CN109150859A - 一种基于网络流量流向相似性的僵尸网络检测方法 - Google Patents
一种基于网络流量流向相似性的僵尸网络检测方法 Download PDFInfo
- Publication number
- CN109150859A CN109150859A CN201810871502.XA CN201810871502A CN109150859A CN 109150859 A CN109150859 A CN 109150859A CN 201810871502 A CN201810871502 A CN 201810871502A CN 109150859 A CN109150859 A CN 109150859A
- Authority
- CN
- China
- Prior art keywords
- network
- session
- data
- intersection
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于网络流量流向相似性的僵尸网络检测方法,通过监控核心交换机的流量流向,对流量数据包按时间顺序进行分段,得到多个网络会话区间段,对不同段的聚类结果求取交集,并根据交集结果判定是否存在僵尸网络。本发明的基于网络流量流向相似性的僵尸网络检测方法,以网络流量数据为主要分析数据来源,无需增加其他配置,利用多次迭代聚类求交集的方式,在线、动态、主动并快速的发现网络流量之间的相似性,以此作为判定僵尸网络的依据,保障网络信息安全。
Description
技术领域
本发明涉及信息安全技术领域,并且更具体地,涉及到一种基于网络流量流向相似性的僵尸网络检测方法。
背景技术
Botnet属于危害信息安全的一种网络攻击方式,中文名为僵尸网络,最初是为了方便网络管理员统一控制内网中所有终端设备而开发的一种合法程序,随着技术衍生和发展,逐渐演变为网络中非法控制他人终端设备的木马、蠕虫程序,其基本思路是将僵尸程序病毒散播到终端设备上,以在病毒感染设备和病毒控制者之间,形成一个互通互联、单向控制的网络系统,被感染的终端设备很难察觉到其已被他人控制,并与其他被控制的僵尸设备被动的发起协同命令,如发送DDoS攻击、发送垃圾邮箱等。
随着信息技术的发展,僵尸网络也由最初基于IRC协议的集中式网络系统转变为基于P2P协议的分布式网络系统,集中式网络拥有中心服务器,所有被感染的终端设备会与服务器通信,而分布式网络则没有中心服务器,被感染终端设备仅与其相邻节点通信,保持整体同步状态,基于这两种模式衍生出混合型P2P僵尸网络。在僵尸网络中,被感染的终端设备其行为在网络中具有相似性、规律性和可跟踪性,现有技术的检测方法可分为行为特征统计分析法、bot行为仿真及监控法、流量数据特征匹配法三种。
行为特征统计分析法是指僵尸网络在传播和准备发起进攻前,基于社会工程学,统计并分析其异常行为如频繁发送大量数据包、发送垃圾邮件、扫描特定的端口号等,检测网络中的异常终端设备,这种方法需要监控有关终端设备的大量特性,可能需要改变网络架构或设备使用状态。
Bot行为仿真及监控法是指利用蜜罐系统获取bot样本,并通过bot样本掌握其所在的僵尸网络行为特征,最后直接在网络中将终端设备与已知的僵尸网络匹配进而筛选感染的终端设备,这种方法需要尽可能多的捕捉到僵尸网络,若出现极其隐秘或新的僵尸网络,很难发现未知的僵尸网络。
流量数据特征匹配法重点研究网络流量特征,区分正常流量和异常流量,从而发现僵尸网络,这种方式在流量控制和网络规则构建上具有滞后性,需要持续改进数学算法提高正常流量和异常流量分类的准确性。
基于此,寻求一种可以避免对被感染终端设备进行复杂的特征识别和特征匹配工作,提高僵尸网络检测的时效性和准确性的检测方法,成为本领域技术人员亟待解决的技术问题。
发明内容
本发明针对上述问题,目的在于提供一种基于网络流量流向相似性的僵尸网络检测方法,其能避免对被感染终端设备进行复杂的特征识别和特征匹配工作,提高僵尸网络检测的时效性和准确性。
为达到上述目的,本发明采用如下技术方案:
本发明的实施例公开了一种基于网络流量流向相似性的僵尸网络检测方法,通过监控核心交换机的流量流向,对流量数据包按时间顺序进行分段,得到多个网络会话区间段,对不同段的聚类结果求取交集,并根据交集结果判定是否存在僵尸网络。
进一步地,所述监控核心交换机的流量流向包括:获取核心交换机的镜像流量,将网络流量产生的会话数据导入数据库,并以网络会话为单位制作流量数据包。
进一步地,所述会话数据包括源IP、源端口、目标IP、目标端口、会话协议、抓包时间;和/或,
将源IP、源端口、目标IP、目标端口、会话协议五个因素均相同的网络会话判定为同一网络会话。
进一步地,所述对流量数据包按时间顺序进行分段,得到多个网络会话区间段包括:
步骤101按时间顺序将若干个流量数据包进行分段,形成网络会话区间段,统计每个所述网络会话区间段内同一网络会话的的平均会话时间间隔和会话次数,形成网络会话区间段数据,并将其导入搜索服务器数据库。
进一步地,所述对流量数据包传输特性进行分段式聚类包括:
步骤102在所述搜索服务器数据库内对所述网络会话区间段数据进行聚类,将聚类结果存入关系型数据库;
步骤103将首段网络会话区间段的聚类结果本身作为交集结果;
将第i段聚类结果与第i-1段的交集结果取交集分析,计算源IP相似度,相似度大于50%的,保留为交集结果;
连续求取三次交集后,若相似度连续均为100%,判断该类IP为僵尸网络;将下一个网络会话区间段设置为首段网络会话区间段,重复步骤103。
进一步地,所述聚类结果包括聚类类别标识号、源IP、源端口、网络会话区间段标识号。
进一步地,所述源IP相似度为第i段聚类结果与第i-1段的交集结果中的相同IP数与交集结果中正在比较的类别IP总数的商。
进一步地,每段所述网络会话区间段内的流量数据包数量相同。
进一步地,所述数据库为Redis数据库;
将所述Redis数据库中的数据按分段导入Elasticsearch数据库中;
导入Elasticsearch数据库中的统计数据包括源IP、源端口、目标IP、目标端口、会话协议、平均会话时间间隔、会话次数;
所述关系型数据库为MySQL关系型数据库。
进一步地,所述聚类为系统聚类方法、K-means聚类算法、K-中心点聚类算法中的一种。
本发明的有益效果是:
本发明实施例的基于网络流量流向相似性的僵尸网络检测方法,以网络流量数据为主要分析数据来源,无需增加其他配置,利用多次迭代聚类求交集的方式,在线、动态、主动并快速的发现网络流量之间的相似性,以此作为判定僵尸网络的依据,保障网络信息安全。
附图说明
图1为本发明一实施例的基于网络流量流向相似性的僵尸网络检测流程示意图;
图2为本发明又一实施例的基于网络流量流向相似性的僵尸网络判定模式图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明一实施例公开了一种基于网络流量流向相似性的僵尸网络检测方法,其通过监控核心交换机的流量流向,对流量数据包按时间顺序进行分段,得到多个网络会话区间段,对不同段的聚类结果求取交集,并根据交集结果判定是否存在僵尸网络。
本实施例利用了僵尸网络的特性,通过对核心交换机的监控,实现了僵尸网络的检测,以网络流量数据为主要分析数据来源,无需增加其他配置,利用多次迭代聚类求交集的方式,在线、动态、主动并快速的发现网络流量之间的相似性,以此作为判定僵尸网络的依据,保障网络信息安全。
在本发明的一些实施方式中,如图1所示,所述监控核心交换机的流量流向包括:可通过网络流量采集模块获取核心交换机的镜像流量,将网络流量产生的会话数据导入数据库,并以网络会话为单位制作流量数据包。
上述实施方式中,所述会话数据可包括源IP、源端口、目标IP、目标端口、会话协议、抓包时间;将源IP、源端口、目标IP、目标端口、会话协议五个因素均相同的网络会话判定为同一网络会话。通过定义同一网络会话,将觉有特定特征的会话集合为一体,减少处理量。流量数据包是网络通信传输中的数据单位,本发明所涉及的网络会话,是带有网络通信流向方向的数据包。一条流量数据包代表一条网络会话。
本发明的一些实施例中,如图1所示,在上述实施例的基础上,所述流量数据包按时间顺序进行分段,得到多个网络会话区间段包括:
步骤101按时间顺序将若干个流量数据包进行分段,形成网络会话区间段,通过网络流量入库模块统计每个所述网络会话区间段内同一网络会话的的平均会话时间间隔和会话次数,形成网络会话区间段数据,并将其导入搜索服务器数据库。
本发明的一些实施例中,如图1,图2所示,所述对流量数据包传输特性进行分段式聚类包括:
步骤102通过网络会话聚类模块在所述搜索服务器数据库内对所述网络会话区间段数据进行聚类,可对源IP、源端口确定的唯一标识进行分类,聚类统计量可包括目标地址与目标端口与协议三者的确定的唯一值,平均会话时间间隔,会话次数,将聚类结果存入关系型数据库;
步骤103通过僵尸网络发现模块进行交集分析,发现僵尸网络:
将首段网络会话区间段的聚类结果本身作为交集结果;
将第i段聚类结果与第i-1段的交集结果取交集分析,计算源IP相似度,相似度大于50%的,保留为交集结果;
连续求取三次交集后,若相似度连续均为100%,判断该类IP为僵尸网络,将结果存入数据库;将下一个网络会话区间段设置为首段网络会话区间段,重复步骤103。
上述实施例的一个优选的实施方式中,所述聚类结果包括聚类类别标识号、源IP、源端口、网络会话区间段标识号。
上述实施例中,源IP相似度为第i段聚类结果与第i-1段的交集结果中的相同IP数与交集结果中正在比较的类别IP总数的商。
优选地,为便于聚类分析,保证结果的稳定性和可靠性,每段所述网络会话区间段内的流量数据包数量相同。
本发明的一些实施例中,所述数据库为Redis数据库,其他具有类似功能的用于缓存的软件也可用于本发明;
将所述Redis数据库中的数据按分段导入Elasticsearch数据库中;
导入Elasticsearch数据库中的统计数据包括源IP、源端口、目标IP、目标端口、会话协议、平均会话时间间隔、会话次数;
所述关系型数据库为MySQL关系型数据库。
所述聚类为系统聚类方法、K-means聚类算法、K-中心点聚类算法中的一种。
实施例1
如图1所示,本实施例公开了一种基于网络流量流向相似性的僵尸网络发现方法,其具体包括:
S1,网络流量采集模块,获取网络中核心交换机镜像流量,利用网络流量采集程序将网络流量产生的会话数据导入到Redis数据库中,此时Redis中存储的会话数据包括源IP、源端口、目标IP、目标端口、会话协议、抓包时间,判定源IP、源端口、目标IP、目标端口、会话协议五个因素均相同的网络会话为同一个网络会话。其中,Redis是一种基于key-value的内存数据库系统,由于网络流量数据一般较大,本实施例利用Redis作为数据中间件缓存,进而将Redis中的数据定期导入到其他数据库中用于分析计算,缓解其他数据库的读写压力,提高网络流量采集模块的性能。流量数据包是网络通信传输中的数据单位,本发明涉及的网络会话,是带有网络通信流向方向的数据包,一个流量数据包表示一条网络会话。
S2,网络流量入库模块,按照时间先后顺序,配置网络流量分段数据包数量,默认可以每1万个数据包为一段网络会话区间。统计一段网络会话区间内,同一个网络会话的平均会话时间间隔、会话次数。
S3,将一段网络会话区间内的流量统计项添加数据包分段标识后,利用Logstash程序导入到Elasticsearch数据库中,导入Elasticsearch中的统计数据包括源IP、源端口、目标IP、目标端口、会话协议、平均会话时间间隔、会话次数。
S4,一旦一段网络会话区间内的流量数据导入Elasticsearch完毕后,即可同时开启网络会话聚类分析功能,同时继续统计下一段网络会话数据并准备下一次入库及聚类统计。
S5,网络会话聚类模块,对来自同一段内的网络会话数据,利用系统聚类方法进行聚类,对源IP、源端口确定的唯一标识进行分类,其中聚类统计量包括目标地址与目标端口与协议三者的确定的唯一值,平均会话时间间隔,会话次数。
S6,将S5中的聚类结果存入MySQL关系型数据库中,结果至少包括聚类类别标识号、源IP、源端口,网络会话区间段标识号。
S7,对下一段网络会话数据按照S5、S6描述的方法再次聚类并将聚类结果存入MySQL中。
本实施例在聚类时采用的是系统聚类方法,可实现类似功能的还包括K-means聚类算法、K-中心点聚类算法等分类方法。本实施例存储聚类分析结果的数据库是MySQL,类似功能的数据库软件在本发明中同样适用。
S8,僵尸网络发现模块,对存储在MySQL中的聚类结果取交集分析,具体的,如图2所示,首段网络会话聚类结果求取交集结果为其本身,随后将后一次聚类结果与前一次交集结果再次取交集,按照类别内源IP相似个数高于50%的方式保留交集,连续求取三次交集后,若某个类别源IP相似个数连续均为100%,则判断该类别内的源IP所在的终端设备为僵尸网络,若三次交集内不存在源IP相似个数连续均为100%,则从第二个数据包重新开始将其设置为首次交集,再次求取三次交集。
其中,IP相似度计算方式为聚类结果每个类别与交集结果中每个类别比较,其中至少保证每个类别中的IP数大于2才能参与计算,计算双方存在相同IP数与交集结果中正在比较类别IP总数的商,即为相似度,当相似度高于50%时,保留聚类结果与交集结果的交集。
S9,若连续三次求交集结果中不存在源IP相似度连续为100%,则从相似度无100%的那一次开始,将该段数据包聚类结果初始化为新的交集结果,重新开始计算,以保证统计结果的准确性。
其中,计算连续三次求交集结果的相似度时,不包括首次将聚类结果自身当做交集的这次计算,而统计该次计算后的连续三次计算。
S10,发现僵尸网络后,将僵尸网络存储到MySQL数据库中,并重新开始获取运行僵尸网络发现模块,进行实时监控。
综上所述,本发明实施例公开的基于网络流量流向相似性的僵尸网络检测方法,可以在线、动态、主动的发现网络中可能存在的僵尸网络,无需改变现有网络拓扑架构、无需收集网络中全部终端设备的状态,能够通过网络流量的流向相似性实时检测未知的僵尸网络,提高发现被感染终端设备的效率和准确性。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;如果不脱离本发明的精神和范围,对本发明进行修改或者等同替换,均应涵盖在本发明权利要求的保护范围当中。
Claims (10)
1.一种基于网络流量流向相似性的僵尸网络检测方法,其特征在于,通过监控核心交换机的流量流向,对流量数据包按时间顺序进行分段,得到多个网络会话区间段,对不同段的聚类结果求取交集,并根据交集结果判定是否存在僵尸网络。
2.根据权利要求1所述的方法,其特征在于,所述监控核心交换机的流量流向包括:获取核心交换机的镜像流量,将网络流量产生的会话数据导入数据库,并以网络会话为单位制作流量数据包。
3.根据权利要求2所述的方法,其特征在于,所述会话数据包括源IP、源端口、目标IP、目标端口、会话协议、抓包时间;和/或,
将源IP、源端口、目标IP、目标端口、会话协议五个因素均相同的网络会话判定为同一网络会话。
4.根据权利要求2所述的方法,其特征在于,所述对流量数据包按时间顺序进行分段,得到多个网络会话区间段包括:
步骤101 按时间顺序将若干个流量数据包进行分段,形成网络会话区间段,统计每个所述网络会话区间段内同一网络会话的的平均会话时间间隔和会话次数,形成网络会话区间段数据,并将其导入搜索服务器数据库。
5.根据权利要求2或4所述的方法,其特征在于,所述对流量数据包传输特性进行分段式聚类包括:
步骤102 在所述搜索服务器数据库内对所述网络会话区间段数据进行聚类,将聚类结果存入关系型数据库;
步骤103 将首段网络会话区间段的聚类结果本身作为交集结果;
将第i段聚类结果与第i-1段的交集结果取交集分析,计算源IP相似度,相似度大于50%的,保留为交集结果;
连续求取三次交集后,若相似度连续均为100%,判断该类IP为僵尸网络;将下一个网络会话区间段设置为首段网络会话区间段,重复步骤103。
6.根据权利要求5所述的方法,其特征在于,所述聚类结果包括聚类类别标识号、源IP、源端口、网络会话区间段标识号。
7.根据权利要求5所述的方法,其特征在于,所述源IP相似度为第i段聚类结果与第i-1段的交集结果中的相同IP数与交集结果中正在比较的类别IP总数的商。
8.根据权利要求1所述的方法,其特征在于,每段所述网络会话区间段内的流量数据包数量相同。
9.根据权利要求5所述的方法,其特征在于,所述数据库为Redis数据库;
将所述Redis数据库中的数据按分段导入Elasticsearch数据库中;
导入Elasticsearch数据库中的统计数据包括源IP、源端口、目标IP、目标端口、会话协议、平均会话时间间隔、会话次数;
所述关系型数据库为MySQL关系型数据库。
10.根据权利要求5所述的方法,其特征在于,所述聚类为系统聚类方法、K-means聚类算法、K-中心点聚类算法中的一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810871502.XA CN109150859B (zh) | 2018-08-02 | 2018-08-02 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810871502.XA CN109150859B (zh) | 2018-08-02 | 2018-08-02 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109150859A true CN109150859A (zh) | 2019-01-04 |
| CN109150859B CN109150859B (zh) | 2021-03-19 |
Family
ID=64799624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810871502.XA Active CN109150859B (zh) | 2018-08-02 | 2018-08-02 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150859B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031006A (zh) * | 2019-11-22 | 2020-04-17 | 国网浙江省电力有限公司绍兴供电公司 | 一种基于网络流的智能电网通信异常检测方法 |
| CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
| CN113162818A (zh) * | 2021-02-01 | 2021-07-23 | 国家计算机网络与信息安全管理中心 | 一种分布式流量采集分析的实现方法及系统 |
| CN113271303A (zh) * | 2021-05-13 | 2021-08-17 | 国家计算机网络与信息安全管理中心 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
| CN113794719A (zh) * | 2021-09-14 | 2021-12-14 | 中国工商银行股份有限公司 | 一种基于Elasticsearch技术网络异常流量分析方法、装置和电子设备 |
| CN113794601A (zh) * | 2021-08-17 | 2021-12-14 | 中移(杭州)信息技术有限公司 | 网络流量处理方法、装置和计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
| US8516585B2 (en) * | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
| CN103532969A (zh) * | 2013-10-23 | 2014-01-22 | 国家电网公司 | 一种僵尸网络检测方法、装置及处理器 |
| CN103701814A (zh) * | 2013-12-27 | 2014-04-02 | 北京启明星辰信息技术股份有限公司 | 一种基于行为检测实现网络流量识别的方法及装置 |
| CN104021348A (zh) * | 2014-06-26 | 2014-09-03 | 中国人民解放军国防科学技术大学 | 一种隐匿p2p程序实时检测方法及系统 |
-
2018
- 2018-08-02 CN CN201810871502.XA patent/CN109150859B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8516585B2 (en) * | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
| CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
| CN103532969A (zh) * | 2013-10-23 | 2014-01-22 | 国家电网公司 | 一种僵尸网络检测方法、装置及处理器 |
| CN103701814A (zh) * | 2013-12-27 | 2014-04-02 | 北京启明星辰信息技术股份有限公司 | 一种基于行为检测实现网络流量识别的方法及装置 |
| CN104021348A (zh) * | 2014-06-26 | 2014-09-03 | 中国人民解放军国防科学技术大学 | 一种隐匿p2p程序实时检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 郭尚瓒: "基于流量行为特征的僵尸网络研究与检测", 《中国优秀硕士学位论文全文库 信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031006A (zh) * | 2019-11-22 | 2020-04-17 | 国网浙江省电力有限公司绍兴供电公司 | 一种基于网络流的智能电网通信异常检测方法 |
| CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
| CN111935170B (zh) * | 2020-08-20 | 2022-06-07 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
| CN113162818A (zh) * | 2021-02-01 | 2021-07-23 | 国家计算机网络与信息安全管理中心 | 一种分布式流量采集分析的实现方法及系统 |
| CN113271303A (zh) * | 2021-05-13 | 2021-08-17 | 国家计算机网络与信息安全管理中心 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
| CN113794601A (zh) * | 2021-08-17 | 2021-12-14 | 中移(杭州)信息技术有限公司 | 网络流量处理方法、装置和计算机可读存储介质 |
| CN113794601B (zh) * | 2021-08-17 | 2024-03-22 | 中移(杭州)信息技术有限公司 | 网络流量处理方法、装置和计算机可读存储介质 |
| CN113794719A (zh) * | 2021-09-14 | 2021-12-14 | 中国工商银行股份有限公司 | 一种基于Elasticsearch技术网络异常流量分析方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109150859B (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150859A (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
| CN108900541B (zh) | 一种针对云数据中心sdn安全态势感知系统及方法 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN107690776A (zh) | 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置 | |
| CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
| CN110213212A (zh) | 一种设备的分类方法和装置 | |
| CN110120948A (zh) | 基于无线和有线数据流相似性分析的非法外联监测方法 | |
| CN110324327B (zh) | 基于特定企业域名数据的用户及服务器ip地址标定装置及方法 | |
| CN106452955A (zh) | 一种异常网络连接的检测方法及系统 | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| CN111953552A (zh) | 数据流的分类方法和报文转发设备 | |
| Zhao | Network intrusion detection system model based on data mining | |
| Wang et al. | Source-based defense against DDoS attacks in SDN based on sFlow and SOM | |
| CN110225009B (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
| Perona et al. | Service-independent payload analysis to improve intrusion detection in network traffic | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| CN108667804A (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| CN112235254A (zh) | 一种高速主干网中Tor网桥的快速识别方法 | |
| Qin et al. | MUCM: multilevel user cluster mining based on behavior profiles for network monitoring | |
| CN113726809B (zh) | 基于流量数据的物联网设备识别方法 | |
| CN108540471A (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
| Long et al. | Botnet Detection Based on Flow Summary and Graph Sampling with Machine Learning | |
| CN108667685A (zh) | 移动应用网络流量聚类装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100195 Room 301, floor 3, building 103, No. 3, minzhuang Road, Haidian District, Beijing Patentee after: Mixin (Beijing) Digital Technology Co.,Ltd. Address before: 100093 301, 3rd floor, building 103, 3 minzhuang Road, Haidian District, Beijing Patentee before: BEIJING BEIXINYUAN INFORMATION SECURITY TECHNOLOGY CO.,LTD. |