CN107864110A - 僵尸网络主控端检测方法和装置 - Google Patents
僵尸网络主控端检测方法和装置 Download PDFInfo
- Publication number
- CN107864110A CN107864110A CN201610842711.2A CN201610842711A CN107864110A CN 107864110 A CN107864110 A CN 107864110A CN 201610842711 A CN201610842711 A CN 201610842711A CN 107864110 A CN107864110 A CN 107864110A
- Authority
- CN
- China
- Prior art keywords
- address information
- information
- attack
- service traffics
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种僵尸网络主控端检测方法和装置,涉及信息安全领域。其中的僵尸网络主控端检测方法包括:分析网络流Netflow数据,获取攻击信息,攻击信息包括攻击源地址信息;获取若干业务流量数据,业务流量数据包括业务流量的源地址信息和目的地址信息;搜索若干业务流量数据中与攻击源地址信息相同的业务流量的目的地址信息;将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。本发明通过根据Netflow数据的分析结果获得被控主机信息,再结合业务流量数据的信息获得主控端的地址信息,能够基于网络中的数据流量检测僵尸网络的主控端,使用范围广,并且无需对终端进行部署,检测效率高。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种僵尸网络主控端检测方法和装置。
背景技术
目前,僵尸网络主控端的发现方法主要是基于蜜罐技术、IDS(IntrusionDetection System,入侵检测系统)技术实现。蜜罐技术是指将计算机作为引诱黑客攻击的设备,从而发现攻击者。IDS技术是指为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。上述两种现有技术均需要特别设置被侵入的计算机,因此应用网络范围较小,并且需要进行专门部署,无法在整个互联网范围内检测僵尸网络的主控端,检测效率低。
发明内容
本发明实施例所要解决的一个技术问题是:如何提高僵尸网络主控端检测方法的检测范围与检测效率。
根据本发明实施例的第一个方面,提供了一种僵尸网络主控端检测方法,包括:分析网络流Netflow数据,获取攻击信息,攻击信息包括攻击源地址信息;获取若干业务流量数据,业务流量数据包括业务流量的源地址信息和目的地址信息;搜索若干业务流量数据中与攻击源地址信息相同的业务流量的目的地址信息;将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
在一个实施例中,攻击信息还包括攻击时间信息;获取若干业务流量数据包括:获取攻击时间信息对应的攻击时间段内的若干业务流量数据。
在一个实施例中,搜索若干业务流量数据中与攻击源地址信息相同的业务流量的源地址信息包括:将业务流量数据进行深度包检测,获得包括业务流量的源地址信息和目的地址信息的检测结果;搜索检测结果中与攻击源地址信息相同的业务流量的源地址信息;其中,源地址信息包括源网络协议地址和源端口号,目的地址信息包括目的网络协议地址和目的端口号。
在一个实施例中,分析Netflow数据,获取攻击信息包括:获取Netflow数据,Netflow数据包括网络流量的地址信息、时间信息,以及流量包数量和/或流量字节数;根据Netflow数据,统计地址信息对应的流量包数量或流量包总量随时间变化的趋势;将目的地址信息对应的流量包数量或流量包总量随时间变化的趋势与标准变化趋势模型进行比较;根据与标准变化趋势模型不匹配的Netflow数据生成攻击信息。
在一个实施例中,分析Netflow数据,获取攻击信息包括:获取Netflow数据,Netflow数据包括网络流量的源地址信息、时间信息、网络协议和流量包数量;统计同一源地址信息在预设的时间内发送的具有相同网络协议的流量包数量的总和;判断流量包数量的总和是否超过相同网络协议对应的阈值;如果流量包数量的总和超过相同网络协议对应的阈值,根据预设的时间内源地址信息产生的Netflow数据生成攻击信息。
根据本发明实施例的第二个方面,提供一种僵尸网络主控端检测装置,包括:Netflow分析模块,用于分析Netflow数据,获取攻击信息,攻击信息包括攻击源地址信息;业务流量数据获取模块,用于获取若干业务流量数据,业务流量数据包括业务流量的源地址信息和目的地址信息;地址搜索模块,用于搜索若干业务流量数据中与攻击源地址信息相同的业务流量的目的地址信息;主控端检测模块,用于将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
在一个实施例中,攻击信息还包括攻击时间信息;业务流量数据获取模块进一步用于获取攻击时间信息对应的攻击时间段内的若干业务流量数据。
在一个实施例中,地址搜索模块包括:深度包检测单元,用于将业务流量数据进行深度包检测,获得包括业务流量的源地址信息和目的地址信息的检测结果;地址搜索单元,用于搜索检测结果中与攻击源地址信息相同的业务流量的源地址信息;其中,源地址信息包括源网络协议地址和源端口号,目的地址信息包括目的网络协议地址和目的端口号。
在一个实施例中,Netflow分析模块包括:第一Netflow数据获取单元,用于获取Netflow数据,Netflow数据包括网络流量的地址信息、时间信息,以及流量包数量和/或流量字节数;变化趋势统计单元,用于根据Netflow数据,统计地址信息对应的流量包数量或流量包总量随时间变化的趋势;模型比较单元,用于将目的地址信息对应的流量包数量或流量包总量随时间变化的趋势与标准变化趋势模型进行比较;第一攻击信息生成单元,用于根据与标准变化趋势模型不匹配的Netflow数据生成攻击信息。
在一个实施例中,Netflow分析模块包括:第二Netflow数据获取单元,用于获取Netflow数据,Netflow数据包括网络流量的源地址信息、时间信息、网络协议和流量包数量;流量包数量统计单元,用于统计同一源地址信息在预设的时间内发送的具有相同网络协议的流量包数量的总和;阈值判断单元,用于判断流量包数量的总和是否超过相同网络协议对应的阈值;第二攻击信息生成单元,用于当流量包数量的总和超过相同网络协议对应的阈值时,根据预设的时间内源地址信息产生的Netflow数据生成攻击信息。
本发明通过根据Netflow数据的分析结果获得被控主机信息,再结合业务流量数据的信息获得主控端的地址信息,能够基于网络中的数据流量检测僵尸网络的主控端,使用范围广,并且无需对终端进行部署,检测效率高。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明僵尸网络主控端检测方法的一个实施例的流程图。
图2A为本发明僵尸网络主控端检测方法的应用场景示意图。
图2B为本发明僵尸网络主控端检测方法的另一个实施例的流程图。
图3为本发明僵尸网络主控端检测装置的一个实施例的结构图。
图4为本发明僵尸网络主控端检测装置的另一个实施例的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面参考图1描述本发明一个实施例的僵尸网络主控端检测方法。
图1为本发明僵尸网络主控端检测方法的一个实施例的流程图。如图1所示,该实施例的方法包括:
步骤S102,分析Netflow数据,获取攻击信息,攻击信息包括攻击源地址信息。
Netflow数据例如可以从交换机和路由器中获得。Netflow数据例如可以包括流量开始时间、流量结束时间、网络协议、源IP(Internet Protocol,网络协议)地址、源端口、目的IP地址、目的端口、流量包的数量、流量字节数等等。由于Netflow数据中包含大量的网络信息,因此可以通过分析Netflow数据获知是否存在攻击行为,以及攻击行为的详细信息。
攻击信息包括攻击源地址信息,源地址信息例如可以为源IP地址和源端口。根据需要,也可以是其他可以定位到攻击者的地址信息。
此外,攻击信息还可以包括攻击起始时间、攻击持续时间、攻击类型、攻击源IP地址、攻击源端口、攻击目的IP地址、攻击流量大小等等。
虽然通过Netflow数据可以定位到攻击者,但是该攻击者很可能仅为受其他终端控制的攻击者。因此,需要进行进一步分析,确定真正的主控端。
以下为分析Netflow数据后输出的攻击信息的片段示例,包括:“Time:Sun Jul 1923:21:00 2015;Type:DDoS;Sub-type:UDP Flooding;DIP:221.*.*.123;DPort:88;SIP:218.*.*.234;SPort:62279;”
上述攻击信息仅为从完整的攻击信息中摘取的部分信息。为了安全性的考虑,在此隐去了IP地址中的部分信息。从上述攻击信息中可知,该攻击的攻击事件为6月19日的23点21分,攻击类型为DDos(Distributed Denial of Service,分布式拒绝服务),子类型为UDP泛洪。攻击的目的IP为221.*.*.123,目的端口号为88,攻击的源IP为218.*.*.234,源端口号为62279。
从该攻击信息中可以获知,IP地址为218.*.*.234、端口号为62279的设备为疑似被控设备。下面可以根据该地址信息进一步寻找控制该设备的主控端。
步骤S104,获取若干业务流量数据,业务流量数据包括业务流量的源地址信息和目的地址信息。
业务流量数据例如可以为HTTP(Hyper Text Transfer Protocol,超文本传输协议)访问流量数据。
业务流量数据除了包括业务流量的源地址信息和目的地址信息以外,还可以包括账号、网络协议、源IP地址、目的IP地址、源协议端口、目的协议端口、URL(Uniform ResoureLocator,统一资源定位符)、时间戳等等。
Netflow数据虽然可以体现网络流量的特征,然而Netflow数据中的内容并不全面。因此需要借助业务流量数据进行进一步分析,以准确地确定主控端。
步骤S106,搜索若干业务流量数据中与攻击源地址信息相同的业务流量的目的地址信息。
例如,通过步骤S102,定位到A设备为攻击者。然而,A设备可能仅仅为受其他设备操控的终端,因此需要检测A设备背后的主控端。在业务流量数据中,如果发现部分流量的流向为从设备B到设备A,即设备B向设备A发送数据,则设备B很有可能是主控端。
步骤S108,将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
以下为搜索到的目的地址为218.*.*.234、端口号为62279的业务流量数据的片段示例,包括:“|117.*.*.95|218.*.*.234|5163|62279|”,该片段的格式为“|源地址|目的地址|源端口|目的端口|”。因此,向IP地址为218.*.*.234、端口号为62279的设备发送数据的设备很可能为主控端,即IP地址为117.*.*.95、端口号为5163的设备很可能为僵尸网络的主控端。
此外,还可以将步骤S108中确定的主控端作为疑似受控端,进一步采用步骤S106~S108的方法确定位于源头的攻击指令发送者,并将其确定为主控端。
通过根据Netflow数据的分析结果获得被控主机信息,再结合业务流量数据的信息获得主控端的地址信息,能够基于网络中的数据流量检测僵尸网络的主控端,使用范围广,并且无需对终端进行部署,检测效率高。
此外,还可以结合时间信息对主控端进行检测和判定。例如,主控端向受控终端发送指令,受控终端根据接收到的指令在短时间内发起攻击。在这种场景下,攻击信息还需要包括攻击时间信息。在获取业务流量数据时,只选取攻击时间信息对应的攻击时间段内的若干业务流量数据。例如,可以选取在攻击发生时间之前的预设时间内的业务流量数据。从而,可以从向受控终端发送过数据的终端中选择与攻击行为最密切的终端并确定为主控端,能够提升主控端检测的准确率。
本发明的方法还可以结合深度包检测技术,对僵尸网络的主控端进行检测。如图2A所示,可以分别设置用于进行Netflow数据分析的流量分析设备,以及用于根据业务流量数据进行深度包检测设备,二者将从IP网络中采集的数据和分析结果统一汇入大数据分析平台,以进行主控端检测。
下面参考图2B描述本发明另一个实施例的僵尸网络主控端检测方法。
图2B为本发明僵尸网络主控端检测方法的另一个实施例的流程图。如图2B所示,该实施例的方法包括:
步骤S202,分析网络流Netflow数据,获取攻击信息,攻击信息包括攻击源地址信息。
步骤S204,获取若干业务流量数据,业务流量数据包括业务流量的源地址信息和目的地址信息。
步骤S202~S204的具体实施方式可以参考步骤S102~S104。
步骤S206,将业务流量数据进行深度包检测,获得包括业务流量的源地址信息和目的地址信息的检测结果。
深度包检测能够通过深入读取IP包载荷的内容来对OSI(Open SystemInterconnection,开放式互联系统)七层协议中的应用层信息进行重组,从而得到应用层的内容。
例如,有些攻击者会对端口号进行伪装。通过深度包检测,能够分析获得流量所属的应用,从而判别业务流量中的端口号是否为伪装的端口号,进而提高了检测的准确性。
步骤S208,搜索检测结果中与攻击源地址信息相同的业务流量的源地址信息。
其中,源地址信息包括源网络协议地址和源端口号,目的地址信息包括目的网络协议地址和目的端口号。
步骤S210,将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
通过引入深度包检测,与Netflow数据的分析结果进行结合,能够更准确地检测僵尸网络的主控端。
可以采用多种方法分析Netflow数据,获取攻击信息。下面示例性地描述两种方法。
第一种方法为,根据变化趋势模型判定攻击。首先,获取Netflow数据,Netflow数据包括网络流量的地址信息、时间信息,以及流量包数量和/或流量字节数;然后,根据Netflow数据,统计地址信息对应的流量包数量或流量包总量随时间变化的趋势;最后,将目的地址信息对应的流量包数量或流量包总量随时间变化的趋势与标准变化趋势模型进行比较,并根据与标准变化趋势模型不匹配的Netflow数据生成攻击信息。
通过上述方法,可以根据流量大小的异常状况判定攻击。
第二种方法为,根据与阈值的比较结果判定攻击。首先,获取Netflow数据,Netflow数据包括网络流量的源地址信息、时间信息、网络协议和流量包数量;然后,统计同一源地址信息在预设的时间内发送的具有相同网络协议的流量包数量的总和;最后,判断流量包数量的总和是否超过相同网络协议对应的阈值,如果流量包数量的总和超过相同网络协议对应的阈值,根据预设的时间内源地址信息产生的Netflow数据生成攻击信息。
通过上述方法,可以根据相同协议的数据包数量判定攻击。
下面参考图3描述本发明一个实施例的僵尸网络主控端检测装置。
图3为本发明僵尸网络主控端检测装置的一个实施例的结构图。如图3所示,该实施例的僵尸网络主控端检测装置包括:Netflow分析模块32,用于分析Netflow数据,获取攻击信息,攻击信息包括攻击源地址信息;业务流量数据获取模块34,用于获取若干业务流量数据,业务流量数据包括业务流量的源地址信息和目的地址信息;地址搜索模块36,用于搜索若干业务流量数据中与攻击源地址信息相同的业务流量的目的地址信息;主控端检测模块38,用于将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
其中,攻击信息还可以包括攻击时间信息;业务流量数据获取模块34进一步用于获取攻击时间信息对应的攻击时间段内的若干业务流量数据。
下面参考图4描述本发明另一个实施例的僵尸网络主控端检测装置。
图4为本发明僵尸网络主控端检测装置的另一个实施例的结构图。如图4所示,该实施例的地址搜索模块36可以包括:深度包检测单元462,用于将业务流量数据进行深度包检测,获得包括业务流量的源地址信息和目的地址信息的检测结果;地址搜索单元464,用于搜索检测结果中与攻击源地址信息相同的业务流量的源地址信息。其中,源地址信息包括源网络协议地址和源端口号,目的地址信息包括目的网络协议地址和目的端口号。
此外,Netflow分析模块32还可以包括:第一Netflow数据获取单元421,用于获取Netflow数据,Netflow数据包括网络流量的地址信息、时间信息,以及流量包数量和/或流量字节数;变化趋势统计单元422,用于根据Netflow数据,统计地址信息对应的流量包数量或流量包总量随时间变化的趋势;模型比较单元423,用于将目的地址信息对应的流量包数量或流量包总量随时间变化的趋势与标准变化趋势模型进行比较;第一攻击信息生成单元424,用于根据与标准变化趋势模型不匹配的Netflow数据生成攻击信息。
此外,Netflow分析模块32还可以包括:第二Netflow数据获取单元425,用于获取Netflow数据,Netflow数据包括网络流量的源地址信息、时间信息、网络协议和流量包数量;流量包数量统计单元426,用于统计同一源地址信息在预设的时间内发送的具有相同网络协议的流量包数量的总和;阈值判断单元427,用于判断流量包数量的总和是否超过相同网络协议对应的阈值;第二攻击信息生成单元428,用于当流量包数量的总和超过相同网络协议对应的阈值时,根据预设的时间内源地址信息产生的Netflow数据生成攻击信息。
此外,根据本发明的方法还可以实现为一种计算机程序产品,该计算机程序产品包括计算机可读介质,在该计算机可读介质上存储有用于执行本发明的方法中限定的上述功能的计算机程序。本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种僵尸网络主控端检测方法,其特征在于,包括:
分析网络流Netflow数据,获取攻击信息,所述攻击信息包括攻击源地址信息;
获取若干业务流量数据,所述业务流量数据包括业务流量的源地址信息和目的地址信息;
搜索若干业务流量数据中与所述攻击源地址信息相同的业务流量的目的地址信息;
将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
2.根据权利要求1所述的方法,其特征在于,所述攻击信息还包括攻击时间信息;
所述获取若干业务流量数据包括:
获取所述攻击时间信息对应的攻击时间段内的若干业务流量数据。
3.根据权利要求1所述的方法,其特征在于,所述搜索若干业务流量数据中与所述攻击源地址信息相同的业务流量的源地址信息包括:
将业务流量数据进行深度包检测,获得包括业务流量的源地址信息和目的地址信息的检测结果;
搜索所述检测结果中与所述攻击源地址信息相同的业务流量的源地址信息;
其中,所述源地址信息包括源网络协议地址和源端口号,所述目的地址信息包括目的网络协议地址和目的端口号。
4.根据权利要求1所述的方法,其特征在于,所述分析Netflow数据,获取攻击信息包括:
获取Netflow数据,所述Netflow数据包括网络流量的地址信息、时间信息,以及流量包数量和/或流量字节数;
根据Netflow数据,统计所述地址信息对应的流量包数量或流量包总量随时间变化的趋势;
将所述目的地址信息对应的流量包数量或流量包总量随时间变化的趋势与标准变化趋势模型进行比较;
根据与所述标准变化趋势模型不匹配的Netflow数据生成攻击信息。
5.根据权利要求1所述的方法,其特征在于,所述分析Netflow数据,获取攻击信息包括:
获取Netflow数据,所述Netflow数据包括网络流量的源地址信息、时间信息、网络协议和流量包数量;
统计同一源地址信息在预设的时间内发送的具有相同网络协议的流量包数量的总和;
判断所述流量包数量的总和是否超过所述相同网络协议对应的阈值;
如果所述流量包数量的总和超过所述相同网络协议对应的阈值,根据所述预设的时间内所述源地址信息产生的Netflow数据生成攻击信息。
6.一种僵尸网络主控端检测装置,其特征在于,包括:
Netflow分析模块,用于分析Netflow数据,获取攻击信息,所述攻击信息包括攻击源地址信息;
业务流量数据获取模块,用于获取若干业务流量数据,所述业务流量数据包括业务流量的源地址信息和目的地址信息;
地址搜索模块,用于搜索若干业务流量数据中与所述攻击源地址信息相同的业务流量的目的地址信息;
主控端检测模块,用于将搜索到的业务流量的目的地址信息对应的业务流量的源地址信息确定为僵尸网络的主控端。
7.根据权利要求6所述的装置,其特征在于,所述攻击信息还包括攻击时间信息;
所述业务流量数据获取模块进一步用于获取所述攻击时间信息对应的攻击时间段内的若干业务流量数据。
8.根据权利要求6所述的装置,其特征在于,所述地址搜索模块包括:
深度包检测单元,用于将业务流量数据进行深度包检测,获得包括业务流量的源地址信息和目的地址信息的检测结果;
地址搜索单元,用于搜索所述检测结果中与所述攻击源地址信息相同的业务流量的源地址信息;
其中,所述源地址信息包括源网络协议地址和源端口号,所述目的地址信息包括目的网络协议地址和目的端口号。
9.根据权利要求6所述的装置,其特征在于,所述Netflow分析模块包括:
第一Netflow数据获取单元,用于获取Netflow数据,所述Netflow数据包括网络流量的地址信息、时间信息,以及流量包数量和/或流量字节数;
变化趋势统计单元,用于根据Netflow数据,统计所述地址信息对应的流量包数量或流量包总量随时间变化的趋势;
模型比较单元,用于将所述目的地址信息对应的流量包数量或流量包总量随时间变化的趋势与标准变化趋势模型进行比较;
第一攻击信息生成单元,用于根据与所述标准变化趋势模型不匹配的Netflow数据生成攻击信息。
10.根据权利要求6所述的装置,其特征在于,所述Netflow分析模块包括:
第二Netflow数据获取单元,用于获取Netflow数据,所述Netflow数据包括网络流量的源地址信息、时间信息、网络协议和流量包数量;
流量包数量统计单元,用于统计同一源地址信息在预设的时间内发送的具有相同网络协议的流量包数量的总和;
阈值判断单元,用于判断所述流量包数量的总和是否超过所述相同网络协议对应的阈值;
第二攻击信息生成单元,用于当所述流量包数量的总和超过所述相同网络协议对应的阈值时,根据所述预设的时间内所述源地址信息产生的Netflow数据生成攻击信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610842711.2A CN107864110B (zh) | 2016-09-22 | 2016-09-22 | 僵尸网络主控端检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610842711.2A CN107864110B (zh) | 2016-09-22 | 2016-09-22 | 僵尸网络主控端检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107864110A true CN107864110A (zh) | 2018-03-30 |
CN107864110B CN107864110B (zh) | 2021-02-02 |
Family
ID=61699059
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610842711.2A Active CN107864110B (zh) | 2016-09-22 | 2016-09-22 | 僵尸网络主控端检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107864110B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108769055A (zh) * | 2018-06-14 | 2018-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚假源ip检测方法及装置 |
CN111049819A (zh) * | 2019-12-07 | 2020-04-21 | 上海镕天信息科技有限公司 | 一种基于威胁建模的威胁情报发现方法及计算机设备 |
CN111901284A (zh) * | 2019-05-06 | 2020-11-06 | 阿里巴巴集团控股有限公司 | 流量控制方法及系统 |
CN112491806A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种云平台流量安全分析系统及方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090168648A1 (en) * | 2007-12-29 | 2009-07-02 | Arbor Networks, Inc. | Method and System for Annotating Network Flow Information |
CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
CN102014025A (zh) * | 2010-12-06 | 2011-04-13 | 北京航空航天大学 | 基于网络流聚类检测p2p僵尸网络结构的方法 |
WO2011047600A1 (zh) * | 2009-10-20 | 2011-04-28 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
KR20120071863A (ko) * | 2010-12-23 | 2012-07-03 | 주식회사 케이티 | Irc 명령어 패턴을 이용한 봇넷 탐지 시스템 및 그 방법 |
EP2406717A4 (en) * | 2009-03-13 | 2012-12-26 | Univ Rutgers | SYSTEMS AND METHODS FOR DETECTING DAMAGE PROGRAMS |
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
US20160212160A1 (en) * | 2009-11-26 | 2016-07-21 | Huawei Digital Technologies(Cheng Du) Co., Limited | Method, device and system for alerting against unknown malicious codes |
CN105827630A (zh) * | 2016-05-03 | 2016-08-03 | 国家计算机网络与信息安全管理中心 | 僵尸网络属性识别方法、防御方法及装置 |
-
2016
- 2016-09-22 CN CN201610842711.2A patent/CN107864110B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090168648A1 (en) * | 2007-12-29 | 2009-07-02 | Arbor Networks, Inc. | Method and System for Annotating Network Flow Information |
EP2406717A4 (en) * | 2009-03-13 | 2012-12-26 | Univ Rutgers | SYSTEMS AND METHODS FOR DETECTING DAMAGE PROGRAMS |
CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
WO2011047600A1 (zh) * | 2009-10-20 | 2011-04-28 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
US20160212160A1 (en) * | 2009-11-26 | 2016-07-21 | Huawei Digital Technologies(Cheng Du) Co., Limited | Method, device and system for alerting against unknown malicious codes |
CN102014025A (zh) * | 2010-12-06 | 2011-04-13 | 北京航空航天大学 | 基于网络流聚类检测p2p僵尸网络结构的方法 |
KR20120071863A (ko) * | 2010-12-23 | 2012-07-03 | 주식회사 케이티 | Irc 명령어 패턴을 이용한 봇넷 탐지 시스템 및 그 방법 |
CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
CN105827630A (zh) * | 2016-05-03 | 2016-08-03 | 国家计算机网络与信息安全管理中心 | 僵尸网络属性识别方法、防御方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108769055A (zh) * | 2018-06-14 | 2018-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚假源ip检测方法及装置 |
CN111901284A (zh) * | 2019-05-06 | 2020-11-06 | 阿里巴巴集团控股有限公司 | 流量控制方法及系统 |
CN111049819A (zh) * | 2019-12-07 | 2020-04-21 | 上海镕天信息科技有限公司 | 一种基于威胁建模的威胁情报发现方法及计算机设备 |
CN112491806A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种云平台流量安全分析系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107864110B (zh) | 2021-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
CN103795709B (zh) | 一种网络安全检测方法和系统 | |
Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
CN104836702B (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
CN104660582B (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
Xing et al. | Ripple: A programmable, decentralized {Link-Flooding} defense against adaptive adversaries | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
CN104539595B (zh) | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 | |
CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
Zhang et al. | Floodshield: Securing the sdn infrastructure against denial-of-service attacks | |
Chen et al. | Spectral analysis of TCP flows for defense against reduction-of-quality attacks | |
CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
Song et al. | Flow-based statistical aggregation schemes for network anomaly detection | |
CN105871773A (zh) | 一种基于SDN网络架构的DDoS过滤方法 | |
Kaushik et al. | Network forensic system for ICMP attacks | |
Guo et al. | Network forensics in MANET: traffic analysis of source spoofed DoS attacks | |
CN105871772A (zh) | 一种针对网络攻击的sdn网络架构的工作方法 | |
CN105871771A (zh) | 一种针对ddos网络攻击的sdn网络架构 | |
CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
CN113765849A (zh) | 一种异常网络流量检测方法和装置 | |
Callegari et al. | A new statistical method for detecting network anomalies in TCP traffic | |
US11632385B2 (en) | Computer networking with security features | |
Thang et al. | Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter | |
Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |