CN109474571A - 一种协同联动发现Rootkit的方法及系统 - Google Patents
一种协同联动发现Rootkit的方法及系统 Download PDFInfo
- Publication number
- CN109474571A CN109474571A CN201711474639.3A CN201711474639A CN109474571A CN 109474571 A CN109474571 A CN 109474571A CN 201711474639 A CN201711474639 A CN 201711474639A CN 109474571 A CN109474571 A CN 109474571A
- Authority
- CN
- China
- Prior art keywords
- network
- host
- hostile
- information
- tuple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明公开了一种协同联动发现Rootkit的方法及系统,其中,所述方法包括:主机侧:收集主机侧的系统进程信息和对应的网络状态信息;定期将所述系统进程信息和所述网络状态信息上报至网络监测设备;接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。网络侧:接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。本发明通过主机安全软件与网络监测设备的配合来发现隐藏的网络行为进而发现Rootkit。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种协同联动发现Rootkit的方法及系统。
背景技术
Ring0、Ring3:Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,RING0、RING1、RING2、RING3。Windows只使用其中的两个级别RING0和RING3。RING0层拥有最高的权限,RING3层拥有最低的权限。
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,常见的Rootkit一般都和木马、后门等其他恶意程序结合使用。
部分后门、木马会在受害主机中利用Rootkit技术(例如隐藏自身进程信息、隐藏自身网络访问等),绕过工作在Ring3层的安全软件的常规检测手段,从而实现长期在受害主机隐蔽运行的目的。现有的安全软件的主机检测手段往往需要安装驱动程序,在Ring0层检测使用Rootkit技术的后门、木马,但这会增加安全软件的复杂性,甚至影响主机的系统稳定性,而且无法应对新出现的Rootkit技术。
发明内容
针对上述技术问题,本发明通过部署于主机侧的主机安全设备与部署于网络出口的网络监测设备联动,进而有效识别Rootkit。
本发明采用如下方法来实现:一种协同联动发现Rootkit的方法,部署于主机侧,包括:
收集主机侧的系统进程信息和对应的网络状态信息;
定期将所述系统进程信息和所述网络状态信息上报至网络监测设备;
接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。
上述方法中,所述接收来自网络监测设备的反馈结果,并基于反馈结果作出响应,具体包括:
接收到恶意网络请求对应的五元组和相关进程信息,若验证属实则告警并给出进程名和恶意载荷位置;
接收到恶意网络请求对应的五元组和对应的空进程信息,若验证属实则告警并给出五元组并提示需要人工取证;或者,
接收到恶意网络请求对应的五元组,则直接告警存在Rootkit并提示需要人工取证。
本发明采用如下设备来实现:一种协同联动发现Rootkit的主机安全设备,部署于主机侧,包括:
信息收集模块,用于收集主机侧的系统进程信息和对应的网络状态信息;
信息同步模块,用于定期将所述系统进程信息和所述网络状态信息上报至网络监测设备;
验证模块,用于接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。
上述主机安全设备中,所述验证模块,具体用于:
接收到恶意网络请求对应的五元组和相关进程信息,若验证属实则告警并给出进程名和恶意载荷位置;
接收到恶意网络请求对应的五元组和对应的空进程信息,若验证属实则告警并给出五元组并提示需要人工取证;或者
接收到恶意网络请求对应的五元组,则直接告警存在Rootkit并提示需要人工取证。
本发明采用如下方法来实现:一种协同联动发现Rootkit的方法,部署于网络侧,包括:
接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;
根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。
上述方法中,所述根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果,具体包括:
若所述恶意网络请求存在于某主机提交的网络状态信息中,并能够对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和相关进程信息;
若所述恶意网络请求存在于某主机提交的网络状态信息中,但不能对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和对应的空进程信息;或者,
若所述恶意网络请求不存在于主机安全设备提交的网络状态信息中,并不能对应具体进程,则反馈该恶意网络请求对应的五元组。
本发明采用如下设备来完成:一种协同联动发现Rootkit的网络监测设备,部署于网络侧,包括:
对比模块,用于接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;
反馈模块,用于根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。
上述网络监测设备中,所述反馈模块,具体用于:
若所述恶意网络请求存在于某主机提交的网络状态信息中,并能够对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和相关进程信息;
若所述恶意网络请求存在于某主机提交的网络状态信息中,但不能对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和对应的空进程信息;或者,
若所述恶意网络请求不存在于主机安全设备提交的网络状态信息中,并不能对应具体进程,则反馈该恶意网络请求对应的五元组。
本发明采用如下系统来实现:一种协同联动发现Rootkit的系统,包括上述任一所述的主机安全设备和上述任一所述的网络监测设备。
一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的一种协同联动发现Rootkit的方法。
综上,本发明给出一种协同联动发现Rootkit的方法及系统,通过采用主机安全设备与网络监测设备联动的方法,由工作在主机Ring 3层的主机安全设备定期向网络监测设备同步当前主机的进程、网络连接访问数据,由网络监测设备在检测流量数据时,结合来自主机安全设备的系统进程信息和网络状态信息,进而判断是否出现了隐藏的网络访问行为。一旦发现可疑情况,可将检测结果反馈给主机侧,由主机安全设备软件进一步验证,从而减少误报。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种协同联动发现Rootkit的方法实施例1流程图;
图2为本发明提供的一种协同联动发现Rootkit的主机安全设备实施例结构图;
图3为本发明提供的一种协同联动发现Rootkit的方法实施例2流程图;
图4为本发明提供的一种协同联动发现Rootkit的网络监测设备实施例结构图;
图5为本发明提供的一种协同联动发现Rootkit的系统实施例结构图。
具体实施方式
本发明给出了一种协同联动发现Rootkit的方法、主机安全设备、网络监测设备和系统的实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种协同联动发现Rootkit的方法实施例1,如图1所示,部署于主机侧,包括:
S101:收集主机侧的系统进程信息和对应的网络状态信息。
其中,所述系统进程信息包括但不限于:进程名称、进程ID(PID)、数字签名、描述信息、公司名称、源文件路径、内存中字符串等进程基础信息;所述对应的网络状态信息包括但不限于:五元组,五元组通常指源IP地址,源端口,目的IP地址,目的端口和传输层协议。
S102:定期将所述系统进程信息和所述网络状态信息上报至网络监测设备。
S103:接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。
上述方法实施例中,所述接收来自网络监测设备的反馈结果,并基于反馈结果作出响应,具体包括:
接收到恶意网络请求对应的五元组和相关进程信息,若验证属实则告警并给出进程名和恶意载荷位置;
接收到恶意网络请求对应的五元组和对应的空进程信息,若验证属实则告警并给出五元组并提示需要人工取证;或者
接收到恶意网络请求对应的五元组,则直接告警存在Rootkit并提示需要人工取证。
本发明同时提供了一种协同联动发现Rootkit的主机安全设备20,如图2所示,部署于主机侧,包括:
信息收集模块201,用于收集主机侧的系统进程信息和对应的网络状态信息;
信息同步模块202,用于定期将所述系统进程信息和所述网络状态信息上报至网络监测设备;
验证模块203,用于接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。
上述主机安全设备中,所述验证模块,具体用于:
接收到恶意网络请求对应的五元组和相关进程信息,若验证属实则告警并给出进程名和恶意载荷位置;
接收到恶意网络请求对应的五元组和对应的空进程信息,若验证属实则告警并给出五元组并提示需要人工取证;或者
接收到恶意网络请求对应的五元组,则直接告警存在Rootkit并提示需要人工取证。
例如:网络安全监测设备经对比分析后得出在某时刻有对外可疑IP请求,而主机安全设备的记录中有某系统进程对该IP的请求,则对该进程的基础信息进行验证,找出其注入的载荷并告警。若主机安全设备的记录中没有该IP请求,则告警后请求人工取证。
本发明其次提供了一种协同联动发现Rootkit的方法实施例2,如图3所示,部署于网络侧,包括:
S301:接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;
S302:根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。
上述方法实施例中,所述根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果,具体包括:
若所述恶意网络请求存在于某主机提交的网络状态信息中,并能够对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和相关进程信息;
若所述恶意网络请求存在于某主机提交的网络状态信息中,但不能对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和对应的空进程信息;或者,
若所述恶意网络请求不存在于主机安全设备提交的网络状态信息中,并不能对应具体进程,则反馈该恶意网络请求对应的五元组。
本发明同时提供了一种协同联动发现Rootkit的网络监测设备40,如图4所示,部署于网络侧,包括:
对比模块401,用于接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;
反馈模块402,用于根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。
上述网络监测设备中,所述反馈模块,具体用于:
若所述恶意网络请求存在于某主机提交的网络状态信息中,并能够对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和相关进程信息;
若所述恶意网络请求存在于某主机提交的网络状态信息中,但不能对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和对应的空进程信息;或者,
若所述恶意网络请求不存在于主机安全设备提交的网络状态信息中,并不能对应具体进程,则反馈该恶意网络请求对应的五元组。
本发明还提供了一种协同联动发现Rootkit的系统实施例,如图5所示,包括:上述任一所述的主机安全设备20和上述任一所述的网络监测设备40。
实际应用场景举例:例如在某网络出口处使用网络监测设备,在终端用户处使用主机安全设备(例如:主机安全软件)。某时刻网络监测设备发现有对恶意域名xxx.com的请求,由于主机安全软件可以同步系统进程信息及网络状态信息,所以对于xxx.com的请求,网络监测设备可以在这些同步而来的信息中查找对比,如果发现xxx.com,那么可以将对应的进程信息,如进程ID,源文件路径等反馈主机安全设备处进行验证,成功后即可告警,通知用户进行处理,如xxx.com的请求存在,但无法对应进程信息,可反馈五元组,通知用户利用五元组等信息进行人工取证。如xxx.com请求不存在,说明主机侧完全隐藏了网络请求和进程信息,则反馈五元组,通知用户人工取证。
本发明同时公开了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的一种协同联动发现Rootkit的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备或者系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种协同联动发现Rootkit的方法、主机安全设备、网络监控设备和系统实施例,上述实施例中的主机安全设备工作在Ring3层下,进而避免了与工作在Ring0层下的主机安全软件相同,对主机或者服务器的影响较小,不会干扰其他业务功能;本系统实施例由于采用了旁路的网络监测设备,只要是网内出现了恶意网络请求,即使是Rootkit在主机侧隐藏自身进程或网络请求,在网络监测设备上也会被发现;当网络监测设备发现恶意网络请求后,可以反馈给主机安全设备进行验证并告警,进而有效减少误报。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种协同联动发现Rootkit的方法,其特征在于,部署于主机侧,包括:
收集主机侧的系统进程信息和对应的网络状态信息;
定期将所述系统进程信息和所述网络状态信息上报至网络监测设备;
接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。
2.如权利要求1所述的方法,其特征在于,所述接收来自网络监测设备的反馈结果,并基于反馈结果作出响应,具体包括:
接收到恶意网络请求对应的五元组和相关进程信息,若验证属实则告警并给出进程名和恶意载荷位置;
接收到恶意网络请求对应的五元组和对应的空进程信息,若验证属实则告警并给出五元组并提示需要人工取证;或者,
接收到恶意网络请求对应的五元组,则直接告警存在Rootkit并提示需要人工取证。
3.一种协同联动发现Rootkit的主机安全设备,其特征在于,部署于主机侧,包括:
信息收集模块,用于收集主机侧的系统进程信息和对应的网络状态信息;
信息同步模块,用于定期将所述系统进程信息和所述网络状态信息上报至网络监测设备;
验证模块,用于接收来自网络监测设备的反馈结果,并基于反馈结果作出响应。
4.如权利要求3所述的主机安全设备,其特征在于,所述验证模块,具体用于:
接收到恶意网络请求对应的五元组和相关进程信息,若验证属实则告警并给出进程名和恶意载荷位置;
接收到恶意网络请求对应的五元组和对应的空进程信息,若验证属实则告警并给出五元组并提示需要人工取证;或者
接收到恶意网络请求对应的五元组,则直接告警存在Rootkit并提示需要人工取证。
5.一种协同联动发现Rootkit的方法,其特征在于,部署于网络侧,包括:
接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;
根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。
6.如权利要求5所述的方法,其特征在于,所述根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果,具体包括:
若所述恶意网络请求存在于某主机提交的网络状态信息中,并能够对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和相关进程信息;
若所述恶意网络请求存在于某主机提交的网络状态信息中,但不能对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和对应的空进程信息;或者,
若所述恶意网络请求不存在于主机安全设备提交的网络状态信息中,并不能对应具体进程,则反馈该恶意网络请求对应的五元组。
7.一种协同联动发现Rootkit的网络监测设备,其特征在于,部署于网络侧,包括:
对比模块,用于接收主机侧定期上报的系统进程信息和对应的网络状态信息,并与检测流量数据对比分析,并判定是否存在恶意网络请求;
反馈模块,用于根据恶意网络请求与系统进程信息和网络状态信息的匹配情况,向主机安全设备发送反馈结果。
8.如权利要求7所述的网络监测设备,其特征在于,所述反馈模块,具体用于:
若所述恶意网络请求存在于某主机提交的网络状态信息中,并能够对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和相关进程信息;
若所述恶意网络请求存在于某主机提交的网络状态信息中,但不能对应具体进程,则向主机安全设备反馈该恶意网络请求对应的五元组和对应的空进程信息;或者,
若所述恶意网络请求不存在于主机安全设备提交的网络状态信息中,并不能对应具体进程,则反馈该恶意网络请求对应的五元组。
9.一种协同联动发现Rootkit的系统,其特征在于,包括权利要求3或4任一所述的主机安全设备和权利要求7或8任一所述的网络监测设备。
10.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1、2、5或6中任一所述的一种协同联动发现Rootkit的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711474639.3A CN109474571A (zh) | 2017-12-29 | 2017-12-29 | 一种协同联动发现Rootkit的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711474639.3A CN109474571A (zh) | 2017-12-29 | 2017-12-29 | 一种协同联动发现Rootkit的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109474571A true CN109474571A (zh) | 2019-03-15 |
Family
ID=65657899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711474639.3A Withdrawn CN109474571A (zh) | 2017-12-29 | 2017-12-29 | 一种协同联动发现Rootkit的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474571A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149247A (zh) * | 2019-06-06 | 2019-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络状态的检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826992A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 一种联动审计的方法及系统 |
| CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
| US20130086635A1 (en) * | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
-
2017
- 2017-12-29 CN CN201711474639.3A patent/CN109474571A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826992A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 一种联动审计的方法及系统 |
| US20130086635A1 (en) * | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
| CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149247A (zh) * | 2019-06-06 | 2019-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络状态的检测方法及装置 |
| CN110149247B (zh) * | 2019-06-06 | 2021-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络状态的检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210160157A1 (en) | Technologies for annotating process and user information for network flows | |
| US10958690B1 (en) | Security appliance to monitor networked computing environment | |
| US9501345B1 (en) | Method and system for creating enriched log data | |
| US8601034B2 (en) | System and method for real time data awareness | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| US20180006909A1 (en) | Data leakage protection in cloud applications | |
| US20160164917A1 (en) | Action recommendations for computing assets based on enrichment information | |
| US9524133B2 (en) | Printing server group including a print service of transferring a print job to a printer via a network | |
| US20130254870A1 (en) | Detecting and Thwarting Browser-Based Network Intrusion Attacks By a Virtual Machine Monitoring System, Apparatus, and Method | |
| EP3751811A1 (en) | Vulnerability scanning method and system, and server | |
| US20110016528A1 (en) | Method and Device for Intrusion Detection | |
| US9253068B1 (en) | Network application classification for network traffic management | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| US20130263259A1 (en) | Analyzing response traffic to detect a malicious source | |
| CN111046011B (zh) | 日志收集方法、系统、装置、电子设备及可读存储介质 | |
| US20110099273A1 (en) | Monitoring apparatus, monitoring method, and a computer-readable recording medium storing a monitoring program | |
| CN103905441B (zh) | 数据获取方法及装置 | |
| US20170339185A1 (en) | Masquerading and monitoring of shared resources in computer networks | |
| CN102761535A (zh) | 病毒监测方法和设备 | |
| CN109474571A (zh) | 一种协同联动发现Rootkit的方法及系统 | |
| US8935784B1 (en) | Protecting subscribers of web feeds from malware attacks | |
| US10735440B2 (en) | Communication destination determination device, communication destination determination method, and recording medium | |
| US20140380491A1 (en) | Endpoint security implementation | |
| KR101641306B1 (ko) | 서버 모니터링 장치 및 이를 이용하는 서버 모니터링 방법 | |
| JP2011138397A5 (ja) | 仮想化環境におけるモジュール間の通信方法、情報処理装置およびその制御方法、クライアント装置、情報処理システム、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190315 |