CN113452707B - Scanner网络扫描攻击行为检测方法、介质及终端 - Google Patents

Scanner网络扫描攻击行为检测方法、介质及终端 Download PDF

Info

Publication number
CN113452707B
CN113452707B CN202110721026.5A CN202110721026A CN113452707B CN 113452707 B CN113452707 B CN 113452707B CN 202110721026 A CN202110721026 A CN 202110721026A CN 113452707 B CN113452707 B CN 113452707B
Authority
CN
China
Prior art keywords
behavior
flow
matching
information
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110721026.5A
Other languages
English (en)
Other versions
CN113452707A (zh
Inventor
张成伟
廖思
娄峥
郭英才
钟国辉
高雅玙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN202110721026.5A priority Critical patent/CN113452707B/zh
Publication of CN113452707A publication Critical patent/CN113452707A/zh
Application granted granted Critical
Publication of CN113452707B publication Critical patent/CN113452707B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全技术领域,公开了一种Scanner网络扫描攻击行为检测方法、介质及终端,通过对网卡流量的监督控制实现流量数据包的捕获;对流量特征进行提取;对已经提取的特征信息进行匹配,匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分;分析匹配结果,判断是否存在攻击行为;若确认发生攻击行为,则产生报警日志并进行报警。本发明针对Scanner的大部分指令进行了有针对性的检测,首创性的实现了对该工具扫描流量的检测方案,补充了现有网络防御手段在该方面的空缺,可以有效的提升网络系统的安全性。该策略的检测方式更多的为针对具体的Scanner工具流量的分析检测,有很强的针对性。

Description

Scanner网络扫描攻击行为检测方法、介质及终端
技术领域
本发明属于网络安全技术领域,尤其涉及一种Scanner网络扫描攻击行为检测方法、介质及终端。具体涉及一种Scanner在正常网络环境中的网络扫描攻击行为的检测方法。
背景技术
目前,Scanner是一款扫描工具,其代码并未开源,于2017年4月14日由相应组织同病毒一起泄露出来,被部分黑客组织利用。
经逆向分析,Scanner使用C/C++语言编写。其已知的泄露的可执行文件为Linux环境下的elf文件,支持多种类型的扫描功能,包括对Windows系统的主机基本信息扫描、对任意服务主机的TCP服务扫描、开放的各类协议端口扫描等。通过扫描,可获得目标主机的端口开放情况、服务与版本探测、操作系统探测等信息。进而方便网络攻击者分析目标主机可能存在的漏洞,并进行进一步的漏洞攻击。
相比同类网络探测工具,例如nmap等,Scanner工具的功能较少,同时,由于Scanner并未开源,所以目前可获取的Scanner工具的版本有限。
因此,其行为特征与流量特征相较而言更难分析,检测与防御的难度更大。由于Scanner工具被泄露出来,其泄露范围较广、影响力较大,但缺乏在特定的在公共网络环境下的通用性检测策略和手段。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有技术在复杂的网络环境下,对Scanner扫描流量数据的准确识别准确率低;漏报率高,系统的适应性和检测效率低下。
(2)现有技术在实际网关环境下,对Scanner扫描流量数据容易产生大量的误报。
解决以上问题及缺陷的难度为:
现有的各个工作对Scanner工具的分析均有所不足,或没有相应的文件样本,或没有进行实际的逆向分析与行为分析,所以对流量的各个特征的准确性无法正确把握。
解决以上问题及缺陷的意义为:
本发明针对Scanner的大部分指令进行了有针对性的检测,首创性的实现了对该工具扫描流量的检测方案,补充了现有网络防御手段在该方面的空缺,可以有效的提升网络系统的安全性。该策略的检测方式更多的为针对具体的Scanner工具流量的分析检测,有很强的针对性,同时,这种检测防御方案可以应用于其他扫描工具,指定相应的检测方案。
发明内容
针对现有技术存在的问题,本发明提供了一种Scanner网络扫描攻击行为检测方法、介质及终端。
本发明是这样实现的,一种Scanner网络扫描攻击行为检测方法,包括:
对所捕获的流量数据包中的特征提取并进行规则匹配,以检测和获取Scanner网络扫描行为的流量并生成告警信息。
进一步,所述Scanner网络扫描行为的流量包括:对Windows主机信息扫描、主机协议服务扫描、SNMP协议扫描中9项扫描命令,包括winn,win_scan,ftp,mail,t_mysql,ssh,snmp1,snmp2,snmp3。
进一步,所述Scanner网络扫描攻击行为检测方法具体包括:
步骤一,通过对网卡流量的监督控制实现流量数据包的捕获;
步骤二,对流量特征进行提取;
步骤三,对已经提取的特征信息进行匹配,匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分;
步骤四,分析匹配结果,判断是否存在攻击行为;
步骤五,若确认发生攻击行为,则产生报警日志并进行报警。
进一步,所述步骤二对流量特征进行提取包括:
通过端口与ip信息完成数据包的分类并产生event,最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、Payload具体信息。
进一步,所述步骤三对已经提取的特征信息进行匹配包括针对Payload特征信息进行比对,具体为:
第i个特征在流量payload中的存在情况为xi,其权重为ai,并设端口匹配情况为T,其中T、xi取值范围为{0,1},ai为正整数,通过如下的计算公式定义匹配程度S;
Figure GDA0003694250300000031
并对每类流量进行阈值设定,当S大于这个阈值时判断产生攻击行为,否则判断无攻击行为。
进一步,所述步骤三对已经提取的特征信息进行匹配还包括针对流量的行为特征信息进行判断,具体为:
行为特征界定为符合正常协议端口使用逻辑的行为链,第i种行为的存在情况为xi,权重为bi,并设端口匹配情况为T,其中T、xi取值范围为{0,1},bi为正整数,通过如下的公式定义行为的逻辑指数L;
Figure GDA0003694250300000032
并对每类流量进行行为匹配程度设定,设置正常行为界限,当L小于该界限时认为其不为正常流量而是扫描攻击流量,否则认为其为正常流量。
进一步,所述步骤四具体包括:
根据对Scanner扫描攻击的复现流量,对指数L设定notice/alert两个阈值,通过步骤三得到的S/L值与相应notice/alert阈值进行比较计算,当高于notice阈值但低于alert阈值时产生notice告警信息,当高于alert阈值时产生alert告警信息;
若存在攻击行为,则在步骤五依据比较阈值的差异生成notice/alert日志信息,实现入侵检测的识别告警。
本发明的另一目的在于提供一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行所述Scanner网络扫描攻击行为检测方法。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述Scanner网络扫描攻击行为检测方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:
本发明提出了一种Scanner网络扫描攻击行为的检测策略,通过对流量Payload和行为的检测分析,实现了对Scanner扫描流量的准确识别,扫描识别准确率在实验流量下可达到100%,实现了对该工具从无到有的防御,补齐了目前网络扫描防范领域中对于该工具专有识别的缺失。本发明通过对Scanner扫描流量的行为和字段进行了深度匹配,即使在复杂的网络环境下,也有极高的准确率和极低的误报,漏报率,提高了系统的适应性和检测效率。
附图说明
图1是本发明实施例提供的Scanner网络扫描攻击行为检测方法流程图。
图2是本发明实施例提供的一实施例中Scanner网络扫描攻击行为检测原理图。
图3是本发明实施例提供的图2中Scanner网络扫描攻击行为检测具体实施流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种Scanner网络扫描攻击行为检测方法及检测系统,下面结合附图对本发明作详细的描述。
本发明提供一种Scanner网络扫描攻击行为检测方法,包括:对所捕获的流量数据包中的特征提取并进行规则匹配,以检测和发现Scanner网络扫描行为的流量并生成告警信息。实现了Scanner对Windows主机信息扫描、主机协议服务扫描、SNMP协议扫描等3类9项扫描命令的检测与报警。
如图1所示,具体包括:
S101,通过对网卡流量的监督控制实现流量数据包的捕获。
S102,对流量特征进行提取。
S103,对已经提取的特征信息进行匹配,匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分等。
S104,分析匹配结果,判断是否存在攻击行为。
S105,若确认发生攻击行为,则产生报警日志并进行报警。
下面结合具体实施例对本发明的技术方案作进一步描述。
实施例
图2是本发明实施例提供的Scanner网络扫描攻击行为检测原理。包括:
S1,接收数据包。
S2,流量特征提取。
S3,流量特征匹配。
S4,扫描行为判断。
S5,产生警告日志。
图3是本发明实施例提供的图2中Scanner网络扫描攻击行为检测具体实施流程。
作为优选实施例,本发明的核心思想为对流量特征进行提取,并针对Scanner的行为特征与Scanner流量的Payload特征进行流量筛查与防御。
步骤S2流量特征提取中,本发明提供的策略会对网卡中所有流量数据进行拦截处理,实现S2-1部分数据解析(如图3所示)。通过端口与ip信息完成数据包的分类并产生event,最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、Payload等具体信息。
具体到Scanner指令的筛查,即流量特征匹配步骤S3中,依据侧重点不同可分为着重关注Payload特征的部分与着重关注行为特征的部分。
针对这部分的筛查策略,本策略分别总结了两类模型:
模型1针对Payload特征部分比对,设第i个特征在流量Payload中的存在情况为xi,其权重为ai,并设端口匹配情况为T,其中T、xi取值范围为{0,1},ai为正整数,通过如下的计算公式定义匹配程度S。
Figure GDA0003694250300000061
并对每类流量进行阈值设定,当S大于这个阈值时判断产生攻击行为,否则判断无攻击行为。
模型2针对流量的行为特征判断,其中行为特征界定为符合正常协议端口使用逻辑的行为链,设第i种行为的存在情况为xi,其权重为bi,并设端口匹配情况为T,其中T、xi取值范围为{0,1},bi为正整数,通过如下的公式定义其行为的逻辑指数L。
Figure GDA0003694250300000062
并对每类流量进行行为匹配程度设定,设置正常行为界限,当L小于该界限时认为其不为正常流量而是扫描攻击流量,否则认为其为正常流量。
在Scanner可分析的各类流量中,将其分类如下表1。
Figure GDA0003694250300000063
表1 Scanner流量分类
针对适用模型1的各类扫描流量,设定snmp3类检查161端口,ftp类检查21端口,mail类检查25端口,其余流量不限定流量接收端口。
针对适用模型2的各类扫描流量,ssh类检查22端口,t_mysql类检查3306端口。
通过步骤S3得到的S/L值与相应阈值进行匹配计算,可确定是否存在攻击行为,即步骤S4部分的判断内容。
若存在攻击行为,则在步骤S5部分依据其较阈值的差异生成notice/alert日志信息,实现入侵检测的识别告警部分。
下面结合具体实验验证对本发明积极效果作进一步描述。
本发明的策略通过以下实验进行有效性证明。
实验
对提出的策略集进行检测实验,以测试Scanner策略集的检测效果。由于Scanner是运行在Linux平台上的程序,与Suricata Sensor的运行平台一致,因此可以直接在Suricata Sensor主机上运行Scanner进行检测实验,验证如下几点假设:
1.策略集的有效性:能够对Scanner这项工具进行有效的识别判断。
2.策略集的精确性:针对正常流量不会产生误报现象,并且在大流量环境下不会漏识别Scanner攻击。
实验效果部分:
首先将Suricata Sensor设置为IDS模式,并在自己主机上运行Scanner程序,然后使用不同的命令扫描Sensor获取信息。测试所用命令为Scanner常用的9条命令,实验结果如下表,各类流量均可正常识别
类型 win_scan winn snmp1 snmp2 snmp3 ftp mail ssl t_mysql
结果
本发明以上策略的提出基于对Scanner二进制文件的逆向分析、对Scanner流量的复现及抓包分析等,均为真实情况下分析设计总结所得。并且通过tcp replay在securityonion上回放数据包等方式,在Linux平台下进行了多次检测实验,并验证了如下几点假设:
策略集的有效性:能够对Scanner这项工具进行有效的识别判断。
策略集的精确性:针对正常流量不会产生误报现象,并且在大流量环境下不会漏识别Scanner攻击。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (6)

1.一种Scanner网络扫描攻击行为检测方法,其特征在于,所述Scanner网络扫描攻击行为检测方法包括:
对所捕获的流量数据包中的特征提取并进行规则匹配,以检测和获取Scanner网络扫描行为的流量并生成告警信息;
所述Scanner网络扫描攻击行为检测方法具体包括:
步骤一,通过对网卡流量的监督控制实现流量数据包的捕获;
步骤二,对流量特征进行提取;
步骤三,对已经提取的特征信息进行匹配,匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分;
步骤四,分析匹配结果,判断是否存在攻击行为;
步骤五,若确认发生攻击行为,则产生报警日志并进行报警;
所述步骤三对已经提取的特征信息进行匹配包括针对Payload特征信息进行比对,具体为:
第i个特征在流量Payload中的存在情况为xi,其权重为ai,并设端口匹配情况为T,其中T、xi取值范围为{0,1},ai为正整数,通过如下的计算公式定义匹配程度S;
Figure FDA0003682332970000011
并对每类流量进行阈值设定,当S大于这个阈值时判断产生攻击行为,否则判断无攻击行为;
所述步骤三对已经提取的特征信息进行匹配还包括针对流量的行为特征信息进行判断,具体为:
行为特征界定为符合正常协议端口使用逻辑的行为链,第i种行为的存在情况为xi,权重为bi,并设端口匹配情况为T,其中T、xi取值范围为{0,1},bi为正整数,通过如下的公式定义行为的逻辑指数L;
Figure FDA0003682332970000012
并对每类流量进行行为匹配程度设定,设置正常行为界限,当L小于该界限时认为其不为正常流量而是扫描攻击流量,否则认为其为正常流量。
2.如权利要求1所述的Scanner网络扫描攻击行为检测方法,其特征在于,所述Scanner网络扫描行为的流量包括:对Windows主机信息扫描、主机协议服务扫描、SNMP协议扫描中9项扫描命令;包括winn,win_scan,ftp,mail,t_mysql,ssh,snmp1,snmp2,snmp3。
3.如权利要求1所述的Scanner网络扫描攻击行为检测方法,其特征在于,所述步骤二对流量特征进行提取包括:
通过端口与ip信息完成数据包的分类并产生event,最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、Payload具体信息。
4.如权利要求1所述的Scanner网络扫描攻击行为检测方法,其特征在于,所述步骤四具体包括:
根据对Scanner扫描攻击的复现流量,对指数L设定notice/alert两个阈值,通过步骤三得到的S/L值与相应notice/alert阈值进行比较计算,当高于notice阈值但低于alert阈值时产生notice告警信息,当高于alert阈值时产生alert告警信息;
若存在攻击行为,则在步骤五依据比较阈值的差异生成notice/alert日志信息,实现入侵检测的识别告警。
5.一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行权利要求1~4任意一项所述Scanner网络扫描攻击行为检测方法,步骤如下:
步骤一,通过对网卡流量的监督控制实现流量数据包的捕获;
步骤二,对流量特征进行提取;
步骤三,对已经提取的特征信息进行匹配,匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分;
步骤四,分析匹配结果,判断是否存在攻击行为;
步骤五,若确认发生攻击行为,则产生报警日志并进行报警;
所述步骤三对已经提取的特征信息进行匹配包括针对Payload特征信息进行比对,具体为:
第i个特征在流量Payload中的存在情况为xi,其权重为ai,并设端口匹配情况为T,其中T、xi取值范围为{0,1},ai为正整数,通过如下的计算公式定义匹配程度S;
Figure FDA0003682332970000031
并对每类流量进行阈值设定,当S大于这个阈值时判断产生攻击行为,否则判断无攻击行为;
所述步骤三对已经提取的特征信息进行匹配还包括针对流量的行为特征信息进行判断,具体为:
行为特征界定为符合正常协议端口使用逻辑的行为链,第i种行为的存在情况为xi,权重为bi,并设端口匹配情况为T,其中T、xi取值范围为{0,1},bi为正整数,通过如下的公式定义行为的逻辑指数L;
Figure FDA0003682332970000032
并对每类流量进行行为匹配程度设定,设置正常行为界限,当L小于该界限时认为其不为正常流量而是扫描攻击流量,否则认为其为正常流量。
6.一种信息数据处理终端,其特征在于,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1~4任意一项所述Scanner网络扫描攻击行为检测方法,步骤如下:
步骤一,通过对网卡流量的监督控制实现流量数据包的捕获;
步骤二,对流量特征进行提取;
步骤三,对已经提取的特征信息进行匹配,匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分;
步骤四,分析匹配结果,判断是否存在攻击行为;
步骤五,若确认发生攻击行为,则产生报警日志并进行报警;
所述步骤三对已经提取的特征信息进行匹配包括针对Payload特征信息进行比对,具体为:
第i个特征在流量Payload中的存在情况为xi,其权重为ai,并设端口匹配情况为T,其中T、xi取值范围为{0,1},ai为正整数,通过如下的计算公式定义匹配程度S;
Figure FDA0003682332970000041
并对每类流量进行阈值设定,当S大于这个阈值时判断产生攻击行为,否则判断无攻击行为;
所述步骤三对已经提取的特征信息进行匹配还包括针对流量的行为特征信息进行判断,具体为:
行为特征界定为符合正常协议端口使用逻辑的行为链,第i种行为的存在情况为xi,权重为bi,并设端口匹配情况为T,其中T、xi取值范围为{0,1},bi为正整数,通过如下的公式定义行为的逻辑指数L;
Figure FDA0003682332970000042
并对每类流量进行行为匹配程度设定,设置正常行为界限,当L小于该界限时认为其不为正常流量而是扫描攻击流量,否则认为其为正常流量。
CN202110721026.5A 2021-06-28 2021-06-28 Scanner网络扫描攻击行为检测方法、介质及终端 Active CN113452707B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110721026.5A CN113452707B (zh) 2021-06-28 2021-06-28 Scanner网络扫描攻击行为检测方法、介质及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110721026.5A CN113452707B (zh) 2021-06-28 2021-06-28 Scanner网络扫描攻击行为检测方法、介质及终端

Publications (2)

Publication Number Publication Date
CN113452707A CN113452707A (zh) 2021-09-28
CN113452707B true CN113452707B (zh) 2022-07-22

Family

ID=77813537

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110721026.5A Active CN113452707B (zh) 2021-06-28 2021-06-28 Scanner网络扫描攻击行为检测方法、介质及终端

Country Status (1)

Country Link
CN (1) CN113452707B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113824730A (zh) * 2021-09-29 2021-12-21 恒安嘉新(北京)科技股份公司 一种攻击分析方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027559A (zh) * 2016-07-05 2016-10-12 国家计算机网络与信息安全管理中心 基于网络会话统计特征的大规模网络扫描检测方法
CN108632224A (zh) * 2017-03-23 2018-10-09 中兴通讯股份有限公司 一种apt攻击检测方法和装置
CN110830504A (zh) * 2019-11-28 2020-02-21 华北电力科学研究院有限责任公司 一种网络入侵行为检测方法及系统
CN111988311A (zh) * 2020-08-18 2020-11-24 华中科技大学 一种公共网络环境下nmap网络扫描攻击行为的检测方法
CN112333180A (zh) * 2020-10-30 2021-02-05 北京安信天行科技有限公司 一种基于数据挖掘的apt攻击检测方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6690646B2 (ja) * 2015-06-26 2020-04-28 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、プログラム
CN108632097B (zh) * 2018-05-14 2019-12-13 平安科技(深圳)有限公司 异常行为对象的识别方法、终端设备及介质
JP7311350B2 (ja) * 2019-08-07 2023-07-19 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム
CN110636085A (zh) * 2019-11-12 2019-12-31 中国移动通信集团广西有限公司 基于流量的攻击检测方法、装置及计算机可读存储介质
CN110933083B (zh) * 2019-11-29 2022-04-05 中电福富信息科技有限公司 一种基于分词与攻击匹配的漏洞等级评估装置及其方法
CN111193719A (zh) * 2019-12-14 2020-05-22 贵州电网有限责任公司 一种网络入侵防护系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027559A (zh) * 2016-07-05 2016-10-12 国家计算机网络与信息安全管理中心 基于网络会话统计特征的大规模网络扫描检测方法
CN108632224A (zh) * 2017-03-23 2018-10-09 中兴通讯股份有限公司 一种apt攻击检测方法和装置
CN110830504A (zh) * 2019-11-28 2020-02-21 华北电力科学研究院有限责任公司 一种网络入侵行为检测方法及系统
CN111988311A (zh) * 2020-08-18 2020-11-24 华中科技大学 一种公共网络环境下nmap网络扫描攻击行为的检测方法
CN112333180A (zh) * 2020-10-30 2021-02-05 北京安信天行科技有限公司 一种基于数据挖掘的apt攻击检测方法及系统

Also Published As

Publication number Publication date
CN113452707A (zh) 2021-09-28

Similar Documents

Publication Publication Date Title
CN109101815B (zh) 一种恶意软件检测方法及相关设备
US8997231B2 (en) Preventive intrusion device and method for mobile devices
CN106828362B (zh) 汽车信息的安全测试方法及装置
CN107004088B (zh) 确定装置、确定方法及记录介质
KR20090130990A (ko) 응용 프로그램 비정상행위 차단 장치 및 방법
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN114760106B (zh) 网络攻击的确定方法、系统、电子设备及存储介质
CN113452707B (zh) Scanner网络扫描攻击行为检测方法、介质及终端
EP3144845A1 (en) Detection device, detection method, and detection program
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
CN114268452A (zh) 一种网络安全防护方法及系统
CN107085687B (zh) 基于二进制熵的模糊测试加解密函数定位方法
CN114531283B (zh) 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
CN114050937B (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
KR20070060441A (ko) 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법
CN117749499A (zh) 一种网络信息系统场景下的恶意加密流量检测方法及系统
CN116170186A (zh) 基于网络流量分析的攻击代码在线检测方法和装置
CN114422257B (zh) 信息处理方法、装置、设备、介质
WO2021237739A1 (zh) 工业控制系统安全性分析方法、装置和计算机可读介质
CN113238971A (zh) 基于状态机的自动化渗透测试系统及方法
US20090276853A1 (en) Filtering intrusion detection system events on a single host
CN113704749A (zh) 一种恶意挖矿检测处理方法和装置
CN111967778A (zh) 一种基于安全基线模型的数据安全检测方法及系统
CN116938606B (zh) 一种网络流量检测方法以及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant