CN108881255B - 一种基于c&c通信状态转换检测僵尸网络的方法 - Google Patents
一种基于c&c通信状态转换检测僵尸网络的方法 Download PDFInfo
- Publication number
- CN108881255B CN108881255B CN201810698017.7A CN201810698017A CN108881255B CN 108881255 B CN108881255 B CN 108881255B CN 201810698017 A CN201810698017 A CN 201810698017A CN 108881255 B CN108881255 B CN 108881255B
- Authority
- CN
- China
- Prior art keywords
- candidate
- state
- model
- probability
- markov
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 title claims description 22
- 238000006243 chemical reaction Methods 0.000 title abstract description 10
- 238000012549 training Methods 0.000 claims abstract description 29
- 238000012360 testing method Methods 0.000 claims abstract description 18
- 238000001514 detection method Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 9
- 230000007704 transition Effects 0.000 claims description 8
- 230000000737 periodic effect Effects 0.000 claims description 6
- 238000000605 extraction Methods 0.000 abstract description 3
- 241000287828 Gallus gallus Species 0.000 description 4
- 230000004931 aggregating effect Effects 0.000 description 4
- 238000011897 real-time detection Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于C&C通信状态转换检测僵尸网络的方法,包括训练阶段:对训练集数据流按四元组进行划分、添加标签,提取特征,生成状态链,构建候选模型库并计算出概率阈值;预测阶段:将待测数据流按四元组划分、提取特征并生成待测状态链;提取协议类型,与候选模型库中模型逐一匹配,若不匹配,丢弃,若匹配成功,则进行下一步;计算测试概率,并根据预设方案匹配,不匹配,丢弃,否则保存模型及测试概率;最后从匹配成功的候选模型中选择匹配度最高的作为最后模型,此模型标签即可判断待测数据流是否为僵尸网络。流的状态容易提取,无需复杂的统计工作和流量内容提取,提高了检测性能,采用状态转换关系建立马尔科夫链进行检测,效率高。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于C&C通信状态转换检测僵尸网络的方法。
背景技术
C&C服务器的全称是Command and Control Server,即“命令及控制服务器”。随着恶意木马产业的发展,很多木马早已摆脱了过去“单打独斗”的作战方式,而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,进行指挥的关键节点便是 C&C服务器。这些服务器用于控制DDoS僵尸网络,垃圾信息网络,银行木马,以及用于传播钓鱼和恶意软件感染所收集到的数据的服务器。C&C服务器一方面可以接收被控制计算机(也被称为肉鸡)上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶能力,进而造成更大破坏。
每一个C&C服务器必须对应一个具体的IP之后,才能被木马访问。部分木马在代码中直接指定了服务器IP,而另一部分木马使用域名,这些域名经过解析之后,也能转换为服务器具体的IP信息。
为什么malware需要主动和C&C服务通讯?因为多数情况下malware是通过钓鱼邮件啊等方法下载到感染宿主机,攻击者并不能主动得知malware 被谁下载,也不能主动得知宿主机的状态(是否开机是否联网等),除非 malware主动告诉他,所以malware都会内置一套寻找C&C主控服务器的方法以保持和C&C的联络和断线重连。C&C控制服务的攻防要点在于,攻击者能不能欺骗防御者成功隐藏C&C服务:如果防御者侦测到了隐藏的C&C服务,通过一些技术(封禁域名和IP等)或者非技术手段(汇报给安全应急中心等) 切断malware和C&C之间的联系,就可以有效的摧毁僵尸网络。
僵尸网络的检测技术一般有如下7种分类方法:
1)基于主机的或基于网络的;
2)基于特征码(signature)的或基于行为异常的;
3)检测行为是被动的或主动的;
4)检测时机是僵尸程序的传播阶段或执行阶段;
5)检测对象是个别的僵尸程序或一组僵尸程序;
6)检测过程是否需要附加信息(例如其他系统的报警信息);
7)检测技术是约束于或独立于命令与控制技术(例如协议和结构)。
上述分类从不同侧面初步概括了现有检测技术的差别,但是缺少针对性, 没有考虑僵尸网络中,C&C通信的特点,特别是C&C通信之间具有状态性和周期性,从这出发,我们发明了一种基于C&C通信状态转换检测僵尸网络的方法。
发明内容
本发明的目的是实时检测到僵尸网络,为了实现该目的,本发明提供了一种基于C&C通信状态转换检测僵尸网络的方法。
本发明提供了一种基于C&C通信状态转换检测僵尸网络的方法,包括训练阶段和预测阶段,训练阶段包括如下步骤,
A1、对收集的训练集数据流按照源IP、目的IP、目的端口和协议类型四元组进行提取分组,并根据训练集数据流中的已知标签人工进行识别;
A2、提取训练集数据流的特征,包括每条流的大小、持续时间和周期,按阈值对上述三种特征进行处理划分等级,对特征状态进行编码,并利用上述三种特征来参数化流的状态,生成状态链;
A3、根据状态链生成候选的马尔科夫模型,并保存生成该候选的马尔科夫模型的原始概率,训练阶段各个已知分组数据生成的所有候选的马尔科夫模型构成预测阶段使用的候选模型库,并根据训练集数据流训练得到判断概率的概率阈值,在预测阶段使用;
预测阶段包括如下步骤,
B1、将待测数据流按照步骤A1、A2中对数据流的处理方式进行四元组划分、提取特征并生成待测状态链;
B2、对待测状态链提取状态链的协议类型,若有协议类型,则与候选模型库中候选马尔科夫模型逐一匹配,若协议类型与候选马尔科夫模型的协议不匹配,丢弃此候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配;
B3、计算该待测状态链是由该匹配成功的候选马尔科夫模型产生的测试概率,
若测试概率与该候选马尔科夫模型对应的原始概率之差的绝对值大于概率阈值,则视为不匹配,丢弃该候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配,否则保存该候选马尔科夫模型及测试概率,并选择下一个候选马尔科夫模型重新匹配;
B4、匹配完候选模型库中的所有模型后,最后从所有匹配成功的候选模型中选择匹配度最高的作为最后的模型,此候选马尔科夫模型的标签即为该待测数据流的预测类别,即可判断该待测数据流是否为对应的僵尸网络。
作为本发明的进一步改进,所述步骤A2具体包括:
A21、提取流的特征,包括每条流的大小、持续时间和周期;
A22、按阈值对特征进行处理,可以对流的大小阈值化为小、中、大,对流的持续时间阈值化为短、中、长,对周期阈值化为没有足够数据判断、强周期、弱周期、无周期,进而可以获得三十六个不同的状态,用一个ASCII 字符代表一种状态,创建状态字符表;
A23、参照状态字符表对分组后的流进行编码,该分组下一系列流组成一条状态链,根据相同的标签和四元组合并所有的状态链,最终每个四元组都只有一条状态链。
作为本发明的进一步改进,提取流的周期特征时,使用相邻周期的间隔差作为周期特征。
作为本发明的进一步改进,步骤B3中所述的测试概率获取方法为:逐个比较待测状态链的状态字符与候选马尔科夫模型,不匹配则移动到待测状态链的下一个状态字符继续匹配,匹配成功则继续匹配状态链和该候选马尔科夫模型的下一个字符,最终得到的候选马尔科夫模型中匹配成功的字符占该候选马尔科夫模型的总字符的比重即为测试概率。
本发明提供的一种基于C&C通信状态转换检测僵尸网络的方法,通过按四元组(源IP、目的IP、目的端口、协议类型)对网络流进行聚合分组而不是五元组,达到聚合信道中由不同的源端口产生的流的目的,更深层次实现聚合,使得对流的描述更加准确及合理,流的状态特征容易提取,无需进行复杂的统计工作和流量内容的提取,从而可以对每条流到来实行实时检测僵尸网络行为,提高了检测速度和性能,可以在实时检测系统中使用,采用基于时间序列的状态转换关系建立马尔科夫状态链进行检测,发现C&C服务器的 IP和内网被控主机的IP。
附图说明
图1是本发明提供的基于C&C通信状态转换检测僵尸网络的方法的流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,本发明公开了一种基于C&C通信状态转换检测僵尸网络的方法,包括训练阶段和预测阶段,训练阶段目标:构建候选的马尔科夫检测模型,模型包含原始概率。所谓原始概率是指通过训练集数据产生的状态链计算生成这个候选模型的概率,即这条由已知训练数据计算得到的状态链有“多大概率(原始概率)”可以得到这个候选MC模型。预测阶段目标:对未知的待测数据流与马尔科夫模型库中的模型进行匹配,达到检测目的。
训练阶段包括如下步骤,
A1、对收集的训练集数据流按照源IP、目的IP、目的端口和协议类型四元组进行提取分组,分别命名为例如10.1.1.101-202.114.111.66-80-tcp,并根据训练集数据流中的已知标签人工进行识别,例如 From-Botnet-V2-TCP-CC10-HTTP-Custom-Encryption;
A2、提取训练集数据流的特征,包括每条流的大小、持续时间和周期,按阈值对上述三种特征进行处理划分等级,对特征状态进行编码,并利用上述三种特征来参数化流的状态,生成状态链;
A3、根据状态链生成候选的马尔科夫模型,并保存生成该候选的马尔科夫模型的原始概率,训练阶段各个已知分组数据生成的所有候选的马尔科夫模型构成预测阶段使用的候选模型库,并根据训练集数据流训练得到判断概率的概率阈值,在预测阶段使用;
预测阶段包括如下步骤,
B1、将待测数据流按照步骤A1、A2中对数据流的处理方式进行四元组划分、提取特征并生成待测状态链;
B2、对待测状态链提取状态链的协议类型(OSI三层,OSI七层模型,第三层为网络层),若有协议类型,则与候选模型库中候选马尔科夫模型逐一匹配,若协议类型与候选马尔科夫模型的协议不匹配,丢弃此候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配;
B3、计算该待测状态链是由该匹配成功的候选马尔科夫模型产生的测试概率,若测试概率与该候选马尔科夫模型对应的原始概率之差的绝对值大于概率阈值,则视为不匹配,丢弃该候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配,否则保存该候选马尔科夫模型及测试概率,并选择下一个候选马尔科夫模型重新匹配;
B4、匹配完候选模型库中的所有模型后,最后从所有匹配成功的候选模型中选择匹配度最高的作为最后的模型,此候选马尔科夫模型的标签即为该待测数据流的预测类别,即可判断该待测数据流是否为对应的僵尸网络。
其中,所述步骤A2具体包括:
A21、提取流的特征,包括每条流的大小、持续时间和周期;
A22、按阈值对特征进行处理,可以对流的大小阈值化为小、中、大,对流的持续时间阈值化为短、中、长,对周期阈值化为没有足够数据判断、强周期、弱周期、无周期,进而可以获得三十六个不同的状态,用一个ASCII 字符代表一种状态,创建状态字符表;例如下表
A23、参照状态字符表对分组后的流进行编码,该分组下一系列流组成一条状态链,例如某条流的状态链为 11aaaaaaaaaaabrrctrraaaAaaaaaAaaaaaaaaaaaaaaaaaAAAaaaaaaaaaaaaaaaa aaaAaAaaaaaaaaaaaaaaaaAAAAAAAAaaaaaaaaaaaaaaa(...),根据相同的标签和四元组合并所有的状态链,最终每个四元组都只有一条状态链。
其中,提取流的周期特征时,考虑到C&C通信在idle、active、work等阶段周期有可能不同,使用相邻周期的间隔差作为周期特征。如:
T1=Start_Time(3)-Start_Time(2)
T2=Start_Time(2)-Start_Time(1)
TD=T2-T1
其中,步骤B3中所述的测试概率获取方法为:逐个比较待测状态链的状态字符与候选马尔科夫模型,不匹配则移动到待测状态链的下一个状态字符继续匹配,匹配成功则继续匹配状态链和该候选马尔科夫模型的下一个字符,最终得到的候选马尔科夫模型中匹配成功的字符占该候选马尔科夫模型的总字符的比重即为测试概率。
本发明提供的一种基于C&C通信状态转换检测僵尸网络的方法,通过按四元组(源IP、目的IP、目的端口、协议类型)对网络流进行聚合分组而不是五元组,达到聚合信道中由不同的源端口产生的流的目的,更深层次实现聚合,使得对流的描述更加准确及合理,流的状态特征容易提取,无需进行复杂的统计工作和流量内容的提取,从而可以对每条流到来实行实时检测僵尸网络行为,提高了检测速度和性能,可以在实时检测系统中使用,采用基于时间序列的状态转换关系建立马尔科夫状态链进行检测,发现C&C服务器的 IP和内网被控主机的IP。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (4)
1.一种基于C&C通信状态转换检测僵尸网络的方法,其特征在于,包括训练阶段和预测阶段,训练阶段包括如下步骤,
A1、对收集的训练集数据流按照源IP、目的IP、目的端口和协议类型四元组进行提取分组,并根据训练集数据流中的已知标签人工进行识别;
A2、提取训练集数据流的特征,包括每条流的大小、持续时间和周期,按阈值对上述三种特征进行处理划分等级,对特征状态进行编码,并利用上述三种特征来参数化流的状态,生成状态链;
A3、根据状态链生成候选的马尔科夫模型,并保存生成该候选的马尔科夫模型的原始概率,训练阶段各个已知分组数据生成的所有候选的马尔科夫模型构成预测阶段使用的候选模型库,并根据训练集数据流训练得到判断概率的概率阈值,在预测阶段使用;
预测阶段包括如下步骤,
B1、将待测数据流按照步骤A1、A2中对数据流的处理方式进行四元组划分、提取特征并生成待测状态链;
B2、对待测状态链提取状态链的协议类型,若有协议类型,则与候选模型库中候选马尔科夫模型逐一匹配,若协议类型与候选马尔科夫模型的协议不匹配,丢弃此候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配;
B3、计算该待测状态链是由该匹配成功的候选马尔科夫模型产生的测试概率,若测试概率与该候选马尔科夫模型对应的原始概率之差的绝对值大于概率阈值,则视为不匹配,丢弃该候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配,否则保存该候选马尔科夫模型及测试概率,并选择下一个候选马尔科夫模型重新匹配;
B4、匹配完候选模型库中的所有模型后,最后从所有匹配成功的候选模型中选择匹配度最高的作为最后的模型,此候选马尔科夫模型的标签即为该待测数据流的预测类别,即可判断该待测数据流是否为对应的僵尸网络。
2.根据权利要求1所述的基于C&C通信状态转换检测僵尸网络的方法,其特征在于,所述步骤A2具体包括:
A21、提取流的特征,包括每条流的大小、持续时间和周期;
A22、按阈值对特征进行处理,可以对流的大小阈值化为小、中、大,对流的持续时间阈值化为短、中、长,对周期阈值化为没有足够数据判断、强周期、弱周期、无周期,进而可以获得三十六个不同的状态,用一个ASCII字符代表一种状态,创建状态字符表;
A23、参照状态字符表对分组后的流进行编码,该分组下一系列流组成一条状态链,根据相同的标签和四元组合并所有的状态链,最终每个四元组都只有一条状态链。
3.根据权利要求2所述的基于C&C通信状态转换检测僵尸网络的方法,其特征在于:提取流的周期特征时,使用相邻周期的间隔差作为周期特征。
4.根据权利要求2所述的基于C&C通信状态转换检测僵尸网络的方法,其特征在于,步骤B3中所述的测试概率获取方法为:逐个比较待测状态链的状态字符与候选马尔科夫模型,不匹配则移动到待测状态链的下一个状态字符继续匹配,匹配成功则继续匹配状态链和该候选马尔科夫模型的下一个字符,最终得到的候选马尔科夫模型中匹配成功的字符占该候选马尔科夫模型的总字符的比重即为测试概率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810698017.7A CN108881255B (zh) | 2018-06-29 | 2018-06-29 | 一种基于c&c通信状态转换检测僵尸网络的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810698017.7A CN108881255B (zh) | 2018-06-29 | 2018-06-29 | 一种基于c&c通信状态转换检测僵尸网络的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881255A CN108881255A (zh) | 2018-11-23 |
| CN108881255B true CN108881255B (zh) | 2020-11-13 |
Family
ID=64297308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810698017.7A Active CN108881255B (zh) | 2018-06-29 | 2018-06-29 | 一种基于c&c通信状态转换检测僵尸网络的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881255B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818049B (zh) * | 2020-07-08 | 2022-08-09 | 宝牧科技(天津)有限公司 | 一种基于马尔可夫模型的僵尸网络流量检测方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871832A (zh) * | 2016-03-29 | 2016-08-17 | 北京理工大学 | 一种基于协议属性的网络应用加密流量识别方法及其装置 |
| CN107070852A (zh) * | 2016-12-07 | 2017-08-18 | 东软集团股份有限公司 | 网络攻击检测方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019B (zh) * | 2008-09-18 | 2011-11-16 | 成都市华为赛门铁克科技有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| TWI405434B (zh) * | 2009-07-03 | 2013-08-11 | Univ Nat Taiwan Science Tech | 殭屍網路偵測系統及方法 |
| CN105553787B (zh) * | 2016-03-01 | 2019-07-26 | 清华大学 | 基于Hadoop的边缘网出口网络流量异常检测方法 |
| CN107438052B (zh) * | 2016-05-26 | 2019-10-25 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
-
2018
- 2018-06-29 CN CN201810698017.7A patent/CN108881255B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871832A (zh) * | 2016-03-29 | 2016-08-17 | 北京理工大学 | 一种基于协议属性的网络应用加密流量识别方法及其装置 |
| CN107070852A (zh) * | 2016-12-07 | 2017-08-18 | 东软集团股份有限公司 | 网络攻击检测方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于蚁群算法的文本聚类算法的参数优化;姚兴仁,赵刚;《北京信息科技大学学报(自然科学版)》;20160615;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881255A (zh) | 2018-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rehman Javed et al. | Ensemble adaboost classifier for accurate and fast detection of botnet attacks in connected vehicles | |
| Vishwakarma et al. | A honeypot with machine learning based detection framework for defending IoT based botnet DDoS attacks | |
| CN110113328B (zh) | 一种基于区块链的软件定义机会网络DDoS防御方法 | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| US20190379680A1 (en) | Threat mitigation system and method | |
| JP7219380B2 (ja) | マルウェアホストネットフロー分析システム及び方法 | |
| Procopiou et al. | ForChaos: Real time application DDoS detection using forecasting and chaos theory in smart home IoT network | |
| CN109644184B (zh) | 用于从ipfix数据检测云上的ddos僵尸网络的聚类方法 | |
| Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
| Årnes et al. | Using Hidden Markov Models to evaluate the risks of intrusions: system architecture and model validation | |
| Xiao et al. | Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model | |
| Mohsin et al. | Performance evaluation of SDN DDoS attack detection and mitigation based random forest and K-nearest neighbors machine learning algorithms | |
| CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
| CN108881255B (zh) | 一种基于c&c通信状态转换检测僵尸网络的方法 | |
| Prashanth et al. | Using random forests for network-based anomaly detection at active routers | |
| CN110213301B (zh) | 一种转移网络攻击面的方法、服务器和系统 | |
| Abdullah et al. | Preliminary study of host and network-based analysis on P2P Botnet detection | |
| Hategekimana et al. | Hardware isolation technique for irc-based botnets detection | |
| Heenan et al. | A survey of Intrusion Detection System technologies | |
| Abou Haidar et al. | High perception intrusion detection system using neural networks | |
| Maslan et al. | DDoS detection on network protocol using cosine similarity and N-Gram+ Method | |
| Subburaj et al. | Discover Crypto-Jacker from Blockchain Using AFS Method | |
| Ramos et al. | A Machine Learning Based Approach to Detect Stealthy Cobalt Strike C &C Activities from Encrypted Network Traffic | |
| US20240323224A1 (en) | Methods and systems for detecting denial of service attacks on a network | |
| CN115529145B (zh) | 网络安全入侵检测与防护系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195 Patentee after: Changyang Technology (Beijing) Co.,Ltd. Address before: Room 507, 5th floor, No. 18 Danling Street, Haidian District, Beijing, 100080 Patentee before: CHANGYANG TECH (BEIJING) Co.,Ltd. |