CN103618720A - 一种木马网络通信检测与取证方法和系统 - Google Patents
一种木马网络通信检测与取证方法和系统 Download PDFInfo
- Publication number
- CN103618720A CN103618720A CN201310633815.9A CN201310633815A CN103618720A CN 103618720 A CN103618720 A CN 103618720A CN 201310633815 A CN201310633815 A CN 201310633815A CN 103618720 A CN103618720 A CN 103618720A
- Authority
- CN
- China
- Prior art keywords
- network
- wooden horse
- monitored
- file
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种木马网络通信检测与取证方法,包括:接收用户提交的取证指令,并接受用户的输入,输入为需要被监测的木马进程ID号,根据该取证指令实时的从网卡层捕获计算机网络通信时的网络数据包,以生成计算机网络数据包文件,同时从传输-网络层捕获用户被监测木马进程ID下的网络链接信息,以生成被监测木马进程的网络通信链接信息文件,将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件。本发明能够解决现有网络通信取证技术无法将木马与该木马传出或接收的数据包确切关联起来,或无法将木马传入或传出数据包以应用层的完整文件形式呈现的技术问题。
Description
技术领域
本发明属于计算机信息安全的计算机网络通信取证领域,更具体地,涉及一种木马网络通信检测与取证方法和系统
背景技术
目前网络通信取证技术主要是依靠对网卡层的数据包的截取,并分析其中的通信链路地址(源IP、目地IP、源端口、目地端口)与数据包载荷,从而确定通信链路的源地址或目地是否可靠以及数据包载荷是否涉及用户隐私等。尽管通过这种分析可以从一定程度确定电脑是否遭受入侵威胁,但无法准确定位到是何进程将恶意文件从外部传入计算机或将计算机内敏感文件传出计算机,使得对计算机犯罪行为的取证还较为粗糙。
目前现有的计算机取证技术大多依赖于国外的取证软件Encase、德国的X-WAYS系列取证软件等,这些软件可以实现简单的网络行为记录。但由于这些软件使用技术只能够记录通信链路地址及数据包载荷,而无法定位到发起这个网络通信会话的进程实体,因而不能从根本上无法消除犯罪主体的抵赖性,同时,通过这些取证软件得到的犯罪证据只是很多零散、无关联的网络数据包,无法通过呈现符合逻辑的证据链来举证犯罪行为。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种木马网络通信检测与取证方法和系统,其目的在于,解决现有网络通信取证技术无法将木马与该木马传出或接收的数据包确切关联起来,或无法将木马传入或传出数据包以应用层的完整文件形式呈现的技术问题,通过木马与数据包的关联,以及传入或传出的数据包重组成应用层的完整文件,使本发明的取证方法具有证据的主体确切指向性质与证据直观确切性,并最终提供具有主体确切指向准确可靠与直观的合乎逻辑的证据链,使犯罪行为不可抵赖。
为实现上述目的,按照本发明的一个方面,提供了一种木马网络通信检测与取证方法,包括以下步骤:
(1)接收用户提交的取证指令,并接受用户的输入,输入为需要被监测的木马进程ID号,根据该取证指令实时的从本机的网卡层捕获计算机网络通信时的网络数据包,以生成计算机网络数据包文件,同时从传输-网络层捕获被监测木马进程ID下的网络链接信息,以生成被监测木马进程的网络通信链接信息文件;
(2)将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件;
(3)对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出或接收的应用层文件,或与外界交互的有序信息交互序列;
(4)对步骤(1)得到的被监测木马进程的网络链接信息文件,步骤(2)得到的被监测木马进程网络数据包文件与步骤(3)得到的被监测木马相关联应用层文件或有序信息交互序列进行整理归纳,以生成记录被监测木马网络通信的三级有序证据链文件。
优选地,计算机网络数据包文件中包括该数据包所在通信链路的源端口号、目地端口号、目地IP地址和数据包载荷,以及该数据包的接收/发送时间,被监测木马进程的网络通信链接信息文件包括进程的进程名和ID号,该进程发起或撤销的网络通信链路的源及目的端口号与目的IP地址,该进程该发起或断开网络链接的时间以及发起或断开网络链接的标志,其中网络链接信息文件的信息项是作为一个整体被导出的。
优选地,计算机网络数据包的捕获是通过基于WinPcap协议实现,被监测木马进程网络链接信息的捕获是通过在传输网络层设置Hook函数的方式实现,这两种方式是通过基于TCP/IP网络协议栈所导出的。
优选地,步骤(2)具体为,将计算机网络数据包文件中每一个数据包所在通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的进程所在通信链路的端口号、IP地址进行比较,以找出与之相同的多个数据包,并将这些数据包所在通信链路的端口号、IP地址和其它通信内容保存为被监测木马进程的网络数据包文件,并确保这些数据包的接收/发送时间位于被监测木马进程网络链接信息文件中该进程所在通信链路的发起时间和断开时间之间。
优选地,步骤(3)具体为,首先去除被监测木马进程的网络通信包文件中包头的冗余信息,及其中的数据包的接收/发送时间,最后再使用数据包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原处理,以生成被监测木马传出接收的应用层文件或有序信息交互序列。
按照本发明的另一方面,提供了一种木马网络通信检测与取证系统,包括:
木马网络链接信息获取模块,用于接收用户提交的取证指令与用户输入的木马进程ID,从传输-网络层捕获用户监测木马进程ID下的网络通信链接信息,以生成被监测木马进程的网络链接信息文件;
计算机网络数据包获取模块,用于在接收用户提交的取证指令的同时,根据该取证指令从本机的网卡层捕获计算机通信时的网络数据包,以生成计算机网络数据包文件;
网络数据包过滤模块,用于将木马网络链接信息获取模块生成的被监测木马进程的网络链接信息文件作为控制信息,对计算机网络数据包文件过滤,以生成仅与被监测木马进程相关联的被监测木马进程网络数据包文件;
文件重组模块,用于对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出接收的应用层文件,或与外界交互的有序信息交互序列;
证据生成模块,用于对得到的被监测木马进程的网络通信链接信息文件,监测木马进程网络数据包文件与被监测木马传出接收应用层文件或有序信息交互序列进行整理归纳,以生成记录被监测木马网络犯罪行为的三级有序逻辑相扣证据链。
优选地,被监测木马进程的网络链接信息文件包括进程的进程名和ID号,该进程所在通信链路的端口号和IP地址,以及该通信链路的发起时间和断开时间,该通信链路的发起或断开的标志;计算机网络数据包文件中包括该数据包所在通信链路的端口号、IP地址和其它通信内容,以及该数据包的接收或发送时间。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
1、采用多方面证据采集,并加以科学的符合逻辑的处理,通过共有的信息项将犯罪主体与犯罪证据关联起来。
2、在进行关联处理的时候采用时间逻辑限定,确保证据事项发生时间处于犯罪主体行为发生时间段内,增强其关联性。
3、通过网络数据包还原技术,将其恢复成可读的、直观的应用层文件或是有序的信息交互序列,使得犯罪行为不可抵赖,因而对网络取证技术来说是一项突破,对今后取证技术的发展及标准化有着重大的意义。
4、在所获取的证据的完备性上是一大进步,电子证据由于其特殊的单一性,它往往只能确定某一方面的行为,本取证方法通过多方获取可靠、准确的证据,并通过严谨、科学的处理,进而形成完整的逻辑相扣的证据链,以此定位犯罪主体及确定其犯罪行为。
附图说明
图1是本发明木马网络通信检测与取证方法的流程图。
图2是计算机网络数据包文件的记录结构示意图。
图3是网络通信链接信息文件的记录结构示意图。
图4是本发明木马网络通信检测与取证系统的模块与数据流向示意图。
图5是三级有序的证据链示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明的整体思路在于,通过在传输-网络层处捕获的用户监测的计算机木马的网络通信链接信息(IP地址,端口号,链接时间)与在网卡层获得的数据包文件关联比对以获得用户监测的计算机木马的网络通信时发送或接收的数据包;应用网络包重组文件技术获得该木马在网络通信时发送或接受的直观的应用层数据文件。
如图1所示,本发明的木马网络通信检测与取证方法包括以下步骤:
(1)接收用户提交的取证指令,并接受用户的输入,输入为需要被监测的木马进程ID号,根据该取证指令实时的从本机的网卡层捕获计算机网络通信时的网络数据包,以生成计算机网络数据包文件,同时从传输-网络层捕获被监测木马进程ID下的网络链接信息,以生成被监测木马进程的网络通信链接信息文件,其中计算机网络数据包文件中包括该数据包所在通信链路的源端口号、目地端口号、目地IP地址和数据包载荷,以及该数据包的接收/发送时间(文件格式如图2所示),被监测木马进程的网络通信链接信息文件包括进程的进程名和ID号,该进程发起或撤销的网络通信链路的源及目的端口号与目的IP地址,该进程该发起或断开网络链接的时间以及发起或断开网络链接的标志(文件格式如图3所示),其中网络链接信息文件的信息项是作为一个整体被导出的;具体而言,计算机网络数据包的捕获是通过基于WinPcap协议实现,被监测木马进程网络链接信息的捕获是通过在传输网络层设置Hook函数的方式实现,这两种方式是通过基于TCP/IP网络协议栈所导出的。
本步骤的优点在于:在传输-网络层采用HOOK抓捕机制捕获的被监测木马进程的网络通信链接信息,其中每个信息项是作为一个整体通过HOOK捕获出的,可为被监测的木马与其传输的数据包的关联性提供直接证据。
(2)将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件,具体而言,本步骤是将计算机网络数据包文件中每一个数据包所在通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的进程所在通信链路的端口号、IP地址进行比较,以找出与之相同的多个数据包,并将这些数据包所在通信链路的端口号、IP地址和其它通信内容保存为监测木马进程的网络数据包文件,并确保这些数据包的接收/发送时间位于被监测木马进程网络链接信息文件中该进程所在通信链路的发起时间和断开时间之间;
本步骤的优点在于,所获得的监测木马进程的网络数据包文件只与被监测木马进程相关,从而得到被监测木马网络通信行为证据链的两个逻辑相关的组成部分:被监测木马的网络通信链接信息文件与被监测木马网络数据包文件;
(3)对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出接收的应用层文件,或与外界交互的有序信息交互序列;具体而言,首先去除被监测木马进程的网络通信包文件中包头的冗余信息,及其中的数据包的接收/发送时间,最后再使用数据包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原处理,以生成被监测木马传出接收应用层文件或有序信息交互序列;
本步骤的优点在于,将一条条按照网络协议传输的网络数据包,去除冗余信息,并通过特殊的还原处理,最后形成直观的、可视的应用层文件,从而避免证据不清晰而无法指认罪犯的问题。
(4)对步骤(1)得到的被监测木马进程的网络链接信息文件,步骤(2)得到的监测木马进程网络数据包文件与步骤(3)得到的被监测木马传出接收应用层文件或有序信息交互序列进行整理归纳,以生成记录被监测木马网络通信的三级有序逻辑相扣的证据链文件,该证据链文件结构如图5所示。
本步骤的优点在于,将获取的原始数据与处理后数据进行归纳整理,确保最后生成一条完整的、合乎逻辑的、严谨的、科学的三级有序逻辑相扣的证据链,对犯罪主体及其犯罪行为进行认定,使其无法抵赖。
如图4所示,本发明的木马网络通信检测与取证系统包括:
木马网络链接信息获取模块,用于接收用户提交的取证指令与用户输入的木马进程ID,从传输-网络层捕获用户监测木马进程ID下的网络通信链接信息,以生成被监测木马进程的网络链接信息文件,其中被监测木马进程的网络链接信息文件包括进程的进程名和ID号,该进程所在通信链路的端口号和IP地址,该通信链路的发起时间和断开时间,以及该通信链路的发起或断开的标志。
计算机网络数据包获取模块,用于在接收用户提交的取证指令的同时,根据该取证指令从本机的网卡层捕获计算机通信时的网络数据包,以生成计算机网络数据包文件,该计算机网络数据包文件中包括该数据包所在通信链路的端口号、IP地址和其它通信内容,以及该数据包的接收或发送时间。
网络数据包过滤模块,用于将木马网络链接信息获取模块生成的被监测木马进程的网络链接信息文件作为控制信息,对计算机网络数据包文件过滤,以生成仅与被监测木马进程相关联的被监测木马进程网络数据包文件。具体而言,本步骤是将计算机网络数据包文件中每一个数据包所在通信链路的端口号、IP地址与进程链接文件中的被监测木马进程的网络通信链接信息文件中的端口号、IP地址进行比较,以找出与之相同的多个数据包,并将这些数据包记录项保存入监测木马进程网络数据包文件,并确保这些数据包的接收/发送时间位于被监测木马进程的网络通信链接信息文件中该进程所在通信链路的发起时间和断开时间之间;
文件重组模块,用于对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出接收的应用层文件,或与外界交互的有序信息交互序列;具体而言,首先去除被监测木马进程的网络通信包文件中包头的冗余信息,及其中的数据包的接收/发送时间,最后再使用数据包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原处理,以生成被监测木马传出接收应用层文件或有序信息交互序列;
证据生成模块,对得到的被监测木马进程的网络通信链接信息文件,监测木马进程网络数据包文件与被监测木马相关联应用层文件或有序信息交互序列进行整理归纳,以生成被监测木马网络犯罪行为的三级有序逻辑相扣的证据链,该证据链结使木马犯罪行为不可抵赖。
本发明的有益效果是:采用传输-网络层与网卡层同时取证的技术,通过它们所共有的网络通信链接信息项,将木马进程主体与犯罪行为证据进行关联,过滤掉非被监测木马进程的网络数据包,使留下的数据包只与被监测木马进程想关联,同时将木马的网络活动时间进行记录,作为网卡层数据的一个限定,即网卡层数据的活动时间点必须位于它所在链路活动时间范围内,从而在时间逻辑上增强它们关联性。然后,通过数据包重组应用层文件技术,将上述杂乱,冗余,不直观的数据包文件还原成直观、清晰、可读的与被监测木马进程相关联的应用层数据文件或是有序的木马信息交互序列,对于指正木马的犯罪行为具有不可抵赖性。最后通过统一的证据生成处理,将所得到的被监测木马进程的网络通信链接信息文件,监测木马进程网络数据包文件与被监测木马相关联应用层文件或有序信息交互序列整理形成严谨的、科学的符合逻辑的三级有序证据链,以此定位犯罪主体及确定其犯罪行为。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种木马网络通信检测与取证方法,其特征在于,包括以下步骤:
(1)接收用户提交的取证指令,并接受用户的输入,输入为需要被监测的木马进程ID号,根据该取证指令实时的从本机的网卡层捕获计算机网络通信时的网络数据包,以生成计算机网络数据包文件,同时从传输-网络层捕获用户被监测木马进程ID下的网络链接信息,以生成被监测木马进程的网络通信链接信息文件;
(2)将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件;
(3)对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出或接收的应用层文件,或与外界交互的有序信息交互序列;
(4)对步骤(1)得到的被监测木马进程的网络链接信息文件,步骤(2)得到的监测木马进程网络数据包文件与步骤(3)得到的被监测木马相关联应用层文件或有序信息交互序列进行整理归纳,以生成木马网络通信的三级有序证据链。
2.根据权利要求1所述的木马网络通信检测与取证方法,其特征在于,
计算机网络数据包文件中包括该数据包所在通信链路的源端口号、目地端口号、目地IP地址和数据包载荷,以及该数据包的接收/发送时间;
被监测木马进程的网络通信链接信息文件包括进程的进程名和ID号,该进程发起或撤销的网络通信链路的源及目的端口号与目的IP地址,该进程该发起或断开网络链接的时间以及发起或断开网络链接的标志,其中网络链接信息文件的信息项是作为一个整体被导出的。
3.根据权利要求2所述的木马网络通信检测与取证方法,其特征在于,计算机网络数据包的捕获是通过基于WinPcap协议实现,被监测木马进程网络链接信息的捕获是通过在传输网络层设置Hook函数的方式实现,这两种方式是通过基于TCP/IP网络协议栈所导出的。
4.根据权利要求1或2所述的木马网络通信检测与取证方法,其特征在于,步骤(2)具体为,将计算机网络数据包文件中每一个数据包所在通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的进程所在通信链路的端口号、IP地址进行比较,以找出与之相同的多个数据包,并将这些数据包所在通信链路的端口号、IP地址和其它通信内容保存为监测木马进程的网络数据包文件,并确保这些数据包的接收/发送时间位于被监测木马进程网络链接信息文件中该进程所在通信链路的发起时间和断开时间之间。
5.根据权利要求1或2所述的木马网络通信检测与取证方法,其特征在于,步骤(3)具体为,首先去除被监测木马进程的网络通信包文件中包头的冗余信息,及其中的数据包的接收/发送时间,最后再使用数据包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原处理,以生成被监测木马相关联应用层文件或有序信息交互序列。
6.一种木马网络通信检测与取证系统,包括:
木马网络链接信息获取模块,用于接收用户提交的取证指令与用户输入的木马进程ID,从传输-网络层捕获用户监测木马进程ID下的网络通信链接信息,以生成被监测木马进程的网络链接信息文件;
计算机网络数据包获取模块,用于在接收用户提交的取证指令的同时,根据该取证指令从本机的网卡层捕获计算机通信时的网络数据包,以生成计算机网络数据包文件;
网络数据包过滤模块,用于将木马网络链接信息获取模块生成的被监测木马进程的网络链接信息文件作为控制信息,对计算机网络数据包文件过滤,以生成仅与被监测木马进程相关联的被监测木马进程网络数据包文件;
文件重组模块,用于对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出或接收的应用层文件,或与外界交互的有序信息交互序列;
证据生成模块,用于对得到的被监测木马进程的网络通信链接信息文件,监测木马进程网络数据包文件与被监测木马相关联应用层文件或有序信息交互序列进行整理归纳,以生成被监测木马网络犯罪行为的三级有序证据链。
7.根据权利要求6所述的木马网络通信检测与取证系统,其特征在于,
被监测木马进程的网络链接信息文件包括进程的进程名和ID号,该进程所在通信链路的端口号和IP地址,以及该通信链路的发起时间和断开时间,该通信链路的发起或断开的标志;
计算机网络数据包文件中包括该数据包所在通信链路的端口号、IP地址和其它通信内容,以及该数据包的接收或发送时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310633815.9A CN103618720B (zh) | 2013-11-29 | 2013-11-29 | 一种木马网络通信检测与取证方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310633815.9A CN103618720B (zh) | 2013-11-29 | 2013-11-29 | 一种木马网络通信检测与取证方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103618720A true CN103618720A (zh) | 2014-03-05 |
CN103618720B CN103618720B (zh) | 2016-04-20 |
Family
ID=50169424
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310633815.9A Expired - Fee Related CN103618720B (zh) | 2013-11-29 | 2013-11-29 | 一种木马网络通信检测与取证方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103618720B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104462996A (zh) * | 2014-12-03 | 2015-03-25 | 公安部第三研究所 | 实现对远程取证目标终端进行协同取证分析的方法及系统 |
CN105450640A (zh) * | 2015-11-12 | 2016-03-30 | 国家电网公司 | 一种电子取证方法 |
CN104021349B (zh) * | 2014-04-03 | 2017-07-14 | 福建伊时代信息科技股份有限公司 | 网络证据事前保全方法及保全装置 |
CN110971605A (zh) * | 2019-12-05 | 2020-04-07 | 福建天晴在线互动科技有限公司 | 一种通过捕获数据包获取盗版游戏服务器信息的方法 |
CN111355732A (zh) * | 2020-02-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 链接检测方法、装置、电子设备及存储介质 |
CN116170340A (zh) * | 2023-04-24 | 2023-05-26 | 图林科技(深圳)有限公司 | 一种网络安全测试评估方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
US20070214151A1 (en) * | 2005-11-28 | 2007-09-13 | Threatmetrix Pty Ltd | Method and System for Processing a Stream of Information From a Computer Network Using Node Based Reputation Characteristics |
CN102316074A (zh) * | 2010-07-01 | 2012-01-11 | 电子科技大学 | 基于libnids的http协议多线程还原方法 |
CN102387151A (zh) * | 2011-11-01 | 2012-03-21 | 天津大学 | 一种p2p网络中基于块的病毒检测方法 |
CN102402662A (zh) * | 2010-11-01 | 2012-04-04 | 卡巴斯基实验室封闭式股份公司 | 使用反病毒缓存加速恶意软件检测的系统和方法 |
CN102932337A (zh) * | 2012-10-24 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全状态预测方法 |
CN102938771A (zh) * | 2012-12-05 | 2013-02-20 | 山东中创软件商用中间件股份有限公司 | 一种网络应用防火墙的方法和系统 |
-
2013
- 2013-11-29 CN CN201310633815.9A patent/CN103618720B/zh not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
US20070214151A1 (en) * | 2005-11-28 | 2007-09-13 | Threatmetrix Pty Ltd | Method and System for Processing a Stream of Information From a Computer Network Using Node Based Reputation Characteristics |
CN102316074A (zh) * | 2010-07-01 | 2012-01-11 | 电子科技大学 | 基于libnids的http协议多线程还原方法 |
CN102402662A (zh) * | 2010-11-01 | 2012-04-04 | 卡巴斯基实验室封闭式股份公司 | 使用反病毒缓存加速恶意软件检测的系统和方法 |
CN102387151A (zh) * | 2011-11-01 | 2012-03-21 | 天津大学 | 一种p2p网络中基于块的病毒检测方法 |
CN102932337A (zh) * | 2012-10-24 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全状态预测方法 |
CN102938771A (zh) * | 2012-12-05 | 2013-02-20 | 山东中创软件商用中间件股份有限公司 | 一种网络应用防火墙的方法和系统 |
Non-Patent Citations (1)
Title |
---|
张显: "基于多代理的分布式网络动态取证模型研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 May 2010 (2010-05-15), pages 139 - 149 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104021349B (zh) * | 2014-04-03 | 2017-07-14 | 福建伊时代信息科技股份有限公司 | 网络证据事前保全方法及保全装置 |
CN104462996A (zh) * | 2014-12-03 | 2015-03-25 | 公安部第三研究所 | 实现对远程取证目标终端进行协同取证分析的方法及系统 |
CN105450640A (zh) * | 2015-11-12 | 2016-03-30 | 国家电网公司 | 一种电子取证方法 |
CN110971605A (zh) * | 2019-12-05 | 2020-04-07 | 福建天晴在线互动科技有限公司 | 一种通过捕获数据包获取盗版游戏服务器信息的方法 |
CN110971605B (zh) * | 2019-12-05 | 2022-03-08 | 福建天晴在线互动科技有限公司 | 一种通过捕获数据包获取盗版游戏服务器信息的方法 |
CN111355732A (zh) * | 2020-02-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 链接检测方法、装置、电子设备及存储介质 |
US11943256B2 (en) | 2020-02-28 | 2024-03-26 | Tencent Technology (Shenzhen) Company Limited | Link detection method and apparatus, electronic device, and storage medium |
CN116170340A (zh) * | 2023-04-24 | 2023-05-26 | 图林科技(深圳)有限公司 | 一种网络安全测试评估方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103618720B (zh) | 2016-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103618720B (zh) | 一种木马网络通信检测与取证方法和系统 | |
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
JP3968724B2 (ja) | ネットワーク保安システム及びその動作方法 | |
US20190098027A1 (en) | Joint defence method and apparatus for network security, and server and storage medium | |
CN101980506B (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
CN107181612A (zh) | 一种基于大数据的可视化网络安全监控方法 | |
CN103067218B (zh) | 一种高速网络数据包内容分析装置 | |
US20160134503A1 (en) | Performance enhancements for finding top traffic patterns | |
CN103475653A (zh) | 网络数据包的检测方法 | |
CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
CN105554016A (zh) | 网络攻击的处理方法和装置 | |
CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
CN103248606A (zh) | 一种面向IPv4和IPv6的网络病毒检测方法及系统 | |
CN103988478A (zh) | 智能连接器、集成磁模块插口和智能物理层设备 | |
CN103179039A (zh) | 一种有效过滤正常网络数据包的方法 | |
CN107070952A (zh) | 一种网络节点流量异常分析方法及系统 | |
KR101498696B1 (ko) | 유해 트래픽 탐지 시스템 및 방법 | |
CN112383573B (zh) | 一种基于多个攻击阶段的安全入侵回放设备 | |
CN103490944A (zh) | 一种基于bp神经网络的混合式p2p流量监测系统 | |
Beazley et al. | Exploratory data analysis of a unified host and network dataset | |
CN103957128A (zh) | 云计算环境下监控数据流向的方法及系统 | |
Liu et al. | A framework for database auditing | |
KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
CN102970186A (zh) | 设备的性能检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160420 Termination date: 20161129 |
|
CF01 | Termination of patent right due to non-payment of annual fee |