-
公开(公告)号:CN115858462A
公开(公告)日:2023-03-28
申请号:CN202211465638.3
申请日:2022-11-22
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本申请公开了一种网络流量检索方法、装置、设备及存储介质,涉及检索技术领域,包括:从网络适配器中实时捕获网络流量数据包,并按照用户配置判断是否对网络流量数据包进行压缩;基于判断结果将网络流量数据包写入相应的数据包文件中,并确定出网络流量数据包对应的位置向量;基于预设索引算法和位置向量生成各检索维度对应的树结构索引,并将索引写入索引文件中;利用预设检索算法,并根据用户指定的检索条件对索引文件进行检索以获取目标网络流量数据包对应的目标位置向量,并根据目标位置向量从目标数据包文件中获取目标网络流量数据包。本申请生成数据包的各检索维度对应的树结构索引,对索引文件进行检索,能够避免会话重组,提高检索性能。
-
公开(公告)号:CN108900554B
公开(公告)日:2021-04-16
申请号:CN201810960180.6
申请日:2018-08-22
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本申请公开的HTTP协议资产检测方法、系统、设备及计算机介质,其中该方法包括:获取HTTP请求中的目标IP、目标端口、目标Host域名信息及目标URL信息;判断目标Host域名信息是否属于已备案域名信息;若是,则判断目标URL信息是否属于已备案URL信息;若目标URL信息不属于已备案URL信息,则记录目标IP、目标端口、目标Host域名信息及目标URL信息为未备案资产信息。本申请公开的一种HTTP协议资产检测方法,通过判断目标URL信息是否属于已备案URL信息避免了HTTP协议资产检测方法出现漏报的情况。本申请公开的一种HTTP协议资产检测系统、设备及计算机可读存储介质也解决了相应技术问题。
-
公开(公告)号:CN110581780A
公开(公告)日:2019-12-17
申请号:CN201910797029.X
申请日:2019-08-27
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明提供一种针对WEB服务器资产的自动识别方法:包括以下步骤:S1、采集流量作为数据包;S2、从内存中获取数据包,判断数据包中的端口是否为常规端口;如果数据包属于常规端口,执行步骤S4;如果数据包属于非常规端口;执行步骤S3;S3、对会话中客户端方向报文长度不为0的数据包进行特征匹配:如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃;S4、从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5;S5、资产识别。本发明可以有效的解决非常规端口的WEB服务器资产的识别问题。
-
公开(公告)号:CN119966847A
公开(公告)日:2025-05-09
申请号:CN202510193175.7
申请日:2025-02-20
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L43/02 , H04L43/028 , H04L47/2483
Abstract: 本申请公开了一种网络流量匹配方法、装置、设备及存储介质,涉及流量检测技术领域,包括:获取流量检测平台的预设规则引擎中的待匹配规则,并根据预设打分机制确定所述待匹配规则中规则特征对应的分值;基于各所述规则特征对应的分值对所述规则特征进行排序得到相应的排序结果,并基于所述排序结果从所述规则特征中确定出第一目标规则特征和第二目标规则特征;根据所述第一目标规则特征和所述第二目标规则特征构建与所述待匹配规则对应的扫描节点,并基于所述扫描节点扫描网络流量,以便从所述网络流量中匹配出相应的目标流量。本申请通过构建扫描节点优化待匹配规则中的规则特征,从而减少网络流量匹配过程中的重复匹配次数,提升了匹配效率。
-
公开(公告)号:CN108900554A
公开(公告)日:2018-11-27
申请号:CN201810960180.6
申请日:2018-08-22
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本申请公开的HTTP协议资产检测方法、系统、设备及计算机介质,其中该方法包括:获取HTTP请求中的目标IP、目标端口、目标Host域名信息及目标URL信息;判断目标Host域名信息是否属于已备案域名信息;若是,则判断目标URL信息是否属于已备案URL信息;若目标URL信息不属于已备案URL信息,则记录目标IP、目标端口、目标Host域名信息及目标URL信息为未备案资产信息。本申请公开的一种HTTP协议资产检测方法,通过判断目标URL信息是否属于已备案URL信息避免了HTTP协议资产检测方法出现漏报的情况。本申请公开的一种HTTP协议资产检测系统、设备及计算机可读存储介质也解决了相应技术问题。
-
Patent Agency Ranking
公开(公告)号:CN107590258B
公开(公告)日:2020-04-28
申请号:CN201710856489.6
申请日:2017-09-20
Applicant: 杭州安恒信息技术股份有限公司
IPC: G06F16/953 , G06F16/903
Abstract: 本发明实施例提供了一种关键字匹配方法及装置,涉及数据解析技术领域。方法包括:解析流量数据,获取流量数据中的待测关键字;判断待测关键字中的多个字符是否均对应在预先设定的目标字典树的一分支中,在为是时,获取流量数据中与待测关键字对应的数据信息,其中,分支包括多个节点,每个节点对应一字符。通过字典树中每个节点与其他节点建立链接的导向功能,避免了待测关键字的逐一匹配,极大的降低了运算,同时也降低了对设备的硬软件要求,使得其实际应用不再受限。
-
公开(公告)号:CN112187720B
公开(公告)日:2022-11-15
申请号:CN202010902792.7
申请日:2020-09-01
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L9/40
Abstract: 本申请涉及二级攻击链的生成方法、装置、电子设备和存储介质。其中,该方法包括:获取网络数据,并从网络数据中提取多个单点攻击事件;确定多个单点攻击事件的对象;按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链;统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链;将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。通过本申请,解决了威胁攻击事件进行威胁检测时,由于规则不严谨导致的告警误报问题。
-
公开(公告)号:CN112187720A
公开(公告)日:2021-01-05
申请号:CN202010902792.7
申请日:2020-09-01
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L29/06
Abstract: 本申请涉及二级攻击链的生成方法、装置、电子设备和存储介质。其中,该方法包括:获取网络数据,并从网络数据中提取多个单点攻击事件;确定多个单点攻击事件的对象;按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链;统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链;将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。通过本申请,解决了威胁攻击事件进行威胁检测时,由于规则不严谨导致的告警误报问题。
-
公开(公告)号:CN107612911B
公开(公告)日:2020-05-01
申请号:CN201710850732.3
申请日:2017-09-20
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明涉及一种基于DNS流量检测受感染主机和C&C服务器的方法,构建训练集并训练识别随机域名的算法,采集经过任一网卡的DNS流量并解析得到DNS信息;利用识别随机域名的算法判断DNS信息中的域名是否为随机域名,是则判断域名是否解析成功的信息,解析失败则识别受感染主机,对受感染的主机进行信息保存,识别C&C服务器,对C&C服务器,进行信息保存,告警并保存告警信息、展现。本发明通过DNS流量信息有效识别被使用DGA算法进行回连的病毒、木马感染的主机以及其背后的C&C服务器,精确度高,相比通过其他流量的检测手段,DNS流量要小很多,因而本发明的成本更低且效率更高。
-
公开(公告)号:CN110581780B
公开(公告)日:2022-10-21
申请号:CN201910797029.X
申请日:2019-08-27
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L41/12 , H04L41/0246 , H04L67/02 , H04L67/14
Abstract: 本发明提供一种针对WEB服务器资产的自动识别方法:包括以下步骤:S1、采集流量作为数据包;S2、从内存中获取数据包,判断数据包中的端口是否为常规端口;如果数据包属于常规端口,执行步骤S4;如果数据包属于非常规端口;执行步骤S3;S3、对会话中客户端方向报文长度不为0的数据包进行特征匹配:如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃;S4、从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5;S5、资产识别。本发明可以有效的解决非常规端口的WEB服务器资产的识别问题。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.033 seconds)
