CN107342967B - 僵尸网络检测系统及其方法 - Google Patents

僵尸网络检测系统及其方法 Download PDF

Info

Publication number
CN107342967B
CN107342967B CN201610285385.XA CN201610285385A CN107342967B CN 107342967 B CN107342967 B CN 107342967B CN 201610285385 A CN201610285385 A CN 201610285385A CN 107342967 B CN107342967 B CN 107342967B
Authority
CN
China
Prior art keywords
network
botnet
network address
individual
record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610285385.XA
Other languages
English (en)
Other versions
CN107342967A (zh
Inventor
孙明功
黄琼莹
张宗铨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anjie Information Co., Ltd.
Original Assignee
Anjie Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anjie Information Co ltd filed Critical Anjie Information Co ltd
Priority to CN201610285385.XA priority Critical patent/CN107342967B/zh
Publication of CN107342967A publication Critical patent/CN107342967A/zh
Application granted granted Critical
Publication of CN107342967B publication Critical patent/CN107342967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明是提供一种僵尸网络检测方法,该方法包括下列步骤:取得一电脑设备的一网络记录档;依据该电脑设备的一设备开机时间状态记录以及一网络白名单以过滤该网络记录档以得到多个个别网络记录档,其中各个别网络记录档是记录一时间信息、该电脑设备的一来源网络地址、及一个别目的网络地址;以及分析各个别网络记录档中该来源网络地址连线至该个别目的网络地址的多个时间间隔以决定该电脑设备是否出现被一僵尸网络恶意程序所植入后的症状。

Description

僵尸网络检测系统及其方法
技术领域
本发明涉及僵尸网络检测,特别涉及一种僵尸网络检测系统及其方法。
背景技术
传统上,检测僵尸网络可经由特征比对的方式。特征比对的方式是常由知名的防毒软件厂商所使用,然而一但僵尸网络的特征值改变,对于防毒软件来说即是一个全新的样本,进而导致检测失败。僵尸网络(Botnet)此词意指可独立且自动地执行恶意程序的代理主机(agent),亦可意指被一或多个恶意程序植入的电脑主机的集合。举例来说,电脑主机被植入恶意程序可在一指令及控制架构(command-and-control infrastructure)之下经由网页浏览器的下载安装程序的漏洞、蠕虫(worm)、木马(Trojan horses)、或后门(backdoor)程序所植入。传统上,僵尸网络的拥有者会利用僵尸网络以发送垃圾邮件、发动阻断服务攻击(Denial of Service Attack)、或窃取敏感信息等等。
僵尸网络的拥有者可经由指令及控制服务器以远端控制其下的僵尸电脑。然而,要检测僵尸网络的指令及控制服务器所使用的通道相当困难,例如可利用HTTP协定以绕过防火墙、传送加密讯息、快速切换网域等等。
因此,需要一种简单而有效的僵尸网络检测系统及其方法以解决上述问题。
发明内容
本发明是提供一种僵尸网络检测方法,该方法包括下列步骤:取得一电脑设备的一网络记录档;依据该电脑设备的一设备开机时间状态记录以及一网络白名单以过滤该网络记录档以得到多个个别网络记录档,其中各个别网络记录档是记录一时间信息、该电脑设备的一来源网络地址、及一个别目的网络地址;以及分析各个别网络记录档中该来源网络地址连线至 该个别目的网络地址的多个时间间隔以决定该电脑设备是否出现被一僵尸网络恶意程序所植入的症状。
本发明是提供一种僵尸网络检测系统,包括:一存储器单元,用以储存一僵尸网络检测程序;以及一处理单元,用以取得一电脑设备的一网络记录档,并执行该僵尸网络检测程序以分析该网络记录档,其中该处理单元是依据该电脑设备的一设备开机时间状态记录以及一网络白名单以过滤该网络记录档以得到多个个别网络记录档,且各个别网络记录档是记录一时间信息、该电脑设备的一来源网络地址、及一个别目的网络地址,其中该处理单元更分析各个别网络记录档中该来源网络地址连线至该个别目的网络地址的多个时间间隔以决定该电脑设备是否出现被一僵尸网络恶意程序植入后的症状。
附图说明
图1是显示依据本发明一实施例中的僵尸网络检测系统的方块图。
图2A是显示依据本发明一实施例中的网络记录档的栏位的示意图。
图2是显示依据本发明一实施例中的过滤网络记录档的栏位的示意图。
图3A是显示依据本发明一实施例中的网络记录档的示意图。
图3B及3C是显示依据本发明一实施例中的个别网络记录档的示意图。
图4是显示依据本发明一实施例中的恶意程序检测方法。
附图标记说明:
100~僵尸网络检测系统;
110~处理单元;
120~存储器单元;
121~易失性存储器;
122~非易失性存储器;
125~僵尸网络检测程序;
130~系统总线;
140~网络单元;
200~原始网络记录档;
210~过滤网络记录档;
300~网络记录档;
310、320~个别网络记录档;
S410-S430~步骤。
具体实施方式
为使本发明的上述目的、特征和优点能更明显易懂,下文特举一较佳实施例,并配合说明书附图,作详细说明如下。
图1是显示依据本发明一实施例中的僵尸网络检测系统的方块图。在一实施例中,僵尸网络检测系统100是可由一或多个个人电脑或服务器所组成。举例来说,僵尸网络检测系统100可包括一或多个处理单元110、一存储器单元120、一系统总线130、及一网络单元140。处理单元110、存储器单元120、及网络单元140是通过系统总线130而互相耦接。处理单元110例如可为中央处理器(CPU)、一般用途处理器(general-purpose processor)等等,但本发明并不限于此。
存储器单元120是包括一易失性存储器121及一非易失性存储器122,其中该易失性存储器121为一随机存取存储器,例如是动态随机存取存储器(DRAM)或静态随机存取存储器(SRAM),非易失性存储器122是可为一硬盘(hard disk)、一快闪存储器(flashmemory)、一固态硬盘(solid-state disk)等等,但本发明并不限于此。网络单元140是包括一或多个网络接口,其可让僵尸网络检测系统100经由有线或无线通信协定与其他电子装置连接。
非易失性存储器122是储存一僵尸网络检测程序125,且处理单元110是将僵尸网络检测程序125从非易失性存储器122读取至易失性存储器121并执行僵尸网络检测程序125。举例来说,僵尸网络检测程序125是可分析来自一或多台电脑或服务器的一或多个网络记录档(network log file),藉以 判断网络记录档所相应的电脑或服务器是否已被植入恶意程序,特别是僵尸网络信标(botnet beacon),其细节将详述于后。需注意的是,僵尸网络检测系统100可经由网络单元140取得来自其他电脑或服务器的网络记录档,或是可由连接于系统总线130的周边装置(例如USB储存装置)以取得网络记录档,但本发明并不限于此。
一般来说,僵尸网络的代理主机(agent)与控制主机(master)之间可通过信标(beacon)的方式进行沟通,以便于维持连线及命令传递。然而,电脑或服务器与其他装置进行连络的网络连线行为或网络事件均会被记录在网络记录档中。举例来说,网络记录档的内容可包括,但不限于:日期时间、来源网络地址、目的网络地址、应用程序、连线状态、设备开机时间、讯息类型、讯息内容、偏差值等等。本发明领域中技术人员当可了解网络记录档中尚可包括其他种类的栏位或记录,故其细节于此不再详述。一般来说,一台电脑的网络纪录档的文件大小往往可达到数百MB或1GB以上,且包含了上述所记录的各种内容,已非人工去检视网络记录档即可轻易发现该电脑已被僵尸网络恶意程序所植入。因此,需要特别利用专门的僵尸网络检测程序来进行进一步的判断该电脑是否被僵尸网络恶意程序(例如包括僵尸网络或木马后门类型的恶意程序)所植入。
第2A图是显示依据本发明一实施例中的网络记录档的栏位的示意图。第2B图是显示依据本发明一实施例中的过滤网络记录档的栏位的示意图。在一实施例中,僵尸网络检测程序125是将原始网络记录档200中的各种栏位分类为时间日期(date and time)、来源网络地址(source IP address)、目的网络地址(destination IP address)、以及「其他」等四种栏位,如第2A图所示。因为网络记录档的数据数量一般而言均相当庞大,僵尸网络检测程序125判断恶意程序之前会首先过滤掉「其他」栏位中的数据以产生过滤网络记录档210,如第2B图所示。需注意的是,「其他」栏位是指在网络记录档中除了时间日期、来源网络地址、目的网络地址的数据。
第3A图是显示依据本发明一实施例中的网络记录档的示意图。第3B及3C图是显示依据本发明一实施例中的个别网络记录档的示意图。在一实施例中,僵尸网络检测程序125是针对每一来源网络地址与每一目的网络地址之间的连线行为进行分析。举例来说,第3A图所示的网络记录档300 包括来源网络地址1、以及目的网络地址1~2。僵尸网络检测程序125是将第3A图中的网络记录档300(已过滤掉其他信息)分类为第3B及3C图的个别网络记录档310及320,例如第3B图中的个别网络记录档310是针对来源网络地址SIP1及目的网络地址DIP1,其包括时间T1及T2的数据。第3C图中的个别网络记录档320是针对来源网络地址SIP1及目的网络地址DIP2,其包括时间T3及T4的数据。接着,僵尸网络检测程序125是与来源网络地址SIP1在开机状态下的数据进行运算。
更进一步而言,在来源网络地址SIP1在开机状态下的数据才是有意义的数据。为了不加重僵尸网络检测系统100的负担,僵尸网络检测程序125仅对有意义的网络记录档数据进行分析。为了便于说明,上述实施例仅以一个来源网络地址及二个目的网络地址为例子。本发明领域中技术人员当可了解一网络记录档可包括一或多个来源网络地址、及一或多个目的网络地址,来源网络地址及目的网址的数量可随实际情况而变化。
在一实施例中,僵尸网络检测程序125是先分析一电脑的来源网络地址连接至一目的网络地址的时间间隔以得到该时间间隔的标准差SD及平均数AVG。举例来说,僵尸网络检测程序125是依据所分析出的标准差SD及平均数AVG以决定来源网络地址1连接至目的网络地址1的连线频率特征值TFValue,其中连线频率特征值是可由下列简单公式表示:
Figure BDA0000980384350000051
接着,僵尸网络检测程序125是依据该连线频率特征值TFValue以判断该目的网络地址是否可能为一恶意程序的目的网络地址。更进一步而言,当连线频率特征值的数值愈小,表示该来源网络地址连接至该目的网络地址连线频率的变异程度愈小;当连线频率特征值的数值愈大,表示该来源网络地址连接至该目的网络地址的连线频率的变异程度愈大。此外,当一台电脑受到僵尸网络恶意程序植入后,该电脑的来源网络地址连线至僵尸网络的目的网络地址的变异程度往往是很小的。因此,若该连线频率特征值TFValue是小于一预定阀值时,僵尸网络检测程序125是判断该目的网络地址并非恶意程序的目的网络地址。若该连线频率特征值TFValue大于该预定阀值时,僵尸网络检测程序125是判断该目的网络地址可能为恶意程序的目的 网络地址。
在一实施例中,上述连线频率特征值是可由下列函式所表示:
Figure BDA0000980384350000061
其中ConnFreq是表示一连线间隔的函式;DAT(Device Alive Time)是表示设备开机时间状态记录;DTD(Device to Destination)是表示该设备的程序与外部网络地址的连线通信状态;WLF(White List Filter)则表示网络白名单过滤器,即经过安全的网络白名单过滤并确认安全的连线。更进一步而言,在前述实施例中已公开在原始的网络记录档中可记录各种信息,但僵尸网络检测程序125会先将原始网络记录档中过滤出日期时间、来源网络地址、及目的网络地址等三个数据栏位,此即为该电脑设备与外部目的网络的连线通信状态及其时间间隔。接着,僵尸网络检测程序125是将该连线通信状态再进一步与设备开机时间状态记录DAT及网络防火墙或路由器的网络白名单进行过滤,以得到需要分析的过滤连线通信状态。
更进一步而言,连线通信状态DTD是可从网络防火墙记录中以固定时间(timeslot)内(例如每分钟)做为网络通信记录。设备开机时间状态记录DAT可根据设备开机记录判断,或参考设备连线通信状态DTD的记录、或是取得该电脑的事件记录档以推测其开关机状态。网络白名单过滤器WLF即网络防火墙或路由器预先设定的安全目的网络地址。
表1是显示一电脑设备的网络记录档中的一来源网络地址SIP与不同目的网络地址DIP1、DIP2、DIP3的连线间隔。
Figure BDA0000980384350000062
Figure BDA0000980384350000071
表1
举例来说,僵尸网络检测程序125是依据不同的目的网络地址将电脑设备的网络记录档分类为三个个别网络记录档。个别网络记录档1是记录了来源网络地址SIP至目的网络地址DIP1的连线间隔,个别网络记录档2是记录了来源网络地址SIP至目的网络地址DIP2的连线间隔,个别网络记录档31是记录了来源网络地址SIP至目的网络地址DIP3的连线间隔。
由表1可看出网络记录档1~3的连线间隔的平均数均非常接近10,但是其连线间隔的标准差则变化较大。例如网络记录档1、2、3的标准差分别为6.497862897、1.91195072、及0.489897949。因此,僵尸网络检测程序125所计算出的网络记录档1、2、3的连线频率特征值分别为0.6497862897、0.18930205、及0.04710557。假定预定阀值为0.1,则僵尸网络检测程序125可判断出网络记录档3中所记录的目的网络地址DIP3可能为僵尸网络的主机的网络地址。此外,僵尸网络检测程序125更可判断来源网络地址SIP所相应的电脑设备可能亦被植入僵尸网络的恶意程序。
图4是显示依据本发明一实施例中的僵尸网络检测方法的流程图。在步骤S410,取得一电脑设备的一网络记录档。举例来说,网络记录档的内容可包括,但不限于:日期时间、来源网络地址、目的网络地址、应用程序、连线状态、设备开机时间、讯息类型、讯息内容、偏差值等等。
在步骤S420,依据该电脑设备的一设备开机时间状态记录以及一网络白名单以过滤(refine)该网络记录档以得到多个个别网络记录档,其中各个别网络记录档是记录一时间信息、该电脑设备的一来源网络地址、及一个别目的网络地址。简单来说,上述过滤步骤是将网络记录档中除了时间信息、来源网络地址、及目的网络地址之外的其他信息过滤掉,并依据不同的目的网络地址分类为不同的个别网络记录档,除此之外,网络记录档要和开机状态数据做整合,并过滤掉网络白名单中的目的网络地址。
在步骤S430,分析各个别网络记录档中该来源网络地址连线至该个别目的网络地址的多个时间间隔以决定该电脑设备是否出现被一僵尸网络恶意程序所植入的症状。
综上所述,本发明是提供一种僵尸网络检测系统及其方法,其可检测各来源网络地址连线至不同的目的网络地址的时间间隔,并分析时间间隔的数据以判断各来源网络地址所相应的电脑设备是否已被僵尸网络所植入。本发明的僵尸网络系统及方法可提供一种全新的僵尸网络判断机制,有别于传统的特征比对及行为比对的机制,更可有效地检测僵尸网络恶意程序的存在。
本发明的方法,或特定型态或其部分,可以以程序码的型态包含于实体媒体,如软碟、光盘片、硬盘、或是任何其他机器可读取(如电脑可读取)储存媒体,其中,当程序码被机器,如电脑载入且执行时,此机器变成用以参与本发明的装置或系统。本发明的方法、系统与装置也可以以程序码型态通过一些传送媒体,如电线或电缆、光纤、或是任何传输型态进行传送,其中,当程序码被机器,如电脑接收、载入且执行时,此机器变成用以参与本发明的装置或系统。当在一般用途处理器实作时,程序码结合处理器提供一操作类似于应用特定逻辑电路的独特装置。
本发明虽以较佳实施例公开如上,然其并非用以限定本发明的范围,任何所属技术领域中技术人员,在不脱离本发明的精神和范围内,当可做些许的变动与润饰,因此本发明的保护范围当视后附的权利要求所界定者为准。

Claims (2)

1.一种僵尸网络检测方法,包括:
取得一电脑设备的一网络记录档;
依据该电脑设备的一设备开机时间状态记录以及一网络白名单以过滤该网络记录档以得到多个个别网络记录档,其中各个别网络记录档是记录一时间信息、该电脑设备的一来源网络地址、及一个别目的网络地址;以及
分析各个别网络记录档中该来源网络地址连线至该个别目的网络地址的多个时间间隔以决定该电脑设备是否出现被一僵尸网络恶意程序所植入后的症状,
该僵尸网络检测方法,还包括:
计算该多个时间间隔的一平均数及一标准差;
依据该平均数及该标准差计算各个别网络记录档一连线频率特征值,其中该连线频率特征值是等于该标准差除以该平均数;
判断各个别网络记录档的该连线频率特征值是否小于一预定阈值;
若各个别网络记录档的该连线频率特征值大于该预定阈值,判断该电脑设备无被该僵尸网络恶意程序所植入后的症状;以及
若各个别网络记录档的该连线频率特征值小于该预定阈值,判断该电脑设备有被该僵尸网络恶意程序所植入后的症状。
2.一种僵尸网络检测系统,包括:
一存储器单元,用以储存一僵尸网络检测程序;以及
一处理单元,用以取得一电脑设备的一网络记录档,并执行该僵尸网络检测程序以分析该网络记录档,
其中该处理单元是依据该电脑设备的一设备开机时间状态记录以及一网络白名单以过滤该网络记录档以得到多个个别网络记录档,且各个别网络记录档是记录一时间信息、该电脑设备的一来源网络地址、及一个别目的网络地址,
其中该处理单元更分析各个别网络记录档中该来源网络地址连线至该个别目的网络地址的多个时间间隔以决定该电脑设备是否出现被该僵尸网络恶意程序所植入后的症状,
其中该处理单元更计算该多个时间间隔的一平均数及一标准差,并依据该平均数及该标准差计算各个别网络记录档一连线频率特征值,且该连线频率特征值是等于该标准差除以该平均数,
其中该处理单元更判断各个别网络记录档的该连线频率特征值是否小于一预定阈值,
其中若各个别网络记录档的该连线频率特征值大于该预定阈值,该处理单元是判断该电脑设备无被该僵尸网络恶意程序所植入后的症状,若各个别网络记录档的该连线频率特征值小于该预定阈值,该处理单元是判断该电脑设备有被该僵尸网络恶意程序所植入后的症状。
CN201610285385.XA 2016-05-03 2016-05-03 僵尸网络检测系统及其方法 Active CN107342967B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610285385.XA CN107342967B (zh) 2016-05-03 2016-05-03 僵尸网络检测系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610285385.XA CN107342967B (zh) 2016-05-03 2016-05-03 僵尸网络检测系统及其方法

Publications (2)

Publication Number Publication Date
CN107342967A CN107342967A (zh) 2017-11-10
CN107342967B true CN107342967B (zh) 2020-07-31

Family

ID=60221684

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610285385.XA Active CN107342967B (zh) 2016-05-03 2016-05-03 僵尸网络检测系统及其方法

Country Status (1)

Country Link
CN (1) CN107342967B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535844B (zh) * 2019-08-20 2021-09-28 北京网思科平科技有限公司 一种恶意软件通讯活动检测方法、系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542186A (zh) * 2010-12-15 2012-07-04 财团法人资讯工业策进会 恶意程序检测装置以及恶意程序检测方法
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
TWM504990U (zh) * 2015-04-09 2015-07-11 Univ Chien Hsin Sci & Tech 網路防護系統
CN104796386A (zh) * 2014-01-21 2015-07-22 腾讯科技(深圳)有限公司 一种僵尸网络的检测方法、装置和系统
CN105099799A (zh) * 2014-05-05 2015-11-25 华为技术有限公司 僵尸网络检测方法和控制器

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653698B2 (en) * 2003-05-29 2010-01-26 Sonicwall, Inc. Identifying e-mail messages from allowed senders
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542186A (zh) * 2010-12-15 2012-07-04 财团法人资讯工业策进会 恶意程序检测装置以及恶意程序检测方法
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
CN104796386A (zh) * 2014-01-21 2015-07-22 腾讯科技(深圳)有限公司 一种僵尸网络的检测方法、装置和系统
CN105099799A (zh) * 2014-05-05 2015-11-25 华为技术有限公司 僵尸网络检测方法和控制器
TWM504990U (zh) * 2015-04-09 2015-07-11 Univ Chien Hsin Sci & Tech 網路防護系統

Also Published As

Publication number Publication date
CN107342967A (zh) 2017-11-10

Similar Documents

Publication Publication Date Title
TWI616771B (zh) 殭屍網路偵測系統及其方法
US9853988B2 (en) Method and system for detecting threats using metadata vectors
US8935779B2 (en) Network-based binary file extraction and analysis for malware detection
US10581880B2 (en) System and method for generating rules for attack detection feedback system
US20120005743A1 (en) Internal network management system, internal network management method, and program
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
WO2013117148A1 (zh) 检测远程入侵计算机行为的方法及系统
US11258812B2 (en) Automatic characterization of malicious data flows
CN104601570A (zh) 一种基于旁路监听和软件抓包技术的网络安全监控方法
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
EP3186921A1 (en) Distributed detection of malicious cloud actors
JP7161021B2 (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
US11496394B2 (en) Internet of things (IoT) device identification on corporate networks via adaptive feature set to balance computational complexity and model bias
CN107342967B (zh) 僵尸网络检测系统及其方法
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
US11063975B2 (en) Malicious content detection with retrospective reporting
JP7167290B2 (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
US11811803B2 (en) Method of threat detection
US11870693B2 (en) Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology
US8806651B1 (en) Method and apparatus for automating controlled computing environment protection
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
TWI764618B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
CN118296598A (zh) 一种软件白名单自动化生成方法、装置、设备及存储介质
CN110865597A (zh) 一种工业控制系统及其安全防护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20190711

Address after: Taipei City, Taiwan, China

Applicant after: Anjie Information Co., Ltd.

Address before: Chinese Taiwan New Taipei City

Applicant before: Acer Inc

GR01 Patent grant
GR01 Patent grant