CN107733699B - 互联网资产安全管理方法、***、设备及可读存储介质 - Google Patents
互联网资产安全管理方法、***、设备及可读存储介质 Download PDFInfo
- Publication number
- CN107733699B CN107733699B CN201710901081.6A CN201710901081A CN107733699B CN 107733699 B CN107733699 B CN 107733699B CN 201710901081 A CN201710901081 A CN 201710901081A CN 107733699 B CN107733699 B CN 107733699B
- Authority
- CN
- China
- Prior art keywords
- domain name
- target sub
- sub
- information
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Biomedical Technology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种互联网资产安全管理方法、***、设备及可读存储介质,该方法包括:利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;对所述目标子域名进行***,以提升目标资产的安全性;其中,所述目标资产为所述目标子域名对应的互联网资产。本发明通过利用顶级域名收集子域名的方法完成对暴露在互联网上的资产的统计,进而对暴露在互联网上的资产进行***,即对暴露在互联网上的资产中存在安全漏洞的资产进行防御,实现对暴露在互联网上的资产的安全管理,从而保护企业的资产安全。
Description
技术领域
本发明涉及互联网安全领域,特别涉及一种互联网资产安全管理方法、***、设备及可读存储介质。
背景技术
互联网信息时代,企业的资产不仅包括有形的货币、物质资产,而且还包括分布在互联网上的资产。互联网资产是指企业的一切网络资产,既包括硬件设备等物理资产,也包括一切与企业相关的虚拟资产,例如软件、网站、IP、域名、企业员工信息等。
然而,监管不到位的互联网资产是黑客入侵的突破口。而企业采用的传统网络安全防御设备,注重企业内网及门户网站的防御,但是无法对企业的暴露在互联网上的资产进行详细的统计,从而不能实现对企业互联网上的资产进行安全管理。而黑客入侵往往利用的是存在安全漏洞的互联网上的资产,当拿到存在安全漏洞的互联网上的资产的控制权后,再通过将其作为跳板一步步的渗透到整个企业网络,从而给企业造成巨大的财产损失。
因此,如何对企业暴露在互联网上的资产进行安全管理是本领域技术人员亟待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种互联网资产安全管理方法,实现对暴露在互联网上的资产的安全管理。其具体方案如下:
一种互联网资产安全管理方法,包括:
利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;
对所述目标子域名进行***,以提升目标资产的安全性;
其中,所述目标资产为所述目标子域名对应的互联网资产。
可选的,所述利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名的过程包括:
利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
可选的,所述对所述目标子域名进行***,以提升目标资产的安全性的过程包括:
对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备,如果否,则对所述目标子域名所在的服务器进行防御。
可选的,所述对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备的过程包括:
分别向所述目标子域名发送攻击请求与正常请求;
若攻击请求被丢包或攻击请求再次访问所述目标子域名时无法连接,则判定所述目标子域名所在的服务器有防御设备;
若所述目标子域名对攻击请求与正常请求的响应一致,则判定所述目标子域名所在的服务器无防御设备。
可选的,所述对所述目标子域名进行***,以提升目标资产的安全性的过程,包括:
监控所述目标子域名;
汇总所述目标子域名的相关信息,得到目标子域名信息;
将当前目标子域名信息与上次目标子域名信息进行比对,以判断当前目标子域名信息与上次目标子域名信息相比是否存在异动情况,如果是,则向用户终端发送告警信息和/或对存在异动情况的子域名所在的服务器进行防御;
其中,所述目标子域名信息包括所述目标子域名的Web应用指纹信息和/或有无防御设备信息和/或端口状态信息和/或操作***信息和/或敏感信息;所述异动情况包括子域名异动和/或网站页面异动和/或web应用指纹异动和/或防御设备异动和/或端口服务异动和/或敏感信息异动。
可选的,所述汇总所述目标子域名的相关信息,得到目标子域名信息的过程包括:
对所述目标子域名进行Web应用指纹识别和/或防御设备识别和/或端口开放或关闭状态识别和/或操作***识别和/或敏感信息收集,得到所述目标子域名的相关信息;
对所述目标子域名的相关信息进行去重降噪处理,得到目标子域名信息。
可选的,所述对所述目标子域名进行Web应用指纹识别,得到所述目标子域名的Web指纹信息的过程包括:
通过将目标子域名包含的信息与预设的指纹库作比对,得到所述目标子域名的Web指纹信息。
可选的,所述对所述目标子域名的端口进行开放或关闭状态识别,得到所述目标子域名对应的端口状态信息的过程包括:
若所述目标子域名对应的端口有防御设备,则利用第一端口服务探测方式得到所述端口状态信息;
若所述目标子域名对应的端口无防御设备,则利用第二端口服务探测方式得到所述端口状态信息;
其中,所述第一端口探测方式为探测速度低于正常探测速度的端口服务探测方式;所述第二端口探测方式为探测速度为正常探测速度的端口服务探测方式。
可选的,所述对所述目标子域名的相关信息进行降噪处理,得到目标子域名信息的过程包括:
统计不同的互联网资产收集节点将所述目标子域名对应的端口识别为开放状态的比例;
将所述比例与预设比例阈值作比较;若所述比例大于或等于所述预设比例阈值,则判定所述目标子域名对应的端口为开放状态;若所述比例小于所述预设比例阈值,则判定所述目标子域名对应的端口为关闭状态。
相应的,本发明还公开了一种互联网资产安全管理***,包括:
子域名确定模块,用于利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;
子域名***模块,用于对所述目标子域名进行***,以提升目标资产的安全性;
其中,所述目标资产为所述目标子域名对应的互联网资产。
可选的,所述子域名确定模块,具体用于利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
可选的,所述子域名***模块,具体用于对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备,如果否,则对所述目标子域名所在的服务器进行防御。
可选的,所述子域名***模块包括:
防御设备判断子模块,用于分别向所述目标子域名发送攻击请求与正常请求;若攻击请求被丢包或攻击请求再次访问所述目标子域名时无法连接,则判定所述目标子域名所在的服务器有防御设备;若所述目标子域名对攻击请求与正常请求的响应一致,则判定所述目标子域名所在的服务器无防御设备。
可选的,所述子域名***模块包括:
子域名监控子模块,用于监控所述目标子域名;
子域名信息汇总子模块,用于汇总所述目标子域名的相关信息,得到目标子域名信息;
子域名信息比对处理子模块,用于将当前目标子域名信息与上次目标子域名信息进行比对,以判断当前目标子域名信息与上次目标子域名信息相比是否存在异动情况,如果是,则向用户终端发送告警信息和/或对存在异动情况的子域名所在的服务器进行防御;
其中,所述目标子域名信息包括所述目标子域名的Web应用指纹信息和/或有无防御设备信息和/或端口状态信息和/或操作***信息和/或敏感信息;所述异动情况包括子域名异动和/或网站页面异动和/或web应用指纹异动和/或防御设备异动和/或端口服务异动和/或敏感信息异动。
可选的,所述子域名信息汇总子模块包括:
子域名相关信息收集单元,用于对目标子域名进行Web应用指纹识别和/或防御设备识别和/或端口开放或关闭状态识别和/或操作***识别和/或敏感信息收集,得到目标子域名的相关信息;
子域名信息去重降噪单元,用于对目标子域名的相关信息进行去重降噪处理,得到目标子域名信息。
可选的,所述子域名相关信息收集单元,具体用于通过将目标子域名包含的信息与预设的指纹库作比对,得到所述目标子域名的Web指纹信息。
可选的,所述子域名相关信息收集单元,具体用于若所述目标子域名对应的端口有防御设备,则利用第一端口服务探测方式得到所述端口状态信息;
若所述目标子域名对应的端口无防御设备,则利用第二端口服务探测方式得到所述端口状态信息;
其中,所述第一端口探测方式为探测速度低于正常探测速度的端口服务探测方式;所述第二端口探测方式为探测速度为正常探测速度的端口服务探测方式。
可选的,所述子域名信息去重降噪单元,具体用于统计不同的互联网资产收集节点将所述目标子域名对应的端口识别为开放状态的比例;将所述比例与预设比例阈值作比较;若所述比例大于或等于所述预设比例阈值,则判定所述目标子域名对应的端口为开放状态;若所述比例小于所述预设比例阈值,则判定所述目标子域名对应的端口为关闭状态。
本发明还公开了一种互联网资产安全管理设备,所述互联网资产安全管理设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的互联网资产安全管理程序,所述互联网资产安全管理程序配置为实现上述互联网资产安全管理方法的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有互联网资产安全管理程序,所述互联网资产安全管理程序被处理器执行时实现上述互联网资产安全管理方法的步骤。
本发明公开的互联网资产安全管理方法,利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;对所述目标子域名进行***,以提升所述目标子域名对应的互联网资产的安全性。可见,本发明通过利用顶级域名收集子域名的方法完成对暴露在互联网上的资产的统计,进而对暴露在互联网上的资产进行***,对暴露在互联网上的资产中存在安全漏洞的资产进行防御,实现对暴露在互联网上的资产的安全管理,从而保护企业的资产安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明公开的一种互联网资产安全管理方法的流程图;
图2为本发明公开的一种具体的互联网资产安全管理方法的流程图;
图3为本发明公开的另外一种具体的互联网资产安全管理方法的流程图;
图4为本发明公开的一种互联网资产安全管理方法的具体实施流程图;
图5为本发明公开的暴露在互联网上的资产收集的具体实施流程图;
图6为本发明公开的异动监控的具体实施流程图;
图7为本发明公开的一种互联网资产安全管理***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种互联网资产安全管理方法,参见图1所述的流程图,该方法包括:
步骤S11:利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名。
其中,上述暴露在互联网上的资产可以是企业的官方网站,利用企业的官方网站获取企业的顶级域名信息,接着利用获取的顶级域名信息收集对应的暴露在互联网上的子域名信息。例如,百度的官方网站是www.***.com,那么百度的顶级域名是***.com,利用***.com收集百度暴露在互联网上的子域名,如baike.***.com,zhidao.***.com,union.***.com等。
步骤S12:对目标子域名进行***,以提升目标资产的安全性;
其中,上述目标资产为目标子域名对应的互联网资产。
可以理解的是,对目标子域名进行***的目的是发现目标资产是否存在安全漏洞,如果存在安全漏洞,则将该目标资产存在的安全漏洞反馈至用户终端,用户终端根据接收的信息对相应的互联网资产进行安全防御。主动发现安全漏洞正是黑客入侵企业互联网资产的必要步骤之一,因此本发明实施例是从黑客视角得到的互联网资产安全管理方法,与现有的防御方法相比更具有针对性,因而更有效。
可见,本发明实施例通过利用顶级域名收集子域名的方法完成对暴露在互联网上的资产的统计,进而对暴露在互联网上的资产进行***,即对暴露在互联网上的资产中存在安全漏洞的资产进行防御,实现对暴露在互联网上的资产的安全管理,从而保护企业的资产安全。
本发明还公开了一种具体的互联网资产安全管理方法,参见图2所示,该方法包括:
步骤S21:利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
可以理解的是,利用上述搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用可以获取全面、详细的暴露在互联网上的资产。利用搜索引擎查询获取子域名,例如,利用site:163.com获取网易的子域名信息。利用DNS解析记录查询获取子域名,例如,利用nslookup命令进行查询子域名信息,得到目标子域名。
步骤S22:对目标子域名进行防御设备识别,以判断目标子域名所在的服务器是否有防御设备,如果否,则对目标子域名所在的服务器进行防御。
上述步骤中对目标子域名进行防御设备识别,以判断目标子域名所在的服务器是否有防御设备的过程包括:分别向目标子域名发送攻击请求与正常请求;若攻击请求被丢包或攻击请求再次访问所述目标子域名时无法连接,则判定目标子域名所在的服务器有防御设备;若目标子域名对攻击请求与正常请求的响应一致,则判定目标子域名所在的服务器无防御设备。具体的,可以分别从目标子域名对攻击请求的响应信息以及对正常请求的响应信息中,提取部分特征点信息,相应地得到第一组响应特征点信息以及第二组响应特征点信息,然后比较上述两组响应特征点信息之间是否相一致,如果是,则可以认定目标子域名对攻击请求与正常请求的响应一致,如果否,则可以认定目标子域名对攻击请求与正常请求的响应不一致。可以理解的是,上述从响应信息中提取的部分特征点信息所对应的特征点种类可以预先由人工进行设定或由***自动根据请求的类型来进行设定。
可以理解的是,当目标子域名所在的服务器无防御设备,将无防御设备的子域名信息反馈至用户终端,用户终端对无防御设备的子域名所在的服务器进行防御,可见,这种针对无防御设备情况的主动防御,针对性强,因而更有效。当然,针对有防御设备的子域名所在的服务器,可以根据防御设备的安全系数,将安全系数低的防御设备更新为安全系数更高的防御设备。
本发明还公开了另外一种具体的互联网资产安全管理方法,参见图3所示,该方法包括:
步骤S31:利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
步骤S32:对目标子域名进行安全监控,并汇总、比对目标子域名信息。
上述步骤S32具体包括以下子步骤S321至S323:
步骤S321:监控所述目标子域名。
可以理解的是监控目标子域名,即监控目标子域名对应的互联网资产。
步骤S322:汇总所述目标子域名的相关信息,得到目标子域名信息。
其中,上述目标子域名信息包括目标子域名的Web应用指纹信息和/或有无防御设备信息和/或端口状态信息和/或操作***信息和/或敏感信息。
上述汇总目标子域名的相关信息,得到目标子域名信息的过程包括下面步骤S3221和S3222:
步骤S3221:对目标子域名进行Web应用指纹识别和/或防御设备识别和/或端口开放或关闭状态识别和/或操作***识别和/或敏感信息收集,得到所述目标子域名的相关信息。
其中,上述对所述目标子域名进行Web应用指纹识别,得到所述目标子域名的Web指纹信息的过程包括:通过将目标子域名包含的信息与预设的指纹库作比对,得到所述目标子域名的Web指纹信息。具体的,根据收集的web应用指纹信息,如HTTP Head头中的关键字、网页中的关键字、特定文件MD5、指定URL关键字、指定URL的TAG模式等,与目标子域名网站页面及HTTP Head头等进行字符串或正则匹配,并以此完成对该域名进行web指纹信息收集。
本实施例中,对目标子域名是否有防御设备的识别参见步骤S22,在此不再赘述。
上述所述目标子域名的端口进行开放或关闭状态识别,得到所述目标子域名对应的端口状态信息的过程包括:
若所述目标子域名对应的端口有防御设备,则利用第一端口服务探测方式得到所述端口状态信息;
若所述目标子域名对应的端口无防御设备,则利用第二端口服务探测方式得到所述端口状态信息;
其中,所述第一端口探测方式为探测速度低于正常探测速度的端口服务探测方式,具体的实施方式是发送让防御设备无法或难以察觉的请求包;所述第二端口探测方式为探测速度为正常探测速度的端口服务探测方式。
上述对目标子域名进行操作***进行识别,获取目标子域名的操作***信息的方法为:依据操作***对不同探测包的返回内容查询相应的指纹库来做识别。需要说明的是,这里不同的操作***对不同的探测包做出的回应各不相同,是这一技术实现的前提;其次在很多应用中也会不经意的泄露了操作***信息。该方法是黑客在入侵时必须知晓的信息,不同的***版本可能有很多公开的漏洞,黑客可以在知晓了这些***的信息后利用该***存在的漏洞进行攻击;其次对于本监控***来说,知晓自己的资产使用了哪些操作***,可以在爆发***漏洞的时候,快速的排查自己的资产是否存在可能的入侵威胁。
上述目标子域名的敏感信息的收集过程为:一方面是从企业已有的网站出发,利用搜索引擎、爬虫等去探测是否存在一些敏感信息泄露;另一方面是去开源代码托管平台查看是否存在企业相关人员泄露的代码、密钥等信息。主要利用关键字、正则匹配及Googlehacking等技术进行搜集。
步骤S3222:对目标子域名的相关信息进行去重降噪处理,得到目标子域名信息。
本实施例中,对所述目标子域名的相关信息进行降噪处理,得到目标子域名信息的过程包括:
统计不同的互联网资产收集节点将所述目标子域名对应的端口识别为开放状态的比例;
将所述比例与预设比例阈值作比较;若所述比例大于或等于所述预设比例阈值,则判定所述目标子域名对应的端口为开放状态;若所述比例小于所述预设比例阈值,则判定所述目标子域名对应的端口为关闭状态。
例如:比例阈值设置为0.7,若总共有十个不同的互联网资产收集节点对同一个域名进行了端口开放情况识别,其中8个互联网资产收集节点识别到22号端口开放,2个互联网资产收集节点识别22号端口关闭,此时的22号端口开放比例为8/10=0.8高于设置的比例阈值0.7,则判定该域名服务器的22端口为开放状态,反之若多个互联网资产收集节点探测到的端口开放比例低于阈值0.7则判定该端口为关闭状态。
步骤S323:将当前目标子域名信息与上次目标子域名信息进行比对,以判断当前目标子域名信息与上次目标子域名信息相比是否存在异动情况,如果是,则向用户终端发送告警信息和/或对存在异动情况的子域名所在的服务器进行防御。
其中,所述异动情况包括子域名异动和/或网站页面异动和/或web应用指纹异动和/或防御设备异动和/或端口服务异动和/或敏感信息异动。
具体的,子域名异动情况包括新增子域名或减少子域名。而新增子域名或减少子域名都可能对应着安全事件。其中,子域名新增可能是上线了新的资产,这里若未对该资产进行严格的安全检测,将会成为黑客入侵的一大突破口;子域名减少,可能是服务器出现问题、遇到DDOS攻击等,也需引起重视。
网站页面异动情况包括新增网站页面。网站页面增加可能是黑客上传了后门文件。
web应用指纹异动情况代表着网站新增或下线某些应用或插件,这些新增的应用或插件可能存在安全漏洞,成为黑客入侵的新突破口。
防御设备异动情况包括防御设备的下线,防御设备的下线将使服务器处于不安全状态,极大的增加了入侵成功的概率;其次,防御设备的不明原因关闭也可能是黑客入侵成功后进行手动关闭的,需引起高度重视。
端口服务异动情况包括端口服务增加和端口服务减少。端口服务增加扩大了攻击面,例如新增了3306mysql服务,将给黑客提供很大的攻击成功可能性;也可能是代表服务器已被成功入侵;端口服务减少则可能影响了正常业务使用。
敏感信息异动情况包括企业邮箱账户密码、企业源代码等信息的泄露等情况。可以理解的是,敏感信息也是属于企业资产的一部分,这部分信息一旦被坏人利用,将可能对整个企业带来无法挽回的损失,及时发现这些信息并作相应的处理是保护企业信息安全的必要举措。
本实施例中,向用户终端发送告警信息的方式可以是发送邮件、短信等方式。
可见,本实施例提供的互联网资产安全管理方法通过对目标子域名进行监测,汇总目标子域名信息,并将当前目标子域名信息与上次目标子域名信息进行比对,发现异动情况,并针对存在安全漏洞和可能存在安全漏洞的子域名进行防御,进一步提到了目标子域名对应的互联网资产的安全性。
本发明还提供一种具体的互联网资产安全管理方法的具体实施流程,参见图4所示,包括以下流程:
首先,在一个资产异常监控周期内,各个资产收集节点从互联网上收集暴露的资产信息,将其输送给资产信息汇总模块。
接着,资产信息汇总模块将各个资产收集节点的结果进行综合,这里由于各个节点所处的网络环境不同,可能会导致各个节点所收集的资产结果具有一些明显的差异,资产信息汇总模块会将其进行降噪处理,降噪处理主要依据于阈值的设定,例如:阈值设置为0.7,若总共有十个不同的节点对同一个域名进行了端口开放情况识别,其中8个节点识别到22号端口开放,2个节点识别22号端口关闭,此时的22号端口开放比例为8/10=0.8高于设置的阈值0.7,则判定该域名服务器的22端口为开放状态,反之若多个节点探测到的端口开放比例低于阈值0.7则判定该端口为关闭状态;最终经过资产信息汇总模块的降噪处理汇总成一次资产收集结果进行存储。
最后,异动管理告警模块在收到一次资产收集完成信息后,若非首次进行资产收集,则对上一次的资产和本次收集的资产进行对比,若存在敏感资产发生异动,则采取发送邮件、短信等方式告知安全管理员。之后进入下一资产收集周期;若为首次进行资产收集,则进入下一个资产收集周期。
关于具体的暴露的互联网资产信息的收集过程参加图5所示,包括:
对企业的顶级域名进行子域名信息收集,获取目标子域名。目标子域名收集主要依据搜索引擎查询、DNS域传送漏洞、子域名字典穷举、DNS解析记录查询、爬取网站页面提取子域、子域名查询站点API调用等方法来进行。
对目标子域名逐个进行web应用指纹识别,web应用指纹识别主要依据收集的web应用指纹信息,例如,HTTP Head头中的关键字、网页中的关键字、特定文件MD5、指定URL关键字、指定URL的TAG模式等,与目标域名网站页面及HTTP Head头等进行字符串或正则匹配,并以此来对该域名进行web指纹信息收集。
对目标子域名逐个进行防御设备识别,防御设备识别主要通过发送具有攻击特征的请求与正常请求对比来判断,若带有攻击特征的请求被丢包或再次访问无法连接则代表该域名所在服务器存在防御设备。
若目标子域名所在的服务器存在防御设备,将采用无害的探测方式对子域名进行对外开放的端口及服务发现;若目标子域名所在的服务器不存在防御措施,则采用正常的端口服务探测方式,即TCP SYN扫描。
最后对进行敏感信息收集,敏感信息主要包括企业邮箱泄露情况和开源代码托管平台源代码泄露情况。
将上述结果传递给资产信息汇总模块,一次资产收集完成。
上述异动管理告警模块主要是由敏感资产异动鉴定模块和告警模块两部分组成,其中告警模块主要是根据敏感资产异动鉴定模块的结果来实时告知安全管理员哪些敏感资产发生了哪些异动,告知方式有发送邮件、短信等方式。
本实施例中公开的互联网资产信息安全管理方法中的异动管理告警模块的异动监控流程如下,参见图6所示:
判断是否是首次资产收集,若是首次资产收集则直接结束资产异常比对,进入下一资产收集周期;若非首次资产收集,则从数据库中取出本次及上次资产收集的结果。
对本次资产收集与上次资产收集进行异常比对,主要包括:
a.子域名异动情况包括:新增子域名或减少子域名都可能对应着安全事件。其中,子域名新增可能是上线了新的资产,这里若未对该资产进行严格的安全检测,将会成为黑客入侵的一大突破口;子域名减少,可能是服务器出现问题、遇到DDOS攻击等,也需引起重视。
b.网站页面异动情况包括网站页面新增。网站页面增加可能是黑客上传了后门文件。
c.web应用指纹异动情况代表着网站新增或下线某些应用或插件,这些新增的应用或插件可能存在安全漏洞,成为黑客入侵的新突破口。
d.防御设备异动情况包括防御设备的下线,防御设备的下线将使服务器处于不安全状态,极大的增加了入侵成功的概率;其次,防御设备的不明原因关闭也可能是黑客入侵成功后进行手动关闭的,需引起高度重视。
e.端口服务异动情况包括端口服务增加和端口服务减少。端口服务增加扩大了攻击面,例如新增了3306mysql服务,将给黑客提供很大的攻击成功可能性;也可能是代表服务器已被成功入侵;端口服务减少则可能影响了正常业务使用。
f.敏感信息异动情况包括企业邮箱账户密码、企业源代码等信息的泄露等情况。可以理解的是,敏感信息也是属于企业资产的一部分,这部分信息一旦被坏人利用,将可能对整个企业带来无法挽回的损失,及时发现这些信息并作相应的处理是保护企业信息安全的必要举措。
比对完上述的6点资产情况后,输出总体的异动结果。
若第二步输出的异动结果为空,则整个资产异常比对结束,进入下一个资产收集周期;若异动结果不为空,则以邮件、短信等方式将异动结果发送给安全管理员,让其进行异常排查。
相应的,本发明还公开了一种互联网资产安全管理***,参见图7所示,该***包括:
子域名确定模块11,用于利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;
子域名***模块12,用于对所述目标子域名进行***,以提升目标资产的安全性;
其中,所述目标资产为所述目标子域名对应的互联网资产。
本实施例中,子域名确定模块11具体用于,利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
在一种具体实施方式中,子域名***模块12具体可以用于,对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备,如果否,则对所述目标子域名所在的服务器进行防御。
其中,上述子域名***模块12包括防御设备判断子模块,用于分别向所述目标子域名发送攻击请求与正常请求;若攻击请求被丢包或攻击请求再次访问所述目标子域名时无法连接,则判定所述目标子域名所在的服务器有防御设备;若所述目标子域名对攻击请求与正常请求的响应一致,则判定所述目标子域名所在的服务器无防御设备。
在另一种具体实施方式中,上述子域名***模块12包括子域名监控子模块、子域名信息汇总子模块和子域名信息比对处理子模块;其中,
子域名监控子模块,用于监控所述目标子域名;
子域名信息汇总子模块,用于汇总所述目标子域名的相关信息,得到目标子域名信息;
子域名信息比对处理子模块,用于将当前目标子域名信息与上次目标子域名信息进行比对,以判断当前目标子域名信息与上次目标子域名信息相比是否存在异动情况,如果是,则向用户终端发送告警信息和/或对存在异动情况的子域名所在的服务器进行防御;
其中,所述目标子域名信息包括所述目标子域名的Web应用指纹信息和/或有无防御设备信息和/或端口状态信息和/或操作***信息和/或敏感信息;所述异动情况包括子域名异动和/或网站页面异动和/或web应用指纹异动和/或防御设备异动和/或端口服务异动和/或敏感信息异动。
其中,上述子域名信息汇总子模块包括子域名相关信息收集单元和子域名信息去重降噪单元;其中,
子域名相关信息收集单元,用于对目标子域名进行Web应用指纹识别和/或防御设备识别和/或端口开放或关闭状态识别和/或操作***识别和/或敏感信息收集,得到目标子域名的相关信息。
子域名信息去重降噪单元,用于对目标子域名的相关信息进行去重降噪处理,得到目标子域名信息。
其中,子域名相关信息收集单元,具体用于通过将目标子域名包含的信息与预设的指纹库作比对,得到所述目标子域名的Web指纹信息;也具体用于若所述目标子域名对应的端口有防御设备,则利用第一端口服务探测方式得到所述端口状态信息;
若所述目标子域名对应的端口无防御设备,则利用第二端口服务探测方式得到所述端口状态信息;
其中,所述第一端口探测方式为探测速度低于正常探测速度的端口服务探测方式;所述第二端口探测方式为探测速度为正常探测速度的端口服务探测方式。
子域名信息去重降噪单元具体用于:统计不同的互联网资产收集节点将目标子域名对应的端口识别为开放状态的比例;将上述比例与预设比例阈值作比较;若上述比例大于或等于所述预设比例阈值,则判定目标子域名对应的端口为开放状态;若上述比例小于预设比例阈值,则判定目标子域名对应的端口为关闭状态。
相应的,本发明还公开了一种互联网资产安全管理设备,所述互联网资产安全管理设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的互联网资产安全管理程序,所述互联网资产安全管理程序配置为实现上述互联网资产安全管理方法的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有互联网资产安全管理程序,所述互联网资产安全管理程序被处理器执行时实现上述互联网资产安全管理方法的步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的互联网资产安全管理方法、***、设备及可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (18)
1.一种互联网资产安全管理方法,其特征在于,包括:
利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;
监控所述目标子域名;汇总所述目标子域名的相关信息,得到目标子域名信息;将当前目标子域名信息与上次目标子域名信息进行比对,以判断当前目标子域名信息与上次目标子域名信息相比是否存在异动情况,如果是,则向用户终端发送告警信息和/或对所述目标子域名所在的服务器进行防御;其中,所述目标子域名信息包括所述目标子域名的Web应用指纹信息和/或有无防御设备信息和/或端口状态信息和/或操作***信息和/或敏感信息;所述异动情况包括子域名异动和/或网站页面异动和/或web应用指纹异动和/或防御设备异动和/或端口服务异动和/或敏感信息异动。
2.根据权利要求1所述的互联网资产安全管理方法,其特征在于,所述利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名的过程包括:
利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
3.根据权利要求1所述的互联网资产安全管理方法,其特征在于,还包括:
对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备,如果否,则对所述目标子域名所在的服务器进行防御。
4.根据权利要求3所述的互联网资产安全管理方法,其特征在于,所述对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备的过程包括:
分别向所述目标子域名发送攻击请求与正常请求;
若攻击请求被丢包或攻击请求再次访问所述目标子域名时无法连接,则判定所述目标子域名所在的服务器有防御设备;
若所述目标子域名对攻击请求与正常请求的响应一致,则判定所述目标子域名所在的服务器无防御设备。
5.根据权利要求1所述的互联网资产安全管理方法,其特征在于,所述汇总所述目标子域名的相关信息,得到目标子域名信息的过程包括:
对所述目标子域名进行Web应用指纹识别和/或防御设备识别和/或端口开放或关闭状态识别和/或操作***识别和/或敏感信息收集,得到所述目标子域名的相关信息;
对所述目标子域名的相关信息进行去重降噪处理,得到目标子域名信息。
6.根据权利要求5所述的互联网资产安全管理方法,其特征在于,所述对所述目标子域名进行Web应用指纹识别,得到所述目标子域名的Web指纹信息的过程包括:
通过将目标子域名包含的信息与预设的指纹库作比对,得到所述目标子域名的Web指纹信息。
7.根据权利要求5所述的互联网资产安全管理方法,其特征在于,所述对所述目标子域名的端口进行开放或关闭状态识别,得到所述目标子域名对应的端口状态信息的过程包括:
若所述目标子域名对应的端口有防御设备,则利用第一端口服务探测方式得到所述端口状态信息;
若所述目标子域名对应的端口无防御设备,则利用第二端口服务探测方式得到所述端口状态信息;
其中,所述第一端口探测方式为探测速度低于正常探测速度的端口服务探测方式;所述第二端口探测方式为探测速度为正常探测速度的端口服务探测方式。
8.根据权利要求5所述的互联网资产安全管理方法,其特征在于,所述对所述目标子域名的相关信息进行降噪处理,得到目标子域名信息的过程包括:
统计不同的互联网资产收集节点将所述目标子域名对应的端口识别为开放状态的比例;
将所述比例与预设比例阈值作比较;若所述比例大于或等于所述预设比例阈值,则判定所述目标子域名对应的端口为开放状态;若所述比例小于所述预设比例阈值,则判定所述目标子域名对应的端口为关闭状态。
9.一种互联网资产安全管理***,其特征在于,包括子域名确定模块和子域名***模块;其中:
所述子域名确定模块,用于利用暴露在互联网上的资产的顶级域名信息,确定处于暴露状态的子域名,得到目标子域名;
所述子域名***模块,包括:
子域名监控子模块,用于监控所述目标子域名;
子域名信息汇总子模块,用于汇总所述目标子域名的相关信息,得到目标子域名信息;
子域名信息比对处理子模块,将当前目标子域名信息与上次目标子域名信息进行比对,以判断当前目标子域名信息与上次目标子域名信息相比是否存在异动情况,如果是,则向用户终端发送告警信息和/或对所述目标子域名所在的服务器进行防御;其中,所述目标子域名信息包括所述目标子域名的Web应用指纹信息和/或有无防御设备信息和/或端口状态信息和/或操作***信息和/或敏感信息;所述异动情况包括子域名异动和/或网站页面异动和/或web应用指纹异动和/或防御设备异动和/或端口服务异动和/或敏感信息异动。
10.根据权利要求9所述的互联网资产安全管理***,其特征在于,
所述子域名确定模块,还用于利用暴露在互联网上的资产的顶级域名信息,通过搜索引擎查询和/或DNS域传送漏洞和/或子域名字典穷举和/或DNS解析记录查询和/或爬取网页提取和/或子域名查询站点API调用,确定处于暴露状态的子域名,得到目标子域名。
11.根据权利要求9所述的互联网资产安全管理***,其特征在于,
所述子域名***模块,还具体用于对所述目标子域名进行防御设备识别,以判断所述目标子域名所在的服务器是否有防御设备,如果否,则对所述目标子域名所在的服务器进行防御。
12.根据权利要求11所述的互联网资产安全管理***,其特征在于,所述子域名***模块包括:
防御设备判断子模块,用于分别向所述目标子域名发送攻击请求与正常请求;若攻击请求被丢包或攻击请求再次访问所述目标子域名时无法连接,则判定所述目标子域名所在的服务器有防御设备;若所述目标子域名对攻击请求与正常请求的响应一致,则判定所述目标子域名所在的服务器无防御设备。
13.根据权利要求9所述的互联网资产安全管理***,其特征在于,所述子域名信息汇总子模块包括:
子域名相关信息收集单元,用于对目标子域名进行Web应用指纹识别和/或防御设备识别和/或端口开放或关闭状态识别和/或操作***识别和/或敏感信息收集,得到目标子域名的相关信息;
子域名信息去重降噪单元,用于对目标子域名的相关信息进行去重降噪处理,得到目标子域名信息。
14.根据权利要求13所述的互联网资产安全管理***,其特征在于,
所述子域名相关信息收集单元,具体用于通过将目标子域名包含的信息与预设的指纹库作比对,得到所述目标子域名的Web指纹信息。
15.根据权利要求13所述的互联网资产安全管理***,其特征在于,
所述子域名相关信息收集单元,具体用于若所述目标子域名对应的端口有防御设备,则利用第一端口服务探测方式得到所述端口状态信息;
若所述目标子域名对应的端口无防御设备,则利用第二端口服务探测方式得到所述端口状态信息;
其中,所述第一端口探测方式为探测速度低于正常探测速度的端口服务探测方式;所述第二端口探测方式为探测速度为正常探测速度的端口服务探测方式。
16.根据权利要求13所述的互联网资产安全管理***,其特征在于,
所述子域名信息去重降噪单元,具体用于统计不同的互联网资产收集节点将所述目标子域名对应的端口识别为开放状态的比例;将所述比例与预设比例阈值作比较;若所述比例大于或等于所述预设比例阈值,则判定所述目标子域名对应的端口为开放状态;若所述比例小于所述预设比例阈值,则判定所述目标子域名对应的端口为关闭状态。
17.一种互联网资产安全管理设备,其特征在于,所述互联网资产安全管理设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的互联网资产安全管理程序,所述互联网资产安全管理程序配置为实现1至8中任一项所述的互联网资产安全管理方法的步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有互联网资产安全管理程序,所述互联网资产安全管理程序被处理器执行时实现如权利要求1至8中任一项所述的互联网资产安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710901081.6A CN107733699B (zh) | 2017-09-28 | 2017-09-28 | 互联网资产安全管理方法、***、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710901081.6A CN107733699B (zh) | 2017-09-28 | 2017-09-28 | 互联网资产安全管理方法、***、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107733699A CN107733699A (zh) | 2018-02-23 |
| CN107733699B true CN107733699B (zh) | 2021-04-09 |
Family
ID=61208775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710901081.6A Active CN107733699B (zh) | 2017-09-28 | 2017-09-28 | 互联网资产安全管理方法、***、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733699B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108449345B (zh) * | 2018-03-22 | 2022-01-18 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、***、设备及存储介质 |
| CN109257378A (zh) * | 2018-11-05 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种快速识别物联网环境非法接入资产的方法与*** |
| CN109783719B (zh) * | 2018-12-29 | 2021-04-13 | 奇安信科技集团股份有限公司 | 基于单位名称的资产数据查找方法、装置、设备及介质 |
| CN111104579A (zh) * | 2019-12-31 | 2020-05-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种公网资产的识别方法、装置及存储介质 |
| CN112926942A (zh) * | 2021-03-08 | 2021-06-08 | 北京华顺信安信息技术有限公司 | 一种互联网资产暴露信息排查方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030860A (zh) * | 2007-02-15 | 2007-09-05 | 华为技术有限公司 | 一种防御通过自动软件对服务器进行攻击的方法和设备 |
| CN101902349A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和*** |
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN106453386A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市魔方安全科技有限公司 | 基于分布式技术的自动化互联网资产监控和风险检测方法 |
-
2017
- 2017-09-28 CN CN201710901081.6A patent/CN107733699B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030860A (zh) * | 2007-02-15 | 2007-09-05 | 华为技术有限公司 | 一种防御通过自动软件对服务器进行攻击的方法和设备 |
| CN101902349A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和*** |
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN106453386A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市魔方安全科技有限公司 | 基于分布式技术的自动化互联网资产监控和风险检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107733699A (zh) | 2018-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733699B (zh) | 互联网资产安全管理方法、***、设备及可读存储介质 | |
| US11057427B2 (en) | Method for identifying phishing websites and hindering associated activity | |
| KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US9462009B1 (en) | Detecting risky domains | |
| EP1618725B1 (en) | Attack database structure | |
| KR100894331B1 (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN112887341B (zh) | 一种外部威胁监控方法 | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及*** | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
| CN107579997A (zh) | 无线网络入侵检测*** | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| CN111625821A (zh) | 一种基于云平台的应用攻击检测*** | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| Bortolameotti et al. | Headprint: detecting anomalous communications through header-based application fingerprinting | |
| CN107509200A (zh) | 基于无线网络入侵的设备定位方法及装置 | |
| US11627050B2 (en) | Distinguishing network connection requests | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| CN117336098A (zh) | 一种网络空间数据安全性监测分析方法 | |
| KR101650475B1 (ko) | 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |