CN102437936A - 基于双过滤机制的高速网络僵尸报文的检测方法 - Google Patents
基于双过滤机制的高速网络僵尸报文的检测方法 Download PDFInfo
- Publication number
- CN102437936A CN102437936A CN201110428857XA CN201110428857A CN102437936A CN 102437936 A CN102437936 A CN 102437936A CN 201110428857X A CN201110428857X A CN 201110428857XA CN 201110428857 A CN201110428857 A CN 201110428857A CN 102437936 A CN102437936 A CN 102437936A
- Authority
- CN
- China
- Prior art keywords
- address
- corpse
- message
- source
- storage organization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于双过滤机制的高速网络僵尸报文的检测方法,设置比特向量、IP地址存储结构和僵尸网络控制器库,在比特向量和IP地址存储结构中分别记录僵尸网络控制器IP集合,对于测量器获取的报文,测量器提取源IP、宿IP,在比特向量中快速近似查找源IP,如果在比特向量中成功匹配的报文源IP,则在IP地址存储结构中精确查找报文源IP,如果在IP地址存储结构中成功查找到的报文源IP,将该报文的宿IP作为僵尸主机加入到僵尸主机库,如果处理完所有的被测量报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,本发明能够根据僵尸网络控制器库,从高速主干网络中实时检测出被僵尸控制器所控制的僵尸主机及其规模。
Description
技术领域
本技术涉及网络安全技术领域,特别是一种基于双过滤机制的高速网络僵尸报文的检测方法。
背景技术
僵尸网络(Botnet)是目前网络安全领域面临的重点问题,僵尸网络采用多种传播手段,通过感染大量主机的僵尸程序,从而在控制者和僵尸主机之间所形成的一个控制的网络结构,僵尸控制者通过各种传播方式将僵尸程序感染主机,被感染的僵尸主机采用控制信道接收僵尸控制者的指令,形成一个僵尸网络,进行DoS、扫描、发送垃圾邮件等。它具有蠕虫的传播特征、木马似的后门特征、以及ROOTKIT等病毒技术等多种恶意代码技术的综合。
正是由于僵尸网络对互联网的危害严重,对其相关技术研究也因此发展为近年来的国内外重要研究热点问题。僵尸网络检测方法主要是通过各种途径获取可能存在僵尸网络活动的相关信息,然后根据僵尸网络在这些信息中表征出来的内在特性,应用统计分析、机器学习、信息理论等多种分析技术识别并判断出僵尸网络的存在,甚至确定攻击者、命令与控制服务器以及僵尸主机的位置。目前主要的僵尸网络检测技术主要有(1)基于蜜罐的检测技术:通过部署包含蜜罐主机捕获互联网上实际传播的大量僵尸程序。(2)基于报文深度检测技术:使用正则表达式查找受怀疑的IRC匿名名字,评估匿名名字以确定某个特定的对话是否属于受到bot污染的主机。(3)基于攻击行为检测技术:认为僵尸网络短时间内发送了大量垃圾,通过检测垃圾邮件的方法检测僵尸网络。
传统的僵尸检测方法难以适应高速主干网络测量资源的限制,同时还会受到部分僵尸网络会话加密和流量隐蔽性等影响。本发明采用比特向量和IP地址存储结构双过滤机制,能够实现从高速主干网络中实时检测出僵尸主机。
发明内容
本发明实施的目的提供一种基于双过滤机制的高速网络僵尸报文的检测方法,能够实时地对高速主干网络流量中的僵尸主机进行检测,并得到僵尸网络的规模范围。
本发明的技术方案是提供了一种基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于:
步骤一、设置一个比特向量B、一个IP地址存储结构、一个僵尸主机库和一个僵尸网络控制器IP库,比特向量B是由2m个比特构成的向量,其中m是2的上标,2m是2的m次幂,m是大于1的正整数,2m个比特初始值为0,进入步骤二;
步骤二、在比特向量B和IP地址存储结构中分别记录僵尸网络控制器IP库内所有的僵尸网络控制器IP,进入步骤三;
步骤三、当测量器测量到一个报文,测量器从报文头中提取所测量报文的源IP地址、宿IP地址,在比特向量B中快速近视查找所测量报文的源IP地址,如果在比特向量B中查找成功,则进入步骤四,否则进入步骤六;
步骤四、在IP地址存储结构中精确查找所测量报文的源IP地址,如果在IP地址存储结构中成功查找到的所测量报文的源IP地址,进入步骤五,否则进入步骤六;
步骤五、将所测量报文的宿IP地址作为僵尸主机加入到僵尸主机库,进入步骤六;
步骤六、如果处理完所有报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,否则回到步骤三。
与现有技术相比,本发明具有如下优点及有效效果:
(1)本发明提出的双过滤机制检测僵尸报文能够根据已知的僵尸网络控制器IP集合,从高速主干网络中实时检测出被管理网络中被僵尸控制器所控制的僵尸主机规模;
(2)本发明是采用一个比特向量对所有网络流量报文进行快速近似地第一次过滤,对于通过第一次过滤的报文然后采用IP地址存储结构进行第二次精确过滤,比特向量第一次近似过滤方法只会存在误报不会存在漏报,第二次精确过滤将误报删除;
(3)由于直接进行精确匹配的方法难以适应高速网络流量需求,本发明所提出的双过滤机制方法能够应用在大规模高速主干网络的环境中进行僵尸检测过滤。
附图说明
为了更清楚地说明本发明实施实例的技术方案,下面将对实施实例或现有技术描述中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施实例。
图1:基于双过滤机制的高速网络僵尸报文的检测方法流程图。
图2:基于双过滤机制的高速网络僵尸报文的检测方法过程示意图。
图3:比特向量B的初始状态示意图,其中比特向量B由23=8个比特构成的向量,8个比特初始值为0。
图4:比特向量B的一个结果状态示意图,其中设已知僵尸网络控制器IP库中的IP地址为IP1、IP2和IP3,设置一个哈希函数H1,该函数的输入是IP地址,输出是一个3个比特的比特串,设H1(IP1)=3、H1(IP2)=7、H1(IP3)=2。
图5:IP地址存储结构初始状态示意图,其中IP地址存储结构是由22=4个32比特正整数构成的向量,初始的时候这4个正整数均设置为0。
图6:IP地址存储结构一个结果状态示意图,设置一个哈希函数H2的输入是一个IP地址,输出是有一个2比特的比特串,设H2(IP1)=1、H2(IP2)=3、H2(IP3)=1。
具体实施方式
下面将结合本发明实施实例中的附图,对本发明实施实例中的技术方案进行清楚、完整地描述,当然所描述的实施实例仅仅是本发明一部分实施实例,而不是全部的实施实例。
实施实例1
本发明实施例提供了一种基于双过滤机制的高速网络僵尸报文的检测方法,图1为本发明基于双过滤机制的高速网络僵尸报文的检测方法流程示意图,如图1所示,该方法包括如下步骤:
步骤一、设置一个比特向量B、一个IP地址存储结构、一个僵尸主机库和一个僵尸网络控制器IP库,比特向量B是由2m个比特构成的向量,其中m是2的上标,2m是2的m次幂,m是大于1的正整数,2m个比特初始值为0,IP地址存储结构是由2n个32比特正整数构成的向量,其中n是2的上标,2n是2的n次幂,2n大于所要检测僵尸网络控制器IP数量,初始的时候这2n个正整数均设置为0,进入步骤二;
步骤二、在比特向量B和IP地址存储结构中分别记录僵尸网络控制器IP库内所有的僵尸网络控制器IP,所述的比特向量B记录僵尸网络控制器IP库内所有的僵尸网络控制器IP的步骤包括:设置一个哈希函数H1,哈希函数H1的输入是IP地址,输出是有一个m个比特的比特串的步骤,将每个僵尸网络控制器IP地址作为哈希函数H1的输入,并由哈希函数H1输出一个正整数,并以在这个正整数为比特向量B的指针,同时将指针指向的比特向量B的比特值设置为1的步骤,
IP地址存储结构记录僵尸网络控制器IP库内所有的僵尸网络控制器IP包括:设置一个哈希函数H2的输入是一个IP地址,输出是由一个n比特构成的比特串,将每个僵尸网络控制器IP作为哈希函数H2的输入生成一个正整数,并以在这个正整数为IP地址存储结构的指针,查找指针对应的IP地址存储结构中的值,如果所对应值为0,则将该僵尸网络控制器IP地址记录在指针指向的IP地址存储结构中的相应位置上;如果所对应值不为0,则从IP地址存储结构中查找下一个值,直到找到一个为0的值,并在与这个0值所对应的IP地址存储结构的位置上记录所述僵尸网络控制器IP地址。
步骤三、当测量器测量到一个报文,测量器从报文头中提取所测量报文的源IP地址、宿IP地址,在比特向量B中快速近视查找所测量报文的源IP地址,将所测量报文的源IP地址作为哈希函数H1的输入,查找比特向量B中哈希函数H1输出值所对应位置的比特值,如果其比特值为1,返回查找成功,如果在比特向量B中查找成功,则进入步骤四,否则进入步骤六;
步骤四、在IP地址存储结构中精确查找所测量报文的源IP地址,对于在IP地址存储结构中精确查找所测量报文的源IP地址包括:首先将所测量报文的源IP地址作为哈希函数H2的输入,查找IP地址存储结构中输出值对应位置的正整数,从IP地址存储结构中查找下一个正整数方法:如果查找到IP地址存储结构中的最后一个正整数后还需要查找下一个正整数,则从IP地址存储结构中的第一个正整数开始查找,如果所对应正整数等于所测量报文的源IP地址,则返回成功查找,否则如果所对应正整数不等于所测量报文的源IP地址,且所对应位置的正整数值为0,则返回失败查找,否则进入查找IP地址存储结构中下一个正整数继续查找,如果在IP地址存储结构中成功查找到的所测量报文的源IP地址,进入步骤五,否则进入步骤六;
步骤五、将所测量报文的宿IP地址作为僵尸主机加入到僵尸主机库,将所测量报文的源IP地址和宿IP地址作为一条记录写在僵尸主机库中,其中所测量报文的源IP地址为僵尸控制器IP地址,所测量报文的宿IP地址为受僵尸控制器IP地址所控制的僵尸主机,进入步骤六;
步骤六、如果处理完所有报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,将僵尸主机库中所有记录按照源IP地址进行聚类,统计每个源IP地址所对应不同宿IP地址的数量作为以源IP地址为僵尸网络控制器所控制的僵尸网络的规模,否则回到步骤三。
实施实例2
步骤一(1):设置一个比特向量B、一个IP地址存储结构和给定一个僵尸网络控制器IP集合,设已知僵尸网络控制器IP集合中的IP地址为IP1、IP2和IP3,其中比特向量B由23=8个比特构成的向量,8个比特初始值为0;IP地址存储结构是由22=4个32比特正整数构成的向量,初始的时候这4个正整数均设置为0,进入步骤二(2);
步骤二(2):在比特向量B和IP地址存储结构中分别记录僵尸网络控制器IP集合,其中比特向量B记录僵尸网络控制器IP集合的步骤包括:
(1)设置一个哈希函数H1,该函数的输入是IP地址,输出是一个3个比特的比特串,设H1(IP1)=3、H1(IP2)=7、H1(IP3)=2;
(2)将僵尸网络控制器IP地址IP1作为哈希函数H1的输入,对应一个输出值H1(IP1)=3,将比特向量B中输出值对应位置第3个比特的比特值设置为1;将僵尸网络控制器IP地址IP2作为哈希函数H1的输入,对应一个输出值H1(IP2)=7,将比特向量B中输出值对应位置第7个比特的比特值设置为1;将僵尸网络控制器IP地址IP3作为哈希函数H1的输入,对应一个输出值H1(IP3)=2,将比特向量B中输出值对应位置第2个比特的比特值设置为1;
IP地址存储结构记录僵尸网络控制器IP集合的步骤包括:
(1)设置一个哈希函数H2的输入是一个IP地址,输出是有一个2比特的比特串,设H2(IP1)=1、H2(IP2)=3、H2(IP3)=1;
(2)将僵尸网络控制器IP地址IP1作为哈希函数H2的输入生成一个输出值H2(IP1)=1,查找输出值对应位置1的IP地址存储结构中的正整数;
(3)IP地址存储结构中位置1所对应正整数为0,将该僵尸网络控制器IP地址IP1记录在位置1所对应正整数中;
(4)将僵尸网络控制器IP地址IP2作为哈希函数H2的输入生成一个输出值H2(IP2)=3,查找输出值对应位置3的IP地址存储结构中的正整数;
(5)IP地址存储结构中位置3所对应正整数为0,将该僵尸网络控制器IP地址IP2记录在位置1所对应正整数中;
(6)将僵尸网络控制器IP地址IP3作为哈希函数H2的输入生成一个输出值H2(IP3)=1,查找输出值对应位置1的IP地址存储结构中的正整数;
(7)对应位置1正整数不为0,则从IP地址存储结构中查找下一个位置2的正整数,位置2的正整数为0,将该僵尸网络控制器IP地址IP3记录在该正整数中;
进入步骤三(3)
步骤三(3):设一共测量到4个报文,第一个报文的源IP地址为SIP1和宿IP地址为DIP1,第二个报文的源IP地址为SIP2和宿IP地址为DIP2,第三个报文的源IP地址为SIP3和宿IP地址为DIP3,第4个报文的源IP地址为SIP4和宿IP地址为DIP4,其中SIP1=IP1、SIP3=IP3;H1(SIP1)=H1(IP1)=3、H1(SIP2)=5、H1(SIP3)=H1(IP3)=2、H1(SIP4)=7;H2(SIP1)=H2(IP1)=1、H2(SIP2)=2、H2(SIP3)=H2(IP3)=1、H2(SIP4)=0;
对于第一个被测量到的报文,在比特向量B中匹配其源IP地址SIP1,具体方法是:将网络报文的源IP地址SIP1作为哈希函数H1的输入,查找比特向量B中哈希函数H1输出值H1(SIP1)=H1(IP1)=3所对应位置的比特值,其比特值为1,返回成功,进入步骤四(4);
步骤四(4):对于在比特向量B中成功匹配的报文源IP地址SIP1,在IP地址存储结构中查找报文源IP地址SIP1,对于在IP地址存储结构中查找IP地址的具体方法是:首先将报文的源IP地址SIP1作为哈希函数H2的输入,查找IP地址存储结构中输出值对应位置H2(SIP1)=H2(IP1)=1的正整数,所对应正整数为IP1等于报文源IP地址SIP1,则返回成功查找,进入步骤五(5);
步骤五(5):对于在IP地址存储结构中成功查找到的报文源IP地址,将该报文的宿IP地址作为僵尸主机加入到僵尸主机库,具体方法是将报文的源IP地址和宿IP地址作为一条记录写在僵尸主机库中,其中报文的源IP地址为僵尸控制器IP地址,报文的宿IP地址为受僵尸控制器IP地址所控制的僵尸主机,进入步骤六(6);
步骤六(6):处理下一个被测量报文,回到步骤三(7);
步骤三(7):对于第二个被测量到的报文,在比特向量B中匹配其源IP地址SIP2,具体方法是:将网络报文的源IP地址SIP2作为哈希函数H1的输入,查找比特向量B中哈希函数H1输出值H1(SIP2)=5所对应位置的比特值,其比特值为0,返回失败匹配,进入步骤六(8);
步骤六(8):处理下一个被测量报文,回到步骤三(9);
步骤三(9):对于第三个被测量到的报文,在比特向量B中匹配其源IP地址SIP3,具体方法是:将网络报文的源IP地址SIP3作为哈希函数H1的输入,查找比特向量B中哈希函数H1输出值H1(SIP3)=H1(IP3)=2所对应位置的比特值,其比特值为1,返回成功,进入步骤四(10);
步骤四(10):对于在比特向量B中成功匹配的报文源IP地址SIP3,在IP地址存储结构中查找报文源IP地址SIP3,对于在IP地址存储结构中查找IP地址的具体方法是:首先将报文的源IP地址SIP3作为哈希函数H2的输入,查找IP地址存储结构中输出值对应位置H2(SIP3)=H2(IP3)=1的正整数,所对应正整数为IP1不等于报文源IP地址SIP3,查找IP地址存储结构中第二个位置正整数,找IP地址存储结构中输出值对应位置H2(SIP3)=H2(IP3)=1的正整数,所对应正整数为IP3不等于报文源IP地址SIP3,进入步骤五(11);
步骤五(11):对于在IP地址存储结构中成功查找到的报文源IP地址SIP3,将该报文的宿IP地址作为僵尸主机加入到僵尸主机库,具体方法是将报文的源IP地址和宿IP地址作为一条记录写在僵尸主机库中,其中报文的源IP地址为僵尸控制器IP地址,报文的宿IP地址为受僵尸控制器IP地址所控制的僵尸主机,进入步骤六(12);
步骤六(12):处理下一个被测量报文,回到步骤三(13);
步骤三(13):当第四个报文到达测量器,测量器从报文头中提取其源IP地址、宿IP地址,在比特向量B中匹配其源IP地址,具体方法是:将网络报文的源IP地址SIP4作为哈希函数H1的输入,查找比特向量B中哈希函数H1输出值H1(SIP4)=7所对应位置的比特值,其比特值为1,返回成功匹配,则进入步骤四(14);
步骤四(14):对于在比特向量B中成功匹配的报文源IP地址SIP4,在IP地址存储结构中查找报文源IP地址SIP4,对于在IP地址存储结构中查找IP地址的具体方法是:首先将报文的源IP地址SIP4作为哈希函数H2的输入,查找IP地址存储结构中输出值对应位置H2(SIP4)=0的正整数,所对应位置的正整数值为0,则返回失败查找,进入步骤六(15);
步骤六(15):处理完所有的被测量报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,具体方法是:将僵尸主机库中所有记录按照源IP地址进行聚类,统计每个源IP地址相同而不同宿IP地址的数量作为源IP地址僵尸网络控制器所控制的僵尸网络的规模,
输出结果为
僵尸控制器IP地址IP1,控制僵尸主机1个;
僵尸控制器IP地址IP2,控制僵尸主机0个;
僵尸控制器IP地址IP3,控制僵尸主机1个;
方法结束。
Claims (9)
1.一种基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于:
步骤一、设置一个比特向量B、一个IP地址存储结构、一个僵尸主机库和一个僵尸网络控制器IP库,比特向量B是由2m个比特构成的向量,其中m是2的上标,2m是2的m次幂,m是大于1的正整数,2m个比特初始值为0,进入步骤二;
步骤二、在比特向量B和IP地址存储结构中分别记录僵尸网络控制器IP库内所有的僵尸网络控制器IP,进入步骤三;
步骤三、当测量器测量到一个报文,测量器从报文头中提取所测量报文的源IP地址、宿IP地址,在比特向量B中快速近视查找所测量报文的源IP地址,如果在比特向量B中查找成功,则进入步骤四,否则进入步骤六;
步骤四、在IP地址存储结构中精确查找所测量报文的源IP地址,如果在IP地址存储结构中成功查找到的所测量报文的源IP地址,进入步骤五,否则进入步骤六;
步骤五、将所测量报文的宿IP地址作为僵尸主机加入到僵尸主机库,进入步骤六;
步骤六、如果处理完所有报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,否则回到步骤三。
2.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的比特向量B记录僵尸网络控制器IP库内所有的僵尸网络控制器IP的步骤包括:
设置一个哈希函数H1,哈希函数H1的输入是IP地址,输出是有一个m个比特的比特串的步骤;
将每个僵尸网络控制器IP地址作为哈希函数H1的输入,并由哈希函数H1输出一个正整数,并以在这个正整数为比特向量B的指针,同时将指针指向的比特向量B的比特值设置为1的步骤。
3.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的IP地址存储结构是由2n个32比特正整数构成的向量,其中n是2的上标,2n是2的n次幂,2n大于所要检测僵尸网络控制器IP数量,初始的时候这2n个正整数均设置为0。
4.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的IP地址存储结构记录僵尸网络控制器IP库内所有的僵尸网络控制器IP的步骤包括:
设置一个哈希函数H2的输入是一个IP地址,输出是由一个n比特构成的比特串的步骤;
将每个僵尸网络控制器IP作为哈希函数H2的输入生成一个正整数,并以在这个正整数为IP地址存储结构的指针,查找指针对应的IP地址存储结构中的值,如果所对应值为0,则将该僵尸网络控制器IP地址记录在指针指向的IP地址存储结构中的相应位置上;如果所对应值不为0,则从IP地址存储结构中查找下一个值,直到找到一个为0的值,并在与这个0值所对应的IP地址存储结构的位置上记录所述僵尸网络控制器IP地址。
5.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的在比特向量B中快速近视查找所测量报文的源IP地址是:将所测量报文的源IP地址作为哈希函数H1的输入,查找比特向量B中哈希函数H1输出值所对应位置的比特值,如果其比特值为1,返回查找成功的步骤。
6.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法, 其特征在于,对于在IP地址存储结构中精确查找所测量报文的源IP地址包括:
步骤6.1、将所测量报文的源IP地址作为哈希函数H2的输入,查找IP地址存储结构中输出值对应位置的正整数,进入步骤6.2;
步骤6.2、如果所对应正整数等于所测量报文的源IP地址,则返回成功查找,否则进入步骤6.3;
步骤6.3、如果所对应正整数不等于所测量报文的源IP地址,且所对应位置的正整数值为0,则返回失败查找,否则进入步骤6.4;
步骤6.4、查找IP地址存储结构中下一个正整数,回到上一步骤6.3。
7.根据权利要求4或6所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的从IP地址存储结构中查找下一个正整数方法:如果查找到IP地址存储结构中的最后一个正整数后还需要查找下一个正整数,则从IP地址存储结构中的第一个正整数开始查找。
8.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的将所测量报文的宿IP地址作为僵尸主机加入到僵尸主机库的方法是将所测量报文的源IP地址和宿IP地址作为一条记录写在僵尸主机库中,其中所测量报文的源IP地址为僵尸控制器IP地址,所测量报文的宿IP地址为受僵尸控制器IP地址所控制的僵尸主机。
9.根据权利要求1所述的基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于,所述的分类汇总僵尸网络规模报告的方法为:将僵尸主机库中所有记录按照源IP地址进行聚类,统计每个源IP地址所对应不同宿IP地址的数量作为以源IP地址为僵尸网络控制器所控制的僵尸网络的规模。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110428857 CN102437936B (zh) | 2011-12-20 | 2011-12-20 | 基于双过滤机制的高速网络僵尸报文的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110428857 CN102437936B (zh) | 2011-12-20 | 2011-12-20 | 基于双过滤机制的高速网络僵尸报文的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102437936A true CN102437936A (zh) | 2012-05-02 |
| CN102437936B CN102437936B (zh) | 2013-12-18 |
Family
ID=45985820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110428857 Expired - Fee Related CN102437936B (zh) | 2011-12-20 | 2011-12-20 | 基于双过滤机制的高速网络僵尸报文的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102437936B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102946331A (zh) * | 2012-10-10 | 2013-02-27 | 北京交通大学 | 一种社交网络僵尸用户检测方法及装置 |
| CN105357065A (zh) * | 2015-10-08 | 2016-02-24 | 中国人民解放军国防科学技术大学 | 一种基于p2p僵尸节点感知的自适应网络流量采样方法 |
| CN105843851A (zh) * | 2016-03-16 | 2016-08-10 | 新浪网技术(中国)有限公司 | 欺诈邮件分析与提取方法和装置 |
| CN107357843A (zh) * | 2017-06-23 | 2017-11-17 | 东南大学 | 基于数据流结构的海量网络数据查找方法 |
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761210A (zh) * | 2005-11-08 | 2006-04-19 | 东南大学 | 入侵检测系统用增强多哈希的源串还原方法 |
| CN1913528A (zh) * | 2006-08-25 | 2007-02-14 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
| EP1906620A1 (en) * | 2006-09-29 | 2008-04-02 | AT&T Corp. | Method and apparatus for detecting compromised host computers |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101729389A (zh) * | 2008-10-21 | 2010-06-09 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
-
2011
- 2011-12-20 CN CN 201110428857 patent/CN102437936B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761210A (zh) * | 2005-11-08 | 2006-04-19 | 东南大学 | 入侵检测系统用增强多哈希的源串还原方法 |
| CN1913528A (zh) * | 2006-08-25 | 2007-02-14 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
| EP1906620A1 (en) * | 2006-09-29 | 2008-04-02 | AT&T Corp. | Method and apparatus for detecting compromised host computers |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101729389A (zh) * | 2008-10-21 | 2010-06-09 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 于晓聪,董晓梅,于戈,秦玉海: "僵尸网络在线检测技术研究", 《武汉大学学报 信息科学版》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102946331A (zh) * | 2012-10-10 | 2013-02-27 | 北京交通大学 | 一种社交网络僵尸用户检测方法及装置 |
| CN102946331B (zh) * | 2012-10-10 | 2016-01-20 | 北京交通大学 | 一种社交网络僵尸用户检测方法及装置 |
| CN105357065A (zh) * | 2015-10-08 | 2016-02-24 | 中国人民解放军国防科学技术大学 | 一种基于p2p僵尸节点感知的自适应网络流量采样方法 |
| CN105843851A (zh) * | 2016-03-16 | 2016-08-10 | 新浪网技术(中国)有限公司 | 欺诈邮件分析与提取方法和装置 |
| CN107357843A (zh) * | 2017-06-23 | 2017-11-17 | 东南大学 | 基于数据流结构的海量网络数据查找方法 |
| CN107357843B (zh) * | 2017-06-23 | 2020-06-16 | 东南大学 | 基于数据流结构的海量网络数据查找方法 |
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN108600193B (zh) * | 2018-04-03 | 2021-04-13 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102437936B (zh) | 2013-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
| CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN105072089A (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
| CN102571487B (zh) | 基于多数据源分布式的僵尸网络规模测量及追踪方法 | |
| CN102437936B (zh) | 基于双过滤机制的高速网络僵尸报文的检测方法 | |
| CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
| De Silva et al. | Compromised or {Attacker-Owned}: A large scale classification and study of hosting domains of malicious {URLs} | |
| Khan et al. | A hybrid technique to detect botnets, based on P2P traffic similarity | |
| CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| CN110650156B (zh) | 网络实体的关系聚类方法、装置及网络事件的识别方法 | |
| JP2015222471A (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN107145779A (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| Bao et al. | Using passive dns to detect malicious domain name | |
| CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
| CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| RU2472211C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
| CN201789524U (zh) | 一种通过分析网络行为检测木马程序的装置 | |
| McDermott et al. | Threat Detection and Analysis in the Internet of Things using Deep Packet Inspection. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20120502 Assignee: Jiangsu Wisedu Information Technology Co., Ltd. Assignor: Southeast University Contract record no.: 2014320000071 Denomination of invention: Detection method of high speed network bot message based on double-filtering mechanism Granted publication date: 20131218 License type: Exclusive License Record date: 20140226 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131218 Termination date: 20161220 |