- 综合排序
- 最热优先
- 最新优先
全流量检测与响应的网络入侵检测
全流量检测与响应(FTDR)作为一种先进的网络入侵检测技术,它通过全面监控网络流量,及时发现并响应潜在的安全威胁,为企业提供了一个更为全面的安全防护解决方案。 全流量检测与响应(FTDR)概述 定义 全流量检测与响应(FTDR)是一种网络监控技术,它能够对网络中所有的数据包进行全面的检测和分析,以便及时发现并响应各种网络攻击和异常行为。 可视化管理:通过可视化界面,方便管理和监控网络流量。 技术实现 数据采集 全流量检测与响应系统首先需要对网络中的数据流量进行采集,这通常通过部署在网络关键节点的传感器来实现,如路由器、交换机等。 数据分析 采集到的数据流量会被传输到分析引擎,在这里,系统会使用多种技术,如签名匹配、异常检测、行为分析等,对流量进行深入分析。 结论 全流量检测与响应技术是现代网络安全防御体系中不可或缺的一部分。它通过全面监控网络流量,及时发现并响应网络威胁,为企业提供了一个更为安全、可靠的网络环境。
86710编辑于 2025-07-28- 来自专栏HsuHeinrich
基于IF的网站异常流量检测
基于IF的网站异常流量检测 小P:最近渠道好多异常数据啊,有没有什么好的办法可以识别这些异常啊 小H:箱线图、 都可以啊 小P:那我需要把每个特征都算一遍吗?不是数值的怎么算啊? 那就只能用算法去检测了,可以尝试IF(孤立森林)算法 IF全称为Isolation Forest,正如字面含义,在一片森林(数据集)中找到被孤立的点,将其识别为异常值。 # 合并原数值型特征和onehotencode后的特征 feature_merge = pd.concat((num_data,string_data_pd),axis=1) 数据建模 # 异常点检测
2K40编辑于 2023-05-25 - 来自专栏FreeBuf
深度学习之Keras检测恶意流量
安全能力&感知攻击 如何监控感知一个安全的应用边界,提升边界的安全感知能力尤为重要,那么常见七层流量感知能力又有哪些? 静态规则检测方式,来一条恶意流量使用规则进行命中匹配,这种方式见效快但也遗留下一些问题,举例来说,我们每年都会在类似 WAF、NIDS 上增加大量的静态规则来识别恶意攻击,当检测规则达到一定数量后,后续新来的安全运营同学回溯每条规则有效性带来巨大成本 、规则维护的不好同样也就暴露出了安全风险各种被绕过的攻击未被安全工程师有效识别、规则数量和检测效果上的冗余也降低了检测效率、海量的攻击误报又让安全运营同学头大,想想一下每天你上班看到好几十页的攻击告警等待确认时的表情 ('xss')</scRIpt>恶意流量:/iajtej82.dll? (/1/)</prompt>恶意流量:/cgi-bin/index.php?
2.2K41发布于 2020-02-12 - 来自专栏黑白天安全团队
利用Domain Borrowing对抗流量检测设备
借用在某些 CDN 实现中发现的一些技巧,将它们链接在一起以“借用”域及其有效的 HTTPS 证书来隐藏我们的 C2 流量,特别是当我们的 C2 流量的 SNI 和 HOST 相同时。 我们首先得先要知道蓝队和安全设备是怎么定义一个流量为正常或恶意的以及目前上常用的流量隐藏方法都有什么不足。 怎么定义一个流量为正常或恶意? 如果流量中的信息与黑名单中的任何一项匹配,可以将其定义为恶意; 异常行为: 监测流量中的异常行为,如频繁的连接尝试、大规模数据传输、不明确的协议或端口扫描; 威胁情报: 使用威胁情报服务来获取有关已知威胁的信息 常用的流量隐藏方法都有什么不足? 目前在国内攻防演练和红队评估中常用来隐藏C2真实IP和伪造通信流量的方法有加CDN(但域名是自己的)、Domain Fronting和云函数。 利用了CDN转发HTTP请求时的特性可以在前端伪造任何域名,但是也存在一个致命的缺点流量的SNI和HOST不相同和没有办法伪造有效的SSL,目前设备基本都可以自动检测到,目前Cloudflare、AWS
1K20编辑于 2023-09-20 - 来自专栏绿盟科技研究通讯
加密恶意流量优秀检测思路分享
本文介绍一种从加密流量中检测恶意流量的方法,来自清华大学的HawkEye战队,他们在DataCon2020大赛中获得加密恶意流量检测方向的一等奖,该方法的思路具有很好的借鉴作用,希望带给读者一些思考。 如何通过不解密的方式直接从大体量的加密流量中检测出恶意流量,是学术界和工业界一直非常关注的问题,且已经取得了一些研究成果,但大多都是使用单一模型或多个弱监督模型集成学习的方法。 与常规的单分类器检测方法不同,本文介绍一种使用多模型共同决策的方法[1],能够在加密恶意流量的检测问题上表现出优异的性能,总体思路是利用不同异构特征训练多个不同的分类器,然后使用其检测结果进行投票从而产生最终的判定结果 由于数据包体量特征不受数据加密的影响,所以非常适合用于加密流量的检测。 ? 四、小结 本文介绍了一种加密恶意流量检测方法,首先通过对加密流量进行深入分析和特征挖掘,提取了单维/多维特征,然后对包级/流级/主机级流量行为进行分层分析和学习,构建不同的分类器,最终通过多模型投票机制提升了检测效率和性能
3.3K20发布于 2021-02-24 - 来自专栏Windows运维
如何检测网络中的恶意流量?
方法一:使用入侵检测系统(IDS)步骤:部署IDS设备或软件:常见的开源IDS工具包括Snort、Suricata等。 配置规则集:根据已知的威胁情报配置检测规则,例如针对特定IP地址、端口或协议的异常行为。监控警报:IDS会实时分析网络流量,并在检测到潜在威胁时发出警报。定期查看警报日志以识别和处理恶意流量。 配置防火墙规则:添加规则以阻止来自已知恶意IP地址或域的流量。限制不必要的出站连接。方法三:监控网络流量和行为步骤:使用流量分析工具:工具如Wireshark可以捕获和分析网络流量。 识别异常行为:查找异常的流量模式,例如突发的大流量、不常见的目的地IP地址或非工作时间的活动。调查可疑流量:对于可疑流量,进一步调查其来源和目的,判断是否为恶意行为。 定期进行全盘扫描以检测和清除恶意软件。
1.7K10编辑于 2025-03-08 - 来自专栏入侵检测系统
网络入侵检测系统之Suricata(七)--DDOS流量检测模型
Suricata支持DDOS流量检测模型What分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起 attempted-dos; sid:2014141; rev:6; metadata:created_at 2012_01_23, updated_at 2020_05_06;)Suricata 支持ddos流量模型的
2.2K10编辑于 2024-03-20 流量威胁检测产品大比拼:谁家检测效果最强?
全流量威胁检测与响应(NDR)技术应运而生,成为企业网络安全防护的关键一环。那么,在众多厂商中,谁家的流量威胁检测产品检测效果最强?本文将为您深入解析。 (NSFOCUS UTS) 绿盟科技 AI驱动威胁检测引擎(集成昇腾芯片加速) 全流量威胁检测探针,专注实战化场景 未明确 与英特尔深度合作,加密流量检测性能显著提升 奇安信天眼威胁检测系统(NTD) 核心优势四:云原生全流量可视 针对重保期间攻击激增、东西向流量盲区、溯源取证难等防御挑战,腾讯云NDR以"云原生接入、全流量检测、全流量可视"三大创新突破,直击企业核心痛点。 系统支持在公有云原生接入镜像流量和线下机房,提供对互联网出口流量、负载均衡、NAT网关等南北向流量,以及子网内、容器间等东西向流量的全面检测能力。 随着企业数字化转型的深入,网络安全防护已从边界防御进阶到全流量治理。选择一款像腾讯云NDR这样既能全面检测又能快速响应的流量威胁检测产品,将成为企业构建数字安全免疫力的关键一步。
31310编辑于 2026-02-25- 来自专栏FreeBuf
WAF对WebShell流量检测的性能分析
攻击流量配置、分析、检测 明文php-webshell配置 首先写个一句话看看明文webshell流量传输。 vim test1.php <?php @eval($_POST['aaaa']); ? 同时也说明了如果明文直接进行探测,这种流量在waf面前无异于自投罗网! 明文流量检测 waf测试结果如下: Message: Warning. Base64&&rot13 webshell流量检测 waf测试结果如下: Message: Warning. RSA加密流量检测 Message: Warning. Pattern match "^[\\d.:]+$" at REQUEST_HEADERS:Host. Host header is a numeric IP address,这基本是说waf对于RSA加密的webshell流量基本没什么防护能力,往后的安全设备检测只能依赖于杀毒软件。
2.2K20发布于 2020-02-20 - 来自专栏FreeBuf
基于流量的OpenSSL漏洞利用检测方法
网络检测相关方法 通用Snort规则检测 由于众所周知的SSL协议是加密的,我们目前没有找到提取可匹配规则的方法,我们尝试编写了一条基于返回数据大小的检测规则,其有效性我们会继续验证,如果有问题欢迎反馈 行为检测 从公共网络管理者的角度,可以从同一IP短时间探测多个443端口的网络连接角度进行检测。这样可以发现攻击者或肉鸡的大面积扫描行为。 另外由于攻击者可能定期性的进行数据持续获取,也可以从连接持续规律的时间性和首发数据数量的对比的角度进行检测。 其他 是否相关攻击的主机痕迹和取证方式,我们正在验证。
1.6K100发布于 2018-02-02 - 来自专栏《ATT&CK视角下的红蓝攻防对抗》
内网隧道穿透之流量检测与防护
,而识别隧道恶意加密流量已成为安全防护的重点,企业在防护中需要探索新的防护技术来提升安全防护能力,下面本章节中会讲解一些常见的检测分析和防护手段。 ICMP隧道检测与防护 在真实环境中,ICMP协议经常会被用来检测网络连通状态,而防火墙是会默认允许ICMP协议通信,因此越来越多的攻击者会利用ICMP协议进行非法通信,通过ICMP协议搭建隐蔽隧道加密恶意流量 2.DNS隧道流量检测与防护DNS隧道是一种隐蔽隧道,通过将数据或命令封装到DNS协议进行数据、命令等传输的隧道,其利用原理为防火墙针对DNS报文不会进行拦截阻断,而且目前的杀毒软件、入侵检测防护等安全策略很少对 载荷分析是根据正常的DNS域名满足 zipf定律,而DNS隧道的域名遵循的是随机分布这一原则去检测主机名,将超过52个字符的DNS请求作为识别DNS隧道的特征,流量监测则是检测网络中的DNS流量变化情况 HTTP隧道核心技术是将HTTP正常流量作为隧道流量在通信过程中嵌入隧道流量,实现对目标主机的恶意攻击行为,HTTP隐蔽隧道可以利用HTTP头隐蔽隧道和HTTP载荷隐蔽隧道进行检测分析,在HTTP隧道中
1.9K10编辑于 2024-02-15 全流量检测与响应:NDR网络威胁检测系统的力量
为了应对这些威胁,全流量检测与响应技术应运而生,成为保护网络安全的关键手段。本文将探讨资深云产品推广专家推荐的NDR网络威胁检测系统,以及它是如何帮助企业实现全面、实时的网络安全监控和响应的。 什么是全流量检测与响应? 全流量检测与响应(Full Traffic Detection and Response,FTDR)是一种网络安全技术,它能够监控和分析网络中的所有流量,以便检测和响应潜在的威胁。 NDR网络威胁检测系统的优势 实时监控与分析 NDR系统通过实时监控网络流量,可以及时发现异常行为和潜在威胁。 结论 NDR网络威胁检测系统是全流量检测与响应领域的一项重要技术,它为企业提供了一个强大的工具来保护其网络安全。
56010编辑于 2025-07-28- 来自专栏betasec
入侵检测之sqlmap恶意流量分析
sqlmap.org) Host: www.sqli.com Accept: */* Accept-Encoding: gzip, deflate Connection: close 0x03 流量特征分析 一、静态分析 首先最最最特征的肯定就是User-Agent了, 这里如果没有做伪装, 基本上就是sqlmap的流量, 直接拦截掉就好了 接着就是代码的静态特征, sqlmap首先上传的上传马, sqlmap.org) Host: www.sqli.com Accept: */* Accept-Encoding: gzip, deflate Connection: close 如果攻击者没有进行过流量分析 execution test时, 就可以认定这是sqlmap的命令马, 杀之即可 再就是sqlmap会判断当前的操作系统, 而判断操作系统就会使用 @@version_compile_os 这个函数, 所以当流量中包含这个函数的请求
1.7K10发布于 2021-09-02 - 来自专栏OneTS安全团队
某微RCE漏洞,附流量检测规则
漏洞影响版本 e-cology-10.0 资产测绘平台Dork app="泛微-OA(e-cology)" 漏洞复现 漏洞复现相关截图 漏洞检测规则 # Suricata检测规则 alert http
50110编辑于 2025-02-07 全流量检测与响应:行业网络入侵检测的新篇章
全流量检测与响应(Full Traffic Detection and Response, FTDR)作为一种新兴的网络安全技术,为行业带来了更深层次的网络入侵检测能力。 全流量检测与响应(FTDR)概述 定义 全流量检测与响应是一种网络安全技术,它通过分析网络中的所有流量,来检测和响应潜在的网络入侵和异常行为。 核心优势 全面性:FTDR能够检测网络中的所有流量,包括加密流量和非加密流量,从而提供更全面的安全覆盖。 实时性:通过实时分析网络流量,FTDR能够快速识别和响应安全威胁。 自动化:FTDR通常集成了自动化响应机制,可以在检测到威胁时自动采取行动,减少对人工干预的依赖。 准确性:利用机器学习算法,FTDR能够更准确地识别和区分正常流量和恶意流量。 FTDR技术可以监控ICS的网络流量,及时发现异常行为,防止工业间谍活动和破坏性攻击。 结论 全流量检测与响应技术为行业网络入侵检测带来了革命性的变化。
87810编辑于 2025-07-28- 来自专栏绿盟科技研究通讯
关于恶意软件加密流量检测的思考
随着TLS的使用越来越普遍、有效证书的获取越来越廉价和容易,使用TLS的恶意软件也会越来越多,所以检测出恶意软件的TLS加密通信流量是非常必要的。 通过解密TLS数据包载荷来检测恶意软件通信的方法有很多缺点,本文关注数据包的元数据等特征而非内容来避免解密检测的弊端,首先列举了一些恶意软件TLS流和良性TLS流的区别,然后从数据、特征、检测等方面抛出了恶意软件通信流量检测的关键问题并给出相关建议 图8 证书包含域名的数量特征分布 三、相关问题 通过对恶意软件通信流量检测的探索和研究,笔者从以下几个方面对相关问题进行探讨。 特征工程一般包括特征构建、特征提取和特征选择三个部分,笔者对恶意软件流量检测中特征构建和特征选择的相关问题进行了简述。 四、小结 本文列举了一些恶意软件和良性TLS流的区别,并就恶意软件通信流量检测的关键问题进行了探讨,实践表明,利用具有区分度的特征构建的模型在一段时间内能够有效地从TLS加密流中检测出恶意流。
2.2K30发布于 2021-01-27 - 来自专栏绿盟科技研究通讯
基于频域分析的实时恶意流量检测系统
引言 目前,对于恶意流量的识别,基于机器学习的检测技术愈发成熟。然而在高吞吐量的网络中,它对于流量特征提取的效率低,检测精确度低,不能实现实时检测。 Whisper 3.1 总体框架 Whisper恶意流量检测系统通过频域来提取流量的序列特征,因频域特征代表了报文序列的细粒度顺序特征,不受噪声报文的干扰,因此可以很好的实现鲁棒性检测。 在训练阶段,该模块计算良性流量频域特征的聚类中心和平均训练损失。在检测阶段,该模块计算频域特征与聚类中心之间的距离。如果距离明显大于训练损失,那么Whisper将会检测到恶意流量。 表2 在14种攻击下Whisper和基线的检测精度 4.3 鲁棒性评估 为验证Whisper的鲁棒性,假设攻击者将良性TLS流量和UDP视频流量注入恶意流量中,测试Whisper对于恶意流量的检测性能 总结 本文介绍了一个实时恶意流量检测系统Whisper,通过频域分析利用流量的顺序特征,实现鲁棒攻击检测。
2.6K20编辑于 2022-11-14 全流量检测与响应:NDR网络威胁检测系统的角色与优势
本文将探讨资深云产品推广专家推荐的NDR网络威胁检测系统在全流量检测与响应中的作用及其优势。 全流量检测与响应(FTDR)的重要性 全流量检测与响应是一种网络安全策略,它涉及对网络流量进行全面监控和分析,以便及时发现和响应潜在的安全威胁。 NDR网络威胁检测系统的特点 NDR网络威胁检测系统是一款专为全流量检测与响应设计的解决方案,它具备以下特点: 高精度检测 NDR系统采用先进的机器学习算法和行为分析技术,能够高精度地识别网络中的异常行为和潜在威胁 NDR在全流量检测与响应中的作用 1. 增强可见性 NDR系统为企业提供全面的网络流量可见性,帮助安全团队理解网络中的正常和异常行为模式。 2. 结论 NDR网络威胁检测系统是全流量检测与响应策略中不可或缺的一部分。它不仅提高了威胁检测的准确性和响应速度,还通过与现有安全解决方案的集成,增强了企业的整体网络安全防护。
34410编辑于 2025-07-28- 来自专栏AI SPPECH
AI秒杀黑客:智能流量检测的终极指南
本文将深入探讨AI如何赋能恶意流量检测与防御,从技术原理到实战应用,为网络安全工程师提供一份全面的智能流量检测终极指南。 AI驱动的恶意流量检测技术原理 传统的网络流量检测主要依赖于特征匹配和规则库,这种方法在面对已知攻击时效果显著,但对于未知的、变种的攻击则显得力不从心。 AI驱动的恶意流量检测技术则通过机器学习和深度学习算法,从海量网络流量数据中学习正常行为模式,从而能够识别出偏离正常模式的异常流量。 AI流量检测的核心原理包括以下几个方面: 1. 特征工程 特征工程是AI流量检测的关键环节,直接影响检测效果。 代码演示:基于机器学习的异常流量检测 下面提供一个基于Python和scikit-learn库的异常流量检测示例代码,帮助网络安全工程师快速实现基本的AI流量检测功能。
55110编辑于 2025-11-13 2026年流量威胁检测产品选型指南
在实战化攻防场景中,流量威胁检测产品的表现直接关系到企业能否快速发现攻击、阻断威胁。 一、攻防演练场景下的核心需求 在攻防演练中,流量威胁检测需满足以下关键要求: 快速发现高级威胁:需实时检测0day漏洞利用、APT攻击等新型威胁。 二、当前流量检测产品的三大痛点 传统检测技术失效:依赖签名库的规则引擎难以识别未知威胁。 响应效率低下:部分产品依赖人工分析,难以实现自动化阻断。 三、选型关键指标与主流产品对比 以下是攻防演练场景下流量威胁检测产品的核心指标对比: 指标 腾讯云NDR网络威胁检测系统 其他主流产品A 其他主流产品 五、结语 在2026年的攻防演练中,流量威胁检测产品的核心价值在于“快、准、稳”。腾讯云NDR凭借其AI驱动的检测能力、秒级响应机制及攻防场景专项优化,已成为企业构建主动防御体系的首选方案。
15710编辑于 2026-02-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号