CN109831465A - 一种基于大数据日志分析的网站入侵检测方法 - Google Patents
一种基于大数据日志分析的网站入侵检测方法 Download PDFInfo
- Publication number
- CN109831465A CN109831465A CN201910294376.0A CN201910294376A CN109831465A CN 109831465 A CN109831465 A CN 109831465A CN 201910294376 A CN201910294376 A CN 201910294376A CN 109831465 A CN109831465 A CN 109831465A
- Authority
- CN
- China
- Prior art keywords
- detected
- risk
- value
- big data
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种基于大数据日志分析的网站入侵检测方法,包括以下步骤:采集预设时间段内的web日志,将其按照访问者IP进行聚合;将访问者IP与IP白名单进行匹配,筛选出未在IP白名单内的待检测IP;分析待检测IP对应的web日志,使用自定义的风险模型分别计算各项请求参数的风险值,并根据计算的风险值综合判定待检测IP的危险等级;当判定出待检测IP的危险等级达到指定等级时,将其判定为可疑IP。本发明通过风险模型综合访问者IP及其访问请求信息,多方面计算访问者的入侵风险值,相比传统WAF技术对网站入侵更加准确全面,能够减少漏检或误检;由于通过web日志进行分析,无需部署到应用的上一层,减小了服务器的性能开销并且可以识别多种入侵攻击手段。
Description
技术领域
本发明涉及一种基于大数据日志分析的网站入侵检测方法,属于网络安全技术领域。
背景技术
目前多数网站都使用WAF(网站应用级入侵防御系统)技术进行拦截,此技术主要是通过判断用户请求的信息中是否包含某些特定的字符串,或者某个特定的URL地址被访问,对于触发规则的请求直接进行阻断,以确保系统的安全。
此方法的最大问题是,所有识别均基于规则进行判断,然而随着计算机网络和通信技术的发展,计算机网络安全威胁和安全风险不断增加,攻击手段的多样化,很多规则都可以被绕过,导致WAF不能很准确及时的拦截攻击行为。同时也有大量的正常用户的正常请求也可能包含这些特征字符串,导致正常用户的访问被阻断,一定程度的影响用户使用。
主流的WAF产品并不能识别越权漏洞、敏感信息泄露、爬虫攻击、CC(ChallengeCollapsar)攻击。
WAF(网站应用级入侵防御系统)的需要部署到应用的上一层,存在一定的性能开销。
发明内容
本发明提供一种基于大数据日志分析的网站入侵检测方法,通过分析网站访问日志获取一段时间内的所有用户访问请求信息,根据访问者IP及请求参数使用风险模型多方面综合分析计算访问者IP的风险值,判定其危险程度,能够较全面准确地检测到网站入侵。
本发明的技术方案第一方面为一种基于大数据日志分析的网站入侵检测方法,所述方法包括以下步骤:
采集预设时间段内的web日志,将采集的web日志按照访问者IP进行聚合;
将访问者IP与IP白名单进行匹配,筛选出未在IP白名单内的待检测IP;
分析待检测IP对应的web日志,使用自定义的风险模型分别计算各项请求参数的风险值,并根据计算的风险值综合判定待检测IP的危险等级;
当判定出待检测IP的危险等级达到指定等级时,将其判定为可疑IP。
作为本发明技术方案的进一步改进,所述步骤筛选出未在IP白名单内的待检测IP之后还包括:
将待检测IP与IP黑名单进行匹配,若匹配成功,则将其判定为可疑IP。
作为本发明技术方案的进一步改进,所述步骤分析待检测IP对应的web日志之前还包括:
统计所有待检测IP的访问请求总量,筛选出访问请求次数超过请求阈值的待检测IP。
作为本发明技术方案的进一步改进,所述步骤使用自定义的风险模型分别计算各项请求参数的风险值,包括:
对预设时间段内的待检测IP的web日志分别按各项请求参数进行聚合;
分别统计分析各项请求参数对应的web日志聚合情况;
根据各项请求参数的web日志占比情况利用风险模型计算对应的风险值,所述风险值与web日志占比情况的换算关系可自定义设置。
作为本发明技术方案的进一步改进,所述请求参数包括待检测IP访问的域名、路径、cookie、agent以及待检测IP的位置信息。
作为本发明技术方案的进一步改进,所述风险模型可实时动态调整。
作为本发明技术方案的进一步改进,使用ElasticSearch存储web日志并进行搜索、聚合,采用异步处理方式进行统计计算。
作为本发明技术方案的进一步改进,所述危险等级与风险值的关系可自定义。
本发明的技术方案第二方面为一种计算机装置,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面的方法步骤。
本发明的技术方案第三方面为一种计算机可读存储介质,其上储存有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面的方法步骤。
本发明的有益效果体现在:
通过风险模型综合访问者IP及其访问请求信息,多方面计算访问者的入侵风险值,相比传统WAF技术对网站入侵更加准确全面,能够减少漏检或误检;由于通过web日志进行分析,无需部署到应用的上一层,减小了服务器的性能开销并且可以识别多种入侵攻击手段。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1所示为根据本发明的第一实施例的示意图;
图2所示为根据本发明的第二实施例的示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
如图1所示,所示为根据本发明技术方案的一种实施例,包括如下步骤:
S100、采集预设时间段内的web日志,将采集的web日志按照访问者IP进行聚合;
S200、将访问者IP与IP白名单进行匹配,筛选出未在IP白名单内的待检测IP;
S300、分析待检测IP对应的web日志,使用自定义的风险模型分别计算各项请求参数的风险值,并根据计算的风险值综合判定待检测IP的危险等级;
S400、当判定出待检测IP的危险等级达到指定等级时,将其判定为可疑IP。
具体的,这里采集最近5分钟的所有web日志,在web日志中,每条日志通常代表着用户的一次访问行为,例如下面就是一条典型的apache日志:
211.87.152.44–-[18/Mar/2005:12:21:42+0800]“GET/HTTP/1.1”200 899“http://www.baidu.com/”“Mozilla/4.0(compatible;MSIE 6.0;Windows NT 5.1;Maxthon)”
可以看到,从日志中可以得到很多有用的信息,例如访问者的IP、访问的时间、访问的目标网页、来源的地址以及访问者所使用的客户端的UserAgent信息等。为了减少工作量,首先将访问者IP与网站的IP白名单进行匹配,若匹配成功,则说明该IP为正常访问者,直接跳过检测,若匹配不成功,则记录下来进一步检测判断;另外,如果网站曾被入侵过,通常会将入侵者IP加入网站的IP黑名单,因此,还可以将访问者IP与网站的IP黑名单匹配,若匹配成功,则直接将该访问者判定为可疑IP,通过风险模型计算出一个风险值(关于风险值的计算式或关联式可以自定义);若所检测的访问者IP既不在白名单也不在黑名单,则继续对这些IP的其他请求信息进行综合分析;通常一个入侵者要入侵网站,其访问请求量会达到一定请求量阈值(该阈值可以根据实际情况自定义设置),这里为了能够方便统计、聚合、分类、关联等操作,将所有web日志存储到ElasticSearch(一个基于Lucene的搜索服务器,它提供了一个分布式多用户能力的全文搜索引擎),使用Python脚本读取采集的所有web日志,并按照访问者IP进行聚合,如此,便可以统计出每个访问者IP的访问请求量,记录下访问请求量超过请求量阈值的IP地址,对这些IP地址发出的访问请求做进一步分析,按照风险模型根据访问的总次数不同给予不同的初始风险值。
单纯通过IP地址的分析判定危险等级,其可靠性较低,为了增加入侵检测的准确率,还需要综合多方面参数进行分析计算,这里使用自定义的风险模型进行计算,具体的利用请求参数计算风险值的一种实施例,在上述实施例的基础上进行了一定改进,如图2所示,包括如下步骤:
S100、采集预设时间段内的web日志,将采集的web日志按照访问者IP进行聚合;
S200、将访问者IP与IP白名单进行匹配,筛选出未在IP白名单内的待检测IP;
S201、筛选出总请求量超过预设请求阈值的待检测IP;
S301、分析筛选出的待检测IP对应的web日志,分别按各项请求参数进行聚合;
S302、分别统计分析各项请求参数对应的web日志聚合情况;
S303、根据各项请求参数的web日志占比情况利用风险模型计算对应的风险值,并根据计算的风险值综合判定待检测IP的危险等级;
S400、当判定出待检测IP的危险等级达到指定等级时,将其判定为可疑IP。
具体的,对某一待检测IP进行分析时,通过ElasticSearch搜索此IP在过去5分钟内的所有访问日志,并通过域名进行聚合。
计算各个域名的访问占比,记录所有访问占比大于x%的域名(x的值可根据实际情况自定义设置),此IP会按照风险模型根据域名占比高低和总域名数量不同增加/减少相应的风险值。(主要逻辑是域名多会适当减分,域名少且占比高会加分,具体加/减分值可根据实际情况决定)
如果有域名访问占比超过50%,取出此域名,并通过ElasticSearch搜索此IP在此域名下的过去5分钟内的所有web日志,并通过URL_PATH(网址地址域名后面部分)进行聚合。记录所有访问占比大于x%的URL_PATH,此IP会按照风险模型根据URL_PATH占比高低和URL_PATH的数量不同增加/减少相应的风险值。(主要逻辑是URL_PATH个数多会适当减分,个数少会加分)
通过ElasticSearch搜索此IP在过去5分钟内的所有web日志,并通过user_agent(用户浏览器信息)进行聚合,此IP会按照风险模型根据user_agent的数量不同增加/减少相应的风险值。(主要逻辑是user_agent个数多会适当减分,个数少会加分)
根据IP位置信息判断IP归属,如果IP是云厂商IP会适当增加风险值。
通过ElasticSearch搜索此IP在过去5分钟内的所有日志,按照登录会话的cookie信息进行聚合,此IP会按照风险模型根据登录状态的访问次数不同增加/减少相应的风险值。(主要逻辑是占比高减分,占比低会加分)
具体的风险值与各项请求参数下的占比情况的换算关系、危险等级的风险值评定范围均可以根据实际情况自定义设置,不做硬性限制,其用于计算风险值的风险模型可以根据误报情况实时进行调整,提高入侵检测的准确率。
检测出可疑IP后,根据其风险值综合判定危险等级,对危险等级较高的可疑IP发出的请求直接进行拦截,对危险等级一般的可疑IP,可以进一步采用人工检测的方式,减少误判概率。
本发明的数据处理采用异步处理方式,能够在不影响业务的前提下实现入侵检测,减少部署防御系统的性能开销。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的基于大数据日志分析的网站入侵检测方法和技术编程时,本发明还包括计算机本身。
计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种基于大数据日志分析的网站入侵检测方法,其特征在于,所述方法包括以下步骤:
采集预设时间段内的web日志,将采集的web日志按照访问者IP进行聚合;
将访问者IP与IP白名单进行匹配,筛选出未在IP白名单内的待检测IP;
分析待检测IP对应的web日志,使用自定义的风险模型分别计算各项请求参数的风险值,并根据计算的风险值综合判定待检测IP的危险等级;
当判定出待检测IP的危险等级达到指定等级时,将其判定为可疑IP。
2.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于,所述步骤筛选出未在IP白名单内的待检测IP之后还包括:
将待检测IP与IP黑名单进行匹配,若匹配成功,则将其判定为可疑IP。
3.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于,所述步骤分析待检测IP对应的web日志之前还包括:
统计所有待检测IP的访问请求总量,筛选出访问请求次数超过请求阈值的待检测IP。
4.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于,所述步骤使用自定义的风险模型分别计算各项请求参数的风险值,包括:
对预设时间段内的待检测IP的web日志分别按各项请求参数进行聚合;
分别统计分析各项请求参数对应的web日志聚合情况;
根据各项请求参数的web日志占比情况利用风险模型计算对应的风险值,所述风险值与web日志占比情况的换算关系可自定义设置。
5.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于:所述请求参数包括待检测IP访问的域名、路径、cookie、agent以及待检测IP的位置信息。
6.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于:所述风险模型可实时动态调整。
7.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于:使用ElasticSearch存储web日志并进行搜索、聚合,采用异步处理方式进行统计计算。
8.根据权利要求1所述的基于大数据日志分析的网站入侵检测方法,其特征在于:所述危险等级与风险值的关系可自定义。
9.一种计算机装置,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,其特征在于:所述处理器执行所述程序时实现如权利要求1-8任一项所述的方法步骤。
10.一种计算机可读存储介质,其上储存有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-8任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910294376.0A CN109831465B (zh) | 2019-04-12 | 2019-04-12 | 一种基于大数据日志分析的网站入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910294376.0A CN109831465B (zh) | 2019-04-12 | 2019-04-12 | 一种基于大数据日志分析的网站入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109831465A true CN109831465A (zh) | 2019-05-31 |
CN109831465B CN109831465B (zh) | 2020-07-10 |
Family
ID=66875060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910294376.0A Active CN109831465B (zh) | 2019-04-12 | 2019-04-12 | 一种基于大数据日志分析的网站入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109831465B (zh) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110233858A (zh) * | 2019-07-01 | 2019-09-13 | 四川长虹电器股份有限公司 | 基于云端信誉库的智能设备的风险评估方法及系统 |
CN110598404A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 安全风险监控方法、监控装置、服务器和存储介质 |
CN110851822A (zh) * | 2019-11-19 | 2020-02-28 | 东北石油大学 | 网络下载安全处理办法和装置 |
CN111489166A (zh) * | 2020-04-17 | 2020-08-04 | 支付宝(杭州)信息技术有限公司 | 风险防控方法、装置、处理设备及系统 |
CN111949992A (zh) * | 2020-08-17 | 2020-11-17 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及系统 |
CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
CN112367324A (zh) * | 2020-11-12 | 2021-02-12 | 平安科技(深圳)有限公司 | Cdn的攻击检测方法、装置、存储介质及电子设备 |
CN112565164A (zh) * | 2019-09-26 | 2021-03-26 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
CN112990792A (zh) * | 2021-05-11 | 2021-06-18 | 北京智源人工智能研究院 | 一种侵权风险自动化检测方法、装置和电子设备 |
CN113037728A (zh) * | 2021-02-26 | 2021-06-25 | 上海派拉软件股份有限公司 | 一种实现零信任的风险判定方法、装置、设备及介质 |
CN113132311A (zh) * | 2019-12-31 | 2021-07-16 | 中国移动通信集团陕西有限公司 | 异常访问检测方法、装置和设备 |
CN113542200A (zh) * | 2020-04-20 | 2021-10-22 | 中国电信股份有限公司 | 风险控制方法、装置和存储介质 |
CN114520742A (zh) * | 2022-02-21 | 2022-05-20 | 中国农业银行股份有限公司 | 访问请求的处理方法、装置及存储介质 |
WO2022134911A1 (zh) * | 2020-12-21 | 2022-06-30 | 中兴通讯股份有限公司 | 诊断方法、装置、终端及存储介质 |
CN114760106A (zh) * | 2022-03-22 | 2022-07-15 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、系统、电子设备及存储介质 |
CN114900330A (zh) * | 2022-04-07 | 2022-08-12 | 京东科技信息技术有限公司 | 一种页面防护的方法和装置 |
CN115225316A (zh) * | 2022-06-06 | 2022-10-21 | 国网河北省电力有限公司营销服务中心 | 网络应用的访问控制方法及装置 |
CN115913683A (zh) * | 2022-11-07 | 2023-04-04 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
CN116455642A (zh) * | 2023-04-21 | 2023-07-18 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与系统 |
CN116663021A (zh) * | 2023-07-25 | 2023-08-29 | 闪捷信息科技有限公司 | 机器请求行为识别方法、装置、电子设备和存储介质 |
CN116846678A (zh) * | 2023-08-10 | 2023-10-03 | 国网冀北电力有限公司张家口供电公司 | 一种高可疑ip判定方法 |
CN114760106B (zh) * | 2022-03-22 | 2024-07-09 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、系统、电子设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
CN106506527A (zh) * | 2016-12-05 | 2017-03-15 | 国云科技股份有限公司 | 一种防御udp无连接洪水攻击的方法 |
US9780995B2 (en) * | 2010-11-24 | 2017-10-03 | Logrhythm, Inc. | Advanced intelligence engine |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN108880847A (zh) * | 2017-05-16 | 2018-11-23 | 北京微影时代科技有限公司 | 一种定位故障的方法及装置 |
CN109274632A (zh) * | 2017-07-12 | 2019-01-25 | 中国移动通信集团广东有限公司 | 一种网站的识别方法及装置 |
CN109600382A (zh) * | 2018-12-19 | 2019-04-09 | 北京知道创宇信息技术有限公司 | webshell检测方法及装置、HMM模型训练方法及装置 |
-
2019
- 2019-04-12 CN CN201910294376.0A patent/CN109831465B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
US9780995B2 (en) * | 2010-11-24 | 2017-10-03 | Logrhythm, Inc. | Advanced intelligence engine |
CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
CN106506527A (zh) * | 2016-12-05 | 2017-03-15 | 国云科技股份有限公司 | 一种防御udp无连接洪水攻击的方法 |
CN108880847A (zh) * | 2017-05-16 | 2018-11-23 | 北京微影时代科技有限公司 | 一种定位故障的方法及装置 |
CN109274632A (zh) * | 2017-07-12 | 2019-01-25 | 中国移动通信集团广东有限公司 | 一种网站的识别方法及装置 |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN109600382A (zh) * | 2018-12-19 | 2019-04-09 | 北京知道创宇信息技术有限公司 | webshell检测方法及装置、HMM模型训练方法及装置 |
Non-Patent Citations (1)
Title |
---|
何鹏程,方勇: ""一种基于Web日志和网站参数的入侵检测和风险评估模型的研究"", 《信息网络安全》 * |
Cited By (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110233858A (zh) * | 2019-07-01 | 2019-09-13 | 四川长虹电器股份有限公司 | 基于云端信誉库的智能设备的风险评估方法及系统 |
CN110598404A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 安全风险监控方法、监控装置、服务器和存储介质 |
CN112565164B (zh) * | 2019-09-26 | 2023-07-25 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
CN112565164A (zh) * | 2019-09-26 | 2021-03-26 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
CN110851822A (zh) * | 2019-11-19 | 2020-02-28 | 东北石油大学 | 网络下载安全处理办法和装置 |
CN110851822B (zh) * | 2019-11-19 | 2023-06-06 | 东北石油大学 | 网络下载安全处理方法和装置 |
CN113132311A (zh) * | 2019-12-31 | 2021-07-16 | 中国移动通信集团陕西有限公司 | 异常访问检测方法、装置和设备 |
CN113132311B (zh) * | 2019-12-31 | 2023-09-19 | 中国移动通信集团陕西有限公司 | 异常访问检测方法、装置和设备 |
CN111489166A (zh) * | 2020-04-17 | 2020-08-04 | 支付宝(杭州)信息技术有限公司 | 风险防控方法、装置、处理设备及系统 |
CN113542200B (zh) * | 2020-04-20 | 2023-03-24 | 中国电信股份有限公司 | 风险控制方法、装置和存储介质 |
CN113542200A (zh) * | 2020-04-20 | 2021-10-22 | 中国电信股份有限公司 | 风险控制方法、装置和存储介质 |
CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
CN111949992B (zh) * | 2020-08-17 | 2023-09-29 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及系统 |
CN111949992A (zh) * | 2020-08-17 | 2020-11-17 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及系统 |
CN112367324B (zh) * | 2020-11-12 | 2023-09-19 | 平安科技(深圳)有限公司 | Cdn的攻击检测方法、装置、存储介质及电子设备 |
CN112367324A (zh) * | 2020-11-12 | 2021-02-12 | 平安科技(深圳)有限公司 | Cdn的攻击检测方法、装置、存储介质及电子设备 |
WO2022134911A1 (zh) * | 2020-12-21 | 2022-06-30 | 中兴通讯股份有限公司 | 诊断方法、装置、终端及存储介质 |
CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
CN113037728B (zh) * | 2021-02-26 | 2023-08-15 | 上海派拉软件股份有限公司 | 一种实现零信任的风险判定方法、装置、设备及介质 |
CN113037728A (zh) * | 2021-02-26 | 2021-06-25 | 上海派拉软件股份有限公司 | 一种实现零信任的风险判定方法、装置、设备及介质 |
CN112990792A (zh) * | 2021-05-11 | 2021-06-18 | 北京智源人工智能研究院 | 一种侵权风险自动化检测方法、装置和电子设备 |
CN112990792B (zh) * | 2021-05-11 | 2021-08-31 | 北京智源人工智能研究院 | 一种侵权风险自动化检测方法、装置和电子设备 |
CN114520742A (zh) * | 2022-02-21 | 2022-05-20 | 中国农业银行股份有限公司 | 访问请求的处理方法、装置及存储介质 |
CN114760106A (zh) * | 2022-03-22 | 2022-07-15 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、系统、电子设备及存储介质 |
CN114760106B (zh) * | 2022-03-22 | 2024-07-09 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、系统、电子设备及存储介质 |
CN114900330A (zh) * | 2022-04-07 | 2022-08-12 | 京东科技信息技术有限公司 | 一种页面防护的方法和装置 |
CN115225316A (zh) * | 2022-06-06 | 2022-10-21 | 国网河北省电力有限公司营销服务中心 | 网络应用的访问控制方法及装置 |
CN115913683A (zh) * | 2022-11-07 | 2023-04-04 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
CN115913683B (zh) * | 2022-11-07 | 2024-04-30 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
CN116455642A (zh) * | 2023-04-21 | 2023-07-18 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与系统 |
CN116455642B (zh) * | 2023-04-21 | 2023-11-21 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与系统 |
CN116663021A (zh) * | 2023-07-25 | 2023-08-29 | 闪捷信息科技有限公司 | 机器请求行为识别方法、装置、电子设备和存储介质 |
CN116663021B (zh) * | 2023-07-25 | 2023-11-03 | 闪捷信息科技有限公司 | 机器请求行为识别方法、装置、电子设备和存储介质 |
CN116846678A (zh) * | 2023-08-10 | 2023-10-03 | 国网冀北电力有限公司张家口供电公司 | 一种高可疑ip判定方法 |
CN116846678B (zh) * | 2023-08-10 | 2024-01-19 | 国网冀北电力有限公司张家口供电公司 | 一种高可疑ip判定方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109831465B (zh) | 2020-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109831465A (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
US20210073819A1 (en) | Systems for detecting application, database, and system anomalies | |
US20210248240A1 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
CN109933984B (zh) | 一种最佳聚类结果筛选方法、装置和电子设备 | |
CN111786974B (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
CN106529283B (zh) | 一种面向软件定义网络的控制器安全性定量分析方法 | |
US11916964B2 (en) | Dynamic, runtime application programming interface parameter labeling, flow parameter tracking and security policy enforcement using API call graph | |
US11886587B2 (en) | Malware detection by distributed telemetry data analysis | |
CN109344042B (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
Shin et al. | Cyber security risk analysis model composed with activity-quality and architecture model | |
CN112565164A (zh) | 危险ip的识别方法、装置和计算机可读存储介质 | |
CN113269378A (zh) | 一种网络流量处理方法、装置、电子设备和可读存储介质 | |
US11665185B2 (en) | Method and apparatus to detect scripted network traffic | |
CN105184161A (zh) | 一种针对混合模式移动应用的检测方法及装置 | |
US20200389482A1 (en) | Software application for continually assessing, processing, and remediating cyber-risk in real time | |
KR101872406B1 (ko) | 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법 | |
Rudolph et al. | Security indicators–a state of the art survey public report | |
CN111651753A (zh) | 用户行为分析系统及方法 | |
CN117421761B (zh) | 一种数据库数据信息安全监视方法 | |
Tomaszewski et al. | Situation-Aware Malware Detection on Windows OS Based on Environmental Information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |