CN113190836A - 一种基于本地命令执行的web攻击行为检测方法及*** - Google Patents
一种基于本地命令执行的web攻击行为检测方法及*** Download PDFInfo
- Publication number
- CN113190836A CN113190836A CN202110333742.6A CN202110333742A CN113190836A CN 113190836 A CN113190836 A CN 113190836A CN 202110333742 A CN202110333742 A CN 202110333742A CN 113190836 A CN113190836 A CN 113190836A
- Authority
- CN
- China
- Prior art keywords
- command
- execution
- execution command
- local
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种基于本地命令执行的web攻击行为检测方法及***,通过实时检测web应用程序运行期间的本地命令的调用行为,判断调用本地命令的执行命令为何种类型,若为第一执行命令,则进入基于第一执行命令的内容监控模式;若为第二执行命令,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行。以实现调用本地命令的执行命令的合法访问,同时提高本地命令执行的web攻击行为检测效率和准确率。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种基于本地命令执行的web攻击行为检测方法及***。
背景技术
命令注入攻击是指提通过构造恶意参数来实现修改原本后台执行的命令结果,从而实现对数据或者网络资源的非法获取,甚至直接通过恶意命令掌控用户的电脑和的网络,达到渗透的目的。
现有的规避命令注入攻击的方式主要包括:(1)直接拒绝,比如在进行本地客户端操作时直接拒绝外部命令的进入;(2)人工审核,即当有外部命令注入时通过人工进行攻击检测。
然而上述方式一方面使得本地客户端在进行根据命令操作时受到局限性,封闭式的命令管理使得本地客户端无法更好的完成外部合法命令的工作,另外一方面,对命令注入攻击的检测通过人工审核很明显降低了检测效率,也降低了检测准确率。
发明内容
为解决上述技术问题,本发明提出了一种基于本地命令执行的web攻击行为检测方法及***,以实现调用本地命令的执行命令的合法访问,同时提高本地命令执行的web攻击行为检测效率和准确率。
本发明的第一方面的目的是通过以下技术方案实现的:
一种基于本地命令执行的web攻击行为检测方法,所述方法包括:
实时检测web应用程序运行期间的本地命令的调用行为,判断调用本地命令的执行命令为何种类型,若为第一执行命令,则进入基于第一执行命令的内容监控模式;若为第二执行命令,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行。
进一步,所述第一执行命令为本地预存的执行命令列表匹配的命令,所述第二执行命令为本地未存储的可执行命令。
进一步,所述判断调用本地命令的执行命令为何种类型,具体包括,提取所述执行命令的格式数据,与预先建立的本地命令的执行命令列表进行匹配,若匹配出一执行命令,则该执行命令为第一执行命令,若未匹配出,则该执行命令为第二执行命令。
进一步,所述的若为第一执行命令,则进入基于第一执行命令的内容监控模式,具体包括,监控第一执行命令调取的内容属性信息,若为敏感数据内容,则返回基于该第一执行命令的权限响应消息,以允许满足内容访问权限的第一执行命令访问并调取内容,若在权限响应时间范围内未接收到权限响应消息,则拒绝内容获取。
进一步,所述的若为第一执行命令,则进入基于第一执行命令的内容监控模式,还包括,当所述第一执行命令在调取内容的同时,调取漏洞扫描进程对调取的内容所在位置进行扫描,在扫描完成且未发现攻击行为后运行内容调取过程。
进一步,预先建立的命令执行模型,具体包括:
分别建立基于统一资源定位符URL的黑名单和白名单的样本数据集,对所述数据集进行分析、泛化以及空格分割的方式得到样本对比数据集;在使用hmmlearn训练后得到命令执行检测模型,在该检测模型中设置攻击行为阈值,基于该检测模型以及阈值形成命令执行模型。
进一步,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程,具体包括,将所述第二执行命令输入至命令执行模型后,检测其输出结果,如果在阈值范围内,则输出第二执行命令合法,若超出阈值,则输出该第二执行命令存在攻击行为。
进一步,在第二执行命令合法的条件下执行本地命令的内容获取过程,还包括,当所述第二执行命令在调取内容的同时,调取漏洞扫描进程对调取的内容所在位置进行扫描,在扫描完成且未发现攻击行为后运行内容调取过程。
本发明的第二方面的目的是通过以下技术方案实现的:
一种基于本地命令执行的web攻击行为检测***,包括:
检测模块,用于检测web应用程序运行期间的本地命令的调用行为;
判断模块,用于判断调用本地命令的执行命令为何种类型;
处理模块,用于在判断结果为第一执行命令时,则进入基于第一执行命令的内容监控模式;当为第二执行命令时,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行,其中,所述第一执行命令为本地预存的执行命令列表匹配的命令,所述第二执行命令为本地未存储的可执行命令。
本发明的第三方面的目的是通过以下技术方案实现的:
一种可读存储介质,可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的基于本地命令执行的web攻击行为检测方法的步骤。
本发明的有益效果是:
本发明提出了一种基于本地命令执行的web攻击行为检测方法及***,通过实时检测web应用程序运行期间的本地命令的调用行为,判断调用本地命令的执行命令为何种类型,若为第一执行命令,则进入基于第一执行命令的内容监控模式;若为第二执行命令,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行。以实现调用本地命令的执行命令的合法访问,同时提高本地命令执行的web攻击行为检测效率和准确率
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书和前述的权利要求书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述,其中:
图1为基于本地命令执行的web攻击行为检测方法流程图;
图2为基于本地命令执行的web攻击行为检测***架构图。
具体实施方式
以下将参照附图,对本发明的优选实施例进行详细的描述。应当理解,优选实施例仅为了说明本发明,而不是为了限制本发明的保护范围。
为便于理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提出了一种基于本地命令执行的web攻击行为检测方法,所述方法包括:
步骤S101.实时检测web应用程序运行期间的本地命令的调用行为。
当web应用需要调用一些程序去处理内容的情况下,通常会用到去执行***命令的函数,如PHP中system、exec、shell_exec等,如果用户可以控制命令执行函数中的参数,就可以注入恶意***命令到正常的命令中,造成命令执行漏洞。
在现有的基于本地命令执行的漏洞防御过程中,通常采用不执行外部的应用程序或命令、使用escapeshellarg函数处理相关参数或者使用safe_mode_exec_dir执行可执行的文件路径来进行漏洞防御,然而这些方式并不能使得应用程序更有效的工作。因此,本发明通过对应用程序运行期间本地命令调用的执行命令的攻击行为检测,以判断是否存在攻击行为。
步骤S102.判断调用本地命令的执行命令为何种类型,若为第一执行命令则进入步骤S103,若为第二执行命令,则进入步骤S104。
在命令执行漏洞或者攻击行为的检测过程中,利用一些命令来实现本地或者远程命令的执行,比如在PHP环境下,允许本地命令执行的命令或者函数包括eval()、assert()、preg_replace()、call_user_func()等。如果web应用程序中存在这些函数或者命令并且对于用户的输入没有严格的过滤,那么就可能造成本地或者远程命令执行漏洞。
为了使得在应用程序运行期间能够有效的对调用本地命令的执行命令进行攻击行为检测,本发明中使用了执行命令的解析过程,在实际中调用本地命令的执行命令可以为本地命令也可以为远程命令作为执行命令来执行调用过程,从而解决了现有的防御漏洞中直接采用不执行外部的应用程序或命令的方式造成了应用程序封闭式运行的技术问题。
在本发明中,预先建立了白名单模式的允许调用本地命令的执行命令列表,以在得到该执行命令后快速的确定出该命令是否携带攻击行为,具体的,在监听到调用本地命令的执行命令需要进行操作时,提取所述执行命令的格式数据,与预先建立的本地命令的执行命令列表进行匹配,若匹配出一执行命令,则该执行命令为第一执行命令,若未匹配出,则该执行命令为第二执行命令。本发明中,将所有以白名单模式存储的命令形成执行列表,当监听到的执行命令存在于执行列表中,则认为该执行命令为第一执行命令,否则为第二执行命令,也就是,所述第一执行命令为本地预存的执行命令列表匹配的命令,所述第二执行命令为本地未存储的可执行命令。
步骤S103.若为第一执行命令,则进入基于第一执行命令的内容监控模式,在满足预设条件后,进入内容获取过程,否则进入步骤S105。
在本发明中,执行了第一执行命令的攻击行为检测后,还包括了对第一执行命令获取内容的权限判断,具体为,监控第一执行命令调取的内容属性信息,若为敏感数据内容,则返回基于该第一执行命令的权限响应消息,以允许满足内容访问权限的第一执行命令访问并调取内容,若在权限响应时间范围内未接收到权限响应消息,则拒绝内容获取。
本发明中,设置了两层攻击行为判断过程,第一层即为前述的命令本身的可执行判断,具体内容如上文阐述,在第二层中,防止攻击检测行为的遗漏检测问题,在第一执行命令获取内容时,还实时对内容本身进行扫描,本发明中设置了漏洞扫描程序,以扫描每一个执行命令进入其所需要获取的内容的具***置,当内容即将被调离时还实时对该位置进行漏洞扫描,以判断第一执行命令的路径轨迹中是否存在隐藏攻击行为,因此,当所述第一执行命令在调取内容的同时,调取漏洞扫描进程对调取的内容所在位置进行扫描,在扫描完成且未发现攻击行为后运行内容调取过程,若扫描时或扫描完成后发现有隐藏攻击行为则及时进行内容拦截,不允许访问或调取内容。
步骤S104.若为第二执行命令,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程,否则进入步骤S105。
在本发明中,当检测的执行命令为第二执行命令,意味着第二执行命令并没有出现在预先建立的白名单模式的命令执行列表中,可能是一个新的命令也可能是外部执行命令,因此,需要对第二执行命令进行攻击行为检测,具体的,包括了预先建立命令执行模型,通过该命令执行模型输出的内容来判断该第二执行命令是否存在攻击行为。
预先建立的命令执行模型,具体包括:
分别建立基于统一资源定位符URL的黑名单和白名单的样本数据集,对所述数据集进行分析、泛化以及空格分割的方式得到样本对比数据集;在使用hmmlearn训练后得到命令执行检测模型,在该检测模型中设置攻击行为阈值,基于该检测模型以及阈值形成命令执行模型。
将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程,具体包括,将所述第二执行命令输入至命令执行模型后,检测其输出结果,如果在阈值范围内,则输出第二执行命令合法,若超出阈值,则输出该第二执行命令存在攻击行为。
在第二执行命令合法的条件下执行本地命令的内容获取过程,还包括,当所述第二执行命令在调取内容的同时,调取漏洞扫描进程对调取的内容所在位置进行扫描,在扫描完成且未发现攻击行为后运行内容调取过程。该过程与第一执行命令在进行内容获取后的扫描过程是相同的,都是为了进行二次攻击行为判断的过程,以实现在对本地命令执行过程中,命令本身是否合法,同时,是否存在隐藏攻击。
步骤S105.拒绝调用本地命令的执行命令的执行。
当第一执行命令或第二执行命令本身不合法或者在内容获取过程中,通过漏洞扫描程序扫描后发现有隐藏攻击行为,均返回拒绝调用本地命令的执行命令的执行操作过程。
如图2所示,根据本发明的实施例,本发明还提出了一种基于本地命令执行的web攻击行为检测***,其特征在于,所述***包括:
检测模块,用于检测web应用程序运行期间的本地命令的调用行为;
判断模块,用于判断调用本地命令的执行命令为何种类型;
处理模块,用于在判断结果为第一执行命令时,则进入基于第一执行命令的内容监控模式;当为第二执行命令时,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行,其中,所述第一执行命令为本地预存的执行命令列表匹配的命令,所述第二执行命令为本地未存储的可执行命令。本发明的处理模块还用于包括了如前文所述的具体执行每一个步骤的相应的处理方法。
根据本发明的实施例,本发明还提出了一种可读存储介质,其特征在于,所述可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的基于本地命令执行的web攻击行为检测方法的步骤。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机***通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机***的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。
计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种基于本地命令执行的web攻击行为检测方法,其特征在于,所述方法包括:
步骤S101:实时检测web应用程序运行期间的本地命令的调用行为;
步骤S102:判断调用本地命令的执行命令为何种类型,若为第一执行命令,则进入步骤S103;若为第二执行命令,则进入步骤S104;
步骤S103:基于第一执行命令的内容监控模式,在满足预设条件后,进入内容获取过程;
步骤S104:拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;
步骤S105:若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行。
2.根据权利要求1所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:所述第一执行命令为本地预存的执行命令列表匹配的命令,所述第二执行命令为本地未存储的可执行命令。
3.根据权利要求2所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:所述判断调用本地命令的执行命令为何种类型,具体包括,提取所述执行命令的格式数据,与预先建立的本地命令的执行命令列表进行匹配,若匹配出一执行命令,则该执行命令为第一执行命令,若未匹配出,则该执行命令为第二执行命令。
4.根据权利要求1所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:所述步骤S103中,进入基于第一执行命令的内容监控模式具体包括:
监控第一执行命令调取的内容属性信息,若为敏感数据内容,则返回基于该第一执行命令的权限响应消息,以允许满足内容访问权限的第一执行命令访问并调取内容,若在权限响应时间范围内未接收到权限响应消息,则拒绝内容获取。
5.根据权利要求4所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:所述步骤S103中还包括,当所述第一执行命令在调取内容的同时,调取漏洞扫描进程对调取的内容所在位置进行扫描,在扫描完成且未发现攻击行为后运行内容调取过程。
6.根据权利要求1所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:所述步骤S104中,预先建立的命令执行模型,具体包括:
分别建立基于统一资源定位符URL的黑名单和白名单的样本数据集,对所述数据集进行分析、泛化以及空格分割的方式得到样本对比数据集;在使用hmmlearn训练后得到命令执行检测模型,在该检测模型中设置攻击行为阈值,基于该检测模型以及阈值形成命令执行模型。
7.根据权利要求6所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程,具体包括,将所述第二执行命令输入至命令执行模型后,检测其输出结果,如果在阈值范围内,则输出第二执行命令合法,若超出阈值,则输出该第二执行命令存在攻击行为。
8.根据权利要求7所述的一种基于本地命令执行的web攻击行为检测方法,其特征在于:在第二执行命令合法的条件下执行本地命令的内容获取过程,还包括,当所述第二执行命令在调取内容的同时,调取漏洞扫描进程对调取的内容所在位置进行扫描,在扫描完成且未发现攻击行为后运行内容调取过程。
9.一种基于本地命令执行的web攻击行为检测***,其特征在于:所述***包括:
检测模块,用于检测web应用程序运行期间的本地命令的调用行为;
判断模块,用于判断调用本地命令的执行命令为何种类型;
处理模块,用于在判断结果为第一执行命令时,则进入基于第一执行命令的内容监控模式;当为第二执行命令时,则拦截所述第二执行命令以暂停命令执行过程,将所述第二执行命令输入至预先建立的命令执行模型,以确定第二执行命令的合法性,且在第二执行命令合法的条件下执行本地命令的内容获取过程;若第一执行命令或第二执行命令为非法命令,则直接拦截执行命令的执行,其中,所述第一执行命令为本地预存的执行命令列表匹配的命令,所述第二执行命令为本地未存储的可执行命令。
10.一种可读存储介质,其特征在于:所述可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8任一项基于本地命令执行的web攻击行为检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110333742.6A CN113190836A (zh) | 2021-03-29 | 2021-03-29 | 一种基于本地命令执行的web攻击行为检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110333742.6A CN113190836A (zh) | 2021-03-29 | 2021-03-29 | 一种基于本地命令执行的web攻击行为检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113190836A true CN113190836A (zh) | 2021-07-30 |
Family
ID=76974168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110333742.6A Pending CN113190836A (zh) | 2021-03-29 | 2021-03-29 | 一种基于本地命令执行的web攻击行为检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113190836A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114116042A (zh) * | 2021-10-29 | 2022-03-01 | 航天信息股份有限公司 | 一种面向Linux服务***的命令处理方法及*** |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140096194A1 (en) * | 2010-12-30 | 2014-04-03 | Verisign, Inc. | Client-side active validation for mitigating ddos attacks |
| CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
| CN107483510A (zh) * | 2017-10-09 | 2017-12-15 | 杭州安恒信息技术有限公司 | 一种提高Web应用层攻击检测准确率的方法及装置 |
| CN108229158A (zh) * | 2018-01-10 | 2018-06-29 | 西安电子科技大学 | 一种Android中存储的用户隐私信息的保护方法 |
| CN108683652A (zh) * | 2018-05-04 | 2018-10-19 | 北京奇安信科技有限公司 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| CN109074456A (zh) * | 2015-10-29 | 2018-12-21 | 江格 | 二阶段过滤的计算机攻击阻挡方法以及使用该方法的装置 |
| CN109347873A (zh) * | 2018-11-29 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种命令注入攻击的检测方法、装置及计算机设备 |
| CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及*** |
| CN111475783A (zh) * | 2019-01-24 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 数据检测方法、***及设备 |
| CN111901318A (zh) * | 2020-07-15 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 一种命令注入攻击检测的方法、***及设备 |
-
2021
- 2021-03-29 CN CN202110333742.6A patent/CN113190836A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140096194A1 (en) * | 2010-12-30 | 2014-04-03 | Verisign, Inc. | Client-side active validation for mitigating ddos attacks |
| CN109074456A (zh) * | 2015-10-29 | 2018-12-21 | 江格 | 二阶段过滤的计算机攻击阻挡方法以及使用该方法的装置 |
| CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
| CN107483510A (zh) * | 2017-10-09 | 2017-12-15 | 杭州安恒信息技术有限公司 | 一种提高Web应用层攻击检测准确率的方法及装置 |
| CN108229158A (zh) * | 2018-01-10 | 2018-06-29 | 西安电子科技大学 | 一种Android中存储的用户隐私信息的保护方法 |
| CN108683652A (zh) * | 2018-05-04 | 2018-10-19 | 北京奇安信科技有限公司 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
| CN109347873A (zh) * | 2018-11-29 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种命令注入攻击的检测方法、装置及计算机设备 |
| CN111475783A (zh) * | 2019-01-24 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 数据检测方法、***及设备 |
| CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及*** |
| CN111901318A (zh) * | 2020-07-15 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 一种命令注入攻击检测的方法、***及设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114116042A (zh) * | 2021-10-29 | 2022-03-01 | 航天信息股份有限公司 | 一种面向Linux服务***的命令处理方法及*** |
| CN114116042B (zh) * | 2021-10-29 | 2024-04-26 | 航天信息股份有限公司 | 一种面向Linux服务***的命令处理方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109388532B (zh) | 测试方法、装置、电子设备及计算机可读取存储介质 | |
| CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测*** | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| CN106778243B (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
| CN104182688A (zh) | 基于动态激活及行为监测的Android恶意代码检测装置和方法 | |
| CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| JP2015523663A (ja) | メッセージを処理するための方法およびデバイス | |
| CN112084497A (zh) | 嵌入式Linux***恶意程序检测方法及装置 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、*** | |
| Jaiswal et al. | Android gaming malware detection using system call analysis | |
| CN109766694A (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
| CN110059007B (zh) | ***漏洞扫描方法、装置、计算机设备及存储介质 | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及*** | |
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及*** | |
| CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
| CN113190836A (zh) | 一种基于本地命令执行的web攻击行为检测方法及*** | |
| CN111291377A (zh) | 一种应用漏洞的检测方法及*** | |
| KR102156340B1 (ko) | 웹 페이지 공격 차단 방법 및 장치 | |
| CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
| CN115563618A (zh) | 一种基于中央计算平台的渗透测试方法及装置 | |
| CN109214165B (zh) | 一种预装应用程序的权限声明合法性的判断方法和判断*** | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| CN115563617A (zh) | 源代码漏洞检测方法及装置 | |
| KR20180127612A (ko) | 가상환경에서 악성코드의 분석회피 방지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210730 |