CN111049781B - 一种反弹式网络攻击的检测方法、装置、设备及存储介质 - Google Patents
一种反弹式网络攻击的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111049781B CN111049781B CN201811191763.3A CN201811191763A CN111049781B CN 111049781 B CN111049781 B CN 111049781B CN 201811191763 A CN201811191763 A CN 201811191763A CN 111049781 B CN111049781 B CN 111049781B
- Authority
- CN
- China
- Prior art keywords
- attack
- message
- request message
- session
- suspected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本发明实施例提供了一种反弹式网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括:获取由目标主机发起建立的链路中的网络会话报文;从所述网络会话报文中识别疑似攻击请求报文;检测所述疑似攻击请求报文中是否存在攻击特征。本发明实施例中,首先获取由目标主机发起建立的链路中的网络会话报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求报文,进而检测其中是否存在攻击特征,即可以实现对反弹式网络攻击的检测。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种反弹式网络攻击的检测方法、装置、设备及存储介质。
背景技术
随着计算机技术的不断发展和互联网的普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。
反弹式网络攻击是一种危险的网络攻击方式,以反弹shell(壳)攻击为例,其攻击方式是:攻击者通过一台主机向目标主机发送网络命令,该网络命令中不包含攻击指令,但指示目标主机向攻击者的另一台主机发送网络请求,由另一台主机实施攻击。
上述反弹式网络攻击是单向流量,即由攻击者的一台主机到目标主机,再由目标主机到攻击者的另一台主机,难以通过传统检测方法检测。
发明内容
本发明实施例提供及一种反弹式网络攻击的检测方法、装置、设备及存储介质,以实现对反弹式网络攻击的检测,提高目标主机的安全性。
第一方面,本发明实施例提供一种反弹式网络攻击的检测方法,包括:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求报文;
检测所述疑似攻击请求报文中是否存在攻击特征。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
可选的,所述判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
可选的,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
可选的,在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,该方法还包括:
输出反弹式网络攻击成功提示。
第二方面,本发明实施例提供一种反弹式网络攻击的检测装置,包括:
网络会话报文获取模块,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求报文识别模块,用于从所述网络会话报文中识别疑似攻击请求报文;
攻击检测模块,用于检测所述疑似攻击请求报文中是否存在攻击特征。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述疑似攻击请求报文识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
可选的,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述疑似攻击请求报文识别模块用于:从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
所述装置还包括攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
可选的,所述为从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求报文识别模块用于:识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
可选的,所述装置还包括攻击提示模块,用于在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,输出反弹式网络攻击成功提示。
第三方面,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述任意实施例提供的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例提供的方法。
本发明实施例有益效果如下:
本发明实施例提供的方法、装置、设备及存储介质,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求报文,进而检测其中是否存在攻击特征,即可以实现对反弹式网络攻击的检测。降低了由于难以检测反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
附图说明
图1为本发明实施例提供的检测反弹式网络攻击的应用场景示意图;
图2为本发明实施例提供的反弹式网络攻击的检测方法流程图;
图3为本发明实施例提供的反弹式网络攻击的检测装置示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明实施例的技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明实施例技术方案的详细的说明,而不是对本说明书技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例的应用场景如图1所示。其中,攻击者的一台主机101向目标主机102发送网络请求,该网络请求指示目标主机102与攻击者的另一台主机103建立网络链接,通过该链接,攻击者的另一台主机103向目标主机发起网络攻击。目标主机102与攻击者的两台主机之间传输的报文经由交换设备104转发,安全检测设备105从交换设备104获取由目标主机102发起建立的链路中的网络会话报文,从中识别疑似攻击请求报文,进而检测疑似攻击请求报文中是否存在攻击特征。
其中,目标主机102可以是提供各种服务的服务器,也可以是能够实现特定功能的个人计算机,还可以是其他能够提供网络服务的网络设备。
攻击者的其中一台主机101可以是具有显示功能并且支持交互功能的各种电子设备,包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。
攻击者的另一台主机103可以是用于攻击的服务器,也可以是用于攻击的个人计算机,还可以是用于攻击的其他网络设备。
交换设备104可以但不仅限于是交换机、路由器。
安全检测设备105可以但不仅限于采用网络嗅探、网络端口镜像等方式获取网络报文,安全检测设备105可以但不仅限于是镜像设备、旁路设备。
对于目标主机102的报文的采集,可以采用网络嗅探方式获取,也可以通过网络端口镜像方式获取。所述网络嗅探方式是指将所述目标主机102的网卡设置为混杂模式,通过调用网络截包工具来捕获所述目标主机102的报文。所述网络端口镜像方式是指将目标主机102的采集端口映射到另一端口,对数据进行实时拷贝,从而获得目标主机102的报文。当然,采集目标主机102的报文的具体实现方式并不限于上述两种方式,本发明实施例对此不作限定。
第一方面,本发明实施例提供一种反弹式网络攻击的检测方法,请参考图2,包括:
步骤201、获取由目标主机发起建立的链路中的网络会话报文。
由于现有的报文传输所采用的是TCP通信协议,因此,本发明实施例中的链路是指TCP链路。
本发明实施例中,网络会话报文包括会话请求报文和会话响应报文。其中,会话请求报文是会话发起方发送的报文,会话响应报文是会话另一方针对会话请求报文向会话发起方返回的响应报文。
步骤202、从上述网络会话报文中识别疑似攻击请求报文。
鉴于反弹式网络攻击的特点,即攻击者通过一台主机向目标主机发送网络请求,指示目标主机向攻击者的另一台主机发起建立链路,而在该链路中,会话发起方可能是目标主机,因此,攻击者的另一台主机的攻击内容可能携带在会话响应报文中,本发明实施例中的疑似攻击请求报文即可能是会话请求报文,也可能是会话响应报文。
步骤203、检测上述疑似攻击请求报文中是否存在攻击特征。
本发明实施例提供的反弹式网络攻击的检测方法,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求报文,进而检测其中是否存在攻击特征,即可以实现对反弹式网络攻击的检测。降低了由于难以检测反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
本说明书实施例中,获取由目标主机发起建立的链路中的网络会话报文的前提是识别链路及链路方向。其实现方式有多种,例如通过网络报文中的IP地址识别源、目的IP地址,相同源、目的IP地址的网络报文是相同链路上的网络报文,而发起建立TCP链接(即上述链路)的网络报文中的源IP地址为目标主机,则相应的链路是目标主机发起并建立的。
如上所述,疑似攻击请求报文既可能是会话请求报文,也可能是会话响应报文,即在上述链路上的每个会话过程中,会话请求报文中可能并不携带攻击内容,因此,若按照传统的攻击检测思路,对会话请求报文进行攻击检测,无法检测出反弹式网络攻击。本发明实施例提供的技术方案需要识别疑似攻击请求报文,可以通过跳包机制进行有效识别,即判断是否需要对会话过程中的第一个会话请求报文进行跳包,相应的,上述步骤202的具体实现方式可以是:获取上述链路中的第一个会话请求报文;判断该第一个会话请求报文是否为疑似攻击请求报文;在判断出该第一个会话请求报文不是疑似攻击请求报文后,获取上述链路中的至少一个会话响应报文作为疑似攻击请求报文。
在上述链路中,一个会话过程中,由会话发起方发送的报文称为会话请求报文,由会话另一方发送到报文称为会话响应报文。在会话结束后,可能会释放链路,也可能保持链路,以便后续建立会话过程中。也就是说,一个链路上可能有多个会话过程,那么,上述实现方式中,具体是针对每个会话过程中的第一个会话请求报文进行跳包判断。
例如,目标主机向某主机发起并建立链路,且由该目标主机发起会话,即目标主机首先向某主机发起会话请求报文1,某主机返回会话响应报文2,目标主机继续发起会话报文3,某主机返回会话响应报文4。那么,获取会话请求报文1,判断其是否为疑似攻击请求报文,由于报文1是目标主机发起的,其不会存在攻击内容,因此,需要跳过该报文1,将报文2识别为疑似攻击请求报文,即在响应报文2中可能存在攻击内容。相应的,也可能在报文4中存在攻击内容,因此,在实际应用过程中,可以仅识别报文2为疑似攻击请求报文,在未检测到攻击特征后,继续识别报文4为疑似攻击请求报文;也可以既识别报文2为疑似攻击请求报文,对其进行攻击检测,无论检测结果如何,继续识别报文4为疑似攻击请求报文,以此类推。
又例如,目标主机向某主机发起并建立链路,但由某主机发起会话,即某主机首先向目标主机发起会话请求报文1,目标主机返回会话响应报文2,某主机继续发起会话报文3,目标主机返回会话响应报文4。那么,获取会话请求报文1,判断其是否为疑似攻击请求报文,由于报文1是某主机发起的,其可能存在攻击内容,因此,不需要跳过该报文1,将报文1识别为疑似攻击请求报文,即在响应报文1中可能存在攻击内容。相应的,也可能在报文3中存在攻击内容,因此,在实际应用过程中,可以仅识别报文1为疑似攻击请求报文,在未检测到攻击特征后,继续识别报文3为疑似攻击请求报文;也可以既识别报文1为疑似攻击请求报文,对其进行攻击检测,无论检测结果如何,继续识别报文3为疑似攻击请求报文,以此类推。
其中,识别会话过程中的第一个会话请求报文是否为疑似攻击请求报文的实现方式有多种。具体的,根据已知反弹式网络攻击中,上述链路的会话过程中第一个会话请求报文的特征,构建规则库或者检测脚本,利用规则库或检测脚本进行判断。例如,通过规则库或者检测脚本判断上述链路中会话过程中的的第一个会话请求报文的发起方是否为目标主机,若是目标主机,该第一个会话请求报文不是疑似攻击请求报文,若不是目标主机,该第一个会话请求报文是疑似攻击请求报文。更具体的,规则库或者网络脚本可以根据源、目的IP地址判断,例如,若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址为目标主机,则该第一个会话请求报文不是疑似攻击请求报文;若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址不是目标主机,则该第一个会话请求报文是疑似攻击请求报文。
在上述任意实施例的基础上,在对疑似攻击请求报文进行攻击检测的基础上,为了获知攻击是否成功,也需要对疑似攻击响应报文进行检测。其中,疑似攻击请求报文与疑似攻击响应报文构成疑似攻击请求响应报文对。在上述链路的某个会话过程中,每个疑似攻击请求报文之后的网络会话报文即为疑似攻击响应报文,也就是说,每个疑似攻击请求报文及其之后的网络会话报文构成疑似攻击请求响应报文对。
其中,为确保报文顺序正确,可以根据报文中的包号确认报文顺序。
若对疑似攻击响应报文进行检测,那么,在上述步骤202中,具体是从上述网络会话报文中识别疑似攻击请求响应报文对。相应的,在疑似攻击请求报文中检测出攻击特征后,检测疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与该攻击特征对应的预期响应特征。
假设攻击特征是获取ID命令,那么该攻击特征对应的预期相应特征就是ID取值。
上述对疑似攻击请求响应报文对进行识别的实现方式可以参照上述识别疑似攻击请求报文的实现方式,即需要引入跳包机制。
具体的,获取上述链路的会话过程中的第一个会话请求报文;判断该第一个会话请求报文是否为疑似攻击请求报文;在判断出该第一个会话请求报文不是疑似攻击请求报文后,获取上述链路中的至少一个会话响应报文及下一个会话请求报文作为疑似攻击请求响应报文对;在判断出第一个会话请求报文是疑似攻击请求报文后,获取上述链路中的至少一个会话请求报文及下一个会话响应报文作为疑似攻击请求响应报文对。
例如,目标主机向某主机发起并建立链路,且由该目标主机发起会话,即目标主机首先向某主机发起会话请求报文1,某主机返回会话响应报文2,目标主机继续发起会话报文3,某主机返回会话响应报文4,目标主机继续发起会话报文5,某主机返回会话响应报文6,以此类推。那么,获取会话请求报文1,判断其是否为疑似攻击请求报文,由于报文1是目标主机发起的,其不会存在攻击内容,因此,需要跳过该报文1,将报文2和报文3识别为疑似攻击请求响应报文对,即在响应报文2中可能存在攻击内容。相应的,也可能在报文4中存在攻击内容,因此,在实际应用过程中,可以仅识别报文2和报文3为疑似攻击请求响应报文对,在未检测到攻击特征后,继续识别报文4和报文5为疑似攻击请求响应报文对;也可以既识别报文2和报文3为疑似攻击请求响应报文对,对其进行攻击检测,无论检测结果如何,继续识别报文4和报文5为疑似攻击请求响应报文对,以此类推。
又例如,目标主机向某主机发起并建立链路,但由某主机发起会话,即某主机首先向目标主机发起会话请求报文1,目标主机返回会话响应报文2,某主机继续发起会话报文3,目标主机返回会话响应报文4,以此类推。那么,获取会话请求报文1,判断其是否为疑似攻击请求报文,由于报文1是某主机发起的,其可能存在攻击内容,因此,不需要跳过该报文1,将报文1和报文2识别为疑似攻击请求响应报文对,即在响应报文1中可能存在攻击内容。相应的,也可能在报文3中存在攻击内容,因此,在实际应用过程中,可以仅识别报文1和报文2为疑似攻击请求响应报文对,在未检测到攻击特征后,继续识别报文3和报文4为疑似攻击请求响应报文对;也可以既识别报文1和报文2为疑似攻击请求响应报文对,对其进行攻击检测,无论检测结果如何,继续识别报文3和报文4为疑似攻击请求响应报文对,以此类推。
本发明实施例提供的方法可以用于在线检测,即实时对网络流量进行监控,根据前述方法识别并获取由目标主机发起并建立的链路中的网络会话报文。
本发明实施例提供的方法,若其目的仅在于判断是否存在反弹式网络攻击,则不需要识别出所有的疑似攻击请求报文,例如,对第一个疑似攻击请求报文进行攻击检测,若检测出其存在攻击特征,则不需要对后续的疑似攻击请求报文进行识别及检测,若未检测出其存在攻击特征,则继续对第二个疑似攻击请求报文进行攻击检测,以此类推。
若本发明实施例提供的方法不仅用于判断是否存在反弹式网络攻击,还需要还原攻击过程,那么,可以识别每一个疑似攻击请求报文(或疑似攻击请求响应报文对)并进行相应的检测。
相应的,按序输出相应的检测结果,即可还原攻击过程。
本发明实施例提供的技术方案,检测疑似攻击请求报文中是否存在攻击特征,其实现方式有多种。优选地,可以调用预先建立的攻击检测模型检测疑似攻击请求报文中是否存在攻击特征。
其中,攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
具体的,模型训练所需的已知反弹式网络攻击的攻击特征包括互联网已公开的攻击报文中的攻击特征、目标主机已采集的攻击报文中的攻击特征、通过模拟攻击生成的攻击报文的攻击特征中的一种或多种组合。
在本实施例中,进行模型训练采用的算法为朴素贝叶斯算法。朴素贝叶斯算法对小规模的数据表现很好,适合多分类任务,适合增量式训练。当然,也可以采用其他机器学习分类算法或者深度学习分类算法进行模型训练,例如,还可以采用决策树算法进行模型训练,本实施例对此不作限定。
本说明书实施例提供的技术方案,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,其实现方式有多种,为提高检测效率并保证检测精度,优选地,利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
本说明书实施例提供的技术方案,在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,还可以输出反弹式网络攻击成功提示,以进行告警提示。
该提示可以但不仅限于通过显示屏输出、通过音频设备输出,既可以在检测设备本地输出,也可以输出给目标主机,网络攻击提示可以仅提示存在攻击,也可以提示攻击的具体类型及相应的信息。
第二方面,基于同一发明构思,本发明实施例提供一种反弹式网络攻击的检测装置,请参考图3,包括:
网络会话报文获取模块301,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求报文识别模块302,用于从所述网络会话报文中识别疑似攻击请求报文;
攻击检测模块303,用于检测所述疑似攻击请求报文中是否存在攻击特征。
本发明实施例提供的反弹式网络攻击的检测装置,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求报文,进而检测其中是否存在攻击特征,即可以实现对反弹式网络攻击的检测。降低了由于难以检测反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
如上所述,疑似攻击请求报文既可能是会话请求报文,也可能是会话响应报文,即在上述链路上的每个会话过程中,会话请求报文中可能并不携带攻击内容,因此,若按照传统的攻击检测思路,对会话请求报文进行攻击检测,无法检测出反弹式网络攻击。本发明实施例提供的技术方案需要识别疑似攻击请求报文,可以通过跳包机制进行有效识别,即判断是否需要对会话过程中的第一个会话请求报文进行跳包,相应的,所述疑似攻击请求报文识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
在上述链路中,一个会话过程中,由会话发起方发送的报文称为会话请求报文,由会话另一方发送到报文称为会话响应报文。在会话结束后,可能会释放链路,也可能保持链路,以便后续建立会话过程中。也就是说,一个链路上可能有多个会话过程,那么,上述实现方式中,具体是针对每个会话过程中的第一个会话请求报文进行跳包判断。
其中,识别会话过程中的第一个会话请求报文是否为疑似攻击请求报文的实现方式有多种。具体的,根据已知反弹式网络攻击中,上述链路的会话过程中第一个会话请求报文的特征,构建规则库或者检测脚本,利用规则库或检测脚本进行判断。相应的,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。更具体的,规则库或者网络脚本可以根据源、目的IP地址判断,例如,若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址为目标主机,则该第一个会话请求报文不是疑似攻击请求报文;若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址不是目标主机,则该第一个会话请求报文是疑似攻击请求报文。
在上述任意实施例的基础上,在对疑似攻击请求报文进行攻击检测的基础上,为了获知攻击是否成功,也需要对疑似攻击响应报文进行检测。其中,疑似攻击请求报文与疑似攻击响应报文构成疑似攻击请求响应报文对。在上述链路的某个会话过程中,每个疑似攻击请求报文之后的网络会话报文即为疑似攻击响应报文,也就是说,每个疑似攻击请求报文及其之后的网络会话报文构成疑似攻击请求响应报文对。
其中,为确保报文顺序正确,可以根据报文中的包号确认报文顺序。
相应的,所述疑似攻击请求报文识别模块用于:从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;所述装置还包括攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
本发明实施例提供的装置,若其目的仅在于判断是否存在反弹式网络攻击,则不需要识别出所有的疑似攻击请求报文,例如,对第一个疑似攻击请求报文进行攻击检测,若检测出其存在攻击特征,则不需要对后续的疑似攻击请求报文进行识别及检测,若未检测出其存在攻击特征,则继续对第二个疑似攻击请求报文进行攻击检测,以此类推。
若本发明实施例提供的装置不仅用于判断是否存在反弹式网络攻击,还需要还原攻击过程,那么,可以识别每一个疑似攻击请求报文(或疑似攻击请求响应报文对)并进行相应的检测。相应的,所述为从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求报文识别模块用于:识别所述链路中的每个疑似攻击请求响应报文对;所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
本发明实施例提供的技术方案,检测疑似攻击请求报文中是否存在攻击特征,其实现方式有多种。优选地,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
本说明书实施例提供的技术方案,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
本说明书实施例提供的技术方案,所述装置还包括攻击提示模块,用于在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,输出反弹式网络攻击成功提示。
第三方面,基于同一发明构思,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述任意实施例提供的方法。
本发明实施例提供的计算机设备可以但不仅限于是旁路设备、直连设备。
本发明实施例提供的计算机设备,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求报文,进而检测其中是否存在攻击特征,即可以实现对反弹式网络攻击的检测。降低了由于难以检测反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
本发明实施例提供的计算机设备,其具体实现方式可以参照上述方法实施例的说明,此处不再赘述。
第四方面,基于同一方明构思,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例提供的方法。
本发明实施例提供的计算机可读存储介质,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求报文,进而检测其中是否存在攻击特征,即可以实现对反弹式网络攻击的检测。降低了由于难以检测反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
本发明实施例提供的计算机可读存储介质,其具体实现方式可以参照上述方法实施例的说明,此处不再赘述。
本发明实施例提供的方法、装置、设备及存储介质适用于任何反弹式网络攻击检测,特别适用于反弹shell的检测。
本说明书是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本说明书的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。
显然,本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样,倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内,则本说明书也意图包含这些改动和变型在内。
本发明实施例公开了:
A1、一种反弹式网络攻击的检测方法,其特征在于,包括:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求报文;
检测所述疑似攻击请求报文中是否存在攻击特征。
A2、根据A1所述的方法,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
A3、根据A2所述的方法,其特征在于,所述判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
A4、根据A1~A3任一项所述的方法,其特征在于,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
A5、根据A4所述的方法,其特征在于,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
A6、根据A1~A3任一项所述的方法,其特征在于,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
A7、根据A4所述的方法,其特征在于,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
A8、根据A4所述的方法,其特征在于,在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,该方法还包括:
输出反弹式网络攻击成功提示。
B9、一种反弹式网络攻击的检测装置,其特征在于,包括:
网络会话报文获取模块,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求报文识别模块,用于从所述网络会话报文中识别疑似攻击请求报文;
攻击检测模块,用于检测所述疑似攻击请求报文中是否存在攻击特征。
B10、根据B9所述的装置,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述疑似攻击请求报文识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
B11、根据B10所述的装置,其特征在于,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
B12、根据B9~B11任一项所述的装置,其特征在于,所述疑似攻击请求报文识别模块用于:从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
所述装置还包括攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
B13、根据B12所述的装置,其特征在于,所述为从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求报文识别模块用于:识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
B14、根据B9~B12任一项所述的装置,其特征在于,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
B15、根据B12所述的装置,其特征在于,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
B16、根据B12所述的装置,其特征在于,所述装置还包括攻击提示模块,用于在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,输出反弹式网络攻击成功提示。
C17、一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现A1至A8任一项所述的方法。
D18、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现A1至A8任一项所述的方法。
Claims (16)
1.一种反弹式网络攻击的检测方法,其特征在于,包括:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
所述网络会话报文包括会话请求报文和会话响应报文,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
判断所述链路中的第一个会话请求报文的发起方是否为目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文;若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
2.根据权利要求1所述的方法,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
3.根据权利要求1~2任一项所述的方法,其特征在于,所述从所述网络会话报文中识别疑似攻击请求报文,包括:
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
4.根据权利要求3所述的方法,其特征在于,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
5.根据权利要求1~2任一项所述的方法,其特征在于,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
6.根据权利要求3所述的方法,其特征在于,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
7.根据权利要求3所述的方法,其特征在于,在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,该方法还包括:
输出反弹式网络攻击成功提示。
8.一种反弹式网络攻击的检测装置,其特征在于,包括:
网络会话报文获取模块,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求报文识别模块,用于从所述网络会话报文中识别疑似攻击请求报文;
攻击检测模块,用于检测所述疑似攻击请求报文中是否存在攻击特征;
所述网络会话报文包括会话请求报文和会话响应报文,所述疑似攻击请求报文识别模块用于:
判断所述链路中的第一个会话请求报文的发起方是否为目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文;若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
9.根据权利要求8所述的装置,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述疑似攻击请求报文识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。
10.根据权利要求8~9任一项所述的装置,其特征在于,所述疑似攻击请求报文识别模块用于:从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
所述装置还包括攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
11.根据权利要求10所述的装置,其特征在于,所述疑似攻击请求报文识别模块用于:识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
12.根据权利要求8~10任一项所述的装置,其特征在于,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
13.根据权利要求10所述的装置,其特征在于,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
14.根据权利要求10所述的装置,其特征在于,所述装置还包括攻击提示模块,用于在所述疑似攻击响应报文中检测出与所述攻击特征对应的预期响应特征后,输出反弹式网络攻击成功提示。
15.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述的方法。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811191763.3A CN111049781B (zh) | 2018-10-12 | 2018-10-12 | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811191763.3A CN111049781B (zh) | 2018-10-12 | 2018-10-12 | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111049781A CN111049781A (zh) | 2020-04-21 |
CN111049781B true CN111049781B (zh) | 2023-08-15 |
Family
ID=70229975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811191763.3A Active CN111049781B (zh) | 2018-10-12 | 2018-10-12 | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111049781B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112165469B (zh) * | 2020-09-18 | 2023-04-18 | 中国船舶重工集团公司第七一四研究所 | 一种检测变形的shell的方法 |
CN114884684A (zh) * | 2021-01-21 | 2022-08-09 | 华为技术有限公司 | 攻击成功识别方法及防护设备 |
CN113395288B (zh) * | 2021-06-24 | 2022-06-24 | 浙江德迅网络安全技术有限公司 | 基于sdwan主动防御ddos系统 |
CN114095274B (zh) * | 2021-12-10 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
CN114301697A (zh) * | 2021-12-29 | 2022-04-08 | 山石网科通信技术股份有限公司 | 数据攻击检测方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104796405A (zh) * | 2015-03-18 | 2015-07-22 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
CN107423622A (zh) * | 2017-07-04 | 2017-12-01 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和系统 |
US9961093B1 (en) * | 2015-09-30 | 2018-05-01 | EMC IP Holding Company LLC | Monitoring for reverse-connection network activity to detect a remote-administration tool |
CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
CN108540430A (zh) * | 2017-03-03 | 2018-09-14 | 华为技术有限公司 | 一种威胁检测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10135847B2 (en) * | 2016-05-18 | 2018-11-20 | Salesforce.Com, Inc. | Reverse shell network intrusion detection |
-
2018
- 2018-10-12 CN CN201811191763.3A patent/CN111049781B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104796405A (zh) * | 2015-03-18 | 2015-07-22 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
US9961093B1 (en) * | 2015-09-30 | 2018-05-01 | EMC IP Holding Company LLC | Monitoring for reverse-connection network activity to detect a remote-administration tool |
CN108540430A (zh) * | 2017-03-03 | 2018-09-14 | 华为技术有限公司 | 一种威胁检测方法及装置 |
CN107423622A (zh) * | 2017-07-04 | 2017-12-01 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和系统 |
CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
Non-Patent Citations (1)
Title |
---|
分布式端口反弹攻击及检测;贾文丽等;《计算机工程》;20040705(第07期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111049781A (zh) | 2020-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN111049782B (zh) | 反弹式网络攻击的防护方法、装置、设备、系统 | |
CN111314358B (zh) | 攻击防护方法、装置、系统、计算机存储介质及电子设备 | |
CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN111147513A (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
CN104640092A (zh) | 识别垃圾短信的方法、客户端、云端服务器和系统 | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
CN102111400B (zh) | 一种木马检测方法、装置及系统 | |
CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
CN111404768A (zh) | 一种dpi识别的实现方法及设备 | |
CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
CN111049780A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN107493258A (zh) | 一种基于网络安全的入侵检测系统 | |
CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230725 Address after: Room 03, 2nd Floor, Building A, No. 20 Haitai Avenue, Huayuan Industrial Zone (Huanwai), Binhai New Area, Tianjin, 300450 Applicant after: 3600 Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |