CN104363240A - 基于信息流行为合法性检测的未知威胁的综合检测方法 - Google Patents
基于信息流行为合法性检测的未知威胁的综合检测方法 Download PDFInfo
- Publication number
- CN104363240A CN104363240A CN201410693839.8A CN201410693839A CN104363240A CN 104363240 A CN104363240 A CN 104363240A CN 201410693839 A CN201410693839 A CN 201410693839A CN 104363240 A CN104363240 A CN 104363240A
- Authority
- CN
- China
- Prior art keywords
- detection
- packet
- information flow
- unknown
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络信息安全检测方法,尤其涉及一种基于信息流行为合法性检测的未知威胁的综合检测方法,其包括以下步骤:进行文件处理:通过对原始信息流中的多种协议进行文件分析、文件还原,形成新的信息流和文件分析结果;静态检测,对新的信息流进行静态检测得到静态检测结果;动态检测:结合外部日志数据,对新的信息流进行动态行为监测得到动态检测结果;病毒检测:对新的信息流中的文件进行病毒检测,得到病毒检测结果;根据静态检测结果、动态检测结果和病毒检测结果判断是否为未知威胁,若是,则发出未知警告,若否,则正常访问。
Description
技术领域
本发明涉及一种网络信息安全检测方法,尤其涉及一种基于信息流行为合法性检测的未知威胁的综合检测方法。
背景技术
由于互联网信息安全自身的特点使得出现的安全威胁都属于未知性或小范围内传播,具有极高的隐密性,针对互联网信息安全的这种未知威胁如何发现就是急需要解决的问题。
传统的基于特征码的检测技术独立使用只能针对已知病毒或攻击行为,对未知威胁的检测手段无法检测;传统对未知威胁行为的检测手段通常是基于系统、应用权限或者某些重要属性的变更判断,误报率很高,造成大量告警,后期人为排查工作量非常大。
有鉴于上述的缺陷,本设计人,积极加以研究创新,以期创设一种基于信息流行为合法性检测的未知威胁的综合检测方法,使其更具有产业上的利用价值。
发明内容
为解决上述技术问题,本发明的目的是提供一种能够针对未知安全威胁的进行检测的基于信息流行为合法性检测的未知威胁的综合检测方法。
本发明的一种基于信息流行为合法性检测的未知威胁的综合检测方法,包括以下步骤:
进行文件处理:通过对原始信息流中的多种协议进行文件分析、文件还原,形成新的信息流和文件分析结果;
静态检测,对新的信息流进行静态检测得到静态检测结果;
动态检测:结合外部日志数据,对新的信息流进行动态行为监测得到动态检测结果;
病毒检测:对新的信息流中的文件进行病毒检测,得到病毒检测结果;
根据静态检测结果、动态检测结果和病毒检测结果判断是否为未知威胁,若是,则发出未知警告,若否,则正常访问。
进一步的,所述“进行文件处理”具体操作步骤如下:
第一步:对原始信息流进行数据包嗅探;
第二步:数据包的捕获与重组,使用WinPcap库完成网络数据包捕获的工作:利用WinPcap先通过访问网络的数据链路层来实现数据包的捕获,其包括在网络上各主机发送接收的数据包;在数据包发往应用程序之前,按照自定义的规则将与该自定义规则相对应的数据包过滤掉;收集网络通迅过程中的统计信息;利用WinPcap的API函数完成所需的网络数据包监听功能;
第三步:数据包的还原,其中重组得到原始数据包,该所得到的原始数据包为二进制数据,将该二进制数据需转换为十六进制数据。
进一步的,所述第一步包括以下步骤:
A,收集,数据包嗅探器从网络线缆上收集原始二进制数据;
通过将选定的网卡设置成混杂模式来完成抓包,其中在这种模式下,该选定的网卡将抓取一个网段上所有的网络通信流量,而不仅是发往它的数据包;
B,转换,将捕获的二进制数据转换成可读形式,通过命令行数据包嗅探器以解析方式进行显示;
C,还原分析,对捕获和转换后的数据进行还原;
同时,数据包嗅探器以捕获的网络数据作为输入,识别和验证它们的协议,然后开始分析每个协议的特定属性;通过查看网络流量,获取到带宽利用以及接收连接动态行为,判断引起故障的工作站点及其产生原因。
进一步的,所述“静态检测”采用特征码辅助静态检测。
进一步的,所述特征码辅助静态检测包括如下三种检测技术:基于特征码辅助的检测技术、基于反汇编的检测技术以及基于虚拟执行的检测技术,所述“静态检测”采用上述三种检测技术并行执行。
进一步的,所述“动态检测”包括:进行动态行为监测,将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联,并将通过防病毒、IDS、IPS和防火墙模块中的有关攻击模型将检测到的信息集成在一起。
进一步的,所述“动态检测”还包括:使每一个安全功能之间可以互相通信,并关联威胁索引信息,以识别可疑的恶意流量;跟踪每一安全组件的检测活动。
进一步的,所述“检测病毒”为将特征代码法、校验和法、行为检测法、软件模拟法进行依次实用。
借由上述方案,本发明至少具有以下优点:通过对信息流进行文件处理、静态检测、动态检测和病毒检测,实现针对未知安全威胁的进行检测,从而能够发现未知病毒,且信息流中的被查文件的细微变化也能发现,达到安全威胁安全预警、快速发现和威胁定位的作用,以减少用户的资产损失与隐私泄露,另外,由于实现对了未知威胁的判断,从而有助于建立准确的行为权重知识库。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
图1是本发明实施例基于信息流行为合法性检测的未知威胁的综合检测方法的流程图;
图2是本发明实施例基于信息流行为合法性检测的未知威胁的综合检测方法中进行文件处理的流程图;
图3是本发明实施例基于信息流行为合法性检测的未知威胁的综合检测方法中进行静态检测的流程图;
图4是本发明实施例基于信息流行为合法性检测的未知威胁的综合检测方法中动态检测的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
参见图1-4,本发明一较佳实施例所述的一种基于信息流行为合法性检测的未知威胁的综合检测方法,该告知方法通过启发式扫描技术来进行,需要用到文件头和实际的包内容来完成。启发式扫描技术用来增强防病毒k、反垃圾邮件和其他相关的扫描活动,包括扫描文件分析、蠕虫检测、文件类型分析、特征检查和启发式检查。异常检测技术是通过分析整个数据包进行的,包括包头、协议信息、应用信息、包内容和会话行为。启发式扫描和异常检测引擎的开启采用启发式扫描技术和异常检测技术。
该基于信息流行为合法性检测的未知威胁的综合检测方法包括步骤1至步骤5,其中,下述步骤2至步骤3的顺序可以根据实际使用改变。
步骤1,进行文件处理:通过对原始信息流中的多种协议进行文件分析、文件还原,形成新的信息流和文件分析结果。该步骤中包括各类检测以及文件解析,其中,文件解析通过解析还原出的文件,为后续的静态检测提供基础。参见图2,具体操作步骤如下:
一、文件处理的第一步是对原始数据流进行数据包嗅探:
数据包嗅探是捕获和解析网络上在线传输数据的过程(即捕获和解析信息流),需要关注以下六点:了解网络特征;查看网络上的通信主体;确认谁或是哪些应用在占用网络带宽;识别网络使用的高峰时间;识别可能的攻击或恶意活动;寻找不安全以及滥用网络资源的应用。
数据包嗅探过程中涉及到软件和硬件之间的协作,分为3个步骤:
A,收集,数据包嗅探器从网络线缆上收集原始二进制数据;
通过将选定的网卡设置成混杂模式来完成抓包,其中在这种模式下,该选定的网卡将抓取一个网段上所有的网络通信流量,而不仅是发往它的数据包;
B,转换,将捕获的二进制数据转换成可读形式,通过高级的命令行数据包嗅探器以一种非常基础的解析方式进行显示;
C,还原分析,对捕获和转换后的数据进行还原;
同时,数据包嗅探器以捕获的网络数据作为输入,识别和验证它们的协议,然后开始分析每个协议的特定属性;通过查看网络流量,获取到带宽利用以及接收连接动态行为,判断引起故障的工作站点及其产生原因。
二、文件处理的第二步是数据包的捕获与重组,使用WinPcap库可以完成网络数据包捕获的工作:利用WinPcap先通过访问网络的数据链路层来实现数据包的捕获,其包括在网络上各主机发送接收的数据包;在数据包发往应用程序之前,按照自定义的规则将与该自定义规则相对应的特殊的数据包过滤掉;收集网络通迅过程中的统计信息;利用WinPcap的API函数完成所需的网络数据包监听功能。
HTTP通讯数据可能分布在几个数据包中,当PDU大小超过子网限制时,原始数据包将被分割成若干个小的数据包,每个数据包中含有自己的序号和下一个数据包的序号。由于Internet是基于分组交换的,数据包到达信宿机的先后顺序与序号之间没有直接关系,当数据包传到信宿机后,此时得到的是一个无序的数据流。
为了得到一个有意义的HTTP通讯数据,需要将数据包进行重组,设置一个缓冲队列,该缓冲队列的最大空间可设为滑动窗口的最大值。
当接收到一个数据包时,比较其序号和应获得的序号,假如序号相同,则将其归人已排序的数据包行列,同时从缓冲队列中将满足出队条件的数据包出队。
若序号不同,则将其纳入缓冲队列中,并按序列号顺序排序,判断还需要哪些数据包。
对于HTTP的数据内容,一种为请求数据(Request),一种为响应数据(Respond)。对于请求数据,数据内容以“GET”,“POST”,“HEAD”,“PUT”开头的即为起始数据包。
对于请求信息结束的判定方法有两种情况:若请求信息中含有Content-Length域,则可根据其值依次取出规定长度的内容,即可确定结束数据包。
若请求信息中不含有Content-Length域,则可以用两个CRLF作为结束标志。
对于响应数据,数据内容为“HTTP”的即为起始数据包。
对于响应信息结束的判定方法同样也有两种情况:若响应信息中含有Content-Length域,则可根据其值依次取出规定长度的内容,即可确定结束数据包。
若响应信息中不含有Content-Length域,则可根据该数据包是否是FIN包来确定。
三、文件处理的第三步是数据包的还原,其中重组得到原始数据包,该所得到的原始数据包为二进制数据,将该二进制数据需转换为十六进制数据。
对于数据包中包含了文字、图片信息的,采用ASCALL解码函数对原始数据包进行初始化,观察“Content-Type”、“charset”等特殊字段。
判断该数据包是否传送的是文本信息采用什么编码方式,然后进行解码还原。
步骤2,静态检测:对步骤1中所得到的新的信息流进行静态检测得到静态检测结果。该“静态检测”采用多种方式综合的静态检测,其可以有效地检测Shellcode代码。静态检测包括如下三种主流检测技术:基于特征码辅助的检测技术,基于反汇编的检测技术以及基于虚拟执行的检测技术。
其中,基于特征码辅助的检测技术为特征码的检测最简单且高效,但是误报漏报率很高,而且鉴于其检测的不完整性,容易被绕过,其检测方法如下:
1)在模拟执行前fs段设置包含Magic值得陷阱数据;
2)当Shellcode中Get Kernel32Adress Code得到执行时必然会访问到Magic值,并作为目标地址访问;
3)Magic值是一个内存中不可访问的地址,会触发内存访问错误;
4)发现指令中执行过程中触发了对我们预先设置的Magic值得内存地址访问错误。
基于反汇编的检测技术检测效果要优于基于特征码辅助的检测技术,对一般非精心设计的shellcode效果比较理想,但是自修改的解码字段只有在真正执行的时候才能显示其本来特征,能够躲避反汇编检测技术。
递归的反汇编扫描策略中是以程序静态控制流程为基础,通过对可执行代码的扫描来获得比较准确的反汇编结果。
在这种策略中,每一条改变程序流程的指令(例如:跳转指令、调用指令等)是反汇编器扫描的关键点,当扫描到这些指令时,以它们跳转或调用的目标地址作为某一个新程序段的起始。
程序返回类指令等表示程序结束的指令是反汇编器扫描的另一个关键点,当扫描到这类指令时表示当前正在扫描的是程序段的结束。
基于虚拟执行的检测技术能够对抗多种反检测技术,效果较好,缺点是计算量大,硬件配置要求高。
虚拟执行要在沙箱下实现,当有程序向硬盘中写入数据时,无论是修改系统文件,还是修改其他文件,或是在空白区域添加一个文件,都会写在沙箱在硬盘中划分出一个固定区域。
此区域由沙箱管理,当有对硬盘的写操作时,沙箱分别将这些写操作重定向到这个固定的区域中,而不是去修改那些已被占用的空间。
退出沙箱时,沙箱将清空此区域,就像程序没被运行过一样。
鉴于以上单项检测技术都有一定局限性,本步骤中,“静态检测”采用上述三种主流检测技术并行执行,以可大幅增加检测成功几率。请参见图3,该静态检测具体操作如下:对新的信息流进行基于特征码辅助的检测技术,基于反汇编的检测技术以及基于虚拟执行的检测技术并行执行,从而得到静态检测结果。
步骤3,动态检测:结合外部日志数据,对步骤1中所得到的新的信息流进行动态行为监测得到动态检测结果。其可以不依赖签名技术,而有效地检测0day攻击以及未知的恶意软件等。参见图4,该步骤具体包括:
所述“动态检测”进行动态行为监测,将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联,并将通过防病毒、IDS、IPS和防火墙模块中的有关攻击模型将检测到的信息集成在一起,把响应时间控制的小于攻击时间;结合外部日志数据,判断新的信息流与有关攻击模型是否匹配,若是,则判定为攻击行为警告,若否,则范化式存储。
使每一个安全功能之间可以互相通信,并关联“威胁索引”信息,以识别可疑的恶意流量,这些流量可能还未被提取攻击特征;通过跟踪每一安全组件的检测活动,能降低误报率,以提高整个系统的检测精确度。
为了使性能达到最佳,所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析。
以猜密码攻击破解为例,首先在系统中建立一个猜密码的关联行为模型,检测的主要流程为:在主机日志上发现,某境外源IP在凌晨3点,通过远程方式访问目标主机A,以管理员身份试图登录系统。
该主机日志显示,该源IP地址一分钟内输入密码50次以上,均为错误密码。
该用户在10分钟错误密码尝试后,最终登录主机A成功。
而IDS设备显示:该IP地址在三个小时内,曾尝试对多台目的主机B、C、D进行了类似操作。
这些行为通过动态检测与预置模型匹配,可认定为猜密码的攻击行为。
步骤4,病毒检测:对新的信息流中的文件进行病毒检测,得到病毒检测结果。其中,对文件方式的AV检测,提供对未知恶意软件的防护。
为将特征代码法、校验和法、行为检测法、软件模拟法进行依次实用。这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
病毒检测的特征代码法是检测已知病毒的最简单、开销最小的方法,而行为监测法、软件模拟法,与静态检测的检测方式基本一致,但必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
校验和法对未知病毒有一定的检测能力。首先将正常文件的内容,计算其校验和,写入文件中保存。每24小时检查文件的校验和与原来保存的校验和是否一致,可以发现文件是否感染病毒,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
步骤5:根据静态检测结果、动态检测结果和病毒检测结果判断是否为未知威胁,若是,则发出未知警告,若否,则正常访问。
综上所述,上述基于信息流行为合法性检测的未知威胁的综合检测方法优点是:通过对信息流进行文件处理、静态检测、动态检测和病毒检测,实现针对未知安全威胁的进行检测,从而能够发现未知病毒,且信息流中的被查文件的细微变化也能发现,达到安全威胁安全预警、快速发现和威胁定位的作用,以减少用户的资产损失与隐私泄露,另外,由于实现对了未知威胁的判断,从而有助于建立准确的行为权重知识库。
以上所述仅是本发明的优选实施方式,并不用于限制本发明,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。
Claims (8)
1.一种基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:包括以下步骤:
进行文件处理:通过对原始信息流中的多种协议进行文件分析、文件还原,形成新的信息流和文件分析结果;
静态检测,对新的信息流进行静态检测得到静态检测结果;
动态检测:结合外部日志数据,对新的信息流进行动态行为监测得到动态检测结果;
病毒检测:对新的信息流中的文件进行病毒检测,得到病毒检测结果;
根据静态检测结果、动态检测结果和病毒检测结果判断是否为未知威胁,若是,则发出未知警告,若否,则正常访问。
2.根据权利要求1所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述“进行文件处理”具体操作步骤如下:
第一步:对原始信息流进行数据包嗅探;
第二步:数据包的捕获与重组,使用WinPcap库完成网络数据包捕获的工作:利用WinPcap先通过访问网络的数据链路层来实现数据包的捕获,其包括在网络上各主机发送接收的数据包;在数据包发往应用程序之前,按照自定义的规则将与该自定义规则相对应的数据包过滤掉;收集网络通迅过程中的统计信息;利用WinPcap的API函数完成所需的网络数据包监听功能;
第三步:数据包的还原,其中重组得到原始数据包,该所得到的原始数据包为二进制数据,将该二进制数据需转换为十六进制数据。
3.根据权利要求2所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述第一步包括以下步骤:
A,收集,数据包嗅探器从网络线缆上收集原始二进制数据;
通过将选定的网卡设置成混杂模式来完成抓包,其中在这种模式下,该选定的网卡将抓取一个网段上所有的网络通信流量,而不仅是发往它的数据包;
B,转换,将捕获的二进制数据转换成可读形式,通过命令行数据包嗅探器以解析方式进行显示;
C,还原分析,对捕获和转换后的数据进行还原;
同时,数据包嗅探器以捕获的网络数据作为输入,识别和验证它们的协议,然后开始分析每个协议的特定属性;通过查看网络流量,获取到带宽利用以及接收连接动态行为,判断引起故障的工作站点及其产生原因。
4.根据权利要求1所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述“静态检测”采用特征码辅助静态检测。
5.根据权利要求4所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述特征码辅助静态检测包括如下三种检测技术:基于特征码辅助的检测技术、基于反汇编的检测技术以及基于虚拟执行的检测技术,所述“静态检测”采用上述三种检测技术并行执行。
6.根据权利要求1所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述“动态检测”包括:进行动态行为监测,将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联,并将通过防病毒、IDS、IPS和防火墙模块中的有关攻击模型将检测到的信息集成在一起。
7.根据权利要求6所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述“动态检测”还包括:使每一个安全功能之间可以互相通信,并关联威胁索引信息,以识别可疑的恶意流量;跟踪每一安全组件的检测活动。
8.根据权利要求1所述的基于信息流行为合法性检测的未知威胁的综合检测方法,其特征在于:所述“检测病毒”为将特征代码法、校验和法、行为检测法、软件模拟法进行依次实用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410693839.8A CN104363240A (zh) | 2014-11-26 | 2014-11-26 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410693839.8A CN104363240A (zh) | 2014-11-26 | 2014-11-26 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104363240A true CN104363240A (zh) | 2015-02-18 |
Family
ID=52530466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410693839.8A Pending CN104363240A (zh) | 2014-11-26 | 2014-11-26 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104363240A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN105491002A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种高级威胁追溯的方法及系统 |
| CN106611122A (zh) * | 2015-10-27 | 2017-05-03 | 国家电网公司 | 基于虚拟执行的未知恶意程序离线检测系统 |
| CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
| CN107204965A (zh) * | 2016-03-18 | 2017-09-26 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
| CN108509798A (zh) * | 2018-03-31 | 2018-09-07 | 河南牧业经济学院 | 一种计算机软件分析系统 |
| CN108737212A (zh) * | 2018-05-18 | 2018-11-02 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
| CN108965249A (zh) * | 2018-06-05 | 2018-12-07 | 福建锐杰信息技术有限公司 | 一种网络信息安全检测系统及其检测方法 |
| CN109766525A (zh) * | 2019-01-14 | 2019-05-17 | 湖南大学 | 一种数据驱动的敏感信息泄露检测框架 |
| CN110022288A (zh) * | 2018-01-10 | 2019-07-16 | 贵州电网有限责任公司遵义供电局 | 一种apt威胁识别方法 |
| CN113987489A (zh) * | 2021-10-22 | 2022-01-28 | 安天科技集团股份有限公司 | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663288A (zh) * | 2012-03-22 | 2012-09-12 | 奇智软件(北京)有限公司 | 病毒查杀方法及装置 |
| US20130160127A1 (en) * | 2011-12-14 | 2013-06-20 | Korea Internet & Security Agency | System and method for detecting malicious code of pdf document type |
| CN103177022A (zh) * | 2011-12-23 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种恶意文件搜索方法及装置 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN104123501A (zh) * | 2014-08-06 | 2014-10-29 | 厦门大学 | 一种基于多鉴定器集合的病毒在线检测方法 |
-
2014
- 2014-11-26 CN CN201410693839.8A patent/CN104363240A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130160127A1 (en) * | 2011-12-14 | 2013-06-20 | Korea Internet & Security Agency | System and method for detecting malicious code of pdf document type |
| CN103177022A (zh) * | 2011-12-23 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种恶意文件搜索方法及装置 |
| CN102663288A (zh) * | 2012-03-22 | 2012-09-12 | 奇智软件(北京)有限公司 | 病毒查杀方法及装置 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN104123501A (zh) * | 2014-08-06 | 2014-10-29 | 厦门大学 | 一种基于多鉴定器集合的病毒在线检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 徐国爱、张淼、彭俊好编著: "《信息安全专业系列教材 网络安全(第2版)》", 30 September 2007, 北京邮电大学出版社 * |
| 罗森林、高平编著: "《信息系统安全与对抗技术实验教程》", 31 January 2005, 北京理工大学出版社 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811447B (zh) * | 2015-04-21 | 2018-08-21 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN105491002A (zh) * | 2015-06-19 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种高级威胁追溯的方法及系统 |
| CN106611122A (zh) * | 2015-10-27 | 2017-05-03 | 国家电网公司 | 基于虚拟执行的未知恶意程序离线检测系统 |
| CN107204965A (zh) * | 2016-03-18 | 2017-09-26 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
| CN107204965B (zh) * | 2016-03-18 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种密码破解行为的拦截方法及系统 |
| CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
| CN110022288A (zh) * | 2018-01-10 | 2019-07-16 | 贵州电网有限责任公司遵义供电局 | 一种apt威胁识别方法 |
| CN108509798A (zh) * | 2018-03-31 | 2018-09-07 | 河南牧业经济学院 | 一种计算机软件分析系统 |
| CN108737212A (zh) * | 2018-05-18 | 2018-11-02 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
| CN108965249A (zh) * | 2018-06-05 | 2018-12-07 | 福建锐杰信息技术有限公司 | 一种网络信息安全检测系统及其检测方法 |
| CN109766525A (zh) * | 2019-01-14 | 2019-05-17 | 湖南大学 | 一种数据驱动的敏感信息泄露检测框架 |
| CN113987489A (zh) * | 2021-10-22 | 2022-01-28 | 安天科技集团股份有限公司 | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104363240A (zh) | 基于信息流行为合法性检测的未知威胁的综合检测方法 | |
| US9264441B2 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| US9832213B2 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| EP2889798B1 (en) | Method and apparatus for improving network security | |
| CN105376245A (zh) | 一种基于规则的apt攻击行为的检测方法 | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| Victor et al. | Intrusion detection systems-analysis and containment of false positives alerts | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN105939314A (zh) | 网络防护方法和装置 | |
| Peddireddy et al. | Multiagent network security system using FIPA-OS | |
| Meng et al. | Towards adaptive false alarm reduction using cloud as a service | |
| Resmi et al. | An extension of intrusion prevention, detection and response system for secure content delivery networks | |
| Chen et al. | Multiple behavior information fusion based quantitative threat evaluation | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| Choi et al. | Two-step hierarchical scheme for detecting detoured attacks to the web server | |
| Rizvi et al. | A review on intrusion detection system | |
| Arsalan et al. | A Rule Based Secure Network System-Prevents Log4jshell and SSH Intrusions | |
| Berner | Building your own web application firewall as a service: And forgetting about | |
| Perez | Practical SIEM tools for SCADA environment | |
| Gheorghe et al. | Attack evaluation and mitigation framework | |
| Ogheneovo et al. | Implementing a Robust Network-Based Intrusion Detection System | |
| Ambika et al. | Architecture for real time monitoring and modeling of network behavior for enhanced security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150218 |