CN104601556B - 一种面向web的攻击检测方法及系统 - Google Patents
一种面向web的攻击检测方法及系统 Download PDFInfo
- Publication number
- CN104601556B CN104601556B CN201410842711.3A CN201410842711A CN104601556B CN 104601556 B CN104601556 B CN 104601556B CN 201410842711 A CN201410842711 A CN 201410842711A CN 104601556 B CN104601556 B CN 104601556B
- Authority
- CN
- China
- Prior art keywords
- access
- abnormal
- user
- storehouse
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向WEB的攻击检测方法及系统,方法如下:首先对用户的访问url进行攻击特征检测;接着对检测结果进行误报分析和漏报分析处理,误报分析主要解决网站的正常内嵌资源和网络爬虫所造成的误报;漏报分析是要处理检测出的异常用户所进行的并未检测出来的异常行为。通过以上处理的结果,再计算出各个异常用户在各个域名下的异常访问总次数,当访问次数小于所有用户的均值时,取其与均值的比例为其异常评分指数;否则,异常评分值为其与所有用户的最大访问数的比例加权值w。经过本发明的误报与漏报处理,面向WEB的攻击检测方法的效率有了明显提升。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种面向WEB的攻击检测方法及系统。
背景技术
基于攻击特征的检测是目前常用的一种对web访问请求的攻击检测方法。这种方法是通过对已知的web攻击请求进行分析,提取出一系列对应于不同攻击特征的防护规则对新的访问请求进行匹配。
基于攻击特征的检测方法优势在于部署简单、检测速度快,开源软件lorg、scalp都是使用这种方法对访问日志进行攻击检测。但其缺陷也是非常明显:第一,它只能针对已知的攻击进行检测,对于未知的攻击没有任何效果,产生大量的漏报;第二,当被访问资源当中含有能被规则匹配的内容时,则会造成大量的误报。目前有很多与基于攻击特征检测有关的专利,而并没有对这种检测方法的改进做相关工作。申请专利号为:201310455652.X,201310098783.7,200880115316.8的发明专利,其中都只是在所提出的系统内部利用规则进行过滤,并未考虑结果的准确性。
综上所述,在进行web访问请求异常分析时,仅基于攻击特征的检测是不够的。需要提出一个改进的系统,对该种检测进行优化,提升方法的准确率。
发明内容
本发明提出了一种面向WEB的攻击检测方法及系统,以用户的WEB访问请求数据为源,通过特征检测、误报分析、漏报分析、异常指数计算四个阶段实现面向WEB的攻击检测。
为了实现上述目的,本发明采用以下技术方案:
一种面向WEB的攻击检测方法,具体步骤如下:
1)提取用户的WEB访问请求数据信息,得到WEB信息元组X=<访问ip,访问UserAgent,访问域名,访问url,referrer,访问返回码>;
2)通过对用户访问url进行攻击特征检测,将得到的有攻击行为的访问请求存入异常访问库,没有攻击行为的访问请求存入正常访问库;
3)对异常访问库中的数据进行误报分析,从异常访问库中去掉误报数据;
4)结合正常访问库对异常访问库中的数据进行漏报分析,向异常访问库中增加漏报数据;
5)根据上述步骤得到的异常访问库,计算用户异常指数,实现面向WEB的攻击检测。
进一步地,步骤2)中利用正则表达式对用户访问url进行攻击特征检测。
更进一步,所述误报分析,包括网站资源分析与爬虫分析两步,具体如下:
1)网站资源分析,目的是辨别访问url是否属于网站的内嵌资源:
a)统计异常访问库中各个访问url的访问ip数,访问ip数大于阈值w0,视为误报,前三个字段相同的访问ip视为相同ip,前两个字段相同的访问ip视为相似度为1-w1(w1为0到1之间的常数),访问ip数增加w1,其他情况视为不同ip,访问ip数增加1;
b)统计referrer所在的域名数;
c)在访问ip数足够大或者referrer域名数足够小的情况下,判定该访问url为误报数据,将其加入误报库。
2)爬虫分析,目的是辨别访问url是否为网络爬虫进行的访问:
a)将异常访问库中各个访问url的访问ip与网络爬虫库中的ip地址进行匹配;
b)对访问ip中未匹配到的ip以及已匹配到的ip,根据不同的访问UserAgent建立访问url的字符特征向量;
c)根据已匹配到的ip的字符特征向量,和与其(已匹配到的ip)具有相同访问UserAgent的未匹配到的ip的字符特征向量计算余弦相似度;
d)余弦相似度高于设定阈值时,认定该访问ip为网络爬虫,将其加入网络爬虫库;
e)用更新后的网络爬虫库进行最终匹配,从异常访问库中删除匹配成功的访问请求。
更进一步,所述漏报分析,具体步骤如下:
1)提取异常访问库中的用户未被检测出来的访问记录;
2)分析上述访问记录,若满足如下条件之一,则标记为异常:
a)referrer与request请求相同;
b)referrer为空,但request请求不是最早的;
c)referrer的域名与用户的WEB访问请求数据的访问域名相同,但用户并未对referrer所指url进行访问。
更进一步,所述计算用户异常指数,包括异常统计和异常评分,用于评价用户的异常程度,步骤如下:
1)根据经过误报分析与漏报分析处理的异常访问库,计算出用户对各个域名的攻击数,实现异常统计,攻击数量越多,以及攻击的域名数越多,则异常程度越高;
2)根据上述结果,统计出用户对各个域名的攻击数之和作为用户异常访问的总次数;
3)计算每个用户的异常指数,实现异常评分,评分越高,异常程度越高:
a)统计出所有用户异常访问的总次数的最大值max及均值mean;
b)如果用户异常访问的总次数n小于均值mean,则异常指数为n/mean;否则异常指数为n/max与权值w(w>=1)之和。
本发明还提出了一种面向web的攻击检测系统,包括:特征检测模块、误报分析模块、漏报分析模块、异常统计模块、异常评分模块,其中:
所述特征检测模块,用于提取WEB信息元组X=<访问ip,访问UserAgent,访问域名,访问url,referrer,访问返回码>,并对访问url进行攻击特征检测,得出异常访问库。
所述误报分析模块,主要完成网站资源分析与爬虫分析两部分误报处理功能,从异常访问库中去掉误报数据。其一,通过某访问url的访问ip数和referrer所在的域名总数,判断其是否为网站资源,从而去掉该访问url产生的误报;其二,通过网络爬虫库ip地址和访问记录与网络爬虫的访问相似度来判断访问ip是否为网络爬虫ip,从而去掉该访问ip产生的误报。
所述漏报分析模块,分析正常访问库及异常访问库中用户的非异常访问记录,通过“referrer与url相同或者referrer为空且非最早访问或者referrer属于内部域名但并未被访问过”来判断访问异常,从而向异常访问库中补充漏报数据。
所述异常统计模块,统计用户对网站的攻击次数,用于用户的异常程度评价。
所述异常评分模块,计算每个用户的异常指数,用于用户的异常程度评价。通过对异常统计模块的输出进行处理,得到用户异常访问的总次数,再计算每个用户的异常访问次数与整体的均值的比值或与最大值的比值加上某一权值w(w>=1),得到用户的异常评分。
本发明的有益效果
本发明在对访问url进行攻击特征检测的基础上,处理了网站内嵌资源和网络爬虫产生的误报,有效提升了检测准确度;再者,我们在检测到的异常用户的基础上,对这些用户其他的访问记录采取了有效的方式进行分析,降低了漏报率。经过本发明的误报与漏报处理,面向WEB的攻击检测方法的效率有了明显提升。本发明也提出了异常统计与异常评分两个模块,可以从统计数据当中,得出用户的异常指数。
附图说明
图1为本发明系统整体架构示意图。
图2为本发明一实施例中特征检测模块流程示意图。
图3为本发明一实施例中误报分析模块的网站资源分析流程示意图。
图4为本发明一实施例中误报分析模块的爬虫分析流程示意图。
图5为本发明一实施例中异常统计模块的流程示意图。
图6为本发明一实施例中异常评分模块的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明方案中,首先利用特征检测模块检测原始数据(即用户的WEB访问请求数据)而得到异常访问库;然后可以利用误报分析模块和漏报分析模块分别展开误报分析和漏报分析,并可以补充更新网络爬虫库和误报库;同时,异常统计模块和异常评分模块也可以对异常访问库中的数据进行统计,评价用户的异常程度。
如图2所示,本发明方案中的特征检测模块是要对原始数据进行攻击特征检测,得到正常访问库和异常访问库,具体流程如下:
1)读入正则表达式规则,并对其进行处理成两种模式:整体模式和独立模式,独立模式是为了实现攻击的简单分类;
2)将原始数据进行预处理,提取出如表1所示各个字段;
| Host | 域名 |
| Ip | 访问ip地址 |
| Request | 访问url |
| Response | 返回码 |
| Referrer | 载入当前页面的url |
| UserAgent | 客户端代理 |
表1
3)利用整体模式对request字段进行异常检测,如果匹配成功则进入第4步,否则输出到正常访问库中;
4)利用独立模式找出request字段所匹配的规则,并将规则id与处理的数据一同存入异常访问库中。
如图3所示,本发明方案中的误报分析模块的网站资源分析流程如下:
1)将异常访问库中的数据,整理成以request为键,元组<referrer,ip>为值的键值对;
2)统计出各个request的访问ip数,以及referrer所在的域名数;
3)检测request的访问ip数及referrer所在域名数的取值所在范围,若超出阈值,则输出到误报库,否则仍保留在异常访问库中。
如图4所示,本发明方案中的误报分析模块的爬虫分析流程如下:
1)将异常访问库中的ip字段与网络爬虫库中的ip进行匹配,如果ip的前三个字段相同则表示匹配成功,则将该ip标记为已检测的爬虫并更新网络爬虫库;否则作为等待下一步检测的初步过滤后的数据;
2)对已检测的爬虫访问和初步过滤后的数据建立访问字符串向量,以UserAgent相同的数据进行余弦距离计算,当距离小于某阈值(相似度达到一定范围),则把初步过滤后的数据标记为已检测爬虫,再次更新爬虫库;
3)最后再将更新后的爬虫库与余下的待检测数据进行最终匹配,删除匹配成功的数据,未匹配成功的数据保留在异常访问库中。
如图5所示,本发明方案中的异常统计模块的具体流程如下:
1)提取异常访问库中数据的request、ip、agent、host字段,组成元组<ip,agent,host>为键,request为值的键值对;
2)根据键值<ip,agent,host>统计访问总数,并将<ip;agent>、host、以及对应的访问总数存入异常统计库。
如图6所示,本发明方案中的异常评分模块的具体流程如下:
1)从异常统计库中,统计出各个访问用户<ip,agent>的攻击总数attack;
2)求出所有用户的攻击总数的均值mean以及最大值max;
3)计算每个用户的异常评分if(attack<=mean)score=attack/mean;elsescore=w+attack/max;其中w为大于1的常数;
4)把结果输出到异常指数库。
Claims (9)
1.一种面向WEB的攻击检测方法,具体步骤如下:
1)提取用户的WEB访问请求数据信息,得到WEB信息元组X=<访问ip,访问UserAgent,访问域名,访问url,referrer,访问返回码>;
2)通过对用户访问url进行攻击特征检测,将得到的有攻击行为的访问请求存入异常访问库,没有攻击行为的访问请求存入正常访问库;
3)对异常访问库中的数据进行误报分析,从异常访问库中去掉误报数据,所述误报分析包括网站资源分析与爬虫分析两步,通过网站资源分析辨别访问url是否属于网站的内嵌资源;通过所述爬虫分析辨别访问url是否为网络爬虫进行的访问;
4)结合正常访问库对异常访问库中的数据进行漏报分析,向异常访问库中增加漏报数据;
5)根据上述步骤得到的异常访问库,计算用户异常指数,实现面向WEB的攻击检测。
2.如权利要求1所述的面向WEB的攻击检测方法,其特征在于,步骤2)中利用正则表达式对用户访问url进行攻击特征检测。
3.如权利要求1所述的面向WEB的攻击检测方法,其特征在于,所述网站资源分析包括以下步骤:
a)统计异常访问库中各个访问url的访问ip数,访问ip数大于阈值w0,视为误报,前三个字段相同的访问ip视为相同ip,前两个字段相同的访问ip视为相似度为1-w1,w1为0到1之间的常数,访问ip数增加w1,其他情况视为不同ip,访问ip数增加1;
b)统计referrer所在的域名数;
c)在访问ip数足够大或者referrer域名数足够小的情况下,判定该访问url为误报数据,将其加入误报库。
4.如权利要求1所述的面向WEB的攻击检测方法,其特征在于,所述爬虫分析包括以下步骤:
a)将异常访问库中各个访问url的访问ip与网络爬虫库中的ip地址进行匹配;
b)对访问ip中未匹配到的ip以及已匹配到的ip,根据不同的访问UserAgent建立访问url的字符特征向量;
c)根据已匹配到的ip的字符特征向量,和与其具有相同访问UserAgent的未匹配到的ip的字符特征向量计算余弦相似度;
d)余弦相似度高于设定阈值时,认定该访问ip为网络爬虫,将其加入网络爬虫库;
e)用更新后的网络爬虫库进行最终匹配,从异常访问库中删除匹配成功的访问请求。
5.如权利要求1所述的面向WEB的攻击检测方法,其特征在于,所述漏报分析的具体步骤如下:
1)提取异常访问库中的用户未被检测出来的访问记录;
2)分析上述访问记录,若满足如下条件之一,则标记为异常:
a)referrer与request请求相同;
b)referrer为空,但request请求不是最早的;
c)referrer的域名与用户的WEB访问请求数据的访问域名相同,但用户并未对referrer所指url进行访问。
6.如权利要求1所述的面向WEB的攻击检测方法,其特征在于,所述计算用户异常指数包括异常统计和异常评分,步骤如下:
1)根据经过误报分析与漏报分析处理的异常访问库,计算出用户对各个域名的攻击数,实现异常统计;
2)根据上述结果,统计出用户对各个域名的攻击数之和作为用户异常访问的总次数;
3)计算每个用户的异常指数,实现异常评分,该步骤包括:
a)统计出所有用户异常访问的总次数的最大值max及均值mean;
b)如果用户异常访问的总次数n小于均值mean,则异常指数为n/mean;否则异常指数为n/max与权值w之和,其中w>=1。
7.一种面向web的攻击检测系统,包括:特征检测模块、误报分析模块、漏报分析模块、异常统计模块、异常评分模块,其中:
所述特征检测模块,用于提取WEB信息元组X=<访问ip,访问UserAgent,访问域名,访问url,referrer,访问返回码>,并对访问url进行攻击特征检测,得出异常访问库;
所述误报分析模块,用于完成网站资源分析与爬虫分析两部分误报处理功能,从异常访问库中去掉误报数据;
所述漏报分析模块,用于分析正常访问库及异常访问库中用户的非异常访问记录,向异常访问库中补充漏报数据;
所述异常统计模块,用于统计用户对网站的攻击次数;
所述异常评分模块,用于计算每个用户的异常指数。
8.如权利要求7所述的面向web的攻击检测系统,其特征在于,所述误报分析模块通过某访问url的访问ip数和referrer所在的域名总数,判断其是否为网站资源,从而去掉该访问url产生的误报;通过网络爬虫库ip地址和访问记录与网络爬虫的访问相似度来判断访问ip是否为网络爬虫ip,从而去掉该访问ip产生的误报。
9.如权利要求7所述的面向web的攻击检测系统,其特征在于,所述异常评分模块通过对异常统计模块的输出进行处理,得到用户异常访问的总次数,再计算每个用户的异常访问次数与整体的均值的比值或与最大值的比值加上某一权值w,w>=1,得到用户的异常评分。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410842711.3A CN104601556B (zh) | 2014-12-30 | 2014-12-30 | 一种面向web的攻击检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410842711.3A CN104601556B (zh) | 2014-12-30 | 2014-12-30 | 一种面向web的攻击检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104601556A CN104601556A (zh) | 2015-05-06 |
| CN104601556B true CN104601556B (zh) | 2017-12-26 |
Family
ID=53127062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410842711.3A Expired - Fee Related CN104601556B (zh) | 2014-12-30 | 2014-12-30 | 一种面向web的攻击检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104601556B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901962B (zh) * | 2015-05-28 | 2018-01-05 | 北京椒图科技有限公司 | 一种网页攻击数据的检测方法及装置 |
| CN104954188B (zh) * | 2015-06-30 | 2018-05-01 | 北京奇安信科技有限公司 | 基于云的网站日志安全分析方法、装置和系统 |
| CN105072089B (zh) * | 2015-07-10 | 2018-09-25 | 中国科学院信息工程研究所 | 一种web恶意扫描行为异常检测方法与系统 |
| CN105516128B (zh) * | 2015-12-07 | 2018-10-30 | 中国电子技术标准化研究院 | 一种Web攻击的检测方法及装置 |
| CN105554007B (zh) * | 2015-12-25 | 2019-01-04 | 北京奇虎科技有限公司 | 一种web异常检测方法和装置 |
| CN107743113A (zh) * | 2016-11-23 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网站攻击的检测方法及系统 |
| WO2018095192A1 (zh) | 2016-11-23 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 网站攻击的检测和防护方法及系统 |
| CN106453412A (zh) * | 2016-12-01 | 2017-02-22 | 绵阳灵先创科技有限公司 | 一种基于频次特征的恶意域名判定方法 |
| CN106790062B (zh) * | 2016-12-20 | 2020-05-08 | 国家电网公司 | 一种基于反向dns查询属性聚合的异常检测方法及系统 |
| CN107172033B (zh) * | 2017-05-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种waf误判识别方法以及装置 |
| CN107196969B (zh) * | 2017-07-13 | 2019-11-29 | 携程旅游信息技术(上海)有限公司 | 攻击流量的自动识别及验证方法及系统 |
| CN109428857B (zh) * | 2017-08-23 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 一种恶意探测行为的检测方法和装置 |
| CN108768921B (zh) * | 2018-03-28 | 2021-03-09 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及系统 |
| CN108650249B (zh) * | 2018-04-26 | 2021-07-27 | 平安科技(深圳)有限公司 | Poc攻击检测方法、装置、计算机设备和存储介质 |
| CN109413021B (zh) * | 2018-04-28 | 2021-04-09 | 武汉思普崚技术有限公司 | 一种ips误报的检测方法和装置 |
| CN109495471B (zh) * | 2018-11-15 | 2021-07-02 | 东信和平科技股份有限公司 | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
| CN110086767A (zh) * | 2019-03-11 | 2019-08-02 | 中国电子科技集团公司电子科学研究院 | 一种混合入侵检测系统及方法 |
| CN110572700B (zh) * | 2019-09-19 | 2021-06-11 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种客户端风险的识别方法及系统 |
| CN112989157A (zh) * | 2019-12-13 | 2021-06-18 | 网宿科技股份有限公司 | 一种检测爬虫请求的方法和装置 |
| CN112104600B (zh) * | 2020-07-30 | 2022-11-04 | 山东鲁能软件技术有限公司 | 一种基于爬虫蜜罐陷阱的web反渗透方法,系统,设备及计算机可读存储介质 |
| CN112165466B (zh) * | 2020-09-16 | 2022-06-17 | 杭州安恒信息技术股份有限公司 | 一种误报识别的方法、装置、电子装置和存储介质 |
| CN112866203A (zh) * | 2020-12-31 | 2021-05-28 | 北京天地和兴科技有限公司 | 一种新的防护网络爬虫攻击的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833269A (zh) * | 2012-09-18 | 2012-12-19 | 苏州山石网络有限公司 | 跨站攻击的检测方法、装置和具有该装置的防火墙 |
| CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与系统 |
| CN103491060A (zh) * | 2012-06-13 | 2014-01-01 | 北京新媒传信科技有限公司 | 一种防御Web攻击的方法、装置、及系统 |
| CN103973697A (zh) * | 2014-05-19 | 2014-08-06 | 重庆邮电大学 | 一种物联网感知层入侵检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8543807B2 (en) * | 2009-07-14 | 2013-09-24 | Electronics And Telecommunications Research Institute | Method and apparatus for protecting application layer in computer network system |
-
2014
- 2014-12-30 CN CN201410842711.3A patent/CN104601556B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491060A (zh) * | 2012-06-13 | 2014-01-01 | 北京新媒传信科技有限公司 | 一种防御Web攻击的方法、装置、及系统 |
| CN102833269A (zh) * | 2012-09-18 | 2012-12-19 | 苏州山石网络有限公司 | 跨站攻击的检测方法、装置和具有该装置的防火墙 |
| CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与系统 |
| CN103973697A (zh) * | 2014-05-19 | 2014-08-06 | 重庆邮电大学 | 一种物联网感知层入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104601556A (zh) | 2015-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104601556B (zh) | 一种面向web的攻击检测方法及系统 | |
| CN103297435B (zh) | 一种基于web日志的异常访问行为检测方法与系统 | |
| CN102799814B (zh) | 一种钓鱼网站查找系统及方法 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| CN107332848A (zh) | 一种基于大数据的网络流量异常实时监测系统 | |
| WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
| CN107169351A (zh) | 结合动态行为特征的Android未知恶意软件检测方法 | |
| CN107392022A (zh) | 爬虫识别、处理方法及相关装置 | |
| Deokar et al. | Intrusion detection system using log files and reinforcement learning | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| CN108920954A (zh) | 一种恶意代码自动化检测平台及方法 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| CN109194677A (zh) | 一种sql注入攻击检测方法、装置及设备 | |
| CN107733902A (zh) | 一种目标数据扩散过程的监控方法及装置 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN110392013A (zh) | 一种基于网络流量分类的恶意软件识别方法、系统及电子设备 | |
| CN111131260A (zh) | 一种海量网络恶意域名识别和分类方法及系统 | |
| CN110708339B (zh) | 一种基于web日志的关联分析方法 | |
| CN109711163A (zh) | 基于api调用序列的安卓恶意软件检测方法 | |
| CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
| CN110704841A (zh) | 一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法 | |
| CN102930207A (zh) | 一种api日志监控方法及装置 | |
| CN108055227B (zh) | 基于站点自学习的waf未知攻击防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171226 Termination date: 20201230 |