CN104794399A - 一种基于海量程序行为数据的终端防护系统及方法 - Google Patents
一种基于海量程序行为数据的终端防护系统及方法 Download PDFInfo
- Publication number
- CN104794399A CN104794399A CN201510195036.4A CN201510195036A CN104794399A CN 104794399 A CN104794399 A CN 104794399A CN 201510195036 A CN201510195036 A CN 201510195036A CN 104794399 A CN104794399 A CN 104794399A
- Authority
- CN
- China
- Prior art keywords
- program
- terminal
- api calls
- file
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种基于海量程序行为数据的终端防护系统和方法,其包含文件特征提取模块,用于建立知名的合法程序名单和攻击程序名单,为这些程序建立文件特征库;程序API调用采集模块,用于对应用程序的系统调用进行采集;程序行为序列分析模块,负责从API调用日志文件中提取出各个程序的API调用序列;判别模块,判断终端上启动的程序是否具有安全威胁。利用本发明的方法减少了需要进行API调用分析的程序数量,提高了处理效率;扩大了可分析的终端程序API调用序列的规模,不仅能捕捉单一程序的异常行为,而且能够发现程序集的整体行为特点,对用户处置程序异常行为报警提供重要的参考依据。
Description
技术领域
本发明涉及计算机信息技术安全领域,具体涉及一种基于海量程序行为数据的终端防护系统及方法。
背景技术
随着计算机的广泛应用,计算机病毒入侵造成的危害越来越大。众多信息安全类厂商研制出许多相应的防范产品。这些产品大致可以分为边界安全产品和终端安全产品。边界安全产品,如准入网关,通过对通讯端口、协议的管控来阻止入侵行为。终端安全产品,如杀毒软件,通过扫描监控范围内的文件,与病毒文件的代码特征比对,来清除有害文件。可见,边界安全产品和终端安全产品相辅相成。在病毒入侵的网络行为特征不明显而导致边界安全产品失效情况下,终端安全产品的作用就尤为重要。
“CN200510007682-基于程序行为分析的计算机防护”和“CN201210129761-一种API日志监控方法及装置”提出了两种病毒检测、保护终端的方法。其共同点都是对终端程序的动态特征,尤其是API调用,进行监控,来实现终端保护功能。这种方法的优点是病毒的行为特征相对于病毒的文件结构更为稳定,因此,程序动态特征分析较之病毒文件静态结构分析,能更有效地应对病毒发生变异的情况。然而,CN200510007682方法和CN201210129761方法也存在着不足之处。CN200510007682中的方法对包括已知系统服务在内的所有的程序都进行监控并且使用钩挂系统API (Application Programming Interface:应用程序编程接口)函数的方式,这样会造成一定的系统负载。在CN201210129761中,其判断程序是否安全的准则是,程序有没有调用过可信文件列表之外的模块。这样的判别准则过于简单,病毒完全可能通过调用一系列可信模块实现其攻击。
上述两种方法都是对终端系统进行实时保护,其好处是能以最快的速度对可疑程序行为作出响应,其弊端是为了实现实时响应,就难以对已采集的API调用进行充分地分析,因而需要更多的用户干预,来辅助处理可疑报警。
发明内容
本发明针对上述技术存在的不足,提出一种基于海量程序行为数据的终端防护系统及方法,是一种异常行为的事后检测方法,采用文件特征对比与程序的系统调用序列分析相结合的方式来识别程序异常行为,使得入侵者在其动作行为暴露出固有的特点之后依然能被发现。本发明扩大了可分析的终端程序API调用序列的规模,可分析长时间跨度的API调用序列。
本发明所述的一种基于海量程序行为数据的终端防护系统,包括:
文件特征提取模块,用于建立知名的合法程序名单和攻击程序名单,为这些程序建立文件特征库;
程序API调用采集模块,用于对应用程序的系统调用进行采集;
程序行为序列分析模块,负责从API调用日志文件中提取出各个程序的API调用序列;
判别模块,判断终端上启动的程序是否具有安全威胁。
所述的系统调用包括文件操作、系统信息操作、进程操作、内存操作、注册表操作、网络操作。
所述的系统调用采集是在终端程序启动时,终端防护系统即对其加载过程进行拦截,然后在内存映射文件中钩挂上述系统调用,从而完成对终端程序的系统调用采集。
所述的从API调用日志文件中提取各个程序的API调用序列是采用滑动窗口的方式,以线程为单位,从线程的第一个系统调用记录开始向后滑动,到线程的最后一个系统调用为止,根据滑动窗口的尺寸,生成API调用序列的片段。
所述的API调用序列的生成采用Map Reduce(映射约简)计算方法,以线程ID为键,以系统调用的时间为值,通过二次排序操作从API调用日志文件中提取各个程序的API调用序列。
本发明还提供一种基于海量程序行为数据的终端防护方法,包括下列步骤:
步骤a,文件特征提取模块,建立知名的合法程序名单和攻击程序名单,并对这些程序建立文件特征库;
步骤b,通过自动化工具,分析病毒的API调用序列,建立安全威胁行为库;
步骤c,程序API调用采集模块,对应用程序的系统调用进行采集,即在终端程序启动时,终端防护系统对其加载过程进行拦截,然后在内存映射文件中钩挂上述系统调用,从而完成对终端程序的系统调用采集;
步骤d,判别模块判断终端上启动的程序是否正常,即将启动程序与文件特征库对比,如果是文件特征库中的知名攻击程序,则终端上启动的程序不正常,直接发出安全威胁报警;
如果启动程序是文件特征库中的合法程序,即终端程序的文件特征显示正常,则程序API调用采集模块对该终端程序采集其系统API调用序列;程序行为序列分析模块采用MapReduce技术和滑动窗口的方式,从日志文件中提取并分析各终端程序的API调用序列;判别模块将系统API调用短序列与安全威胁行为库中的记录对比,判断终端程序是否与安全威胁行为库中的记录匹配,如果匹配,则直接发出安全警告;若无攻击行为,则说明终端程序安全。
所述的安全威胁行为库包括:可疑蠕虫报警规则:修改系统启动项,无窗口,不断获取其他计算机的IP地址,然后将自身副本发送;可疑木马报警规则:修改系统启动项,无窗口,存在文件读写和上传操作;可疑病毒报警规则:提升应用程序的权限;出现缓存溢出;修改可执行文件。
本发明的有益效果:本发明的基于海量程序行为数据的终端防护系统及方法,使用文件特征对比与程序行为调用序列分析相结合的方式来识别程序异常行为,不仅使得入侵者在其动作行为暴露出固有的特点之后,依然能被发现,而且检测效率有所提升;采用Map Reduce技术,可以处理海量的终端程序系统调用序列记录,不仅可以捕捉单一程序的异常行为,而且能够发现程序集的整体行为特点,对用户处置程序异常行为报警提供重要的参考依据。
附图说明
图1PE文件结构图;
图2本发明实施例的基于海量程序行为数据的终端防护方法流程图。
具体实施方式
本发明所提供的防护系统是在程序异常行为发生后产生报警,并为用户采取有效的补救措施提供帮助。
本发明所述的一种基于海量程序行为数据的终端防护系统,包括文件特征提取模块,用于建立知名的合法程序名单和攻击程序名单,为这些程序建立文件特征库,所述的合法程序名单可以包括常用的软件,如Windows上的explorer.exe,svchost.exe,services.exe,MS Office,QQ等,可以将其放入知名程序名单,并提取文件特征。文件特征从程序的PE(Portable Executable:可移植的执行体)文件头部提取,PE文件格式如图1所示,从PE文件头的PE可选头和节表中提取代码段总尺寸和每节的实际字节数作为程序文件的特征值。从http://www.offensivecomputing.net上下载恶意程序,也如上所述,提取其文件特征,作为黑名单。
程序API调用采集模块,对应用程序的系统调用进行采集,需要采集的系统调用包括:
在终端程序启动时,对其加载过程进行拦截,然后在内存映射文件中钩挂上述系统调用,从而完成对终端程序的系统调用的采集。采集结果记录文件的格式如下:
字段名称 | 说明 |
终端ID | 用于标识终端设备的唯一性标记 |
进程ID | 操作系统用于唯一标识进程的一个数值 |
父进程ID | 操作系统用于唯一标识本进程的创建者的一个数值 |
应用程序的本地路径 | 进程对应的应用程序文件的本地路径 |
线程ID | 操作系统用于唯一标识线程的一个数值 |
系统API函数名称 | 执行的系统API函数的名称,用于唯一标识一个系统调用 |
参数列表 | 传递给API函数的参数 |
调用时间 | 发起系统调用操作的时间 |
程序行为序列分析模块,以线程为单位,即从线程的第一个系统调用记录开始向后滑动,到线程的最后一个系调用记录为止,采用MapReduce计算方法:以线程ID为键,以系统调用的时间为值,通过二次排序操作从API调用日志文件中提取各个程序的API调用序列。
快速并行的生成多个线程的API调用序列的细节如下:
设
thread1=终端ID 1+进程ID 1+应用程序的本地路径1+线程ID1(符号“+”表示字符串连接),
calltime1=调用时间1+系统调用名称1,
终端采集信息可转换为如下形式:
thread1 calltime1
thread2 calltime3
thread2 calltime7
thread2 calltime5
thread1 calltime2
thread3 calltime21
thread3 calltime22
thread3 calltime20
map函数按照如下形式输出:
thread1 calltime1 calltime2
thread2 calltime3 calltime5 calltime7
thread3 calltime20 calltime21 calltime22
然后将上述输出分配到不同的reduce函数上。
将原始数据的Key值和其对应的数据组合成一个新的Key值,然后新的Key值对应的还是之前的数字。那么就可以将原始数据的map输出变成类似下面的数据结构:
{[thread1,calltime1],calltime1}
{[thread2,calltime3],calltime3}
{[thread2,calltime7],calltime7}
{[thread2,calltime5],calltime5}
{[thread1,calltime2],calltime2}
{[thread3,calltime22],calltime22}
{[thread3,calltime21],calltime21}
{[thread3,calltime20],calltime20}
因此我们只需要对[]里面的新Key值进行排序。由于初衷是想将新Key中的第一个字段相同的放到同一个reduce中进行分组合并,所以需要根据新Key值中的第一个字段自定义一个分区处理器(partitioner)。通过分区操作后,得到的数据流如下:
Partition1:{[thread1,calltime1],calltime1}、{[thread1,calltime2],calltime2}
Partition2:{[thread2,calltime3],calltime3}、{[thread2,calltime7],calltime7}、{[thread2,calltime5],calltime5}
Partition3:{[thread3,calltime22],calltime22}、{[thread3,calltime21],calltime21}、{[thread3,calltime20],calltime20}
分区操作完成之后,调用自定义排序器(KeyComparator)对新的Key值进行排序。
{[thread1,calltime1],calltime1}
{[thread1,calltime2],calltime2}
{[thread2,calltime3],calltime3}
{[thread2,calltime5],calltime5}
{[thread2,calltime7],calltime7}
{[thread3,calltime20],calltime20}
{[thread3,calltime21],calltime21}
{[thread3,calltime22],calltime22}
经过Shuffle处理之后,数据传输到Reducer端。在Reducer端对按照组合键的第一个字段来进行分组(GroupComparator),并且每处理完一次分组之后就会调用一次reduce函数来对这个分组进行处理输出。最终的各个分组的数据结构变成类似下面的数据结构:
{thread1,[calltime1,calltime2]}
{thread2,[calltime3,calltime5,calltime7]}
{thread3,[calltime20,calltime21,calltime22]}
判别模块4,判断终端上启动的程序是具有安全威胁。
判别模块是依据安全威胁行为库与终端程序的API调用短序列的匹配结果来判断其是否具有安全威胁的。这里的安全威胁行为库是利用自动化工具,人工分析病毒程序行为而得到。在实施中,采用procmom工具软件监视病毒程序的行为,步骤为:
1) 运行病毒文件之前,运行procmom.exe;
2)运行病毒文件;
3)通过procmom.exe,知道病毒文件的进程号;
4)在procmom.exe中,依据病毒进程号设置过滤规则,获得病毒的行为;
5)总结病毒的行为特征,形成安全威胁行为规则。
本发明还提供了一种基于海量程序行为数据的终端防护方法,流程图如图2所示,其中包括如下步骤:
步骤S100,文件特征提取模块,建立知名的合法程序名单和攻击程序名单,并对这些程序建立文件特征库;
步骤S200,通过自动化工具,分析病毒的API调用序列,建立安全威胁行为库;
步骤S300,程序API调用采集模块,对应用程序的系统调用:文件操作、系统信息操作、进程操作、内存操作、注册表操作、网络操作进行采集,即在终端程序启动时,终端防护系统对其加载过程进行拦截,然后在内存映射文件中钩挂上述系统调用,从而完成对终端程序的系统调用采集;步骤S400,判别模块判断终端上启动的程序是否正常,将启动程序与文件特征库对比,判断启动程序是否正常;步骤S500,如果终端程序是文件特征库中的知名攻击程序,即启动程序不正常,则直接发出安全威胁报警,结束;
步骤S600,如果终端程序的文件特征与文件特征库中的知名合法程序,即终端程序显示正常,则程序API调用采集模块对该终端程序采集其系统API调用序列;
步骤S700程序行为序列分析模块对每个程序的系统API调用序列,采用MapReduce和滑动窗口相结合的方式,从日志文件中提取并分析各终端程序的API调用短序列;
步骤S800,判别模块将系统API调用短序列与安全威胁行为库中的记录对比,判断终端程序是否与安全威胁行为库中的记录匹配,具有具有攻击行为,如果具有攻击行为,则直接发出安全警告,结束;若无攻击行为,结束。
Claims (7)
1.一种基于海量程序行为数据的终端防护系统,其特征在于,该系统包括:
文件特征提取模块,用于建立知名的合法程序名单和攻击程序名单,为这些程序建立文件特征库;
程序API调用采集模块,用于对应用程序的系统调用进行采集;
程序行为序列分析模块,负责从API调用日志文件中提取出各个程序的API调用序列;
判别模块,判断终端上启动的程序是否具有安全威胁。
2.根据权利要求1所述的一种基于海量程序行为数据的终端防护系统,其特征在于所述的程序API调用采集模块采集的应用程序的系统调用包括文件操作、系统信息操作、进程操作、内存操作、注册表操作、网络操作。
3.根据权利要求1所述的一种基于海量程序行为数据的终端防护系统,其特征在于所述的系统调用采集是在终端程序启动时,终端防护系统即对其加载过程进行拦截,然后在内存映射文件中钩挂上述系统调用,从而完成对终端程序的系统调用采集。
4.根据权利要求1所述的一种基于海量程序行为数据的终端防护系统,其特征在于:所述的从API调用日志文件中提取各个程序的API调用序列是采用滑动窗口的方式,以线程为单位,从线程的第一个系统调用记录开始向后滑动,到线程的最后一个系统调用为止,根据滑动窗口的尺寸,生成API调用序列的片段。
5.根据权利要求1所述的一种基于海量程序行为数据的终端防护系统,其特征在于:所述的API调用序列的生成采用Map Reduce计算方法,以线程ID为键,以系统调用的时间为值,通过二次排序操作快速得到每个线程的系统调用序列技术从API调用日志文件中提取各个程序的API调用序列。
6.一种基于海量程序行为数据的终端防护方法,其特征在于:该方法包括如下步骤:
步骤a,文件特征提取模块,建立知名的合法程序名单和攻击程序名单,并对这些程序建立文件特征库;
步骤b,通过自动化工具,分析病毒的API调用序列,建立安全威胁行为库;
步骤c,程序API调用采集模块,对应用程序的系统调用进行采集,即在终端程序启动时,终端防护系统对其加载过程进行拦截,然后在内存映射文件中钩挂上述系统调用,从而完成对终端程序的系统调用采集;
步骤d,判别模块判断终端上启动的程序是否正常,即将启动程序与文件特征库对比,如果是文件特征库中的知名攻击程序,即终端上启动的程序不正常,直接发出安全威胁报警;
如果启动程序是文件特征库中的合法程序,即终端程序的文件特征显示正常,则程序API调用采集模块对该终端程序采集其系统API调用序列;程序行为序列分析模块采用MapReduce技术和滑动窗口的方式,从日志文件中提取并分析各终端程序的API调用序列;判别模块将系统API调用短序列与安全威胁行为库中的记录对比,判断终端程序是否与安全威胁行为库中的记录匹配,如果匹配,则直接发出安全警告;若无攻击行为,则说明终端程序安全。
7.根据权利要求6所述的一种基于海量程序行为数据的终端防护方法,其特征在于所述的步骤b中,所述的安全威胁行为库包括:
可疑蠕虫报警规则:修改系统启动项,无窗口,不断获取其他计算机的IP地址,然后将自身副本发送;可疑木马报警规则:修改系统启动项,无窗口,存在文件读写和上传操作;可疑病毒报警规则:提升应用程序的权限;出现缓存溢出;修改可执行文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510195036.4A CN104794399A (zh) | 2015-04-23 | 2015-04-23 | 一种基于海量程序行为数据的终端防护系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510195036.4A CN104794399A (zh) | 2015-04-23 | 2015-04-23 | 一种基于海量程序行为数据的终端防护系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104794399A true CN104794399A (zh) | 2015-07-22 |
Family
ID=53559188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510195036.4A Pending CN104794399A (zh) | 2015-04-23 | 2015-04-23 | 一种基于海量程序行为数据的终端防护系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104794399A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107623655A (zh) * | 2016-07-13 | 2018-01-23 | 南京联成科技发展股份有限公司 | 基于人工智能和MapReduce实时检测攻击的系统 |
WO2018023705A1 (zh) * | 2016-08-05 | 2018-02-08 | 深圳中兴力维技术有限公司 | 一种应用程序编程接口异常使用的检测方法和装置 |
CN107729754A (zh) * | 2017-09-25 | 2018-02-23 | 暨南大学 | 基于API特征的Android恶意软件检测方法 |
CN108021802A (zh) * | 2017-10-24 | 2018-05-11 | 努比亚技术有限公司 | 一种系统资源访问控制方法、终端及计算机可读存储介质 |
CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及系统 |
CN108182360A (zh) * | 2018-01-31 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
CN108733426A (zh) * | 2017-04-21 | 2018-11-02 | 海马云(天津)信息技术有限公司 | 电子设备运行应用的方法、装置及电子设备 |
CN109472134A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
CN110716758A (zh) * | 2018-06-26 | 2020-01-21 | 阿里巴巴集团控股有限公司 | 程序运行方法、装置、设备以及存储介质 |
CN112989350A (zh) * | 2021-05-07 | 2021-06-18 | 杭州海康威视数字技术股份有限公司 | 物联网恶意攻击行为处理方法、装置及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
CN102916937A (zh) * | 2012-09-11 | 2013-02-06 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
-
2015
- 2015-04-23 CN CN201510195036.4A patent/CN104794399A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
CN102916937A (zh) * | 2012-09-11 | 2013-02-06 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
Non-Patent Citations (1)
Title |
---|
牛冰茹等: "一种改进的基于攻击树的木马分析与检测", 《计算机应用与软件》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107623655A (zh) * | 2016-07-13 | 2018-01-23 | 南京联成科技发展股份有限公司 | 基于人工智能和MapReduce实时检测攻击的系统 |
WO2018023705A1 (zh) * | 2016-08-05 | 2018-02-08 | 深圳中兴力维技术有限公司 | 一种应用程序编程接口异常使用的检测方法和装置 |
CN108733426A (zh) * | 2017-04-21 | 2018-11-02 | 海马云(天津)信息技术有限公司 | 电子设备运行应用的方法、装置及电子设备 |
CN108733426B (zh) * | 2017-04-21 | 2021-10-29 | 海马云(天津)信息技术有限公司 | 电子设备运行应用的方法、装置及电子设备 |
CN107729754A (zh) * | 2017-09-25 | 2018-02-23 | 暨南大学 | 基于API特征的Android恶意软件检测方法 |
CN108021802A (zh) * | 2017-10-24 | 2018-05-11 | 努比亚技术有限公司 | 一种系统资源访问控制方法、终端及计算机可读存储介质 |
CN108073809A (zh) * | 2017-12-25 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于异常组件关联的apt启发式检测方法及系统 |
CN109472134A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
CN108182360A (zh) * | 2018-01-31 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
CN108182360B (zh) * | 2018-01-31 | 2023-09-19 | 腾讯科技(深圳)有限公司 | 一种风险识别方法及其设备、存储介质、电子设备 |
CN110716758A (zh) * | 2018-06-26 | 2020-01-21 | 阿里巴巴集团控股有限公司 | 程序运行方法、装置、设备以及存储介质 |
CN112989350A (zh) * | 2021-05-07 | 2021-06-18 | 杭州海康威视数字技术股份有限公司 | 物联网恶意攻击行为处理方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104794399A (zh) | 一种基于海量程序行为数据的终端防护系统及方法 | |
EP2860937B1 (en) | Log analysis device, method, and program | |
EP2961111B1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
CN106295348B (zh) | 应用程序的漏洞检测方法及装置 | |
JPWO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
CN110958257B (zh) | 一种内网渗透过程还原方法和系统 | |
US9961047B2 (en) | Network security management | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN114143064B (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
CN113904829B (zh) | 一种基于机器学习的应用防火墙系统 | |
CN113676497A (zh) | 数据阻断的方法和装置、电子设备和存储介质 | |
KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
CN109218315B (zh) | 一种安全管理方法和安全管理装置 | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
CN101546367B (zh) | 带预警功能的网络木马综合检测方法 | |
Alapaholuoma et al. | A behavior-based method for rationalizing the amount of ids alert data | |
CN110990830A (zh) | 终端取证溯源系统及方法 | |
Elmubarak et al. | Implementation Hybrid (NIDS) System using Anomaly Holt-winter Algorithm and Signature based Scheme | |
CN117834311B (zh) | 一种用于网络安全的恶意行为识别系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150722 |