CN112565269B - 服务器后门流量检测方法、装置、电子设备及存储介质 - Google Patents
服务器后门流量检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112565269B CN112565269B CN202011418159.7A CN202011418159A CN112565269B CN 112565269 B CN112565269 B CN 112565269B CN 202011418159 A CN202011418159 A CN 202011418159A CN 112565269 B CN112565269 B CN 112565269B
- Authority
- CN
- China
- Prior art keywords
- flow
- target
- traffic
- character string
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种服务器后门流量检测方法、装置、电子设备及计算机可读存储介质,该方法包括:检测待检测流量中是否存在密钥字符串;若存在密钥字符串,则基于密钥字符串确定目标流量;目标流量为待检测流量对应的后续网络行为所属的网络流量;判断目标流量是否为目标格式;若目标流量为目标格式,则确定待检测流量为服务器后门流量;该方法不需要利用密钥对待检测流量进行解密并分析,通过目标流量的格式即可判断待检测流量是否为服务器后门流量,因此降低了对设备计算性能的要求,同时减少了计算性能的消耗,防止对其他业务造成影响;同时提高了对服务器后门流量的检测能力,解决了相关技术对服务器后门流量检出能力差的问题。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种服务器后门流量检测方法、服务器后门流量检测装置、电子设备及计算机可读存储介质。
背景技术
服务器后门,是一种攻击者用于控制网站服务器的恶意文件,攻击者可以在网站服务器上上传服务器后门,通过该服务器后门即可任意控制服务器,达到其窃取财产或业务信息等目的。为了对服务器后门流量进行检测,相关技术通常需要获取秘钥,并使用秘钥对数据包进行解密,还原出原始数据,利用原始数据来确认其是否为服务器后门通讯流量(即服务器后门流量)。然而,解密数据包并对其进行分析需要消耗较多的计算资源,对计算性能有较高要求,同时会消耗大量的计算资源,影响其他业务的进行。
发明内容
有鉴于此,本申请的目的在于提供一种服务器后门流量检测方法、服务器后门流量检测装置、电子设备及计算机可读存储介质,提高了对后门流量的检测能力,降低服务器后门流量检测时对计算资源的消耗。
为解决上述技术问题,本申请提供了一种服务器后门流量检测方法,具体包括:
检测待检测流量中是否存在密钥字符串;
若存在所述密钥字符串,则基于所述密钥字符串确定目标流量;所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量;
判断所述目标流量是否为目标格式;
若所述目标流量为所述目标格式,则确定所述待检测流量为服务器后门流量。
可选地,所述检测待检测流量中是否存在密钥字符串,包括:
获取所述待检测流量;
对所述待检测流量进行密钥检测,判断是否存在密钥字符串。
可选地,所述对所述待检测流量进行密钥检测,判断是否存在密钥字符串,包括:
从所述待检测流量中提取响应数据包,并提取所述响应数据包对应的差异字符串;
判断所述差异字符串的字符串长度是否为预设字符串长度;
若所述字符串长度为所述预设字符串长度,则确定所述差异字符串为所述密钥字符串,存在所述密钥字符串。
可选地,在判断所述差异字符串的字符串长度是否为预设字符串长度之前,还包括:
判断所述差异字符串是否包括非预设字符;
若包括所述非预设字符,则确定所述差异字符串不是所述密钥字符串;
若不包括所述非预设字符,则判断所述差异字符串的字符串长度是否为预设字符串长度。
可选地,所述获取待检测流量,包括:
获取初始流量,并在所述初始流量中确定初始数据包;
判断所述初始数据包是否具备目标属性;
若具有所述目标属性,则确定所述初始流量为所述待检测流量;
若不具有所述目标属性,则确定所述初始流量为正常流量。
可选地,在确定所述初始数据包具有所述目标属性之后,在确定所述初始流量为所述待检测流量之前,还包括:
判断所述初始数据包中初始响应数据包的数据包体积是否小于体积阈值;
若所述数据包体积小于所述体积阈值,则将所述初始流量确定为所述待检测流量;
若所述数据包体积不小于所述体积阈值,则确定所述初始流量为正常流量。
可选地,所述判断所述初始数据包是否具备目标属性,包括:
提取所述初始数据包对应的目标字段;
判断所述目标字段是否为预设字段;
若所述目标字段为所述预设字段,则确定所述初始数据包具备所述目标属性。
可选地,在所述确定所述待检测流量为服务器后门流量之后,还包括:
提取所述目标流量的格式声明字段,并判断所述格式声明字段与所述目标格式是否匹配;
若所述格式声明字段与所述目标格式不匹配,则进行确认报警;
若所述格式声明字段与所述目标格式匹配,则进行高可疑报警。
本申请还提供了一种服务器后门流量检测装置,包括:
检测模块,用于检测待检测流量中是否存在密钥字符串;
目标流量确定模块,用于若存在所述密钥字符串,则基于所述密钥字符串确定目标流量;所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量;
格式判断模块,用于判断所述目标流量是否为目标格式;
确定模块,用于若所述目标流量为所述目标格式,则确定所述待检测流量为服务器后门流量。
本申请还提供了一种电子设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的服务器后门流量检测方法。
本申请还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的服务器后门流量检测方法。
本申请提供的服务器后门流量检测方法,检测待检测流量中是否存在密钥字符串;若存在密钥字符串,则基于密钥字符串确定目标流量;目标流量为待检测流量对应的后续网络行为所属的网络流量;判断目标流量是否为目标格式;若目标流量为目标格式,则确定待检测流量为服务器后门流量。
可见,该方法先对待检测流量进行密钥检测,判断其中是否存在密钥字符串,由于攻击者在利用后门进行操作时,其传输的数据载荷需要利用密钥进行加密,因此若检测到待检测流量中存在密钥字符串时,说明待检测流量可能为服务器后门流量。在检测到目标字符串后,基于其确定目标流量,目标流量为待检测流量对应的后续网络行为所属的网络流量,具体为待检测流量在传输密钥字符串之后的网络行为对应的网络流量,服务器后门流量在传输密钥字符串后的流量均会利用密钥字符串进行加密,加密处理过的目标流量具有特殊的目标格式,与正常流量的格式不同,因此若目标流量为目标格式,则可以确定待检测流量即为服务器后门流量。该方法不需要利用密钥对经过加密的目标流量进行解密并分析,通过目标流量的格式即可判断待检测流量是否为服务器后门流量,因此降低了对设备计算性能的要求,同时减少了计算性能的消耗,防止对其他业务造成影响。同时,由于服务器后门流量易变形,相关技术基于目标流量的具体内容进行检测,可能因其变形而无法检出,导致服务器后门流量检出能力差。本申请不需要基于目标流量的具体内容进行服务器后门流量检测,因此检测能力不会受到服务器后门流量易变性的特性的影响,无论其具体内容如何变形,均可以将其检出,提高了对服务器后门流量的检测能力。解决了相关技术对计算性能有较高要求,会消耗大量的设备性能,影响其他业务的进行的问题,同时解决了相关技术对服务器后门流量检出能力差的问题。
此外,本申请还提供了一种服务器后门流量检测装置、电子设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种服务器后门流量检测方法流程图;
图2为本申请实施例提供的一种待检测流量获取过程流程图;
图3为本申请实施例提供的一种报警过程流程图;
图4为本申请实施例提供的一种密钥字符串检测过程流程图;
图5为本申请实施例提供的一种具体的服务器后门流量检测过程流程图;
图6为本申请实施例提供的一种服务器后门流量检测装置的结构示意图;
图7为本申请实施例提供的一种服务器后门流量检测方法所适用的一种硬件组成框架示意图;
图8为本申请实施例提供的另一种服务器后门流量检测方法所适用的一种硬件组成框架示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例提供的一种服务器后门流量检测方法流程图。该方法包括:
S101:检测待检测流量中是否存在密钥字符串。
待检测流量可以为任意目标网站服务器对应的流量,服务器后门流量即为webshell流量,可以被称为网页木马流量,意为可以取得网站服务器的操作权限的流量。其具体可以为HTTP(HyperText Transfer Protocol,超文本传输协议)流量,或其他可以与网站服务器进行数据交互的流量。在本实施例中,服务器后门流量的具体生成方式不做限定,例如可以采用冰蝎工具生成,冰蝎工具即为behinder工具,是一种动态二进制加密网站管理客户端,该工具使用了动态二进制加密算法对数据进行加密,因此经其生成的服务器后门流量拥有很高的检测逃逸率,导致服务器后门流量检出率较低。
服务器后门流量为了防止其被检出,需要利用密钥对传输的内容进行加密,因此在基于待检测流量进行服务器后门流量的检测时,可以先检测其中是否存在密钥字符串,若不具有密钥字符串,则可以确定待检测流量必然不是目标流量,是正常流量,本实施例并不对这种情况下执行的操作进行限定。若检测到密钥字符串,则说明待检测流量可能为服务器后门流量,可以执行后续步骤进行进一步检测。需要说明的是,服务器后门流量必然会存在请求密钥这一操作,但并不是所有利用密钥加密的网络流量均为服务器后门流量,因此进行密钥检测判断是否存在密钥字符串的步骤仅为对服务器后门流量的初步检测,在确定存在密钥字符串后还需进行进一步检测。
S102:若存在密钥字符串,则基于密钥字符串确定目标流量。
在确定存在密钥字符串后,可以进行进一步检测。服务器后门流量对应的客户端在获得密钥字符串后,会要求客户端和服务器使用密钥字符串对其后续所有网络行为产生的需要传输的数据进行加密,实现客户端与网站服务器之间的加密通信,而服务器后门流量对数据加密后得到的加密数据具有特殊的格式。为了对加密数据的格式进行检测,首先需要获取该加密数据,即目标流量。需要说明的是,所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量,即待检测流量在传输密钥字符串之后的网络行为对应的网络流量。在检测到待检测流量中的密钥字符串后,将与待检测流量对应,且处于密钥字符串之后的网络流量确定为目标流量。本实施例并不限定确定目标流量的具体方式,例如可以将客户端与网站服务器之间的数据包按照发送顺序进行排序,在检测到密钥字符串后确定其所处的数据包,并利用该数据包之后的与待检测流量相对应的全部数据包构成目标流量。
S103:判断目标流量是否为目标格式。
在得到目标流量后,判断其是否为目标格式,目标格式为服务器后门流量可能采用的非正常格式,即正常流量不会采用的格式,其具体数量可以为一个或多个,若目标格式为多个,则利用第一目标格式、第二目标格式等对各个不同的目标格式进行区分,并分别判断目标流量是否为任意一个目标格式。目标格式的具体内容不做限定,根据服务器后门流量生成方式的不同,目标格式可以有所不同。例如在一种可行的实施方式中,利用冰蝎工具生成服务器后门流量时,客户端获取密钥字符串后会以二进制的形式传输数据,而正常流量通常不会以二进制的形式传输数据,因此可以通过判断目标流量是否为二进制格式可以判断待检测流量是否为利用冰蝎工具生成的服务器后门流量。或者在另外的可行的实施方式中,根据采用的加密算法的不同,服务器后门流量可能为Base64编码格式(基于64个可打印字符来表示二进制数据的格式),或者为十六进制格式,目标格式的具体内容可以基于服务器后门流量可能采用的加密方式进行设置。可以理解的是,在对目标流量的格式进行检测之前,需要先确定目标流量的格式,即需要先获取目标流量的格式信息。本实施例并不限定格式信息的具体获取方式,例如可以对目标流量中的请求数据包和响应数据包进行解码,并在解码得到其中具体内容后对其进行格式检测。需要说明的是,本实施例中所说的解码并非相关技术中的解密,本实施例中的解码仅用于提取数据包中的数据部分,提取到的内容仍为经过加密的内容。而相关技术中的解密需要对数据部分进一步进行解密处理,因此其需要较多的计算资源。在确定目标流量为目标格式后,可以执行S104步骤;在确定目标流量不为目标格式后,可以执行S105步骤,即执行预设操作。
S104:确定待检测流量为服务器后门流量。
若目标流量为目标格式,则说明待检测流量中加密数据的格式并非正常流量所采用的格式,而是采用了服务器后门流量通常采用的格式,因此将待检测流量确定为服务器后门流量,实现对服务器后门流量的检出。本实施例中并不需要利用密钥字符串对加密数据进行解密后检测,而是通过对目标流量的格式进行检测,将具有正常流量不回具有的目标格式的待检测流量确定为服务器后门流量,在保证检测准确率的同时降低了检测服务器后门流量所需的计算资源,避免对其他正常业务造成影响。
S105:预设操作。
在确定待检测流量中不包括密钥字符串,或者确定目标流量不为目标格式时,可以执行预设操作。预设操作的具体内容不做限定,例如可以为待检测流量更新操作,即重新获取待检测流量并进行服务器后门流量的检测;或者可以为无操作,即不执行任何操作。
应用本申请实施例提供的服务器后门流量检测方法,先对待检测流量进行密钥检测,判断其中是否存在密钥字符串,由于攻击者在利用后门进行操作时,其传输的数据载荷需要利用密钥进行加密,因此若检测到待检测流量中存在密钥字符串时,说明待检测流量可能为服务器后门流量。在检测到目标字符串后,基于其确定目标流量,目标流量为待检测流量对应的后续网络行为所属的网络流量,具体为待检测流量在传输密钥字符串之后的网络行为对应的网络流量,服务器后门流量在传输密钥字符串后的流量均会利用密钥字符串进行加密,加密处理过的目标流量具有特殊的目标格式,与正常流量的格式不同,因此若目标流量为目标格式,则可以确定待检测流量即为服务器后门流量。该方法不需要利用密钥对经过加密的目标流量进行解密并分析,通过目标流量的格式即可判断待检测流量是否为服务器后门流量,因此降低了对设备计算性能的要求,同时减少了计算性能的消耗,防止对其他业务造成影响。同时,由于服务器后门流量易变形,相关技术基于目标流量的具体内容进行检测,可能因其变形而无法检出,导致服务器后门流量检出能力差。本申请不需要基于目标流量的具体内容进行服务器后门流量检测,因此检测能力不会受到服务器后门流量易变性的特性的影响,无论其具体内容如何变形,均可以将其检出,提高了对服务器后门流量的检测能力。解决了相关技术对计算性能有较高要求,会消耗大量的设备性能,影响其他业务的进行的问题,同时解决了相关技术对服务器后门流量检出能力差的问题。
基于上述实施例,下面对上述实施例中各个步骤的执行过程进行具体的阐述。可以理解的是,对待检测流量进行密钥字符串的检测,必然需要获取待检测流量。因此在一种具体的实施方式中,检测待检测流量中是否存在密钥字符串的步骤,可以包括:
S1011:获取所述待检测流量。
本实施例中,待检测流量可以为直接获取到的流量,或者可以为经过预处理的、可能包含有服务器后门流量的网络流量。预处理的具体过程不做限定,例如可以为过滤处理,将确定不可能为服务器后门流量的其他流量滤除,进而减少对正常流量进行后续步骤导致的计算资源浪费和检测效率降低。由于需要获取客户端与服务器之间的通讯数据包得到待检测流量,客户端本身可能被攻击者使用,因此无法使用客户端执行本实施例中的部分或全部步骤,可以由客户端与服务器之间的网络通信设备,例如网关、路由器等执行本实施例中的全部或部分步骤,在另一种实施方式中,还可以利用服务器执行本实施例中的全部或部分步骤。进一步的,待检测流量可以由电子设备直接从经过本身的网络流量得到,或者可以由其他电子设备获取后,将待检测流量发送至执行本实施例中各个步骤的电子设备,例如可以由专用服务器或进行请求相应的网站服务器执行本实施例中的步骤,而待检测流量由分布较广的网关和路由器获取,在获取后将其发送至专用服务器或网站服务器。
S1012:对待检测流量进行密钥检测,判断是否存在密钥字符串。
在获取待检测流量后,需要对其进行密钥检测。密钥检测用于判断客户端和网站服务器之间是否存在密钥交换过程,即判断判断客户端是否向网站服务器请求了密钥且网站服务器响应了该请求。服务器后门流量为了防止其被检出,需要利用密钥对传输的内容进行加密,通过对待检测而流量进行密钥检测,判断是否存在密钥字符串,可以对待检测流量是否为服务器后门流量进行初步检查。本实施例并不限定密钥检测的具体过程,对于冰蝎工具生成的服务器后门流量来说,客户端通常通过使用GET请求的方式向服务器传送特定的随机数字串,服务器在获取到该随机数字串后会生成密钥,并将密钥以明文响应流量的方式反馈给客户端。因此在进行密钥检测时,可以对服务器发送出去的响应数据包进行密钥匹配,判断是否存在符合密钥格式的字符串。
在一种实施方式中,为了减少计算资源的消耗,可以对直接获取到的初始流量进行过滤,并将过滤后剩下的初始流量确定为待检测流量。请参考图2,图2为本申请实施例提供的一种待检测流量获取过程流程图,获取待检测流量的步骤可以包括:
S201:获取初始流量,并在初始流量中确定初始数据包。
在本实施例中,初始流量为直接获取到的流量,由于在实际应用中,直接获取到的流量大部分为正常流量,因此若直接将初始流量作为待检测流量会导致大量计算资源的消耗。为了解决这个问题,本实施例针对服务器后门流量的特征对初始流量进行过滤,将明显不具有服务器后门流量特征的初始流量确定为正常流量,不对其进行后续检测,避免计算资源的浪费。
具体的,服务器后门流量在初始建立连接的过程中具有特殊的特性,其所有的通讯数据包都在同一个TCP(Transmission Control Protocol,传输控制协议)流中,具体表现为服务器后门流量在初始建立连接时的通讯数据包具有keep alive属性(保持活跃属性)。为了从该属性的角度对初始流量进行检测,在获取初始流量后,可以在其中确定初始数据包,初始数据包为初始流量中按照时间顺序排序的前若干的数据包,其具体数量不做限定。
S202:判断初始数据包是否具备目标属性。
目标属性即为keep alive属性,由于keep alive属性可以全程保持,因此仅需对前若干个数据包进行keep alive属性的检测,即可判断全部数据包是否具有该属性。本实施例并不限定初始数据宝是否具有目标属性的具体判断方式,例如在一种实施方式中,S202步骤可以包括:
步骤11:提取初始数据包对应的目标字段。
初始数据包中具有目标字段,用于对目标属性进行表征,其具体形式不做限定,例如可以为一个比特位,通过比特位的不同形式表示数据包是否具有目标属性。具体的,可以提取初始数据包中的协议字段,基于协议规则从中提取出目标字段。
步骤12:判断目标字段是否为预设字段。
步骤13:若目标字段为预设字段,则确定初始数据包具备目标属性。
预设字段即为表征数据包具有目标属性的字段,具体形式不做限定。在目标字段为预设字段时,可以确定初始数据包具有目标属性。在确定初始数据包具有目标属性后,可以执行S203步骤;在确定初始数据包不具有目标属性后,可以执行S204步骤。
S203:确定初始流量为待检测流量。
若初始数据包具有目标属性,则说明其对应的初始流量可能为服务器后门流量,因此将其确定为待检测流量,以便后续进行进一步检测。
S204:确定初始流量为正常流量。
若初始数据包不具有目标属性,可以说明初始流量不可能为服务器后门流量,因此将其确定为正常流量。
进一步的,为了进一步对正常流量进行筛选,在确定初始数据包具有目标属性之后,在确定初始流量为待检测流量之前,还可以包括:
步骤21:判断初始数据包中初始响应数据包的数据包体积是否小于体积阈值。
服务器后门流量在前期的数据交互中,为了方便定位密钥字符串,其响应方向的数据包大小都较小。因此可以在初始数据包中筛选得到初始响应数据包,即初始数据包中由网站服务器发送给客户端的数据包,平判断其体积是否小于体积阈值。体积阈值的具体大小不做限定,例如可以为1kB。
步骤22:若数据包体积小于体积阈值,则将初始流量确定为待检测流量。
若数据包体积小于体积阈值,则说明初始流量符合服务器后门流量的特征,因此将其确定为待检测流量。
步骤23:若数据包体积不小于体积阈值,则确定初始流量为正常流量。
若数据包体积不小于体积阈值,则说明初始流量中初始响应数据包的数据包体积较大,不符合服务器后门流量的特征,因此可以确定初始流量为正常流量。
应用本申请实施例提供的服务器后门流量检测方法,可以从服务器后门流量的特征方面对初始流量进行过滤,将明显不是服务器后门流量的初始流量滤除,避免后续对其进行处理造成的计算资源的浪费,同时防止其对服务器后门流量检测造成干扰,保证服务器后门流量检测的准确性。
进一步,基于上述实施例,在确定待检测流量为服务器后门流量后,可以进行报警操作。请参考图3,图3为本申请实施例提供的一种报警过程流程图,具体包括:
S301:提取目标流量的格式声明字段。
格式声明字段用于对目标流量中的数据格式进行声明,以便对数据进行解析。而服务器后门流量为了防止被正确解析并读取内容,其通常会在格式声明字段处声明错误的格式。在确定待检测流量为服务器后门流量后,还可以进一步利用格式声明字段对检测结果进行进一步确认。本实施例并不限定格式声明字段的具体提取方式,例如可以与上述实施例中的目标字段的提取方式相同。
S302:判断格式声明字段与目标格式是否匹配。
在获取格式声明字段后,判断其与目标格式是否匹配,即判断待检测流量是否正确声明了其数据格式。若格式声明字段与目标格式匹配,则可以执行S303步骤;若二者不匹配,则可以执行S304步骤。
S303:进行高可疑报警。
由于服务器后门流量的格式声明字段与目标格式不匹配,因此若格式声明字段与目标格式相匹配,则说明待检测流量与服务器后门流量在该方面不匹配。但是待检测流量仍有很大的概率为服务器后门流量,因此可以进行高可疑报警,以便用户及时对待检测流量进行甄别。
S304:进行确认报警。
若格式声明字段与目标格式相匹配,则可以进一步确认待检测流量为服务器后门流量,因此可以进行确认报警。需要说明的是,高可疑报警和确认报警的具体报警方式不做限定,二者之间可以区分即可。
应用本申请实施例提供的服务器后门流量检测方法,可以利用格式声明字段对待检测流量为服务器后门流量的可能性进行进一步确认,并根据可能性采取针对性的报警方式进行报警,以便用户进行区分。
进一步,基于上述实施例,本实施例将说明一种具体的密钥检测方式。请参考图4,图4为本申请实施例提供的一种密钥字符串检测过程流程图,具体包括:
S401:从待检测流量中提取响应数据包,并提取响应数据包对应的差异字符串。
服务器后门流量采用的密钥字符串均由服务器生成并发送给客户端,因此在密钥检测时,需要从待检测流量中提取响应数据包,响应数据包即为服务器响应于客户端发送的请求而发送的数据包。差异字符串即为某一响应数据包与标准数据包之间数据内容的差异,标准数据包可以为另外一个响应数据包,或者为先前已提取到的用于发送密钥字符串的响应数据包。提取差异字符串的具体方式不做限定,例如可以为异或方式,即将响应数据包与标准数据包进行异或处理,得到差异字符串。差异字符串的数量不做限定,当存在多个差异字符串时,需要分别利用各个差异字符串执行本实施例中的各个后续步骤。
S402:判断差异字符串的字符串长度是否为预设字符串长度。
差异字符串由若干个连续的字符组成,由于加密算法采用的密钥长度是固定的,例如固定为16个字符。通过将差异字符串的字符串长度与预设字符串长度进行比较,可以判断差异字符串是否为密钥字符串。若字符串长度等于预设字符串长度,可以执行S403步骤;若字符串长度不等于预设字符串长度,则可以执行S404步骤。
S403:确定差异字符串为密钥字符串,存在密钥字符串。
若字符串长度等于预设字符串长度,则可以确定差异字符串为密钥字符串,确定存在密钥字符串。
S404:确定不存在密钥字符串。
进一步,为了提高密钥检测的速度,还可以从差异字符串的字符内容方面进行检测。具体的,在判断差异字符串的字符串长度是否为预设字符串长度之前,还可以包括:
步骤31:判断差异字符串是否包括非预设字符。
密钥中各个字符均具有对应的选择范围,不同密钥算法对应的字符选择范围可以不同,该范围外的字符即为非预设字符。例如冰蝎流量采用动态二进制加密算法,因此其对应的密钥字符串中各个字符只能在英文字母A~Z和数字0~9之间选择,除此之外的其他字符均为非预设字符。
步骤32:若包括非预设字符,则确定差异字符串不是密钥字符串。
步骤33:若不包括非预设字符,则执行判断差异字符串的字符串长度是否为预设字符串长度的步骤。
可以理解的是,若差异字符串内包括非预设字符,则可以确认差异字符串不是密钥字符串。若其不包括非预设字符,则无法确定差异字符串是否为密钥字符串,因此可以执行判断差异字符串的字符串长度是否为预设字符串长度的步骤,以便进行进一步确认。
应用本申请实施例提供的服务器后门流量检测方法,可以利用差异字符串长度快速准确地进行密钥检测,若利用非预设字符可以对差异字符串的内容进行检测,则可以进一步提高密钥检测的效率和准确性。
请参考图5,图5为本申请实施例提供的一种具体的服务器后门流量检测过程流程图。其中HTTP流量即为初始流量,在获取HTTP流量后,判断其是否满足数据包为同一个TCP流,且GET请求对应的响应数据(即初始响应数据包)小于1kB的条件。若不满足,则确定其为正常流量,检测结束。若满足上述条件,则在GET请求的响应数据中匹配密钥字符串,具体的匹配方法为:利用异或算法,计算同一个URL对应的GET请求响应数据之间的差异字符串,并统计该差异字符串长度。若差异长度(即差异字符串长度)不等于16,则说明HTTP流量不具有密钥字符串,HTTP流量为正常流量,检测结束。若等于16,则进一步检测后续POST请求和对应的响应数据是否为二进制数据,若不为二进制数据,则说明HTTP流量为正常流量,检测结束若为二进制数据,则确定HTTP流量为服务器后门检测流量,且为冰蝎webshell流量,即由冰蝎工具生成的webshell流量,检测结束。
下面对本申请实施例提供的服务器后门流量检测装置进行介绍,下文描述的服务器后门流量检测装置与上文描述的服务器后门流量检测方法可相互对应参照。
请参考图6,图6为本申请实施例提供的一种服务器后门流量检测装置的结构示意图,包括:
检测模块110,用于检测待检测流量中是否存在密钥字符串;
目标流量确定模块120,用于若存在所述密钥字符串,则基于所述密钥字符串确定目标流量;所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量;
格式判断模块130,用于判断目标流量是否为目标格式;
确定模块140,用于若目标流量为目标格式,则确定待检测流量为服务器后门流量。
应用本申请实施例提供的服务器后门流量检测装置,先对待检测流量进行密钥检测,判断其中是否存在密钥字符串,由于攻击者在利用后门进行操作时,其传输的数据载荷需要利用密钥进行加密,因此若检测到待检测流量中存在密钥字符串时,说明待检测流量可能为服务器后门流量。在检测到目标字符串后,基于其确定目标流量,目标流量为待检测流量对应的后续网络行为所属的网络流量,具体为待检测流量在传输密钥字符串之后的网络行为对应的网络流量,服务器后门流量在传输密钥字符串后的流量均会利用密钥字符串进行加密,加密处理过的目标流量具有特殊的目标格式,与正常流量的格式不同,因此若目标流量为目标格式,则可以确定待检测流量即为服务器后门流量。该装置不需要利用密钥对经过加密的目标流量进行解密并分析,通过目标流量的格式即可判断待检测流量是否为服务器后门流量,因此降低了对设备计算性能的要求,同时减少了计算性能的消耗,防止对其他业务造成影响。同时,由于服务器后门流量易变形,相关技术基于目标流量的具体内容进行检测,可能因其变形而无法检出,导致服务器后门流量检出能力差。本申请不需要基于目标流量的具体内容进行服务器后门流量检测,因此检测能力不会受到服务器后门流量易变性的特性的影响,无论其具体内容如何变形,均可以将其检出,提高了对服务器后门流量的检测能力。解决了相关技术对计算性能有较高要求,会消耗大量的设备性能,影响其他业务的进行的问题,同时解决了相关技术对服务器后门流量检出能力差的问题。
可选地,检测模块110,包括:
获取单元,用于获取所述待检测流量;
检测单元,用于对所述待检测流量进行密钥检测,判断是否存在密钥字符串。
可选地,检测单元,包括:
差异字符串提取子单元,用于从待检测流量中提取响应数据包,并提取响应数据包对应的差异字符串;
长度判断子单元,用于判断差异字符串的字符串长度是否为预设字符串长度;
存在确定子单元,用于若字符串长度为预设字符串长度,则确定差异字符串为密钥字符串,存在密钥字符串。
可选地,检测单元,还包括:
字符判断子单元,用于判断差异字符串是否包括非预设字符;
非密钥确定子单元,用于若包括非预设字符,则确定差异字符串不是密钥字符串;
相应的,长度判断子单元为确定不包括非预设字符后,判断差异字符串的字符串长度是否为预设字符串长度的子单元。
可选地,获取单元,包括:
初始数据包确定子单元,用于获取初始流量,并在初始流量中确定初始数据包;
属性判断子单元,用于判断初始数据包是否具备目标属性;
待检测流量确定子单元,用于若具有目标属性,则确定初始流量为待检测流量;
第一正常确定子单元,用于若不具有目标属性,则确定初始流量为正常流量。
可选地,获取单元,还包括:
体积判断子单元,用于判断初始数据包中初始响应数据包的数据包体积是否小于体积阈值;
相应的,待检测流量确定子单元为确定数据包体积小于体积阈值,且,具有目标属性后,将初始流量确定为待检测流量的子单元;
第二正常确定子单元,用于若数据包体积不小于体积阈值,则确定初始流量为正常流量。
可选地,属性判断子单元,包括:
目标字段提取子单元,用于提取初始数据包对应的目标字段;
预设字段判断子单元,用于判断目标字段是否为预设字段;
目标属性确定子单元,用于若目标字段为预设字段,则确定初始数据包具备目标属性。
可选地,还包括:
声明匹配模块,用于提取目标流量的格式声明字段,并判断格式声明字段与目标格式是否匹配;
确认报警模块,用于若格式声明字段与目标格式不匹配,则进行确认报警;
高可疑报警模块,用于若格式声明字段与目标格式匹配,则进行高可疑报警。
需要说明的是,基于上述任意实施例,装置可以是基于可编程逻辑器件实现的,可编程逻辑器件包括FPGA,CPLD,单片机、处理器等。这些可编程逻辑器件可以设置在电子设备中。
下面对本申请实施例提供的电子设备进行介绍,下文描述的电子设备与上文描述的服务器后门流量检测方法可相互对应参照。
请参考图7,图7为本申请实施例提供的一种服务器后门流量检测方法所适用的一种硬件组成框架示意图。其中电子设备100可以包括处理器101和存储器102,还可以进一步包括多媒体组件103、信息输入/信息输出(I/O)接口104以及通信组件105中的一种或多种。
其中,处理器101用于控制电子设备100的整体操作,以完成上述的服务器后门流量检测方法中的全部或部分步骤;存储器102用于存储各种类型的数据以支持在电子设备100的操作,这些数据例如可以包括用于在该电子设备100上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器102可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,SRAM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-OnlyMemory,EEPROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、只读存储器(Read-Only Memory,ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。在本实施例中,存储器102中至少存储有用于实现以下功能的程序和/或数据:
检测待检测流量中是否存在密钥字符串;
若存在密钥字符串,则基于密钥字符串确定目标流量;目标流量为待检测流量对应的后续网络行为所属的网络流量;
判断目标流量是否为目标格式;
若目标流量为目标格式,则确定待检测流量为服务器后门流量。
多媒体组件103可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器102或通过通信组件105发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口104为处理器101和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件105用于电子设备100与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件105可以包括:Wi-Fi部件,蓝牙部件,NFC部件。
电子设备100可以被一个或多个应用专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、数字信号处理器(Digital Signal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field ProgrammableGate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例给出的服务器后门流量检测方法。
当然,图7所示的电子设备100的结构并不构成对本申请实施例中电子设备的限定,在实际应用中电子设备100可以包括比图7所示的更多或更少的部件,或者组合某些部件。
可以理解的是,本申请实施例中并不对电子设备的数量进行限定,其可以是多个电子设备共同协作完成服务器后门流量检测方法。在一种可能的实施方式中,请参考图8,图8为本申请实施例提供的另一种服务器后门流量检测方法所适用的硬件组成框架示意图。由图8可知,该硬件组成框架可以包括:第一电子设备11和第二电子设备12,二者之间通过网络13连接。
在本申请实施例中,第一电子设备11与第二电子设备12的硬件结构可以参考图7中电子设备100。即可以理解为本实施例中具有两个电子设备100,两者进行数据交互,实现对服务器后门流量进行检出的效果。进一步,本申请实施例中并不对网络13的形式进行限定,即,网络13可以是无线网络(如WIFI、蓝牙等),也可以是有线网络。
其中,第一电子设备11和第二电子设备12可以是同一种电子设备,如第一电子设备11和第二电子设备12均为服务器;也可以是不同类型的电子设备,例如,第一电子设备11可以是网关或路由器,第二电子设备12可以是服务器。在一种可能的实施方式中,可以利用计算能力强的服务器作为第二电子设备12来提高数据处理效率及可靠性。同时利用成本低,应用范围广的网关或路由器作为第一电子设备11,用于实现第二电子设备12与操作端(即待检测流量的发送端)之间的交互。该交互过程可以为:操作端发送待检测流量,由第一电子设备11对待检测流量进行密钥检测,在确定存在密钥字符串后,将待检测流量发送给第二电子设备12,以便第二电子设备12继续执行后续的步骤,直至得到待检测流量是否为服务器后门流量的结果。
下面对本申请实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的服务器后门流量检测方法可相互对应参照。
本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的服务器后门流量检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语包括、包含或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (11)
1.一种服务器后门流量检测方法,其特征在于,包括:
获取初始流量,并在所述初始流量中确定初始数据包;
若所述初始数据包具有目标属性,基于所述初始数据包中初始响应数据包的数据包体积确定待检测流量;
检测待检测流量中是否存在密钥字符串;
若存在所述密钥字符串,则基于所述密钥字符串确定目标流量;所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量;
判断所述目标流量是否为目标格式;
若所述目标流量为所述目标格式,则确定所述待检测流量为服务器后门流量。
2.根据权利要求1所述的服务器后门流量检测方法,其特征在于,所述检测待检测流量中是否存在密钥字符串,包括:
获取所述待检测流量;
对所述待检测流量进行密钥检测,判断是否存在密钥字符串。
3.根据权利要求2所述的服务器后门流量检测方法,其特征在于,所述对所述待检测流量进行密钥检测,判断是否存在密钥字符串,包括:
从所述待检测流量中提取响应数据包,并提取所述响应数据包对应的差异字符串;
判断所述差异字符串的字符串长度是否为预设字符串长度;
若所述字符串长度为所述预设字符串长度,则确定所述差异字符串为所述密钥字符串,存在所述密钥字符串。
4.根据权利要求3所述的服务器后门流量检测方法,其特征在于,在判断所述差异字符串的字符串长度是否为预设字符串长度之前,还包括:
判断所述差异字符串是否包括非预设字符;
若包括所述非预设字符,则确定所述差异字符串不是所述密钥字符串;
若不包括所述非预设字符,则判断所述差异字符串的字符串长度是否为预设字符串长度。
5.根据权利要求2所述的服务器后门流量检测方法,其特征在于,还包括:
若所述初始数据包不具有所述目标属性,则确定所述初始流量为正常流量。
6.根据权利要求5所述的服务器后门流量检测方法,其特征在于,在确定所述初始数据包具有所述目标属性之后,所述基于所述初始数据包中初始响应数据包的数据包体积确定待检测流量包括:
判断所述初始数据包中初始响应数据包的数据包体积是否小于体积阈值;
若所述数据包体积小于所述体积阈值,则将所述初始流量确定为所述待检测流量;
若所述数据包体积不小于所述体积阈值,则确定所述初始流量为正常流量。
7.根据权利要求5所述的服务器后门流量检测方法,其特征在于,所述判断所述初始数据包是否具备目标属性,包括:
提取所述初始数据包对应的目标字段;
判断所述目标字段是否为预设字段;
若所述目标字段为所述预设字段,则确定所述初始数据包具备所述目标属性。
8.根据权利要求1至7任一项所述的服务器后门流量检测方法,其特征在于,在所述确定所述待检测流量为服务器后门流量之后,还包括:
提取所述目标流量的格式声明字段,并判断所述格式声明字段与所述目标格式是否匹配;
若所述格式声明字段与所述目标格式不匹配,则进行确认报警;
若所述格式声明字段与所述目标格式匹配,则进行高可疑报警。
9.一种服务器后门流量检测装置,其特征在于,包括:
获取模块,用于获取初始流量,并在所述初始流量中确定初始数据包;
初始确定模块,用于若所述初始数据包具有目标属性,基于所述初始数据包中初始响应数据包的数据包体积确定待检测流量;
检测模块,用于检测待检测流量中是否存在密钥字符串;
目标流量确定模块,用于若存在所述密钥字符串,则基于所述密钥字符串确定目标流量;所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量;
格式判断模块,用于判断所述目标流量是否为目标格式;
确定模块,用于若所述目标流量为所述目标格式,则确定所述待检测流量为服务器后门流量。
10.一种电子设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至8任一项所述的服务器后门流量检测方法。
11.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的服务器后门流量检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011418159.7A CN112565269B (zh) | 2020-12-07 | 2020-12-07 | 服务器后门流量检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011418159.7A CN112565269B (zh) | 2020-12-07 | 2020-12-07 | 服务器后门流量检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565269A CN112565269A (zh) | 2021-03-26 |
| CN112565269B true CN112565269B (zh) | 2023-09-05 |
Family
ID=75059298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011418159.7A Active CN112565269B (zh) | 2020-12-07 | 2020-12-07 | 服务器后门流量检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565269B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050935A (zh) * | 2021-11-16 | 2022-02-15 | 北京网深科技有限公司 | 加密流量实时监控分析的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10027694B1 (en) * | 2016-03-28 | 2018-07-17 | Amazon Technologies, Inc. | Detecting denial of service attacks on communication networks |
| WO2019066295A1 (ko) * | 2017-09-28 | 2019-04-04 | 큐비트시큐리티 주식회사 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
| CN110457137A (zh) * | 2019-08-16 | 2019-11-15 | 杭州安恒信息技术股份有限公司 | 流量解析方法、装置、电子设备及计算机可读介质 |
| CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11838330B2 (en) * | 2017-12-20 | 2023-12-05 | King Fahd University Of Petroleum And Minerals | Selective information extraction from network traffic traces both encrypted and non-encrypted |
-
2020
- 2020-12-07 CN CN202011418159.7A patent/CN112565269B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10027694B1 (en) * | 2016-03-28 | 2018-07-17 | Amazon Technologies, Inc. | Detecting denial of service attacks on communication networks |
| WO2019066295A1 (ko) * | 2017-09-28 | 2019-04-04 | 큐비트시큐리티 주식회사 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
| CN110457137A (zh) * | 2019-08-16 | 2019-11-15 | 杭州安恒信息技术股份有限公司 | 流量解析方法、装置、电子设备及计算机可读介质 |
| CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 红蓝对抗——加密Webshell"冰蝎"攻防;tinyfisher;《先知社区》;20191019;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565269A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US9722795B2 (en) | Digitally signing JSON messages | |
| CN109194671B (zh) | 一种异常访问行为的识别方法及服务器 | |
| CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| WO2019006412A1 (en) | CYBER SECURITY SYSTEM AND METHOD FOR DETECTING AND CORRELATING LOW INDICATORS FOR GENERATING STRONG INDICATORS | |
| CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
| US20240187420A1 (en) | Securing browser cookies | |
| CN111371889B (zh) | 消息处理方法、装置、物联网系统和存储介质 | |
| CN111163114A (zh) | 用于检测网络攻击的方法和设备 | |
| CN112565269B (zh) | 服务器后门流量检测方法、装置、电子设备及存储介质 | |
| CN110855512A (zh) | 基于边缘计算的超大规模dpi数据的处理系统 | |
| CN114218561A (zh) | 一种弱口令检测方法、终端设备及存储介质 | |
| CN113225348B (zh) | 请求防重放校验方法和装置 | |
| Salami et al. | Collaborative integrity verification for blockchain-based cloud forensic readiness data protection | |
| CN113297577A (zh) | 一种请求处理方法、装置、电子设备及可读存储介质 | |
| EP4042665B1 (en) | Preventing data manipulation in telecommunication network measurements | |
| CN114285815B (zh) | 应用跳转方法和应用跳转装置 | |
| CN111756771B (zh) | 跨站脚本攻击的检测方法和装置 | |
| US10148590B2 (en) | Method and system for dynamically unblocking customers in critical workflows using pre-defined unlock codes | |
| CN114629671A (zh) | 一种数据检测系统 | |
| CN114422242A (zh) | 一种异常流量识别方法、客户端及服务器 | |
| CN114039928A (zh) | 网络流量的识别方法、装置、设备及存储介质 | |
| CN117874789A (zh) | 一种动态的隐私数据加密方法和系统 | |
| CN117478744A (zh) | 进程通信方法、装置、计算机、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |