CN112685736B - 一种webshell识别方法、装置及计算机可读存储介质 - Google Patents
一种webshell识别方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112685736B CN112685736B CN202110289818.XA CN202110289818A CN112685736B CN 112685736 B CN112685736 B CN 112685736B CN 202110289818 A CN202110289818 A CN 202110289818A CN 112685736 B CN112685736 B CN 112685736B
- Authority
- CN
- China
- Prior art keywords
- data
- webshell
- site
- request
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种webshell识别方法、装置及计算机可读存储介质,所述方法包括以下步骤:获取站点入口流量信息,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据;将所述资源属性数据展开,形成多维向量数据,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据;对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,并根据聚类结果获取webshell识别结果。本发明提供的webshell识别方法,在webshell流量被加密的情况下,仍然可以实现对webshell的识别。
Description
技术领域
本发明涉及Web应用安全技术领域,尤其涉及一种webshell识别方法、装置及计算机可读存储介质。
背景技术
攻击者入侵Web应用程序时,通常会尝试寻找并利用目标Web服务器中的漏洞。而为了保护站点,站点管理员通常对站点进行例行扫描并对发现的漏洞进行修补,当攻击者再次利用漏洞并发现漏洞已被修复后,只能再尝试寻找新漏洞。对于攻击者而言,这将耗费大量时间和精力。因此,攻击者通常会在漏洞利用成功后,在站点上部署webshell后门,以保持对该服务器的控制。留好后门后,攻击者可以随时通过后门从服务器中窃取信息。
从检测场景来划分,现有的webshell检测方案主要分为两类,即对于webshell文件的检测和基于wenshell连接流量的检测,文件检测的方法是最主流的方法,主要原理为对站点的文件或上传的文件逐个进行静态或动态的分析,通过已有特征匹配、分析文件的代码逻辑或分析文件执行时的调用栈对文件进行检测。
无论是动态还是静态的文件检测需要获取到站点文件才能进行检测,部分厂商处于对源码的保护并不愿意将全部文件交给第三方进行扫描。而已有的基于流量的检测方案中,特征匹配本质为对流量内容的检测,当webshell流量被加密时(如被冰蝎、蚁剑加密),则无法对webshell进行识别。
发明内容
有鉴于此,有必要提供一种webshell识别方法、装置及计算机可读存储介质,用以解决现有技术中webshell流量被加密时,无法对webshell进行识别的问题。
本发明提供一种webshell识别方法,包括以下步骤:
获取站点入口流量信息,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据;
将所述资源属性数据展开,形成多维向量数据,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据;
对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,并根据聚类结果获取webshell识别结果。
进一步地,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据,具体包括:以一个HTTP请求响应为单位,对站点入口流量信息中站点资源属性进行逐条统计,获取资源属性数据。
进一步地,根据站点入口流量信息对站点资源属性进行逐条统计,具体包括:根据站点入口流量信息对响应为200的站点资源的属性进行逐条统计。
进一步地,所述资源属性数据包括:访问该资源的IP数量、资源访问频率、资源访问总量、关联资源、请求头部类型数量、响应头部类型数量、Cookie参数统计、User-Agent数量、请求方法统计、请求负载类型、响应负载类型、请求负载内容熵值、响应负载内容熵值及负载内容是否存在高危代码函数。
进一步地,将所述资源属性数据展开,形成多维向量数据,具体包括:将所述资源属性数据展开,以所述资源属性数据的总类型数为多维向量的维度,以请求数量作为对应向量的值,形成多维向量数据。
进一步地,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据,具体包括:对多维向量数据进行数据归一化及正规化处理,并将每个URL的各类属性向量进行拼接,得到处理后的多维向量数据。
进一步地,对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,具体包括:对所述处理后的多维向量数据进行PCA降维,得到降维后的特征向量,利用DBSCAN聚类对所述特征向量进行聚类。
进一步地,所述特征向量包括是否有关联页面特征、请求头响应头特征、请求数量特征、请求体响应体内容特征和Cookie特征。
本发明还提供一种webshell识别装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一技术方案所述的webshell识别方法。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现上述任一技术方案所述的webshell识别方法。
与现有技术相比,本发明的有益效果包括:通过获取站点入口流量信息,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据;将所述资源属性数据展开,形成多维向量数据,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据;对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,并根据聚类结果获取webshell识别结果;在webshell流量被加密的情况下,仍然可以实现对webshell的识别。
附图说明
图1为本发明提供的webshell识别方法的流程示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
实施例1
本发明实施例提供了一种webshell识别方法,其流程示意图,如图1所示,所述方法包括以下步骤:
S1、获取站点入口流量信息,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据;
S2、将所述资源属性数据展开,形成多维向量数据,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据;
S3、对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,并根据聚类结果获取webshell识别结果。
一个具体实施例中,获取一段时间内的站点入口流量信息,所述入口流量包括正反向流量,时间的长短可根据站点访问量浮动。
优选的,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据,具体包括:以一个HTTP请求响应为单位,对站点入口流量信息中站点资源属性进行逐条统计,获取资源属性数据。
一个具体实施例中,以一个HTTP请求响应为单位,逐条分析HTTP流量,以站点资源(URL)为单位,对资源的属性进行统计。
优选的,根据站点入口流量信息对站点资源属性进行逐条统计,具体包括:根据站点入口流量信息对响应为200的站点资源的属性进行逐条统计。
优选的,所述资源属性数据包括:访问该资源的IP数量、资源访问频率、资源访问总量、关联资源、请求头部类型数量、响应头部类型数量、Cookie参数统计、User-Agent数量、请求方法统计、请求负载类型、响应负载类型、请求负载内容熵值、响应负载内容熵值及负载内容是否存在高危代码函数。
需要说明的是,所述关联资源包括通过请求头部的Referer进行关联统计、资源的上级资源、下级资源等,所述响应头部类型数量包括(如X-Requested-With:n次、User-Agent:n次、Origin:n次、Host:n次、Accept-Encoding:n次等,所述响应头部类型数量与对应请求相同,所述Cookie参数统计包括CMSSystem:n次、lg:n次等,所述请求负载类型包括Content-Type类型,所述响应负载类型包括Content-Type类型。
优选的,将所述资源属性数据展开,形成多维向量数据,具体包括:将所述资源属性数据展开,以所述资源属性数据的总类型数为多维向量的维度,以请求数量作为对应向量的值,形成多维向量数据。
具体实施时,由于统计单位为URL,统计得到的资源属性数据统计值多为请求的绝对数量,请求头部Content-Type各类型的数量,此数量与该资源被访问的数量成正相关,但各URL之间的请求数量不具有可比性,所以需要对统计的各属性数据进行展开后、归一化、正规化处理,形成多维特征向量。
对于将统计的各属性数据进行展开,如统计后得到一段时间内访问的资源只有URL1、URL2,其中URL1的方法为GET:10次、URL2的方法为POST:3次,则将请求方法属性展开为2维向量,URL1该属性的向量值为[10, 0],URL2该属性的向量值为[0, 3],其他类型同理展开,原则为以当前属性的全部类型的总类型数为向量维度大小,属性向量的值为相应类型请求数量,将相应类型请求数量填入属性向量的对应下标位置,不存在数量的部分补0;属性x的维度k的长度为len(set(URL1属性x种类+URL2属性x种类+...+URLn属性x种类))。
优选的,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据,具体包括:对多维向量数据进行数据归一化及正规化处理,并将每个URL的各类属性向量进行拼接,得到处理后的多维向量数据。
另一个具体实施例中,对数据归一化,即通过请求数量除以请求总量,得到各类请求的比例值,如请求总量为100,其中Content-Type为application/json的请求900,则该项值为900/1000=0.9;将数据正规化后资源属性数据拼接,即,将每个URL的各类属性向量拼接在一起,形成最终的多维向量;正规化的值等于当前值减去平均值后除以标准差。
优选的,对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,具体包括:对所述处理后的多维向量数据进行PCA降维,得到降维后的特征向量,利用DBSCAN聚类对所述特征向量进行聚类。
一个具体实施例中,对各URL的多维向量进行PCA降维,得到新的5维向量,5维向量的特征包括是否有关联页面、请求头响应头特征、请求数量特征、请求体响应体内容特征、Cookie特征。将降维后的数据进行DBSCAN聚类(DBSCAN既可以适用于凸样本集,也可以适用于非凸样本集),如聚类后为一类则无特殊连接,如有多类则将小众分类资源类输出。
优选的,所述特征向量包括是否有关联页面特征、请求头响应头特征、请求数量特征、请求体响应体内容特征和Cookie特征。
一个具体实施例中,正常页面访问请求如下:
POST /PCMS/admin.php/Index/login HTTP/1.1
Host: 192.168.24.26
Connection: keep-alive
Content-Length: 79
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent:Mozilla/5.0(Windows NT 10.0; Win64; x64) AppleWebKit/537.36(KHTML,likeGecko)Chrome/87.0.4280.88 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://192.168.24.26
Referer: http://192.168.24.26/PCMS/admin.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie:lg=cn;CMSSystem=g0mv9r1mrj77151vl93rb0otq5; security_level=0;Hm_lvt_f6f37dc3416ca514857b78d0b158037e=1607651435; Hm_lpvt_f6f37dc3416ca514857b78d0b158037e=1607651435
username=1&password=1&checkcode=2hhn&formcheck=6e3e543669ceacb25cc32e4160cfab9e
HTTP/1.1 200 OK
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.29
X-UA-Compatible: IE=edge,chrome=1
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 79
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
{"code":0,"data":"表单提交校验失败,请刷新后重试!","rowtotal":1}
使用蚁剑加密连接请求如下
POST /PCMS/ant_rsa.php HTTP/1.1
Host: 192.168.24.26
Accept-Encoding: gzip, deflate
User-Agent: antSword/v2.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 1707
Connection: close
ant111=OF0OXlnx...2FjBf9k%3D
HTTP/1.1 200 OK
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.29
Vary: Accept-Encoding
Content-Length: 151
Connection: close
Content-Type: text/html
8c09187e2/var/www/html/PCMS/Linux john-Vostro-3669 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:07:32 UTC 2020 x86_64 www-data7af1ecd4bacd4ba。
对于上面的webshell连接请求,因为连接的是rsa加密shell,单看连接报文的内容没有任何可见特征,因为无法对请求内容进行解密,也就无法获取原始请求参数内容。
通过统计一段时间内的全站流量,识别其中的webshell连接流量;主要依据为,正常站点的正常流量远大于webshell连接流量,不通过单独检测webshell连接流量的内容对连接进行识别,而将全部流量作为特征,通过不同流量的横向对比识别webshell连接。webshell通常需借助菜刀、蚁剑、冰蝎等客户端进行连接,且连接的webshell因为并不执行站点的代码框架,其HTTP头部、请求响应负载内容的结构均与正常站点的流量不同,而正常流量因为均是使用框架代码,整体请求响应结构类似,借助正常流量则可对webshell连接流量进行识别。
针对以上的请求进行统计,得到一段时间内得站点资源统计结果示例如下:
/PCMS/admin.php/Index/login;
请求方法:POST;请求次数10次;请求用户数量5;请求头部Host: 10;请求头部Connection: 10次;Content-Length: 10次;Accept: 10次;X-Requested-With: 10次;User-Agent: 10次;Content-Type: 10次;Origin: 10次;cookie参数CMSSystem:10次;关联页面:上级资源/PCMS/admin.php 10次...
/PCMS/admin.php
请求方法:POST;请求次数10次;请求用户数量5;请求头部Host: 10;请求头部Connection: 10次;Content-Length: 10次;Accept: 10次;X-Requested-With: 10次;User-Agent: 10次;Content-Type: 10次;Origin: 10次;cookie参数CMSSystem:10次;关联页面:下级资源/PCMS/admin.php 10次...
/PCMS/ant_rsa.php
请求方法:POST;请求次数10次;请求用户数量1;请求头部Host: 10;请求头部Connection: 10次;Content-Length: 10次;User-Agent: 10次;Content-Type: 10次;cookie参数...
对统计后得资源进行数据处理:
特征向量维度N大小为各类属性的维度数相加;
/PCMS/admin.php/Index/login得到特征向量;
[0.1, 0, 0.5,0.1 ... ]n维;
/PCMS/admin.php得到特征向量;
[0.1, 0, 0.3,0.1... ]n维;
/PCMS/ant_rsa.phpn得到特征向量;
[0.1, 0, 0.1,0.8... ]n维;
对特征进行进行PCA降维,将n维特征向量降维为5维特征向量;
对降维后的特征向量进行DBSCAN聚合,得到分类结果;对于少数类输出检测报告。
该方法对于webshell连接数据是否加密不敏感,能对站点框架外的孤立页面进行有效辨别,从而发现隐藏在站点中的webshell后门。
实施例2
本发明实施例提供了一种webshell识别装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如实施例1所述的webshell识别方法。
实施例3
本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机该程序被处理器执行时,实现如实施例1所述的webshell识别方法。
本发明公开了一种webshell识别方法、装置及计算机可读存储介质,通过获取站点入口流量信息,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据;将所述资源属性数据展开,形成多维向量数据,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据;对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,并根据聚类结果获取webshell识别结果;在webshell流量被加密的情况下,仍然可以实现对webshell的识别。
本发明所述技术方案,在流量侧以流量分类的角度辨识webshell连接,即以流量分类的方式区分浏览器流量、webshell客户端流量;以站点URL为单元,采用横向对比及非接触的方式对站点的webshell后门进行识别;有效利用站点的正常流量,不再孤立的使用单独的黑特征或白特征进行检测,也不借助站点的先验经验,无需站点升级时更新基线,利用聚类的方法对站点资源进行分组,识别可能存在的webshell客户端连接,对webshell的混淆加密不敏感,单纯的提升webshell连接内容的保密性无法有效对抗该技术方案。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种webshell识别方法,其特征在于,包括以下步骤:
获取站点入口流量信息,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据;所述资源属性数据包括访问该资源的IP数量、资源访问频率、资源访问总量、关联资源、请求头部类型数量、响应头部类型数量、Cookie参数统计、User-Agent数量、请求方法统计、请求负载类型、响应负载类型、请求负载内容熵值、响应负载内容熵值及负载内容是否存在高危代码函数;
将所述资源属性数据展开,以所述资源属性数据的总类型数为多维向量的维度,以请求数量作为对应向量的值,形成多维向量数据,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据;
对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,并根据聚类结果获取webshell识别结果。
2.根据权利要求1所述的webshell识别方法,其特征在于,根据所述站点入口流量信息对站点资源属性进行统计,获取资源属性数据,具体包括:以一个HTTP请求响应为单位,对站点入口流量信息中站点资源属性进行逐条统计,获取资源属性数据。
3.根据权利要求2所述的webshell识别方法,其特征在于,根据站点入口流量信息对站点资源属性进行逐条统计,具体包括:根据站点入口流量信息对响应为200的站点资源的属性进行逐条统计。
4.根据权利要求1所述的webshell识别方法,其特征在于,对多维向量数据进行数据归一化及正规化处理,得到处理后的多维向量数据,具体包括:对多维向量数据进行数据归一化及正规化处理,并将每个URL的各类属性向量进行拼接,得到处理后的多维向量数据。
5.根据权利要求1所述的webshell识别方法,其特征在于,对所述处理后的多维向量数据进行降维,得到降维后的特征向量,对所述特征向量进行聚类,具体包括:对所述处理后的多维向量数据进行PCA降维,得到降维后的特征向量,利用DBSCAN聚类对所述特征向量进行聚类。
6.根据权利要求1所述的webshell识别方法,其特征在于,所述特征向量包括是否有关联页面特征、请求头响应头特征、请求数量特征、请求体响应体内容特征和Cookie特征。
7.一种webshell识别装置,其特征在于,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如权利要求1-6任一所述的webshell识别方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机该程序被处理器执行时,实现如权利要求1-6任一所述的webshell识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110289818.XA CN112685736B (zh) | 2021-03-18 | 2021-03-18 | 一种webshell识别方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110289818.XA CN112685736B (zh) | 2021-03-18 | 2021-03-18 | 一种webshell识别方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112685736A CN112685736A (zh) | 2021-04-20 |
| CN112685736B true CN112685736B (zh) | 2021-06-29 |
Family
ID=75455615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110289818.XA Active CN112685736B (zh) | 2021-03-18 | 2021-03-18 | 一种webshell识别方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112685736B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
| CN110225007A (zh) * | 2019-05-27 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | webshell流量数据聚类分析方法以及控制器和介质 |
| CN110493803A (zh) * | 2019-09-17 | 2019-11-22 | 南京邮电大学 | 一种基于机器学习的小区场景划分方法 |
| CN111092894A (zh) * | 2019-12-23 | 2020-05-01 | 厦门服云信息科技有限公司 | 一种基于增量学习的webshell检测方法、终端设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110943961B (zh) * | 2018-09-21 | 2022-06-21 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备以及存储介质 |
-
2021
- 2021-03-18 CN CN202110289818.XA patent/CN112685736B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
| CN110225007A (zh) * | 2019-05-27 | 2019-09-10 | 国家计算机网络与信息安全管理中心 | webshell流量数据聚类分析方法以及控制器和介质 |
| CN110493803A (zh) * | 2019-09-17 | 2019-11-22 | 南京邮电大学 | 一种基于机器学习的小区场景划分方法 |
| CN111092894A (zh) * | 2019-12-23 | 2020-05-01 | 厦门服云信息科技有限公司 | 一种基于增量学习的webshell检测方法、终端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112685736A (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alaca et al. | Device fingerprinting for augmenting web authentication: classification and analysis of methods | |
| US9813444B2 (en) | Reliable selection of security countermeasures | |
| US8087088B1 (en) | Using fuzzy classification models to perform matching operations in a web application security scanner | |
| Bortolameotti et al. | Decanter: Detection of anomalous outbound http traffic by passive application fingerprinting | |
| US10523699B1 (en) | Privilege escalation vulnerability detection using message digest differentiation | |
| US20110314558A1 (en) | Method and apparatus for context-aware authentication | |
| WO2017139709A1 (en) | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer | |
| CN103929440A (zh) | 基于web服务器缓存匹配的网页防篡改装置及其方法 | |
| CN106713318B (zh) | 一种web站点安全防护方法及系统 | |
| CN107612926B (zh) | 一种基于客户端识别的一句话WebShell拦截方法 | |
| US20190268373A1 (en) | System, method, apparatus, and computer program product to detect page impersonation in phishing attacks | |
| Mahmoud et al. | A comparative analysis of Cross Site Scripting (XSS) detecting and defensive techniques | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| WO2013131237A1 (en) | System and method for detecting and preventing attacks against a server in a computer network | |
| CN112671605B (zh) | 一种测试方法、装置及电子设备 | |
| CN103152325A (zh) | 防止通过共享方式访问互联网的方法及装置 | |
| CN108322420B (zh) | 后门文件的检测方法和装置 | |
| CN109688099B (zh) | 服务器端撞库识别方法、装置、设备及可读存储介质 | |
| CN112685736B (zh) | 一种webshell识别方法、装置及计算机可读存储介质 | |
| Torrano-Gimenez et al. | A self-learning anomaly-based web application firewall | |
| CN112966194A (zh) | 一种检验二维码的方法和系统 | |
| Ham et al. | Big Data Preprocessing Mechanism for Analytics of Mobile Web Log. | |
| US11057395B2 (en) | Monitoring for authentication information | |
| US20210176275A1 (en) | System and method for page impersonation detection in phishing attacks | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |