CN102202064A - 基于网络数据流分析的木马通信行为特征提取方法 - Google Patents
基于网络数据流分析的木马通信行为特征提取方法 Download PDFInfo
- Publication number
- CN102202064A CN102202064A CN2011101580551A CN201110158055A CN102202064A CN 102202064 A CN102202064 A CN 102202064A CN 2011101580551 A CN2011101580551 A CN 2011101580551A CN 201110158055 A CN201110158055 A CN 201110158055A CN 102202064 A CN102202064 A CN 102202064A
- Authority
- CN
- China
- Prior art keywords
- communication
- wooden horse
- session
- data
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 131
- 238000004891 communication Methods 0.000 title claims abstract description 111
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000005206 flow analysis Methods 0.000 title claims abstract description 17
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title abstract description 8
- 230000004044 response Effects 0.000 claims abstract description 18
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 238000000605 extraction Methods 0.000 claims description 26
- 239000000284 extract Substances 0.000 claims description 22
- 238000009826 distribution Methods 0.000 claims description 16
- 230000003542 behavioural effect Effects 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 7
- 238000012423 maintenance Methods 0.000 claims description 5
- 238000005070 sampling Methods 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 14
- 230000006399 behavior Effects 0.000 description 31
- 238000004458 analytical method Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 7
- 239000012141 concentrate Substances 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000007619 statistical method Methods 0.000 description 3
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000009472 formulation Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201110158055 CN102202064B (zh) | 2011-06-13 | 2011-06-13 | 基于网络数据流分析的木马通信行为特征提取方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201110158055 CN102202064B (zh) | 2011-06-13 | 2011-06-13 | 基于网络数据流分析的木马通信行为特征提取方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102202064A true CN102202064A (zh) | 2011-09-28 |
CN102202064B CN102202064B (zh) | 2013-09-25 |
Family
ID=44662459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201110158055 Active CN102202064B (zh) | 2011-06-13 | 2011-06-13 | 基于网络数据流分析的木马通信行为特征提取方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102202064B (zh) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102523223A (zh) * | 2011-12-20 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN103036743A (zh) * | 2012-12-19 | 2013-04-10 | 中国科学院信息工程研究所 | 一种窃密木马的tcp心跳行为的检测方法 |
CN103428223A (zh) * | 2013-08-28 | 2013-12-04 | 北京永信至诚科技有限公司 | 一种木马行为识别方法与系统 |
CN103475663A (zh) * | 2013-09-13 | 2013-12-25 | 无锡华御信息技术有限公司 | 基于网络通信行为特征的木马识别方法 |
CN103491107A (zh) * | 2013-10-14 | 2014-01-01 | 刘胜利 | 基于网络数据流簇聚类的木马通信特征快速提取方法 |
CN103701814A (zh) * | 2013-12-27 | 2014-04-02 | 北京启明星辰信息技术股份有限公司 | 一种基于行为检测实现网络流量识别的方法及装置 |
CN104283897A (zh) * | 2014-10-29 | 2015-01-14 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
CN104468507A (zh) * | 2014-10-28 | 2015-03-25 | 刘胜利 | 基于无控制端流量分析的木马检测方法 |
CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
CN106730847A (zh) * | 2016-11-10 | 2017-05-31 | 北京像素软件科技股份有限公司 | 一种游戏外挂检测方法及装置 |
CN107026766A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团河北有限公司 | 一种网络质量的评估检测方法及装置 |
WO2017193271A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
CN108197199A (zh) * | 2017-12-27 | 2018-06-22 | 珠海市君天电子科技有限公司 | 数据监控方法、装置、电子设备及计算机可读存储介质 |
CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
CN108712462A (zh) * | 2018-04-09 | 2018-10-26 | 阿里巴巴集团控股有限公司 | 一种连接建立方法、装置以及设备 |
CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
CN104660584B (zh) * | 2014-12-30 | 2018-12-18 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
CN109450932A (zh) * | 2018-12-17 | 2019-03-08 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
CN109600394A (zh) * | 2019-01-19 | 2019-04-09 | 郑州轻工业学院 | 一种基于深度学习的http隧道木马检测方法 |
CN113452581A (zh) * | 2021-08-30 | 2021-09-28 | 上海观安信息技术股份有限公司 | 流式数据的特征提取方法及装置、存储介质、计算机设备 |
CN113992442A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104796405B (zh) * | 2015-03-18 | 2019-04-12 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567884A (zh) * | 2009-05-26 | 2009-10-28 | 西北工业大学 | 网络窃密木马检测方法 |
CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
-
2011
- 2011-06-13 CN CN 201110158055 patent/CN102202064B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567884A (zh) * | 2009-05-26 | 2009-10-28 | 西北工业大学 | 网络窃密木马检测方法 |
CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
Non-Patent Citations (2)
Title |
---|
DING, YAO-JUN; CAI, WAN-DONG: "《Communication Software and Networks(ICCSN),2011 IEEE 3rd International Conference on》", 29 May 2011 * |
邢云冬等: "木马网络通信特征提取模型的设计与实现", 《计算机工程与设计》 * |
Cited By (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015507259A (ja) * | 2011-12-20 | 2015-03-05 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | トロイの木馬検出方法及び装置 |
WO2013091534A1 (zh) * | 2011-12-20 | 2013-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
CN102523223A (zh) * | 2011-12-20 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
US9596248B2 (en) | 2011-12-20 | 2017-03-14 | NSFOCUS Information Technology Co., Ltd. | Trojan detection method and device |
CN102523223B (zh) * | 2011-12-20 | 2014-08-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN102594825B (zh) * | 2012-02-22 | 2016-08-17 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN103036743A (zh) * | 2012-12-19 | 2013-04-10 | 中国科学院信息工程研究所 | 一种窃密木马的tcp心跳行为的检测方法 |
CN103036743B (zh) * | 2012-12-19 | 2015-10-07 | 中国科学院信息工程研究所 | 一种窃密木马的tcp心跳行为的检测方法 |
CN103428223A (zh) * | 2013-08-28 | 2013-12-04 | 北京永信至诚科技有限公司 | 一种木马行为识别方法与系统 |
CN103475663A (zh) * | 2013-09-13 | 2013-12-25 | 无锡华御信息技术有限公司 | 基于网络通信行为特征的木马识别方法 |
CN103475663B (zh) * | 2013-09-13 | 2016-08-17 | 无锡华御信息技术有限公司 | 基于网络通信行为特征的木马识别方法 |
CN103491107B (zh) * | 2013-10-14 | 2017-01-04 | 刘胜利 | 基于网络数据流簇聚类的木马通信特征快速提取方法 |
CN103491107A (zh) * | 2013-10-14 | 2014-01-01 | 刘胜利 | 基于网络数据流簇聚类的木马通信特征快速提取方法 |
CN103701814A (zh) * | 2013-12-27 | 2014-04-02 | 北京启明星辰信息技术股份有限公司 | 一种基于行为检测实现网络流量识别的方法及装置 |
CN104468507A (zh) * | 2014-10-28 | 2015-03-25 | 刘胜利 | 基于无控制端流量分析的木马检测方法 |
CN104468507B (zh) * | 2014-10-28 | 2018-01-30 | 刘胜利 | 基于无控制端流量分析的木马检测方法 |
CN104283897A (zh) * | 2014-10-29 | 2015-01-14 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
CN104283897B (zh) * | 2014-10-29 | 2017-12-08 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
CN104660584B (zh) * | 2014-12-30 | 2018-12-18 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
CN107026766A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团河北有限公司 | 一种网络质量的评估检测方法及装置 |
WO2017193271A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
CN106730847A (zh) * | 2016-11-10 | 2017-05-31 | 北京像素软件科技股份有限公司 | 一种游戏外挂检测方法及装置 |
CN106730847B (zh) * | 2016-11-10 | 2020-07-17 | 北京像素软件科技股份有限公司 | 一种游戏外挂检测方法及装置 |
CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
CN107733851B (zh) * | 2017-08-23 | 2020-05-01 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
CN108197199A (zh) * | 2017-12-27 | 2018-06-22 | 珠海市君天电子科技有限公司 | 数据监控方法、装置、电子设备及计算机可读存储介质 |
CN108197199B (zh) * | 2017-12-27 | 2021-10-29 | 珠海市君天电子科技有限公司 | 数据监控方法、装置、电子设备及计算机可读存储介质 |
CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
CN108390864B (zh) * | 2018-02-01 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
CN108712462A (zh) * | 2018-04-09 | 2018-10-26 | 阿里巴巴集团控股有限公司 | 一种连接建立方法、装置以及设备 |
CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
CN109450932A (zh) * | 2018-12-17 | 2019-03-08 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
CN109600394A (zh) * | 2019-01-19 | 2019-04-09 | 郑州轻工业学院 | 一种基于深度学习的http隧道木马检测方法 |
CN113452581A (zh) * | 2021-08-30 | 2021-09-28 | 上海观安信息技术股份有限公司 | 流式数据的特征提取方法及装置、存储介质、计算机设备 |
CN113992442A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
CN113992442B (zh) * | 2021-12-28 | 2022-03-18 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102202064B (zh) | 2013-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102202064B (zh) | 基于网络数据流分析的木马通信行为特征提取方法 | |
CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
Homayoun et al. | BoTShark: A deep learning approach for botnet traffic detection | |
US10200382B2 (en) | System and method for detecting abnormal traffic behavior using infinite decaying clusters | |
US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
CN103312565B (zh) | 一种基于自主学习的对等网络流量识别方法 | |
CN102201937A (zh) | 基于心跳行为分析的快速木马检测方法 | |
CN103491107A (zh) | 基于网络数据流簇聚类的木马通信特征快速提取方法 | |
US9350762B2 (en) | Intelligent feedback loop to iteratively reduce incoming network data for analysis | |
CN105376110A (zh) | 以大数据流式技术实现网络数据包的分析方法及系统 | |
CN101184000A (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
US20170134413A1 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
Amoli et al. | A real time unsupervised NIDS for detecting unknown and encrypted network attacks in high speed network | |
CN105357071B (zh) | 一种网络复杂流量识别方法及识别系统 | |
CN105429950A (zh) | 一种基于动态数据包采样的网络流量识别系统和方法 | |
CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
CN113364624A (zh) | 基于边缘计算的混合云流量采集方法和系统 | |
Wang et al. | Benchmark data for mobile app traffic research | |
CN110266603A (zh) | 基于http协议的身份认证业务网络流量分析系统及方法 | |
Oudah et al. | A novel features set for internet traffic classification using burstiness | |
CN106257867A (zh) | 一种加密流量的业务识别方法和装置 | |
CN104125106A (zh) | 基于分类决策树的网络纯净性检测装置及方法 | |
CN110912906B (zh) | 一种边缘计算恶意节点识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB03 | Change of inventor or designer information |
Inventor after: Liu Shengli Inventor after: Yang Jie Inventor after: Sun Haitao Inventor after: Meng Lei Inventor after: Chen Jiayong Inventor after: Zhang Xiaochen Inventor before: Liu Shengli Inventor before: Sun Haitao Inventor before: Meng Lei Inventor before: Chen Jiayong Inventor before: Zhang Xiaochen |
|
COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: LIU SHENGLI SUN HAITAO MENG LEI CHEN JIAYONG ZHANG XIAOCHEN TO: LIU SHENGLI YANG JIE SUN HAITAO MENG LEI CHEN JIAYONG ZHANG XIAOCHEN |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20160926 Address after: 450000 B, building 8, No. 1, No. 18-19, welfare Road, Jinshui District, Henan, Zhengzhou Patentee after: Henan Jindun information security level Technical Evaluation Center Co. Ltd. Address before: Located in Henan city of Zhengzhou Province Kim street 450002 No. 7 No. 19 Building 1 unit 302 Patentee before: Liu Shengli |
|
TR01 | Transfer of patent right |
Effective date of registration: 20190103 Address after: 610000 Chengdu High-tech Zone, Sichuan Province, 2 buildings and 3 floors, No. 4, Xinhang Road Patentee after: Sichuan Yuxin'an Electronic Technology Co., Ltd. Address before: 450000 Floor 18-19, Block B, Office Building No. 1, Fucai Road, Jinshui District, Zhengzhou City, Henan Province Patentee before: Henan Jindun information security level Technical Evaluation Center Co. Ltd. |
|
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200717 Address after: Room 302, unit 1, building 19, No.7, Jianxue street, Jinshui District, Zhengzhou City, Henan Province Patentee after: Liu Shengli Address before: 610000 Chengdu High-tech Zone, Sichuan Province, 2 buildings and 3 floors, No. 4, Xinhang Road Patentee before: Sichuan Yuxin'an Electronic Technology Co.,Ltd. |
|
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210108 Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province Patentee after: Information Engineering University of the Chinese People's Liberation Army Strategic Support Force Address before: Unit 302, unit 1, building 19, No.7 Jianxue street, Jinshui District, Zhengzhou City, Henan Province, 450000 Patentee before: Liu Shengli |