CN108769001A - 基于网络行为特征聚类分析的恶意代码检测方法 - Google Patents

基于网络行为特征聚类分析的恶意代码检测方法 Download PDF

Info

Publication number
CN108769001A
CN108769001A CN201810508399.2A CN201810508399A CN108769001A CN 108769001 A CN108769001 A CN 108769001A CN 201810508399 A CN201810508399 A CN 201810508399A CN 108769001 A CN108769001 A CN 108769001A
Authority
CN
China
Prior art keywords
behavior
malicious code
network
cluster
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810508399.2A
Other languages
English (en)
Inventor
玄世昌
苘大鹏
王巍
杨武
张莹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Publication of CN108769001A publication Critical patent/CN108769001A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供的是一种基于网络行为特征聚类分析的恶意代码检测方法。步骤1,主要针对僵尸网络和木马的网络行为进行特征分析;步骤2,利用MFAM‑NB框架进行网络特征提取;步骤3,利用基于自适应权重的k‑Means聚类算法进行恶意代码检测。该方法能够解决恶意网络可以轻易地改变包内容和流特性,从而避开恶意代码的检测的问题,并且能够解决传统恶意代码检测方法对于手工特征提取的依赖性问题。该方法所采用的基于自适应权重的k‑Means恶意代码检测算法能够解决传统的k‑Means算法对于初始化中心选择不当导致恶意代码检测不准确的问题,并且能够解决k‑Means算法处理大数据量特征集过于耗时的问题。

Description

基于网络行为特征聚类分析的恶意代码检测方法
技术领域
本发明涉及的是一种恶意代码检测方法。
背景技术
随着网络信息技术的快速进步,人们无论是从生活、教育还是医疗都特别的依赖于计算机。开放性的计算机平台,使得每个人都能够从网络中获取自己需要的信息,人们可以任意的使用互联网络,也可以通过平台发布信息。正是这种绝对性的自由导致信息安全问题的日益严重。越来越多的开发人员在利益的驱使下,不断投入到恶意代码的研发中。这些恶意代码无论是从经济还是生活上都严重的影响了整个国家,乃至是整个世界的发展。
恶意代码在网络安全事件中给整个国家造成了巨大的经济损失。恶意代码主要包括僵尸网络、蠕虫、木马、逻辑炸弹、计算机病毒、后门程序等。目前,恶意代码的分析技术主要包括静态分析技术和动态分析技术。常用的静态分析工具是W32DASM、IDA Pro和HIEW。通常对恶意代码进行分析前,需要获得整个代码的功能模块划分图,具体的分析过程包括分析、抽象、建模、特征提取、特征分析等。动态分析是指在一个受保护的条件下,对含有恶意代码的可执行程序进行运行,从而得到恶意代码的行为特征。通常包括文件系统、API调用序列、注册表、以及网络的访问情况等等。动态分析技术能够针对恶意代码的变形和加壳等行为做出准确的判定。动态分析主要包括沙箱技术、动态追踪法、虚拟机技术等。动态分析法经常结合代码的语义分析,可以更好的提高恶意代码的检测速度。但是传统的检测方式仍然还是存在很多的弊端和缺陷,比如针对恶意代码的变种、加壳等变形方式,它的检测效率的准确度都不理想。
传统的恶意代码检测技术虽然能在一定程度上对恶意代码进行检测,但仍然依赖于使用手工进行特征分析。另外,由于恶意网络可以很轻易地改变包内容和流特性,从而避开恶意代码的检测。因此,需要一种更加准确高效的手段来对恶意代码的攻击进行检测。
发明内容
本发明的目的在于提供一种能够更加准确高效地对恶意代码的攻击进行检测的基于网络行为特征聚类分析的恶意代码检测方法。
本发明的目的是这样实现的:
步骤1特征分析,主要针对僵尸网络和木马的网络行为进行特征分析;
步骤2特征提取,利用MFAM-NB框架进行网络特征提取;
步骤3聚类分析,利用基于自适应权重的k-Means聚类算法进行恶意代码检测。
本发明还可以包括:
1、所述主要针对僵尸网络和木马的网络行为进行特征分析具体包括:
(1)活跃行为
对于存在可疑的活动外网IP地址到局域网IP地址的连接,由三个特征值进行描述,包括活跃时间、活跃比率和活跃权重;
(2)故障行为
所述故障行为是与所有可疑的外部网络服务器之间的连续连接失败的行为,故障时间、故障率和故障权重是局域网IP未能连接到可疑的不活跃的外网IP地址的时间特征值属于故障行为,故障流表示连接失败的数量是故障行为的一个特征值;
(3)扫描行为
所述扫描行为是进行可疑扫描的行为,目的端口的数量、失效匹配和端口不存在是扫描行为的主要特征值,根据使用端口的总数量来预测端口扫描行为;
(4)页面行为
1)GET请求方法的不重复页面的数量;
2)出入流量比重;
3)POST请求的平局数据量;
4)URL的平均长度检测。
2、所述利用MFAM-NB框架进行网络特征提取具体包括:MFAM-NB框架总共分为两个模块,分别是数据获取模块和网络行为特征提取模块,首先,MFAM-NB框架通过数据获取模块收集流经网络出入口内的数据流量;然后,将网络流量传输到网络行为特征提取模块。
3、所述利用基于自适应权重的k-Means聚类算法进行恶意代码检测具体包括:
(1)特征归一化处理;
(2)使用AW-MMKM算法来随机初始化K个聚类中心;
(3)使用AW-MMKM算法初始化特征子集的大小B;
(4)随机无放回的选择B个特征实例进行聚类分析;
(5)计算特征子集中,每一个特征实例到聚类中心的距离,并将实例划分给与该实例加权距离最小的聚类;
(6)重新计算聚类中心;
(7)返回(4),重复迭代计算,直到达到最大迭代次数或者连续两次计算出的聚类中心不再发生变化;
(8)计算新的K个类之间误差平方和的差异值Dq
(9)如果存在Dq≥Dmax,则更新Dmax和Dq,保存新生成的K个聚类,否则,直接保存新生成的K个聚类;
(10)根据聚类结果对正常数据组和异常数据组进行分类,得到的异常数据组即为恶意网络主机。
本发明针对恶意网络可以轻易地改变包内容和流特性,从而避开恶意代码的检测的问题,提出一种基于网络行为特征聚类分析的恶意代码检测方法。该方法首先通过从网络层的流动轨迹和网络设备提取的网络行为进行分析,确定了四种网络行为:活跃行为、故障行为、网络扫描行为和页面行为,进而对网络行为特征进行提取。然后,该方法利用AW-MMKM聚类分析算法来揭示恶意网络中的主机成员。该算法通过小批量的计算类内误差平方和的大小来自适应分配各个聚类的权重,将加权距离作为重新分配实例的依据,并对目标函数中加权距离的参数进行优化,从而减少了计算时间并保证了类间差异的最大化。
本发明提出了一种基于网络行为特征聚类分析的恶意代码检测方法。该方法能够解决恶意网络可以轻易地改变包内容和流特性,从而避开恶意代码的检测的问题,并且能够解决传统恶意代码检测方法对于手工特征提取的依赖性问题。该方法所采用的基于自适应权重的k-Means恶意代码检测算法能够解决传统的k-Means算法对于初始化中心选择不当导致恶意代码检测不准确的问题,并且能够解决k-Means算法处理大数据量特征集过于耗时的问题。
附图说明
图1为MFAM-NB框架结构图。
图2为僵尸行为特征提取流程。
图3为木马行为特征提取流程。
图4为恶意代码检测流程图。
图5为三种算法的执行时间对比图。
图6为三种算法的准确率对比图。
图7为三种算法的漏检率对比图。
图8为三种算法的误检率对比图。
具体实施方式
本发明的基于网络行为特征聚类分析的恶意代码检测方法具体包括以下步骤:
步骤1、特征分析
步骤2、特征提取
步骤3、聚类分析
1、本发明主要针对进行僵尸网络和木马的网络行为特征分析。
(1)活跃行为
活跃连接的行为和与所有可疑服务器的长期通信(例如:未知主机)。对于存在可疑的活动外网IP地址到局域网IP地址的连接,可以由三个特征值进行描述,包括活跃时间、活跃比率和活跃权重。这一网络行为体现了与所有可疑的外部主机的长期通信行为的行为。因此,这三个特性值属于活跃行为特征。
(2)故障行为
由于发生的连接故障导致的频繁生成错误消息的行为。故障时间、故障率和故障权重是局域网IP未能连接到可疑的不活跃的外网IP地址的时间特征值。故障行为被定义为与所有可疑的外部网络服务器之间的连续连接失败的行为。因此,这三个特性值属于故障行为。故障流表示连接失败的数量,是故障行为的一个特征值。
(3)扫描行为
进行可疑扫描的行为。目的端口的数量、失效匹配和端口不存在是扫描行为的主要特征值。在一般情况下,客户端主机只连接到特定且经常使用的目标端口,除非进行端口扫描。因此,可以根据使用端口的总数量来预测端口扫描行为。
(4)页面行为
1)GET请求方法的不重复页面的数量。
2)出入流量比重。
3)POST请求的平局数据量。
4)URL的平均长度检测
2、基于网络行为特征聚类分析的恶意代码检测方法利用MFAM-NB框架进行网络特征提取。MFAM-NB框架总共分为两个模块,分别是数据获取模块和网络行为特征提取模块。首先,MFAM-NB框架通过数据获取模块收集流经网络出入口内的数据流量。然后,将网络流量传输到网络行为特征提取模块,该模块通过之前确定的四种网络行为进行特征提取。
3、基于网络行为特征聚类分析的恶意代码检测方法利用基于自适应权重的k-Means聚类算法进行恶意代码检测算法。该算法通过随机不放回的选择小批量的特征集,来对类内误差平方进行计算。根据误差平方和的大小来自适应的分配各个聚类的权重,并将加权距离作为重新分配实例对象的依据。该算法利用优化加权距离的参数保证了类间差异的最大化。总体来说,AW-MMKM算法在降低计算成本的同时提高了算法的执行效率,并对目标函数进行优化。最后,根据聚类结果,区分正常客户端和恶意网络主机。其中,如果网络行为特征值很低,那么则认为这种行为是一组正常行为,不符合恶意代码网络行为特征提取的条件。相反,则认为并被检测的网络行为为一组异常行为。具体的恶意代码检测流程如下所示(附图4):
(1)特征归一化处理
(2)使用AW-MMKM算法来随机初始化K个聚类中心。
(3)使用AW-MMKM算法初始化特征子集的大小B。
(4)随机无放回的选择B个特征实例进行聚类分析。
(5)计算特征子集中,每一个特征实例到聚类中心的距离,并将实例划分给与该实例加权距离最小的聚类。
为了避免MinMax k-Means算法中,权重指数q需要进行预定义处理的限制,AW-MMKM算法对目标函数中权重的计算公式进行优化,通过自适应的调整权重q,来调节每个聚类的权重,同时在最小化和最大化步骤之间交替进行计算。权重ωj是按照以下公式计算得到的。
其中,γ控制前一次迭代的权重对当前更新的影响,从而使得连续迭代计算之间的权重值能够变化更加的平滑,不会超过限定权重的最大值。聚类的权重越高,它的误差平方和就越强烈地被最小化。具体来说,初始化qinit=0。在每次迭代步骤中,通过qstep的值来逐步增加,直到达到最大值qmax。在达到最大值qmax之后,聚类将一直保持这个值并且不再发生变化。
(6)重新计算聚类中心。
(7)返回(4),重复迭代计算,直到达到最大迭代次数或者连续两次计算出的聚类中心不再发生变化。
(8)计算新的K个类之间误差平方和的差异值Dq
(9)如果存在Dq≥Dmax,则更新Dmax和Dq,保存新生成的K个聚类。否则,直接保存新生成的K个聚类。
(10)根据聚类结果对正常数据组和异常数据组进行分类,得到的异常数据组即为恶意网络主机,从而达到恶意代码检测的目的。
下面举例对本发明做更详细的描述。
(1)实验环境
实验环境是Intel(R)Core(TM)i5-3470CPU@3.20GHz,内存8GB,操作系统版本CentOS 5.6。实验在Linux下使用C语言进行开发,同时安装libpcap和libnids包。其中内部网段设置为192.168.100.2/254,外部攻击者IP设置为125.223.114.213。基于网络行为的检测系统位于网关处,检测网络出入口的所有数据。外网攻击主机对内部网络中的主机发起攻击。
(2)实验结果和分析
本发明提出的AW-MMKM算法与传统的k-Means、MinMax k-Means算法就恶意客代码检测的执行效率进行对比实验。实验结果如附图5所示,其中,横轴表示实例数量,纵轴表示执行的时间。由此可知,传统的k-Means聚类需要计算所有实例到聚类中心的距离,因而数据量越大,执行速度就越慢。MinMax k-Means算法在迭代的过程中,当遇到空簇或者单簇集群时,会重新启动,为克服算法对初始化中心选择的依赖性。相比于其他两种算法,AW-MMKM算法采用小批量处理特征集数据方式,能够在执行速度上有很大的提升。
将本发明提出的AW-MMKM算法与传统的k-Means算法、MinMax k-Means算法就恶意客代码检测的准确率、误检率以及漏检率进行对比实验。实验结果如附图6、附图7、附图8所示。其中,横轴代表特征集中的数据量大小,纵轴表示百分比。AW-MMKM算法相对于其他两种算法具有最高的准确率,达到93.86%。并且,随着数据量的增加,准确率从93.86%下降到92.38%,但基本维持稳定。MinMax k-Means算法的准确率能够达到90%左右。而传统的k-Means方法由于初始化中心的随机选择,准确率仅维持在85%左右,而且随着数据量的增加,准确率不断降低。AW-MMKM算法的漏检率和误检率相较于其他两种算法也具有良好的检测效果。误检率仅有2.6%。MinMax k-Means算法的漏检率能够维持在12%左右。传统的k-Means算法当数据量超过20000时,k-Means算法的漏检率甚至高达16.13%。
通过以上实验结果表明,基于网络行为特征聚类分析的恶意代码检测方法可以提高恶意代码检测的准确率,并且在执行效率上得到了很大的提升,尤其是在处理大数据量特征集的情况下。

Claims (5)

1.一种基于网络行为特征聚类分析的恶意代码检测方法,其特征是:
步骤1特征分析,主要针对僵尸网络和木马的网络行为进行特征分析;
步骤2特征提取,利用MFAM-NB框架进行网络特征提取;
步骤3聚类分析,利用基于自适应权重的k-Means聚类算法进行恶意代码检测。
2.根据权利要求1所述的基于网络行为特征聚类分析的恶意代码检测方法,其特征是所述主要针对僵尸网络和木马的网络行为进行特征分析具体包括:
(1)活跃行为
对于存在可疑的活动外网IP地址到局域网IP地址的连接,由三个特征值进行描述,包括活跃时间、活跃比率和活跃权重;
(2)故障行为
所述故障行为是与所有可疑的外部网络服务器之间的连续连接失败的行为,故障时间、故障率和故障权重是局域网IP未能连接到可疑的不活跃的外网IP地址的时间特征值属于故障行为,故障流表示连接失败的数量是故障行为的一个特征值;
(3)扫描行为
所述扫描行为是进行可疑扫描的行为,目的端口的数量、失效匹配和端口不存在是扫描行为的主要特征值,根据使用端口的总数量来预测端口扫描行为;
(4)页面行为
1)GET请求方法的不重复页面的数量;
2)出入流量比重;
3)POST请求的平局数据量;
4)URL的平均长度检测。
3.根据权利要求1或2所述的基于网络行为特征聚类分析的恶意代码检测方法,其特征是所述利用MFAM-NB框架进行网络特征提取具体包括:MFAM-NB框架总共分为两个模块,分别是数据获取模块和网络行为特征提取模块,首先,MFAM-NB框架通过数据获取模块收集流经网络出入口内的数据流量;然后,将网络流量传输到网络行为特征提取模块。
4.根据权利要求1或2所述的基于网络行为特征聚类分析的恶意代码检测方法,其特征是所述利用基于自适应权重的k-Means聚类算法进行恶意代码检测具体包括:
(1)特征归一化处理;
(2)使用AW-MMKM算法来随机初始化K个聚类中心;
(3)使用AW-MMKM算法初始化特征子集的大小B;
(4)随机无放回的选择B个特征实例进行聚类分析;
(5)计算特征子集中,每一个特征实例到聚类中心的距离,并将实例划分给与该实例加权距离最小的聚类;
(6)重新计算聚类中心;
(7)返回(4),重复迭代计算,直到达到最大迭代次数或者连续两次计算出的聚类中心不再发生变化;
(8)计算新的K个类之间误差平方和的差异值Dq
(9)如果存在Dq≥Dmax,则更新Dmax和Dq,保存新生成的K个聚类,否则,直接保存新生成的K个聚类;
(10)根据聚类结果对正常数据组和异常数据组进行分类,得到的异常数据组即为恶意网络主机。
5.根据权利要求3所述的基于网络行为特征聚类分析的恶意代码检测方法,其特征是所述利用基于自适应权重的k-Means聚类算法进行恶意代码检测具体包括:
(1)特征归一化处理;
(2)使用AW-MMKM算法来随机初始化K个聚类中心;
(3)使用AW-MMKM算法初始化特征子集的大小B;
(4)随机无放回的选择B个特征实例进行聚类分析;
(5)计算特征子集中,每一个特征实例到聚类中心的距离,并将实例划分给与该实例加权距离最小的聚类;
(6)重新计算聚类中心;
(7)返回(4),重复迭代计算,直到达到最大迭代次数或者连续两次计算出的聚类中心不再发生变化;
(8)计算新的K个类之间误差平方和的差异值Dq
(9)如果存在Dq≥Dmax,则更新Dmax和Dq,保存新生成的K个聚类,否则,直接保存新生成的K个聚类;
(10)根据聚类结果对正常数据组和异常数据组进行分类,得到的异常数据组即为恶意网络主机。
CN201810508399.2A 2018-04-11 2018-05-24 基于网络行为特征聚类分析的恶意代码检测方法 Pending CN108769001A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810318680 2018-04-11
CN201810318680X 2018-04-11

Publications (1)

Publication Number Publication Date
CN108769001A true CN108769001A (zh) 2018-11-06

Family

ID=64005646

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810508399.2A Pending CN108769001A (zh) 2018-04-11 2018-05-24 基于网络行为特征聚类分析的恶意代码检测方法

Country Status (1)

Country Link
CN (1) CN108769001A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110022313A (zh) * 2019-03-25 2019-07-16 河北师范大学 基于机器学习的多态蠕虫特征提取及多态蠕虫辨识方法
CN110213227A (zh) * 2019-04-24 2019-09-06 华为技术有限公司 一种网络数据流检测方法及装置
CN110458187A (zh) * 2019-06-27 2019-11-15 广州大学 一种恶意代码家族聚类方法和系统
CN111770053A (zh) * 2020-05-28 2020-10-13 江苏大学 一种基于改进的聚类与自相似性的恶意程序检测方法
CN111865910A (zh) * 2020-06-09 2020-10-30 北京邮电大学 一种针对应用恶意代码检测与定位的方法
CN113259402A (zh) * 2021-07-19 2021-08-13 北京明略软件系统有限公司 一种异常网络协议地址的确定方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168272A (zh) * 2014-08-04 2014-11-26 国家电网公司 一种基于通信行为聚类的木马检测方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168272A (zh) * 2014-08-04 2014-11-26 国家电网公司 一种基于通信行为聚类的木马检测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GRIGORIOS TZORTZIS*等: ""The MinMax k-Means clustering algorithm"", 《PATTERN RECOGNITION》 *
SHING-HAN LI等: ""A Network Behavior-Based Detection Mechanism Using PSO and K-means"", 《ACM TRANSACTIONS ON MANAGEMENT INFORMATION SYSTEM》 *
易军凯等: ""一种基于网络行为分析的HTTP木马检测模型"", 《北京化工大学学报(自然科学版)》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110022313A (zh) * 2019-03-25 2019-07-16 河北师范大学 基于机器学习的多态蠕虫特征提取及多态蠕虫辨识方法
CN110022313B (zh) * 2019-03-25 2021-09-17 河北师范大学 基于机器学习的多态蠕虫特征提取及多态蠕虫辨识方法
CN110213227A (zh) * 2019-04-24 2019-09-06 华为技术有限公司 一种网络数据流检测方法及装置
CN110458187A (zh) * 2019-06-27 2019-11-15 广州大学 一种恶意代码家族聚类方法和系统
CN110458187B (zh) * 2019-06-27 2020-07-31 广州大学 一种恶意代码家族聚类方法和系统
CN111770053A (zh) * 2020-05-28 2020-10-13 江苏大学 一种基于改进的聚类与自相似性的恶意程序检测方法
CN111865910A (zh) * 2020-06-09 2020-10-30 北京邮电大学 一种针对应用恶意代码检测与定位的方法
CN113259402A (zh) * 2021-07-19 2021-08-13 北京明略软件系统有限公司 一种异常网络协议地址的确定方法和装置
CN113259402B (zh) * 2021-07-19 2021-10-15 北京明略软件系统有限公司 一种异常网络协议地址的确定方法和装置

Similar Documents

Publication Publication Date Title
CN108769001A (zh) 基于网络行为特征聚类分析的恶意代码检测方法
EP4203349A1 (en) Training method for detection model, system, device, and storage medium
US20210021616A1 (en) Method and system for classifying data objects based on their network footprint
CN109005145A (zh) 一种基于自动特征抽取的恶意url检测系统及其方法
CN108076060B (zh) 基于动态k-means聚类的神经网络态势预测方法
CN110855648B (zh) 一种网络攻击的预警控制方法及装置
CN110166344B (zh) 一种身份标识识别方法、装置以及相关设备
CN111709022B (zh) 基于ap聚类与因果关系的混合报警关联方法
Patil et al. S-DDoS: Apache spark based real-time DDoS detection system
CN112235434B (zh) 融合k-means及其胶囊网络的DGA网络域名检测识别系统
CN106446124B (zh) 一种基于网络关系图的网站分类方法
CN108322428A (zh) 一种异常访问检测方法及设备
Song et al. A method of intrusion detection based on WOA‐XGBoost algorithm
CN113378899A (zh) 非正常账号识别方法、装置、设备和存储介质
CN112788007A (zh) 基于卷积神经网络的DDoS攻击检测方法
CN111953665B (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
CN106803039A (zh) 一种恶意文件的同源判定方法及装置
Nemade et al. An IoT based efficient Air pollution prediction system using DLMNN classifier
CN117811845B (zh) 威胁检测及模型训练方法、装置、系统、电子设备、介质
CN107231383A (zh) Cc攻击的检测方法及装置
Zhou et al. An efficient victim prediction for Sybil detection in online social network
Zhang et al. Cfsl: A credible federated self-learning framework
CN112261169B (zh) 利用胶囊网络和k-means的DGA域名Botnet识别判断方法
Babu et al. Improved Monarchy Butterfly Optimization Algorithm (IMBO): Intrusion Detection Using Mapreduce Framework Based Optimized ANU-Net.
Chen et al. Real-time detection of cloud tenant malicious behavior based on CNN

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181106