CN103916288B - 一种基于网关与本地的Botnet检测方法及系统 - Google Patents
一种基于网关与本地的Botnet检测方法及系统 Download PDFInfo
- Publication number
- CN103916288B CN103916288B CN201310734546.5A CN201310734546A CN103916288B CN 103916288 B CN103916288 B CN 103916288B CN 201310734546 A CN201310734546 A CN 201310734546A CN 103916288 B CN103916288 B CN 103916288B
- Authority
- CN
- China
- Prior art keywords
- network packet
- network
- botnet
- assumed
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种基于网关与本地的Botnet检测方法及系统,首先,分别进行主机流量监控和网关流量监控,实时抓取网络数据包;通过解析获取网络数据包内容信息和时间信息;判断网络数据包之间的内容相似度、时间相似度或者主机网络行为,上述三种检测操作根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。本发明所给出的技术方案解决了特征码查杀与网络流量技术中的检测滞后性问题,并且不需要蜜罐技术那样的机群搭建,更加节省资源与时间。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于网关与本地的Botnet检测方法及系统。
背景技术
随着软硬件的快速更新换代及互联网的普及,恶意代码也相应发生着演变,无论从数量与种类上都呈现出几何级数的增长趋势。在恶意代码种类中有一大类为Botnet,也就是僵尸网络。Botnet是指采用多种传播手段,将大量主机感染bot程序,从而在控制者和被感染主机之间形成可以一对多控制的网络;其无论是针对用户机的控制性,还是危害性上,都排在恶意代码的前列。
自1993年以来,在IRC聊天网络中出现了第一个Bot工具——Eggdrop,后陆续出现了TFN、TFN2K、Trinoo、GTBot、Sdbot、Agobot、Gaobot、RBot、Spybot、Phatbot等各类Botnet恶意代码。其传播方式有主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等。Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,例如同时对某目标网站进行DDos攻击导致整个信息网络或者重要应用系统瘫痪,海量发送垃圾邮件、大量机密或个人隐私泄漏、滥用资源、从事网络欺诈等其他违法犯罪活动等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务。随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。
然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的僵尸主机。以Agobot为例,Agobot最新代码清晰,以模块化组合,添加新攻击功能简单,并提供文件和进程隐藏的Rootkit 能力,且Agobot包含了监测调试器(Softice和O11Dbg)和虚拟机(VMware 和Virtual PC)的功能。
据不完全统计,每天平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。针对Botnet目前比较流行的反制技术有:特征码查杀、蜜罐技术、网络流量技术、协议识别技术等。特征码查杀的规则添加是固定的;而现今恶意代码的更新技术发展迅速,层出不穷的新技术与新方法不断被使用以抵抗常规特征码查杀技术。蜜罐技术限制条件很多,机器配备、环境搭建、真实环境模拟等都会影响针对Botnet样本的捕获;目前反蜜罐技术也十分成熟。网络流量技术在网络规则与流量控制上存在滞后性,往往进行疫情事后处置。协议识别更是难以区分哪些是恶意代码利用哪些是正常行为。
发明内容
本发明提供了一种基于网关与本地的Botnet检测方法的实现方法,解决了目前在恶意代码特别是Botnet上的检测方法上的不足与滞后性,特别是在其针对未知可疑Botnet的检测上,能够准确定位网络行为异常、并进行多种模型组合判断与加权识别,最大程序上遏制了Botnet类可疑恶意代码的应用与传播等。
本发明主要是通过监控主机流量,判断其网络行为是否可疑;监控网关流量,并通过判定其网络数据包内容相似度和网络数据包时间相似度,判断其是否具有Botnet特征;并组合判断是否存在Botnet。
本发明采用如下方法来实现:一种基于网关与本地的Botnet检测方法,包括:
分别进行主机流量监控和网关流量监控,实时抓取网络数据包;
解析网关流量监控抓取的网络数据包,获取网络数据包内容信息,所述内容信息包括:源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash;并对于具有相同或者相似内容信息的网络数据包进行汇集和分析,并判断是否存在预设项目的内容信息相同或者相似的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;其中,如果存在网络数据包的目的IP地址相同、协议类型相同并且数据包片段hash相同,数据格式相似,则认为具有Botnet特征,随后可以结合其他检测操作共同进行判断;
解析网关流量监控抓取的网络数据包,获取网络数据包时间信息,所述时间信息包括:发送时间、接收时间或者时间间隔,对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息,并判断是否存在相同或者相似时间频率的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
当进行主机流量监控时发现主机存在网络行为,则监控预设时间后进行预设次数的重新启动,并判断是否每次重新启动后主机都存在相同或者相似的网络行为,若存在,则认为具有Botnet特征,否则认为安全;
上述三种检测操作根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。
当仅仅为一台主机时,只进行主机流量监控,随后进行主机网络行为检测操作,并判断所述主机是否具有Botnet特征;当进行多台主机的网络分析时,则网关流量与主机流量都要监控,随后进行网络数据包内容相似度判断和时间相似度判断和主机网络行为检测操作,并设置加权系数,最后判断是否存在Botnet。可以预先设定检测操作的组合方式,并设置权值大小,一旦匹配成功,则认为存在Botnet行为。
进一步地,在实时抓取网络数据包之后,进行下一步检测操作之前还包括:黑名单和白名单的匹配操作,若成功匹配黑名单,则拦截网络数据包,进行深度检测,若成功匹配白名单,则放行网络数据包,否则继续下一步检测操作。
进一步地,若认为具有Botnet特征,则利用主机流量监控抓取的网络数据包定位发包进程或者对应文件,或者利用网关流量监控与主机流量监控抓取的网络数据包组合定位发包进程或者对应文件,并进行后续处理。
进一步地,所述当进行主机流量监控时发现主机存在网络行为时,则解析所述网络行为,获取相关信息,包括:目的IP地址、协议类型、数据长度、数据格式或者数据包片段hash,并判断是否存在超过预设数量的网络数据包连接同一目的IP地址,并且所述网络数据包具有相同或者相似的相关信息,若存在,则认为具有Botnet特征,否则认为安全。
本发明采用如下系统来实现:一种基于网关与本地的Botnet检测系统,包括:
监控模块,包括主机流量监控子模块和网关流量监控子模块,用于实时抓取网络数据包;
C&C包相似度模块,用于解析网关流量监控子模块抓取的网络数据包,获取网络数据包内容信息,所述内容信息包括:源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash;并对于具有相同或者相似内容信息的网络数据包进行汇集和分析,并判断是否存在预设项目的内容信息相同或者相似的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;其中,如果存在网络数据包的目的IP地址相同、协议类型相同并且数据包片段hash相同,数据格式相似,则认为具有Botnet特征,随后可以结合其他检测操作共同进行判断;
时间相似度模块,用于解析网关流量监控子模块抓取的网络数据包, 获取网络数据包时间信息,所述时间信息包括发送时间、接收时间或者时间间隔,对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息,并判断是否存在相同或者相似时间频率的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
主机操作模块,用于当主机流量监控子模块发现主机存在网络行为,则监控预设时间后进行预设次数的重新启动,并判断是否每次重新启动后主机都存在相同或者相似的网络行为,若存在,则认为具有Botnet特征,否则认为安全;
组合加权模块,用于将C&C包相似度模块、时间相似度模块和主机操作模块根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。
其中,当仅仅为一台主机时,只需要主机流量监控子模块抓取网络数据包,随后由主机操作模块进行检测操作,并判断所述主机是否具有Botnet特征;当进行多台主机的网络行为分析时,则网关流量监控子模块和主机流量监控子模块都需要抓取网络数据包,随后由C&C包相似度模块、时间相似度模块和主机操作模块组合进行检测操作,并设置加权系数,最后判断是否存在Botnet。可以预先设定三种模块的组合方式,并设置权值大小,一旦匹配成功,则认为存在Botnet行为。
进一步地,在实时抓取网络数据包之后,进行下一步检测操作之前还包括:黑名单和白名单的匹配操作,若成功匹配黑名单,则拦截网络数据包,进行深度检测,若成功匹配白名单,则放行网络数据包,否则继续下一步检测操作。
进一步地,若认为具有Botnet特征,则利用主机流量监控抓取的网络数据包定位发包进程或者对应文件,或者利用网关流量监控与主机流量监控抓取的网络数据包组合定位发包进程或者对应文件,并进行后续处理。
进一步地,所述当进行主机流量监控时发现主机存在网络行为时,则解析所述网络行为,获取相关信息,包括:目的IP地址、协议类型、数据长度、数据格式或者数据包片段hash,并判断是否存在超过预设数量的网络数据包连接同一目的IP地址,并且所述网络数据包具有相同或者相似的相关信息,若存在,则认为具有Botnet特征,否则认为安全。
综上所述,本发明提供了一种基于网关与本地的Botnet检测方法及系统,本发明提供的技术方案对流行恶意代码尤其是Botnet的新变种或新家族能够第一时间形成查杀与拦截,且检测方法内的模型易于增删、易于扩展、易于维护;在维护中只需要调整模型的组合方式与权值设置,没有额外的开发及人工开销。在模型扩展与增删中各自较为独立,耦合性低,所以极大的方便了信息安全工程师的处置,可以解决常规策略增加的困难及开发周期长的问题。解决了传统的恶意代码特征库只能查杀已知恶意代码的弊端。能够很好的弥补特征码查杀、蜜罐技术、网络流量技术、协议识别等主流的检测方法上的不足。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于网关与本地的Botnet检测方法实施例流程图;
图2为本发明提供的一种基于网关与本地的Botnet检测系统实施例结构图。
具体实施方式
本发明给出了一种基于网关与本地的Botnet检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于网关与本地的Botnet检测方法实施例,如图1所示,包括:
S101进行主机流量监控,实时抓取网络数据包,继续执行S102;S111进行网关流量监控,实时抓取网络数据包,继续执行S112或者S122;
S112解析网关流量监控抓取的网络数据包,获取网络数据包内容信息,所述内容信息包括:源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash;
S113对于具有相同或者相似内容信息的网络数据包进行汇集和分析;
S114判断是否存在预设项目的内容信息相同或者相似的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;继续执行S131;
例如,以拒绝服务攻击为例,使用Botnet发动DDos攻击,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。众多bots所发出的数据包相似之处为目的IP地址相同、数据包内容相同、长度相同、只是源IP地址不同,但机器数量可通过源IP数量进行统计;
S122解析网关流量监控抓取的网络数据包,获取网络数据包时间信息,所述时间信息包括:发送时间、接收时间或者时间间隔;
S123对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息;
S124判断是否存在相同或者相似时间频率的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;继续执行S131;
例如,同样以拒绝服务攻击为例进行说明:攻击者以命令形式在特定的时间同时开始连续访问特定的网络目标时,存在同时发送数据、数据包内容信息高度匹配的网络数据包,便能够判定为可疑恶意代码。在时间相似度上主要分为几种情况:一种为大量不同源IP主机数据包,同时向同一目的IP进行访问。别一种为同IP主机在固定的时间间隔内向目的主机发送相同或相似数据包。再有典型行为是在特定时间段,同一IP存在大量的数据访问。
S102当进行主机流量监控时发现主机存在网络行为,则监控预设时间后进行预设次数的重新启动;所述预设次数可以为3次或者根据需要设置;
S103判断是否每次重新启动后主机都存在相同或者相似的网络行为,若存在,则认为具有Botnet特征,否则认为安全;
S131上述三种检测操作根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。
优选地,在实时抓取网络数据包之后,进行下一步检测操作之前还包括:黑名单和白名单的匹配操作,若成功匹配黑名单,则拦截网络数据包,进行深度检测,若成功匹配白名单,则放行网络数据包,否则继续下一步检测操作。
优选地,若认为具有Botnet特征,则利用主机流量监控抓取的网络数据包定位发包进程或者对应文件,或者利用网关流量监控与主机流量监控抓取的网络数据包组合定位发包进程或者对应文件,并进行后续处理。
优选地,所述当进行主机流量监控时发现主机存在网络行为时,则解析所述网络行为,获取相关信息,包括:目的IP地址、协议类型、数据长度、数据格式或者数据包片段hash,并判断是否存在超过预设数量的网络数据包连接同一目的IP地址,并且所述网络数据包具有相同或者相似的相关信息,若存在,则认为具有Botnet特征,否则认为安全。例如:主机的多个网络数据包均连接同一目的IP地址,且数据包片段hash相似或者数据格式相似时,则有Botnet特征,可以结合其他检测操作继续判断。
本发明还提供了一种基于网关与本地的Botnet检测系统实施例,如图2所示,包括:
监控模块201,包括主机流量监控子模块201-1和网关流量监控子模块201-2,用于实时抓取网络数据包;
C&C包相似度模块202,用于解析网关流量监控子模块抓取的网络数据包,获取网络数据包内容信息,所述内容信息包括:源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash;并对于具有相同或者相似内容信息的网络数据包进行汇集和分析,并判断是否存在预设项目的内容信息相同或者相似的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
时间相似度模块203,用于解析网关流量监控子模块抓取的网络数据包, 获取网络数据包时间信息,所述时间信息包括发送时间、接收时间或者时间间隔,对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息,并判断是否存在相同或者相似时间频率的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
主机操作模块204,用于当主机流量监控子模块发现主机存在网络行为,则监控预设时间后进行预设次数的重新启动,并判断是否每次重新启动后主机都存在相同或者相似的网络行为,若存在,则认为具有Botnet特征,否则认为安全;
组合加权模块205,用于将C&C包相似度模块、时间相似度模块和主机操作模块根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。
所述权值包括模块内部权值判定和模块组合权值判定,下面举例说明:
C&C包相似度模块:
多个网络数据包当目的IP地址相同、协议类型相同、数据包片段Hash相同时,可判定为Botnet,此相似度权值为10。
多个网络数据包当目的IP地址相同、协议类型相同、数据内容不同,相似度权值为5。
时间相似度模块:
多个网络数据包在C&C包相似度模块的基础上,存在发送时间相同,则时间相似度权值为5。
多个网络数据包在C&C包相似度模型的基础上,存在发送时间都集中在同一段时间,则时间相似度权值为3。
主机操作模块:
当存在目的IP地址相同、协议类型相同、发包时间间隔相同、并包的数据格式相似,则权值为10。
当存在目的IP地址相同、协议类型相同、多次重启动操作均连接此外网IP,并数据片段Hash相同,则权值为10。
当存在目的IP地址不同,但协议类型相同,多次重启动均连接些几个外网IP,则权值为5。
优选地,在实时抓取网络数据包之后,进行下一步检测操作之前还包括:黑名单和白名单的匹配操作,若成功匹配黑名单,则拦截网络数据包,进行深度检测,若成功匹配白名单,则放行网络数据包,否则继续下一步检测操作。
优选地,若认为具有Botnet特征,则利用主机流量监控抓取的网络数据包定位发包进程或者对应文件,或者利用网关流量监控与主机流量监控抓取的网络数据包组合定位发包进程或者对应文件,并进行后续处理。
优选地,所述当进行主机流量监控时发现主机存在网络行为时,则解析所述网络行为,获取相关信息,包括:目的IP地址、协议类型、数据长度、数据格式或者数据包片段hash,并判断是否存在超过预设数量的网络数据包连接同一目的IP地址,并且所述网络数据包具有相同或者相似的相关信息,若存在,则认为具有Botnet特征,否则认为安全。
如上所述,本发明给出了一种基于网关与本地的Botnet检测方法及系统的具体实施例,其与传统方法的区别在于,传统的Botnet检测为基于特征码检测、蜜罐技术或者网络流量检测技术;这些传统方法存在很多弊端,首先检测存在一定的滞后性,或者需要大量机群的搭建,并且对于未知的Botnet基本没有检测能力。本发明所给技术方案以网关流量监控和主机流量监控为基础,抓取网络数据包并解析,对于网关流量监控的网络数据包,获取其内容信息和时间信息,并判定网络数据包之间的内容相似度和时间相似度;对于主机流量监控抓取的网络数据包,获取其网络行为信息;并将以上检测操作彼此组合和加权来判断是否存在Botnet,该方法的时间复杂度低,并且不依赖于已知Botnet特征码,管理和维护简单,不需要搭建复杂机群,即可有效检测Botnet。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种基于网关与本地的Botnet检测方法,其特征在于,包括:
分别进行主机流量监控和网关流量监控,实时抓取网络数据包;
解析网关流量监控抓取的网络数据包,获取网络数据包内容信息,所述内容信息包括:源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash;并对于具有相同或者相似内容信息的网络数据包进行汇集和分析,并判断是否存在预设项目的内容信息相同或者相似的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
解析网关流量监控抓取的网络数据包,获取网络数据包时间信息,所述时间信息包括:发送时间、接收时间或者时间间隔,对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息,并判断是否存在相同或者相似时间频率的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
当进行主机流量监控时发现主机存在网络行为,则监控预设时间后进行预设次数的重新启动,并判断是否每次重新启动后主机都存在相同或者相似的网络行为,若存在,则认为具有Botnet特征,否则认为安全;
上述三种检测操作根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。
2.如权利要求1所述的方法,其特征在于,在实时抓取网络数据包之后,进行下一步检测操作之前还包括:黑名单和白名单的匹配操作,若成功匹配黑名单,则拦截网络数据包,进行深度检测,若成功匹配白名单,则放行网络数据包,否则继续下一步检测操作。
3.如权利要求1所述的方法,其特征在于,若认为具有Botnet特征,则利用主机流量监控抓取的网络数据包定位发包进程或者对应文件,或者利用网关流量监控与主机流量监控抓取的网络数据包组合定位发包进程或者对应文件,并进行后续处理。
4.如权利要求1所述的方法,其特征在于,所述当进行主机流量监控时发现主机存在网络行为时,则解析所述网络行为,获取相关信息,包括:目的IP地址、协议类型、数据长度、数据格式或者数据包片段hash,并判断是否存在超过预设数量的网络数据包连接同一目的IP地址,并且所述网络数据包具有相同或者相似的相关信息,若存在,则认为具有Botnet特征,否则认为安全。
5.一种基于网关与本地的Botnet检测系统,其特征在于,包括:
监控模块,包括主机流量监控子模块和网关流量监控子模块,用于实时抓取网络数据包;
C&C包相似度模块,用于解析网关流量监控子模块抓取的网络数据包,获取网络数据包内容信息,所述内容信息包括:源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash;并对于具有相同或者相似内容信息的网络数据包进行汇集和分析,并判断是否存在预设项目的内容信息相同或者相似的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
时间相似度模块,用于解析网关流量监控子模块抓取的网络数据包,获取网络数据包时间信息,所述时间信息包括发送时间、接收时间或者时间间隔,对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息,并判断是否存在相同或者相似时间频率的网络数据包,若存在,则认为具有Botnet特征,否则认为安全;
主机操作模块,用于当主机流量监控子模块发现主机存在网络行为,则监控预设时间后进行预设次数的重新启动,并判断是否每次重新启动后主机都存在相同或者相似的网络行为,若存在,则认为具有Botnet特征,否则认为安全;
组合加权模块,用于将C&C包相似度模块、时间相似度模块和主机操作模块根据需要进行组合使用,并分别设置权值,判断总权值是否达到预警值,若是,则认为存在Botnet,并报警,否则认为安全。
6.如权利要求5所述的系统,其特征在于,在实时抓取网络数据包之后,进行下一步检测操作之前还包括:黑名单和白名单的匹配操作,若成功匹配黑名单,则拦截网络数据包,进行深度检测,若成功匹配白名单,则放行网络数据包,否则继续下一步检测操作。
7.如权利要求5所述的系统,其特征在于,若认为具有Botnet特征,则利用主机流量监控抓取的网络数据包定位发包进程或者对应文件,或者利用网关流量监控与主机流量监控抓取的网络数据包组合定位发包进程或者对应文件,并进行后续处理。
8.如权利要求5所述的系统,其特征在于,所述当进行主机流量监控时发现主机存在网络行为时,则解析所述网络行为,获取相关信息,包括:目的IP地址、协议类型、数据长度、数据格式或者数据包片段hash,并判断是否存在超过预设数量的网络数据包连接同一目的IP地址,并且所述网络数据包具有相同或者相似的相关信息,若存在,则认为具有Botnet特征,否则认为安全。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310734546.5A CN103916288B (zh) | 2013-12-27 | 2013-12-27 | 一种基于网关与本地的Botnet检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310734546.5A CN103916288B (zh) | 2013-12-27 | 2013-12-27 | 一种基于网关与本地的Botnet检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916288A CN103916288A (zh) | 2014-07-09 |
| CN103916288B true CN103916288B (zh) | 2017-11-28 |
Family
ID=51041706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310734546.5A Active CN103916288B (zh) | 2013-12-27 | 2013-12-27 | 一种基于网关与本地的Botnet检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916288B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
| CN105516164B (zh) * | 2015-12-22 | 2018-11-27 | 中国科学院长春光学精密机械与物理研究所 | 基于分形与自适应融合的P2P botnet检测方法 |
| US10911472B2 (en) * | 2016-02-25 | 2021-02-02 | Imperva, Inc. | Techniques for targeted botnet protection |
| CN106060025A (zh) * | 2016-05-24 | 2016-10-26 | 北京奇虎科技有限公司 | 应用程序的自动分类方法和装置 |
| CN106101061A (zh) * | 2016-05-24 | 2016-11-09 | 北京奇虎科技有限公司 | 恶意程序的自动分类方法和装置 |
| CN106657100A (zh) * | 2016-12-29 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种基于数据包过滤的远程控制恶意程序检测方法及系统 |
| CN110795730A (zh) * | 2018-10-23 | 2020-02-14 | 北京安天网络安全技术有限公司 | 一种恶意文件彻底清除方法、系统及存储介质 |
| TWI729320B (zh) * | 2018-11-01 | 2021-06-01 | 財團法人資訊工業策進會 | 可疑封包偵測裝置及其可疑封包偵測方法 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8925101B2 (en) * | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
-
2013
- 2013-12-27 CN CN201310734546.5A patent/CN103916288B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于机网联合的P2P Bot检测方法的研究与实现;丁晓江;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20130315(第03期);I139-153 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916288A (zh) | 2014-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103916288B (zh) | 一种基于网关与本地的Botnet检测方法及系统 | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
| Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
| CN105141604B (zh) | 一种基于可信业务流的网络安全威胁检测方法及系统 | |
| US7941853B2 (en) | Distributed system and method for the detection of eThreats | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| EP3108401B1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US11816214B2 (en) | Building multi-representational learning models for static analysis of source code | |
| US20150341389A1 (en) | Log analyzing device, information processing method, and program | |
| US20060123481A1 (en) | Method and apparatus for network immunization | |
| JP2016520237A (ja) | ハニーポートが有効なネットワークセキュリティ | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
| CN106982188A (zh) | 恶意传播源的检测方法及装置 | |
| Umamaheswari et al. | Honeypot TB-IDS: trace back model based intrusion detection system using knowledge based honeypot construction model | |
| Shabtai et al. | Monitoring, analysis, and filtering system for purifying network traffic of known and unknown malicious content | |
| CN112788065A (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
| CN109981602B (zh) | 利用物联网安全网关系统进行的物联网安全网关防护方法 | |
| Ersson et al. | Botnet detection with event-driven analysis | |
| TWI793650B (zh) | 具深度學習之工控網路威脅智慧偵測系統及訓練系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee after: Harbin Antian Science and Technology Group Co.,Ltd. Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: HARBIN ANTIY TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180613 Address after: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No. Patentee after: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No. Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd. Address before: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No. Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd. |