CN103561012B - 一种基于关联树的web后门检测方法及*** - Google Patents
一种基于关联树的web后门检测方法及*** Download PDFInfo
- Publication number
- CN103561012B CN103561012B CN201310517193.3A CN201310517193A CN103561012B CN 103561012 B CN103561012 B CN 103561012B CN 201310517193 A CN201310517193 A CN 201310517193A CN 103561012 B CN103561012 B CN 103561012B
- Authority
- CN
- China
- Prior art keywords
- link
- web
- tree
- links
- relevance tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及基于关联树的WEB后门检测方法及***,包括链接关联树生成模块和攻击实时检测模块;该检测***不依赖于杀毒软件或文件特征检测软件,而是首先对WEB网站链接进行主动爬取和访问记录收集,经过分析处理,构建出WEB网站的全部URL的链接集合,以计算机算法中树的形式标记URL的链接和跳转关系,形成链接关联树。对后门URL请求在链接关联树中不存在,***的安全监控模块发出报警,并阻断该攻击请求。本发明的检测方法提高了WEB应用的安全性,解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击,通用性好,WEB服务器无需安装软件程序,对WEB服务器类型、WEB编程语言、用户使用等均透明。
Description
技术领域
本发明涉及WEB后门检测方法及***,具体涉及基于关联树的WEB后门检测方法及***,属于计算机网络安全和信息安全领域。
背景技术
当前WEB应用已经占据网络应用的主要位置,随着WEB应用的蓬勃发展,随之而来的是铺天盖地的WEB应用安全问题,WEB应用安全面临极大威胁。随着WEB技术的不断发展和网络攻击技术的提高,针对WEB应用的攻击方法也日新月异。由于WEB业务平台在各行各业中广泛应用,攻击者也将注意力从对网络服务器的攻击转移到对WEB业务的攻击,在这个层面上,攻击者可以利用安全漏洞得到WEB服务器的控制权限,窃取重要内部数据,从而获得非法利益。WEB应用市场研究公司Gartner最近发表的研究报告强调了并且预测当前成功的攻击有75%以上发生在WEB应用层。据CNCERT最新发布互联网安全威胁报告显示,在2011年CNCERT接收的网络安全事件中,网站安全类事件占61.7%,境内被篡改的网站数量为36612个,较2010年增加5.1%,4至12月被植入后门的境内网站为12513个。网站被植入后门以后,攻击者能够随时登陆并轻松实施包括***入侵、WEB***破坏、站点网页篡改、关键信息窃取等攻击。
因此WEB网站植入类似于WEBshell等后门程序和链接已经成为网站的安全的重大威胁,后门程序或链接被入侵者当做对网站实施攻击操作的有力工具。而WEBshell等后门程序大多由网页脚本语言编写,和其他正常的网页一样,他们运行环境相同,服务端口相同,因此很容易穿透防火墙和逃避杀毒软件的检测,所以入侵者一般都倾向于用它作为控制服务器的后门。相对于二进制编码的程序,WEBshell是纯文本文件,变形简单,脚本使用灵活,很容易将特征码进行混淆或者隐藏,这使得基于特征匹配的检测方法很难快速准确检测。传统防病毒、防火墙等方法对WEB后门程序无能为力,必须采取新的安全方法,保证服务器安全。
发明内容
有鉴于此,本发明公开了一种基于关联树的WEB后门检测方法,对WEB网站链接进行主动爬取和访问记录收集,经过分析处理,构建出WEB网站的全部URL的链接集合,优化复杂的图状关联或网状关联,形成链接关联树;当攻击者访问其植入的WEB后门WEB页面时,该后门URL请求在链接关联树中不存在,***的安全监控模块则发出报警,并阻断该攻击请求。
本发明还公开的一种基于关联树的WEB后门在线检测***,该检测***不依赖于杀毒软件或文件特征检测软件,而是首先对WEB网站链接进行主动爬取和访问记录收集,经过分析处理,构建出WEB网站的全部URL的链接集合,以计算机算法中树的形式标记URL的链接和跳转关系,形成链接关联树;所述链接关联树是一种计算机算法的标识方法,通过链接和链接关系,形成一个树根、树枝、树叶形状的拓扑关系。同时树以链表、hash表形式存储,可以存储在数据库中。
具体而言,本发明的技术方案如下:一种基于关联树的WEB后门检测方法,其步骤包括:
1)设置WEB网站首页链接获取WEB网站链接爬取入口,根据所述爬取入口抓取WEB网站的所有链接信息;
2)对所述所有链接信息进行扇入和/或扇出***计算,将扇入系数Linkin>=1或扇出Linkout>=1的链接汇聚成多个原始链接集合;
3)对所述原始链接集合进行优化处理建立树形链接关系集合,得到链接关联树WTree(links);
4)设置所述链接关联树WTree(links)为可信链接;
5)当攻击者访问已植入WEB后门的WEB页面时,通过判断在所述链接关联树中该后门链接请求,检测出WEB后门。
更进一步,将页面链接的扇入系数Linkin=0且扇出系数Linkout=0的链接,生成僵尸链接库Blib(Links)并建立僵尸链接记录;所述僵尸链接记录表作为后门攻击快速匹配记录表,当进行攻击实时检测时,优先于链接关联树WTree(links)进行请求查询匹配。
更进一步,当进行攻击实时检测时,首先将该些僵尸链接作为可疑后门,发出安全告警,在WEB***管理员审核完成之前全部默认关闭,若收到发出后门攻击告警,WEB应用管理员可以手动审核,以人为修正特殊链接,将该链接设置为可信链接,并加入链接关联树WTree(links)或者按照IP地址范围、时间段属性设置该链接的访问控制策略。
更进一步,在用户发送页面链接请求时,通过WEB应用代理网关对该请求链接进行截获,并在链接关联树WTree(links)中进行快速查找:
如果查找命中记录,则为合法链接请求,网关放行请求,WEB服务器对请求的响应直接反馈给客户端;
如果查找未命中记录,则网关代理客户端向WEB服务器继续发送请求:
如果WEB服务器有该请求的链接存在,返回了一个存在的页面,则发出后门攻击告警,按照预先制定的安全策略,阻断该链接请求;
如果请求的链接在WEB服务器上返回404不存在的错误码,则网关将响应的错误信息直接返回给客户端。
更进一步,对所述原始链接集合进行优化处理建立树形链接关系集合的方法如下:
1)优化原始链接集合中复杂图状关联或网状关联,简化为链接关系树型关联;
2)对于链接关联树WTree(links)中各个节点采用红黑树或二分查找树算法进行优化存储结构进行优化存储;
3)对于同级叶子节点采用Hash表方式存储。
更进一步,通过调整阈值N,将链接关联树WTree(links)中树形集合节点M<N的集合排除在可信范围之内,用于识别少量相互链接的后门链接。
更进一步,根据所述爬取入口抓取WEB网站的所有链接信息的方法为:
1)从WEB网站的首页开始抓取链接,或者手动输入首页以及子***首页;
2)抓取网页链接时,采用广度优先算法或者深度优先算法遍历网站所有链接;
3)抓取网页时采用提供学习模式,在学习模式时,通过少量的访问请求,自动确定网页抓取的起始页面链接。
更进一步,对所述所有链接信息进行扇入和/或扇出***计算前,对抓取的网页链接记录信息进行除重去冗余处理,形成最简完整集合。
本发明公开了的***具体如下:一种基于关联树的WEB后门检测***,包括客户端、网关代理以及WEB服务器集群组成的WEB应用服务***,其特征在于,还包括一链接关联树生成模块和一攻击实时检测模块;
所述链接关联树生成模块,用于设置WEB网站首页链接获取WEB网站链接爬取入口,根据所述爬取入口抓取WEB网站的所有链接信息;对所述所有链接信息进行扇入和/或扇出***计算,将扇入系数Linkin>=1或扇出Linkout>=1的链接汇聚成多个原始链接集合;对所述原始链接集合进行优化处理建立树形链接关系集合,得到链接关联树WTree(links);设置所述链接关联树WTree(links)为可信链接;
所述攻击实时检测模块以网关代理方式获取请求链接,通过判断在所述链接关联树中该后门链接请求,当攻击者访问已植入WEB后门的WEB页面时,检测出WEB后门,攻击实时检测模块发出后门攻击告警,并阻断该攻击链接请求。
更进一步,所述链接关联树生成模块将页面链接的扇入系数Linkin=0且扇出系数Linkout=0的链接,生成僵尸链接库Blib(Links)并建立僵尸链接记录;所述僵尸链接记录表作为后门攻击快速匹配记录表,当进行攻击实时检测时,优先于链接关联树WTree(links)进行请求查询匹配。
本发明的积极效果为:
本发明能够有效检测出WEB网站的植入后门,提高了WEB应用的安全性,解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击。本发明提出的链接关联树的关系比URL真实的网状结构或图状结构,更简洁、高效,且没有冗余,所以效率高。并且检测算法效率高、通用性好,与WEB服务器类型、WEB编程语言无关,WEB服务器无需安装软件程序,不改变用户使用习惯。
附图说明
图1为本发明基于关联树的WEB后门检测方法的一实施例中网站WEB链接关联树生成方法流程图。
图2为本发明基于关联树的WEB后门检测***一实施例中通过检测***进行WEB后门在线检测方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示是本发明基于关联树的WEB后门检测方法的一实施例中网站WEB链接关联树生成方法流程图,当攻击者访问其植入的WEB后门WEB页面时,***快速查询该后门URL请求,当查询到其不在链接关联树中时,且通过继续给服务器发送请求的方法确认不是URL输入错误,则***的安全监控模块则发出报警,并阻断该攻击请求,从而拦截利用该WEB后门的攻击。
在客户端、网关代理、WEB服务器集群组成的WEB应用服务***中,本发明的***主要包含两部分内容改进:链接关联树生成模块和攻击实时检测模块。
所述链接关联树生成模块采用网络爬虫方法和访问记录等方法,抓取WEB应用***的所有链接信息,并形成相互引用、跳转等链接关系集合,由链接关系集合形成链接关联树,以此作为WEB应用所有合法链接的数据库。
可以按照如下的方法获取WEB所有URL以及相互链接的信息:
链接关联树生成模块默认从WEB网站的首页开始抓取链接,也可以手动输入首页以及子***首页。抓取网页链接时,链接关联树生成模块可以采用深度优先算法遍历网站所有链接,也可以采用广度优先算法遍历网站所有链接。
或者链接关联树生成模块抓取网页时,除了默认从首页开始和手动输入开始页面,还提供学习模式,在学习模式时,通过少量的访问请求,自动确定网页抓取的起始页面链接。
对得到的URL计算扇入扇出系数:
在链接关联树生成模块在生成链接关联树之前,将孤立的僵尸链接,也即页面链接的扇入系数Linkin=0并且扇出系数Linkout=0的链接,形成僵尸链接快速匹配库Blib(Links)存储在云***内部,本地存储本地使用。。
链接关联树生成模块对抓取的网页链接记录信息,进行除重去冗余处理,形成最简完整集合,并根据扇入扇出关系,将扇入系数Linkin>=1或扇出Linkout>=1的链接记录建立树形链接关系集合,一个或多个链接关系结合,构成链接关联树WTree(links)。
可以按照如下的方法对本发明中的链接关联树进行优化:
链接关联树生成模块对于得到的关联链接的复杂的图状关联或网状关联,简化为链接关系树型关联,以提高存储和查询效率。
还对于链接关联树WTree(links)中各个节点,进行优化存储,以提高查询匹配效率:采用红黑树或二分查找树算法进行优化存储结构;对于同级叶子节点采用Hash表方式存储。
链接关联树生成模块从攻击实时检测模块处获取WEB访问请求记录;链接关联树WTree(links)可以定期触发更新或手动触发更新。
通过调整阈值N,将链接关联树WTree(links)中树形集合节点M<N的集合,排除在可信范围之内,以识别少量相互链接的后门链接。
生成僵尸链接快速匹配库的方法如下:
攻击实时检测模块以网关代理方式获取客户端的访问请求链接,并将该记录在僵尸链接快速匹配库Blib(Links)和链接关联树WTree(links)中进行高效匹配。
生成僵尸链接快速匹配库可按照如下方法进行优化:
攻击实时检测模块在接收到链接关联树生成模块提交的僵尸链接快速匹配库Blib(Links)时,攻击实时检测模块首先将这些僵尸链接作为可疑后门链接,发出安全告警,在WEB***管理员审核完成之前全部默认关闭。
并且,攻击实时检测模块将僵尸链接记录库Blib(Links)作为后门攻击快速匹配库;在接收到客户端的访问请求时,首先查询该僵尸链接快速匹配库Blib(Links),优先于链接关联树WTree(links)进行请求查询匹配。
攻击实时检测模块在客户端的访问请求未匹配僵尸链接快速匹配库Blib(Links)后,将该访问请求在链接关联树进行高效匹配:如果查找命中记录,则为合法链接请求,网关放行请求;如果查找未命中记录,则攻击实时检测模块发出后门攻击告警,按照预先制定的安全策略,阻断该链接请求。
对于攻击实时检测模块发出后门攻击告警,WEB应用管理员可以手动审核,以人为修正特殊链接,将该链接设置为可信链接,可以加入链接关联树WTree(links),使其永久可信;也可以按照IP地址范围、时间段等属性设置该链接的访问控制策略。
具体包含如下步骤:
步骤1:设置或学习网站的首页链接。
a)默认从WEB网站的首页开始抓取链接;
b)也可以手动输入首页以及子***首页;子***首页是指主站首页链接不到的独立***,要输入该子***的首页;
c)还可以让***进行自学习,通过分析网站的访问日志,找到网站的首页,也就是链接核心聚集页面。
步骤2:获得网站爬取的入口,抓取WEB应用***的所有链接信息,并形成相互引用、跳转等链接关系原始信息。
步骤3:对抓取的网页链接记录信息,进行除重去冗余处理,形成最简完整集合。同时计算扇入扇出***,其中扇入***是指其它页面调用本页面的次数;扇出系数是指本页面调用其它页面的次数。如果扇入系数Linkin>=1或扇出Linkout>=1,则进入步骤5;否则,进入步骤4。
步骤4:对于页面链接的扇入系数Linkin=0并且扇出系数Linkout=0的链接,也即孤立的僵尸链接,汇集成僵尸链接快速匹配库Blib(Links),提交给攻击实时检测模块,攻击实时检测模块在接收到链接关联树生成模块提交的僵尸链接快速匹配库Blib(Links)时,攻击实时检测模块首先将这些僵尸链接作为可疑后门链接,发出安全告警,在WEB***管理员审核完成之前全部默认关闭。退出。
步骤5:对于扇入系数Linkin>=1或扇出Linkout>=1的链接,将链接记录汇聚成多个链接集合。
步骤6:链接关联树生成模块对于得到的关联链接的复杂的图状关联或网状关联,简化为链接关系树型关联;还对于树中各个节点,采用红黑树或二分查找树算法进行优化存储结构;对于同级叶子节点采用Hash表方式存储。
步骤7:进行优化存储后,建立树形链接关系集合,一个或多个链接关系结合,构成链接关联树WTree(links)。通过调整阈值N,将链接关联树WTree(links)中树形集合节点M<N的集合,排除在可信范围之内,以识别少量相互链接的后门链接。链接关联树WTree(links)可以定期触发更新或手动触发更新。
如图2所示为本发明基于关联树的WEB后门检测***一实施例中通过检测***进行WEB后门在线检测方法流程图,包含如下步骤:
步骤1:所述攻击实时检测模块以网关代理方式获取客户端的访问请求链接。
步骤2:攻击实时检测模块将访问请求链接记录在僵尸链接快速匹配库Blib(Links)中进行高效匹配。如果命中记录,则进入步骤5;否则,进入步骤3。
步骤3:攻击实时检测模块在客户端的访问请求未匹配僵尸链接快速匹配库Blib(Links)后,将该访问请求在链接关联树进行高效匹配:如果查找命中记录,则进入步骤4,否则进入步骤5。
步骤4:请求为合法链接请求,网关放行请求到web服务器,由web服务器响应请求,并返回给客户端。
步骤5:攻击实时检测模块检测出该请求链接为后门访问请求,按照预先制定的安全策略,发出安全告警并阻断该后门请求。攻击实时检测模块发出后门攻击告警后,WEB应用管理员可以手动审核,以人为修正特殊链接,将该链接设置为可信链接,可以加入链接关联树WTree(links),使其永久可信;也可以按照IP地址范围、时间段等属性设置该链接的访问控制策略。
步骤6:等待下一次客户端访问请求。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。
Claims (9)
1.一种基于关联树的WEB后门检测方法,其步骤包括:
1)设置WEB网站首页链接获取WEB网站链接爬取入口,根据所述爬取入口抓取WEB网站的所有链接信息;
2)对所述所有链接信息进行扇入和/或扇出***计算,将扇入系数Linkin>=1或扇出Linkout>=1的链接汇聚成多个原始链接集合;
3)对所述原始链接集合进行优化处理建立树形链接关系集合,得到链接关联树WTree(links);所述优化处理的方法是:(1)优化原始链接集合中复杂图状关联或网状关联,简化为链接关系树型关联;(2)对于链接关联树WTree(links)中各个节点采用红黑树或二分查找树算法进行优化存储;(3)对于同级叶子节点采用Hash表方式存储;
4)设置所述链接关联树WTree(links)为可信链接;
5)当攻击者访问已植入WEB后门的WEB页面时,通过判断在所述链接关联树中的后门链接请求,检测出WEB后门。
2.如权利要求1所述的基于关联树的WEB后门检测方法,其特征在于,将页面链接的扇入系数Linkin=0且扇出系数Linkout=0的链接,生成僵尸链接库Blib(Links)并建立僵尸链接记录表;所述僵尸链接记录表作为后门攻击快速匹配记录表,当进行攻击实时检测时,优先于链接关联树WTree(links)进行请求查询匹配。
3.如权利要求2所述的基于关联树的WEB后门检测方法,其特征在于,当进行攻击实时检测时,首先将僵尸链接作为可疑后门,发出安全告警,在WEB***管理员审核完成之前全部默认关闭,若收到发出后门攻击告警,WEB应用管理员可以手动审核,以人为修正特殊链接,将该链接设置为可信链接,并加入链接关联树WTree(links)或者按照IP地址范围或时间段属性设置该链接的访问控制策略。
4.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法,其特征在于,
在用户发送页面链接请求时,通过WEB应用代理网关对该链接请求进行截获,并在链接关联树WTree(links)中进行快速查找:
如果查找命中记录,则为合法链接请求,网关放行请求,WEB服务器对请求的响应直接反馈给客户端;
如果查找未命中记录,则网关代理客户端向WEB服务器继续发送请求:
如果WEB服务器有该请求的链接存在,返回了一个存在的页面,则网关发出后门攻击告警,按照预先制定的安全策略,阻断该链接请求;
如果请求的链接在WEB服务器上返回404不存在的错误码,则网关将响应的错误信息直接返回给客户端。
5.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法,其特征在于,通过调整阈值N,将链接关联树WTree(links)中树形集合节点M<N的集合排除在可信范围之内,用于识别少量相互链接的后门链接。
6.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法,其特征在于,根据所述爬取入口抓取WEB网站的所有链接信息的方法为:
1)从WEB网站的首页开始抓取链接,或者手动输入首页以及子***首页;
2)抓取网页链接时,采用广度优先算法或者深度优先算法遍历网站所有链接;
3)抓取网页时采用提供学习模式,在学习模式时,通过少量的访问请求,自动确定网页抓取的起始页面链接。
7.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法,其特征在于,对所述所有链接信息进行扇入和/或扇出***计算前,对抓取的网页链接记录信息进行除重去冗余处理,形成一最简完整集合。
8.一种基于关联树的WEB后门检测***,包括客户端、网关代理以及WEB服务器集群组成的WEB应用服务***,其特征在于,还包括一链接关联树生成模块和一攻击实时检测模块,所述链接关联树生成模块和攻击实时检测模块位于网关中;
所述链接关联树生成模块,用于设置WEB网站首页链接获取WEB网站链接爬取入口,根据所述爬取入口抓取WEB网站的所有链接信息;对所述所有链接信息进行扇入和/或扇出***计算,将扇入系数Linkin>=1或扇出Linkout>=1的链接汇聚成多个原始链接集合;对所述原始链接集合进行优化处理建立树形链接关系集合,得到链接关联树WTree(links);设置所述链接关联树WTree(links)为可信链接;所述优化处理的方法是:1)优化原始链接集合中复杂图状关联或网状关联,简化为链接关系树型关联;2)对于链接关联树WTree(links)中各个节点采用红黑树或二分查找树算法进行优化存储;3)对于同级叶子节点采用Hash表方式存储;
所述攻击实时检测模块以网关代理方式获取请求链接,通过判断在所述链接关联树中的后门链接请求,当攻击者访问已植入WEB后门的WEB页面时,检测出WEB后门,攻击实时检测模块发出后门攻击告警,并阻断该攻击链接请求。
9.如权利要求8所述的基于关联树的WEB后门检测***,其特征在于,所述链接关联树生成模块将页面链接的扇入系数Linkin=0且扇出系数Linkout=0的链接,生成僵尸链接库Blib(Links)并建立僵尸链接记录表;所述僵尸链接记录表作为后门攻击快速匹配记录表,当进行攻击实时检测时,优先于链接关联树WTree(links)进行请求查询匹配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310517193.3A CN103561012B (zh) | 2013-10-28 | 2013-10-28 | 一种基于关联树的web后门检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310517193.3A CN103561012B (zh) | 2013-10-28 | 2013-10-28 | 一种基于关联树的web后门检测方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103561012A CN103561012A (zh) | 2014-02-05 |
CN103561012B true CN103561012B (zh) | 2017-01-25 |
Family
ID=50015162
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310517193.3A Active CN103561012B (zh) | 2013-10-28 | 2013-10-28 | 一种基于关联树的web后门检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103561012B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105760379B (zh) * | 2014-12-16 | 2020-01-21 | ***通信集团公司 | 一种基于域内页面关联关系检测webshell页面的方法及装置 |
CN105812196A (zh) * | 2014-12-30 | 2016-07-27 | ***通信集团公司 | 一种WebShell检测方法及电子设备 |
CN107241296B (zh) * | 2016-03-28 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种Webshell的检测方法及装置 |
CN106951784B (zh) * | 2017-02-23 | 2020-07-07 | 南京航空航天大学 | 一种面向XSS漏洞检测的Web应用逆向分析方法 |
CN106992981B (zh) * | 2017-03-31 | 2020-04-07 | 北京知道创宇信息技术股份有限公司 | 一种网站后门检测方法、装置和计算设备 |
CN107508705B (zh) * | 2017-08-21 | 2020-07-07 | 北京蓝海讯通科技股份有限公司 | 一种http元素的资源树构建方法及计算设备 |
CN107622202A (zh) * | 2017-09-20 | 2018-01-23 | 杭州安恒信息技术有限公司 | 网页后门检测方法及装置 |
CN107911355B (zh) * | 2017-11-07 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
CN108985057B (zh) * | 2018-06-27 | 2022-07-22 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
CN111327569B (zh) * | 2018-12-14 | 2022-05-10 | 中国电信股份有限公司 | Web后门检测方法和***、存储计算装置 |
CN110008456A (zh) * | 2019-04-03 | 2019-07-12 | 平安信托有限责任公司 | 报表穿透方法、装置、计算机设备和存储介质 |
CN110135162A (zh) * | 2019-05-27 | 2019-08-16 | 深信服科技股份有限公司 | Webshell后门识别方法、装置、设备及存储介质 |
CN110851840B (zh) * | 2019-11-13 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 基于网站漏洞的web后门检测方法及装置 |
CN111522999A (zh) * | 2020-04-22 | 2020-08-11 | 北京思特奇信息技术股份有限公司 | 一种业务运营树管理的方法和装置 |
CN111756707A (zh) * | 2020-06-08 | 2020-10-09 | 中国电信集团工会上海市委员会 | 一种应用于全球广域网的后门安全防护装置和方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
US8341744B1 (en) * | 2006-12-29 | 2012-12-25 | Symantec Corporation | Real-time behavioral blocking of overlay-type identity stealers |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201002008A (en) * | 2008-06-18 | 2010-01-01 | Acer Inc | Method and system for preventing from communication by hackers |
-
2013
- 2013-10-28 CN CN201310517193.3A patent/CN103561012B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8341744B1 (en) * | 2006-12-29 | 2012-12-25 | Symantec Corporation | Real-time behavioral blocking of overlay-type identity stealers |
CN101771582A (zh) * | 2009-12-28 | 2010-07-07 | 北京神州泰岳软件股份有限公司 | 一种基于状态机的安全监控关联分析方法 |
CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
Non-Patent Citations (1)
Title |
---|
《基于决策树的Webshell检测方法研究》;胡建康,徐震,马多贺,杨婧;《网络新媒体技术》;20121130;第1卷(第6期);第15-19页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103561012A (zh) | 2014-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103561012B (zh) | 一种基于关联树的web后门检测方法及*** | |
Dong et al. | Real-time network intrusion detection system based on deep learning | |
CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
CN104767757B (zh) | 基于web业务的多维度安全监测方法和*** | |
CN109861995A (zh) | 一种网络空间安全大数据智能分析方法、计算机可读介质 | |
CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
CN105184159B (zh) | 网页篡改的识别方法和装置 | |
US8020206B2 (en) | System and method of analyzing web content | |
CN109885562A (zh) | 一种基于网络空间安全的大数据智能分析*** | |
CN107241352A (zh) | 一种网络安全事件分类与预测方法及*** | |
CN105933268A (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
CN106357689A (zh) | 威胁数据的处理方法及*** | |
CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
WO2020211130A1 (zh) | 一种网站暗链检测方法和装置 | |
CN108683685A (zh) | 一种针对xss攻击的云安全cdn***及监测方法 | |
CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
CN103312692B (zh) | 链接地址安全性检测方法及装置 | |
Singh et al. | A survey on different phases of web usage mining for anomaly user behavior investigation | |
Camiña et al. | Towards building a masquerade detection method based on user file system navigation | |
CN103440454B (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
CN110061960A (zh) | Waf规则自学习*** | |
CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和*** | |
Hu et al. | Web application vulnerability detection method based on machine learning | |
Zeng et al. | Hidden path: Understanding the intermediary in malicious redirections |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |