CN113923035B - 一种基于攻击载荷和攻击行为的动态应用防护系统及方法 - Google Patents

一种基于攻击载荷和攻击行为的动态应用防护系统及方法 Download PDF

Info

Publication number
CN113923035B
CN113923035B CN202111203566.0A CN202111203566A CN113923035B CN 113923035 B CN113923035 B CN 113923035B CN 202111203566 A CN202111203566 A CN 202111203566A CN 113923035 B CN113923035 B CN 113923035B
Authority
CN
China
Prior art keywords
attack
request
log
load
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111203566.0A
Other languages
English (en)
Other versions
CN113923035A (zh
Inventor
李昱希
王进杰
雷涛
魏婉昀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan XW Bank Co Ltd
Original Assignee
Sichuan XW Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan XW Bank Co Ltd filed Critical Sichuan XW Bank Co Ltd
Priority to CN202111203566.0A priority Critical patent/CN113923035B/zh
Publication of CN113923035A publication Critical patent/CN113923035A/zh
Application granted granted Critical
Publication of CN113923035B publication Critical patent/CN113923035B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及计算机信息安全领域,公开了一种基于攻击载荷和攻击行为的动态应用防护系统,包括流量接收器、流量控制器、基础配置模块、行为模型研发模块、第一解析模块以及通过所述行为模型研发模块进行参数设置的第二解析模块。本发明还公开了一种基于攻击载荷和攻击行为的动态应用防护系统的防护方法。本发明通过建立攻击者行为判断模型,本发明解决传统WAF完全依赖载荷攻击识别,导致攻击者请求不充分、易漏过的问题。

Description

一种基于攻击载荷和攻击行为的动态应用防护系统及方法
技术领域
本发明涉及计算机信息安全领域,具体涉及一种基于攻击载荷和攻击行为的动态应用防护系统及方法。
背景技术
WAF是应用层安全防护的常见技术设施,对每一次的HTTP/HTTPS请求进行分析,识别单次请求中包含的攻击字段,如果检测到是攻击行为,就会对请求进行单次阻断,不会让请求到业务的机器上去,为web应用提供阻断防护。
传统WAF对来自外部的请求流量包,只会单次请求单次识别,攻击行为只有拦截或放行两种状态,例如:当某攻击者尝试对web应用系统进行攻击扫描,攻击过程包括试探、分析、精准打击,试探过程会多次使用常规的攻击载荷放置于请求流量,向web应用系统发送,传统WAF仅能针对单次请求流量进行单次阻断、拦截,攻击者有可能在频繁调整攻击载荷尝试后,分析出正确的攻击载荷,重构攻击请求流量发送,实现精准攻击,对web应用系统造成压力甚至破坏,当发现压力或者破坏时,通过WAF处置措施通常采用手动维护,对攻击源IP加黑、永久封禁,当某正常用户A使用手机访问系统时,所使用IP有可能继承了某攻击者B使用的代理IP,这时由于该IP之前存在过攻击行为已经被WAF拦截并封禁,故用户A将无法成功访问,需要手动解封。
发明内容
为了解决以上问题,本发明提出了一种通过利用WAF的基础攻击识别记录能力,结合日志分析建模,自动匹配攻击行为对应的攻击等级,对不同等级的攻击源进行分级处置,包括访问拦截、引入陷阱、访问次数限制、封禁加黑等。
本发明通过下述技术方案实现:
一种基于攻击载荷和攻击行为的动态应用防护系统,包括流量接收器、流量控制器、基础配置模块、行为模型研发模块、第一解析模块以及通过所述行为模型研发模块进行参数设置的第二解析模块,其中,
所述流量接收器用于接收来自客户端的请求流量,并将所述请求流量传输给第一解析模块;
所述第一解析模块用于识别匹配接收到的请求流量的攻击载荷匹配、提取请求中不带明显攻击载荷的特征,形成攻击载荷日志和请求特征日志;
所述第二解析模块用于接收攻击者行为判断模型、攻击处置策略,对攻击载荷日志和请求特征日志进行解析,经过行为模型计算,并求出该请求流量所匹配的行为模型,将对应的行为模型所对应的流量控制命令发给流量控制器;
所述流量控制器根据接收到的流量控制命令,对该请求流量进行放行或者拒绝的动作;
所述基础配置模块用于对第一解析模块进行参数设置;
所述行为模型研发模块用于开发攻击者行为判断模型、设置攻击处置策略。
作为优化,所述第一解析模块包括请求解析引擎、攻击载荷识别引擎和攻击日志生成器,其中,
所述请求解析引擎用于识别并解析出请求流量的请求特征;
所述攻击载荷识别引擎用于识别请求流量的攻击载荷;
所述攻击日志生成器用于将所述请求特征和攻击载荷分别形成请求特征日志和攻击载荷日志。
作为优化,所述请求特征包括攻击源、客户端类型、请求头参数、请求体参数、时间、对象等。
作为优化,所述攻击载荷包括攻击类型、时间、对象、攻击源。
作为优化,所述第二解析模块包括日志解析引擎、模型计算引擎以及攻击策略引擎,其中,
所述日志解析引擎用于解析攻击载荷日志和请求特征日志,将攻击载荷日志解析为初步定性为攻击的载荷特征、暂未定性为攻击的请求特征;
所述模型计算引擎用于对攻击载荷日志和请求特征日志的解析结果进行实时计算,根据行为模型研发模块设置的攻击模型进行不同的攻击者行为和危险等级匹配;
所述攻击策略引擎用于接收攻击者行为判断模型和危险等级结果,将对应的攻击策略生成相应的流量控制命令,并将流量控制命令下发给流量控制器。
本发明还公开了一种基于攻击载荷和攻击行为的动态应用的防护方法,包括如下步骤:
步骤1、所述第一解析模块识别匹配接收到的请求流量的攻击载荷匹配、提取请求中的不带明显攻击载荷的特征,形成攻击载荷日志和请求特征日志;
步骤2、所述第二解析模块接收开发的攻击者行为判断模型、设置的攻击处置策略,对所述攻击载荷日志和请求特征日志进行解析,经过行为模型计算,并求出该请求流量的流量控制命令,并将所述流量控制命令发给流量控制器;
步骤3、所述流量控制器根据接收到的流量控制命令,对该请求流量进行放行或者拒绝的动作。
作为优化,步骤1的具体实现步骤如下:
步骤1.1、所述流量接收器接收来自客户端的流量请求并分别传输给请求解析引擎和攻击载荷识别引擎;
步骤1.2、所述请求解析引擎解析该流量请求的请求特征,并将请求特征传输给攻击日志生成器;
步骤1.3、所述攻击载荷识别引擎识别该流量请求的攻击载荷,并将攻击载荷传输给攻击日志生成器;
步骤1.4、所述攻击日志生成器将所述请求特征和攻击载荷分别形成请求特征日志和攻击载荷日志,并将请求特征日志和攻击载荷日志保存在存储空间。
作为优化,步骤2的具体实现步骤如下:
步骤2.1、所述日志解析引擎从所述存储空间获取请求特征日志和攻击载荷日志,并将所述请求特征日志和攻击载荷日志分别解析为暂未定性为攻击的请求特征和初步定性为攻击的载荷特征;
步骤2.2、所述行为模型研发模块对所述请求特征日志和攻击载荷日志进行分析,抽象建立攻击者行为判断模型;
步骤2.3、所述行为模型研发模块开发攻击者行为判断模型,将所述攻击者行为判断模型下发至所述模型计算引擎,并定义不同的行为模型和危险等级,制定相应的攻击策略,并将攻击策略下发至策略引擎,以对相应行为预设防御响应动作;
步骤2.4、由模型计算引擎对请求特征日志和攻击载荷日志进行实时计算,快速匹配对应的行为模型,同时结合对应的行为模型匹配的攻击策略,由攻击策略引擎生成相应的流量控制命令,并将对应流量控制命令下发给流量控制器。
作为优化,步骤2.2的具体实现步骤如下:通过模型定义、识别请求特征与匹配攻击载荷出现的情况,判断攻击者意图,抽象建立攻击者行为判断模型。
作为优化,步骤2.3中,相应行为包括记录观察、单次阻断、引入陷阱、短时间封禁、长时间封禁。
这里的长时间封禁和短时间封禁根据具体情况制定。
本发明与现有技术相比,具有如下的优点和有益效果:
1.通过建立攻击者行为判断模型,本发明解决传统WAF完全依赖载荷攻击识别,导致攻击者请求不充分、易漏过的问题;
2.本发明解决传统WAF机械的对所有攻击IP无差别单次阻断的问题,防御策略多样化、可配置防御动作时效性,提高工作效率与用户体验;
3.本发明基于攻击者的已有行为,前瞻性的识别攻击者意图;
4.本发明一定程度上在攻击者使用0day前对攻击者识别并封禁,缓解0day攻击压力。
附图说明
为了更清楚地说明本发明示例性实施方式的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。在附图中:
图1为本发明所述的一种基于攻击载荷和攻击行为的动态应用防护系统的系统框架图;
图2-8为本发明所述的一种基于攻击载荷和攻击行为的动态应用防护方法的流量传输的路线图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例
防护系统整体由基础攻击识别功能和行为模型功能两部分组成,来自外部的请求流量经过流量接收器,通过基础的攻击识别功能识别该次请求的攻击载荷匹配和请求特征,形成攻击载荷日志、请求特征日志,通过模型分析、研发,建立模型下发,实时计算匹配用户行为、危险等级,匹配防御策略,获得结果下发控制器。
如图1所示,一种基于攻击载荷和攻击行为的动态应用防护系统,包括流量接收器、流量控制器、基础配置模块、行为模型研发模块、第一解析模块以及通过所述行为模型研发模块进行参数设置的第二解析模块,其中,
所述流量接收器用于接收来自客户端的请求流量,并将所述请求流量传输给第一解析模块;
所述第一解析模块用于识别匹配接收到的请求流量的攻击载荷、提取请求中不带明显攻击载荷的特征,形成攻击载荷日志和请求特征日志;这里的不带明显攻击载荷的特征包括浏览器的标识、IP地址、请求中的参数等;
所述第二解析模块用于接收攻击者行为判断模型、攻击处置策略,对攻击载荷日志和请求特征日志进行解析,并求出该请求流量所匹配的行为模型,将对应的行为模型所对应的流量控制命令发给流量控制器;
所述流量控制器根据接收到的流量控制命令,对该请求流量进行放行或者拒绝的动作;
所述基础配置模块用于对第一解析模块进行参数设置;
所述行为模型研发模块用于开发攻击者行为判断模型、设置攻击处置策略。
本实施例中,所述第一解析模块包括请求解析引擎、攻击载荷识别引擎和攻击日志生成器,其中,
所述请求解析引擎用于识别并解析出请求流量的请求特征(包括请求源、客户端类型、请求头参数、请求体参数、时间、对象等);
所述攻击载荷识别引擎用于识别请求流量的攻击载荷(包括攻击类型、时间、对象、攻击源);
所述攻击日志生成器用于将所述请求特征和攻击载荷分别形成请求特征日志和攻击载荷日志。
本实施例中,所述第二解析模块包括日志解析引擎、模型计算引擎以及攻击策略引擎,其中,
所述日志解析引擎用于解析攻击载荷日志和请求特征日志,将攻击载荷日志解析为初步定性为攻击的载荷特征、暂未定性为攻击的请求特征;
所述模型计算引擎用于对攻击载荷日志和请求特征日志的解析结果进行实时计算,根据模型研发模块设置的攻击模型进行不同的攻击者行为和危险等级匹配;
所述攻击策略引擎用于接收攻击者行为判断模型和危险等级结果,将对应的攻击策略生成相应的流量控制命令,并将流量控制命令下发给流量控制器。
如图2-8所示,本发明还公开了一种基于攻击载荷和攻击行为的动态应用的防护方法,包括如下步骤:
步骤1、所述第一解析模块识别匹配接收到的请求流量的攻击载荷匹配、提取请求中的不带明显攻击载荷的特征,形成攻击载荷日志和请求特征日志;
步骤2、所述第二解析模块接收开发的攻击者行为判断模型、设置的攻击处置策略,对所述攻击载荷日志和请求特征日志进行解析,经过行为模型计算,并求出该请求流量的流量控制命令,并将所述流量控制命令发给流量控制器;
步骤3、所述流量控制器根据接收到的流量控制命令,对该请求流量进行放行或者拒绝的动作。
步骤1的具体实现步骤如下:
步骤1.1、流量接收器接收来自客户端的请求流量(即“用户”访问时),并分别传输给请求解析引擎和攻击载荷识别引擎;
步骤1.2、所述请求解析引擎解析该流量请求的请求特征,并将请求特征传输给攻击日志生成器;
步骤1.3、所述攻击载荷识别引擎识别该流量请求的攻击载荷,并将攻击载荷传输给攻击日志生成器;
步骤1.4、所述攻击日志生成器将所述请求特征和攻击载荷分别形成请求特征日志和攻击载荷日志,并将请求特征日志和攻击载荷日志保存在存储空间。
步骤2的具体实现步骤如下:
步骤2.1、所述日志解析引擎从所述存储空间获取请求特征日志和攻击载荷日志,可提供请求中所有特征的灵活提取能力,并将所述请求特征日志和攻击载荷日志分别解析为暂未定性为攻击的请求特征和初步定性为攻击的载荷特征;
步骤2.2、所述行为模型研发模块对所述请求特征日志和攻击载荷日志进行分析,抽象建立攻击者行为判断模型;通过行为模型研发模块,对日志进行分析,形成丰富的攻击者行为判断模型,通过模型定义、识别请求特征与攻击载荷匹配出现情况,判断攻击者意图,将行为请求抽象建立模型,如来自同一客户端的请求多次带有特定攻击类型的攻击载荷(带有攻击载荷特征,怀疑尝试突破防御)、某一时间段内,来自同一个攻击源IP地址的多次“非规范”的请求特征(未带有攻击载荷特征、但请求特征非“常规”,怀疑扫描探测);
步骤2.3、所述行为模型研发模块开发攻击者行为判断模型,将所述攻击者行为判断模型下发至所述模型计算引擎,并定义不同的行为模型和危险等级,制定相应的攻击策略,并将攻击策略下发至策略引擎,以对相应行为预设防御响应动作;相应行为包括记录观察、单次阻断、引入陷阱、短时间封禁、长时间封禁;这里的长时间和短时间可以根据具体的情况来制定;
步骤2.4、由模型计算引擎对请求特征日志和攻击载荷日志进行实时计算,快速匹配对应的行为模型,同时结合对应的行为模型匹配的攻击策略,由攻击策略引擎生成相应的流量控制命令,并将对应流量控制命令下发给流量控制器。
本发明结合攻击载荷(传统WAF已有,较明显的攻击特征)、请求特征(传统WAF忽略,暂时无法确定是否是攻击)两种信息量,综合判断行为的威胁;设计行为分析机制,分析假定攻击者意图;设计行为模型机制,将请求特征化抽象为行为,对行为定义危险等级,匹配相应防御策略;分级设计防御策略,设置不同的防御动作,对攻击者的意图预判后采取不同量级的防御动作;设计系统模块,按照处理流程对关键功能、能力进行解偶,模块化功能。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于攻击载荷和攻击行为的动态应用防护系统,其特征在于,包括流量接收器、流量控制器、基础配置模块、行为模型研发模块、第一解析模块以及通过所述行为模型研发模块进行参数设置的第二解析模块,其中,
所述流量接收器用于接收来自客户端的请求流量,并将所述请求流量传输给第一解析模块;
所述第一解析模块用于识别匹配接收到的请求流量的攻击载荷、提取请求中不带明显攻击载荷的特征,形成攻击载荷日志和请求特征日志;
所述第二解析模块用于接收攻击者行为判断模型、攻击处置策略,对攻击载荷日志和请求特征日志进行解析,并求出该请求流量所匹配的行为模型,将对应的行为模型所对应的流量控制命令发给流量控制器;
所述第二解析模块包括日志解析引擎、模型计算引擎以及攻击策略引擎,其中,
所述日志解析引擎用于解析攻击载荷日志和请求特征日志,将攻击载荷日志解析为:初步定性为攻击的载荷特征、暂未定性为攻击的请求特征;
所述模型计算引擎用于对攻击载荷日志和请求特征日志的解析结果进行实时计算,根据行为模型研发模块设置的攻击模型进行不同的攻击者行为和危险等级匹配;
所述攻击策略引擎用于接收攻击者行为判断模型和危险等级结果,将对应的攻击策略生成相应的流量控制命令,并将流量控制命令下发给流量控制器;
所述流量控制器根据接收到的流量控制命令,对该请求流量进行放行或者拒绝的动作;
所述基础配置模块用于对第一解析模块进行参数设置;
所述行为模型研发模块用于开发攻击者行为判断模型、设置攻击处置策略。
2.根据权利要求1所述的一种基于攻击载荷和攻击行为的动态应用防护系统,其特征在于,所述第一解析模块包括请求解析引擎、攻击载荷识别引擎和攻击日志生成器,其中,
所述请求解析引擎用于识别并解析出请求流量的请求特征;
所述攻击载荷识别引擎用于识别请求流量的攻击载荷;
所述攻击日志生成器用于将所述请求特征和攻击载荷分别形成请求特征日志和攻击载荷日志。
3.根据权利要求2所述的一种基于攻击载荷和攻击行为的动态应用防护系统,其特征在于,所述请求特征包括请求源、客户端类型、请求头参数、请求体参数、时间、对象。
4.根据权利要求2所述的一种基于攻击载荷和攻击行为的动态应用防护系统,其特征在于,所述攻击载荷包括攻击类型、时间、对象、攻击源。
5.一种基于权利要求1-4任一所述的基于攻击载荷和攻击行为的动态应用防护系统的防护方法,其特征在于,包括如下步骤:
步骤1、所述第一解析模块识别匹配接收到的请求流量的攻击载荷匹配、提取请求中的不带明显攻击载荷的特征,形成攻击载荷日志和请求特征日志;
步骤2、所述第二解析模块接收开发的攻击者行为判断模型、设置的攻击处置策略,对所述攻击载荷日志和请求特征日志进行解析,经过行为模型计算,并求出该请求流量的流量控制命令,并将所述流量控制命令发给流量控制器;
步骤3、所述流量控制器根据接收到的流量控制命令,对该请求流量进行放行或者拒绝的动作。
6.根据权利要求5所述的一种基于攻击载荷和攻击行为的动态应用防护方法,其特征在于,步骤1的具体实现步骤如下:
步骤1.1、所述流量接收器接收来自客户端的流量请求并分别传输给请求解析引擎和攻击载荷识别引擎;
步骤1.2、所述请求解析引擎解析该流量请求的请求特征,并将请求特征传输给攻击日志生成器;
步骤1.3、所述攻击载荷识别引擎识别该流量请求的攻击载荷,并将攻击载荷传输给攻击日志生成器;
步骤1.4、所述攻击日志生成器将所述请求特征和攻击载荷分别形成请求特征日志和攻击载荷日志,并将请求特征日志和攻击载荷日志保存在存储空间。
7.根据权利要求6所述的一种基于攻击载荷和攻击行为的动态应用防护方法,其特征在于,步骤2的具体实现步骤如下:
步骤2.1、所述日志解析引擎从所述存储空间获取请求特征日志和攻击载荷日志,并将所述请求特征日志和攻击载荷日志分别解析为暂未定性为攻击的请求特征和初步定性为攻击的载荷特征;
步骤2.2、所述行为模型研发模块对所述请求特征日志和攻击载荷日志进行分析,抽象建立攻击者行为判断模型;
步骤2.3、所述行为模型研发模块开发攻击者行为判断模型,将所述攻击者行为判断模型下发至所述模型计算引擎,并定义不同的行为模型和危险等级,制定相应的攻击策略,并将攻击策略下发至策略引擎,以对相应行为预设防御响应动作;
步骤2.4、由模型计算引擎对请求特征日志和攻击载荷日志进行实时计算,快速匹配对应的行为模型,同时结合对应的行为模型匹配的攻击策略,由攻击策略引擎生成相应的流量控制命令,并将对应流量控制命令下发给流量控制器。
8.根据权利要求7所述的一种基于攻击载荷和攻击行为的动态应用防护方法,其特征在于,步骤2.2的具体实现步骤如下:通过模型定义、识别请求特征与匹配攻击载荷出现的情况,判断攻击者意图,抽象建立攻击者行为判断模型。
9.根据权利要求7所述的一种基于攻击载荷和攻击行为的动态应用防护方法,其特征在于,步骤2.3中,相应行为包括记录观察、单次阻断、引入陷阱、短时间封禁、长时间封禁。
CN202111203566.0A 2021-10-15 2021-10-15 一种基于攻击载荷和攻击行为的动态应用防护系统及方法 Active CN113923035B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111203566.0A CN113923035B (zh) 2021-10-15 2021-10-15 一种基于攻击载荷和攻击行为的动态应用防护系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111203566.0A CN113923035B (zh) 2021-10-15 2021-10-15 一种基于攻击载荷和攻击行为的动态应用防护系统及方法

Publications (2)

Publication Number Publication Date
CN113923035A CN113923035A (zh) 2022-01-11
CN113923035B true CN113923035B (zh) 2023-11-07

Family

ID=79240870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111203566.0A Active CN113923035B (zh) 2021-10-15 2021-10-15 一种基于攻击载荷和攻击行为的动态应用防护系统及方法

Country Status (1)

Country Link
CN (1) CN113923035B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094790A (zh) * 2022-12-30 2023-05-09 四川新网银行股份有限公司 一种基于web攻击实现办公网侧自动防御的系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107277039A (zh) * 2017-07-18 2017-10-20 河北省科学院应用数学研究所 一种网络攻击数据分析及智能处理方法
CN111262728A (zh) * 2020-01-08 2020-06-09 国网福建省电力有限公司 基于日志端口流量的流量负载监控系统
CN111541705A (zh) * 2020-04-29 2020-08-14 四川大学 一种ttp自动化提取与攻击团队聚类的方法
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及系统
CN112583734A (zh) * 2020-12-03 2021-03-30 中国移动通信集团内蒙古有限公司 一种突发流量控制方法、装置、电子设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107277039A (zh) * 2017-07-18 2017-10-20 河北省科学院应用数学研究所 一种网络攻击数据分析及智能处理方法
CN111262728A (zh) * 2020-01-08 2020-06-09 国网福建省电力有限公司 基于日志端口流量的流量负载监控系统
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及系统
CN111541705A (zh) * 2020-04-29 2020-08-14 四川大学 一种ttp自动化提取与攻击团队聚类的方法
CN112583734A (zh) * 2020-12-03 2021-03-30 中国移动通信集团内蒙古有限公司 一种突发流量控制方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨晓庆."网络安全中用户和实体行为分析技术的研究与应用".《信息科技》.2020,(第7期),全文. *

Also Published As

Publication number Publication date
CN113923035A (zh) 2022-01-11

Similar Documents

Publication Publication Date Title
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
CN106790023B (zh) 网络安全联合防御方法和装置
US20030159069A1 (en) Network-based attack tracing system and method using distributed agent and manager system
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN110650142B (zh) 访问请求处理方法、装置、系统、存储介质和计算机设备
CN109922065B (zh) 恶意网站快速识别方法
CN105721442A (zh) 基于动态变换虚假响应系统、方法及网络安全系统与方法
KR100745044B1 (ko) 피싱 사이트 접속 방지 장치 및 방법
CN112788034B (zh) 对抗网络攻击的处理方法、装置、电子设备和存储介质
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
WO2017071148A1 (zh) 基于云计算平台的智能防御系统
CN113364799B (zh) 一种网络威胁行为的处理方法和系统
CN114826880B (zh) 一种数据安全运行在线监测系统
CN112887274A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN113079150B (zh) 一种电力终端设备入侵检测方法
CN111783092B (zh) 面向安卓应用程序间通信机制的恶意攻击检测方法及系统
CN113923035B (zh) 一种基于攻击载荷和攻击行为的动态应用防护系统及方法
CN113572730A (zh) 一种基于web的主动自动诱捕蜜罐的实现方法
CN112491883A (zh) 一种检测web攻击的方法、装置、电子装置和存储介质
CN115987687B (zh) 网络攻击取证方法、装置、设备及存储介质
CN108092943A (zh) 一种防御apt攻击的方法和系统
CN115118525B (zh) 一种物联网安全防护系统及其防护方法
CN106993005A (zh) 一种网络服务器的预警方法及系统
CN113596060A (zh) 一种网络安全应急响应方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant