CN113626814A - 一种基于恶意攻击行为的Window系统应急响应方法 - Google Patents
一种基于恶意攻击行为的Window系统应急响应方法 Download PDFInfo
- Publication number
- CN113626814A CN113626814A CN202110911637.6A CN202110911637A CN113626814A CN 113626814 A CN113626814 A CN 113626814A CN 202110911637 A CN202110911637 A CN 202110911637A CN 113626814 A CN113626814 A CN 113626814A
- Authority
- CN
- China
- Prior art keywords
- analysis
- hacker
- attack
- behavior
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 72
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000004044 response Effects 0.000 title claims abstract description 17
- 230000008569 process Effects 0.000 claims abstract description 40
- 238000013515 script Methods 0.000 claims abstract description 15
- 230000035515 penetration Effects 0.000 claims abstract description 12
- 230000009545 invasion Effects 0.000 claims abstract description 10
- 238000011835 investigation Methods 0.000 claims abstract description 9
- 230000008520 organization Effects 0.000 claims abstract description 5
- 241000700605 Viruses Species 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 5
- 238000005065 mining Methods 0.000 claims description 5
- 230000002155 anti-virotic effect Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 241000243251 Hydra Species 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000005422 blasting Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000002347 injection Methods 0.000 claims description 3
- 239000007924 injection Substances 0.000 claims description 3
- QRXWMOHMRWLFEY-UHFFFAOYSA-N isoniazide Chemical compound NNC(=O)C1=CC=NC=C1 QRXWMOHMRWLFEY-UHFFFAOYSA-N 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 description 4
- 241000287828 Gallus gallus Species 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000011949 advanced processing technology Methods 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种基于恶意攻击行为的Window系统应急响应方法。包括:对服务器自身进行安全性检查,确定是否存在自身安全隐患;通过工具和脚本执行命令分析、文件分析和日志分析从而确定是否存在黑客定点打击行为;通过脚本执行进程分析、工具分析和网络地址分析从而确定是否存在黑客横向打击行为;根据获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向渗透行为信息分析近期活跃的黑客组织以往攻击行为,形成黑客画像特征库;梳理历次攻击中各黑客组织控制的黑产资源明细,在相似攻击出现时进行实时关联,迅速定位攻击者身份,并最终行成恶意攻击行为排查报告。本发明方法能够达到及时、有效、全面、完备发现黑客入侵行为的目的。
Description
技术领域
本发明涉及信息安全测试技术领域,尤其涉及一种基于恶意攻击行为的Window系统应急响应方法。
背景技术
随着互联网的快速发展,非法黑客组织也试图通过攻击业务系统服务器,控制业务系统服务器达到不可告人的目的。黑客攻击行为会在不知不觉的情况下窃取私密信息或者造成服务器宕机、网络瘫痪、信息丢失等损失。
现有技术中,业务系统服务器针对黑客入侵痕迹的发现分为主动方式和被动方式两种。被动的黑客入侵行为发现方式,主要包括:网页页面被篡改或者被挂暗链;监管机构监测该服务器与境外恶意主机进行通讯;因挖矿等导致服务器运行不畅;数据泄露,导致数据在境外或暗网传播;对内网其他机器攻击,被安全设备发现告警。主动的黑客入侵行为发现方式,主要包括:通过安全运维发现存在以asp、php、jsp等网页文件形式存在的网页后门(webshell);通过安全运维发现内网出现内网穿透代理服务器(NPS)或反向代理应用(FRP)的转发;通过安全运维发现蜜罐、APT等内网设备出现攻击痕迹。
目前针对恶意攻击行为的检测方法缺乏系统性及有效性,无法有效发现隐藏较深的黑客入侵,导致服务器长期被控。
发明内容
本发明的目的在于提供一种基于恶意攻击行为的Window系统应急响应方法,该方法能够达到及时、有效、全面、完备发现黑客入侵行为的目的。
为实现上述目的,本发明的技术方案是:一种基于恶意攻击行为的Window系统应急响应方法,包括如下步骤:
步骤S1、对服务器自身进行安全性检查,确定是否存在自身安全隐患;
步骤S2、通过工具和脚本执行命令分析、文件分析和日志分析,从而确定是否存在黑客定点打击行为;
步骤S3、通过脚本执行进程分析、工具分析和网络地址分析,从而确定是否存在黑客横向渗透行为;
步骤S4、根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向渗透行为信息分析近期活跃的黑客组织以往攻击行为,对其进行包括攻击习惯、技术特点、目标偏好、活动规律、所在时区的总结,形成黑客画像特征库;梳理历次攻击中各黑客组织控制的黑产资源明细,在相似攻击出现时进行实时关联,迅速定位攻击者身份,并最终行成恶意攻击行为排查报告。
进一步地,所述步骤S1中对服务器自身进行安全性检查,包括对此类服务如:SSH服务、RDP服务、SMB服务、TELNET服务、FTP服务、MYSQL服务等使用Hydra和超级弱口令等工具对这些服务进行弱口令爆破,判断是否存在弱口令。
进一步地,所述步骤S1中对服务器自身进行安全性检查,包括对此类组件如:Struts、ThinkPHP、FastJson、Shiro、WebLogic等进行漏洞分析,判断该类组件是否存在远程命令执行漏洞。
进一步地,所述步骤S1中对服务器自身进行安全性检查,包括未授权访问类漏洞,如:Redis、Jenkins、JBoss、MongoDB等进行排查,判断该服务器是否存在未授权访问漏洞。
进一步地,所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析,若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。
进一步地,所述文件分析具体包括:借助autoruns、D盾等工具对存在网页后门的网页文件、重要文件完成性、启动项和Shift后门进行检测,确定是否存在黑客长期控制服务器的后门脚本或攻击程序。
进一步地,所述文件分析具体包括使用杀毒软件、PChunter或者EDR工具进行全盘扫描查杀一些简单常见热门的病毒,该类病毒一般都被收录在热门的特征库里面,若该类工具判断该服务器存在病毒文件,则确定存在黑客定点打击行为;
进一步地,所述日志分析的步骤具体包括:通过事件查看器管理日志,使用命令eventvwr.msc打开,或者 Windows 10 搜索框直接搜索事件查看器,或者使用开始菜单-Windows 管理工具-事件查看器对window应用程序日志、安全性日志、系统日志、Setup 日志等进行分析,确定是否存在黑客执行的转发登录或攻击扫描操作。
进一步地,所述日志分析的步骤具体包括:通过分析WEB日志中是否存在特定的攻击特征来区分攻击者和正常用户的访问行为,确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。
进一步地,所述步骤S3中所述执行进程分析、工具分析和网络地址分析的步骤,采用串行方式依次执行进程分析、工具分析和网络地址分析,或者采用并行方式同步执行进程分析、工具分析和网络地址分析。
进一步地,所述进程分析的步骤具体包括:通过对CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查、进程对应脚本或可执行文件进行检查,确定是否存在涉及内存进程的横向入侵行为。
进一步地,所述工具分析具体包括:通过对涉及后门类、转发类、端口探测类、进程注入类、漏洞扫描类和/或挖矿勒索病毒类的渗透工具进行分析,确定是否存在黑客横向入侵行为,若存在则确定入侵目的。
进一步地,所述网络地址分析具体包括使用netstat命令或者借助一些成熟的工具如PChunter、TCPViewer有利于更加直观的查看进程情况,从而检查系统与外界的连接情况。由于挖矿病毒、僵尸网络、肉鸡、CC服务器、内网传播等恶意行为都需要与其他主机进行通信,则本地必须调用相应的网站链接。通过对服务器中出现的境外IP地址、反弹shell和建立通讯中出现的境外IP地址进行有效分析,从而确定是否存在黑客横向入侵行为。
相较于现有技术,本发明具有以下有益效果:
首先,基于恶意攻击行为,对黑客入侵Window服务器可能涉及的关键路径进行分析,在进行安全自检后分别针对定向入侵行为及横向入侵行为进行了有序完整的检测排查,避免有技术中仅靠运维人员手动排查时因为现个人能力问题遗漏重要信息;
其次,通过对隐藏进程、隐藏文件进行深度全面排查可以解决恶意脚本发现难等问题;同时,针对通过对CPU,内存等异常进行检测,确保机器不被黑客当作跳板机或者挖矿机,还可以根据黑客渗透工具类型确定黑客攻击的意图及目的。
附图说明
图1为本发明实施例中基于恶意攻击行为的Window系统应急响应方法流程图。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
如图1所示,本发明一种基于恶意攻击行为的Window系统应急响应方法,包括如下步骤:
步骤S1、对服务器自身进行安全性检查,确定是否存在自身安全隐患;
步骤S2、通过工具和脚本执行命令分析、文件分析和日志分析,从而确定是否存在黑客定点打击行为;
步骤S3、通过脚本执行进程分析、工具分析和网络地址分析,从而确定是否存在黑客横向渗透行为;
步骤S4、根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向渗透行为信息分析近期活跃的黑客组织以往攻击行为,对其进行包括攻击习惯、技术特点、目标偏好、活动规律、所在时区的总结,形成黑客画像特征库;梳理历次攻击中各黑客组织控制的黑产资源明细,在相似攻击出现时进行实时关联,迅速定位攻击者身份,并最终行成恶意攻击行为排查报告。
本实例中,所述步骤S1中对服务器自身进行安全性检查,包括对此类服务如:SSH服务、RDP服务、SMB服务、TELNET服务、FTP服务、MYSQL服务等使用Hydra和超级弱口令等工具对这些服务进行弱口令爆破,判断是否存在弱口令。
本实例中,所述步骤S1中对服务器自身进行安全性检查,包括对此类组件如:Struts、ThinkPHP、FastJson、Shiro、WebLogic等进行漏洞分析,判断该类组件是否存在远程命令执行漏洞。
本实例中,所述步骤S1中对服务器自身进行安全性检查,包括未授权访问类漏洞,如:Redis、Jenkins、JBoss、MongoDB等进行排查,判断该服务器是否存在未授权访问漏洞。
本实例中,所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析,若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。
本实例中,所述文件分析具体包括:借助autoruns、D盾等工具对存在网页后门的网页文件、重要文件完成性、启动项和Shift后门进行检测,确定是否存在黑客长期控制服务器的后门脚本或攻击程序。
本实例中,所述文件分析具体包括使用杀毒软件、PChunter或者EDR工具进行全盘扫描查杀一些简单常见热门的病毒,该类病毒一般都被收录在热门的特征库里面,若该类工具判断该服务器存在病毒文件,则确定存在黑客定点打击行为;
本实例中,所述日志分析的步骤具体包括:通过事件查看器管理日志,使用命令eventvwr.msc打开,或者 Windows 10 搜索框直接搜索事件查看器,或者使用开始菜单-Windows 管理工具-事件查看器对window应用程序日志、安全性日志、系统日志、Setup 日志等进行分析,确定是否存在黑客执行的转发登录或攻击扫描操作。
本实例中,所述日志分析的步骤具体包括:通过分析WEB日志中是否存在特定的攻击特征来区分攻击者和正常用户的访问行为,确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。
本实例中,所述步骤S3中所述执行进程分析、工具分析和网络地址分析的步骤,采用串行方式依次执行进程分析、工具分析和网络地址分析,或者采用并行方式同步执行进程分析、工具分析和网络地址分析。
本实例中,所述进程分析的步骤具体包括:通过对CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查、进程对应脚本或可执行文件进行检查,确定是否存在涉及内存进程的横向入侵行为。
本实例中,所述工具分析具体包括:通过对涉及后门类、转发类、端口探测类、进程注入类、漏洞扫描类和/或挖矿勒索病毒类的渗透工具进行分析,确定是否存在黑客横向入侵行为,若存在则确定入侵目的。
本实例中,所述网络地址分析具体包括使用netstat命令或者借助一些成熟的工具如PChunter、TCPViewer有利于更加直观的查看进程情况,从而检查系统与外界的连接情况。由于挖矿病毒、僵尸网络、肉鸡、CC服务器、内网传播等恶意行为都需要与其他主机进行通信,则本地必须调用相应的网站链接。通过对服务器中出现的境外IP地址、反弹shell和建立通讯中出现的境外IP地址进行有效分析,从而确定是否存在黑客横向入侵行为。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里所示出与描述的图例。
Claims (9)
1.一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,包括如下步骤:
步骤S1、对服务器自身进行安全性检查,确定是否存在自身安全隐患;
步骤S2、通过工具和脚本执行命令分析、文件分析和日志分析,从而确定是否存在黑客定点打击行为;
步骤S3、通过脚本执行进程分析、工具分析和网络地址分析,从而确定是否存在黑客横向渗透行为;
步骤S4、根据步骤S1至步骤S3中获取的自身安全隐患信息、黑客定点打击行为信息和黑客横向渗透行为信息分析近期活跃的黑客组织以往攻击行为,对其进行包括攻击习惯、技术特点、目标偏好、活动规律、所在时区的总结,形成黑客画像特征库;梳理历次攻击中各黑客组织控制的黑产资源明细,在相似攻击出现时进行实时关联,迅速定位攻击者身份,并最终行成恶意攻击行为排查报告。
2.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,所述步骤S1中对服务器自身进行安全性检查,包括对:SSH服务、RDP服务、SMB服务、TELNET服务、FTP服务、MYSQL服务的服务,使用Hydra或超级弱口令进行弱口令爆破,判断服务器中是否存在弱口令;对服务器自身进行安全性检查,还包括对:Struts、ThinkPHP、FastJson、Shiro、WebLogic的组件,进行漏洞分析,判断服务器中该些组件是否存在远程命令执行漏洞;对服务器自身进行安全性检查,还包括对未授权访问类漏洞:Redis、Jenkins、JBoss、MongoDB进行排查,判断服务器中是否存在未授权访问漏洞。
3.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,步骤S2中,所述命令分析具体是通过对涉及文件相关操作命令的历史记录进行时间区间或命令条数区间内的频次分析,若频次超过告警阈值且涉及敏感文件或文件路径则确定存在黑客定点打击行为。
4.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,步骤S2中,所述文件分析具体包括:借助autoruns或D盾工具对存在网页后门的网页文件、重要文件完成性、启动项和Shift后门进行检测,确定是否存在黑客长期控制服务器的后门脚本或攻击程序;所述文件分析还包括使用杀毒软件、PChunter或者EDR工具进行全盘扫描查杀简单常见热门的病毒,该简单常见热门的病毒都被收录在热门的特征库里面,若杀毒软件、PChunter或者EDR工具判断服务器存在病毒文件,则确定存在黑客定点打击行为。
5.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,步骤S2中,所述日志分析具体包括:通过事件查看器管理日志,使用命令eventvwr.msc打开,或者 Windows 10 搜索框直接搜索事件查看器,或者使用开始菜单-Windows 管理工具-事件查看器对window应用程序日志、安全性日志、系统日志或Setup 日志进行分析,确定是否存在黑客执行的转发登录或攻击扫描操作;所述日志分析还包括:通过分析WEB日志中是否存在特定的攻击特征来区分攻击者和正常用户的访问行为,确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。
6.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,步骤S3中,所述执行进程分析、工具分析和网络地址分析的步骤,采用串行方式依次执行进程分析、工具分析和网络地址分析,或者采用并行方式同步执行进程分析、工具分析和网络地址分析。
7.根据权利要求1或6所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,所述进程分析具体包括:通过对CPU和内存使用异常进程排查、隐藏进程排查、反弹shell类排查、NPS/FRP代理转发类排查、恶意进程信息排查、进程对应脚本或可执行文件进行检查,确定是否存在涉及内存进程的横向入侵行为。
8.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,所述工具分析具体包括:通过对涉及后门类、转发类、端口探测类、进程注入类、漏洞扫描类和/或挖矿勒索病毒类的渗透工具进行分析,确定是否存在黑客横向入侵行为,若存在则确定入侵目的。
9.根据权利要求1所述的一种基于恶意攻击行为的Window系统应急响应方法,其特征在于,所述网络地址分析具体包括使用netstat命令或者借助PChunter、TCPViewer的工具查看进程情况,从而检查系统与外界的连接情况;通过对服务器中出现的境外IP地址、反弹shell和建立通讯中出现的境外IP地址进行有效分析,从而确定是否存在黑客横向入侵行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110911637.6A CN113626814A (zh) | 2021-08-10 | 2021-08-10 | 一种基于恶意攻击行为的Window系统应急响应方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110911637.6A CN113626814A (zh) | 2021-08-10 | 2021-08-10 | 一种基于恶意攻击行为的Window系统应急响应方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113626814A true CN113626814A (zh) | 2021-11-09 |
Family
ID=78383878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110911637.6A Pending CN113626814A (zh) | 2021-08-10 | 2021-08-10 | 一种基于恶意攻击行为的Window系统应急响应方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113626814A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090157574A1 (en) * | 2007-12-17 | 2009-06-18 | Sang Hun Lee | Method and apparatus for analyzing web server log by intrusion detection system |
| CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN112019508A (zh) * | 2020-07-28 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 基于Web日志分析检测DDos攻击的方法、系统和电子装置 |
| CN112702360A (zh) * | 2021-03-19 | 2021-04-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于黑客行为的Linux系统入侵排查方法 |
-
2021
- 2021-08-10 CN CN202110911637.6A patent/CN113626814A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090157574A1 (en) * | 2007-12-17 | 2009-06-18 | Sang Hun Lee | Method and apparatus for analyzing web server log by intrusion detection system |
| CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN112019508A (zh) * | 2020-07-28 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 基于Web日志分析检测DDos攻击的方法、系统和电子装置 |
| CN112702360A (zh) * | 2021-03-19 | 2021-04-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于黑客行为的Linux系统入侵排查方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US10447730B2 (en) | Detection of SQL injection attacks | |
| US20190166147A1 (en) | Secure computing environment | |
| Giura et al. | A context-based detection framework for advanced persistent threats | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN112751864B (zh) | 网络攻击反制系统、方法、装置和计算机设备 | |
| Megira et al. | Malware analysis and detection using reverse engineering technique | |
| CN111859394A (zh) | 基于tee的软件行为主动度量方法及系统 | |
| Bairwa et al. | Vulnerability scanners-a proactive approach to assess web application security | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| CN112702360A (zh) | 基于黑客行为的Linux系统入侵排查方法 | |
| Pandey et al. | A lifecycle based approach for malware analysis | |
| CN113626814A (zh) | 一种基于恶意攻击行为的Window系统应急响应方法 | |
| Prajapati et al. | Analysis of keyloggers in cybersecurity | |
| Tanakas et al. | A novel system for detecting and preventing SQL injection and cross-site-script | |
| Masarweh et al. | Threat led advanced persistent threat penetration test | |
| Sharma et al. | Detecting data exfiltration by integrating information across layers | |
| Al Shibani et al. | Automated Threat Hunting Using ELK Stack-A Case Study | |
| Park et al. | Identification of bot commands by run-time execution monitoring | |
| Chen et al. | A proactive approach to intrusion detection and malware collection | |
| Mell | Understanding intrusion detection systems | |
| US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives | |
| Javid et al. | Honeypots vulnerabilities to backdoor attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211109 |