| 发明名称 | 一种基于URL异构性的可疑事件检测方法及系统 | ||
| 摘要 | 本发明公开了一种基于URL异构性的可疑事件检测方法及系统,首先,捕获用户发出方向的网络数据包;解析所述网络数据包,提取所述网络数据包中的URL;基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;所述检测规则根据需要添加或删除,包括:判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。解决了传统检测方法对于已知恶意的URL有效,对于未知的或者未捕获的URL无能为力的问题。 | ||
| 申请公布号 | CN103905421A | 申请公布日期 | 2014.07.02 |
| 申请号 | CN201310689748.2 | 申请日期 | 2013.12.17 |
| 申请人 | 哈尔滨安天科技股份有限公司 | 发明人 | 童志明;沈长伟;张栗伟 |
| 分类号 | H04L29/06(2006.01)I;G06F17/30(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 一种基于URL异构性的可疑事件检测方法,其特征在于,包括:捕获用户发出方向的网络数据包;解析所述网络数据包,提取所述网络数据包中的URL;基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;所述检测规则根据需要添加或删除,包括:判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。 | ||
| 地址 | 150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 | ||