CN105323247A - 一种用于移动终端的入侵检测系统 - Google Patents
一种用于移动终端的入侵检测系统 Download PDFInfo
- Publication number
- CN105323247A CN105323247A CN201510669660.3A CN201510669660A CN105323247A CN 105323247 A CN105323247 A CN 105323247A CN 201510669660 A CN201510669660 A CN 201510669660A CN 105323247 A CN105323247 A CN 105323247A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- client
- application
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Abstract
本发明公开了一种用于移动终端的一种移动入侵检测系统,采用客户端-服务器的构架,基于应用的本地行为和网络行为进行综合分析,从而达到检测目的。该分析分为三步组成:客户端收集数据;服务器端根据数据进行匹配得出结果集;服务器端将结果反馈至客户端。本发明将移动终端入侵检测与网络服务器相结合,提高了匹配的效率与准确度,能够有效地通过关联将已经加密或未加密的内容进行判定。以及通过移动端的IP与还原NAT的映射表,对恶意数据的IP进行溯源。并且我们提供一种检测病毒传播模型方法,利用已知病毒的传播模型来进一步判定可疑的网络行为,能够避免因为病毒的伪装,无法被本地端检测出来,从而更准确的为客户提供检测结果。
Description
技术领域
本发明属于移动安全保护领域,更具体地,涉及一种用于移动终端的入侵检测系统。
背景技术
随着手机等移动设备的普及,陌生的应用越来越多,相关的安全问题也随之出现,特别是在安卓平台,为了满足用户的需求而向移动终端用户提供开放式程序接口使得恶意应用的数量也呈现井喷似的增长。因此在各种形形色色的陌生应用中检测出恶意应用显得尤为重要。鉴于目前大多数的恶意软件检测系统与方法都是近乎被动的使用匹配黑白名单的方式进行检测,所以,一种更加灵活的,主动地移动入侵检测系统,才可以更好的解决当下的状况。
发明内容
本发明在于提供一种用于移动终端的入侵检测方案,其基于应用的本地行为和网络行为进行综合分析,结合前期建立的可疑行为数据库,对可疑应用作出主动响应,提高系统的安全性。
为了实现上述目的,本发明提供了一种用于移动终端的入侵检测系统,所述系统采用客户端-服务器端的系统构架,所述服务器端负责通信、本地行为和网络行为的深度分析,以及数据库操作;所述客户端运行于手机等移动终端,其会在后台扫描设备以获取需要的检测信息并作初步分析,之后将可疑监测信息发送至服务器端进行进一步检测,经服务器端检测后生成结果,并将结果回传至客户端,客户端则根据结果作出对应的处理,其中:
在客户端包括有初始化模块、客户端行为分析模块、客户端数据获取模块、接口模块、响应模块以及客户端通信模块;其中,所述初始化模块,用于初始化客户端的运行环境,获取手机中的所有应用信息并启动对私密数据的监听,同时建立可疑程序集;所述客户端行为分析模块,用于追踪可疑应用对私密数据的操作行为;所述客户端通信模块,用于在发现有应用上传私密数据将该应用的本地行为上传至服务器端,并负责客户端与服务器端的通信;所述客户端数据获取模块,用于捕获该上传的网络数据包并交由服务器端的网络行为分析模块进一步分析;所述响应模块用于通知用户检测结果;
在服务器端,包括有网络溯源模块、服务器端行为分析模块、传播行为分析模块、流量分析模块、行为数据库模块;其中:所述网络溯源模块是网络端对于恶意数据源IP地址的溯源;所述服务器端行为分析模块,与客户端行为分析模块工作机制相类似,对从通信模块上传来的数据进行行为分析;所述传播行为分析模块,用于检测网络节点是否被病毒感染;所述流量分析模块,用于在接收到流量分析请求后,对该上传数据流量进行协议还原;所述行为数据库模块,用于保存正常行为数据库与异常行为数据库。
在本发明的一个实施例中,所述初始化模块具体用于,在移动端启动后,进行系统初始化,构造相关函数并对默认标记的应用信息进行污点染色并提取,之后启动对已染色的相关私密数据进行监听,并连接数据库,将监测的数据储存入数据库之中,同时建立可疑程序集,把可疑的数据流量加入到可疑程序集中进行判定。
在本发明的一个实施例中,所述客户端行为分析模块具体用于,对可疑程序集进行检测,判定其是否有上传私密数据的行为,若有,则该模块变会收集应用的本地行为,然后发送至服务端进行下一步判定;若没有,则保留其在可疑程序集中。
在本发明的一个实施例中,所述响应模块具体用于,从行为分析模块获得最终判定结果并根据结果得出异常行为的恶意等级,若恶意等级过高,则会优先强行关闭该应用再通知用户,若恶意等级较低,则直接通知用户,由用户来判定是否关闭该程序。
在本发明的一个实施例中,所述客户端还包括权限判定模块,所述权限判定模块用于提取用户手机中含有开机自动启动权限的应用,并将其显示给用户,由用户选择是否信任这些应用,然后将用户所信任的用户从可疑程序集中删除。
在本发明的一个实施例中,所述权限判定模块具体用于,当安装新的应用程序时判定应用是否自动启动,若不是自启动的应用则将该应用仍放在可疑程序集中;若为自启动应用则通知用户进行判定是否该应用是可信的,若判定为可信的,则将该应用从可疑程序集中剔除,若用户判定为不可信,则将该应用保留,通过用户的筛选会最终生成一个新的可疑程序集,等待进一步的判定。
在本发明的一个实施例中,所述数据获取模块具体用于,当网络监听线程检测到有可以的网络流量时,以抓包等方式捕获该可疑网络流量的数据报文,并在服务器端解析该可疑的数据报文,并将数据还原,与服务器端的数据库向匹配,若为数据库已知的非恶意数据,则将该可疑报文舍弃;若得出匹配结果为可疑的恶意数据,则将该数据存入数据库中,并结束这次数据捕获,返回监听线程。
在本发明的一个实施例中,所述网络溯源模块具体用于对于恶意数据源IP地址的溯源;对于通过Wi-Fi网关进行恶意的数据传输场景,分析终端与外网IP的映射关系,重建Wi-Fi网关的网络地址转换映射表追溯恶意数据源IP地址,结合数据及方法给出最终分析结果,再将结果发往客户端。
在本发明的一个实施例中,所述传播行为分析模块模块具体用于,将所有网络节点分为四个状态:易感染节点S,已感染节点I,和无传染性的已感染节点X,其中S状态表示节点健康,但有可能感染病毒;I状态表示节点己经感染病毒,并且有传染性;X状态表示节点感染了病毒,但没有传染性;如果一个S节点和已感染的节点I接触,那么将以概率a转变为E状态;一个E状态的节点在不接触其他节点的状态下以概率b转变为I状态;一个I状态的节点不会一直传播病毒;而我们的病毒传播分析模块则会通过随机监视节点的状态,并与网路端的数据库进行匹配以对比该节点的状态是否仍处于不存在危害的S阶段,若该节点维持在S阶段,则不会进行下一步的判定;若对比结果是S状态,则病毒传播分析模块会将流量行为进行打包并上传至数据库中进行进一步的报文分析,若再数据库中已有符合该行为的病毒数据,则将该流量数据放入网络端的数据库之中,并通知用户,若数据库中无符合该行为的病毒数据,则将该程序集投入最终可疑程序集B中。
在本发明的一个实施例中,所述服务器端还包括有关联模块,用于在消息队列中有来自于客户端的检测请求时,服务器端会进入线程,然后提取由客户端上传的应用本地行为及由对应的网络行为分别调用对应的正常行为数据库与异常行为数据库来进行分析匹配;并将本地结果集,流量分析结果集,传播模式分析结果集,以及网络服务器端匹配出来的结果集进行关联;最后将综合分析的结果返回至客户端。
相对于现有的技术方案,本发明的优点是:
本发明采用客户端-服务器端的系统构架,其结构简单且易于实现。客户端主要负责从移动设备中获取安装的应用信息并作初步的判断,将不确定的可疑应用的本地行为信息发往服务器端,并且等待接受服务器的反馈信息,最后根据反馈信息采取合适的响应措施;服务器端可以部署在Wi-Fi节点下,它根据客户端上传的应用本地行为信息和已收集到的网络行为信息作出综合分析,且对于加密信息以及进行了伪装的数据可以很好地进行判定是否为恶意行为。
本发明能够及时并有效的发现并阻止恶意软件的恶意行为,提高安卓平台的安全性,并可以针对恶意行为作出主动的响应,避免用户遭到进一步的危害,同时也能让用户及时了解情况。
附图说明
图1为本发明用于移动终端的入侵检测系统的总体结构图;
图2为本发明用于移动终端的入侵检测系统中初始化模块工作流程图;
图3为本发明用于移动终端的入侵检测系统中权限判定模块工作流程图;
图4为本发明用于移动终端的入侵检测系统中客户端行为分析模块工作流程图;
图5为本发明用于移动终端的入侵检测系统中响应模块工作流程图;
图6为本发明用于移动终端的入侵检测系统中数据获取模块工作流程图;
图7为本发明用于移动终端的入侵检测系统中关联模块工作流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1所示,本发明提供了一种用于移动终端的入侵检测系统,所述系统采用客户端-服务器端的系统构架,所述服务器端负责通信、本地行为和网络行为的深度分析,以及数据库操作,所述客户端运行于手机等移动终端,其会在后台扫描设备以获取需要的检测信息并作初步分析,之后将可疑监测信息发送至服务器端进行进一步检测,经服务器端检测后生成结果,并将结果回传至客户端,客户端则根据结果作出对应的处理。
其中,在客户端包括有初始化模块、客户端数据获取模块、客户端行为分析模块、接口模块、响应模块、客户端通信模块以及权限判定模块。
所述初始化模块,用于初始化客户端的运行环境,获取手机中的所有应用信息并启动对私密数据(如位置、联系人等数据)的监听,同时建立可疑程序集,如图2所示,为初始化模块的工作流程图,移动端启动后,进行系统初始化,构造相关函数并对默认标记的应用信息进行污点染色并提取,之后启动对已染色的相关私密数据进行监听,并连接数据库,将监测的数据储存入数据库之中,同时建立可疑程序集,把可疑的数据流量加入到可疑程序集中进行判定。
所述客户端行为分析模块用于追踪可疑应用对私密数据的操作行为,如图4所示,为客户端行为分析模块流程图,行为分析模块会对可疑程序集进行检测,判定其是否有上传私密数据的行为,若有,则该模块变会收集应用的本地行为,然后发送至服务端进行下一步判定;若没有,则保留其在可疑程序集中。
所述响应模块用于通知用户检测结果,如图5所示响应模块流程图,从行为分析模块获得最终判定结果并根据结果得出异常行为的恶意等级,若恶意等级过高,则会优先强行关闭该应用再通知用户,若恶意等级较低,则直接通知用户,由用户来判定是否关闭该程序。
所述客户端通信模块用于,一旦发现有应用上传私密数据便将该应用的本地行为上传至服务器端,负责客户端与服务器端的通信。
所述权限判定模块用于提取用户手机中含有开机自动启动权限的应用,并将其显示给用户,由用户选择是否信任这些应用,然后将用户所信任的用户从可疑程序集中删除。如图3所示,当安装新的应用程序时也会进行权限判定,权限判定模块会判定应用是否自动启动,若不是自启动的应用则将该应用仍放在可疑程序集中,若为自启动应用则通知用户进行判定是否该应用是可信的,若判定为可信的,则将该应用从可疑程序集中剔除,若用户判定为不可信,则将该可以应用保留,通过用户的筛选会最终生成一个新的可疑程序集,等待进一步的判定。
数据获取模块用于捕获该上传的网络数据包并交由服务器端的网络行为分析模块进一步分析,如图6所示是数据捕获模块流程图,当网络监听线程检测到有可疑的网络流量时,以抓包等方式捕获该可疑网络流量的数据报文,并在服务器端解析该可疑的数据报文,并将数据还原,与服务器端的数据库向匹配,若为数据库已知的非恶意数据,则将该可疑报文舍弃。若得出匹配结果为可疑的恶意数据,则将该数据存入数据库中,并结束这次数据捕获,返回监听线程。
在服务器端包括有网络溯源模块、服务器端行为分析模块、传播行为分析模块、流量分析模块、关联模块以及行为数据库模块;其中:
所述网络溯源模块是网络端对于恶意数据源IP地址的溯源,即使是通过Wi-Fi网关进行恶意的数据传输场景下,本服务器也可以分析终端与外网IP的映射关系,重建Wi-Fi网关的NAT(网络地址转换)映射表追溯恶意数据源IP地址,结合数据及方法给出最终分析结果,再将结果发往客户端。
所述服务器端行为分析模块,与客户端行为分析模块工作机制相类似,对从通信模块上传来的数据进行行为分析,若比较结果是已知的数据,则放入正常网络行为数据库,若比较结果是异常的或未知的,则放入异常行为数据库中。
所述传播行为分析模块,是我们提出一种病毒传染的传播模型作为网络端的检测模块,利用该模块中的一项功能来检测网络节点是否被病毒感染。本模块中将所有网络节点分为四个状态:易感染节点S(普通未感染节点),已感染节点I,和无传染性的已感染节点X。其中S状态表示节点健康,但有可能感染病毒;I状态表示节点己经感染病毒,并且有传染性;X状态表示节点感染了病毒,但没有传染性。如果一个S节点和已感染的节点I接触,那么将以概率a转变为E状态;一个E状态的节点在不接触其他节点的状态下以概率b转变为I状态;一个I状态的节点不会一直传播病毒。而我们的病毒传播分析模块则会通过随机监视节点的状态,并与网路端的数据库进行匹配以对比该节点的状态是否仍处于不存在危害的S阶段,若该节点维持在S阶段,则不会进行下一步的判定。若对比结果是S状态,则病毒传播分析模块会将流量行为进行打包并上传至数据库中进行进一步的报文分析,若再数据库中已有符合该行为的病毒数据,则将该流量数据放入网络端的数据库之中,并通知用户,若数据库中无符合该行为的病毒数据,则将该程序集投入最终可疑程序集B中。在本流量分析中,我们通过对病毒的一些已知行为模式进行鉴别,譬如对某些集中在一段时间内,或是某一些节点,应用产生了大量类似的网络流量。这正有可能是病毒利用相似的应用,通过盗取用户的通讯录或者邮箱,对自身数据进行了无限复制,向通讯录或是邮箱中的联系人发送了大量的病毒文件,通过这种大范围的传播病毒,以达到无限传播扩散的目的。
所述流量分析模块是,在接收到流量分析请求后,该流程可结合移动终端的MSI,MEI号码与数据流量分析出目的IP,包大小和上传的时间,对该上传数据流量进行协议还原。
所诉关联模块是当消息队列中有来自于客户端的检测请求时,服务器端会进入线程,然后提取由客户端上传的应用本地行为及由网络行为绘制模块所绘制的对应应用的网络行为(这两者可以通过IP关联)分别调用对应的正常行为数据库与异常行为数据库来进行分析匹配。之后关联模块会将本地结果集,流量分析结果集,传播模式分析结果集,以及网络服务器端匹配出来的结果集进行关联。最后将综合分析的结果通过通信模块返回至客户端。
所述移动入侵系统采用客户端-服务器架构,所述服务器端用于通信、检测分析及数据库操作,所述客户端运行于移动设备终端,用于后台扫描获取手机设备信息并且将所获得的行为检测数据发送至服务器端进行检测,经服务器检测后生成检测结果信息,所述检测结果发生异常时会发回移动终端和网络服务器端,并最终作出响应。
本发明所描述的移动入侵检测系统总结构如图1所示,包括接口模块、初始化模块、行为分析模块、响应模块、通信模块、数据获取模块、数据库模块、关联模块。初始化模块用于系统初始化的相关操作,包括获取手机中所有的应用信息、调用数据库模块建立的可疑程序集等等;客户端的行为分析模块用于分析应用的本地行为,判断其对私密数据的操作是否正常,而服务器端的行为分析模块用于分析应用的本地行为和网络行为;;网络行为绘制模块用于绘制出应用所特有的网络行为信息;数据库模块用于数据库的建立并且提供数据库相关操作的接口。
综上,本实施例所描述的移动入侵检测系统处理流程,首先在系统启动时通过初始化模块将移动设备上所安装的应用程序相关信息载入并作初步检测以及分类,对安全性未知的应用的分析检测则交由服务器端来处理,最终会得到一个检测结果,即发生恶意行为的应用信息,然后客户端会根据得到的结果进行响应。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于移动终端的入侵检测系统,其特征在于,所述系统采用客户端-服务器端的系统构架,所述服务器端负责通信、本地行为和网络行为的深度分析,以及数据库操作;所述客户端运行于手机等移动终端,其会在后台扫描设备以获取需要的检测信息并作初步分析,之后将可疑监测信息发送至服务器端进行进一步检测,经服务器端检测后生成结果,并将结果回传至客户端,客户端则根据结果作出对应的处理,其中:
在客户端包括有初始化模块、客户端行为分析模块、客户端数据获取模块、接口模块、响应模块以及客户端通信模块;其中,所述初始化模块,用于初始化客户端的运行环境,获取手机中的所有应用信息并启动对私密数据的监听,同时建立可疑程序集;所述客户端行为分析模块,用于追踪可疑应用对私密数据的操作行为;所述客户端通信模块,用于在发现有应用上传私密数据将该应用的本地行为上传至服务器端,并负责客户端与服务器端的通信;所述客户端数据获取模块,用于捕获该上传的网络数据包并交由服务器端的网络行为分析模块进一步分析;所述响应模块用于通知用户检测结果;
在服务器端,包括有网络溯源模块、服务器端行为分析模块、传播行为分析模块、流量分析模块、行为数据库模块;其中:所述网络溯源模块是网络端对于恶意数据源IP地址的溯源;所述服务器端行为分析模块,与客户端行为分析模块工作机制相类似,对从通信模块上传来的数据进行行为分析;所述传播行为分析模块,用于检测网络节点是否被病毒感染;所述流量分析模块,用于在接收到流量分析请求后,对该上传数据流量进行协议还原;所述行为数据库模块,用于保存正常行为数据库与异常行为数据库。
2.如权利要求1所述的入侵检测系统,其特征在于,所述初始化模块具体用于,在移动端启动后,进行系统初始化,构造相关函数并对默认标记的应用信息进行污点染色并提取,之后启动对已染色的相关私密数据进行监听,并连接数据库,将监测的数据储存入数据库之中,同时建立可疑程序集,把可疑的数据流量加入到可疑程序集中进行判定。
3.如权利要求1或2所述的入侵检测系统,其特征在于,所述客户端行为分析模块具体用于,对可疑程序集进行检测,判定其是否有上传私密数据的行为,若有,则该模块变会收集应用的本地行为,然后发送至服务端进行下一步判定;若没有,则保留其在可疑程序集中。
4.如权利要求1或2所述的入侵检测系统,其特征在于,所述响应模块具体用于,从行为分析模块获得最终判定结果并根据结果得出异常行为的恶意等级,若恶意等级过高,则会优先强行关闭该应用再通知用户,若恶意等级较低,则直接通知用户,由用户来判定是否关闭该程序。
5.如权利要求1或2所述的入侵检测系统,其特征在于,所述客户端还包括权限判定模块,所述权限判定模块用于提取用户手机中含有开机自动启动权限的应用,并将其显示给用户,由用户选择是否信任这些应用,然后将用户所信任的用户从可疑程序集中删除。
6.如权利要求5所述的入侵检测系统,其特征在于,所述权限判定模块具体用于,当安装新的应用程序时判定应用是否自动启动,若不是自启动的应用则将该应用仍放在可疑程序集中;若为自启动应用则通知用户进行判定是否该应用是可信的,若判定为可信的,则将该应用从可疑程序集中剔除,若用户判定为不可信,则将该应用保留,通过用户的筛选会最终生成一个新的可疑程序集,等待进一步的判定。
7.如权利要求1或2所述的入侵检测系统,其特征在于,所述数据获取模块具体用于,当网络监听线程检测到有可以的网络流量时,以抓包等方式捕获该可疑网络流量的数据报文,并在服务器端解析该可疑的数据报文,并将数据还原,与服务器端的数据库向匹配,若为数据库已知的非恶意数据,则将该可疑报文舍弃;若得出匹配结果为可疑的恶意数据,则将该数据存入数据库中,并结束这次数据捕获,返回监听线程。
8.如权利要求1或2所述的入侵检测系统,其特征在于,所述网络溯源模块具体用于对于恶意数据源IP地址的溯源;对于通过Wi-Fi网关进行恶意的数据传输场景,分析终端与外网IP的映射关系,重建Wi-Fi网关的网络地址转换映射表追溯恶意数据源IP地址,结合数据及方法给出最终分析结果,再将结果发往客户端。
9.如权利要求1或2所述的入侵检测系统,其特征在于,所述传播行为分析模块模块具体用于,将所有网络节点分为四个状态:易感染节点S,已感染节点I,和无传染性的已感染节点X,其中S状态表示节点健康,但有可能感染病毒;I状态表示节点己经感染病毒,并且有传染性;X状态表示节点感染了病毒,但没有传染性;如果一个S节点和已感染的节点I接触,那么将以概率a转变为E状态;一个E状态的节点在不接触其他节点的状态下以概率b转变为I状态;一个I状态的节点不会一直传播病毒;而我们的病毒传播分析模块则会通过随机监视节点的状态,并与网路端的数据库进行匹配以对比该节点的状态是否仍处于不存在危害的S阶段,若该节点维持在S阶段,则不会进行下一步的判定;若对比结果是S状态,则病毒传播分析模块会将流量行为进行打包并上传至数据库中进行进一步的报文分析,若再数据库中已有符合该行为的病毒数据,则将该流量数据放入网络端的数据库之中,并通知用户,若数据库中无符合该行为的病毒数据,则将该程序集投入最终可疑程序集B中。
10.如权利要求1或2所述的入侵检测系统,其特征在于,所述服务器端还包括有关联模块,用于在消息队列中有来自于客户端的检测请求时,服务器端会进入线程,然后提取由客户端上传的应用本地行为及由对应的网络行为分别调用对应的正常行为数据库与异常行为数据库来进行分析匹配;并将本地结果集,流量分析结果集,传播模式分析结果集,以及网络服务器端匹配出来的结果集进行关联;最后将综合分析的结果返回至客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510669660.3A CN105323247A (zh) | 2015-10-13 | 2015-10-13 | 一种用于移动终端的入侵检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510669660.3A CN105323247A (zh) | 2015-10-13 | 2015-10-13 | 一种用于移动终端的入侵检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105323247A true CN105323247A (zh) | 2016-02-10 |
Family
ID=55249842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510669660.3A Pending CN105323247A (zh) | 2015-10-13 | 2015-10-13 | 一种用于移动终端的入侵检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105323247A (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553786A (zh) * | 2016-02-29 | 2016-05-04 | 浪潮通信信息系统有限公司 | 一种网络行为安全检测的方法和装置 |
| CN105763574A (zh) * | 2016-05-13 | 2016-07-13 | 北京洋浦伟业科技发展有限公司 | 一种基于大数据分析的防火墙系统 |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测系统及方法 |
| CN106549960A (zh) * | 2016-10-27 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于网络监控追踪攻击者的方法及系统 |
| CN107092830A (zh) * | 2017-06-09 | 2017-08-25 | 武汉虹旭信息技术有限责任公司 | 基于流量分析的ios恶意软件预警和检测系统及其方法 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN107920067A (zh) * | 2017-11-10 | 2018-04-17 | 华中科技大学 | 一种主动对象存储系统上的入侵检测方法 |
| CN108667806A (zh) * | 2018-04-08 | 2018-10-16 | 南京邮电大学 | Android重打包恶意应用检测方法、可读存储介质和终端 |
| CN109472142A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种恶意代码自动处置方法及系统 |
| CN110505237A (zh) * | 2019-09-03 | 2019-11-26 | 中国联合网络通信集团有限公司 | 一种反欺诈方法及系统 |
| CN112651021A (zh) * | 2020-12-23 | 2021-04-13 | 湖南工学院 | 一种基于大数据的信息安全防御系统 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| US20220345384A1 (en) * | 2019-08-05 | 2022-10-27 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11496378B2 (en) | 2018-08-09 | 2022-11-08 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US11546153B2 (en) | 2017-03-22 | 2023-01-03 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US11558413B2 (en) | 2020-09-23 | 2023-01-17 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11665207B2 (en) | 2017-10-25 | 2023-05-30 | Extrahop Networks, Inc. | Inline secret sharing |
| US11706233B2 (en) | 2019-05-28 | 2023-07-18 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| US11916771B2 (en) | 2021-09-23 | 2024-02-27 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| CN113691562B (zh) * | 2021-09-15 | 2024-04-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754207A (zh) * | 2009-12-25 | 2010-06-23 | 中国科学技术大学苏州研究院 | 基于博弈论的智能手机入侵检测方法 |
| CN102638617A (zh) * | 2012-03-30 | 2012-08-15 | 中国科学技术大学苏州研究院 | 用于安卓手机的基于入侵检测的主动响应系统 |
| CN103327492A (zh) * | 2013-06-04 | 2013-09-25 | 王天时 | 一种安卓手机入侵检测方法及其检测系统 |
-
2015
- 2015-10-13 CN CN201510669660.3A patent/CN105323247A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754207A (zh) * | 2009-12-25 | 2010-06-23 | 中国科学技术大学苏州研究院 | 基于博弈论的智能手机入侵检测方法 |
| CN102638617A (zh) * | 2012-03-30 | 2012-08-15 | 中国科学技术大学苏州研究院 | 用于安卓手机的基于入侵检测的主动响应系统 |
| CN103327492A (zh) * | 2013-06-04 | 2013-09-25 | 王天时 | 一种安卓手机入侵检测方法及其检测系统 |
Non-Patent Citations (3)
| Title |
|---|
| 刘伟: "基于行为模式的Android平台入侵检测系统的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 王毅: "入侵检测协议还原分析及应用", 《万方数据库》 * |
| 邓艺璇: "智能手机平台上的安全机制的分析与实施", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553786A (zh) * | 2016-02-29 | 2016-05-04 | 浪潮通信信息系统有限公司 | 一种网络行为安全检测的方法和装置 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN105763574A (zh) * | 2016-05-13 | 2016-07-13 | 北京洋浦伟业科技发展有限公司 | 一种基于大数据分析的防火墙系统 |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测系统及方法 |
| CN106549960A (zh) * | 2016-10-27 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于网络监控追踪攻击者的方法及系统 |
| US11546153B2 (en) | 2017-03-22 | 2023-01-03 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| CN107092830A (zh) * | 2017-06-09 | 2017-08-25 | 武汉虹旭信息技术有限责任公司 | 基于流量分析的ios恶意软件预警和检测系统及其方法 |
| US11665207B2 (en) | 2017-10-25 | 2023-05-30 | Extrahop Networks, Inc. | Inline secret sharing |
| CN107920067A (zh) * | 2017-11-10 | 2018-04-17 | 华中科技大学 | 一种主动对象存储系统上的入侵检测方法 |
| CN107920067B (zh) * | 2017-11-10 | 2020-05-19 | 华中科技大学 | 一种主动对象存储系统上的入侵检测方法 |
| CN109472142A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种恶意代码自动处置方法及系统 |
| CN108667806A (zh) * | 2018-04-08 | 2018-10-16 | 南京邮电大学 | Android重打包恶意应用检测方法、可读存储介质和终端 |
| US11496378B2 (en) | 2018-08-09 | 2022-11-08 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US11706233B2 (en) | 2019-05-28 | 2023-07-18 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11652714B2 (en) * | 2019-08-05 | 2023-05-16 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US20220345384A1 (en) * | 2019-08-05 | 2022-10-27 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| CN110505237B (zh) * | 2019-09-03 | 2021-08-13 | 中国联合网络通信集团有限公司 | 一种反欺诈方法及系统 |
| CN110505237A (zh) * | 2019-09-03 | 2019-11-26 | 中国联合网络通信集团有限公司 | 一种反欺诈方法及系统 |
| US11558413B2 (en) | 2020-09-23 | 2023-01-17 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| CN112651021A (zh) * | 2020-12-23 | 2021-04-13 | 湖南工学院 | 一种基于大数据的信息安全防御系统 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113691562B (zh) * | 2021-09-15 | 2024-04-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| US11916771B2 (en) | 2021-09-23 | 2024-02-27 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105323247A (zh) | 一种用于移动终端的入侵检测系统 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| CN105493060B (zh) | 蜜端主动网络安全 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN106650436A (zh) | 一种基于局域网的安全检测方法和装置 | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| Yin | Towards accurate node-based detection of P2P botnets | |
| CN103746992A (zh) | 基于逆向的入侵检测系统及其方法 | |
| Garant et al. | Mining botnet behaviors on the large-scale web application community | |
| Deeter et al. | Aphids: A mobile agent-based programmable hybrid intrusion detection system | |
| CN106506630A (zh) | 一种基于http内容一致性的恶意网络行为发现方法 | |
| Pashamokhtari et al. | Progressive monitoring of iot networks using sdn and cost-effective traffic signatures | |
| US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
| Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
| Al-Hammadi et al. | Behavioural correlation for detecting P2P bots | |
| KR101078851B1 (ko) | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 | |
| EP4044505A1 (en) | Detecting botnets | |
| CN102136956A (zh) | 检测网络通讯行为的监测方法及其系统 | |
| CN110198298A (zh) | 一种信息处理方法、装置及存储介质 | |
| CN104113841B (zh) | 一种针对移动互联网Botnet的虚拟化检测系统及检测方法 | |
| van der Eijk et al. | Detecting cobalt strike beacons in netflow data | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| Oujezsky et al. | Modeling botnet C&C traffic lifespans from NetFlow using survival analysis | |
| Ersson et al. | Botnet detection with event-driven analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160210 |