CN110602030A - 网络入侵阻断方法、服务器及计算机可读介质 - Google Patents
网络入侵阻断方法、服务器及计算机可读介质 Download PDFInfo
- Publication number
- CN110602030A CN110602030A CN201910407784.2A CN201910407784A CN110602030A CN 110602030 A CN110602030 A CN 110602030A CN 201910407784 A CN201910407784 A CN 201910407784A CN 110602030 A CN110602030 A CN 110602030A
- Authority
- CN
- China
- Prior art keywords
- network
- response
- flow
- traffic
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络入侵阻断方法、服务器及计算机可读介质,能够对接收的网络请求流量进行风险评估得到第一风险评估值,并在第一风险评估值满足预设的风险标注规则时对相应的网络请求流量进行标注,再进一步对该标注过的网络请求流量对应的可疑网络响应流量进行风险评估得到第二风险评估值,在第二风险评估值满足预设的风险阻断规则时阻断该可疑网络响应流量,从而将网络请求流量和对应的网络响应流量结合起来进行分析,实现了对网络入侵检测特征的泛化学习能力,降低了网络入侵检测的误报率和漏报率,提高了网络入侵检测的精确程度,并且可实时对可疑网络流量进行阻断,提高了对网络入侵的响应速度,避免了网络入侵检测的滞后性,降低了对网站造成损害的可能性。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种网络入侵阻断方法、服务器及计算机可读介质。
背景技术
随着互联网的发展,网站被入侵事件频发,如网站用户数据被黑客盗取贩卖,网站内容被篡改为非法内容,网站个人账户金额被非法操纵等,给网站及网民带来了不小的伤害与损失。黑客通常利用网站存在的漏洞尝试对网站上传Webshell文件(即网站后门文件),目的是通过Webshell文件进行进一步的入侵、提升权限,最终实现网络入侵的非法目的。
当前,对网络入侵的检测方案主要有三种:Webshell文件检测识别、Webshell通信识别和利用日志分析识别Webshell。Webshell文件检测识别方案,主要通过对存放在服务器磁盘上的文件进行文件扫描或内容检测,如通过文件的hash值比对、文件内容特征值提取与匹配等。这些检测手段比较固定化、模式化,没有泛化学习能力,黑客可以通过使用变形、逃逸手法来逃避检测。因此,这种检测方式的漏报率往往比较高。另外,Webshell文件检测识别方案需要在服务器上安装相应的检测软件,对于网站管理者而言,还要关注软件的版本状态,需要一定的更新维护成本。
Webshell通信识别方案,主要通过客户端与服务器之间的请求通信流量特征进行识别,如利用字符串特征匹配或正则表达式匹配来识别,该方式同样无泛化学习能力,黑客很容易通过添加注释、特殊字符、截断等及时手段来绕过这些特征匹配,从而导致漏报率大大提高;另外可以通过机器学习或深度学习算法来进行识别,该方式具备相应的泛化能力,但在具体实现上都是通过流量镜像拷贝技术进行检测,不能做到及时阻断。该方案最大的弊端就是仅仅对webshell的请求通信流量做识别,而网络上经常有黑客发起大量盲扫性质的寻找webshell的请求包,这些大量的扫描探测通信流量往往会被识别为webshell通信而造成大量的误报,从而使精确度大大下降。
利用日志分析识别webshell方案,主要通过后期对网站的访问日志做相应的数据分析,从中找出可疑的访问URL,作为疑似webshell。该方案的缺陷在于:一方面,由于访问日志中的数据维度有限,往往只能结合访客IP、URL特征、状态码等有限维度,因而准确度往往不高;另一方面,该方案使用的访问日志,基本是通过离线后期任务按照一定的时间窗口定期执行所获得,不能做到实时识别,滞后性很严重,即便发现了webshell,也有可能因为滞后性,网站已经受到了不可估量的侵害。
发明内容
本申请的一个目的是提供一种网络入侵阻断方法、服务器及计算机可读介质,用于解决的一个技术问题是难以实时发现网络入侵并及时阻断的问题。
为实现上述目的,本申请提供了一种网络入侵阻断方法,其中,该方法包括:
接收网络请求流量;
对所述网络请求流量进行风险评估,确定第一风险评估值;
若所述第一风险评估值满足预设的风险标注规则,对所述网络请求流量进行标注;
获取可疑网络响应流量,所述可疑网络响应流量与标注过的网络请求流量相对应;
对所述可疑网络响应流量进行风险评估,确定第二风险评估值;
若所述第二风险评估值满足预设的风险阻断规则,阻断所述可疑网络响应流量。
进一步地,接收网络请求流量之后,还包括:
对所述网络请求流量进行解析,获取所述网络请求流量的网络请求参数;
对所述网络请求参数以递归方式进行解码,获取解码后的网络请求参数。
进一步地,对所述网络请求流量进行风险评估,确定第一风险评估值,包括:
对解码后的网络请求参数进行特征分析,根据特征分析结果确定第一风险评估值。
进一步地,对所述网络请求流量进行风险评估,确定第一风险评估值,包括:
对解码后的网络请求参数通过预设模型进行模型预测,根据模型预测结果确定第一风险评估值,所述预设模型通过机器学习算法或深度学习算法建立。
进一步地,对所述网络请求流量进行标注,包括:
在网络请求信息中为所述网络请求流量进行标注,所述网络请求信息包括与所述网络请求流量相关的上下文信息。
进一步地,获取可疑网络响应流量之后,还包括:
对所述可疑网络响应流量进行解析,获取所述可疑网络响应流量的响应主体参数。
进一步地,对所述可疑网络响应流量进行风险评估,确定第二风险评估值,包括:
将所述可疑网络响应流量通过预设的神经网络模型进行模型预测,根据模型预测结果确定第二风险评估值。
进一步地,将所述可疑网络响应流量通过预设的神经网络模型进行模型预测,根据模型预测结果确定第二风险评估值,包括:
将所述响应主体参数转换为数字向量;
将所述数字向量作为输入数据输入预设的神经网络模型,获取模型预测值;
将所述模型预测值确定为第二风险评估值。
进一步地,将所述响应主体参数转换为数字向量,包括:
对所述响应主体参数进行分词,获取所述响应主体参数中的单词;
根据预设字典和每个所述单词,获取每个所述单词对应的数字;
将所有数字以对应单词的相同顺序进行组合,生成数字向量。
进一步地,该方法还包括:
获取网络响应流量样本,所述网络响应流量样本包括正常网络响应流量样本和可疑网络响应流量样本;
对所述网络响应流量样本进行分词,并将分词结果中的单词确定为所述预设字典中的单词;
按照所述分词结果中的单词在所述网络响应流量样本中的出现次数排序,将所述单词在排序结果中的序号确定为该单词在预设字典中对应的数字。
进一步地,对所述可疑网络响应流量进行风险评估,确定第二风险评估值,包括:
对所述可疑网络响应流量进行特征分析,根据特征分析结果确定第二风险评估值。
进一步地,阻断所述可疑网络响应流量,包括:
终止向所述可疑网络响应流量的目的地址发送该可疑网络响应流量。
进一步地,阻断所述可疑网络响应流量,还包括:
将所述可疑网络响应流量中对应网络资源的访问地址添加到访问控制黑名单中。
进一步地,该方法还包括:
若所述网络请求流量所请求网络资源的地址为所述访问控制黑名单中的地址,阻断所述网络请求流量。
进一步地,该方法还包括:
获取网络响应流量样本,所述网络响应流量样本包括正常网络响应流量样本和可疑网络响应流量样本;
将所述网络响应流量样本作为训练数据,通过神经网络算法进行训练获取预设的神经网络模型。
进一步地,该方法还包括:
将被阻断的所述可疑网络响应流量添加到所述网络响应流量样本中,生成更新后的网络响应流量样本;
将所述更新后的网络响应流量样本作为训练数据,通过神经网络算法进行训练获取更新后的神经网络模型;
将预设的神经网络模型替换为所述更新后的神经网络模型。
本申请还提供了一种服务器,该服务器包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,使该服务器执行前述网络入侵阻断方法。
本申请还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现前述网络入侵阻断方法。
与现有技术相比,本申请提供的方案能够对接收的网络请求流量进行风险评估得到第一风险评估值,并在第一风险评估值满足预设的风险标注规则时对相应的网络请求流量进行标注,再进一步对该标注过的网络请求流量对应的可疑网络响应流量进行风险评估得到第二风险评估值,在第二风险评估值满足预设的风险阻断规则时阻断该可疑网络响应流量,从而将网络请求流量和对应的网络响应流量结合起来进行分析,实现了对网络入侵检测特征的泛化学习能力,降低了网络入侵检测的误报率和漏报率,提高了网络入侵检测的精确程度,并且可实时对可疑网络流量进行阻断,提高了对网络入侵的响应速度,避免了网络入侵检测的滞后性,降低了对网站造成损害的可能性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请的一些实施例提供的一种网络入侵阻断方法的流程图。
图2为本申请的一些优选实施例提供的一种网络入侵阻断系统的模块交互示意图。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本申请的一些实施例提供了一种网络入侵阻断方法,如图1所示,该方法具体可包括如下步骤:
步骤S101,接收网络请求流量;
步骤S102,对所述网络请求流量进行风险评估,确定第一风险评估值;
步骤S103,若所述第一风险评估值满足预设的风险标注规则,对所述网络请求流量进行标注;
步骤S104,获取可疑网络响应流量,所述可疑网络响应流量与标注过的网络请求流量相对应;
步骤S105,对所述可疑网络响应流量进行风险评估,确定第二风险评估值;
步骤S106,若所述第二风险评估值满足预设的风险阻断规则,阻断所述可疑网络响应流量。
在步骤S101中,服务器端接收客户端发送的网络请求流量,在此,网络请求流量可以为TCP报文,TCP报文由TCP报文头部和TCP报文内容组成。服务器端可以包括支持网络连接从而提供各种网络服务的硬件设备或软件。当服务器端包括硬件时,其可以实现成多个网络设备组成的分布式设备群,也可以实现成单个网络设备,如实现成分布式服务器或单个服务器。当服务器端包括软件时,可以安装在上述所列举的网络设备中。这时,作为软件,其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
客户端可以是能够通过网络访问所述网络端的各种电子设备,其可以实现为硬件设备或软件。当客户端包括硬件时,其可包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。当客户端包括软件时,可以安装在上述各种电子设备中,并可以实现为单个或多个软件模块。
本申请的一些实施例中,服务器端在接收网络请求流量之后,还可以进行如下操作:对该网络请求流量进行解析,获取该网络请求流量的网络请求参数。具体来说,服务器端将客户端发送的TCP报文解析得到应用层的HTTP报文,进而根据HTTP协议,对HTTP报文解析出请求方法、请求域名、请求行、请求参数、每个请求头部字段等网络请求参数。解析得到的网络请求参数按照HTTP协议划分成不同的待检测区域,可以根据不同的检测区域进行不同策略的检测。
获得网络请求参数之后,服务器端对得到的网络请求参数以递归方式进行解码,获取解码后的网络请求参数。具体来说,是对HTTP报文中的网络请求参数中可以进行编码的字段部分进行解码操作,从而防止网络黑客利用编码方式来绕过网络入侵检测。HTTP报文中可进行编码的请求参数主要包括有请求参数、请求的cookie、请求的主体等。请求参数中常见的编码、解码方式包括URL编码、base64编码、十六进制编码、html实体编码、unicode编码等。现有技术下的网络请求参数检测往往只针对一种或几种编码方式的解码检测,难以检测多种编码组合使用的情况,从而造成网络入侵行为的漏报。多种编码组合使用例如一段字符串先经过URL编码后,再使用base64编码,之后再使用URL编码等,网络黑客可通过多种编码组合绕过现有的网络请求参数检测,从而实现网络入侵。
本申请的一些实施例中,服务器端通过递归方式对网络请求参数进行解码,从而能够还原出网络请求参数的原始数据,避免网络黑客通过多种编码组合绕过网络入侵检测。例如,可通过AC自动机算法对网络请求参数数据进行扫描,AC自动机算法是一种字符串搜索算法,用于在输入的一串字符串中匹配有限组“字典”中的子串,它与普通字符串匹配算法的不同点在于可同时与所有字典串进行匹配。在网络请求参数数据扫描过程中,通过分析数据是否具备某种编码的特征,来自动确定需要使用的解码算法并进行相应的解码。例如数据中含有“%20”字符串,则可认为该数据具备URL编码的特征,因此可对该数据进行URL解码。在解码完成后,再次扫描解码后的网络请求参数数据,并再次根据数据的特征自动确定使用的解码算法并进行相应的解码,该扫描过程可能会持续多次,直至无需解码。现有的网络请求参数检测方案中,有些方案不支持对参数数据的解码操作,另一些方案则是固定的解码操作,只能进行某些固定算法的解码,不能根据参数数据的特征进行动态的解码算法选择。
在步骤S102中,服务器端对接收的网络请求流量进行风险评估,确定第一风险评估值。具体来说,服务器端可以对解码后的网络请求参数进行风险评估,根据风险评估结果确定第一风险评估值。
本申请的一些实施例中,对网络请求流量进行风险评估,可以采用但不限于特征分析方法或模型预测方法。如果采用模型预测方法,具体来说可对解码后的网络请求参数通过预设模型进行模型预测,根据模型预测结果确定第一风险评估值,在此,预设模型为通过机器学习算法或深度学习算法对网络请求参数的样本进行建模所得到。
如果采用特征分析方法,具体来说可对解码后的网络请求参数进行特征分析,根据特征分析结果确定第一风险评估值。本申请的一些实施例中,服务器端对解码后的网络请求参数通过与预先确定的该参数的特征进行匹配来进行特征分析,在此,预先确定的该参数的特征可根据对网络入侵行为中该参数中频繁出现的信息来确定,例如,在网络入侵行为中,URL参数中通常包括有动态脚本,因此,可将URL参数是否具有动态脚本性质作为预先确定的参数特征。
本申请的一些实施例中,服务器端在确定解码后的网络请求参数中存在预先确定的参数特征后,增加该网络请求参数的风险评估值,并将所有的网络请求参数的风险评估值累加到一起,作为该网络请求流量的第一风险评估值。该第一风险评估值可以为十分制的数值,值越大,说明该网络请求流量为网络入侵行为的可能性越大。
例如,服务器端可先对HTTP协议报文的URL参数进行特征分析,即通过扫描URL是否存在预置好的特征条件(如URL是否具备动态脚本的性质等),如果条件符合则进行计分(分值累加),如加1分;再对HTTP报文中的referer参数进行特征分析(如是否含有referer字段,referer字段是否是URL自身等),如果符合预置的特征条件则进行计分;再对HTTP报文中的请求参数和请求主体进行特征分析,例如可对请求参数中的参数键值对、请求主体中的参数键值对或上传的文件内容进行木马特征分析等,如果符合预置的条件则进行计分;对HTTP协议报文中的参数进行特征分析完后,最终得到第一风险评估值,该评估值用于评估该网络请求流量为网络入侵行为的网络请求流量的风险程度,如果该评估值满足了相应的风险标注规则,则说明该网络请求流量为网络入侵行为的网络请求流量的可能性较大,需要先对该网络请求流量进行标注,再结合该网络请求流量对应的网络响应流量来进行综合判定。
在步骤S103中,若所述第一风险评估值满足预设的风险标注规则,服务器端对该网络请求流量进行标注。具体来说,服务器端在网络请求信息中为该网络请求流量进行标注,网络请求信息包括与该网络请求流量相关的上下文信息。在此,服务器端保存有网络请求信息,接收新的网络请求流量后服务器端在网络请求中添加与该网络请求流量相关的上下文信息,从而通过网络请求信息对网络请求流量进行管理,在需要对某个网络请求流量进行标注时,可通过对该网络请求流量的上下文信息中的标识进行标注,也可在上下文信息中增加一条标注信息。
本申请的一些实施例中,预设的风险标注规则可为用户预先设定的对网络请求流量的风险程度进行判断的规则,如果第一风险评估值符合风险标注规则的要求,则对该网络请求流量进行标注,否则就不进行标注。风险标注规则中可包括预设的第一阈值,将第一风险评估值与第一阈值进行比较,根据比较结果来确定是否进行标注。第一阈值可以为一个十分制的值,用于区分特征分析结果是否为网络入侵,该阈值可以是网络安全用户的人为设定,也可以是通过对网络入侵行为的相关特征的统计分析确定。风险标注规则可例如为“如果第一风险评估值大于第一阈值,对网络请求流量进行标注”,或例如为“如果第一风险评估值小于第一阈值,对网络请求流量进行标注”等。在此,根据记分方式的不同,风险评估规则的判断结果不同,例如,将第一风险评估值的初始分定为10分,记分方式为累减,即满足一个异常特征减少1分,第一阈值为6分,第一风险评估值的最终得分为5分,第一风险评估值小于第一阈值,该网络请求流量为可疑的网络请求流量,应该进行标注,风险标注规则为“如果第一风险评估值小于第一阈值,对网络请求流量进行标注”。
将第一风险评估值通过预设的风险标注规则进行判断,能够快速地筛选出可疑的网络访问行为,从而规避掉对正常网络资源如静态资源、图片、js、css等访问行为的无必要检测,只需对可疑网络访问行为的响应流量做进一步的深入分析,从而可以提高检测效率。
在步骤S104中,服务器端获取可疑网络响应流量,该可疑网络响应流量是标注过的网络请求流量对应的网络响应流量。在此,服务器端获取所有的网络响应流量,包括正常的网络请求流量对应的响应流量,也包括被标注过的网络请求流量对应的响应流量。服务器端可根据网络请求信息中的标注确定相应的网络响应流量,该网络响应流量为可疑网络响应流量。此外,可疑网络响应流量可以由该服务器端根据网络请求流量产生,也可以由接收网络请求流量的服务器端之外的服务器端产生。
本申请的一些实施例中,服务器端获取可疑网络响应流量之后,还可执行如下操作:对该可疑网络响应流量进行解析,获取该可疑网络响应流量的响应主体参数。在此,可疑网络响应流量可为TCP报文,服务器端从TCP报文中解析出HTTP报文内容,再根据对HTTP响应报文的解析获得响应主体参数的数据。
在步骤S105中,服务器端对所述可疑网络响应流量进行风险评估,确定第二风险评估值。本申请的一些实施例中,对可疑网络响应流量进行风险评估,可以采用但不限于特征分析方法或模型预测方法。如果采用特征分析方法,则是对可疑网络响应流量进行特征分析,根据特征分析结果确定第二风险评估值,具体来说,可利用对可疑网络响应流量或对解析后的可疑网络响应流量,使用特征字符串查找或正则表达式匹配,检测是否含有特定的特征。如果采用模型预测方法,具体来说可将可疑网络响应流量通过预设的神经网络模型进行模型预测,根据模型预测结果确定第二风险评估值。
本申请的一些实施例中,服务器端可根据预设的神经网络模型和该可疑网络响应流量的响应主体参数来确定第二风险评估值,具体来说,可包括如下步骤:
1)将响应主体参数转换为数字向量;
2)将数字向量作为输入数据输入预设的神经网络模型,获取模型预测值;
3)将得到的模型预测值确定为第二风险评估值。
本申请的一些实施例中,服务器端将响应主体参数转换为数字向量,可包括如下步骤:
1)对响应主体参数进行分词,获取响应主体参数中的单词;
2)根据预设字典和每个所述单词,获取每个所述单词对应的数字;
3)将所有数字以对应单词的相同顺序进行组合,生成数字向量。
在此,响应主体参数为字符串,将该字符串作为输入通过分词算法进行分词,将该字符串从头到尾按照先后顺序分成独立的单词,从而形成一个单词的序列。再对单词序列中的每个单词在预设字典中查找该单词对应的数字,并将查询得到的数字以对应单词在单词序列中的顺序组合到一起,形成一个数字序列,该数字序列即为数字向量。
本申请的一些实施例中,预设字典是预先生成的,字典包括单词和对应的数字,其中单词是唯一的,每个单词对应的数字也是唯一的。生成预设字典可具体包括如下步骤:
1)获取网络响应流量样本;
2)对该网络响应流量样本进行分词,并将分词结果中的单词确定为预设字典中的单词;
3)按照所述分词结果中的单词在所述网络响应流量样本中的出现次数排序,排序方式可为顺序或倒序,将该单词在排序结果中的序号确定为该单词在预设字典中对应的数字。
在此,网络响应流量样本包括正常网络响应流量样本和可疑网络响应流量样本,这些样本通过对正常网络响应流量和可疑网络响应流量进行收集、整理和分析获得,可以人工方式或自动化方式对这些样本进行收集和整理,网络响应流量样本通常包括多条正常网络响应流量和可疑网络响应流量。得到网络响应流量样本之后,再对网络响应流量样本进行分词,找出该样本中所有出现过的单词,具体来说,可以是对网络响应流量中的响应主体参数进行分词。获取所有单词之后,再统计每个单词在网络响应流量样本中的出现次数,并按照单词的出现次数进行排序,此时每个单词都对应有序号,该序号就是该单词在预设字典中对应的数字。
本申请的一些实施例中,预设的神经网络模型也为预先生成,神经网络模型由使用神经网络算法对训练数据进行建模得到,生成神经网络模型可包括如下步骤:
1)获取网络响应流量样本;
2)将该网络响应流量样本作为训练数据,通过神经网络算法进行训练获取预设的神经网络模型。
在此,网络响应流量样本包括正常网络响应流量样本和可疑网络响应流量样本,网络响应流量样本通常包括多条正常网络响应流量和可疑网络响应流量,网络响应流量样本中的网络响应流量的神经网络算法的输出值为确定值,例如0或1。具体来说,可将网络响应流量中的响应主体参数作为训练数据,通过神经网络算法的训练得到神经网络模型。由于神经网络算法不能直接处理字符串形式的响应主体参数,因此可先将响应主体参数转换为数字向量,再将转换得到的数字向量输入神经网络算法。在将响应主体参数转换为数字向量的过程中,可采用前述对响应主体参数先分词,再根据分词后得到的单词在预设字典中查找对应的数字,再根据得到的数字生成数字向量的方法。
本申请的一些实施例中,将可疑网络响应流量的响应主体参数转换后的数字向量输入预设的神经网络模型后,可得到该模型的预测值。在此,该预测值可用于表明该可疑网络响应流量为网络入侵行为的可能性,预测值越大,该可疑网络响应流量为网络入侵行为的概率越大,预测值越小,该可疑网络响应流量为网络入侵行为的概率越小。该预测值可以为一个0-1之间的小数,例如0.111、0.998,可理解为一种概率值。该预测值即为第二风险评估值,可用于对可疑网络响应流量为网络入侵行为的风险进行评估。
在步骤S106中,若所述第二风险评估值满足预设的风险阻断规则,阻断该可疑网络响应流量。本申请的一些实施例中,预设的风险阻断规则可为用户预先设定的对可疑网络响应流量的风险程度进行判断的规则,如果第二风险评估值符合风险阻断规则的要求,则对该可疑网络响应流量进行阻断,否则就不进行阻断。风险阻断规则中可包括预设的第二阈值,将第二风险评估值与第二阈值进行比较,根据比较结果来确定是否进行阻断。
第二阈值可以为一个十分制的值,用于区分特征分析结果是否为网络入侵,该阈值可以是网络安全用户的人为设定,也可以是通过对网络入侵行为的相关特征的统计分析确定。风险阻断规则可例如为“如果第二风险评估值大于第二阈值,对可疑网络响应流量进行阻断”,或例如为“如果第二风险评估值小于第二阈值,对可疑网络响应流量进行阻断”等。在此,根据记分方式的不同,风险阻断规则的判断结果不同,例如,将第二风险评估值的初始分定为0分,记分方式为累加,即满足一个异常特征增加1分,第二阈值为6分,第二风险评估值的最终得分为7分,第二风险评估值大于第二阈值,该可疑网络响应流量为异常网络响应流量,应该进行阻断,风险阻断规则为“如果第二风险评估值大于第二阈值,对可疑网络响应流量进行阻断”。
本申请的一些实施例中,阻断该可疑网络响应流量,具体来说,可终止向该可疑网络响应流量的目的地址发送该可疑网络响应流量。在此,网络黑客需要接收可疑网络响应流量才能进行进一步的网络入侵,因此,通过终止该可疑网络响应流量返回至网络黑客,则网络黑客的入侵通道被切断,网络入侵无法继续。
本申请的一些实施例中,阻断该可疑网络响应流量,还可以包括如下操作:将该可疑网络响应流量中对应网络资源的访问地址添加到访问控制黑名单中。在此,网络黑客在发现网站的漏洞后,通常会将网络入侵工具(如webshell等)通过网站漏洞上传至网站文件系统,再通过对网络入侵工具的访问请求来进行下一步的网络入侵,因此在网络入侵的网络响应流量中会包含网络入侵工具的访问地址,例如http://www.test.com/webshell.php,通过将该访问地址加入到访问控制黑名单中,可避免网络黑客再对该网络入侵工具进行访问,从而降低网站受到损害的安全风险。
本申请的一些实施例中,如果网络请求流量所请求网络资源的地址为访问控制黑名单中的地址,阻断所述网络请求流量。在此,如果网络请求流量所访问的网络资源地址为访问控制黑名单中的地址,说明该网络请求流量试图访问网络入侵工具,该网络请求流量为网络入侵行为,自动对该网络请求流量进行阻断。
本申请的一些实施例中,阻断该可疑网络响应流量之后,还可以对网络安全管理用户进行通知。在此,对网络安全管理用户进行实时通知,可让网络安全管理用户实时得知有网络入侵发生,进而可以采取进一步措施以降低安全风险,例如,可检查该可疑网络响应流量的数据,根据访问地址找到相应的网络资源,检查网络资源是否是webshell等。
本申请的一些实施例中,服务器端还可以根据被阻断的可疑网络响应流量对预设神经网络模型进行更新,具体可包括如下步骤:
1)将被阻断的可疑网络响应流量添加到网络响应流量样本中,生成更新后的网络响应流量样本;
2)将更新后的网络响应流量样本作为训练数据,通过神经网络算法进行训练获取更新后的神经网络模型;
3)将预设的神经网络模型替换为更新后的神经网络模型。
本申请的一些实施例中,客户端用户正常的网络访问行为被错误地识别为网络入侵行为被服务器端阻断之后,用户可向服务器提出反馈申诉,服务器端可根据用户的相关反馈,修改与该用户相关的网络响应流量样本的检测类型。在此,检测类型可从网络入侵类型修改为正常网络访问类型,修改之后,可以更正神经网络模型的训练数据中的错误,从而提高神经网络模型的准确性。
本申请的一些优选实施例中,网络入侵阻断系统运行在服务器端,服务器端可分为四个部分:防护节点、大数据中心、webshell总控中心和用户中心,如图2所示。其中,防护节点实现对网站的请求流量、响应流量实时检测识别与防护,其中包括多个功能模块,每个模块可实现相应的功能,各个模块的功能如下:
1)请求流量处理模块,用于进行请求流量数据的预处理操作,如数据的收集,数据的解码等;
2)请求流量特征分析模块,用于结合多维度的数据分析(如访问的URL特征分析、referer特征、参数特征等)和打分机制,对处理后的请求流量进行相应的打分;
3)风险控制模块,用于根据对请求流量的特征分析结果分值,判定该请求流量是否具备一定的webshell特征,快速的筛选出可疑的访问行为,从而规避掉对正常的访问行为的无必要检测,以大大提高检测效率,只需对可疑访问行为的响应流量做进一步的深入分析;
4)响应流量处理模块,用于对需要进行响应流量分析的响应流量进行数据收集、数据解析等预处理操作;
5)词向量处理模块,用于将处理后的响应流量数据进行数字向量的转化;
6)神经网络模型预测模块,用于将数字向量数据输入到神经网络模型中,由神经网络模型计算并输出预测值;
7)风险控制模块,还可以用于对得到的预测值进行风险控制评估,并将评估结果反馈给风险决策模块;
8)风险决策模块,用于根据评估结果决定后继处理动作,若预测为webshell访问,则启动阻断流程,包括终止向客户端(即攻击者)发送真实的响应数据、将webshell加入到访问控制的黑名单、对传送到大数据中心的数据流进行相应的字段标注等。
大数据中心,用于进行网络访问数据的分析与计算、邮件任务、模型的更新迭代等,其中模块的功能如下:
1)邮件通知模块,用于在流入数据流的预测结果是webshell数据流时,向网络安全管理人员发送邮件通知;
2)数据收集模块,用于收集来自于各个防护节点的webshell预测结果数据;
3)模型迭代模块,用于接受来自于webshell管理中心的指令,执行webshell神经网络模型的迭代优化任务,训练好的神经网络模型将应用于神经网络模型预测模块中。
Webshell总控中心,是网络入侵阻断系统的中心管理平台,用于管理Webshell数据和神经网络模型等,其中模块的功能如下:
1)Webshell管理模块,用于实时掌控了解全网识别到的webshell情况,并提供人工审核、人工纠错功能;
2)神经网络模型管理模块,用于管理webshell神经网络模型训练任务,并可全网下发最新迭代的webshell神经网络模型,具体包括向大数据中心下发webshell模型迭代任务指令,之后大数据中心的模型迭代模块启动迭代工作;并对大数据中心的模型迭代模块训练好的webshell模型,提交全线更新指令等。
用户中心是接入用户的管理控制平台,其中包括Webshell管理模块,用于展示该用户接入平台的域名的webshell详情,还提供用户反馈的标记功能,即用户可反馈该条webshell是否存在误报等。
该网络入侵阻断系统对神经网络模型进行更新的流程可包括如下步骤:
1)当线上有检测结果预测为webshell时,会主动发送告警通知给用户及内部安全人员;
2)接收到通知后,如果结果为误报,用户可以通过用户中心Webshell管理模块,进行误报标记及反馈;内部安全人员可以通过Webshell总控中心的Webshell管理模块,进行人工纠错;
3)来源于用户标记反馈的结果会呈现在Webshell总控中心的Webshell管理模块中,这些结果呈现待审核状态,由内部安全人员进行进一步的审核,审核通过后,转为审核通过状态;不通过,转为审核不通过状态;
4)内部安全人员根据一定的周期(如15天)或则根据最近误报率(如果误报率很高),通过Webshell总控中心的神经网络模型管理模块,向大数据中心下发webshell模型迭代任务指令;
5)大数据中心的模型迭代模块根据任务指令执行webshell神经网络模型的迭代优化任务;
6)训练好的神经网络模型由Webshell总控中心的神经网络模型管理模块进行发布;
7)发布的模型被各个防护节点拉取更新,并应用于防护节点的神经网络模型预测模块,该模块将使用更新后的神经网络模型对响应流量进行计算,得出预测值;
8)最终,各个防护节点的预测值反馈到大数据中心的数据收集模块,并可触发邮件通知模块进行工作。
经过实践发现,该网络入侵阻断系统的检测结果更加精准,检测维度更加全面。通过将请求流量检测与响应流量检测相结合,可精准的定位出是否是真实的webshell;还可有效的对抗黑客通过传参变形、webshell文件变形混淆等各种检测绕过手段,也不会出现类似于如盲扫时的大量误报问题;另外,响应流量的神经网络识别模型无需关注webshell使用的具体脚本语言(即无需考虑语言语法特性等因素),无需考虑服务器的操作系统环境等;还可实时阻断webshell通信,识别即阻断,不会出现类似于采用流量镜像分析方式的阻断不及时问题;同时该套系统对神经网络模型有完善的更新迭代机制,具备模型预测结果的反馈机制和审核机制,并可全网统一下发更新;还实现了主动的告警通知。
本申请的一些实施例还提供了一种服务器,该服务器包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,使该服务器执行前述网络入侵阻断方法。
本申请的一些实施例还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现前述网络入侵阻断方法。
综上所述,本申请提供的方案能够对接收的网络请求流量进行风险评估得到第一风险评估值,并在第一风险评估值满足预设的风险标注规则时对相应的网络请求流量进行标注,再进一步对该标注过的网络请求流量对应的可疑网络响应流量进行风险评估得到第二风险评估值,在第二风险评估值满足预设的风险阻断规则时阻断该可疑网络响应流量,从而将网络请求流量和对应的网络响应流量结合起来进行分析,实现了对网络入侵检测特征的泛化学习能力,降低了网络入侵检测的误报率和漏报率,提高了网络入侵检测的精确程度,并且可实时对可疑网络流量进行阻断,提高了对网络入侵的响应速度,避免了网络入侵检测的滞后性,降低了对网站造成损害的可能性。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个设备,该设备包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。
Claims (18)
1.一种网络入侵阻断方法,其中,该方法包括:
接收网络请求流量;
对所述网络请求流量进行风险评估,确定第一风险评估值;
若所述第一风险评估值满足预设的风险标注规则,对所述网络请求流量进行标注;
获取可疑网络响应流量,所述可疑网络响应流量与标注过的网络请求流量相对应;
对所述可疑网络响应流量进行风险评估,确定第二风险评估值;
若所述第二风险评估值满足预设的风险阻断规则,阻断所述可疑网络响应流量。
2.根据权利要求1所述的方法,其中,接收网络请求流量之后,还包括:
对所述网络请求流量进行解析,获取所述网络请求流量的网络请求参数;
对所述网络请求参数以递归方式进行解码,获取解码后的网络请求参数。
3.根据权利要求2所述的方法,其中,对所述网络请求流量进行风险评估,确定第一风险评估值,包括:
对解码后的网络请求参数进行特征分析,根据特征分析结果确定第一风险评估值。
4.根据权利要求2所述的方法,其中,对所述网络请求流量进行风险评估,确定第一风险评估值,包括:
对解码后的网络请求参数通过预设模型进行模型预测,根据模型预测结果确定第一风险评估值,所述预设模型通过机器学习算法或深度学习算法建立。
5.根据权利要求1所述的方法,其中,对所述网络请求流量进行标注,包括:
在网络请求信息中为所述网络请求流量进行标注,所述网络请求信息包括与所述网络请求流量相关的上下文信息。
6.根据权利要求1所述的方法,其中,获取可疑网络响应流量之后,还包括:
对所述可疑网络响应流量进行解析,获取所述可疑网络响应流量的响应主体参数。
7.根据权利要求6所述的方法,其中,对所述可疑网络响应流量进行风险评估,确定第二风险评估值,包括:
将所述可疑网络响应流量通过预设的神经网络模型进行模型预测,根据模型预测结果确定第二风险评估值。
8.根据权利要求7所述的方法,其中,将所述可疑网络响应流量通过预设的神经网络模型进行模型预测,根据模型预测结果确定第二风险评估值,包括:
将所述响应主体参数转换为数字向量;
将所述数字向量作为输入数据输入预设的神经网络模型,获取模型预测值;
将所述模型预测值确定为第二风险评估值。
9.根据权利要求8所述的方法,其中,将所述响应主体参数转换为数字向量,包括:
对所述响应主体参数进行分词,获取所述响应主体参数中的单词;
根据预设字典和每个所述单词,获取每个所述单词对应的数字;
将所有数字以对应单词的相同顺序进行组合,生成数字向量。
10.根据权利要求9所述的方法,其中,该方法还包括:
获取网络响应流量样本,所述网络响应流量样本包括正常网络响应流量样本和可疑网络响应流量样本;
对所述网络响应流量样本进行分词,并将分词结果中的单词确定为所述预设字典中的单词;
按照所述分词结果中的单词在所述网络响应流量样本中的出现次数排序,将所述单词在排序结果中的序号确定为该单词在预设字典中对应的数字。
11.根据权利要求6所述的方法,其中,对所述可疑网络响应流量进行风险评估,确定第二风险评估值,包括:
对所述可疑网络响应流量进行特征分析,根据特征分析结果确定第二风险评估值。
12.根据权利要求1所述的方法,其中,阻断所述可疑网络响应流量,包括:
终止向所述可疑网络响应流量的目的地址发送该可疑网络响应流量。
13.根据权利要求12所述的方法,其中,阻断所述可疑网络响应流量,还包括:
将所述可疑网络响应流量中对应网络资源的访问地址添加到访问控制黑名单中。
14.根据权利要求13所述的方法,其中,该方法还包括:
若所述网络请求流量所请求网络资源的地址为所述访问控制黑名单中的地址,阻断所述网络请求流量。
15.根据权利要求1所述的方法,其中,该方法还包括:
获取网络响应流量样本,所述网络响应流量样本包括正常网络响应流量样本和可疑网络响应流量样本;
将所述网络响应流量样本作为训练数据,通过神经网络算法进行训练获取预设的神经网络模型。
16.根据权利要求15所述的方法,其中,该方法还包括:
将被阻断的所述可疑网络响应流量添加到所述网络响应流量样本中,生成更新后的网络响应流量样本;
将所述更新后的网络响应流量样本作为训练数据,通过神经网络算法进行训练获取更新后的神经网络模型;
将预设的神经网络模型替换为所述更新后的神经网络模型。
17.一种服务器,该服务器包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,使该服务器执行权利要求1至16中任一项所述的方法。
18.一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1至16中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910407784.2A CN110602030A (zh) | 2019-05-16 | 2019-05-16 | 网络入侵阻断方法、服务器及计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910407784.2A CN110602030A (zh) | 2019-05-16 | 2019-05-16 | 网络入侵阻断方法、服务器及计算机可读介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110602030A true CN110602030A (zh) | 2019-12-20 |
Family
ID=68852569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910407784.2A Pending CN110602030A (zh) | 2019-05-16 | 2019-05-16 | 网络入侵阻断方法、服务器及计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602030A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147497A (zh) * | 2019-12-28 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种基于知识不对等的入侵检测方法、装置以及设备 |
CN113141331A (zh) * | 2020-01-17 | 2021-07-20 | 深信服科技股份有限公司 | 一种xss攻击检测方法、装置、设备及介质 |
CN113591110A (zh) * | 2021-07-26 | 2021-11-02 | 招商银行股份有限公司 | 涉密请求甄别方法、系统、设备及计算机程序产品 |
CN114615074A (zh) * | 2022-03-25 | 2022-06-10 | 山石网科通信技术股份有限公司 | 网络报文解码方法及网络攻击检测方法、装置和存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104660552A (zh) * | 2013-11-20 | 2015-05-27 | 南京理工高新技术发展有限公司 | 一种wlan网络入侵检测系统 |
CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
US20170134407A1 (en) * | 2015-11-09 | 2017-05-11 | Salesforce.Com, Inc. | Identifying Attack Patterns in Requests Received by Web Applications |
CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
CN107426196A (zh) * | 2017-06-30 | 2017-12-01 | 全球能源互联网研究院 | 一种识别web入侵的方法及系统 |
CN107483488A (zh) * | 2017-09-18 | 2017-12-15 | 济南互信软件有限公司 | 一种恶意Http检测方法及系统 |
CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
CN108521392A (zh) * | 2018-01-25 | 2018-09-11 | 华东师范大学 | 一种双向流量的sql注入攻击检测方法 |
CN109413028A (zh) * | 2018-08-29 | 2019-03-01 | 集美大学 | 基于卷积神经网络算法的sql注入检测方法 |
-
2019
- 2019-05-16 CN CN201910407784.2A patent/CN110602030A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104660552A (zh) * | 2013-11-20 | 2015-05-27 | 南京理工高新技术发展有限公司 | 一种wlan网络入侵检测系统 |
CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
US20170134407A1 (en) * | 2015-11-09 | 2017-05-11 | Salesforce.Com, Inc. | Identifying Attack Patterns in Requests Received by Web Applications |
CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
CN107426196A (zh) * | 2017-06-30 | 2017-12-01 | 全球能源互联网研究院 | 一种识别web入侵的方法及系统 |
CN107483488A (zh) * | 2017-09-18 | 2017-12-15 | 济南互信软件有限公司 | 一种恶意Http检测方法及系统 |
CN108521392A (zh) * | 2018-01-25 | 2018-09-11 | 华东师范大学 | 一种双向流量的sql注入攻击检测方法 |
CN109413028A (zh) * | 2018-08-29 | 2019-03-01 | 集美大学 | 基于卷积神经网络算法的sql注入检测方法 |
Non-Patent Citations (2)
Title |
---|
于莉莉: "《网络信息安全》", 31 March 2011 * |
陈涓等: "网络钓鱼攻击的在线检测及防治", 《解放军理工大学学报(自然科学版)》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147497A (zh) * | 2019-12-28 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种基于知识不对等的入侵检测方法、装置以及设备 |
CN111147497B (zh) * | 2019-12-28 | 2022-03-25 | 杭州安恒信息技术股份有限公司 | 一种基于知识不对等的入侵检测方法、装置以及设备 |
CN113141331A (zh) * | 2020-01-17 | 2021-07-20 | 深信服科技股份有限公司 | 一种xss攻击检测方法、装置、设备及介质 |
CN113591110A (zh) * | 2021-07-26 | 2021-11-02 | 招商银行股份有限公司 | 涉密请求甄别方法、系统、设备及计算机程序产品 |
CN114615074A (zh) * | 2022-03-25 | 2022-06-10 | 山石网科通信技术股份有限公司 | 网络报文解码方法及网络攻击检测方法、装置和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
Cao et al. | Machine learning to detect anomalies in web log analysis | |
CN110602030A (zh) | 网络入侵阻断方法、服务器及计算机可读介质 | |
CN111917740B (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
KR101013264B1 (ko) | 컴퓨터 보안 위협 상황을 판정하는 방법, 장치, 컴퓨터 판독 가능한 저장 매체 및 프로세서 | |
US20180309772A1 (en) | Method and device for automatically verifying security event | |
US11671448B2 (en) | Phishing detection using uniform resource locators | |
US11271954B2 (en) | Generating a vector representative of user behavior in a network | |
CN111400357A (zh) | 一种识别异常登录的方法和装置 | |
CN111586005B (zh) | 扫描器扫描行为识别方法及装置 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN111835777A (zh) | 一种异常流量检测方法、装置、设备及介质 | |
CN114244611B (zh) | 异常攻击检测方法、装置、设备及存储介质 | |
US20230252145A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
US20220253526A1 (en) | Incremental updates to malware detection models | |
Hai et al. | Detection of malicious URLs based on word vector representation and ngram | |
CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN111131236A (zh) | 一种web指纹检测装置、方法、设备及介质 | |
CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
CN114492576A (zh) | 一种异常用户检测方法、系统、存储介质及电子设备 | |
CN117539739A (zh) | 基于双特征的用户连续行为异常监测方法 | |
CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
CN111770097A (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
WO2024051017A1 (zh) | 基于分布式的网站篡改检测系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
RJ01 | Rejection of invention patent application after publication |