CN108063768A - 基于网络基因技术的网络恶意行为识别方法及装置 - Google Patents

基于网络基因技术的网络恶意行为识别方法及装置 Download PDF

Info

Publication number
CN108063768A
CN108063768A CN201711431221.4A CN201711431221A CN108063768A CN 108063768 A CN108063768 A CN 108063768A CN 201711431221 A CN201711431221 A CN 201711431221A CN 108063768 A CN108063768 A CN 108063768A
Authority
CN
China
Prior art keywords
network
gene
malicious act
sample
pool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711431221.4A
Other languages
English (en)
Other versions
CN108063768B (zh
Inventor
戴青
贾俊亮
崔平非
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan Information Security Research Institute Co Ltd
Original Assignee
Henan Information Security Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan Information Security Research Institute Co Ltd filed Critical Henan Information Security Research Institute Co Ltd
Priority to CN201711431221.4A priority Critical patent/CN108063768B/zh
Publication of CN108063768A publication Critical patent/CN108063768A/zh
Application granted granted Critical
Publication of CN108063768B publication Critical patent/CN108063768B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Abstract

本发明属于物联网网络通信安全技术领域,尤其涉及基于软件基因技术的网络恶意行为识别方法及装置。基于软件基因技术的网络恶意行为识别方法,包括以下步骤:构建终端与云端的网络基因库;基于网络基因库对网络恶意行为进行识别。基于软件基因技术的网络恶意行为识别装置,包括:终端、云端网络基因库构建模块,用于构建终端与云端的网络基因库;网络恶意行为识别模块,用于基于网络基因库对网络恶意行为进行识别。本发明提出了基于软件基因技术的网络恶意行为识别方法及装置,提高了基因检测的效率,保障了物联网的安全性。

Description

基于网络基因技术的网络恶意行为识别方法及装置
技术领域
本发明属于物联网网络通信安全技术领域,尤其涉及基于网络基因技术的网络恶意行为识别方法及装置。
背景技术
当今社会已经进入到“无时不在线,无处不互联”的信息化网络时代,而物联网作为通信网络中重要的一环,在国家关键基础设施建设,工业控制系统,智能家居领域等起着不可替代的重要地位,如何保证物联网信息安全成为国家网络安全的核心内容。
但现有的解决方案都将物联网等同于互联网,将传统的互联网安全手段直接应用在物联网中,而传统安全技术手段如恶意代码二进制特征和恶意代码行为特征等具有几大明显缺陷,完全无法满足物联网安全需求。
1.传统技术手段包含两类:以恶意代码二进制特征作为判识依据的静态技术和以恶意代码行为特征作为判识依据的动态技术,静态技术的缺点在于只能识别特征库中已有特征的恶意代码,随着恶意代码的种类激增,特征库将越发巨大,查杀效能急剧下降,而物联网终端数量众多,查杀时间呈指数增长。而动态技术的缺点在于需要虚拟环境执行恶意代码,因此只能运行在用户终端,难以在高速链路的防护中使用,而物联网终端多数是微型终端系统,甚至没有系统,动态技术根本无法运行。
2.无论采用“动”还是“静”的恶意代码识别技术,都需要对恶意代码进行分析,而多数安全界人士还是采用半人工半自动的动态调试技术进行恶意代码分析,人为的将恶意代码的“行为”和“体征”区分开来,针对日益庞大和专业的恶意代码,半自动分析检测效率低下,效果甚微。
发明内容
针对上述物联网安全问题,本发明提出基于网络基因技术的网络恶意行为识别方法及装置,提高了基因检测的效率,保障了物联网的安全性。
为了实现上述目的,本发明采用以下技术方案:
基于网络基因技术的网络恶意行为识别方法,包括以下步骤:
步骤1:构建终端与云端的网络基因库;
步骤2:基于网络基因库对网络恶意行为进行识别。
优选地,所述步骤1包括:
步骤1.1:搜集海量恶意代码样本,通过逆向工程分析恶意代码样本,将恶意代码用中间语言表示出来,利用网络基因的概念定义样本的基因片段,从二进制文件中提取出样本的所有基因片段形成基因序列;
步骤1.2:形成样本的行为序列集合,建立样本基因序列与行为序列的映射关系;
步骤1.3:将基因序列、行为序列、映射关系同时存入云端基因库内;
步骤1.4:将拥有相同基因序列的样本建立家族联系,形成以共性基因为基础的家族图谱式基因库;
步骤1.5:将家族图谱式基因库中所有共性基因提取出来,在终端内建立共性基因库。
优选地,所述步骤2包括:
步骤2.1:截取流经监控网络关键节点的网络流量数据包,并解析得到包含数据包所有数据的二进制文件;
步骤2.2:将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;
步骤2.3:上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据;
步骤2.4:将已判定为网络恶意行为的数据包的重要信息提取出来,在云端作出安全警报。
优选地,所述重要信息包括:已判定为网络恶意行为的数据包的来源地址及源端口。
基于网络基因技术的网络恶意行为识别装置,包括:
终端、云端网络基因库构建模块,用于构建终端与云端的网络基因库;
网络恶意行为识别模块,用于基于网络基因库对网络恶意行为进行识别。
优选地,所述终端、云端网络基因库构建模块包括:
样本基因提取模块,用于搜集海量恶意代码样本,通过逆向工程分析恶意代码样本,将恶意代码用中间语言表示出来,利用网络基因的概念定义样本的基因片段,从二进制文件中提取出样本的所有基因片段形成基因序列;
基因与行为的映射关系建立模块,用于形成样本的行为序列集合,建立样本基因序列与行为序列的映射关系;
云端基因库模块,用于将基因序列、行为序列、映射关系同时存入云端基因库内;
家族图谱式基因库模块,用于将拥有相同基因序列的样本建立家族联系,形成以共性基因为基础的家族图谱式基因库;
共性基因库建立模块,用于将家族图谱式基因库中所有共性基因提取出来,在终端内建立共性基因库。
优选地,所述网络恶意行为识别模块包括:
解析模块,用于截取流经监控网络关键节点的网络流量数据包,并解析得到包含数据包所有数据的二进制文件;
比对判断模块,用于将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;
比对模块,用于上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据;
警报模块,用于将已判定为网络恶意行为的数据包的重要信息提取出来,在云端作出安全警报。
与现有技术相比,本发明具有的有益效果:
本发明将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;并上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据。
本发明基因检测采用两次对比的方案,首次对比共性基因库,二次对比全基因库即云端网络基因库,采用并行对比方式,在对比效率上远大于传统方式。基因是软件功能的本质表现,本发明判断恶意行为的准确率比“静态”方式更高。本发明基因检测通过共性基因找出未知威胁,对待未知的恶意行为,漏判率比“动态”方式更低。
附图说明
图1为本发明基于网络基因技术的网络恶意行为识别方法的基本流程示意图之一。
图2为本发明基于网络基因技术的网络恶意行为识别方法的基本流程示意图之二。
图3为本发明基于网络基因技术的网络恶意行为识别装置的结构示意图之一。
图4为本发明基于网络基因技术的网络恶意行为识别装置的结构示意图之二。
具体实施方式
为了便于理解,对本发明的具体实施方式中出现的部分名词作以下解释说明:
网络基因:网络数据包中具有功能或携带信息的二进制片段。
rtl:寄存器传输语言。
下面结合附图和具体的实施例对本发明做进一步的解释说明:
实施例一:
如图1所示,本发明的一种基于网络基因技术的网络恶意行为识别方法,包括以下步骤:
步骤S101:构建终端与云端的网络基因库。
步骤S102:基于网络基因库对网络恶意行为进行识别。
实施例二:
如图2所示,本发明的另一种基于网络基因技术的网络恶意行为识别方法,包括以下步骤:
步骤S201:构建终端与云端的网络基因库,包括:
步骤S2011:搜集海量恶意代码样本,通过逆向工程分析恶意代码样本,将恶意代码用中间语言表示出来,利用网络基因的概念定义样本的基因片段,从二进制文件中提取出样本的所有基因片段形成基因序列;作为一种可实施方式,中间语言为rtl;
步骤S2012:形成样本的行为序列集合,建立样本基因序列与行为序列的映射关系;
步骤S2013:将基因序列、行为序列、映射关系同时存入云端基因库内;
步骤S2014:将拥有相同基因序列的样本建立家族联系,形成以共性基因为基础的家族图谱式基因库;
步骤S2015:将家族图谱式基因库中所有共性基因提取出来,在终端内建立共性基因库。
步骤S202:基于网络基因库对网络恶意行为进行识别,包括:
步骤S2021:截取流经监控网络关键节点的网络流量数据包,并解析得到包含数据包所有数据的二进制文件;
步骤S2022:将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;
步骤S2023:上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据;
步骤S2024:将已判定为网络恶意行为的数据包的重要信息提取出来,在云端作出安全警报;所述重要信息包括:已判定为网络恶意行为的数据包的来源地址及源端口。
实施例三:
如图3所示,本发明的一种基于网络基因技术的网络恶意行为识别装置,包括:
终端、云端网络基因库构建模块301,用于构建终端与云端的网络基因库。
网络恶意行为识别模块302,用于基于网络基因库对网络恶意行为进行识别。
实施例四:
如图4所示,本发明的另一种基于网络基因技术的网络恶意行为识别装置,包括:
终端、云端网络基因库构建模块401,用于构建终端与云端的网络基因库;
网络恶意行为识别模块402,用于基于网络基因库对网络恶意行为进行识别。
所述终端、云端网络基因库构建模块401包括:
样本基因提取模块4011,用于搜集海量恶意代码样本,通过逆向工程分析恶意代码样本,将恶意代码用中间语言表示出来,利用网络基因的概念定义样本的基因片段,从二进制文件中提取出样本的所有基因片段形成基因序列;
基因与行为的映射关系建立模块4012,用于形成样本的行为序列集合,建立样本基因序列与行为序列的映射关系;
云端基因库模块4013,用于将基因序列、行为序列、映射关系同时存入云端基因库内;
家族图谱式基因库模块4014,用于将拥有相同基因序列的样本建立家族联系,形成以共性基因为基础的家族图谱式基因库;
共性基因库建立模块4015,用于将家族图谱式基因库中所有共性基因提取出来,在终端内建立共性基因库。
所述网络恶意行为识别模块402包括:
解析模块4021,用于截取流经监控网络关键节点的网络流量数据包,并解析得到包含数据包所有数据的二进制文件;
比对判断模块4022,用于将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;
比对模块4023,用于上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据;
警报模块4024,用于将已判定为网络恶意行为的数据包的重要信息提取出来,在云端作出安全警报。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.基于网络基因技术的网络恶意行为识别方法,其特征在于,包括以下步骤:
步骤1:构建终端与云端的网络基因库;
步骤2:基于网络基因库对网络恶意行为进行识别。
2.根据权利要求1所述的基于网络基因技术的网络恶意行为识别方法,其特征在于,所述步骤1包括:
步骤1.1:搜集海量恶意代码样本,通过逆向工程分析恶意代码样本,将恶意代码用中间语言表示出来,利用网络基因的概念定义样本的基因片段,从二进制文件中提取出样本的所有基因片段形成基因序列;
步骤1.2:形成样本的行为序列集合,建立样本基因序列与行为序列的映射关系;
步骤1.3:将基因序列、行为序列、映射关系同时存入云端基因库内;
步骤1.4:将拥有相同基因序列的样本建立家族联系,形成以共性基因为基础的家族图谱式基因库;
步骤1.5:将家族图谱式基因库中所有共性基因提取出来,在终端内建立共性基因库。
3.根据权利要求1所述的基于网络基因技术的网络恶意行为识别方法,其特征在于,所述步骤2包括:
步骤2.1:截取流经监控网络关键节点的网络流量数据包,并解析得到包含数据包所有数据的二进制文件;
步骤2.2:将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;
步骤2.3:上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据;
步骤2.4:将已判定为网络恶意行为的数据包的重要信息提取出来,在云端作出安全警报。
4.根据权利要求3所述的基于网络基因技术的网络恶意行为识别方法,其特征在于,所述重要信息包括:已判定为网络恶意行为的数据包的来源地址及源端口。
5.基于网络基因技术的网络恶意行为识别装置,其特征在于,包括:
终端、云端网络基因库构建模块,用于构建终端与云端的网络基因库;
网络恶意行为识别模块,用于基于网络基因库对网络恶意行为进行识别。
6.根据权利要求5所述的基于网络基因技术的网络恶意行为识别装置,其特征在于,所述终端、云端网络基因库构建模块包括:
样本基因提取模块,用于搜集海量恶意代码样本,通过逆向工程分析恶意代码样本,将恶意代码用中间语言表示出来,利用网络基因的概念定义样本的基因片段,从二进制文件中提取出样本的所有基因片段形成基因序列;
基因与行为的映射关系建立模块,用于形成样本的行为序列集合,建立样本基因序列与行为序列的映射关系;
云端基因库模块,用于将基因序列、行为序列、映射关系同时存入云端基因库内;
家族图谱式基因库模块,用于将拥有相同基因序列的样本建立家族联系,形成以共性基因为基础的家族图谱式基因库;
共性基因库建立模块,用于将家族图谱式基因库中所有共性基因提取出来,在终端内建立共性基因库。
7.根据权利要求5所述的基于网络基因技术的网络恶意行为识别装置,其特征在于,所述网络恶意行为识别模块包括:
解析模块,用于截取流经监控网络关键节点的网络流量数据包,并解析得到包含数据包所有数据的二进制文件;
比对判断模块,用于将解析得到网络流量数据包二进制文件与终端保存的共性基因库做对比,判断是否存在共性基因,若是,则解析得到的网络流量数据包包含有疑似恶意行为;若否,则解析得到的网络流量数据包安全可靠;
比对模块,用于上传包含有疑似恶意行为的网络数据包二进制文件,采用并行方式与云端网络基因库做数据对比,当出现二进制文件与云端网络基因库中的任一基因序列产生100%的匹配度,则认为此网络数据为恶意行为数据;
警报模块,用于将已判定为网络恶意行为的数据包的重要信息提取出来,在云端作出安全警报。
CN201711431221.4A 2017-12-26 2017-12-26 基于网络基因技术的网络恶意行为识别方法及装置 Active CN108063768B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711431221.4A CN108063768B (zh) 2017-12-26 2017-12-26 基于网络基因技术的网络恶意行为识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711431221.4A CN108063768B (zh) 2017-12-26 2017-12-26 基于网络基因技术的网络恶意行为识别方法及装置

Publications (2)

Publication Number Publication Date
CN108063768A true CN108063768A (zh) 2018-05-22
CN108063768B CN108063768B (zh) 2020-11-10

Family

ID=62140293

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711431221.4A Active CN108063768B (zh) 2017-12-26 2017-12-26 基于网络基因技术的网络恶意行为识别方法及装置

Country Status (1)

Country Link
CN (1) CN108063768B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108932430A (zh) * 2018-07-02 2018-12-04 北京大学 一种基于软件基因技术的恶意软件检测方法
CN109347808A (zh) * 2018-09-26 2019-02-15 北京计算机技术及应用研究所 一种基于用户群行为活动的安全分析方法
CN109492396A (zh) * 2018-11-12 2019-03-19 杭州安恒信息技术股份有限公司 基于语义分割的恶意软件基因快速检测方法和装置
CN110414231A (zh) * 2019-06-25 2019-11-05 中国人民解放军战略支援部队信息工程大学 基于马尔科夫模型的内存中软件基因动态提取方法
CN112699371A (zh) * 2020-12-31 2021-04-23 上海戎磐网络科技有限公司 一种动态行为特征与软件基因匹配系统和方法
CN114254317A (zh) * 2021-11-29 2022-03-29 上海戎磐网络科技有限公司 基于软件基因的软件处理方法、装置以及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663284A (zh) * 2012-03-21 2012-09-12 南京邮电大学 一种基于云计算的恶意代码识别方法
CN104331436A (zh) * 2014-10-23 2015-02-04 西安交通大学 基于家族基因码的恶意代码快速归类方法
CN106355090A (zh) * 2015-07-15 2017-01-25 重庆达特科技有限公司 恶意代码dna家族收集,分析和分类平台
CN106845217A (zh) * 2017-01-20 2017-06-13 四川中大云科科技有限公司 一种安卓应用恶意行为的检测方法
KR101748116B1 (ko) * 2016-01-28 2017-07-24 주식회사 익스트러스 클라우드 모바일 환경에서의 스미싱 차단장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663284A (zh) * 2012-03-21 2012-09-12 南京邮电大学 一种基于云计算的恶意代码识别方法
CN104331436A (zh) * 2014-10-23 2015-02-04 西安交通大学 基于家族基因码的恶意代码快速归类方法
CN106355090A (zh) * 2015-07-15 2017-01-25 重庆达特科技有限公司 恶意代码dna家族收集,分析和分类平台
KR101748116B1 (ko) * 2016-01-28 2017-07-24 주식회사 익스트러스 클라우드 모바일 환경에서의 스미싱 차단장치
CN106845217A (zh) * 2017-01-20 2017-06-13 四川中大云科科技有限公司 一种安卓应用恶意行为的检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
顾小琪等: "《基于网络行为基因序列的恶意代码识别》", 《保密科学技术》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108932430A (zh) * 2018-07-02 2018-12-04 北京大学 一种基于软件基因技术的恶意软件检测方法
CN109347808A (zh) * 2018-09-26 2019-02-15 北京计算机技术及应用研究所 一种基于用户群行为活动的安全分析方法
CN109347808B (zh) * 2018-09-26 2021-02-12 北京计算机技术及应用研究所 一种基于用户群行为活动的安全分析方法
CN109492396A (zh) * 2018-11-12 2019-03-19 杭州安恒信息技术股份有限公司 基于语义分割的恶意软件基因快速检测方法和装置
CN110414231A (zh) * 2019-06-25 2019-11-05 中国人民解放军战略支援部队信息工程大学 基于马尔科夫模型的内存中软件基因动态提取方法
CN112699371A (zh) * 2020-12-31 2021-04-23 上海戎磐网络科技有限公司 一种动态行为特征与软件基因匹配系统和方法
CN114254317A (zh) * 2021-11-29 2022-03-29 上海戎磐网络科技有限公司 基于软件基因的软件处理方法、装置以及存储介质

Also Published As

Publication number Publication date
CN108063768B (zh) 2020-11-10

Similar Documents

Publication Publication Date Title
CN108063768A (zh) 基于网络基因技术的网络恶意行为识别方法及装置
Min et al. TR-IDS: Anomaly-based intrusion detection through text-convolutional neural network and random forest
US11695789B2 (en) Detection of algorithmically generated domains based on a dictionary
CN108737406B (zh) 一种异常流量数据的检测方法及系统
EP3614645B1 (en) Embedded dga representations for botnet analysis
CN105205396A (zh) 一种基于深度学习的安卓恶意代码检测系统及其方法
CN116647411B (zh) 游戏平台网络安全的监测预警方法
US11533373B2 (en) Global iterative clustering algorithm to model entities' behaviors and detect anomalies
CN110798463B (zh) 基于信息熵的网络隐蔽信道的检测方法及装置
CN111523588A (zh) 基于改进的lstm对apt攻击恶意软件流量进行分类的方法
CN111224998B (zh) 一种基于极限学习机的僵尸网络识别方法
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
CN112887323B (zh) 一种面向工业互联网边界安全的网络协议关联与识别方法
Han et al. Network intrusion detection based on n-gram frequency and time-aware transformer
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
Devi et al. Stochastic Gradient Boosting Model for Twitter Spam Detection.
Li et al. Protocol reverse engineering using LDA and association analysis
CN112087450B (zh) 一种异常ip识别方法、系统及计算机设备
KR102318496B1 (ko) 블록체인 네트워크에 기반하여 어뷰징을 탐지하는 방법 및 이를 이용한 블록체인 노드
Wang et al. A nonparametric approach to the automated protocol fingerprint inference
Swarnkar et al. RDClass: on using relative distance of keywords for accurate network traffic classification
CN109992960A (zh) 一种伪造参数检测方法、装置、电子设备及存储介质
CN107766928A (zh) 一种基于人工神经网络模型和ua信息的终端识别方法
CN110399360A (zh) 字典表的设置方法及装置、存储介质、电子装置
CN113542222B (zh) 一种基于双域vae的零日多步威胁识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant