-
公开(公告)号:CN103559441B
公开(公告)日:2016-04-27
申请号:CN201310517192.9
申请日:2013-10-28
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明涉及一种恶意文件云环境下跨平台检测方法及系统,检测方法为:1)采集原始可疑恶意文件并存储在云环境下的分布式存储集群中,隔离恶意文件;2)制作恶意文件的文件副本,对每个恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端;3)根据不同操作系统类型只从WEB端下载恶意文件副本到各自的系统对应的安全沙盒虚拟机中,进行恶意文件特征和/或运行行为检测;4)将安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。本发明提高了恶意文件检测的通用性和自动化程度,结合云平台技术,能够批量预处理恶意文件,大大提高了恶意文件检测的处理效率。
-
公开(公告)号:CN103561012A
公开(公告)日:2014-02-05
申请号:CN201310517193.3
申请日:2013-10-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及基于关联树的WEB后门检测方法及系统,包括链接关联树生成模块和攻击实时检测模块;该检测系统不依赖于杀毒软件或文件特征检测软件,而是首先对WEB网站链接进行主动爬取和访问记录收集,经过分析处理,构建出WEB网站的全部URL的链接集合,以计算机算法中树的形式标记URL的链接和跳转关系,形成链接关联树。对后门URL请求在链接关联树中不存在,系统的安全监控模块发出报警,并阻断该攻击请求。本发明的检测方法提高了WEB应用的安全性,解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击,通用性好,WEB服务器无需安装软件程序,对WEB服务器类型、WEB编程语言、用户使用等均透明。
-
公开(公告)号:CN103559441A
公开(公告)日:2014-02-05
申请号:CN201310517192.9
申请日:2013-10-28
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
CPC classification number: G06F21/56
Abstract: 本发明涉及一种恶意文件云环境下跨平台检测方法及系统,检测方法为:1)采集原始可疑恶意文件并存储在云环境下的分布式存储集群中,隔离恶意文件;2)制作恶意文件的文件副本,对每个恶意文件的副本进行文件后缀名的格式识别,将识别后的恶意文件副本上传到WEB端;3)根据不同操作系统类型只从WEB端下载恶意文件副本到各自的系统对应的安全沙盒虚拟机中,进行恶意文件特征和/或运行行为检测;4)将安全沙盒虚拟机中对恶意文件检测结果提交并汇总,与原始恶意文件进行关联后检测出跨平台的恶意文件。本发明提高了恶意文件检测的通用性和自动化程度,结合云平台技术,能够批量预处理恶意文件,大大提高了恶意文件检测的处理效率。
-
公开(公告)号:CN104378363B
公开(公告)日:2017-09-15
申请号:CN201410599147.7
申请日:2014-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种动态应用地址转换方法及其网关系统,实现一种新的Web应用攻击防御方法;通过动态转换URL地址,转换应用系统的攻击面,隐藏Web应用的脆弱性,增加攻击者的攻击难度,大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁,提高了Web应用系统的安全性。
-
公开(公告)号:CN103561012B
公开(公告)日:2017-01-25
申请号:CN201310517193.3
申请日:2013-10-28
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及基于关联树的WEB后门检测方法及系统,包括链接关联树生成模块和攻击实时检测模块;该检测系统不依赖于杀毒软件或文件特征检测软件,而是首先对WEB网站链接进行主动爬取和访问记录收集,经过分析处理,构建出WEB网站的全部URL的链接集合,以计算机算法中树的形式标记URL的链接和跳转关系,形成链接关联树。对后门URL请求在链接关联树中不存在,系统的安全监控模块发出报警,并阻断该攻击请求。本发明的检测方法提高了WEB应用的安全性,解决了杀毒软件、防火墙等安全产品无法检测和防护的WEB后门攻击,通用性好,WEB服务器无需安装软件程序,对WEB服务器类型、WEB编程语言、用户使用等均透明。
-
Patent Agency Ranking
公开(公告)号:CN103297435B
公开(公告)日:2016-12-28
申请号:CN201310222685.X
申请日:2013-06-06
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于WEB日志的异常访问行为检测方法,步骤包括:1)解析WEB原始日志去除干扰信息后进行IP访问统计和URL访问统计,得到IP访问统计列表和URL访问统计列表;2)根据IP访问统计列表,进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测,同时更新IP异常特征表;根据URL访问统计列表,进行偏僻URL访问检测与异常查询串检测,同时更新IP异常特征表;3)根据设定的优先级顺序对IP异常特征表中的异常特征进行排序,输出排序后的IP异常特征表得到异常访问结果。本发明的方法不依赖于历史访问数据构筑访问模型,横向对比发现异常,通过选举参照查询串进行异常参数检测。
-
公开(公告)号:CN103067409B
公开(公告)日:2015-10-14
申请号:CN201310021832.7
申请日:2013-01-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种WEB盗链防护方法及其网关系统,系统包括:网关配置模块、盗链防护标识生成分发模块和盗链防护标识提取验证模块,1)在客户端与WEB服务器间建立一前置网关,前置网关为其代理的WEB服务器配置盗链防护的文件类型,配置生效后启动盗链防护功能;2)前置网关根据所述客户端的请求类型判断资源请求是否在盗链防护文件类型中;3)对盗链防护标识进行提取验证,将满足设定条件的资源请求从所述前置网关转发到该WEB服务器。本发明能够及时确定盗链攻击并对资源访问进行拒绝,屏蔽了网站的Web服务器和操作系统的多样性和差异性,无需更改服务器上软件配置,对WEB服务也透明,不影响原有管理模式。
-
公开(公告)号:CN103297435A
公开(公告)日:2013-09-11
申请号:CN201310222685.X
申请日:2013-06-06
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于WEB日志的异常访问行为检测方法,步骤包括:1)解析WEB原始日志去除干扰信息后进行IP访问统计和URL访问统计,得到IP访问统计列表和URL访问统计列表;2)根据IP访问统计列表,进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测,同时更新IP异常特征表;根据URL访问统计列表,进行偏僻URL访问检测与异常查询串检测,同时更新IP异常特征表;3)根据设定的优先级顺序对IP异常特征表中的异常特征进行排序,输出排序后的IP异常特征表得到异常访问结果。本发明的方法不依赖于历史访问数据构筑访问模型,横向对比发现异常,通过选举参照查询串进行异常参数检测。
-
公开(公告)号:CN104378363A
公开(公告)日:2015-02-25
申请号:CN201410599147.7
申请日:2014-10-30
Applicant: 中国科学院信息工程研究所
CPC classification number: H04L61/25 , H04L63/02 , H04L63/1433
Abstract: 本发明涉及一种动态应用地址转换方法及其网关系统,实现一种新的Web应用攻击防御方法;通过动态转换URL地址,转换应用系统的攻击面,隐藏Web应用的脆弱性,增加攻击者的攻击难度,大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁,提高了Web应用系统的安全性。
-
公开(公告)号:CN103067409A
公开(公告)日:2013-04-24
申请号:CN201310021832.7
申请日:2013-01-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种WEB盗链防护方法及其网关系统,系统包括:网关配置模块、盗链防护标识生成分发模块和盗链防护标识提取验证模块,1)在客户端与WEB服务器间建立一前置网关,前置网关为其代理的WEB服务器配置盗链防护的文件类型,配置生效后启动盗链防护功能;2)前置网关根据所述客户端的请求类型判断资源请求是否在盗链防护文件类型中;3)对盗链防护标识进行提取验证,将满足设定条件的资源请求从所述前置网关转发到该WEB服务器。本发明能够及时确定盗链攻击并对资源访问进行拒绝,屏蔽了网站的Web服务器和操作系统的多样性和差异性,无需更改服务器上软件配置,对WEB服务也透明,不影响原有管理模式。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.033 seconds)
