CN105516098A - 一种网页脚本的识别方法及装置 - Google Patents

一种网页脚本的识别方法及装置 Download PDF

Info

Publication number
CN105516098A
CN105516098A CN201510857021.XA CN201510857021A CN105516098A CN 105516098 A CN105516098 A CN 105516098A CN 201510857021 A CN201510857021 A CN 201510857021A CN 105516098 A CN105516098 A CN 105516098A
Authority
CN
China
Prior art keywords
feature database
command
sensitive parameter
parameter feature
similarity analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510857021.XA
Other languages
English (en)
Inventor
储来斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rui Feng Network Cloud (beijing) Polytron Technologies Inc
Original Assignee
Rui Feng Network Cloud (beijing) Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rui Feng Network Cloud (beijing) Polytron Technologies Inc filed Critical Rui Feng Network Cloud (beijing) Polytron Technologies Inc
Priority to CN201510857021.XA priority Critical patent/CN105516098A/zh
Publication of CN105516098A publication Critical patent/CN105516098A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种网页脚本的识别方法,包括如下步骤:根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库;对网页流量进行深度协议解析,提取命令参数;利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。本发明的有益效果为:通过基础库知识库生成、深度协议解析数据分析,相似性分析,数据处理等步骤,并且通过深度协议解析达到了良好的实时性,能够应用于多种场合。同时,通过信息积累,也提高了网页木马识别的正确率。

Description

一种网页脚本的识别方法及装置
技术领域
本发明涉及信息安全领域,具体来说,涉及一种网页脚本的识别方法及装置。
背景技术
网络流量异常指网络中流量不规则的显著变化,如网络短暂拥塞、分布式拒绝服务攻击(DDoS,DistributedDenialofService)、大范围扫描等本地事件或者网络路由异常等全局事件。网络流量异常的监测和分析对网络安全应急响应部门而言非常重要,但是由于宏观流量异常监测比较困难,需要从大量高维的富含噪声的数据中提取和解释异常模式,使得对于网络异常的监测和分析仍然是一个极大的挑战。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
本发明的目的是提供一种网页脚本的识别方法及装置,以克服目前现有技术存在的上述不足。
本发明的目的是通过以下技术方案来实现:
一种网页脚本的识别方法,包括如下步骤:
根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库
对网页流量进行深度协议解析,提取命令参数;
利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;
将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。
进一步的,所述相似性分析结果和阀值进行比较还包括:
当相似性结果小于阀值时,将参数信息记录到敏感参数特征库,并且将该信息标记为白名单。
其中,一种网页脚本识别装置,其特征在于,包括数据生成单元、深度协议解析单元、相似性分析单元以及数据处理单元,其中
数据生成单元,用于根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库;
深度协议解析单元,用于对网页流量进行深度协议解析,提取命令参数;
相似性分析单元,用于利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;
数据处理单元,用于将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。
进一步的,所述深度协议解析单元包括url解码,html解码,base64解码。
本发明的有益效果为:通过基础库知识库生成、深度协议解析数据分析,相似性分析,数据处理等步骤,并且通过深度协议解析达到了良好的实时性,能够应用于多种场合。同时,通过信息积累,也提高了网页木马识别的正确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种网页脚本的识别方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明的实施例所述的一种网页脚本的识别方法,包括如下步骤:
根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库
对网页流量进行深度协议解析,提取命令参数;
利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;
将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。
进一步的,所述相似性分析结果和阀值进行比较还包括:
当相似性结果小于阀值时,将参数信息记录到敏感参数特征库,并且将该信息标记为白名单。
其中一种网页脚本识别装置,包括数据生成单元、深度协议解析单元、相似性分析单元以及数据处理单元,其中
数据生成单元,用于根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库;
深度协议解析单元,用于对网页流量进行深度协议解析,提取命令参数;
相似性分析单元,用于利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;
数据处理单元,用于将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。
进一步的,所述深度协议解析单元包括url解码,html解码,base64解码。
综上所述,借助于本发明的上述技术方案,通过基础库知识库生成、深度协议解析数据分析,相似性分析,数据处理等步骤,并且通过深度协议解析达到了良好的实时性,能够应用于多种场合。同时,通过信息积累,也提高了网页木马识别的正确率。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种网页脚本的识别方法,其特征在于,包括如下步骤:
根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库
对网页流量进行深度协议解析,提取命令参数;
利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;
将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。
2.根据权利要求1所述的网页脚本的识别方法,其特征在于,所述相似性分析结果和阀值进行比较还包括:
当相似性结果小于阀值时,将参数信息记录到敏感参数特征库,并且将该信息标记为白名单。
3.一种网页脚本识别装置,其特征在于,包括数据生成单元、深度协议解析单元、相似性分析单元以及数据处理单元,其中
数据生成单元,用于根据常用的系统命令和数据命令,脚本语言函数,生成敏感参数特征库;
深度协议解析单元,用于对网页流量进行深度协议解析,提取命令参数;
相似性分析单元,用于利用向量空间算法将提取到的命令参数和所述敏感参数特征库进行相似性分析;
数据处理单元,用于将相似性分析结果和阀值进行比较,将相似性结果大于阀值的参数信息记录到敏感参数特征库,并且将该信息标记为黑名单,同时更新敏感参数特征库。
4.根据权利要求3所述的网页脚本识别装置,其特征在于,所述深度协议解析单元包括url解码,html解码,base64解码。
CN201510857021.XA 2015-11-30 2015-11-30 一种网页脚本的识别方法及装置 Pending CN105516098A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510857021.XA CN105516098A (zh) 2015-11-30 2015-11-30 一种网页脚本的识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510857021.XA CN105516098A (zh) 2015-11-30 2015-11-30 一种网页脚本的识别方法及装置

Publications (1)

Publication Number Publication Date
CN105516098A true CN105516098A (zh) 2016-04-20

Family

ID=55723736

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510857021.XA Pending CN105516098A (zh) 2015-11-30 2015-11-30 一种网页脚本的识别方法及装置

Country Status (1)

Country Link
CN (1) CN105516098A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660512A (zh) * 2018-11-12 2019-04-19 全球能源互联网研究院有限公司 一种敏感信息流向向量化方法、异常流向识别方法及装置
CN109743311A (zh) * 2018-12-28 2019-05-10 北京神州绿盟信息安全科技股份有限公司 一种WebShell检测方法、装置及存储介质
CN110008707A (zh) * 2019-03-22 2019-07-12 杭州优云软件有限公司 一种it系统自动化运维脚本执行的安全保障方法
CN112732681A (zh) * 2021-04-01 2021-04-30 壹药网科技(上海)股份有限公司 数据平台迁移方法及系统
CN113660250A (zh) * 2021-08-12 2021-11-16 杭州安恒信息技术股份有限公司 基于web应用防火墙的防御方法、装置、系统和电子装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660512A (zh) * 2018-11-12 2019-04-19 全球能源互联网研究院有限公司 一种敏感信息流向向量化方法、异常流向识别方法及装置
CN109743311A (zh) * 2018-12-28 2019-05-10 北京神州绿盟信息安全科技股份有限公司 一种WebShell检测方法、装置及存储介质
CN109743311B (zh) * 2018-12-28 2021-10-22 绿盟科技集团股份有限公司 一种WebShell检测方法、装置及存储介质
CN110008707A (zh) * 2019-03-22 2019-07-12 杭州优云软件有限公司 一种it系统自动化运维脚本执行的安全保障方法
CN112732681A (zh) * 2021-04-01 2021-04-30 壹药网科技(上海)股份有限公司 数据平台迁移方法及系统
CN112732681B (zh) * 2021-04-01 2021-06-08 壹药网科技(上海)股份有限公司 数据平台迁移方法及系统
CN113660250A (zh) * 2021-08-12 2021-11-16 杭州安恒信息技术股份有限公司 基于web应用防火墙的防御方法、装置、系统和电子装置

Similar Documents

Publication Publication Date Title
CN105516098A (zh) 一种网页脚本的识别方法及装置
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN104601557B (zh) 一种基于软件定义网络的恶意网站防护方法及系统
US10084816B2 (en) Protocol based detection of suspicious network traffic
US9660959B2 (en) Network traffic analysis to enhance rule-based network security
CN108985061B (zh) 一种基于模型融合的webshell检测方法
CN112491917B (zh) 一种物联网设备未知漏洞识别方法及装置
CN104426906A (zh) 识别计算机网络内的恶意设备
DE602007013747D1 (de) Verfahren und Vorrichtung zur Klassifizierung von Datenverkehr in IP-Netzen
CN112528898A (zh) 一种基于监控视频多目标检测的告警事件聚合方法和装置
CN112287336A (zh) 基于区块链的主机安全监控方法、装置、介质及电子设备
CN113141331A (zh) 一种xss攻击检测方法、装置、设备及介质
CN112769827A (zh) 一种网络攻击代理端检测及溯源方法与装置
CN113645181B (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
CN102457415B (zh) Ips检测处理方法、网络安全设备和系统
CN101951330A (zh) 双向联合检测的装置及方法
KR102035582B1 (ko) 공격 근원지 추적 장치 및 방법
Lee et al. Analysis and response of SSH brute force attacks in multi-user computing environment
CN108234405A (zh) 一种基于智能网关的终端设备自动识别认证方法
KR102384672B1 (ko) 보안 장비, 보안 위협 분석 장치 및 방법
CN105488394A (zh) 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统
CN106789899B (zh) 一种基于html5的跨域消息发送方法及装置
CN105337792A (zh) 网络攻击有效性的检测方法及系统
CN112202763B (zh) 一种ids策略生成方法、装置、设备及介质
KR20140127552A (ko) 외부망과 내부망 사이의 트래픽 분석을 통한 악성코드 경유지 추적 방법 및 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160420