CN107609400A - 计算机病毒分类方法、系统、设备及计算机可读存储介质 - Google Patents
计算机病毒分类方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107609400A CN107609400A CN201710899652.7A CN201710899652A CN107609400A CN 107609400 A CN107609400 A CN 107609400A CN 201710899652 A CN201710899652 A CN 201710899652A CN 107609400 A CN107609400 A CN 107609400A
- Authority
- CN
- China
- Prior art keywords
- computer virus
- traffic characteristic
- association
- degree
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本申请公开了一种计算机病毒分类方法、系统、设备及计算机可读存储介质,包括:采集计算机病毒样本的流量;提取所述计算机病毒样本的流量特征;根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。计算机病毒样本进行通信时产生流量的流量特征难以被免杀手段影响,因而计算机病毒样本的流量特征之间的关联度可以准确的反应出不同计算机病毒样本间的关系。因此,本申请提供的计算机病毒分类方法具有分类准确的特点。
Description
技术领域
本发明涉及计算机安全领域,特别涉及一种计算机病毒分类方法、系统、设备及计算机可读存储介质。
背景技术
随着计算机在生活中的普及,各种形式的计算机病毒威胁着计算机的安全。
现有技术中通常根据计算机病毒的可执行文件特征对计算机病毒进行家族分类。例如,将在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分的病毒类型分类为源代码病毒;将自身包围在可执行文件周围,在运行可执行文件时一同执行的病毒类型分类为外壳型病毒。但病毒往往会经过加壳等免杀手段的处理,使得对计算机病毒种类划分变得困难。
因此,如何能准确的进行计算机病毒分类是本领域人员亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种计算机病毒分类方法、系统、设备及计算机可读存储介质。该方法具有分类准确的特点,该系统同样具有分类准确的特点。其具体方案如下:
第一方面,本申请提供一种计算机病毒分类方法,包括:
采集计算机病毒样本的流量;
提取所述计算机病毒样本的流量特征;
根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。
优选的,所述采集计算机病毒样本的流量的步骤包括:
采集预先执行于沙盒环境中的计算机病毒样本的流量的pcap包。
优选的,所述提取所述计算机病毒样本的流量特征的步骤包括:
利用所述pcap包提取所述计算机病毒样本的流量特征。
优选的,所述利用所述pcap包提取所述计算机病毒样本的流量特征的步骤,包括:
从所述pcap包中提取所述计算机病毒样本的协议行为和/或地址特征。
优选的,所述提取所述计算机病毒样本的流量特征的步骤后,还包括:
根据预设的白名单过滤所述计算机病毒样本的流量特征。
优选的,所根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类的步骤包括:
统计不同的流量特征在相同病毒样本中出现的频数;
利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度;
利用所述特征间关联度,确定出病毒间关联度,然后利用所述病毒间关联度对所述计算机病毒样本进行分类。
优选的,所述利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度的步骤包括:
对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图;
基于所述关联图,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度。
优选的,所述对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图的步骤,包括:
利用Gephi分析软件,对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图。
优选的,所述利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度的步骤包括:
利用所述频数以及预设的相关系数计算公式,计算出所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度。
优选的,还包括:
对相同类型的病毒样本所对应域名信息进行数据挖掘,得到目标域名信息;其中,所述目标域名信息包括域名和域名的注册信息;
利用所述目标域名信息,挖掘相应的域名、病毒样本和黑客之间的关联信息;
利用所述关联信息,并结合针对相应病毒样本的行为分析结果,推测出相应黑客信息。
第二方面,本申请还提供一种计算机病毒分类系统,包括:
流量采集模块,用于采集计算机病毒样本的流量;
流量特征提取模块,用于提取流量采集模块采集的计算机病毒样本流量的流量特征;
计算机病毒分类模块,用于根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。
第三方面,本申请还提供一种计算机病毒分类设备,包括:
存储有计算机病毒分类程序的存储器及用于运行所述计算机病毒分类程序的处理器。所述计算机病毒分类程序配置为实现上述计算机病毒分类方法的步骤。
第四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机病毒分类程序。所述计算机病毒分类程序配置为实现上述计算机病毒分类方法的步骤。
本申请的公开的计算机病毒分类方法,提取采集的计算机病毒样本流量的特征,根据计算机病毒样本的流量特征将病毒分类。本申请的方法通过采集通信时产生的流量,提取计算机病毒样本流量的特征,根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。计算机病毒样本进行通信时产生流量的流量特征难以被免杀手段影响,因而计算机病毒样本的流量特征之间的关联度可以准确的反应出不同计算机病毒样本间的关系。因此,本申请提供的计算机病毒分类方法具有分类准确的特点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种计算机病毒分类方法的流程图;
图2为本申请提供的一种计算机病毒分类方法的子流程图;
图3为本申请提供的一种具体的计算机病毒分类方法的流程图;
图4为本申请提供的另一种具体的计算机病毒分类方法的流程图;
图5为本申请提供的一种计算机病毒分类系统的结构示意图;
图6为本申请提供的一种具体的计算机病毒分类系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种计算机病毒分类方法,参见图1所示,该方法包括:
步骤S11:采集计算机病毒样本的流量。
计算机病毒样本执行时会进行C&C通信,产生流量。通常,为了使分类数据更加准确,需要准备大量的计算机病毒样本,以便于采集到足够的计算机病毒的样本流量。具体的,计算机病毒样本的数量可以大于10000。
步骤S12:提取所述计算机病毒样本的流量特征。
其中,计算机病毒样本的流量特征包括协议行为和/或地址特征。具体的,地址特征可以是IP地址,地址特征也可以是域名。
步骤S13:根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。
其中,请参见图2所示,步骤S13进一步包括步骤:
步骤S131:统计不同的流量特征在相同病毒样本中出现的频数;
步骤S132:利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度;
其中,关联度反应了不同计算机病毒样本的流量特征之间联系的强弱状态。通常,关联度较强的不同计算机病毒样本流量特征对应的计算机病毒之间具有较强的联系。
步骤S133:利用所述特征间关联度,确定出病毒间关联度,然后利用所述病毒间关联度对所述计算机病毒样本进行分类。
本申请提供的计算机病毒分类方法,根据所述计算机病毒样本的流量特征之间的关联度对计算机病毒样本进行分类,不会受到免杀手段的影响。因此,本申请提供的计算机病毒分类方法具有较高的准确性。
本申请的实施例公开了一种具体的计算机病毒分类方法,参见图3所示,该方法包括:
步骤S21:采集预先执行于沙盒环境中的计算机病毒样本的流量的pcap包。
将计算机病毒样本预先在沙盒环境中执行,产生样本流量。通过抓包软件可以采集计算机病毒样本流量的pcap包。计算机病毒样本放在沙盒环境中执行具有较高的安全性,不会被传播到网络中其他的计算机中;同时,在沙盒环境中执行计算机病毒样本有利于计算机病毒样本流量的收集。当然,样本流量也可以是来自于已经感染计算机病毒的计算机产生的流量。
步骤S22:利用所述pcap包提取计算机病毒样本的流量特征。
其中,pcap包中含有大量流量特征,所述流量特征可以是地址特征和/或协议行为。例如,计算机病毒样本访问的IP地址,计算机病毒样本访问的域名,或是计算机病毒样本访问某一地址时使用的网络协议等。通过pcap包分析软件可以从计算机病毒样本的流量中提取上述信息。
步骤S23:统计不同的流量特征在相同病毒样本中出现的频数。
记录计算机病毒样本的流量特征及对应的流量特征出现的频数。例如,全部计算机病毒样本的流量特征中某一pacp包访问了IP地址50.50.1.2和IP地址50.50.1.3;另一pacp包也访问了IP地址50.50.1.2和IP地址50.50.1.3。经过统计IP地址特征50.50.1.2和IP地址特征50.50.1.3同时出现两次;记录IP地址特征50.50.1.2和IP地址特征50.50.1.3以及统计的地址特征对应的频数2。
步骤S24:对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图;基于所述关联图,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度。
将得到的流量特征数据及统计的频数导入Gephi软件进行分析。其中,将不同的流量特征以点的形式表现,对应的频数为不同点之间的权值。例如,IP地址特征50.50.1.2在软件中表示为一个点,IP地址特征50.50.1.3在软件中表示另一个点,他们的频数2为两个点之间的权值。为了更直观的看到流量特征间的关系,可以选用颜色填充每个点,每个点的度越大则颜色越深,点的大小也越大。使用聚类算法对点归类,例如Force Atlas 2算法,得到相应的关联图。在进行聚类算法归类后,关联图中可以得到不同的簇。聚类成簇的流量特征具有一定关联。将簇近似为圆形,得到簇的半径。簇的半径越大,流量特征间的关联度越高。
步骤S25:利用所述特征间关联度,确定出病毒间关联度,然后利用所述病毒间关联度对所述计算机病毒样本进行分类。
流量特征的关联度越高,流量特征对应的计算机病毒样本间的关联度越高。也即,特征间关联度与病毒间关联度呈正相关关系。
本申请提供的计算机病毒分类方法,根据所述计算机病毒样本的流量特征之间的关联度对计算机病毒样本进行分类,不会受到免杀手段的影响。因此,本申请提供的计算机病毒分类方法具有较高的准确性。同时,选用图关联的形式可以更直观的看到计算机病毒样本分类。
本申请的实施例公开了另一种具体的计算机病毒分类方法,参见图4所示,该方法包括:
步骤S31:采集预先执行于沙盒环境中的计算机病毒样本的流量的pcap包。
步骤S32:利用所述pcap包提取所述计算机病毒样本的流量特征。
步骤S33:统计不同的流量特征在相同病毒样本中出现的频数。
步骤S34:利用所述频数以及预设的相关系数计算公式,计算出所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度。
其中,所述计算公式为常见的关联度计算公式,利用频数和关联度计算公式可以计算出计算机病毒样本的流量特征关联度系数。具体选用何种计算公式、采用何种计算方法在本申请中不做限定。
步骤S35:利用所述特征间关联度,确定出病毒间关联度,然后利用所述病毒间关联度对所述计算机病毒样本进行分类。
判断计算得到的计算机病毒样本的流量特征的关联度系数是否小于预设的关联度系数阈值,若是,则将小于阈值的计算机病毒样本的流量特征对应的计算机病毒样本划分为同一类型。
本申请提供的计算机病毒分类方法,根据所述计算机病毒样本的流量特征之间的关联度对计算机病毒样本进行分类,不会受到免杀手段的影响。因此,本申请提供的计算机病毒分类方法具有较高的准确性。同时,计算出计算机病毒样本的流量特征的关联系数可以更好的表现出不同病毒样本个体之间的关联度。
在本申请提供的计算机病毒分类方法的基础上,为了减小计算量,还可以在提取所述计算机病毒样本的流量特征的步骤后包括步骤:
根据预设的白名单过滤所述计算机病毒样本的流量特征。
其中,计算机病毒样本也会访问一些安全的地址,通过预设的白名单过滤,可以减小计算机病毒样本流量特征的数量,从而可以减小计算量。
根据本申请提供的计算机病毒分类方法分类后的同一类型的病毒具有较强的关联性,因此还可以包括步骤:
对相同类型的病毒样本所对应域名信息进行数据挖掘,得到目标域名信息;其中,所述目标域名信息包括域名和域名的注册信息;利用所述目标域名信息,挖掘相应的域名、病毒样本和黑客之间的关联信息;利用所述关联信息,并结合针对相应病毒样本的行为分析结果,推测出相应黑客信息。
利用本申请提供的方法分类后,同类型的病毒具有较强的关联性,即该类型的病毒进行C&C通信的地址具有一定关联。因此,可以对同类型病毒样本对应的域名信息进行数据挖掘。例如,选用whois查询域名的注册人、域名的注册组织、域名的注册邮箱等信息。利用得到的信息,挖掘域名、病毒样本和黑客之间的联系,并结合针对相应病毒样本的行为分析结果,推测出相应黑客信息。
本申请的实施例公开了一种计算机病毒分类系统,参见图5所示,该方法包括:
流量采集模块11,用于采集计算机病毒样本的流量;
其中,流量采集模块可以从预先执行计算机病毒样本的沙盒环境中采集计算机病毒样本的流量;也可以从感染了计算机病毒样本的计算机中采集计算机病毒样本的流量。
流量特征提取模块12,用于提取流量采集模块采集的计算机病毒样本流量的流量特征;
其中,所述流量特征提取模块提取的流量特征可以是地址特征和/或协议行为。
计算机病毒分类模块13,用于根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。
其中,参见图6所示,计算机病毒分类模块13包括:
流量特征统计子模块131,用于统计不同的流量特征在相同病毒样本中出现的频数;
流量特征关联度确定子模块132,用于利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度;
计算机病毒分类子模块133,用于利用所述特征间关联度,确定出病毒间关联度,然后利用所述病毒间关联度对所述计算机病毒样本进行分类。
在本申请提供的计算机病毒分类系统的基础上,为了减小计算量,还可以包括:
白名单过滤模块,用于根据预设的白名单过滤所述计算机病毒样本的流量特征。
本申请还公开一种计算机病毒分类设备,包括:
存储有计算机病毒分类程序的存储器及用于运行所述计算机病毒分类程序的处理器。其中,计算机病毒分类程序配置为实现上述计算机病毒分类方法的步骤,在此不再赘述。
本申请还公开了一种计算机可读存储介质,存储有计算机病毒分类程序。其中,计算机病毒分类程序配置为实现上述计算机病毒分类方法的步骤,在此不再赘述。
前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种计算机病毒分类方法、系统、设备及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种计算机病毒分类方法,其特征在于,包括:
采集计算机病毒样本的流量;
提取所述计算机病毒样本的流量特征;
根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。
2.根据权利要求1所述的方法,其特征在于,所述采集计算机病毒样本的流量的步骤包括:
采集预先执行于沙盒环境中的计算机病毒样本的流量的pcap包。
3.根据权利要求1所述的方法,其特征在于,所述提取所述计算机病毒样本的流量特征的步骤包括:
利用所述pcap包提取所述计算机病毒样本的流量特征。
4.根据权利要求3所述的方法,其特征在于,所述利用所述pcap包提取所述计算机病毒样本的流量特征的步骤,包括:
从所述pcap包中提取所述计算机病毒样本的协议行为和/或地址特征。
5.根据权利要求1所述的方法,其特征在于,所述提取所述计算机病毒样本的流量特征的步骤后,还包括:
根据预设的白名单过滤所述计算机病毒样本的流量特征。
6.根据权利要求1所述的方法,其特征在于,所根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类的步骤包括:
统计不同的流量特征在相同病毒样本中出现的频数;
利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度;
利用所述特征间关联度,确定出病毒间关联度,然后利用所述病毒间关联度对所述计算机病毒样本进行分类。
7.根据权利要求6所述的方法,其特征在于,所述利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度的步骤包括:
对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图;
基于所述关联图,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度。
8.根据权利要求7所述的方法,其特征在于,所述对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图的步骤,包括:
利用Gephi分析软件,对所述频数以及相应的流量特征进行图关联分析,得到相应的关联图。
9.根据权利要求6所述的方法,其特征在于,所述利用所述频数,确定所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度的步骤包括:
利用所述频数以及预设的相关系数计算公式,计算出所述计算机病毒样本的流量特征之间的关联度,得到特征间关联度。
10.根据权利要求1-9任一项所述的方法,其特征在于,还包括:
对相同类型的病毒样本所对应域名信息进行数据挖掘,得到目标域名信息;其中,所述目标域名信息包括域名和域名的注册信息;
利用所述目标域名信息,挖掘相应的域名、病毒样本和黑客之间的关联信息;
利用所述关联信息,并结合针对相应病毒样本的行为分析结果,推测出相应黑客信息。
11.一种计算机病毒分类系统,其特征在于,包括:
流量采集模块,用于采集计算机病毒样本的流量;
流量特征提取模块,用于提取流量采集模块采集的计算机病毒样本流量的流量特征;
计算机病毒分类模块,用于根据所述计算机病毒样本的流量特征之间的关联度对所述计算机病毒样本进行分类。
12.一种计算机病毒分类设备,其特征在于,包括:
存储有计算机病毒分类程序的存储器及用于运行所述计算机病毒分类程序的处理器,所述计算机病毒分类程序配置为实现权利于要求1-10任一项所述的计算机病毒分类方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机病毒分类程序,所述计算机病毒分类程序被处理器执行时实现如权利要求1-10任一项所述的计算机病毒分类方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710899652.7A CN107609400A (zh) | 2017-09-28 | 2017-09-28 | 计算机病毒分类方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710899652.7A CN107609400A (zh) | 2017-09-28 | 2017-09-28 | 计算机病毒分类方法、系统、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107609400A true CN107609400A (zh) | 2018-01-19 |
Family
ID=61058880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710899652.7A Pending CN107609400A (zh) | 2017-09-28 | 2017-09-28 | 计算机病毒分类方法、系统、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107609400A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105740712A (zh) * | 2016-03-09 | 2016-07-06 | 哈尔滨工程大学 | 基于贝叶斯网络的Android恶意行为检测方法 |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN106713335A (zh) * | 2016-12-30 | 2017-05-24 | 山石网科通信技术有限公司 | 恶意软件的识别方法及装置 |
| CN106815521A (zh) * | 2015-12-31 | 2017-06-09 | 武汉安天信息技术有限责任公司 | 一种样本关联性检测方法、系统及电子设备 |
| CN106897620A (zh) * | 2017-02-13 | 2017-06-27 | 中国科学院信息工程研究所 | 一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法 |
| CN106960153A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 病毒的类型识别方法及装置 |
| CN107154947A (zh) * | 2017-06-16 | 2017-09-12 | 清华大学 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
-
2017
- 2017-09-28 CN CN201710899652.7A patent/CN107609400A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106815521A (zh) * | 2015-12-31 | 2017-06-09 | 武汉安天信息技术有限责任公司 | 一种样本关联性检测方法、系统及电子设备 |
| CN106960153A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 病毒的类型识别方法及装置 |
| CN105740712A (zh) * | 2016-03-09 | 2016-07-06 | 哈尔滨工程大学 | 基于贝叶斯网络的Android恶意行为检测方法 |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN106713335A (zh) * | 2016-12-30 | 2017-05-24 | 山石网科通信技术有限公司 | 恶意软件的识别方法及装置 |
| CN106897620A (zh) * | 2017-02-13 | 2017-06-27 | 中国科学院信息工程研究所 | 一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法 |
| CN107154947A (zh) * | 2017-06-16 | 2017-09-12 | 清华大学 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN105072089A (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
| CN107222511B (zh) | 恶意软件的检测方法及装置、计算机装置及可读存储介质 | |
| CN103297267B (zh) | 一种网络行为的风险评估方法和系统 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| WO2018127794A1 (en) | Management of security vulnerabilities | |
| CN107871080A (zh) | 大数据混合式Android恶意代码检测方法及装置 | |
| CN110392013A (zh) | 一种基于网络流量分类的恶意软件识别方法、系统及电子设备 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN105224600A (zh) | 一种样本相似度的检测方法及装置 | |
| CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
| CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| CN114003903A (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
| CN107135199B (zh) | 网页后门的检测方法和装置 | |
| CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
| CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
| KR20180013270A (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
| CN106528805A (zh) | 基于用户的移动互联网恶意程序url智能分析挖掘方法 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN107609400A (zh) | 计算机病毒分类方法、系统、设备及计算机可读存储介质 | |
| KR101863569B1 (ko) | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180119 |
|
| RJ01 | Rejection of invention patent application after publication |