-
公开(公告)号:CN114244632A
公开(公告)日:2022-03-25
申请号:CN202210168266.1
申请日:2022-02-24
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质,该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息,然后基于实时数据,更新历史ICMP通信结构图,得到新的ICMP通信结构图;再基于实时数据的源IP地址及新的ICMP通信结构图,确定源IP地址对应的节点的特征信息;之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到新的ICMP通信结构图中每个节点对应的键值对,最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为,提高了网络的安全性。
-
公开(公告)号:CN111431884B
公开(公告)日:2022-02-11
申请号:CN202010192612.0
申请日:2020-03-18
Applicant: 上海观安信息技术股份有限公司
IPC: H04L9/40 , H04L61/4511 , G06K9/62 , G06N3/04
Abstract: 本发明提供了一种基于DNS分析的主机失陷检测方法及装置,所述方法包括:利用预先训练的LSTM对待检测域名进行分类;抽取待检测域名的主机IP地址的特征;根据分类结果以及所抽取的特征,利用异常检测算法对主机IP地址进行异常打分;利用恶意IP情报匹配结果和C&C server IP检测结果对异常打分结果进行补充和修正。应用本发明实施例,可以实现主机是否失陷的检测。
-
公开(公告)号:CN113747443A
公开(公告)日:2021-12-03
申请号:CN202110971543.8
申请日:2021-08-23
Applicant: 上海观安信息技术股份有限公司
IPC: H04W12/128 , G06N20/00
Abstract: 本申请公开了一种基于机器学习算法的安全检测方法及装置。一种基于机器学习算法的安全检测方法,包括:获取原始网络流量和原始用户信息;对所述原始网络流量和所述原始用户信息进行交叉关联;经过大数据的机器学习,构建自启发式的恶意代码流量模型;将所述原始网络流量经过特征数据库和自启发式的恶意代码流量模型比对,抓取获得网络侧恶意代码流量。本申请的技术方案,提高了恶意代码检测的精确度。
-
公开(公告)号:CN108156131B
公开(公告)日:2020-08-04
申请号:CN201711021568.1
申请日:2017-10-27
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06 , H04L29/08 , G06F16/958
Abstract: 本申请提供了一种Webshell检测方法、电子设备和计算机存储介质,属于计算机信息安全技术领域。所述方法包括:根据规约模型,删除path中的无效字符串,得到标准化的path;根据标准化的path,抽取Web应用日志的页面特征,进而对Web应用日志进行Webshell检测。本申请根据规约模型删除path中的无效字符串,得到标准化的path;根据标准化的path,抽取页面特征,进而进行Webshell检测,实现了根据规约模型选择标准字符串,将涉及同一页面的path标准化为相同的path,进而基于path的不同抽取页面特征,进行Webshell检测,不仅具有通用性,而且降低误报率和漏报率。
-
公开(公告)号:CN111431884A
公开(公告)日:2020-07-17
申请号:CN202010192612.0
申请日:2020-03-18
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明提供了一种基于DNS分析的主机失陷检测方法及装置,所述方法包括:利用预先训练的LSTM对待检测域名进行分类;抽取待检测域名的主机IP地址的特征;根据分类结果以及所抽取的特征,利用异常检测算法对主机IP地址进行异常打分;利用恶意IP情报匹配结果和C&C server IP检测结果对异常打分结果进行补充和修正。应用本发明实施例,可以实现主机是否失陷的检测。
-
Patent Agency Ranking
公开(公告)号:CN110298005A
公开(公告)日:2019-10-01
申请号:CN201910560171.2
申请日:2019-06-26
Applicant: 上海观安信息技术股份有限公司
IPC: G06F16/958 , G06N3/04 , G06N3/08
Abstract: 本发明公开了一种对URL进行归一化的方法,要解决的是现有URL归一化方法中存在的问题。本发明具体步骤如下:步骤一,将原始的URL通过深度学习方法编码成数值型向量,使得具有同一个路径但不同参数的URL在编码之后的向量空间中距离很接近;步骤二,将数值型向量接近的URL进行合并,从而实现归一化的目的。本方法不需要编写复杂的正则表达式,参数部分不论长短,都可以准确识别到,可以准确的将URL进行归一化;本方法采用Autoencoder方法,Autoencoder方法是一个非监督学习算法,不需要进行人工标注;本方法不需要维护一个URL映射表或者目录结构,在网站进行小规模改版时出现新的URL时有更好的稳定性。
-
公开(公告)号:CN117896133A
公开(公告)日:2024-04-16
申请号:CN202410027341.1
申请日:2024-01-08
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明公开了一种高效的威胁狩猎方法及系统,方法包括:触发威胁狩猎任务后,对攻击进行增量存量分类;若攻击属于存量攻击,则触发预设的自动化处置流程,若攻击属于增量攻击,对增量攻击进行信息关联、溯源分析以及影响面分析;将增量攻击的分析结果汇总,根据攻击的类型以及影响程度判断是否处置派单,若是,则处置派单,若否,则信息录入;本发明的优点在于:高效全面的排查网络中的威胁。
-
公开(公告)号:CN113765923B
公开(公告)日:2023-04-07
申请号:CN202111048808.3
申请日:2021-09-08
Applicant: 上海观安信息技术股份有限公司
IPC: H04L9/40 , G06F18/2321 , H04L67/02
Abstract: 本发明公开一种web端参数检测方法、装置、系统及计算机存储介质。其中,该方法包括:获取请求成功的web请求数据;其中,所述web请求数据包括:应用程序接口和参数;将所述请求成功的web请求数据根据所述应用程序接口进行分组,得到多组web请求数据;对当前组的所述web请求数据抽取预设特征并根据所述预设特征对所述web请求数据进行聚类,得到当前组的多个web请求数据的聚类;对当前组的每个聚类进行打分得到各聚类的分值;当判定当前所述聚类的分值大于预设阈值时,对该聚类进行告警并展示。通过本发明,能够充分利用客户自己企业的web数据,达到自适应的效果,相较于文本检测监督学习不需要事先准备标签数据,以及能检测出未知安全问题。
-
公开(公告)号:CN111431883B
公开(公告)日:2022-11-04
申请号:CN202010192599.9
申请日:2020-03-18
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明实施例提供了一种基于访问参数的web攻击检测方法及装置,方法包括:解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;根据预先设定的特征对预处理后的web日志进行分组处理;针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。应用本发明实施例,技术方案更加简单。
-
公开(公告)号:CN111698260B
公开(公告)日:2022-10-11
申请号:CN202010582205.0
申请日:2020-06-23
Applicant: 上海观安信息技术股份有限公司
IPC: H04L9/40 , H04L61/4511 , G06N20/00 , G06K9/62
Abstract: 本发明公开了一种基于报文分析的DNS劫持检测方法及系统,具体步骤如下:步骤1,网络报文数据解析;步骤2,数据预处理;步骤3,特征提取;步骤4,机器学习模型识别DNS劫持攻击;步骤5,DNS劫持攻击分类;步骤6,模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理,针对性地构造出了具有非常强的区分度特征,结合机器学习的方法,通过不断地优化分析,实现了以报文数据为媒介,训练模型使之具备精确的检测能力,有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题,同时通过进一步的模型分析,能够将DNS攻击进行细化分类,准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。
-
-
-
-
-
-
-
-
-
Search Results
38
records
(took 0.093 seconds)
