CN103179105A - 一种基于网络流量中行为特征的智能木马检测装置及其方法 - Google Patents
一种基于网络流量中行为特征的智能木马检测装置及其方法 Download PDFInfo
- Publication number
- CN103179105A CN103179105A CN2012104123478A CN201210412347A CN103179105A CN 103179105 A CN103179105 A CN 103179105A CN 2012104123478 A CN2012104123478 A CN 2012104123478A CN 201210412347 A CN201210412347 A CN 201210412347A CN 103179105 A CN103179105 A CN 103179105A
- Authority
- CN
- China
- Prior art keywords
- wooden horse
- packet
- intelligent
- data
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法,提供了一种基于网络流量中行为特征的智能木马检测方法及其装置,其主旨在于提供一种对新型未知木马的发现有积极作用,并且拥有很高的检测效率和较低的误报、漏报率的木马检测方法及其装置。该方法包括以下步骤:1)采集TCP、UDP数据包;2)对采集的数据包进行预处理;3)对数据包根据神经网络进行过滤来识别出异常数据包;4)从异常的数据包中识别出具有木马行为的数据包;5)发现具有木马行为的数据包后就进行报警。
Description
技术领域
本发明是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法,特别是对新型未知木马的发现有积极作用,并且拥有很高的检测效率和较低的误报、漏报率。
背景技术
基于行为特征的木马检测技术是对传统木马检测技术中的基于特征码的木马检测的有力改进,现已成为网络安全领域的重要研究课题。
计算机网络就是像一把双刃剑,近年来,它给人们的生活带来了无穷便利,然而由于经济利益的驱使,木马数量激增,使得广大计算机用户和公司企业遭受到巨大损失。2011年,CNCERT全年共发现近890万个境内IP主机地址感染了木马或僵尸程序,较2010年增加78.5%。其中,感染窃密类木马的境内IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。因此,网络安全中木马防御技术具有极其重要的研究价值。针对木马主要有两种防御手段,第一种是进行木马查杀,另一种就是使用防火墙技术。几十年来,这两种方法一直是抵御大部分木马的主要方法。
虽然传统的木马防御技术遏制了一些木马的攻击行为,但是目前许多杀毒软件和木马查杀工具普遍采用的是基于特征码的检测,而该技术提取特征码滞后因而无法检测到新型木马,以及具有开销大和检测效率低下的缺陷。随着攻击者技术的日趋成熟和攻击手段的复杂化、多样化等,平均每20秒就发生一次入侵计算机网络的事件,其中有超过1/3的防火墙被攻破。例如反弹端口木马中的“网络神偷”就是利用网络防火墙大都是监控从外面进来的数据而对从里面到外面传输的数据却不予理睬的缺陷成功躲开了防火墙的阻挡。
现在,新型木马出现的频率越来越高,在今年“十一”黄金周过后,360安全中心就发现一种名为“怪鱼”的新型木马肆意攻击着各种社交网络。而且,之前仅通过终端检测木马的方式针对网络形式的改变做出快速反应,所以基于网络流量的木马检测成为了新的研究热点。同时对于采用智能分析算法的木马检测作为一种主动的木马防御技术,近年来得到了进一步的研究,并且基于行为特征的木马检测技术能够解决基于特征码检测的缺陷,所以提高智能性和基于行为特征的检测机制是目前木马检测研究领域的热点。因此,很有必要发明一种基于网络流量中反映行为特征的智能木马检测方法,并且该方法能够智能地、自适应地对未知类型的木马进行检测,以及具备较低的漏报率与误报率。
专利一种基于行为特征的网页木马检测方法(申请号:200610152530.3),此专利的思想是通过系统调用和内存变化等行为来监测网页中是否含有木马。该专利的基本原理为当网页中隐藏的木马被运行时,系统必定产生一个新的进程,并且该新进程的父进程为浏览器进程,因此通过对系统进程的监控可以快速、准确的检测网页中是否含有木马程序。虽然此专利实现了对网络中有害网页的快速检测,为上网用户提供了一个安全的网络环境。但是,此专利关注的是网页木马检测,和基于网络流量中行为特征的智能木马检测关系不大。
专利一种木马检测的方法和装置(申请号:201110430821.5),虽然本专利使用的检测方法提高了检测效率并且降低了误报率,但是该专利关注的是木马心跳,和基于网络流量中行为特征的智能木马检测关系不大。
专利网络窃密木马检测方法(申请号:200910022718.X),此专利的思想是首先获取网络数据流,再通过对通信地址、通信协议、通信行为和通信关系的分析,将高度疑似木马通信的数据包,按照高度疑似木马通信所采用的网络通信协议,与相应的目的IP地址建立连接,并按照相应的通信协议构造探测数据包发送对方,如果对方返回的应答包中含有不是协议规定的内容,即确定该节点是木马控制端。本专利使用的方法给基于网络流量中行为特征的智能木马检测提供了想法,但是本专利的关注点仅限于网络窃密型木马。
专利基于程序执行特征的网页木马检测方法(申请号:200810222212.9),此专利的思想是利用网络爬虫抓取网页源码,然后经过多层解码后得到可识别的脚本程序,在保留脚本程序的同时对其进行反汇编处理得到汇编源码,再判断这些源码是否存在大量无效指令填充、调用系统级函数、明显的URL链接,最后通过汇编码来深层次的检测网页中是否含有木马。本专利主要是用来检测网页是否是网页木马的,和基于网络流量中行为特征的智能木马检测关系不大。
专利一种木马检测方法、装置及系统(申请号:201010581622.X),此专利主要是依据木马攻击过程中的特征执行具有时间顺序这一特征,首先将获取到的报文与预置的木马特征库进行匹配,然后将判断为具有可疑特征的报文的执行时序和木马攻击程序的执行时序进行匹配,如果相同,则确定该可疑特征报文为木马特征报文。虽然该发明提高了木马检测的准确率,但是依然是基于特征码的检测,仍然无法识别出未知的新型木马。
专利一种网页木马检测方法及系统(申请号:201110439572.6),此专利主要关注的是网页木马检测,所以和基于网络流量中行为特征的智能木马检测没有直接联系。
专利一种通过分析网络行为检测木马程序的方法及装置(申请号:201010182380.7),本专利主要是通过分析网络行为来检测木马程序的。
发明内容
本发明的目的在于提供一种高效率,适用于大规模和高速网络,能够对已知和未知木马进行检测,检测准确率高,误报率和漏报率很低的一种基于网络流量中行为特征的智能木马检测装置及其方法。
本发明为了实现上述目的采用以下技术方案:
一种基于网络流量中行为特征的智能木马检测方法,包括以下步骤:
1)采集TCP、UDP数据包;
2)对采集的数据包进行预处理;
3)对数据包根据神经网络进行过滤来识别出异常数据包;
4)从异常的数据包中识别出具有木马行为的数据包;
5)发现具有木马行为的数据包后就进行报警。
上述方案中,所述步骤2)中所述流量数据采集装置得到的数据转换为具有若干个分向量的特征向量作为步骤3)所述的神经网络的输入。
所述步骤3),采用两个独立的神经网络组成,并采用异常检测方式,
异常检测方法包括:
311)首先使用具有正常行为的样本库进行学习;
312)使神经网络模型掌握用户正常行为模式的知识,然后该模型对预处理过的数据包进行检测,将偏离正常行为轮廓的异常数据包检测出来;
313)如果检测出了异常数据包,进行步骤314),对于正常的数据包进行步骤315);
314)将其送入异常数据库,使用木马识别模块来检测这些数据包中是否包含具有木马行为的数据包;
315)对于正常的数据包,就直接过滤掉。
上述方案中,步骤4中,对异常数据库中的数据包进行分析,采用行为特征分析,包括以下步骤,
41)设置好不同类型木马具有的行为特性,并将其存入木马行为特征库中,
42)将数据包分离后的各字段内容与木马行为特征库的特征码进行匹配,检测网络中攻击型网络数据包,
43)对于已知木马肯定是含有这些行为特性当中的某些行为特性的,对于未知木马如果含有这些行为特性中的某一个就认为是属于这种类型的木马。
本发明还提供了一种基于网络流量中行为特征的智能木马检测装置,其特征在于包括:
本发明所提出的基于网络流量中行为特征的智能木马检测系统由下面的装置构成:流量数据捕获装置,预处理装置,正常数据智能识别装置,木马识别装置和报警装置,下面分别给予描述。
流量数据捕获装置:实时采集网络上传输的数据包;
预处理装置:对流量数据捕获装置解获得的TCP、UDP数据包进行预处理,生成神经网络的输入值;
正常数据包智能识别装置:用于自学习式地识别正常流量数据,并将异常数据包放到异常数据库中;
木马识别装置:用于识别那些异常数据包中是否含有具有木马行为的数据包以及这些数据包中具有的木马行为属于哪种类型的木马;
报警装置:根据木马识别装置的识别结果进行报警。
上述装置中,所述预处理装置将流量数据捕获装置得到的数据转换为具有若干个分向量的特征向量作为正常数据包智能识别装置的神经网络的输入。
上述装置中,所述正常数据包智能识别装置包括:
异常入侵检测模块:使用具有正常行为的样本库进行学习,使神经网络模型掌握具有正常行为的知识,在神经网络内部的异常入侵检测模块建立起对正常行为识别的正常行为特征库,将偏离正常行为的异常数据包检测出来,如果检测出了异常数据包,则将其送入异常数据库,使木马识别装置从中检测出具有木马攻击行为的数据包;对于正常的数据包,则直接将其过滤掉。
本发明具有以下有益效果:
一、高效率,适用于大规模和高速网络,本发明的检测方法是基于异常行为的,而不是对所有数据包内容进行处理,因此检测效率非常高,适用于大规模和高速网络。
二、能够对已知和未知木马进行检测,本发明的检测方法不是依赖于木马特征码,而是根据木马本质的行为特征行为来进行检测,因此无论是已知还是未知的木马都可以进行很好的检测。
三、检测准确率高,误报率低,本发明对通信木马行为进行了深刻的分析,并且使用了神经网络中改进的BP算法和异常检测技术,智能地实现了对正常数据的检测,可以实现较高的检测效率和较低的漏报率和误报率。
附图说明
图1为本发明流程图。
具体实施方式
下面对本发明做进一步的解释:
本发明的思想是采用分析对比行为特征的方式来检测木马,主要过程为首先搜集局域网内的网络行为,然后分析其典型行为特征,通过木马外连、信息窃取和信息外发网络行为,实时检测木马。本装置主要由采集器和分析机两部分组成,采集器负责采集网络数据包并将采集到的数据包发送给分析机,分析机的主要任务是重组数据包,并提取其典型行为特征,然后与木马特征库进行关联分析,最后生成安全事件报告并呈现给前端系统。本发明使用基于行为特征分析的技术来检测木马,不仅能够检测已知类型的木马,而且能检测未知类型的木马,但是却不具备智能性。
本发明技术实现的具体实施例
下面给出本发明提出的蠕虫检测方法的一个具体实施例,本实施例只是对TCP协议和UDP协议的蠕虫检测方法进行了详细描述,但本专利可以适用于所有协议。
面对日趋复杂的安全威胁形势,要求入侵检测系统具有一定的智能,能够对攻击方法进行学习以增强其自适应能力。
本发明实施例一:
流量数据捕获装置的实施方式
目前主流的数据包捕获工具有Libpcap,Winpcap等,不同的平台可以选择不同的捕获工具,例如Windows平台下可以选择Winpcap,Unix平台下可以选择Libpcap。本实例采用Winpcap这款数据包捕获工具,Winpcap由NPF、packet.dll和wpcap.dll这三个模块组成,NPF是数据包捕获驱动程序,packet.dll是底层的动态链接库而wpcap.dll是高层的动态链接库。因为木马基本都是基于TCP协议和UDP协议进行传输的,所以这里需要进行基于协议的过滤,只捕获TCP和UDP数据包。无论选择哪种捕获工具都在本专利保护范围内。
预处理装置的实施方式
本实施方案用于将流量数据捕获装置得到的TCP/UDP数据包转换为具有若干个分向量的特征向量作为神经网络的输入。选取适当地特征向量是本模块的关键之处,本系统主要考虑基于TCP、UDP数据包,它们分别采用不同的特征向量。
TCP数据包的特征向量应包含有源和目的IP地址、端口号、包序列号和确认号以及终止位这六项。UDP数据包的特征向量应包含有源和目的IP地址、端口号这四项。
正常数据包智能识别装置的实施方式
由于TCP、UDP这两种数据包的特征向量维数不同,所以本装置由两个独立的BP神经网络组成,并采用异常检测技术。
异常入侵检测模型首先使用具有正常行为的样本库进行学习,使神经网络模型掌握用户正常行为模式的知识,然后该模型对使用误用入侵检测模型无法判别的行为进行异常行为的检测,从而将偏离正常行为轮廓的入侵行为检测出来。如果检测出了新的入侵行为模式,则将其特征值送入入侵特征库,使误用入侵检测模型在经过学习之后能够检测出这种攻击行为;对于正常的行为模式,则送入正常行为特征库以进一步完善用户的正常行为轮廓使用正常行为的数据作为样本进行学习,使得神经网络模型掌握正常行为模型的知识。
木马识别装置的实施方式
本装置用于对异常数据库中那些数据包进行分析,主要是采用行为特征分析。首先设置好不同类型木马具有的行为特性,并将其存入木马行为特征库中,然后将异常数据库中的数据包进行分离,并将分离后的各字段内容与木马行为特征库的特征码进行匹配,检测网络中攻击型网络数据包,如ARP攻击,3389远程桌面等,这样就可以识别出已知木马和未知木马。
报警装置的实施方式
如果检测到木马就进行报警,便向管理员输出响应消息,弹出对话框显示是属于哪一种木马,提醒管理员及时处理。
Claims (7)
1.一种基于网络流量中行为特征的智能木马检测方法,包括以下步骤:
1)采集TCP、UDP数据包;
2)对采集的数据包进行预处理;
3)对数据包根据神经网络进行过滤来识别出异常数据包;
4)从异常的数据包中识别出具有木马行为的数据包;
5)发现具有木马行为的数据包后就进行报警。
2.根据权利要求1所述的一种基于网络流量中行为特征的智能木马检测方法,其特征在于:所述步骤2)中所述流量数据采集装置得到的数据转换为具有若干个分向量的特征向量作为步骤3)所述的神经网络的输入。
3.根据权利要求1所述的一种基于网络流量中行为特征的智能木马检测方法,其特征在于:所述步骤3),采用两个独立的神经网络组成,并采用异常检测方式,
异常检测方法包括:
311)首先使用具有正常行为的样本库进行学习;
312)使神经网络模型掌握用户正常行为模式的知识,然后该模型对预处理过的数据包进行检测,将偏离正常行为轮廓的异常数据包检测出来;
313)如果检测出了异常数据包,进行步骤314),对于正常的数据包进行步骤315);
314)将其送入异常数据库,使用木马识别模块来检测这些数据包中是否包含具有木马行为的数据包;
315)对于正常的数据包,就直接过滤掉。
4.据权利要求1所述的一种基于网络流量中行为特征的智能木马检测方法,其特征在于:步骤4中,对异常数据库中的数据包进行分析,采用行为特征分析,包括以下步骤,
41)设置好不同类型木马具有的行为特性,并将其存入木马行为特征库中,
42)将数据包分离后的各字段内容与木马行为特征库的特征码进行匹配,检测网络中攻击型网络数据包,
43)对于已知木马肯定是含有这些行为特性当中的某些行为特性的,对于未知木马如果含有这些行为特性中的某一个就认为是属于这种类型的木马。
5.一种基于网络流量中行为特征的智能木马检测装置,其特征在于包括:
本发明所提出的基于网络流量中行为特征的智能木马检测系统由下面的装置构成:流量数据捕获装置,预处理装置,正常数据包智能识别装置,木马识别装置和报警装置,下面分别给予描述;
流量数据捕获装置:实时采集网络上传输的数据包;
预处理装置:对流量数据捕获装置解获得的TCP、UDP数据包进行预处理,生成神经网络的输入值;
正常数据包智能识别装置:用于自学习式地识别正常流量数据,并将异常数据包放到异常数据库中;
木马识别装置:用于识别那些异常数据包中是否含有具有木马行为的数据包以及这些数据包中具有的木马行为属于哪种类型的木马;
报警装置:根据木马识别装置的识别结果进行报警。
6.根据权利要求5所述的一种基于网络流量中行为特征的智能木马检测装置,其特征在于:所述预处理装置将流量数据捕获装置得到的数据转换为具有若干个分向量的特征向量作为正常数据包智能识别装置的神经网络的输入。
7.根据权利要求4所述的一种基于网络流量中行为特征的智能木马检测装置,所述正常数据包智能识别装置包括:
异常入侵检测模块:使用具有正常行为的样本库进行学习,使神经网络模型掌握具有正常行为的知识,在神经网络内部的异常入侵检测模块建立起对正常行为识别的正常行为特征库,将偏离正常行为的异常数据包检测出来,如果检测出了异常数据包,则将其送入异常数据库,使木马识别装置从中检测出具有木马攻击行为的数据包;对于正常的数据包,则直接将其过滤掉。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210412347.8A CN103179105B (zh) | 2012-10-25 | 2012-10-25 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210412347.8A CN103179105B (zh) | 2012-10-25 | 2012-10-25 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103179105A true CN103179105A (zh) | 2013-06-26 |
| CN103179105B CN103179105B (zh) | 2016-03-30 |
Family
ID=48638731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210412347.8A Active CN103179105B (zh) | 2012-10-25 | 2012-10-25 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103179105B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532949A (zh) * | 2013-10-14 | 2014-01-22 | 刘胜利 | 基于动态反馈的自适应木马通信行为检测方法 |
| CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
| CN104283737A (zh) * | 2014-09-30 | 2015-01-14 | 杭州华为数字技术有限公司 | 数据流的处理方法和装置 |
| CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
| CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
| CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
| CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
| CN106534224A (zh) * | 2017-01-23 | 2017-03-22 | 余洋 | 智能网络攻击检测方法及装置 |
| CN107342969A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 报文识别的系统、方法和装置 |
| CN107426141A (zh) * | 2016-05-23 | 2017-12-01 | 纬创资通股份有限公司 | 恶意码的防护方法、系统及监控装置 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN107633058A (zh) * | 2017-09-20 | 2018-01-26 | 武汉虹旭信息技术有限责任公司 | 一种基于深度学习的数据动态过滤系统及其方法 |
| CN108418840A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于人工智能的关键信息基础设施网络风险管控系统 |
| CN109962898A (zh) * | 2017-12-26 | 2019-07-02 | 哈尔滨安天科技股份有限公司 | 僵尸网络控制节点的检测方法及装置 |
| CN110858837A (zh) * | 2018-08-24 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
| CN110866257A (zh) * | 2019-11-14 | 2020-03-06 | 贵州医渡云技术有限公司 | 木马检测方法及装置、电子设备、存储介质 |
| CN111143654A (zh) * | 2019-12-25 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 辅助识别爬虫的、爬虫识别方法、装置及电子设备 |
| CN112202791A (zh) * | 2020-09-28 | 2021-01-08 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
| CN114020366A (zh) * | 2022-01-06 | 2022-02-08 | 北京微步在线科技有限公司 | 一种基于威胁情报的远控类木马卸载方法及装置 |
| CN114553448A (zh) * | 2020-11-18 | 2022-05-27 | 上海汽车集团股份有限公司 | 一种车载网络信息安全系统 |
| CN116260660A (zh) * | 2023-05-15 | 2023-06-13 | 杭州美创科技股份有限公司 | 网页木马后门识别方法及系统 |
| US20230319101A1 (en) * | 2022-03-30 | 2023-10-05 | Ecolux Technology Co., Ltd. | Artificial intelligence system and method thereof for defending against cyber attacks |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040153666A1 (en) * | 2003-02-05 | 2004-08-05 | Sobel William E. | Structured rollout of updates to malicious computer code detection definitions |
| CN101572711A (zh) * | 2009-06-08 | 2009-11-04 | 北京理工大学 | 一种基于网络的反弹端口型木马的检测方法 |
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
-
2012
- 2012-10-25 CN CN201210412347.8A patent/CN103179105B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040153666A1 (en) * | 2003-02-05 | 2004-08-05 | Sobel William E. | Structured rollout of updates to malicious computer code detection definitions |
| CN101572711A (zh) * | 2009-06-08 | 2009-11-04 | 北京理工大学 | 一种基于网络的反弹端口型木马的检测方法 |
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
Non-Patent Citations (2)
| Title |
|---|
| 张艳萍: "《人工神经网络技术在系统流量异常检测模块中的应用》", 《信息化纵横》 * |
| 彭国军等: "《基于网络流量特征的未知木马检测技术及其实现》", 《信息网络安全》 * |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532949A (zh) * | 2013-10-14 | 2014-01-22 | 刘胜利 | 基于动态反馈的自适应木马通信行为检测方法 |
| CN103532949B (zh) * | 2013-10-14 | 2017-06-09 | 刘胜利 | 基于动态反馈的自适应木马通信行为检测方法 |
| CN103944788B (zh) * | 2014-05-06 | 2017-07-04 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
| CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
| CN104283737A (zh) * | 2014-09-30 | 2015-01-14 | 杭州华为数字技术有限公司 | 数据流的处理方法和装置 |
| CN104283737B (zh) * | 2014-09-30 | 2018-01-12 | 杭州华为数字技术有限公司 | 数据流的处理方法和装置 |
| CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
| CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
| CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
| CN107342969A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 报文识别的系统、方法和装置 |
| CN107342969B (zh) * | 2016-05-03 | 2021-04-20 | 阿里巴巴集团控股有限公司 | 报文识别的系统、方法和装置 |
| CN107426141B (zh) * | 2016-05-23 | 2020-06-09 | 纬创资通股份有限公司 | 恶意码的防护方法、系统及监控装置 |
| CN107426141A (zh) * | 2016-05-23 | 2017-12-01 | 纬创资通股份有限公司 | 恶意码的防护方法、系统及监控装置 |
| CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
| CN106302520B (zh) * | 2016-09-14 | 2019-10-11 | 恒安嘉新(北京)科技股份公司 | 一种远控类木马清除方法及装置 |
| CN106534224A (zh) * | 2017-01-23 | 2017-03-22 | 余洋 | 智能网络攻击检测方法及装置 |
| CN106534224B (zh) * | 2017-01-23 | 2018-04-20 | 余洋 | 智能网络攻击检测方法及装置 |
| CN107633058A (zh) * | 2017-09-20 | 2018-01-26 | 武汉虹旭信息技术有限责任公司 | 一种基于深度学习的数据动态过滤系统及其方法 |
| CN107633058B (zh) * | 2017-09-20 | 2021-06-01 | 武汉虹旭信息技术有限责任公司 | 一种基于深度学习的数据动态过滤系统及其方法 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN107454109B (zh) * | 2017-09-22 | 2020-06-23 | 杭州安恒信息技术股份有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN109962898A (zh) * | 2017-12-26 | 2019-07-02 | 哈尔滨安天科技股份有限公司 | 僵尸网络控制节点的检测方法及装置 |
| CN108418840A (zh) * | 2018-05-18 | 2018-08-17 | 广西电网有限责任公司 | 基于人工智能的关键信息基础设施网络风险管控系统 |
| CN110858837A (zh) * | 2018-08-24 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
| CN110858837B (zh) * | 2018-08-24 | 2022-09-06 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
| CN110866257A (zh) * | 2019-11-14 | 2020-03-06 | 贵州医渡云技术有限公司 | 木马检测方法及装置、电子设备、存储介质 |
| CN111143654A (zh) * | 2019-12-25 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 辅助识别爬虫的、爬虫识别方法、装置及电子设备 |
| CN112202791A (zh) * | 2020-09-28 | 2021-01-08 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
| CN114553448A (zh) * | 2020-11-18 | 2022-05-27 | 上海汽车集团股份有限公司 | 一种车载网络信息安全系统 |
| CN114553448B (zh) * | 2020-11-18 | 2024-05-17 | 上海汽车集团股份有限公司 | 一种车载网络信息安全系统 |
| CN114020366A (zh) * | 2022-01-06 | 2022-02-08 | 北京微步在线科技有限公司 | 一种基于威胁情报的远控类木马卸载方法及装置 |
| US20230319101A1 (en) * | 2022-03-30 | 2023-10-05 | Ecolux Technology Co., Ltd. | Artificial intelligence system and method thereof for defending against cyber attacks |
| CN116260660A (zh) * | 2023-05-15 | 2023-06-13 | 杭州美创科技股份有限公司 | 网页木马后门识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103179105B (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103179105B (zh) | 一种基于网络流量中行为特征的智能木马检测装置及其方法 | |
| CN105429963B (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN103532957B (zh) | 一种木马远程shell行为检测装置及方法 | |
| CN105208000B (zh) | 网络分析攻击回溯的方法及网络安全设备 | |
| CN102594825B (zh) | 一种内网木马的检测方法和装置 | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| CN101895521B (zh) | 一种网络蠕虫检测与特征自动提取方法及其系统 | |
| CN106357622B (zh) | 基于软件定义网络的网络异常流量检测防御系统 | |
| CN103152222B (zh) | 一种基于主机群特征检测速变攻击域名的方法 | |
| CN105260662A (zh) | 一种未知应用漏洞威胁检测装置及方法 | |
| CN109391599A (zh) | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 | |
| KS et al. | An artificial neural network based intrusion detection system and classification of attacks | |
| Herrero et al. | A neural-visualization IDS for honeynet data | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN108183888A (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| CN106992955A (zh) | Apt防火墙 | |
| CN110691073A (zh) | 一种基于随机森林的工控网络暴力破解流量检测方法 | |
| CN109450721A (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
| CN105959316A (zh) | 网络安全性验证系统 | |
| CN101557394A (zh) | 一种蜜网主动防御系统中的数据控制方法 | |
| CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
| CN113810362A (zh) | 一种安全风险检测处置系统及其方法 | |
| CN105227408A (zh) | 一种智能木马识别装置及方法 | |
| Esposito et al. | Evaluating pattern recognition techniques in intrusion detection systems | |
| CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |