-
公开(公告)号:CN113542310B
公开(公告)日:2021-12-21
申请号:CN202111090260.9
申请日:2021-09-17
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明实施例公开了一种网络扫描检测方法、装置及计算机存储介质。其中,该方法包括:提取各报文数据中的目的IP以及相应的目的IP端口特征值;采用孤立森林算法,根据各报文数据的目的IP端口特征值计算相应的所述目的IP的异常得分;通过四分位算法对所有目的IP的异常得分进行异常得分阈值计算,将大于所述异常得分阈值的所述目的IP的异常得分对应的目的IP标记为遭受网络扫描的目的IP。综合多种端口特征得到每个目的IP的异常评分,并综合所有评分确定遭受网络扫描的目的IP,提高了对网络扫描检测的准确性。
-
公开(公告)号:CN113765923A
公开(公告)日:2021-12-07
申请号:CN202111048808.3
申请日:2021-09-08
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明公开一种web端参数检测方法、装置、系统及计算机存储介质。其中,该方法包括:获取请求成功的web请求数据;其中,所述web请求数据包括:应用程序接口和参数;将所述请求成功的web请求数据根据所述应用程序接口进行分组,得到多组web请求数据;对当前组的所述web请求数据抽取预设特征并根据所述预设特征对所述web请求数据进行聚类,得到当前组的多个web请求数据的聚类;对当前组的每个聚类进行打分得到各聚类的分值;当判定当前所述聚类的分值大于预设阈值时,对该聚类进行告警并展示。通过本发明,能够充分利用客户自己企业的web数据,达到自适应的效果,相较于文本检测监督学习不需要事先准备标签数据,以及能检测出未知安全问题。
-
公开(公告)号:CN113542310A
公开(公告)日:2021-10-22
申请号:CN202111090260.9
申请日:2021-09-17
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明实施例公开了一种网络扫描检测方法、装置及计算机存储介质。其中,该方法包括:提取各报文数据中的目的IP以及相应的目的IP端口特征值;采用孤立森林算法,根据各报文数据的目的IP端口特征值计算相应的所述目的IP的异常得分;通过四分位算法对所有目的IP的异常得分进行异常得分阈值计算,将大于所述异常得分阈值的所述目的IP的异常得分对应的目的IP标记为遭受网络扫描的目的IP。综合多种端口特征得到每个目的IP的异常评分,并综合所有评分确定遭受网络扫描的目的IP,提高了对网络扫描检测的准确性。
-
公开(公告)号:CN112929364A
公开(公告)日:2021-06-08
申请号:CN202110160302.5
申请日:2021-02-05
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明提供一种基于ICMP隧道分析的数据泄露检测方法,包括S1.数据接入;S2.数据预处理,抓取ICMP协议中查询类ICMP报文数据;S3.对数据进行分组处理,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;S4.特征抽取,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;S5.异常行为识别,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。本发明通过引入机器学习的方法,以数据为媒介,构造出的具有区分能力的特征,然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为,具备了较高的查全率和查准率,解决了统计分析方法漏报率和误报率较高的问题。
-
公开(公告)号:CN109413048B
公开(公告)日:2021-06-04
申请号:CN201811158439.1
申请日:2018-09-30
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06
Abstract: 本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品,能够在一定程度上保护了终端或者网络中真实的文件,提高了终端或者网络的安全性。本发明实施例提供的基于文件型蜜罐检测勒索软件方法,包括:监测映射文件夹对应的日志文件;所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹;当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为。
-
Patent Agency Ranking
公开(公告)号:CN111431883A
公开(公告)日:2020-07-17
申请号:CN202010192599.9
申请日:2020-03-18
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明实施例提供了一种基于访问参数的web攻击检测方法及装置,方法包括:解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;根据预先设定的特征对预处理后的web日志进行分组处理;针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。应用本发明实施例,技术方案更加简单。
-
公开(公告)号:CN108156131A
公开(公告)日:2018-06-12
申请号:CN201711021568.1
申请日:2017-10-27
Applicant: 上海观安信息技术股份有限公司
Abstract: 本申请提供了一种Webshell检测方法、电子设备和计算机存储介质,属于计算机信息安全技术领域。所述方法包括:根据规约模型,删除path中的无效字符串,得到标准化的path;根据标准化的path,抽取Web应用日志的页面特征,进而对Web应用日志进行Webshell检测。本申请根据规约模型删除path中的无效字符串,得到标准化的path;根据标准化的path,抽取页面特征,进而进行Webshell检测,实现了根据规约模型选择标准字符串,将涉及同一页面的path标准化为相同的path,进而基于path的不同抽取页面特征,进行Webshell检测,不仅具有通用性,而且降低误报率和漏报率。
-
公开(公告)号:CN118300875A
公开(公告)日:2024-07-05
申请号:CN202410501402.3
申请日:2024-04-24
Applicant: 中国移动通信集团有限公司 , 上海观安信息技术股份有限公司
IPC: H04L9/40 , H04L61/4511
Abstract: 本申请实施例公开了一种信息处理方法及装置、存储介质、计算机程序产品,信息处理方法包括:从一个或者多个域名系统DNS请求中获取域名与互联网协议地址IP的对应关系;利用对应关系构建以域名和IP为节点的目标群落,其中,目标群落中相连的域名和IP对应;分析目标群落包含的域名和IP,判断目标群落是否属于恶意群落;在目标群落属于恶意群落的情况下,将包含目标群落中域名和/或IP的DNS请求确定为恶意请求。
-
公开(公告)号:CN113747443B
公开(公告)日:2024-06-07
申请号:CN202110971543.8
申请日:2021-08-23
Applicant: 上海观安信息技术股份有限公司
IPC: H04W12/128 , G06N20/00
Abstract: 本申请公开了一种基于机器学习算法的安全检测方法及装置。一种基于机器学习算法的安全检测方法,包括:获取原始网络流量和原始用户信息;对所述原始网络流量和所述原始用户信息进行交叉关联;经过大数据的机器学习,构建自启发式的恶意代码流量模型;将所述原始网络流量经过特征数据库和自启发式的恶意代码流量模型比对,抓取获得网络侧恶意代码流量。本申请的技术方案,提高了恶意代码检测的精确度。
-
公开(公告)号:CN114244632B
公开(公告)日:2022-05-03
申请号:CN202210168266.1
申请日:2022-02-24
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质,该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息,然后基于实时数据,更新历史ICMP通信结构图,得到新的ICMP通信结构图;再基于实时数据的源IP地址及新的ICMP通信结构图,确定源IP地址对应的节点的特征信息;之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到新的ICMP通信结构图中每个节点对应的键值对,最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为,提高了网络的安全性。
-
-
-
-
-
-
-
-
-
Search Results
38
records
(took 0.073 seconds)
