CN104468507A - 基于无控制端流量分析的木马检测方法 - Google Patents

基于无控制端流量分析的木马检测方法 Download PDF

Info

Publication number
CN104468507A
CN104468507A CN201410591205.1A CN201410591205A CN104468507A CN 104468507 A CN104468507 A CN 104468507A CN 201410591205 A CN201410591205 A CN 201410591205A CN 104468507 A CN104468507 A CN 104468507A
Authority
CN
China
Prior art keywords
data flow
data
bunch
flow
tuple
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410591205.1A
Other languages
English (en)
Other versions
CN104468507B (zh
Inventor
刘胜利
王文冰
武东英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201410591205.1A priority Critical patent/CN104468507B/zh
Publication of CN104468507A publication Critical patent/CN104468507A/zh
Application granted granted Critical
Publication of CN104468507B publication Critical patent/CN104468507B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于无控制端流量分析的木马检测方法,首先,将捕获的网络数据包进行整理:按照五元组信息和协议规范要求组织成数据流;然后对这些数据流按照等价四元组进行分类,形成一个个由四元组标识的数据流集合;然后采用基于时间戳的数据流聚类算法对数据流集合中的数据流进行聚类,形成数据流簇。本发明在对网络数据流进行聚类形成数据流簇的基础上,以数据流簇为单位处理数据流,分析木马通信行为与正常网络通信行为的差别,并结合统计分析、数据挖掘等技术,深入挖掘二者之间的差别并提取网络通信特征,利用本发明可以实现对网络中的无控制端木马流量进行检测。

Description

基于无控制端流量分析的木马检测方法
技术领域
本发明涉及一种基于通信数据流量分析的木马检测技术,特别是涉及一种基于无控制端流量分析的木马检测方法。
背景技术
当前的窃密攻击大多数是采用木马实现,木马最大的特点即是其行为往往带有较强的隐蔽性。木马被成功植入到目标计算机后,木马控制端必须和被控端进行通信,以便给被控端下达控制指令或者控制被控端将所获取的信息回传给控制端。现阶段对木马通信流量的检测识别主要针对木马被控制端程序和控制端程序已经建立连接的情形,对控制端程序未上线的情况关注较少。在网络中,木马的控制端未上线情况下,木马被控端程序同样会向控制端发送连接请求,产生无控制端的通信数据流(简称无控制端流量),并且这些数据流量少,不能形成完整的数据流会话,传统基于通信数据流的木马检测方法对于这类无控制端木马流量不具备检测能力。通过对木马程序产生的无控制端流量进行检测,可以有效提高局域网的安全性,增强基于数据流统计特征木马检测方法的检测能力。因此,如何有效检测木马被控制端程序产生的无控制端流量就成为信息安全领域一个重要的理论和技术问题。
目前,基于通信数据流的木马检测方法很多,主要方法集中在攻击者与被控端之间的交互操作行为的检测,还未出现针对木马无控制端流量进行检测的方法,而且此类方法均存在一定缺陷,并且不具备良好的通用性。
李世淙对木马的通信全过程进行了简要的描述,并根据木马的通信特征将木马通信过程划分成一条主要连接和多条次要连接,并提取各数据流中数据包数量的上传下载比、数据量的上传下载比、通信会话的持续时间与主连接持续时间之比、主连接上的数据包时间间隔的均值等统计特征建立木马检测模型。木马连接中主连接和次连接的划分有时候并不是非常明显,导致部分数据流特征提取不够精确,影响检测的准确率。
Tegeler通过从两个终端的通信数据中提取Trace,以Trace为单位提取平均包间隔时间,平均流持续时间,平均上行字节数,平均下行字节数,以及对通信控制流的快速傅立叶变换这5个特征对局域网内部的通信流量进行检测。通过对7款木马程序进行实验测试,发现对不同的木马程序,各属性的识别权重不同,其中快速傅立叶变换在多数木马通信的检测中很重要。但是作者对于Trace的定义没有描述清晰,导致实现难度较大,同时对部分木马程序的检测率较低。
陈利对五元组(源IP、目的IP、源端口、目的端口、协议)中的数据包进行聚类形成数据包簇,提取数据包簇的八个统计特征,并计算数据包簇之间的加权欧氏距离,以此作为木马检测的依据。该方法对数据流中数据包的到达时间间隔依赖过高,当木马的数据包规律不明显时,数据包聚类效果变差,会导致该方法失效。
刘璇使用NetFlow技术对通信数据流进行采集,并选取了源IP和目的IP对之间数据包字节数、数据包数量、数据流来源子网个数、源端口个数、目的端口个数、各协议所占总流量比例、各源端口所占总流量比例、各目的端口所占总流量比例等特征对用户的行为进行分析统计,并设计用户行为距离公式,检测非正常用户的通信流量行为。由于对用户建模选取的有不同端口的数据,木马程序利用隐蔽通道技术,将自己的通信速度降低,弱化自己的流量特征会导致该方法失效。
以下对本发明涉及的基本概念进行解释.
数据流:数据流是由应用程序发送和接收的网络数据包组成,是两台主机信息交流的集合,即将五元组信息(源IP、目的IP、源端口、目的端口、协议)相同的数据包按照协议规范要求和时间顺序组成的数据包队列。数据流f可以表示成:f={pkt1,pkt2,……,pktn},其中n为数据流中数据包个数,pk表示顺序到达的数据包。
四元组:称{源IP地址、目的IP地址、目的端口、协议}为四元组。
五元组:称{源IP地址、目的IP地址、源端口、目的端口、协议}为五元组。
等价四元组:若四元组{a1,b1,c1,d1}和{a2,b2,c2,d2}满足:a1=c2且b1=d2且c1=a2且d1=b2,则称{a1,b1,c1,d1}和{a2,b2,c2,d2}为等价四元组。
数据流开始时间:数据流中第一个数据包的时间戳。
数据流结束时间:数据流中最后一个数据包的时间戳。
数据流簇开始时间:数据流簇中数据流开始时间的最小值。
数据流簇结束时间:数据流簇中数据流结束时间的最大值。
发明内容
本发明的目的是通过对木马被控制端程序产生的无控制端流量分析,发现木马无控制端流量的特征,实现对网络中木马无控制端流量的有效检测,以便及时检测潜伏在局域网中的木马程序,保护局域网的安全。具体是提供一种基于无控制端流量分析的木马检测方法。
技术方案:一种基于无控制端流量分析的木马检测方法,首先将捕获的数据流按照等价四元组进行分类,形成数据流集合,然后在数据流集合中,按照基于时间戳的数据流聚类算法对数据流进行聚类形成数据流簇,最后在数据流簇上提取数据流最小差异度和源端口有序度,检测疑似木马。
首先需要通过四元组信息对数据流进行分类,本文中数据流是一条条五元组信息相同的数据包时间队列,数据流可以表示为f={pkt1,pkt2,……,pktn},其中n为数据流中数据包个数,pk表示顺序到达的数据包。各个数据流f由五元组信息标识。对数据流按照等价四元组进行分类,将四元组信息相同的数据流聚集在一个四元组标识的数据流集合U中,四元组分类后的数据流集合U={f1,f2……,fn},fi表示数据流,其中fj∈U,fi和fj的四元组信息相同。
然后在四元组标识的数据流集合中,按照基于时间戳的数据流聚类算法对数据流进行聚类形成数据流簇,所述基于时间戳的数据流聚类算法是:
时间戳论域:设T={(t1,t1'),(t2,t'2),…,(tn,t'n),…}是待划分的数据流开始时间戳和结束时间戳集合,T中的每个对象ti是第i个数据流的开始时间戳,t'i是第i个数据流的结束时间戳。
簇半径阈值:设ε为簇半径阈值,数据流簇的结束时间和下个数据流的开始时间间隔小于该阈值的将被聚类在一个数据流簇中。
簇集合:设Sj={c1,c2,…,cm}是数据流集合Sj经划分得到的一个个数据流簇的集合,P(ci)={ci1,ci2,…,cik}是Sj中的每个数据流簇ci(1≤i≤m)的特征矢量。
界标窗口:因为数据流是顺序出现的,因此选取界标窗口来存储时间戳论域T,界标窗口的长度ΔW为起始时间点到当前时间点为止记录的数据流个数。
基于时间戳的数据流聚类算法以数据流集合S和簇半径阈值ε为输入,数据流集合S使用会话四元组(源IP、目的IP、目的端口、协议)标识,簇半径阈值ε的单位为秒,以生成的S'={(ci,P(ci))|(1≤i≤m)}为输出。顺序遍历数据流集合中的每个数据流,通过计算当前数据流的开始时间与数据流簇的结束时间间隔判断加入当前簇还是新建簇,1≤i≤m,1≤j≤m,i、j、m、n分别为大于0的自然数;S是输入的数据流集合和数据流S'是经过聚类后的数据流簇。
输入:数据流集合S,簇半径阈值ε;
输出:生成的簇集合S'。
Begin
(1)初始化簇数据量j=0,窗口长度ΔW=0;/*记录簇和数据流个数*/
(2)While(数据流集合S未结束&S中新到达的数据流f已经结束);
(3)f的开始时间为ti,结束时间为t'i
(4)If(j=0)j++,ΔW++;
(5)以f为起始建立新的簇cj,创建簇矢量P(cj);
(6)P(cj)的开始时间结束时间
(7)更新簇矢量P(cj),ΔW++;
(8)P(cj)的结束时间
(9)Else j++,ΔW++;以数据流f为起始建立新的簇cj,创建簇矢量P(cj);
(10)End if
(11)End if
(12)End while
End
通过采用基于时间戳的数据流聚类算法对数据流进行聚类,产生一个个数据流簇,其中簇半径阈值ε决定了数据流簇聚类的效果,本文通过大量的实验统计,当簇半径阈值ε=35(秒)时,聚类效果最好。
数据流簇中数据流最小差异度为数据流簇中任意两条数据流的差异度最小值。在一个数据流簇中,并不是所有的数据流都参与计算数据流之间的差异度。计算两条数据流的差异度需要满足如下条件:
1)两条数据流中数据包个数相同,且大于2,对应的数据包数据长度相同;
2)两条数据流中数据包都是单向的,且单向的方向(上行/下行)是相同的。
本文采用数据包到达时间间隔和数据包大小两个属性计算相似度。用t和q表示数据包的时间戳和数据长度两个属性,数据流f可以表示成:
f={(t1,q1),(t2,q2),……(tn,qn)}
其中n(n>2),数据流簇中两个数据流f和f'的差异度diff为:
diff = Σ i = 1 n - 1 ( ( ( t i + 1 - t i ) - ( t i + 1 ′ - t i ′ ) ) 2 + ( q i - q i ′ ) 2 ) n - 1
当数据流簇无法计算数据流差异度时,数据流簇的最小差异度为99999。
源端口有序度采用数据流簇中源端口号的明考斯基距离表示。计算源端口有序度需要的条件为:
1)数据流簇中至少有两个源端口不同的数据流;
2)数据流簇中的源端口号大小按降序排列,并去除重复的端口号。
源端口有序度order为:
order = n - 1 Σ i = 1 n - 2 [ ( a i + 1 - a i ) 2 - ( a i + 2 - a i + 1 ) 2 ] 2
其中n>2,ai表示第i(1≤i≤n)个端口号大小,当数据流簇中源端口数小于等于2时,有序度为0,当源端口号的大小成等差数列排列时,公式分母为0,本文设定此时的源端口号有序度为9。
根据数据流簇的最小数据流差异度和源端口有序度对无控制端木马流量进行检测。
1)当数据流簇的最小数据流差异度0<min_diff<0.375且源端口号有序度order>0.45时,判断该无控制端流量为木马流量。
2)当数据流簇的最小数据流差异度min_diff=0且数据流数n>2(n为整数)时,判断该无控制端流量为木马流量。
本发明的有益效果:
本发明在对网络数据流聚类形成数据流簇的基础上,以簇为单位处理网络数据流,分析木马通信行为与正常网络通信行为在数据流簇上的差别,并结合统计分析、数据挖掘等技术,深入挖掘二者之间的差别并提取网络通信特征,在此基础上,可根据通信行为特征的自身特点设计无控制端木马流量检测算法,利用本发明可以实现对网络中的无控制端木马流量进行检测。
附图说明
图1网络程序(10款木马和3款正常程序)产生的数据流聚类效果图;
图2木马(灰鸽子、ghost)数据流相似性图;
图3源端口号有序度对比图。
具体实施方式
实施例1:基于无控制端流量分析的木马检测方法为:
首先,捕获网络主机产生的数据包,记录数据包的源IP、目的IP、源端口、目的端口、协议、时间戳和数据长度信息,将数据包按照本文数据流的要求进行组织形成数据流。然后根据四元组(源IP、目的IP、目的端口和协议)信息对数据流进行分类,形成一个个由四元组信息唯一标识的数据流集合,再按照基于时间戳的数据流聚类算法对数据流集合中的数据流进行聚类,形成数据流簇。最后在数据流簇上提取数据流最小差异度和源端口有序度,对无控制端木马流量进行检测。
1、根据四元组信息对数据流分类
对数据流进行等价四元组分类的目的是将不同应用程序产生的数据流进行分离,为同一应用程序产生的数据流聚类做准备。对应用程序产生的数据流进行聚类,不希望将不同应用程序产生的数据流聚类在一起。在数据流中,源端口和目的端口信息可以区分不同应用程序产生的数据流。因此对不同应用程序产生的数据流进行分类就依赖源端口和目的端口这两个属性。
本文中数据流是一条条五元组信息相同的数据包时间队列,数据流可以表示为f={pkt1,pkt2,……,pktn},其中n为数据流中数据包个数,pk表示顺序到达的数据包。各个数据流f由五元组(源IP、目的IP、源端口、目的端口、协议)信息标识。对数据流按照四元组进行分类,将四元组信息相同的数据流聚集在一个四元组标识的数据流集合U中,四元组分类后的数据流集合U={f1,f2……,fn},fi表示数据流,其中fj∈U,fi和fj的四元组信息相同。
2、基于时间戳的数据流聚类算法
数据流聚类的目的是将应用程序一次通信产生的数据流融合在一起形成数据流簇,然后从数据流簇中提取属性描述无控制端木马流量和正常应用程序流量的区别,对无控制端木马流量进行检测。应用程序产生的数据流是在应用程序运行过程中产生的,即当应用程序不运行时,不会产生数据流,因此同一应用程序产生的数据流在数据流的开始时间属性上比较接近。因此给出基于时间戳的数据流聚类算法,对数据流进行聚类,下面给出具体的算法描述。
①基本定义
定义1时间戳论域:设T={(t1,t1'),(t2,t'2),…,(tn,t'n),…}是待划分的数据流开始时间戳和结束时间戳集合,T中的每个对象ti是第i个数据流的开始时间戳,t'i是第i个数据流的结束时间戳。
定义2簇半径阈值:设ε为簇半径阈值,数据流簇的结束时间和下个数据流的开始时间间隔小于该阈值的将被聚类在一个数据流簇中。
定义3簇集合:设Sj={c1,c2,…,cm}是数据流集合Sj经划分得到的一个个数据流簇的集合,P(ci)={ci1,ci2,…,cik}是Sj中的每个数据流簇ci(1≤i≤m)的特征矢量。
定义4界标窗口:因为数据流是顺序出现的,因此选取界标窗口来存储时间戳论域T,界标窗口的长度ΔW为起始时间点到当前时间点为止记录的数据流个数。
②算法描述
基于时间戳的数据流聚类算法以数据流集合S和簇半径阈值ε为输入,数据流集合S使用会话四元组(源IP、目的IP、目的端口、协议)标识,簇半径阈值ε的单位为秒,以生成的S'={(ci,P(ci))|(1≤i≤m)}为输出。顺序遍历数据流集合中的每个数据流,通过计算当前数据流的开始时间与数据流簇的结束时间间隔判断加入当前簇还是新建簇,1≤i≤m,1≤j≤m,i、j、m、n分别为大于0的自然数;S是输入的数据流集合和数据流S'是经过聚类后的数据流簇。
输入:数据流集合S,簇半径阈值ε;
输出:生成的簇集合S'。
Begin
(1)初始化簇数据量j=0,窗口长度ΔW=0;/*记录簇和数据流个数*/
(2)While(数据流集合S未结束&S中新到达的数据流f已经结束);
(3)f的开始时间为ti,结束时间为ti'
(4)If(j=0)j++,ΔW++;
(5)以f为起始建立新的簇cj,创建簇矢量P(cj);
(6)P(cj)的开始时间结束时间
(7)更新簇矢量P(cj),ΔW++;
(8)P(cj)的结束时间
(9)Else j++,ΔW++;以数据流f为起始建立新的簇cj,创建簇矢量P(cj);
(10)End if
(11)End if
(12)End while
End
在本文中,簇半径阈值ε取值35秒。通过基于时间戳的数据流聚类,网络数据流按簇进行划分。每个簇内的数据流之间具有较强的时间相关性,簇与簇之间的时间间隔反映了不同的网络程序通信行为。
3.计算数据流簇的最小数据流差异度
图1展示了两款木马程序在请求建立连接阶段发送的数据包时间戳和发送端口两种会话属性的关系,图1中每款木马都有3条会话,每个会话中有3个数据包。由图1可知,木马1和木马2各有三条数据流,每条数据流中数据包数为3,并且数据包大小(图1中未显示)一致,形成木马1的数据流簇和木马2的数据流簇。通过观察关系曲线可得各数据流簇中数据流有差异度极小。
在一个数据流簇中,当同时满足如下2个条件,才能计算两条数据流的差异度:
1)两条数据流中数据包个数相同,且大于2,对应的数据包数据长度相同;
2)两条数据流中数据包都是单向的,且单向的方向(上行/下行)是相同的。
本文采用数据包到达时间间隔和数据包大小两个属性计算相似度。用t和q表示数据包的时间戳和数据长度两个属性,数据流f可以表示成:
f={(t1,q1),(t2,q2),……(tn,qn)}
其中n(n>2),数据流簇中两个数据流f和f'的差异度diff为:
diff = &Sigma; i = 1 n - 1 ( ( ( t i + 1 - t i ) - ( t i + 1 &prime; - t i &prime; ) ) 2 + ( q i - q i &prime; ) 2 ) n - 1
当数据流簇无法计算数据流差异度时,数据流簇的最小差异度为99999。数据流簇中数据流最小差异度min_diff为数据流簇中任意两条数据流的差异度最小值。
源端口有序度采用数据流簇中源端口号的明考斯基距离表示。计算源端口有序度需要同时满足下列条件:
1)数据流簇中至少有两个源端口不同的数据流;
2)数据流簇中的源端口号大小按降序排列,并去除重复的端口号。
源端口有序度order为:
order = n - 1 &Sigma; i = 1 n - 2 [ ( a i + 1 - a i ) 2 - ( a i + 2 - a i + 1 ) 2 ] 2
其中n>2,ai表示第i(1≤i≤n)个端口号大小,当数据流簇中源端口数小于等于2时,有序度为0,当源端口号的大小成等差数列排列时,公式分母为0,本文设定此时的源端口号有序度为9。
根据数据流簇的最小数据流差异度min_diff和源端口有序度order对无控制端木马流量进行检测。
1)当数据流簇的最小数据流差异度min_diff<0.375且源端口号有序度order>0.45时,判断该无控制端流量为木马流量。
2)当数据流簇的最小数据流差异度min_diff=0且数据流数n>3时,判断该无控制端流量为木马流量。

Claims (4)

1.一种基于无控制端流量分析的木马检测方法,其特征在于:包括以下步骤:
(1)将捕获的网络无控制端数据包进行整理:按照五元组信息和协议规范要求组织成数据流,数据流f={pkt1,pkt2,……,pktn},数据流是多条五元组信息相同的数据包时间队列,其中n为数据流中数据包个数,pk表示顺序到达的数据包,各个数据流f由五元组信息标识;所述无控制端流量是指木马被控制端程序在无法连接到木马控制端情况下,产生的网络流量;
(2)对这些数据流按照等价四元组进行分类,形成多个由四元组标识的数据流集合;将四元组信息相同的数据流聚集在一个四元组标识的数据流集合U中,四元组分类后的数据流集合U={f1,f2……,fn},fi表示数据流,其中fi和fj的四元组信息相同;
(3)采用基于时间戳的数据流聚类算法对数据流集合中的数据流进行聚类,形成数据流簇;
(4)在数据流簇上提取数据流最小差异度和源端口有序度:
数据流簇的最小数据流差异度的判断,数据流簇中两条数据流差异度diff计算方法为:
diff = &Sigma; i = 1 n - 1 ( ( ( t i + 1 - t i ) - ( t i + 1 &prime; - t i &prime; ) ) 2 + ( q i - q i &prime; ) 2 ) n - 1
数据流簇的最小数据流差异度min_diff是所有数据流差异度diff的最小值;
数据流簇的端口有序度的判断,数据流簇的源端口有序度order计算方法为:
order = n - 1 &Sigma; i = 1 n - 2 [ ( a i + 1 - a i ) 2 - ( a i + 2 - a i + 1 ) 2 ] 2
其中n>2,ai表示第i(1≤i≤n)个端口号大小;
(5)检测疑似木马:当数据流簇的最小数据流差异度min_diff=0,且数据流簇中且数据流数n>2(n为整数)时,判断为木马流量;或者,当数据流簇的最小数据流差异度0<min_diff<0.375且源端口号有序度order>0.45时,判断为木马流量。
2.根据权利要求1所述的木马检测方法,其特征在于:步骤(3)中,基于时间戳的数据流聚类算法是:
时间戳论域:设T={(t1,t′1),(t2,t′2),…,(tn,t′n),…}是待划分的数据流开始时间戳和结束时间戳集合,T中的每个对象ti是第i个数据流的开始时间戳,t′1是第i个数据流的结束时间戳;
簇半径阈值:设ε为簇半径阈值,数据流簇的结束时间和下个数据流的开始时间间隔小于该阈值的将被聚类在一个数据流簇中;
簇集合:设Sj={c1,c2,…,cm}是数据流集合Sj经划分得到的一个个数据流簇的集合,P(ci)={ci1,ci2,…,cik}是Sj中的每个数据流簇ci(1≤i≤m)的特征矢量;
界标窗口:选取界标窗口来存储时间戳论域T,界标窗口的长度ΔW为起始时间点到当前时间点为止记录的数据流个数;
基于时间戳的数据流聚类算法以数据流集合S和簇半径阈值ε为输入,数据流集合S使用会话四元组源IP、目的IP、目的端口和协议标识,簇半径阈值ε的单位为秒,以生成的S'={(ci,P(ci))|(1≤i≤m)}为输出;顺序遍历数据流集合中的每个数据流,通过计算当前数据流的开始时间与数据流簇的结束时间间隔判断加入当前簇还是新建簇,1≤i≤m,1≤j≤m,i、j、m、n分别为大于0的自然数。
3.根据权利要求1所述的木马检测方法,其特征在于:步骤(2)中,等价四元组对五元组数据流进行分类,形成由四元组标识的数据流集合。
4.根据权利要求1所述的木马检测方法,其特征在于:步骤(2)中,所述四元组为源IP地址,目的IP地址,目的端口,协议。
CN201410591205.1A 2014-10-28 2014-10-28 基于无控制端流量分析的木马检测方法 Expired - Fee Related CN104468507B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410591205.1A CN104468507B (zh) 2014-10-28 2014-10-28 基于无控制端流量分析的木马检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410591205.1A CN104468507B (zh) 2014-10-28 2014-10-28 基于无控制端流量分析的木马检测方法

Publications (2)

Publication Number Publication Date
CN104468507A true CN104468507A (zh) 2015-03-25
CN104468507B CN104468507B (zh) 2018-01-30

Family

ID=52913879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410591205.1A Expired - Fee Related CN104468507B (zh) 2014-10-28 2014-10-28 基于无控制端流量分析的木马检测方法

Country Status (1)

Country Link
CN (1) CN104468507B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104901971A (zh) * 2015-06-23 2015-09-09 北京东方棱镜科技有限公司 对网络行为进行安全分析的方法和装置
CN105262729A (zh) * 2015-09-11 2016-01-20 携程计算机技术(上海)有限公司 木马检测方法及系统
CN107086978A (zh) * 2016-02-15 2017-08-22 中国移动通信集团福建有限公司 一种识别木马病毒的方法及装置
CN107360190A (zh) * 2017-08-28 2017-11-17 刘胜利 基于序列模式识别的木马通信行为检测方法
CN107851101A (zh) * 2015-04-17 2018-03-27 中兴飞流信息科技有限公司 具有键/值存储检查点的基于流簇的处理
CN109257384A (zh) * 2018-11-14 2019-01-22 济南百纳瑞信息技术有限公司 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN110213227A (zh) * 2019-04-24 2019-09-06 华为技术有限公司 一种网络数据流检测方法及装置
CN111818049A (zh) * 2020-07-08 2020-10-23 宝牧科技(天津)有限公司 一种基于马尔可夫模型的僵尸网络流量检测方法及系统
CN112291506A (zh) * 2020-12-25 2021-01-29 北京电信易通信息技术股份有限公司 一种视频会议场景下流数据安全漏洞溯源方法及系统
WO2021047401A1 (zh) * 2019-09-10 2021-03-18 华为技术有限公司 服务分类方法及装置、互联网系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002056153A2 (de) * 2001-01-10 2002-07-18 Torsten Valentin Vorrichtung zur fälschungssicheren identifizierung, verifizierung und autorisierung von netzwerkanwendungen
CN102201937A (zh) * 2011-06-13 2011-09-28 刘胜利 基于心跳行为分析的快速木马检测方法
CN102202064A (zh) * 2011-06-13 2011-09-28 刘胜利 基于网络数据流分析的木马通信行为特征提取方法
CN103491107A (zh) * 2013-10-14 2014-01-01 刘胜利 基于网络数据流簇聚类的木马通信特征快速提取方法
CN103532949A (zh) * 2013-10-14 2014-01-22 刘胜利 基于动态反馈的自适应木马通信行为检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002056153A2 (de) * 2001-01-10 2002-07-18 Torsten Valentin Vorrichtung zur fälschungssicheren identifizierung, verifizierung und autorisierung von netzwerkanwendungen
CN102201937A (zh) * 2011-06-13 2011-09-28 刘胜利 基于心跳行为分析的快速木马检测方法
CN102202064A (zh) * 2011-06-13 2011-09-28 刘胜利 基于网络数据流分析的木马通信行为特征提取方法
CN103491107A (zh) * 2013-10-14 2014-01-01 刘胜利 基于网络数据流簇聚类的木马通信特征快速提取方法
CN103532949A (zh) * 2013-10-14 2014-01-22 刘胜利 基于动态反馈的自适应木马通信行为检测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
孙海涛,刘胜利,陈嘉勇,孟磊: "《基于操作行为的隧道木马检测方法》", 《计算机工程》 *
李润恒,王明华,贾 焰: "《基于通信特征提取和IP聚集的僵尸网络相似性度量模型》", 《计算机学报》 *
邢云冬,刘胜利: "《木马网络通信特征提取模型的设计与实现》", 《计算机工程与设计》 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107851101A (zh) * 2015-04-17 2018-03-27 中兴飞流信息科技有限公司 具有键/值存储检查点的基于流簇的处理
CN107851101B (zh) * 2015-04-17 2022-08-12 中兴飞流信息科技有限公司 在分布式计算系统中执行容错数据处理的方法及容错分布式计算系统
CN104901971B (zh) * 2015-06-23 2019-03-15 北京东方棱镜科技有限公司 对网络行为进行安全分析的方法和装置
CN104901971A (zh) * 2015-06-23 2015-09-09 北京东方棱镜科技有限公司 对网络行为进行安全分析的方法和装置
CN105262729A (zh) * 2015-09-11 2016-01-20 携程计算机技术(上海)有限公司 木马检测方法及系统
CN105262729B (zh) * 2015-09-11 2018-07-31 携程计算机技术(上海)有限公司 木马检测方法及系统
CN107086978A (zh) * 2016-02-15 2017-08-22 中国移动通信集团福建有限公司 一种识别木马病毒的方法及装置
CN107086978B (zh) * 2016-02-15 2019-12-10 中国移动通信集团福建有限公司 一种识别木马病毒的方法及装置
CN107360190B (zh) * 2017-08-28 2021-01-08 刘胜利 基于序列模式识别的木马通信行为检测方法
CN107360190A (zh) * 2017-08-28 2017-11-17 刘胜利 基于序列模式识别的木马通信行为检测方法
CN109257384A (zh) * 2018-11-14 2019-01-22 济南百纳瑞信息技术有限公司 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN109257384B (zh) * 2018-11-14 2020-12-04 济南百纳瑞信息技术有限公司 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN110213227A (zh) * 2019-04-24 2019-09-06 华为技术有限公司 一种网络数据流检测方法及装置
CN110213227B (zh) * 2019-04-24 2020-12-22 华为技术有限公司 一种网络数据流检测方法及装置
WO2021047401A1 (zh) * 2019-09-10 2021-03-18 华为技术有限公司 服务分类方法及装置、互联网系统
CN111818049A (zh) * 2020-07-08 2020-10-23 宝牧科技(天津)有限公司 一种基于马尔可夫模型的僵尸网络流量检测方法及系统
CN112291506A (zh) * 2020-12-25 2021-01-29 北京电信易通信息技术股份有限公司 一种视频会议场景下流数据安全漏洞溯源方法及系统
CN112291506B (zh) * 2020-12-25 2021-03-26 北京电信易通信息技术股份有限公司 一种视频会议场景下流数据安全漏洞溯源方法及系统

Also Published As

Publication number Publication date
CN104468507B (zh) 2018-01-30

Similar Documents

Publication Publication Date Title
CN104468507A (zh) 基于无控制端流量分析的木马检测方法
CN108282497B (zh) 针对SDN控制平面的DDoS攻击检测方法
Al Khater et al. Network traffic classification techniques and challenges
CN102307123B (zh) 基于传输层流量特征的nat流量识别方法
CN101714952B (zh) 一种接入网的流量识别方法和装置
CN102201937B (zh) 基于心跳行为分析的快速木马检测方法
CN102035698B (zh) 基于决策树分类算法的http隧道检测方法
CN104283897A (zh) 基于多数据流聚类分析的木马通信特征快速提取方法
CN103840983A (zh) 基于协议行为分析的web隧道检测方法
CN105871832A (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
CN104660582B (zh) DDoS识别、防护和路径优化的软件定义的网络架构
CN108683682A (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN102739457B (zh) 一种基于dpi和svm技术的网络流量识别方法
CN111817982A (zh) 一种面向类别不平衡下的加密流量识别方法
CN110602078B (zh) 一种基于生成对抗网络的应用加密流量生成方法及系统
CN102202064A (zh) 基于网络数据流分析的木马通信行为特征提取方法
CN106685984A (zh) 一种基于数据包捕获技术的网络威胁分析系统及方法
CN103200133A (zh) 一种基于网络流引力聚类的流量识别方法
CN106131027A (zh) 一种基于软件定义网络的网络异常流量检测防御系统
CN104852914B (zh) 一种基于数据包间隔的水印跳变通信方法
CN105024993A (zh) 一种基于向量运算的协议比对方法
CN104348741A (zh) 基于多尺度分析和决策树的p2p流量检测方法和系统
SG184120A1 (en) Method of identifying a protocol giving rise to a data flow
CN106789728A (zh) 一种基于NetFPGA的VoIP流量实时识别方法
CN110113348A (zh) 一种基于机器学习进行物联网威胁检测的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Liu Shengli

Inventor after: Wang Wenbing

Inventor after: Fei Jinlong

Inventor after: Liu Long

Inventor after: Chen Yan

Inventor after: Wu Dongying

Inventor after: Lin Wei

Inventor after: Wu Shuang

Inventor before: Liu Shengli

Inventor before: Wang Wenbing

Inventor before: Wu Dongying

COR Change of bibliographic data
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20181220

Address after: 610000 Chengdu High-tech Zone, Sichuan Province, 2 buildings and 3 floors, No. 4, Xinhang Road

Patentee after: Sichuan Yuxin'an Electronic Technology Co.,Ltd.

Address before: 450002 Unit 302, Building No. 7, 19, Jinxue Street, Jinshui District, Zhengzhou City, Henan Province

Patentee before: Liu Shengli

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20200717

Address after: Room 302, unit 1, building 19, No.7, Jianxue street, Jinshui District, Zhengzhou City, Henan Province

Patentee after: Liu Shengli

Address before: 610000 Chengdu High-tech Zone, Sichuan Province, 2 buildings and 3 floors, No. 4, Xinhang Road

Patentee before: Sichuan Yuxin'an Electronic Technology Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210108

Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province

Patentee after: Information Engineering University of Strategic Support Force,PLA

Address before: Unit 302, unit 1, building 19, No.7 Jianxue street, Jinshui District, Zhengzhou City, Henan Province, 450000

Patentee before: Liu Shengli

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180130