CN113472772A - 网络攻击的检测方法、装置、电子设备及存储介质 - Google Patents
网络攻击的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113472772A CN113472772A CN202110729900.XA CN202110729900A CN113472772A CN 113472772 A CN113472772 A CN 113472772A CN 202110729900 A CN202110729900 A CN 202110729900A CN 113472772 A CN113472772 A CN 113472772A
- Authority
- CN
- China
- Prior art keywords
- attack
- host
- detected
- network
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络攻击的检测方法、装置、电子设备及存储介质。其中,方法包括:获取第一网络中待检测的攻击流量;判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种网络攻击的检测方法、装置、电子设备及存储介质。
背景技术
网络攻击是指通过非法的手段对计算机进行未授权的操作。为了修复网络中的漏洞,提升网络安全,针对网络攻击的攻击成功检测是非常必要的。
然而,相关技术中,针对网络攻击的攻击成功检测的准确性亟需提高。
发明内容
为解决相关技术问题,本申请实施例提供一种网络攻击的检测方法、装置、电子设备及存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种网络攻击的检测方法,包括:
获取第一网络中待检测的攻击流量;
判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
上述方案中,所述判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,包括:
通过解析所述待检测的攻击流量中的远程地址,判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动;
在所述待检测的攻击流量中解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动;
在所述待检测的攻击流量中未解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中不存在针对第三方主机的网络活动。
上述方案中,所述第三方主机的访问地址为域名地址;所述基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,包括:
通过查询所述第一主机的域名系统(DNS,Domain Name System)日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述DNS日志中查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述DNS日志中未查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
上述方案中,所述第三方主机的访问地址为互联网协议(IP)地址;所述基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,包括:
通过查询所述第一主机的网络流量日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述网络流量日志中查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述网络流量日志中未查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
上述方案中,所述获取第一网络中待检测的攻击流量,包括:
采集所述第一网络的网络流量;
利用SNORT检测引擎对采集的网络流量进行过滤,得到满足第一条件的攻击流量;
从所述满足第一条件的攻击流量中获取待检测的攻击流量。
上述方案中,所述从所述满足第一条件的攻击流量中获取待检测的攻击流量,包括:
从所述满足第一条件的攻击流量中获取满足第二条件的攻击流量,将所述满足第二条件的攻击流量作为待检测的攻击流量;所述第二条件表征攻击流量对应的被攻击的主机属于所述第一网络。
上述方案中,所述利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功,包括:
在所述第二判断结果表征所述第一主机存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击已攻击成功;
在所述第二判断结果表征所述第一主机不存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击未攻击成功。
上述方案中,所述方法还包括:
确定所述待检测的攻击流量对应的攻击已攻击成功的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
本申请实施例还提供了一种网络攻击的检测装置,包括:
获取单元,用于获取第一网络中待检测的攻击流量;
第一处理单元,用于判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
第二处理单元,用于在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
第三处理单元,用于基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
第四处理单元,用于利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
本申请实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述任一方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
本申请实施例提供的网络攻击的检测方法、装置、电子设备及存储介质,获取第一网络中待检测的攻击流量;判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。本申请实施例的方案,在待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,通过判断被攻击的主机是否存在针对第三方主机的访问行为,确定是否攻击成功;如此,能够成功地检测针对攻击方利用第三方主机攻击被攻击主机的网络攻击是否攻击成功,并能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
附图说明
图1为本申请实施例网络攻击的检测方法的流程示意图;
图2为本申请应用实施例攻击成功检测的流程示意图;
图3为本申请实施例网络攻击的检测装置的结构示意图;
图4为本申请实施例电子设备的结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
相关技术中,可以利用网络攻击的已知特征(比如五元组信息),在发生网络攻击的当前阶段进行攻击成功检测,即实时地检测网络攻击是否成功。然而,针对攻击方利用第三方主机攻击被攻击主机的网络攻击,由于这类网络攻击在发生阶段没有成功特征,因此,无法检测这类网络攻击是否攻击成功。
实际应用时,还可以考虑利用多个攻击行为的日志,采用多日志关联聚合分析修正攻击结果的方式进行攻击成功检测。然而,这种检测方式无法精确定位多个攻击行为中具体是哪个攻击行为攻击成功,而只能得到多个攻击行为中至少存在一个攻击成功的攻击行为的检测结果。
基于此,在本申请的各种实施例中,在待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,通过判断被攻击的主机是否存在针对第三方主机的访问行为,确定是否攻击成功;如此,能够成功地检测针对攻击方利用第三方主机攻击被攻击主机的网络攻击是否攻击成功,并能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
本申请实施例提供一种网络攻击的检测方法,应用于电子设备(比如服务器),如图1所示,该方法包括:
步骤101:获取第一网络中待检测的攻击流量;
步骤102:判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
步骤103:在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
步骤104:基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;
这里,所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
步骤105:利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
在步骤101中,实际应用时,所述第一网络可以是局域网,比如一个企业的内网。
实际应用时,可以利用设置在所述第一网络的核心交换机上的流量采集探针,实时地采集所述第一网络的网络流量,并利用SNORT检测引擎从采集的网络流量中获取可疑的攻击流量,所述可疑的攻击流量可以理解为需要检测相应的网络攻击是否成功的攻击流量。
基于此,在一实施例中,所述获取第一网络中待检测的攻击流量,可以包括:
采集所述第一网络的网络流量;
利用SNORT检测引擎对采集的网络流量进行过滤,得到满足第一条件的攻击流量;
从所述满足第一条件的攻击流量中获取待检测的攻击流量。
这里,SNORT是一种入侵检测系统,能够对网络流量中的数据包进行抓包和分析,并根据预先定义的至少一个规则(即所述第一条件)对数据包进行相应处理。实际应用时,SNORT针对获取的数据包进行各规则的分析后,根据规则链,可以采取以下五种响应机制:
警报(英文可以表达为Alert)响应机制,用于报警,即检测到满足(即匹配)相应规则的数据包;
激活(英文可以表达为Activation)响应机制,用于报警并启动另外一个相关的动态规则链;
动态(英文可以表达为Dynamic)调用响应机制,用于供其他规则包调用;
通过(英文可以表达为Pass)响应机制,用于忽略不满足相应规则的数据包;
记录(英文可以表达为Log)响应机制,用于不报警但记录相应的网络流量。
实际应用时,所述第一条件可以根据需求设置,以筛选出可疑的攻击流量,即筛选出需要检测的攻击流量,比如攻击方利用第三方主机攻击被攻击主机的网络攻击流量。这里,针对攻击方利用第三方主机攻击被攻击主机的网络攻击,虽然无法检测到响应方向的攻击特征,但在请求方向的攻击特征是可以提取和检测的,因此,所述第一条件可以包含攻击方利用第三方主机攻击被攻击主机的请求方向的攻击特征。
实际应用时,所述第一条件的表现形式也可以根据需求设置,比如正则表达式、满足结构化查询语言(SQL,Structured Query Language)语法的字符串等。
实际应用时,为了提高网络攻击的检测效率,得到满足第一条件的攻击流量后,可以提取每条攻击流量的五元组信息(即源IP地址、源端口、目的IP地址、目的端口和传输层协议(也可以称为流量协议)),并基于每条攻击流量的五元组信息,对满足第一条件的攻击流量进行合并处理,以避免针对同一网络攻击的流量进行重复分析。
实际应用时,可以将满足所述第一条件的每条攻击流量都作为待检测的攻击流量。
实际应用时,为了提高网络攻击的检测效率,优先保护所述第一网络的资产(即主机),可以仅对被攻击的主机属于所述第一网络的攻击流量进行攻击成功检测。
基于此,在一实施例中,所述从所述满足第一条件的攻击流量中获取待检测的攻击流量,可以包括:
从所述满足第一条件的攻击流量中获取满足第二条件的攻击流量,将所述满足第二条件的攻击流量作为待检测的攻击流量;所述第二条件表征攻击流量对应的被攻击的主机属于所述第一网络。
实际应用时,可以利用攻击流量包含的五元组信息,确定相应网络攻击的方向,比如第一网络的主机向其他网络的主机发起的网络攻击、第一网络的主机向第一网络的主机发起的网络攻击、以及其他网络的主机向第一网络的主机发起的网络攻击;从而确定攻击流量对应的被攻击的主机属于哪个网络。
实际应用时,为了提高确定网络攻击的方向的准确性,在利用SNORT检测引擎对采集的网络流量进行过滤时,也可以直接利用预先设置的每个规则对应的攻击类型,确定所述满足第一条件的攻击流量中每条攻击流量对应的攻击类型,比如反序列化攻击、远程命令执行攻击、SQL注入攻击等;再利用每条攻击流量对应的攻击类型,结合攻击流量包含的五元组信息,确定相应网络攻击的方向,比如基于攻击类型,可以确定目的IP对应攻击方,或者,可以确定目的IP对应被攻击主机。
在步骤102中,实际应用时,可以通过判断所述待检测的攻击流量中是否存在远程地址,判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动。
基于此,在一实施例中,所述判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,可以包括:
通过解析所述待检测的攻击流量中的远程地址,判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动;
在所述待检测的攻击流量中解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动;
在所述待检测的攻击流量中未解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中不存在针对第三方主机的网络活动。
这里,所述第三方主机可以理解为除被攻击的主机和发起攻击的主机外的其他主机。
实际应用时,所述第三方主机可以包含DNS服务器、虚拟专用服务器(VPS,VirtualPrivate Server)等。
在步骤103中,实际应用时,在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,可以将从所述待检测的攻击流量中解析到的远程地址确定为所述第三方主机的访问地址。
对于步骤104,在一实施例中,所述第三方主机的访问地址可以为域名地址;相应地,所述基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,可以包括:
通过查询所述第一主机的DNS日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述DNS日志中查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述DNS日志中未查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
对于步骤104,在一实施例中,所述第三方主机的访问地址可以为IP地址;相应地,所述基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,可以包括:
通过查询所述第一主机的网络流量日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述网络流量日志中查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述网络流量日志中未查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
实际应用时,为了提高检测效率,查询的所述DNS日志和所述网络流量日志可以是第一时间范围内的日志,所述第一时间范围的取值可以根据需求设置,比如5分钟。
实际应用时,由于所述DNS日志和所述网络流量日志包含所述第一主机遭受网络攻击后的多个网络请求和多个网络响应对应的网络流量数据,因此,可以理解:所述DNS日志和所述网络流量日志包含所述第一主机遭受网络攻击后的上下文流量,即上文和下文流量。与基于单个网络请求或单个网络响应的数据包分析网络攻击是否成功的方式相比,利用所述第一主机遭受网络攻击后的上下文流量,能够更准确地确定网络攻击是否攻击成功。
对于步骤105,在一实施例中,所述利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功,可以包括:
在所述第二判断结果表征所述第一主机存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击已攻击成功;
在所述第二判断结果表征所述第一主机不存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击未攻击成功。
实际应用时,确定所述待检测的攻击流量对应的攻击已攻击成功的情况下,可以向目标设备(比如所述第一网络中具有管理员权限的主机)发出告警信息,以供所述目标设备修复所述第一网络存在的安全漏洞。
基于此,在一实施例中,所述方法还可以包括:
确定所述待检测的攻击流量对应的攻击已攻击成功的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
本申请实施例提供的网络攻击的检测方法,获取第一网络中待检测的攻击流量;判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。本申请实施例的方案,在待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,通过判断被攻击的主机是否存在针对第三方主机的访问行为,确定是否攻击成功;如此,能够成功地检测针对攻击方利用第三方主机攻击被攻击主机的网络攻击是否攻击成功,并能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
下面结合应用实施例对本申请再作进一步详细的描述。
在本应用实施例中,第三方主机称为第三方资产;攻击方利用第三方主机攻击被攻击主机的网络攻击称为无响应攻击,具体地,无响应攻击是指在攻击过程中,攻击方试图借助第三方资产来完成整个攻击过程,比如完成数据的获取和指令的下发。
在本应用实施例中,如图2所示,可以通过以下步骤检测无响应攻击是否攻击成功:
步骤201:利用流量采集探针采集第一网络的流量,通过SNORT检测引擎提取可疑的攻击流量;之后执行步骤202。
具体地,由于无响应攻击在请求方向的攻击特征是可以提取和检测的,因此可以先利用SNORT检测引擎对网络中的各类流量进行过滤,筛选出所有满足预设条件(即上述第一条件)的可疑攻击流量。
步骤202:确定攻击类型;之后执行步骤203。
具体地,对于获取到的可疑攻击流量,可以利用SNORT检测引擎,结合五元组信息,进一步识别该攻击流量属于哪种攻击类型(比如反序列化攻击,远程命令执行攻击,SQL注入攻击等)。
步骤203:基于攻击类型,进行攻击方向分离;之后执行步骤204。
具体地,根据步骤202确定的攻击类型,确定攻击的方向,比如第一网络的主机向其他网络的主机发起的网络攻击、第一网络的主机向第一网络的主机发起的网络攻击、以及其他网络的主机向第一网络的主机发起的网络攻击;并只保留受害者(即被攻击的主机)属于当前网络环境资产(即第一网络)的攻击流量。对于受害者不属于当前网络环境资产的流量进行舍弃。
步骤204:判断相应攻击过程是否需要向第三方资产建立网络活动;若是,执行步骤205;若否,则结束检测。
具体地,针对步骤203分离出的受害者属于当前网络环境资产的每条攻击流量,可以通过命令解析的方式检测相应攻击流量中是否存在远程地址,以判断相应的攻击过程中是否需要向第三方资产(比如VPS、DNS服务器)建立网络活动。
步骤205:定位远程第三方资产的访问地址和访问方式;之后执行步骤206。
具体地,检测到相应攻击流量中存在远程地址的情况下,提取该远程第三方资产的访问地址,访问地址一般表现为域名或IP。如果是域名地址,则可以查询受害主机在攻击发起的五分钟内的DNS访问记录,若主机有主动访问该域名的记录,则判定对应攻击成功。如果是IP地址,则可以查询受害主机在攻击发起的五分钟内的网络流量日志(即记录主机所有的五元组信息的日志),若存在主动向该IP地址发起的通信记录,则判定对应攻击成功。
步骤206:确定攻击成功时,发出攻击成功告警。
具体地,可以向所述第一网络的管理员发出告警信息,以供管理员修复所述第一网络存在的安全漏洞。
本应用实施例提供的方案,具有以下优点:
1)克服针对无响应攻击无法识别攻击是否成功的问题,通过对受害主机遭受攻击后的上下文流量(即DNS访问记录和网络流量日志)来识别攻击是否成功,有效提升了对网络攻击中的攻击成功的检出率和准确性。
2)能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
为了实现本申请实施例的方法,本申请实施例还提供了一种网络攻击的检测装置,如图3所示,该装置包括:
获取单元301,用于获取第一网络中待检测的攻击流量;
第一处理单元302,用于判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
第二处理单元303,用于在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
第三处理单元304,用于基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
第四处理单元305,用于利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
其中,在一实施例中,所述第一处理单元302,具体用于:
通过解析所述待检测的攻击流量中的远程地址,判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动;
在所述待检测的攻击流量中解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动;
在所述待检测的攻击流量中未解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中不存在针对第三方主机的网络活动。
在一实施例中,所述第三方主机的访问地址为域名地址;所述第三处理单元304,具体用于:
通过查询所述第一主机的DNS日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述DNS日志中查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述DNS日志中未查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
在一实施例中,所述第三方主机的访问地址为IP地址;所述第三处理单元304,具体用于:
通过查询所述第一主机的网络流量日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述网络流量日志中查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述网络流量日志中未查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
在一实施例中,所述获取单元301,具体用于:
采集所述第一网络的网络流量;
利用SNORT检测引擎对采集的网络流量进行过滤,得到满足第一条件的攻击流量;
从所述满足第一条件的攻击流量中获取待检测的攻击流量。
在一实施例中,所述获取单元301,还用于从所述满足第一条件的攻击流量中获取满足第二条件的攻击流量,将所述满足第二条件的攻击流量作为待检测的攻击流量;所述第二条件表征攻击流量对应的被攻击的主机属于所述第一网络。
在一实施例中,所述第四处理单元305,具体用于:
在所述第二判断结果表征所述第一主机存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击已攻击成功;
在所述第二判断结果表征所述第一主机不存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击未攻击成功。
在一实施例中,该装置还包括第五处理单元,用于在确定所述待检测的攻击流量对应的攻击已攻击成功的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
实际应用时,所述获取单元301、所述第一处理单元302、所述第二处理单元303、所述第三处理单元304、所述第四处理单元305和所述第五处理单元可由所述网络攻击的检测装置中的处理器结合通信接口实现。
需要说明的是:上述实施例提供的网络攻击的检测装置在检测网络攻击时,仅以上述各程序模块的划分进行举例说明,实际应用时,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的网络攻击的检测装置与网络攻击的检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备,如图4所示,该电子设备400包括:
通信接口401,能够与其他电子设备进行信息交互;
处理器402,与所述通信接口401连接,以实现与其他电子设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的方法;
存储器403,存储能够在所述处理器402上运行的计算机程序。
具体地,所述处理器402,用于:
获取第一网络中待检测的攻击流量;
判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
其中,在一实施例中,所述处理器402,还用于:
通过解析所述待检测的攻击流量中的远程地址,判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动;
在所述待检测的攻击流量中解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动;
在所述待检测的攻击流量中未解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中不存在针对第三方主机的网络活动。
在一实施例中,所述第三方主机的访问地址为域名地址;所述处理器402,还用于:
通过查询所述第一主机的DNS日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述DNS日志中查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述DNS日志中未查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
在一实施例中,所述第三方主机的访问地址为IP地址;所述处理器402,还用于:
通过查询所述第一主机的网络流量日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述网络流量日志中查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述网络流量日志中未查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
在一实施例中,所述处理器402,还用于:
采集所述第一网络的网络流量;
利用SNORT检测引擎对采集的网络流量进行过滤,得到满足第一条件的攻击流量;
从所述满足第一条件的攻击流量中获取待检测的攻击流量。
在一实施例中,所述处理器402,还用于从所述满足第一条件的攻击流量中获取满足第二条件的攻击流量,将所述满足第二条件的攻击流量作为待检测的攻击流量;所述第二条件表征攻击流量对应的被攻击的主机属于所述第一网络。
在一实施例中,所述处理器402,还用于:
在所述第二判断结果表征所述第一主机存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击已攻击成功;
在所述第二判断结果表征所述第一主机不存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击未攻击成功。
在一实施例中,所述处理器402,还用于确定所述待检测的攻击流量对应的攻击已攻击成功的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
需要说明的是:所述处理器402具体执行上述操作的过程详见方法实施例,这里不再赘述。
当然,实际应用时,电子设备400中的各个组件通过总线系统404耦合在一起。可理解,总线系统404用于实现这些组件之间的连接通信。总线系统404除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统404。
本申请实施例中的存储器403用于存储各种类型的数据以支持电子设备400的操作。这些数据的示例包括:用于在电子设备400上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于处理器402中,或者由处理器402实现。处理器402可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器402中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器402可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器402可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器403,处理器402读取存储器403中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,电子设备400可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,本申请实施例的存储器403可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其他适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器403,上述计算机程序可由电子设备400的处理器402执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。
Claims (11)
1.一种网络攻击的检测方法,其特征在于,包括:
获取第一网络中待检测的攻击流量;
判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
2.根据权利要求1所述的方法,其特征在于,所述判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,包括:
通过解析所述待检测的攻击流量中的远程地址,判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动;
在所述待检测的攻击流量中解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动;
在所述待检测的攻击流量中未解析到远程地址的情况下,确定所述待检测的攻击流量对应的攻击过程中不存在针对第三方主机的网络活动。
3.根据权利要求1所述的方法,其特征在于,所述第三方主机的访问地址为域名地址;所述基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,包括:
通过查询所述第一主机的域名系统DNS日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述DNS日志中查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述DNS日志中未查询到针对所述第三方主机的域名地址的访问记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
4.根据权利要求1所述的方法,其特征在于,所述第三方主机的访问地址为互联网协议IP地址;所述基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,包括:
通过查询所述第一主机的网络流量日志,判断所述第一主机是否存在针对所述第三方主机的访问行为;
在所述网络流量日志中查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机存在针对所述第三方主机的访问行为;
在所述网络流量日志中未查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下,确定所述第一主机不存在针对所述第三方主机的访问行为。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述获取第一网络中待检测的攻击流量,包括:
采集所述第一网络的网络流量;
利用SNORT检测引擎对采集的网络流量进行过滤,得到满足第一条件的攻击流量;
从所述满足第一条件的攻击流量中获取待检测的攻击流量。
6.根据权利要求5所述的方法,其特征在于,所述从所述满足第一条件的攻击流量中获取待检测的攻击流量,包括:
从所述满足第一条件的攻击流量中获取满足第二条件的攻击流量,将所述满足第二条件的攻击流量作为待检测的攻击流量;所述第二条件表征攻击流量对应的被攻击的主机属于所述第一网络。
7.根据权利要求1至4任一项所述的方法,其特征在于,所述利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功,包括:
在所述第二判断结果表征所述第一主机存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击已攻击成功;
在所述第二判断结果表征所述第一主机不存在针对所述第三方主机的访问行为的情况下,确定所述待检测的攻击流量对应的攻击未攻击成功。
8.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
确定所述待检测的攻击流量对应的攻击已攻击成功的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
9.一种网络攻击的检测装置,其特征在于,包括:
获取单元,用于获取第一网络中待检测的攻击流量;
第一处理单元,用于判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动,得到第一判断结果;
第二处理单元,用于在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下,确定所述第三方主机的访问地址;
第三处理单元,用于基于所述第三方主机的访问地址,判断第一主机是否存在针对所述第三方主机的访问行为,得到第二判断结果;所述第一主机为所述待检测的攻击流量对应的被攻击的主机;
第四处理单元,用于利用所述第二判断结果,确定所述待检测的攻击流量对应的攻击是否攻击成功。
10.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行权利要求1至8任一项所述方法的步骤。
11.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110729900.XA CN113472772B (zh) | 2021-06-29 | 2021-06-29 | 网络攻击的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110729900.XA CN113472772B (zh) | 2021-06-29 | 2021-06-29 | 网络攻击的检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113472772A true CN113472772A (zh) | 2021-10-01 |
| CN113472772B CN113472772B (zh) | 2023-05-16 |
Family
ID=77873972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110729900.XA Active CN113472772B (zh) | 2021-06-29 | 2021-06-29 | 网络攻击的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472772B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113965419A (zh) * | 2021-12-22 | 2022-01-21 | 北京微步在线科技有限公司 | 一种通过反连判定攻击成功的方法及装置 |
| CN114866361A (zh) * | 2022-07-11 | 2022-08-05 | 北京微步在线科技有限公司 | 一种检测网络攻击的方法、装置、电子设备及介质 |
| CN115102778A (zh) * | 2022-07-11 | 2022-09-23 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115296941A (zh) * | 2022-10-10 | 2022-11-04 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| US20180367566A1 (en) * | 2016-02-29 | 2018-12-20 | Alibaba Group Holding Limited | Prevention and control method, apparatus and system for network attack |
| CN111049783A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN112272186A (zh) * | 2020-10-30 | 2021-01-26 | 深信服科技股份有限公司 | 一种网络流量检测框架、方法及电子设备和存储介质 |
| CN112543168A (zh) * | 2019-09-20 | 2021-03-23 | 中移(苏州)软件技术有限公司 | 网络攻击的检测方法、装置、服务器及存储介质 |
| CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
-
2021
- 2021-06-29 CN CN202110729900.XA patent/CN113472772B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180367566A1 (en) * | 2016-02-29 | 2018-12-20 | Alibaba Group Holding Limited | Prevention and control method, apparatus and system for network attack |
| CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN111049783A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN112543168A (zh) * | 2019-09-20 | 2021-03-23 | 中移(苏州)软件技术有限公司 | 网络攻击的检测方法、装置、服务器及存储介质 |
| CN112272186A (zh) * | 2020-10-30 | 2021-01-26 | 深信服科技股份有限公司 | 一种网络流量检测框架、方法及电子设备和存储介质 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113965419A (zh) * | 2021-12-22 | 2022-01-21 | 北京微步在线科技有限公司 | 一种通过反连判定攻击成功的方法及装置 |
| CN114866361A (zh) * | 2022-07-11 | 2022-08-05 | 北京微步在线科技有限公司 | 一种检测网络攻击的方法、装置、电子设备及介质 |
| CN115102778A (zh) * | 2022-07-11 | 2022-09-23 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115102778B (zh) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115296941A (zh) * | 2022-10-10 | 2022-11-04 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
| CN115296941B (zh) * | 2022-10-10 | 2023-03-24 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113472772B (zh) | 2023-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113472772B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| US20160381070A1 (en) | Protocol based detection of suspicious network traffic | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN110505235B (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| TWI616771B (zh) | 殭屍網路偵測系統及其方法 | |
| CN112272186B (zh) | 一种网络流量检测装置、方法及电子设备和存储介质 | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN114124552B (zh) | 一种网络攻击的威胁等级获取方法、装置和存储介质 | |
| CN113301012A (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN111818073B (zh) | 一种失陷主机检测方法、装置、设备及介质 | |
| CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN112818307A (zh) | 用户操作处理方法、系统、设备及计算机可读存储介质 | |
| CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN114826727B (zh) | 流量数据采集方法、装置、计算机设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |