一种WEB服务异常检测方法

    公开(公告)号:CN101635703A

    公开(公告)日:2010-01-27

    申请号:CN200810117114.9

    申请日:2008-07-24

    Inventor: 赵海峰 牛妍萍

    Abstract: 本发明涉及一种WEB服务异常检测方法,包括:分析建立Web服务器(4)状态和通讯报文行为之间的对应关系;实时检测和分析网络通讯报文并根据通讯报文行为获知Web服务器(4)状态及其变迁;根据Web服务器(4)状态变迁情况判断并报告是否受到未知拒绝服务攻击。这种方法,通过分析建立Web服务器状态和通讯报文行为之间的对应关系,通过报文实时检测及对应Web服务器状态变迁分析,能对Web服务器所处异常状态进行发现,较目前方法可以对未知的拒绝服务攻击进行报警,阻止和提取、记录具有攻击特征的网络报文。

    一种计算机网络入侵定位系统和方法

    公开(公告)号:CN101262373A

    公开(公告)日:2008-09-10

    申请号:CN200810104417.7

    申请日:2008-04-18

    Abstract: 本发明涉及一种计算机网络入侵定位系统和方法。该方法包括:获取现有的网络节点的安全依赖关系网络,该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率;获取监控节点信息;依据网络节点的安全依赖关系建立以监控节点为根节点的安全依赖树,并确定安全依赖树的叶节点;依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率以及叶节点发生入侵的先验概率计算安全依赖树中叶节点的入侵因子,从而确定入侵起始节点的信息。本发明可以快速地定位入侵地点。

    一种采用统一检测框架的入侵检测系统和入侵检测方法

    公开(公告)号:CN101902338A

    公开(公告)日:2010-12-01

    申请号:CN200910085041.4

    申请日:2009-05-27

    Abstract: 本发明为一种采用统一检测框架的入侵检测方法和系统,该方法包括:在选择的报文处理单元植入挂载点,为各检测单元配置挂载点,所需的报文特征信息在各自挂载点之前的报文处理过程中得到,将所有启用的检测单元注册到各自要挂载到的挂载点,当报文经过挂载有检测单元的挂载点时,由该挂载点上的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,报文再进入该挂载点后的报文处理单元或挂载点继续处理;该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删,节约了时间和系统资源。

    一种采用统一检测框架的入侵检测系统和入侵检测方法

    公开(公告)号:CN101902338B

    公开(公告)日:2013-01-23

    申请号:CN200910085041.4

    申请日:2009-05-27

    Abstract: 本发明为一种采用统一检测框架的入侵检测方法和系统,该方法包括:在选择的报文处理单元植入挂载点,为各检测单元配置挂载点,所需的报文特征信息在各自挂载点之前的报文处理过程中得到,将所有启用的检测单元注册到各自要挂载到的挂载点,当报文经过挂载有检测单元的挂载点时,由该挂载点上的检测单元对该报文进行入侵检测,检测完成后,对非最末一级的挂载点,报文再进入该挂载点后的报文处理单元或挂载点继续处理;该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删,节约了时间和系统资源。

    一种检测端口扫描行为的方法和系统

    公开(公告)号:CN101902349B

    公开(公告)日:2012-10-31

    申请号:CN200910085033.X

    申请日:2009-05-27

    Inventor: 李博 牛妍萍

    Abstract: 本发明提出一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断,从而实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。

    一种计算机网络入侵定位系统和方法

    公开(公告)号:CN101262373B

    公开(公告)日:2010-12-08

    申请号:CN200810104417.7

    申请日:2008-04-18

    Abstract: 本发明涉及一种计算机网络入侵定位系统和方法。该方法包括:获取现有的网络节点的安全依赖关系网络,该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率;获取监控节点信息;依据网络节点的安全依赖关系建立以监控节点为根节点的安全依赖树,并确定安全依赖树的叶节点;依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率以及叶节点发生入侵的先验概率计算安全依赖树中叶节点的入侵因子,从而确定入侵起始节点的信息。本发明可以快速地定位入侵地点。

    一种检测端口扫描行为的方法和系统

    公开(公告)号:CN101902349A

    公开(公告)日:2010-12-01

    申请号:CN200910085033.X

    申请日:2009-05-27

    Inventor: 李博 牛妍萍

    Abstract: 本发明提出一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断,从而实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。

Patent Agency Ranking