CN108282440B - 一种安全检测方法、安全检测装置及服务器 - Google Patents
一种安全检测方法、安全检测装置及服务器 Download PDFInfo
- Publication number
- CN108282440B CN108282440B CN201710006195.4A CN201710006195A CN108282440B CN 108282440 B CN108282440 B CN 108282440B CN 201710006195 A CN201710006195 A CN 201710006195A CN 108282440 B CN108282440 B CN 108282440B
- Authority
- CN
- China
- Prior art keywords
- access
- operation behavior
- user
- data
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种安全检测方法、安全检测装置及服务器,其中,该方法包括:获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据;将所述用户操作行为数据与预先建立的入侵规则进行匹配;如果匹配成功,则确定所述访问操作是不安全访问。利用本申请实施例提供的技术方案,可以有效避免现有的安全检测技术中所存在的灵活性不高而导致的容易漏检的技术问题,达到了更为及时准确发现可疑的不安全访问行为的技术效果,有效提高了系统的安全性。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种安全检测方法、安全检测装置及服务器。
背景技术
随着互联网技术的不断发展,目前越来越多的业务都通过web页面的方式展示给用户,用户在访问这也web页面以获取服务的过程中,往往会产生一些访问记录,这些访问记录可以包括:url的访问记录、鼠标在页面上面的滑动记录、按键记录、用户的输入内容等等。对于网络攻击者而言,可以利用web服务所存在的一些漏洞对web服务进行攻击,例如:sql注入攻击,XSS跨站脚本攻击等等。
目前,对攻击者的入侵检测主要有基于规则的命中检测方式,例如:攻击者在进行sql注入攻击时,一旦sql注入语句满足预先指定的规则,那么攻击者接下来的攻击会被拦截,此次攻击所触发的报警也会发送给相关人员。还有一种就是基于采集用户访问的每条url,然后用事先指定的漏洞规则去匹配,一旦匹配上某条规则,那么被匹配到的url则为带有攻击代码的url。
因为例如sql注入漏洞,XSS漏洞是可以定义一些特征,根据这些之前定义好的已知的特性,来确认入侵,因此,上述这两种检测方式都可以发现一些通过基本漏洞的入侵行为,但是对于攻击者而言,攻击的手法和思路是多样化的,当前的方法只能根据已知的攻击手法和漏洞建立指定的规则,如果规则一旦被遗漏或者绕过,那么攻击者的入侵行为将无法被检测出来。
针对上述安全检测所存在的局限性,目前尚未提出有效的解决方案。
发明内容
本申请目的在于提供一种安全检测方法、安全检测装置及服务器,可以实现更为及时准确发现可疑的不安全访问行为的技术效果,有效提高了系统的安全性。
本申请提供一种安全检测方法、安全检测装置及服务器是这样实现的:
一种安全检测方法,所述方法包括:获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据;
将所述用户操作行为数据与预先建立的入侵规则进行匹配;
如果匹配成功,则确定所述访问操作是不安全访问。
另一种安全检测方法,所述方法包括:
接收后台登陆请求,并获取所述后台登陆请求的操作行为;
确定所述后台登陆请求的操作行为是否与预先建立的操作行为相匹配;
如果不匹配,则确定所述后台登陆请求不安全。
一种安全检测装置,所述装置包括:
获取模块,用于获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据;
匹配模块,用于将所述用户操作行为数据与预先建立的入侵规则进行匹配;
确定模块,用于在确定匹配成功的情况下,确定所述访问操作是不安全访问。
另一种安全检测装置,所述装置包括:
获取模块,用于接收后台登陆请求,并获取所述后台登陆请求的操作行为;
匹配模块,用于确定所述后台登陆请求的操作行为是否与预先建立的操作行为相匹配;
确定模块,用于在确定不匹配的情况下,确定所述后台登陆请求不安全。
一种服务器,包括:上述的安全检测装置。
本申请提供的安全检测方法、安全检测装置及服务器,通过用户的web访问行为进行安全检测,可以有效避免现有的安全检测技术中所存在的灵活性不高而导致的容易漏检的技术问题,达到了更为及时准确发现可疑的不安全访问行为的技术效果,有效提高了系统的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的安全检测方法的一种方法流程图;
图2是本申请提供的根据访问日志聚类分析后得到的用户的鼠标轨迹映射到web页面上的结果示意图;
图3是本申请提供的当前接收的访问操作中的用户操作行为数据的鼠标轨迹示意图;
图4是本申请提供的根据访问日志聚类分析后得到的用户的鼠标轨迹和在每个区块的停留时间映射到web页面上的结果示意图;
图5是本申请提供的当前接收到的访问操作中的用户操作行为数据中鼠标在各个区块的停留时间示意图;
图6是本申请提供的安全检测系统结构框图;
图7是本申请提供的安全检测方法的另一种方法流程图;
图8是本申请提供的登入前轨迹示意图;
图9是本申请提供的安全检测方法的又一种方法流程图;
图10是本申请提供的webshell判断规则示意图;
图11是本申请提供的四种webshell判断规则示意图;
图12是本申请提供的一种安全检测方法的服务器的硬件结构框图;
图13是本申请提供的安全检测装置的一种结构框图;
图14是本申请提供的安全检测装置的另一种结构框图;
图15是本申请提供的安全检测装置的又一种结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
图1是本申请提供的一种安全检测方法流程图。虽然本申请提供了如下述实施例或附图所示的方法操作步骤或装置结构,但基于常规或者无需创造性的劳动在所述方法或装置中可以包括更多或者更少的操作步骤或模块单元。在逻辑性上不存在必要因果关系的步骤或结构中,这些步骤的执行顺序或装置的模块结构不限于本申请实施例描述及附图所示的执行顺序或模块结构。所述的方法或模块结构的在实际中的装置或终端产品应用时,可以按照实施例或者附图所示的方法或模块结构连接进行顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至分布式处理环境)。
具体的如图1所述,本申请一种实施例提供的一种安全检测方法可以包括:
步骤101:获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据。
在本实施方式中,所述待监控web页面可以为检测系统进行安全检测的对象页面。具体地,该对象页面可以为电商网站的商品页面,也可以为电商网站的店铺页面,还可以是订单支付的信息页面。需要说明的是,上述所列举的web页面只是为了更好地说明本发明实施例,对于待监控web页面的具体形式或内容,本申请不作限定。
在本实施方式中,所述访问操作可以包括用户正常访问web页面时所执行的正常访问操作,例如,普通用户浏览电网网站的商品页面时,想浏览该商品页面中感兴趣的商品A的具体内容,可以点击商品A的图标,来打开商品A的内容页面。上述操作可以视为一种正常访问操作。当然,所述访问操作也可以包括网络攻击者为了探测web页面中的漏洞,对页面所进行的各种试探性的异常操作。例如,网络攻击者为了探测某个登陆网页页面的漏洞,一般会分散地对该页面中各个区域进行快速点击的操作,以期望触发网页的异常反馈,这种异常操作也可以视为一种访问操作。
在本实施方式中,上述用户操作行为数据可以为检测系统获取的用户对待监控web页面的进行访问时操作行为信息。具体地,该操作行为信息可以包括用户鼠标点击速率、鼠标滚轮滑动速率、鼠标移动轨迹和用户敲击键盘的频率等,即,用户操作行为数据就是用了为了浏览web页面所执行的操作,是一些前端数据。
在本实施方式中,所述获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据,具体地,可以是通过部署在待监控web页面应用层的检测系统,对该页面进行日志收集,以获取当前对该页面进行访问的访问时的操作行为信息。其中,上述访问操作具体可以包括普通用户的正常访问的正常操作和网络攻击者测试页面漏洞所进行的异常操作。上述操作行为信息具体可以包括用户对待监控web页面的进行访问该页面时鼠标点击速率、鼠标滚轮滑动速率、鼠标移动轨迹和用户敲击键盘的频率等。
步骤102:将用户操作行为数据与预先建立的入侵规则进行匹配。
在本实施方式中,所述预先建立的入侵规则可以为在具体实施检测前,检测系统通过对多个访问了待监控web网页的用户的历史访问轨迹数据进行聚类分析所生成的入侵规则。所述入侵规则可以为用于区分用户正常操作和攻击者入侵时的异常操作的判别标准。其中,这种入侵规则可以是某种特定的字符,也可以是某个特定数值,还可以是针对某种特定语句所产生的特定的回复内容。
在本实施方式中,所述匹配可以为检测系统根据预先建立好的入侵规则对用户操作行为数据是否是异常操作,进行判别。如果用户的操作行为数据满足该入侵规则所规定的相关条件,则可以判断该用户操作行为数据可疑,表明该访问操作可能是来自于网络攻击者的异常操作;如果用户的操作行为数据不满足该入侵规则所规定的相关条件,则可以认为该访问操作正常,可以认为是普通用户访问该web页面的正常操作。
在本实施方式中,所述将用户操作行为数据与预先建立的入侵规则进行匹配,具体地,可以为检测系统以预先建立的入侵规则作为判别标准,对访问待监控web页面的用户操作行为数据是否是异常操作进行判别。其中,上述的入侵规则可以是检测系统通过对多个访问了待监控web网页的用户的历史访问轨迹数据进行聚类分析所生成的检测是否是异常操作的判别标准。
考虑到正常用户在对web页面进行访问的时候,往往集中在某几个范围或者区域,而且相对而言会对某些区域进行重点关注,可能在某些区域停留的时间就会相对长一点,然而,对于攻击者而言,为了尽可能发现web程序的所存在的漏洞,往往会对页面中的大部分区域进行浏览和探测,从而导致鼠标轨迹会相对分散和鼠标点击速度也会相对更快一些。因此,可以将例如:鼠标轨迹覆盖web页面的区块的比例大于预设阈值,鼠标点击的速度大于预设速度阈值等等作为入侵规则。然而值得注意的是,上述所列举的几个入侵规则,仅是为了更好地说明本发明,并不构成对本发明的不当限定,是一种示例性描述。
步骤103:如果匹配成功,则确定所述访问操作是不安全访问。
在本实施方式中,如果匹配成功,则确定所述访问操作是不安全访问。具体地,所述匹配成功可以为以预先建立的入侵规则作为判别标准,判别用户操作行为数据满足该判别标准的相关条件,则可以视为匹配成功。如果匹配成功,则可以认为该访问操作是异常操作,相应地,对待监控web页面的访问是不安全访问。例如,如果该用户操作行为数据中含有上述某种特定的字符,或者该用户操作行为数据中某个参数达到了上述某个特定数值等,即用户操作行为数据满足该判别标准的相关条件,可以判断该访问操作是异常操作,相应地,该访问是不安全访问。
需要说明的是,在本实施方式中,所述不安全访问可以为被判别为异常操作的可疑访问,当然这种可疑访问可以是来自网络攻击者的不安全访问,也可以是普通用户由于误操作导致操作异常的可疑访问。
以上述所列举的几个入侵规则为例:鼠标轨迹覆盖web页面的区块的比例大于预设阈值,鼠标点击的速度大于预设速度阈值等等作为入侵规则。那么如果检测到当前对待监控web页面的访问操作的用户操作行为数据与一条或多条入侵规则匹配,那么就可以将当前的访问操作认定为不安全访问。
由上可见,本申请提供了一种安全检测方法,该方法根据用户操作行为数据,通过预先建立的入侵规则,判别某次访问操作的用户操作行为数据是否匹配上预设的入侵规则,如果匹配上,则将该次访问操作认定为不安全访问,从而可以实现对不安全访问的识别,同时达到提高不安全访问识别的准确度的技术效果。
上述的入侵规则可以是预先建立的,该预先建立的入侵规则可以是在进行判定操作前,临时聚类分析得到的,也可以是从检测之前预置在检测系统的。为了使得入侵规则更为符合判断标准,可以通过对多个访问了所述待监控web网页的用户的历史访问轨迹数据进行聚类分析生成的,这主要是考虑到历史访问轨迹数据的聚类结果所表明的是正常用户在访问该web页面时候的常规用户操作行为数据,因此,可以以此作为判断标准。例如,如果常规用户操作行为数据的鼠标点击频率为一分钟5次,那么可以设定鼠标点击频率一分钟大于10次,就作为可以的访问操作。
考虑到正常的页面访问的时候,也存在点击频率过高,或者是鼠标轨迹等遍历web页面的区域较多的情况,为了更为合理地设置入侵规则,可以对为多个入侵特征分别设置权重值,例如:可以从历史访问轨迹数据中,提取出多个操作行为特征;然后,根据历史访问轨迹数据,分别为提取出的多个操作行为特征进行权重赋值,以生成基于操作行为特征的入侵规则。
具体地,可以按照以下方式生成入侵规则:为多个操作行为特征中各个操作行为特征分配加权值;根据为各个操作行为特征分配的加权值,对多个操作行为特征进行加权累加;如果累加结果大于预设匹配度阈值,则确定匹配成功;如果累加结果小于等于预设匹配度阈值,则确定匹配失败。
举例而言,可以生成如下的带权重的入侵规则:
X=A1*a1+A2*a2+...An*an...+Am*am
如果X>M,表示匹配;
其中,X为计算得到的入侵匹配度,A1表示第1个操作行为特征,A2表示第2个操作行为特征、An表示第n个操作行为特征,Am表示第m个操作行为特征,a1表示第1个操作行为特征的权重值,a2表示第2个操作行为特征的权重值、an表示第n个操作行为特征的权重值,am表示第m个操作行为特征的权重值,其中,m表示参与入侵规则生成的操作行为特征的个数,M表示预设的临界匹配度。
以操作行为特征包括:鼠标轨迹、鼠标点击频率、键盘按键频率和滚轮速度为例,如果说鼠标轨迹离散度比较高,即,web页面中大部分区块都遍历的情况,是不安全访问的概率更高,那么就可以为鼠标轨迹设置一个较高的权重值。
上述以设置权重值为例进行的说明,在应用的时候,也可以不设置权重值,而是一旦符合某一个特征,那么就将该访问作为一个不安全访问,这样相对而言会得到更多的不安全访问,但是也会提高页面的安全性,具体设置成什么程度的安全等级,可以按照实际情况设定,本申请对此不作限定。
在访问日志中会存储有该web页面的访问情况,因此,可以获取所述待监控web页面的访问日志,然后,从访问日志中获取历史访问轨迹数据。对于访问日志中所记录的内容会有一些重复的内容,为了使得获取的历史访问轨迹数据更为精简,可以通过URL去重算法和日志去重算法,对访问日志进行处理。因为需要确定正常访问用户对当前待监控web页面的操作行为,因此,可以按照用户为单位,整理出一份各个用户按照时间顺序排列的访问轨迹数据,例如,有用户A和B,那么就整理出用户A对该web页面按照时间顺序的访问轨迹数据和用户B对该web页面按照时间顺序的访问轨迹。为了对不同用户的区分,可以是通过用户时候的IP地址进行区分,也可以是通过用户的用户名等区分,本申请对此不作限定。
即,在本实施方式中,用户的历史访问轨迹数据可以是包括历史访问中多个操作行为特征的记录信息。其中,所述用户的历史访问轨迹数据可以通过日志收集获得。具体地,根据用户的历史访问轨迹数据得到的操作行为特征可以包括但不限于以下至少之一:鼠标轨迹、鼠标点击频率、键盘按键频率和滚轮速度等。需要说明的是,上述所列举的操作行为特征只是为了更好地说明本发明实施例,还可以包括其他可以用于判别是否是异常操作的行为特征,具体实施时,可以根据具体情况灵活选择,对此,本申请不作限定。
下面结合一个具体场景对上述安全检测方法进行说明,然而,值得注意的是,该具体场景仅是为了更好地说明本申请,并不构成对本申请的不当限定。
如图2所示,为根据访问日志聚类分析后得到的用户的鼠标轨迹映射到web页面上的情况,由图2可以发现,用户习惯性的访问轨迹是区块1到区块4,再由区块4到区块5,然后再到区块6,而对于区块2、区块3、区块7和区块8是访问较少的区块。如图3所示,为当前接收的访问操作中的用户操作行为数据的鼠标轨迹,由图3可以看出该访问操作几乎遍历web页面的所有区块,鼠标轨迹的离散度特别高,因此可以将其作为不安全访问。
如图4所示,为根据访问日志聚类分析后得到的用户的鼠标轨迹和在每个区块的停留时间映射到web页面上的情况,可见,用户在区块1的平均停留时间为10s,在区块4的停留时间为5s,在区块5的停留时间为25s,在区块6的停留时间为30s。相对而言每个感兴趣区块的停留时间差别较大,且停留时间校对较长。如图5所示,为当前接收到的访问操作中的用户操作行为数据中鼠标在各个区块的停留时间,由图5可以看出该访问操作中各个区块的停留时间几乎一致,且相对于整成用户访问在各个区块的停留时间要短很多。因为对于攻击者而言,为了尽可能地发现web程序存在的漏洞,会对大部分区域进行浏览和逃册,因此鼠标的轨迹和点击都很分散。因此,也可以将图5所示的访问操作为不安全访问。
在上述具体场景中,是以鼠标轨迹为例进行的说明,鼠标点击频率、键盘按键频率和滚轮速度等的判断方式与鼠标轨迹类似,如果同时对多个操作行为特征进行聚类分析,也可以采用近似的方式进行,本申请对此不作限定。
在通过上述方式确定出不安全访问之后,可以将发起这些不安全访问的用户作为可疑用户进行重点关注。
在上例中,基于对正常用户的分析,发现在一个web页面内,用户鼠标的轨迹和点击都会集中在某几个范围和区域内,这几个范围和区域一般都是吸引正常用户眼球的地方。但是对于攻击者来说,攻击者为了尽可能的发现web程序存在的漏洞,关于对大部分的区域都进行浏览和探测,那么,对于此次网页访问操作用户鼠标的轨迹和点击都是非常分散的,而且web系统界面的大部分区域都会有鼠标轨迹和点击,再者,用户按键频率、滚轮速度、大部分攻击者的按键频率和滚轮速度也都是高于正常用户的,因此,对于符合这些特征中的一个或多个的用户,都可以将其打标为可疑用户,进行重点关注。
基于此,在本例中,还提供了一种安全检测系统,可以如图6所示,包括:
1)数据采集模块,可以部署在web应用层进行日志收集,所收集的日志内容可以包含:前端用户的鼠标点击、鼠标滚轮滑动、鼠标移动轨迹、用户敲击键盘的频率等,以及后端的web应用服务器的日志,也可以包含全站的流程镜像日志等。具体地,前端的日志收集可以通过脚本实现,通过脚本捕获之前的前端日志。
2)大数据引擎处理模块,用于接收前端采集过来的数据,以及日志系统的数据,进一步的,可以通过URL去重算法和日志去重算法,整理出一份按照时间顺序的各用户的访问轨迹。
3)入侵检测模块,可以根据前面收集得到的按时间顺序的各个用户的访问轨迹数据,对每一个用户的行为进行观察、分类并赋予权重。
在本发明实施例中,还提供了另一种安全检测方法,该安全检测方法用于对web后台登入系统的安全性进行检测,如图7所示,可以包括以下步骤:
步骤701:接收后台登陆请求,并获取所述后台登陆请求的操作行为;
步骤702:确定所述后台登陆请求的操作行为是否与预先建立的操作行为相匹配;
步骤703:如果不匹配,则确定所述后台登陆请求不安全。
在本例的实施方式中,具体地,可以采集正常管理员的前端行为,然后通过聚类分析,或者是统计分析,得出管理员常见的操作行为,然后,基于这些常见的操作行为,构造出一套后台登入的特有的行为,管理员在登入前,操作满足该特有的行为,该可以输入用户名和密码,这样就使得即使攻击者获取到了账号和密码,也无法登入后台系统。
上述的后台登陆请求的操作行为可以包括但不限于以下至少之一:鼠标滑动的轨迹、鼠标点击的频率、键盘按键的位置组合、和滚轮的速度。例如:鼠标轨迹按照预定折现走动、鼠标按照某个预定频路点击、或者是键盘上按键的自由组合,或者是滚轮按照一个预定速度滚动等等,当然也可以有其它的操作行为,例如,鼠标和键盘结合等等,本申请对此不作限定。
在本例的实施方式中,可以采集登陆后台成功的后台登陆请求的前端行为;对采集的前端行为进行聚类分析,建立得到所述预先建立的操作行为。因为是对采集的前端行为的聚合分析,因此,可以生成不止一个操作行为,可以是一个操作行为集合,只要是满足其中一个操作行为,也算作是通过认证,即,确定当前请求为安全后台登陆请求。
举例而言,如图8所示,预设的或者是预先建立的操作行为是如图7所示的折线行为,当前的后台登陆请求如果是按照这个操作行为进行鼠标移动的,那么就证明验证通过,呈现输入用户名和密码的输入窗口,如果检测到操作行为不符,则不显示输入用户名和密码的输入窗口。
在本发明实施例中,还提供了又一种安全检测方法,该安全检测方法用于检测是否有安全后门webshell,如图9所示,可以包括以下步骤:
步骤901:按照预设的多个识别规则检测web应用系统中是否存在webshell,其中,所述预设的多个识别规则中至少包括:基于用户访问控制台的行为的识别规则;
步骤902:如果待检测文件满足所述多个识别规则中任意一个识别规则,则将所述待检测文件作为webshell。
上述的webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。其中,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,因此,也被称为网站的后门工具。
一方面,webshell被站长常常用于网站管理、服务器管理等等,根据权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为web脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。webShell后门具有隐蔽性,一般有隐藏在正常文件中并修改文件时间达到隐蔽的,还有利用服务器漏洞进行隐藏。进一步的,webshell可以穿越服务器防火墙,由于与被控制的服务器或远程过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。
因此,如果有效检测出webshell文件对于网络的安全具有着重要的作用,一般对webshell的检测是基于规则,或是基于语法的动态检测规则,这种检测方式,一旦规则有遗漏,那么系统便无法发现那些遗漏的webshell。为此,在本例中提供了上述如图9所示的检测方法,通过采集用户的各类行为来发现这些秒杀的webshell,因为设置了多种检测规则,因此可以有效减少漏检的可能性,进一步的,通过用户行为的方式可以更好地发现webshell。
如图10所示,可以建立多个规则,只要有规则命中,那么就将该文件作为webshell,在本例中,如图11所示,还列举了几种行为规则:基于用户访问控制台的行为的识别规则、基于文件创建行为的识别规则、基于网流量的识别规则、和基于文件访问行为的识别规则。下面对这几种规则进行具体说明如下:
1)基于用户访问控制台的行为的识别规则:确定访问的url是否按照预设的控制台登入顺序访问控制台从系统;如果不是,且在一个按照固定的url路径上,则将所述url路径对应的文件确定为webshell。
即,对于正常需要登入后才能操作的控制台系统,一般正常的用户是需要先在登入口进行用户帐号密码的输入后才能进入后续控制台的其他url,但是对于已经被入侵植入webshell后门的系统,攻击者一般会直接访问这个webshell后门地址来进行操作,如果在短时间内发现某个用户访问的url不按照正常的控制台登入顺序进行访问,而是在一个固定的url路径上面,那么这个url路径对应的文件就极有可能是webshell。
2)基于文件创建行为的识别规则:对web目录进行监控,确定在非文件上传目录中是否出现新文件;如果出现,则将出现的新文件作为webshell。
通常情况下,一个web应用系统的存在文件创建的地方是有限的,通常为固定的几处文件上传目录,那么监控整个web目录,如果发现在非文件上传目录的地方出现了新文件,那么这个文件极有可能是webshell。
3)基于网流量的识别规则:确定在url中或者post数据中是否存在liunx命令字符集;如果存在,则将存在liunx命令字符集的url或者post数据对应的文件,作为webshell。
首先是用户的url访问顺序,其次就是网络流量,对镜像收集的日志(get,post日志)分析后可以发现,正常的文件在传输数据的过程中不会产生linux命令字符集的数据,那么如果在url中发现了linux命令字符集或者在post数据内发现了linux命令字符集,那么就可以认为对应的文件也极有可能是webshell。
4)基于文件访问行为的识别规则:确定待测文件是否对系统文件进行查看或修改;如果对系统文件进行查看或修改,则将所述待测文件作为webshell。
通常情况下,正常的文件是并不会对系统文件进行查看或者修改,那么一旦发现某个文件对系统文件进行了查看或者修改,那么这个文件就极有可能是webshell。
结合以上几点,便可以发现一批webshell。
在上述各个实施例中,在对前端数据等进行聚类分析以得到判断规则等的时候,这个过程可以是动态变化,即,可以实时获取最新的数据进行聚类分析,根据聚类分析得到的最新规则进行判断,以便提高检测的正确性和有效性。进一步的,上述几种安全检测方法,在检测到出现危险之后,可以通过报警处理系统对入侵检测系统所产生的报警日志进行处理,具体地,可以结合短信报警、邮件报警以及电话报警等,可以将发现的入侵及时通知到相关的安全工程师,以便于后续安全工程师及时地分析和跟进。
本申请上述实施例中所提供的安全检测方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行,这些移动终端、计算机终端或者类似的运算装置可以作为一个处理服务器应用。以运行在计算机终端上为例,图12是本发明实施例的一种安全检测方法的服务器的硬件结构框图。如图12所示,服务器可以包括一个或多个(图中仅示出一个)处理器(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器、以及用于通信功能的网络接口,该网络接口可以通过无线方式与其它设备进行通信,也可以通过有线方式与其它设备进行通信。本领域普通技术人员可以理解,图12所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器还可包括比图12中所示更多或者更少的组件,或者具有与图12所示不同的配置。
上述服务器还可以是一个服务器集群,例如,可以是多台服务器组织在一起的云服务器,这样更有利于对大数据的处理,如果需要处理的数据量较大,那么采用服务器集群的方式更为有效。
存储器中可用于存储应用软件的软件程序以及模块,如本发明实施例中的安全检测方法对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的短信息的发送方法。存储器可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成业务实现装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
参考图13,在软件实施方式中,该安全检测装置应用于上述服务器中,可以包括获取模块1301、匹配模块1302和确定模块1303。其中:
获取模块1301,获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据;
匹配模块1302,将所述用户操作行为数据与预先建立的入侵规则进行匹配;
确定模块1303,在确定匹配成功的情况下,确定所述访问操作是不安全访问。
可选地,该安全检测装置还可以包括:建立模块,获取多个访问了所述待监控web页面的用户的历史访问轨迹数据;对所述历史访问轨迹数据进行聚类分析,生成所述入侵规则。
可选地,建立模块具体可以从所述历史访问轨迹数据中,提取出多个操作行为特征;根据所述历史访问轨迹数据,分别为提取出的多个操作行为特征进行权重赋值,以生成基于操作行为特征的入侵规则。
可选地,上述操作行为特征可以包括但不限于以下至少之一:鼠标轨迹、鼠标点击频率、键盘按键频率和滚轮速度。
可选地,建立模块可以按照以下方式生成入侵规则:为所述多个操作行为特征中各个操作行为特征分配加权值;根据为所述各个操作行为特征分配的加权值,对所述多个操作行为特征进行加权累加;如果累加结果大于预设匹配度阈值,则确定匹配成功;如果累加结果小于等于所述预设匹配度阈值,则确定匹配失败。
可选地,建立模块,可以获取所述待监控web页面访问日志;从所述访问日志中获取所述历史访问轨迹数据。
可选地,建立模块,可以通过URL去重算法和日志去重算法,对所述访问日志进行处理,得到多个访问了所述待监控web网页的用户中各个用户按照时间顺序排列的访问轨迹数据;将所述各个用户按照时间顺序排列的访问轨迹数据作为所述历史访问轨迹。
参考图14,在软件实施方式中,该安全检测装置应用于上述服务器中,还可以包括获取模块1401、匹配模块1402和确定模块1403。其中:
获取模块1401,接收后台登陆请求,并获取所述后台登陆请求的操作行为;
匹配模块1402,确定所述后台登陆请求的操作行为是否与预先建立的操作行为相匹配;
确定模块1403,在确定不匹配的情况下,确定所述后台登陆请求不安全。
可选地,上述后台登陆请求的操作行为可以包括但不限于以下至少之一:鼠标滑动的轨迹、鼠标点击的频率、键盘按键的位置组合、和滚轮的速度。
可选地,该安全检测装置还可以包括:建立模块,按照以下方式建立所述预先建立的操作行为:采集登陆后台成功的后台登陆请求的前端行为;对采集的前端行为进行聚类分析,建立得到所述预先建立的操作行为。
参考图15,在软件实施方式中,该安全检测装置应用于上述服务器中,还可以包括检测模块1501和确定模块1502。其中:
检测模块1501,按照预设的多个识别规则检测web应用系统中是否存在webshell,其中,所述预设的多个识别规则中至少包括:基于用户访问控制台的行为的识别规则;
确定模块1502,在待检测文件满足所述多个识别规则中任意一个识别规则,则将所述待检测文件作为webshell。
可选地,检测模块1501可以确定访问的url是否按照预设的控制台登入顺序访问控制台从系统;如果不是,且在一个按照固定的url路径上,则将所述url路径对应的文件确定为webshell。
可选地,所述预设的多个识别规则还可以包括以下至少之一:基于文件创建行为的识别规则、基于网流量的识别规则、和基于文件访问行为的识别规则。
可选地,检测模块1501可以对web目录进行监控,确定在非文件上传目录中是否出现新文件;如果出现,则将出现的新文件作为webshell。
可选地,检测模块1501可以确定在url中或者post数据中是否存在liunx命令字符集;如果存在,则将存在liunx命令字符集的url或者post数据对应的文件,作为webshell。
可选地,检测模块1501可以确定待测文件是否对系统文件进行查看或修改;如果对系统文件进行查看或修改,则将所述待测文件作为webshell。
本申请提供的安全检测方法、安全检测装置及服务器,通过用户的web访问行为进行安全检测,可以有效避免现有的安全检测技术中所存在的灵活性不高而导致的容易漏检的技术问题,达到了更为及时准确发现可疑的不安全访问行为的技术效果,有效提高了系统的安全性。
本申请中各个实施例所涉及的上述描述仅是本申请中的一些实施例中的应用,在某些标准、模型、方法的基础上略加修改后的实施方式也可以实行上述本申请各实施例的方案。当然,在符合本申请上述各实施例的中所述的处理方法步骤的其他无创造性的变形,仍然可以实现相同的申请,在此不再赘述。
虽然本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
上述实施例阐明的装置或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。当然,也可以将实现某功能的模块由多个子模块或子单元组合实现。
本申请中所述的方法、装置或模块可以以计算机可读程序代码方式实现控制器按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本申请所述装置中的部分模块可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的硬件的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,也可以通过数据迁移的实施过程中体现出来。该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,移动终端,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本申请的全部或者部分可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、移动通信终端、多处理器系统、基于微处理器的系统、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
Claims (12)
1.一种安全检测方法,其特征在于,所述方法包括:
获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据;
将所述用户操作行为数据与预先建立的入侵规则进行匹配;
如果匹配成功,则确定所述访问操作是不安全访问;
其中,按照以下方式建立所述入侵规则:
获取多个访问了所述待监控web页面的用户的历史访问轨迹数据;
对所述历史访问轨迹数据进行聚类分析,生成所述入侵规则;
其中,所述访问操作包括:普通用户的正常访问的正常操作和网络攻击者测试页面漏洞所进行的异常操作。
2.如权利要求1所述的方法,其特征在于,对所述历史访问轨迹数据进行聚类分析,生成所述入侵规则,包括:
从所述历史访问轨迹数据中,提取出多个操作行为特征;
根据所述历史访问轨迹数据,分别为提取出的多个操作行为特征进行权重赋值,以生成基于操作行为特征的入侵规则。
3.如权利要求2所述的方法,其特征在于,所述操作行为特征包括以下至少之一:鼠标轨迹、鼠标点击频率、键盘按键频率和滚轮速度。
4.如权利要求2所述的方法,其特征在于,根据所述历史访问轨迹数据,分别为提取出的多个操作行为特征进行权重赋值,以生成基于操作行为特征的入侵规则,包括:
为所述多个操作行为特征中各个操作行为特征分配加权值;
根据为所述各个操作行为特征分配的加权值,对所述多个操作行为特征进行加权累加;
如果累加结果大于预设匹配度阈值,则确定匹配成功;
如果累加结果小于等于所述预设匹配度阈值,则确定匹配失败。
5.如权利要求1所述的方法,其特征在于,获取多个访问了所述待监控web页面的用户的历史访问轨迹数据,包括:
获取所述待监控web页面访问日志;
从所述访问日志中获取所述历史访问轨迹数据。
6.如权利要求5所述的方法,其特征在于,从所述访问日志中获取所述历史访问轨迹数据,包括:
通过URL去重算法和日志去重算法,对所述访问日志进行处理,得到多个访问了所述待监控web网页的用户中各个用户按照时间顺序排列的访问轨迹数据;
将所述各个用户按照时间顺序排列的访问轨迹数据作为所述历史访问轨迹。
7.一种安全检测方法,其特征在于,所述方法包括:
接收后台登陆请求,并获取所述后台登陆请求的操作行为;
确定所述后台登陆请求的操作行为是否与预先建立的操作行为相匹配;
如果不匹配,则确定所述后台登陆请求不安全;
其中,按照以下方式建立所述预先建立的操作行为:
采集登陆后台成功的后台登陆请求的前端行为;
对采集的前端行为进行聚类分析,建立得到所述预先建立的操作行为;
其中,所述操作行为包括:普通用户的正常访问的正常操作和网络攻击者测试页面漏洞所进行的异常操作。
8.如权利要求7所述的方法,其特征在于,所述后台登陆请求的操作行为包括以下至少之一:鼠标滑动的轨迹、鼠标点击的频率、键盘按键的位置组合、和滚轮的速度。
9.一种安全检测装置,其特征在于,包括:
获取模块,用于获取当前对待监控web页面进行访问的访问操作中的用户操作行为数据;
匹配模块,用于将所述用户操作行为数据与预先建立的入侵规则进行匹配;
确定模块,用于在确定匹配成功的情况下,确定所述访问操作是不安全访问;
建立模块,用于按照以下方式建立所述入侵规则:获取多个访问了所述待监控web页面的用户的历史访问轨迹数据;对所述历史访问轨迹数据进行聚类分析,生成所述入侵规则;
其中,所述访问操作包括:普通用户的正常访问的正常操作和网络攻击者测试页面漏洞所进行的异常操作。
10.如权利要求9所述的装置,其特征在于,所述建立模块具体用于从所述历史访问轨迹数据中,提取出多个操作行为特征;根据所述历史访问轨迹数据,分别为提取出的多个操作行为特征进行权重赋值,以生成基于操作行为特征的入侵规则。
11.一种安全检测装置,其特征在于,包括:
获取模块,用于接收后台登陆请求,并获取所述后台登陆请求的操作行为;
匹配模块,用于确定所述后台登陆请求的操作行为是否与预先建立的操作行为相匹配;
确定模块,用于在确定不匹配的情况下,确定所述后台登陆请求不安全;
建立模块,用于按照以下方式建立所述预先建立的操作行为:采集登陆后台成功的后台登陆请求的前端行为;对采集的前端行为进行聚类分析,建立得到所述预先建立的操作行为;
其中,所述操作行为包括:普通用户的正常访问的正常操作和网络攻击者测试页面漏洞所进行的异常操作。
12.一种服务器,其特征在于,包括:权利要求9至10中任一项所述的安全检测装置,或,权利要求11所述的安全检测装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710006195.4A CN108282440B (zh) | 2017-01-05 | 2017-01-05 | 一种安全检测方法、安全检测装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710006195.4A CN108282440B (zh) | 2017-01-05 | 2017-01-05 | 一种安全检测方法、安全检测装置及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108282440A CN108282440A (zh) | 2018-07-13 |
| CN108282440B true CN108282440B (zh) | 2021-08-20 |
Family
ID=62800470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710006195.4A Active CN108282440B (zh) | 2017-01-05 | 2017-01-05 | 一种安全检测方法、安全检测装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108282440B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7113337B2 (ja) * | 2018-01-12 | 2022-08-05 | パナソニックIpマネジメント株式会社 | サーバ装置、車両装置、車両用システム及び情報処理方法 |
| CN110879882B (zh) * | 2018-09-06 | 2022-09-27 | 中国移动通信集团重庆有限公司 | 确认用户信息安全的方法、装置、设备和介质 |
| CN109660556B (zh) * | 2019-01-11 | 2022-11-29 | 平安科技(深圳)有限公司 | 基于信息安全的用户登陆方法、装置、设备和存储介质 |
| CN109962922B (zh) * | 2019-04-04 | 2021-08-06 | 北京网聘咨询有限公司 | 关于简历的反ats行为的处理方法及系统 |
| CN110381151B (zh) * | 2019-07-24 | 2021-12-28 | 秒针信息技术有限公司 | 一种异常设备检测方法及装置 |
| CN110442582B (zh) * | 2019-08-09 | 2022-10-14 | 江苏满运软件科技有限公司 | 场景检测方法、装置、设备和介质 |
| CN110808995B (zh) * | 2019-11-08 | 2022-12-23 | 中国工商银行股份有限公司 | 安全防护方法和装置 |
| CN112039877B (zh) * | 2020-08-28 | 2022-04-01 | 四川长虹电器股份有限公司 | 基于kld的存储型xss注入的检测方法 |
| CN112668005A (zh) * | 2020-12-30 | 2021-04-16 | 北京天融信网络安全技术有限公司 | webshell文件的检测方法及装置 |
| CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
| CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
| CN113132408A (zh) * | 2021-04-29 | 2021-07-16 | 中原工学院 | 一种网络信息安全入侵检测方法 |
| CN114444100A (zh) * | 2022-01-20 | 2022-05-06 | 余姚市宏宇输变电工程有限公司 | 一种电网敏感数据防泄漏系统 |
| CN115022373A (zh) * | 2022-06-21 | 2022-09-06 | 浙江浩瀚能源科技有限公司 | 充电桩的数据安全检测方法、系统、设备及存储介质 |
| CN117421729B (zh) * | 2023-12-18 | 2024-04-26 | 湖南森鹰科技有限公司 | 一种自动化程序攻击检测方法、装置、系统及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833619A (zh) * | 2010-04-29 | 2010-09-15 | 西安交通大学 | 基于键鼠交叉认证的身份判定方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN104318138A (zh) * | 2014-09-30 | 2015-01-28 | 杭州同盾科技有限公司 | 一种验证用户身份的方法和装置 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
-
2017
- 2017-01-05 CN CN201710006195.4A patent/CN108282440B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833619A (zh) * | 2010-04-29 | 2010-09-15 | 西安交通大学 | 基于键鼠交叉认证的身份判定方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN104318138A (zh) * | 2014-09-30 | 2015-01-28 | 杭州同盾科技有限公司 | 一种验证用户身份的方法和装置 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108282440A (zh) | 2018-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108282440B (zh) | 一种安全检测方法、安全检测装置及服务器 | |
| Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
| KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US12079345B2 (en) | Methods, systems, and media for testing insider threat detection systems | |
| CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
| US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN110348210B (zh) | 安全防护方法及装置 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN112822147A (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN113726790A (zh) | 网络攻击源的识别和封堵方法、系统、装置及介质 | |
| CN108512805B (zh) | 一种网络安全防御方法及网络安全防御装置 | |
| CN108234431A (zh) | 一种后台登陆行为检测方法和检测服务器 | |
| Park et al. | How to design practical client honeypots based on virtual environment | |
| CN112559595A (zh) | 安全事件挖掘方法、装置、存储介质及电子设备 | |
| CN112702349B (zh) | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |