CN103905415A - 一种防范远控类木马病毒的方法及系统 - Google Patents
一种防范远控类木马病毒的方法及系统 Download PDFInfo
- Publication number
- CN103905415A CN103905415A CN201310507662.3A CN201310507662A CN103905415A CN 103905415 A CN103905415 A CN 103905415A CN 201310507662 A CN201310507662 A CN 201310507662A CN 103905415 A CN103905415 A CN 103905415A
- Authority
- CN
- China
- Prior art keywords
- data packet
- packet flow
- flow
- traffic stream
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种防范远控类木马病毒的方法及系统,方法包括:捕获网络中的数据包流量;用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则将所述数据包流量交给后续恶意代码探头处理,否则继续判断所述数据包流量;排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。发明还提供了相应的系统,通过本发明的方法及系统,能够有效防范远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种防范远控类木马病毒的方法及系统。
背景技术
在网络安全领域,计算机病毒主要目的在于破坏系统设备,而木马则更倾向于机密信息窃取。远控程序属于木马的一种,一旦被不法分子使用,则会用于窃取机密文件,造成信息泄漏,造成不可估量的损失。
远程控制是一种操作计算机的手段,通过远控程序从控制端对被控端的各种资源进行相应的控制,本质上和本地操作并无实质区别,远控者通常对系统拥有较高的执行权限。远控程序由两部分构成:一部分是用来发送命令的客户端程序(Client),另一部分是用来提供服务的服务端程序(Server)。客户端程序运行在控制端,而服务端程序运行在被控端,远控程序通过特定技术手段在对应的计算机之间建立通信信道,用来进行发送命令或者数据传输,建立连接后,控制端向被控端发送相应的指令,操作被控端完成特定的任务。在连接的过程中,被控端一旦接受到控制端发送过来的指令,就会根据指令内容完成相应的任务指示,并发送返回结果指令。
远控木马的关键技术大致分为3大类:Web技术、Activex技术以及Sockets技术。Web技术可以分为前端和后端两部分,远控木马利用Web技术的便利性,通过浏览器远程控制目标主机已经成为当下较流行的方法,例如Webshell程序。Activex技术是由微软提出的一种建立在COM/DCOM (组件/分布式组件对象模型) 基础之上的技术。Activex 技术包括 OLE(对象的链接与嵌入) 和其它应用于 Internet 上的多种技术。Activex 程序执行过程如下:首先利用目标浏览器访问包含Activex控件的Web页面,浏览器则会自动下载Activex控件,并将该控件在系统中注册执行,远控木马可以利用这一特性,来实现对目标主机的各种操作。Sockets技术是网络编程的核心,是进行网络通信的基本单元,一切基于TCP/IP协议的网络应用程序都是建立在socket基础之上的。
目前对于远控木马的检测技术大致分为三类:一类是从木马植入阶段开始分析,该方法功能单一,容易存在漏报、误报的可能;第二类是从木马激活运行入手进行检测,该方法识别率较低,当木马更改初始状态时无法被检测;第三类是从木马通信过程进行检测,该检测方法存在一定的滞后性,远控类木马在植入到目标系统到运行、控制等阶段都可以更改通信端口,从而避免被该方法识别。
发明内容
本发明提供了一种防范远控类木马病毒的方法及系统,能够有效防范远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害。
一种防范远控类木马病毒的方法,包括:
捕获网络中的数据包流量;
用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则将所述数据包流量交给后续恶意代码探头处理,否则继续判断所述数据包流量;
排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。
所述的方法中,所述在用预先设定的特征规则库中的特征,遍历捕获到的数据包流量之前,包括建立特征规则库,所述规则特征库中的特征为已知恶意程序的特征集合。
所述的方法中,所述排除捕获的数据包流量中的已知URL具体为:建立URL黑名单及白名单,判断捕获的数据包流量中的URL是否与URL黑名单及白名单匹配,如果是,则将所述数据包流量交给后续恶意代码探头处理。
由于远控类木马一般会采取端口复用的方式来实现其通信端口的隐藏,因此所述的方法中,判断所述数据包流量是否为恶意流量具体为:
捕获数据包流量中的所有原始数据包;
提取数据包信息,所述数据包信息包括时间、数据包大小、IP地址、端口;
根据IP地址及端口信息,确定数据包相关进程;
在预设时间间隔内,统计每个进程的数据包流量,并绘制预设时间间隔内的进程流量图,根据预设条件判断所述进程产生的数据包流量是否是恶意流量。
所述的方法中,根据预设条件判断所述进程产生的数据包流量是否是恶意流量为:
比较预设时间间隔内进程产生的上行数据包流量及下行数据包流量,如果上行数据包流量大于下行数据包流量,则所述进程产生的数据包流量为恶意流量,否则,所述进程产生的数据包流量为非恶意流量。
本发明方法中所述的后续恶意代码探头为已知的任何恶意代码检测方法设备或系统,其具有与本发明方法中特征规则库中相同的特征及URL黑名单及白名单,因此可以将已知的恶意代码或木马病毒交由其进行处理,而进一步对未识别的数据包流量进行识别。
一种防范远控类木马病毒的系统,包括:
数据捕获模块,用于捕获网络中的数据包流量;
第一判断模块,用于用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则将所述数据包流量交给后续恶意代码探头处理,否则将所述数据包流量发送到第二判断模块继续判断;
第二判断模块,用于排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。
所述的系统中,所述第一判断模块在用预先设定的特征规则库中的特征,遍历捕获到的数据包流量之前,还包括建立特征规则库,所述规则特征库中的特征为已知恶意程序的特征集合。
所述的系统中,所述排除捕获的数据包流量中的已知URL具体为:建立URL黑名单及白名单,判断捕获的数据包流量中的URL是否与URL黑名单及白名单匹配,如果是,则将所述数据包流量交给后续恶意代码探头处理。
所述的系统中,所述第二判断模块中判断所述数据包流量是否为恶意流量具体为:
捕获数据包流量中的所有原始数据包;
提取数据包信息,所述数据包信息包括时间、数据包大小、IP地址、端口;
根据IP地址及端口信息,确定数据包相关进程;
在预设时间间隔内,统计每个进程的数据包流量,并绘制预设时间间隔内的进程流量图,根据预设条件判断所述进程产生的数据包流量是否是恶意流量。
所述的系统中,根据预设条件判断所述进程产生的数据包流量是否是恶意流量为:
比较预设时间间隔内进程产生的上行数据包流量及下行数据包流量,如果上行数据包流量大于下行数据包流量,则所述进程产生的数据包流量为恶意流量,否则,所述进程产生的数据包流量为非恶意流量。
本发明的方法和系统,能够通过对捕获的数据包流量进行多次判断,通过对数据包中端口和IP的关系,结合木马的运行原理,比较正常程序与远控类木马程序运行时产生的上行流量和下行流量,从而检测数据包流量是否为恶意程序所致,通过多级筛选判断,进行放行、阻断或报警等处理。本发明方法与传统的流量检测相比,具有一定的精确性,降低误报和漏报发生的概率,整个发明都可以通过自动化分析,有效防范远控类木马的运行。
本发明提供了一种防范远控类木马的方法及系统,所述方法包括,捕获网络中的数据包流量;用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征;排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。通过本发明的方法,能够对捕获的数据包流量进行多次判断,提高了判断的准确性,并根据木马运行原理,有效阻止远控类木马的运行。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种防范远控类木马病毒的方法流程图;
图2为一种防范远控类木马病毒的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种防范远控类木马病毒的方法及系统,能够有效防范远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害。
一种防范远控类木马病毒的方法,如图1所示,包括:
S101:捕获网络中的数据包流量; 对于捕获的数据包流量,可以将其存储到专门的服务器设备中进行汇总,便于后续的判断,可以选择多台服务器协同,以缓解存储的压力。
S102:用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则执行S103,否则执行S104。
遍历捕获到的数据包流量可以通过脚本自动化遍历。
S103:将所述数据包流量交给后续恶意代码探头处理。
所述的恶意代码探头为其他已知的恶意代码检测方法设备或系统,由于其具有与本发明相同的特征规则库,因此对于已知的恶意代码具有检测及处理能力,因此交由其进行处理。
S104:排除捕获的数据包流量中的已知URL。
对URL进行检测排除,是一种较为快捷的检测方式,远控类木马在连接请求的时候有可能会访问某个URL链接,下载所需组件,此时通过URL的判断,可以迅速识别恶意或非恶意的流量。以webshell远控为例来说明,当我们访问该页面时,浏览器向http服务器发出一个请求,服务器端负责在数据库中获取请求页面,通过网络传回给客户主机,如果在通信过程中截获该URL,则不仅可以有效阻止木马的传播,同时可以提高检测防范效率。
S105:判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。
所述的方法中,所述在用预先设定的特征规则库中的特征,遍历捕获到的数据包流量之前,包括建立特征规则库,所述规则特征库中的特征为已知恶意程序的特征集合,所述的特征规则库可随时进行更新。
所述的方法中,所述排除捕获的数据包流量中的已知URL具体为:建立URL黑名单及白名单,判断捕获的数据包流量中的URL是否与URL黑名单及白名单匹配,如果是,则将所述数据包流量交给后续恶意代码探头处理。由于后续恶意代码探头具有相同的黑名单及白名单,因此其具有对相同URL的处理能力,因此在这里不做处理,而是进一步对未确定的数据包流量进行判断。
由于远控类木马一般会采取端口复用的方式来实现其通信端口的隐藏,将自身通信连接的端口隐藏在合法的通信端口中,因此所述的方法中,判断所述数据包流量是否为恶意流量具体为:
捕获数据包流量中的所有原始数据包;
提取数据包信息,所述数据包信息包括时间、数据包大小、IP地址、端口;
根据IP地址及端口信息,确定数据包相关进程;
在预设时间间隔内,统计每个进程的数据包流量,并绘制预设时间间隔内的进程流量图,根据预设条件判断所述进程产生的数据包流量是否是恶意流量。
所述的方法中,根据预设条件判断所述进程产生的数据包流量是否是恶意流量为:
比较预设时间间隔内进程产生的上行数据包流量及下行数据包流量,如果上行数据包流量大于下行数据包流量,则所述进程产生的数据包流量为恶意流量,否则,所述进程产生的数据包流量为非恶意流量。
由于远控类木马程序大多上行流量远远大于下行流量,而正常程序的下行流量会超过上行流量,因此采用上述方法进行判断。虽然有时木马程序也会出现相反的特征,即当控制端希望回传给被控端文件或程序时,但这一情况很少出现,由于避免产生异常流量,一般远控木马传递的文件大都较小,所以总体上依然上行流量大于下行流量。
本发明方法中所述的后续恶意代码探头为已知的任何恶意代码检测方法设备或系统,其具有与本发明方法中特征规则库中相同的特征及URL黑名单及白名单,因此可以将已知的恶意代码或木马病毒交由其进行处理,而进一步对未识别的数据包流量进行识别。
一种防范远控类木马病毒的系统,可以部署在任何流量出入的端口,如图2所示,所述系统包括:
数据捕获模块201,用于捕获网络中的数据包流量;
第一判断模块202,用于用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则将所述数据包流量交给后续恶意代码探头处理,否则将所述数据包流量发送到第二判断模块继续判断;
第二判断模块203,用于排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。
所述的系统中,所述第一判断模块在用预先设定的特征规则库中的特征,遍历捕获到的数据包流量之前,还包括建立特征规则库,所述规则特征库中的特征为已知恶意程序的特征集合。
所述的系统中,所述排除捕获的数据包流量中的已知URL具体为:建立URL黑名单及白名单,判断捕获的数据包流量中的URL是否与URL黑名单及白名单匹配,如果是,则将所述数据包流量交给后续恶意代码探头处理。
所述的系统中,所述第二判断模块中判断所述数据包流量是否为恶意流量具体为:
捕获数据包流量中的所有原始数据包;
提取数据包信息,所述数据包信息包括时间、数据包大小、IP地址、端口;
根据IP地址及端口信息,确定数据包相关进程;
在预设时间间隔内,统计每个进程的数据包流量,并绘制预设时间间隔内的进程流量图,根据预设条件判断所述进程产生的数据包流量是否是恶意流量。
所述的系统中,根据预设条件判断所述进程产生的数据包流量是否是恶意流量为:
比较预设时间间隔内进程产生的上行数据包流量及下行数据包流量,如果上行数据包流量大于下行数据包流量,则所述进程产生的数据包流量为恶意流量,否则,所述进程产生的数据包流量为非恶意流量。
本发明的方法和系统,能够通过对捕获的数据包流量进行多次判断,通过对数据包中端口和IP的关系,结合木马的运行原理,比较正常程序与远控类木马程序运行时产生的上行流量和下行流量,从而检测数据包流量是否为恶意程序所致,通过多级筛选判断,进行放行、阻断或报警等处理。本发明方法与传统的流量检测相比,具有一定的精确性,降低误报和漏报发生的概率,整个发明都可以通过自动化分析,有效防范远控类木马的运行。
本发明提供了一种防范远控类木马的方法及系统,所述方法包括,捕获网络中的数据包流量;用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征;排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。通过本发明的方法,能够对捕获的数据包流量进行多次判断,提高了判断的准确性,并根据木马运行原理,有效阻止远控类木马的运行。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1.一种防范远控类木马病毒的方法,其特征在于,包括:
捕获网络中的数据包流量;
用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则将所述数据包流量交给后续恶意代码探头处理,否则继续判断所述数据包流量;
排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。
2.如权利要求1所述的方法,其特征在于,所述在用预先设定的特征规则库中的特征,遍历捕获到的数据包流量之前,包括建立特征规则库,所述规则特征库中的特征为已知恶意程序的特征集合。
3.如权利要求1所述的方法,其特征在于,所述排除捕获的数据包流量中的已知URL具体为:建立URL黑名单及白名单,判断捕获的数据包流量中的URL是否与URL黑名单及白名单匹配,如果是,则将所述数据包流量交给后续恶意代码探头处理。
4.如权利要求1所述的方法,其特征在于,所述判断所述数据包流量是否为恶意流量具体为:
捕获数据包流量中的所有原始数据包;
提取数据包信息,所述数据包信息包括时间、数据包大小、IP地址、端口;
根据IP地址及端口信息,确定数据包相关进程;
在预设时间间隔内,统计每个进程的数据包流量,并绘制预设时间间隔内的进程流量图,根据预设条件判断所述进程产生的数据包流量是否是恶意流量。
5.如权利要求4所述的方法,其特征在于,根据预设条件判断所述进程产生的数据包流量是否是恶意流量为:
比较预设时间间隔内进程产生的上行数据包流量及下行数据包流量,如果上行数据包流量大于下行数据包流量,则所述进程产生的数据包流量为恶意流量,否则,所述进程产生的数据包流量为非恶意流量。
6.一种防范远控类木马病毒的系统,其特征在于,包括:
数据捕获模块,用于捕获网络中的数据包流量;
第一判断模块,用于用预先设定的特征规则库中的特征,遍历捕获到的数据包流量,判断是否存在匹配的特征,如果匹配,则将所述数据包流量交给后续恶意代码探头处理,否则将所述数据包流量发送到第二判断模块继续判断;
第二判断模块,用于排除捕获的数据包流量中的已知URL,并判断所述数据包流量是否为恶意流量,如果所述数据包流量是恶意流量,则进行阻断并报警提示;否则放行所述数据包流量。
7.如权利要求6所述的系统,其特征在于,所述第一判断模块在用预先设定的特征规则库中的特征,遍历捕获到的数据包流量之前,还包括建立特征规则库,所述规则特征库中的特征为已知恶意程序的特征集合。
8.如权利要求1所述的方法,其特征在于,所述排除捕获的数据包流量中的已知URL具体为:建立URL黑名单及白名单,判断捕获的数据包流量中的URL是否与URL黑名单及白名单匹配,如果是,则将所述数据包流量交给后续恶意代码探头处理。
9.如权利要求6所述的系统,其特征在于,所述第二判断模块中判断所述数据包流量是否为恶意流量具体为:
捕获数据包流量中的所有原始数据包;
提取数据包信息,所述数据包信息包括时间、数据包大小、IP地址、端口;
根据IP地址及端口信息,确定数据包相关进程;
在预设时间间隔内,统计每个进程的数据包流量,并绘制预设时间间隔内的进程流量图,根据预设条件判断所述进程产生的数据包流量是否是恶意流量。
10.如权利要求9所述的系统,其特征在于,根据预设条件判断所述进程产生的数据包流量是否是恶意流量为:
比较预设时间间隔内进程产生的上行数据包流量及下行数据包流量,如果上行数据包流量大于下行数据包流量,则所述进程产生的数据包流量为恶意流量,否则,所述进程产生的数据包流量为非恶意流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310507662.3A CN103905415A (zh) | 2013-10-25 | 2013-10-25 | 一种防范远控类木马病毒的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310507662.3A CN103905415A (zh) | 2013-10-25 | 2013-10-25 | 一种防范远控类木马病毒的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103905415A true CN103905415A (zh) | 2014-07-02 |
Family
ID=50996570
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310507662.3A Pending CN103905415A (zh) | 2013-10-25 | 2013-10-25 | 一种防范远控类木马病毒的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103905415A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104091124A (zh) * | 2014-07-03 | 2014-10-08 | 利诚服装集团股份有限公司 | 一种数据安全处理方法 |
CN104378361A (zh) * | 2014-10-24 | 2015-02-25 | 苏州阔地网络科技有限公司 | 一种网络入侵检测方法及系统 |
CN104579823A (zh) * | 2014-12-12 | 2015-04-29 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
CN105262722A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
CN106657100A (zh) * | 2016-12-29 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种基于数据包过滤的远程控制恶意程序检测方法及系统 |
CN109257379A (zh) * | 2018-11-07 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种木马程序的检测方法、装置、设备及存储介质 |
CN110858837A (zh) * | 2018-08-24 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
CN111756707A (zh) * | 2020-06-08 | 2020-10-09 | 中国电信集团工会上海市委员会 | 一种应用于全球广域网的后门安全防护装置和方法 |
WO2022143511A1 (zh) * | 2020-12-31 | 2022-07-07 | 华为技术有限公司 | 一种恶意流量识别方法及相关装置 |
CN117579385A (zh) * | 2024-01-16 | 2024-02-20 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、系统及设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1298856B1 (en) * | 2001-09-29 | 2006-12-27 | Lg Electronics Inc. | Method of transmitting packet data in a communication system |
CN101593253A (zh) * | 2009-06-22 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
-
2013
- 2013-10-25 CN CN201310507662.3A patent/CN103905415A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1298856B1 (en) * | 2001-09-29 | 2006-12-27 | Lg Electronics Inc. | Method of transmitting packet data in a communication system |
CN101593253A (zh) * | 2009-06-22 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
Non-Patent Citations (1)
Title |
---|
彭国军,王泰格,绍玉如,刘梦冷: "基于网络流量特征的未知木马检测技术及其实现", 《技术研究》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104091124A (zh) * | 2014-07-03 | 2014-10-08 | 利诚服装集团股份有限公司 | 一种数据安全处理方法 |
CN104378361A (zh) * | 2014-10-24 | 2015-02-25 | 苏州阔地网络科技有限公司 | 一种网络入侵检测方法及系统 |
CN104579823A (zh) * | 2014-12-12 | 2015-04-29 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
CN104579823B (zh) * | 2014-12-12 | 2016-08-24 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
CN105262722A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
CN106657100A (zh) * | 2016-12-29 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种基于数据包过滤的远程控制恶意程序检测方法及系统 |
CN110858837A (zh) * | 2018-08-24 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
CN109257379A (zh) * | 2018-11-07 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种木马程序的检测方法、装置、设备及存储介质 |
CN111756707A (zh) * | 2020-06-08 | 2020-10-09 | 中国电信集团工会上海市委员会 | 一种应用于全球广域网的后门安全防护装置和方法 |
WO2022143511A1 (zh) * | 2020-12-31 | 2022-07-07 | 华为技术有限公司 | 一种恶意流量识别方法及相关装置 |
CN117579385A (zh) * | 2024-01-16 | 2024-02-20 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、系统及设备 |
CN117579385B (zh) * | 2024-01-16 | 2024-03-19 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、系统及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103905415A (zh) | 一种防范远控类木马病毒的方法及系统 | |
US10454953B1 (en) | System and method for separated packet processing and static analysis | |
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
WO2022083226A1 (zh) | 异常识别方法和系统、存储介质及电子装置 | |
CN104348789B (zh) | 用于防止跨站脚本攻击的Web服务器及方法 | |
CN108293039B (zh) | 处理网络威胁的计算设备、方法和存储介质 | |
CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
CN104202206A (zh) | 报文处理装置及方法 | |
CN103248606A (zh) | 一种面向IPv4和IPv6的网络病毒检测方法及系统 | |
US20170142155A1 (en) | Advanced Local-Network Threat Response | |
CN110912887B (zh) | 一种基于Bro的APT监测系统和方法 | |
CN112491883A (zh) | 一种检测web攻击的方法、装置、电子装置和存储介质 | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
US10348746B2 (en) | Incident detection system including gateway device and server | |
KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
JP2019531610A (ja) | Sip情報分析方法、装置、サーバ及び媒体 | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
CN108206828B (zh) | 一种双重监测安全控制方法及系统 | |
CN109889552A (zh) | 电力营销终端异常流量监控方法、系统及电力营销系统 | |
CN114401103B (zh) | Smb远程传输文件检测方法及装置,电子设备,存储介质 | |
CN104935556A (zh) | 一种网络安全处理方法、装置及系统 | |
CN105791205B (zh) | 一种防止ddos攻击的方法和装置 | |
JP6063340B2 (ja) | 指令元特定装置、指令元特定方法、及び指令元特定プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140702 |
|
WD01 | Invention patent application deemed withdrawn after publication |