CN104378361A - 一种网络入侵检测方法及系统 - Google Patents

一种网络入侵检测方法及系统 Download PDF

Info

Publication number
CN104378361A
CN104378361A CN201410577668.2A CN201410577668A CN104378361A CN 104378361 A CN104378361 A CN 104378361A CN 201410577668 A CN201410577668 A CN 201410577668A CN 104378361 A CN104378361 A CN 104378361A
Authority
CN
China
Prior art keywords
suspicious
visit data
access
characteristic information
preset value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410577668.2A
Other languages
English (en)
Inventor
沈玉将
赵杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Codyy Network Technology Co Ltd
Original Assignee
Suzhou Codyy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Codyy Network Technology Co Ltd filed Critical Suzhou Codyy Network Technology Co Ltd
Priority to CN201410577668.2A priority Critical patent/CN104378361A/zh
Publication of CN104378361A publication Critical patent/CN104378361A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Alarm Systems (AREA)

Abstract

本发明提供一种网络入侵检测方法及系统。上述方法包括以下步骤:获取预定时间段内的访问数据;从所述访问数据中提取访问参数特征信息;根据所述访问参数特征信息判断是否存在可疑访问。根据本发明提供的网络入侵检测方法及系统,能够高效检测出利用HTTP隧道穿透技术的远控程序,提高系统安全性,并且无需在防火墙后面增加入侵检测系统,减少系统成本。

Description

一种网络入侵检测方法及系统
技术领域
本发明属于网络通信领域,尤其涉及一种网络入侵检测方法及系统。
背景技术
木马远控程序利用HTTP隧道穿透技术,会将私有的通信协议伪装于HTTP协议中,而同时由于业务需要,多数防火墙会让HTTP数据包通过,这样就会导致木马远控程序的数据包顺利通过防火墙而威胁到内网的安全。
当防火墙失效时,多数情况下内网就直接暴露;一些稍强的防护系统在防火墙后面还会有入侵检测系统,然而入侵检测系统造价较高,会无形中增加企业成本和负担。HTTP隧道技术的出现给企业内部的网络安全带来了很大的威胁,对于如何高效地检测使用该技术通信的程序,依旧是一个难题。
发明内容
本发明提供一种网络入侵检测方法及系统,以解决上述问题。
本发明提供一种网络入侵检测方法。上述方法包括以下步骤:获取预定时间段内的访问数据;从所述访问数据中提取访问参数特征信息;根据所述访问参数特征信息判断是否存在可疑访问。
本发明还提供了一种网络入侵检测系统,包括:数据获取单元,连接至特征提取单元,用于获取预定时间段内的访问数据并将所述访问数据发送至所述特征提取单元;所述特征提取单元,用于接收来自所述数据获取单元的访问数据,并从所述访问数据中提取访问参数特征信息,以及将所述访问参数特征信息发送至判断单元;所述判断单元,连接至所述特征提取单元,用于根据所述访问参数特征信息判断是否存在可疑访问。
相较于先前技术,根据本发明提供的网络入侵检测方法及系统,能够高效检测出利用HTTP隧道穿透技术的远控程序,提高系统安全性,并且无需在防火墙后面增加入侵检测系统,减少系统成本。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1所示为根据本发明的一较佳实施例提供的网络入侵检测方法的流程图;
图2所示为根据本发明的又一较佳实施例提供的网络入侵检测方法的流程图;
图3所示为根据本发明的又一较佳实施例提供的网络入侵检测方法的流程图;
图4所示为根据本发明的一较佳实施例提供的网络入侵检测系统的示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1所示为根据本发明的较佳实施例提供的网络入侵检测方法的流程图。如图1所示,本发明的较佳实施例提供的在线课堂导播控制方法包括步骤102~106。
在步骤102,获取预定时间段内的访问数据。可以在网络层实时抓取数据包来获取访问数据,该访问数据例如三天之内的访问数据,该访问数据是来自不同IP地址的统一资源定位符(URL)。来自一个IP地址的一个URL就是一条访问记录。
在步骤104,从访问数据中提取访问参数特征信息。
在步骤106,根据访问参数特征信息判断是否存在可疑访问。
在一实施例中,从所述访问数据中提取访问参数特征信息并根据所述访问参数特征信息判断是否存在可疑访问的过程包括:
判断访问数据中访问记录数目是否大于第一预设值;
在访问数据中的访问记录数目大于第一预设值时,计算访问数据中各条访问时间记录的时间间隔的方差值,将方差值作为提取出的所述访问参数特征信息;
判断方差值是否小于预设的方差临界值;
在所述方差值小于所述方差临界值时,确定存在可疑访问。
方差值小于方差临界值说明访问时间较为规律,那么该访问数据有可疑。
在另一实施例中,从所述访问数据中提取访问参数特征信息并根据所述访问参数特征信息判断是否存在可疑访问的过程包括::
将访问数据与预设的可疑字符集进行比对,以确定访问数据是否存在可疑字符集中的可疑字符;
若存在可疑字符,则在访问数据中添加可疑标识;
判断访问数据中的访问记录数目是否大于第二预设值;
在所述访问数据中的访问记录数目大于第二预设值时,采用模糊匹配算法处理访问数据;
根据模糊匹配算法的处理结果确定是否存在可疑访问。
经过一段时间统计之后,可以将确定是可疑访问数据中的关键字符数据记录在可疑字符集中。根据该可以字符集可对新的访问数据进行初步判断。在访问数据中的访问数据记录数目较大时,可采用模糊匹配算法并结合之前根据可疑字符集的初步判断结果来处理访问数据,从而判断是否存在可疑访问。
其中,模糊匹配算法包括:
取访问数据中的任意两条统一资源定位符记录;
在任意两条统一资源定位符记录的长度之差小于第三预设值时,获取任意两条统一资源定位符记录中的相同字符,并计算任意两条统一资源定位符记录之间的相似值;
在相似值大于第四预设值时,确定匹配成功,并检测相同字符在访问数据中的出现次数;
若出现次数大于第五预设值,则确定存在可疑访问,并显示第一可疑访问数据。
将访问数据中的统一资源定位符进行两两比较,寻找字符数相差较少的资源定位符记录对,并判断每对资源定位符记录的相似值,如果相似值大于某个值,则进一步判断相同字符的出现次数。出现次数较多,说明有可能是木马远程控制程序的可疑访问。此外,将所述相同字符加入所述可疑字符集,以更新可疑字符集。
其中,所述模糊匹配算法还包括:
在所述相似值小于等于所述第四预设值时,确定匹配失败,进一步判断所述访问数据中是否包含所述可疑标识;
若包含所述可疑标识,则确定存在可疑访问,并显示第二可疑访问数据。
其中,所述相似值是所述相同字符的数目与所述任意两条统一资源定位符记录中字符最少的统一资源定位符记录的总字符数目之比。
另外,在所述访问数据中的访问记录数目小于等于所述第二预设值时,无需用模糊匹配算法进行处理,而是判断所述访问数据中是否包含所述可疑标识;若检测到所述访问数据中包含所述可疑标识,则确定存在可疑访问,并显示可疑访问数据。
下面结合图2和图3详细说明根据本发明的又一实施例。
数据包(访问数据)抓取后提取其中的目标地址(IP地址)和访问时间交由动态行为分析模块处理,动态分析分析模块对数据进行实时分析,参考图2。另外,提取其中的目标地址和访问URL后交由日志记录模块记录日志,并由静态特征分析模块则对日志信息进行分析,分析结果通过信息显示模块显示,并将分析数据保存于系统数据库中,当检测结果出现安全隐患时,则触发隐患预警模块报警告知管理员,参考图3。
如图2所示,动态行为分析模块的处理过程如下:
步骤202,首先读取配置文件中的多项检测预设值,包括访问记录最大值,方差临界值和休眠时间。
步骤204,获取一段时间内的访问记录数据。
步骤206,判断获取的访问记录是否大于访问记录最大值,如果大于最大值,则进入步骤208,否则进入步骤214。
步骤208,计算获取的访问记录对应访问时间的方差。
步骤210,接着判断方差值是否大于方差临界值,如果大于方差临界值,则进入步骤214,否则进入步骤212。
步骤212,通知信息显示模块作进一步处理,例如显示可疑访问数据进行报警。
步骤214,最后动态行为分析模块休眠指定时间。如果在上述判断中出现小于指定预设值的情况,则模块休眠指定时间后,继续获取新的访问记录数据。
其中,方差公式为:
若访问时间间隔分为x1,x2,x3......xn且它们的平均数为m,则这组访问时间数据的方差为:
s 2 = 1 n [ ( x 1 - m ) 2 + ( x 2 - m ) 2 + . . . + ( x n - m ) 2 ]
访问数据的访问时间如下表所示:
编号 时间 时间差(s)
1 10:30:00 /
2 10:30:11 11
3 10:30:20 9
4 10:30:30 10
5 10:30:41 11
6 10:30:50 9
根据上表可知,x1=11,x2=9,x3=10,x4=11,x5=9,那么m=(11+9+10+11+9)/5=10这组访问时间数据的方差:
s 2 = 1 5 ( 11 - 10 ) 2 + ( 9 - 10 ) 2 + ( 10 - 10 ) 2 + ( 11 - 10 ) 2 + ( 9 - 10 ) 2 = 0.8
计算出的方差值0.8小于方差临界值(例如1),访问时间比较规律,可判断存在可疑访问。
如图3所示,静态特征分析模块的处理过程如下:
步骤302,首先从配置文件中读取多项预设值,包括可疑字符集(可疑字符集初始可根据存在的木马样本分析获得,也可由程序分析出来后动态添加),最大访问记录量等。
步骤304,从日志中获取访问记录数据,即系统日志。
步骤306,将系统日志记录与可疑字符集比对分析是否存在可疑字符,如果存在可疑字符则进入步骤320,在该条记录中添加可疑标识,以标记该条记录。否则,进入步骤308。
步骤308,分析指定IP地址对应的访问量。
步骤310,如果访问量大于系统的预设值,则开始分析该IP地址对应的所有URL特征,提取出来的日志样本(部分)如下表所示:
步骤312,采用模糊匹配算法对访问数据进行处理。其中,模糊匹配算法的具体处理过程为:
1)获取需比对的两个URL数据,比较两个字符串长度,如果长度值相差在10%(该值可在配置文件中设置)以内,则执行2,否则执行7。
2)取长度较短的字符串的字符数值。
3)比对两个字符串的匹配程度,获取两个字符串中相同字符的字符个数。
4)将匹配成功的字符串段保存至匹配成功表(该表用于在所有比对结束后,分析某些特殊字符串的出现次数,并判断是否添加至系统可疑字符集中)中。
5)将相同字符的字符数除以长度较短的字符串的字符数值计算出两个字符串的相似度值,并与系统预设的第四预设值进行比对,如果大于第四预设值,则执行6,否则执行7。
6)确定匹配成功,并检测相同字符在访问数据中的出现次数;若所述出现次数大于第五预设值,则确定存在可疑访问,并显示可疑访问数据(例如具有相同字符的访问数据),之后进入步骤316。
7)确定匹配失败,进入步骤322。
步骤316,将相同字符添加至可疑字符集。
步骤318,显示可疑访问数据,进行报警提醒。
步骤322,进一步判断访问数据中是否包含可疑标识;若包含可疑标识,则确定存在可疑访问,并显示可疑访问数据(具有可疑标识的访问数据)。
如上表所示,仔细观察192.168.1.200目标地址的访问URL数据可知,该组URL格式十分相似,判断该组URL数据中是否存在可疑字符集中的可疑字符,经过比较分析,确定该组URL数据中存在可疑字符集中的可疑字符“3100”,在该URL数据中添加可疑标识。继而分析该URL数据的访问量,在上表中,与192.168.1.200目标地址相关的访问记录条数是8条,访问记录条数小于设定的10条。进一步判断该组URL数据中是否存在可疑标识,检测到该组URL数据中存在可疑标识,确定存在可疑访问。
如图4所示,本发明的实施例还提供了一种网络入侵检测系统,包括:
数据获取单元402,连接至特征提取单元404,用于获取预定时间段内的访问数据并将所述访问数据发送至所述特征提取单元404;
所述特征提取单元404,用于接收来自所述数据获取单元的访问数据,并从所述访问数据中提取访问参数特征信息,以及将所述访问参数特征信息发送至判断单元406;
所述判断单元406连接至所述特征提取单元404,用于根据所述访问参数特征信息判断是否存在可疑访问。
相较于先前技术,根据本发明提供的网络入侵检测方法及系统,通过分析网络层的数据包,在网络被入侵之前检测出可疑访问,准确性高,提高了系统的安全性,并且无需在防火墙后面还会设置入侵检测系统,进一步降低了系统成本。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种网络入侵检测方法,其特征在于,包括以下步骤:
获取预定时间段内的访问数据;
从所述访问数据中提取访问参数特征信息;
根据所述访问参数特征信息判断是否存在可疑访问。
2.根据权利要求1所述的方法,其特征在于,从所述访问数据中提取访问参数特征信息并根据所述访问参数特征信息判断是否存在可疑访问的过程包括:
判断所述访问数据中访问记录数目是否大于第一预设值;
在所述访问数据中的访问记录数目大于所述第一预设值时,计算所述访问数据中各条访问时间记录的时间间隔的方差值,将所述方差值作为提取出的所述访问参数特征信息;
判断所述方差值是否小于预设的方差临界值;
在所述方差值小于所述方差临界值时,确定存在可疑访问。
3.根据权利要求1所述的方法,其特征在于,从所述访问数据中提取访问参数特征信息并根据所述访问参数特征信息判断是否存在可疑访问的过程包括::
将所述访问数据与预设的可疑字符集进行比对,以确定所述访问数据是否存在所述可疑字符集中的可疑字符;
若存在可疑字符,则在所述访问数据中添加可疑标识;
判断所述访问数据中的访问记录数目是否大于第二预设值;
在所述访问数据中的访问记录数目大于所述第二预设值时,采用模糊匹配算法处理所述访问数据;
根据所述模糊匹配算法的处理结果确定是否存在可疑访问。
4.根据权利要求3所述的方法,其特征在于,所述模糊匹配算法包括:
取所述访问数据中的任意两条统一资源定位符记录;
在所述任意两条统一资源定位符记录的长度之差小于第三预设值时,获取所述任意两条统一资源定位符记录中的相同字符,并计算所述任意两条统一资源定位符记录之间的相似值;
在所述相似值大于第四预设值时,确定匹配成功,并检测所述相同字符在所述访问数据中的出现次数;
若所述出现次数大于第五预设值,则确定存在可疑访问,并显示第一可疑访问数据。
5.根据权利要求4所述的方法,其特征在于,所述模糊匹配算法还包括:
若所述出现次数大于所述第五预设值,则将所述相同字符加入所述可疑字符集。
6.根据权利要求4所述的方法,其特征在于,所述模糊匹配算法还包括:
在所述相似值小于等于所述第四预设值时,确定匹配失败,进一步判断所述访问数据中是否包含所述可疑标识;
若包含所述可疑标识,则确定存在可疑访问,并显示第二可疑访问数据。
7.根据权利要求4所述的方法,其特征在于,所述相似值是所述相同字符的数目与所述任意两条统一资源定位符记录中字符最少的统一资源定位符记录的总字符数目之比。
8.根据权利要求3至7中任一项所述的方法,其特征在于,在所述访问数据中的访问记录数目小于等于所述第二预设值时,判断所述访问数据中是否包含所述可疑标识;
若检测到所述访问数据中包含所述可疑标识,则确定存在可疑访问,并显示可疑访问数据。
9.一种网络入侵检测系统,其特征在于,包括:
数据获取单元,连接至特征提取单元,用于获取预定时间段内的访问数据并将所述访问数据发送至所述特征提取单元;
所述特征提取单元,用于接收来自所述数据获取单元的访问数据,并从所述访问数据中提取访问参数特征信息,以及将所述访问参数特征信息发送至判断单元;
所述判断单元,连接至所述特征提取单元,用于根据所述访问参数特征信息判断是否存在可疑访问。
CN201410577668.2A 2014-10-24 2014-10-24 一种网络入侵检测方法及系统 Pending CN104378361A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410577668.2A CN104378361A (zh) 2014-10-24 2014-10-24 一种网络入侵检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410577668.2A CN104378361A (zh) 2014-10-24 2014-10-24 一种网络入侵检测方法及系统

Publications (1)

Publication Number Publication Date
CN104378361A true CN104378361A (zh) 2015-02-25

Family

ID=52557018

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410577668.2A Pending CN104378361A (zh) 2014-10-24 2014-10-24 一种网络入侵检测方法及系统

Country Status (1)

Country Link
CN (1) CN104378361A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN105227559A (zh) * 2015-10-13 2016-01-06 南京联成科技发展有限公司 一种积极的自动检测http攻击的信息安全管理框架
CN105262729A (zh) * 2015-09-11 2016-01-20 携程计算机技术(上海)有限公司 木马检测方法及系统
CN106549931A (zh) * 2016-08-17 2017-03-29 北京安天电子设备有限公司 一种基于url暗记溯源攻击者的方法及系统
CN107046489A (zh) * 2017-04-07 2017-08-15 上海熙菱信息技术有限公司 一种频次类实时统计模型系统及方法
CN107667370A (zh) * 2015-05-28 2018-02-06 微软技术许可有限责任公司 使用事件日志检测异常账户
CN108289077A (zh) * 2017-01-09 2018-07-17 中兴通讯股份有限公司 一种对web服务器安全性进行模糊检测分析的方法及装置
CN110311930A (zh) * 2019-08-01 2019-10-08 杭州安恒信息技术股份有限公司 远控回连行为的识别方法、装置及电子设备
CN110311850A (zh) * 2019-07-04 2019-10-08 北京天融信网络安全技术有限公司 一种基于网络的数据处理方法及电子设备
CN114338236A (zh) * 2022-03-01 2022-04-12 四川省商投信息技术有限责任公司 一种防火墙入侵数据分析方法及装置

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5966441A (en) * 1996-11-18 1999-10-12 Apple Computer, Inc. Method and apparatus for creating a secure autonomous network entity of a network component system
US20040083387A1 (en) * 2002-10-29 2004-04-29 Dapp Michael C. Intrusion detection accelerator
CN1725709A (zh) * 2005-06-30 2006-01-25 杭州华为三康技术有限公司 网络设备与入侵检测系统联动的方法
CN102185858A (zh) * 2011-05-06 2011-09-14 山东中创软件商用中间件股份有限公司 一种应用于应用层的web入侵防御方法及系统
CN102594825A (zh) * 2012-02-22 2012-07-18 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
CN102790762A (zh) * 2012-06-18 2012-11-21 东南大学 基于url分类的钓鱼网站检测方法
CN102880698A (zh) * 2012-09-21 2013-01-16 新浪网技术(中国)有限公司 一种抓取网站确定方法及装置
CN102984178A (zh) * 2012-12-31 2013-03-20 山石网科通信技术(北京)有限公司 数据报文的检测方法及装置
CN103294949A (zh) * 2012-02-29 2013-09-11 阿里巴巴集团控股有限公司 一种检测木马程序的方法及装置
CN103888459A (zh) * 2014-03-25 2014-06-25 深信服网络科技(深圳)有限公司 网络内网入侵的检测方法及装置
CN103905415A (zh) * 2013-10-25 2014-07-02 哈尔滨安天科技股份有限公司 一种防范远控类木马病毒的方法及系统
CN104065657A (zh) * 2014-06-26 2014-09-24 北京思特奇信息技术股份有限公司 一种基于ip访问的动态控制用户行为的方法及系统
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5966441A (en) * 1996-11-18 1999-10-12 Apple Computer, Inc. Method and apparatus for creating a secure autonomous network entity of a network component system
US20040083387A1 (en) * 2002-10-29 2004-04-29 Dapp Michael C. Intrusion detection accelerator
CN1725709A (zh) * 2005-06-30 2006-01-25 杭州华为三康技术有限公司 网络设备与入侵检测系统联动的方法
CN102185858A (zh) * 2011-05-06 2011-09-14 山东中创软件商用中间件股份有限公司 一种应用于应用层的web入侵防御方法及系统
CN102594825A (zh) * 2012-02-22 2012-07-18 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
CN103294949A (zh) * 2012-02-29 2013-09-11 阿里巴巴集团控股有限公司 一种检测木马程序的方法及装置
CN102790762A (zh) * 2012-06-18 2012-11-21 东南大学 基于url分类的钓鱼网站检测方法
CN102880698A (zh) * 2012-09-21 2013-01-16 新浪网技术(中国)有限公司 一种抓取网站确定方法及装置
CN102984178A (zh) * 2012-12-31 2013-03-20 山石网科通信技术(北京)有限公司 数据报文的检测方法及装置
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
CN103905415A (zh) * 2013-10-25 2014-07-02 哈尔滨安天科技股份有限公司 一种防范远控类木马病毒的方法及系统
CN103888459A (zh) * 2014-03-25 2014-06-25 深信服网络科技(深圳)有限公司 网络内网入侵的检测方法及装置
CN104065657A (zh) * 2014-06-26 2014-09-24 北京思特奇信息技术股份有限公司 一种基于ip访问的动态控制用户行为的方法及系统

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107667370B (zh) * 2015-05-28 2020-08-21 微软技术许可有限责任公司 用于异常过程检测的方法和系统
CN107667370A (zh) * 2015-05-28 2018-02-06 微软技术许可有限责任公司 使用事件日志检测异常账户
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN105262729B (zh) * 2015-09-11 2018-07-31 携程计算机技术(上海)有限公司 木马检测方法及系统
CN105262729A (zh) * 2015-09-11 2016-01-20 携程计算机技术(上海)有限公司 木马检测方法及系统
CN105227559A (zh) * 2015-10-13 2016-01-06 南京联成科技发展有限公司 一种积极的自动检测http攻击的信息安全管理框架
CN106549931B (zh) * 2016-08-17 2019-09-27 北京安天网络安全技术有限公司 一种基于url暗记溯源攻击者的方法及系统
CN106549931A (zh) * 2016-08-17 2017-03-29 北京安天电子设备有限公司 一种基于url暗记溯源攻击者的方法及系统
CN108289077A (zh) * 2017-01-09 2018-07-17 中兴通讯股份有限公司 一种对web服务器安全性进行模糊检测分析的方法及装置
CN108289077B (zh) * 2017-01-09 2021-09-21 中兴通讯股份有限公司 一种对web服务器安全性进行模糊检测分析的方法及装置
CN107046489A (zh) * 2017-04-07 2017-08-15 上海熙菱信息技术有限公司 一种频次类实时统计模型系统及方法
CN107046489B (zh) * 2017-04-07 2020-07-28 上海熙菱信息技术有限公司 一种频次类实时统计模型系统及方法
CN110311850A (zh) * 2019-07-04 2019-10-08 北京天融信网络安全技术有限公司 一种基于网络的数据处理方法及电子设备
CN110311930A (zh) * 2019-08-01 2019-10-08 杭州安恒信息技术股份有限公司 远控回连行为的识别方法、装置及电子设备
CN114338236A (zh) * 2022-03-01 2022-04-12 四川省商投信息技术有限责任公司 一种防火墙入侵数据分析方法及装置
CN114338236B (zh) * 2022-03-01 2022-05-13 四川省商投信息技术有限责任公司 一种防火墙入侵数据分析方法及装置

Similar Documents

Publication Publication Date Title
CN104378361A (zh) 一种网络入侵检测方法及系统
CN104811447B (zh) 一种基于攻击关联的安全检测方法和系统
CN109714322A (zh) 一种检测网络异常流量的方法及其系统
CN105933268A (zh) 一种基于全量访问日志分析的网站后门检测方法及装置
CN107154950A (zh) 一种日志流异常检测的方法及系统
CN103902476B (zh) 一种基于非授信的网页后门检测方法及系统
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN105491018B (zh) 一种基于dpi技术的网络数据安全性分析方法
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
CN106656991A (zh) 一种网络威胁检测系统及检测方法
CN101370008A (zh) Sql注入web攻击的实时入侵检测系统
CN109922065B (zh) 恶意网站快速识别方法
CN111278014A (zh) 一种防诈骗系统、方法、服务器及存储介质
CN107483425B (zh) 基于攻击链的复合攻击检测方法
CN102467633A (zh) 一种安全浏览网页的方法及其系统
CN106685984A (zh) 一种基于数据包捕获技术的网络威胁分析系统及方法
CN111181918B (zh) 基于ttp的高风险资产发现和网络攻击溯源方法
CN103561012A (zh) 一种基于关联树的web后门检测方法及系统
CN106055980A (zh) 一种基于规则的JavaScript安全性检测方法
CN106549959B (zh) 一种代理网际协议ip地址的识别方法及装置
CN114021040B (zh) 基于业务访问的恶意事件的告警及防护方法和系统
CN102075365A (zh) 一种网络攻击源定位及防护的方法、装置
CN107016298B (zh) 一种网页篡改监测方法及装置
CN103888459A (zh) 网络内网入侵的检测方法及装置
CN103532957A (zh) 一种木马远程shell行为检测装置及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: Suzhou City, Jiangsu province 215121 Suzhou Industrial Park Road No. 8 only Weiting Technology Venture Building 7 floor

Applicant after: Kuo Di education and science company limited

Address before: Suzhou City, Jiangsu province 215121 Suzhou Industrial Park Road No. 8 only Weiting Technology Venture Building 7 floor

Applicant before: Suzhou Kuodi Network Technology Co., Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: SUZHOU KUODI NETWORK TECHNOLOGY CO., LTD. TO: CODYY EDUCATION TECHNOLOGY CO., LTD.

WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20150225