CN108768921A - 一种基于特征检测的恶意网页发现方法及系统 - Google Patents
一种基于特征检测的恶意网页发现方法及系统 Download PDFInfo
- Publication number
- CN108768921A CN108768921A CN201810264535.8A CN201810264535A CN108768921A CN 108768921 A CN108768921 A CN 108768921A CN 201810264535 A CN201810264535 A CN 201810264535A CN 108768921 A CN108768921 A CN 108768921A
- Authority
- CN
- China
- Prior art keywords
- url
- network
- domain name
- relation
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于特征检测的恶意网页发现方法,包括以下步骤:通过读取URL文件,提取URL相关网络行为特征;通过读取DNS文件,提取域名相关网络行为特征;通过读取NetFlow文件,提取流量相关网络行为特征;针对URL相关网络行为特征,域名相关网络行为特征及流量相关网络行为特征进行规则匹配,根据匹配结果识别恶意URL。同时,基于实时捕获的网络流,构建了实现上述方法的在线的具有检测及识别功能的系统,并通过该系统实施在线网页识别,能从实时网络流中实时识别恶意网页的URL。
Description
技术领域
本发明涉及到网络流安全技术,特别涉及在线实时分析大规模网络流,挖掘和发现恶意URL,具体涉及一种基于特征检测的恶意网页发现方法及系统。
背景技术
作为一个开放式的共享平台,互联网在为人们提供便利的同时也为一些不法分子收集个人隐私信息、组织犯罪活动创造了新的机会。在一些已知的网络犯罪活动中,包含恶意代码和网上诱骗的网页(即恶意网页,包括:钓鱼网站、网页木马、色情网站等)常常扮演着十分重要的角色。卡巴斯基的统计数据显示,恶意网页在87.36%的网络攻击行为中出现并发挥作用。这类网页或者在用户不知情的情况下将恶意代码自动安装到用户的计算机中,或者协助不法分子冒充他人骗取用户个人信息及其他敏感信息。Google的统计数据表明,其每天平均拦截的新的恶意网页数高达9500个。这些恶意网页的存在,对Web的安全应用构成极大的威胁。
为了保护用户的计算机免受恶意网站攻击,一些主流浏览器(例如:IE浏览器的SmartScreen筛选器及谷歌浏览器的safebrowsing等)往往采用内置恶意网址列表的方法为用户提供安全服务。具体方法为,浏览器首先通过自动检测和人工举报的方式获得一份类似黑名单的恶意网址列表。然后,在用户浏览某个网页前,浏览器通过扫描内置的恶意网址列表来判断该网页的URL(Uniform Resource Locator)是否为恶意网页。如果确定为恶意网页后,浏览器将向用户发出警告,以提示用户防止恶意代码和网上诱骗的攻击。这类安全服务的原理简单且易于实现,因此在工业界被广泛应用。然而,随着互联网的发展和网络攻击方式的层出不穷,这种方法逐渐面临一些新的挑战,包括:
1)大规模的网络数据环境。作为一个开放式的共享平台,互联网不断发展,网页规模不断扩大,新的网页不断涌现。由于第三方专业服务机构提供的恶意网址列表的更新速度远远跟不上恶意网页的更新速度,容易出现恶意网页漏判的情况。
2)网页隐匿技术的使用。随着传统方法的广泛应用,很多攻击者开始寻找并逐步使用网页隐匿技术来躲避检查。例如,一些恶意站点通过伪装网页内容来逃避启发式爬虫的自动检测,以避免被加入恶意网址列表,进而常常导致网页错判的情况。因此,随着恶意网页隐藏技术的逐步应用,发现新的恶意网页的难度也在逐步加大。
3)不均衡的数据集特点。少量恶意网页往往淹没在海量的正常网页中。例如,google每天检查数亿的URL只能发现约9500个不安全的站点,大部分网页的分析价值低,并且检测需要消耗时间长。同时,由于自动分析和人工报告需要消耗大量的计算资源,如果对每个网页都进行分析,资源利用率将十分低下。
因此,如何设计一套自动化的工具快速准确的发现恶意网站及其URL(UniformResource Locator)是一个迫切需要解决的问题。
发明内容
针对上述问题,本发明的目的是提供一种基于特征检测的恶意网页发现方法及系统,基于实时捕获的网络流,构建了一个在线的具有检测及识别功能的系统,并通过该系统实施在线网页识别,能从实时网络流中实时识别恶意网页的URL。
为了达到上述的目的,本发明采取的技术方案是:
一种基于特征检测恶意网页发现方法,包括以下步骤:
通过读取URL文件,提取URL相关网络行为特征;
通过读取DNS文件,提取域名相关网络行为特征;
通过读取NetFlow文件,提取流量相关网络行为特征;
针对URL相关网络行为特征,域名相关网络行为特征及流量相关网络行为特征进行规则匹配,根据匹配结果识别恶意URL。
进一步地,还包括通过实时捕获流量进行解析和/或读取网络流量Pcap包进行测试获取包含URL文件、DNS文件及NetFlow文件的网络流量数据。
进一步地,所述提取URL相关网络行为特征包括:
读取URL文件,通过Referer字段建立起每一个源IP基于时间序列的用户访问模型,记录用户访问时有所跳转的一连串URL,同时将访问过的相同URL在时间序列上串联;
根据每一个源IP和目的IP对,记录其访问的URL和访问时间序列。
进一步地,所述URL相关网络行为特征包括:URL请求相关行为特征及URL请求响应相关行为特征。
进一步地,所述提取域名相关网络行为特征包括:
读取DNS文件,根据源IP和域名,建立每一个用户的域名请求模型,记录其请求的所有要解析的域名和请求时间序列,同时,向权威统计网站发送HTTP请求,从返回内容中解析出域名注册时长、PR值。
进一步地,所述域名相关网络行为特征包括:
域名请求/响应对准情况、域名记录解析类型、访问带有域名字段的URL是否有域名请求过程、访问URL时带有的域名字段和目的IP是否匹配、域名PageRank值、域名注册时长、是否固定间隔发送域名请求。
进一步地,所述流量相关网络行为特征包括:HTTP通信流量特征及URL统计特征。
进一步地,所述规格匹配为通过正则表达式进行匹配,以发现恶意URL。
一种基于特征检测恶意网页发现系统,包括:
URL相关网络行为特征提取子模块,用以通过读取URL文件,提取URL相关网络行为特征;
域名相关网络行为特征提取子模块,用以通过读取DNS文件,提取域名相关网络行为特征;
流量相关网络行为特征提取子模块,用以通过读取NetFlow文件,提取流量相关网络行为特征;
规则匹配子模块,用以针对URL相关网络行为特征,域名相关网络行为特征及流量相关网络行为特征进行规则匹配,根据匹配结果识别恶意URL。
进一步地,还包括一网络流量获取工具,用以通过实时捕获流量进行解析和/或读取网络流量Pcap包进行测试获取包含URL文件、DNS文件及NetFlow文件的网络流量数据。
主要包含四个方面:
主要包括2部分,一部分是URL请求相关行为特征:是否短时间内发出多个URL请求、是否短时间内有URL连续跳转(通过Referer字段)、发出请求的设备类型是否为常用浏览器;另一部分是URL请求响应相关行为特征:请求文件类型(后缀)、Content-Type字段、返回文件类型是否匹配、HTTP返回状态码;
(2)
主要包括域名请求/响应对准情况、域名记录解析类型、访问带有域名字段的URL是否有域名请求过程、访问URL时带有的域名字段和目的IP是否匹配、域名PageRank值、域名注册时长、是否固定间隔发送域名请求;
(3)流量相关网络行为特征提取子模块:该子模块读取NetFlow文件(即flowdb),从中提取出需要的数据,用于之后规则匹配子模块使用;
主要包括2部分,一部分是HTTP通信流量特征:并发链接同一服务器数目、并发链接同一目的端口数目、连接时长、固定起始和终止连接时间、上行流量,下行流量。另一部分是URL统计特征。
(4)规则匹配子模块:该子模块结合上面三个子模块提供的数据,通过和一个个规则进行正则表达式对比看是否匹配,来发现恶意URL,并报告出异常行为。
通过采取上述技术方案,本发明通过同时具备特征提取和模式匹配操作方式的优点,回避了二者的缺点,同时获得更佳的效率和准确度,利于实时大量地进行恶意网页的检测。
附图说明
图1系统架构图
图2恶意URL检测系统部署图
图3日志中各类恶意URL结果
图4不同流量下捕包1小时系统检测恶意URL所需时间折线图
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
以下结合上述对本发明进行详细描述。
本发明的系统架构图如图1所示。
1)通过网络流捕获平台Papp实时解析HTTP流量,Papp有两种配置方式,一种是实时捕获流量进行解析,另一种是读取网络流量Pcap包(过程特性分析软件包),用于测试;其中,网络流捕获平台Papp作为专门的流量获取工具,其功能与Linux下的TCPDUMP命令相似。
2)通过Papp平台解析的流量抽取URL特征。
通过URL相关网络行为特征提取子模块实现,该子模块读取URL文件,通过Referer字段建立起每一个源IP基于时间序列的用户访问模型,将用户访问时有所跳转的一连串URL记录下来,同时将访问过的相同URL在时间序列上串联起来,另外,根据每一个源IP和目的IP对,记录其访问的URL和访问时间序列,用于之后规则匹配子模块使用;
主要包括两个部分,一部分是URL请求相关行为特征:是否短时间内发出多个URL请求、是否短时间内有URL连续跳转(通过Referer字段)、发出请求的设备类型是否为常用浏览器;另一部分是URL请求响应相关行为特征:请求文件类型(后缀)、Content-Type字段、返回文件类型是否匹配、HTTP返回状态码;
3)通过Papp平台解析的流量抽取域名相关特征。
通过域名相关网络行为特征提取子模块实现,该子模块读取DNS文件,根据源IP和域名,建立每一个用户的域名请求模型,记录其请求的所有要解析的域名和请求时间序列,同时,向权威统计网站,例如站长之家[http://whois.chinaz.com/?Domain=]和Alexa[http://www.alexa.cn/index.php?url=]网站发送HTTP请求,从返回的内容中解析出域名注册时长、PR值等信息,用于之后规则匹配子模块使用。
主要包括域名请求/响应对准情况、域名记录解析类型、访问带有域名字段的URL是否有域名请求过程、访问URL时带有的域名字段和目的IP是否匹配、域名PageRank值、域名注册时长、是否固定间隔发送域名请求;
4)通过Papp平台解析的流量抽取相关NetFlow相关特征提取。
通过流量相关网络行为特征提取子模块实现,该子模块读取NetFlow文件(即flowdb),从中提取出需要的数据,用于之后规则匹配子模块使用。
主要包括两个部分,一部分是HTTP通信流量特征:并发链接同一服务器数目、并发链接同一目的端口数目、连接时长、固定起始和终止连接时间、上行流量,下行流量。另一部分是URL统计特征。
5)综合以上三种特征,如表1所示。
表1选择的恶意URL网络特征
为了便于描述动态网络行为特征,将特征规则描述出来,总结如下:
(1)URL相关特征
a)同一IP短时间内发送多次HTTP请求连续跳转;
b)同一IP短时间内经由某一个URL出发发送多个HTTP请求;
c)用户请求文件类型和返回Content-Type类型不一致;
d)源IP固定时间间隔访问同一URL;
e)源IP长时间向某一IP发送的不重复HTTP请求个数固定。
具备上述相关特征则倾向于认为存在恶意。
(2)域名相关特征
a)域名是IP地址;
b)域名注册时长小于一年且网页排名小于1000000;
c)源IP固定时间间隔访问同一域名;
d)域名成功请求完之后,并没有返回IP相关的HTTP请求;
e)对某IP发送HTTP请求,填写的域名字段和该IP不一致;
f)对某IP发送HTTP请求,但之前没有域名请求来获得该IP。
具备上述相关特征则倾向于认为存在恶意。
(3)NetFlow相关特征
a)GET类HTTP请求流,上行流量大于等于下行流量。
具备上述相关特征则倾向于认为存在恶意。
根据上述实施例描述的方案,本发明最终用于每秒千兆比特以上流量的网络关口处,如图2所示,本发明部署在服务器上,该服务器上配置一块千兆光口网卡,用于接收从网络关口路由器上分光出所有途经该路由器的流量数据,接着恶意URL检测系统对收到的数据进行处理来检测恶意URL。
实时获取其中一个小时的网络关口流量包进行测试,流量包在通过数据解析模块后得到相应的URL文件,其中提取出URL共计2021500条,通过本恶意URL检测系统后,最终恶意URL结果会输出到日志中进行存储,其格式为“恶意URL类别、URL、用户访问时间、源IP、源端口、目的IP、目的端口”,详细结果如图3所示。
为了更好的描述性能,如图4所示,分别模拟1个小时内从每秒百兆流量到每秒千兆流量网络关口环境下大致的URL数目进行检测,可以发现即使在每秒千兆网络关口环境下,检测1个小时URL数目也仅需要十几分钟,因此本检测系统能实时对恶意URL进行检测。
现有解决相关技术问题的方法主要有三类:
一是基于黑名单的方法,速度快,但扩展度差,发现不了新的恶意网页;
二是简单的URL正则匹配,速度较快,但误判率较高。
三是基于机器学习的方法,需要离线训练模型,时效性较差。
而本发明所提供的技术方案则开创性地结合最后两种方法,抽取相应的特征进行模式匹配(而非机器学习),能够兼具效率和准确度。
显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Claims (10)
1.一种基于特征检测恶意网页发现方法,包括以下步骤:
通过读取URL文件,提取URL相关网络行为特征;
通过读取DNS文件,提取域名相关网络行为特征;
通过读取NetFlow文件,提取流量相关网络行为特征;
针对URL相关网络行为特征,域名相关网络行为特征及流量相关网络行为特征进行规则匹配,根据匹配结果识别恶意URL。
2.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,还包括通过实时捕获流量进行解析和/或读取网络流量Pcap包进行测试获取包含URL文件、DNS文件及NetFlow文件的网络流量数据。
3.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,所述提取URL相关网络行为特征包括:
读取URL文件,通过Referer字段建立起每一个源IP基于时间序列的用户访问模型,记录用户访问时有所跳转的一连串URL,同时将访问过的相同URL在时间序列上串联;
根据每一个源IP和目的IP对,记录其访问的URL和访问时间序列。
4.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,所述URL相关网络行为特征包括:URL请求相关行为特征及URL请求响应相关行为特征。
5.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,所述提取域名相关网络行为特征包括:
读取DNS文件,根据源IP和域名,建立每一个用户的域名请求模型,记录其请求的所有要解析的域名和请求时间序列,同时,向权威统计网站发送HTTP请求,从返回内容中解析出域名注册时长、PR值。
6.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,所述域名相关网络行为特征包括:
域名请求/响应对准情况、域名记录解析类型、访问带有域名字段的URL是否有域名请求过程、访问URL时带有的域名字段和目的IP是否匹配、域名PageRank值、域名注册时长、是否固定间隔发送域名请求。
7.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,所述流量相关网络行为特征包括:HTTP通信流量特征及URL统计特征。
8.如权利要求1所述的基于特征检测恶意网页发现方法,其特征在于,所述规格匹配为通过正则表达式进行匹配,以发现恶意URL。
9.一种基于特征检测恶意网页发现系统,其特征在于,包括:
URL相关网络行为特征提取子模块,用以通过读取URL文件,提取URL相关网络行为特征;
域名相关网络行为特征提取子模块,用以通过读取DNS文件,提取域名相关网络行为特征;
流量相关网络行为特征提取子模块,用以通过读取NetFlow文件,提取流量相关网络行为特征;
规则匹配子模块,用以针对URL相关网络行为特征,域名相关网络行为特征及流量相关网络行为特征进行规则匹配,根据匹配结果识别恶意URL。
10.如权利要求9所述的基于特征检测恶意网页发现系统,其特征在于,还包括一网络流量获取工具,用以通过实时捕获流量进行解析和/或读取网络流量Pcap包进行测试获取包含URL文件、DNS文件及NetFlow文件的网络流量数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810264535.8A CN108768921B (zh) | 2018-03-28 | 2018-03-28 | 一种基于特征检测的恶意网页发现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810264535.8A CN108768921B (zh) | 2018-03-28 | 2018-03-28 | 一种基于特征检测的恶意网页发现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108768921A true CN108768921A (zh) | 2018-11-06 |
| CN108768921B CN108768921B (zh) | 2021-03-09 |
Family
ID=63980660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810264535.8A Active CN108768921B (zh) | 2018-03-28 | 2018-03-28 | 一种基于特征检测的恶意网页发现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108768921B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109597869A (zh) * | 2018-11-30 | 2019-04-09 | 杭州芸品绿信息科技有限公司 | 恶意网站制作的犯罪团伙筛选方法 |
| CN110061975A (zh) * | 2019-03-29 | 2019-07-26 | 中国科学院计算技术研究所 | 一种基于离线流量包解析的仿冒网站识别方法及系统 |
| CN110825701A (zh) * | 2019-11-07 | 2020-02-21 | 深信服科技股份有限公司 | 一种文件类型确定方法、装置、电子设备及可读存储介质 |
| CN111970310A (zh) * | 2020-10-20 | 2020-11-20 | 云盾智慧安全科技有限公司 | 网络防护方法及系统、电子设备、计算机可读存储介质 |
| CN112565164A (zh) * | 2019-09-26 | 2021-03-26 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
| CN113709265A (zh) * | 2020-05-22 | 2021-11-26 | 深信服科技股份有限公司 | 一种域名识别的方法、装置、系统和计算机可读存储介质 |
| CN114422211A (zh) * | 2021-12-30 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于图注意力网络的http恶意流量检测方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
| CN105187393A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其系统 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
-
2018
- 2018-03-28 CN CN201810264535.8A patent/CN108768921B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
| CN105187393A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其系统 |
| US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109597869A (zh) * | 2018-11-30 | 2019-04-09 | 杭州芸品绿信息科技有限公司 | 恶意网站制作的犯罪团伙筛选方法 |
| CN110061975A (zh) * | 2019-03-29 | 2019-07-26 | 中国科学院计算技术研究所 | 一种基于离线流量包解析的仿冒网站识别方法及系统 |
| CN112565164A (zh) * | 2019-09-26 | 2021-03-26 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
| CN112565164B (zh) * | 2019-09-26 | 2023-07-25 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
| CN110825701A (zh) * | 2019-11-07 | 2020-02-21 | 深信服科技股份有限公司 | 一种文件类型确定方法、装置、电子设备及可读存储介质 |
| CN113709265A (zh) * | 2020-05-22 | 2021-11-26 | 深信服科技股份有限公司 | 一种域名识别的方法、装置、系统和计算机可读存储介质 |
| CN111970310A (zh) * | 2020-10-20 | 2020-11-20 | 云盾智慧安全科技有限公司 | 网络防护方法及系统、电子设备、计算机可读存储介质 |
| CN111970310B (zh) * | 2020-10-20 | 2021-04-06 | 云盾智慧安全科技有限公司 | 网络防护方法及系统、电子设备、计算机可读存储介质 |
| CN114422211A (zh) * | 2021-12-30 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于图注意力网络的http恶意流量检测方法及装置 |
| CN114422211B (zh) * | 2021-12-30 | 2023-07-18 | 中国人民解放军战略支援部队信息工程大学 | 基于图注意力网络的http恶意流量检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108768921B (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768921A (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| Orabi et al. | Detection of bots in social media: a systematic review | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| CN103888490B (zh) | 一种全自动的web客户端人机识别的方法 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN105357195A (zh) | web访问的越权漏洞检测方法及装置 | |
| US10250465B2 (en) | Network traffic monitoring and classification | |
| CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| CN107085549A (zh) | 故障信息生成的方法和装置 | |
| CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
| CN108206769A (zh) | 过滤网络质量告警的方法、装置、设备和介质 | |
| CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 | |
| US10560473B2 (en) | Method of network monitoring and device | |
| Wang et al. | Botnet detection using social graph analysis | |
| CN114422211A (zh) | 基于图注意力网络的http恶意流量检测方法及装置 | |
| Odemis et al. | Detecting user behavior in cyber threat intelligence: Development of Honeypsy system | |
| Catalin et al. | An efficient method in pre-processing phase of mining suspicious web crawlers | |
| CN115442159B (zh) | 一种基于家用路由的风险管控方法、系统和存储介质 | |
| Badawi et al. | Automatic detection and analysis of the “game hack” scam | |
| Li | An empirical analysis on threat intelligence: Data characteristics and real-world uses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |