-05-27 | 吴燕珊 | 一种更加完善的网站防护算法的实现方法 |
| CN105656872A (zh) * | 2015-07-17 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种基于骨干网的攻击者追踪方法及系统 |
| CN105208000B (zh) * | 2015-08-21 | 2019-02-22 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
| CN105187439A (zh) * | 2015-09-25 | 2015-12-23 | 北京奇虎科技有限公司 | 钓鱼网站检测方法及装置 |
| CN105306467B (zh) * | 2015-10-30 | 2018-05-04 | 北京奇虎科技有限公司 | 网页数据篡改的分析方法及装置 |
| CN106203088A (zh) * | 2016-06-24 | 2016-12-07 | 北京奇虎科技有限公司 | 信息获取的方法及装置 |
| CN107666471A (zh) * | 2016-07-29 | 2018-02-06 | 百度在线网络技术(北京)有限公司 | 用于防护网站的方法和装置 |
| CN107231365B (zh) * | 2017-06-13 | 2020-08-04 | 深信服科技股份有限公司 | 一种取证的方法及服务器以及防火墙 |
| CN110300085B (zh) * | 2018-03-22 | 2022-08-12 | 北京京东尚科信息技术有限公司 | 网络攻击的取证方法、装置、系统、统计集群和计算集群 |
| CN108337269B (zh) * | 2018-03-28 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种WebShell检测方法 |
| CN109600387B (zh) * | 2018-12-29 | 2021-07-20 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958837A (zh) * | 2010-09-30 | 2011-01-26 | 北京世纪互联工程技术服务有限公司 | 日志处理系统、日志处理方法、节点服务器和中心服务器 |
| CN103036905A (zh) * | 2012-12-27 | 2013-04-10 | 北京神州绿盟信息安全科技股份有限公司 | 企业网络安全分析方法和装置 |
| CN103064984A (zh) * | 2013-01-25 | 2013-04-24 | 清华大学 | 垃圾网页的识别方法及系统 |
| CN103281177A (zh) * | 2013-04-10 | 2013-09-04 | 广东电网公司信息中心 | 对Internet信息系统恶意攻击的检测方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100925176B1 (ko) * | 2007-09-21 | 2009-11-05 | 한국전자통신연구원 | 지리 정보를 이용한 네트워크 상태 표시장치 및 방법 |
| CN101572633B (zh) * | 2009-05-05 | 2012-01-11 | 北京系统工程研究所 | 网络取证方法及系统 |
| CN101692267B (zh) * | 2009-09-15 | 2011-09-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102075365B (zh) * | 2011-02-15 | 2012-12-26 | 中国工商银行股份有限公司 | 一种网络攻击源定位及防护的方法、装置 |
| CN103106277A (zh) * | 2013-02-18 | 2013-05-15 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的取证方法 |
-
2013
- 2013-11-29 CN CN201310629423.5A patent/CN103595732B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958837A (zh) * | 2010-09-30 | 2011-01-26 | 北京世纪互联工程技术服务有限公司 | 日志处理系统、日志处理方法、节点服务器和中心服务器 |
| CN103036905A (zh) * | 2012-12-27 | 2013-04-10 | 北京神州绿盟信息安全科技股份有限公司 | 企业网络安全分析方法和装置 |
| CN103064984A (zh) * | 2013-01-25 | 2013-04-24 | 清华大学 | 垃圾网页的识别方法及系统 |
| CN103281177A (zh) * | 2013-04-10 | 2013-09-04 | 广东电网公司信息中心 | 对Internet信息系统恶意攻击的检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103595732A (zh) | 2014-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| US9992217B2 (en) | Methods, systems, and computer readable media for detecting malicious network traffic | |
| US9509714B2 (en) | Web page and web browser protection against malicious injections | |
| US9773109B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| CN103607413B (zh) | 一种网站后门程序检测的方法及装置 | |
| US9712560B2 (en) | Web page and web browser protection against malicious injections | |
| CN105721427B (zh) | 一种从Web日志中挖掘攻击频繁序列模式的方法 | |
| US8015133B1 (en) | Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions | |
| CN105184159B (zh) | 网页篡改的识别方法和装置 | |
| Liu et al. | A novel approach for detecting browser-based silent miner | |
| US11973768B2 (en) | Method and system for detecting malicious payloads | |
| US11451583B2 (en) | System and method to detect and block bot traffic | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| Moustafa et al. | Data analytics-enabled intrusion detection: Evaluations of ToN_IoT linux datasets | |
| EP3547121B1 (en) | Combining device, combining method and combining program | |
| US10764311B2 (en) | Unsupervised classification of web traffic users | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| CN108351941B (zh) | 分析装置、分析方法、以及计算机可读存储介质 | |
| Stock et al. | Kizzle: A signature compiler for exploit kits | |
| Burji et al. | Malware analysis using reverse engineering and data mining tools | |
| Musch et al. | Towards an automatic generation of low-interaction web application honeypots | |
| CN108763930A (zh) | 基于最小缓存模型的web页面流式解析方法 | |
| JP2017224150A (ja) | 解析装置、解析方法および解析プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220330 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right |