CN108366043A - 一种检测一句话木马的方法及系统 - Google Patents
一种检测一句话木马的方法及系统 Download PDFInfo
- Publication number
- CN108366043A CN108366043A CN201710596896.8A CN201710596896A CN108366043A CN 108366043 A CN108366043 A CN 108366043A CN 201710596896 A CN201710596896 A CN 201710596896A CN 108366043 A CN108366043 A CN 108366043A
- Authority
- CN
- China
- Prior art keywords
- files
- word
- wooden horse
- request
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种检测一句话木马的方法及系统,包括:获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则获取与入站流量相对应的响应流量;将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则获取入站流量所对应的web文件;判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行。本发明所述技术方案能够专项检测一句话木马,而且由于避免了传统大面积检测的弊端,进而提高了检测效率。
Description
技术领域
本发明涉及web安全技术领域,尤其涉及一种检测一句话木马的方法及系统。
背景技术
黑客在攻击网站的过程中,会通过上传网页木马(webshell)来获得对网站的最终控制权,通过网页木马,攻击者可以执行系统命令、操作数据库、添加或删除文件等等。在网页木马中有一类特殊的木马,它们的代码通常只有一句,文件体积小,攻击过程中与专用的一句话客户端连接,使得攻击者可以获得与传统网页木马相同的攻击效果,这就是一句话木马。
目前信息安全行业检测网页木马的方法主要有三种:
静态检测:对脚本文件中出现的关键词和高危函数、文件的修改时间、文件权限、文件的所有者以及和其他文件的关联性等多个维度的特征进行检测。
动态检测:通过网页木马运行时使用的系统命令或网络流量及状态的异常来判断动作的威胁程度。比如可以检测敏感的操作系统命令和数据库执行指令等。
日志分析:使用网页木马会在网站的web日志中留下木马页面的访问数据和数据提交记录。通过大量的日志文件建立请求模型从而检测出异常文件。
上述检测方法存在各自的弊端,例如,当网站规模较大时,静态检测需要遍历大量的网页文件,耗时长效率低。动态检测的实施难度较大,如果网页木马未执行了监控范围外的操作则存在误报。日志分析同样存在效率和准确率的问题,当网站日志量很大时效率会受到影响,并且所建立的请求模型的准确性也很难保证。目前检测一句话木马也通常套用检测传统网页木马的方法,因此在检测一句话木马时上述问题依旧存在。
发明内容
针对上述技术问题,本发明所述的技术方案通过对请求流量和响应流量都进行针对一句话木马特征的匹配,进而定位产生相关流量的web文件,并针对所述web文件进行是否为疑似一句话木马的检测,不仅提高了检测一句话木马的准确性,而且避免了海量检测网站内所有文件的问题,从而使得检测效率与传统方法相比有非常明显的提高。
一方面,本发明采用如下方法来实现:一种检测一句话木马的方法,包括:
获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则获取与入站流量相对应的响应流量;
将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则获取入站流量所对应的web文件;
判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行;
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
进一步地,所述一句话木马客户端的请求流量特征包括:通过80端口入站、HTTP请求为POST、包含特征关键字。
进一步地,所述特征关键字包括:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。
进一步地,所述一句话木马客户端的响应流量特征包括:“->|”和“|<-”。
上述方法中,所述代码关键字包括:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
进一步地,所述标记为疑似一句话木马之后还包括:终止疑似一句话木马文件与外界通讯,并利用预设策略进行进一步判定。
另一方面,本发明可以采用如下系统来实现:一种检测一句话木马的系统,包括:
请求流量特征匹配模块,用于获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则获取与入站流量相对应的响应流量;
响应流量特征匹配模块,用于将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则获取入站流量所对应的web文件;
一句话木马判定模块,用于判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行;
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
进一步地,所述一句话木马客户端的请求流量特征包括:通过80端口入站、HTTP请求为POST、包含特征关键字。
进一步地,所述特征关键字包括:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。
进一步地,所述一句话木马客户端的响应流量特征包括:“->|”和“|<-”。
上述系统中,所述代码关键字包括:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
进一步地,还包括:处置模块,用于在标记为疑似一句话木马之后,终止疑似一句话木马文件与外界通讯,并利用预设策略进行进一步判定。
综上,本发明给出一种检测一句话木马的方法及系统,通过将入站流量与响应流量与一句话木马客户端的流量特征进行匹配,找出成功匹配的流量相关的web文件作为疑似文件,不仅提高了检测的准确率而且避免海量检测网站内的所有文件,进而提高了检测效率;针对定位到的web文件进行预设条件的匹配,将流量检测与本地文件检测相结合,利用多维度的方法判定文件是否为一句话木马,从而降低了误报率;利用本发明所述的技术方案,即使攻击者期望通过改写一句话木马绕过检测也是很难做到的;当web文件满足了预设条件中一种或者多种时,会标记为疑似一句话木马,并进一步利用预设策略,例如人工判定等手段,最终确定是否为一句话木马,使得判定结果更加准确可信。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种检测一句话木马的方法实施例1流程图;
图2为本发明提供的一种检测一句话木马的方法实施例2流程图;
图3为本发明提供的一种检测一句话木马的系统实施例结构图。
具体实施方式
本发明给出了一种检测一句话木马的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
如图1所示,为本发明提供的一种检测一句话木马的方法实施例1,包括:
S101:获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则执行S102。
需要注意的是,所述一句话木马客户端的请求流量特征包括但不限于:通过80端口入站、HTTP 请求为POST、包含特征关键字。即首先筛选通过80端口入站的流量,并进一步判断HTTP请求是否为POST,若是,则进一步判断入站流量中是否包含特征关键字。
优选地,所述特征关键字包括但不限于Base64编码函数、命令执行函数或者特殊符号,例如:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。若脚本文件为除上述类型之外其他类型的脚本文件,则特征关键字将根据需要做调整。
S102:获取与入站流量相对应的响应流量。
S103:将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则执行S104。
需要注意的是,所述一句话木马客户端的响应流量特征包括但不限于:“->|”和“|<-”。
S104:获取入站流量所对应的web文件;其中,查看入站流量所对应访问的web文件名称,在服务器主机中查找此web文件。
S105:判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行。
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
需要注意的是,所述代码关键字的选取与所述web文件的类型有关,根据web文件的不同类型将选择不同的代码关键字用于匹配,包括但不限于:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
需要注意的是,所述web文件为独立的web文件是指,所述web文件与其他页面或者web文件无任何链接关系。
如图2所示,为本发明提供的一种检测一句话木马的方法实施例2,包括:
S201:获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则执行S202。
需要注意的是,所述一句话木马客户端的请求流量特征包括但不限于:通过80端口入站、HTTP 请求为POST、包含特征关键字。
优选地,所述特征关键字包括但不限于Base64编码函数、命令执行函数或者特殊符号,例如:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。若脚本文件为除上述类型之外其他类型的脚本文件,则特征关键字将根据需要做调整。
S202:获取与入站流量相对应的响应流量。
S203:将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则执行S204。
需要注意的是,所述一句话木马客户端的响应流量特征包括但不限于:“->|”和“|<-”。
S204:获取入站流量所对应的web文件。
S205:判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,并执行S206,否则放行。
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
需要注意的是,所述代码关键字的选取与所述web文件的类型有关,根据web文件的不同类型将选择不同的代码关键字用于匹配,包括但不限于:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
S206:终止疑似一句话木马文件与外界通讯,并利用预设策略进行进一步判定。
需要注意的是,所述预设策略可以为采用人工的方式进行进一步判定,最终根据判定结果选择解除锁定还是彻底删除相关web文件。此处首先对标记为疑似一句话木马的文件进行通讯的终止,及时阻止其执行其他危害用户信息安全的恶意操作。用户可以根据需要选择预设策略对标记为疑似一句话木马的文件进行辅助判定,进而降低误报,减少损失。
如图3所示,为本发明提供的一种检测一句话木马的系统实施例,包括:
请求流量特征匹配模块301,用于获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则获取与入站流量相对应的响应流量;
需要注意的是,所述一句话木马客户端的请求流量特征包括但不限于:通过80端口入站、HTTP 请求为POST、包含特征关键字。
优选地,所述特征关键字包括但不限于Base64编码函数、命令执行函数或者特殊符号,例如:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。若脚本文件为除上述类型之外其他类型的脚本文件,则特征关键字将根据需要做调整。
响应流量特征匹配模块302,用于将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则获取入站流量所对应的web文件;
需要注意的是,所述一句话木马客户端的响应流量特征包括但不限于:“->|”和“|<-”。
一句话木马判定模块303,用于判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行;
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
需要注意的是,所述代码关键字的选取与所述web文件的类型有关,根据web文件的不同将选择不同的代码关键字用于匹配,包括但不限于:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
优选地,还包括:处置模块304,用于在标记为疑似一句话木马之后,终止疑似一句话木马文件与外界通讯,并利用预设策略进行进一步判定。
需要注意的是,上述处置模块304不是本发明系统实施例所必须的模块,而是其中一个最优实施例,具备处置模块304能够及时阻止疑似一句话木马的进一步的威胁行为,并通过辅助其他预设策略对标记为疑似一句话木马进行进一步的判定,提高最终结果的准确性,降低误报率。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了检测一句话木马的方法及系统实施例,通过记录HTTP会话状态,对请求流量和与之相对应的响应流量进行一句话木马特征的匹配,包括一句话木马客户端的请求流量特征和一句话木马客户端的响应流量特征,找出成功匹配的流量对应的web文件作为疑似文件用于后续的进一步匹配。上述实施例不同于传统检测方法,避免了大面积大批量的对网站文件进行特征匹配所导致的检测效率不高,资源占用较大的问题,上述实施例通过初步的流量筛选后,只需要针对疑似文件进行进一步的预设条件的匹配,若疑似文件与预设条件中的一个或者两个以上的条件相符,则判定疑似文件为疑似一句话木马文件,利用多维度的匹配判定,进一步减低了误报率。对于判定为疑似一句话木马的文件,首先阻止其与外界的通讯,遏制其可能造成的进一步的损失,继而利用预设策略辅助进行最终判定,并最终根据判定结果选择处置方式,包括但不限于:解除锁定或者彻底删除文件等操作。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (12)
1.一种检测一句话木马的方法,其特征在于,包括:
获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则获取与入站流量相对应的响应流量;
将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则获取入站流量所对应的web文件;
判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行;
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
2.如权利要求1所述的方法,其特征在于,所述一句话木马客户端的请求流量特征包括:通过80端口入站、HTTP 请求为POST、包含特征关键字。
3.如权利要求2所述的方法,其特征在于,所述特征关键字包括:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。
4.如权利要求3所述的方法,其特征在于,所述一句话木马客户端的响应流量特征包括:“->|”和“|<-”。
5.如权利要求1-4任一所述的方法,其特征在于,所述代码关键字包括:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
6.如权利要求5所述的方法,其特征在于,所述标记为疑似一句话木马之后还包括:终止疑似一句话木马文件与外界通讯,并利用预设策略进行进一步判定。
7.一种检测一句话木马的系统,其特征在于,包括:
请求流量特征匹配模块,用于获取网站入口处的入站流量,并与一句话木马客户端的请求流量特征匹配,若匹配失败则放行,若匹配成功则获取与入站流量相对应的响应流量;
响应流量特征匹配模块,用于将所述响应流量与一句话木马客户端的响应流量特征匹配,若匹配失败则放行,若匹配成功则获取入站流量所对应的web文件;
一句话木马判定模块,用于判断所述web文件是否满足预设条件中的一个或者两个以上,若满足则标记为疑似一句话木马,否则放行;
所述预设条件包括:所述web文件的代码长度小于等于预设阈值;或者,所述web文件中包含代码关键字;或者,所述web文件为独立的web文件。
8.如权利要求7所述的系统,其特征在于,所述一句话木马客户端的请求流量特征包括:通过80端口入站、HTTP 请求为POST、包含特征关键字。
9.如权利要求8所述的系统,其特征在于,所述特征关键字包括:
若请求的是php文件,检查payload中是否包含特征关键字:“eval”、“base64_decode”、“z0”;
若请求的是asp文件,检查payload中是否包含特征关键字:“eval”、“Execute”;
若请求的是aspx文件,检查payload中是否包含特征关键字:“eval”、“FromBase64String”。
10.如权利要求9所述的系统,其特征在于,所述一句话木马客户端的响应流量特征包括:“->|”和“|<-”。
11.如权利要求7-10任一所述的系统,其特征在于,所述代码关键字包括:
若所述web文件为php文件,则所述代码关键字包括:“@eval”和“$_POST”;
若所述web文件为asp文件,则所述代码关键字包括:“eval”和“request”;
若所述web文件为aspx文件,则所述代码关键字包括:“eval”、“Request.Item”和“unsafe”。
12.如权利要求11所述的系统,其特征在于,还包括:处置模块,用于在标记为疑似一句话木马之后,终止疑似一句话木马文件与外界通讯,并利用预设策略进行进一步判定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710596896.8A CN108366043A (zh) | 2017-07-20 | 2017-07-20 | 一种检测一句话木马的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710596896.8A CN108366043A (zh) | 2017-07-20 | 2017-07-20 | 一种检测一句话木马的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108366043A true CN108366043A (zh) | 2018-08-03 |
Family
ID=63009917
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710596896.8A Pending CN108366043A (zh) | 2017-07-20 | 2017-07-20 | 一种检测一句话木马的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108366043A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868410A (zh) * | 2019-11-11 | 2020-03-06 | 恒安嘉新(北京)科技股份公司 | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 |
-
2017
- 2017-07-20 CN CN201710596896.8A patent/CN108366043A/zh active Pending
Non-Patent Citations (3)
| Title |
|---|
| 小菜的爱: ""一句话木马与caidao"", 《HTTPS://WWW.CNBLOGS.COM/PURSUITOFACM/P/6732096.HTML》 * |
| 百度百科: ""一句话木马"", 《HTTPS://BAIKE.BAIDU.COM/ITEM/%E4%B8%80%E5%8F%A5%E8%AF%9D%E6%9C%A8%E9%A9%AC/1845646》 * |
| 罗婷: ""常见ASP 一句话木马分析及防御"", 《电子技术与软件工程》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868410A (zh) * | 2019-11-11 | 2020-03-06 | 恒安嘉新(北京)科技股份公司 | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 |
| CN110868410B (zh) * | 2019-11-11 | 2022-05-10 | 恒安嘉新(北京)科技股份公司 | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107918733B (zh) | 检测网页的恶意元素的系统和方法 | |
| RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
| KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
| US9954886B2 (en) | Method and apparatus for detecting website security | |
| CN105871850B (zh) | 爬虫检测方法和系统 | |
| RU2637477C1 (ru) | Система и способ обнаружения фишинговых веб-страниц | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| CN101388768B (zh) | 检测恶意http请求的方法及装置 | |
| CN106453438B (zh) | 一种网络攻击的识别方法及装置 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN104881603B (zh) | 网页重定向漏洞检测方法及装置 | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| JP2004164617A (ja) | クロスサイトスクリプティング脆弱性の自動検出 | |
| JP6708794B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| CN107808095B (zh) | 用于检测网页的异常元素的系统和方法 | |
| JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| CN110851838A (zh) | 一种基于互联网的云测试系统及安全测试方法 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| CN110837646A (zh) | 一种非结构化数据库的风险排查装置 | |
| CN104333558A (zh) | 一种网址检测方法及网址检测装置 | |
| CN108366043A (zh) | 一种检测一句话木马的方法及系统 | |
| KR102514214B1 (ko) | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 | |
| CN113378172B (zh) | 用于识别敏感网页的方法、装置、计算机系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180803 |