CN110493226B - 针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统 - Google Patents

针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统 Download PDF

Info

Publication number
CN110493226B
CN110493226B CN201910769538.1A CN201910769538A CN110493226B CN 110493226 B CN110493226 B CN 110493226B CN 201910769538 A CN201910769538 A CN 201910769538A CN 110493226 B CN110493226 B CN 110493226B
Authority
CN
China
Prior art keywords
data
captured
address
sending
shadow service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910769538.1A
Other languages
English (en)
Other versions
CN110493226A (zh
Inventor
韩心慧
丁湛钊
李冠成
武新逢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peking University
Original Assignee
Peking University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peking University filed Critical Peking University
Priority to CN201910769538.1A priority Critical patent/CN110493226B/zh
Publication of CN110493226A publication Critical patent/CN110493226A/zh
Application granted granted Critical
Publication of CN110493226B publication Critical patent/CN110493226B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的方法及系统,包括:从影子服务接收数据后,获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置;在发送数据到影子服务前,获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正;根据与影子服务的交互过程,生成与目标服务交互的漏洞利用的脚本。该脚本可用于服务器受到攻击后的取证或是对相同漏洞的进一步攻击的防御。

Description

针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统
技术领域
本发明属于计算机应用技术领域,尤其涉及一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的方法及系统。
背景技术
漏洞攻击流量分析技术是网络安全攻防中一种常见的防御技术,该技术通过人工手段或是机器辅助手段对所捕获的漏洞攻击流量中的发送和接收过程进行分析,试图获取对方攻击过程的相关信息。该技术常被用于在目标服务受到攻击时进行取证,或是通过分析获取到对方的攻击过程,上述攻击过程可作为样本用于后续攻防中的防御过程,进行对该攻击手法的针对性防御。
一次攻击过程中捕获的攻击流量包含了攻击者与目标服务的交互过程,在攻击过程不存在随机性的情况下,将该交互过程中的发送方数据进行提取,之后将数据依次发送到目标服务就可以完成攻击。此时发送过程即是对目标服务的攻击过程。
为防止针对内存破坏漏洞的攻击,操作系统会采用保护措施。部分保护措施使得目标服务具有随机性,两次攻击过程中需要发送不同的数据,这些数据需要根据接收数据进行计算得到。
一种这样的保护措施称为地址空间随机化保护,使操作系统启动的每一个进程都具有随机性。在目标操作系统存在地址空间随机化保护的情况下,无法通过直接对发送数据进行依次发送完成攻击过程的提取。
发明内容
基于上述内容,本发明提供了一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成方法及系统,可在目标操作系统存在地址空间随机化保护时提取攻击过程,最终生成漏洞利用攻击脚本。
为了实现上述目的,本发明采用以下技术方案:
一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的方法,包括以下步骤:
1、根据影子服务地址空间映射信息,从接收到的影子服务数据中获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置;
2、获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正,并将已修正的数据发送给影子服务;
3、在与影子服务的交互完成后,根据已捕获流量数据地址信息位于接收数据中的位置与地址信息位于发送数据中的位置与调整过程,生成与目标服务交互的漏洞利用的脚本。
进一步地,所述影子服务是指在与被攻击目标机器环境一致的环境下启动被攻击服务,并保留可实时获取目标进程信息的影子服务后门;所述影子服务地址空间映射信息通过所述影子服务后门接口获取并确认。
进一步地,将所述已捕获流量数据按照发送和接收时间戳进行交互过程排列。
进一步地,获取所述已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置的过程,包括:
1、将影子服务接收的数据与已捕获数据流量进行长度对比,如长度不等则进行修正;
2、从影子服务中接收的数据进行暴力破解,将小于地址字节大小的一段数据作为滑动窗口,将窗口内数据转换为整数;
3、与从影子服务地址空间映射信息进行比对,查看是否该整数位于地址空间映射中;
4、不断将滑动窗口后移,记录整数位于地址空间映射中的接收数据窗口位置;
5、将已捕获流量中相应数据包的同一位置内容转换为整数,并且计算得到已捕获数据流量所对应进程的部分映射,并进行记录;
6、记录已捕获数据流量地址信息位于接收数据的位置。
进一步地,所述修正方法为采取动态规划方法补充空字节。
进一步地,所述获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正的过程,包括:
1、通过滑动窗口,在每一次滑动后,将窗口内的发送数据内容转换为整数数据;
2、将整数数据位于内存映射信息中的发送数据,按所述地址信息偏移量进行修正,并向影子服务发送。
进一步地,所述偏移量为影子服务中地址与影子服务对应地址基址的偏移量。
进一步地,所述的将流量中滑动窗口中的数据转换为整数的方法是按照已捕获流量对应进程所对应的操作系统运行环境,根据其端序将数据直接转换为整数。
进一步地,所述生成与目标服务交互的漏洞利用的脚本的过程,包括:
1、配置初始化部分、发送及接收数据的形式;
2、按照数据接收及发送记录,根据发送与接收数据形式生成发送和接收步骤脚本,并按照记录生成数据修正过程脚本。
一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的系统,包括:
1、接收影子服务数据模块,用以获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置;
2、发送数据给影子服务模块,用以获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正,将已修正的数据发送给影子服务;
3、生成漏洞利用脚本模块,用以根据已捕获流量数据地址信息位于接收数据中的位置与地址信息位于发送数据中的位置与调整过程,生成与目标服务交互的漏洞利用的脚本。
与现有技术相比,本发明的积极效果如下:
本发明可以在已捕获内存破坏漏洞攻击流量中提取出漏洞利用过程,可正确处理漏洞利用过程中可能存在的地址空间随机化绕过步骤,并将该漏洞利用过程以脚本方式生成,防御者可对脚本进行调试分析,加速对攻击流量中包含的攻击方法的分析和理解。本发明可用于服务器受到攻击后的取证或是对相同漏洞的进一步攻击的防御。
附图说明
图1本发明的整体流程图;
图2本发明获取影子服务流量中地址内容暴力破解流程图;
图3本发明获取已捕获流量目标进程地址映射基址流程图;
图4本发明发送流量修正过程流程图;
图5本发明与影子服务交互流程图。
具体实施方式
以下参照附图对本发明进行详细说明,但本发明不局限于下面的实施方式。
如图1所示为整体流程图。首先通过网络流量预处理阶段,对网络流量进行文件格式解析和初步筛选,然后初始化启动影子服务和其附带后门接口。之后,对流量进行分析,分析过程通过与影子服务交互完成,需要进行流量补齐、地址提取、映射恢复和地址修正。通过反复进行交互,得到包含交互过程和已捕获流量目标进程映射信息的分析记录。在此分析记录基础上,可进行最终的漏洞利用脚本生成,得到漏洞利用脚本。
本发明采用影子服务,在与被攻击目标机器环境一致的环境下启动被攻击服务,同时保留可实时获取目标进程信息的后门。后门根据不同操作系统采用不同的实现方式,例如在 Linux系统上可采用proc文件系统进行实时进程信息获取,可使用网络接口等方式将信息传输至分析模块中。
通过对流量数据进行PCAPNG格式解析、TCP流提取以及流量清洗对已捕获流量数据进行处理,获取数据中的TCP流。TCP流提取过程通过将PCAPNG文件格式解析后的网络包根据TCP协议SEQ和ACK标志进行排序得到完整的TCP交互流。流量清洗过程通过黑白名单,之后进行模式匹配的方式进行,筛选出有可能为利用的流量。最后将TCP流进行处理,使其按照发送和接收的时间戳交互过程排列。
在从影子服务接收数据后,与已捕获数据流量进行长度对比,如长度不等则进行修正。所述修正方法为采取动态规划方法补充空字节,使得网络流量之间差距最小。
如图2所示为获取影子服务流量中地址内容暴力破解流程图。首先,对滑动窗口大小进行设置,将小于地址字节大小的一段数据作为滑动窗口。本实例中,滑动窗口范围可设为1 至8字节。之后对从影子服务中接收的数据使用滑动窗口,将该滑动窗口不停向后滑动,每次滑动将窗口内信息转换为整数,将该整数作为地址空间信息,查找该信息是否位于影子服务地址空间中。影子服务地址空间信息通过影子服务后门接口已经获取并确认。最后不断调整滑动窗口大小,从1字节开始,逐次增加至8字节。在过程中,将每次确认的滑动窗口位置进行记录。所述的将流量中滑动窗口中的数据转换为整数的计算方式为按照已捕获流量对应进程所对应的操作系统运行环境,根据其端序将数据直接转换为整数。
如图3所示为获取已捕获流量目标进程地址映射基址流程图。首先,按照之前步骤中已经完成的影子服务流量中地址内容的暴力破解,获取到地址内容位于流量中的位置。之后将该位置对应已捕获流量中的数据提取出,转换为整数,将其作为地址,减去偏移量,该偏移量为影子服务中地址与影子服务对应地址基址的偏移量。最后得到已捕获数据流量对应进程的内存映射基址,将该基址进行记录。除此以外,还记录下地址信息位于接收数据的位置。
如图4所示为发送流量修正过程流程图。在向影子服务发送数据之前,需要将已捕获流量中发送数据部分的地址信息进行修正。首先利用在之前步骤已经获取到的已捕获流量数据所对应进程的内存映射,使用与接收时同样方法进行暴力破解,查找发送数据中的地址信息。通过采用大小为1至8字节的滑动窗口,在每一次滑动后,将窗口内的数据内容转换为整数数据,并且将整数数据与在之前步骤中已经恢复的已捕获数据对应进程的内存映射信息进行查找,如果该数据位于内存映射信息中,则认为该数据对应了地址信息。之后,将该地址信息按偏移量进行修正,最后,将已修正的数据作为需要向影子服务发送的数据进行发送。
如图5所示为与影子服务交互流程图,交互过程可分为发送和接收两种可能。此时已捕获流量中的流量包已经按照时间顺序进行排序,之后按照流量包的时间顺序,依次遍历每一个流量包,当当前流量包是接收包时,会从影子服务接收相同字节数数据,之后按照图2与图3所述方法进行提取地址、恢复映射步骤,并且将过程进行记录。当当前流量包为发送包时,则会首先对发送流量数据按照图4中所描述的方法进行修正,在修正后进行发送,并且将发送过程所涉及的内容进行记录。
在与影子服务的交互完成后,根据之前记录下的地址信息位于接收数据中的位置与地址信息位于发送数据中的位置与调整过程,生成与目标服务交互的漏洞利用的脚本。
漏洞利用脚本生成阶段通过采取可由用户自定义指定的配置方法,采用同一规则生成使用不同交互接口或是不同编程语言下可以使用的脚本或是程序,该生成方式本身与交互接口和语言无关。过程为首先配置初始化部分、发送及接收数据的形式,再按照数据接收及发送记录,根据发送与接收数据形式生成发送和接收步骤脚本,并按照记录生成数据修正过程脚本。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (8)

1.一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的方法,包括以下步骤:
1)根据影子服务地址空间映射信息,从接收到的影子服务数据中获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置;
2)获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正,并将已修正的数据发送给影子服务;
3)在与影子服务的交互完成后,根据已捕获流量数据地址信息位于接收数据中的位置与地址信息位于发送数据中的位置与调整过程,生成与目标服务交互的漏洞利用的脚本;其中,获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正的过程,包括:
1)将影子服务接收的数据与已捕获数据流量进行长度对比,如长度不等则进行修正;
2)从影子服务中接收的数据进行暴力破解,将小于地址字节大小的一段数据作为滑动窗口,将窗口内数据转换为整数;
3)与从影子服务地址空间映射信息进行比对,查看是否该整数位于地址空间映射中;
4)不断将滑动窗口后移,记录整数位于地址空间映射中的接收数据窗口位置;
5)将已捕获流量中相应数据包的同一位置内容转换为整数,并且计算得到已捕获数据流量所对应进程的部分映射,并进行记录;
6)记录已捕获数据流量地址信息位于接收数据的位置;
所述获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正的过程,包括:
1)通过滑动窗口,在每一次滑动后,将窗口内的发送数据内容转换为整数数据;
2)将整数数据位于内存映射信息中的发送数据,按该地址信息偏移量进行修正,并向影子服务发送。
2.如权利要求1所述的方法,其特征在于,所述影子服务是指在与被攻击目标机器环境一致的环境下启动被攻击服务,并保留可实时获取目标进程信息的后门;所述影子服务地址空间映射信息通过影子服务后门接口获取并确认。
3.如权利要求1所述的方法,其特征在于,将所述已捕获流量数据按照发送和接收时间戳进行交互过程排列。
4.如权利要求1所述的方法,其特征在于,所述修正方法为采取动态规划方法补充空字节。
5.如权利要求1所述的方法,其特征在于,所述偏移量为影子服务中地址与影子服务对应地址基址的偏移量。
6.如权利要求1所述的方法,其特征在于,所述的将流量中滑动窗口中的数据转换为整数的方法是按照已捕获流量对应进程所对应的操作系统运行环境,根据其端序将数据直接转换为整数。
7.如权利要求1所述的方法,其特征在于,所述生成与目标服务交互的漏洞利用的脚本的过程,包括:
1)配置初始化部分、发送及接收数据的形式;
2)按照数据接收及发送记录,根据发送与接收数据形式生成发送和接收步骤脚本,并按照记录生成数据修正过程脚本。
8.一种对已捕获内存破坏漏洞攻击流量进行漏洞利用生成的系统,包括:
1)接收影子服务数据模块,用以获取已捕获数据流量的内存映射基址以及该基址在接收数据中所对应的位置;
2)发送数据给影子服务模块,用以获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正,将已修正的数据发送给影子服务;
3)生成漏洞利用脚本模块,用以根据已捕获流量数据地址信息位于接收数据中的位置与地址信息位于发送数据中的位置与调整过程,生成与目标服务交互的漏洞利用的脚本;
其中,获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正的过程,包括:
1)将影子服务接收的数据与已捕获数据流量进行长度对比,如长度不等则进行修正;
2)从影子服务中接收的数据进行暴力破解,将小于地址字节大小的一段数据作为滑动窗口,将窗口内数据转换为整数;
3)与从影子服务地址空间映射信息进行比对,查看是否该整数位于地址空间映射中;
4)不断将滑动窗口后移,记录整数位于地址空间映射中的接收数据窗口位置;
5)将已捕获流量中相应数据包的同一位置内容转换为整数,并且计算得到已捕获数据流量所对应进程的部分映射,并进行记录;
6)记录已捕获数据流量地址信息位于接收数据的位置;
所述获取已捕获流量数据中发送数据部分的地址信息并进行偏移量修正的过程,包括:
1)通过滑动窗口,在每一次滑动后,将窗口内的发送数据内容转换为整数数据;
2)将整数数据位于内存映射信息中的发送数据,按该地址信息偏移量进行修正,并向影子服务发送。
CN201910769538.1A 2019-08-20 2019-08-20 针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统 Active CN110493226B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910769538.1A CN110493226B (zh) 2019-08-20 2019-08-20 针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910769538.1A CN110493226B (zh) 2019-08-20 2019-08-20 针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统

Publications (2)

Publication Number Publication Date
CN110493226A CN110493226A (zh) 2019-11-22
CN110493226B true CN110493226B (zh) 2020-10-20

Family

ID=68552237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910769538.1A Active CN110493226B (zh) 2019-08-20 2019-08-20 针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统

Country Status (1)

Country Link
CN (1) CN110493226B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910842B (zh) * 2021-01-14 2021-10-01 中国电子科技集团公司第十五研究所 一种基于流量还原的网络攻击事件取证方法与装置
CN114268468A (zh) * 2021-12-03 2022-04-01 南方电网数字电网研究院有限公司 网络流量处理系统、方法、装置、计算机设备和存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515320A (zh) * 2009-04-10 2009-08-26 中国科学院软件研究所 一种攻击时漏洞检测方法及其系统
CN101847121A (zh) * 2010-05-07 2010-09-29 北京大学 一种软件漏洞挖掘方法
US7945953B1 (en) * 2005-07-06 2011-05-17 Symantec Corporation Method to identify buffer overflows and RLIBC attacks
JP2012146004A (ja) * 2011-01-07 2012-08-02 Dainippon Printing Co Ltd 携帯装置及び動的データの格納位置変更方法
CN103905450A (zh) * 2014-04-03 2014-07-02 国家电网公司 智能电网嵌入式设备网络检测评估系统与检测评估方法
CN107370756A (zh) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN108959936A (zh) * 2018-06-28 2018-12-07 中国人民解放军国防科技大学 一种基于路径分析的缓冲区溢出漏洞自动利用方法
CN110110525A (zh) * 2019-04-26 2019-08-09 北京中润国盛科技有限公司 一种基于机器学习和深度学习的漏洞挖掘方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104363236A (zh) * 2014-11-21 2015-02-18 西安邮电大学 一种自动化漏洞验证的方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7945953B1 (en) * 2005-07-06 2011-05-17 Symantec Corporation Method to identify buffer overflows and RLIBC attacks
CN101515320A (zh) * 2009-04-10 2009-08-26 中国科学院软件研究所 一种攻击时漏洞检测方法及其系统
CN101847121A (zh) * 2010-05-07 2010-09-29 北京大学 一种软件漏洞挖掘方法
JP2012146004A (ja) * 2011-01-07 2012-08-02 Dainippon Printing Co Ltd 携帯装置及び動的データの格納位置変更方法
CN103905450A (zh) * 2014-04-03 2014-07-02 国家电网公司 智能电网嵌入式设备网络检测评估系统与检测评估方法
CN107370756A (zh) * 2017-08-25 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
CN108959936A (zh) * 2018-06-28 2018-12-07 中国人民解放军国防科技大学 一种基于路径分析的缓冲区溢出漏洞自动利用方法
CN110110525A (zh) * 2019-04-26 2019-08-09 北京中润国盛科技有限公司 一种基于机器学习和深度学习的漏洞挖掘方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"A Fine-Grained Control Flow Integrity Approach Against Runtime Memory Attacks for Embedded Systems";S. Das, W. Zhang and Y. Liu;《in IEEE Transactions on Very Large Scale Integration (VLSI) Systems》;20160930;3193-3207 *
"Jump over ASLR: Attacking branch predictors to bypass ASLR";D. Evtyushkin, D. Ponomarev and N. Abu-Ghazaleh;《2016 49th Annual IEEE/ACM International Symposium on Microarchitecture (MICRO), Taipei, 2016》;20161231;1-13 *
"内存地址泄漏分析与防御";傅建明,刘秀文,汤毅,李鹏伟;《计算机研究与发展》;20191231;1829-1849 *

Also Published As

Publication number Publication date
CN110493226A (zh) 2019-11-22

Similar Documents

Publication Publication Date Title
Comparetti et al. Prospex: Protocol specification extraction
US8015605B2 (en) Scalable monitor of malicious network traffic
CN110493226B (zh) 针对内存破坏漏洞攻击流量漏洞利用生成的方法及系统
CN104506484A (zh) 一种私有协议分析与识别方法
US20150264072A1 (en) System and Method for Extracting and Preserving Metadata for Analyzing Network Communications
CN111818103B (zh) 一种网络靶场中基于流量的溯源攻击路径方法
WO2009093226A3 (en) A method and apparatus for fingerprinting systems and operating systems in a network
CN110868409A (zh) 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统
CN109450733B (zh) 一种基于机器学习的网络终端设备识别方法及系统
KR20080102505A (ko) 파일 탐색 시스템 및 방법
CN109831448A (zh) 针对特定加密网页访问行为的检测方法
CN110380935A (zh) 端口扫描方法与装置
CN102035847B (zh) 用户访问行为处理方法、系统和客户端
Pluskal et al. Netfox detective: A novel open-source network forensics analysis tool
CN101980477B (zh) 检测影子用户的数目的方法和装置及网络设备
JP2015106914A (ja) マルウェア通信解析装置、及びマルウェア通信解析方法
CN115866299B (zh) 视频防篡改方法、装置、电子设备及存储介质
KR101081433B1 (ko) IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체
CN116318975A (zh) 一种基于多会话和多协议的恶意流量检测方法与系统
CN116346444A (zh) 视频防篡改方法、装置、电子设备及存储介质
CN112926050B (zh) 基于hook技术获取ssh加密内容的方法及其应用
US11621977B2 (en) Network forensic system for performing transmission metadata tracking and analysis
CN102891781B (zh) 网络共享检测系统和网络共享检测方法
CN110493081B (zh) 游戏客户端的网络流量确定方法、装置、设备及存储介质
CN109657447B (zh) 一种设备指纹生成方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant