公开(公告)号：CN105516196A

公开(公告)日：2016-04-20

申请号：CN201610033198.2

申请日：2016-01-19

Applicant: 国家计算机网络与信息安全管理中心江苏分中心

Inventor： 马旸 ,  强小辉 ,  蔡冰 ,  王林汝 ,  吴超

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1466

Abstract: 本发明公开了基于HTTP报文数据的并行化网络异常检测方法与系统，步骤包括获取HTTP报文数据，对HTTP报文数据进行数据清洗，对样本进行分层抽样，引入隐马尔科夫语法模型构建组合分类器并构建模糊化集合，使用组合分类器作为检测模型，引入模糊化集合动态判断待检测样本是否为异常访问记录，输出异常访问记录，本发明基于HADOOP大数据分析平台，可以全量分析HTTP报文数据，发现数据中隐藏的网络异常，此外，通过源IP进行回溯，结合与IP资源的比对，进一步挖掘发起攻击的终端的地理位置等社会信息，使得源头上阻止网络攻击发生变成可能。

公开(公告)号：CN107888571A

公开(公告)日：2018-04-06

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。

公开(公告)号：CN107888571B

公开(公告)日：2020-08-28

申请号：CN201711021472.5

申请日：2017-10-26

Applicant: 江苏省互联网行业管理服务中心 ,  国家计算机网络与信息安全管理中心江苏分中心 ,  恒安嘉新(北京)科技股份公司

Inventor： 王林汝 ,  吴琳 ,  蔡冰 ,  韦芹余 ,  俞宙 ,  吴超 ,  戴雨贤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于HTTP日志的多维度webshell入侵检测方法及检测系统，所述方法包括：获取HTTP日志数据；对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理。本发明的检测方法和检测系统能够依据HTTP访问日志数据准确判断出网页服务器是否遭到WebShell入侵。