CN113114609A - webshell检测取证方法及系统 - Google Patents

webshell检测取证方法及系统 Download PDF

Info

Publication number
CN113114609A
CN113114609A CN202010030099.5A CN202010030099A CN113114609A CN 113114609 A CN113114609 A CN 113114609A CN 202010030099 A CN202010030099 A CN 202010030099A CN 113114609 A CN113114609 A CN 113114609A
Authority
CN
China
Prior art keywords
attack
packet information
captured
matched
features
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010030099.5A
Other languages
English (en)
Inventor
张永健
周琳娜
刘旭东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Relations, University of
Original Assignee
International Relations, University of
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Relations, University of filed Critical International Relations, University of
Priority to CN202010030099.5A priority Critical patent/CN113114609A/zh
Publication of CN113114609A publication Critical patent/CN113114609A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及互联网领域,公开了一种webshell检测取证方法及系统。该方法包括:在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。

Description

webshell检测取证方法及系统
技术领域
本发明涉及互联网领域,尤其涉及一种webshell检测取证方法及系统。
背景技术
文件上传漏洞起因源于服务器端或前端检测不严格或控制端存在诸多非限制条件,导致攻击者可以利用拦截工具,修改文件属性类型等操作,从而上传可以执行的脚本文件,以获取系统的WebShell,进而实现LocalSystem命令执行。其中文件上传漏洞产生的主要原因有:上传木马脚本文件、服务器端解析漏洞。
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
然而,关于互联网上存在的web安全漏洞的分析方面,目前尚无法实现自动获取漏洞的证据,只能通过代码分析或者人为判断,但这样的方式不仅存在误判的情况,且效率也较低。
发明内容
本发明提供了一种webshell检测取证方法及系统,能够解决上述现有技术中的问题。
本发明提供了一种webshell检测取证方法,其中,该方法包括:
在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
优选地,该方法还包括对所述安全告警数据进行显示。
优选地,该方法还包括对抓取的数据包信息进行存储。
优选地,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
优选地,抓取的数据包信息包括时间、数据包大小、IP地址和端口。
本发明还提供了一种webshell检测取证系统,其中,该系统包括:
抓取模块,用于在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
解析提取模块,用于对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
匹配判断模块,用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
生成模块,用于在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
采集取证模块,用于对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
优选地,该系统还包括显示模块,用于对所述安全告警数据进行显示。
优选地,该系统还包括存储模块,用于对抓取的数据包信息进行存储。
优选地,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
优选地,抓取的数据包信息包括时间、数据包大小、IP地址和端口。
通过上述技术方案,可以对网络攻击中的数据包信息进行抓取捕获,然后可以对捕获的数据包信息进行解析,提取其中的攻击相关特征(例如,恶意网络攻击数据信息),利用预设特征库可以执行特征匹配操作,并在存在特征匹配的情况下可以利用IP黑名单执行IP匹配操作,且在IP匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据,进而可以对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。由此,可以实现取证功能,进而有效防范例如远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害,有助于提高网络安全性能。
附图说明
所包括的附图用来提供对本发明实施例的进一步的理解,其构成了说明书的一部分,用于例示本发明的实施例,并与文字描述一起来阐释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一种实施例的一种webshell检测取证方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出了根据本发明一种实施例的一种webshell检测取证方法的流程图。
如图1所示,本发明实施例提供了一种webshell检测取证方法,其中,该方法可以包括:
S100,在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
举例来讲,可以以脚本实现监控网络攻击中的数据包信息,即可以通过脚本抓取捕获网络攻击中的数据包信息。
S102,对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
S104,将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
举例来讲,在提取的攻击相关特征与预设特征库中的攻击特征匹配的情况下,可以确定抓取的数据包信息为网络攻击数据包信息。其中,预设特征库中的攻击特征为已知恶意web攻击的特征集合,且预设特征库可随时被更新,主要是向其加入新提取的特征内容。
S106,在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
S108,对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
举例来讲,可以通过脚本调用安全日志至大数据展示平台,对安全日志数据进行采集,得到安全告警数据,实现取证的功能。
通过上述技术方案,可以对网络攻击中的数据包信息进行抓取捕获,然后可以对捕获的数据包信息进行解析,提取其中的攻击相关特征(例如,恶意网络攻击数据信息),利用预设特征库可以执行特征匹配操作,并在存在特征匹配的情况下可以利用IP黑名单执行IP匹配操作,且在IP匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据,进而可以对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。由此,可以实现取证功能,进而有效防范例如远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害,有助于提高网络安全性能。
其中,SQL注入是指通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
根据本发明一种实施例,该方法还可以包括对所述安全告警数据进行显示。
根据本发明一种实施例,该方法还可以包括对抓取的数据包信息进行存储。
举例来讲,对于捕获的数据包信息,可以将其存储到专门的服务器设备中进行汇总,便于后续的判断,可以选择多台服务器协同,以缓解存储的压力。
也就是,可以将抓取的数据包信息存储至调用的目录下,实现边存储边抓取。
根据本发明一种实施例,所述安全告警数据可以包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
根据本发明一种实施例,抓取的数据包信息可以包括时间、数据包大小、IP地址和端口。
其中,根据IP地址及端口信息,可以确定数据包信息相关进程。
根据本发明一种实施例,对抓取的数据包信息进行报文解析包括可以报文包头解析(七元组数据)和报文包体解析(Payload)。
其中,报文包头和报文包体可以按不同类型存储,并进行分块解析。
此外,根据本发明一种实施例,该方法还可以包括:在确定抓取的数据包信息为网络攻击数据包信息的情况下,进行告警提示。
本发明实施例还提供了一种webshell检测取证系统,其中,该系统可以包括:
抓取模块,用于在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
解析提取模块,用于对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
匹配判断模块,用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
生成模块,用于在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
采集取证模块,用于对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
通过上述技术方案,可以对网络攻击中的数据包信息进行抓取捕获,然后可以对捕获的数据包信息进行解析,提取其中的攻击相关特征(例如,恶意网络攻击数据信息),利用预设特征库可以执行特征匹配操作,并在存在特征匹配的情况下可以利用IP黑名单执行IP匹配操作,且在IP匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据,进而可以对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。由此,可以实现取证功能,进而有效防范例如远控类木马的运行,阻断恶意流量的进出,保护用户计算机不被伤害,有助于提高网络安全性能。
根据本发明一种实施例,该系统还可以包括显示模块,用于对所述安全告警数据进行显示。
根据本发明一种实施例,该系统还可以包括存储模块,用于对抓取的数据包信息进行存储。
根据本发明一种实施例,所述安全告警数据可以包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
根据本发明一种实施例,抓取的数据包信息可以包括时间、数据包大小、IP地址和端口。
根据本发明一种实施例,对抓取的数据包信息进行报文解析可以包括报文包头解析(七元组数据)和报文包体解析(Payload)。
上述实施例中描述的系统与上述图1所描述的方法相对应,具体示例可以参照上述实施例中关于图1的方法的描述,在此不再赘述。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种webshell检测取证方法,其特征在于,该方法包括:
在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
2.根据权利要求1所述的方法,其特征在于,该方法还包括对所述安全告警数据进行显示。
3.根据权利要求2所述的方法,其特征在于,该方法还包括对抓取的数据包信息进行存储。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
5.根据权利要求1-3中任一项所述的方法,其特征在于,抓取的数据包信息包括时间、数据包大小、IP地址和端口。
6.一种webshell检测取证系统,其特征在于,该系统包括:
抓取模块,用于在进行SQL注入和一句话木马上传攻击时,实时抓取网络攻击中的数据包信息;
解析提取模块,用于对抓取的数据包信息进行报文解析,并从解析后的信息中提取攻击相关特征;
匹配判断模块,用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配,并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配;
生成模块,用于在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下,基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据;
采集取证模块,用于对所述安全日志数据进行采集,得到安全告警数据以实现对漏洞的取证。
7.根据权利要求6所述的系统,其特征在于,该系统还包括显示模块,用于对所述安全告警数据进行显示。
8.根据权利要求7所述的系统,其特征在于,该系统还包括存储模块,用于对抓取的数据包信息进行存储。
9.根据权利要求6-8中任一项所述的系统,其特征在于,所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。
10.根据权利要求6-8中任一项所述的系统,其特征在于,抓取的数据包信息包括时间、数据包大小、IP地址和端口。
CN202010030099.5A 2020-01-13 2020-01-13 webshell检测取证方法及系统 Pending CN113114609A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010030099.5A CN113114609A (zh) 2020-01-13 2020-01-13 webshell检测取证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010030099.5A CN113114609A (zh) 2020-01-13 2020-01-13 webshell检测取证方法及系统

Publications (1)

Publication Number Publication Date
CN113114609A true CN113114609A (zh) 2021-07-13

Family

ID=76709861

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010030099.5A Pending CN113114609A (zh) 2020-01-13 2020-01-13 webshell检测取证方法及系统

Country Status (1)

Country Link
CN (1) CN113114609A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114444100A (zh) * 2022-01-20 2022-05-06 余姚市宏宇输变电工程有限公司 一种电网敏感数据防泄漏系统
CN115001815A (zh) * 2022-05-31 2022-09-02 重庆长安汽车股份有限公司 一种车载系统攻击事件监控方法、系统、介质及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594266A (zh) * 2009-07-01 2009-12-02 杭州华三通信技术有限公司 一种结构化查询语言注入攻击检测方法和装置
CN105450640A (zh) * 2015-11-12 2016-03-30 国家电网公司 一种电子取证方法
US20160248788A1 (en) * 2015-02-19 2016-08-25 Fujitsu Limited Monitoring apparatus and method
CN109167754A (zh) * 2018-07-26 2019-01-08 北京计算机技术及应用研究所 一种网络应用层安全防护系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594266A (zh) * 2009-07-01 2009-12-02 杭州华三通信技术有限公司 一种结构化查询语言注入攻击检测方法和装置
US20160248788A1 (en) * 2015-02-19 2016-08-25 Fujitsu Limited Monitoring apparatus and method
CN105450640A (zh) * 2015-11-12 2016-03-30 国家电网公司 一种电子取证方法
CN109167754A (zh) * 2018-07-26 2019-01-08 北京计算机技术及应用研究所 一种网络应用层安全防护系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114444100A (zh) * 2022-01-20 2022-05-06 余姚市宏宇输变电工程有限公司 一种电网敏感数据防泄漏系统
CN115001815A (zh) * 2022-05-31 2022-09-02 重庆长安汽车股份有限公司 一种车载系统攻击事件监控方法、系统、介质及电子设备

Similar Documents

Publication Publication Date Title
US10673884B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US11716348B2 (en) Malicious script detection
EP3113064B1 (en) System and method for determining modified web pages
Song et al. Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN101895516B (zh) 一种跨站脚本攻击源的定位方法及装置
US11044268B2 (en) Systems and methods for identifying internet attacks
CN103595732B (zh) 一种网络攻击取证的方法及装置
CN105491053A (zh) 一种Web恶意代码检测方法及系统
CN109327451B (zh) 一种防御文件上传验证绕过的方法、系统、装置及介质
CN111628990A (zh) 识别攻击的方法、装置和服务器
WO2018076697A1 (zh) 僵尸特征的检测方法和装置
WO2017056121A1 (en) Method for the identification and prevention of client-side web attacks
EP3021550A1 (en) System and method for identifying internet attacks
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
CN113114609A (zh) webshell检测取证方法及系统
CN108737332A (zh) 一种基于机器学习的中间人攻击预测方法
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
TW201543257A (zh) 結合雲端分析之防毒及防駭方法及系統
Han Detection of web application attacks with request length module and regex pattern analysis
CN107124386B (zh) 黑色产业内容的检测分析方法及装置
CN116170243B (zh) 基于poc生成规则文件的方法、装置、电子设备及介质
Das et al. Defeating Cyber Attacks Due to Script Injection.
CN118734296A (zh) 一种安全事件处理方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210713