CN110381009A - 一种基于行为检测的反弹shell的检测方法 - Google Patents
一种基于行为检测的反弹shell的检测方法 Download PDFInfo
- Publication number
- CN110381009A CN110381009A CN201810336200.2A CN201810336200A CN110381009A CN 110381009 A CN110381009 A CN 110381009A CN 201810336200 A CN201810336200 A CN 201810336200A CN 110381009 A CN110381009 A CN 110381009A
- Authority
- CN
- China
- Prior art keywords
- shell
- network connection
- rebound
- notice
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于行为检测的反弹shell的检测方法,它涉及信息安全技术领域。它的步骤为:(1)获取shell进程创建的时机;(2)检查shell进程的网络连接状态;(3)综合判断网络连接是否属于反弹和进程是否属于shell进程。本发明能够在准确度和实时性上达到更高的程度,减少判断环节,速度快,准确率高,可靠性好,可用性高。
Description
技术领域
本发明涉及的是信息安全技术领域,具体涉及一种基于行为检测的反弹shell的检测方法。
背景技术
反弹shell技术是反弹木马的一种,但是存在着重大的差别,区别是攻击者不需要在内网安装特别的木马程序就可以利用漏洞启动系统上的shell程序来对内网机器进行操纵的方法。反弹木马中的木马是一个特定的程序,但是反弹shell对应的程序是一个可以执行脚本的正常程序,攻击者利用的是脚本来攻击,攻击者使用反弹shell来从外部顺利进入到系统内部,并执行各种操作;由于反弹shell的网络动作上的反弹特点和脚本性质使之无法归结于恶意软件和病毒来处理,历来一直很少有针对这种行为的检测。在网络攻击方面,反弹shell的方法大量使用,是攻击者手中一个比较重要的武器,在系统攻击行为中具有普遍性。系统的安全取决于攻击行为能否早期发现,对于反弹木马,目前已经有很多检测方法可以来发现和阻止,大多数的检测对象是利用网络特征进行的。
在反弹木马查杀方面,相关的专利和申请有:中国发明专利申请号201110429663.1公开的一种反弹式木马的检测方法和系统,中国发明专利申请号201210562997.0公开的一种反弹式木马的检测方法,中国发明专利申请号201310408125.3公开的反弹木马控制端网络行为功能重建的方法及系统,201510172291.7公开的基于反弹端口木马的互联审计方法,“201510585555.1公开的一种针对内网端口反弹型木马的防范方法;上述方法的特点是针对木马程序本身或者反弹的网络连接进行判断,判断有网络连接的程序是否合法。
在反弹shell检测方面,相关的专利申请有:中国发明专利申请号201710540141.6公开的一种检测和防范反弹shell的方法和系统,此发明的特点是不对网络链接和程序本身做任何判断,直接判断程序的终端属性进行检测。
总而言之,目前反弹木马查杀使用的方法可以归类为两种类型,一种是基于对木马文件进行检测的技术,或者使用病毒检测,或者使用黑白名单等等;另外一种方法是针对网络链接进行安全属性上的判断。这两种方法的特点都是需要有学习的过程,或者需要大量的安全数据作为后端的支持,如果需要安全数据的支持,就无法抵御零日漏洞和攻击。而目前的反弹shell检测方法也存在比较大的问题,判断程序的终端属性通常只能用于特定的场景下,比如webshell检测,如果在其他环境下,终端属性的判断方法就会面临正常程序和行为的程序的终端属性符合异常判断的条件,导致误报,误报多而无法处理,最后失去可用性。基于此,设计一种基于行为检测的反弹shell的检测方法尤为必要。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种基于行为检测的反弹shell的检测方法,能够在准确度和实时性上达到更高的程度,可用性高,易于推广使用。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种基于行为检测的反弹shell的检测方法,其步骤为:
(1)获取shell进程创建的时机:
在进程产生时,从系统内核获得通知,在Windows系统下利用驱动从内核获得通知,系统的进程创建通知中带有基本的属性,利用进程的标识符PID,确定系统上的一个进程;获取进程对应的文件路径,利用文件路径判断文件的类型;
(2)检查shell进程的网络连接状态:
获取一个系统上对外的网络连接通知,网络连接的通知在两个防御的地方得到通知:一个是本机内核系统的通知,本机内核的网络连接通知是利用操心系统内核的功能来实现的,例如实现一个内核的驱动或者内核模块,在系统启动的时候加载到内核,在对外连接的时候进行截获,获取到连接的属性,通知到应用层的程序;另一个是防火墙的通知,防火墙的通知是利用防火墙的流量过滤机制获得通知,在网关或者其它网络出入口流量过滤设备上,把来自某些特定机器的网络连接情况通知到系统,比如可以对连接到外网80端口的所有TCP连接截获下来,通知到服务器或者连接的来源机器;
(3)综合判断网络连接是否属于反弹和进程是否属于shell进程:
在获取了创建的进程和发生的对外连接的行为后,对该进程和网络连接进行分析,方法是先建立网络连接和进程之间的对应关系,找到进程,然后判断进程是否是Shell进程;如果是Shell进程,则获取进程的标准输入输出(STDIN,STDOUT,STDERR)的特性,看它们能否和目前的网络连接建立联系,如果能,则说明是反弹Shell。
作为优选,所述的步骤(3)判断shell进程是否有反弹连接的方法步骤为:
①首先获取当前进程,检查当前进程的标准输入输出句柄是否有对外连接;
②如果有,则输出“发现”的结果;如果没有,再获取进程的父子进程,判断父子进程的标准输入输出句柄是否有对外连接;
③如果父子进程的标准输入输出句柄是网络连接,则输出“发现”的结果;如果没有,再获取兄弟进程的情况,检测兄弟进程的标准输入输出是否有对外连接;
④如果兄弟进程的标准输入输出是网络连接,则输出“发现”的结果;如果不是,则输出“没有发现”的结果。
作为优选,所述的步骤(3)中判断反弹shell的系统步骤如下:
①首先获取进程创建事件;
②判断进程是否是shell进程;
③如果不是shell进程,则结束;如果是shell进程,则获取进程的标准输入输出句柄,并判断进程的标准输入输出(STDIN,STDOUT,STDERR)是否能和网络连接建立联系;
④如果不能,则结束,如果能,则说明该进程是反弹shell,获取网络连接的属性,并汇报发现反弹shell的情况。
作为优选,所述的步骤(3)中判断反弹shell的系统步骤如下:
①首先获得网络连接的通知;
②然后建立网络连接和进程之间的对应关系;
③如果能获得对应的进程,判断进程是否是Shell进程;
④如果是shell进程,判断进程的标准输入输出(STDIN,STDOUT,STDERR)是否能和网络连接建立联系,如果不能,则结束,如果能,则说明该进程是反弹shell。
本发明的有益效果:本方法相较于其它解决方法,能够在准确度和实时性上达到更高的程度,可进行实时的判断,减少判断环节,速度快,准确率高,可靠性好。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为本发明判断shell进程反弹连接的流程图;
图2为本发明判断反弹shell的系统的流程图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图1-2,本具体实施方式采用以下技术方案:一种基于行为检测的反弹shell的检测方法,其步骤为:
(1)获取shell进程创建的时机:
在进程产生时,需要从系统内核获得通知,不同的系统采用不一样的方法,比如在Windows系统下利用驱动从内核获得通知,也可以用其他的已经存在的通知机制。系统的进程创建通知中带有一些基本的属性,例如进程的标识符PID,利用这个标识符号,可以唯一确定系统上的一个进程;还需获取进程对应的文件路径,利用文件路径判断文件的类型,比如是否是系统上确定的shell程序。
(2)检查shell进程的网络连接状态:
获取一个系统上对外的网络连接通知,利用操作系统提供的内核通知或者防火墙系统的机制,使用系统通知机制的好处是实时性很好,可以在网络连接发生后马上知道,而不是要滞后一段时间,导致错过重要的处理和应对机会;网络连接的通知在两个防御的地方得到通知:一个是本机内核系统的通知;另一个是防火墙的通知。
本机内核的网络连接通知是利用操心系统内核的功能来实现的,例如实现一个内核的驱动或者内核模块,在系统启动的时候加载到内核,在对外连接的时候进行截获,获取到连接的属性,通知到应用层的程序。
防火墙的通知是利用防火墙的流量过滤机制获得通知,在网关或者其它网络出入口流量过滤设备上,把来自某些特定机器的网络连接情况通知到系统,比如可以对连接到外网80端口的所有TCP连接截获下来,通知到服务器或者连接的来源机器。
值得注意的是,除了网络连接的实时通知外,也可以在主机上对网络连接进行定时的轮询,得到该时间范围内发生的网络连接,把它作为新产生的对外连接通知出来。
(3)综合判断网络连接是否属于反弹和进程是否属于shell进程:
在获取了创建的进程和发生的对外连接的行为后,对该进程和网络连接进行分析,方法是先建立网络连接和进程之间的对应关系,找到进程,然后判断进程是否是Shell进程;如果是Shell进程,则获取进程的标准输入输出(STDIN,STDOUT,STDERR)的特性,看它们能否和目前的网络连接建立联系,如果能,则说明是反弹Shell。
值得注意的是,判断shell进程是否有反弹连接的方法步骤为:
①首先获取当前进程,检查当前进程的标准输入输出句柄是否有对外连接;
②如果有,则输出“发现”的结果;如果没有,再获取进程的父子进程,判断父子进程的标准输入输出句柄是否有对外连接;
③如果父子进程的标准输入输出句柄是网络连接,则输出“发现”的结果;如果没有,再获取兄弟进程的情况,检测兄弟进程的标准输入输出是否有对外连接;
④如果兄弟进程的标准输入输出是网络连接,则输出“发现”的结果;如果不是,则输出“没有发现”的结果。
在上述方法的基础上判断反弹shell的系统,本方法有两种判断反弹shell的系统,第一种系统步骤如下(图2):
①首先获取进程创建事件;
②判断进程是否是shell进程;
③如果不是shell进程,则结束;如果是shell进程,则获取进程的标准输入输出句柄,并判断进程的标准输入输出(STDIN,STDOUT,STDERR)是否能和网络连接建立联系;
④如果不能,则结束,如果能,则说明该进程是反弹shell,获取网络连接的属性,并汇报发现反弹shell的情况。
第二种判断反弹shell的系统步骤如下:
①首先获得网络连接的通知;
②然后建立网络连接和进程之间的对应关系;
③如果能获得对应的进程,判断进程是否是Shell进程;
④如果是shell进程,判断进程的标准输入输出(STDIN,STDOUT,STDERR)是否能和网络连接建立联系,如果不能,则结束,如果能,则说明该进程是反弹shell。
本具体实施方式相较于传统的判断方法,直接根据反弹shell的定义来进行判断,获取到的时机和判断的内容是对反弹shell的直接判断,无需后续其他环节,如人工判断或者历史数据分析来得到的,准确率更高;同时本方法可以进行实时的判断,也可以把数据上报到服务器后在服务器进行判断,在判断时候依据的判断逻辑是根据反弹shell的定义获得的,因此可以减少判断的环节,降低判断时的资源开销,在计算机资源的使用上获得显著的提升,具有广阔的市场应用前景。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种基于行为检测的反弹shell的检测方法,其特征在于,其步骤为:
(1)获取shell进程创建的时机:
在进程产生时,从系统内核获得通知,在Windows系统下利用驱动从内核获得通知,系统的进程创建通知中带有基本的属性,利用进程的标识符PID,确定系统上的一个进程;获取进程对应的文件路径,利用文件路径判断文件的类型;
(2)检查shell进程的网络连接状态:
获取一个系统上对外的网络连接通知,网络连接的通知在两个防御的地方得到通知:一个是本机内核系统的通知,本机内核的网络连接通知是利用操心系统内核的功能来实现的;另一个是防火墙的通知,防火墙的通知是利用防火墙的流量过滤机制获得通知;
(3)综合判断网络连接是否属于反弹和进程是否属于shell进程:
在获取了创建的进程和发生的对外连接的行为后,对该进程和网络连接进行分析,方法是先建立网络连接和进程之间的对应关系,找到进程,然后判断进程是否是Shell进程;如果是Shell进程,则获取进程的标准输入输出的特性,看它们能否和目前的网络连接建立联系,如果能,则说明是反弹Shell。
2.根据权利要求1所述的一种基于行为检测的反弹shell的检测方法,其特征在于,所述的步骤(2)本机内核的网络连接通知是利用操心系统内核的功能来实现,实现一个内核的驱动或者内核模块,在系统启动的时候加载到内核,在对外连接的时候进行截获,获取到连接的属性,通知到应用层的程序。
3.根据权利要求1所述的一种基于行为检测的反弹shell的检测方法,其特征在于,所述的步骤(2)防火墙的通知是利用防火墙的流量过滤机制获得通知,在网关或者其它网络出入口流量过滤设备上,把来自机器的网络连接情况通知到系统,对连接到外网80端口的所有TCP连接截获下来,通知到服务器或者连接的来源机器。
4.根据权利要求1所述的一种基于行为检测的反弹shell的检测方法,其特征在于,所述的步骤(3)判断shell进程是否有反弹连接的方法步骤为:
①首先获取当前进程,检查当前进程的标准输入输出句柄是否有对外连接;
②如果有,则输出“发现”的结果;如果没有,再获取进程的父子进程,判断父子进程的标准输入输出句柄是否有对外连接;
③如果父子进程的标准输入输出句柄是网络连接,则输出“发现”的结果;如果没有,再获取兄弟进程的情况,检测兄弟进程的标准输入输出是否有对外连接;
④如果兄弟进程的标准输入输出是网络连接,则输出“发现”的结果;如果不是,则输出“没有发现”的结果。
5.根据权利要求1所述的一种基于行为检测的反弹shell的检测方法,其特征在于,所述的步骤(3)中判断反弹shell的系统步骤如下:
①首先获取进程创建事件;
②判断进程是否是shell进程;
③如果不是shell进程,则结束;如果是shell进程,则获取进程的标准输入输出句柄,并判断进程的标准输入输出是否能和网络连接建立联系;
④如果不能,则结束,如果能,则说明该进程是反弹shell,获取网络连接的属性,并汇报发现反弹shell的情况。
6.根据权利要求1所述的一种基于行为检测的反弹shell的检测方法,其特征在于,所述的步骤(3)中判断反弹shell的系统步骤如下:
①首先获得网络连接的通知;
②然后建立网络连接和进程之间的对应关系;
③如果能获得对应的进程,判断进程是否是Shell进程;
④如果是shell进程,判断进程的标准输入输出是否能和网络连接建立联系,如果不能,则结束,如果能,则说明该进程是反弹shell。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810336200.2A CN110381009A (zh) | 2018-04-16 | 2018-04-16 | 一种基于行为检测的反弹shell的检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810336200.2A CN110381009A (zh) | 2018-04-16 | 2018-04-16 | 一种基于行为检测的反弹shell的检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110381009A true CN110381009A (zh) | 2019-10-25 |
Family
ID=68243083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810336200.2A Pending CN110381009A (zh) | 2018-04-16 | 2018-04-16 | 一种基于行为检测的反弹shell的检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110381009A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110909349A (zh) * | 2019-11-14 | 2020-03-24 | 上海携程商务有限公司 | docker容器内反弹shell的检测方法和系统 |
CN111988302A (zh) * | 2020-08-14 | 2020-11-24 | 苏州浪潮智能科技有限公司 | 一种检测反弹程序的方法、系统、终端及存储介质 |
CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
CN113449298A (zh) * | 2020-03-24 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 一种反弹shell进程的检测方法、装置、设备和介质 |
CN114722396A (zh) * | 2022-05-18 | 2022-07-08 | 北京长亭未来科技有限公司 | 一种检测反弹Shell进程的方法、系统及设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572711A (zh) * | 2009-06-08 | 2009-11-04 | 北京理工大学 | 一种基于网络的反弹端口型木马的检测方法 |
CN102306254A (zh) * | 2011-08-29 | 2012-01-04 | 奇智软件(北京)有限公司 | 一种病毒或恶意程序的防御方法和系统 |
CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
CN103491077A (zh) * | 2013-09-09 | 2014-01-01 | 无锡华御信息技术有限公司 | 反弹木马控制端网络行为功能重建的方法及系统 |
CN104715202A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机中的隐藏进程检测方法和装置 |
CN107423622A (zh) * | 2017-07-04 | 2017-12-01 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和系统 |
-
2018
- 2018-04-16 CN CN201810336200.2A patent/CN110381009A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572711A (zh) * | 2009-06-08 | 2009-11-04 | 北京理工大学 | 一种基于网络的反弹端口型木马的检测方法 |
CN102306254A (zh) * | 2011-08-29 | 2012-01-04 | 奇智软件(北京)有限公司 | 一种病毒或恶意程序的防御方法和系统 |
CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
CN103491077A (zh) * | 2013-09-09 | 2014-01-01 | 无锡华御信息技术有限公司 | 反弹木马控制端网络行为功能重建的方法及系统 |
CN104715202A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机中的隐藏进程检测方法和装置 |
CN107423622A (zh) * | 2017-07-04 | 2017-12-01 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110909349A (zh) * | 2019-11-14 | 2020-03-24 | 上海携程商务有限公司 | docker容器内反弹shell的检测方法和系统 |
CN110909349B (zh) * | 2019-11-14 | 2024-03-22 | 上海携程商务有限公司 | docker容器内反弹shell的检测方法和系统 |
CN113449298A (zh) * | 2020-03-24 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 一种反弹shell进程的检测方法、装置、设备和介质 |
CN113449298B (zh) * | 2020-03-24 | 2023-09-05 | 百度在线网络技术(北京)有限公司 | 一种反弹shell进程的检测方法、装置、设备和介质 |
CN111988302A (zh) * | 2020-08-14 | 2020-11-24 | 苏州浪潮智能科技有限公司 | 一种检测反弹程序的方法、系统、终端及存储介质 |
CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
CN114722396A (zh) * | 2022-05-18 | 2022-07-08 | 北京长亭未来科技有限公司 | 一种检测反弹Shell进程的方法、系统及设备 |
CN114722396B (zh) * | 2022-05-18 | 2022-09-23 | 北京长亭未来科技有限公司 | 一种检测反弹Shell进程的方法、系统及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110381009A (zh) | 一种基于行为检测的反弹shell的检测方法 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
CN100401224C (zh) | 计算机反病毒防护系统和方法 | |
CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN111049680B (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
CN106055980A (zh) | 一种基于规则的JavaScript安全性检测方法 | |
CN105871883A (zh) | 基于攻击行为分析的高级持续性威胁检测方法 | |
CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
CN1578227A (zh) | 一种动态ip数据包过滤方法 | |
CN107423622A (zh) | 一种检测和防范反弹shell的方法和系统 | |
CN104008332A (zh) | 一种基于Android平台的入侵检测系统 | |
CN103095728A (zh) | 一种基于行为数据融合的网络安全评分系统和方法 | |
CN105959316A (zh) | 网络安全性验证系统 | |
CN103051627A (zh) | 一种反弹式木马的检测方法 | |
CN104598820A (zh) | 一种基于特征行为分析的木马病检测方法 | |
CN103916288A (zh) | 一种基于网关与本地的Botnet检测方法及系统 | |
CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191025 |
|
RJ01 | Rejection of invention patent application after publication |