公开(公告)号：CN107515813B

公开(公告)日：2021-04-09

申请号：CN201710803215.0

申请日：2017-09-07

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 周纪元 ,  范渊 ,  黄进

IPC: G06F11/30

Abstract: 本发明提供了一种基于分布式的模块化日志处理方法、装置及系统，涉及日志处理的技术领域，该方法包括：将获取模块从第一目标时刻开始执行的获取任务确定为当前获取任务；监测当前获取任务获取的日志数据的数量，在监测到数量达到预设数量的情况下，向目标处理模块推送日志数据，并通过目标处理模块对日志数据进行处理，其中，目标处理模块为多个处理模块中的处于空闲状态的处理模块；其中，在向目标处理模块推送日志数据之后，将推送日志数据时刻作为第二目标时刻，并将获取模块从第二目标时刻开始执行的获取任务确定为下一个获取任务。本发明缓解了传统处理后入库的日志处理方法中存在的入库速度较低的技术问题。

公开(公告)号：CN108337269B

公开(公告)日：2020-12-15

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

公开(公告)号：CN108337269A

公开(公告)日：2018-07-27

申请号：CN201810267006.3

申请日：2018-03-28

Applicant: 杭州安恒信息技术股份有限公司 ,  北京邮电大学

Inventor： 谷勇浩 ,  范渊 ,  王永非 ,  刘博 ,  林明峰 ,  周纪元 ,  郭振洋 ,  李凯悦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。