CN115622744A - 一种加密流量下的web漏洞扫描攻击检测系统 - Google Patents
一种加密流量下的web漏洞扫描攻击检测系统 Download PDFInfo
- Publication number
- CN115622744A CN115622744A CN202211149165.6A CN202211149165A CN115622744A CN 115622744 A CN115622744 A CN 115622744A CN 202211149165 A CN202211149165 A CN 202211149165A CN 115622744 A CN115622744 A CN 115622744A
- Authority
- CN
- China
- Prior art keywords
- tls
- block
- features
- flow
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 15
- 230000006399 behavior Effects 0.000 claims abstract description 43
- 238000013136 deep learning model Methods 0.000 claims abstract description 20
- 238000007781 pre-processing Methods 0.000 claims abstract description 14
- 238000000605 extraction Methods 0.000 claims abstract description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 23
- 238000013527 convolutional neural network Methods 0.000 claims description 22
- 230000006870 function Effects 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 7
- 230000006835 compression Effects 0.000 claims description 7
- 238000007906 compression Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 6
- 238000011176 pooling Methods 0.000 claims description 6
- 230000004927 fusion Effects 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 239000013598 vector Substances 0.000 claims description 4
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 claims description 3
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 claims description 3
- 239000012634 fragment Substances 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 16
- 230000004044 response Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000007500 overflow downdraw method Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密流量下的web漏洞扫描攻击检测系统,包括流量预处理模块、主机级流量行为数据表示模块、TLS握手特征提取模块和深度学习模型模块;通过从主机级流量中提取行为特征和依赖于扫描器应用本身实现的TLS握手特征进行融合,实现在加密流量下对web漏洞扫描器的高精度检测。实验结果表明,本发明在扫描不同网站的数据下可以达到94%以上的精度。
Description
技术领域
本发明属于网络安全技术领域,特别是web漏洞扫描检测的领域,具体涉及一种加密流量下的web漏洞扫描攻击检测系统。
背景技术
现代网络攻击是通过先进的自动工具完成的,其中在渗透前期使用的是漏洞扫描工具。漏洞扫描工具是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。Web漏洞扫描工具是通过扫描目标站点可能存在的web漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的入口。
检测web漏洞扫描行为可以提前感知并阻断后续可能发生的攻击。但是,由于HTTPS的普及,使得web漏洞扫描隐藏在加密流量中,传统的基于规则的深度包检查(DPI)无法检测加密流量中可能包含的攻击。因此,在加密流量下检测web漏洞扫描工具对现代网络防护具有十分重要的意义。
现有的加密流量分类方法主要分为三类,基于包级流量特征的分类方法、基于流级流量特征的分类方法、基于主机级流量特征的分类方法。基于包级流量特征的分类方法通常使用TLS Client Hello包和TLS Server Hello包中的明文信息作为特征进行分类;基于流级流量特征的分类方法关注TCP或UDP流的特征,例如流的统计信息(包括请求包的数量、响应包的数量、包间的时间间隔平均值等)或一条流中每个包的大小和方向组成的序列等。其中一条流通常是由源ip、目的ip、源端口、目的端口和应用协议组成的五元组进行划分。但是由于web漏洞扫描器的流量具有短时多发的特点,单条流中可能只包含2到4个有效载荷包,包含的信息熵低,无法通过单条流的特征进行准确检测;基于主机级流量特征的分类方法关注两个主机ip间通信的流量,可以捕获主机间的行为特征。但是web漏洞扫描器扫描不同网站时具有动态性,仅依靠流量的行为特征不能将web漏洞扫描器的流量准确分类。
发明内容
本发明的目的在于提供一种加密流量下的web漏洞扫描攻击检测系统,旨在解决现有加密流量分类方法检测web漏洞扫描器流量精度低的问题,针对web漏洞扫描流量单流信息熵低和流量动态性的特点,通过从主机级流量中提取行为特征和依赖于扫描器应用本身实现的TLS握手特征进行融合,实现在加密流量下对web漏洞扫描器的高精度检测。
为实现上述目的,本发明提供的技术方案如下:
一种加密流量下的web漏洞扫描攻击检测系统,包括流量预处理模块、主机级流量行为数据表示模块、TLS握手特征提取模块和深度学习模型模块;
所述流量预处理模块用于以pcap或pcapng格式捕获原始流量,从原始流量中提取两个主机ip之间的N个会话作为一个数据块,若在时间M秒内流的数量未达到N则停止并将已收集到n个会话作为一个数据块,其中,n<N;每个会话按照源ip、目的ip、源端口、目的端口和应用协议组成的五元组进行划分;
所述主机级流量行为数据表示模块用于将流量预处理后得到的数据块转换为方便输入深度学习模型的数据表示,其中,使用网络数据包的传输方向和负载大小作为元数据表示,将流量预处理后得到的数据块表示为一个长度固定的长序列,以便输入深度学习模型;
所述TLS握手特征提取模块用于选取TLS Client Hello数据包中TLS扩展长度、密码套件、圆锥曲线加密算法和圆锥曲线压缩方式作为TLS握手特征;所述TLS扩展是TLS协议用于声明对某些新功能的支持,或者携带在握手进行中需要的额外数据;所述密码套件是重要TLS扩展之一,决定了后续通信具体使用的密钥交换算法、数据加密算法和消息验证算法,且将24个推荐加密套件做多热编码特征,将支持使用的密码套件编码为1,不支持的编码为0,并将使用不推荐加密套件的数量作为额外特征,共提取为25维特征;对于圆锥曲线加密算法,采用与密码套件相同的处理方式提取为5维特征;圆锥曲线压缩方式有3个,使用多热编码为3维特征;
所述深度学习模型模块用于使用模型融合技术中后融合的方式将主机级流量行为特征和TLS握手特征进行融合,具体地,深度学习模型包括CNN Block、TLS FC Block和FCBlock三个部分,使用CNN Block自动提取主机级流量行为数据表示的高维特征,使用TLSFC Block将手工提取的TLS握手特征转换为高维特征以便与主机级流量行为特征融合,然后将得到的两部分特征进行拼接,输入到FC Block中进行最终的分类。
其中,所述主机级流量行为数据表示包括五个步骤:
(1)提取负载大小,对于负载大小的提取,不同协议采用不同策略;
(2)重组IP分片的数据包;
(3)将所有负向包的负载大小归一化为负载大小的平均值;
(4)将一个数据块中的N条流提取的N个序列的长度对齐为L,对于长度大于L的序列进行截断,仅保留前L个包;长度小于L的序列以0进行填充;
(5)将N个序列组合成一个长度为N×L+N的序列,以标志位flag将每条流的序列进行分割。
其中,所述CNN Block采用类似vgg的深度卷积神经网络结构,包含5个相似的卷积神经网络块,由于主机级流量行为数据表示为一个一维的向量,因此需要将二维卷积和池化改为一维的;每个块中使用两个卷积层和一个池化层;激活函数选择ReLU;在每个卷积层后使用BatchNormalization层避免梯度消失,防止过拟合,同时加快模型收敛,最后使用Dropout层进一步降低过拟合的风险。
其中,所述TLS FC Block使用三个全连接层将原始TLS握手特征提取为高维特征,以便于更好的与CNN Block中提取的主机级流量行为特征相融合;激活函数选择ReLU;在每个全连接层后使用BatchNormalization层和Dropout层。
其中,所述FC Block将CNN Block和TLS FC Block提取到的TLS握手特征和主机级流量行为特征拼接,然后使用三个全连接层组成的全连接神经网络进行最终分类。
其中,所述深度学习模型使用交叉熵作为损失函数,Adam算法作为优化算法,学习率设置为0.001,batchsize大小设置为128,训练轮数为20轮。
与现有技术相比,本发明的有益效果是:
本发明证明通过融合TLS特征和主机流量行为特征可以显著提高web漏洞扫描流量检测精度。本发明设计了一种主机级流量行为特征表示方法和一种新的深度学习模型结构来融合TLS特征和主机行为特征两个不同维度的特征。利用收集的数据进行了详细评估,实验结果表明,本发明在扫描不同网站的数据下可以达到94%以上的精度。
附图说明
图1为本发明实施例提供的系统架构示意图;
图2为本发明实施例中主机级流量行为数据表示过程示意图;
图3为本发明实施例中使用的深度学习模型结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决加密流量分类问题,现有研究提出了针对恶意软件通信、Tor网络网站指纹和VPN流量识别等领域的流量分类算法并取得了很好的效果。但是由于web漏洞扫描流量具有以下特点:1.扫描流量包含大量的短时通信流,每条短时通信流中只包含2到4个包,信息熵低,无法提供足够特征用于高精度检测;2.扫描器扫描不同网站时行为不同,具有动态性,不同网站对相同的扫描请求的响应不同,而扫描器根据不同的响应做出的扫描行为也会有变化。导致现有加密流量分类方法检测web漏洞扫描流量精度低。因此本发明针对web漏洞扫描流量的特点,提出一种基于TLS握手特征和主机流量行为特征融合的方法,实现web漏洞扫描流量的高精度检测。具体来说,使用基于卷积神经网络的深度学习模型提取主机级流量数据表示的特征,使用手工提取TLS握手特征,通过模型融合的方法,融合主机级流量行为特征和手工提取的TLS握手特征进行分类。
如图1所示,本实施例提供的加密流量下的web漏洞扫描攻击检测系统包括四个模块:流量预处理模块、主机级流量行为数据表示模块、TLS握手特征提取模块和深度学习模型模块。
流量预处理模块:原始流量通常以pcap或pcapng格式捕获,将两个主机ip之间的流量划分为多个数据块,从原始流量中提取两个主机ip之间的N个会话作为一个数据块,若在时间M秒内流的数量未达到N则停止并将已收集到n个会话作为一个数据块,n<N。其中每个会话按照源ip、目的ip、源端口、目的端口和应用协议组成的五元组进行划分。
主机级流量行为数据表示模块:将流量预处理后得到的数据块转换为方便输入深度学习模型的数据表示。由于绝大部分传输内容被https协议动态加密,因此本发明选择会话中每个数据包的方向和负载大小作为元数据用于数据表示,规定请求包的方向为正,响应包的方向为负。同时不同网站的实现不同,导致对于相同的扫描请求,不同网站往往会产生不同大小的响应包,为了降低web漏洞扫描工具对不同网站动态性的影响,将所有负向包的大小归一化。最后将多个会话的数据表示序列组合成为一个长度固定的长序列便于输入深度学习模型。
其中,主机级流量行为数据表示主要包括五个步骤:
1.提取负载大小。对于负载大小的提取,不同协议采用不同策略。例如针对TCP协议移除了三次握和四次挥手包;针对SSL或TLS协议移除了TLS握手阶段的包,仅使用ApplicationData包的负载大小。
2.重组IP分片的数据包。由于MTU的限制,负载内容可能分散在多个IP分片中,重组这些分片可以还原初始的通信负载序列。
3.将所有负向包的负载大小归一化为负载大小的平均值。由于不同网站的实现不同,对于相同的扫描请求,往往会产生不同的响应包,采用归一化负向包的操作可以降低不同网站的影响。
4.将一个数据块中的N条流提取的N个序列的长度对齐为L,对于长度大于L的序列进行截断,仅保留前L个包;长度小于L的序列以0进行填充。
5.将N个序列组合成一个长度为N×L+N的序列,以标志位flag将每条流的序列进行分割。
TLS握手特征提取模块,将Client Hello包中的TLS扩展长度、密码套件、圆锥曲线加密算法和圆锥曲线压缩方式等字段提取为一个一维向量。https通信时,为了建立TLS会话,客户端将在TCP 3次握手之后发送一个TLS Client Hello数据包。此数据包及其生成方式取决于构建客户端应用程序时使用的包和方法。服务器如果接受TLS连接,将响应一个TLS Server Hello数据包,该数据包基于服务器端的库和配置以及Client Hello中的详细信息制定。由于TLS协商是以明文形式传输的,因此可以使用TLS Client Hello数据包中的详细信息对客户端应用程序进行指纹识别。
1.扩展长度:扩展主要是TLS协议用于声明对某些新功能的支持,或者携带在握手进行中需要的额外数据。TLS扩展机制使得协议在不改变本身基本行为的基础上增加了额外的功能。为了满足不同的需求,正常应用在TLS的实现上往往比web漏扫工具更复杂。
2.密码套件:密码套件是重要TLS扩展之一,决定了后续通信具体使用的密钥交换算法、数据加密算法和消息验证算法。目前在TLS-IANA中推荐使用的加密套件有24个,而其他加密套件是已被证实为不安全的。本发明将24个推荐加密套件做多热编码特征,将支持使用的密码套件编码为1不支持的编码为0,并将使用不推荐加密套件的数量作为额外特征,共提取为25维特征。
3.圆锥曲线加密算法:目前TLS-IANA中推荐使用的圆锥曲线加密算法有4个。对于圆锥曲线加密算法,采用与密码套件相同的处理方式提取为5维特征。
4.圆锥曲线压缩方式:圆锥曲线压缩方式有3个,使用多热编码为3维特征。
深度学习模型模块,使用模型融合技术中后融合的方式将主机级流量行为特征和TLS握手特征进行融合,显著提高了检测精度。具体来说,本发明设计了CNN Block、TLS FCBlock和FC Block三个部分,使用CNN Block自动提取主机级流量行为数据表示的高维特征,使用TLS FC Block将手工提取的TLS握手特征转换为高维特征以便与主机级流量行为特征融合,然后将得到的两部分特征进行拼接,输入到FC Block中进行最终的分类。
1.CNN Block:采用类似vgg的深度卷积神经网络结构,包含5个相似的卷积神经网络块,特别的,由于主机级流量行为数据表示为一个一维的向量,因此需要将二维卷积和池化改为一维的。每个块中使用两个卷积层和一个池化层。激活函数选择ReLU。在每个卷积层后使用BatchNormalization层避免梯度消失,防止过拟合,同时加快模型收敛。最后使用Dropout层进一步降低过拟合的风险。
2.TLS FC Block:使用三个全连接层将原始TLS握手特征提取为高维特征,以便于更好的与CNN Block中提取的主机级流量行为特征相融合。激活函数选择ReLU。在每个全连接层后使用BatchNormalization层和Dropout层。
3.FC Block:将CNN Block和TLS FC Block提取到的TLS握手特征和主机级流量行为特征拼接,然后使用三个全连接层组成的全连接神经网络进行最终分类。
最后对模型的训练参数进行说明。本发明使用交叉熵作为损失函数,Adam算法作为优化算法,学习率设置为0.001,batchsize大小设置为128,训练轮数为20轮。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种加密流量下的web漏洞扫描攻击检测系统,其特征在于,包括流量预处理模块、主机级流量行为数据表示模块、TLS握手特征提取模块和深度学习模型模块;
所述流量预处理模块用于以pcap或pcapng格式捕获原始流量,从原始流量中提取两个主机ip之间的N个会话作为一个数据块,若在时间M秒内流的数量未达到N则停止并将已收集到n个会话作为一个数据块,其中,n<N;每个会话按照源ip、目的ip、源端口、目的端口和应用协议组成的五元组进行划分;
所述主机级流量行为数据表示模块用于将流量预处理后得到的数据块转换为方便输入深度学习模型的数据表示,其中,使用网络数据包的传输方向和负载大小作为元数据表示,将流量预处理后得到的数据块表示为一个长度固定的长序列,以便输入深度学习模型;
所述TLS握手特征提取模块用于选取TLS Client Hello数据包中TLS扩展长度、密码套件、圆锥曲线加密算法和圆锥曲线压缩方式作为TLS握手特征;所述TLS扩展是TLS协议用于声明对某些新功能的支持,或者携带在握手进行中需要的额外数据;所述密码套件是重要TLS扩展之一,决定了后续通信具体使用的密钥交换算法、数据加密算法和消息验证算法,且将24个推荐加密套件做多热编码特征,将支持使用的密码套件编码为1,不支持的编码为0,并将使用不推荐加密套件的数量作为额外特征,共提取为25维特征;对于圆锥曲线加密算法,采用与密码套件相同的处理方式提取为5维特征;圆锥曲线压缩方式有3个,使用多热编码为3维特征;
所述深度学习模型模块用于使用模型融合技术中后融合的方式将主机级流量行为特征和TLS握手特征进行融合,具体地,深度学习模型包括CNN Block、TLS FC Block和FCBlock三个部分,使用CNN Block自动提取主机级流量行为数据表示的高维特征,使用TLSFC Block将手工提取的TLS握手特征转换为高维特征以便与主机级流量行为特征融合,然后将得到的两部分特征进行拼接,输入到FC Block中进行最终的分类。
2.根据权利要求1所述的一种加密流量下的web漏洞扫描攻击检测系统,其特征在于,所述主机级流量行为数据表示包括五个步骤:
(1)提取负载大小,对于负载大小的提取,不同协议采用不同策略;
(2)重组IP分片的数据包;
(3)将所有负向包的负载大小归一化为负载大小的平均值;
(4)将一个数据块中的N条流提取的N个序列的长度对齐为L,对于长度大于L的序列进行截断,仅保留前L个包;长度小于L的序列以0进行填充;
(5)将N个序列组合成一个长度为N×L+N的序列,以标志位flag将每条流的序列进行分割。
3.根据权利要求1所述的一种加密流量下的web漏洞扫描攻击检测系统,其特征在于,所述CNN Block采用类似vgg的深度卷积神经网络结构,包含5个相似的卷积神经网络块,由于主机级流量行为数据表示为一个一维的向量,因此需要将二维卷积和池化改为一维的;每个块中使用两个卷积层和一个池化层;激活函数选择ReLU;在每个卷积层后使用BatchNormalization层避免梯度消失,防止过拟合,同时加快模型收敛,最后使用Dropout层进一步降低过拟合的风险。
4.根据权利要求1所述的一种加密流量下的web漏洞扫描攻击检测系统,其特征在于,所述TLS FC Block使用三个全连接层将原始TLS握手特征提取为高维特征,以便于更好的与CNN Block中提取的主机级流量行为特征相融合;激活函数选择ReLU;在每个全连接层后使用BatchNormalization层和Dropout层。
5.根据权利要求1所述的一种加密流量下的web漏洞扫描攻击检测系统,其特征在于,所述FC Block将CNN Block和TLS FC Block提取到的TLS握手特征和主机级流量行为特征拼接,然后使用三个全连接层组成的全连接神经网络进行最终分类。
6.根据权利要求1所述的一种加密流量下的web漏洞扫描攻击检测系统,其特征在于,所述深度学习模型使用交叉熵作为损失函数,Adam算法作为优化算法,学习率设置为0.001,batchsize大小设置为128,训练轮数为20轮。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211149165.6A CN115622744B (zh) | 2022-09-21 | 2022-09-21 | 一种加密流量下的web漏洞扫描攻击检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211149165.6A CN115622744B (zh) | 2022-09-21 | 2022-09-21 | 一种加密流量下的web漏洞扫描攻击检测系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115622744A true CN115622744A (zh) | 2023-01-17 |
| CN115622744B CN115622744B (zh) | 2024-04-09 |
Family
ID=84859241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211149165.6A Active CN115622744B (zh) | 2022-09-21 | 2022-09-21 | 一种加密流量下的web漏洞扫描攻击检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115622744B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117150506A (zh) * | 2023-09-04 | 2023-12-01 | 广东运通奇安科技有限公司 | 一种漏洞全生命周期管理运营系统及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789869A (zh) * | 2016-11-09 | 2017-05-31 | 深圳市魔方安全科技有限公司 | 基于Basic认证的流量代理漏洞检测方法及系统 |
| CN107741959A (zh) * | 2017-09-21 | 2018-02-27 | 北京知道未来信息技术有限公司 | 一种基于机器学习的伪静态url识别方法及系统 |
| CN108206830A (zh) * | 2017-12-30 | 2018-06-26 | 平安科技(深圳)有限公司 | 漏洞扫描方法、装置、计算机设备和存储介质 |
| US20180349602A1 (en) * | 2017-06-06 | 2018-12-06 | Sap Se | Security testing framework including virtualized server-side platform |
| CN109165511A (zh) * | 2018-08-08 | 2019-01-08 | 深圳前海微众银行股份有限公司 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
| US20200153863A1 (en) * | 2018-11-14 | 2020-05-14 | Servicenow, Inc. | Distributed detection of security threats in a remote network management platform |
| CN111447224A (zh) * | 2020-03-26 | 2020-07-24 | 江苏亨通工控安全研究院有限公司 | web漏洞扫描方法及漏洞扫描器 |
-
2022
- 2022-09-21 CN CN202211149165.6A patent/CN115622744B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789869A (zh) * | 2016-11-09 | 2017-05-31 | 深圳市魔方安全科技有限公司 | 基于Basic认证的流量代理漏洞检测方法及系统 |
| US20180349602A1 (en) * | 2017-06-06 | 2018-12-06 | Sap Se | Security testing framework including virtualized server-side platform |
| CN107741959A (zh) * | 2017-09-21 | 2018-02-27 | 北京知道未来信息技术有限公司 | 一种基于机器学习的伪静态url识别方法及系统 |
| CN108206830A (zh) * | 2017-12-30 | 2018-06-26 | 平安科技(深圳)有限公司 | 漏洞扫描方法、装置、计算机设备和存储介质 |
| CN109165511A (zh) * | 2018-08-08 | 2019-01-08 | 深圳前海微众银行股份有限公司 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
| US20200153863A1 (en) * | 2018-11-14 | 2020-05-14 | Servicenow, Inc. | Distributed detection of security threats in a remote network management platform |
| CN111447224A (zh) * | 2020-03-26 | 2020-07-24 | 江苏亨通工控安全研究院有限公司 | web漏洞扫描方法及漏洞扫描器 |
Non-Patent Citations (3)
| Title |
|---|
| BIN WANG; LU LIU等: "Research on Web Application Security Vulnerability Scanning Technology", 《2019 IEEE 4TH ADVANCED INFORMATION TECHNOLOGY, ELECTRONIC AND AUTOMATION CONTROL CONFERENCE (IAEAC)》, 22 December 2019 (2019-12-22) * |
| 倪评福;吴作顺;: "Web应用扫描器评估标准的研究", 计算机技术与发展, no. 03, 10 March 2013 (2013-03-10) * |
| 刘小凯;方勇;黄诚;刘亮: "基于有限状态机的Web漏洞扫描器识别研究", 《信息安全研究》, vol. 03, no. 02, 5 February 2017 (2017-02-05) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117150506A (zh) * | 2023-09-04 | 2023-12-01 | 广东运通奇安科技有限公司 | 一种漏洞全生命周期管理运营系统及方法 |
| CN117150506B (zh) * | 2023-09-04 | 2024-06-04 | 广东运通奇安科技有限公司 | 一种漏洞全生命周期管理运营系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115622744B (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738039B (zh) | 一种基于流量行为的恶意加密流量检测方法、系统及设备 | |
| US11425047B2 (en) | Traffic analysis method, common service traffic attribution method, and corresponding computer system | |
| US20210258791A1 (en) | Method for http-based access point fingerprint and classification using machine learning | |
| CN111147394B (zh) | 一种远程桌面协议流量行为的多级分类检测方法 | |
| CN114866486B (zh) | 一种基于数据包的加密流量分类系统 | |
| CN112532642B (zh) | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 | |
| CN111611280A (zh) | 一种基于cnn和sae的加密流量识别方法 | |
| CN115622744B (zh) | 一种加密流量下的web漏洞扫描攻击检测系统 | |
| WO2024065956A1 (zh) | 一种基于数据多维熵值指纹的网络异常行为检测方法 | |
| CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
| CN114401097A (zh) | 一种基于ssl证书指纹的https业务流量识别的方法 | |
| Zhou et al. | Malicious encrypted traffic features extraction model based on unsupervised feature adaptive learning | |
| CN117056797A (zh) | 基于非平衡数据的加密流量分类方法、设备及介质 | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
| Guo et al. | MGEL: a robust malware encrypted traffic detection method based on ensemble learning with multi-grained features | |
| CN113949653B (zh) | 一种基于深度学习的加密协议识别方法及系统 | |
| CN113382003B (zh) | 一种基于两级过滤器的rtsp混合入侵检测方法 | |
| Hejun et al. | Online and automatic identification and mining of encryption network behavior in big data environment | |
| CN114338070A (zh) | 基于协议属性的Shadowsocks(R)识别方法 | |
| CN113709135B (zh) | Ssl流量审计采集系统与方法 | |
| Li et al. | TCMal: A Hybrid Deep Learning Model for Encrypted Malicious Traffic Classification | |
| Yao et al. | Research on Detection and Identification Technology of Intelligent Devices in Cyberspace: A Survey | |
| CN115834097B (zh) | 基于多视角的https恶意软件流量检测系统及方法 | |
| Tian et al. | A combined-CNN model of TLS Traffic Recognition and Classification | |
| Zheng et al. | Identification of malicious encrypted traffic through feature fusion |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |