CN116032564A - 攻击端的资产探测方法及装置 - Google Patents
攻击端的资产探测方法及装置 Download PDFInfo
- Publication number
- CN116032564A CN116032564A CN202211610755.4A CN202211610755A CN116032564A CN 116032564 A CN116032564 A CN 116032564A CN 202211610755 A CN202211610755 A CN 202211610755A CN 116032564 A CN116032564 A CN 116032564A
- Authority
- CN
- China
- Prior art keywords
- address
- asset
- attack end
- rule
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种攻击端的资产探测方法及装置,其中方法包括:基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;确定所述已知跳板机使用的内容管理系统CMS;搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。本方案,能够主动发现攻击端在攻击阶段使用的更多资产,有利于攻击端方向威胁情报的生产。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种攻击端的资产探测方法及装置。
背景技术
当前对APT(高级持续性威胁(Advanced Persistent Threat),又称高级长期威胁、先进持续性威胁)组织的追踪,通常基于样本侧特征和网络侧特征来实现。目前,样本侧特征和网络侧特征均是基于被攻击端的被攻击特征行为获取的。对于攻击端方向的样本侧特征和网络侧特征却较难获取到。需要提供一种攻击端的资产探测方法,以能够主动发现攻击端的资产。
发明内容
本发明实施例提供了一种攻击端的资产探测方法及装置,能够主动发现攻击端的资产。
第一方面,本发明实施例提供了一种攻击端的资产探测方法,包括:
基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;
确定所述已知跳板机使用的内容管理系统CMS;
搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;
对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
在一种可能的实现方式中,所述偏好规则包括:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;
对所述地址集合中的每一个地址进行主动探测,将筛选出满足所述偏好规则的地址对应的资产确定为该攻击端的资产,包括:
针对所述地址集合中的每一个地址,均执行:先后向该地址的页面发送不符合所述上线数据规则的请求和符合所述上线数据规则的请求;若该地址的页面对不符合所述上线数据规则的请求的响应与所述第一请求响应相同,且,该地址的页面对符合所述上线数据规则的请求的响应与所述第二请求响应相同,则将该地址对应的资产确定为该攻击端的资产。
在一种可能的实现方式中,所述偏好规则包括:攻击端在所述已知跳板机中产生的中间文件;
对所述地址集合中的每一个地址进行主动探测,将筛选出满足所述偏好规则的地址对应的资产确定为该攻击端的资产,包括:
对所述地址集合中的每一个地址进行文件深度扫描,将扫描出所述中间文件的地址对应的资产确定为该攻击端的资产。
在一种可能的实现方式中,所述偏好规则还包括:回连地址的URL路径规则;
在所述形成地址集合之后,进行主动探测之前,还包括:将所述地址集合中不满足所述回连地址的URL路径规则的地址删除,得到筛选后的地址集合。
在一种可能的实现方式中,在所述将满足所述偏好规则的地址对应的资产确定为该攻击端的资产之后,还包括:基于确定的该攻击端的资产,对攻击端的威胁情报进行补充。
第二方面,本发明实施例还提供了一种攻击端的资产探测装置,包括:
获取单元,用于基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;
CMS确定单元,用于确定所述已知跳板机使用的内容管理系统CMS;
地址集合形成单元,用于搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;
探测单元,用于对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
在一种可能的实现方式中,所述偏好规则包括:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;
所述探测单元具体用于:针对所述地址集合中的每一个地址,均执行:先后向该地址的页面发送不符合所述上线数据规则的请求和符合所述上线数据规则的请求;若该地址的页面对不符合所述上线数据规则的请求的响应与所述第一请求响应相同,且,该地址的页面对符合所述上线数据规则的请求的响应与所述第二请求响应相同,则将该地址对应的资产确定为该攻击端的资产。
在一种可能的实现方式中,所述偏好规则包括:攻击端在所述已知跳板机中产生的中间文件;
利所述探测单元具体用于:对所述地址集合中的每一个地址进行文件深度扫描,将扫描出所述中间文件的地址对应的资产确定为该攻击端的资产。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种攻击端的资产探测方法及装置,基于已知跳板机的情报数据,能够分析出攻击端对跳板机设置的偏好规则,基于攻击端在攻击阶段中通常会采用相同类型的网站或联网网络设备作为跳板机,而相同类型的网站或联网网络设备一般会使用相同类型的CMS,因此,可以利用已知跳板机使用的CMS能够搜索得到使用相同CMS的地址并形成地址集合,然后利用攻击端对跳板机设置的偏好规则通过主动探测方式确定地址集合中的地址对应的资产是否为攻击端的资产。可见,本方案能够主动发现攻击端在攻击阶段使用的更多资产,有利于攻击端方向威胁情报的生产。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种攻击端的资产探测方法流程图;
图2是本发明一实施例提供的一种电子设备的硬件架构图;
图3是本发明一实施例提供的一种攻击端的资产探测装置结构图;
图4是本发明一实施例提供的另一种攻击端的资产探测装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,目前的样本侧特征和网络侧特征均是基于被攻击端的被攻击特征行为获取的。而目前对攻击端的资产,尤其是攻击端攻陷的跳板机等资产,尚未存在一种方式能够在一定范围内发现。
对于攻击端的资产探测方式,本发明的发明构思在于:将已知跳板机作为威胁情报,以获知攻击端对跳板机设置的偏好规则,进而利用攻击者偏好对已经梳理的地址进行主动探测,以探测得到攻击端的资产。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种攻击端的资产探测方法,该方法包括:
步骤100,基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;
步骤102,确定所述已知跳板机使用的内容管理系统CMS;
步骤104,搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;
步骤106,对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
本发明实施例中,基于已知跳板机的情报数据,能够分析出攻击端对跳板机设置的偏好规则,基于攻击端在攻击阶段中通常会采用相同类型的网站或联网网络设备作为跳板机,而相同类型的网站或联网网络设备一般会使用相同类型的CMS,因此,可以利用已知跳板机使用的CMS搜索得到使用相同CMS的地址并形成地址集合,然后利用攻击端对跳板机设置的偏好规则通过主动探测方式确定地址集合中的地址对应的资产是否为攻击端的资产。可见,本方案能够主动发现攻击端在攻击阶段使用的更多资产,有利于攻击端方向威胁情报的生产。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则。
跳板攻击是黑客进行网络攻击的普遍形式。攻击端为了更好的隐藏自己,通常不直接从自身系统向目标发动攻击,而是先攻破若干个中间系统,将中间系统作为跳板机,利用这些跳板机完成攻击行为。
基于攻击端在一个攻击阶段内通常会采用多个相同类型的跳板机完成攻击行为,因此,可以通过已知跳板机来搜索该攻击端的其他跳板机。
本发明实施例中,当确定已知跳板机后,可以利用已知跳板机的情报数据,来获取攻击端对跳板机设置的偏好规则。该偏好规则用于实现攻击行为。
本发明一个实施例中,偏好规则可以包括如下三种中的至少一种:
第一种:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;
在向已知跳板机的回连地址的页面发送请求时,跳板机页面对符合上线数据规则的请求和不符合上线数据规则的请求的响应是不同的,即会判断该请求携带的数据,是否符合其需求,其中上线数据是指木马上线所要携带的数据,例如计算机名、用户名等。而针对非跳板机的地址页面,向其发送不同的数据请求,其响应结果都是相同的。因此,可以将回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应,作为可筛选跳板机的一种偏好规则。
其中,该上线数据规则、第一请求响应和第二请求响应,均是可以通过现有的情报分析方式对已知跳板机的情报数据进行分析后获得的。
第二种:攻击端在所述已知跳板机中产生的中间文件;
攻击端在利用跳板机发起攻击行为时,一般会利用中间文件实现控制。在获取攻击端在已知跳板机中产生的中间文件时,可以通过回连地址的URL路径获取相应的中间文件。
第三种:回连地址的URL路径规则。
跳板机的回连地址由域名和URL路径组成。攻击端在一个攻击阶段内攻陷多个跳板机后,多个跳板机的回连地址的URL路径规则是相同的,因此,可以将回连地址的URL路径规则作为一种偏好规则,来进行攻击端资产的筛选。
然后,针对步骤102“确定所述已知跳板机使用的内容管理系统CMS”和步骤104“搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合”同时进行说明。
考虑到攻击端在一个攻击阶段内攻陷的多个跳板机是相同类型的,因此需要获取与已知跳板机属于相同类型的网站或联网网络设备地址。考虑到网站或联网网络设备在进行内容管理时,相同类型的网站或联网网络设备所使用的CMS(Content ManagementSystem,内容管理系统)是相同的,因此,本发明实施例中,可以基于已知跳板机使用的CMS大范围搜索使用相同CMS的地址,以得到可能的跳板机的地址。
其中,已知跳板机使用的CMS可以通过分析相应网站或联网网络设备文件夹的层次结构来确定。在搜索与已知跳板机使用相同CMS的地址时,可以利用空间引擎活搜索引擎进行搜索。
最后针对步骤106,利用所述偏好规则对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
本发明一个实施例中,在进行主动探测之前,若偏好规则中包括回连地址的URL路径规则,那么可以利用回连地址的URL路径规则将地址集合中的大范围地址进行范围缩小,以降低主动探测的工作量。
具体地,将地址集合中不满足所述回连地址的URL路径规则的地址删除,得到筛选后的地址集合,以对筛选后的地址集合中的每一个地址进行主动探测。可见,上述第三种偏好规则主要是用于缩小需进行主动探测的地址范围。但对于只满足第三种偏好规则的地址并不能够确定其地址为攻击端的资产。因此,需要结合第一种偏好规则和第二种偏好规则共同确定。
下面对上述第一种偏好规则和第二种偏好规则分别进行说明。
第一种偏好规则:
步骤100中获取的偏好规则包括:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;那么,本步骤106可以包括:
针对所述地址集合中的每一个地址,均执行:先后向该地址的页面发送不符合所述上线数据规则的请求和符合所述上线数据规则的请求;若该地址的页面对不符合所述上线数据规则的请求的响应与所述第一请求响应相同,且,该地址的页面对符合所述上线数据规则的请求的响应与所述第二请求响应相同,则将该地址确定为该攻击端的资产。
若该地址为正常地址,则对先后发送的两个请求的响应结果是相同的,也就是说,至少有其中一个响应与偏好规则中的请求响应是不同的。比如,该地址的页面对不符合所述上线数据规则的请求的响应与第一请求响应不相同,和/或,该地址的页面对符合上线数据规则的请求的响应与第二请求响应不相同。
如此,若同时满足第三种偏好规则+第一种偏好规则,则认为该地址对应的资产为攻击端的资产。
第二种偏好规则:
步骤100中获取的偏好规则包括:攻击端在所述已知跳板机中产生的中间文件;那么,本步骤106可以包括:
对所述地址集合中的每一个地址进行文件深度扫描,将扫描出所述中间文件的地址对应的资产确定为该攻击端的资产。
由于中间文件是攻击端设置在跳板机中的,因此,若其他满足第三种偏好规则中的URL路径规则的地址,同时还存储有该中间文件,则确定扫描出该中间文件的地址也是跳板机。
进一步地,利用上述三种偏好规则同时进行探测,若该地址同时满足上述三种偏好规则,则确定该地址为攻击端的资产。该方式对攻击端资产的确定结果更加准确。
本发明一个实施例中,由于这些资产均是攻击端使用的,该方式基于一个或部分已知跳板机,能够自动关联出同一批次攻击中依靠样本无法发现的更多攻击端资产,可以进一步基于确定的该攻击端的资产,对攻击端的威胁情报进行补充,以丰富情报数据。
如图2、图3所示,本发明实施例提供了一种攻击端的资产探测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种攻击端的资产探测装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种攻击端的资产探测装置,包括:
获取单元301,用于基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;
CMS确定单元302,用于确定所述已知跳板机使用的内容管理系统CMS;
地址集合形成单元303,用于搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;
探测单元304,用于对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
在本发明一个实施例中,所述偏好规则包括:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;
所述探测单元具体用于:针对所述地址集合中的每一个地址,均执行:先后向该地址的页面发送不符合所述上线数据规则的请求和符合所述上线数据规则的请求;若该地址的页面对不符合所述上线数据规则的请求的响应与所述第一请求响应相同,且,该地址的页面对符合所述上线数据规则的请求的响应与所述第二请求响应相同,则将该地址对应的资产确定为该攻击端的资产。
在本发明一个实施例中,所述偏好规则包括:攻击端在所述已知跳板机中产生的中间文件;
利所述探测单元具体用于:对所述地址集合中的每一个地址进行文件深度扫描,将扫描出所述中间文件的地址对应的资产确定为该攻击端的资产。
在本发明一个实施例中,所述偏好规则还包括:回连地址的URL路径规则;
所述探测单元,还用于将所述地址集合中不满足所述回连地址的URL路径规则的地址删除,得到筛选后的地址集合。
在本发明一个实施例中,请参考图4,该装置还可以包括:
情报生产单元305,用于基于确定的该攻击端的资产,对攻击端的威胁情报进行补充。
可以理解的是,本发明实施例示意的结构并不构成对一种攻击端的资产探测装置的具体限定。在本发明的另一些实施例中,一种攻击端的资产探测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种攻击端的资产探测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种攻击端的资产探测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种攻击端的资产探测方法,其特征在于,包括:
基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;
确定所述已知跳板机使用的内容管理系统CMS;
搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;
对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
2.根据权利要求1所述的方法,其特征在于,所述偏好规则包括:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;
对所述地址集合中的每一个地址进行主动探测,将筛选出满足所述偏好规则的地址对应的资产确定为该攻击端的资产,包括:
针对所述地址集合中的每一个地址,均执行:先后向该地址的页面发送不符合所述上线数据规则的请求和符合所述上线数据规则的请求;若该地址的页面对不符合所述上线数据规则的请求的响应与所述第一请求响应相同,且,该地址的页面对符合所述上线数据规则的请求的响应与所述第二请求响应相同,则将该地址对应的资产确定为该攻击端的资产。
3.根据权利要求1所述的方法,其特征在于,所述偏好规则包括:攻击端在所述已知跳板机中产生的中间文件;
对所述地址集合中的每一个地址进行主动探测,将筛选出满足所述偏好规则的地址对应的资产确定为该攻击端的资产,包括:
对所述地址集合中的每一个地址进行文件深度扫描,将扫描出所述中间文件的地址对应的资产确定为该攻击端的资产。
4.根据权利要求2或3所述的方法,其特征在于,所述偏好规则还包括:回连地址的URL路径规则;
在所述形成地址集合之后,进行主动探测之前,还包括:将所述地址集合中不满足所述回连地址的URL路径规则的地址删除,得到筛选后的地址集合。
5.根据权利要求1-3中任一所述的方法,其特征在于,在所述将满足所述偏好规则的地址对应的资产确定为该攻击端的资产之后,还包括:基于确定的该攻击端的资产,对攻击端的威胁情报进行补充。
6.一种攻击端的资产探测装置,其特征在于,包括:
获取单元,用于基于已知跳板机的情报数据,获取攻击端对跳板机设置的偏好规则;
CMS确定单元,用于确定所述已知跳板机使用的内容管理系统CMS;
地址集合形成单元,用于搜索与所述已知跳板机使用相同内容管理系统CMS的地址,并形成地址集合;
探测单元,用于对所述地址集合中的每一个地址进行主动探测,将满足所述偏好规则的地址对应的资产确定为该攻击端的资产。
7.根据权利要求6所述的装置,其特征在于,
所述偏好规则包括:回连地址的页面对不符合上线数据规则的第一请求响应、回连地址的页面对符合所述上线数据规则的第二请求响应;
所述探测单元具体用于:针对所述地址集合中的每一个地址,均执行:先后向该地址的页面发送不符合所述上线数据规则的请求和符合所述上线数据规则的请求;若该地址的页面对不符合所述上线数据规则的请求的响应与所述第一请求响应相同,且,该地址的页面对符合所述上线数据规则的请求的响应与所述第二请求响应相同,则将该地址对应的资产确定为该攻击端的资产。
8.根据权利要求6所述的装置,其特征在于,所述偏好规则包括:攻击端在所述已知跳板机中产生的中间文件;
利所述探测单元具体用于:对所述地址集合中的每一个地址进行文件深度扫描,将扫描出所述中间文件的地址对应的资产确定为该攻击端的资产。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211610755.4A CN116032564A (zh) | 2022-12-14 | 2022-12-14 | 攻击端的资产探测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211610755.4A CN116032564A (zh) | 2022-12-14 | 2022-12-14 | 攻击端的资产探测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116032564A true CN116032564A (zh) | 2023-04-28 |
Family
ID=86075082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211610755.4A Pending CN116032564A (zh) | 2022-12-14 | 2022-12-14 | 攻击端的资产探测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116032564A (zh) |
-
2022
- 2022-12-14 CN CN202211610755.4A patent/CN116032564A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
CN107251037B (zh) | 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质 | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
CN108573146A (zh) | 一种恶意url检测方法及装置 | |
CN108777687B (zh) | 基于用户行为画像的爬虫拦截方法、电子设备、存储介质 | |
US11570196B2 (en) | Method for determining duplication of security vulnerability and analysis apparatus using same | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN110619075B (zh) | 一种网页识别方法与设备 | |
EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
CN114003794A (zh) | 资产收集方法、装置、电子设备和介质 | |
CN113810381A (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
CN109547294B (zh) | 一种基于固件分析的联网设备型号探测方法、装置 | |
CN115098151A (zh) | 一种细粒度的内网设备固件版本探测方法 | |
CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
CN111970262B (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
CN103440454A (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
US8751508B1 (en) | Contextual indexing of applications | |
CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |