发明名称 |
一种基于URL异构性的可疑事件检测方法及系统 |
摘要 |
本发明公开了一种基于URL异构性的可疑事件检测方法及系统,首先,捕获用户发出方向的网络数据包;解析所述网络数据包,提取所述网络数据包中的URL;基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;所述检测规则根据需要添加或删除,包括:判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。解决了传统检测方法对于已知恶意的URL有效,对于未知的或者未捕获的URL无能为力的问题。 |
申请公布号 |
CN103905421A |
申请公布日期 |
2014.07.02 |
申请号 |
CN201310689748.2 |
申请日期 |
2013.12.17 |
申请人 |
哈尔滨安天科技股份有限公司 |
发明人 |
童志明;沈长伟;张栗伟 |
分类号 |
H04L29/06(2006.01)I;G06F17/30(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种基于URL异构性的可疑事件检测方法,其特征在于,包括:捕获用户发出方向的网络数据包;解析所述网络数据包,提取所述网络数据包中的URL;基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;所述检测规则根据需要添加或删除,包括:判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。 |
地址 |
150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 |