CN103701814A - 一种基于行为检测实现网络流量识别的方法及装置 - Google Patents
一种基于行为检测实现网络流量识别的方法及装置 Download PDFInfo
- Publication number
- CN103701814A CN103701814A CN201310741407.5A CN201310741407A CN103701814A CN 103701814 A CN103701814 A CN 103701814A CN 201310741407 A CN201310741407 A CN 201310741407A CN 103701814 A CN103701814 A CN 103701814A
- Authority
- CN
- China
- Prior art keywords
- session
- information
- tcp
- tcp session
- network traffics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于行为检测实现网络流量识别的方法及装置,包括:抓取网络流量的数据包信息,并进行传输控制协议(TCP)会话重组,以分别提取各TCP会话流信息;根据木马通信的会话特征,提取各TCP会话流信息的会话统计特征信息,并建立相应的TCP会话特征矩阵信息;采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;根据优化聚类信息,获得每一TCP会话流所属的网络流量类别信息。本发明通过从网络流量的数据包提取TCP会话流,根据木马通信的会话特征获得TCP会话统计特征信息,以此生成TCP会话特征矩阵信息,采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,获得TCP会话流的网络流量类别信息。
Description
技术领域
本发明涉及网络安全领域,尤指一种基于行为检测实现网络流量识别的方法及装置。
背景技术
随着黑客攻击行为的组织性、趋利性越来越强,高级持续威胁(AdvancedPersistent Threat,简称APT)已经成为了政府和各大企业信息系统最大威胁。木马作为各种入侵的重要环节之一,成为研究安全问题的重点。据2012年CNCERT/CC抽样监测结果显示,境内外木马或僵尸程序控制服务器IP数量达到286977个,境外木马或僵尸程序控制服务器IP数量达到73286个,较2011年均分别有13.1%和56.9%的增长。我国重要信息系统同样也面临着形势严重的网络攻击威胁。
与其他恶意软件不同,木马的运行不会造成系统明显的变化,其本身的隐蔽性使其不容易被发现。目前,针对木马的通信检测技术主要分为:基于特征匹配、基于协议分析和基于行为分析的检测技术。基于特征匹配的检测技术,主要通过预先设定一定的入侵模式与网络监控获得的网络行为进行模式匹配来检测。基于特征匹配的检测技术具有一定的信息滞后性,并且木马的通信过程往往不携带特征字符串,因此在对未知的入侵活动或已知入侵活动变异后进行的检测,该方法检测性能较低,漏报率较高。基于协议分析检测技术的是一种需要和其他检测技术配合,才能达到木马检测的一种技术,因此无法单独的采用基于协议分析的检测技术。基于行为分析的检测技术,主要针对木马的活动行为特征进行检测,不需要和其他技术特征一同使用,且对于未知的入侵和变异的木马等,不存在基于特征匹配的检测技术的不足,因此,基于行为的检测技术是检测网络中木马通信的最佳选择。
由于木马的恶意目的,木马通信和正常的网络通信在网络会话行为上具有差异性。在木马的交互连接,木马通信在会话上表现为如下特点:
(1)该阶段木马通信是一个长时间的交互过程,会话时长会长于普通通信流量,木马通信过程中所传送数据包总数较多,会话小包也数量较多。
(2)木马控制端在通信中扮演资源请求者的角色,因此会话上传数据量较大。提取会话上传数据量(Upload Data)的特征。
(3)木马通信时的数据流表现为由内向外的上传流的特点,因此在木马通信过程中上传数据量和下载数据量的比值大于1。
(4)木马通信过程中数据包分布特点具有以下特点:会话接收小包数量一般占会话小包数量的50%以上;会话发送大包数量一般占会话大包数量的50%以上,会话接收数据包数量一般小于发送数据包的数量。
通过多个不同统计特征对会话行为的描述,目前的通过以上特性进行木马通信的会话特征分析,由于会话特征有限,存在误报率较高的问题,另外,目前对会话特征的信息分析主要采用k均值的方法,该类算法仅可以实现局部最优,且存在初值敏感问题。因此,受初值选取和局部最优的影响,初值选取一旦不合理,采用该类算法进行木马检测,其分析结果往往十分不理想。
综上所述,目前采用的基于行为的检测技术虽然是木马检测的最佳选择,但是在会话特征的信息有限,且目前对会话特征信息的处理方法,在初值选取和局部最优等方面的特点,严重影响了基于行为的检测技术对木马的检测。
发明内容
为了解决上述技术问题,本发明公开了一种基于行为检测实现网络流量识别的方法及装置。能够通过网络流量的识别,对未知木马的流量进行识别检测。
为了达到本申请的目的,本发明提供一种基于行为检测实现网络流量识别的方法,包括:
抓取网络流量的数据包信息,并进行传输控制协议TCP会话重组,以分别提取各TCP会话流信息;
根据木马通信的会话特征,提取各TCP会话流信息的会话统计特征信息,并建立相应的TCP会话特征矩阵信息;
采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;
根据优化聚类信息,获得每一TCP会话流所属的网络流量类别信息。
进一步地,会话统计特征信息包含:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
进一步地,建立相应的TCP会话特征矩阵信息之后,该方法还包括:利用最大最小值法对所述相应的TCP会话特征矩阵信息中的各维特征值进行归一化处理。
进一步地,预先设置网络流量的类别标签,在生成优化聚类信息后,该方法还包括:根据所述优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
另一方面,本申请还提供一种基于行为检测实现网络流量识别的装置,包括:会话重组模块、特征矩阵生成模块、会话聚类模块、流量识别模块;其中,
会话重组模块,用于抓取网络流量的数据包信息,并进行传输控制协议TCP会话重组,以分别提取各TCP会话流信息;
特征矩阵生成模块,用于根据木马通信的会话特征,从会话重组模块的各TCP会话流信息中提取会话统计特征信息,并建立相应的TCP会话特征矩阵信息;
聚类模块,用于采用基于菌群优化的聚类方法,对特征矩阵生成模块建立的TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;
流量识别模块,用于根据聚类模块优化聚类信息,确定每一TCP会话流所属的网络流量类别信息。
进一步地,会话统计特征信息包含:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
进一步地,该装置还包括矩阵归一模块,连接于特征矩阵生成模块与聚类模块之间,用于利用最大最小值法对所述相应的TCP会话特征矩阵信息中的各维特征值进行归一化处理。
进一步地,该装置还包括聚类标签模块,用于预先设置网络流量的类别标签,在生成优化聚类信息后,根据所述优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
本申请提出一种技术方案,包括:抓取网络流量的数据包信息,并进行传输控制协议(TCP)会话重组,以分别提取各TCP会话流信息;根据木马通信的会话特征,提取各TCP会话流信息的会话统计特征信息,并建立相应的TCP会话特征矩阵信息;采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;根据优化聚类信息,获得每一TCP会话流所属的网络流量类别信息。本发明通过从网络流量的数据包提取TCP会话流,根据木马通信的会话特征获得TCP会话统计特征信息,以此生成TCP会话特征矩阵信息,采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,获得TCP会话流的网络流量类别信息。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明基于行为检测实现网络流量识别的方法的流程图;
图2为本发明基于行为检测实现网络流量识别的实施例流程图;
图3为本发明基于行为检测实现网络流量识别的装置的结构框图。
具体实施方式
菌群优化方法是一种基于群体的优化技术,具有算法简单、收敛速度快,所需先验知识少的特点,在优化过程中,无需对象的梯度信息,具有较强的通用性。基于菌群优化的聚类方法是一种新近提出的聚类技术,在大规模高维数据上具有良好的实验效果,其聚类结果稳定,对中心初值不敏感,适用于类别大小不同的数据集,并能够找到全局最优解的特点。
图1为本发明基于行为检测实现网络流量识别的方法的流程图,如图1所示,包括:
步骤100、抓取网络流量的数据包信息,并进行传输控制协议(TCP)会话重组,以分别提取各TCP会话流信息。
步骤101、根据木马通信的会话特征,提取各TCP会话流信息的会话统计特征信息,并建立相应的TCP会话特征矩阵信息。
本步骤中,会话统计特征信息包含:会话统计特征信息包含:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
需要说明的是,网络流量数据包信息的抓取,TCP的会话重组为本领域技术人员的惯用技术手段,另外,会话统计特征信息,是根据木马通信和正常通信的TCP特点进行分析提取的,其根据网络通信的发展,其会话统计特征信息会产生相应的变化,其包含的内容可能增加或减少,根据网络通信发展的变化,会话统计特征信息是可以进行相应的调整,例如,会话总上传数据量、会话发送数据包的平均长度等也可以作为会话统计特征信息,该部分的调整应当属于本发明的保护范围。
步骤102、采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息。
步骤103、根据优化聚类信息,获得每一TCP会话流所属的网络流量类别信息。
建立相应的TCP会话特征矩阵信息之后,本发明方法还包括:利用最大最小值法对相应的TCP会话特征矩阵信息中的各维特征值进行归一化处理。这里,通过归一化处理,可以使TCP会话特征矩阵信息的特征更加清楚明显,可以使本发明优化聚类等数据处理过程,更加合理,有利于对获得的信息进行优化聚类。
预先设置网络流量的类别标签,在生成优化聚类信息后,本发明方法还包括:根据优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
通过类别标签,可以将网络流量的识别结果进行高效的分类和整理。
下面结合本发明具体实施例,对本发明方法进行详细的说明,实施例只是为了清楚说明本发明的内容,并不用于限制本发明的保护内容。
实施例1
图2为本发明基于行为检测实现网络流量识别的实施例流程图,如图2所示,包括:
步骤200、抓取网络流量的数据包信息,并进行传输控制协议(TCP)会话重组,以提取各TCP会话流信息。
需要说明的是,抓取网络数据包信息,会进行TCP协议的解析,该部分为公知常识,即使本发明未进行说明,本领域技术人员也应当清楚这一步骤。
根据木马在交互连接阶段所表现出的通信行为特点,提取TCP会话的统计特征,建立TCP会话特征矩阵;
步骤201、根据木马通信的会话特征,提取各TCP会话流信息中9个会话统计特征信息,并建立相应的TCP会话特征矩阵信息。
本步骤中,9个会话统计特征信息为:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
需要说明的是,从现有技术中可知,木马的网络通信和正常的网络通信区别的会话特征,本实施例将会话特征进行统计,得出会话统计特征信息。具体的,本实施例提取出以下会话统计特征信息:
1、会话的数据包总数,单位:个;
2、会话时长,单位:秒;
3、会话小包总数,单位:个,将长度小于200字节的数据包定义为小包;
4、会话接收小包数目与会话小包总数的比值,单位:无;
5、会话发送大包数目与会话大包总数的比值,单位:无,将长度大于1000字节的数据包定义为大包;
6、会话接收和发送数据包总数的比值,单位:无;
7、会话下行流量与上行流量的比值,单位:无;
8、会话总上传数据量,单位:字节;
9、会话发送数据包的平均长度,单位:字节、
步骤202、采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息。
菌群优化方法是一种基于群体的优化技术,具有算法简单、收敛速度快,所需先验知识少的特点,在优化过程中,无需对象的梯度信息,具有较强的通用性。基于菌群优化的聚类方法是一种新近提出的聚类技术,在大规模高维数据上具有良好的实验效果,其聚类结果稳定,对中心初值不敏感,适用于类别大小不同的数据集,并能够找到全局最优解的特点符合网络流量数据聚类的特定需求。
步骤203、根据优化聚类信息,获得每一TCP会话流所属的网络流量类别信息。
本实施例中,TCP会话特征矩阵信息作为菌群优化的聚类方法的输入矩阵,在给定聚类数目k的前提下,菌群优化的聚类方法的步骤如下:
1、初始化,在菌群优化的聚类方法开始迭代之前,需要对其算法的参数进行预先设置,并赋给它们一定的初始值。令t=1,并在搜索空间中为每个聚类中心随机生成S个细菌的位置。
2.迭代开始,令t=t+1,每个细菌个体根据迭代方程进行翻转移位。每次迭代之后,计算目标函数的代价,比较细菌当前的代价与之前迭代步骤中的代价值,若当前值比之前的目标函数值小且未达到最大迭代步数,则前进,更新当前细菌的位置,并更新目标函数的代价值。计算中选取欧几里德距离来度量各个细菌在数据空间中的距离。
3.各个细菌顺序执行繁殖、迁徙过程,并更新位置。
4.当算法执行步数达到预设的最大迭代步数Istep,算法终止,并转到第5步,否则返回第2步。
5、迭代终止后,算法收敛到空间中的若干个点,即所有细菌都会移动到数据空间中的几个固定位置,这几个点就是聚类算法最终得到的聚类中心。
6.划分数据,得到聚类结果。根据得到的聚类中心,依据最近距离的原则,将数据集中的各个数据标记到对应的类别中去,得到最终的聚类结果。
在建立TCP会话特征矩阵信息之后,本发明方法还包括:利用最大最小值法对TCP会话特征矩阵信息中的各维特征值进行归一化处理。这里,通过归一化处理,可以使TCP会话特征矩阵信息的特征更加清楚明显,可以使本发明优化聚类等数据处理过程,更加合理,有利于对获得的信息进行优化聚类。
本实施例中,为避免不同特征的单位差异过大对聚类结果产生的影响,利用最大最小值法对会话特征矩阵信息中的各维特征值进行归一化处理。
在生成优化聚类信息后,本发明方法还包括:预先设置网络流量的类别标签,根据优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
预先设置网络流量的类别标签,即标记聚类中心。在迭代终止后,TCP会话流经过优化聚类之后归入哪个类别,便会被赋予该类别的标签,在本实施例中,针对木马的TCP网络流量识别,可以将优化聚类数目预设为2,类别标签分别为:普通网络流量标签为1和异常网络流量(木马网络流量)标签为2,则每个TCP会话流都会产生网络流量类别的标签信息。以实现对网络流量识别的有效识别区分。
图3为本发明基于行为检测实现网络流量识别的装置的结构框图,如图3所示,包括:会话重组模块、特征矩阵生成模块、会话聚类模块、流量识别模块;其中,
会话重组模块,用于抓取网络流量的数据包信息,并进行传输控制协议TCP会话重组,以分别提取各TCP会话流信息。
特征矩阵生成模块,用于根据木马通信的会话特征,从会话重组模块的各TCP会话流信息中提取会话统计特征信息,并建立相应的TCP会话特征矩阵信息。
进一步地,会话统计特征信息包含:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
聚类模块,用于采用基于菌群优化的聚类方法,对特征矩阵生成模块建立的TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;
流量识别模块,用于根据聚类模块优化聚类信息,确定每一TCP会话流所属的网络流量类别信息。
本发明装置还包括矩阵归一模块,连接于特征矩阵生成模块与聚类模块之间,用于利用最大最小值法对相应的TCP会话特征矩阵信息中的各维特征值进行归一化处理。
本发明装置还包括聚类标签模块,用于预先设置网络流量的类别标签,在生成优化聚类信息后,根据优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
虽然本申请所揭露的实施方式如上,但所述的内容仅为便于理解本申请而采用的实施方式,并非用以限定本申请。任何本申请所属领域内的技术人员,在不脱离本申请所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本申请的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (8)
1.一种基于行为检测实现网络流量识别的方法,其特征在于,包括:
抓取网络流量的数据包信息,并进行传输控制协议TCP会话重组,以分别提取各TCP会话流信息;
根据木马通信的会话特征,提取各TCP会话流信息的会话统计特征信息,并建立相应的TCP会话特征矩阵信息;
采用基于菌群优化的聚类方法对TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;
根据优化聚类信息,获得每一TCP会话流所属的网络流量类别信息。
2.根据权利要求1所述的方法,其特征在于,所述会话统计特征信息包含:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
3.根据权利要求1或2所述的方法,其特征在于,所述建立相应的TCP会话特征矩阵信息之后,该方法还包括:利用最大最小值法对所述相应的TCP会话特征矩阵信息中的各维特征值进行归一化处理。
4.根据权利要求3所述的方法,其特征在于,预先设置网络流量的类别标签,在生成优化聚类信息后,该方法还包括:根据所述优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
5.一种基于行为检测实现网络流量识别的装置,其特征在于,包括:会话重组模块、特征矩阵生成模块、会话聚类模块、流量识别模块;其中,
会话重组模块,用于抓取网络流量的数据包信息,并进行传输控制协议TCP会话重组,以分别提取各TCP会话流信息;
特征矩阵生成模块,用于根据木马通信的会话特征,从会话重组模块的各TCP会话流信息中提取会话统计特征信息,并建立相应的TCP会话特征矩阵信息;
聚类模块,用于采用基于菌群优化的聚类方法,对特征矩阵生成模块建立的TCP会话特征矩阵信息进行优化聚类,以生成优化聚类信息;
流量识别模块,用于根据聚类模块优化聚类信息,确定每一TCP会话流所属的网络流量类别信息。
6.根据权利要求5所述的装置,其特征在于,所述会话统计特征信息包含:会话的数据包总数、会话时长、会话小包总数、会话接收小包数目与会话小包总数的比值、会话发送大包数目与会话大包总数的比值、会话接收和发送数据包总数的比值、会话下行流量与上行流量的比值、会话总上传数据量、会话发送数据包的平均长度信息。
7.根据权利要求5或6所述的装置,其特征在于,该装置还包括矩阵归一模块,连接于特征矩阵生成模块与聚类模块之间,用于利用最大最小值法对所述相应的TCP会话特征矩阵信息中的各维特征值进行归一化处理。
8.根据权利要求7所述的装置,其特征在于,该装置还包括聚类标签模块,用于预先设置网络流量的类别标签,在生成优化聚类信息后,根据所述优化聚类信息,确定每一TCP会话流所属的网络流量类别信息,按照预先设置的网络流量的类别标签进行标记。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310741407.5A CN103701814A (zh) | 2013-12-27 | 2013-12-27 | 一种基于行为检测实现网络流量识别的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310741407.5A CN103701814A (zh) | 2013-12-27 | 2013-12-27 | 一种基于行为检测实现网络流量识别的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701814A true CN103701814A (zh) | 2014-04-02 |
Family
ID=50363210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310741407.5A Pending CN103701814A (zh) | 2013-12-27 | 2013-12-27 | 一种基于行为检测实现网络流量识别的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701814A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104540161A (zh) * | 2014-12-12 | 2015-04-22 | 大唐移动通信设备有限公司 | 一种节点状态检测方法和装置 |
| CN104765820A (zh) * | 2015-04-07 | 2015-07-08 | 浙江大学 | 一种非侵入式的服务依赖关系发现方法 |
| CN105099799A (zh) * | 2014-05-05 | 2015-11-25 | 华为技术有限公司 | 僵尸网络检测方法和控制器 |
| WO2016106592A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN107454052A (zh) * | 2016-05-31 | 2017-12-08 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN109150859A (zh) * | 2018-08-02 | 2019-01-04 | 北京北信源信息安全技术有限公司 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
| CN109167708A (zh) * | 2018-09-13 | 2019-01-08 | 中国人民解放军国防科技大学 | 一种基于滑动窗口的自适应在线异常检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6907436B2 (en) * | 2000-10-27 | 2005-06-14 | Arizona Board Of Regents, Acting For And On Behalf Of Arizona State University | Method for classifying data using clustering and classification algorithm supervised |
| CN101521672A (zh) * | 2009-04-03 | 2009-09-02 | 中国科学院计算技术研究所 | 一种网络蠕虫检测方法及检测系统 |
| CN101626322A (zh) * | 2009-08-17 | 2010-01-13 | 中国科学院计算技术研究所 | 网络行为异常检测方法及系统 |
| CN102158365A (zh) * | 2011-05-20 | 2011-08-17 | 北京邮电大学 | 一种网络日志挖掘中的用户聚类方法及系统 |
| CN102202064A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
| CN103117903A (zh) * | 2013-02-07 | 2013-05-22 | 中国联合网络通信集团有限公司 | 上网流量异常检测方法及装置 |
-
2013
- 2013-12-27 CN CN201310741407.5A patent/CN103701814A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6907436B2 (en) * | 2000-10-27 | 2005-06-14 | Arizona Board Of Regents, Acting For And On Behalf Of Arizona State University | Method for classifying data using clustering and classification algorithm supervised |
| CN101521672A (zh) * | 2009-04-03 | 2009-09-02 | 中国科学院计算技术研究所 | 一种网络蠕虫检测方法及检测系统 |
| CN101626322A (zh) * | 2009-08-17 | 2010-01-13 | 中国科学院计算技术研究所 | 网络行为异常检测方法及系统 |
| CN102158365A (zh) * | 2011-05-20 | 2011-08-17 | 北京邮电大学 | 一种网络日志挖掘中的用户聚类方法及系统 |
| CN102202064A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
| CN103117903A (zh) * | 2013-02-07 | 2013-05-22 | 中国联合网络通信集团有限公司 | 上网流量异常检测方法及装置 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099799B (zh) * | 2014-05-05 | 2018-11-20 | 华为技术有限公司 | 僵尸网络检测方法和控制器 |
| CN105099799A (zh) * | 2014-05-05 | 2015-11-25 | 华为技术有限公司 | 僵尸网络检测方法和控制器 |
| CN104540161B (zh) * | 2014-12-12 | 2018-01-26 | 大唐移动通信设备有限公司 | 一种节点状态检测方法和装置 |
| CN104540161A (zh) * | 2014-12-12 | 2015-04-22 | 大唐移动通信设备有限公司 | 一种节点状态检测方法和装置 |
| WO2016106592A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN106416171B (zh) * | 2014-12-30 | 2020-06-16 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN104765820B (zh) * | 2015-04-07 | 2018-05-11 | 浙江大学 | 一种非侵入式的服务依赖关系发现方法 |
| CN104765820A (zh) * | 2015-04-07 | 2015-07-08 | 浙江大学 | 一种非侵入式的服务依赖关系发现方法 |
| CN107454052A (zh) * | 2016-05-31 | 2017-12-08 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN107592312B (zh) * | 2017-09-18 | 2021-04-30 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN109150859A (zh) * | 2018-08-02 | 2019-01-04 | 北京北信源信息安全技术有限公司 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
| CN109150859B (zh) * | 2018-08-02 | 2021-03-19 | 北京北信源信息安全技术有限公司 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
| CN109167708A (zh) * | 2018-09-13 | 2019-01-08 | 中国人民解放军国防科技大学 | 一种基于滑动窗口的自适应在线异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701814A (zh) | 一种基于行为检测实现网络流量识别的方法及装置 | |
| CN102202064B (zh) | 基于网络数据流分析的木马通信行为特征提取方法 | |
| CN101378394B (zh) | 分布式拒绝服务检测方法及网络设备 | |
| CN107018084B (zh) | 基于sdn架构的ddos攻击防御网络安全方法 | |
| CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
| CN104168272A (zh) | 一种基于通信行为聚类的木马检测方法 | |
| CN109818970B (zh) | 一种数据处理方法及装置 | |
| CN104468507B (zh) | 基于无控制端流量分析的木马检测方法 | |
| CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| CN105681250A (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| CN103856470A (zh) | 分布式拒绝服务攻击检测方法及检测装置 | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| CN107370752B (zh) | 一种高效的远控木马检测方法 | |
| CN111200600B (zh) | 一种物联网设备流量序列指纹特征提取方法 | |
| CN103516727A (zh) | 网络主动防御系统及其更新方法 | |
| CN102201937A (zh) | 基于心跳行为分析的快速木马检测方法 | |
| CN109194608B (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 | |
| CN102752216B (zh) | 一种识别动态特征应用流量的方法 | |
| CN106878314A (zh) | 基于可信度的网络恶意行为检测方法 | |
| CN111953670A (zh) | 基于Meek传输插件的自适应混淆方法、系统及计算机存储介质 | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| CN101360090A (zh) | 应用层协议识别方法 | |
| CN107395597A (zh) | 一种虚拟主机防御优化方法 | |
| CN103475663A (zh) | 基于网络通信行为特征的木马识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |