CN114221775A - 一种危险端口的预警方法、装置、云服务器及存储介质 - Google Patents
一种危险端口的预警方法、装置、云服务器及存储介质 Download PDFInfo
- Publication number
- CN114221775A CN114221775A CN202010987633.1A CN202010987633A CN114221775A CN 114221775 A CN114221775 A CN 114221775A CN 202010987633 A CN202010987633 A CN 202010987633A CN 114221775 A CN114221775 A CN 114221775A
- Authority
- CN
- China
- Prior art keywords
- port
- dangerous
- target
- information
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000007123 defense Effects 0.000 claims abstract description 98
- 238000001514 detection method Methods 0.000 claims description 91
- 238000012549 training Methods 0.000 claims description 28
- 230000006870 function Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 10
- 231100001261 hazardous Toxicity 0.000 claims description 5
- 230000004044 response Effects 0.000 abstract description 9
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000001788 irregular Effects 0.000 description 3
- 238000011478 gradient descent method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例提供了一种危险端口的预警方法、装置、云服务器及存储介质,所述方法应用于云服务器,包括:对目标端口进行检测,得到目标端口的端口信息,其中,所述目标端口包括内网端口和/或外网端口;根据所述端口信息确定所述目标端口中是否存在危险端口;如果存在,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。
Description
技术领域
本发明涉及云安全技术领域,特别是涉及一种危险端口的预警方法、装置、云服务器及存储介质。
背景技术
为了保证云服务的安全性,云服务一般具有一些防御性措施,例如,防御DDoS攻击、防止暴力破解等。这些防御性措施通过部署在云服务器中的防御***实现。
在部署完成云服务后,一些外网端口默认是开放的,会成为可能被攻击的暴露点,攻击者探测到这些开放端口,可能利用渗透等手段,获取云服务器权限,盗取用户的数据信息,会对用户造成很大的损失。还有一些常用的内网端口均为默认端口,例如,常用的mysql数据库端口为3306,redis缓存数据库端口为6379。这些内网端口也会成为可能被攻击的暴露点,容易成为被攻击的对象。
目前的防御***均是在受到攻击时进行防御,并不能对一些存在安全隐患的端口进行预警。例如,攻击者入侵到了内网中,会扫描一些默认端口,此时防御***响应是需要一定的响应时间的,而这些内网端口是默认的,会大大缩减攻击者的入侵时间,可能会在防御***响应之前,攻击者就已经攻击成功。
发明内容
本发明实施例的目的在于提供一种危险端口的预警方法、装置、云服务器及存储介质,以实现对危险端口的预警。具体技术方案如下:
第一方面,本发明实施例提供了一种危险端口的预警方法,应用于云服务器,所述方法包括:
对目标端口进行检测,得到所述目标端口的端口信息,其中,所述目标端口包括内网端口和/或外网端口;
根据所述端口信息确定所述目标端口中是否存在危险端口;
如果存在,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
可选的,在存在危险端口的情况下,所述方法还包括:
将所述危险端口的标识发送至用户;
当接收到所述用户发送的忽略消息时,记录所述危险端口的标识;和/或,若接收到用于指示关闭所述危险端口的关闭指令,则关闭所述危险端口。
可选的,所述根据所述端口信息确定所述目标端口中是否存在危险端口的步骤,包括:
将所述端口信息输入预先训练完成的检测模型,利用所述检测模型确定所述目标端口中是否存在危险端口;
或者,将所述端口信息发送给所述检测模型所属设备,以便所述设备基于所述端口信息和所述检测模型确定所述目标端口中是否存在危险端口;
其中,所述检测模型根据危险端口和端口信息的对应关系训练而成。
可选的,所述利用所述检测模型确定所述目标端口中是否存在危险端口的步骤,包括:
若所述端口信息表示所述外网端口为开放端口,确定所述外网端口为危险端口;
若所述端口信息表示所述内网端口为默认端口,确定所述内网端口为危险端口;
若所述端口信息表示所述外网端口或所述内网端口为预设端口,确定所述端口为危险端口,其中,所述预设端口为根据预先收集的危险端口信息确定的存在潜在危险的端口。
可选的,所述方法还包括:
收集已公布的危险端口信息;
将所述危险端口信息加入所述检测模型的训练集,并通过所述训练集更新所述检测模型。
可选的,所述根据所述端口信息确定所述目标端口中是否存在危险端口的步骤,包括:
根据所述端口信息,确定所述目标端口中的疑似危险端口;
当所述疑似危险端口连续出现次数达到预设次数阈值时,确定所述疑似危险端口为危险端口。
可选的,所述对目标端口进行检测,得到各端口的端口信息的步骤,包括:
通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息,其中,所述目标外网端口和目标内网端口为预先设置的需要进行遍历的端口。
第二方面,本发明实施例提供了一种危险端口的预警装置,应用于云服务器,所述装置包括:
端口信息检测模块,用于对目标端口进行检测,得到所述目标端口的端口信息,其中,所述目标端口包括内网端口和/或外网端口;
危险端口确定模块,用于根据所述端口信息确定所述目标端口中是否存在危险端口;
危险预警模块,用于如果存在危险端口,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
可选的,所述装置还包括:
预警信息发送模块,用于在存在危险端口的情况下,将所述危险端口的标识发送至用户;
端口处理模块,用于当接收到所述用户发送的忽略消息时,记录所述危险端口的标识;和/或,若接收到用于指示关闭所述危险端口的关闭指令,则关闭所述危险端口。
可选的,所述危险端口确定模块包括:
第一危险端口确定单元,用于将所述端口信息输入预先训练完成的检测模型,利用所述检测模型确定所述目标端口中是否存在危险端口,或者,用于将所述端口信息发送给所述检测模型所属设备,以便所述设备基于所述端口信息和所述检测模型确定所述目标端口中是否存在危险端口;
其中,所述检测模型根据危险端口和端口信息的对应关系训练而成。
可选的,所述第一危险端口确定单元,具体用于若所述端口信息表示所述外网端口为开放端口,确定所述外网端口为危险端口;若所述端口信息表示所述内网端口为默认端口,确定所述内网端口为危险端口;若所述端口信息表示所述外网端口或所述内网端口为预设端口,确定所述端口为危险端口,其中,所述预设端口为根据预先收集的危险端口信息确定的存在潜在危险的端口。
可选的,所述装置还包括:
信息收集模块,用于收集已公布的危险端口信息;
训练集更新模块,用于将所述危险端口信息加入所述检测模型的训练集,并通过所述训练集更新所述检测模型。
可选的,所述危险端口确定模块包括:
疑似端口确定单元,用于根据所述端口信息,确定所述目标端口中的疑似危险端口;
第二危险端口确定单元,用于当所述疑似危险端口连续出现次数达到预设次数阈值时,确定所述疑似危险端口为危险端口。
可选的,所述端口信息检测模块包括:
第二端口信息检测单元,用于通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息,其中,所述目标外网端口和目标内网端口为预先设置的需要进行遍历的端口。
第三方面,本发明实施例提供了一种云服务器,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面任一所述的方法步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面任一所述的方法步骤。
第五方面,本发明实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法步骤。
本发明实施例有益效果:
本发明实施例提供的方案中,云服务器可以对目标端口进行检测,得到目标端口的端口信息,其中,目标端口包括内网端口和/或外网端口,根据端口信息确定目标端口中是否存在危险端口,如果存在,发送防御指令至已部署的防御***,以使防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例所提供的云服务器的一种结构示意图;
图2为本发明实施例所提供的一种危险端口的预警方法的流程图;
图3为基于图1所示实施例的提示用户方式的一种流程图;
图4为基于图1所示实施例的更新训练集方式的一种流程图;
图5为本发明实施例所提供的危险端口的预警方法的另一种流程图;
图6为本发明实施例所提供的一种危险端口的预警装置的结构示意图;
图7为本发明实施例所提供的危险端口的预警装置的另一种结构示意图;
图8为本发明实施例所提供的一种云服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了实现对危险端口的预警,本发明实施例提供了一种危险端口的预警方法、装置、云服务器、计算机可读存储介质及计算机程序产品。下面首先对本发明实施例所提供的一种危险端口的预警方法进行介绍。
本发明实施例所提供的一种危险端口的预警方法可以应用于云服务***中的云服务器,如图1所示,该云服务器100中可以部署有防御***101,该防御***101用于抵御入侵者的攻击。为了能够及时发现可能被入侵者攻击的危险端口,云服务器100还可以部署预警***102,这样云服务器100可以通过该预警***102执行本发明实施例所提供的危险端口的预警方法。
如图2所示,一种危险端口的预警方法,应用于云服务器,所述方法包括:
S201,对目标端口进行检测,得到所述目标端口的端口信息;
其中,所述目标端口包括内网端口和/或外网端口。
S202,根据所述端口信息确定所述目标端口中是否存在危险端口;
S203,如果存在,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
如果不存在危险端口,可以继续对外网端口和/或内网端口进行检测,以便在出现危险端口时执行上述步骤S203。
可见,本发明实施例提供的方案中,云服务器可以对目标端口进行检测,得到目标端口的端口信息,其中,目标端口包括内网端口和/或外网端口,根据端口信息确定目标端口中是否存在危险端口,如果存在,发送防御指令至已部署的防御***,以使防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。
为了能够及时发现可能被入侵者攻击的危险端口,云服务器可以执行上述步骤S201,即对目标端口进行检测,得到各目标端口的端口信息。其中,目标端口包括内网端口和/或外网端口。在一种实施方式中,云服务器可以定时对外网端口和/或内网端口进行检测,以获得各目标端口的端口信息。例如,可以通过设置的定时任务实现对外网端口和/或内网端口进行定时检测。
当然云服务器也可以不定时对外网端口和/或内网端口进行检测。例如,可以在接收到检测指令时对外网端口和/或内网端口进行检测,该检测指令可以为用户发出的,用户可以在需要检测是否存在危险端口时,通过预设用户接口发出检测指令。该检测指令也可以为其他电子设备发送至云服务器的,在此不做具体限定。
上述端口信息可以为能够表征端口状态的信息,例如,对于外网端口来说,端口信息可以为能够表征该外网端口是否为开放端口的信息;对于内网端口来说,端口信息可以为能够表征该内网端口是否为默认端口的信息。
在对外网端口和/或内网端口进行检测时,针对外网端口,云服务器可以发送探测消息至外网端口,如果外网端口为开放端口,其会返回固定的端口信息,云服务器可以确定其为开放端口。针对内网端口,云服务器可以读取其配置信息作为端口信息,如果其配置信息为默认配置信息,那么便可以确定其为默认端口。
获得各目标端口的端口信息后,云服务器可以根据端口信息确定外网端口和/或内网端口中是否存在危险端口,也就是执行上述步骤S202。由于开放端口和默认端口很可能会成为入侵者攻击的对象,所以如果端口信息表征对应的端口为开放端口或默认端口,云服务器便可以确定该端口为危险端口。
进而,云服务器便可以执行上述步骤S103,也就是发送防御指令至已部署的防御***,防御***接收到该防御指令后便可以启动防御功能,以准备开始对危险端口进行防御。
作为本发明实施例的一种实施方式,如图3所示,在存在危险端口的情况下,上述方法还可以包括:
S301,将所述危险端口的标识发送至用户;
当确定存在危险端口时,为了告知用户云服务所存在的安全隐患,云服务器可以发送危险端口的标识至用户,发送危险端口的标识至用户的同时,还可以将危险端口的相关信息也发送至用户,以便用户可以对危险端口进行相应的处理。
云服务器可以采用APP(Application,应用程序)推送、短信提醒、邮件提醒等方式发送危险端口的标识至用户,在此不做具体限定。
用户获知危险端口的标识后,可以采用相应方式对危险端口进行处理,以消除安全隐患。用户可以通过手动操作对危险端口进行处理,也可以通过云服务器对危险端口进行处理,这都是合理的。
例如,可以采用修改危险端口的参数、修改危险端口的连接方式或关闭危险端口等方式消除安全隐患。对于危险端口为外网端口的情况而言,还可以采用增加CDN(ContentDelivery Network,内容分发网络)服务器等方式消除安全隐患,对于具体处理方式在此不做具体限定及说明。
其中,当危险端口为外网端口时,上述用户可以为云服务的租户;当危险端口为内网端口时,上述用户可以为云服务的管理人员等。
S302,当接收到所述用户发送的忽略消息时,记录所述危险端口的标识;和/或,若接收到用于指示关闭所述危险端口的关闭指令,则关闭所述危险端口。
当然,在一种实施方式中,用户也可能不想对危险端口进行处理,也不想再接收到云服务器发送的提醒,那么为了不打扰用户,保证用户体验,用户可以反馈忽略消息至云服务器,其中,该忽略消息可以包括危险端口的标识。那么云服务器接收到该忽略消息后,可以记录该危险端口的标识,不再向用户发送关于该危险端口的提醒。
作为一种实施方式,用户发送的忽略消息还可以包括时间标识,该时间标识用于表示不再接收提醒的时长。那么云服务器接收到该忽略消息后可以开始计时,在计时时长未达到该时长时,不再向用户发送关于该危险端口的提醒,而在计时时长达到该时长之后可以继续向用户发送关于该危险端口的提醒。
在另一种实施方式中,用户可以委托云服务器进行关闭危险端口的操作,也就是说,用户在接收到危险端口的标识后,如果想要关闭该标识对应的危险端口,可以发出关闭指令,该关闭指令用于指示关闭该危险端口,那么云服务器便可以接收到该关闭指令,进而关闭该危险端口。
可见,在本实施例中,在存在危险端口的情况下,云服务器可以将危险端口的标识发送至用户,以告知用户存在安全隐患。当接收到用户发送的忽略消息时,记录危险端口的标识,不再向用户发送关于该危险端口的提醒;若接收到用于指示关闭危险端口的关闭指令,则关闭危险端口,可以根据用户需求采用灵活的提醒方式和处理方式,提醒用户存在安全隐患的同时提高用户体验。
作为本发明实施例的一种实施方式,上述根据所述端口信息确定所述目标端口中是否存在危险端口的步骤,可以包括:
将所述端口信息输入预先训练完成的检测模型,利用所述检测模型确定所述外网端口和所述内网端口中是否存在危险端口,或者,将所述端口信息发送给所述检测模型所属设备,以便所述设备基于所述端口信息和所述检测模型确定所述目标端口中是否存在危险端口。
为了快速准确地确定外网端口和内网端口中是否存在危险端口,可以预先训练检测模型,该检测模型可以为卷积神经网络、循环神经网络等深度学习模型,在此不做具体限定。该检测模型根据危险端口和端口信息的对应关系训练而成。
为了训练得到上述检测模型,可以预先获取初始网络模型及训练集,其中,该训练集包括多个端口信息样本,可以预先收集得到该多个端口信息样本。接下来,可以标记每个端口信息样本对应的端口是否为危险端口,得到每个端口信息样本的标定标签。在一种实施方式中,可以采用1作为危险端口的标签,0作为非危险端口的标签。
进而,可以将端口信息样本输入初始网络模型进行处理,初始网络模型会基于当前的网络参数对端口信息样本进行卷积、池化等处理,进而输出预测标签,该预测标签也就是初始网络模型基于当前的网络参数进行处理得到的用于预测该端口信息样本是否为危险端口的端口信息的标签。
由于初始网络模型当前很可能并不能输出准确的危险端口信息,所以可以基于每个端口信息样本的预测标签及标定标签的之间的差异,不断调整初始网络模型的网络参数,这样,随着初始网络模型的网络参数的不断调整,其输出的危险端口信息的准确度会越来越高,也就是说,预测标签及标定标签的之间的差异会越来越小。
直到迭代次数到达一定次数后初始网络模型收敛,也就是初始网络模型的损失函数值达到最小并收敛,此时,该收敛的初始网络模型已经可以对端口信息进行准确处理得到准确的危险端口信息,所以可以停止训练,此时的初始网络模型即为上述检测模型。
对初始网络模型的训练方式具体可以采用梯度下降法、随机梯度下降法等,在此不做具体限定。在一种实施方式中,损失函数可以采用交叉熵函数等,在此不做具体限定。
如果上述检测模型部署在云服务器中,云服务器则可以将端口信息输入预先训练完成的检测模型,利用检测模型确定外网端口和内网端口中是否存在危险端口。
如果上述检测模型部署在其他设备中,云服务器则可以将端口信息发送给检测模型所属设备,该设备并可以利用端口信息和检测模型确定目标端口中是否存在危险端口。进而可以将确定结果返回给云服务器,云服务器也就可以确定目标端口中是否存在危险端口。
可见,在本实施例中,云服务器可以将端口信息输入预先训练完成的检测模型,利用检测模型确定目标端口中是否存在危险端口,也可以将端口信息发送给检测模型所属设备,以便该设备基于端口信息和检测模型确定目标端口中是否存在危险端口。无论采用哪种方式,均可以准确地确定危险端口,且可以提高处理过程的智能化程度。
作为本发明实施例的一种实施方式,上述利用所述检测模型确定所述目标端口中是否存在危险端口的步骤,可以包括:
若所述端口信息表示所述外网端口为开放端口,确定所述外网端口为危险端口;若所述端口信息表示所述内网端口为默认端口,确定所述内网端口为危险端口;若所述端口信息表示所述外网端口或所述内网端口为预设端口,确定所述端口为危险端口。
在本实施例中,由于危险端口至少包括三种情况,分别为开放端口、默认端口和预设端口,其中,预设端口为根据预先收集的危险端口信息确定的存在潜在危险的端口。危险端口信息可以是市面上发布的危险端口信息或者通过其他渠道获取的危险端口信息等,这都是合理的,在此不做具体限定。
所以在端口信息满足以下三种情况时,云服务器利用检测模型可以确定该端口信息为危险端口的端口信息,也就可以确定该端口为危险端口。第一种情况:当某外网端口的端口信息表示该外网端口为开放端口时,由于开放端口容易受到攻击者入侵,所以可以确定该外网端口为危险端口。
第二种情况:当某内网端口的端口信息表示该内网端口为默认端口时,由于默认端口的配置参数等均为默认的,容易受到攻击者入侵,所以可以确定该内网端口为危险端口。
第三种情况:虽然有一些端口不是开放端口也不是默认端口,但是由于计算机***难免会存在一些漏洞,因此这些端口也有可能成为容易被攻击的对象。针对这些端口,专业人员往往会进行收集整理,发布这些存在安全隐患的端口的相关信息,以便于进行防御,可以将这样的端口作为预设端口。当检测模型检测到端口信息表示外网端口或内网端口为预设端口时,便可以确定该端口为危险端口。
可见,在本实施例中,检测模型可以识别各种存在安全隐患的端口,包括开放端口、默认端口以及预设端口,可以全面地确定危险端口,以便进行全方位的预警。
作为本发明实施例的一种实施方式,如图4所示,上述方法还可以包括:
S401,收集已公布的危险端口信息;
由于危险端口信息可能会定期或不定期的更新,所以为了能够及时更新检测模型的训练集,保证检测模型的输出结果的准确性,可以定时或不定时收集已公布的危险端口信息。
S402,将所述危险端口信息加入所述检测模型的训练集,并通过所述训练集更新所述检测模型。
收集得到已公布的危险端口信息后,可以将该危险端口信息加入检测模型的训练集中,对训练集进行更新和扩充。进而可以基于该训练集训练检测模型,以更新检测模型的参数。具体训练已经在上述实施例中进行介绍,在此不再赘述。
可见,在本实施例中,可以基于更新后的训练集训练得到的检测模型可以对已公布的新的危险端口信息对应的端口进行识别,可以更加全面地检测出危险端口,保证云服务的安全性。
作为本发明实施例的一种实施方式,如图5所示,上述危险端口的预警方法可以包括:
S501,对目标端口进行检测,得到所述目标端口的端口信息。
云服务器可以定时或不定时地对目标端口进行检测,得到各目标端口的端口信息。
S502,根据所述端口信息,确定所述外网端口和所述内网端口中的疑似危险端口;
云服务器可以根据端口信息确定各个目标端口是否为疑似危险端口,其中,疑似危险端口可以包括开放端口、默认端口和预设端口。具体确定方式已经在上述实施例中进行介绍,在此不再赘述。
S503,当所述疑似危险端口连续出现次数达到预设次数阈值时,确定所述疑似危险端口为危险端口;
由于某个目标端口在一次检测中被确定为疑似危险端口时,其被攻击的可能性并不是很高,所以为了避免频繁确定某个目标端口为危险端口,同时避免某一次的检测误差造成的不准确性,可以设置预设次数阈值。该预设次数阈值可以为3次、5次、6次等,可以根据检测的时间间隔、安全性要求等因素设置,在此不做具体限定。
如果某个疑似危险端口连续出现次数达到预设次数阈值,也就是说,该疑似危险端口在连续几次的检测中都被确定为疑似危险端口,说明其被攻击的可能性较高,那么云服务器便可以确定该疑似危险端口为危险端口。
如果某个疑似危险端口连续出现次数未达到预设次数阈值,也就是说,该疑似危险端口在连续几次的检测中没有都被确定为疑似危险端口,说明其被攻击的可能性较低,有可能出现了误检测,那么云服务器可以确定该疑似危险端口不为危险端口。
S504,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
步骤S504与上述步骤S203相同,可以参见上述步骤S203部分的描述,在此不再赘述。
可见,在本实施例中,云服务器可以目标端口进行检测,得到各目标端口的端口信息,根据端口信息,确定目标端口中的疑似危险端口,当疑似危险端口连续出现次数达到预设次数阈值时,确定疑似危险端口为危险端口。可以避免短时间内频繁确定某个端口为危险端口,同时避免某一次的检测误差造成的不准确性,进一步提高检测的准确度。
作为本发明实施例的一种实施方式,上述对目标端口进行检测,得到所述目标端口的端口信息的步骤,可以包括:
通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息。
由于云服务器的所有端口中有一些端口的安全性是比较高的,几乎不会遭到入侵者的攻击,所以为了提高检测效率,降低需要的计算资源,可以预先设置需要进行遍历的端口,也就是目标外网端口和目标内网端口。
目标外网端口和目标内网端口可以包括上述开放端口、默认端口和一些已被确定为容易遭到攻击的端口等。云服务器可以预先将这些端口加入遍历目标中,在一种实施方式中,可以采用表格记录需要进行遍历的端口,也就是遍历目标。例如下表所示:
序号 | 端口标识 |
遍历目标1 | 3306 |
遍历目标2 | 6379 |
… | … |
遍历目标n | 2486 |
当然在安全性要求较高等情况下,也可以将云服务器的所有端口都作为遍历目标,这也是合理的,那么云服务器便可以将所有端口均加入遍历目标中。
在一种实施方式中,当需要增加或者减少某些端口时,可以修改上述遍历目标,以增加或者减少相应的遍历目标,可以根据需要对遍历目标进行灵活修改。修改遍历目标之后,云服务器便按照修改后的遍历目标进行端口信息的检测。
在对目标外网端口和目标内网端口进行检测时,云服务器可以运行预先编写的脚本代码以对各个遍历目标进行遍历,进而得到各端口的端口信息。
可见,在本实施例中,云服务器可以通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息,可以选择一些需要进行遍历的端口作为遍历目标,也可以将所有端口作为遍历目标,还可以随时更改遍历目标,云服务器可以根据需要灵活检测目标外网端口和目标内网端口。
相应于上述危险端口的预警方法,本发明实施例还提供了一种危险端口的预警装置。下面对本发明实施例所提供的一种危险端口的预警装置进行介绍。
如图6所示,一种危险端口的预警装置,应用于云服务器,所述装置包括:
端口信息检测模块610,用于对目标端口进行检测,得到所述目标端口的端口信息;
其中,所述目标端口包括内网端口和/或外网端口。
危险端口确定模块620,用于根据所述端口信息确定所述目标端口中是否存在危险端口;
危险预警模块630,用于如果存在危险端口,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
可见,本发明实施例提供的方案中,云服务器可以对目标端口进行检测,得到目标端口的端口信息,其中,目标端口包括内网端口和/或外网端口,根据端口信息确定目标端口中是否存在危险端口,如果存在,发送防御指令至已部署的防御***,以使防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。
作为本发明实施例的一种实施方式,如图7所示,上述装置还可以包括:
预警信息发送模块640,用于在存在危险端口的情况下,将所述危险端口的标识发送至用户;
端口处理模块650,用于当接收到所述用户发送的忽略消息时,记录所述危险端口的标识;和/或,若接收到用于指示关闭所述危险端口的关闭指令,则关闭所述危险端口。
作为本发明实施例的一种实施方式,上述危险端口确定模块620可以包括:
第一危险端口确定单元,用于将所述端口信息输入预先训练完成的检测模型,利用所述检测模型确定所述目标端口中是否存在危险端口,或者,用于将所述端口信息发送给所述检测模型所属设备,以便所述设备基于所述端口信息和所述检测模型确定所述目标端口中是否存在危险端口。
其中,所述检测模型根据危险端口和端口信息的对应关系训练而成。
作为本发明实施例的一种实施方式,上述第一危险端口确定单元,具体可以用于若所述端口信息表示所述外网端口为开放端口,确定所述外网端口为危险端口;若所述端口信息表示所述内网端口为默认端口,确定所述内网端口为危险端口;若所述端口信息表示所述外网端口或所述内网端口为预设端口,确定所述端口为危险端口,其中,所述预设端口为根据预先收集的危险端口信息确定的存在潜在危险的端口。
作为本发明实施例的一种实施方式,上述装置还可以包括:
信息收集模块,用于定时或不定时收集已公布的危险端口信息;
训练集更新模块,用于将所述危险端口信息加入所述检测模型的训练集,并通过所述训练集更新所述检测模型。
作为本发明实施例的一种实施方式,上述危险端口确定模块620可以包括:
疑似端口确定单元,用于根据所述端口信息,确定所述目标端口中的疑似危险端口;
第二危险端口确定单元,用于当所述疑似危险端口连续出现次数达到预设次数阈值时,确定所述疑似危险端口为危险端口。
作为本发明实施例的一种实施方式,上述端口信息检测模块610可以包括:
第二端口信息检测单元,用于通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息。
其中,所述目标外网端口和目标内网端口为预先设置的需要进行遍历的端口。
本发明实施例还提供了一种云服务器,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现上述任一实施例所述的危险端口的预警方法步骤。
可见,本发明实施例提供的方案中,云服务器可以对目标端口进行检测,得到目标端口的端口信息,其中,目标端口包括内网端口和/或外网端口,根据端口信息确定目标端口中是否存在危险端口,如果存在,发送防御指令至已部署的防御***,以使防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。
上述云服务器提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述云服务器与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的危险端口的预警方法步骤。
可见,本发明实施例提供的方案中,计算机程序被处理器执行时可以对目标端口进行检测,得到目标端口的端口信息,其中,目标端口包括内网端口和/或外网端口,根据端口信息确定目标端口中是否存在危险端口,如果存在,发送防御指令至已部署的防御***,以使防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一实施例所述的危险端口的预警方法步骤。
可见,本发明实施例提供的方案中,该包含指令的计算机程序产品在计算机上运行时可以对目标端口进行检测,得到目标端口的端口信息,其中,目标端口包括内网端口和/或外网端口,根据端口信息确定目标端口中是否存在危险端口,如果存在,发送防御指令至已部署的防御***,以使防御***启动防御功能。一方面,云服务器可以在攻击者入侵之前排除危险端口带来的安全隐患,另一方面,云服务器可以在存在危险端口时开始启动防御功能,此时遭遇攻击者的入侵,可以缩短防御***的响应时间,以在攻击者入侵成功之前便启动防御***进行防御。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、云服务器、计算机可读存储介质以及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种危险端口的预警方法,其特征在于,应用于云服务器,所述方法包括:
对目标端口进行检测,得到所述目标端口的端口信息,其中,所述目标端口包括内网端口和/或外网端口;
根据所述端口信息确定所述目标端口中是否存在危险端口;
如果存在,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
2.如权利要求1所述方法,其特征在于,在存在危险端口的情况下,所述方法还包括:
将所述危险端口的标识发送至用户;
若接收到所述用户发送的忽略消息,则记录所述危险端口的标识;和/或,若接收到用于指示关闭所述危险端口的关闭指令,则关闭所述危险端口。
3.如权利要求1所述方法,其特征在于,所述根据所述端口信息确定所述目标端口中是否存在危险端口的步骤,包括:
将所述端口信息输入预先训练完成的检测模型,利用所述检测模型确定所述目标端口中是否存在危险端口;
或者,将所述端口信息发送给所述检测模型所属设备,以便所述设备基于所述端口信息和所述检测模型确定所述目标端口中是否存在危险端口;
其中,所述检测模型根据危险端口和端口信息的对应关系训练而成。
4.如权利要求3所述方法,其特征在于,所述利用所述检测模型确定所述目标端口中是否存在危险端口的步骤,包括:
若所述端口信息表示所述外网端口为开放端口,确定所述外网端口为危险端口;
若所述端口信息表示所述内网端口为默认端口,确定所述内网端口为危险端口;
若所述端口信息表示所述外网端口或所述内网端口为预设端口,确定所述端口为危险端口,所述预设端口为根据预先收集的危险端口信息确定的存在潜在危险的端口。
5.如权利要求3所述方法,其特征在于,所述方法还包括:
收集已公布的危险端口信息;
将所述危险端口信息加入所述检测模型的训练集,并通过所述训练集更新所述检测模型。
6.如权利要求1或2所述方法,其特征在于,所述根据所述端口信息确定所述目标端口中是否存在危险端口的步骤,包括:
根据所述端口信息,确定所述目标端口中的疑似危险端口;
当所述疑似危险端口连续出现次数达到预设次数阈值时,确定所述疑似危险端口为危险端口。
7.如权利要求1-5任一项所述方法,其特征在于,所述对目标端口进行检测,得到所述目标端口的端口信息的步骤,包括:
通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息,其中,所述目标外网端口和目标内网端口为预先设置的需要进行遍历的端口。
8.一种危险端口的预警装置,其特征在于,应用于云服务器,所述装置包括:
端口信息检测模块,用于对目标端口进行检测,得到所述目标端口的端口信息,其中,所述目标端口包括内网端口和/或外网端口;
危险端口确定模块,用于根据所述端口信息确定所述目标端口中是否存在危险端口;
危险预警模块,用于如果存在危险端口,发送防御指令至已部署的防御***,以使所述防御***启动防御功能。
9.如权利要求8所述装置,其特征在于,所述装置还包括:
预警信息发送模块,用于在存在危险端口的情况下,将所述危险端口的标识发送至用户;
端口处理模块,用于若接收到所述用户发送的忽略消息,则记录所述危险端口的标识;和/或,若接收到用于指示关闭所述危险端口的关闭指令,则关闭所述危险端口。
10.如权利要求8所述装置,其特征在于,所述危险端口确定模块包括:
第一危险端口确定单元,用于将所述端口信息输入预先训练完成的检测模型,利用所述检测模型确定所述目标端口中是否存在危险端口,或者,用于将所述端口信息发送给所述检测模型所属设备,以便所述设备基于所述端口信息和所述检测模型确定所述目标端口中是否存在危险端口;
其中,所述检测模型根据危险端口和端口信息的对应关系训练而成。
11.如权利要求10所述装置,其特征在于,
所述第一危险端口确定单元,具体用于若所述端口信息表示所述外网端口为开放端口,确定所述外网端口为危险端口;若所述端口信息表示所述内网端口为默认端口,确定所述内网端口为危险端口;若所述端口信息表示所述外网端口或所述内网端口为预设端口,确定所述端口为危险端口,所述预设端口为根据预先收集的危险端口信息确定的存在潜在危险的端口。
12.如权利要求10所述装置,其特征在于,所述装置还包括:
信息收集模块,用于收集已公布的危险端口信息;
训练集更新模块,用于将所述危险端口信息加入所述检测模型的训练集,并通过所述训练集更新所述检测模型。
13.如权利要求8或9所述装置,其特征在于,所述危险端口确定模块包括:
疑似端口确定单元,用于根据所述端口信息,确定所述目标端口中的疑似危险端口;
第二危险端口确定单元,用于当所述疑似危险端口连续出现次数达到预设次数阈值时,确定所述疑似危险端口为危险端口。
14.如权利要求8-12任一项所述装置,其特征在于,所述端口信息检测模块包括:
第二端口信息检测单元,用于通过预先编写的脚本代码遍历目标外网端口和目标内网端口,得到各端口的端口信息,其中,所述目标外网端口和目标内网端口为预先设置的需要进行遍历的端口。
15.一种云服务器,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一所述的方法步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010987633.1A CN114221775A (zh) | 2020-09-18 | 2020-09-18 | 一种危险端口的预警方法、装置、云服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010987633.1A CN114221775A (zh) | 2020-09-18 | 2020-09-18 | 一种危险端口的预警方法、装置、云服务器及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114221775A true CN114221775A (zh) | 2022-03-22 |
Family
ID=80695752
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010987633.1A Pending CN114221775A (zh) | 2020-09-18 | 2020-09-18 | 一种危险端口的预警方法、装置、云服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114221775A (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002268985A (ja) * | 2001-03-13 | 2002-09-20 | Yokogawa Electric Corp | 脆弱性対応システム |
WO2004100011A1 (en) * | 2003-04-29 | 2004-11-18 | Threatguard, Inc. | System and method for network security scanning |
CN103685279A (zh) * | 2013-12-18 | 2014-03-26 | 东南大学 | 基于自适应的网络端口快速扫描方法 |
CN104301183A (zh) * | 2014-10-23 | 2015-01-21 | 北京知道创宇信息技术有限公司 | 基于ip段扫描的web容器检测方法和设备 |
CN105306414A (zh) * | 2014-06-13 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 端口漏洞的检测方法、装置及*** |
CN105592063A (zh) * | 2015-10-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种组播防攻击方法和装置 |
CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
CN109039812A (zh) * | 2018-07-20 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 端口检测方法、***和计算机可读存储介质 |
CN109639631A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种网络安全巡检***及巡检方法 |
CN109639630A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控***及管控方法 |
CN110990841A (zh) * | 2019-12-04 | 2020-04-10 | 广东电网有限责任公司 | 一种终端安全运维平台搭建方法 |
CN111404956A (zh) * | 2020-03-25 | 2020-07-10 | 深信服科技股份有限公司 | 一种风险信息获取方法、装置、电子设备及存储介质 |
-
2020
- 2020-09-18 CN CN202010987633.1A patent/CN114221775A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002268985A (ja) * | 2001-03-13 | 2002-09-20 | Yokogawa Electric Corp | 脆弱性対応システム |
WO2004100011A1 (en) * | 2003-04-29 | 2004-11-18 | Threatguard, Inc. | System and method for network security scanning |
CN103685279A (zh) * | 2013-12-18 | 2014-03-26 | 东南大学 | 基于自适应的网络端口快速扫描方法 |
CN105306414A (zh) * | 2014-06-13 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 端口漏洞的检测方法、装置及*** |
CN104301183A (zh) * | 2014-10-23 | 2015-01-21 | 北京知道创宇信息技术有限公司 | 基于ip段扫描的web容器检测方法和设备 |
CN105592063A (zh) * | 2015-10-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种组播防攻击方法和装置 |
CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
CN109039812A (zh) * | 2018-07-20 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 端口检测方法、***和计算机可读存储介质 |
CN109639631A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种网络安全巡检***及巡检方法 |
CN109639630A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控***及管控方法 |
CN110990841A (zh) * | 2019-12-04 | 2020-04-10 | 广东电网有限责任公司 | 一种终端安全运维平台搭建方法 |
CN111404956A (zh) * | 2020-03-25 | 2020-07-10 | 深信服科技股份有限公司 | 一种风险信息获取方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9842208B2 (en) | Method, apparatus and system for detecting malicious process behavior | |
US10505960B2 (en) | Malware detection by exploiting malware re-composition variations using feature evolutions and confusions | |
CN110572409B (zh) | 工业互联网的安全风险预测方法、装置、设备及存储介质 | |
CN107992738B (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
CN109714346B (zh) | 后门文件的查杀方法及装置 | |
WO2022126981A1 (zh) | 恶意代码的识别方法、装置、计算机设备及介质 | |
KR100992434B1 (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
CN109257354B (zh) | 基于模型树算法的异常流量分析方法及装置、电子设备 | |
CN110213255B (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
CN107426196B (zh) | 一种识别web入侵的方法及*** | |
CN112003838A (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
CN103279710A (zh) | Internet信息***恶意代码的检测方法和*** | |
CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
US20190294803A1 (en) | Evaluation device, security product evaluation method, and computer readable medium | |
US10320823B2 (en) | Discovering yet unknown malicious entities using relational data | |
CN114329469A (zh) | Api异常调用行为检测方法、装置、设备及存储介质 | |
CN112769803A (zh) | 网络威胁的检测方法、装置和电子设备 | |
US10075454B1 (en) | Using telemetry data to detect false positives | |
EP3331210A1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination | |
CN114221775A (zh) | 一种危险端口的预警方法、装置、云服务器及存储介质 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |