CN103166942B - 一种恶意代码的网络协议解析方法 - Google Patents
一种恶意代码的网络协议解析方法 Download PDFInfo
- Publication number
- CN103166942B CN103166942B CN201110427999.4A CN201110427999A CN103166942B CN 103166942 B CN103166942 B CN 103166942B CN 201110427999 A CN201110427999 A CN 201110427999A CN 103166942 B CN103166942 B CN 103166942B
- Authority
- CN
- China
- Prior art keywords
- stain
- field
- data
- grammer
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意代码的网络协议解析方法,属于网络安全技术领域。本方法为:1)将待分析的恶意代码部署于监控服务器中,将恶意进程从网络中接收到的数据标记为原始污点源数据;2)跟踪记录该恶意进程对污点数据的所有操作指令;同时记录恶意进程执行过程中调用的与操作系统安全性相关的API;3)根据记录的操作指令和该恶意进程操作特点,对该恶意代码的网络协议数据进行语法划分;4)对于作为API函数参数的语法字段,根据对应的API函数获取该语法字段的最终语义。本发明在识别协议元素方面具有普遍性和抗干扰性,且能使协议元素划分结果更加清晰和准确。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于动态污点分析技术的恶意代码网络协议解析方法。
背景技术
层出不穷的恶意代码正日益成为信息安全的严重威胁。随着网络应用在经济社会生活中的作用不断深化,蠕虫(Worm)、僵尸网络(Botnet)、木马(Trojan)等基于网络的恶意代码引发了灾难性的影响,并造成重大损失。为了限制网络恶意代码的传播,识别并防御它们的攻击,以及进一步分析网络恶意代码的工作机理,一个关键的技术环节是逆向分析网络恶意代码所采用的通信协议。
目前为止,恶意代码网络协议的逆向分析主要依赖手动静态分析。这种分析方式的分析效果在很大程度上依赖于分析者的经验,主要用于逻辑实现比较简单的协议。但对于如MSNMessenger、YahooMessenger等商业应用软件,手工静态分析需要耗费巨大精力和财力。网络恶意代码往往具有极高的复杂性,加之恶意代码往往采用加密和混淆等方法对抗分析,因此对于恶意代码的网络协议逆向分析,如果单纯地采用静态分析的方法,难度很大并且耗时很长;在分析中我们注意到恶意代码通常会很快出现新的变种,传统的分析方法也难以及时响应变种的恶意代码。因此,动态网络协议逆向分析方法是十分有意义的。
基于动态分析的网络协议逆向分析的方法主要分为两类。一类是通过对网络数据包进行聚类分析来提取网络数据的格式信息。此类方法首先通过已知的常用的协议元素(例如出现在协议中的字符串常量或已知的分隔符)将消息分为多个文本和二进制字段,并且根据它们出现的顺序确定此消息的模式,将通讯过程中的所有消息模式化,并且按照不同的模式将它们归为不同的集合。然后,在每个集合中继续根据字段的不同属性细分为多个集合,使每个集合中的消息具有相同的语法格式。最后,对于由于前面划分过程中而出现在不同集合中但语法格式相同的消息归为同一集合,这样每个集合中所有消息具有相同格式信息。这种方法对于恶意代码网络协议的识别具有一定的局限性。首先,它要通过已知的协议元素来对网络数据进行分类,而对于恶意代码来说,协议元素是非已知的。其次,此种方法单纯地从网络数据入手,无法得知恶意进程处理网络数据的过程,这对于了解恶意进程的行为特征进而了解数据中字段的语义信息是不利的。最后,此方法在第一步中需要利用协议中分隔符来划分字段,而对于恶意代码而言,协议中可能没有分隔符或者分隔符的值是非已知的。这样,通过聚类分析的方法来对恶意代码网络协议进行分析存在一定的局限性。
第二类方法是通过分析应用程序处理输入数据的过程来提取数据格式信息。由于程序在操作不同类型的协议元素时会用到不同的方法,所以利用这样特性提取并分析其操作各种协议元素的过程,可以较为准确定位数据中的协议元素,进而完成数据格式划分。它们各自提出了对常用协议元素的识别方案。例如对定长字段的识别问题上,一个解决方案是将指令操作数作为定长字段的一部分,并且如果后续指令使用了已识别的定长字段,就对其进行扩展。由于指令操作数据的灵活性和不可预测性,所以此种方案中对此类字段的识别会有一定的偏差;另一种解决方案是首先获得程序中使用到的字段,统计出每个字段在程序执行过程中被用到的次数并作为权值,然后利用贪心算法对首次获得的字段进行合并,使合并后的权值最高,并将合并后的字段作为最后的结果。实验证明此种方案下可以对字段进行较为准确地识别。尽管上述解决方案都可以对网络数据进行较为准确地语法划分,具有较好的抗干扰能力,但是在识别语法要素的完整性和准确性方面还有不足,特别是对协议字段的语义理解比较薄弱。
发明内容
针对现有技术中存在的问题,本发明的目的在于提出一种基于动态污点分析技术的恶意代码网络协议解析方法。利用动态污点分析技术,在指令级和函数级对恶意进程执行过程进行监控,记录并分析进程对各种协议元素的不同使用过程,通过分析协议元素使用过程划分对协议数据的语法字段。在此基础上,分析进程执行过程中各个语法字段相关的函数调用序列,综合函数自身、函数参数的类型和语义、函数参数之间的关联关系以及使用了相同语法字段的函数调用序列中函数之间的关系,提取出各字段蕴含的语义。
一种基于动态污点分析技术的恶意代码网络协议解析方法,其步骤如下:
1.将待分析的恶意代码(本发明将其运行之后的实体称之为恶意进程)部署于监控服务器中,将其执行过程中所有从网络中接收到的数据标记为原始污点源(原始污点源是恶意进程从外部网络中接收到并存放在内存中的数据;例如,Windows系统中,通过recv,recvfrom,WSARecv等函数被调用时从网络中接收的数据。它们被标记为原始污点源)。在恶意进程运行过程中,由于操作原始污点源数据,会在内存或寄存器中动态产生新的污点,本发明将所有这些污点统称为污点数据。利用污点分析引擎,跟踪记录恶意进程对污点数据的所有操作指令(每条操作了污点数据的指令,本发明称之为污点指令),并以“指令级污点传播流图”的行式组织记录下来。指令级污点传播流图是一种记录恶意进程污点操作的一种形式,它展现了污点在指令之间的传播过程。此图中的每一个节点对应一条污点指令,节点之间通过指令操作数之间的数据依赖关系通过双向边连接在一起。每个节点可能与多个节点相连。同时,本发明在图节点中实时地记录下对应指令中的污点操作数中每一个污点字节的污点信息记录。污点信息记录中记录的是一个或多个无符号整型数,它(它们)是原始污点源中某个(某些)字节的地址。污点信息记录说明了这样一种数据依赖关系:此污点字节的污点状态是由原始污点源中地址为污点信息记录中记录的地址的字节传递而来。同时利用Hook机制,对如ReadFile,WriteFile,recv,recvfrom,send,strcpy,sprintf等等一系列与操作系统安全性相关的API行执行监控,对它们的调用进行记录,并通过“函数级特征行为流图”的方式组织记录下来。函数级特征行为流图是用来记录恶意进程函数调用的一种形式。它的构造与“指令级污点传播流图”相似,图中每一个节点代表一个操作了污点数据的函数调用,两节点之间按照对应函数中相关污点参数或污点返回值的数据依赖关系利用双向边连接起来。每一节点可能与多个节点相连。各节点中记录了有关此函数各个参数及参数返回值中各污点字节的污点信息记录。
2.通过第一步生成的指令级污点传播流图,利用恶意进程自身操作分隔符、关键字、属性字段和普通字段等不同协议元素的特点,识别出这些协议元素,以实现对协议数据的语法划分。对于此处提到的协议元素,每一个恶意代码处理过程都是有共性的。以关键字为例,恶意代码自身为完成它的相应特殊处理需要识别出某个关键字,那么它必然要进行字符串比较,找出关键字。这个比较操作是所有恶意程序识别自身关键字的共性操作。
3.通过第一步生成的函数级特征行为流图,对作为函数参数的语法字段来说,函数的参数类型信息和函数参数及函数自身的语义信息,即为此语法字段的“第一阶段”的语义。进一步,利用函数中蕴含的参数之间的关联信息,获取此语法字段与其他不同语法字段之间的关联,得到此语法字段“第二阶段”的语义。如果此语法字段被多个函数使用,那么可以从函数级特征行为流图中提取出这些函数调用序列,根据它们之间调用上下文所蕴含的语义进一步确定此语法字段的“第三阶段”的语义(对于某些语法字段,可以没有“第二阶段”和“第三阶段”的语义)。最后,综合前面阶段获取的语义,得到语法字段的最终语义。
本发明较其他解决方案的优越性和创新点如下:
1.本发明在识别分隔符、关键字等协议元素时,没有对它们的编码方式和数值进行假设,是通过利用恶意进程对它们进行识别的特征来对它们进行识别和划分的。这样使本发明在识别这些协议元素方面具有普遍性和抗干扰性。
2.本发明利用动态污点分析技术在指令级别对恶意进程的执行过程进行详细地跟踪,将操作数中的污点字节与原始污点源中的某个(或某些)污点字节的关联关系以污点记录的方式记录下来。这使得后续的语法划分过程更加清晰,划分结果更加准确。
3.本发明在没有像其他解决方案一样对定长字段进行识别和划分。在其他解决方案中,对定长字段的划分是通过某种权衡方法来实现的(如通过对某些字节使用的次数作为权值,通过贪心算法来对其合并得到近似结果等),而缺乏对这些字段实际被API使用情况的考虑。与其他解决方案不同,本发明将分隔符、关键字和属性字段之外的字段划分为普通字段。认为它们在原始污点源中被分隔符、关键字和属性字段隔开。同时,考虑到它们可能被API使用,利用函数的参数长度、类型和语义可以进一步确定普通字段的边界和它们的语义信息。这样,使协议元素划分结果更加清晰和准确。
4.本发明在字段语义提取方面较其他解决方案更加完善。本发明在动态污点分析过程中建立函数级特征行为流图,记录各个函数使用污点字段的过程,并以此提供对字段语义提取的支持。本发明通过使用此语法字段的函数的语义、函数参数的类型和语义、函数中其他参数和此字段之间蕴含的关系,并结合使用了相同语法字段的函数调用序列中函数之间的关系来详细地给出此语法字段的语义。同时,通过语法分析部分,本发明可以对上一步得到的语法划分结果进行一定程度的补充,使最终协议逆向分析的结果更加准确。
附图说明
附图为基于动态污点分析的恶意代码网络协议解析方法示意图。
具体实施方式
下面结合附图详细说明本发明的技术方案:
如图所示,一种基于动态污点分析的恶意代码网络协议解析方法,实施方案如下:
1.将待分析的恶意代码部署于监控服务器中,监控它的网络操作,将接收到的网络数据作为原始污点源数据;利用污点分析引擎,跟踪记录它执行过的所有污点操作指令,并以“指令级污点传播流图”的行式组织记录下来。图中的每一个节点对应一条污点指令。本发明记录下污点操作数中每一个污点字节的污点信息记录。污点记录中记录的是一个或多个无符号整型数,它(它们)是原始污点源中某个(某些)字节的地址。污点信息记录说明了:操作数中某个字节的污点状态是由原始污点源中地址为污点信息记录中记录的地址的字节传递而来。同时利用Hook机制,对如ReadFile,WriteFile,recv,recvfrom,send,strcpy,sprintf等等一系列与操作系统安全性相关的API行执行监控,对它们的调用进行记录,并通过“函数级特征行为流图”的方式组织记录下来。
本发明实时记录了某污点操作数中的某个污点字节和原始污点源中某个(或某些)字节之间的对应关系。本发明用来代表这种关系;用byte_in_operand代表污点操作数中的污点字节;用bytes_in_taintsource来代表与byte_in_operand相关的原始污点源中的某个(或某些)字节。即:本发明在污点字节byte_in_operand的污点记录中,通过记录下bytes_in_taintsource(1个或多个字节)的地址的方式来表明关系。表明了此污点字节bype_in_operand的污点状态是通过原始污点源中的bytes_in_taintsource传递而来。
2.在此步骤中,本发明根据上一步生成的污点分析记录,利用恶意进程自身操作分隔符、关键字、属性字段和普通字段等协议元素的特点,来完成对这些协议元素的语法划分。
分隔符是在协议中用来将网络协议数据中的字段分隔开的常量。它可以是某个二进制字符,也可以是某些ANSI字符的组合等等。恶意进程为了定位分隔符,会将一个常量与接收到的网络数据中连续位置上的数据相比较,直至遇到比较结果为真为止。这个常量被进程识别为分隔符,并且出现比较为真的位置就是分隔符在原始污点源中的位置。本发明利用进程的这样特殊的行为,首先在指令级污点传播流图中提取进程所有使用了污点数据的比较操作。其次,在这些比较操作中,进一步找出针对原始污点源中某段连续区域的比较操作,提取出参与这些比较的单字节分隔符。最后,如果这些单字节分隔符中,如果有两个或两个以上在位置上是相邻的,那么对这些相邻的单字节分隔符进行合并。最后得到的结果就是协议数据中出现的分隔符。
关键字同样是出现在网络协议数据中的常量,它可以以ANSI字符串、二进制字符串等其它任意的形式出现。恶意进程同样是通过比较操作来定位协议数据中出现的关键字。本发明在指令级污点传播流图中提取进程中所有的使用了污点数据的比较操作,并且通过建立一个适当大小的内存缓冲区用于保存当前出现的关键字。对于出现在原始污点源中的每一个污点字节,考察所有和它比较过的非污点字节(在恶意代码中可能以常量形式存储等等)和比较结果。如果存在结果为真的比较,那么将参与比较的非污点字节添加到缓冲区中。在此过程中,如果遇到与当前考察的原始污点源字节比较结果为真的非污点字节是分隔符,或者不存在与之比较结果为真的比较操作时,那么,如果此时缓冲区不为空,则缓冲区中的所有字符就是一个恶意代码中出现的候选关键字,那么与缓冲区中字节进行比较的、且在原始污点源中的对应字节构成的字符串就是协议数据中的候选关键字。如果此时的缓冲区为空,那么就继续考察原始污点源中的下一个字符。在识别出一个候选关键字后,继续考察原始污点源中下一下字符,重复上述的操作,直至原始污点源中所有的字节都考察结束。最后,在找出的所有候选关键字中排除长度小于4(此数据是通过实验得出)字节的关键字,最终得到的就是协议的关键字。
属性字段是用来说明协议数据中某些语法字段属性的字段。被其说明的语法字段本发明称之为目标字段。例如长度字段,它说明了目标字段的长度。恶意进程通常是通过循环操作来访问目标字段中的数据,而将属性字段用于设置循环的结束条件。本发明利用进程执行中使用属性字段的这一特点,首先在指令级污点操作流图中,提取出进程中所有包含污点数据操作的循环操作(称为污点循环操作),然后分析循环操作的结束条件是否是污点数据,通过步骤1中建立的关系,找出此污点数据(即byte_in_operand)对应的在原始污点源中的污点字节(bytes_in_taintsource),相关的本发明将它们认为是协议数据中的属性字段。
普通字段是指协议数据中除了属性字段、分隔符和关键字之外的字段。它包括两类:一类是被属性字段说明属性的目标字段;另一类是利用分隔符、关键字、属性字段和目标字段等协议元素分隔开的字段。对于目标字段,本发明认为它是由通过属性字段分隔开的、而在循环中被访问到的所有连续字节组成的。由于在识别出属性字段时已经识别出将其作为循环结束条件的污点循环,所以,在同一循环中所有污点指令访问到的污点字节属于同一个目标字段。而对于第二类字段,认为它是由分隔符、关键字以及其他识别出的协议字段之间的所有字节组成。另外,经过上述的语法识别工作之后,尚未标记的字段都被认为属于此类普通字段。
3.在第一步生成的“函数级特征行为流图”基础上,通过图节点中记录的函数参数的污点字节的污点信息记录,可以获得此参数依赖的若干原始污点源字节。在第二步中,这些原始污点源字节已经被划分为若干语法字段。对作为函数参数的语法字段来说,函数的参数类型信息和函数参数及函数自身的语义信息即为该语法字段“第一阶段”的语义。由于某些API中参数之间可以存在某种关联,如某一个参数蕴含着对其他(一个或多个)参数的约束或限定,所以进一步,本发明利用函数中蕴含的参数之间的关联信息,获取不同语法字段之间的关联,得到语法字段的“第二阶段”的语义。例如,strncpy函数中的第三个参数,通过获得第一阶段的语义得知,它是四字节整型数据;进一步,通过此函数语义可知,此参数指明了函数第一个参数指向的目的缓冲区的长度,这就是此参数的“第二阶段“语义。另外,一段使用了相同语法字段的函数调用序列中可能蕴含此字段的额外的语义信息。如下列函数序列:
1.sscanf(&nPort,″%x″,taintBuffer[offset]);
2.addr.sin_port=htons(nPort);
3....
4.connect(s,addr,sizeof(addr));
在上述4函数调用序列中,通过函数1,对于其第一个参数,我们通过第一阶段和第二阶段语义可知,nPort类型是整型;通过结合函数2和4可知,它还是程序连接远方机器的一个端口号,这就是从它作为参数的函数调用序列中提取的“第三阶段”的语义。所以,本发明从函数级特征行为流图中提取出使用了此语法字段的相关的函数调用序列,根据它们之间调用上下文所蕴含的语义进一步确定此语法字段的“第三阶段”的语义。需要指出的是,并不是每一个语法字段都有三个阶段的语义信息。对于没有作为函数参数的语法字段,它没有被恶意进程使用到,所以它没有语义信息。最后,综合前面阶段获取的语义,进而得到语法字段的最终语义。对每一个语法字段都进行上述过程,进而获得所有语法字段的语义。由此结束对恶意代码网络协议数据的解析。
Claims (6)
1.一种恶意代码的网络协议解析方法,其步骤为:
1)将待分析的恶意代码部署于监控服务器中,将其运行时的恶意进程从网络中接收到的数据标记为原始污点源数据;其中,恶意代码执行时称之为恶意进程;
2)利用污点分析引擎,跟踪记录该恶意进程对污点数据的所有操作指令;同时记录恶意进程执行过程中调用的与操作系统安全性相关的API函数;其中,
采用指令级污点传播流图记录该恶意进程对污点数据的所有操作指令;所述指令级污点传播流图中的每一个节点对应一条污点指令,节点之间通过污点指令操作数之间的数据依赖关系通过双向边连接在一起;操作了污点数据的指令称之为污点指令;节点中实时记录该节点对应指令的污点操作数中每一个污点字节的污点信息记录,所述污点信息记录为污点数据对应的原始污点源数据地址;
采用函数级特征行为流图记录调用的API;所述函数级特征行为流图中每一个节点代表一个操作了污点数据的函数调用,两节点之间按照对应函数中污点参数或污点返回值的数据依赖关系利用双向边连接起来;每个节点中记录了该节点所对应函数的各个参数及参数返回值中各污点数据对应的原始污点源数据地址;
3)根据记录的操作指令和该恶意进程操作分隔符、关键字、属性字段、普通字段协议元素的特点,从原始污点源数据中识别出这些协议元素,对该恶意代码的网络协议数据进行语法划分;
4)对于作为所述API函数参数的语法字段,将该API函数的参数类型信息、函数参数及函数自身的语义信息作为该语法字段的第一阶段语义;利用该API函数中参数之间的关联信息,获取该语法字段与作为该API函数参数的其他语法字段之间的关联,得到该语法字段第二阶段语义;如果该语法字段被多个函数使用,则根据这些函数之间调用上下文蕴含的语义,确定此语法字段第三阶段语义,最后,根据获取的语义,得到该语法字段的最终语义。
2.如权利要求1所述的方法,其特征在于所述分隔符的识别方法为:首先在所述指令级污点传播流图中提取恶意进程所有使用了污点数据的比较操作;然后在这些比较操作中找出针对原始污点源数据中某段连续区域的比较操作,提取出参与这些比较的单字节分隔符,如果这些单字节分隔符中有两个或两个以上在位置上是相邻的,那么对这些相邻的单字节分隔符进行合并,得到所述分隔符。
3.如权利要求1所述的方法,其特征在于所述关键字的识别方法为:首先在所述指令级污点传播流图中提取恶意进程中所有的使用了污点数据的比较操作,并将其保存到一内存缓冲区;然后对于出现在原始污点源数据中的每一个污点字节,查找所有和它比较过的非污点字节及比较结果,如果存在结果为真的比较,则将参与比较的非污点字节添加到该缓冲区中;将该缓冲区中的所有字符作为候选关键字,然后将与该缓冲区中字节进行比较的、且在原始污点源数据中的对应字节构成的字符串就是协议数据中的候选关键字。
4.如权利要求1所述的方法,其特征在于所述属性字段的识别方法为:首先在所述指令级污点操作流图中提取出恶意进程中所有包含污点数据操作的循环操作;然后判断循环操作的结束条件是否是污点数据,如果是污点数据,则找出此污点数据在原始污点源中对应的污点字节,得到属性字段。
5.如权利要求1所述的方法,其特征在于利用所述函数级特征行为流图获取所述函数调用序列。
6.如权利要求1所述的方法,其特征在于所述普通字段包括:被属性字段说明属性的目标字段;利用分隔符、或关键字、或属性字段、或目标字段分隔开的字段;以及尚未标记的字段;所述目标字为通过所述属性字段分隔开的、而在循环中被访问到的所有连续字节组成的字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110427999.4A CN103166942B (zh) | 2011-12-19 | 2011-12-19 | 一种恶意代码的网络协议解析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110427999.4A CN103166942B (zh) | 2011-12-19 | 2011-12-19 | 一种恶意代码的网络协议解析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103166942A CN103166942A (zh) | 2013-06-19 |
| CN103166942B true CN103166942B (zh) | 2016-08-03 |
Family
ID=48589688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110427999.4A Expired - Fee Related CN103166942B (zh) | 2011-12-19 | 2011-12-19 | 一种恶意代码的网络协议解析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103166942B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104008329B (zh) * | 2014-05-22 | 2017-02-15 | 中国科学院信息工程研究所 | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 |
| CN104765687B (zh) * | 2015-04-10 | 2017-07-21 | 江西师范大学 | 基于对象跟踪和污点分析的j2ee程序漏洞检测方法 |
| CN107707540A (zh) * | 2017-09-28 | 2018-02-16 | 中国科学院软件研究所 | 一种基于消息字段分隔符识别的网络协议逆向分析方法 |
| CN109558183B (zh) * | 2018-11-30 | 2019-07-26 | 北京数聚鑫云信息技术有限公司 | 一种自动实现api应用的方法及装置 |
| CN116432185B (zh) * | 2022-12-30 | 2024-03-26 | 支付宝(杭州)信息技术有限公司 | 一种异常检测方法、装置、可读存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1330095A1 (en) * | 2002-01-18 | 2003-07-23 | Stonesoft Corporation | Monitoring of data flow for enhancing network security |
| CN1540929A (zh) * | 2003-10-31 | 2004-10-27 | 中国科学院计算技术研究所 | 一种分布式网络主动测试结果存储方法 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
-
2011
- 2011-12-19 CN CN201110427999.4A patent/CN103166942B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1330095A1 (en) * | 2002-01-18 | 2003-07-23 | Stonesoft Corporation | Monitoring of data flow for enhancing network security |
| CN1540929A (zh) * | 2003-10-31 | 2004-10-27 | 中国科学院计算技术研究所 | 一种分布式网络主动测试结果存储方法 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
Non-Patent Citations (1)
| Title |
|---|
| 《恶意软件网络协议的语法和行为语义分析方法》;应凌云等;《软件学报》;中国科学院软件研究所;20110731;第22卷(第7期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103166942A (zh) | 2013-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102857493B (zh) | 内容过滤方法和装置 | |
| CN106709345B (zh) | 基于深度学习方法推断恶意代码规则的方法、系统及设备 | |
| CN101442540B (zh) | 基于现场可编程门阵列的高速模式匹配算法 | |
| CN111431939B (zh) | 基于cti的sdn恶意流量防御方法 | |
| US9275224B2 (en) | Apparatus and method for improving detection performance of intrusion detection system | |
| CN103297435B (zh) | 一种基于web日志的异常访问行为检测方法与系统 | |
| CN103166942B (zh) | 一种恶意代码的网络协议解析方法 | |
| CN107665191A (zh) | 一种基于扩展前缀树的私有协议报文格式推断方法 | |
| CN102184197B (zh) | 基于智能有限自动机的正则表达式匹配方法 | |
| Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
| CN113194058B (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
| Zheng et al. | Algorithms to speedup pattern matching for network intrusion detection systems | |
| CN106503557A (zh) | 基于动态变换的sql注入攻击防御系统及防御方法 | |
| CN106062740B (zh) | 生成多个索引数据字段的方法和装置 | |
| CN103136372A (zh) | 网络可信性行为管理中url快速定位、分类和过滤方法 | |
| CN103324886A (zh) | 一种网络攻击检测中指纹库的提取方法和系统 | |
| CN101030897B (zh) | 一种入侵检测中模式匹配的方法 | |
| Wang et al. | Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things | |
| Chen et al. | Advanced persistent threat organization identification based on software gene of malware | |
| Yujie et al. | End-to-end android malware classification based on pure traffic images | |
| CN106650449A (zh) | 一种基于变量名混淆程度的脚本启发式检测方法及系统 | |
| CN105429817A (zh) | 基于dpi和dfi的非法业务识别装置与方法 | |
| CN115906086A (zh) | 基于代码属性图的网页后门检测方法、系统及存储介质 | |
| CN113489622B (zh) | 一种提取网络设备指纹的方法、系统、设备及存储介质 | |
| CN116467718A (zh) | 一种基于深层语义和数据增强的软件漏洞检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160803 Termination date: 20201219 |