CN106790189B - 一种基于响应报文的入侵检测方法和装置 - Google Patents

一种基于响应报文的入侵检测方法和装置 Download PDF

Info

Publication number
CN106790189B
CN106790189B CN201611260085.2A CN201611260085A CN106790189B CN 106790189 B CN106790189 B CN 106790189B CN 201611260085 A CN201611260085 A CN 201611260085A CN 106790189 B CN106790189 B CN 106790189B
Authority
CN
China
Prior art keywords
equipment
protected
message
response
target attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611260085.2A
Other languages
English (en)
Other versions
CN106790189A (zh
Inventor
陈文忠
张淋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201611260085.2A priority Critical patent/CN106790189B/zh
Publication of CN106790189A publication Critical patent/CN106790189A/zh
Application granted granted Critical
Publication of CN106790189B publication Critical patent/CN106790189B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种基于响应报文的入侵检测方法和装置,应用于检测设备。所述方法包括:安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。采用本申请提供的技术方案,可以提高防护设备的防护能力。

Description

一种基于响应报文的入侵检测方法和装置
技术领域
本申请涉及网络通信技术领域,特别涉及一种基于响应报文的入侵检测方法和装置。
背景技术
随着网络的发展,黑客攻击事件越来越多,黑客的攻击方式也越来越多。为了提供更加安全的网络环境给用户,提高对黑客攻击行为的检测与加强对黑客攻击行为的防御显得至关重要。
发明内容
有鉴于此,本申请提供一种基于响应报文的入侵检测方法和装置,应用于检测设备,用于提高安全防护设备的防护能力。
具体地,本申请是通过如下技术方案实现的:
一种基于响应报文的入侵检测方法,应用于检测设备,所述检测设备与安全防护设备互为镜像;所述安全防护设备与待防护设备相连,用于对所述待防护设备进行安全防护,包括:
从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
一种基于响应报文的入侵检测装置,应用于检测设备,所述检测设备与安全防护设备互为镜像;所述安全防护设备与待防护设备相连,用于对所述待防护设备进行安全防护,包括:
获取单元,用于从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
第一确定单元,用于确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
第二确定单元,用于如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
由于现有技术中,安全防护设备对于无法识别的攻击报文进行了转发,并对待防护设备返回的响应报文不进行检测,因此安全防护设备无法确定待防护设备是否存在漏洞,本申请提供的技术方案中,检测设备就是弥补安全防护设备的缺点,对待防护设备的响应报文进行检测,当待防护设备存在漏洞时,检测设备可以向安全防护设备发送信息,通知安全防护设备,待防护设备存在漏洞,从而使安全防护设备生成对应的防护规则,对待防护设备进行防护。
附图说明
图1为本申请一示例性实施例示出的现有技术中一种入侵检测方法的组网架构图;
图2为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法;
图3为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法的组网架构图;
图4为本申请一种基于响应报文的入侵检测装置所在检测设备的一种硬件结构图;
图5为本申请一示例性实施例示出的一种基于响应报文的入侵检测装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,图1为本申请一示例性实施例示出的现有技术中一种入侵检测方法的组网架构图。
在图1中,客户端所在的终端设备与安全防护设备相连,安全防护设备与待防护设备相连。当客户端发送报文时,该报文会经过安全防护设备的检测。如果该报文检测通过,安全防护设备可以将该报文转发至对应的待防护设备;如果该报文检测未通过,安全防护设备将该报文拦截,不会将该报文转发至对应的待防护设备。
当待防护设备接收到安全防护设备转发的报文时,待防护设备可以对该报文进行处理,然后向安全防护设备发送响应报文。当安全防护设备接收到响应报文时,安全防护设备可以将该响应报文转发至客户端。
其中,安全防护设备对客户端发送的报文进行检测时,通过将该报文与安全防护设备中保存的攻击特征数据库中的攻击特征进行一一匹配,如果该报文命中攻击特征数据库中任一攻击特征,那么安全防护设备可以确定该报文为攻击报文,然后将该报文拦截,不会将该报文转发至对应的待防护设备,即该报文检测通过。
另外,由于待防护设备在安全防护设备的里面,因此安全防护设备对待防护设备发送的响应报文只进行转发,不会再对该响应报文进行解析与检测。
综上所述,现有技术中存在以下问题。
随着技术的发展,新的攻击类型不断出现,黑客可以通过一些编码方式,例如URL(Universal Resource locator,统一资源定位符)编码、空格转化,数据库编码等方式,或者采用安全防护设备数据库中没有的攻击特征的攻击方式,对安全防护设备发送对应的攻击报文,在这样的情况下,由于安全防护设备无法识别出攻击报文,并将攻击报文转发至对应的待防护设备,从而造成待防护设备被黑客攻击成功。
为了解决现有技术中的问题,本申请提供了一种基于响应报文的入侵检测方法,应用于检测设备。通过从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
由于现有技术中,安全防护设备对于无法识别的攻击报文进行了转发,并对待防护设备返回的响应报文不进行检测,因此安全防护设备无法确定待防护设备是否存在漏洞,本申请提供的技术方案中,检测设备就是弥补安全防护设备的缺点,对待防护设备的响应报文进行检测,当待防护设备存在漏洞时,检测设备可以向安全防护设备发送信息,通知安全防护设备,待防护设备存在漏洞,从而使安全防护设备生成对应的防护规则,对待防护设备进行防护。
请参见图2,图2为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法,应用于检测装置,具体执行以下步骤:
步骤201:从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
请参见图3,图3为本申请一示例性实施例示出的一种基于响应报文的入侵检测方法的组网架构图。
在图3中,客户端所在的终端设备与安全防护设备相连,安全防护设备与待防护设备相连,检测设备与安全防护设备互为镜像。其中,所述互为镜像是指安全防护设备将接收到报文均会复制一份,然后转发给检测设备。
在本实施例中,客户端可以向安全防护设备发送报文。当安全防护设备接收到客户端发送的报文时,安全防护设备可以将该报文与保存的攻击特征数据库中的攻击特征进行一一匹配,如果该报文与安全防护设备保存的攻击特征数据库中的任一攻击特征匹配成功,则说明该报文一定为攻击报文。在这样的情况下,安全防护设备可以将该报文拦截,不将该报文进行转发。
如果该报文没有匹配中安全防护设备保存的攻击特征数据库中的任一攻击特征,则该报文会被安全防护设备认为是安全的报文,并将该报文转发至对于对应的待防护设备,在这样的情况下,只能说明该报文可能是安全的报文,也可能是攻击报文,还不能完全确定。
当待防护设备接收到安全防护设备发送的报文时,待防护设备可以对该报文进行处理,然后发送与该报文对应的响应报文至安全防护设备。
当安全防护设备接收到待防护设备发送的响应报文时,安全防护设备可以将该报文转发至客户端,然后将该响应报文复制一份发送至检测设备。
步骤202:确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应。
在示出的一种实施方式中,当检测设备接收到安全防护设备发送的响应报文时,检测设备可以将该响应报文与本设备中预设的错误消息进行匹配。其中,所述预设的错误消息与预设的目标攻击类型对应。如果预设的错误消息为SQL错误消息,那么所述预设的目标攻击类型为SQL注入攻击。如果预设的错误消息为XSS错误消息,那么所述预设的目标攻击类型为XSS攻击。
步骤203:如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
在本申请的实施例中,当检测设备检测到该响应报文中存在预设的错误消息,那么检测设备可确定所述待防护设备遭受到了与该预设的错误消息对应的目标攻击类型的外部攻击。在这样的情况下,检测设备可以对该响应报文进行统计分析,然后检测设备可以判断待防护设备中是否存在与所述目标攻击类型对应的系统漏洞。
具体地,在本申请示出的实施例中,当检测设备确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击时,检测设备可以解析所述响应报文,然后从中获取所述待防护设备针对所述访问客户端的响应时间。然后检测设备可以从本设备中所述待防护设备针对所述访问客户端的上一次的响应时间。
检测设备获取到所述待防护设备针对所述访问客户端的本次的响应时间,以及所述待防护设备针对所述访问客户端的上一次的响应时间后,检测设备可以计算这两个响应时间的时间差。然后,检测设备可以判断计算得到的响应时间差是否超过了预设阈值。
如果所述响应时间差超过了预设阈值,那么检测设备可以确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
此外,在本申请的实施例中,当检测设备确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击时,检测设备可以解析所述响应报文,查找所述响应报文中是否携带对应于所述目标攻击类型的恶意行为特征;
如果查找到所述响应设备中携带了对应于所述目标攻击类型的恶意行为特征,那么检测设备确定所述待防护设备中存在与所述目标攻击类型对应的系统漏洞。
在示出的一种实施方式中,当检测设备确定所述待防护设备中存在与所述目标攻击类型对应的系统漏洞时,检测设备可以向安全防护设备发送对应的通知消息,通知安全防护设备待防护设备存在与所述目标攻击类型对应的系统漏洞。
当安全防护设备接收到检测设备发送的通知消息时,安全防护设备可以获取到所述目标攻击类型。然后管理员可以手动针对所述目标攻击类型添加安全防护规则,也可以安全防护设备根据所述目标攻击类型自动生成对应的安全防护规则,然后安全防护设备可以根据针对所述目标攻击类型的安全防护规则,对待防护设备进行安全防护。
由以上提供的技术方案可见,通过从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
由于现有技术中,安全防护设备对于无法识别的攻击报文进行了转发,并对待防护设备返回的响应报文不进行检测,因此安全防护设备无法确定待防护设备是否存在漏洞,本申请提供的技术方案中,检测设备就是弥补安全防护设备的缺点,对待防护设备的响应报文进行检测,当待防护设备存在漏洞时,检测设备可以向安全防护设备发送信息,通知安全防护设备,待防护设备存在漏洞,从而使安全防护设备生成对应的防护规则,对待防护设备进行防护。
与前述一种基于响应报文的入侵检测方法的实施例相对应,本申请还提供了一种基于响应报文的入侵检测装置的实施例。
本申请一种基于响应报文的入侵检测装置的实施例可以应用在检测设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在检测设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请一种基于响应报文的入侵检测装置所在检测设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的检测设备通常根据该基于响应报文的入侵检测的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5,图5为本申请一示例性实施例示出的一种基于响应报文的入侵检测装置,应用于检测设备,所述装置包括:获取单元510,第一确定单元520,第二确定单元530。
其中,所述获取单元510,用于从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文;
所述第一确定单元520,用于确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
所述第二确定单元530,用于如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
在本申请中,所述第一确定单元520具体用于:
解析所述响应报文获取所述待防护设备针对所述访问客户端的响应时间;
基于获取到的所述响应时间与所述待防护设备针对所述访问客户端的上一次的响应时间,计算响应时间差;
判断所述响应时间差是否超过预设阈值;
如果所述响应时间差超过预设阈值,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
所述第一确定单元520,进一步用于:
解析所述响应报文,查找所述响应报文中是否携带对应于所述目标攻击类型的恶意行为特征;
如果所述响应消息中存在对应于所述目标攻击类型的恶意行为特征,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
另外,所述装置中还包括:
发送单元,用于当确定所述待防护设备遭受外部攻击,并且存在与所述目标攻击类型对应的系统漏洞时,则向所述安全防护设备发送对应的通知消息,以使安全防护设备生成对应的防护规则针对与所述目标攻击类型对应的外部攻击进行安全防护。
其中,在所述装置中,所述目标攻击类型包括SQL注入攻击以及XSS攻击。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (12)

1.一种基于响应报文的入侵检测方法,应用于检测设备,所述检测设备与安全防护设备互为镜像;所述安全防护设备与待防护设备相连,用于对所述待防护设备进行安全防护,其特征在于,包括:
从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文,所述响应报文对应于所述访问客户端向所述待防护设备发送且通过所述安全防护设备的检测的报文;其中,所述访问客户端向所述待防护设备发送且未通过检测的报文被所述安全防护设备拦截、避免转发至所述待防护设备;
确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
2.根据权利要求1所述的方法,其特征在于,所述针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞,包括:
解析所述响应报文获取所述待防护设备针对所述访问客户端的响应时间;
基于获取到的所述响应时间与所述待防护设备针对所述访问客户端的上一次的响应时间,计算响应时间差;
判断所述响应时间差是否超过预设阈值;
如果所述响应时间差超过预设阈值,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
3.根据权利要求1所述的方法,其特征在于,所述针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞,包括:
解析所述响应报文,查找所述响应报文中是否携带对应于所述目标攻击类型的恶意行为特征;
如果所述响应消息中存在对应于所述目标攻击类型的恶意行为特征,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
当确定所述待防护设备遭受外部攻击,并且存在与所述目标攻击类型对应的系统漏洞时,则向所述安全防护设备发送对应的通知消息,以使安全防护设备生成对应的防护规则针对与所述目标攻击类型对应的外部攻击进行安全防护。
5.根据权利要求1所述的方法,其特征在于,所述目标攻击类型包括SQL注入攻击以及XSS攻击。
6.一种基于响应报文的入侵检测装置,应用于检测设备,所述检测设备与安全防护设备互为镜像;所述安全防护设备与待防护设备相连,用于对所述待防护设备进行安全防护,其特征在于,包括:
获取单元,用于从安全防护设备上获取所述待防护设备返回至访问客户端的响应报文,所述响应报文对应于所述访问客户端向所述待防护设备发送且通过所述安全防护设备的检测的报文;其中,所述访问客户端向所述待防护设备发送且未通过检测的报文被所述安全防护设备拦截、避免转发至所述待防护设备;
第一确定单元,用于确定所述响应报文是否匹配预设的错误消息;其中,所述预设的错误消息与预设的目标攻击类型对应;
第二确定单元,用于如果所述响应报文匹配预设的错误消息,确定所述待防护设备遭受对应于所述目标攻击类型的外部攻击,并针对所述响应报文进行统计分析以确定所述待防护设备是否存在与所述目标攻击类型对应的系统漏洞。
7.根据权利要求6所述的装置,其特征在于,包括:
所述第一确定单元具体用于:
解析所述响应报文获取所述待防护设备针对所述访问客户端的响应时间;
基于获取到的所述响应时间与所述待防护设备针对所述访问客户端的上一次的响应时间,计算响应时间差;
判断所述响应时间差是否超过预设阈值;
如果所述响应时间差超过预设阈值,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
8.根据权利要求6所述的装置,其特征在于,包括:
所述第一确定单元,进一步用于:
解析所述响应报文,查找所述响应报文中是否携带对应于所述目标攻击类型的恶意行为特征;
如果所述响应消息中存在对应于所述目标攻击类型的恶意行为特征,确定所述待防护设备存在与所述目标攻击类型对应的系统漏洞。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括:
发送单元,用于当确定所述待防护设备遭受外部攻击,并且存在与所述目标攻击类型对应的系统漏洞时,则向所述安全防护设备发送对应的通知消息,以使安全防护设备生成对应的防护规则针对与所述目标攻击类型对应的外部攻击进行安全防护。
10.根据权利要求6所述的装置,其特征在于,所述目标攻击类型包括SQL注入攻击以及XSS攻击。
11.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-5中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
CN201611260085.2A 2016-12-30 2016-12-30 一种基于响应报文的入侵检测方法和装置 Active CN106790189B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611260085.2A CN106790189B (zh) 2016-12-30 2016-12-30 一种基于响应报文的入侵检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611260085.2A CN106790189B (zh) 2016-12-30 2016-12-30 一种基于响应报文的入侵检测方法和装置

Publications (2)

Publication Number Publication Date
CN106790189A CN106790189A (zh) 2017-05-31
CN106790189B true CN106790189B (zh) 2019-12-06

Family

ID=58953873

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611260085.2A Active CN106790189B (zh) 2016-12-30 2016-12-30 一种基于响应报文的入侵检测方法和装置

Country Status (1)

Country Link
CN (1) CN106790189B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566392B (zh) * 2017-09-22 2020-02-11 北京知道创宇信息技术股份有限公司 一种报错型sql注入的检测方法、代理服务器和存储介质
CN108400978B (zh) * 2018-02-07 2021-08-06 深圳壹账通智能科技有限公司 漏洞检测方法、装置、计算机设备和存储介质
CN111314370B (zh) * 2020-02-28 2022-07-29 杭州迪普科技股份有限公司 一种业务漏洞攻击行为的检测方法及装置
CN112087459B (zh) * 2020-09-11 2023-02-21 杭州安恒信息技术股份有限公司 一种访问请求检测的方法、装置、设备及可读存储介质
CN113162937A (zh) * 2021-04-25 2021-07-23 中国工商银行股份有限公司 应用安全自动化检测方法、系统、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337792A (zh) * 2015-08-25 2016-02-17 王子瑜 网络攻击有效性的检测方法及系统
CN105939338A (zh) * 2016-03-16 2016-09-14 杭州迪普科技有限公司 入侵报文的防护方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337792A (zh) * 2015-08-25 2016-02-17 王子瑜 网络攻击有效性的检测方法及系统
CN105939338A (zh) * 2016-03-16 2016-09-14 杭州迪普科技有限公司 入侵报文的防护方法及装置

Also Published As

Publication number Publication date
CN106790189A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
CN109922075B (zh) 网络安全知识图谱构建方法和装置、计算机设备
US10873597B1 (en) Cyber attack early warning system
CN105939326B (zh) 处理报文的方法及装置
CN110602046B (zh) 数据监控处理方法、装置、计算机设备和存储介质
CN109302426B (zh) 未知漏洞攻击检测方法、装置、设备及存储介质
US9438623B1 (en) Computer exploit detection using heap spray pattern matching
US8474044B2 (en) Attack-resistant verification of auto-generated anti-malware signatures
CN107659583B (zh) 一种检测事中攻击的方法及系统
US9973531B1 (en) Shellcode detection
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
CN107465648B (zh) 异常设备的识别方法及装置
US8893278B1 (en) Detecting malware communication on an infected computing device
US10262132B2 (en) Model-based computer attack analytics orchestration
KR102210627B1 (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
CN107454037B (zh) 网络攻击的识别方法和系统
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
CN107566401B (zh) 虚拟化环境的防护方法及装置
CN106209907B (zh) 一种检测恶意攻击的方法及装置
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
CN109547427B (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN105939321A (zh) 一种dns攻击检测方法及装置
US11457021B2 (en) Selective rate limiting via a hybrid local and remote architecture
CN109768949B (zh) 一种端口扫描处理系统、方法及相关装置
CN108256327B (zh) 一种文件检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant