CN105227408A - 一种智能木马识别装置及方法 - Google Patents
一种智能木马识别装置及方法 Download PDFInfo
- Publication number
- CN105227408A CN105227408A CN201510696601.5A CN201510696601A CN105227408A CN 105227408 A CN105227408 A CN 105227408A CN 201510696601 A CN201510696601 A CN 201510696601A CN 105227408 A CN105227408 A CN 105227408A
- Authority
- CN
- China
- Prior art keywords
- packet
- session
- wooden horse
- data bag
- ratio value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能木马识别装置及方法,该发明针对木马检测技术中存在的对未知木马和变中木马识别能力不足等问题,提出了一种基于行为分析的检测技术和基于特征匹配的检测技术相结合的检测方法。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种智能木马识别装置及方法。
背景技术
随着互联网在社会生活中的应用越来越广泛,相应涉及的网络安全问题也受到各方面的重视,尤其是木马的检测与防护问题一直是网络安全领域研究的重点问题之一。
目前市场上主流的木马检测技术主要存有三种:基于特征匹配的检测技术、基于协议分析的检测技术和基于行为分析的检测技术。
基于特征匹配的检测技术通过建立并维护一个预先定义的木马特征库,用特征库中的特征码与实际网络数据流进行匹配,如果匹配成功,则命中木马,产生报警。目前许多入侵检测系统(如snort、suricate等)都是通过特征匹配的检测技术检测木马,但是这种技术只能检测特征库中已知类型的木马,无法检测变种木马和未知木马检测。
基于协议分析的检测技术通过对捕获的网络数据流进行协议分析,如果发现数据流中存在违背协议规范的行为则进行告警。基于协议分析的检测技术能够检测到部分已知和部分变形的木马,但当攻击者使用设计完善的隐蔽通道工具进行攻击时(如代理服务型和CGI脚本型通道工具),基于协议分析的检测技术就很难检测到木马攻击行为。
基于行为的检测技术是利用网络中数据包自身的特点和网络中的各种属性来描述一个网络行为,当检测到网络中的某些数据包行为偏离预期的网络行为时,判定该数据包属于异常数据包,可能存在木马攻击行为,发出告警信息。相比前两种技术,基于行为的检测技术具有能够检测未知木马、不受网络数据包加密影响,能够适应高速网络环境等优点,因此该技术是当前木马检测领域研究的重点和热点,但是市场上还没有一款成熟的基于行为分析的木马检测装置。
发明内容
为克服现有技术的缺陷,本发明提供了一种智能木马识别装置与方法。该方法适用于大规模和高速网络,能够对已知和未知木马进行检测。同时,该方法具有较高的检测性能和计算效率。
本发明采用如下技术方案:
s1.采集样本数据构造决策树和规则集;
s2.捕获网络中的TCP、UDP数据包;
s3.预处理捕获的数据包;
s4.将预处理后的数据包输入异常数据包识别模块来识别出异常数据包;
s5.从异常数据包中识别出包含已知木马类型的数据包;
s6.对于不同的木马行为触发不同的响应动作。
样本数据包括有木马行为的网络属性向量和没有木马行为的网路属性向量各若干条。
捕获网路数据包技术为网络安全领域常见的技术之一。
预处理动作包括:IP分片重组和TCP数据包重组,并从重组后的数据中提取出特征向量作为异常数据包识别模块输入参数。
其中,从重组后的数据中提取出特征向量步骤如下将重组好的数据包按照五元组会话(源IP、目的IP、源端口号、目的端口号、传输层协议)进行分类,并建立五元组会话层面上的n维特征向量E=[V1,V2.....,Vn]。所述五元组会话层面上的n维特征向量又分为3类,具体描述如下:
首先是基于时间决策的n维特征向量为6维向量,包括接收小包/会话小包的比例值、发送大包/会话大包的比例值、上传的字节数/下载的字节数比例值、有RST错误的数据包数/总的数据包数比例值、非正常会话过程的数据包数/总的数据包数比例值、平均会话时间6个值。其中,上述描述中的会话是指一次tcp或者udp连接中的五元组信息完全相同的通信过程;本发明中的所有统计数据均以局域网主机为统计对象(若会话双方均为局域网主机,则不统计这类数据包,以下所有统计数据均使用此方法,并不赘述);上述描述中的小包是指会话过程中,流量在0~200byte范围内的数据包,大包是指会话过程中,流量超过200byte的数据包;上述描述中的有RST错误的数据包是指会话过程中含有RST信息的数据包;上述描述中的非正常会话过程的数据包是指会话过程中没有正常建立tcp三次握手过程或者没有正常执行tcp四次握手释放过程的数据包。
其次是基于会话决策的n维特征向量为7维向量,包括连接保持阶段向量和交互保持阶段向量两部分;其中连接保持阶段向量包括上行字节数/下载字节比例值、心跳间隙平稳性值2个值;其中交互保持阶段向量包括接收小包/会话小包比例值、发送大包/会话大包比例值、上传的字节数/下载的字节数比例值、有RST错误的会话包数/总的会话包数比例值、非正常会话包数/总的会话包数比例值3个值。其中,本发明中所述的会话、小包、大包等关键字含义均和前文所述一致;上述描述中的连接保持阶段是指上传字节数/下载字节数>10的会话,交互保持阶段是指上传字节数/下载字节数<10的会话;上述描述中的心跳间隙平稳性值采用二次小波计算心跳间隙平稳性,计算公式为其中xi表示连接保持阶段单向数据流数据包时间间隔采样集合(单位:秒)。
最后是基于主机决策的n维特征向量为4维向量,包括同一主机的会话数量/总会话数量比例值、同一主机同一端口会话数量/同一主机会话数量比例值、有RST错误的数据包数/总的数据包数比例值、非正常会话的包数/总的会话包数比例值4个值。其中,上述描述中的同一主机的会话数量是指需要检测的内网主机在扫描时间内的会话数量,同一主机同一端口会话数量是指需要检测的内网主机四元组(源ip、目的ip、源端口、目的端口)相同的会话数量。
异常数据包识别模块利用决策树知识进行木马检测,并使用异常检测方法,利用决策树的规则集来检查预处理过的数据包,将异常数据包检测出来。
其中,所用决策树使用C4.5算法构造决策树,使用后剪枝的方法优化决策树,然后生成规则集,步骤如下:
首先是利用包含已知样本的训练集进行学习,生成决策树;
其次是使用测试集来检验生成的决策树,并根据测试结果对决策树进行修剪;
最后是将剪枝后的决策树转化为规则集。
识别已知类型木马技术采用特征码检测技术对异常数据包进行匹配分析。具体特征码检测技术如下:
首先将收集到的木马行为特征码存入木马特征库中;
然后将异常数据包识别模块识别出来的异常数据包分离后的各字段内容与木马行为特征库中的特征码进行匹配:如果匹配到特征库中某些特性码,则判定该数据包中含有特定木马;如果在特征库中没有匹配到任何特征码,则判定该数据包中含有未知木马。
响应行为包括:对于已知木马,上报到告警中心;对于未知木马则将异常数据包存入数据库,并发送告警邮件通知系统维护人员对异常数据包进行分析,更新木马特征库。
本发明还提供了一种智能木马检测装置,具体内容如下:
本发明所提出的一种智能木马识别系统由下面的装置构成:数据包捕获装置、数据包预处理装置、异常数据包智能识别装置、木马识别装置、报警和反馈装置,各部分装置具体描述如下:
数据包捕获装置:实时采集网络中的数据包;该装置的功能是利用网络安全领域常用的数据包捕获技术实时捕获目标网络中的数据包;
预处理装置:对采集到的网络数据包进行重组,并对重组后的数据包预处理,生成决策树的输入值;该功能包括IP分片重组和TCP数据包重组,并从重组后的数据中提取出所需向量作为决策树的输入参数;
异常数据包智能识别装置:利用决策树的自学习特性识别网络流量中的异常数据包,放行流量中的正常数据包;该装置的主要功能是使用样本库中的样本进行学习,生成决策树,然后使用验证数据集检验、调整、修剪决策树,最后将得到的决策树转化为规则集,并使用该规则集检测重组后的数据包,从中识别出异常数据包;
木马识别装置:根据建立的木马规则库来匹配异常数据包中的数据流,识别出规则库中已知类型的木马;该装置的功能是利用建立的木马特征库匹配异常数据包智能识别装置检测出来的异常数据包;
报警和反馈装置:对木马识别装置的识别结果触发报警或反馈动作;该装置的主要功能是:对于实时数据包的识别结果,将已知类型的木马上报到告警中心,将包含未知木马的异常数据包存储到数据库,并发邮件通知系统维护人员对该类型的未知木马进行分析,并将分析结果写入规则库。
本发明技术方案带来的有益效果:
本发明的检测方法是基于异常行为检测技术实现的,并不需解析数据包内容,因此具有较高的检测效率,适用于大规模和高速网络;本发明将木马行为特征检测技术和木马特征码检测技术结合起来检测木马,因此无论是已知的还是未知的木马都可以进行很好的检测;本发明基于决策树C4.5算法实现木马检测技术,能够智能的检测出网络中的异常数据包,并使用特征码检测技术识别已知类型的木马,同时对未知类型的木马,通知系统维护人员进行分析,及时更新木马特征库,从而使木马检测系统的特征库保持新鲜性,以便及时、准确的检测出网络中的木马。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明流程图;
图2为本实施例的组成框架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实例采用超微X8DTL-6服务器主板,ATMEL系列的8G内存条3根,三星SSD845DCEVO系列的240G固态硬盘一个,Debian8操作系统搭建智能木马检测系统。按照图1组织实施例的流程,将实施例划分为几个模块,如图2所示。实施例包括数据包捕获模块、数据包预处理模块、异常数据包识别模块、木马识别模块、报警和反馈模块。
该实施例的工作流程如下:
1.收集基于时间、基于会话、基于特定主机的正常网络流量样本和异常网络流量样本;
2.将上述样本分类输入决策树,并建立相应的异常流量是识别决策树,并提取规则集;
3.循环抓取网络中的数据包;
4.对捕获的数据包进行预处理;
5.对预处理后的数据包找到对应的决策树进行异常流量识别操作;
6.将识别出来的异常流量与木马规则库进行匹配;
7.对识别结果进行上报或者反馈处理。
各个对应模块的具体实施方式如下:
数据包捕获模块的实施方式
目前常用的数据包捕获工具使用Libpcap系列库函数作为网络接口,而且该系列函数库提供了linux系统和windows系统接口,在windows平台下可以选择winpcap接口,在linux平台下可以选择libpcap接口。本实例使用LibPcaP库函数接口,该接口对上层程序屏蔽了底层系统的不同数据包截获方法,提供了统一的编程接口,使得采用该编程接口的数据包截获模块可以十分方便地在不同平台上进行移植。目前常见的木马都是基于TCP协议和UDP协议进行传输的,所以本发明使用伯克利数据包过滤器(BPF)对数据包过滤,只捕获TCP和UDP数据包。本发明中使用改进后的libpcap接口实现抓包功能,主要修改点在于增大libpcap的缓冲链表,并在缓冲区满之后将接收的数据包写成pcap文件存储在硬盘中,以便于系统空闲的时候检测。
预处理装置实施方式
预处理装置主要实现两个功能:数据包重组和特征向量提取,其中数据包重组功能使用Libnids开发包实现;Libnids开发包的主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端口扫描攻击检测和异常数据包检测等。本发明中将libpcap接口提取到的数据流经过libnids开发包重组之后变成有序、完整的数据流。将重组后的数据流按照五元组(源ip、目的ip、源端口、目的端口、应用层协议)分类存储到对应的链表中,之后按照时间决策树、会话决策树、主机决策树3类分别提取出对应的n维向量。
异常数据包识别模块实施方式
异常数据包识别模块主要功能是把预处理装置提取出来的n维向量经过决策树处理得到决策结果。本发明包括时间决策树、会话决策树、主机决策树三类决策树,分别应用于不同的网络环境:对于网络流量比较稳定的环境(以24h为一个周期,每个周期内不同时间的网络流量波动在一个可承受的范围内,本实施例使用+-5%作为判断标准),则选择时间决策树来识别异常数据包;对于建立会话连接比较频繁的网络环境(本实施例采用每分钟20个会话请求作为临界值,超过该临界值则判定为建立会话连接比较频繁的网络环境),则选择会话决策树来识别异常数据包;对于特定主机则选择主机决策树来识别异常数据包。
木马识别模块实施方式
木马识别模块的主要功能是利用木马规则库中的规则码来匹配异常数据包中的数据流,从而识别出规则库中已知的木马类型;本实施例采用BM匹配算法完成匹配过程。
报警和反馈模块实施方式
报警和反馈模块的主要功能是对异常数据包按照识别结果分别进行处理:对于已知类型的木马,封装成完整的木马告警信息;对于未知木马,封装成未知木马告警信息,并发送邮件通知系统维护人员;然后使用gsoap协议将封装的告警信息发送到远程服务器上。
以上对本发明实施例所提供的一种智能木马识别装置及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种智能木马识别装置及方法,其特征在于,其提出了一种基于行为分析的检测技术和基于特征匹配的检测技术相结合的检测方法。具体流程为:
s1.采集样本数据构造决策树和规则集;
s2.捕获网络中的TCP、UDP数据包;
s3.预处理捕获的数据包;
s4.将预处理后的数据包输入异常数据包识别模块来识别出异常数据包;
s5.从异常数据包中识别出包含已知木马类型的数据包;
s6.对于不同的木马行为触发不同的响应动作。
2.根据权利要求1所述的方法,其特征在于,样本数据包括有木马行为的网络属性向量和没有木马行为的网路属性向量各若干条。
3.根据权利要求1所述的产品,其特征在于,捕获网路数据包技术为网络安全领域常见的技术之一。
4.根据权利要求1所述的产品,其特征在于,预处理动作包括IP分片重组和TCP数据包重组,并从重组后的数据中提取出特征向量作为异常数据包识别模块输入参数。
5.根据权利要求1所述的产品,其特征在于,异常数据包识别模块利用决策树知识进行木马检测,并使用异常检测方法,利用决策树的规则集来检查预处理过的数据包,将异常数据包检测出来。
6.根据权利要求1所述的产品,其特征在于,识别已知类型木马技术采用特征码检测技术对异常数据包进行匹配分析。
7.根据权利要求1所述的产品,其特征在于,响应行为包括:对于已知木马,上报到告警中心;对于未知木马则将异常数据包存入数据库,并发送告警邮件通知系统维护人员对异常数据包进行分析,更新木马特征库。
8.根据权利要求4所述的从重组数据包中提取特征向量,其特征在于:将重组好的数据包按照五元组会话(源IP、目的IP、源端口号、目的端口号、传输层协议)进行分类,并建立五元组会话层面上的n维特征向量E=[V1,V2.....,Vn]。
9.据权利要求8所述的n维特征向量,其特征在于,特征向量又分为3类;具体如下:
c1.首先是基于时间决策的n维特征向量为6维向量,包括接收小包/会话小包的比例值、发送大包/会话大包的比例值、上传的字节数/下载的字节数比例值、有RST错误的数据包数/总的数据包数比例值、非正常会话过程的数据包数/总的数据包数比例值、平均会话时间6个值。其中,上述描述中的会话是指一次tcp或者udp连接中的五元组信息完全相同的通信过程;本发明中的所有统计数据均以局域网主机为统计对象(若会话双方均为局域网主机,则不统计这类数据包,以下所有统计数据均使用此方法,并不赘述);上述描述中的小包是指会话过程中,流量在0~200byte范围内的数据包,大包是指会话过程中,流量超过200byte的数据包;上述描述中的有RST错误的数据包是指会话过程中含有RST信息的数据包;上述描述中的非正常会话过程的数据包是指会话过程中没有正常建立tcp三次握手过程或者没有正常执行tcp四次握手释放过程的数据包。
c2.其次是基于会话决策的n维特征向量为7维向量,包括连接保持阶段向量和交互保持阶段向量两部分;其中连接保持阶段向量包括上行字节数/下载字节比例值、心跳间隙平稳性值2个值;其中交互保持阶段向量包括接收小包/会话小包比例值、发送大包/会话大包比例值、上传的字节数/下载的字节数比例值、有RST错误的会话包数/总的会话包数比例值、非正常会话包数/总的会话包数比例值3个值。其中,本发明中所述的会话、小包、大包等关键字含义均和前文所述一致;上述描述中的连接保持阶段是指上传字节数/下载字节数>10的会话,交互保持阶段是指上传字节数/下载字节数<10的会话;上述描述中的心跳间隙平稳性值采用二次小波计算心跳间隙平稳性,计算公式为其中xi表示连接保持阶段单向数据流数据包时间间隔采样集合(单位:秒)。
c3.最后是基于主机决策的n维特征向量为4维向量,包括同一主机的会话数量/总会话数量比例值、同一主机同一端口会话数量/同一主机会话数量比例值、有RST错误的数据包数/总的数据包数比例值、非正常会话的包数/总的会话包数比例值4个值。其中,上述描述中的同一主机的会话数量是指需要检测的内网主机在扫描时间内的会话数量,同一主机同一端口会话数量是指需要检测的内网主机四元组(源ip、目的ip、源端口、目的端口)相同的会话数量。
10.根据权利要求5所述的决策树,其特征在于,决策树使用C4.5算法构造决策树,使用后剪枝的方法优化决策树,然后生成规则集,步骤如下:
e1.利用包含已知样本的训练集进行学习,生成决策树;
e2.使用测试集来检验生成的决策树,并根据测试结果对决策树进行修剪;
e3.将剪枝后的决策树转化为规则集。
11.根据权利要求6所述的特征码检测技术,其特征在于,首先将收集到的木马行为特征码存入木马特征库中;然后将异常数据包识别模块识别出来的异常数据包分离后的各字段内容与木马行为特征库中的特征码进行匹配:如果匹配到特征库中某些特性码,则判定该数据包中含有特定木马;如果在特征库中没有匹配到任何特征码,则判定该数据包中含有未知木马。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510696601.5A CN105227408A (zh) | 2015-10-22 | 2015-10-22 | 一种智能木马识别装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510696601.5A CN105227408A (zh) | 2015-10-22 | 2015-10-22 | 一种智能木马识别装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105227408A true CN105227408A (zh) | 2016-01-06 |
Family
ID=54996118
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510696601.5A Pending CN105227408A (zh) | 2015-10-22 | 2015-10-22 | 一种智能木马识别装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105227408A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
CN106992992A (zh) * | 2017-05-24 | 2017-07-28 | 南京中孚信息技术有限公司 | 一种基于通信行为的木马检测方法 |
CN107370752A (zh) * | 2017-08-21 | 2017-11-21 | 北京工业大学 | 一种高效的远控木马检测方法 |
CN107454052A (zh) * | 2016-05-31 | 2017-12-08 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
CN108599993A (zh) * | 2018-03-23 | 2018-09-28 | 四川斐讯信息技术有限公司 | 一种无线终端的访问信息的获取方法和系统 |
CN109861952A (zh) * | 2017-11-30 | 2019-06-07 | 北京京穗蓝盾信息安全技术有限公司 | 一种基于统计学的网络木马行为识别系统 |
CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
CN102202064A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
CN104168272A (zh) * | 2014-08-04 | 2014-11-26 | 国家电网公司 | 一种基于通信行为聚类的木马检测方法 |
-
2015
- 2015-10-22 CN CN201510696601.5A patent/CN105227408A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
CN102202064A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
CN104168272A (zh) * | 2014-08-04 | 2014-11-26 | 国家电网公司 | 一种基于通信行为聚类的木马检测方法 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
CN107454052A (zh) * | 2016-05-31 | 2017-12-08 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
CN106992992A (zh) * | 2017-05-24 | 2017-07-28 | 南京中孚信息技术有限公司 | 一种基于通信行为的木马检测方法 |
CN106992992B (zh) * | 2017-05-24 | 2020-02-11 | 南京中孚信息技术有限公司 | 一种基于通信行为的木马检测方法 |
CN107370752A (zh) * | 2017-08-21 | 2017-11-21 | 北京工业大学 | 一种高效的远控木马检测方法 |
CN107370752B (zh) * | 2017-08-21 | 2020-09-25 | 北京工业大学 | 一种高效的远控木马检测方法 |
CN109861952A (zh) * | 2017-11-30 | 2019-06-07 | 北京京穗蓝盾信息安全技术有限公司 | 一种基于统计学的网络木马行为识别系统 |
CN109861952B (zh) * | 2017-11-30 | 2021-11-12 | 北京京穗蓝盾信息安全技术有限公司 | 一种基于统计学的网络木马行为识别系统 |
CN108599993A (zh) * | 2018-03-23 | 2018-09-28 | 四川斐讯信息技术有限公司 | 一种无线终端的访问信息的获取方法和系统 |
CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类系统 |
CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
CN114662111B (zh) * | 2022-05-18 | 2022-08-09 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
CN105227408A (zh) | 一种智能木马识别装置及方法 | |
Meidan et al. | N-baiot—network-based detection of iot botnet attacks using deep autoencoders | |
CN104270392B (zh) | 一种基于三分类器协同训练学习的网络协议识别方法及系统 | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
Pilli et al. | Network forensic frameworks: Survey and research challenges | |
Robinson et al. | Ranking of machine learning algorithms based on the performance in classifying DDoS attacks | |
CN110808945B (zh) | 一种基于元学习的小样本场景下网络入侵检测方法 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
Michael et al. | Network traffic classification via neural networks | |
Khan et al. | Enhancing IIoT networks protection: A robust security model for attack detection in Internet Industrial Control Systems | |
Duan et al. | Application of a dynamic line graph neural network for intrusion detection with semisupervised learning | |
KS et al. | An artificial neural network based intrusion detection system and classification of attacks | |
CN109450721A (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN112925805A (zh) | 基于网络安全的大数据智能分析应用方法 | |
Kornyo et al. | Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms | |
CN115333915B (zh) | 一种面向异构主机的网络管控系统 | |
Khosroshahi et al. | Detection of sources being used in ddos attacks | |
CN110188537A (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
US20150150132A1 (en) | Intrusion detection system false positive detection apparatus and method | |
Alshammari et al. | A preliminary performance comparison of two feature sets for encrypted traffic classification | |
Manandhar | A practical approach to anomaly-based intrusion detection system by outlier mining in network traffic | |
Yu et al. | Mining anomaly communication patterns for industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160106 |
|
WD01 | Invention patent application deemed withdrawn after publication |