CN107454109A - 一种基于http流量分析的网络窃密行为检测方法 - Google Patents
一种基于http流量分析的网络窃密行为检测方法 Download PDFInfo
- Publication number
- CN107454109A CN107454109A CN201710866230.XA CN201710866230A CN107454109A CN 107454109 A CN107454109 A CN 107454109A CN 201710866230 A CN201710866230 A CN 201710866230A CN 107454109 A CN107454109 A CN 107454109A
- Authority
- CN
- China
- Prior art keywords
- http
- network
- data
- server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于HTTP流量分析的网络窃密行为检测方法,建立C&C服务器黑名单库,采集任一时间段内DNS和HTTP协议流量并解析还原,对访问正常服务器产生的HTTP流量数据去除非常规数据,统计,确定待检测异常行为项及检测使用阈值,检测单位网络内是否有计算机设备存在异常行为,如有则告警,保存数据包至数据库,对告警进行风险分析及处理。本发明对基于HTTP协议传输敏感数据的工具和恶意软件的网络行为特征分析,确定异常行为特征,通过统计单位网络进出口的HTTP流量确定阈值,识别被攻击的计算机设备上的木马病毒外传敏感数据的行为,告警误报率和漏报率低,正确率高,可行性高,适用于单位、个人、大规模高速网络。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种对进出单位网络的HTTP流量数据进行分析以识别出被攻击的计算机设备上的木马病毒外传敏感数据的行为的基于HTTP流量分析的网络窃密行为检测方法。
背景技术
防火墙是网络安全系统中的一个重要工具,时刻检查进出其所保护的网络的数据包,对所保护网络有威胁的数据包将被防火墙拦截。
然而,现有技术中的防火墙还不能够完全控制恶意软件感染和数据泄露,原因之一是常用协议默认使用保留端口,防火墙必须允许流量通过,如果要访问互联网,防火墙必须允许所保护网络内部的计算机发送到Web服务器的流量以及这些服务器的响应流量通过,这一点被网络攻击者利用,使得计算机设备感染木马病毒,而木马病毒会与其控制者预置的C&C服务器使用HTTP协议进行通讯,即C&C服务器伪装为提供Web服务的服务端,木马病毒程序伪装成请求服务的客户端,双方建立通讯连接后,木马病毒接收指令,进一步执行其他操作,如感染其他计算机设备、搜集网络拓扑信息、非法窃取企业重要敏感数据,包括知识产权、员工信息、客户资料、金融数据、企业计划等,然后上传给C&C服务器。
在实际的防护网络安全的过程中,首先,网络攻击者可能利用任何可能的互联网服务和协议,进行网络窃密的行为可能是一个长期的过程,单次的数据传输行为不能体现出异常情况,传统的防火墙、反病毒软件网络安全防护措施,已难以独立应对;另一方面,单位内部人员也可能主动将内部敏感资料经过压缩、加密,然后上传到外部Web服务器,导致信息泄露。如果不能有效检测出网络窃密行为,将会导致单位或者个人敏感信息泄露,对单位和个人的安全和利益构成极大威胁。
其次,上述提及的防病毒软件,是面向独立计算机用户的计算机防护软件,由用户独立安装、运行检测功能,因为防病毒软件版本更新存在时间滞后,且不同的计算机性能不同、处理的任务不一致,导致很难对单位内的所有计算机设备进行实时的、统一的检测,而反网络窃密技术需要能对所保护的网络内部的计算机设备,进行统一的检测,以及长时间对网络流量进行持续分析,传统的防火墙无法实现长时间对网络流量进行持续分析。
最后,防病毒软件主要基于已知的病毒的特征对木马病毒进行检测,而不能对未知的木马病毒件进行检测,而反网络窃密技术需要能够对已知和未知的木马病毒进行检测。
现有的专利技术也对此类木马病毒的检测进行了大量研究。
专利一种基于网络流量中行为特征的智能木马检测装置及其方法(申请号:201210412347.8),提出了依据木马的行为特征,基于网络流量,检测已知与未知木马的方法;但是该专利提出对TCP、UDP流量采集,适用于大规模和高速网络的环境,位于TCP、UDP协议之上的应用层协议有很多种,在具体实施过程中对硬件性能要求高,软件系统复杂、周期较长,需要工作量大,不适用于一般的普通单位,且并未关注到检测网络窃密行为。
专利网络窃密木马检测方法(申请号200910022718.X),对检测到的高度疑似木马通信行为,采用如下方法验证:按照高度疑似木马通信所采用的网络通信协议,与相应的目的IP地址建立连接,并按照相应的通信协议构造探测数据包发送给对方,如果对方返回的应答包中含有非协议规定的内容,即确定该目的IP地址节点是木马控制端。该检测方法在具体实施时,至少有以下难点:1、木马控制端(即C&C服务器)为了躲避检测,不一定时刻在线;2、木马与其控制端之间的通信协议可能是网络攻击者自己设计的非公开的协议,木马不同,使用的通信协议可能不同,对这些非公开的协议进行识别,难度是不可预测的。
发明内容
为了解决现有技术中存在的问题,本发明提供一种优化的基于HTTP流量分析的网络窃密行为检测方法。本发明对进出单位网络的HTTP流量数据进行分析,识别出被攻击的计算机设备上的木马病毒外传敏感数据的行为。
本发明所采用的技术方案是,一种基于HTTP流量分析的网络窃密行为检测方法,所述方法包括以下步骤:
步骤1:建立C&C服务器黑名单库;
步骤2:利用网络流量采集模块采集任一时间段内的DNS和HTTP协议流量;
步骤3:利用协议解析模块以协议规范解析DNS和HTTP协议流量,还原原始网络行为信息;若解析成功,则将解析后的信息存入数据库;若解析失败,则整个数据包内容作为请求内容或者响应内容保存到数据库里,用于后续的告警分析和网络攻击取证;
步骤4:统计步骤2中的时间段内的所有DNS和HTTP协议流量;对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据去除非常规数据,进行统计,统计结果保存在数据库中;
步骤5:基于步骤4统计的信息、HTTP协议传输敏感数据的工具和恶意软件的分析,确定待检测异常行为项,设置检测异常行为使用的阈值;
步骤6:检测单元进行检测,对检测到异常行为的情况进行告警,保存数据包至数据库,将告警信息传递至分析单元,分析单元进行步骤7;检测单元持续检测流量;
步骤7:对步骤6产生的告警信息,结合数据包内容,进行风险分析及处理。
优选地,所述步骤1中,C&C服务器黑名单库包括C&C服务器IP地址、域名以及URL。
优选地,所述步骤2中,任一时间段为至少2周。
优选地,所述步骤3中,解析DNS后的信息包括源IP地址、目的IP地址、源端口、目的端口、请求时间、请求查询的查询类型、请求查询的域名、响应码和查询结果;解析HTTP协议流量后的信息包括源IP地址、目的IP地址、源端口、目的端口、URL、HTTP请求头信息、请求时间、HTTP请求内容以及长度、服务器返回的HTTP头信息、服务器返回的响应内容以及长度。
优选地,所述步骤4中,对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据进行统计包括:
发送的HTTP请求数据包的平均大小和接收的HTTP响应数据包的平均大小、任一HTTP会话中请求发送的流量大小和响应流量大小的平均比例、任一HTTP会话中平均传输的总数据量、每台计算机设备平均每天发送的总数据量、访问正常Web服务器时数据包使用的非标准HTTP消息头字段及单位网络日常使用的软件自动更新时访问的Web服务区域名和URL。
优选地,所述步骤5中,异常行为包括:
访问步骤1的C&C服务器黑名单库、发送HTTP请求之前存在若干次连续的DNS查询请求且查询返回结果为NXDOMAIN、向Web服务器默认端口发送非HTTP流量、数据包里的HTTP头含有非标准的字段且不属于统计的非HTTP消息头字段、发送请求数据包时间呈现一定的周期性、向非本单位网络的Web服务器上传的文件被上传者加密或实际文件类型为压缩文件、office类文件、PDF文件。
优选地,所述异常行为还包括:在一个会话里,连续多次发送的请求数据包的大小大于响应数据包的大小,且请求发送流量的大小和响应流量的大小的比例大于配置的阈值,且满足单个会话的总数据量大于配置的阈值或24小时内请求输出的数据总量超过阈值或24小时内请求输出的数据总量为统计的对应数据量的若干倍。
优选地,所述步骤7中,若告警信息正确,则对告警信息进行处理,将告警信息里的目的IP地址、域名和URL信息添加至C&C服务器黑名单库;若告警信息不正确,判断是否为漏报,若是,则返回步骤4,重新统计任一时间段的流量数据,重新设置与误报或漏报相关的检测项和阈值或添加新的检测项和相应的阈值,若不是漏报,则判断是否为误报,对于出现误报的流量数据进行人工删除或标记为误报。
优选地,所述误报满足以下之一:
单位内部网络里的任一计算机设备执行了任一例外任务;或,因为正当理由步骤5设置的阈值不再适用而导致频繁出现误报。
优选地,所述步骤7中,处理包括:处理告警信息里的源IP地址对应的计算机设备;对单位网络里的计算机设备进行杀毒、清除木马病毒。
本发明提供了一种优化的基于HTTP流量分析的网络窃密行为检测方法,通过建立C&C服务器黑名单库,采集任一时间段内的DNS和HTTP协议流量并解析还原原始网络行为信息,对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据去除非常规数据,检测单位网络内是否有计算机设备存在异常行为,对检测到异常行为的情况进行告警,保存数据包至数据库,对产生的告警信息,结合数据包内容,进行风险分析及处理。本发明通过对基于HTTP协议传输敏感数据的工具和恶意软件的网络行为特征的分析,确定检测HTTP流量中的异常行为特征,以及通过统计单位网络进出口的HTTP流量,确定检测这些异常行为特征时使用的阈值,识别出被攻击的计算机设备上的木马病毒外传敏感数据的行为。本发明告警误报率和漏报率低,正确率高,可行性高,既适用于一般的普通单位、个人,也适用于在大规模高速网络中部署。
附图说明
图1为本发明的流程图;
图2为本发明的步骤7的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于HTTP流量分析的网络窃密行为检测方法。由于恶意软件传输敏感数据时的网络行为特征和在通常情况下人为访问Web服务器的行为特征存在明显的差异,通过对基于HTTP协议传输敏感数据的工具和恶意软件的网络行为特征的分析,确定检测HTTP流量中哪些异常行为特征;对一段时间单位内部网络里(即为本检测方法所保护的网络)的计算机设备访问正常的Web网站产生的HTTP流量数据进行多个维度的统计,作为参考,确定检测异常行为特征的阈值;当在实际流量中检测到有这些异常行为时,则说明很可能存在网络窃密行为。
本发明中,使用的C&C服务器IP地址、URL和域名黑名单库以及URL和域名白名单库,可以使用文本文件保存,也可以使用采用MySQL、Oracle等关系型数据库管理系统(RDBMS)保存。
本发明中,协议解析的结果,可以采用MySQL、Oracle等关系型数据库管理系统保存,也可以使用基于NoSQL的分布式计算框架的非关系型数据库来保存。
所述方法包括以下步骤。
步骤1:建立C&C服务器黑名单库。
所述步骤1中,C&C服务器黑名单库包括C&C服务器IP地址、域名以及URL。
本发明中,步骤1主要收集典型的恶意软件访问的C&C服务器IP地址、域名以及URL,作为建立C&C服务器黑名单库的基础信息,供后续分析使用。
本发明中,C&C服务器黑名单库内涉及典型的恶意软件访问的C&C服务器IP地址、域名以及URL,典型的恶意软件是指:即最常见的或者影响范围广、破坏性大的恶意软件。
步骤2:利用网络流量采集模块采集任一时间段内的DNS和HTTP协议流量。
所述步骤2中,任一时间段为至少2周。
本发明中,网络流量采集模块用于网络流量采集,其能直接从网卡上采集数据。目前主流的数据包采集工具有Libpcap、Winpcap和Pf_ring,不同的平台可以选择不同的采集工具,例如Windows平台下可以选择Winpcap,Linux平台下可以选择Libpcap、Pf_ring。
本发明中,网络流量采集模块也可以直接接收其他系统发送过来的网络流量数据。
本发明中,DNS流量的采集主要用于检测计算机设备与远程服务器建立HTTP会话之前是否有多次连续的DNS查询请求行为。
步骤3:利用协议解析模块以协议规范解析DNS和HTTP协议流量,还原原始网络行为信息;若解析成功,则将解析后的信息存入数据库;若解析失败,则整个数据包内容作为请求内容或者响应内容保存到数据库里,用于后续的告警分析和网络攻击取证。
所述步骤3中,解析DNS后的信息包括源IP地址、目的IP地址、源端口、目的端口、请求时间、请求查询的查询类型、请求查询的域名、响应码和查询结果;解析HTTP协议流量后的信息包括源IP地址、目的IP地址、源端口、目的端口、URL、HTTP请求头信息、请求时间、HTTP请求内容以及长度、服务器返回的HTTP头信息、服务器返回的响应内容以及长度。
本发明中,还原原始网络行为信息是指获得后续功能模块能够处理的流量数据。
本发明中,协议解析模块能依据协议规范,从网络流量数据里解析出通信双方的信息。
本发明中,HTTP请求头信息包括Web服务器域名以及其他HTTP头字段的名称与值,HTTP请求的长度即是字节数。
本发明中,请求内容包括上传到Web服务器的文件,服务器返回的响应内容包括从Web服务器下载的文件。
本发明中,如果因为请求数据包或者响应数据包不符合HTTP协议的规范,导致解析失败,则把整个数据包内容作为请求内容或者响应内容保存到数据库里,用于后续的告警分析和网络攻击取证。
步骤4:统计步骤2中的时间段内的所有DNS和HTTP协议流量;对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据去除非常规数据,进行统计,统计结果保存在数据库中。
所述步骤4中,对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据进行统计包括:
(1)发送的HTTP请求数据包的平均大小和接收的HTTP响应数据包的平均大小、(2)任一HTTP会话中请求发送的流量大小和响应流量大小的平均比例、(3)任一HTTP会话中平均传输的总数据量、(4)每台计算机设备平均每天发送的总数据量、(5)访问正常Web服务器时数据包使用的非标准HTTP消息头字段及(6)单位网络日常使用的软件自动更新时访问的Web服务区域名和URL。
本发明中,步骤4的进行应当保证计算机设备处于日常工作状态。
本发明中,任一HTTP会话中平均传输的总数据量包括请求发送的流量和响应流量。
本发明中,数据包大小、流量大小、总数据量,均是指字节数。
本发明中,将统计的前5点的统计结果作为步骤5设置检测异常行为使用的阈值的参考数据,统计之前需要去除非常规数据。如果因为处于不同时段而导致的计算机处理的任务不同,则可以将24小时划分为多个时段,然后为每个时段分别统计流量数据。
本发明中,统计的第(6)点是指将单位内部日常使用的软件(通常为办公软件)自动更新时访问的Web服务区域名和URL保存下来,作为URL和域名的白名单库,这些软件的自动更新行为与某些恶意软件发送消息给C&C服务器的行为是相似的,请求时间和发送的数据量具有规律性。
本发明中,正常的Web服务器是指非恶意的Web服务器,具体实施时可以参考Alexa网站访问量排名数据。例如,可以以Alexa网站访问量排名前10万个国外网站域名和前1万个中文网站域名作为依据,对于安全的但是访问量少的网站域名可以人工添加到正常域名列表里。
本发明中,统计之前需要去除非常规数据,是指某台计算机在某个时段执行了例外的任务,使得包含该时段的统计数据不能真实反映出该计算机在日常工作状态下访问正常的Web服务器传输数据的行为特征。
步骤5:基于步骤4统计的信息、HTTP协议传输敏感数据的工具和恶意软件的分析,确定待检测异常行为项,设置检测异常行为使用的阈值。
所述步骤5中,待检测异常行为项包括:
(1)访问步骤1的C&C服务器黑名单库;
(2)发送HTTP请求之前存在若干次连续的DNS查询请求且查询返回结果为NXDOMAIN;
(3)向Web服务器默认端口发送非HTTP流量;
(4)数据包里的HTTP头含有非标准的字段且不属于统计的非HTTP消息头字段;
(5) 发送请求数据包时间呈现一定的周期性;
(6)向非本单位网络的Web服务器上传的文件被上传者加密或实际文件类型为压缩文件、office类文件、PDF文件。
所述异常行为还包括:(7)在一个会话里,连续多次发送的请求数据包的大小大于响应数据包的大小,且请求发送流量的大小和响应流量的大小的比例大于配置的阈值,且满足单个会话的总数据量大于配置的阈值或24小时内请求输出的数据总量超过阈值或24小时内请求输出的数据总量为统计的对应数据量的若干倍。
本发明中,所述异常行为仅仅为举例,跟单位的业务(业务不同,导致计算机执行的日常任务不同)和单位内部计算机设备访问的HTTP流量大小有关,在具体实施中,可以添加检测其他的异常行为。
本发明中,步骤5通过对基于HTTP协议传输敏感数据的工具(例如:HTTP-TunnelNG)、恶意软件(例如:BackOrifice、eZula)的分析,针对HTTP流量,基于步骤4统计的信息、HTTP协议传输敏感数据的工具和恶意软件的分析,设置检测异常行为使用的阈值,检测单位内部网络里是否有计算机设备存在异常行为。
本发明中,阈值跟单位内部计算机设备访问的HTTP流量大小有关,检测异常使用的阈值,需要根据实际流量大小和告警的误报、漏报情况进行调整优化或者增加新的检测项和相应的阈值,以降低告警误报率和漏报率,提高正确率。
本发明中,检测异常行为使用的阈值,是指作为检测异常时使用的特征的临界值,可能根据实际情况不同而调整。例如,设置阈值1,一个会话内有至少10次请求数据包大小大于响应数据包的大小的情况,并且请求发送流量的大小与响应流量的大小比例大于5:1,并且下面两个条件至少有一个满足:1)单个会话里的总数据量大于2M字节;2)24小时内,请求输出的数据总量大于步骤四统计的平均每天发送的总数据量的1.2倍;满足上述条件的HTTP会话,可以判断为存在传输敏感数据的行为。再例如,设置阈值2,3分钟内有至少连续10次查询域名的请求,且查询结果为NXDOMAIN(not-exist domain,表示请求查询的域名不存在),这个检测项可以作为一个加权因素,例如,某一计算机设备,向非本单位网络的Web服务器上传文件,且上传的文件被上传者加密或实际文件类型为压缩文件、office类文件、PDF文件,产生告警,告警等级为中级,如果在传输文件之前,检测到该计算机设备有多次连续的DNS查询请求且查询返回结果为NXDOMAIN,在3分钟内超过了10次请求行为,则将告警等级设置为高级。
本发明中,检测项和每个检测项使用的阈值,可以使用文本文件保存,也可以使用采用MySQL、Oracle等关系型数据库管理系统(RDBMS)保存。
本发明中,对于异常行为第2点,例如设置阈值为3分钟内有至少连续10次查询域名的请求,且返回结果为NXDOMAIN,NXDOMAIN为“not-exist domain”的缩写,表示请求查询的域名不存在。有多次连续的DNS查询请求且返回结果为NXDOMAIN的情况,是指攻击者为了逃避域名黑名单检测的技术手段,使用DGA算法,生成多个域名,而在某个时间段,只注册和使用一个或者少数几个有效的域名作为C&C服务器,木马病毒为了连接C&C服务器,使用同样的算法生成这些随机域名,然后尝试DNS查询请求,得到当前可用的C&C域名,尝试过程中,可能请求查询了多个没有注册或者被注销的域名,导致出现多次连续的DNS查询请求且返回结果为NXDOMAIN的情况。
本发明中,对于异常行为第3点,Web服务器默认端口,是指Web服务器提供Web服务的默认端口(默认端口为80),具体实施时,可以根据情况增加需要采集的端口。而非HTTP流量,是指在正常情况下,发往Web服务器端口的请求数据包,都是符合协议规范的,这样Web服务器才能正确识别出请求信息,如果是网络窃密,传输给远程服务器的数据很可能是不符合协议规范的数据包,导致协议解析模块解析失败。例如:无法从请求信息里解析出HTTP头字段信息,远程的Web服务器是攻击者提前部署伪装的服务器,实际是用于接收木马病毒发送过来的信息,以及用于向木马病毒发送执行下一步操作的程序代码,例如,升级木马自身的功能、进一步感染受攻击网络里的其他计算机设备、收集另一种类型的敏感数据。如果是非HTTP流量,则可以将数据包内容存储下来,用于后续的网络攻击取证。
本发明中,对于异常行为第4点,发送或者接收的数据包里,HTTP头含有非标准的字段是指:这些非标准的HTTP消息头字段,很可能被木马病毒用来传输敏感数据,例如:木马病毒通过在HTTP请求头字段里添加非标准的字段,将要传输的敏感数据分成多块,然后每一块作为非标准字段的值,多次发送出去。
本发明中,对于异常行为第5点,木马病毒行为与人的行为是不同的,请求发送敏感数据的时间是有规律的,例如:C&C服务器一直处于在线状态,木马病毒每一隔段时间发送一次数据,每次发送数据使用相同的时间间隔,木马病毒也可能为了躲避检测,传输数据的时间间隔为等差数列和等比数列混合使用的情况;普通的个人行为不会在长时间内只访问一个固定的Web服务器。
本发明中,对于异常行为第6点,是指单位内部的工作人员将一些资料文档,上传到不属于本单位的Web服务器上(例如大型网站的网盘服务器,专门用于为网站用户存放文件),这样很容易将内部资料传输出去。所述压缩文件,通常有以下类型:rar、tar、zip、7z、gz,所述实际文件类型是指,需要检测上传到Web服务器上的文件的实际类型,上传文件者可能为了逃避检测,修改文件名称,使得文件名最后部分的文件类型与文件实际类型不一致,例如,将一个zip类型的压缩文件,命名为“照片.jpg”,表面上显示为图片文件。另一种逃避检测的方式为,将上传的文件进行加密,只有知道密码将文件解密后,才能看到实际内容。压缩文件、office类文件、PDF文件为日常办公时最常用的文件,具体实施时,根据需要,增加检测其他类型的文件。所述文件实际类型,可以通过每一种文件的内部结构特征里识别,例如PDF文件对应的16进制内容,文件开始的四个字节为“25 50 44 46”,对应ASCII值为“%PDF”。
本发明中,对于异常行为第7点,通常情况,进行HTTP请求访问网站时,请求数据包的大小要小于返回数据包的大小。而木马病毒需要将数据传输出去,情况正好相反。如果出现连续多次发送的请求数据包大小大于响应数据包的大小,可能是木马病毒在传输敏感数据。
步骤6:检测单元进行检测,对检测到异常行为的情况进行告警,保存数据包至数据库,将告警信息传递至分析单元,分析单元进行步骤7;检测单元持续检测流量。
本发明中,若检测到步骤五中的第(1)、(6)、(7)任意一项时,直接产生告警,检测到步骤五第(2)、(3)、(4)、(5)项,且有以下情况时产生告警:
Ⅰ.对同一计算机设备,先后检测到第(2)项和第(3)项,或者第(2)项和第(4)项时产生告警;
Ⅱ.对同一计算机设备,同时检测到第(3)项和第(5)项,或者第(4)项和第(5)项时产生告警;
Ⅲ.在具体实施时,也可以为(2)、(3)、(4)、(5)这四种异常分别设置异常分数和权重,检测到异常时,计算总的异常分数,当异常分数超过阈值时,产生告警。
本发明中,对于产生告警的行为,保存数据包(即内部网络里的计算机设备请求发送的数据和接收到的响应数据)到数据库,供后续步骤7风险分析、网络攻击追踪溯源使用。
本发明中,对于步骤6来说,只要设备是正常的,且单位进出口一直有HTTP流量,就一直可以采集流量、解析流量和以检测单元检测流量中的异常,而步骤6 生成告警后,即可由检测单元提交给分析单元进行分析,进行步骤7。步骤6和步骤7 部分并行、部分存在先后顺序关系,一般情况下,步骤6是设备处理,步骤7主要是人员分析。
步骤7:对步骤6产生的告警信息,结合数据包内容,进行风险分析及处理。
所述步骤7中,若告警信息正确,则对告警信息进行处理,将告警信息里的目的IP地址、域名和URL信息添加至C&C服务器黑名单库;若告警信息不正确,判断是否为漏报,若是,则返回步骤4,重新统计任一时间段的流量数据,重新设置与误报或漏报相关的检测项和阈值或添加新的检测项和相应的阈值,若不是漏报,则判断是否为误报,对于出现误报的流量数据进行人工删除或标记为误报。
所述误报满足以下之一:
单位内部网络里的任一计算机设备执行了任一例外任务;或,因为正当理由步骤5设置的阈值不再适用而导致频繁出现误报。
所述步骤7中,处理包括:处理告警信息里的源IP地址对应的计算机设备;对单位网络里的计算机设备进行杀毒、清除木马病毒。
本发明中,若确实属于存在传输敏感数据行为,处理告警信息里的源IP地址对应的计算机设备,并将告警信息里的目的IP地址、域名、URL(即与木马病毒进行通信的C&C服务器地址)信息添加到在步骤一创建的黑名单库里,对单位内部网络里的计算机设备进行全面杀毒,清除木马病毒,进行补救措施,例如对数据资产变更加密密钥、加强访问控制管理、更换存储设备。
本发明中,单位内部网络里的任一计算机设备执行了任一例外任务为误报情况,如,将不重要的文档保存到外部网盘服务器上。
本发明提供了一种优化的基于HTTP流量分析的网络窃密行为检测方法,通过建立C&C服务器黑名单库,采集任一时间段内的DNS和HTTP协议流量并解析还原原始网络行为信息,对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据去除非常规数据,检测单位网络内是否有计算机设备存在异常行为,对检测到异常行为的情况进行告警,保存数据包至数据库,对产生的告警信息,结合数据包内容,进行风险分析及处理。本发明通过对基于HTTP协议传输敏感数据的工具和恶意软件的网络行为特征的分析,确定检测HTTP流量中的异常行为特征,以及通过统计单位网络进出口的HTTP流量,确定检测这些异常行为特征时使用的阈值,识别出被攻击的计算机设备上的木马病毒外传敏感数据的行为。本发明告警误报率和漏报率低,正确率高,可行性高,既适用于一般的普通单位、个人,也适用于在大规模高速网络中部署。
Claims (10)
1.一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述方法包括以下步骤:
步骤1:建立C&C服务器黑名单库;
步骤2:利用网络流量采集模块采集任一时间段内的DNS和HTTP协议流量;
步骤3:利用协议解析模块以协议规范解析DNS和HTTP协议流量,还原原始网络行为信息;若解析成功,则将解析后的信息存入数据库;若解析失败,则整个数据包内容作为请求内容或者响应内容保存到数据库里,用于后续的告警分析和网络攻击取证;
步骤4:统计步骤2中的时间段内的所有DNS和HTTP协议流量;对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据去除非常规数据,进行统计,统计结果保存在数据库中;
步骤5:基于步骤4统计的信息、HTTP协议传输敏感数据的工具和恶意软件的分析,确定待检测异常行为项,设置检测异常行为使用的阈值;
步骤6:检测单元进行检测,对检测到异常行为的情况进行告警,保存数据包至数据库,将告警信息传递至分析单元,分析单元进行步骤7;检测单元持续检测流量;
步骤7:对步骤6产生的告警信息,结合数据包内容,进行风险分析及处理。
2.根据权利要求1所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤1中,C&C服务器黑名单库包括C&C服务器IP地址、域名以及URL。
3.根据权利要求1所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤2中,任一时间段为至少2周。
4.根据权利要求1所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤3中,解析DNS后的信息包括源IP地址、目的IP地址、源端口、目的端口、请求时间、请求查询的查询类型、请求查询的域名、响应码和查询结果;解析HTTP协议流量后的信息包括源IP地址、目的IP地址、源端口、目的端口、URL、HTTP请求头信息、请求时间、HTTP请求内容以及长度、服务器返回的HTTP头信息、服务器返回的响应内容以及长度。
5.根据权利要求1所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤4中,对单位网络的计算机设备访问正常的Web服务器产生的HTTP流量数据进行统计包括:
发送的HTTP请求数据包的平均大小和接收的HTTP响应数据包的平均大小、任一HTTP会话中请求发送的流量大小和响应流量大小的平均比例、任一HTTP会话中平均传输的总数据量、每台计算机设备平均每天发送的总数据量、访问正常Web服务器时数据包使用的非标准HTTP消息头字段及单位网络日常使用的软件自动更新时访问的Web服务区域名和URL。
6.根据权利要求1所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤5中,待检测异常行为项包括:
访问步骤1的C&C服务器黑名单库、发送HTTP请求之前存在若干次连续的DNS查询请求且查询返回结果为NXDOMAIN、向Web服务器默认端口发送非HTTP流量、数据包里的HTTP头含有非标准的字段且不属于统计的非HTTP消息头字段、发送请求数据包时间呈现一定的周期性、向非本单位网络的Web服务器上传的文件被上传者加密或实际文件类型为压缩文件、office类文件、PDF文件。
7.根据权利要求6所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述异常行为还包括:在一个会话里,连续多次发送的请求数据包的大小大于响应数据包的大小,且请求发送流量的大小和响应流量的大小的比例大于配置的阈值,且满足单个会话的总数据量大于配置的阈值或24小时内请求输出的数据总量超过阈值或24小时内请求输出的数据总量为统计的对应数据量的若干倍。
8.根据权利要求1所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤7中,若告警信息正确,则对告警信息进行处理,将告警信息里的目的IP地址、域名和URL信息添加至C&C服务器黑名单库;若告警信息不正确,判断是否为漏报,若是,则返回步骤4,重新统计任一时间段的流量数据,重新设置与误报或漏报相关的检测项和阈值或添加新的检测项和相应的阈值,若不是漏报,则判断是否为误报,对于出现误报的流量数据进行人工删除或标记为误报。
9.根据权利要求8所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述误报满足以下之一:
单位内部网络里的任一计算机设备执行了任一例外任务;或,因为正当理由步骤5设置的阈值不再适用而导致频繁出现误报。
10.根据权利要求8所述的一种基于HTTP流量分析的网络窃密行为检测方法,其特征在于:所述步骤7中,处理包括:处理告警信息里的源IP地址对应的计算机设备;对单位网络里的计算机设备进行杀毒、清除木马病毒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710866230.XA CN107454109B (zh) | 2017-09-22 | 2017-09-22 | 一种基于http流量分析的网络窃密行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710866230.XA CN107454109B (zh) | 2017-09-22 | 2017-09-22 | 一种基于http流量分析的网络窃密行为检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107454109A true CN107454109A (zh) | 2017-12-08 |
CN107454109B CN107454109B (zh) | 2020-06-23 |
Family
ID=60498114
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710866230.XA Active CN107454109B (zh) | 2017-09-22 | 2017-09-22 | 一种基于http流量分析的网络窃密行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107454109B (zh) |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108040052A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的网络安全威胁分析方法及系统 |
CN108121637A (zh) * | 2017-12-19 | 2018-06-05 | 北京盖娅互娱网络科技股份有限公司 | 一种用于记录应用日志的方法与装置 |
CN108156146A (zh) * | 2017-12-19 | 2018-06-12 | 北京盖娅互娱网络科技股份有限公司 | 一种用于识别异常用户操作的方法与装置 |
CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
CN109271790A (zh) * | 2018-09-30 | 2019-01-25 | 国网湖南省电力有限公司 | 一种基于流量分析的恶意站点访问拦截方法及检测系统 |
CN109347882A (zh) * | 2018-11-30 | 2019-02-15 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
CN109492785A (zh) * | 2018-12-12 | 2019-03-19 | 重庆九钰智慧科技有限公司 | 智慧路灯照明数据质量控制系统及方法 |
CN110324273A (zh) * | 2018-03-28 | 2019-10-11 | 蓝盾信息安全技术有限公司 | 一种基于dns请求行为与域名构成特征相结合的僵尸网络检测法 |
CN110650155A (zh) * | 2019-10-16 | 2020-01-03 | 杭州安恒信息技术股份有限公司 | 网络安全态势感知平台中安全隐患信息的快速传递方法 |
CN110677396A (zh) * | 2019-09-16 | 2020-01-10 | 杭州迪普科技股份有限公司 | 一种安全策略配置方法和装置 |
CN110784383A (zh) * | 2019-12-05 | 2020-02-11 | 南京邮电大学 | Shadowsocks代理网络流量检测方法、存储介质和终端 |
CN110958225A (zh) * | 2019-11-08 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 基于流量识别网站指纹的方法 |
CN111181982A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 异常数据的识别方法、装置、计算设备以及介质 |
CN111600865A (zh) * | 2020-05-11 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 一种异常通信检测方法、装置及电子设备和存储介质 |
CN111953638A (zh) * | 2019-05-17 | 2020-11-17 | 北京京东尚科信息技术有限公司 | 网络攻击行为检测方法、装置及可读存储介质 |
CN112134906A (zh) * | 2020-11-26 | 2020-12-25 | 北京微智信业科技有限公司 | 一种网络流量敏感数据识别及动态管控方法 |
CN112202717A (zh) * | 2020-09-02 | 2021-01-08 | 深信服科技股份有限公司 | 一种http请求的处理方法、装置、服务器及存储介质 |
CN112217809A (zh) * | 2020-09-27 | 2021-01-12 | 遂宁浩洋商贸有限公司 | 一种基于libpcap的临床风险预警方法及系统 |
CN112565228A (zh) * | 2020-11-27 | 2021-03-26 | 北京高途云集教育科技有限公司 | 一种客户端网络分析方法及装置 |
CN112671849A (zh) * | 2020-12-08 | 2021-04-16 | 北京健康之家科技有限公司 | 基于实时流量分析的敏感数据处理方法及装置 |
CN113268696A (zh) * | 2021-06-16 | 2021-08-17 | 广州数智网络科技有限公司 | 一种四方支付网站识别及用户分析方法 |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN113852591A (zh) * | 2021-06-08 | 2021-12-28 | 天翼智慧家庭科技有限公司 | 基于改进四分位差法的摄像头异常访问识别与告警方法 |
CN113992442A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
CN114037286A (zh) * | 2021-11-10 | 2022-02-11 | 国网天津市电力公司 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
CN114189455A (zh) * | 2021-12-08 | 2022-03-15 | 兴业银行股份有限公司 | 基于ebpf技术的容器网络流量监控统计方法及系统 |
TWI761122B (zh) * | 2020-10-19 | 2022-04-11 | 新加坡商賽博創新新加坡股份有限公司 | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
CN114422495A (zh) * | 2022-01-25 | 2022-04-29 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
CN114726766A (zh) * | 2022-05-16 | 2022-07-08 | 北京安盟信息技术股份有限公司 | 基于ftp服务监控实施指纹预警方法、系统、介质及设备 |
CN115767144A (zh) * | 2022-10-26 | 2023-03-07 | 杭州迪普科技股份有限公司 | 目标视频的上传对象确定方法及装置 |
CN117454397A (zh) * | 2023-10-25 | 2024-01-26 | 金田产业发展(山东)集团有限公司 | 一种基于云计算的档案保密传输交互系统 |
CN117811836A (zh) * | 2024-02-28 | 2024-04-02 | 北京长亭科技有限公司 | 一种流量转发与检测方法及装置 |
CN117811836B (zh) * | 2024-02-28 | 2024-05-28 | 北京长亭科技有限公司 | 一种流量转发与检测方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567884A (zh) * | 2009-05-26 | 2009-10-28 | 西北工业大学 | 网络窃密木马检测方法 |
US8176553B1 (en) * | 2001-06-29 | 2012-05-08 | Mcafee, Inc. | Secure gateway with firewall and intrusion detection capabilities |
CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
CN106790193A (zh) * | 2016-12-30 | 2017-05-31 | 山石网科通信技术有限公司 | 基于主机网络行为的异常检测方法和装置 |
-
2017
- 2017-09-22 CN CN201710866230.XA patent/CN107454109B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176553B1 (en) * | 2001-06-29 | 2012-05-08 | Mcafee, Inc. | Secure gateway with firewall and intrusion detection capabilities |
CN101567884A (zh) * | 2009-05-26 | 2009-10-28 | 西北工业大学 | 网络窃密木马检测方法 |
CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
CN106790193A (zh) * | 2016-12-30 | 2017-05-31 | 山石网科通信技术有限公司 | 基于主机网络行为的异常检测方法和装置 |
Cited By (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108040052A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的网络安全威胁分析方法及系统 |
CN108121637A (zh) * | 2017-12-19 | 2018-06-05 | 北京盖娅互娱网络科技股份有限公司 | 一种用于记录应用日志的方法与装置 |
CN108156146A (zh) * | 2017-12-19 | 2018-06-12 | 北京盖娅互娱网络科技股份有限公司 | 一种用于识别异常用户操作的方法与装置 |
CN108156146B (zh) * | 2017-12-19 | 2021-07-30 | 北京盖娅互娱网络科技股份有限公司 | 一种用于识别异常用户操作的方法与装置 |
CN108121637B (zh) * | 2017-12-19 | 2022-01-04 | 北京盖娅互娱网络科技股份有限公司 | 一种用于记录应用日志的方法与装置 |
CN110324273A (zh) * | 2018-03-28 | 2019-10-11 | 蓝盾信息安全技术有限公司 | 一种基于dns请求行为与域名构成特征相结合的僵尸网络检测法 |
CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
CN109474575B (zh) * | 2018-09-11 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种dns隧道的检测方法及装置 |
CN109271790A (zh) * | 2018-09-30 | 2019-01-25 | 国网湖南省电力有限公司 | 一种基于流量分析的恶意站点访问拦截方法及检测系统 |
CN109347882A (zh) * | 2018-11-30 | 2019-02-15 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
CN109347882B (zh) * | 2018-11-30 | 2021-12-21 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
CN109492785A (zh) * | 2018-12-12 | 2019-03-19 | 重庆九钰智慧科技有限公司 | 智慧路灯照明数据质量控制系统及方法 |
CN111953638B (zh) * | 2019-05-17 | 2023-06-27 | 北京京东尚科信息技术有限公司 | 网络攻击行为检测方法、装置及可读存储介质 |
CN111953638A (zh) * | 2019-05-17 | 2020-11-17 | 北京京东尚科信息技术有限公司 | 网络攻击行为检测方法、装置及可读存储介质 |
CN110677396A (zh) * | 2019-09-16 | 2020-01-10 | 杭州迪普科技股份有限公司 | 一种安全策略配置方法和装置 |
CN110650155A (zh) * | 2019-10-16 | 2020-01-03 | 杭州安恒信息技术股份有限公司 | 网络安全态势感知平台中安全隐患信息的快速传递方法 |
CN110958225A (zh) * | 2019-11-08 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 基于流量识别网站指纹的方法 |
CN110784383A (zh) * | 2019-12-05 | 2020-02-11 | 南京邮电大学 | Shadowsocks代理网络流量检测方法、存储介质和终端 |
CN110784383B (zh) * | 2019-12-05 | 2023-04-18 | 南京邮电大学 | Shadowsocks代理网络流量检测方法、存储介质和终端 |
CN111181982B (zh) * | 2019-12-31 | 2022-03-25 | 奇安信科技集团股份有限公司 | 异常数据的识别方法、装置、计算设备以及介质 |
CN111181982A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 异常数据的识别方法、装置、计算设备以及介质 |
CN111600865B (zh) * | 2020-05-11 | 2022-06-07 | 杭州安恒信息技术股份有限公司 | 一种异常通信检测方法、装置及电子设备和存储介质 |
CN111600865A (zh) * | 2020-05-11 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 一种异常通信检测方法、装置及电子设备和存储介质 |
CN112202717A (zh) * | 2020-09-02 | 2021-01-08 | 深信服科技股份有限公司 | 一种http请求的处理方法、装置、服务器及存储介质 |
CN112217809A (zh) * | 2020-09-27 | 2021-01-12 | 遂宁浩洋商贸有限公司 | 一种基于libpcap的临床风险预警方法及系统 |
TWI761122B (zh) * | 2020-10-19 | 2022-04-11 | 新加坡商賽博創新新加坡股份有限公司 | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
CN112134906A (zh) * | 2020-11-26 | 2020-12-25 | 北京微智信业科技有限公司 | 一种网络流量敏感数据识别及动态管控方法 |
CN112565228A (zh) * | 2020-11-27 | 2021-03-26 | 北京高途云集教育科技有限公司 | 一种客户端网络分析方法及装置 |
CN112671849A (zh) * | 2020-12-08 | 2021-04-16 | 北京健康之家科技有限公司 | 基于实时流量分析的敏感数据处理方法及装置 |
CN113852591B (zh) * | 2021-06-08 | 2023-09-22 | 天翼数字生活科技有限公司 | 基于改进四分位差法的摄像头异常访问识别与告警方法 |
CN113852591A (zh) * | 2021-06-08 | 2021-12-28 | 天翼智慧家庭科技有限公司 | 基于改进四分位差法的摄像头异常访问识别与告警方法 |
CN113268696A (zh) * | 2021-06-16 | 2021-08-17 | 广州数智网络科技有限公司 | 一种四方支付网站识别及用户分析方法 |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN114037286A (zh) * | 2021-11-10 | 2022-02-11 | 国网天津市电力公司 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
CN114189455B (zh) * | 2021-12-08 | 2023-06-06 | 兴业银行股份有限公司 | 基于ebpf技术的容器网络流量监控统计方法及系统 |
CN114189455A (zh) * | 2021-12-08 | 2022-03-15 | 兴业银行股份有限公司 | 基于ebpf技术的容器网络流量监控统计方法及系统 |
CN113992442A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
CN113992442B (zh) * | 2021-12-28 | 2022-03-18 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
CN114422495A (zh) * | 2022-01-25 | 2022-04-29 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
CN114422495B (zh) * | 2022-01-25 | 2023-10-24 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
CN114726766A (zh) * | 2022-05-16 | 2022-07-08 | 北京安盟信息技术股份有限公司 | 基于ftp服务监控实施指纹预警方法、系统、介质及设备 |
CN114726766B (zh) * | 2022-05-16 | 2023-01-06 | 北京安盟信息技术股份有限公司 | 基于ftp服务监控实施指纹预警方法、系统、介质及设备 |
CN115767144A (zh) * | 2022-10-26 | 2023-03-07 | 杭州迪普科技股份有限公司 | 目标视频的上传对象确定方法及装置 |
CN117454397A (zh) * | 2023-10-25 | 2024-01-26 | 金田产业发展(山东)集团有限公司 | 一种基于云计算的档案保密传输交互系统 |
CN117811836A (zh) * | 2024-02-28 | 2024-04-02 | 北京长亭科技有限公司 | 一种流量转发与检测方法及装置 |
CN117811836B (zh) * | 2024-02-28 | 2024-05-28 | 北京长亭科技有限公司 | 一种流量转发与检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107454109B (zh) | 2020-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107454109A (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
US11736499B2 (en) | Systems and methods for detecting injection exploits | |
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
CN104509034B (zh) | 模式合并以识别恶意行为 | |
CN105917348B (zh) | 信息处理装置以及活动判定方法 | |
US9979739B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
CN104067280B (zh) | 用于检测恶意命令和控制通道的系统和方法 | |
Bethencourt et al. | Mapping Internet Sensors with Probe Response Attacks. | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
US9661008B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
EP1995929B1 (en) | Distributed system for the detection of eThreats | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN107835149A (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
WO2016069119A1 (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
CN101610264A (zh) | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
CN102882748A (zh) | 网络接入检测系统和网络接入检测方法 | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN110035062A (zh) | 一种网络验伤方法及设备 | |
CN101699787A (zh) | 一种用于对等网络的蠕虫检测方法 | |
US20200021608A1 (en) | Information processing apparatus, communication inspecting method and medium | |
Sun et al. | MD-Miner: behavior-based tracking of network traffic for malware-control domain detection | |
KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310052 and 15 layer Applicant after: DBAPPSECURITY Ltd. Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310052 and 15 layer Applicant before: DBAPPSECURITY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |