-
公开(公告)号:CN101692267B
公开(公告)日:2011-09-07
申请号:CN200910092887.0
申请日:2009-09-15
Applicant: 北京大学
Abstract: 本发明公开了一种大规模恶意网页检测方法及系统,采用三层并行架构和分层控制保障方法:第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了系统分析效率。
-
公开(公告)号:CN101799855A
公开(公告)日:2010-08-11
申请号:CN201010124674.4
申请日:2010-03-12
Applicant: 北京大学
Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;4)解析日志文件,判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件,可以触发网页木马更多的攻击行为;能够得到网页木马在ActiveX组件调用这一层的攻击行为。
-
公开(公告)号:CN1960330A
公开(公告)日:2007-05-09
申请号:CN200610113380.5
申请日:2006-09-26
Applicant: 北京大学
Abstract: 一种用于重定向网络通信连接的方法和装置,所述的方法是一种两步处理法,即首先查表判别数据包是否符合重定向要求,其后根据查询结果放行或者重定向该数据包。由于其中将查询的表即时地反映着当前活跃的IP地址,这样本方法就能够即时重定向一个通信连接,也能即时停止重定向该通信连接。所述的装置包括:IP地址转发规则模块、正向转发模块;还可以包括逆向转发模块。上述方法和装置实现了对内部网络IP地址的活跃性的实时监测,并且能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。同时还实现了重定向通信连接过程时对数据包的灵活改造。
-
公开(公告)号:CN101799855B
公开(公告)日:2012-08-22
申请号:CN201010124674.4
申请日:2010-03-12
Applicant: 北京大学
Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;4)解析日志文件,判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件,可以触发网页木马更多的攻击行为;能够得到网页木马在ActiveX组件调用这一层的攻击行为。
-
公开(公告)号:CN101763432A
公开(公告)日:2010-06-30
申请号:CN201010033724.8
申请日:2010-01-05
Applicant: 北京大学
IPC: G06F17/30
Abstract: 本发明公开了一种轻量级网页动态视图快速构建方法,属于计算机应用技术领域。本方法为:1)提取待分析页面的本地脚本和静态内嵌链接;2)从静态内嵌链接中提取出静态内嵌脚本;3)利用脚本执行引擎动态执行本地脚本和静态内嵌脚本,识别出该页面的动态内嵌链接;4)将动态内嵌链接所指向的文档和静态内嵌链接所指向的文档构成一内嵌文档集合;5)提取该页面与内嵌文档集合中的文档的引用-被引用关系;6)将识别出的静态内嵌页面和动态内嵌页面分别作为待分析页面,重复步骤1)~5),根据每次得到的内嵌文档集合和引用-被引用关系,建立页面动态视图。本发明以较少的时间代价和较小的系统代价完成页面动态视图的构建。
-
Patent Agency Ranking
公开(公告)号:CN101692267A
公开(公告)日:2010-04-07
申请号:CN200910092887.0
申请日:2009-09-15
Applicant: 北京大学
Abstract: 本发明公开了一种大规模恶意网页检测方法及系统,采用三层并行架构和分层控制保障方法:第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了系统分析效率。
-
公开(公告)号:CN100469054C
公开(公告)日:2009-03-11
申请号:CN200610113380.5
申请日:2006-09-26
Applicant: 北京大学
Abstract: 一种用于重定向网络通信连接的方法和装置,所述的方法是一种两步处理法,即首先查表判别数据包是否符合重定向要求,其后根据查询结果放行或者重定向该数据包。由于其中将查询的表即时地反映着当前活跃的IP地址,这样本方法就能够即时重定向一个通信连接,也能即时停止重定向该通信连接。所述的装置包括:IP地址转发规则模块、正向转发模块;还可以包括逆向转发模块。上述方法和装置实现了对内部网络IP地址的活跃性的实时监测,并且能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。同时还实现了重定向通信连接过程时对数据包的灵活改造。
-
公开(公告)号:CN101193044A
公开(公告)日:2008-06-04
申请号:CN200610144809.7
申请日:2006-11-21
Applicant: 北京大学
Abstract: 一种实时检测网络活动的重定向方法,包括步骤:A.通过对网络活动的监测和分析得到局域网内的活跃IP,并将其登记在活跃IP地址表中,此外,一个定时任务将确认剩余存活时间减少到0的IP地址是否确实不再活跃,并将不再活跃的IP地址从活跃IP地址表中删除;B.判别待转发的数据包是否符合重定向要求,并根据查询结果放行或者重定向该数据包。用于实现该方法的装置包括:用于监测并登记活跃IP地址的网络活动监测模块和用于根据网络活动检测模块的实时检测结果重定向通信连接的重定向模块。本发明通过监测局域网内部的网络活动实现了对局域网中活跃IP地址的探测,能够即时地重定向外部网络向内部非活跃IP地址发起的通信连接。
-
公开(公告)号:CN101087196A
公开(公告)日:2007-12-12
申请号:CN200610169676.9
申请日:2006-12-27
Applicant: 北京大学
Abstract: 本发明涉及一种多层次蜜网数据传输方法及系统,由蜜网网关统一接收外部网络数据流;蜜网网关对所接收的数据流进行网络入侵检测分析;将正常数据流放行,发送给该数据流的目标主机;将非正常数据流按照威胁级别分为高、中、低三类;将高威胁级数据流重定向至物理蜜罐系统,将中威胁级数据流重定向至虚拟机蜜罐系统,将低威胁级数据流重定向至虚拟蜜罐系统。本发明有效利用低交互蜜罐系统和高交互蜜罐系统各自的优点,节省系统资源,提高了蜜罐系统的覆盖面和获取网络攻击活动信息、捕获恶意代码样本的能力;有效对抗反蜜罐技术。可以广泛应用于计算机网络安全技术领域。
-
公开(公告)号:CN1738257A
公开(公告)日:2006-02-22
申请号:CN200410103911.3
申请日:2004-12-31
Applicant: 北京大学
Abstract: 本发明提供了一种基于应用协议检测引擎的网络入侵检测系统和方法,该系统在应用协议检测引擎中包含了应用协议分析器、异常检测器及特征检测器三种检测部件,所述的三种检测器可以部分或全部采用简单组件对象模型并提供统一的调用接口。所述的网络入侵检测方法的特征在于,其包括协议分析、异常检测和特征检测三个步骤。本发明内容能够较好地解决现有的网络入侵检测系统不能检测到新的攻击方式的缺陷;而且,基于组件技术实现应用协议检测引擎中的应用协议分析器、异常检测器和特征检测器的各项组件,允许编译之后的检测组件直接挂接到检测系统中而无需重新编译,保证了网络入侵检测系统的易扩展性和易维护性,为系统的开发维护带来了极大的方便。
-
-
-
-
-
-
-
-
-
Search Results
18
records
(took 0.019 seconds)
