CN110225062A - 一种监控网络攻击的方法和装置 - Google Patents
一种监控网络攻击的方法和装置 Download PDFInfo
- Publication number
- CN110225062A CN110225062A CN201910585838.4A CN201910585838A CN110225062A CN 110225062 A CN110225062 A CN 110225062A CN 201910585838 A CN201910585838 A CN 201910585838A CN 110225062 A CN110225062 A CN 110225062A
- Authority
- CN
- China
- Prior art keywords
- information
- http
- accessing request
- request information
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种监控网络攻击的方法和装置,所述方法包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。首先,从网络流量镜像信息中提取的HTTP应用信息是非常完整的,可检测内容较多,提高了检测的准确性。其次,提高了检测的时效性,可以在WEB攻击发生同时实时检测。再次,系统可以通过服务器的响应内容判定WEB攻击是否成功,并及时阻断及预警,防止事态恶化。同时,降低了管理成本。
Description
技术领域
本申请涉及网络安全领域,具体涉及监控网络攻击的方法,以及监控网络攻击的装置。
背景技术
WEB渗透攻击是指黑客针对WEB服务的攻击行为。目前主要的方式有:sql注入,利用xss漏洞,利用csrf漏洞,利用文件上传漏洞,利用敏感文件下载漏洞,及利用各种三方组件漏洞等。
当前检测WEB渗透攻击的方式主要是分析WEB访问日志。首先,准确性低,WEB访问日志里的信息是精简过的文本信息,其信息量较少,有些WEB渗透攻击无法仅从日志进行判断。其次,管理成本高,一般大中型企业的web服务器较多,如分析日志需要依赖优秀的日志管理系统,从而增加了企业的管理成本。再次,时效性差,一般发现攻击时攻击已经结束,无法及时响应。
发明内容
本申请提供一种监控网络攻击的方法,一种监控网络攻击的装置;以解决当前采用分析WEB访问日志检测WEB渗透攻击准确性低的问题。
为了解决上述技术问题,本申请实施例提供了如下的技术方案:
本申请提供了一种监控网络攻击的方法,包括:
根据网络流量镜像信息获取HTTP访问请求信息;
基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
可选的,所述根据网络流量镜像信息获取HTTP访问请求信息,包括:
根据网络流量镜像信息获取访问请求信息;
判断所述访问请求信息是否与HTTP协议的特征信息相关联;
若是,则判定所述访问请求信息为HTTP访问请求信息。
可选的,所述判断所述访问请求信息是否与HTTP协议的特征信息相关联,包括:
判断所述访问请求信息的报文头的起始位置的字符串信息是否与HTTP协议的请求方法信息匹配,且判断所述访问请求信息的报文头的第一行信息是否满足预设条件。
可选的,所述判断所述访问请求信息的报文头的第一行信息是否满足预设条件,包括:
获取所述访问请求信息的报文头的第一行信息;
判断所述第一行信息是否被空格符分割成三段信息,且判断第三段信息是否匹配预设正则表达式。
可选的,所述基于攻击特征信息对所述HTTP访问请求信息进行分析,包括:
依次从攻击特征信息集中获取攻击特征信息,并分别根据所述攻击特征信息对所述HTTP访问请求信息进行分析。
可选的,所述根据所述攻击特征信息对所述HTTP访问请求信息进行分析,包括:
根据所述攻击特征信息及多模匹配规则对所述HTTP访问请求信息进行分析。
可选的,所述操作信息,包括:防御信息和安全信息;所述攻击特征信息,包括:第一特征信息和防御信息;
所述根据分析结果获取对所述HTTP访问请求信息的操作信息,包括:
如果所述HTTP访问请求信息与所述攻击特征信息集中攻击特征信息的第一特征信息相关联,则获取与所述第一特征信息相关联的防御信息,否则获取安全信息。
可选的,所述防御信息,包括根据攻击程度划分的分类防御信息;
所述方法还包括:
根据所述分类防御信息进行对应的防御操作。
可选的,所述分类防御信息包括:预警类信息和阻断类信息;
所述根据所述分类防御信息进行对应的防御操作,包括:
获取并分析所述分类防御信息;
当所述分类防御信息为所述预警类信息,则发送警告信息;
当所述分类防御信息为所述阻断类信息,则向所述HTTP访问请求信息的发送方和接收方分别发送旁路阻断信息。
本申请提供了一种监控网络攻击的装置,包括:
获取信息单元,用于根据网络流量镜像信息获取HTTP访问请求信息;
分析信息单元,用于基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
基于上述实施例的公开可以获知,本申请实施例具备如下的有益效果:
本申请提供了一种监控网络攻击的方法和装置,所述方法包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。首先,从网络流量镜像信息中提取的HTTP应用信息是非常完整的,可检测内容较多,提高了检测的准确性。其次,提高了检测的时效性,可以在WEB攻击发生同时实时检测。再次,系统可以通过服务器的响应内容判定WEB攻击是否成功,并及时阻断及预警,防止事态恶化。同时,降低了管理成本。
附图说明
图1为本申请实施例提供的监控网络攻击的方法的流程图;
图2为本申请实施例提供的监控网络攻击的装置的单元框图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所公开的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请提供一种监控网络攻击的方法;本申请还提供一种监控网络攻击的装置;本申请还提供一种监控网络攻击的计算机可读介质;本申请还提供一种监控网络攻击的电子设备。在下面的实施例中逐一进行详细说明。
对本申请提供的第一实施例,即一种监控网络攻击的方法的实施例。
下面结合图1对本实施例进行详细说明,其中,图1为本申请实施例提供的监控网络攻击的方法的流程图。
步骤S101,根据网络流量镜像信息获取HTTP访问请求信息。
WEB渗透攻击是指黑客利用HTTP访问请求信息针对WEB服务的攻击行为。目前主要的方式有:sql注入,利用xss漏洞,利用csrf漏洞,利用文件上传漏洞,利用敏感文件下载漏洞,及利用各种三方组件漏洞等。
网络流量镜像信息是指通过交换机或分光设备将所有流经的原始网络的流量信息全部复制并发送到指定的设备端口。这样可以在不改动企业现有网络架构的基础上,通过分析镜像网络流量信息,监控网络设备的网络行为。
由于网络流量镜像信息中的HTTP应用信息非常完整,本应用实施例从网络流量镜像信息中可获取更多的检测内容,从而提高了检测的准确性。
本实施例就是对
所述根据网络流量镜像信息获取HTTP访问请求信息,包括:
步骤S101-1,根据网络流量镜像信息获取访问请求信息。
所述访问请求信息也就是由被监控的网络设备以外的终端通过互联网发送给该网络设备的数据包。
由于访问请求信息在传输过程中被分成一个个访问请求分包信息(即数据分包信息)在网络中传输。流量镜像信息也就是一个个数据分包信息,为了获取访问请求信息,还包括以下步骤:
步骤S101-1-1,根据所述网络流量镜像信息获取访问请求分包信息。
步骤S101-1-2,根据所述访问请求分包信息的分包头部信息重组所述数据分包信息,获取访问请求信息。
访问请求信息,包括:HTTP访问请求信息、fdp访问请求信息、SMTP访问请求信息、POP3访问请求信息以及IMAP4访问请求信息等。其中,只有HTTP访问请求信息中包含WEB渗透攻击的信息,因此,要监控WEB渗透攻击,需要从众多类型的访问请求信息中找到HTTP访问请求信息。
步骤S101-2,判断所述访问请求信息是否与HTTP协议的特征信息相关联。
本步骤的目的就是要从众多类型的访问请求信息中找到HTTP访问请求信息。
具体包括以下步骤:
步骤S101-2-1,判断所述访问请求信息的报文头的起始位置的字符串信息是否与HTTP协议的请求方法信息匹配,且判断所述访问请求信息的报文头的第一行信息是否满足预设条件。
通常数据包包括两个部分:报文头和报文体。
报文头根据传输协议的不同而不同,但是同一传输协议或同一传输协议的访问请求报文头具有相同的信息格式。例如,HTTP访问请求信息的报文头的信息格式相同,HTTP响应信息的报文头的信息格式相同。通过报文头可以获取传输协议的信息。
HTTP协议的请求方法信息,包括:GET、POST、HEAD、PUT、DELETE、CONNECT、SEARCH或NOTIFY。
如果在报文头的起始位置的字符串信息不能与HTTP协议的请求方法信息匹配,则可以判定所述访问请求信息不是HTTP访问请求信息。
如果匹配,则还要判断所述访问请求信息的报文头的第一行信息是否满足预设条件,包括以下步骤:
步骤S101-2-1-1,获取所述访问请求信息的报文头的第一行信息。
步骤S101-2-1-2,判断所述第一行信息是否被空格符分割成三段信息,且判断第三段信息是否匹配预设正则表达式。
可选的,所述预设正则表达式为http/\d\.\d。
例如,所述第一行信息为:GET/test/hi-there.txt HTTP/1.1;空格符将第一行信息分成三段信息:第一段信息为GET,第二段信息为/test/hi-there.txt,第三段信息为HTTP/1.1;第三段信息HTTP/1.1与预设正则表达式http/\d\.\d匹配。
步骤S101-3,若是,则判定所述访问请求信息为HTTP访问请求信息。
步骤S102,基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
所述基于攻击特征信息对所述HTTP访问请求信息进行分析,包括:
步骤S102-1,依次从攻击特征信息集中获取攻击特征信息,并分别根据所述攻击特征信息对所述HTTP访问请求信息进行分析。
特征信息集是保存所有攻击类型的攻击特征信息的数据集合。例如,特征信息集是数据库或数据文件,数据库中的一条记录就存储着一种攻击类型的特征信息。
一条攻击特征信息可以是一种攻击类型的一个特征信息,也可以是一种攻击类型的多个特征信息。
一个特征信息包括:匹配的字段名称、匹配内容和匹配位置。
可选的,所述根据所述攻击特征信息对所述HTTP访问请求信息进行分析,包括:
步骤S102-1-1,根据所述攻击特征信息及多模匹配规则对所述HTTP访问请求信息进行分析。
多模匹配规则具体是指Aho-Corasick多模匹配算法。
在信息匹配过程中通过简单的正则表达式和字符串查找的方式效率太低,每次都要遍历一次字符串。而Aho-Corasick多模匹配算法的核心思想就是避免不必要的回溯使搜索一直沿着向前的方向,最大可能的减小了时间复杂度,而且与关键字的字数和长度无关。提高了匹配效率。
可选的,所述操作信息,包括:防御信息和安全信息;所述攻击特征信息,包括:第一特征信息和防御信息。
也就是在攻击特征信息集中一条攻击特征信息不仅包括一种攻击类型的特征信息(即第一特征信息),还包括了与攻击类型相关联的防御信息。当根据第一特征信息确定攻击类型后,也就相应的获取了对该攻击类型的防御信息。
进一步的,所述根据分析结果获取对所述HTTP访问请求信息的操作信息,包括以下步骤:
步骤102-2,如果所述HTTP访问请求信息与所述攻击特征信息集中攻击特征信息的第一特征信息相关联,则获取与所述第一特征信息相关联的防御信息,否则获取安全信息。
为了对捕获的攻击信息进行及时和有效的防范。本实施例进一步的,所述防御信息,包括根据攻击程度划分的分类防御信息。
所述方法还包括:
步骤103,根据所述分类防御信息进行对应的防御操作。
例如,所述分类防御信息包括:预警类信息和阻断类信息。
所述根据所述分类防御信息进行对应的防御操作,包括:
步骤103-1,获取并分析所述分类防御信息。
步骤103-2,当所述分类防御信息为所述预警类信息时,则发送警告信息。
例如,警告信息是发出声音报警,或是发送报警邮件,以便提醒被监控的网络设备的管理人员及时应对网络攻击。
步骤103-3,当所述分类防御信息为所述阻断类信息时,则向所述HTTP访问请求信息的发送方和接收方分别发送旁路阻断信息。
旁路阻断就是伪装成客户机或者服务器的IP地址和mac地址,给另一方发送reset数据包。从而欺骗所述HTTP访问请求信息的发送方(即攻击方)停止攻击,欺骗所述HTTP访问请求信息的接收方(即被监控的网络设备方)停止响应攻击方的请求。
本申请实施例,首先,从网络流量镜像信息中提取的HTTP应用信息是非常完整的,可检测内容较多,提高了检测的准确性。其次,提高了检测的时效性,可以在WEB攻击发生同时实时检测。再次,系统可以通过服务器的响应内容判定WEB攻击是否成功,并及时阻断及预警,防止事态恶化。同时,降低了管理成本。
与本申请提供的第一实施例相对应,本申请还提供了第二实施例,即一种监控网络攻击的装置。由于第二实施例基本相似于第一实施例,所以描述得比较简单,相关的部分请参见第一实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
图2示出了本申请提供的一种监控网络攻击的装置的实施例。图2为本申请实施例提供的监控网络攻击的装置的单元框图。
请参见图2所示,本申请提供一种监控网络攻击的装置,包括:获取信息单元201,分析信息单元202。
获取信息单元201,用于根据网络流量镜像信息获取HTTP访问请求信息;
分析信息单元202,用于基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
可选的,在所述获取信息单元201中,包括:
获取信息子单元,用于根据网络流量镜像信息获取访问请求信息;
判断信息子单元,用于判断所述访问请求信息是否与HTTP协议的特征信息相关联;
判定信息子单元,用于若所述判断信息子单元的输出结果为“是”,则判定所述访问请求信息为HTTP访问请求信息。
可选的,在所述判断信息子单元中,包括:
判断条件子单元,用于判断所述访问请求信息的报文头的起始位置的字符串信息是否与HTTP协议的请求方法信息匹配,且判断所述访问请求信息的报文头的第一行信息是否满足预设条件。
可选的,在所述判断条件子单元中,包括:
获取第一行信息子单元,用于获取所述访问请求信息的报文头的第一行信息;
判断第一行信息子单元,用于判断所述第一行信息是否被空格符分割成三段信息,且判断第三段信息是否匹配预设正则表达式。
可选的,在所述分析信息单元202中,包括:
分析信息子单元,用于依次从攻击特征信息集中获取攻击特征信息,并分别根据所述攻击特征信息对所述HTTP访问请求信息进行分析。
可选的,在所述分析信息子单元中,包括:
采用匹配规则分析子单元,用于根据所述攻击特征信息及多模匹配规则对所述HTTP访问请求信息进行分析。
可选的,所述操作信息,包括:防御信息和安全信息;所述攻击特征信息,包括:第一特征信息和防御信息;
在所述分析信息单元202中,包括:
获取操作信息子单元,用于如果所述HTTP访问请求信息与所述攻击特征信息集中攻击特征信息的第一特征信息相关联,则获取与所述第一特征信息相关联的防御信息,否则获取安全信息。
可选的,所述防御信息,包括根据攻击程度划分的分类防御信息;
所述装置还包括:
防御操作单元,用于根据所述分类防御信息进行对应的防御操作。
可选的,所述分类防御信息包括:预警类信息和阻断类信息;
在所述防御操作单元中,包括:
获取分类防御信息子单元,用于获取并分析所述分类防御信息;
报警子单元,用于当所述分类防御信息为所述预警类信息,则发送警告信息;
旁路阻断子单元,用于当所述分类防御信息为所述阻断类信息,则向所述HTTP访问请求信息的发送方和接收方分别发送旁路阻断信息。
本申请实施例,首先,从网络流量镜像信息中提取的HTTP应用信息是非常完整的,可检测内容较多,提高了检测的准确性。其次,提高了检测的时效性,可以在WEB攻击发生同时实时检测。再次,系统可以通过服务器的响应内容判定WEB攻击是否成功,并及时阻断及预警,防止事态恶化。同时,降低了管理成本。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种监控网络攻击的方法,其特征在于,包括:
根据网络流量镜像信息获取HTTP访问请求信息;
基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
2.根据权利要求1所述的方法,其特征在于,所述根据网络流量镜像信息获取HTTP访问请求信息,包括:
根据网络流量镜像信息获取访问请求信息;
判断所述访问请求信息是否与HTTP协议的特征信息相关联;
若是,则判定所述访问请求信息为HTTP访问请求信息。
3.根据权利要求2所述的方法,其特征在于,所述判断所述访问请求信息是否与HTTP协议的特征信息相关联,包括:
判断所述访问请求信息的报文头的起始位置的字符串信息是否与HTTP协议的请求方法信息匹配,且判断所述访问请求信息的报文头的第一行信息是否满足预设条件。
4.根据权利要求3所述的方法,其特征在于,所述判断所述访问请求信息的报文头的第一行信息是否满足预设条件,包括:
获取所述访问请求信息的报文头的第一行信息;
判断所述第一行信息是否被空格符分割成三段信息,且判断第三段信息是否匹配预设正则表达式。
5.根据权利要求1所述的方法,其特征在于,所述基于攻击特征信息对所述HTTP访问请求信息进行分析,包括:
依次从攻击特征信息集中获取攻击特征信息,并分别根据所述攻击特征信息对所述HTTP访问请求信息进行分析。
6.根据权利要求5所述的方法,其特征在于,所述根据所述攻击特征信息对所述HTTP访问请求信息进行分析,包括:
根据所述攻击特征信息及多模匹配规则对所述HTTP访问请求信息进行分析。
7.根据权利要求5所述的方法,其特征在于,所述操作信息,包括:防御信息和安全信息;所述攻击特征信息,包括:第一特征信息和防御信息;
所述根据分析结果获取对所述HTTP访问请求信息的操作信息,包括:
如果所述HTTP访问请求信息与所述攻击特征信息集中攻击特征信息的第一特征信息相关联,则获取与所述第一特征信息相关联的防御信息,否则获取安全信息。
8.根据权利要求7所述的方法,其特征在于,所述防御信息,包括根据攻击程度划分的分类防御信息;
所述方法还包括:
根据所述分类防御信息进行对应的防御操作。
9.根据权利要求8所述的方法,其特征在于,所述分类防御信息包括:预警类信息和阻断类信息;
所述根据所述分类防御信息进行对应的防御操作,包括:
获取并分析所述分类防御信息;
当所述分类防御信息为所述预警类信息,则发送警告信息;
当所述分类防御信息为所述阻断类信息,则向所述HTTP访问请求信息的发送方和接收方分别发送旁路阻断信息。
10.一种监控网络攻击的装置,其特征在于,包括:
获取信息单元,用于根据网络流量镜像信息获取HTTP访问请求信息;
分析信息单元,用于基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910585838.4A CN110225062A (zh) | 2019-07-01 | 2019-07-01 | 一种监控网络攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910585838.4A CN110225062A (zh) | 2019-07-01 | 2019-07-01 | 一种监控网络攻击的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110225062A true CN110225062A (zh) | 2019-09-10 |
Family
ID=67815639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910585838.4A Pending CN110225062A (zh) | 2019-07-01 | 2019-07-01 | 一种监控网络攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110225062A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087459A (zh) * | 2020-09-11 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种访问请求检测的方法、装置、设备及可读存储介质 |
| CN112272173A (zh) * | 2020-10-22 | 2021-01-26 | 苏州斯玛维科技有限公司 | 信息分析报警方法、装置和存储介质 |
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN113992442A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
| CN114499968A (zh) * | 2021-12-27 | 2022-05-13 | 奇安信科技集团股份有限公司 | 一种xss攻击检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413141A (zh) * | 2011-11-30 | 2012-04-11 | 华为技术有限公司 | 网络消息解析方法及通信设备 |
| CN102646123A (zh) * | 2012-02-23 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 多模式匹配方法、装置和设备 |
| CN102932370A (zh) * | 2012-11-20 | 2013-02-13 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN107547310A (zh) * | 2017-08-24 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于旁路审计设备的用户行为关联分析方法及系统 |
-
2019
- 2019-07-01 CN CN201910585838.4A patent/CN110225062A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413141A (zh) * | 2011-11-30 | 2012-04-11 | 华为技术有限公司 | 网络消息解析方法及通信设备 |
| CN102646123A (zh) * | 2012-02-23 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 多模式匹配方法、装置和设备 |
| CN102932370A (zh) * | 2012-11-20 | 2013-02-13 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN107547310A (zh) * | 2017-08-24 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于旁路审计设备的用户行为关联分析方法及系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087459A (zh) * | 2020-09-11 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种访问请求检测的方法、装置、设备及可读存储介质 |
| CN112087459B (zh) * | 2020-09-11 | 2023-02-21 | 杭州安恒信息技术股份有限公司 | 一种访问请求检测的方法、装置、设备及可读存储介质 |
| CN112272173A (zh) * | 2020-10-22 | 2021-01-26 | 苏州斯玛维科技有限公司 | 信息分析报警方法、装置和存储介质 |
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112383546B (zh) * | 2020-11-13 | 2023-07-25 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN114499968A (zh) * | 2021-12-27 | 2022-05-13 | 奇安信科技集团股份有限公司 | 一种xss攻击检测方法及装置 |
| CN113992442A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
| CN113992442B (zh) * | 2021-12-28 | 2022-03-18 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110225062A (zh) | 一种监控网络攻击的方法和装置 | |
| CN105656950B (zh) | 一种基于域名的http访问劫持检测与净化装置及方法 | |
| US8959157B2 (en) | Real-time spam look-up system | |
| US9762592B2 (en) | Automatic generation of attribute values for rules of a web application layer attack detector | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| Al-Jarrah et al. | Network Intrusion Detection System using attack behavior classification | |
| CN103379099B (zh) | 恶意攻击识别方法及系统 | |
| US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| CN107342987B (zh) | 一种网络反电信诈骗系统 | |
| CN104794170B (zh) | 基于指纹多重哈希布隆过滤器的网络取证内容溯源方法和系统 | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN106713049A (zh) | 一种监控的告警方法及装置 | |
| JP2009512082A (ja) | 電子メッセージ認証 | |
| CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
| CN107566320A (zh) | 一种网络劫持检测方法、装置与网络系统 | |
| KR101991737B1 (ko) | 공격자 가시화 방법 및 장치 | |
| CN104363240A (zh) | 基于信息流行为合法性检测的未知威胁的综合检测方法 | |
| CN102185788A (zh) | 一种基于临时邮箱的查找马甲账号的方法及系统 | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN100379201C (zh) | 可控计算机网络的分布式黑客追踪的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190910 |