CN114172720A - 一种密文攻击流量的检测方法及相关装置 - Google Patents
一种密文攻击流量的检测方法及相关装置 Download PDFInfo
- Publication number
- CN114172720A CN114172720A CN202111470687.1A CN202111470687A CN114172720A CN 114172720 A CN114172720 A CN 114172720A CN 202111470687 A CN202111470687 A CN 202111470687A CN 114172720 A CN114172720 A CN 114172720A
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- traffic
- encrypted
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 51
- 230000006870 function Effects 0.000 claims description 69
- 238000000034 method Methods 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种密文攻击流量的检测方法,包括:识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;调用所述目标解密函数对所述加密流量进行解密;对解密得到的流量进行攻击特征匹配;若攻击特征匹配成功,则所述加密流量为密文攻击流量。该检测方法通过将密文流量解密为明文流量后再进行攻击特征匹配,可以有效确保检测的精确性。本申请还公开了一种密文攻击流量的检测装置、设备以及计算机可读存储介质,均具有上述技术效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种密文攻击流量的检测方法;还涉及一种密文攻击流量的检测装置、设备以及计算机可读存储介质。
背景技术
目前,在现有的网络环境中,时常会发生黑客攻击企业的行为,在攻击流量中有一部分流量为黑客向企业发起的漏洞攻击流量,还有一部分流量为黑客在获取服务器控制权限后向服务器发送控制命令的攻击流量。攻击流量分为明文攻击流量和密文攻击流量。对于明文攻击流量,检测手段在于特征库的积累。对于密文攻击流量,现有检测方案往往是在加密流量层面上进行检测,检测点包括域名、IP、证书、哈希、行为模式等,然而这种方式并没有根本上去检测攻击特征,需要时常更新规则特征,例如,域名、IP被弃用,行为模式变更等,无法保障精确检测。
有鉴于此,如何精确检测密文攻击流量已成为本领域技术人员亟待解决的技术问题。
发明内容
本申请的目的是提供一种密文攻击流量的检测方法,密文流量解密为明文流量后再进行攻击特征匹配,能够精确检测出密文攻击流量。本申请的另一个目的是提供一种密文攻击流量的检测装置、设备以及计算机可读存储介质,均具有上述技术效果。
为解决上述技术问题,本申请提供了一种密文攻击流量的检测方法,包括:
识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;
调用所述目标解密函数对所述加密流量进行解密;
对解密得到的流量进行攻击特征匹配;
若攻击特征匹配成功,则所述加密流量为密文攻击流量。
可选的,所述识别捕获的流量的前置特征包括:
识别捕获的业务加密流量或直接加密流量的前置特征。
可选的,所述对解密得到的流量进行攻击特征匹配包括:
采用正则匹配的方式对解密得到的流量进行攻击特征匹配。
可选的,还包括:
若攻击特征匹配成功,则进行告警。
可选的,还包括:
更新所述解密函数库。
为解决上述技术问题,本申请还提供了一种密文攻击流量的检测装置,包括:
识别模块,用于识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;
解密模块,用于调用所述目标解密函数对所述加密流量进行解密;
匹配模块,用于对解密得到的流量进行攻击特征匹配;
确定模块,用于若攻击特征匹配成功,则所述加密流量为密文攻击流量。
可选的,所述识别模块具有用于识别捕获的业务加密流量或直接加密流量的前置特征。
可选的,还包括:
告警模块,用于若攻击特征匹配成功,则进行告警。
为解决上述技术问题,本申请还提供了一种密文攻击流量的检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述的密文攻击流量的检测方法的步骤。
为解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的密文攻击流量的检测方法的步骤。
本申请所提供的密文攻击流量的检测方法,包括:识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;调用所述目标解密函数对所述加密流量进行解密;对解密得到的流量进行攻击特征匹配;若攻击特征匹配成功,则所述加密流量为密文攻击流量。可见,本申请所提供的密文攻击流量的检测方法,针对密文流量,在捕获密文流量后,首先对密文流量进行解密,然后再对解密得到的流量进行攻击特征匹配,如此将密文流量解密为明文流量后再进行攻击特征匹配,可以有效确保检测的精确性。
本申请所提供的密文攻击流量的检测装置、设备以及计算机可读存储介质均具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种密文攻击流量的检测方法的流程示意图;
图2为本申请实施例所提供的一种攻击检测场景示意图;
图3为本申请实施例所提供的一种木马HTTP请求下载加密代码的示意图;
图4为本申请实施例所提供的一种流量样例的示意图;
图5为本申请实施例所提供的一种直接攻击流量场景示意图;
图6为本申请实施例所提供的一种检测代码示意图;
图7为本申请实施例所提供的一种业务攻击流量场景示意图;
图8为本申请实施例所提供的一种密文攻击流量的检测装置的示意图;
图9为本申请实施例所提供的一种密文攻击流量的检测设备的示意图。
具体实施方式
本申请的核心是提供一种密文攻击流量的检测方法,通过将密文流量解密为明文流量后再进行攻击特征匹配,能够精确检测出密文攻击流量。本申请的另一个核心是提供一种密文攻击流量的检测装置、设备以及计算机可读存储介质,均具有上述技术效果。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种密文攻击流量的检测方法的流程示意图,参考图1所示,该检测方法主要包括:
S101:识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;
具体的,本实施例中,密文攻击流量检测的实质是将加密流量解密为明文流量后,再对明文流量进行攻击特征匹配,以判断加密流量是正常加密流量还是密文攻击流量。为此,在捕获加密流量的基础上,首先识别加密流量的前置特征,并基于加密流量的前置特征确定适用于该加密流量的解密函数。通过分析总结加密流量的特点,可得到不同加密流量的前置特征。加密流量的前置特征与其加密方式具有对应关系。加密流量的前置特征与解密方式即解密函数的对应的关系预先可通过分析加密流量确定。
其中,识别捕获的流量的前置特征可以包括:识别捕获的业务加密流量或直接加密流量的前置特征。
参考图2所示,流量攻击场景包括3类。一类为明文攻击,一类为业务密文攻击,一类为直接密文攻击。对应于后两种攻击方式,密文攻击流量包括两种,一种为直接攻击流量。例如,获取被攻击主机上的敏感文件信息并外发到外网获利。一种为业务加密攻击流量。例如,发送登录请求时对登录密码加密。针对此类业务的攻击,攻击者需要先获悉加密逻辑,然后写加密函数,模拟业务加密。攻击者发送的请求能被业务本身接受,在服务端通过业务自身解密后,才开始攻击。
对于直接攻击流量,攻击者往往会通过工具发起请求。对此,预先可不断的跟进这些工具的通信原理,通过源码阅读、软件逆向等方法获取其加密流量的逻辑,进而编写相应的用于解密流量的解密函数存入解密函数库。
对于业务加密攻击流量,攻击者在熟悉了加密解密流程后,会模拟正常的前端业务加密方式,自定义客户端向服务器发送攻击流量。对此,预先可分析不同场景中不同的前端业务加密流程,明确相应的解密函数,并将解密函数存入解密函数库。
无论是直接加密流量还是业务加密流量,流量检测装置在捕获到加密流量后,首先识别流量的前置特征,当加密流量命中一些前置特征时,根据所命中的前置特征从解密函数库中确定相应的解密函数即确定目标解密函数。
S102:调用所述目标解密函数对所述加密流量进行解密;
S103:对解密得到的流量进行攻击特征匹配;
S104:若攻击特征匹配成功,则所述加密流量为密文攻击流量。
确定目标解密函数后,调用目标解密函数对捕获的加密流量进行解密,将加密流量解密为明文流量。进而对解密得到的流量,也就是对明文流量进行攻击特征匹配。如果匹配成功,说明捕获的加密流量为密文攻击流量。相反,如果匹配不成功,说明捕获的加密流量为正常流量。
其中,所述对解密得到的流量进行攻击特征匹配的方式可以为:采用正则匹配的方式对解密得到的流量进行攻击特征匹配。
进一步,在上述实施例的基础上,作为一种具体的实施方式,还包括:若攻击特征匹配成功,则进行告警,并阻断加密流量。若攻击特征匹配不成功,则放行加密流量。
进一步,在上述实施例的基础上,作为一种具体的实施方式,还包括:更新所述解密函数库。例如,向解密函数库中补充新的解密函数,或者将解密函数库中的某些解密函数删除等。
以下分别以直接攻击流量与业务加密攻击流量为例,阐述检测密文攻击流量的一种实施例:
直接攻击流量检测:参考图3所示的攻击流程,攻击成功后投递的木马需要和攻击者服务器回连通信。这种通信的上线方式是通过向服务器发送http请求下载加密的攻击代码,再到本机运行进程中内存解密后执行。从请求下载的加密内容看,每次回连上线的请求响应内容都不会相同。结合木马后续对于加密代码的解密流程,编写解密函数。
参考图4所示的http请求下载加密代码示意图,与图5所示的流量样例,图4中加深标注的291GET/wPBS HTTP/1.1中的GET字符,以及图5中框内的ff字符均可作为直接加密流量的前置特征。识别到上述前置特征后,采用异或解密的方式得到需要解密的内容大小,然后再往后的位置循环进行异或解密,初步得到一个PE文件格式的内容。与网络流量检测相关的只需要关心第一层,故只需解密第一层即可。第一层解密的特征为PE文件格式的魔数MZ、PE以及加密代码的长度列表。
如图5所示,对第1个四字节和第2个四字节内容进行异或操作得需要解密内容大小:x86平台与x64平台不同。
x86:0x00032E00
x64:0x0003fe00
第1个四字节和第3个四字节内容进行异或得PE文件开头的MZ标志
x86:0x45525a4d-->MZRE
x64:0x52415a4d-->MZAR
检测代码可参考图6所示。
业务加密流量攻击检测:
参考图7,测试站点使用发送数据格式是AES对称加密后base64编码再加上服务端返回的rsa密钥:Base64(AES(json-data))@@RSA-Key。
测试过程中发现可以固定RSA-key后和服务器稳定通信,发送的原始数据为json格式的数据,通过AES128对称加密,IV偏移在js代码中固定,最后Base64编码发出。
对于攻击者来说,在熟悉了加密解密流程后,便可自定义客户端向服务器发送攻击流量。从攻击流量角度来说,有可能与业务流量十分相似的内容实际上为攻击流量(简单的说有越权、SQL注入甚至反序列化命令执行)。
对于上述业务加密流量攻击的检测流程大致为:识别捕获的数据的特征@@,对捕获的数据截取@@之前的数据,对所截取的数据先进行Base64解密再进行AES解密,然后对解密得到数据进行攻击特征匹配。
综上所述,本申请所提供的密文攻击流量的检测方法,包括:识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;调用所述目标解密函数对所述加密流量进行解密;对解密得到的流量进行攻击特征匹配;若攻击特征匹配成功,则所述加密流量为密文攻击流量。可见,本申请所提供的密文攻击流量的检测方法,针对密文流量,在捕获密文流量后,首先对密文流量进行解密,然后再对解密得到的流量进行攻击特征匹配,如此将密文流量解密为明文流量后再进行攻击特征匹配,可以有效确保检测的精确性。
本申请还提供了一种密文攻击流量的检测装置,下文描述的该装置可以与上文描述的方法相互对应参照。请参考图8,图8为本申请实施例所提供的一种密文攻击流量的检测装置的示意图,结合图8所示,该装置包括:
识别模块10,用于识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;
解密模块20,用于调用所述目标解密函数对所述加密流量进行解密;
匹配模块30,用于对解密得到的流量进行攻击特征匹配;
确定模块40,用于若攻击特征匹配成功,则所述加密流量为密文攻击流量。
具体而言,密文攻击流量检测的实质是将加密流量解密为明文流量后,再对明文流量进行攻击特征匹配,以判断加密流量是正常加密流量还是密文攻击流量。为此,在捕获加密流量的基础上,首先由识别模块10识别加密流量的前置特征,并基于加密流量的前置特征确定适用于该加密流量的解密函数。通过分析总结加密流量的特点,可得到不同加密流量的前置特征。加密流量的前置特征与其加密方式具有对应关系。加密流量的前置特征与解密方式即解密函数的对应的关系预先可通过分析加密流量确定。
确定目标解密函数后,解密模块20调用目标解密函数对捕获的加密流量进行解密,将加密流量解密为明文流量。进而匹配模块30对解密得到的流量,也就是对明文流量进行攻击特征匹配。如果匹配成功,说明捕获的加密流量为密文攻击流量。相反,如果匹配不成功,说明捕获的加密流量为正常流量。
在上述实施例的基础上,作为一种具体的实施方式,所述识别模块具有用于识别捕获的业务加密流量或直接加密流量的前置特征。
具体而言,密文攻击流量包括两种,一种为直接攻击流量。例如,获取被攻击主机上的敏感文件信息并外发到外网获利。一种为业务加密攻击流量。例如,发送登录请求时对登录密码加密。针对此类业务的攻击,攻击者需要先获悉加密逻辑,然后写加密函数,模拟业务加密。攻击者发送的请求能被业务本身接受,在服务端通过业务自身解密后,才开始攻击。
对于直接攻击流量,攻击者往往会通过工具发起请求。对此,预先可不断的跟进这些工具的通信原理,通过源码阅读、软件逆向等方法获取其加密流量的逻辑,进而编写相应的用于解密流量的解密函数存入解密函数库。
对于业务加密攻击流量,攻击者在熟悉了加密解密流程后,会模拟正常的前端业务加密方式,自定义客户端向服务器发送攻击流量。对此,预先可分析不同场景中不同的前端业务加密流程,明确相应的解密函数,并将解密函数存入解密函数库。
无论是直接加密流量还是业务加密流量,流量检测装置在捕获到加密流量后,首先识别流量的前置特征,当加密流量命中一些前置特征时,根据所命中的前置特征从解密函数库中确定相应的解密函数即确定目标解密函数。
在上述实施例的基础上,作为一种具体的实施方式,所述匹配模块具体用于采用正则匹配的方式对解密得到的流量进行攻击特征匹配。
在上述实施例的基础上,作为一种具体的实施方式,还包括:
告警模块,用于若攻击特征匹配成功,则进行告警。
具体而言,若攻击特征匹配成功,则进行告警,并阻断加密流量。若攻击特征匹配不成功,则放行加密流量。
在上述实施例的基础上,作为一种具体的实施方式,还包括:
更新模块,用于更新所述解密函数库。例如,向解密函数库中补充新的解密函数,或者将解密函数库中的某些解密函数删除等。
本申请所提供的密文攻击流量的检测方法,针对密文流量,在捕获密文流量后,首先对密文流量进行解密,然后再对解密得到的流量进行攻击特征匹配,如此将密文流量解密为明文流量后再进行攻击特征匹配,可以有效确保检测的精确性。
本申请还提供了一种密文攻击流量的检测设备,参考图9所示,该设备包括存储器1和处理器2。
存储器1,用于存储计算机程序;
处理器2,用于执行计算机程序实现如下的步骤:
识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;调用所述目标解密函数对所述加密流量进行解密;对解密得到的流量进行攻击特征匹配;若攻击特征匹配成功,则所述加密流量为密文攻击流量。
对于本申请所提供的设备的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下的步骤:
识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;调用所述目标解密函数对所述加密流量进行解密;对解密得到的流量进行攻击特征匹配;若攻击特征匹配成功,则所述加密流量为密文攻击流量。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请所提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备以及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的密文攻击流量的检测方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围。
Claims (10)
1.一种密文攻击流量的检测方法,其特征在于,包括:
识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;
调用所述目标解密函数对所述加密流量进行解密;
对解密得到的流量进行攻击特征匹配;
若攻击特征匹配成功,则所述加密流量为密文攻击流量。
2.根据权利要求1所述的检测方法,其特征在于,所述识别捕获的流量的前置特征包括:
识别捕获的业务加密流量或直接加密流量的前置特征。
3.根据权利要求1所述的检测方法,其特征在于,所述对解密得到的流量进行攻击特征匹配包括:
采用正则匹配的方式对解密得到的流量进行攻击特征匹配。
4.根据权利要求1所述的检测方法,其特征在于,还包括:
若攻击特征匹配成功,则进行告警。
5.根据权利要求1所述的检测方法,其特征在于,还包括:
更新所述解密函数库。
6.一种密文攻击流量的检测装置,其特征在于,包括:
识别模块,用于识别捕获的加密流量的前置特征,并根据所述前置特征从解密函数库中确定目标解密函数;
解密模块,用于调用所述目标解密函数对所述加密流量进行解密;
匹配模块,用于对解密得到的流量进行攻击特征匹配;
确定模块,用于若攻击特征匹配成功,则所述加密流量为密文攻击流量。
7.根据权利要求6所述的检测装置,其特征在于,所述识别模块具有用于识别捕获的业务加密流量或直接加密流量的前置特征。
8.根据权利要求7所述的检测装置,其特征在于,还包括:
告警模块,用于若攻击特征匹配成功,则进行告警。
9.一种密文攻击流量的检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述的密文攻击流量的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的密文攻击流量的检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111470687.1A CN114172720A (zh) | 2021-12-03 | 2021-12-03 | 一种密文攻击流量的检测方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111470687.1A CN114172720A (zh) | 2021-12-03 | 2021-12-03 | 一种密文攻击流量的检测方法及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114172720A true CN114172720A (zh) | 2022-03-11 |
Family
ID=80483465
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111470687.1A Withdrawn CN114172720A (zh) | 2021-12-03 | 2021-12-03 | 一种密文攻击流量的检测方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172720A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115051861A (zh) * | 2022-06-17 | 2022-09-13 | 北京天融信网络安全技术有限公司 | 一种域名检测的方法、装置、系统及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
CN112073418A (zh) * | 2020-09-10 | 2020-12-11 | 北京微步在线科技有限公司 | 加密流量的检测方法、装置及计算机可读存储介质 |
CN112910920A (zh) * | 2021-03-01 | 2021-06-04 | 深信服科技股份有限公司 | 恶意通信检测方法、系统、存储介质和电子设备 |
CN113542253A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种网络流量检测方法、装置、设备及介质 |
CN113612800A (zh) * | 2021-09-08 | 2021-11-05 | 中国工商银行股份有限公司 | 网络攻击处理方法、装置、系统、设备、介质和程序产品 |
-
2021
- 2021-12-03 CN CN202111470687.1A patent/CN114172720A/zh not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
CN112073418A (zh) * | 2020-09-10 | 2020-12-11 | 北京微步在线科技有限公司 | 加密流量的检测方法、装置及计算机可读存储介质 |
CN112910920A (zh) * | 2021-03-01 | 2021-06-04 | 深信服科技股份有限公司 | 恶意通信检测方法、系统、存储介质和电子设备 |
CN113542253A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种网络流量检测方法、装置、设备及介质 |
CN113612800A (zh) * | 2021-09-08 | 2021-11-05 | 中国工商银行股份有限公司 | 网络攻击处理方法、装置、系统、设备、介质和程序产品 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115051861A (zh) * | 2022-06-17 | 2022-09-13 | 北京天融信网络安全技术有限公司 | 一种域名检测的方法、装置、系统及介质 |
CN115051861B (zh) * | 2022-06-17 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种域名检测的方法、装置、系统及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108322461B (zh) | 应用程序自动登录的方法、系统、装置、设备和介质 | |
US11494754B2 (en) | Methods for locating an antenna within an electronic device | |
EP2425367B1 (en) | Method and apparatus for improving code and data signing | |
CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
CN106790083A (zh) | Dns劫持的检测方法、装置和移动终端 | |
CN114244522A (zh) | 信息保护方法、装置、电子设备及计算机可读存储介质 | |
CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
CN114172720A (zh) | 一种密文攻击流量的检测方法及相关装置 | |
CN110602051B (zh) | 基于共识协议的信息处理方法及相关装置 | |
CN111611620A (zh) | 一种访问平台的访问请求处理方法及相关装置 | |
KR101630462B1 (ko) | 키보드 보안 장치 및 방법 | |
CN115225350B (zh) | 基于国密证书的政务云加密登录验证方法及存储介质 | |
CN115828228A (zh) | 一种验证内存马检测能力的方法、装置及电子设备 | |
CN114257404B (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
CN110995717B (zh) | 报文处理方法、装置、电子设备及漏洞扫描系统 | |
CN114817956A (zh) | 一种usb通信对象验证方法、系统、装置及存储介质 | |
CN107086918A (zh) | 一种客户端验证方法和服务器 | |
KR101286767B1 (ko) | 동적 해싱을 이용한 애플리케이션 프로그램 검증 방법 | |
KR101906484B1 (ko) | 어플리케이션 보안 방법 및 이를 수행하기 위한 시스템 | |
CN112579998A (zh) | 信息交互平台中的网页访问方法、管理系统和电子设备 | |
CN113761489B (zh) | 验证方法、装置及设备、存储介质 | |
CN112597449B (zh) | 软件加密方法、装置、设备及存储介质 | |
CN105224374A (zh) | 一种目标执行文件的保护方法、装置及系统 | |
KR101516313B1 (ko) | 소프트웨어 변조 탐지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220311 |