CN112165445A - 用于检测网络攻击的方法、装置、存储介质及计算机设备 - Google Patents
用于检测网络攻击的方法、装置、存储介质及计算机设备 Download PDFInfo
- Publication number
- CN112165445A CN112165445A CN202010810476.7A CN202010810476A CN112165445A CN 112165445 A CN112165445 A CN 112165445A CN 202010810476 A CN202010810476 A CN 202010810476A CN 112165445 A CN112165445 A CN 112165445A
- Authority
- CN
- China
- Prior art keywords
- request
- message
- associated data
- request message
- operation object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提出一种用于检测网络攻击的方法、装置、存储介质及计算机设备,该方法包括获取访问网络的多条请求报文;确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识;统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量;根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文。通过本申请能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种用于检测网络攻击的方法、装置、存储介质及计算机设备。
背景技术
请求遍历是针对API((Application Programming Interface,应用程序接口))非常常见的一种攻击方式,攻击者可以通过请求遍历获取到大量敏感数据,例如针对获取用户个人信息的接口,如果没有进行访问限制或者存在权限漏洞,则攻击者可能会通过不断的遍历请求中的用户身份标识字段UID来获取所有用户的个人信息。
相关技术中,基于Web应用防护系统(网站应用级入侵防御系统,Web ApplicationFirewall,简称:WAF)的特征检测规则是无法检测请求遍历这类攻击的,因为遍历请求发送的报文大多都是合法的,并且由于请求遍历往往会带来数据泄露等严重的安全风险,因此,有必要发明一种新技术方案来识别请求遍历这类攻击行为。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的目的在于提出一种用于检测网络攻击的方法、装置、存储介质及计算机设备,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
为达到上述目的,本申请第一方面实施例提出的用于检测网络攻击的方法,包括:获取访问网络的多条请求报文;确定各条所述请求报文对应的至少一种报文关联数据和至少一种操作对象标识;统计所述报文关联数据,提交所述操作对象标识所属的操作对象的第一提交数量;根据所述第一提交数量,判断所述多条请求报文之中是否存在请求遍历类的目标请求报文。
本申请第一方面实施例提出的用于检测网络攻击的方法,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
为达到上述目的,本申请第二方面实施例提出的用于检测网络攻击的装置,包括:第一获取模块,用于获取访问网络的多条请求报文;确定模块,用于确定各条所述请求报文对应的至少一种报文关联数据和至少一种操作对象标识;统计模块,用于统计所述报文关联数据,提交所述操作对象标识所属的操作对象的第一提交数量;检测模块,用于根据所述第一提交数量,判断所述多条请求报文之中是否存在请求遍历类的目标请求报文。
本申请第二方面实施例提出的用于检测网络攻击的装置,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
本申请第三方面实施例提出的非临时性计算机可读存储介质,当所述存储介质中的指令由计算机设备的处理器被执行时,使得计算机设备能够执行一种用于检测网络攻击的方法,所述方法包括:本申请第一方面实施例提出的用于检测网络攻击的方法。
本申请第三方面实施例提出的非临时性计算机可读存储介质,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
本申请第四方面实施例提出的计算机设备,所述计算机设备包括:壳体、处理器、存储器、电路板和电源电路,其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述计算机设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行本申请第一方面实施例提出的用于检测网络攻击的方法。
本申请第四方面实施例提出的计算机设备,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本申请一实施例提出的用于检测网络攻击的方法的流程示意图;
图2是本申请另一实施例提出的用于检测网络攻击的方法的流程示意图;
图3是本申请另一实施例提出的用于检测网络攻击的方法的流程示意图;
图4是本申请一实施例提出的用于检测网络攻击的装置的结构示意图;
图5是本申请另一实施例提出的用于检测网络攻击的装置的结构示意图;
图6是本申请一个实施例提出的计算机设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。相反,本申请的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
图1是本申请一实施例提出的用于检测网络攻击的方法的流程示意图。
本实施例以用于检测网络攻击的方法被配置为用于检测网络攻击的装置中来举例说明。
本实施例中用于检测网络攻击的方法可以被配置在用于检测网络攻击的装置中,用于检测网络攻击的装置可以设置在服务器中,或者也可以设置在计算机设备中,本申请实施例对此不作限制。
本实施例以用于检测网络攻击的方法被配置在计算机设备中为例。
需要说明的是,本申请实施例的执行主体,在硬件上可以例如为服务器或者计算机设备中的中央处理器(Central Processing Unit,CPU),在软件上可以例如为服务器或者计算机设备中的相关的后台服务,对此不作限制。
参见图1,该方法包括:
S101:获取访问网络的多条请求报文。
其中,上述的请求报文例如为HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求报文,HTTP请求报文是面向文本的,HTTP请求报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的,HTTP请求报文有两类报文:请求报文和响应报文,一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成。
通常在基于HTTP协议进行数据通信的应用场景下,计算机设备可以响应于用户访问指令,并根据用户访问指令生成对应的HTTP请求报文,从而将HTTP请求报文发送至后台服务器以获取相应的服务。
本申请实施例中,为了针对检测访问网络的海量请求报文之中是否存在请求遍历类的目标请求报文(存在请求遍历行为的请求报文可以被称为目标请求报文),首先,可以是获取访问网络的多条请求报文,从而统计分析出多条请求报文针对操作对象的提交数量情况,并基于该提交数量情况进行请求遍历类的目标请求报文的检测。
可以理解的是,请求遍历类的目标请求报文所携带的报文关联数据,在针对操作对象的提交数量方面具有明显的区别于正常请求报文的特征,因此,获取访问网络的多条请求报文,从而统计分析出多条请求报文针对操作对象的提交数量情况,能够有效地辅助后续检测出请求遍历类的目标请求报文。
一些实施例中,在获取访问网络的多条请求报文时,可以是通过流量镜像、应用日志上报采集、RASP(Runtime application self-protection,运行时应用自我保护)等方式获取访问网络的多条请求报文。
另外一些实施例中,也可以配置采集API,从而针对访问网络的请求报文进行监控,通过执行置采集API以获取访问网络的多条请求报文,对此不作限制。
在获取访问网络的多条请求报文时,可以是获取一个时间范围之内的访问网络的多条请求报文,时间范围例如一天、三天、一周等,对此不做限制。
S102:确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识。
上述在获取访问网络的多条请求报文之后,可以分别对每条请求报文按照HTTP协议标准进行解析得到解析数据,而后,将解析数据实时存入Kafka(Kafka是由Apache软件基金会开发的一个开源流处理平台,Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据)的消息队列中,同时也可以将解析数据实时地存储到大数据平台上,从而保障用于检测网络攻击的方法的执行效率。
上述的解析数据可以包括符合HTTP协议标准的主要字段,包括不限于源IP、目的IP、源端口、目的端口、Host、Cookie、User-Agent、URL、PostData等,上述在识别出各条请求报文对应的解析数据之后,还可以根据解析数据结合一些预配置的操作对象标识识别策略去识别出请求报文对应的操作对象标识,具体可以参见下述实施例,当然也可以采用其他任意可能的通信协议解析请求报文得到解析数据,对此不做限制。
上述的报文关联数据可以用于描述请求报文的一些访问信息,例如源IP、目的IP、源端口、目的端口、Host、Cookie,或者也可以为账号、应用、接口等,对此不做限制。
上述的操作对象标识能够用于标识出一个请求报文所操作对象的类型、名称、属性等内容,对此不做限制。
举例而言,当一个请求发生时,例如(请求报文为:GET/test/user/info?uid=123456)则会产生如下记录(表1):
表1
上述的IP、账号、Cookie、应用、接口、其他、均可以被称为报文关联数据,上述的操作对象类型、操作对象可以被称为操作对象标识。
本申请实施例中,提供了从各条请求报文之中识别出对应的至少一种报文关联数据和至少一种操作对象标识的方法,可以采用预配置的操作对象标识识别策略,识别各条请求报文对应的至少一种操作对象标识;采用预配置的报文关联数据识别策略,识别各条请求报文对应的至少一种报文关联数据,由此,能够实现快速地确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,并且适配各种应用场景,从而具有较好的通用性。
上述的预配置的操作对象标识识别策略和预配置的报文关联数据识别策略可以是用于检测网络攻击的装置内置的,或者,也可以是用户自定义的,对此不做限制。
在存在请求遍历攻击的网络访问场景下,攻击者一般大量提交UID(用户身份证明(User Identification))、用户手机号码等数据进行遍历,例如攻击者不断的遍历UID,提交不同的UID来获取用户数据,由此,本申请实施例中可以内置了多种操作对象标识识别策略,同时也支持灵活的自定义配置以调整操作对象标识识别策略,采用操作对象标识识别策略例如可以识别出操作对象:身份证号码、电话、手机号码、银行卡、电子邮箱、护照号、UUID(通用唯一识别码(Universally Unique Identifier))等。
S103:统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量。
上述在确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识之后,可以统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量。
也即是说,假设多条请求报文,则针对每条请求报文进行以下处理:确定请求报文对应的至少一种报文关联数据和至少一种操作对象标识,从而得到多种报文关联数据和多种操作对象标识,而后,确定每种报文关联数据提交每种操作对象标识所属的操作对象的提交数量并作为第一提交数量。
上述的第一提交数量,可以是在一个时间范围之内的提交数量。
举例而言,以上述表1之中的报文关联数据和操作对象标识进行示例,默认的,本申请实施例的时间范围可以为每分钟、每小时、每天三种统计周期,同时也支持用户自定义统计周期,以时间范围每天为例,分别统计每个IP每天在每个操作对象类型中分别提交了多少个操作对象,每个账号每天在每个操作对象类型中分别提交了多少个操作对象,每个Cookie每天在每个操作对象类型中分别提交了多少个操作对象,每个应用每天在每个操作对象类型中分别被提交了多少个操作对象,每个应用的每个接口每天在每个操作对象类型中分别被提交了多少个操作对象,从而将上述统计的各个提交数量均作为第一提交数量。
当然,也可以根据实际检测需求,任意配置统计纬度,例如,提供扩展统计纬度的接口,以使用户可以通过调用该接口,可以通过指定其他字段来快速扩充统计的纬度,支持通过HTTP请求的任意字段进行快速的增加统计纬度,从而使得用于检测网络攻击的方法具有更好的扩展性和检测灵活性,从而保障检测的全面性和检测效果。
本申请实施例中,为了有效地避免误检测,避免检测结果的误报,提升检测命中率,降低检测的运算资源消耗,还可以分别确定各种报文关联数据,提交各种操作对象标识所属的操作对象的第二提交数量(去重之前的提交数量,可以被称为第二数据量),从而对属于相同请求报文的报文关联数据对应的第二提交数量进行去重处理,将去重处理得到的第二提交数量作为第一提交数量。
例如,假设统计了报文关联数据A对应的第二提交数量为A,统计了报文关联数据B对应的第二提交数量为B,统计了报文关联数据C对应的第二提交数量为C,则若报文关联数据A、B、C同属于相同的一条请求报文,则可以直接将第二提交数量为A、或者第二提交数量为B、或者第二提交数量为C作为第一提交数量,直接进行检测即可。
S104:根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文。
可选地,一些实施例中,参见图2,图2是本申请另一实施例提出的用于检测网络攻击的方法的流程示意图,根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,包括:
S201:获取与第一提交数量所属的报文关联数据对应的检测阈值。
其中,获取与第一提交数量所属的报文关联数据对应的检测阈值,可以是获取各个报文关联数据的基线数据,基线数据是根据报文关联数据的基线模型得到的,基线模型是根据报文关联数据的历史运行日志建模得到的;根据基线数据生成与报文关联数据对应的检测阈值。
在另外一些实施例中,该检测阈值也可以是在获取访问网络的多条请求报文之前便获取并存储至计算机设备的存储空间中的,由此,当获取与第一提交数量所属的报文关联数据对应的检测阈值时,可以直接在电子设备的存储空间中读取与报文关联数据对应的检测阈值,对此不做限制。
在一些实施例中,可以预先基于报文关联数据的基线数据去生成与报文关联数据对应的检测阈值,其中,基线数据定义了一个报文关联数据的基线状态,本申请实施例中用此基线数据来生成与报文关联数据对应的检测阈值,基线数据记录了报文关联数据在一个时间范围之内的正常的提交数量。
上述获取各个报文关联数据的基线数据,可以具体是根据报文关联数据的基线模型得到的,基线模型是根据报文关联数据的历史运行日志建模得到的,而由于基线模型是采用建模的方式学习了报文关联数据各个时间范围正常的提交数量,因此,通过根据报文关联数据的基线模型得到基线数据,能够使得所生成的与报文关联数据对应的检测阈值更为精准,保障检测阈值的参照可靠性。
举例而言,基线模型学习多维度统计数据,以每个IP每天在每个操作对象类型中分别提交了多少个操作对象为例,基线模型学习近N天的数据(默认30天,可自定义修改),学习生成个体基线和群体基线(默认针对不同的纬度的数据分别进行个体基线学习和群体基线学习,当将检测方法应用于其他场景下,也可以支持用户自定义配置。
举例而言,个体基线:默认针对应用、接口学习个体基线,即学习每个应用或接口近N天的历史数据(可通过时间序列等算法实现),预测该应用(每分钟、每小时或者每天等)正常情况下提交多少操作对象。
举例而言,群体基线:默认针对IP、账号和Cookie学习群体基线(可通过时间序列等算法实现),学习所有IP、账号或者Cookie群体针对每个应用或所有应用每分钟、每小时或者每天正常情况下提交多少不同的操作对象,从而将正常情况下提交不同的操作对象的数量作为检测阈值。
S202:判断第一提交数量是否大于或者等于对应的检测阈值;
S203:若第一提交数量大于或者等于对应的检测阈值,则确定第一提交数量对应的报文关联数据所属请求报文为目标请求报文;
S204:若第一提交数量小于对应的检测阈值,则确定第一提交数量对应的报文关联数据所属请求报文不为目标请求报文。
举例而言,当启用基线检测后,学习的基线数据会自动下发给规则阈值模块进行实时检测,例如如果认为每个IP今天正常情况下对应用A提交100个UID,对所有应用提交UID300个,如果实际提交数量超过基线的控制比例(默认超过一倍,可以灵活自定义)则进行告警。
举例而言,多维度统计请求报文的各个报文关联数据提交的操作对象的第一提交数量后,会生成多维度统计数据,包含了所有的统计纬度,例如每个IP每天在每个操作对象类型中分别提交了多少个操作对象则会产生以下统计数据:IP1.1.1.1当天提交1000个不同的UID,IP1.1.1.2当天提交了1个不同的UID,针对统计数据,可以通过配置检测阈值来快速检测数据遍历的行为,例如配置检测阈值:每个IP每天在每个操作对象类型中分别提交了不同操作对象>100则告警;此时,IP 1.1.1.1通过提交UID获取个人信息的接口,批量遍历个人数据,则统计结果为提交不同UID数据为1000,大于100,产生告警。检测阈值匹配支持内置的所有统计纬度和自定义统计纬度的检测。
上述通过获取与第一提交数量所属的报文关联数据对应的检测阈值,判断第一提交数量是否大于或者等于对应的检测阈值,若第一提交数量大于或者等于对应的检测阈值,则确定第一提交数量对应的报文关联数据所属请求报文为目标请求报文,若第一提交数量小于对应的检测阈值,则确定第一提交数量对应的报文关联数据所属请求报文不为目标请求报文,能够在有效保障请求遍历类的攻击行为的检测的全面性和精准性的基础上,提升请求遍历类的攻击行为的检测的效率,实现快速地检测出请求遍历类的攻击行为,并且由于是基于高吞吐量的分布式发布订阅消息系统来执行检测方法,由此从硬件支持的角度保障了检测效率,全方位地提升检测效果。
本实施例中,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
图3是本申请另一实施例提出的用于检测网络攻击的方法的流程示意图。
参见图3,该方法包括:
S301:对各条请求报文进行内容解析,识别得到请求报文对应的内容特征。
S302:将内容特征与预配置的参考内容特征进行匹配,并将相匹配的参考内容特征作为识别到的操作对象标识。
S301和S302可以应用在当采用用于检测网络攻击的装置内置的操作对象标识识别策略未识别到操作对象标识时,可以向用户提供操作对象标识编辑入口,接收用户自定义的参考操作对象标识,以辅助识别出与参考操作对象标识匹配的操作对象标识。
举例而言,当内置的操作对象标识识别策略不适用时,可以支持快速创建自定义的操作对象标识识别策略,首先接收用户输入的策略名称(例如企业UID,可以被称为参考操作对象标识),而后输入接口匹配条件,以进行接口匹配,此步骤可以为空,为空时则直接进行下一步匹配策略,当接口对应的内容不为空时,可以是先满足接口相匹配的条件,而后进行继续匹配,接口匹配条件可以根据接口的统一资源标识符(Uniform ResourceIdentifier,URI)、HTTP头部各字段、POSTDATA、请求响应等配置匹配策略,例如URI或POSTDATA中要包含网桥ID(Bridge ID)简称:BID,而后,输入内容匹配规则(正则表达式)。
内容匹配规则可以例如为将内容特征与预配置的参考内容特征进行匹配,并将相匹配的参考内容特征作为识别到的操作对象标识,由此,可以有效地识别出各条请求报文对应的至少一种操作对象标识,提升识别策略配置的灵活性,从而全面地保障识别效果。
另外一些实施例中,在采用预配置的操作对象标识识别策略,识别各条请求报文对应的至少一种操作对象标识,也可以是调用预配置的解析接口,从请求报文之中识别出目标接口;获取目标接口的赋值参数,从而将赋值参数作为操作对象标识。
由此可见,本申请实施例在识别各条请求报文对应的至少一种操作对象标识时,可以采用多种可选的方式去执行识别各条请求报文对应的至少一种操作对象标识,以此保障全面地识别出与请求报文对应的各种操作对象标识。
举例而言,还可以是调用预配置的解析接口,从请求报文之中识别出目标接口;获取目标接口的赋值参数,从而将赋值参数作为操作对象标识,例如六位数的UID(123456),若直接根据内容特征识别,可能会存在大量的误报,由此,可以调用解析接口来进行识别,解析接口例如接口:
GET/test/user/info?uid=123456,
自动解析API协议中各个字段的数据,从请求报文之中识别出目标接口/test/user/info,然后,获取目标接口的赋值参数uid,将赋值参数uid作为操作对象标识,并将操作对象标识uid的值123456作为操作对象,即可完成配置。
S303:根据请求报文的IP字段值,和/或端口字段值,和/或与IP字段值对应的host文件识别请求报文对应的应用程序标识,并将应用程序标识作为报文关联数据。
举例而言,可以根据IP字段值结合PORT端口字段值来识别应用程序标识,也可以手动指定某个应用程序标识,从而根据IP字段值直接识别指定的应用程序标识,也可以根据host文件识别请求报文对应的应用程序标识,对此不做限制。
S304:确定请求报文对应的应用程序标识所属应用程序的会话字段值,将会话字段值作为报文关联数据。
举例而言,一个请求报文所访问的应用程序,不同应用程序所携带的Cookie字段值(会话字段值)都是有差异的(例如,有些会话字段值中会携带账号信息,而另外一些会话字段值携带令牌信息等),由此,可以选择一个关键的与会话相关的字段,用于进行会话字段值统计,例如指定某应用程序的会话字段值使用Session字段的数据,也即是说,直接确定与请求报文对应的应用程序标识的会话字段值作为报文关联数据。
S305:获取请求报文的源IP地址,并将源IP地址作为报文关联数据。
举例而言,默认根据传输控制协议(TCP,Transmission Control Protocol)IP来识别请求报文的源IP,但在源IP NAT(Network Address Translation,网络地址转换)的场景下,源IP发生了地址转换,TCP IP已经不是真实的请求报文的IP,此时选择应用或者请求源IP来指定IP识别方法,例如如果源IP是2.2.2.2的请求,则可以使用x-forword-for来作为其请求报文的真实IP。
其中,X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
S306:获取请求报文对应的应用程序标识所属应用程序的登录账号信息,将登录账号信息作为报文关联数据。
举例而言,默认情况下根据login识别接口并自动抽取login接口提交的账号名称,并自动关联请求报文返回的set-cookie来绑定后续请求报文和账号的关联关系。此处,用户也可以配置自定义的账号识别策略,可以指定任意接口,任意请求报文或响应字段为账号信息,并指定获取登录后Cookie的识别策略,以此来自动识别请求报文对应的登录账号信息并作为报文关联数据。
上述根据请求报文的IP字段值,和/或端口字段值,和/或与IP字段值对应的host文件识别请求报文对应的应用程序标识,并将应用程序标识作为报文关联数据;和/或确定请求报文对应的应用程序标识所属应用程序的会话字段值,将会话字段值作为报文关联数据;和/或获取请求报文的源IP地址,并将源IP地址作为报文关联数据;和/或获取请求报文对应的应用程序标识所属应用程序的登录账号信息,将登录账号信息作为报文关联数据,实现充分地解析出请求报文的访问信息,从而实现从整体上识别了请求报文的访问动作,由此,能够辅助充分地检测出请求遍历类的攻击行为,从数据充分性的角度提升请求遍历类的攻击行为的检测的全面性,从而提升请求遍历类的攻击行为的检测效果。
本实施例中,通过对各条请求报文进行内容解析,识别得到请求报文对应的内容特征,将内容特征与预配置的参考内容特征进行匹配,并将相匹配的参考内容特征作为识别到的操作对象标识,由此,可以有效地识别出各条请求报文对应的至少一种操作对象标识,提升识别策略配置的灵活性,从而全面地保障识别效果。在识别各条请求报文对应的至少一种操作对象标识时,可以采用多种可选的方式去执行识别各条请求报文对应的至少一种操作对象标识,以此保障全面地识别出与请求报文对应的各种操作对象标识。实现充分地解析出请求报文的访问信息,从而实现从整体上识别了请求报文的访问动作,由此,能够辅助充分地检测出请求遍历类的攻击行为,从数据充分性的角度提升请求遍历类的攻击行为的检测的全面性,从而提升请求遍历类的攻击行为的检测效果。
图4是本申请一实施例提出的用于检测网络攻击的装置的结构示意图。
参见图4,该用于检测网络攻击的装置400包括:
第一获取模块401,用于获取访问网络的多条请求报文;
确定模块402,用于确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识;
统计模块403,用于统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量;
检测模块404,用于根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文。
可选地,一些实施例中,统计模块403,具体用于:
分别确定各种报文关联数据,提交各种操作对象标识所属的操作对象的第二提交数量;
对属于相同请求报文的报文关联数据对应的第二提交数量进行去重处理,将去重处理得到的第二提交数量作为第一提交数量。
可选地,一些实施例中,检测模块404,具体用于:
获取与第一提交数量所属的报文关联数据对应的检测阈值;
判断第一提交数量是否大于或者等于对应的检测阈值;
若第一提交数量大于或者等于对应的检测阈值,则确定第一提交数量对应的报文关联数据所属请求报文为目标请求报文;
若第一提交数量小于对应的检测阈值,则确定第一提交数量对应的报文关联数据所属请求报文不为目标请求报文。
可选地,一些实施例中,参见图5,还包括:
第二获取模块405,用于在获取访问网络的多条请求报文之前,获取各个报文关联数据的基线数据,基线数据是根据报文关联数据的基线模型得到的,基线模型是根据报文关联数据的历史运行日志建模得到的;
生成模块406,用于根据基线数据生成与报文关联数据对应的检测阈值。
可选地,一些实施例中,参见图5,确定模块402,包括:
第一识别单元4021,用于采用预配置的操作对象标识识别策略,识别各条请求报文对应的至少一种操作对象标识;
第二识别单元4022,用于采用预配置的报文关联数据识别策略,识别各条请求报文对应的至少一种报文关联数据。
可选地,一些实施例中,第一识别单元4021,具体用于:
对各条请求报文进行内容解析,识别得到请求报文对应的内容特征;
将内容特征与预配置的参考内容特征进行匹配,并将相匹配的参考内容特征作为识别到的操作对象标识。
可选地,一些实施例中,第一识别单元4021,还用于:
调用预配置的解析接口,从请求报文之中识别出目标接口;
获取目标接口的赋值参数,从而将赋值参数作为操作对象标识。
可选地,一些实施例中,第二识别单元4022,具体用于:
根据请求报文的IP字段值,和/或端口字段值,和/或与IP字段值对应的host文件识别请求报文对应的应用程序标识,并将应用程序标识作为报文关联数据;和/或
确定请求报文对应的应用程序标识所属应用程序的会话字段值,将会话字段值作为报文关联数据;和/或
获取请求报文的源IP地址,并将源IP地址作为报文关联数据;和/或
获取请求报文对应的应用程序标识所属应用程序的登录账号信息,将登录账号信息作为报文关联数据。
需要说明的是,前述图1-图3实施例中对用于检测网络攻击的方法实施例的解释说明也适用该实施例的用于检测网络攻击的装置400,其实现原理类似,此处不再赘述。
本实施例中,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
图6是本申请一个实施例提出的计算机设备的结构示意图。
参见图6,本实施例的计算机设备600包括壳体601、处理器602、存储器603、电路板604和电源电路605,其中,电路板604安置在壳体601围成的空间内部,处理器602和存储器603设置在电路板604上;电源电路605,用于为计算机设备600的各个电路或器件供电;存储器603用于存储可执行程序代码;处理器602通过读取存储器603中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行:
获取访问网络的多条请求报文;
确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识;
统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量;
根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文。
需要说明的是,前述图1-图3实施例中对用于检测网络攻击的方法实施例的解释说明也适用该实施例的计算机设备600,其实现原理类似,此处不再赘述。
本实施例中,通过获取访问网络的多条请求报文,确定各条请求报文对应的至少一种报文关联数据和至少一种操作对象标识,统计报文关联数据,提交操作对象标识所属的操作对象的第一提交数量,以及根据第一提交数量,判断多条请求报文之中是否存在请求遍历类的目标请求报文,能够有效地识别出请求遍历类的攻击行为,提升请求遍历类的攻击行为的检测的全面性,提升请求遍历类的攻击行为的检测效果。
为了实现上述实施例,本申请实施例提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法实施例的用于检测网络攻击的方法。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (18)
1.一种用于检测网络攻击的方法,其特征在于,所述方法包括:
获取访问网络的多条请求报文;
确定各条所述请求报文对应的至少一种报文关联数据和至少一种操作对象标识;
统计所述报文关联数据,提交所述操作对象标识所属的操作对象的第一提交数量;
根据所述第一提交数量,判断所述多条请求报文之中是否存在请求遍历类的目标请求报文。
2.如权利要求1所述的方法,其特征在于,所述统计所述报文关联数据,提交所述操作对象标识所属的操作对象的第一提交数量,包括:
分别确定各种所述报文关联数据,提交各种所述操作对象标识所属的操作对象的第二提交数量;
对属于相同所述请求报文的所述报文关联数据对应的第二提交数量进行去重处理,将去重处理得到的第二提交数量作为所述第一提交数量。
3.如权利要求1所述的方法,其特征在于,所述根据所述第一提交数量,判断所述多条请求报文之中是否存在请求遍历类的目标请求报文,包括:
获取与所述第一提交数量所属的报文关联数据对应的检测阈值;
判断所述第一提交数量是否大于或者等于所述对应的检测阈值;
若所述第一提交数量大于或者等于所述对应的检测阈值,则确定所述第一提交数量对应的报文关联数据所属请求报文为所述目标请求报文;
若所述第一提交数量小于所述对应的检测阈值,则确定所述第一提交数量对应的报文关联数据所属请求报文不为所述目标请求报文。
4.如权利要求3所述的方法,其特征在于,在所述获取访问网络的多条请求报文之前,还包括:
获取各个所述报文关联数据的基线数据,所述基线数据是根据所述报文关联数据的基线模型得到的,所述基线模型是根据所述报文关联数据的历史运行日志建模得到的;
根据所述基线数据生成与所述报文关联数据对应的检测阈值。
5.如权利要求1所述的方法,其特征在于,所述确定各条所述请求报文对应的至少一种报文关联数据和至少一种操作对象标识,包括:
采用预配置的操作对象标识识别策略,识别各条所述请求报文对应的至少一种操作对象标识;
采用预配置的报文关联数据识别策略,识别各条所述请求报文对应的至少一种报文关联数据。
6.如权利要求5所述的方法,其特征在于,所述采用预配置的操作对象标识识别策略,识别各条所述请求报文对应的至少一种操作对象标识,包括:
对各条所述请求报文进行内容解析,识别得到所述请求报文对应的内容特征;
将所述内容特征与预配置的参考内容特征进行匹配,并将相匹配的参考内容特征作为识别到的操作对象标识。
7.如权利要求5所述的方法,其特征在于,所述采用预配置的操作对象标识识别策略,识别各条所述请求报文对应的至少一种操作对象标识,包括:
调用预配置的解析接口,从所述请求报文之中识别出目标接口;
获取所述目标接口的赋值参数,从而将所述赋值参数作为所述操作对象标识。
8.如权利要求5所述的方法,其特征在于,所述采用预配置的报文关联数据识别策略,识别各条所述请求报文对应的至少一种报文关联数据,包括:
根据请求报文的IP字段值,和/或端口字段值,和/或与所述IP字段值对应的host文件识别所述请求报文对应的应用程序标识,并将所述应用程序标识作为所述报文关联数据;和/或
确定所述请求报文对应的应用程序标识所属应用程序的会话字段值,将所述会话字段值作为所述报文关联数据;和/或
获取所述请求报文的源IP地址,并将所述源IP地址作为所述报文关联数据;和/或
获取所述请求报文对应的应用程序标识所属应用程序的登录账号信息,将所述登录账号信息作为所述报文关联数据。
9.一种用于检测网络攻击的装置,其特征在于,所述装置包括:
第一获取模块,用于获取访问网络的多条请求报文;
确定模块,用于确定各条所述请求报文对应的至少一种报文关联数据和至少一种操作对象标识;
统计模块,用于统计所述报文关联数据,提交所述操作对象标识所属的操作对象的第一提交数量;
检测模块,用于根据所述第一提交数量,判断所述多条请求报文之中是否存在请求遍历类的目标请求报文。
10.如权利要求9所述的装置,其特征在于,所述统计模块,具体用于:
分别确定各种所述报文关联数据,提交各种所述操作对象标识所属的操作对象的第二提交数量;
对属于相同所述请求报文的所述报文关联数据对应的第二提交数量进行去重处理,将去重处理得到的第二提交数量作为所述第一提交数量。
11.如权利要求9所述的装置,其特征在于,所述检测模块,具体用于:
获取与所述第一提交数量所属的报文关联数据对应的检测阈值;
判断所述第一提交数量是否大于或者等于所述对应的检测阈值;
若所述第一提交数量大于或者等于所述对应的检测阈值,则确定所述第一提交数量对应的报文关联数据所属请求报文为所述目标请求报文;
若所述第一提交数量小于所述对应的检测阈值,则确定所述第一提交数量对应的报文关联数据所属请求报文不为所述目标请求报文。
12.如权利要求11所述的装置,其特征在于,还包括:
第二获取模块,用于在所述获取访问网络的多条请求报文之前,获取各个所述报文关联数据的基线数据,所述基线数据是根据所述报文关联数据的基线模型得到的,所述基线模型是根据所述报文关联数据的历史运行日志建模得到的;
生成模块,用于根据所述基线数据生成与所述报文关联数据对应的检测阈值。
13.如权利要求9所述的装置,其特征在于,所述确定模块,包括:
第一识别单元,用于采用预配置的操作对象标识识别策略,识别各条所述请求报文对应的至少一种操作对象标识;
第二识别单元,用于采用预配置的报文关联数据识别策略,识别各条所述请求报文对应的至少一种报文关联数据。
14.如权利要求13所述的装置,其特征在于,所述第一识别单元,具体用于:
对各条所述请求报文进行内容解析,识别得到所述请求报文对应的内容特征;
将所述内容特征与预配置的参考内容特征进行匹配,并将相匹配的参考内容特征作为识别到的操作对象标识。
15.如权利要求13所述的装置,其特征在于,所述第一识别单元,还用于:
调用预配置的解析接口,从所述请求报文之中识别出目标接口;
获取所述目标接口的赋值参数,从而将所述赋值参数作为所述操作对象标识。
16.如权利要求13所述的装置,其特征在于,所述第二识别单元,具体用于:
根据请求报文的IP字段值,和/或端口字段值,和/或与所述IP字段值对应的host文件识别所述请求报文对应的应用程序标识,并将所述应用程序标识作为所述报文关联数据;和/或
确定所述请求报文对应的应用程序标识所属应用程序的会话字段值,将所述会话字段值作为所述报文关联数据;和/或
获取所述请求报文的源IP地址,并将所述源IP地址作为所述报文关联数据;和/或
获取所述请求报文对应的应用程序标识所属应用程序的登录账号信息,将所述登录账号信息作为所述报文关联数据。
17.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8中任一项所述的用于检测网络攻击的方法。
18.一种计算机设备,所述计算机设备包括壳体、处理器、存储器、电路板和电源电路,其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述计算机设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行如权利要求1-8中任一项所述的用于检测网络攻击的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010810476.7A CN112165445B (zh) | 2020-08-13 | 2020-08-13 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010810476.7A CN112165445B (zh) | 2020-08-13 | 2020-08-13 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112165445A true CN112165445A (zh) | 2021-01-01 |
CN112165445B CN112165445B (zh) | 2023-04-07 |
Family
ID=73859938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010810476.7A Active CN112165445B (zh) | 2020-08-13 | 2020-08-13 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112165445B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113067804A (zh) * | 2021-03-15 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
CN113642867A (zh) * | 2021-07-30 | 2021-11-12 | 南京星云数字技术有限公司 | 评估风险的方法及系统 |
CN115622803A (zh) * | 2022-12-02 | 2023-01-17 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
CN117150493A (zh) * | 2023-09-26 | 2023-12-01 | 中电云计算技术有限公司 | 一种识别api接口参数值递增型遍历的方法及装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
WO2014165627A1 (en) * | 2013-04-03 | 2014-10-09 | Alibaba Group Holding Limited | Method and system for distinguishing humans from machines and for controlling access to network services |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
CN107370719A (zh) * | 2016-05-13 | 2017-11-21 | 阿里巴巴集团控股有限公司 | 异常登录识别方法、装置及系统 |
US20180115523A1 (en) * | 2016-10-26 | 2018-04-26 | Elastic Beam, Inc. | Methods and systems for api deception environment and api traffic control and security |
CN110020512A (zh) * | 2019-04-12 | 2019-07-16 | 重庆天蓬网络有限公司 | 一种反爬虫的方法、装置、设备及存储介质 |
CN110460559A (zh) * | 2018-05-07 | 2019-11-15 | 中国移动通信有限公司研究院 | 分布式撞库行为的检测方法、装置及计算机可读存储介质 |
-
2020
- 2020-08-13 CN CN202010810476.7A patent/CN112165445B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
WO2014165627A1 (en) * | 2013-04-03 | 2014-10-09 | Alibaba Group Holding Limited | Method and system for distinguishing humans from machines and for controlling access to network services |
CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
CN107370719A (zh) * | 2016-05-13 | 2017-11-21 | 阿里巴巴集团控股有限公司 | 异常登录识别方法、装置及系统 |
US20180115523A1 (en) * | 2016-10-26 | 2018-04-26 | Elastic Beam, Inc. | Methods and systems for api deception environment and api traffic control and security |
CN110460559A (zh) * | 2018-05-07 | 2019-11-15 | 中国移动通信有限公司研究院 | 分布式撞库行为的检测方法、装置及计算机可读存储介质 |
CN110020512A (zh) * | 2019-04-12 | 2019-07-16 | 重庆天蓬网络有限公司 | 一种反爬虫的方法、装置、设备及存储介质 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113067804A (zh) * | 2021-03-15 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
CN113642867A (zh) * | 2021-07-30 | 2021-11-12 | 南京星云数字技术有限公司 | 评估风险的方法及系统 |
CN115622803A (zh) * | 2022-12-02 | 2023-01-17 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
CN115622803B (zh) * | 2022-12-02 | 2023-04-14 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
CN117150493A (zh) * | 2023-09-26 | 2023-12-01 | 中电云计算技术有限公司 | 一种识别api接口参数值递增型遍历的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112165445B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
US11818169B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
US11582207B2 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
CN110798472B (zh) | 数据泄露检测方法与装置 | |
US20180295154A1 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
US9275348B2 (en) | Identifying participants for collaboration in a threat exchange community | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
US20220060497A1 (en) | User and entity behavioral analysis with network topology enhancements | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
US20220014561A1 (en) | System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
CN110941823A (zh) | 威胁情报获取方法及装置 | |
CN112383513B (zh) | 基于代理ip地址池的爬虫行为检测方法、装置及存储介质 | |
von der Assen | DDoSGrid 2.0: Integrating and Providing Visualizations for the European DDoS Clearing House | |
Su et al. | AndroGenerator: An automated and configurable android app network traffic generation system | |
Kuzuno et al. | Detecting advertisement module network behavior with graph modeling | |
US11475122B1 (en) | Mitigating malicious client-side scripts | |
CN110943884B (zh) | 一种数据处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |