-
公开(公告)号:CN113595975B
公开(公告)日:2022-10-14
申请号:CN202110660187.8
申请日:2021-06-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出了一种Java内存Webshell的检测方法及装置,包括:在Java Web服务中分别植入敏感方法调用监控点与底层敏感行为监控点;根据敏感调用方法监控点收集的敏感方法调用信息,获取危险类,并对所述危险类进行判定,获取敏感方法调用检测结果;根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类,获取底层敏感行为检测结果;结合敏感方法调用检测结果与底层敏感行为检测结果,得到Webshell检测结果。本发明对用户请求实时监测,能够及时发现并拦截Java内存Webshell,从根源上进行防御,几乎不存在误报,同时能够适用于多种Web应用场景,并且不会对正常业务造成影响。
-
公开(公告)号:CN113239352B
公开(公告)日:2022-05-17
申请号:CN202110367559.8
申请日:2021-04-06
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种Webshell检测方法及系统,包括:获取源码文件;计算源码文件的模糊哈希值、数据流语法特征、统计学特征和语法结构特征;获取统计学特征表示;分别将源码文件的模糊哈希值及数据流语法特征与Webshell特征库对比,得到同源相似度检测结果及数据流语法特征检测结果;分别将统计学特征表示及语法结构特征,输入统计学文件特征检测模型及语法结构特征检测模型,得到统计学文件特征检测结果及语法结构特征检测结果;根据上述检测结果,获取待检测网站文件的Webshell检测结果。本发明能够有效地检测出网站及APT攻击中的Webshell样本,检测效率高,可检测新型、变种Webshell,提供了较好的用户体验,能够在常规站点检查中达到有效检测Webshell的效果。
-
公开(公告)号:CN108667799A
公开(公告)日:2018-10-16
申请号:CN201810266046.6
申请日:2018-03-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出的一种针对浏览器缓存投毒的防御方法,包括以下步骤:当通过检测发现浏览器向服务器发送请求页面,并调用本地的缓存控制关键函数时,拦截该缓存控制关键函数;根据缓存控制关键函数获取该请求页面中所有未缓存过期的JavaScript文件,并对JavaScript文件进行哈希值计算;根据计算结果校验JavaScript文件是否被篡改,如是,则将其缓存时间调整至早于当前时间。通过客户端和服务器的交互验证来实现,可以在不影响用户体验的同时,有效防御浏览器缓存投毒攻击,保护用户个人信息安全。同时提供实现上述方法的系统。
-
公开(公告)号:CN113595975A
公开(公告)日:2021-11-02
申请号:CN202110660187.8
申请日:2021-06-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出了一种Java内存Webshell的检测方法及装置,包括:在Java Web服务中分别植入敏感方法调用监控点与底层敏感行为监控点;根据敏感调用方法监控点收集的敏感方法调用信息,获取危险类,并对所述危险类进行判定,获取敏感方法调用检测结果;根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类,获取底层敏感行为检测结果;结合敏感方法调用检测结果与底层敏感行为检测结果,得到Webshell检测结果。本发明对用户请求实时监测,能够及时发现并拦截Java内存Webshell,从根源上进行防御,几乎不存在误报,同时能够适用于多种Web应用场景,并且不会对正常业务造成影响。
-
Patent Agency Ranking
公开(公告)号:CN108667799B
公开(公告)日:2021-01-15
申请号:CN201810266046.6
申请日:2018-03-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出的一种针对浏览器缓存投毒的防御方法,包括以下步骤:当通过检测发现浏览器向服务器发送请求页面,并调用本地的缓存控制关键函数时,拦截该缓存控制关键函数;根据缓存控制关键函数获取该请求页面中所有未缓存过期的JavaScript文件,并对JavaScript文件进行哈希值计算;根据计算结果校验JavaScript文件是否被篡改,如是,则将其缓存时间调整至早于当前时间。通过客户端和服务器的交互验证来实现,可以在不影响用户体验的同时,有效防御浏览器缓存投毒攻击,保护用户个人信息安全。同时提供实现上述方法的系统。
-
公开(公告)号:CN108809950B
公开(公告)日:2020-10-16
申请号:CN201810489203.X
申请日:2018-05-21
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06 , H04L29/08 , H04L12/851
Abstract: 本发明涉及一种基于云端影子系统的无线路由器保护方法和系统。该方法包括:1)对经过无线路由器的网络流量数据包进行检测,判断其是否为恶意流量数据包;2)将检测到的恶意流量数据包转发到云端影子系统,从而实现对无线路由器的防护。该系统包括无线路由器和云服务器,其中无线路由器包括流量获取模块、流量检测模块和流量牵引模块,云服务器包括云端影子系统。本发明将攻击者引入一个与用户无线路由器系统完全相同的云端影子系统中,是基于云端影子系统的无线路由器轻量级防护方案,能够方便安全工作人员更加深入地了解攻击者的攻击手段,并根据攻击者的攻击手段做出更加有效的响应。
-
公开(公告)号:CN119835016A
公开(公告)日:2025-04-15
申请号:CN202411840097.7
申请日:2024-12-13
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种HTTPS攻击流量还原方法及系统,属于计算机网络安全和流量分析领域。所述方法包括:建立攻击者行为知识库,所述攻击者行为知识库用于描述攻击者为实现攻击目的必定会执行的系统调用行为事件;构建HTTPS流量中每一HTTPS请求的行为事件树;其中,所述行为事件树包括:HTTPS请求事件、系统调用行为事件和HTTPS响应事件,所述HTTPS请求事件和所述HTTPS响应事件的数据分别与HTTPS请求和HTTPS响应的明文数据相关联;在攻击者行为知识库中进行系统调用行为事件的匹配,并在匹配成功的情况下,基于HTTPS请求和HTTPS响应的明文数据进行该HTTPS请求的HTTPS流量还原。本发明可以将攻击流量与攻击行为进行关联后,对攻击流量进行还原。
-
公开(公告)号:CN113239352A
公开(公告)日:2021-08-10
申请号:CN202110367559.8
申请日:2021-04-06
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种Webshell检测方法及系统,包括:获取源码文件;计算源码文件的模糊哈希值、数据流语法特征、统计学特征和语法结构特征;获取统计学特征表示;分别将源码文件的模糊哈希值及数据流语法特征与Webshell特征库对比,得到同源相似度检测结果及数据流语法特征检测结果;分别将统计学特征表示及语法结构特征,输入统计学文件特征检测模型及语法结构特征检测模型,得到统计学文件特征检测结果及语法结构特征检测结果;根据上述检测结果,获取待检测网站文件的Webshell检测结果。本发明能够有效地检测出网站及APT攻击中的Webshell样本,检测效率高,可检测新型、变种Webshell,提供了较好的用户体验,能够在常规站点检查中达到有效检测Webshell的效果。
-
公开(公告)号:CN108809950A
公开(公告)日:2018-11-13
申请号:CN201810489203.X
申请日:2018-05-21
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06 , H04L29/08 , H04L12/851
Abstract: 本发明涉及一种基于云端影子系统的无线路由器保护方法和系统。该方法包括:1)对经过无线路由器的网络流量数据包进行检测,判断其是否为恶意流量数据包;2)将检测到的恶意流量数据包转发到云端影子系统,从而实现对无线路由器的防护。该系统包括无线路由器和云服务器,其中无线路由器包括流量获取模块、流量检测模块和流量牵引模块,云服务器包括云端影子系统。本发明将攻击者引入一个与用户无线路由器系统完全相同的云端影子系统中,是基于云端影子系统的无线路由器轻量级防护方案,能够方便安全工作人员更加深入地了解攻击者的攻击手段,并根据攻击者的攻击手段做出更加有效的响应。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.026 seconds)
