CN110351275B - 一种主机端口流量监控方法、系统、装置和存储设备 - Google Patents
一种主机端口流量监控方法、系统、装置和存储设备 Download PDFInfo
- Publication number
- CN110351275B CN110351275B CN201910626773.3A CN201910626773A CN110351275B CN 110351275 B CN110351275 B CN 110351275B CN 201910626773 A CN201910626773 A CN 201910626773A CN 110351275 B CN110351275 B CN 110351275B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- host
- operating system
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种主机端口流量监控方法、系统、装置和存储设备,所述监控方法包括:控制主机操作系统内核模块,在所述内核模块运行时,将网络协议栈接收到的网络流量数据进行备份;读取并解析网络流量备份数据;及获取解析后的网络流量备份数据。在低系统资源占用的同时,能够感知某主机上任意IP、任意端口的被探测情况,同时完全不影响其他用户进程和网络服务;方案的拓展性、可定制性强,获取到的数据能够为后续的数据分析做支持。
Description
技术领域
本发明涉及网络威胁监控技术领域,具体涉及一种主机端口流量监控方法、系统、装置和存储设备。
背景技术
在网络安全和端点安全中,感知威胁以供应急处置是一个重要的议题。比如恶意攻击者在侵入内网后,首先批量扫描c段或爆破域名,再针对性攻击;内网某主机感染蠕虫病毒后,大量连接相邻主机的特殊端口(如永恒之蓝利用 445端口上的文件共享服务传播),企业在业务迭代后弃用了一批服务和进程,既没有彻底关闭也没有继续维护,导致被攻击者利用形成潜在威胁,上述类似的潜在威胁其实都可以通过感知主机端口威胁被探测到。
传统端口感知探测手段一般有以下几种:传统端口监听、服务进程自带流量记录、防火墙等。传统端口监听的原理是主要通过运行一个用户进程来监听特定的端口,其缺陷是:需要占用待监听IP的端口,被占用端口上无法同时开启其他服务,监听耗费资源较多。服务进程自带流量记录的原理是在服务程序中内置流量记录的模块,其缺陷是:自带流量记录依赖服务,无法记录未开启服务的端口探测情况,每种服务进程的威胁感知都需要适配,可拓展性差。防火墙的原理是:在主机前设立防火墙,统一控制所有对主机的请求,其缺陷是:无法感知主机内进程互相探测的情况,如主机上某些伪装成守护进程的木马、病毒等。
发明内容
本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。
根据本申请的第一个方面,提供了一种主机端口流量监控系统,包括:第一用户程序模块,用于控制主机系统内核模块,在所述内核模块运行时,将网络协议栈接收到的网络流量数据进行备份;并获取解析后的网络流量备份数据;及第二用户程序模块,用于读取并解析网络流量备份数据。
由于传统用户进程监听端口使用用户进程操作网络服务,无法绕过操作系统内核空间的网络协议栈,始终需要占用端口。该系统抛弃传统用户进程监听端口的方案,通过第一用户程序模块直接从操作系统内核切入,通过控制操作系统内核模块的网络协议栈来实现流量监控的目的,降低了系统资源占用。
根据本申请的第二个方面,还提供了一种主机端口流量监控方法,包括:控制主机操作系统内核模块,在所述内核模块运行时,将网络协议栈接收到的网络流量数据进行备份;读取并解析网络流量备份数据;及获取解析后的网络流量备份数据。
由于传统用户进程监听端口使用用户进程操作网络服务,无法绕过操作系统内核空间的网络协议栈,始终需要占用端口。该方法抛弃传统用户进程监听端口的方案,直接从操作系统内核切入,通过控制操作系统内核模块的网络协议栈来实现流量监控的目的,降低了系统资源占用。
根据本申请的第三个方面,还提供了一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
根据本申请的第四个方面,还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
与现有技术相比,本发明实施例具有以下优点:
本发明实施例公开了一种主机端口流量监控方法、系统、装置和存储设备。在低系统资源占用的同时,能够感知某主机上任意IP、任意端口的被探测情况,同时完全不影响其他用户进程和网络服务;方案的拓展性、可定制性强,获取到的数据能够为后续的数据分析做支持。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解的是,这些附图未必是按比例绘制的。在附图中:
图1为本发明实施例中公开的一种主机操作系统分发网络配置到用户程序的流程示意图;
图2为本发明实施例中公开的一种主机端口流量监控系统的逻辑结构图;
图3为本发明实施例中公开的一种主机端口流量监控方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
参考图1,主机操作系统内核模块02用于连接用户程序01和计算机硬件 03,其中,用户程序01至少为一个,例如,用户程序01包括第一用户程序05、第二用户程序06、第三用户程序07。当外部设备04请求主机操作系统时,主机操作系统内核模块02的网络管理模块(linux下称网络协议栈08)检查流量,然后根据配置的规则进行拦截、丢弃、分发到用户程序01等。另外,如图1所示,主机操作系统内核模块02中除了网络协议栈08外,还包括文件系统09。传统用户进程监听端口相当于运行一个用户程序01,让主机操作系统内核模块 02分发流量至自身。而防火墙相当于在外部设备04和计算机硬件03之间加了一层检查。本发明实施例则是从主机操作系统内核模块02的网络管理模块(linux 下称网络协议栈08)切入,控制主机操作系统检查流量的配置,从而实现了一个通用的、拓展方便的、性能耗费低的全透明化主机端口流量监控方案。
参考图2,根据本申请的第一个方面,提供了一种主机端口流量监控系统,包括:第一用户程序模块10,用于控制主机系统内核模块,在所述内核模块运行时,将网络协议栈接收到的网络流量数据进行备份;并获取解析后的网络流量备份数据;及第二用户程序模块16,用于读取并解析网络流量备份数据。
由于传统用户进程监听端口使用用户进程操作网络服务,无法绕过操作系统内核空间的网络协议栈08,始终需要占用端口。该系统抛弃传统用户进程监听端口的方案,通过第一用户程序模块10直接从操作系统内核切入,通过控制操作系统内核模块的网络协议栈08来实现流量监控的目的,降低了系统资源占用。
可选地,所述第一用户程序模块10包括:端口流量监控配置单元11,用于通过可调用操作系统内核接口对待测端口进行分发流量监控配置;根据配置信息将分发流量监控配置到所述内核模块;并通过所述内核模块根据配置控制操作系统网络配置的检查规则;网络流量数据备份单元12,用于根据所述检查规则在操作系统网络配置的内核模块接收到网络流量数据时将待监控网络流量数据备份出来;及解析数据获取单元13,用于从所述第二用户程序模块16获取解析后的网络流量备份数据。
本发明实施例中,第一用户程序模块10直接通过端口流量监控配置单元11 调用操作系统内核模块中对网络协议栈的配置API(可调用操作系统内核接口),控制网络流量数据备份单元12将待监控网络流量数据备份出来,使对主机端口探测感知获得的数据全透明化;同时,能够感知某主机上任意IP、任意端口的被探测情况,同时完全不影响其他用户进程和网络服务,在低系统资源占用的情况下实现了高覆盖度的主机端口探测感知方案,能够感知主机内进程互相探测的情况;另外,由于通过可调用操作系统内核接口对待测端口进行分发流量监控配置,使主机端口探测感知方案的拓展性、可定制性强,获取到的数据能够为后续的数据分析做支持。
可选地,所述第一用户程序模块10还包括:备份数据存储单元14,用于存储网络流量备份数据并形成备份目录。解析后信息被存储到备份数据存储单元 14中,以供后续查阅、调取等,备份数据存储单元可以为数据库。
可选地,所述第一用户程序模块10还包括:解析数据展示单元15,用于将解析后的结构化数据展示给用户。本发明实施例中,通过解析数据展示单元15 将收到的结构化数据以图形界面、表格等形式展示给用户。
参考图3,根据本申请的第二个方面,还提供了一种主机端口流量监控方法,包括:控制主机操作系统内核模块,在所述内核模块运行时,将网络协议栈接收到的网络流量数据进行备份;读取并解析网络流量备份数据;及获取解析后的网络流量备份数据。
由于传统用户进程监听端口使用用户进程操作网络服务,无法绕过操作系统内核空间的网络协议栈,始终需要占用端口。该方法抛弃传统用户进程监听端口的方案,直接从操作系统内核切入,通过控制操作系统内核模块的网络协议栈来实现流量监控的目的,降低了系统资源占用。
可选地,所述控制主机系统内核模块,在所述内核模块运行时,将网络协议栈接收到的网络流量数据进行备份,包括:通过可调用操作系统内核接口对待测端口进行分发流量监控配置;根据配置信息将分发流量监控配置到所述内核模块;通过所述内核模块根据配置控制操作系统网络配置的检查规则;及根据所述检查规则在操作系统网络配置的内核模块接收到网络流量数据时将待监控网络流量数据备份出来。
本发明实施例中,直接通过调用操作系统内核模块中对网络协议栈的配置 API(可调用操作系统内核接口),控制网络流量数据备份单元将待监控网络流量数据备份出来,使对主机端口探测感知获得的数据全透明化;同时,能够感知某主机上任意IP、任意端口的被探测情况,同时完全不影响其他用户进程和网络服务,在低系统资源占用的情况下实现了高覆盖度的主机端口探测感知方案,能够感知主机内进程互相探测的情况;另外,由于通过可调用操作系统内核接口对待测端口进行分发流量监控配置,使主机端口探测感知方案的拓展性、可定制性强,获取到的数据能够为后续的数据分析做支持。
可选地,所述读取并解析网络流量备份数据包括:读取新增的网络流量数据备份信息,并根据需要将网络流量数据包解析成结构化的数据(如JSON, JavaScript ObjectNotation,是一种轻量级的数据交换格式;易于人阅读和编写,同时也易于机器解析和生成)。
上述方法在读取网络流量数据备份信息时,仅读取新增数据,加快了读取进程,避免了不必要资源消耗。
可选地,所述监控方法还包括:将网络协议栈接收到的网络流量数据进行备份后,存储网络流量备份数据并形成备份目录。解析后信息被存储到备份数据存储单元中,以供后续查阅、调取等,备份数据存储单元可以为数据库。
可选地,所述监控方法还包括:将解析后的结构化数据展示给用户。本发明实施例中,将收到的结构化数据以图形界面、表格等形式展示给用户。
根据本申请的第三个方面,还提供了一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
在本发明的实施例中,各个模块或系统可以是由计算机程序指令形成的处理器,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列 (FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
根据本申请的第四个方面,还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称 RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM 可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称 DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
进一步地,本发明实施例中,以ubuntu@waphid2主机为例对本发明上述方案进行进一步说明。为了在443端口实现上述流量监控,443端口为 ubuntu@waphid2主机的其中一个主机端口。
在443端口上运行了一个https服务“d-sensor-te......ttps”:在ubuntu@waphid2 主机上运行了一个探针程序,该探针程序集成了上述第一用户程序模块和第二用户程序模块的功能。该探针程序向主机操作系统中的内核模块(IPTABLES) 分发端口配置,IPTABLES是Linux系统集成的一个内核模块,可以比较灵活地控制网络协议栈的配置。在该实施例中,如上描述的一种主机端口流量监控系统在此为在443端口上运行的https服务“d-sensor-te......ttps”。
具体地,对443端口流量监控的过程为:对ubuntu@waphid2主机上的探针程序发出配置请求,内容为:感知所有源IP:port对该主机上所有IP:443的请求;探针程序向IPTABLES分发配置,内容为:网络协议栈收到的来自任意源IP:port、对主机上任意IP的443端口的TCP请求,都记录下来;配置分发完成后,假设某次访问了ubuntu@waphid2主机对外IP的443端口,则:某次访问的设备发出的PCAP包(网络流量数据包),经由ubuntu@waphid2主机上的linux 内核模块的网络协议栈检查。网络协议栈根据配置,将该网络流量数据备份下载再分发给“d-sensor-te......ttps”服务;探针程序获取备份的PCAP包,从中解析出需要的信息,如源IP、源端口、目的IP、目的端口、时间戳等信息;解析后信息被存储到数据库中,以供后续查阅。
本发明实施例公开了一个通用的、拓展方便的、性能耗费低的全透明化主机端口流量监控方案。在低系统资源占用的同时,能够感知某主机上任意IP、任意端口的被探测情况,同时完全不影响其他用户进程和网络服务;方案的拓展性、可定制性强,获取到的数据能够为后续的数据分析做支持。
本发明实施例可以用于感知主机和内网中的潜在威胁,如恶意扫描、内网计算机蠕虫病毒、忽略的进程和服务等。还可以和欺骗伪装技术结合,感知和追溯恶意攻击。可应用的行业包括金融、互联网、保险、医疗、政务、制造业等。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (5)
1.一种主机端口流量监控方法,其特征在于,所述监控方法用于主机端口的流量监控,所述监控方法包括:
控制主机操作系统内核模块,其中,主机操作系统内核模块用于连接用户程序,所述用户程序用于向内核模块分发主机端口流量监控配置;
通过所述内核模块根据配置控制主机操作系统网络配置的检查规则;
根据所述检查规则在主机操作系统网络配置的内核模块接收到网络流量数据时将待监控网络流量数据进行备份;
读取并解析网络流量备份数据;
获取解析后的网络流量备份数据;
其中,所述读取并解析网络流量备份数据包括:
读取新增的网络流量数据备份信息,并根据需要将网络流量数据包解析成结构化的数据;
将解析后的结构化数据展示给用户。
2.如权利要求1所述的一种主机端口流量监控方法,其特征在于:所述监控方法还包括:
将网络协议栈接收到的网络流量数据进行备份后,存储网络流量备份数据并形成备份目录。
3.一种主机端口流量监控系统,其特征在于,所述监控系统包括:
第一用户程序模块,用于控制主机操作系统内核模块,其中,主机操作系统内核模块用于连接用户程序,所述用户程序用于向内核模块分发主机端口流量监控配置;通过所述内核模块根据配置控制主机操作系统网络配置的检查规则;根据所述检查规则在主机操作系统网络配置的内核模块接收到网络流量数据时将待监控网络流量数据进行备份;及
第二用户程序模块,用于读取并解析网络流量备份数据,所述读取并解析网络流量备份数据包括:读取新增的网络流量数据备份信息,并根据需要将网络流量数据包解析成结构化的数据;
第一用户程序模块还包括:
解析数据展示单元,用于将解析后的结构化数据展示给用户。
4.一种计算机设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1或2所述的方法。
5.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令在被处理器运行时,用于执行如权利要求1或2所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910626773.3A CN110351275B (zh) | 2019-07-11 | 2019-07-11 | 一种主机端口流量监控方法、系统、装置和存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910626773.3A CN110351275B (zh) | 2019-07-11 | 2019-07-11 | 一种主机端口流量监控方法、系统、装置和存储设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110351275A CN110351275A (zh) | 2019-10-18 |
| CN110351275B true CN110351275B (zh) | 2022-08-19 |
Family
ID=68174954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910626773.3A Active CN110351275B (zh) | 2019-07-11 | 2019-07-11 | 一种主机端口流量监控方法、系统、装置和存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351275B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112272192A (zh) * | 2020-11-18 | 2021-01-26 | 北京知道未来信息技术有限公司 | 一种域名爆破方法、装置、存储介质及电子设备 |
| CN112966261A (zh) * | 2021-03-08 | 2021-06-15 | 中电积至(海南)信息技术有限公司 | 一种轻量级可拓展的网络流量特征提取工具和方法 |
| CN115002186B (zh) * | 2022-05-17 | 2024-07-09 | 深信服科技股份有限公司 | 网络信息采集方法、装置、电子设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465863A (zh) * | 2009-01-14 | 2009-06-24 | 北京航空航天大学 | 一种内核虚拟机环境下高效网络i/o的实现方法 |
| CN106713064A (zh) * | 2015-11-18 | 2017-05-24 | 青岛海日安电子有限公司 | 一种虚拟机流量监控方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100576819C (zh) * | 2005-01-14 | 2009-12-30 | 中国科学院计算技术研究所 | 基于Linux内核的流量分析方法 |
| US7865908B2 (en) * | 2005-03-11 | 2011-01-04 | Microsoft Corporation | VM network traffic monitoring and filtering on the host |
| US10225270B2 (en) * | 2016-08-02 | 2019-03-05 | Cisco Technology, Inc. | Steering of cloned traffic in a service function chain |
| CN107276853B (zh) * | 2017-07-25 | 2020-11-20 | 联想(北京)有限公司 | 流量处理方法及电子设备、计算机系统 |
-
2019
- 2019-07-11 CN CN201910626773.3A patent/CN110351275B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465863A (zh) * | 2009-01-14 | 2009-06-24 | 北京航空航天大学 | 一种内核虚拟机环境下高效网络i/o的实现方法 |
| CN106713064A (zh) * | 2015-11-18 | 2017-05-24 | 青岛海日安电子有限公司 | 一种虚拟机流量监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110351275A (zh) | 2019-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11244044B1 (en) | Method to detect application execution hijacking using memory protection | |
| CN110351275B (zh) | 一种主机端口流量监控方法、系统、装置和存储设备 | |
| US20240356971A1 (en) | Deceiving attackers accessing network data | |
| US9594912B1 (en) | Return-oriented programming detection | |
| US8839426B1 (en) | Fight-through nodes with disposable virtual machines and rollback of persistent state | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US20170104721A1 (en) | Proxy server-based malware detection | |
| US20170243000A1 (en) | Advanced Persistent Threat and Targeted Malware Defense | |
| US11108793B2 (en) | Preemptive alerts in a connected environment | |
| US20210357510A1 (en) | Vulnerability assessment | |
| US9473531B2 (en) | Endpoint traffic profiling for early detection of malware spread | |
| US8621337B1 (en) | Detecting memory corruption | |
| CN110166459B (zh) | 反序列化漏洞的防护方法、装置、设备及可读存储介质 | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| JP2016534479A (ja) | マルウェアのランタイム中の自動検出 | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| US11568053B2 (en) | Automated malware monitoring and data extraction | |
| US11706251B2 (en) | Simulating user interactions for malware analysis | |
| US20170187731A1 (en) | Information processing system, information processing method and program | |
| US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
| US11971994B2 (en) | End-point visibility | |
| US12132759B2 (en) | Inline package name based supply chain attack detection and prevention | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| CN105653948B (zh) | 一种阻止恶意操作的方法及装置 | |
| US20230244787A1 (en) | System and method for detecting exploit including shellcode |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100024 Beijing Chaoyang District Guanzhuang Dongli (Chaoyang District Non-staple Food Company) 3 1-storey B26 Applicant after: Beijing Changting Future Technology Co.,Ltd. Address before: 100024 Beijing Chaoyang District Guanzhuang Dongli (Chaoyang District Non-staple Food Company) 3 1-storey B26 Applicant before: Beijing Pulsar Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |