CN101651579A - 识别僵尸网络的方法及网关设备 - Google Patents
识别僵尸网络的方法及网关设备 Download PDFInfo
- Publication number
- CN101651579A CN101651579A CN200910092682A CN200910092682A CN101651579A CN 101651579 A CN101651579 A CN 101651579A CN 200910092682 A CN200910092682 A CN 200910092682A CN 200910092682 A CN200910092682 A CN 200910092682A CN 101651579 A CN101651579 A CN 101651579A
- Authority
- CN
- China
- Prior art keywords
- corpse
- botnet
- text
- download
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及一种识别僵尸网络的方法及网关设备,方法包括:获取网络流量;从获取的网络流量中过滤出下载文件;从所述下载文件中过滤出文本文件;检测所述文本文件的内容;判断所述内容是否与僵尸配置文件的内容特征匹配;若匹配,则通过所述文本文件识别控制主机以及僵尸主机。通过检测流量中的下载文件的内容,识别出控制主机,通过监控针对僵尸配置文件的下载行为识别出僵尸主机,从而识别出了整个僵尸网络,实现了实时识别僵尸网络,能够检测出未知的僵尸网络或未来得及发起恶意攻击的僵尸网络。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种识别僵尸网络的方法及网关设备。
背景技术
僵尸网络(Botnet)是采用一种或多种传播手段,使大量主机感染僵尸工具(robot,Bot)程序,从而在控制者和被感染主机之间所形成的可一对多控制的网络。其中,僵尸工具可以自动执行预定义的功能,也可以被预定义的命令所远程控制,并具有一定人工智能的程序。被感染主机即僵尸主机(Zombie),是含有僵尸工具或其他远程控制程序,可被攻击者远程控制的计算机。
僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,导致整个基础信息网络或者重要应用系统瘫痪、大量机密或个人隐私泄漏,利用这个平台还可以用来从事网络欺诈等其他违法犯罪活动。分布式拒绝服务(Distribution Denial of service,DDOS)、发送垃圾邮件、窃取秘密、滥用资源是已经发现的利用僵尸网络发动的攻击行为,这些行为无论对整个网络还是用户自身都造成了比较严重的危害。随着将来出现各种新的攻击类型,僵尸网络还可能被用来发起新的未知攻击。
现有技术中,一种检测僵尸网络的方法是蜜网技术。该方法通过密罐等手段获得僵尸工具程序样本,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录僵尸网络所需要的相关信息,使用定制的僵尸程序登录到僵尸网络中去,进一步采取应对措施。另一种检测僵尸网络的方法是网络流量研究。该方法通过研究僵尸主机行为的网络流量变化,使用离线和在线的两种分析方法,实现对僵尸网络的判断。
在实现本发明的过程中,发明人发现现有技术至少存在以下缺点:这两种方法都是在被僵尸网络攻击的情况下才进行检测,不能实时监控僵尸网络的通信报文,不能实时地对僵尸网络做出响应。
发明内容
本发明实施例提出一种识别僵尸网络的方法及网关设备,以实时识别僵尸网络。
本发明实施例提供了一种识别僵尸网络的方法,包括:
获取网络流量;
从获取的网络流量中过滤出下载文件;
从所述下载文件中过滤出文本文件;
检测所述文本文件的内容;
判断所述内容是否与僵尸配置文件的内容特征匹配;
若匹配,则通过所述文本文件识别控制主机以及僵尸主机。
本发明实施例还提供了一种网关设备,包括:
获取模块,用于获取网络流量;
下载文件过滤模块,用于从获取的网络流量中过滤出下载文件;
文本文件过滤模块,用于从所述下载文件中过滤出文本文件;
检测模块,用于检测所述文本文件的内容;
判断模块,用于判断所述内容是否与僵尸配置文件的内容特征匹配;
识别模块,用于若判断模块匹配成功,则通过所述文本文件识别控制主机以及僵尸主机。
上述实施例通过检测流量中的下载文件中的文本文件的内容,识别出控制主机,通过监控针对僵尸配置文件的下载行为识别出僵尸主机,从而识别出了整个僵尸网络,实现了实时地识别僵尸网络,并且能够检测出未知的僵尸网络或未来得及发起恶意攻击的僵尸网络。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中僵尸网络的基本网络结构示意图;
图2为现有技术中树状拓扑结构的僵尸网络示意图;
图3为现有技术中基于因特网中继聊天协议实现的僵尸网络示意图;
图4为本发明实施例提供的一种识别僵尸网络的方法的流程图;
图5为本发明实施例提供的另一种识别僵尸网络的方法的流程图;
图6为本发明实施例提供的一种网关设备的结构示意图;
图7为本发明实施例提供的网关设备中识别模块66的结构示意图;
图8为本发明实施例提供的网关设备中识别模块66的另一结构示意图。
具体实施方式,
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
僵尸网络(Botnet)的基本网络结构如图1所示。僵尸网络的一种网络拓扑结构是多级控制的树状拓扑结构。如图2所示,控制者开放监听端口,多台僵尸主机主动向一台控制者的监听端口即同一个端口发起连接,并向控制者通报,一般会通过定时向控制者通信来通报。控制者主动连接上级控制者的监听端口,向上级控制者通报。控制者向僵尸主机发指令。控制者同一时间会向多台僵尸主机发相同指令。僵尸主机执行控制者指令,发起攻击。僵尸网络的另一种网络拓扑结构是基于因特网中继聊天(Internet Relay Chat,IRC)协议实现的僵尸网络。如图3所示,控制者在IRC服务器上创建通信频道。僵尸主机登陆IRC服务器并加入控制者事先创建的频道,等待控制者发起指令。僵尸主机一般会长时间在线,并且作为一个IRC服务器的聊天用户,在聊天频道内长时间不发言。控制者在IRC指定频道上发指令。僵尸收到指令,执行指令,发起攻击。还有一种基于点到点(P2P)结构的僵尸网络,该僵尸网络采用P2P点对点方式通信,在控制方式上具有分布性,整个僵尸网络很难被发现。但由于其实现比较复杂,在网络中并不占有太大比例。
图4为本发明实施例提供的一种识别僵尸网络的方法的流程图。该方法包括:
步骤41、获取网络流量;如获取网络中的HTTP、FTP、TFTP等流量,以实时筛查是否存在僵尸配置文件;
步骤42、从获取的网络流量中过滤出下载文件;如通过流量中的命令语句的关键词“get”等识别并过滤出下载文件;
步骤43、从所述下载文件中过滤出文本文件;由于僵尸配置文件均为.txt文件,因此从所述下载文件中过滤出文本文件;以便于识别僵尸配置文件;
步骤44、检测所述文本文件的内容;
步骤45、判断所述内容是否与僵尸配置文件的内容特征匹配;
步骤46、若匹配,则通过该文本文件识别控制主机以及僵尸主机。
上述步骤41~步骤46可由网关设备执行。
上述步骤44中,网关设备可对监控流量中的下载文件进行检测,并通过步骤42与僵尸配置文件进行匹配。
上述步骤45中,网关设备可通过检测到的文件的内容与僵尸配置文件的内容特征匹配,如果匹配成功,则说明检测到的文件即僵尸配置文件。通过僵尸配置文件便可得到控制主机的IP地址等信息。
对于僵尸网络,黑客们往往需要隐藏自己的命令和控制(command andcontrol,C&C)服务器也即控制主机。而每次被控制的僵尸主机上线时可能都会更换自己的IP,且这些C&C服务器也可能会更换自己的IP,为了保证每次僵尸主机上线都能找到正确的服务器IP,黑客们往往把这些控制者的域名、端口或IP、端口信息写成文件,上传到一个固定的提供正常因特网(INTERNET)服务(例如WEB、FTP等)的某一个对外服务资源中。这样黑客就把当前的C&C信息写成文件,即僵尸配置文件。僵尸配置文件存在一些特征,例如内容很少,最多几十字节,一般是明文,包含IP:port,域名:port模式。
僵尸配置文件的内容特征如下:
{任意字符串,不超过10字节}【IP地址或域名】【:】【端口号】{任意字符串,不超过10字节};
并且,行数不超过5行。其中,{}表示可以没有,主要是黑客用来干扰检测而加的干扰字符。
僵尸配置文件被实际控制者上传到某个公开服务器后,让僵尸主机每次上线获得该文件后,进行解析,然后连接正确的一级控制服务器。因而,通过检测流量中这种文件以及以这种文件为下载对象的下载行为,能够从中识别控制者的IP或域名信息即C&C服务器,获得僵尸主机信息,从而识别出整个僵尸网络。
上述步骤46中,由于僵尸配置文件中给出了控制主机的IP信息,因此网关设备可通过解析与僵尸配置文件的内容特征匹配的下载文件的内容,得到所述控制主机的IP地址及端口,从而识别出控制主机。网关设备还可通过监控以所述与僵尸配置文件的内容特征匹配的下载文件为下载对象的下载请求,即通过监控针对僵尸配置文件的下载行为,获得僵尸主机IP地址,识别出僵尸主机,从而识别出整个僵尸网络。或者,网关设备可根据所述控制主机的IP地址及端口识别与所述控制主机连接的僵尸主机,如将控制主机的IP地址及端口等信息发送到监控设备,监控设备对该IP地址的计算机进行监控,找到与之相连的僵尸主机,从而识别出整个僵尸网络。
本实施例提供的技术方案通过检测流量中的下载文件中的文本文件的内容,识别出控制主机,通过监控针对僵尸配置文件的下载行为识别出僵尸主机,从而识别出了整个僵尸网络,实现了实时识别僵尸网络,能够检测出未知的僵尸网络或未来得及发起恶意攻击的僵尸网络。
图5为本发明实施例提供的另一种识别僵尸网络的方法的流程图。该方法包括:
步骤51、获取HTTP、FTP、TFTP等流量。如可在城域网出口、IDC出口、网关出口、局域网等获取下载文件流量。
步骤52、下载命令语句流量过滤。根据下载命令中的关键字识别下载文件,主要指http\ftp\tftp下载的流量。
步骤53、下载文本文件流量过滤。从上述步骤52过滤得到的文件中下载对象是.txt类的文件。
步骤54、僵尸配置文件内容特征匹配。主要就是寻找类似{任意字符串,不超过10字节}【IP地址或域名】【:】【端口号】{任意字符串,不超过10字节}的语句,从而锁定要监控的对象。并且与僵尸配置文件的内容特征匹配的文件即要获取的僵尸配置文件,从而便可获取控制主机的IP地址与端口。
步骤55、监控以与僵尸配置文件的内容特征匹配的文件为下载对象的下载请求;即通过根据下载对象是与僵尸配置文件的内容特征匹配的文件的行为来识别僵尸主机。
步骤56、根据监控到的请求中的IP地址发现和识别僵尸主机,从而识别出整个僵尸网络。
本实施例提供的技术方案通过检测网络流量以及将流量中的下载文件与僵尸配置文件进行内容特征匹配,识别出了僵尸配置文件,通过僵尸配置文件的内容识别出了控制主机,并通过对以僵尸配置文件为下载对象的下载行为进行监控,识别出僵尸主机,从而识别出了整个僵尸网络,从而不论该僵尸网络是否发起过攻击,都能被识别出,实现了对僵尸网络的实时监控。
图6为本发明实施例提供的一种网关设备的结构示意图。该网关设备可包括:获取模块61、下载文件过滤模块62、文本文件过滤模块63、检测模块64、判断模块65及识别模块66。该获取模块61用于获取HTTP、FTP、TFTP等网络流量,以实时筛查是否存在僵尸配置文件。下载文件过滤模块62用于从获取的流量中过滤出下载文件,如通过流量中的命令语句的关键词“get”等识别并过滤出下载文件。文本文件过滤模块63用于从所述下载文件中过滤出文本文件。由于僵尸配置文件均为.txt文件,因此从所述下载文件中过滤出文本文件,以便于识别僵尸配置文件。检测模块64用于检测所述文本文件过滤模块63过滤出的文本文件的内容,以通过内容特征识别检测的文件是否为僵尸配置文件。判断模块65用于判断检测模块64检测到的内容是否与僵尸配置文件的内容特征匹配,如果匹配,则说明检测模块64检测到的文件为僵尸配置文件;如果不匹配则说明检测模块64检测到的文件非僵尸配置文件。僵尸配置文件的内容特征具体详见上述步骤45中的说明。识别模块66用于若判断模块65匹配成功,则通过该文本文件识别控制主机以及僵尸主机,具体详见上述步骤46的说明。
本实施例中,网关设备通过检测流量中的下载文件中的文本文件的内容,识别出控制主机,通过监控针对僵尸配置文件的下载行为识别出僵尸主机,从而识别出了整个僵尸网络,实现了实时识别僵尸网络,能够检测出未知的僵尸网络或未来得及发起恶意攻击的僵尸网络。
如图7所示,识别模块66可包括:控制主机识别子模块71及第一僵尸主机识别子模块72。控制主机识别子模块71可用于通过解析与僵尸配置文件的内容特征匹配的下载文件的内容,得到所述控制主机的IP地址及端口。第一僵尸主机识别子模块72可用于通过监控以所述与僵尸配置文件的内容特征匹配的下载文件为下载对象的下载请求,获得僵尸主机IP地址。
或者,如图8所示,识别模块66还可以包括:控制主机识别子模块71及第二僵尸主机识别子模块73,控制主机识别子模块71可用于通过解析与僵尸配置文件的内容特征匹配的下载文件的内容,得到所述控制主机的IP地址及端口;第二僵尸主机识别子模块73可用于根据所述控制主机的IP地址及端口识别与所述控制主机连接的僵尸主机。
上述实施例提供的技术方案通过对网络流量中的下载文件中的文本文件进行内容特征匹配识别出僵尸配置文件,识别出控制主机,并通过监控控制主机或监控以僵尸配置文件为下载对象的下载行为识别出僵尸主机,检测出了整个僵尸网络,并可检测出大量未知僵尸网络。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1、一种识别僵尸网络的方法,其特征在于,包括:
获取网络流量;
从获取的网络流量中过滤出下载文件;
从所述下载文件中过滤出文本文件;
检测所述文本文件的内容;
判断所述内容是否与僵尸配置文件的内容特征匹配;
若匹配,则通过所述文本文件识别控制主机以及僵尸主机。
2、根据权利要求1所述的识别僵尸网络的方法,其特征在于,通过所述文本文件识别控制主机以及僵尸主机包括:
通过解析与僵尸配置文件的内容特征匹配的文本文件的内容,得到所述控制主机的IP地址及端口;
通过监控以所述与僵尸配置文件的内容特征匹配的文本文件为下载对象的下载请求,获得僵尸主机IP地址。
3、根据权利要求1所述的识别僵尸网络的方法,其特征在于,通过所述文本文件识别控制主机以及僵尸主机包括:
通过解析与僵尸配置文件的内容特征匹配的文本文件的内容,得到所述控制主机的IP地址及端口;
根据所述控制主机的IP地址及端口识别与所述控制主机连接的僵尸主机。
4、一种网关设备,其特征在于,包括:
获取模块,用于获取网络流量;
下载文件过滤模块,用于从获取的网络流量中过滤出下载文件;
文本文件过滤模块,用于从所述下载文件中过滤出文本文件;
检测模块,用于检测所述文本文件的内容;
判断模块,用于判断所述内容是否与僵尸配置文件的内容特征匹配;
识别模块,用于若判断模块匹配成功,则通过所述文本文件识别控制主机以及僵尸主机。
5、根据权利要求4所述的网关设备,其特征在于,所述识别模块包括:
控制主机识别子模块,用于通过解析与僵尸配置文件的内容特征匹配的文本文件的内容,得到所述控制主机的IP地址及端口;
第一僵尸主机识别子模块,用于通过监控以所述与僵尸配置文件的内容特征匹配的文本文件为下载对象的下载请求,获得僵尸主机IP地址。
6、根据权利要求4所述的网关设备,其特征在于,所述识别模块包括:
控制主机识别子模块,用于通过解析与僵尸配置文件的内容特征匹配的文本文件的内容,得到所述控制主机的IP地址及端口;
第二僵尸主机识别子模块,用于根据所述控制主机的IP地址及端口识别与所述控制主机连接的僵尸主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910092682A CN101651579A (zh) | 2009-09-15 | 2009-09-15 | 识别僵尸网络的方法及网关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910092682A CN101651579A (zh) | 2009-09-15 | 2009-09-15 | 识别僵尸网络的方法及网关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101651579A true CN101651579A (zh) | 2010-02-17 |
Family
ID=41673708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910092682A Pending CN101651579A (zh) | 2009-09-15 | 2009-09-15 | 识别僵尸网络的方法及网关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101651579A (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
WO2011047600A1 (zh) * | 2009-10-20 | 2011-04-28 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
CN102130920A (zh) * | 2011-04-19 | 2011-07-20 | 成都梯度科技有限公司 | 一种僵尸网络的发现方法及其系统 |
CN102158499A (zh) * | 2011-06-02 | 2011-08-17 | 国家计算机病毒应急处理中心 | 基于http流量分析的挂马网站检测方法 |
CN101741862B (zh) * | 2010-01-22 | 2012-07-18 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
CN107786531A (zh) * | 2017-03-14 | 2018-03-09 | 平安科技(深圳)有限公司 | Apt攻击检测方法和装置 |
CN107864110A (zh) * | 2016-09-22 | 2018-03-30 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
CN109474485A (zh) * | 2017-12-21 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 |
CN109474452A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 自动识别b/s僵尸网络后台的方法、系统及存储介质 |
CN110581836A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
CN110798439A (zh) * | 2018-09-04 | 2020-02-14 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
CN111416812A (zh) * | 2020-03-16 | 2020-07-14 | 深信服科技股份有限公司 | 一种恶意脚本检测方法、设备及存储介质 |
CN112311721A (zh) * | 2019-07-25 | 2021-02-02 | 深信服科技股份有限公司 | 一种检测下载行为的方法及装置 |
CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
-
2009
- 2009-09-15 CN CN200910092682A patent/CN101651579A/zh active Pending
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8904532B2 (en) | 2009-10-20 | 2014-12-02 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, apparatus and system for detecting botnet |
WO2011047600A1 (zh) * | 2009-10-20 | 2011-04-28 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
CN101741862B (zh) * | 2010-01-22 | 2012-07-18 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
CN101924757B (zh) * | 2010-07-30 | 2013-12-18 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
CN102130920A (zh) * | 2011-04-19 | 2011-07-20 | 成都梯度科技有限公司 | 一种僵尸网络的发现方法及其系统 |
CN102158499A (zh) * | 2011-06-02 | 2011-08-17 | 国家计算机病毒应急处理中心 | 基于http流量分析的挂马网站检测方法 |
CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
CN105187367B (zh) * | 2015-06-04 | 2019-03-08 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
CN107864110A (zh) * | 2016-09-22 | 2018-03-30 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
CN107864110B (zh) * | 2016-09-22 | 2021-02-02 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
CN107786531A (zh) * | 2017-03-14 | 2018-03-09 | 平安科技(深圳)有限公司 | Apt攻击检测方法和装置 |
CN107786531B (zh) * | 2017-03-14 | 2020-02-18 | 平安科技(深圳)有限公司 | Apt攻击检测方法和装置 |
CN109474485A (zh) * | 2017-12-21 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 |
CN109474452A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 自动识别b/s僵尸网络后台的方法、系统及存储介质 |
CN110581836A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
CN110581836B (zh) * | 2018-06-11 | 2021-11-30 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
CN110798439A (zh) * | 2018-09-04 | 2020-02-14 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
CN110798439B (zh) * | 2018-09-04 | 2022-04-19 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
CN112311721A (zh) * | 2019-07-25 | 2021-02-02 | 深信服科技股份有限公司 | 一种检测下载行为的方法及装置 |
CN112311721B (zh) * | 2019-07-25 | 2022-11-22 | 深信服科技股份有限公司 | 一种检测下载行为的方法及装置 |
CN111416812A (zh) * | 2020-03-16 | 2020-07-14 | 深信服科技股份有限公司 | 一种恶意脚本检测方法、设备及存储介质 |
CN111416812B (zh) * | 2020-03-16 | 2022-06-21 | 深信服科技股份有限公司 | 一种恶意脚本检测方法、设备及存储介质 |
CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101651579A (zh) | 识别僵尸网络的方法及网关设备 | |
CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
US8904532B2 (en) | Method, apparatus and system for detecting botnet | |
CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
US8490190B1 (en) | Use of interactive messaging channels to verify endpoints | |
JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
CN101621428B (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
Fedynyshyn et al. | Detection and classification of different botnet C&C channels | |
CN101753562B (zh) | 僵尸网络的检测方法、装置及网络安全防护设备 | |
US20060150249A1 (en) | Method and apparatus for predictive and actual intrusion detection on a network | |
US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
EP2076866A2 (en) | Device, system and method for use of micro-policies in intrusion detection/prevention | |
US10630708B2 (en) | Embedded device and method of processing network communication data | |
CN101588276B (zh) | 一种检测僵尸网络的方法及其装置 | |
Borys et al. | An evaluation of IoT DDoS cryptojacking malware and Mirai botnet | |
CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
Jeong et al. | Botnets: threats and responses | |
US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks | |
Yang et al. | Cyber threat detection and application analysis | |
Hailong et al. | Heterogeneous multi-sensor information fusion model for botnet detection | |
Hajdarevic et al. | Internal penetration testing of Bring Your Own Device (BYOD) for preventing vulnerabilities exploitation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20100217 |