CN109845228B - 用于实时检测网络黑客攻击的网络流量记录系统及方法 - Google Patents
用于实时检测网络黑客攻击的网络流量记录系统及方法 Download PDFInfo
- Publication number
- CN109845228B CN109845228B CN201880002128.8A CN201880002128A CN109845228B CN 109845228 B CN109845228 B CN 109845228B CN 201880002128 A CN201880002128 A CN 201880002128A CN 109845228 B CN109845228 B CN 109845228B
- Authority
- CN
- China
- Prior art keywords
- log
- server
- network
- information
- fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 44
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 230000000903 blocking effect Effects 0.000 claims abstract description 12
- 238000001514 detection method Methods 0.000 claims description 45
- 238000012546 transfer Methods 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 24
- 238000006243 chemical reaction Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 14
- 230000002776 aggregation Effects 0.000 claims description 13
- 238000004220 aggregation Methods 0.000 claims description 13
- 238000000354 decomposition reaction Methods 0.000 claims description 9
- 238000012360 testing method Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 230000006835 compression Effects 0.000 claims description 6
- 238000007906 compression Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 230000003068 static effect Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 101150108030 ppiD gene Proteins 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- -1 uid Proteins 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及黑客攻击检测技术,更具体地,涉及用于实时分析网络流量以应对网络黑客攻击的记录技术。根据本发明的一实施例,可通过在作为远程系统的云服务器执行网络流量分析而不是产生包或日志的相应服务器检测和阻止系统攻击的系统,来提供与网络防火墙类似的效果的服务。
Description
技术领域
本发明涉及黑客攻击检测技术,更具体地,涉及用于分析网络流量以对应网络黑客攻击的记录技术。
背景技术
最近,利用服务器漏洞的攻击以零日攻击进行,该攻击可以通过网络应用程序中的漏洞简单快速地入侵服务器。
防御网络应用程序漏洞攻击的常见产品是网络防火墙(WAF,Web ApplicationFirewall)。网络应用程序防火墙检测并阻止针对开放系统互连参考模型(Open SystemsInterconnection Reference Model)的网络应用程序的黑客攻击。现有网络防火墙(WAF)从主机服务器或反向代理(从实际网络服务器前端接收和传输所有流量的装置)分析网络应用程序流量,以检测和阻止攻击。
在主机服务器分析并阻止流量的网络防火墙存在降低主机服务器的性能的缺点。相反地,基于反向代理(Reverse Proxy)的网络防火墙由于在主机服务器分离了分析过程,虽然不存在如上所述的性能问题,但是在普及了云服务的环境中,存在因其结构而限制使用的缺点。其中,云服务是利用云计算(Cloud Computing)的服务,而云计算是一种基于互联网的计算,这意味着利用连接到互联网而不是自己的计算机的另一台计算机处理信息的技术。并且,云服务器还意味着用于实现云计算的服务器。
并且,在检测黑客攻击中,网络防火墙使用基于特征(signiture)的分析。特征分析作为在流量中查找已登记的特征,具有以下问题。第一,基于特征的分析需要登记许多特征,以便应对误报等的问题,但是随着特征的增加,检测速度变慢。第二,基于特征的分析无法检测未登记的新攻击。
由于网络防火墙的这些问题,很有可能网络防火墙无法检测并阻止网站管理权限(web shell)等的恶意代码,因而使其入侵网络服务器内部。
与本发明相关的现有技术文献有专利授权10—1417671号(2014年07月02日)。
发明内容
技术课题
本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法:将利用超文本传输协议/超文本传输协议安全(HTTP/HTTPS)协议的网络流量存储为日志后,向云服务器立即传输相应日志或在存储器中向云服务器立即传输流量,以便通过实时分析来检测黑客攻击,从而检测通过网络防火墙的黑客攻击并应对网络服务器黑客攻击。
本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法:能够在云服务器分析与来自网络流量(包)的黑客攻击有关的检测,因此与在网络服务器的性能问题相比,更易于检测来自大容量日志的黑客攻击。
本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法:收集包括向上电自检—主体(POST—BODY)、回应—主体(RESPONSE—BODY)传输的数据的网络流量信息,并按照字段分解,将其转发至云服务器以在云服务器进行分析。
本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法:在云服务器通过按照字段分解网络流量信息,生成对应字段的指纹来快速检测攻击,并可扩展可检测的攻击的范围。
解决课题手段
根据本发明的一个方面,提供网络流量记录系统。
根据本发明一实施例的网络流量记录系统可包括:日志设置部,用于执行从网络服务器及网络服务器操作系统中的至少一个收集日志的设定;日志聚合部,用于生成包括根据上述设定收集的上述日志的日志信息;以及日志传输部,用于向云服务器传输上述日志信息。
根据一实施例,云服务器可包括:日志分解部,按照字段分解上述日志信息;指纹生成部,用于生成对应字段的指纹;以及检测部,在上述指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下,生成包括源互联网协议(IP)地址的检测信息。
根据一实施例,通过指纹,以与日志信息所包含的单词及包含单词的字段相对应的方式将单词转换为预先指定的转换字符,以与所有数字相对应的方式将日志信息所包含的数字串转换为转换字符。
根据一实施例,在指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下,检测部可通过基于特征的攻击检测方式来检测对应于日志信息的攻击。
根据一实施例,日志设置部可执行如下的设置:收集包括传输到上电自检—主体、回应—主体的数据的日志,收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志。
根据一实施例,网络流量记录系统可嵌入网络服务器程序并执行用于生成由网络服务器及网络服务器的操作系统中的至少一个产生的日志的日志设置,根据日志设置生成及聚合日志,以便向云服务器传输所生成的日志信息。
根据一实施例,网络流量记录系统由与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块形成,并可向上述云服务器传输所生成的上电自检—主体、回应—主体日志信息。
根据一实施例,网络流量记录系统由在相对于客户端的请求向网络服务器传输流量的过程中,通过位于中间来首先接收客户端的请求,再将其流量传输到网络服务器的反向代理服务器形成,可向上述云服务器传输通过收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。
根据一实施例,在网络流量记录系统中,使用端口镜像技术在单独的网络流量日志服务器聚合客户端与网络服务器之间的流量,并可向上述云服务器传输通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。
根据一实施例,日志设置部可提供如下的功能设置:根据安全原则预先设置的敏感数据通过转换为星号(asterisk,*)等的特殊字符或加密,使得原始数据无法被识别,或需要进行加密,使得具有私钥(秘钥)才可以进行解码。并且,可提供预先检测敏感数据来进行推荐的设置,以通过预先监测上述敏感数据来防止上述敏感数据存储为明文。
根据一实施例,日志设置部可提供使其由从网络流量或日志预先定义的形态的样式(格式)构成的设置。
根据一实施例,在日志聚合部中,可根据日志设置部的设置,敏感数据可转换为星号(asterisk,*)等的特殊字符或被加密,根据日志设置部的设置,通过敏感数据推荐系统选择敏感数据并将其记录在单独的文件。
根据一实施例,在日志聚合部中,根据日志设置部的协议设置,在超文本传输协议(80)的情况下,支持一般明文分析,在超文本传输协议安全(443)的情况下,利用网络服务器的认证书和私钥(Private Key)或秘钥(Secret Key)来将密文转换为明文,以存储日志。
根据一实施例,在日志传输部中,在传输由日志聚合部聚合的日志的情况下,为了减少传输量而提供选项,使得对于未执行程序执行的静态文件可例外进行传输,对于压缩和非压缩、加密和非加密也可提供选项。
根据本发明的另一方面,提供用于在网络流量记录系统实时检测网络黑客攻击的网络流量记录方法。
根据本发明一实施例的网络流量记录方法包括:执行用于收集日志的设置的步骤;生成包括根据上述设置收集的上述日志的日志信息的步骤;以及向上述云服务器传输上述日志信息的步骤。执行用于收集日志的设置的步骤可以是执行用于收集包括传输到上电自检—主体、回应—主体的数据的日志以及收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志的设置的步骤。
根据一实施例,可包括云服务器生成对应于日志信息的指纹的步骤;云服务器通过分析指纹来生成检测信息的步骤;以及根据检测信息阻止来自日志信息的源互联网协议(IP)地址的访问的步骤。
根据一实施例,云服务器生成对应于日志信息的指纹的步骤可包括按照字段分解日志信息的步骤以及生成对应字段的指纹的步骤。
根据一实施例,云服务器通过分析指纹来生成检测信息的步骤可以是在指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下,生成包括源互联网协议地址的检测信息的步骤。
根据一实施例,通过指纹,以与日志信息所包含的单词及包含单词的字段相对应的方式将单词转换为预先指定的转换字符,以与所有数字相对应的方式将日志信息所包含的数字串转换为转换字符。
根据一实施例,还包括在指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下通过基于特征的攻击检测方式来检测对应于日志信息的攻击的步骤。
根据一实施例,在网络流量记录系统中,可包括嵌入网络服务器的模块,或包括与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块,或包括设置在相对于客户端的请求向网络服务器传输流量的过程中,通过位于中间来首先接收客户端的请求,再将流量传输到网络服务器的反向代理服务器的模块,或包括使用端口镜像技术聚合客户端与网络服务器之间的流量的单独的网络流量日志服务器,以便通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成上电自检—主体、回应—主体日志。
发明的效果
如上所述,根据本发明一实施例,在网络流量分析中,并非在设置于网络服务器的模块分析网络流量,而是将其传输到独立于产生日志的网络服务器的远程系统的云服务器并进行分析,从而解决了网络服务器的性能问题,提供与用于在云环境下检测并阻止网络应用程序攻击的网络防火墙类似的效果的服务。
并且,在网络流量分析中,网络流量日志设置部可设置为从网络流量或日志预先定义的形态的样式(格式)。这使得云服务器可以方便地按照字段区分日志,即使发生网络流量或日志的变化,也可最小化云服务器日志分解部的系统或程序结构的变化。
并且,根据本发明一实施例,通过收集并分析包括传输到上电自检—主体和回应—主体的数据的网络流量信息来扩展可检测的攻击的范围,并可准确判断相应攻击是否成功。
并且,由于上电自检—主体和回应—主体等的数据存储于云服务器,因而可对于在发生问题前从日志掌握问题的原因并解决问题有很大的帮助。
并且,根据本发明一实施例,通过按照字段分解日志信息,生成对应字段的指纹来快速检测攻击。
并且,根据本发明一实施例,由于将利用超文本传输协议/超文本传输协议安全协议的网络流量实时传输或存储为日志后,向云服务器传输相应日志,以便通过实时分析来检测黑客攻击,从而检测通过网络防火墙的黑客攻击并应对网络服务器黑客攻击。
并且,根据本发明一实施例,在云服务器执行基于与日志有关的特征的分析,使得主机服务器的性能不受基于特征的分析。
并且,根据本发明一实施例,网络流量记录系统可包括嵌入网络服务器的模块,与网络服务器独立的方式设置于网络服务器的模块,设置于客户端与网络服务器中间的反向代理服务器的模块或通过镜像网络服务器的端口来在独立的服务器聚合网络流量的模块。
附图说明
图1为用于说明本发明第一实施例的网络流量记录系统的图。
图2为用于说明本发明一实施例的网络流量记录系统的网络流量记录部的图。
图3为用于说明本发明一实施例的网络流量记录系统的云服务器的图。
图4为用于说明本发明一实施例的用于实时检测网络黑客攻击的网络流量记录方法及通过分析日志来进行检测的方法的图。
图5为用于说明作为本发明第二实施例的网络流量记录系统,虽然设置于网络服务器,但是以与网络服务器独立的方式进行操作的网络流量记录部的图。
图6为用于说明作为本发明第三实施例的网络流量记录系统,通过设置于反向代理来被操作的网络流量记录部的图。
图7为作为本发明第四实施例的网络流量记录系统,以端口镜像方式说明网络流量记录部的图。
具体实施方式
以下,参照附图详细说明本发明的实施例,使得本发明所属领域技术人员可以容易地实现本发明。然而,本发明可以以多种不同的形式实施,并且不应该被解释为限于这里说明的实施例。并且,当某个部分被称为“包括”某个结构要素时,在没有特别与其相反的记载情况下,应该理解它可以包括其他结构,而非排除其他结构要素。
图1为用于说明本发明第一实施例的网络流量记录系统的图。
参照图1,根据本发明第一实施例的网络流量记录系统包括网络服务器100、网络流量记录部110以及云服务器200。
网络服务器100通过网络流量记录部110执行用于生成从网络服务器及网络服务器的操作系统中的至少一个收集的日志的设置,根据日志设置生成及聚合日志,以便生成日志信息。之后,网络流量记录部110向云服务器200传输日志信息。网络流量记录部110以从云服务器200接收网络黑客攻击检测信息或自动收集相应信息的方式获取信息,并将包括在网络黑客攻击检测信息的日志的源互联网协议(IP)地址添加到阻止列表。网络服务器100或网络服务器操作系统通过网络流量记录部110阻止来自包括在阻止列表的各源互联网协议地址的访问。
更详细地,网络流量记录部110包括例如以通用日志格式(CLF,Common LogFormat)、扩展日志格式(ELF,Extended Log Format)规定的项目,生成并格式化如下的日志。
Cookie,Status,Server,Version,Request,Referer,User-Agent,Connection,Host,Accept-Encoding,Method,x-forwarded-for,Remote-addr,Uri,Cache-Control,Content-Length,Request-date,Content-Type,Request-Body(Post-Body),Response-Body(Resp-Body)
并且,作为网络流量的超文本传输协议/超文本传输协议安全(HTTP/HTTPS)协议的请求(Request)方式有GET、POST、HEAD、OPTIONS、PUT、DELETE、TRACE。为了应对网络服务器黑客攻击,网络流量记录部110在网络客户端与网络服务器之间的超文本传输协议/超文本传输协议安全协议内的所有项目中检测黑客攻击。网络流量记录部110包括上电自检—主体及回应—主体的聚合。由于黑客们以上电自检(POST)方式向正文(BODY)插入攻击数据,因而上电自检—主体分析尤为重要。并且,就攻击成功与否而言,可通过回应—主体明确判断,因此回应—主体分析也尤为重要。网络流量记录部110可通过分析插入有资料隐码攻击(SQL)、跨站点脚本(XSS,Cross Site Scripting)及网站管理权限(Web Shell)等的大部分的黑客攻击代码后转发的上电自检—主体,来检测网络黑客攻击。这种网络服务器的请求(Request)数据包括网络服务器对于请求的相应结果。其中,响应结果包括实际攻击是否成功,当攻击成功时,可实时确认哪种数据是泄露数据。上电自检—主体或回应—主体具有通常在网络服务器程序的存储器中管理并在操作结束后被删除的特征,因此通过日志分析的黑客攻击检测解决方案无法支持上电自检—主体和回应—主体的分析。
网络服务器100通过包括嵌入网络服务器程序的网络流量记录部110,并共享网络服务器程序的存储器,来以超文本传输协议/超文本传输协议安全协议的请求及响应的所有项目生成上电自检—主体和回应—主体日志,并将上电自检—主体和回应—主体日志传输到云服务器200。在超文本传输协议安全(HTTPS)协议的情况下,由于数据被加密,因此在利用网络服务器的认证书和私钥(秘钥)进行解码后,进行数据分析。
云服务器200包括多个服务器,各服务器200通过相互联动的方式分析日志信息并检测攻击。云服务器200不仅包括云服务器,还可包括远程驱动的所有系统。例如,各云服务器200以相互联动的方式按照字段分解日志信息,可生成分解的各字段有关的指纹。云服务器200可通过分析指纹来检测攻击。在没有根据指纹检测到攻击的情况下,云服务器200可通过基于特征的分析来分析日志信息。在根据基于指纹分析或基于特征分析检测攻击的情况下,云服务器200使得包括相应日志的源互联网协议地址的检测信息被传输到网络服务器100的网络流量记录部110,或使得网络流量记录部110通过周期性地连接来收集检测信息。稍后参照图3详细说明各云服务器200的详细结构。
以下,详细说明如上所述的网络流量记录系统的网络流量记录部110及云服务器200。
图2为用于说明本发明一实施例的网络流量记录系统的网络流量记录部的图。
参照图2,网络流量记录部110包括日志设置部112、日志聚合部114、日志传输部116以及互联网协议地址阻止部118。
根据本发明的第一实施例,网络流量记录部110借助网络服务器100的操作系统操作,日志设置部112、日志聚合部114、日志传输部116以及互联网协议地址阻止部118可在操作系统执行其操作。
日志设置部112执行用于生成日志的设置。例如,在通常的窗口操作系统(Window)或Linux中没有被设置记录如下的恶意行为有关的日志,上述恶意行为包括根据借助程序的执行的服务器的密码等的安全原则预先设置的敏感数据的泄露、借助向特定执行程序注入的存储器黑客攻击、借助主机(hosts)文件修改的网络钓鱼或网址嫁接攻击、黑客通过向外部的远程访问来访问服务器内部的反向连接等的恶意行为有关的日志。在窗口操作系统的情况下,日志设置部112执行日志设置,以便在高级安全审计策略中激活个体访问跟踪审计和过程跟踪审计。日志设置部112执行日志设置,以日志的方式收集通过包括转发到上电自检—主体和回应—主体的数据的所有超文本传输协议/超文本传输协议安全协议转发的数据。其中,网络服务器100所使用的超文本传输协议/超文本传输协议安全协议的方法(Method)包括GET、PUT或POST等的动词形方法、HEAD或OPTIONS等的名词形方法。例如,GET为索取一个资源的方法,POST为意味着数据需要进入服务器(生成或修改资源,或创建所要接收的临时文档的操作等)的方法。为了提高网络黑客攻击的检测能力,日志设置部112以日志的方式保留上电自检—主体和回应—主体内容。并且,日志设置部112可通过如下的方法来加强安全性:将借助上电自检—主体及回应—主体内容中,密码、个人识别号码、卡号码等的安全原则预先设定的敏感内容转换为星号(asterisk,*)等的特殊字符或加密。并且,日志设置部112以可推荐敏感内容的数据的系统,利用正规表达式,通过单独记录/pw/、/secure/、/jumin/等的可预期敏感的数据,来告知用户,从而可以预先防止敏感数据以明文的方式存储在日志而不被加密。
网络服务器100的窗口操作系统根据日志设置部112的日志设置高级审计策略,因此可生成如下的日志。
在这种情况下,与在通常的窗口操作系统生成的基本日志不同地,在网络流量记录部110生成的日志可包括程序运行位置(ObjectName)、程序执行信息(ProcessName)、程序执行对象形态(ObjectType)以及程序执行主体(SubjectUserName)等的与文件访问检测有关的重要信息。
并且,日志设置部112为了检测基于Linux的网站管理权限的攻击等,可通过如下的指令执行日志设置。
auditctl -a always,exit -F arch=b64 -S execve -F uid=apache
在这种情况下,Linux操作系统可生成如下的日志。
在这种情况下,与在通常的Linux操作系统生成的基本日志不同地,在网络流量记录部110生成的日志可包括程序运行位置(/var/www/html/wordpress)、程序执行信息(psaux、ls)、程序整体路径(/usr/bin/ps,/usr/bin/ls)以及程序信息(pid、ppid、uid、gid、euid、egid)等的与网站管理权限攻击检测有关的重要信息。
并且,网络服务器100的网络流量记录部110可以生成如下的日志,以包括网络的超文本传输协议/超文本传输协议安全协议的方法中的上电自检方式的上电自检—主体数据。
并且,网络服务器100的网络流量记录部110可生成如下的日志以包括在网络的超文本传输协议/超文本传输协议安全协议的方法中的回应—主体。
日志聚合部114聚合根据日志设置生成的日志以生成日志信息。日志聚合部114向日志传输部116传输日志信息。
日志聚合部114可根据日志设置部112的设置将敏感数据转换为星号(asterisk,*)等的特殊字符或加密,根据日志设置部112的设置通过敏感数据推荐系统选择敏感数据并记录在单独的文件。
日志聚合部114根据日志设置部112的协议设置,在超文本传输协议(HTTP)80的情况下,支持一般明文分析,在超文本传输协议安全(HTTPS)443的情况下,可利用网络服务器的认证书和私钥,将密文转换为明文并存储日志。
日志传输部116以预定格式编码日志信息并传输到云服务器200。因此,为了通过编码压缩日志信息并传输到云服务器200,日志传输部116可减少网络流量。或者,根据实现方法日志传输部116可由以日志信息以非压缩状态、以减少网络流量记录部110的资源消耗的形态实现。在这种情况下,日志传输部116可向多个云服务器200分散传输各日志信息。因此,多个云服务器200可通过并行的日志分析来执行攻击检测。
并且,在传输由日志聚合部聚合的日志的情况下,为了减少传输量,日志传输部116可提供选项,使得对于未执行程序执行的静态文件可例外进行传输,对于压缩和非压缩、加密和非加密也提供选项。例如,在请求方法中的GET的情况下,静态文件为单纯文件、图像、字体等,对于未执行程序执行的多个静态文件,日志传输部116不需要从生成的日志传输到作为分析系统的云服务器。
互联网协议地址阻止部118以从云服务器200接收或自动周期性地访问网络黑客攻击检测信息收集相应信息的方式获取信息,阻止来自包括在检测信息的源网址(SourceIP)的访问。例如,互联网协议地址阻止部118将网络黑客攻击检测信息的源互联网协议地址添加到阻止列表,可阻止对应于包括在阻止列表的各源互联网协议地址的访问。在网络流量记录部110不包括在网络服务器100,由反向代理服务器或单独的服务器形成的情况下,互联网协议地址阻止部118向网络服务器100转送包括在网络黑客攻击检测信息的源网址(Source IP)信息,以便在网络服务器100将网络黑客攻击检测信息的源互联网协议地址添加到阻止列表,或将组织列表添加到包括在操作系统的防火墙或防护墙(iptables),并阻止对应于包括在阻止列表的各源互联网协议地址的访问。
图3为用于说明本发明一实施例的网络流量记录系统的云服务器的图。
参照图3,根据本发明一实施例的云服务器200包括日志分解部210、指纹生成部220以及检测部230。
日志分解部210按照字段分解从网络服务器100的网络流量记录部110接收的日志信息。例如,日志分解部210将日志信息以Header,Request Body(Post—Body),ResponseBody(Resp—Body),Cookie等的预先设定的字段为单位进行分解。日志分解部210向指纹生成部220传输分解的日志信息(以下,称之为字段信息)。并且,日志分解部210向检测部230传输日志信息。
指纹生成部220按照字段信息生成指纹。在这种情况下,指纹为根据SQL、HTML、Javascript、网站管理权限等的字段信息的形式执行解析,并将指定的单词、数字以及字符转换为预定字符(以下,称之为转换字符)的字符串。例如,在字段信息中包括特定单词的情况下,指纹生成部220可以将相应单词转换为预定转换字符以对应相应单词,并且,在字段信息包括数字串的情况下,指纹生成部220可以将相应数字串转换为预先设置的转换字符以对应所有数字。指纹生成部220可生成依次包括对应于各单词、数字、字符的多个转换字符的指纹。在这种情况下,各个预定转换字符可根据字段信息的形式(SQL、HTML、Javascript、网站管理权限等)以不同的方式指定,以对应各单词、数字以及字符。例如,不同的转换字符可以预定,以对应包括在SQL形式的字段信息和HTML形式的字段信息的相同的单词。指纹生成部220向检测部230传输与各字段信息有关的指纹。即,指纹生成部220以特定字符表达除了资料隐码攻击(SQR)关键字和资料隐码攻击(SQR)注入中使用的字符以外的所有单词和数字,关键字或注入文中使用的多个单词/字符也可以生成由指定的字符表达的资料隐码攻击(SQR)指纹。并且,指纹生成部220可将除了HTML中使用的多个字符以外的所有单词和数字表达为特定字符,关键字中使用的多个单词/字符也可以生成由指定的字符表达的HTML指纹。并且,指纹生成部220可将除了Javascript中使用的多个字符以外的所有单词和数字表达为特定字符,关键字中使用的多个单词/字符也可以生成由指定的字符表达的Javascript指纹。并且,指纹生成部220可将除了php、asp、perl、python、bash等的在程序中使用的多个字符以外的所有单词和数字表达为特定字符,关键字中使用的多个单词/字符也可以以指纹生成指定的字符表达的网站管理权限(web shell)。
检测部230判断是否存在各指纹中对应于攻击的指纹(以下,称之为攻击指纹)。检测部230存储于包括所有黑客攻击有关的指纹的黑名单,各指纹中存在包括在黑名单内的指纹的情况下,将对应于相应黑名单的指纹判断为攻击指纹。
在各指纹中不存在攻击指纹的情况下,检测部230从日志分解部210接收日志信息,执行与日志信息有关的基于特征的攻击检测。在这种情况下,检测部230存储与预定攻击有关的特征,在日志信息中存在对应于存储的特征的情况下,可判断发生了根据相应日志信息的攻击。
在存在攻击指纹或根据基于特征的攻击检测而检测到攻击的情况下,检测部230生成包括作为分析对象的日志信息的源网址(source IP)的检测信息并保管,使得网络流量记录部110的互联网协议地址阻止部118周期性地取走或传输到网络流量记录部110的互联网协议地址阻止部118。
图4为用于说明本发明一实施例的用于实时检测网络黑客攻击的网络流量记录方法的图。
参照图4,在步骤S410中,网络服务器100的网络流量记录部110执行日志设置。
为了应对网络服务器黑客攻击,网络流量记录部110在网络客户端与网络服务器之间的超文本传输协议/超文本传输协议安全协议内的所有项目中检测黑客攻击。
网络流量记录部110以超文本传输协议/超文本传输协议安全协议方法收集以例如,转送到上电自检—主体、回应—主体的数据作为日志,并执行日志设置以便收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一个以上的日志。由于黑客们以上电自检(POST)方式向正文(BODY)插入攻击数据,因而上电自检—主体分析尤为重要。并且,就攻击成功与否而言,可通过回应—主体明确判断,因此回应—主体分析也尤为重要。例如,就资料隐码的入侵模式攻击而言,由于能够直接确认实际数据是否泄露,因此可以检测损坏和风险。作为另一种例,在跨站点脚本(XSS)攻击的情况下,可通过在GET/POST请求步骤进行检测,在云服务器的虚拟网络环境执行作为响应步骤的回应—主体并进行检测的方式来更明确地检测。其中,虚拟网络环境为类似于用户个人电脑(PC)的浏览器中执行的环境,可包括浏览器模拟器等的多种技术。
在步骤S420中,网络流量记录部110通过聚合由操作系统生成的日志来生成日志信息。
在步骤S430中,网络流量记录部110向云服务器200传输日志信息。在这种情况下,网络流量记录部110可根据预定方式编码日志信息,从而当传输日志信息时,减少网络负载,并且可以进行加密来保护数据。
在步骤S440中,云服务器200按照字段分解日志信息。例如,云服务器200可将日志信息以Header,Request Body,Response Body,URL,Cookie等的预先设置的字段为单位进行分解。
在步骤S450中,云服务器200生成按照各字段的指纹。例如,云服务器200可通过根据字段信息的形式执行解析来将指定的单词、数字以及字符转换为预定转换字符以生成指纹。
在步骤S460中,云服务器200整体指纹中判断是否存在与黑名单中的指纹相对应的攻击指纹。
在步骤S470中,在不存在攻击指纹的情况下,云服务器200通过将基于特征的攻击检测方式适用于日志信息来检测攻击。
在步骤S480中,在根据基于指纹或基于特征的攻击检测方式检测到攻击的情况下,云服务器200向网络流量记录部110传输包括对应于日志信息的源互联网协议地址的检测信息。
在步骤S490中,网络服务器100或网络流量记录部110阻止来自检测信息的源互联网协议地址的访问。例如,网络服务器100或网络流量记录部110将检测信息的源互联网协议地址添加到阻止列表,可阻止对应于包括在阻止列表的各源互联网协议地址的访问。
图5为用于说明作为本发明第二实施例的网络流量记录系统的图。
参照图5,根据本发明的第二实施例,网络流量记录部110可由与网络服务器100的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块形成。网络流量记录部110由与网络服务器100的程序独立的模块形成,生成尤其上电自检—主体和回应—主体日志作为所有项目,并可向云服务器200传输所生成的上电自检—主体和回应—主体日志。这是因为存在如下的情况,在许多商用网络服务器程序的情况下,不支持网络服务器程序的存储器共享,或因系统性能等理由无法设置嵌入商用网络服务器程序的模块。
图6为用于说明本发明第三实施例的网络流量记录系统的图。
参照图6,根据本发明的第三实施例,网络流量记录部110可由利用反向代理功能的反向代理服务器300形成。反向代理服务器300通过设置用于网络日志分析的模块或激活上电自检—主体记录功能,生成超文本传输协议/超文本传输协议安全协议的请求及响应所有项目,尤其上电自检—主体和回应—主体日志,向云服务器200实施传输上电自检—主体和回应—主体日志。其中,反向代理(Reverse Proxy)功能是指,在相对于客户端的请求向网络服务器传输流量的过程中,通过位于中间来首先接收客户端的请求,再将其流量传输到网络服务器100的方式,就服务器的响应方式而言,也是首先接收,再将其传输到客户端。由于网络流量记录部110通过反向代理服务器300实现,因而不需要在网络服务器程序直接设置模块也可以生成作为用于检测黑客攻击的重要日志的上电自检—主体和回应—主体等。在通过反向代理服务器300实现的情况下,网络流量记录部110存在如下的优点:虽然可改变客户端网络的结构,但是不需要在网络服务器设置模块。
图7为用于说明本发明第四实施例的网络流量记录系统的图。
参照图7,根据本发明的第四实施例,网络流量记录部110使用端口镜像(Portmirroring)技术,使客户端与网络服务器之间的流量不像反向代理位于中间,而是在单独的网络流量记录服务器400中,将超文本传输协议/超文本传输协议安全协议存储为日志,以支持黑客攻击检测。这是因为,需要在作为新系统操作中的系统进行变更,因添加到系统而添加故障产生点,从而增加了管理费用。
网络流量记录服务器400利用端口镜像功能在单独的服务器接收网络的流量。以日志生成所接收的超文本传输协议/超文本传输协议安全协议的请求和相应的所有项目,尤其上电自检—主体、回应—主体,或向远程云服务器传输。其中,端口镜像(PortMirroring)功能是将在网络交换机的某一端口上看到的所有网络包或整体虚拟局域网(VLAN)的所有包复制到其他监视端口的技术。如果交换机没有端口镜像功能,则利用网络分路器(TAP,Test Access Ports)设备以日志生成超文本传输协议/超文本传输协议安全协议的所有项目,尤其上电自检—主体和回应—主体,或传输到远程服务器。其中,分路器(TAP)设备是指在不中断数据流的情况下监视流量而不影响网络的设备。网络流量记录服务器400可以生成作为用于检测黑客攻击的重要的日志的上电自检—主体、回应—主体等,而无需在网络服务器程序直接设置模块。
并且,利用端口镜像技术阻止黑客在攻击网络服务器后直接操作日志并妨碍分析的攻击。
可通过多种手段实现如上所述的本发明的多个实施例。例如,本发明的多个实施例可通过网络交换机、防火墙,分路器、L4交换机、反向代理硬件设备、软件程序或其组合来实现。
并且,本发明的多个实施例可以通过硬件、固件(firmware)、软件或其组合来实现。
在基于硬件实现的情况下,根据本发明的多个实施例的方法可通过一个或一个以上的专用集成电路(ASICs,Application Specific Integrated Circuits)、数字信号处理器(DSPs,Digital Signal Processors)、数字信号处理装置(DSPDs,Digital SignalProcessing Devices)、可编程逻辑器件(PLDs,Programmable Logic Devices)、现场可编程门阵列(FPGAs,Field Programmable Gate Arrays)、处理器、控制器、微控制器、微处理器等实现。
在基于固件(firmware)或软件实现的情况下,根据本发明的多个实施例的方法可以以执行以上说明的功能或多个操作的模块、程序或函数等的形态实现。记录有软件代码等的计算机程序可以存储在计算机可读记录介质或存储器单元中,并且可以由处理器驱动。
存储器单元位于处理器内部或外部,并且可以通过已知的各种手段与处理器交换数据。
并且,附加到本发明的框图的各块和流程图的各步骤的组合可以由计算机程序指令执行。这些计算机程序指令可装载在通用计算机、专用计算机或其他可编程数据处理设备的编码处理器,因此生成通过计算机或其它可编程数据的编码处理设备的编码处理器执行的指令,用于执行该框图的各块或流程图的各步骤中说明的功能的手段。这些计算机程序指令还可以存储在计算机可用或计算机可读存储器中,该存储器能够指示计算机或其他可编程数据处理装置以特定方式实现功能,存储在计算机可用或计算机可读存储器中的指令也可以生产包含指令手段的品目,该指令手段包括用于执行在框图的各块或流程图的各步骤中说明的功能的指令手段。计算机程序指令也可以装载在计算机或其他可编程数据处理设备上,以便在计算机或其他可编程数据处理设备上执行一系列操作步骤,通过生成由计算机执行的过程,来执行计算机或其他可编程数据处理设备的指令也可以提供用于执行框图的各块及流程图的各步骤中说明的功能的步骤。
并且,各块或各步骤可以表示包括用于执行特定逻辑功能的一个以上可执行的指令的模块、段或代码的一部分。还应注意,在一些替代实施例中,多个块或多个步骤中提到的功能可能不按顺序发生。例如,连续示出的两个块或步骤实际上可以基本上同时执行,或者其块或步骤有时可以根据相应的功能以相反的顺序执行。
像这样,本领域所属领域技术人员应理解,在不脱离本发明的技术思想或必要特征的情况下,本发明可以以其他具体形式实施。因此,应该理解,上述实施例在所有方面都是例示性的,而非限制性的。本发明的范围由发明要求保护范围表示,从发明要求保护范围的意义、范围以及等同概念导出的所有变更或变形的形态都应被解释为包括在本发明的范围内。
Claims (13)
1.一种网络流量记录系统,其特征在于,包括:
日志设置部,用于执行从网络服务器及网络服务器操作系统中的至少一个收集日志的设定;
日志聚合部,用于生成包括根据上述设定收集的上述日志的日志信息;以及
日志传输部,用于向云服务器传输上述日志信息,
上述日志设置部执行如下的设置:收集包括传输到上电自检—主体、回应—主体的数据的日志,收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志,
上述云服务器包括:
日志分解部,按照字段分解上述日志信息;
指纹生成部,用于生成对应字段的指纹;以及
检测部,在上述指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下,生成包括源互联网协议地址的检测信息,
所述指纹为根据字段信息的形式执行解析,并将指定的单词、数字以及字符转换为预先指定的转换字符的字符串,
通过上述指纹,以与上述日志信息所包含的单词及包含上述单词的字段相对应的方式将上述单词转换为预先指定的转换字符,以与所有数字相对应的方式将上述日志信息所包含的数字串转换为转换字符。
2.根据权利要求1所述的网络流量记录系统,其特征在于,上述检测部在上述指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下,通过基于特征的攻击检测方式来检测对应于上述日志信息的攻击。
3.根据权利要求1所述的网络流量记录系统,其特征在于,上述网络流量记录系统嵌入网络服务器程序并执行用于生成由网络服务器及网络服务器的操作系统中的至少一个产生的日志的日志设置,根据日志设置生成及聚合日志,以便向云服务器传输所生成的日志信息。
4.根据权利要求1所述的网络流量记录系统,其特征在于,上述网络流量记录系统由与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全即HTTP/HTTPS协议的请求及响应的模块形成,并向上述云服务器传输所生成的上电自检—主体、回应—主体日志信息。
5.根据权利要求1所述的网络流量记录系统,其特征在于,上述网络流量记录系统由在按照客户端的请求向网络服务器传输流量的过程中,位于中间来接收客户端的请求,再将其传输到网络服务器的反向代理服务器形成,向上述云服务器传输通过收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。
6.根据权利要求1所述的网络流量记录系统,其特征在于,在上述网络流量记录系统中,使用端口镜像技术在单独的网络流量日志服务器聚合客户端与网络服务器之间的流量,并向上述云服务器传输通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。
7.根据权利要求1所述的网络流量记录系统,其特征在于,在上述日志设置部中,根据安全原则预先设置的敏感数据提供转换为如星号即*的特殊字符或加密的设置,并提供预先检测敏感数据来进行推荐的设置,以通过预先监测上述敏感数据来防止上述敏感数据存储为明文。
8.根据权利要求7所述的网络流量记录系统,其特征在于,在上述日志聚合部中,根据上述日志设置部的设置,敏感数据能够转换为如星号即*的特殊字符或被加密,根据日志设置部的设置,通过敏感数据推荐系统选择敏感数据并将其记录在单独的文件。
9.根据权利要求1所述的网络流量记录系统,其特征在于,在上述日志聚合部中,根据日志设置部的协议设置,在超文本传输协议(80)的情况下,支持一般明文分析,在超文本传输协议安全(443)的情况下,利用网络服务器的认证书和作为秘钥的私钥来将密文转换为明文,以存储日志。
10.根据权利要求1所述的网络流量记录系统,其特征在于,在上述日志传输部中,在传输由上述日志聚合部聚合的日志的情况下,为了减少传输量而提供选项,使得对于未执行程序执行的静态文件能够例外进行传输,对于压缩和非压缩、加密和非加密也提供选项。
11.一种网络流量记录方法,用于在网络流量记录系统中实时检测网络黑客攻击,其特征在于,包括:
执行用于收集日志的设置的步骤;
生成包括根据上述设置收集的上述日志的日志信息的步骤;以及
向云服务器传输上述日志信息的步骤,
执行用于收集上述日志的设置的步骤为如下的步骤:执行用于收集包括传输到上电自检—主体、回应—主体的数据的日志以及收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志的设置的步骤,
上述网络流量记录方法还包括:
上述云服务器按照字段分解上述日志信息的步骤;
上述云服务器生成对应于上述日志信息的指纹的步骤;
在上述指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下,上述云服务器生成包括源互联网协议地址的检测信息的步骤;以及
根据上述检测信息阻止来自上述日志信息的源互联网协议地址的访问的步骤,
所述指纹为根据字段信息的形式执行解析,并将指定的单词、数字以及字符转换为预先指定的转换字符的字符串,
通过上述指纹,以与上述日志信息所包含的单词及包含上述单词的字段相对应的方式将上述单词转换为预先指定的转换字符,以与所有数字相对应的方式将上述日志信息所包含的数字串转换为转换字符。
12.根据权利要求11所述的网络流量记录方法,其特征在于,还包括在上述指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下通过基于特征的攻击检测方式来检测对应于上述日志信息的攻击的步骤。
13.根据权利要求11所述的网络流量记录方法,其特征在于,在上述网络流量记录系统中,包括与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块,或包括在相对于客户端的请求向网络服务器传输流量的过程中,通过位于中间来首先接收客户端的请求,再将流量传输到网络服务器的反向代理服务器,或包括使用端口镜像技术聚合客户端与网络服务器之间的流量的单独的网络流量日志服务器,以便通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成上电自检—主体、回应—主体日志。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2017-0126521 | 2017-09-28 | ||
| KR1020170126521A KR101896267B1 (ko) | 2017-09-28 | 2017-09-28 | 실시간 로그 분석 기반의 공격 탐지 시스템 및 방법 |
| KR1020180038520A KR101909957B1 (ko) | 2018-04-03 | 2018-04-03 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
| KR10-2018-0038520 | 2018-04-03 | ||
| PCT/KR2018/010450 WO2019066295A1 (ko) | 2017-09-28 | 2018-09-07 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109845228A CN109845228A (zh) | 2019-06-04 |
| CN109845228B true CN109845228B (zh) | 2021-08-31 |
Family
ID=65901579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880002128.8A Active CN109845228B (zh) | 2017-09-28 | 2018-09-07 | 用于实时检测网络黑客攻击的网络流量记录系统及方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11140181B2 (zh) |
| EP (1) | EP3691217B1 (zh) |
| JP (1) | JP2019533841A (zh) |
| CN (1) | CN109845228B (zh) |
| WO (1) | WO2019066295A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG11202100631VA (en) * | 2018-09-14 | 2021-02-25 | Toshiba Kk | Communication control device |
| CN110430159B (zh) * | 2019-06-20 | 2022-01-11 | 国网辽宁省电力有限公司信息通信分公司 | 一种平台服务器防火墙策略开放范围过大预警方法 |
| US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
| CN113162761B (zh) * | 2020-09-18 | 2022-02-18 | 广州锦行网络科技有限公司 | 一种webshell监控系统 |
| CN112565269B (zh) * | 2020-12-07 | 2023-09-05 | 深信服科技股份有限公司 | 服务器后门流量检测方法、装置、电子设备及存储介质 |
| US11863526B2 (en) * | 2021-02-12 | 2024-01-02 | Paypal, Inc. | Dynamically routing network traffic between defense layers |
| WO2022219806A1 (ja) * | 2021-04-16 | 2022-10-20 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
| CN114338169B (zh) * | 2021-12-29 | 2023-11-14 | 北京天融信网络安全技术有限公司 | 请求处理方法、装置、服务器及计算机可读存储介质 |
| CN114389809B (zh) * | 2022-02-18 | 2024-05-03 | 山西清网信息技术有限公司 | 一种加密https协议的信息化网络安全防护方法 |
| CN115941555A (zh) * | 2022-05-09 | 2023-04-07 | 国家计算机网络与信息安全管理中心 | 一种基于流量指纹的app个人信息收集行为检测方法及系统 |
| CN114884844B (zh) * | 2022-06-14 | 2023-12-26 | 上海幻电信息科技有限公司 | 流量录制方法及系统 |
| CN115361444A (zh) * | 2022-08-18 | 2022-11-18 | 中国工商银行股份有限公司 | 流量数据分析方法、装置及系统 |
| CN116248413B (zh) * | 2023-05-09 | 2023-07-28 | 山东云天安全技术有限公司 | 一种webshell文件的流量检测方法、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008117267A (ja) * | 2006-11-07 | 2008-05-22 | Yafoo Japan Corp | 閲覧履歴提供システム、閲覧履歴提供装置、閲覧履歴提供方法、および閲覧履歴提供プログラム |
| CN101459503A (zh) * | 2007-12-12 | 2009-06-17 | 华为技术有限公司 | 一种实现数据同步的方法和装置 |
| US8078777B2 (en) * | 2004-04-15 | 2011-12-13 | Clearpath Networks, Inc. | Systems and methods for managing a network |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
| CN105357584A (zh) * | 2015-12-11 | 2016-02-24 | Tcl集团股份有限公司 | 一种基于智能电视的用户行为日志分类上传方法及系统 |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4242852B2 (ja) * | 2005-04-22 | 2009-03-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ログ集計支援装置、ログ集計支援システム、ログ集計支援プログラム、およびログ集計支援方法 |
| KR101005866B1 (ko) * | 2008-09-03 | 2011-01-05 | 충남대학교산학협력단 | 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템 |
| US9106680B2 (en) * | 2011-06-27 | 2015-08-11 | Mcafee, Inc. | System and method for protocol fingerprinting and reputation correlation |
| JP2013137740A (ja) * | 2011-11-28 | 2013-07-11 | Internatl Business Mach Corp <Ibm> | 機密情報識別方法、情報処理装置、およびプログラム |
| EP2953298B1 (en) * | 2013-01-30 | 2018-03-21 | Nippon Telegraph and Telephone Corporation | Log analysis device, information processing method and program |
| US9244755B2 (en) * | 2013-05-20 | 2016-01-26 | Vmware, Inc. | Scalable log analytics |
| KR101417671B1 (ko) | 2013-08-16 | 2014-07-09 | (주)유틸리온 | 센서 네트워크상의 보안관리 및 공격탐지 시스템 |
| US10164846B2 (en) * | 2014-03-28 | 2018-12-25 | Fortinet, Inc. | Network flow analysis |
| JP6357093B2 (ja) * | 2014-12-11 | 2018-07-11 | Tis株式会社 | ログ解析方法、ログ解析プログラム及びログ解析装置 |
| US9578063B1 (en) * | 2015-11-20 | 2017-02-21 | International Business Machines Corporation | Application self-service for assured log management in cloud environments |
-
2018
- 2018-09-07 CN CN201880002128.8A patent/CN109845228B/zh active Active
- 2018-09-07 JP JP2018549535A patent/JP2019533841A/ja not_active Withdrawn
- 2018-09-07 WO PCT/KR2018/010450 patent/WO2019066295A1/ko unknown
- 2018-09-07 US US16/097,624 patent/US11140181B2/en active Active
- 2018-09-07 EP EP18862951.3A patent/EP3691217B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8078777B2 (en) * | 2004-04-15 | 2011-12-13 | Clearpath Networks, Inc. | Systems and methods for managing a network |
| JP2008117267A (ja) * | 2006-11-07 | 2008-05-22 | Yafoo Japan Corp | 閲覧履歴提供システム、閲覧履歴提供装置、閲覧履歴提供方法、および閲覧履歴提供プログラム |
| CN101459503A (zh) * | 2007-12-12 | 2009-06-17 | 华为技术有限公司 | 一种实现数据同步的方法和装置 |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
| CN105357584A (zh) * | 2015-12-11 | 2016-02-24 | Tcl集团股份有限公司 | 一种基于智能电视的用户行为日志分类上传方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019066295A1 (ko) | 2019-04-04 |
| US20210226967A1 (en) | 2021-07-22 |
| EP3691217A1 (en) | 2020-08-05 |
| CN109845228A (zh) | 2019-06-04 |
| JP2019533841A (ja) | 2019-11-21 |
| EP3691217A4 (en) | 2021-05-12 |
| US11140181B2 (en) | 2021-10-05 |
| EP3691217B1 (en) | 2023-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109845228B (zh) | 用于实时检测网络黑客攻击的网络流量记录系统及方法 | |
| Cabaj et al. | Software-defined networking-based crypto ransomware detection using HTTP traffic characteristics | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| JP6106780B2 (ja) | マルウェア解析システム | |
| Kartaltepe et al. | Social network-based botnet command-and-control: emerging threats and countermeasures | |
| Bortolameotti et al. | Decanter: Detection of anomalous outbound http traffic by passive application fingerprinting | |
| Thakur et al. | Content sniffing attack detection in client and server side: A survey | |
| US20150082424A1 (en) | Active Web Content Whitelisting | |
| KR101909957B1 (ko) | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 | |
| CN110855659A (zh) | redis蜜罐部署系统 | |
| Jingyao et al. | Securing a network: how effective using firewalls and VPNs are? | |
| Carter et al. | Intrusion prevention fundamentals | |
| Atapour et al. | Modeling Advanced Persistent Threats to enhance anomaly detection techniques | |
| Bouziani et al. | A comparative study of open source idss according to their ability to detect attacks | |
| KR101865690B1 (ko) | Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법 | |
| Jogdand et al. | Survey of different IDS using honeytoken based techniques to mitigate cyber threats | |
| Ngongang | Cloud Computing Security | |
| Thakar et al. | Reverse engineering of botnet (APT) | |
| Narain | Ransomware-Rising Menace to an Unsuspecting Cyber Audience | |
| Kshirsagar et al. | Exploring usage of ontology for HTTP response splitting attack | |
| Mahmood et al. | Securing Industrial Internet of Things (Industrial IoT)-A Reviewof Challenges and Solutions | |
| Ghasemshirazi et al. | Gitcbot: A novel approach for the next generation of c&c malware | |
| Wu et al. | General precautions against security threats for computer networks in SMEs: from the perspective of big data and IOT | |
| Ussath et al. | Insights into Encrypted Network Connections: Analyzing Remote Desktop Protocol Traffic | |
| Falguni et al. | 'E-SPY': DETECTION AND PREDICTION OF WEBSITE ATTACKS. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |