CN106850501A - 检测僵木蠕网络的方法以及系统 - Google Patents
检测僵木蠕网络的方法以及系统 Download PDFInfo
- Publication number
- CN106850501A CN106850501A CN201510882882.3A CN201510882882A CN106850501A CN 106850501 A CN106850501 A CN 106850501A CN 201510882882 A CN201510882882 A CN 201510882882A CN 106850501 A CN106850501 A CN 106850501A
- Authority
- CN
- China
- Prior art keywords
- compacted
- stiff
- client information
- network
- wooden compacted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明公开一种检测僵木蠕网络的方法及系统,涉及互联网安全领域,其中,该方法包括:报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;将僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备根据僵木蠕样本报文中的控制端信息对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。本发明的方法及系统,基于深度报文检测和深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪,采用抽样报文方法以减少流量,实现对高速链路的网络流量进行测量,对僵木蠕网络的拓扑结构进行较为准确的推断。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种检测僵木蠕网络的方法以及系统。
背景技术
僵木蠕网络是指攻击者利用互联网用户的计算机秘密建立的可以远程统一控制的僵尸网络(Botnet)计算机群,目前僵木蠕网络主要采用木马控制,通过蠕虫、恶意网站来传播。木马是基于远程控制的黑客工具,其实质是一种“客户/服务”型的网络程序,木马程序表面上看上去具有某种很有用的功能,实际上隐藏着可以控制整个计算机系统,打开后门,危害系统安全的功能;蠕虫是一种病毒,通过网络传播感染存在漏洞的主机,自动复制,通常无需人们交互,蠕虫产生的流量占据了运营商大量有效带宽。
僵木蠕网络往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵木蠕网络都是极具威胁的隐患。发现一个僵木蠕网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵木蠕网络的威胁也成为目前一个国际上十分关注的问题,检测僵木蠕网络已成为新一代互联网安全发展的迫切需求。
因此,有必要提出一种检测僵木蠕网络的方法以解决现有技术中存在的上述技术问题。
发明内容
本公开要解决的一个技术问题是如何提供一种更准确和高效的检测僵木蠕网络的方法以及系统,可以实现对高速链路的网络流量进行测量,并对僵木蠕网络的拓扑结构进行较为准确的推断。
本公开提供一种检测僵木蠕网络的方法,包括:报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。
进一步地,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。
进一步地,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括:判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。
进一步地,若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中;若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。
进一步地,在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。
进一步地,所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后,还包括:在建立拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。
本发明还提供一种检测僵木蠕网络的系统,包括报文检测设备、流检测设备以及僵木蠕检测平台,其中,报文检测设备用于获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备用于根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台;僵木蠕检测平台用于构建僵木蠕网络拓扑结构。
进一步地,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。
进一步地,报文检测设备还用于判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。
进一步地,报文检测设备用于若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中,若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。
进一步地,报文检测设备用于在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。
进一步地,僵木蠕检测平台用于在建立拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。
本公开提供的检测僵木蠕网络的方法以及系统,采用抽样多数据源的方法,基于DPI深度报文检测和DFI深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪,同时采用抽样报文方法以减少流量,可以实现对高速链路的网络流量进行测量,并对僵木蠕网络的拓扑结构进行较为准确的推断。
附图说明
图1示出本发明一个实施例的检测僵木蠕网络的方法的流程图。
图2示出本发明一个实施例的检测僵木蠕网络的方法示意图。
图3示出本发明一个实施例的一种检测僵木蠕网络的系统示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
图1示出本发明一个实施例的检测僵木蠕网络的方法的流程图。如图1所示,该方法主要包括:
步骤100,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息。
步骤102,将所述僵木蠕样本报文中的控制端信息发送给流检测设备。
步骤104,流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息。
步骤106,流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。
在一个实施例中,僵木蠕样本报文中的控制端信息包括C&C(command and control,命令与控制)IP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口信息。
在一个实施例中,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括:判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。
在一个实施例中,若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中,若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。
在一个实施例中,在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。
在一个实施例中,所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后,还包括:在建立拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。
相对于现有最接近技术基于全报文的流量数据特征匹配技术检测僵木蠕网络的方法,本发明上述实施例提供的检测僵木蠕网络的方法,具有如下优点:(1)对大规模僵木蠕网络检测效率更高,通过包检测和流检测的简单关联分析,实时获取僵木蠕网络相关信息,自动构建僵木蠕网络拓扑结构;(2)海量网络流在线检测成本较低,本专利所述的抽样检测方法不需要在骨干网和高速网络大范围部署蜜罐及流量分析设备,可以节省大量的网络硬件设备投资,有利于本专利方法的迅速推广和使用。
图2示出本发明一个实施例的检测僵木蠕网络的方法示意图。如图2所示,该检测过程可以包括:
步骤201,在僵木蠕高发网络如城域网或IDC(Internet DataCenter,互联网数据中心)中部署IDS(Intrusion Detection Systems,入侵检测系统)、蜜罐等DPI(Deep Packet Inspection,深度包检测技术)深度报文检测设备21,利用该报文检测设备分析网络流量中的僵木蠕程序样本,获取僵木蠕程序样本报文中的控制端地址及端口信息,同时利用DFI(Deep/Dynamic Flow Inspection,深度/动态流检测)深度流检测设备22抽样采集骨干网和高速网络流量信息。
步骤202,通过报文检测设备21向流检测设备22发送已知的控制端地址,其中,这些控制端信息包括C&C IP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口等信息,报文检测设备可以查询与控制端连接的僵尸主机地址信息,获取被控制主机的地址。
步骤203,流检测设备22实时返回与C&C、蠕虫源等控制端IP有通讯的僵尸主机地址信息给僵木蠕检测平台23。
步骤204,僵木蠕检测平台23实时获取流检测平台返回的僵尸主机相关信息,能够较为准确推断出僵尸主机的控制规模,从而方便地构建僵木蠕网络拓扑结构。
具体地,如表1所示,可以根据C&C IP/端口获取被控制端的僵尸主机的控制规模以及受影响主机IP地址列表;根据蠕虫源IP/端口以及恶意网站IP/端口获取僵木蠕的传播程度以及受影响主机IP地址列表。
| C&C IP/端口 | 控制程度 | 受影响主机IP地址列表 |
| 蠕虫源IP/端口 | 传播程度 | 受影响主机IP地址列表 |
| 恶意网站IP/端口 | 传播程度 | 受影响主机IP地址列表 |
表1
对于僵木蠕网络的检测方法主要包括僵尸行为仿真及监控技术和基于全报文的流量数据特征匹配技术。僵尸行为仿真及监控技术确定僵木蠕,可以利用主动式和被动式蜜罐系统获取僵尸程序样本,监控僵尸主机的传播方式和通讯方式,从而得到僵木蠕网络的行为特征,感染行为包括驻留系统的模式(用户模式、内核模式)安装文件、修改文件、修改注册表、对系统进程和函数的调用、键盘操作记录、对系统服务和网络服务的控制;传播行为可以包括扫描、漏洞的利用;获得通信行为包括IP地址、端口号、协议特征、命令。对代码特征的分析分析包括:加壳与脱壳、Shellcode、特征指令序列、文件片段;对日志的关联分析包括系统日志、IPS攻击日志、流量信息记录。常用的分析方法包括按照安全策略限制程序行为的执行环境的沙箱法和系统监控程序包括SEBEK、入侵检测系统蜜网在线信息收集法。
现有技术中基于全报文的流量数据特征匹配方法,必须充分了解僵尸程序,提取指纹信息作为入侵检测设备检测的特征,传统的入侵检测设备系统无论是基于特征还是基于异常的,都是关注入流量并查找点对点入侵的恶意特征。传统的僵尸行为仿真及监控技术主要是基于单点和单数据源,造成检测范围较小,难以测量大规模的僵木蠕网络,没有办法对控制僵尸控制器的僵尸主人进行追踪;传统的基于全报文的流量数据特征匹配技术由于需要对每个报文进行检测,检测成本巨大,海量的网络流数据限制了在线流量数据特征匹配技术的广泛应用,在骨干网和高速网络大范围部署流量特征分析设备需要投入很高的成本,运行效率较低,难于突破高速主干网络测量资源的瓶颈。相对与现有技术,本发明采用抽样多数据源的方法,基于DPI深度报文检测和DFI深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪,同时采用抽样报文方法以减少流量,可以实现对高速链路的网络流量进行测量,并对僵木蠕网络的拓扑结构进行较为准确的推断。
本发明实施例提出的检测大规模僵木蠕网络的方法,首先在僵木蠕高发网络区域采用DPI报文深度检测技术获取木马样本报文中控制端地址及端口信息,然后向基于抽样流采集技术的流检测系统发送查询请求消息进行关联检测,流检测系统实时返回与C&C、蠕虫源等控制端IP有通讯的僵尸主机地址信息,僵木蠕检测平台从而能够实时获取僵木蠕网络的相关信息,快速构建僵木蠕网络拓扑结构,有效降低了检测成本。
图3示出本发明一个实施例的一种检测僵木蠕网络的系统示意图,如图3所示,该系统包括报文检测设备301、流检测设备302以及僵木蠕检测平台303,其中,报文检测设备301用于获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备302;流检测设备302用于根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台303;僵木蠕检测平台303用于构建僵木蠕网络拓扑结构。
在一个实施例中,僵木蠕样本报文中的控制端信息包括命令与控制C&C IP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口信息。
在一个实施例中,报文检测设备301还用于判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。
在一个实施例中,报文检测设备301用于若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中,若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。
在一个实施例中,报文检测设备301用于在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。
在一个实施例中,僵木蠕检测平台303用于在建立拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (12)
1.一种检测僵木蠕网络的方法,其特征在于,包括:
报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;
将所述僵木蠕样本报文中的控制端信息发送给流检测设备;
流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;
流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。
2.根据权利要求1所述的方法,其特征在于,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。
3.根据权利要求1所述的方法,其特征在于,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括:
判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;
若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。
4.根据权利要求3所述的方法,其特征在于,
若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中;
若在白名单中,则确定不是僵木蠕网络控制端信息;
若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。
5.根据权利要求4所述的方法,其特征在于,
在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;
若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。
6.根据权利要求1所述的方法,其特征在于,所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后,还包括:
在建立僵木蠕网络拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。
7.一种检测僵木蠕网络的系统,其特征在于,包括报文检测设备、流检测设备以及僵木蠕检测平台,
其中,报文检测设备用于获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;
流检测设备用于根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台;
僵木蠕检测平台用于构建僵木蠕网络拓扑结构。
8.根据权利要求7所述的系统,其特征在于,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。
9.根据权利要求7所述的系统,其特征在于,报文检测设备还用于判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。
10.根据权利要求9所述的系统,其特征在于,报文检测设备用于若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中,若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。
11.根据权利要求10所述的系统,其特征在于,报文检测设备用于在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。
12.根据权利要求7所述的系统,其特征在于,僵木蠕检测平台用于在建立僵木蠕网络拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510882882.3A CN106850501A (zh) | 2015-12-04 | 2015-12-04 | 检测僵木蠕网络的方法以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510882882.3A CN106850501A (zh) | 2015-12-04 | 2015-12-04 | 检测僵木蠕网络的方法以及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106850501A true CN106850501A (zh) | 2017-06-13 |
Family
ID=59149641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510882882.3A Pending CN106850501A (zh) | 2015-12-04 | 2015-12-04 | 检测僵木蠕网络的方法以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106850501A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707462A (zh) * | 2017-10-31 | 2018-02-16 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 基于云计算的垃圾邮件应急处理方法 |
| CN111571590A (zh) * | 2020-05-19 | 2020-08-25 | 深圳市爱康生物科技有限公司 | 一种全自动样本冷藏交接处理设备的预约控制方法 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102045214A (zh) * | 2009-10-20 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| CN102571487A (zh) * | 2011-12-20 | 2012-07-11 | 东南大学 | 基于多数据源分布式的僵尸网络规模测量及追踪方法 |
-
2015
- 2015-12-04 CN CN201510882882.3A patent/CN106850501A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045214A (zh) * | 2009-10-20 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102571487A (zh) * | 2011-12-20 | 2012-07-11 | 东南大学 | 基于多数据源分布式的僵尸网络规模测量及追踪方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王一彪: "Windows平台下僵尸网络检测原型系统设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707462A (zh) * | 2017-10-31 | 2018-02-16 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 基于云计算的垃圾邮件应急处理方法 |
| CN111571590A (zh) * | 2020-05-19 | 2020-08-25 | 深圳市爱康生物科技有限公司 | 一种全自动样本冷藏交接处理设备的预约控制方法 |
| CN111571590B (zh) * | 2020-05-19 | 2023-01-06 | 深圳市爱康生物科技股份有限公司 | 一种全自动样本冷藏交接处理设备的预约控制方法 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| EP1244967B1 (en) | Method for automatic intrusion detection and deflection in a network | |
| CN101360019B (zh) | 一种僵尸网络的检测方法、系统和设备 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN102045214B (zh) | 僵尸网络检测方法、装置和系统 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN104113519B (zh) | 网络攻击检测方法及其装置 | |
| CN106909847A (zh) | 一种恶意代码检测的方法、装置及系统 | |
| CN104243408B (zh) | 域名解析服务dns系统中监控报文的方法、装置及系统 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| EP2448211B1 (en) | Method, system and equipment for detecting botnets | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| CN105187367A (zh) | 基于大数据发现的僵尸木马病毒检测及管控方法 | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| CN104580249A (zh) | 一种基于日志的僵木蠕网络分析方法和系统 | |
| CN106506545A (zh) | 一种网络安全威胁评估系统及方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| CN106850501A (zh) | 检测僵木蠕网络的方法以及系统 | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| CN101888296B (zh) | 一种影子用户检测方法、装置、设备和系统 | |
| CN108737332A (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170613 |