CN109391599A - 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 - Google Patents
一种基于https流量特征分析的僵尸网络通讯信号的检测系统 Download PDFInfo
- Publication number
- CN109391599A CN109391599A CN201710680586.4A CN201710680586A CN109391599A CN 109391599 A CN109391599 A CN 109391599A CN 201710680586 A CN201710680586 A CN 201710680586A CN 109391599 A CN109391599 A CN 109391599A
- Authority
- CN
- China
- Prior art keywords
- https
- flow
- communication
- analysis
- botnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统,该发明基于HTTPS僵尸主机与命令与控制(C&C)服务器之间通信流量的周期特征、HTTPS数据包的流量特征,通过机器学习的方式,训练识别正常HTTPS和异常的僵尸网络通信信号的分类器。
Description
技术领域
本发明涉及一种互联网通信技术领域,特别涉及一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统。
背景技术
僵尸网络(botnet)是黑客利用僵尸程序控制大量足记所形成的的被控主机群,攻击者可以利用僵尸网络进行网络攻击。.内网中的主机分别被感染成为IRC2bot,HTTP2bot;这些僵尸主机利用外部的DNSserver解析它们的C&CServer(命令与控制服务器)的IP地址,并连接到IRCServer或者WEBServer等待BotnetController的命令,并最后向某受害主机发起攻击。
如今,Web流量已经成为与各种受感染主机进行通信的理想选择原因。首先,即使是部署了安全监控的企业网络也没有那么严格的针对HTTP/HTTPS流量的监察措施,因为他们必须允许员工们浏览网页。
此外,HTTP/HTTPS通道具相较于流行的通讯协议的优势,例如针对于P2P通信,HTTP/HTTPS更易于使用。IRC通信是通过使用IP和域名,这增加了通过受感染的主机找到C&C服务器的可能性。另外,P2P和IRC协议的通讯是可疑的,一般被公司阻断。最后,HTTP/HTTPS通道可以认为是隐蔽的,因为在日常的网页浏览过程中有大量的HTTPS请求和响应。例如,一个用户点击加载一个流行的瑞士新闻网,http://www.20min.ch,触发大约400个HTTP/HTTPS请求。因此,恶意流量可以隐藏在良性流量之内,从而有效避免检测。
发明内容
为克服现有技术的不足,本发明通过分析僵尸主机与命令与控制(C&C)服务器之间通信流量的周期特征、HTTPS数据包的流量特征,训练识别正常HTTPS和异常的僵尸网络通信信号的分类器。
本发明包括以下模块:基于名单的匹配过滤模块、基于机器学习算法的异常流量识别器模块、基于专家分析的增强模块。
1.基于名单的匹配过滤模块分为两个部分:
1)白名单部分是由原始的专家分析和公司的经验积累得到的一组正常可信的域名和IP地址列表,未知的HTTPS流量首先通过匹配过滤模块,如果目的IP地址或者请求域名属于白名单,则过滤模块放行该流量数据包。
2)黑名单部分是由原始专家分析和安全公司识别出的一组高度可疑的C&C服务器域名和地址列表,未知的HTTPS流量首先通过匹配过滤模块,如果目的IP地址或者请求域名属于黑名单,则过滤模块阻断该通信流量和禁止该流量的来源内网地址的所有数据包传输,并且向控制中心发出警报,将发出该流量的来源内网地址列为可疑的C&C客户端。
通过专家分析和机器学习模型判断,随时间不停积累下的正常和威胁的域名和IP地址会在每个更新周期内,提交到匹配数据库,添加到白名单和黑名单中,形成动态匹配过滤机制。
2.基于机器学习算法的异常流量识别器模块:
基于名单的匹配过滤模块根据黑白名单列表,过滤大量的正常HTTPS流量,一部分的已知C&C通信流量被识别并提交警报。没有被匹配的HTTPS数据包,首先按照通信的来往IP地址进行划分,划分为同一通信来往地址的HTTPS数据包,分析其通信的周期性和每次通信的数据量大小,分别计算出通信的周期度和每次通信数据包的平均大小。
除了计算周期度和平均包大小,继续提取出HTTPS数据包的部分标签字段作为特征,针对C&C通信伪装的HTTPS流量,与正常的流量有所不同,例如HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页,简单的伪装C&C通信的HTTPS数据包不包含referer标签项。又比如一般的https通信是保持对话,connection字段为keep-alive,但C&C通信一般为beacon(信标)信号,周期性的心跳信号,一般connection为close。因此,经过特征筛选后,本文最终确定选取的特征包括但不限于有:referer标签项、connection字段、url的长度、http的方法(GET、post)、通信的周期度、域名的年龄。
分类器采用返回评分的机器学习算法,以通信周期度和平均包大小,以及设计提取的各个特征,变量通过标准化变换去除量纲后,作为分类器的输入特征通过分类器得到危险评分。危险评分低于安全底线阈值时,判断为正常流量,如果危险评分高于危险阈值时,判断为异常流量。如果评分介于安全底线阈值和危险阈值之间,判断为可疑流量,需要通过专家分析继续判断
3.基于专家分析的增强模块:
经过基于机器学算法的异常流量识别模块后,流量得分介于危险阈值和安全底线的流量,属于可疑。可疑流量需要通过专家分析,进行标注。安全专家通过分析HTTPS流量的内容,检查通信来源的内网主机,取证调查,发现和检测出被妥协的主机,真正确认出C&C攻击。
原始存储在训练集的数据,都是原始的数据,不断更新的C&&攻击,需要更新和添加新标注标的流量样本。更新训练集,可以选择性地删除了一系列得到的流量,通过得分极低和得分极高的样本,作为具有代表性的正常流量样本或者代表性的C&C通信样本(威胁样本),并且加入新判断的C&C样本和正常流量样本,重新作为带标签的训练集,重新对分类器进行训练。
更新的训练样本库后,还可以根据专家分析识别出C&C通信地址,将对应的C&C服务器域名和IP地址列入黑名单中,加入基于名单的匹配过滤模块中,增加数据库的威胁域名和IP的积累。
根据本发明涉及的内容,实现步骤如下:
1)针对已有的C&C通信流量和正常通信流量,提取流量特征,训练初始的异常流量分类器;
2)建立域名和IP的白名单和黑名单;
3)通过部署机器,获取从被监控网络出口的HTTPS流量;
4)未知的HTTPS经过匹配过滤模块,正常流量被放行,异常流量被截断并触发报警,没有被匹配的流量进入识别器模块;
5)识别器模块,首先提取出流量的特征,接着分析出正常和威胁流量,评分介于两个阈值中的可疑流量,进入专家分析;
6)专家分析,将可疑流量进行标识;
7)专家分析得到的新样本,加入原有的训练集,在每个工作周期内重新训练分类器;
8)专家分析得到新样本,提取出新的C&C服务器的IP和域名地址,加入匹配过滤模块的黑名单中;
9)实时更新匹配过滤的名单列表。
本发明本发明技术方案带来的有益效果:
本发明不仅考虑了C&C通讯信号的周期性,还考虑了HTTPS流量的特征;利用机器学习的方式,不需要事先制定匹配规则,不需要确定通讯周期度的阈值、数据包的平均值大小的阈值,能够通过算法自动建模来识别通讯模式;相较于仅仅考虑通讯周期性和数据包平均大小的方式,预测使用的输入多,分类器的输入特征数更多,考虑的维度更广。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的整体流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施方案:
步骤1:建立流量检测系统的第一步即为收集带标签的HTTPS流量数据。提取出HTTPS流量的特征:referer标签项、connection字段、url的长度、http的方法(GET、post)、通信的周期度、域名的年龄。将正常的HTTPS流量和确认为C&C通信的HTTPS流量,一同作为训练集,训练初代分类器。
步骤2:通过公司原有的积累,在匹配过滤模块的白名单加入的是公司产品收集的正常域名和IP地址,通过提前过滤掉正常的流量,使得需要分类器过滤的流量大大减少,提高流量识别的速度。域名匹配的方式,使用正则匹配方式,提取原始流量的IP地址或者提取域名的根域名和一级域名。
步骤3:在内部局域网网关,架设HTTPS/HTTP流量的数据包捕捉机器,捕捉特定的网络数据出口处的HTTPS数据流。本发明针对的是C&C通讯信号的类型是HTTPS/HTTP,因此数据包捕捉器会过滤其他数据包。
步骤4:将步骤3收集到的HTTPS数据包送入匹配过滤模块。提取出送入的HTTPS数据包,如果HTTPS的目的IP、域名地址属于白名单,过滤模块放行该流量。如果HTTPS的目的IP、域名地址属于黑名单,过滤模块阻断该流量通讯,并且针对相应的C&C服务器地址,找到恶意软件的地址。如果HTTPS的目的IP、域名地址是不属于名单中,则该地址会被送到第二个模块:识别器模块。
步骤5:步骤1中得到了初代分类器,该分类器可以应用于第一个工作周期的未知流量分类,判断其为正常还是C&C通讯信号。特征提取:referer标签项、connection字段、url的长度、http的方法(GET、post)、通信的周期度、域名的年龄。该分类具有的特性是返回一个介于0-1的概率值,代表了该流量的风险程度,0是最低,1是最危险,我们通常设定两个阈值,低的作为安全底线阈值,流量通过分类器后的评分低于该评分则加入到正常的流量中。高的阈值则作为危险阈值,超过危险阈值时,触发系统警报。介于两个阈值中间时,流量处于可疑标签,不能再高可信的条件下确定该流量的正确标签,这样我们需要重新提出让专家分析该流量的标签,将可疑的流量送入基于专家分析的增强模块。
步骤6:步骤5收集到的可疑流量,通过专家的取证重新分析,分析对应域名和通讯的可疑度。通过安全分析后,将可疑的未知流量加上标签,通过这样的方式增加了更多的训练样本和C&C服务器地址。
步骤7:设置工作周期长度,一个工作周期积累的新训练样本,与原来的分类器训练样本结合,通过机器学习方式重新筛选有价值的训练集:。调节分类器的参数,重新训练分类器。
步骤8:专家分析识别出可疑的未知流量中,存在的C&C服务器域名和IP地址,通过添加该域名和IP地址,从而补充和更新匹配过滤模块的黑名单中。
步骤9:更新匹配模块的名单列表的频率相较于分类器更新更快,接近实时更新匹配的名单列表。
举例说明:
为了表述方便,本发明实例针对192.168.1.0/24的目标网络范围,对本发明的基于HTTPS流量特征分析的僵尸网络通讯信号的检测方法进行说明。本实例的步骤如下:
步骤1:建立流量检测系统的第一步即为收集带标签的HTTPS流量数据,使用一份含由C&C通信流量和正常HTTPS流量的训练集,提取的特征:referer标签项、connection字段、url的长度、http的方法(GET、post)、通信的平均周期、域名的年龄。将正常的HTTPs流量和确认为C&C通信的HTTPS流量,一同作为训练集,训练初代分类器。
步骤2:在匹配过滤模块的白名单加入的是安全产品收集验证过后的正常域名和IP地址,通过提前过滤掉正常的流量,使得需要分类器过滤的流量大大减少,提高流量识别的速度。域名匹配的方式,使用正则匹配方式,提取原始流量的IP地址或者提取域名的根域名和一级域名,例如www.baidu.com和zhidao.baidu.com都会匹配到baidu.com。
步骤3:在内部局域网网关,架设HTTPS/HTTP流量的数据包捕捉机器,捕捉特定的网络数据出口处的HTTPs数据流。本发明针对的是C&C通讯信号的类型是HTTPS/HTTP,因此数据包捕捉器会过滤其他数据包。
步骤4:将步骤3收集到的HTTPS数据包送入匹配过滤模块。提取出送入的HTTPS数据包,如果HTTPS的目的IP、域名地址属于白名单,过滤模块放行该流量。例如BAIDU>COM通过白名单过滤。如果HTTPS的目的IP、域名地址属于黑名单,过滤模块阻断该流量通讯,并且针对相应的C&C服务器地址,找到恶意软件的地址。例如fryjntzfvti.biz为黑名单中已知的C&C服务器域名,触发警报。如果HTTPS的目的IP、域名地址是不属于名单中,则该地址会被送到第二个模块:识别器模块。
步骤5:步骤1中得到了初代分类器,该分类器可以应用于第一个工作周期的未知流量分类,判断其为正常还是C&C通讯信号。特征提取:referer标签项、connection字段、url的长度、http的方法(GET、post)、通信的周期度、域名的年龄。该分类具有的特性是返回一个介于0-1的概率值,代表了该流量的风险程度,0是最低,1是最危险,我们通常设定两个阈值,低的作为安全底线阈值,流量通过分类器后的评分低于该评分则加入到正常的流量中。高的阈值则作为危险阈值,超过危险阈值时,触发系统警报。介于两个阈值中间时,流量处于可疑标签,不能再高可信的条件下确定该流量的正确标签,这样我们需要重新提出让专家分析该流量的标签,将可疑的流量送入基于专家分析的增强模块。
步骤6:步骤5收集到的可疑流量,通过专家的取证重新分析,分析对应域名和通讯的可疑度。通过安全分析后,将可疑的未知流量加上标签,通过这样的方式增加了更多的训练样本和C&C服务器地址。
步骤7:设置工作周期长度,例如设置为12个小时。一个工作周期积累的新训练样本,与原来的分类器训练样本结合,通过机器学习的方式重新筛选有价值的训练集:。调节分类器的参数,重新训练分类器。
步骤8:专家分析识别出可疑的未知流量中,存在的C&C服务器域名和IP地址,通过添加该域名和IP地址,从而补充和更新匹配过滤模块的黑名单中。
步骤9:更新匹配模块的名单列表的频率相较于分类器更新更快。接近实时更新匹配的名单列表,新的C&C服务器地址的确认,加入黑名单库帮助匹配系统使用分析结果来阻断C&C通信,快速响应威胁。
以上对本发明实施例所提供的一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (4)
1.一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统,该发明基于HTTPS僵尸主机与命令与控制(C&C)服务器之间通信流量的周期特征、HTTPS数据包的流量特征,通过机器学习的方式,训练识别正常HTTPS和异常的僵尸网络通信信号的分类器;该发明包含基于名单的匹配过滤模块、基于机器学习算法的异常流量识别器模块、基于专家分析的增强模块。
2.根据权利要求1所述的一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统,其特征在于:基于名单的匹配过滤模块,通过专家分析和机器学习模型判断,随时间不停积累下的正常和威胁的域名和IP地址会在每个更新周期内,提交到匹配数据库,添加到白名单和黑名单中,形成动态的匹配过滤机制。
3.根据权利要求1所述的一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统,其特征在于:基于机器学习算法的异常流量识别器模块,根据黑白名单列表,过滤大量的正常HTTPS流量,一部分的已知C&C通信流量被识别并提交警报;未知的HTTPS经过匹配过滤模块,正常流量被放行,异常流量被截断并触发报警,没有被匹配的流量进入识别器模块;识别器提取出流量的特征,分析出正常和威胁流量,评分介于两个阈值中的可疑流量,进入专家分析。
4.根据权利要求1中所述的一种基于HTTPS流量特征分析的僵尸网络通讯信号的检测系统,其特征在于:基于专家分析的增强模块,流量得分介于危险阈值和安全底线的流量,属于可疑。可疑流量需要通过专家分析,进行标注。安全专家通过分析HTTPS流量的内容,检查通信来源的内网主机,取证调查,发现和检测出被妥协的主机,真正确认出C&C攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710680586.4A CN109391599A (zh) | 2017-08-10 | 2017-08-10 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710680586.4A CN109391599A (zh) | 2017-08-10 | 2017-08-10 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109391599A true CN109391599A (zh) | 2019-02-26 |
Family
ID=65414154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710680586.4A Pending CN109391599A (zh) | 2017-08-10 | 2017-08-10 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109391599A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149317A (zh) * | 2019-04-24 | 2019-08-20 | 南京邮电大学 | 异常网络流量检测装置 |
| CN110149315A (zh) * | 2019-04-24 | 2019-08-20 | 南京邮电大学 | 异常网络流量检测方法、可读存储介质和终端 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
| CN110874646A (zh) * | 2020-01-16 | 2020-03-10 | 支付宝(杭州)信息技术有限公司 | 一种联邦学习的异常处理方法、装置及电子设备 |
| CN110912909A (zh) * | 2019-11-29 | 2020-03-24 | 北京工业大学 | 一种针对dns服务器的ddos攻击检测方法 |
| CN112257783A (zh) * | 2020-10-22 | 2021-01-22 | 北京中睿天下信息技术有限公司 | 僵尸网络流量的分类方法、装置和电子设备 |
| CN112311721A (zh) * | 2019-07-25 | 2021-02-02 | 深信服科技股份有限公司 | 一种检测下载行为的方法及装置 |
| CN113141375A (zh) * | 2021-05-08 | 2021-07-20 | 国网新疆电力有限公司喀什供电公司 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113890746A (zh) * | 2021-08-16 | 2022-01-04 | 曙光信息产业(北京)有限公司 | 攻击流量识别方法、装置、设备以及存储介质 |
| WO2022021897A1 (zh) * | 2020-07-27 | 2022-02-03 | 深信服科技股份有限公司 | 一种报文检测方法、设备及可读存储介质 |
| CN115412366A (zh) * | 2022-10-28 | 2022-11-29 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
| CN116614262A (zh) * | 2023-04-27 | 2023-08-18 | 华能信息技术有限公司 | 一种隐蔽网络通道检测方法 |
| WO2024000903A1 (zh) * | 2022-06-30 | 2024-01-04 | 方未科技(荷兰) | 一种流量检测方法、装置、设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| US20140047543A1 (en) * | 2012-08-07 | 2014-02-13 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting http botnet based on densities of web transactions |
| CN104618377A (zh) * | 2015-02-04 | 2015-05-13 | 上海交通大学 | 基于NetFlow的僵尸网络检测系统与检测方法 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
-
2017
- 2017-08-10 CN CN201710680586.4A patent/CN109391599A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| US20140047543A1 (en) * | 2012-08-07 | 2014-02-13 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting http botnet based on densities of web transactions |
| CN104618377A (zh) * | 2015-02-04 | 2015-05-13 | 上海交通大学 | 基于NetFlow的僵尸网络检测系统与检测方法 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| MS.AMRUTA KAPRE,MRS B.ADMAVATHI: ""Adaptive behaviour pattern based botnet detection using traffic analysis and flow interavals"", 《INTERNATIONAL CONFERENCE ON ELECTRONICS,COMMUNICATION AND AEROSPACE TECHNOLOGY ICECA 2017》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149315A (zh) * | 2019-04-24 | 2019-08-20 | 南京邮电大学 | 异常网络流量检测方法、可读存储介质和终端 |
| CN110149317A (zh) * | 2019-04-24 | 2019-08-20 | 南京邮电大学 | 异常网络流量检测装置 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
| CN112311721A (zh) * | 2019-07-25 | 2021-02-02 | 深信服科技股份有限公司 | 一种检测下载行为的方法及装置 |
| CN112311721B (zh) * | 2019-07-25 | 2022-11-22 | 深信服科技股份有限公司 | 一种检测下载行为的方法及装置 |
| CN110912909A (zh) * | 2019-11-29 | 2020-03-24 | 北京工业大学 | 一种针对dns服务器的ddos攻击检测方法 |
| CN110874646A (zh) * | 2020-01-16 | 2020-03-10 | 支付宝(杭州)信息技术有限公司 | 一种联邦学习的异常处理方法、装置及电子设备 |
| CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
| WO2022021897A1 (zh) * | 2020-07-27 | 2022-02-03 | 深信服科技股份有限公司 | 一种报文检测方法、设备及可读存储介质 |
| CN114070899B (zh) * | 2020-07-27 | 2023-05-12 | 深信服科技股份有限公司 | 一种报文检测方法、设备及可读存储介质 |
| CN114070899A (zh) * | 2020-07-27 | 2022-02-18 | 深信服科技股份有限公司 | 一种报文检测方法、设备及可读存储介质 |
| CN112257783A (zh) * | 2020-10-22 | 2021-01-22 | 北京中睿天下信息技术有限公司 | 僵尸网络流量的分类方法、装置和电子设备 |
| CN113141375A (zh) * | 2021-05-08 | 2021-07-20 | 国网新疆电力有限公司喀什供电公司 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN113890746A (zh) * | 2021-08-16 | 2022-01-04 | 曙光信息产业(北京)有限公司 | 攻击流量识别方法、装置、设备以及存储介质 |
| CN113890746B (zh) * | 2021-08-16 | 2024-05-07 | 曙光信息产业(北京)有限公司 | 攻击流量识别方法、装置、设备以及存储介质 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113691562B (zh) * | 2021-09-15 | 2024-04-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| WO2024000903A1 (zh) * | 2022-06-30 | 2024-01-04 | 方未科技(荷兰) | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115412366A (zh) * | 2022-10-28 | 2022-11-29 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
| CN116614262A (zh) * | 2023-04-27 | 2023-08-18 | 华能信息技术有限公司 | 一种隐蔽网络通道检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109391599A (zh) | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 | |
| US11201882B2 (en) | Detection of malicious network activity | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| CN109347794A (zh) | 一种Web服务器安全防御方法 | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
| CN104618377B (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
| CN106357673A (zh) | 一种多租户云计算系统DDoS攻击检测方法及系统 | |
| CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN105049276B (zh) | 对广域网流量行为进行监测管理的方法和装置 | |
| KR20050068052A (ko) | 자동침입대응시스템에서의 위험수준 분석 방법 | |
| CN105207997B (zh) | 一种防攻击的报文转发方法和系统 | |
| CN104168272A (zh) | 一种基于通信行为聚类的木马检测方法 | |
| CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析系统及方法 | |
| CN103916288B (zh) | 一种基于网关与本地的Botnet检测方法及系统 | |
| Letteri et al. | Performance of Botnet Detection by Neural Networks in Software-Defined Networks. | |
| Wang et al. | Detecting flooding DDoS attacks in software defined networks using supervised learning techniques | |
| CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
| Jamdagni et al. | Intrusion detection using GSAD model for HTTP traffic on web services | |
| CN105187437A (zh) | 一种sdn网络拒绝服务攻击的集中式检测系统 | |
| DE202022102631U1 (de) | Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190226 |