-
公开(公告)号:CN108156131B
公开(公告)日:2020-08-04
申请号:CN201711021568.1
申请日:2017-10-27
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06 , H04L29/08 , G06F16/958
Abstract: 本申请提供了一种Webshell检测方法、电子设备和计算机存储介质,属于计算机信息安全技术领域。所述方法包括:根据规约模型,删除path中的无效字符串,得到标准化的path;根据标准化的path,抽取Web应用日志的页面特征,进而对Web应用日志进行Webshell检测。本申请根据规约模型删除path中的无效字符串,得到标准化的path;根据标准化的path,抽取页面特征,进而进行Webshell检测,实现了根据规约模型选择标准字符串,将涉及同一页面的path标准化为相同的path,进而基于path的不同抽取页面特征,进行Webshell检测,不仅具有通用性,而且降低误报率和漏报率。
-
公开(公告)号:CN111431884A
公开(公告)日:2020-07-17
申请号:CN202010192612.0
申请日:2020-03-18
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明提供了一种基于DNS分析的主机失陷检测方法及装置,所述方法包括:利用预先训练的LSTM对待检测域名进行分类;抽取待检测域名的主机IP地址的特征;根据分类结果以及所抽取的特征,利用异常检测算法对主机IP地址进行异常打分;利用恶意IP情报匹配结果和C&C server IP检测结果对异常打分结果进行补充和修正。应用本发明实施例,可以实现主机是否失陷的检测。
-
公开(公告)号:CN110298005A
公开(公告)日:2019-10-01
申请号:CN201910560171.2
申请日:2019-06-26
Applicant: 上海观安信息技术股份有限公司
IPC: G06F16/958 , G06N3/04 , G06N3/08
Abstract: 本发明公开了一种对URL进行归一化的方法,要解决的是现有URL归一化方法中存在的问题。本发明具体步骤如下:步骤一,将原始的URL通过深度学习方法编码成数值型向量,使得具有同一个路径但不同参数的URL在编码之后的向量空间中距离很接近;步骤二,将数值型向量接近的URL进行合并,从而实现归一化的目的。本方法不需要编写复杂的正则表达式,参数部分不论长短,都可以准确识别到,可以准确的将URL进行归一化;本方法采用Autoencoder方法,Autoencoder方法是一个非监督学习算法,不需要进行人工标注;本方法不需要维护一个URL映射表或者目录结构,在网站进行小规模改版时出现新的URL时有更好的稳定性。
-
公开(公告)号:CN111431883B
公开(公告)日:2022-11-04
申请号:CN202010192599.9
申请日:2020-03-18
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明实施例提供了一种基于访问参数的web攻击检测方法及装置,方法包括:解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;根据预先设定的特征对预处理后的web日志进行分组处理;针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。应用本发明实施例,技术方案更加简单。
-
公开(公告)号:CN111698260B
公开(公告)日:2022-10-11
申请号:CN202010582205.0
申请日:2020-06-23
Applicant: 上海观安信息技术股份有限公司
IPC: H04L9/40 , H04L61/4511 , G06N20/00 , G06K9/62
Abstract: 本发明公开了一种基于报文分析的DNS劫持检测方法及系统,具体步骤如下:步骤1,网络报文数据解析;步骤2,数据预处理;步骤3,特征提取;步骤4,机器学习模型识别DNS劫持攻击;步骤5,DNS劫持攻击分类;步骤6,模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理,针对性地构造出了具有非常强的区分度特征,结合机器学习的方法,通过不断地优化分析,实现了以报文数据为媒介,训练模型使之具备精确的检测能力,有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题,同时通过进一步的模型分析,能够将DNS攻击进行细化分类,准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。
-
Patent Agency Ranking
公开(公告)号:CN111698260A
公开(公告)日:2020-09-22
申请号:CN202010582205.0
申请日:2020-06-23
Applicant: 上海观安信息技术股份有限公司
Abstract: 本发明公开了一种基于报文分析的DNS劫持检测方法及系统,具体步骤如下:步骤1,网络报文数据解析;步骤2,数据预处理;步骤3,特征提取;步骤4,机器学习模型识别DNS劫持攻击;步骤5,DNS劫持攻击分类;步骤6,模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理,针对性地构造出了具有非常强的区分度特征,结合机器学习的方法,通过不断地优化分析,实现了以报文数据为媒介,训练模型使之具备精确的检测能力,有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题,同时通过进一步的模型分析,能够将DNS攻击进行细化分类,准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。
-
公开(公告)号:CN110428291A
公开(公告)日:2019-11-08
申请号:CN201910726773.0
申请日:2019-08-07
Applicant: 上海观安信息技术股份有限公司
IPC: G06Q30/02 , G06F16/245 , G06N3/00
Abstract: 本发明公开了一种利用有向无环图识别黑产团伙的方法,要解决的是现有黑产团伙识别中存在的问题。本发明具体步骤如下:步骤一,利用图数据库寻找邀请群体;步骤二,抽取邀请群体的行为特征值;步骤三,对邀请群体的行为特征值利用机器学习分类方法进行识别即可。本发明设计合理,用基尼系数描述群体中子节点集的分布均匀状态,通过群体的生长方式的动态属性描述图,并最终识别黑客行为;本发明采用了群体视角,可以发现更多的问题,相对于现有的单个用户的模型,可以发现更多具有黑客行为的异常账号,使用效果好。
-
公开(公告)号:CN109413048A
公开(公告)日:2019-03-01
申请号:CN201811158439.1
申请日:2018-09-30
Applicant: 上海观安信息技术股份有限公司
IPC: H04L29/06
Abstract: 本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品,能够在一定程度上保护了终端或者网络中真实的文件,提高了终端或者网络的安全性。本发明实施例提供的基于文件型蜜罐检测勒索软件方法,包括:监测映射文件夹对应的日志文件;所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹;当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为。
-
公开(公告)号:CN109347992A
公开(公告)日:2019-02-15
申请号:CN201810949466.4
申请日:2018-08-20
Applicant: 上海观安信息技术股份有限公司
Abstract: 本申请实施例中提供了一种溯源分析方法、电子设备及计算机程序产品。采用本申请中的方案,确定第一参数n、第二参数k和初始节点S0;从1至n的整数中依次取值,每当取一值后,基于S0,确定路径长度为取到的值的节点,在节点中确定展开节点,计算展开节点至S0之间的距离;基于k和距离进行溯源。本申请从1至n的整数中依次取值,每当取一值后,基于S0,确定路径长度为取到的值的节点,在节点中确定展开节点,计算展开节点至S0之间的距离;基于k和距离进行溯源,可以在某个节点关联的信息过多时,从中分辨出有价值的信息。
-
公开(公告)号:CN109347992B
公开(公告)日:2021-08-10
申请号:CN201810949466.4
申请日:2018-08-20
Applicant: 上海观安信息技术股份有限公司
Abstract: 本申请实施例中提供了一种溯源分析方法、电子设备及计算机存储介质。采用本申请中的方案,确定第一参数n、第二参数k和初始节点S0;从1至n的整数中依次取值,每当取一值后,基于S0,确定路径长度为取到的值的节点,在节点中确定展开节点,计算展开节点至S0之间的距离;基于k和距离进行溯源。本申请从1至n的整数中依次取值,每当取一值后,基于S0,确定路径长度为取到的值的节点,在节点中确定展开节点,计算展开节点至S0之间的距离;基于k和距离进行溯源,可以在某个节点关联的信息过多时,从中分辨出有价值的信息。
-
-
-
-
-
-
-
-
-
Search Results
20
records
(took 0.087 seconds)
