CN106330944B - 恶意***漏洞扫描器的识别方法和装置 - Google Patents
恶意***漏洞扫描器的识别方法和装置 Download PDFInfo
- Publication number
- CN106330944B CN106330944B CN201610797257.3A CN201610797257A CN106330944B CN 106330944 B CN106330944 B CN 106330944B CN 201610797257 A CN201610797257 A CN 201610797257A CN 106330944 B CN106330944 B CN 106330944B
- Authority
- CN
- China
- Prior art keywords
- vulnerability scanner
- system vulnerability
- access request
- malicious system
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种恶意***漏洞扫描器的识别方法和装置,所述方法包括:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。本申请技术方案可以快速准确地识别恶意***漏洞扫描器。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种恶意***漏洞扫描器的识别方法和装置。
背景技术
随着互联网的高速发展,利用***漏洞进行攻击的网络安全事件越来越严重,攻击的危害和影响范围也越来越大。通常,攻击者会先利用***漏洞扫描器进行漏洞扫描以获取***漏洞,再利用获取到的***漏洞进行攻击。因此为了防范恶意的漏洞扫描,快速准确地识别恶意***漏洞扫描器非常必要。
发明内容
有鉴于此,本申请提供一种恶意***漏洞扫描器的识别方法和装置,以解决相关技术中无法快速准确地识别恶意***漏洞扫描器的问题。
具体地,本申请是通过如下技术方案实现的:
第一方面,本申请提供一种恶意***漏洞扫描器的识别方法,所述方法包括:
在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;
统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。
第二方面,本申请提供一种恶意***漏洞扫描器的识别装置,所述装置包括:
记录单元,用于在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;
统计单元,用于统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
确定单元,当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。
分析上述技术方案可知,用户可以根据服务器提供的业务确定服务器的非业务端口号,并将一个或多个所述非业务端口号设置为用于检测恶意***漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。与相关技术中第一种方案相比,服务器可以根据接收到的面向非业务端口的访问请求,即异常的访问请求的数量,识别恶意***漏洞扫描器,提升了服务器识别恶意***漏洞扫描器的准确性。与相关技术中第二种方案相比,服务器可以在接收到访问请求后对恶意***漏洞扫描器进行识别,可以及时识别出恶意***漏洞扫描器;另外,恶意***漏洞扫描器是否修改了报文的特征码对服务器识别并无影响,提升了服务器识别恶意***漏洞扫描器的准确性。综合来看,本技术方案服务器可以快速准确地识别恶意***漏洞扫描器。
附图说明
图1是本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别方法的组网图;
图2是本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别方法的流程图;
图3是本申请一示例性实施例示出的另一种恶意***漏洞扫描器的识别方法的流程图;
图4是本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别装置所在设备的硬件结构图;
图5是本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
相关技术中,识别恶意***漏洞扫描器有两种方案:第一种是统计一定时间内接收到的来自同一IP地址的访问请求的数量,如果来自某一IP地址的访问请求的数量超过阈值,则可以确定这些访问请求来自恶意***漏洞扫描器;第二种是对接收到的报文进行检测,如果检测到异常的报文,例如检测到某个超过常规长度的报文,或者基于特征码确定某个报文为攻击报文,则可以确定该报文来自恶意***漏洞扫描器。但是,第一种方案无法区分正常的访问请求和异常的访问请求,可能导致误报;第二种方案通常在恶意***漏洞扫描器完成访问后才能实现,比较滞后,且当恶意***漏洞扫描器对报文的特征码进行修改后将导致无法识别。
参考图1,为本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别方法的组网图,该网络中包括服务器和终端设备,服务器与终端设备之间可以通过互联网进行数据传输。通常,在终端设备与服务器交互时,终端设备可以向服务器发送访问请求以获取服务器信息,所述访问请求的目的端口号为与该业务对应的端口号。比如:在用户浏览网页时,终端设备可以向服务器发送目的端口号为80的访问请求,其中80为HTTP(Hyper TextTransfer Protocol,超文本传输协议)业务所使用的端口号。攻击者可以利用安装在终端设备中的***漏洞扫描器盗取服务器信息,届时,该***漏洞扫描器除了可以向服务器发送目的端口号为对应业务端口号的访问请求之外,还可以向服务器发送目的端口号为非业务端口号的访问请求。
结合上述组网图1,参考图2,为本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别方法的流程图,该方法可以应用于图1中的服务器,包括以下步骤:
步骤201:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口。
在本实施例中,用户可以先根据服务器提供的业务,确定服务器的非业务端口号,并将一个或多个所述非业务端口号设置为用于检测恶意***漏洞扫描器的端口号。其中,所述非业务端口号为与服务器提供的业务均不相关的端口号。此后,服务器可以根据接收到的访问请求的目的端口号,检测是否接收到面向所述检测端口的访问请求。如果接收到面向所述检测端口的访问请求,则说明在终端设备中可能存在恶意***漏洞扫描器,服务器可以将该访问请求的源IP地址作为可疑IP地址进行记录;如果未接收到面向所述检测端口的访问请求,则说明暂未检测到恶意***漏洞扫描器,服务器可以继续进行检测。
步骤202:统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。
在本实施例中,服务器可以根据访问请求的源IP地址和目的端口号,统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。
步骤203:当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。
在本实施例中,如果在前述步骤202中统计到的数量大于预设的阈值,则服务器可以确定所述访问请求的发送方为恶意***漏洞扫描器;否则,服务器可以继续执行步骤202。
由上述实施例可见,用户可以根据服务器提供的业务确定服务器的非业务端口号,并将一个或多个所述非业务端口号设置为用于检测恶意***漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。与相关技术中第一种方案相比,服务器可以根据接收到的面向非业务端口的访问请求,即异常的访问请求的数量,识别恶意***漏洞扫描器,提升了服务器识别恶意***漏洞扫描器的准确性。与相关技术中第二种方案相比,服务器可以在接收到访问请求后对恶意***漏洞扫描器进行识别,可以及时识别出恶意***漏洞扫描器;另外,恶意***漏洞扫描器是否修改了报文的特征码对服务器识别并无影响,提升了服务器识别恶意***漏洞扫描器的准确性。综合来看,本技术方案服务器可以快速准确地识别恶意***漏洞扫描器。
结合上述组网图1,参考图3,为本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别方法的流程图,该方法可以应用于图1中的服务器,包括以下步骤:
步骤301:检测是否接收到面向预设检测端口的访问请求,所述检测端口为非业务端口。若是,执行步骤302。
在本实施例中,用户可以先根据服务器提供的业务,确定服务器的非业务端口,并将一个或多个所述非业务端口号设置为用于检测恶意***漏洞扫描器的端口号。此后,服务器可以根据接收到的访问请求的目的端口号,检测是否接收到面向所述检测端口的访问请求。如果接收到面向所述检测端口的访问请求,则说明在终端设备中可能存在恶意***漏洞扫描器,可以执行步骤302;如果未接收到面向所述检测端口的访问请求,则说明暂未检测到恶意***漏洞扫描器,服务器可以继续执行步骤301。
举例来说,假设服务器为FTP(File Transfer Protocol,文件传输协议)服务器,则FTP业务的端口号为21,即21属于本服务器的业务端口号。23为Telnet(远程终端协议)业务的端口号,25为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)业务的端口号,均属于本服务器的非业务端口号。用户可以将23设置为用于检测恶意***漏洞扫描器的检测端口号,则服务器在接收到访问请求后,可以检测所述访问请求的目的端口号是否为23,即该访问请求是否为面向所述检测端口的访问请求。用户也可以将23和25设置为用于检测恶意***漏洞扫描器的检测端口号,则服务器在接收到访问请求后,可以检测所述访问请求的目的端口号是否为23或25。
步骤302:将所述访问请求的源IP地址作为可疑IP地址进行记录。
在本实施例中,基于前述步骤301的判断结果,如果服务器接收到面向预设检测端口的访问请求,则说明在终端设备中可能存在恶意***漏洞扫描器,服务器可以提取该访问请求的源IP地址,并将该源IP地址作为可疑IP地址进行记录。
步骤303:统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。
在本实施例中,服务器可以根据访问请求的源IP地址和目的端口号,统计来自所述可疑IP地址,且面向所述预设检测端口的访问请求的数量。
在一个可选的实施例中,可以预先设置统计周期,服务器可以在该统计周期内进行统计。在达到预设的统计周期,如果在本步骤中统计到的数量小于等于预设的阈值,则服务器可以确定暂未检测到恶意***漏洞扫描器,可以将该数量清零,并重新开始统计。所述统计周期可以是用户设置的时间周期,也可以是缺省的默认周期,本申请不作特殊限制。
在一个可选的实施例中,针对来自所述可疑IP地址的访问请求,服务器可以针对一个检测端口,对所述访问请求的数量进行统计。举例来说,假设某可疑IP地址为IP1,用户设置的检测端口号有三个,分别为22、27和76。在本步骤中,在接收到源IP地址为IP1的访问请求后,服务器可以统计目的端口号为22的访问请求的数量,作为来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。同样,服务器也可以统计目的端口号为27的访问请求的数量,作为来自所述可疑IP地址,且面向所述检测端口的访问请求的数量,本申请对此不作特殊限制。
在另一个例子中,针对来自所述可疑IP地址的访问请求,服务器可以针对多个检测端口,对所述访问请求的数量进行统计。请继续参考上段的例子,在本步骤中,在接收到源IP地址为IP1的访问请求后,服务器在分别统计目的端口号为22、27和76的访问请求的数量后,可以将目的端口号为22和27的访问请求的数量相加,以作为来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。当然,服务器也可以针对所有检测端口进行统计,比如:服务器在分别统计目的端口号为22、27和76的访问请求的数量后,可以将目的端口号为22、27和76的访问请求的总数量作为来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。
步骤304:判断所述数量是否大于预设的阈值。若是,执行步骤305;否则,执行步骤303。
在本实施例中,服务器可以将在前述步骤303中统计到的数量与预设的阈值进行比较,以确定所述访问请求是否来自恶意***漏洞扫描器。其中,所述阈值可以是用户设置的数值,也可以是缺省的默认值,本申请不作特殊限制。如果该数量大于该阈值,则可以执行步骤305;如果该数量小于等于该阈值,则服务器可以确定暂未检测到恶意***漏洞扫描器,可以继续执行步骤303。
步骤305:确定所述访问请求的发送方为恶意***漏洞扫描器。
在本实施例中,基于前述步骤304的判断结果,如果所述数量大于所述阈值,则服务器可以确定所述访问请求来自恶意***漏洞扫描器,即所述访问请求的发送方为恶意***漏洞扫描器。
步骤306:针对所述恶意***漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意***漏洞扫描器的访问请求。
在本实施例中,服务器可以基于用户预先配置的处理规则,对在前述步骤305中确定的恶意***漏洞扫描器进行处理。具体地,服务器可以采用邮件、短信等或通过***日志针对该恶意***漏洞扫描器进行告警;或者,服务器也可以在预先设置的阻断周期内,将来自该恶意***漏洞扫描器的访问请求丢弃,以阻断该***漏洞扫描器对服务器信息的获取。
在一个可选的实施例中,可以不设置阻断周期,服务器可以在接收到来自在前述步骤305中确定的恶意***漏洞扫描器的访问请求后,将所述访问请求丢弃,以永久阻断该***漏洞扫描器对服务器信息的获取。
步骤307:将所述数量清零,并重新开始统计。
在本实施例中,服务器在前述步骤306中对恶意***漏洞扫描器进行处理后,可以将统计到的来自该恶意***漏洞扫描器的访问请求的数量清零,并重新开始统计。
由上述实施例可见,用户可以根据服务器提供的业务确定服务器的非业务端口,并将一个或多个所述非业务端口设置为用于检测恶意***漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。与相关技术中第一种方案相比,服务器可以根据接收到的面向非业务端口的访问请求,即异常的访问请求的数量,识别恶意***漏洞扫描器,提升了服务器识别恶意***漏洞扫描器的准确性。与相关技术中第二种方案相比,服务器可以在接收到访问请求后对恶意***漏洞扫描器进行识别,可以及时识别出恶意***漏洞扫描器;另外,恶意***漏洞扫描器是否修改了报文的特征码对服务器识别并无影响,提升了服务器识别恶意***漏洞扫描器的准确性。综合来看,本技术方案服务器可以快速准确地识别恶意***漏洞扫描器。
与前述恶意***漏洞扫描器的识别方法的实施例相对应,本申请还提供了恶意***漏洞扫描器的识别装置的实施例。
本申请恶意***漏洞扫描器的识别装置的实施例可以应用在服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请恶意***漏洞扫描器的识别装置所在服务器的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的服务器通常根据该恶意***漏洞扫描器识别的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5,为本申请一示例性实施例示出的一种恶意***漏洞扫描器的识别装置的框图,所述装置500可以应用于图4所示的服务器,包括:
记录单元501,用于在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;
统计单元502,用于统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
确定单元503,当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。
在一个可选的实施例中,所述装置500还可以包括:
第一清零单元504,用于在达到预设的统计周期时,如果所述数量小于等于所述阈值,则将所述数量清零,并重新开始统计。
在一个可选的实施例中,所述装置500还可以包括:
处理单元505,用于在确定所述访问请求的发送方为恶意***漏洞扫描器后,针对所述恶意***漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意***漏洞扫描器的访问请求。
在一个可选的实施例中,所述装置500还可以包括:
第二清零单元506,用于在针对所述恶意***漏洞扫描器进行告警或丢弃来自所述恶意***漏洞扫描器的访问请求后,将所述数量清零,并重新开始统计。
在一个可选的实施例中,所述统计单元502可以包括:
统计子单元5021,用于针对所有检测端口,统计来自所述可疑IP地址的访问请求的总数量。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种恶意***漏洞扫描器的识别方法,其特征在于,所述方法应用于服务器,所述方法包括:
在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口,所述非业务端口为与所述服务器提供的业务均不相关的端口;
统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在达到预设的统计周期时,如果所述数量小于等于所述阈值,则将所述数量清零,并重新开始统计。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述访问请求的发送方为恶意***漏洞扫描器后,针对所述恶意***漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意***漏洞扫描器的访问请求。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在针对所述恶意***漏洞扫描器进行告警或丢弃来自所述恶意***漏洞扫描器的访问请求后,将所述数量清零,并重新开始统计。
5.根据权利要求1所述的方法,其特征在于,所述统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量,包括:
针对所有检测端口,统计来自所述可疑IP地址的访问请求的总数量。
6.一种恶意***漏洞扫描器的识别装置,所述装置位于服务器,其特征在于,所述装置包括:
记录单元,用于在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口,所述非业务端口为与所述服务器提供的业务均不相关的端口;
统计单元,用于统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
确定单元,当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意***漏洞扫描器。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一清零单元,用于在达到预设的统计周期时,如果所述数量小于等于所述阈值,则将所述数量清零,并重新开始统计。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
处理单元,用于在确定所述访问请求的发送方为恶意***漏洞扫描器后,针对所述恶意***漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意***漏洞扫描器的访问请求。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二清零单元,用于在针对所述恶意***漏洞扫描器进行告警或丢弃来自所述恶意***漏洞扫描器的访问请求后,将所述数量清零,并重新开始统计。
10.根据权利要求6所述的装置,其特征在于,所述统计单元包括:
统计子单元,用于针对所有检测端口,统计来自所述可疑IP地址的访问请求的总数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610797257.3A CN106330944B (zh) | 2016-08-31 | 2016-08-31 | 恶意***漏洞扫描器的识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610797257.3A CN106330944B (zh) | 2016-08-31 | 2016-08-31 | 恶意***漏洞扫描器的识别方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106330944A CN106330944A (zh) | 2017-01-11 |
| CN106330944B true CN106330944B (zh) | 2020-01-03 |
Family
ID=57787278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610797257.3A Active CN106330944B (zh) | 2016-08-31 | 2016-08-31 | 恶意***漏洞扫描器的识别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106330944B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259473B (zh) * | 2017-12-29 | 2022-08-16 | 西安交大捷普网络科技有限公司 | Web服务器扫描防护方法 |
| CN109728969B (zh) * | 2018-05-18 | 2022-04-15 | 平安普惠企业管理有限公司 | 应用软件的异常用户侦测方法、监控服务端及存储介质 |
| CN110875898A (zh) * | 2018-08-29 | 2020-03-10 | 厦门白山耘科技有限公司 | 一种确定可疑ip的方法及装置 |
| CN109309679B (zh) * | 2018-09-30 | 2020-10-20 | 国网湖南省电力有限公司 | 一种基于tcp流状态的网络扫描检测方法及检测*** |
| CN111107101A (zh) * | 2019-12-30 | 2020-05-05 | 微梦创科网络科技(中国)有限公司 | 一种用于nginx的多维过滤请求的防火墙***及方法 |
| CN111314300B (zh) * | 2020-01-17 | 2022-03-22 | 广州华多网络科技有限公司 | 恶意扫描ip检测方法、***、装置、设备和存储介质 |
| CN111314326B (zh) * | 2020-02-01 | 2022-06-21 | 深信服科技股份有限公司 | Http漏洞扫描主机的确认方法、装置、设备及介质 |
| CN111447201A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置及电子设备和存储介质 |
| CN111586005B (zh) * | 2020-04-29 | 2022-12-27 | 杭州迪普科技股份有限公司 | 扫描器扫描行为识别方法及装置 |
| CN114244543B (zh) * | 2020-09-08 | 2024-05-03 | ***通信集团河北有限公司 | 网络安全防御方法、装置、计算设备及计算机存储介质 |
| CN112702335A (zh) * | 2020-12-21 | 2021-04-23 | 赛尔网络有限公司 | 一种教育网恶意ip识别方法及装置 |
| CN115022011B (zh) * | 2022-05-30 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184B (zh) * | 2011-12-02 | 2016-03-30 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN105450619A (zh) * | 2014-09-28 | 2016-03-30 | 腾讯科技(深圳)有限公司 | 恶意攻击的防护方法、装置和*** |
| CN105072089B (zh) * | 2015-07-10 | 2018-09-25 | 中国科学院信息工程研究所 | 一种web恶意扫描行为异常检测方法与*** |
| CN105491054B (zh) * | 2015-12-22 | 2018-12-11 | 网易(杭州)网络有限公司 | 恶意访问的判断方法、拦截方法与装置 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
-
2016
- 2016-08-31 CN CN201610797257.3A patent/CN106330944B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106330944A (zh) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106330944B (zh) | 恶意***漏洞扫描器的识别方法和装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US11848950B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
| CN107659583B (zh) | 一种检测事中攻击的方法及*** | |
| Liu et al. | Cloudy with a chance of breach: Forecasting cyber security incidents | |
| CN106470214B (zh) | 攻击检测方法和装置 | |
| JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
| CN1946077B (zh) | 基于及早通知检测异常业务的***和方法 | |
| US8056115B2 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
| JP4364901B2 (ja) | アタックデータベース構造 | |
| EP2953298A1 (en) | Log analysis device, information processing method and program | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| JP2007094997A (ja) | Idsのイベント解析及び警告システム | |
| US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| KR20180031570A (ko) | 의심스러운 전자 메시지를 검출하기 위한 기술 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
| CN112153062A (zh) | 基于多维度的可疑终端设备检测方法及*** | |
| KR101308085B1 (ko) | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210616 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 310051, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang. Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |