CN102882739B - 通信行为检测方法及装置 - Google Patents
通信行为检测方法及装置 Download PDFInfo
- Publication number
- CN102882739B CN102882739B CN201210331075.9A CN201210331075A CN102882739B CN 102882739 B CN102882739 B CN 102882739B CN 201210331075 A CN201210331075 A CN 201210331075A CN 102882739 B CN102882739 B CN 102882739B
- Authority
- CN
- China
- Prior art keywords
- communication
- behavior
- communication behavior
- network
- time interval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种通信行为检测方法及装置。通信行为检测方法包括:记录网络中目标通信行为的总数N;计算所述目标通信行为中相邻两次通信行为的通信时间间隔t;检测相关通信时间间隔的个数M;计算监视参数λ,λ=M/N,若所述监视参数λ大于设定百分比,则将所述目标通信行为中与相邻通信行为具有所述相关通信时间间隔的通信行为标记为监视通信;将标记为监视通信的通信行为与设定白名单进行比对,将未列在所述设定白名单上的标记为监视通信的通信行为记为恶意通信行为。本发明的通信行为检测方法及装置,不仅适用于大型网络环境,对家庭、小公司办公网络等小型网络也同样适用,应用范围广,并且能有效的检测出恶意的通信行为。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种通信行为检测方法及装置。
背景技术
近年来,随着各国信息技术、网络安全技术的迅猛发展,网络安全与事件防御方面形势非常严峻。网络病毒、僵尸网络(Botnet)以及木马等的大量出现严重威胁到网络信息系统的安全。僵尸网络与木马程序的泛滥,尤其是对涉密系统的入侵导致的失窃泄密事件频发,已严重危害到了国家网络系统的安全。被不法分子植入木马的主机和受控的僵尸主机的数量居高不下。僵尸网络是通过入侵网络空间内若干非合作用户终端构建的、可被攻击者远程控制的通用计算机平台。僵尸网络作为攻击者手中最有效的通用攻击平台,已成为当今互联网最大安全威胁之一和网络安全领域研究热点。僵尸网络是一种控制命令驱动的信息系统,它的行为取决于控制者的命令输入。因此,一个具体的僵尸网络可能造成的危害通常难以预测。从已有的僵尸网络来看,其危害已影响到政治、经济和国家安全等多个重要领域。
HTTP(HyperTextTransferProtocol,超文本传输协议)僵尸网络检测研究有两个要素:一是数据来源,二是对异常模式的定义,另外,检测方法的准确性、性能以及可部署性也是考虑的重要指标。目前的HTTP僵尸网络检测技术采用的数据源主要是网络流量以及一些应用程序的数据(如邮件记录以及域名系统DNS的日志记录),而对异常模式的定义主要有传统的基于内容特征和基于特定行为异常。基于内容特征的检测是入侵检测系统的常规检测方法,这种方法适用于已知的具有明确特征的HTTP僵尸网络。基于内容特征的检测技术具有准确、快速、容易部署的特点,是目前实际应用最为广泛的检测方法。基于内容特征的检测技术的局限性在于容易被变形、多态等技术逃避,而且对未知的HTTP僵尸程序/网络没有检测能力;并且,基于内容特征的检测技术中,特征串的提取往往依赖于人工分析,难以应对目前急剧增长的HTTP僵尸程序数量。
由于基于内容特征的检测方法的局限性,而研究者认为HTTP僵尸网络的通信行为具有时间上的关联性和群体相似性,期望通过对网络流量进行分析找出更为一般性的网络行为异常模式来进行HTTP僵尸网络的检测。Zamboni等人根据同一僵尸网络中多个bot(僵尸)网络流量的相似性,提出了一种检测方法TAMD。TAMD从3个角度定义主机流量的相似:一是相同目的地址且通信频繁,二是流量内容类似,三是平台相同。此类检测方法在大型网络环境中有较好的检测效果,对于小型网络环境却不适用。尤其对参与到某些APT(AdvancedPersistentThreat,高级持续性威胁)攻击的僵尸程序,更是无法检测。
综上所述,目前针对僵尸网络的检测技术存在如下问题:依据通信内容特征建立的检测方法局限性在于容易被变形、多态等技术逃避,而且对未知的僵尸程序/网络没有检测能力,其检测特征串的提取依赖于人工分析,难以应对目前急剧增长的僵尸程序数量;而基于一般性的网络行为异常模式的检测方法虽然能在一定程序上检测未知的僵尸程序,但其局限性在于不能部署在小型网络环境中,也不能很好的应对针对于APT攻击的僵尸程序。
发明内容
本发明所要解决的技术问题是提供一种通信行为检测方法及装置,应用范围广,且能够有效的检测出恶意通信行为。
为解决上述技术问题,本发明提出了一种通信行为检测方法,包括:
记录网络中目标通信行为的总数N,所述目标通信行为是指源地址和目的地址相同、且具有相似通信内容的通信行为;
计算所述目标通信行为中相邻两次通信行为的通信时间间隔t,所述通信时间间隔t等于所述相邻两次通信行为中后一次通信行为的开始时间减去前一次通信行为的开始时间的差;
检测相关通信时间间隔的个数M,所述相关通信时间间隔是指与设定比对值的误差小于设定误差值的通信时间间隔t;
计算监视参数λ,λ=M/N,若所述监视参数λ大于设定百分比,则将所述目标通信行为中与相邻通信行为具有所述相关通信时间间隔的通信行为标记为监视通信;
将标记为监视通信的通信行为与设定白名单进行比对,将未列在所述设定白名单上的标记为监视通信的通信行为记为恶意通信行为。
进一步地,上述通信行为检测方法还可具有以下特点,根据具体网络环境和该网络环境总的通信活动量确定所述设定百分比。
进一步地,上述通信行为检测方法还可具有以下特点,小型网络中所述设定百分比为30%,所述小型网络是指包含的通信终端数量在1-50范围内的网络;中型网络环境中所述设定百分比为50%,所述中型网络是指包含的通信终端数量在50-100范围内的网络;大型网络环境中所述设定百分比为80%,所述大型网络是指包含的通信终端数量在100以上的网络。
进一步地,上述通信行为检测方法还可具有以下特点,在所述记录网络中目标通信行为的总数N之前,还包括:
依据通信的源地址和目的地址,对网络中所有通信设备的通信行为进行第一分类,将源地址和目的地址都相同的通信行为归为同一大类;
在所述第一分类的基础上,依据通信内容的相似性对所述同一大类中的通信为再进行第二分类,将具有相似通信内容的通信行为归为同一小类,所述同一小类中的通信行为即为目标通信行为。
进一步地,上述通信行为检测方法还可具有以下特点,所述通信设备包括服务器、通信终端。
为解决上述技术问题,本发明提出了一种通信行为检测装置,包括顺次相连的记录模块、计算模块、检测模块、标记模块和比对模块,其中:
所述记录模块,用于记录网络中目标通信行为的总数N,所述目标通信行为是指源地址和目的地址相同、且具有相似通信内容的通信行为;
所述计算模块,用于计算所述目标通信行为中相邻两次通信行为的通信时间间隔t,所述通信时间间隔t等于所述相邻两次通信行为中后一次通信行为的开始时间减去前一次通信行为的开始时间的差;
所述检测模块,用于检测相关通信时间间隔的个数M,所述相关通信时间间隔是指与设定比对值的误差小于设定误差值的通信时间间隔t;
所述标记模块,用于计算监视参数λ,λ=M/N,若所述监视参数λ大于设定百分比,则将所述目标通信行为中与相邻通信行为具有所述相关通信时间间隔的通信行为标记为监视通信;
所述比对模块,用于将标记为监视通信的通信行为与设定白名单进行比对,将未列在所述设定白名单上的标记为监视通信的通信行为记为恶意通信行为。
进一步地,上述通信行为检测装置还可具有以下特点,所述设定百分比根据具体网络环境和该网络环境总的通信活动量来确定。
进一步地,上述通信行为检测装置还可具有以下特点,小型网络中所述设定百分比为30%,所述小型网络是指包含的通信终端数量在1-50范围内的网络;中型网络环境中所述设定百分比为50%,所述中型网络是指包含的通信终端数量在50-100范围内的网络;大型网络环境中所述设定百分比为80%,所述大型网络是指包含的通信终端数量在100以上的网络。
进一步地,上述通信行为检测装置还可具有以下特点,还包括:
第一分类模块,用于依据通信的源地址和目的地址,对网络中所有通信设备的通信行为进行第一分类,将源地址和目的地址都相同的通信行为归为同一大类;
第二分类模块,分别与所述第一分类模块和所述记录模块相连,用于在所述第一分类的基础上,依据通信内容的相似性对所述同一大类中的通信为再进行第二分类,将具有相似通信内容的通信行为归为同一小类,所述同一小类中的通信行为即为目标通信行为。
进一步地,上述通信行为检测装置还可具有以下特点,所述通信设备包括服务器、通信终端。
本发明的通信行为检测方法及装置,基于僵尸网络,依赖于通信内容的相似性与通信行为的时间相关性对通信行为进行检测,与通信内容多少、通信活动频繁与否无关,不仅适用于大型网络环境,对家庭、小公司办公网络等小型网络也同样适用,应用范围广,并且能有效的检测出恶意的通信行为。
附图说明
图1为本发明实施例中通信行为检测方法的流程图;
图2为本发明实施例中通信行为检测装置的结构框图。
具体实施方式
僵尸网络病毒具有通信内容相似的特征,基于僵尸网络的该特征,本发明提出了一种通信行为检测方法。本发明的通信行为检测方法适用于对当前主流的基于IRC(InternetRelayChat,互联网中继聊天)和HTTP及通信协议类型的僵尸程序病毒进行检测。
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
图1为本发明实施例中通信行为检测方法的流程图。如图1所示,本实施例中,通信行为检测方法的流程可以包括如下步骤:
步骤101,记录网络中目标通信行为的总数N,其中,目标通信行为是指源地址和目的地址相同、且具有相似通信内容的通信行为;
这里,N是一个变量,N的值随着通信行为的增加而增加。
其中,通信行为一般包含源地址、目的地址、通信的发起时间、通信的结束时间等信息。
由于网络中各种通信设备的通信行为都需要检测到,而本发明是以目标通信行为为检测单位进行检测的,因此,可以在步骤101之前,先对网络中的全部通信行为(也即网络中所有通信设备的通信行为)进行分类。分类的结果是,将网络中的全部通信行为分为若干类目标通信行为,然后再依照本发明的流程对各类目标通信行为进行检测。
具体地,可以采用如下方式进行分类:首先,依据通信的源地址和目的地址,对网络中所有通信设备的通信行为进行第一分类,将源地址和目的地址都相同的通信行为归为同一大类;然后,在上述第一分类的基础上,依据通信内容的相似性对同一大类中的通信为再进行第二分类,将具有相似通信内容的通信行为归为同一小类,该同一小类中的通信行为即为目标通信行为。其中,通信设备可以包括服务器、通信终端等。
步骤102,计算目标通信行为中相邻两次通信行为的通信时间间隔t;
通信时间间隔tL=T(L+1)_begin-TL_begin,其中,T(L+1)_begin为目标通信行为中相邻两次通信行为中后一次通信行为的开始时间,TL_begin为目标通信行为中相邻两次通信行为中前一次通信行为的开始时间,tL表示目标通信行为中第L次通信行为与第L+1次通信行为的通信时间间隔。
步骤103,检测相关通信时间间隔的个数M,其中,相关通信时间间隔是指与设定比对值的误差小于设定误差值的通信时间间隔t;
相关通信时间间隔实际上就是步骤102所计算出的所有通信时间间隔t中具有相近性的那些通信时间间隔。这里,相近性是指通信时间间隔t在某个固定值左右波动,换句话说,也即与设定比对值的误差小于设定误差值。
其中,比对值是根据针对通信时间间隔t的相关算法来确定的。比对值是变化的,随着记录通信时间间隔t的数量的增加而变化。由于计算机中基本时间单元为秒,故误差值一般设定为少于60秒。
步骤104,计算监视参数λ,λ=M/N,根据监视参数λ标记监视通信;
具体地,若监视参数λ大于设定百分比,则将目标通信行为中与相邻通信行为具有相关通信时间间隔的通信行为标记为监视通信。
其中,设定百分比可以根据具体网络环境和该网络环境总的通信活动量来确定。此处,网络环境指的是网络规模,即终端数量。
一般小型网络(指包含1-50台通信终端的网络)中设定百分比可设定为30%,中型网络(指包含50-100台通信终端的网络)中设定百分比可设定为50%,大型网络(指包含100台以上通信终端的网络)中设定百分比可设定为80%。
步骤105,将标记为监视通信的通信行为与设定白名单进行比对,将未列在设定白名单上的标记为监视通信的通信行为记为恶意通信行为。
白名单里列举了正常的非恶意的通信行为。白名单是指一些非恶意应用软件的更新与互联等通信行为。比如,输入法定期检测与更新、QQ的定期更新等。
将监视通信与设定白名单进行比对的具体方法是:比对两者的通信行为的目的地址和通信内容的特征串,如果两者的通信行为的目的地址和通信内容的特征串都相同,则监视通信为非恶意通信行为,否则监视通信为恶意通信行为。
本发明的通信行为检测方法,基于僵尸网络,依赖于通信内容的相似性与通信行为的时间相关性对通信行为进行检测,与通信内容多少、通信活动频繁与否无关,不仅适用于大型网络环境,对家庭、小公司办公网络等小型网络也同样适用,应用范围广,并且能有效的检测出恶意的通信行为。
本发明还提出了一种通信行为检测装置,用以实施上述的通信行为检测方法。上述通信行为检测方法中的所有描述均适用于本发明的通信行为检测装置。
图2为本发明实施例中通信行为检测装置的结构框图。如图2所示,本实施例中,通信行为检测装置可以包括顺次相连的记录模块310、计算模块320、检测模块330、标记模块340和比对模块350。其中,记录模块310用于记录网络中目标通信行为的总数N,其中,目标通信行为是指源地址和目的地址相同、且具有相似通信内容的通信行为。计算模块320用于计算目标通信行为中相邻两次通信行为的通信时间间隔t,其中,通信时间间隔t等于所述相邻两次通信行为中后一次通信行为的开始时间减去前一次通信行为的开始时间的差。检测模块330用于检测相关通信时间间隔的个数M,其中,相关通信时间间隔是指与设定比对值的误差小于设定误差值的通信时间间隔t。标记模块340用于计算监视参数λ,λ=M/N,若监视参数λ大于设定百分比,则将目标通信行为中与相邻通信行为具有相关通信时间间隔的通信行为标记为监视通信。比对模块350用于将标记为监视通信的通信行为与设定白名单进行比对,将未列在设定白名单上的标记为监视通信的通信行为记为恶意通信行为。
其中,设定百分比可以根据具体网络环境和该网络环境总的通信活动量来确定。
一般小型网络(指包含1-50台通信终端的网络)中设定百分比可设定为30%,中型网络(指包含50-100台通信终端的网络)中设定百分比可设定为50%,大型网络(指包含100台以上通信终端的网络)中设定百分比可设定为80%。
在本发明其他实施例中,通信行为检测装置还可以包括第一分类模块和第二分类模块。其中,第一分类模块用于依据通信的源地址和目的地址,对网络中所有通信设备(包括服务器、通信终端等)的通信行为进行第一分类,将源地址和目的地址都相同的通信行为归为同一大类。第二分类模块分别与第一分类模块和记录模块310相连,用于在上述第一分类的基础上,依据通信内容的相似性对同一大类中的通信为再进行第二分类,将具有相似通信内容的通信行为归为同一小类,该同一小类中的通信行为即为目标通信行为。
本发明的通信行为检测装置,基于僵尸网络,依赖于通信内容的相似性与通信行为的时间相关性对通信行为进行检测,与通信内容多少、通信活动频繁与否无关,不仅适用于大型网络环境,对家庭、小公司办公网络等小型网络也同样适用,应用范围广,并且能有效的检测出恶意的通信行为。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种通信行为检测方法,其特征在于,包括:
记录网络中目标通信行为的总数N,所述目标通信行为是指源地址和目的地址相同、且具有相似通信内容的通信行为;
计算所述目标通信行为中相邻两次通信行为的通信时间间隔t,所述通信时间间隔t等于所述相邻两次通信行为中后一次通信行为的开始时间减去前一次通信行为的开始时间的差;
检测相关通信时间间隔的个数M,所述相关通信时间间隔是指与设定比对值的误差小于设定误差值的通信时间间隔t;
计算监视参数λ,λ=M/N,若所述监视参数λ大于设定百分比,则将所述目标通信行为中与相邻通信行为具有所述相关通信时间间隔的通信行为标记为监视通信;其中,根据具体网络环境和该网络环境总的通信活动量确定所述设定百分比,具体为:小型网络中所述设定百分比为30%,所述小型网络是指包含的通信终端数量在1-50范围内的网络;中型网络环境中所述设定百分比为50%,所述中型网络是指包含的通信终端数量在51-100范围内的网络;大型网络环境中所述设定百分比为80%,所述大型网络是指包含的通信终端数量大于100的网络;
将标记为监视通信的通信行为与设定白名单进行比对,将未列在所述设定白名单上的标记为监视通信的通信行为记为恶意通信行为。
2.根据权利要求1所述的通信行为检测方法,其特征在于,在所述记录网络中目标通信行为的总数N之前,还包括:
依据通信的源地址和目的地址,对网络中所有通信设备的通信行为进行第一分类,将源地址和目的地址都相同的通信行为归为同一大类;
在所述第一分类的基础上,依据通信内容的相似性对所述同一大类中的通信为再进行第二分类,将具有相似通信内容的通信行为归为同一小类,所述同一小类中的通信行为即为目标通信行为。
3.根据权利要求2所述的通信行为检测方法,其特征在于,所述通信设备包括服务器和通信终端。
4.一种通信行为检测装置,其特征在于,包括顺次相连的记录模块、计算模块、检测模块、标记模块和比对模块,其中:
所述记录模块,用于记录网络中目标通信行为的总数N,所述目标通信行为是指源地址和目的地址相同、且具有相似通信内容的通信行为;
所述计算模块,用于计算所述目标通信行为中相邻两次通信行为的通信时间间隔t,所述通信时间间隔t等于所述相邻两次通信行为中后一次通信行为的开始时间减去前一次通信行为的开始时间的差;
所述检测模块,用于检测相关通信时间间隔的个数M,所述相关通信时间间隔是指与设定比对值的误差小于设定误差值的通信时间间隔t;
所述标记模块,用于计算监视参数λ,λ=M/N,若所述监视参数λ大于设定百分比,则将所述目标通信行为中与相邻通信行为具有所述相关通信时间间隔的通信行为标记为监视通信;其中,根据具体网络环境和该网络环境总的通信活动量确定所述设定百分比,具体为:小型网络中所述设定百分比为30%,所述小型网络是指包含的通信终端数量在1-50范围内的网络;中型网络环境中所述设定百分比为50%,所述中型网络是指包含的通信终端数量在51-100范围内的网络;大型网络环境中所述设定百分比为80%,所述大型网络是指包含的通信终端数量大于100的网络;
所述比对模块,用于将标记为监视通信的通信行为与设定白名单进行比对,将未列在所述设定白名单上的标记为监视通信的通信行为记为恶意通信行为。
5.根据权利要求4所述的通信行为检测装置,其特征在于,还包括:
第一分类模块,用于依据通信的源地址和目的地址,对网络中所有通信设备的通信行为进行第一分类,将源地址和目的地址都相同的通信行为归为同一大类;
第二分类模块,分别与所述第一分类模块和所述记录模块相连,用于在所述第一分类的基础上,依据通信内容的相似性对所述同一大类中的通信为再进行第二分类,将具有相似通信内容的通信行为归为同一小类,所述同一小类中的通信行为即为目标通信行为。
6.根据权利要求5所述的通信行为检测装置,其特征在于,所述通信设备包括服务器和通信终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210331075.9A CN102882739B (zh) | 2012-09-07 | 2012-09-07 | 通信行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210331075.9A CN102882739B (zh) | 2012-09-07 | 2012-09-07 | 通信行为检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102882739A CN102882739A (zh) | 2013-01-16 |
| CN102882739B true CN102882739B (zh) | 2016-05-11 |
Family
ID=47483893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210331075.9A Expired - Fee Related CN102882739B (zh) | 2012-09-07 | 2012-09-07 | 通信行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882739B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10069862B2 (en) * | 2013-03-15 | 2018-09-04 | Symantec Corporation | Techniques for predicting and protecting spearphishing targets |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8516585B2 (en) * | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
-
2012
- 2012-09-07 CN CN201210331075.9A patent/CN102882739B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 僵尸网络机理与防御技术;江健等;《软件学报》;20110909;第82-96页 * |
| 多特征关联的入侵事件冗余消除;龚俭等;《东南大学学报(自然科学版)》;20050630;第366-371页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102882739A (zh) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068588B2 (en) | Detecting irregularities on a device | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| CN100448203C (zh) | 用于识别和防止恶意入侵的系统和方法 | |
| EP1995929B1 (en) | Distributed system for the detection of eThreats | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| CN105743880A (zh) | 一种数据分析系统 | |
| CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| KR20100074480A (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
| CN101202744A (zh) | 一种自学习检测蠕虫的装置及其方法 | |
| CN102882739B (zh) | 通信行为检测方法及装置 | |
| Patil et al. | A comparative performance evaluation of machine learning-based NIDS on benchmark datasets | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN101197810A (zh) | 一种实时检测蠕虫的方法 | |
| CN113709097A (zh) | 网络风险感知方法及防御方法 | |
| CN113761520A (zh) | 一种检测防御方法、服务器和存储介质 | |
| KR101045556B1 (ko) | 네트워크 기반의 irc 봇넷 탐지 방법 | |
| Dhakar et al. | A new model for intrusion detection based on reduced error pruning technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160511 Termination date: 20210907 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |