CN109344622A - 漏洞攻击的入侵检测方法及相关设备 - Google Patents
漏洞攻击的入侵检测方法及相关设备 Download PDFInfo
- Publication number
- CN109344622A CN109344622A CN201811126767.3A CN201811126767A CN109344622A CN 109344622 A CN109344622 A CN 109344622A CN 201811126767 A CN201811126767 A CN 201811126767A CN 109344622 A CN109344622 A CN 109344622A
- Authority
- CN
- China
- Prior art keywords
- intrusion detection
- invasion
- loophole
- information
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种漏洞攻击的入侵检测方法及相关设备。其中,该方法包括:提取入侵检测对象的入侵检测信息;将提取的所述入侵检测信息与预先建立的入侵痕迹特征库进行匹配;如果匹配成功,提示所述入侵检测对象已被漏洞攻击入侵。根据本申请实施例,可以尽可能解决现有技术中由于无法提供漏洞攻击的入侵检测导致的无法给予已被入侵用户相应的风险提示的问题。
Description
技术领域
本申请涉及网络安全领域,特别涉及漏洞攻击的入侵检测方法及相关设备。
背景技术
在网络日益普及的今天,既带来了很多便利,同时也带来了很多安全隐患,许多不法分子利用系统缺陷进行信息窃取、破坏等活动。在此环境下网络安全产品应用而生,这类产品从发现系统漏洞、防护恶意攻击等角度保护系统安全,解决了大部分常见的漏洞攻击的问题。
为了防止漏洞攻击,需要进行漏洞扫描,并在发现漏洞后及时修复漏洞。通常有两种漏洞扫描方式:第一种,人工干预式扫描方式,即人工使用漏洞扫描工具对计算机主机或者WEB系统进行漏洞扫描,在发现漏洞时进行修复或者通知相应的维护人员修复。第二种,非人工干预式扫描方式,这样方式需要使用漏洞扫描器,该漏洞扫描器可以主动地对计算机主机或者WEB系统进行漏洞扫描。
发明内容
本发明的发明人发现,无论采用哪种漏洞扫描方式,现在的网络威胁日益多元化、隐蔽化及难度化,漏洞扫描设备基于漏洞扫描功能只能检查某个主机是否存在漏洞,而无法检测到该主机是否已被入侵。对于已被入侵的用户而言,无法根据已被入侵的信息给予用户提示,对于已被入侵用户的风险没有从根本上进行解决。
有鉴于此,本申请提供漏洞攻击的入侵检测方法及相关设备,以尽可能解决现有技术中由于无法提供漏洞攻击的入侵检测导致的无法给予已被入侵用户相应的风险提示的问题。
具体地,本申请是通过如下技术方案实现的:
一种漏洞攻击的入侵检测方法,其特征在于,包括:
提取入侵检测对象的入侵检测信息;
将提取的所述入侵检测信息与预先建立的入侵痕迹特征库进行匹配;
如果匹配成功,提示所述入侵检测对象已被漏洞攻击入侵。
可选的,所述入侵检测信息包括文件信息、进程信息、流量信息、配置信息和注册表信息中的至少一种。
可选的,还包括:
提示入侵信息详情和解决方案中的至少一种。
可选的,所述入侵痕迹特征库中包括反映各种漏洞攻击的入侵痕迹的特征以及所述特征的匹配规则。
可选的,所述将提取的所述入侵检测信息与预先建立的入侵痕迹特征库进行匹配包括:
将提取的所述入侵检测信息与所述特征按照所述特征的匹配规则进行匹配。
一种漏洞攻击的入侵检测装置,包括入侵检测模块和入侵痕迹特征库;其中,所述入侵检测模块包括:
信息提取单元,用于提取入侵检测对象的入侵检测信息;
匹配单元,用于将提取的所述入侵检测信息与所述入侵痕迹特征库进行匹配;
提示单元,用于如果匹配成功,提示所述入侵检测对象已被漏洞攻击入侵。
可选的,所述入侵检测信息包括文件信息、进程信息、流量信息、配置信息和注册表信息中的至少一种。
可选的,所述提示单元还用于,提示入侵信息详情和解决方案中的至少一种。
可选的,所述入侵痕迹特征库中包括反映各种漏洞攻击的入侵痕迹的特征以及所述特征的匹配规则。
可选的,所述匹配单元进一步用于:将提取的所述入侵检测信息与所述特征按照所述特征的匹配规则进行匹配。
可选的,所述入侵检测模块设置在漏洞扫描设备中。
一种电子设备,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现前述的漏洞攻击的入侵检测方法。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的漏洞攻击的入侵检测方法。
由以上本申请提供的技术方案可见,借助于入侵痕迹特征库查找漏洞攻击入侵时留下的入侵痕迹,通过该入侵痕迹确定被检测设备是否被漏洞攻击入侵,从而有效地给予被入侵用户相应的风险提示。而漏洞扫描设备结合入侵痕迹特征库可以全方位的提供存在的风险,有助于一次性解决存在的风险,减少人力的使用,提高整体网络安全环境。
附图说明
图1为本申请示出的相关技术中漏洞攻击的网络架构示意图;
图2为本申请示出的一种漏洞攻击的入侵检测方法的流程示意图;
图3为本申请示出的一种漏洞攻击的入侵检测装置的结构框图;
图4为本申请示出的一种入侵检测模块的结构框图;
图5为本申请示出的一种电子设备的结构框图;
图6为实现根据本申请示出的漏洞攻击的入侵检测方法的计算机系统的结构框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,其为本申请示出的相关技术中漏洞攻击的网络架构示意图。该网络架构中包括黑客10、控制设备20、多个攻击设备30(为了便于展示,图1中仅示出了三个攻击设备)以及攻击目标40,对于漏洞攻击来说,攻击目标40本身可能存在至少一种类型的漏洞。其中,黑客10与控制设备20进行网络连接,控制设备20与多个攻击设备30进行网络连接,攻击设备30与攻击目标40进行网络连接。攻击设备30上安装有攻击工具,黑客10通过控制设备20控制多个攻击设备30向攻击目标40发起漏洞攻击。攻击目标40可以是网络架构中对外提供服务的服务器,如提供业务服务或者网络连接服务等。
在相关的现有技术中,为了防止漏洞攻击,通常利用漏洞扫描设备对网络设备(如图1所示的攻击目标)进行漏洞扫描,并在发现漏洞后及时修复漏洞。
然而本申请的发明人在研究中发现,漏洞扫描设备只能检测某个网络设备是否存在漏洞,但是无法检测到该网络设备是否已被入侵。如果该网络设备是未被入侵的情况,检测出漏洞并及时进行修复可以起到风险防护的目的;如果该网络设备是已被入侵的情况,仅仅检测出漏洞并修复该漏洞已无法实现风险防护目的,对于该网络设备的安全防护也没有起到任何作用。这种情况下,就需要检测该网络设备是否已被入侵,并将已被入侵的信息及时提示给用户,以便用户后续采取有效措施,达到及时止损。
为了解决上述问题,本申请实施例提供了一种漏洞攻击的入侵检测方案,对漏洞攻击入侵网络设备后所留下来的入侵痕迹进行检测,以发现网络设备是否被漏洞攻击入侵,并在发现入侵时向用户进行有效提示。
下面针对本申请实施例中提供的漏洞攻击的入侵检测方法及相关设备,通过各实施例进行详细阐述。
漏洞扫描设备是一个主动发现漏洞的设备,由于漏洞库更新时间频繁,而一款漏洞扫描设备的产品更新周期又较长,因此通常是将带有漏洞特征的漏洞特征库与漏洞扫描设备分离。当漏洞库有更新时,只需根据更新的漏洞库对应地更新漏洞特征库,并导入更新后的漏洞特征库即可,而无需升级漏洞扫描设备的版本。漏洞特征库包含了检查各种漏洞的插件,而漏洞扫描设备的任务是调度并执行这些插件,以及管理扫描任务和整理扫描结果。
在本申请的一个实施例中,可以在已有的漏洞扫描设备中增加入侵检测功能,检查用户环境是否存在被入侵的痕迹,最后把检查结果提示给用户。当某种类型的漏洞攻击入侵某网络设备时,会在该网络设备内留下入侵痕迹,如果能发现这些入侵痕迹,就可以检测到入侵的存在。例如,某Weblogic反序列化漏洞攻击会在Linux主机的系统日志文件/var/log/syslog中写入“cmd.exe”等字符,如果入侵检测模块在被扫Linux主机的系统日志文件/var/log/syslog中发现“cmd.exe”等字符的存在,说明Weblogic反序列化漏洞攻击已入侵该Linux主机。
基于此,可以建立一个入侵痕迹特征库,该入侵痕迹特征库中可以包含有反映各种类型漏洞攻击的入侵痕迹的特征(如字符),只要网络设备与该特征匹配,就说明网络设备也被该特征对应的漏洞攻击入侵。对于某一种类型的漏洞攻击来说,反映其入侵痕迹的特征可以为一个也可以为多个。如果为多个特征,该入侵痕迹特征库中还需要包含多个特征之间的匹配逻辑,如,该匹配逻辑可以是网络设备同时与多个特征匹配,或者也可以是网络设备与任意一个特征匹配。除了包括上述匹配逻辑之外,还可以包括匹配方式,如模糊匹配或者精确匹配等。上述匹配逻辑和匹配方式形成匹配规则,可以确定的是,匹配规则至少包含匹配方式,如果是与多个特征进行匹配,还可以进一步包括匹配逻辑。
对于不同类型的漏洞攻击,其在网络设备中留下的入侵痕迹是不同,可以根据每种类型的漏洞攻击的入侵痕迹提取其中的特征以及匹配规则,并依据特征和匹配规则建立入侵痕迹特征数据库。当有新类型的漏洞攻击产生时,还可以基于新类型的漏洞攻击的入侵痕迹的特征以及匹配规则更新该入侵痕迹特征数据库。
另外,对于漏洞攻击在网络设备上留下的入侵痕迹,不同类型的漏洞攻击会在网络设备的不同位置留下入侵痕迹,例如,某Weblogic反序列化漏洞攻击是在网络设备的文件信息(系统日志文件/var/log/syslog)中留下入侵痕迹。因此,如果针对某种类型漏洞攻击进行入侵检测,可以检测一个或多个特定位置是否留下入侵痕迹,该特定位置可以作为入侵检测信息,即,将入侵检测信息与入侵痕迹特征库进行匹配。在进行入侵检测时,可以根据检测的漏洞攻击类型确定相应的入侵检测信息,如果是对所有类型的漏洞攻击进行入侵检测,则提取所有可能的入侵检测信息。在一个实施例中,入侵检测信息可以是文件信息、进程信息、流量信息、配置信息和注册表信息中的任意一种或者任意多种组合。
请参阅图2所示,图2为本申请示出的一种漏洞攻击的入侵检测方法的流程示意图,该方法可以由设置在漏洞扫描设备的一个入侵检测模块执行,该方法例如可以包括如下步骤:
步骤201,通过用户授权访问被检测主机。
例如,入侵检测模块可以通过SSH/Telnet/SMB账户口令获得访问被检测主机的权限。
步骤202,提取被检测主机中的入侵检测信息。
其中,该入侵检测信息根据被检测的漏洞攻击类型而定,当漏洞攻击类型确定时,该入侵检测信息即可确定。
步骤203,将提取的所述入侵检测信息与入侵痕迹特征库进行匹配,如果匹配成功,进入步骤204。
步骤204,提示所述入侵检测对象已被漏洞攻击入侵。
除了提示被入侵之外,还可以提供入侵信息详情以及对应的解决方案,以方便用户对漏洞攻击进行有效防护。其中,入侵信息详情可以包括但不限于:可疑的文件、注册表、服务项和启动项等。并且,对于已知的不同入侵类型,由于产生的入侵痕迹不同,会提供相应的解决方案。
需要说明的是,本申请实施例提供的入侵检测方法可以与现有技术中的漏洞扫描方法同时应用在网路设备上。
由以上本申请提供的技术方案可见,借助于入侵痕迹特征库查找漏洞攻击入侵时留下的入侵痕迹,通过该入侵痕迹确定被检测设备是否被漏洞攻击入侵,从而有效地给予被入侵用户相应的风险提示。而漏洞扫描设备结合入侵痕迹特征库可以全方位的提供存在的风险,有助于一次性解决存在的风险,减少人力的使用,提高整体网络安全环境。
请参阅图3所示,图3为本申请示出的一种漏洞攻击的入侵检测装置的结构框图,该装置30包括入侵检测模块31和入侵痕迹特征库32,在一个实施例中,入侵检测模块31可以设置在现有技术中的漏洞扫描设备上,并且,入侵检测模块31和入侵痕迹特征库32之间是分离的,即,漏洞扫描设备与入侵痕迹特征库32之间分离,这样,只需要频繁更新入侵痕迹特征库32即可,而无需频繁升级漏洞扫描设备的版本。
如图4所示,入侵检测模块31包括:信息提取单元311、匹配单元312和提示单元313;其中,
信息提取单元311,用于提取入侵检测对象的入侵检测信息;
匹配单元312,用于将提取的所述入侵检测信息与所述入侵痕迹特征库进行匹配;
提示单元313,用于如果匹配成功,提示所述入侵检测对象已被漏洞攻击入侵。
在一个实施例中,入侵检测信息包括文件信息、进程信息、流量信息、配置信息和注册表信息中的至少一种。
在一个实施例中,提示单元313还用于提示入侵信息详情和解决方案中的至少一种。
在一个实施例中,入侵痕迹特征库32中包括反映各种漏洞攻击的入侵痕迹的特征以及所述特征的匹配规则。
在一个实施例中,312匹配单元进一步用于:将提取的所述入侵检测信息与所述特征按照所述特征的匹配规则进行匹配。
由以上本申请提供的技术方案可见,借助于入侵痕迹特征库查找漏洞攻击入侵时留下的入侵痕迹,通过该入侵痕迹确定被检测设备是否被漏洞攻击入侵,从而有效地给予被入侵用户相应的风险提示。而漏洞扫描设备结合入侵痕迹特征库可以全方位的提供存在的风险,有助于一次性解决存在的风险,减少人力的使用,提高整体网络安全环境。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
请参考图5,图5为本申请示出的一种电子设备的结构框图,如图5所示,所述电子设备500包括处理器501和存储器502;其中,
所述存储器502用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器501执行以实现前述各方法步骤中的全部或部分步骤。
图6为实现根据本申请示出的漏洞攻击的入侵检测方法的计算机系统的结构框图。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行上述图2所示的实施方式中的各种处理。在RAM603中,还存储有系统600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本申请的实施方式,上文参考图4描述的方法可以被实现为计算机软件程序。例如,本申请的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行前述空间索引建立方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。
附图中的流程图和框图,图示了按照本申请各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本申请的方法。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (13)
1.一种漏洞攻击的入侵检测方法,其特征在于,包括:
提取入侵检测对象的入侵检测信息;
将提取的所述入侵检测信息与预先建立的入侵痕迹特征库进行匹配;
如果匹配成功,提示所述入侵检测对象已被漏洞攻击入侵。
2.根据权利要求1所述的方法,其特征在于,所述入侵检测信息包括文件信息、进程信息、流量信息、配置信息和注册表信息中的至少一种。
3.根据权利要求1所述的方法,其特征在于,还包括:
提示入侵信息详情和解决方案中的至少一种。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述入侵痕迹特征库中包括反映各种漏洞攻击的入侵痕迹的特征以及所述特征的匹配规则。
5.根据权利要求4所述的方法,其特征在于,所述将提取的所述入侵检测信息与预先建立的入侵痕迹特征库进行匹配包括:
将提取的所述入侵检测信息与所述特征按照所述特征的匹配规则进行匹配。
6.一种漏洞攻击的入侵检测装置,其特征在于,包括入侵检测模块和入侵痕迹特征库;其中,所述入侵检测模块包括:
信息提取单元,用于提取入侵检测对象的入侵检测信息;
匹配单元,用于将提取的所述入侵检测信息与所述入侵痕迹特征库进行匹配;
提示单元,用于如果匹配成功,提示所述入侵检测对象已被漏洞攻击入侵。
7.根据权利要求6所述的装置,其特征在于,所述入侵检测信息包括文件信息、进程信息、流量信息、配置信息和注册表信息中的至少一种。
8.根据权利要求6所述的装置,其特征在于,所述提示单元还用于,提示入侵信息详情和解决方案中的至少一种。
9.根据权利要求6-8中任一项所述的装置,其特征在于,所述入侵痕迹特征库中包括反映各种漏洞攻击的入侵痕迹的特征以及所述特征的匹配规则。
10.根据权利要求9所述的装置,其特征在于,所述匹配单元进一步用于:将提取的所述入侵检测信息与所述特征按照所述特征的匹配规则进行匹配。
11.根据权利要求6所述的装置,其特征在于,所述入侵检测模块设置在漏洞扫描设备中。
12.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至5中任一项所述的漏洞攻击的入侵检测方法。
13.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至5中任一项所述的漏洞攻击的入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811126767.3A CN109344622A (zh) | 2018-09-26 | 2018-09-26 | 漏洞攻击的入侵检测方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811126767.3A CN109344622A (zh) | 2018-09-26 | 2018-09-26 | 漏洞攻击的入侵检测方法及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109344622A true CN109344622A (zh) | 2019-02-15 |
Family
ID=65306647
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811126767.3A Pending CN109344622A (zh) | 2018-09-26 | 2018-09-26 | 漏洞攻击的入侵检测方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109344622A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110276202A (zh) * | 2019-06-24 | 2019-09-24 | 深圳前海微众银行股份有限公司 | 一种反序列化漏洞的检测方法及装置 |
CN111090855A (zh) * | 2019-12-26 | 2020-05-01 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于Linux主机的入侵检测方法及装置 |
CN112910841A (zh) * | 2021-01-14 | 2021-06-04 | 国网上海市电力公司 | 一种基于模糊匹配的工控网络入侵智能感知方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1282081C (zh) * | 2003-08-04 | 2006-10-25 | 联想(北京)有限公司 | 一种入侵检测方法 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
EP3330879A1 (en) * | 2015-10-09 | 2018-06-06 | Nippon Telegraph And Telephone Corporation | Vulnerability discovering device, vulnerability discovering method, and vulnerability discovering program |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
-
2018
- 2018-09-26 CN CN201811126767.3A patent/CN109344622A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1282081C (zh) * | 2003-08-04 | 2006-10-25 | 联想(北京)有限公司 | 一种入侵检测方法 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
EP3330879A1 (en) * | 2015-10-09 | 2018-06-06 | Nippon Telegraph And Telephone Corporation | Vulnerability discovering device, vulnerability discovering method, and vulnerability discovering program |
CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110276202A (zh) * | 2019-06-24 | 2019-09-24 | 深圳前海微众银行股份有限公司 | 一种反序列化漏洞的检测方法及装置 |
WO2020259390A1 (zh) * | 2019-06-24 | 2020-12-30 | 深圳前海微众银行股份有限公司 | 一种反序列化漏洞的检测方法及装置 |
CN110276202B (zh) * | 2019-06-24 | 2023-10-03 | 深圳前海微众银行股份有限公司 | 一种反序列化漏洞的检测方法及装置 |
CN111090855A (zh) * | 2019-12-26 | 2020-05-01 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于Linux主机的入侵检测方法及装置 |
CN112910841A (zh) * | 2021-01-14 | 2021-06-04 | 国网上海市电力公司 | 一种基于模糊匹配的工控网络入侵智能感知方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3567504B1 (en) | A framework for coordination between endpoint security and network security services | |
US9635033B2 (en) | Methods, systems and computer readable media for detecting command injection attacks | |
US9659175B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US20150256554A1 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
CN108322446A (zh) | 内网资产漏洞检测方法、装置、计算机设备和存储介质 | |
US8640233B2 (en) | Environmental imaging | |
US11621974B2 (en) | Managing supersedence of solutions for security issues among assets of an enterprise network | |
CN109344622A (zh) | 漏洞攻击的入侵检测方法及相关设备 | |
US11785034B2 (en) | Detecting security risks based on open ports | |
CN110929264A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
Akram et al. | How to build a vulnerability benchmark to overcome cyber security attacks | |
US20190294803A1 (en) | Evaluation device, security product evaluation method, and computer readable medium | |
CN116340943A (zh) | 应用程序保护方法、装置、设备、存储介质和程序产品 | |
CN116382755A (zh) | 基于漏洞防护的国产操作系统补丁升级方法 | |
US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
US20220284109A1 (en) | Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
KR101725670B1 (ko) | 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법 | |
CN114553551A (zh) | 对入侵防御系统进行测试的方法及装置 | |
JP7078562B2 (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 | |
Kumar et al. | Generic security risk profile of e-governance applications—A case study | |
CN116720195B (zh) | 一种操作系统漏洞识别方法及系统 | |
Rrushi | Phantom i/o projector: Entrapping malware on machines in production | |
US11574049B2 (en) | Security system and method for software to be input to a closed internal network | |
US20230421599A1 (en) | Attack status evaluation apparatus, attack status evaluation method, and computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190215 |