CN107395637A - http隧道主动检测方法、终端设备及存储介质 - Google Patents
http隧道主动检测方法、终端设备及存储介质 Download PDFInfo
- Publication number
- CN107395637A CN107395637A CN201710753460.5A CN201710753460A CN107395637A CN 107395637 A CN107395637 A CN 107395637A CN 201710753460 A CN201710753460 A CN 201710753460A CN 107395637 A CN107395637 A CN 107395637A
- Authority
- CN
- China
- Prior art keywords
- http
- steps
- server
- packet
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种http隧道主动检测方法,包括如下步骤,S1:持续监听通过端口连接网络的http数据包,直到监听到http数据包,则进入S2步骤;S2:对监听到的http数据包进行静态检测,判断是否符合http协议标准,若是,则进入S3步骤;若否,则进入S6步骤;S3:对本次连接的上行流量和下行流量进行比较,判断流量的差值是否超出阈值,若是,则进入S4步骤;若否,则进入S5步骤;S4:主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,若是,则进入S5步骤;若否,则进入S6步骤;S5:放行本次连接的数据包;S6:拦截本次连接的数据包,预警并进行日志记录。
Description
技术领域
本发明涉及计算机网络技术领域,具体是一种http隧道主动检测方法、终端设备及存储介质。
背景技术
随着防火墙技术的发展,很多传统的反弹型木马程序在严密的防火墙规则下无法正常回联,目前主流的木马穿透防火墙的技术主要为两种:端口复用和http隧道,其中http隧道的方式在常见APT攻击中占绝大多数,这是因为即使防范严密的内网大都会留有http或https上网通道。这个上网通道也被利用来成为很多木马程序进行回连的通道,木马程序会将其使用的通信协议封装在http隧道里进行传输。对于该类木马普通的防火墙已束手无策,本文描述了一种新型的检测技术,该检测技术可以有效的对这类恶意网络行为进行检测。
普通的防火墙一般采用被动式的检测,就是通过对已建立连接数据包进行分析,通过http协议的特征进行判断,例如通过检测http请求的user-agent字段,是否常见的浏览器类型,检测是否常见的GET、POST、HEAD、CONNECT请求,检测从服务器返回的错误码是否常见的404,200,302,利用协议标准来判断是否恶意的http隧道数据包。例如申请号为201310248911.1的中国发明专利描述的就是这类方法。该方法对于一些古老的木马程序还是有效果的,但是对于一些经过精心设计开发的APT攻击程序来说就无能为力了,因为木马程序可以完全的模拟http协议,精心的构造出类似正常网页浏览的数据包。
发明内容
为了解决上述问题,本发明提供一种http隧道主动检测方法、终端设备及存储介质,通过对目标服务器进行主动式探测,对疑似木马服务器IP和端口发送构造好的数据包,结合目标服务器指纹特征识别技术,从而更准确判断是否恶意的http隧道连接,甚至可以识别对内网进行的未知APT攻击。
本发明一种http隧道主动检测方法,包括如下步骤:
S1:监听数据包:持续监听通过端口连接网络的http数据包,直到有监听到http数据包,则进入S2步骤;
S2:检测数据包:对监听到的http数据包进行静态检测,判断是否符合http协议标准,若是,则进入S3步骤;若否,则进入S6步骤;
S3:本次连接的流量比较:对本次连接的上行http流量和下行http流量进行比较,判断流量的差值是否超出阈值,若是,则进入S4步骤;若否,则进入S5步骤;
S4:服务器探测:主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,若是,则进入S5步骤;若否,则进入S6步骤;
S5:放行数据包:对本次连接的数据包进行放行,并返回S1步骤;
S6:拦截数据包:对本次连接的数据包进行拦截,同时预警并进行相应的日志记录,并返回S1步骤。
进一步的,S2中,判断是否符合http协议标准,具体为:检查客户端发给服务端的请求命令是否符合http协议标准,检查服务端发给客户端的响应信息是否符合http协议标准。
进一步的,S3中,判断流量的差值是否超出阈值,具体为:若上行http流量超出下行http流量,且差值大于或等于阈值,则判定为流量的差值超出阈值,若上行http流量超出下行http流量,且差值小于阈值,或上行http流量未超出下行http流量,则判定为流量的差值未超出阈值。
进一步的,S4中,主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,具体为:主动发起对本次连接的数据包的目标服务器的探测,通过对目标服务器发送HEAD请求数据包,将返回的数据包和http服务器的特征模板进行匹配,若匹配成功则目标服务器匹配http服务器的指纹特征,若匹配不成功则目标服务器不匹配http服务器的指纹特征。
更进一步的,S4中,http服务器的指纹特征包括:各类http服务程序的标识和http服务器对畸形HTTP头的处理。
本发明一种http隧道主动检测终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现http隧道主动检测方法的步骤。
本发明一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现http隧道主动检测方法的步骤。
本发明的有益效果:
本发明在传统的http隧道检测方法(即利用http协议标准对双向的数据包进行检测)的基础上,进一步通过对比上行和下行的流量大小及差值,通过设定好的预警阈值进行匹配,对于匹配到的网络连接的目标服务器进行主动探测,判断是否匹配主流http服务器的指纹特征,如果匹配则放行数据包,不匹配则拦截并预警。从而更准确判断是否恶意的http隧道连接,甚至可以识别对内网进行的未知APT攻击。且通过流量过滤减轻了主动探测的工作量,使检测结果更加高效和准确。
附图说明
图1为本发明实施例一的方法流程图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
现结合附图和具体实施方式对本发明进一步说明。
本发明部署于内网出***换机,适用于内网有上网浏览网页的需求,同时又有数据保密的需求的单位或企业,能有效的检测出利用http隧道进行恶意连接的网络行为,确保内网数据的安全性。
APT攻击中用的木马大多具有这样的行为特征:试图从入侵的主机中获取到一些敏感信息或重要情报。而正常用户在使用浏览器访问网站过程中的主要行为是从网站获取数据,虽然也可能会有上传的行为但是相对来说较少,尤其对于一些对保密性有较高要求的企业或者政府部门来说,未经允许的文件上传也是容易导致信息泄露的途径。本发明的检测方法首先通过对比上行和下行的流量大小及差值,通过设定好的预警阈值进行匹配,对于匹配到的网络连接进行主动探测,判断是否匹配主流http服务器的特征,如果匹配则放行数据包,不匹配则拦截并预警。检测流程图如图1所示。
实施例一:
请参阅图1所示,本发明提供了一种http隧道主动检测方法,包括如下步骤:
S1:监听数据包:持续监听通过端口连接网络的http数据包,直到有监听到http数据包,则进入S2步骤;
S2:检测数据包:对监听到的http数据包进行静态检测,判断是否符合http协议标准,
判断是否符合http协议标准,具体为:检查客户端发给服务端的请求命令是否符合http协议标准,检查服务端发给客户端的响应信息是否符合http协议标准。
若是,则进入S3步骤;若否,则进入S6步骤;
S3:本次连接的流量比较:对本次连接的上行http流量和下行http流量进行比较,判断流量的差值是否超出阈值,
判断流量的差值是否超出阈值,具体为:若上行http流量超出下行http流量,且差值大于或等于阈值,则判定为流量的差值超出阈值,若上行http流量超出下行http流量,且差值小于阈值,或上行http流量未超出下行http流量,则判定为流量的差值未超出阈值。
若是,则进入S4步骤;若否,则进入S5步骤;
S4:服务器探测:主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,
主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,具体为:主动发起对本次连接的数据包的目标服务器的探测,通过对目标服务器发送HEAD请求数据包,将返回的数据包和http服务器的特征模板进行匹配,若匹配成功则目标服务器匹配http服务器的指纹特征,若匹配不成功则目标服务器不匹配http服务器的指纹特征。http服务器的指纹特征包括:各类http服务程序的标识和http服务器对畸形HTTP头的处理。
若是,则进入S5步骤;若否,则进入S6步骤;
S5:放行数据包:对本次连接的数据包进行放行,并返回S1步骤;
S6:拦截数据包:对本次连接的数据包进行拦截,同时预警并进行相应的日志记录,并返回S1步骤。
其中,http服务器的指纹特征主要包括各类http服务程序的标识,通过发送HEAD数据包,可以获取到各类web服务程序的banner标识,例如对不同的httpserver发送HEAD请求,其返回的数据包如表一所示:
表一
通过匹配返回的Server字段就可以判断出是哪种http服务器。
http服务器的指纹特征还包括http服务器对畸形HTTP头的处理,如表二所示:
| http server | 请求包格式 | 回包格式 |
| IIS | HEAD/HTTP/3.0 | HTTP/1.1 200OK |
| Apache | HEAD/HTTP/3.0 | HTTP/1.1 400Bad Request |
表二
通过对市面上主流的http服务器进行大量测试和总结,得到类似的一些特征模板,通过模板匹配算法对返回的数据包进行匹配,符合主流http服务器的特征则放行,不匹配的进行拦截并预警。
该方法对利用http隧道的恶意程序具有很好的检测效果,由于http隧道木马都无法并且也没有必要完整的模拟http服务器,尤其是对一些畸形包的处理,http隧道木马服务器无法预知并返回相应特征的数据包,且通过流量模型对数据包进行预先过滤,减轻了主动探测的工作量,使检测结果更加高效和准确,采用该方法对近期发现的几款采用http隧道的木马进行检测,检出率达到100%。
实施例二:
本发明还提供一种http隧道主动检测终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述方法实施例中的步骤,例如图1所示的步骤的方法步骤。
进一步地,作为一个可执行方案,所述http隧道主动检测终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述http隧道主动检测终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述http隧道主动检测终端设备的组成结构仅仅是http隧道主动检测终端设备的示例,并不构成对http隧道主动检测终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述http隧道主动检测终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述http隧道主动检测终端设备的控制中心,利用各种接口和线路连接整个http隧道主动检测终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述http隧道主动检测终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述http隧道主动检测终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
本发明一种http隧道主动检测方法,在传统的http隧道检测方法(即利用http协议标准对双向的数据包进行检测)的基础上,进一步通过对比上行和下行的流量大小及差值,通过设定好的预警阈值进行匹配,对于匹配到的网络连接的目标服务器进行主动探测,判断是否匹配主流http服务器的指纹特征,如果匹配则放行数据包,不匹配则拦截并预警。从而更准确判断是否恶意的http隧道连接,甚至可以识别对内网进行的未知APT攻击。且通过流量过滤减轻了主动探测的工作量,使检测结果更加高效和准确。。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (7)
1.一种http隧道主动检测方法,其特征在于:包括如下步骤:
S1:监听数据包:持续监听通过端口连接网络的http数据包,直到有监听到http数据包,则进入S2步骤;
S2:检测数据包:对监听到的http数据包进行静态检测,判断是否符合http协议标准,若是,则进入S3步骤;若否,则进入S6步骤;
S3:本次连接的流量比较:对本次连接的上行http流量和下行http流量进行比较,判断流量的差值是否超出阈值,若是,则进入S4步骤;若否,则进入S5步骤;
S4:服务器探测:主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,若是,则进入S5步骤;若否,则进入S6步骤;
S5:放行数据包:对本次连接的数据包进行放行,并返回S1步骤;
S6:拦截数据包:对本次连接的数据包进行拦截,同时预警并进行相应的日志记录,并返回S1步骤。
2.如权利要求1所述的http隧道主动检测方法,其特征在于:S2中,判断是否符合http协议标准,具体为:检查客户端发给服务端的请求命令是否符合http协议标准,检查服务端发给客户端的响应信息是否符合http协议标准。
3.如权利要求1所述的http隧道主动检测方法,其特征在于:S3中,判断流量的差值是否超出阈值,具体为:若上行http流量超出下行http流量,且差值大于或等于阈值,则判定为流量的差值超出阈值,若上行http流量超出下行http流量,且差值小于阈值,或上行http流量未超出下行http流量,则判定为流量的差值未超出阈值。
4.如权利要求1所述的http隧道主动检测方法,其特征在于:S4中,主动发起对本次连接的数据包的目标服务器的探测,判断目标服务器是否匹配http服务器的指纹特征,具体为:主动发起对本次连接的数据包的目标服务器的探测,通过对目标服务器发送HEAD请求数据包,将返回的数据包和http服务器的特征模板进行匹配,若匹配成功则目标服务器匹配http服务器的指纹特征,若匹配不成功则目标服务器不匹配http服务器的指纹特征。
5.如权利要求4所述的http隧道主动检测方法,其特征在于:S4中,http服务器的指纹特征包括:各类http服务程序的标识和http服务器对畸形HTTP头的处理。
6.一种http隧道主动检测终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于:所述处理器执行所述计算机程序时实现如权利要求1-5所述方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-5所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710753460.5A CN107395637A (zh) | 2017-08-29 | 2017-08-29 | http隧道主动检测方法、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710753460.5A CN107395637A (zh) | 2017-08-29 | 2017-08-29 | http隧道主动检测方法、终端设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107395637A true CN107395637A (zh) | 2017-11-24 |
Family
ID=60345472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710753460.5A Pending CN107395637A (zh) | 2017-08-29 | 2017-08-29 | http隧道主动检测方法、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395637A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109214189A (zh) * | 2018-08-22 | 2019-01-15 | 深圳市腾讯网络信息技术有限公司 | 识别程序漏洞的方法、装置、存储介质和电子设备 |
| CN110311850A (zh) * | 2019-07-04 | 2019-10-08 | 北京天融信网络安全技术有限公司 | 一种基于网络的数据处理方法及电子设备 |
| CN111327596A (zh) * | 2020-01-19 | 2020-06-23 | 深信服科技股份有限公司 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN103731429A (zh) * | 2014-01-08 | 2014-04-16 | 深信服网络科技(深圳)有限公司 | web应用漏洞检测方法及装置 |
| CN105227599A (zh) * | 2014-06-12 | 2016-01-06 | 腾讯科技(深圳)有限公司 | Web应用的识别方法和装置 |
| CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
| US20170093917A1 (en) * | 2015-09-30 | 2017-03-30 | Fortinet, Inc. | Centralized management and enforcement of online behavioral tracking policies |
| CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测*** |
| US20170223049A1 (en) * | 2016-01-29 | 2017-08-03 | Zenedge, Inc. | Detecting Human Activity to Mitigate Attacks on a Host |
-
2017
- 2017-08-29 CN CN201710753460.5A patent/CN107395637A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN103731429A (zh) * | 2014-01-08 | 2014-04-16 | 深信服网络科技(深圳)有限公司 | web应用漏洞检测方法及装置 |
| CN105227599A (zh) * | 2014-06-12 | 2016-01-06 | 腾讯科技(深圳)有限公司 | Web应用的识别方法和装置 |
| US20170093917A1 (en) * | 2015-09-30 | 2017-03-30 | Fortinet, Inc. | Centralized management and enforcement of online behavioral tracking policies |
| CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测*** |
| US20170223049A1 (en) * | 2016-01-29 | 2017-08-03 | Zenedge, Inc. | Detecting Human Activity to Mitigate Attacks on a Host |
| CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109214189A (zh) * | 2018-08-22 | 2019-01-15 | 深圳市腾讯网络信息技术有限公司 | 识别程序漏洞的方法、装置、存储介质和电子设备 |
| CN109214189B (zh) * | 2018-08-22 | 2022-05-24 | 深圳市腾讯网络信息技术有限公司 | 识别程序漏洞的方法、装置、存储介质和电子设备 |
| CN110311850A (zh) * | 2019-07-04 | 2019-10-08 | 北京天融信网络安全技术有限公司 | 一种基于网络的数据处理方法及电子设备 |
| CN111327596A (zh) * | 2020-01-19 | 2020-06-23 | 深信服科技股份有限公司 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
| CN111327596B (zh) * | 2020-01-19 | 2022-08-05 | 深信服科技股份有限公司 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US20190213326A1 (en) | Self-adaptive application programming interface level security monitoring | |
| US11113412B2 (en) | System and method for monitoring and verifying software behavior | |
| US20200028864A1 (en) | Non-harmful insertion of data mimicking computer network attacks | |
| CN103929440B (zh) | 基于web服务器缓存匹配的网页防篡改装置及其方法 | |
| CN109167754A (zh) | 一种网络应用层安全防护*** | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| CN107465651A (zh) | 网络攻击检测方法及装置 | |
| Jiang et al. | Multi‐scale anomaly detection for high‐speed network traffic | |
| CN107196950A (zh) | 校验方法、装置及服务端 | |
| CN106027520A (zh) | 一种检测处理盗取网站帐号的方法及装置 | |
| CN107395637A (zh) | http隧道主动检测方法、终端设备及存储介质 | |
| CN106161453A (zh) | 一种基于历史信息的SSLstrip防御方法 | |
| CN103152325B (zh) | 防止通过共享方式访问互联网的方法及装置 | |
| CN107302586A (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN107871279A (zh) | 用户身份验证方法及应用服务器 | |
| Zalewski et al. | Threat modeling for security assessment in cyberphysical systems | |
| CN102880698B (zh) | 一种抓取网站确定方法及装置 | |
| CN113191892A (zh) | 基于设备指纹的账户风险防控方法、装置、***及介质 | |
| US20240236133A1 (en) | Detecting Data Exfiltration and Compromised User Accounts in a Computing Network | |
| CN110572402A (zh) | 基于网络访问行为分析的互联网托管网站检测方法、***和可读存储介质 | |
| CN107103243A (zh) | 漏洞的检测方法及装置 | |
| CN105404796A (zh) | 一种JavaScript源文件保护的方法及装置 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| US8683568B1 (en) | Using packet interception to integrate risk-based user authentication into online services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171124 |
|
| WD01 | Invention patent application deemed withdrawn after publication |