CN109474485A - 基于网络流量信息检测僵尸网络的方法、系统及存储介质 - Google Patents

基于网络流量信息检测僵尸网络的方法、系统及存储介质 Download PDF

Info

Publication number
CN109474485A
CN109474485A CN201711393341.XA CN201711393341A CN109474485A CN 109474485 A CN109474485 A CN 109474485A CN 201711393341 A CN201711393341 A CN 201711393341A CN 109474485 A CN109474485 A CN 109474485A
Authority
CN
China
Prior art keywords
data packet
botnet
http
http data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201711393341.XA
Other languages
English (en)
Inventor
刘佳男
王文辉
李柏松
王小丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ahtech Network Safe Technology Ltd
Original Assignee
Beijing Ahtech Network Safe Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ahtech Network Safe Technology Ltd filed Critical Beijing Ahtech Network Safe Technology Ltd
Priority to CN201711393341.XA priority Critical patent/CN109474485A/zh
Publication of CN109474485A publication Critical patent/CN109474485A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于网络流量信息检测僵尸网络的方法、系统及存储介质,其中,所述方法包括:监控网关流量并抓取数据包;分析抓取的数据包并筛选出HTTP数据包;对获取的HTTP数据包进行解码;若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。本发明解决了现有僵尸网络检出率低,并且检测干扰性较大的问题。

Description

基于网络流量信息检测僵尸网络的方法、系统及存储介质
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于网络流量信息检测僵尸网络的方法、系统及存储介质。
背景技术
僵尸网络(Botnet)是采用一种或多种传播手段,使大量主机感染bot程序,从而在控制者和被控制者之间所形成的一对多的控制网络。通过僵尸网络,攻击者可以轻而易举地发起大规模分布式拒绝服务攻击(DDOS)、发送垃圾邮件、敏感信息获取、分发木马和间谍软件以及利用僵尸网络运算资源进行数字币挖矿等网络攻击,这些攻击对整个互联网生态造成了不可估量的影响和损失,而正是僵尸网络为这些网络攻击手段提供了隐蔽、便捷的平台,使攻击者能够花费很少的代价就能够控制大量的资源进行恶意攻击,对整个互联网威胁巨大。
僵尸网络根据命令与控制协议的不同主要分为三种类型:基于IRC协议的僵尸网络、基于P2P协议的僵尸网络以及基于HTTP协议的僵尸网络。僵尸网络是从IRC聊天网络中兴起的,随着互联网的发展,僵尸网络也开始应用新一代的互联网技术,衍生出了如基于HTTP协议和基于P2P协议等的僵尸网络,其危害和隐蔽型也不断增加,对于僵尸网络的检测也越来越困难。
相较于基于IRC协议的僵尸网络,基于HTTP协议的僵尸网络有着明显的优势,基于IRC协议的僵尸网络作为一种主流的僵尸网络,安全研究人员已经对其进行了很长时间的研究,对其的检测也存在很多有效的方法。而基于HTTP协议的僵尸网络流量隐蔽在正常web通信流量中,使这种类型的僵尸网络难以检测,针对这种类型的检测方式很少,检测难度也较大。
在基于HTTP协议的僵尸网络中,为了提高隐蔽性,受控主机和C&C服务器之间的通信是经过加密或混淆的,常见的对基于HTTP协议僵尸网络的检测方法是根据HTTP僵尸网络的行为进行分析,通过分析僵尸网络对C&C服务器的访问速率和周期性来进行检测,进而确定僵尸网络受控主机以及C&C服务器。这类检测方式过分地依赖于僵尸网络中受控主机的行为,由于正常的HTTP请求也能够出现类似的访问速率以及周期性,这种通过对受控主机和C&C服务器之间交互过程检测的检出率会受到正常流量的较大影响,会经常出现误报和难以检测的情况,无法高效地对僵尸网络进行检测。
发明内容
针对上述技术问题,本发明所述的技术方案通过检测僵尸网络控制者同C&C服务器的交互信息来判定是否是僵尸网络,由于这个交互过程大多是以明文的形式进行的,因此本发明所述的技术方案能够对已知僵尸网络进行准确检测,对于未知的新型僵尸网络也能够检出。
本发明采用如下方法来实现:一种基于网络流量信息检测僵尸网络的方法,包括:
监控网关流量并抓取数据包;
分析抓取的数据包并筛选出HTTP数据包;
对获取的HTTP数据包进行解码;
若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;
若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。
进一步地,所述将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配失败则将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络。
上述方法中,还包括:若判定为疑似僵尸网络,则提取并存储必要信息,并设置预警;其中,所述必要信息包括:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
更进一步地,还包括:人工对预警信息进行审计并判定是否为僵尸网络。
其中,所述对获取的HTTP数据包进行解码,具体为:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
本发明可以采用如下系统来实现:一种基于网络流量信息检测僵尸网络的系统,包括:
数据包获取模块,用于监控网关流量并抓取数据包;
数据包分析模块,用于分析抓取的数据包并筛选出HTTP数据包;
数据包解码模块,用于对获取的HTTP数据包进行解码;
控制信息匹配模块,用于若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;
回传信息匹配模块,用于若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。
进一步地,还包括:回传信息二次匹配模块,用于若所述回传信息匹配模块匹配失败后,将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络。
上述系统中,还包括:信息预警模块,用于若判定为疑似僵尸网络,则提取并存储必要信息,并设置预警;其中,所述必要信息包括:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
更进一步地,还包括:僵尸网络确认模块,用于人工对预警信息进行审计并判定是否为僵尸网络。
其中,所述数据包解码模块,具体用于:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
本发明同时给出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的基于网络流量信息检测僵尸网络的方法。
综上,本发明给出一种基于网络流量信息检测僵尸网络的方法、系统及存储介质,对于已知的僵尸网络通过直接匹配C&C服务器发送的回传信息或控制者发送的控制信息进行检测,对于未知的或新型的僵尸网络也可以通过匹配一般僵尸网络的常见关键字进行检测,相较于一般的基于HTTP协议的僵尸网络检测方法,本发明所述的方法是对C&C服务器和控制者之间未加密的信息进行检测,进而达到准确判定僵尸网络的目的。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于网络流量信息检测僵尸网络的方法实施例1流程图;
图2为本发明提供的一种基于网络流量信息检测僵尸网络的方法实施例2流程图;
图3为本发明提供的一种基于网络流量信息检测僵尸网络的系统实施例结构图。
具体实施方式
本发明给出了一种基于网络流量信息检测僵尸网络的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于网络流量信息检测僵尸网络的方法实施例1,如图1所示,包括:
S101:监控网关流量并抓取数据包;
S102:分析抓取的数据包并筛选出HTTP数据包;
S103:对获取的HTTP数据包进行解码,若HTTP数据包是请求包,则执行S104,若HTTP数据包是响应包,则执行S105;
S104:将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;
S105:将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。
优选地,所述将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配失败则将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络。
其中,所述常见关键字包括但不限于:主机的信息,例如:IP、操作系统、国家、上线状态等;也可以包括该HTTP响应中的关键字,例如:bots list,cmd shell等。
上述方法实施例中,还包括:若判定为疑似僵尸网络,则提取并存储必要信息,并设置预警;其中,所述必要信息包括:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
更优选地,还包括:人工对预警信息进行审计并判定是否为僵尸网络。
其中,所述对获取的HTTP数据包进行解码,具体为:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
本发明同时提供了一种基于网络流量信息检测僵尸网络的方法实施例2,如图2所示,包括:
S201:监控网关流量并抓取数据包。
S202:分析抓取的数据包并筛选出HTTP数据包。
具体实施手段可以为:
首先,根据IP头的协议字段,判断数据包协议是TCP、UDP、ICMP还是IGMP,并筛选出其中的TCP协议;
其次,判断TCP协议头的来源端口是否是80端口,若是则判断为HTTP协议,否则可以对数据包进行解包,去除IP头和TCP头,根据数据中的特征进行判断;所述特征包括但不限于:HTTP协议的host头部、协议版本等。
S203:对获取的HTTP数据包进行解码,若HTTP数据包是请求包,则执行S204,若HTTP数据包是响应包,则执行S205。
具体实施手段可以为:
1、将数据包解包(例如:去除各项头部留下HTTP数据);
2、转换为十六进制的格式;
3、根据HTTP头部判断是请求包还是响应包;
4、再根据头部的content-type字段对HTTP报文的内容(去除HTTP协议头部)进行解码。
S204:将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络,并执行S207,否则继续执行S201。
其中,所述控制信息包括但不限于:访问路径、访问文件名以及请求参数名;若所述HTTP数据包的控制信息为
其中的ie,rsv_bp,rsv_idx这些是get方法的请求参数。
S205:将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络,并执行S207,否则执行S206。
其中,所述回传信息包括但不限于:文本数据、图片数据等。
S206:将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络,并执行S207,否则执行S201。
其中,所述常见关键字包括但不限于:主机的信息,例如:IP、操作系统、国家、上线状态等;也可以包括该HTTP响应中的关键字,例如:bots list,cmdshell等。
S207:提取并存储必要信息,并设置预警;其中,所述必要信息包括但不限于:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
S208:人工对预警信息进行审计并判定是否为僵尸网络。
其中,所述对获取的HTTP数据包进行解码,具体为:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
本发明其次提供了一种基于网络流量信息检测僵尸网络的系统实施例,如图3所示,包括:
数据包获取模块301,用于监控网关流量并抓取数据包;
数据包分析模块302,用于分析抓取的数据包并筛选出HTTP数据包;
数据包解码模块303,用于对获取的HTTP数据包进行解码;
控制信息匹配模块304,用于若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;
回传信息匹配模块305,用于若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。
优选地,还包括:回传信息二次匹配模块,用于若所述回传信息匹配模块匹配失败后,将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络。
上述系统实施例中,还包括:信息预警模块,用于若判定为疑似僵尸网络,则提取并存储必要信息,并设置预警;其中,所述必要信息包括:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
更优选地,还包括:僵尸网络确认模块,用于人工对预警信息进行审计并判定是否为僵尸网络。
其中,所述数据包解码模块,具体用于:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
本发明同时公开了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的基于网络流量信息检测僵尸网络的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种基于网络流量信息检测僵尸网络的方法及系统实施例,上述实施例通过对基于HTTP协议的僵尸网络中控制者和C&C服务器之间的通信过程进行检测来确认是否是僵尸网络,其中通信过程包括控制者向C&C服务器发起的控制信息以及C&C服务器向控制者发送的回传信息,通过将控制信息或回传信息与已知僵尸网络的相关信息进行匹配,最终判定是否是疑似僵尸网络;由于僵尸网络的控制者与C&C服务器之间的通信多数未进行加密,因此利用本发明的实施例能够有效避免正常流量对可疑流量的影响,提高检出率。对于利用回传信息匹配失败的,可以将所述HTTP数据包与已知僵尸网络的常见关键字进行匹配,进而对未知的或者新型的僵尸网络进行检出。综上,本发明的上述实施例不仅能够准确检出已知的HTTP协议的僵尸网络,对于未知的新型的僵尸网络也能够及时检出。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于网络流量信息检测僵尸网络的方法,其特征在于,包括:
监控网关流量并抓取数据包;
分析抓取的数据包并筛选出HTTP数据包;
对获取的HTTP数据包进行解码;
若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;
若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。
2.如权利要求1所述的方法,其特征在于,所述将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配失败则将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络。
3.如权利要求1或2所述的方法,其特征在于,还包括:若判定为疑似僵尸网络,则提取并存储必要信息,并设置预警;其中,所述必要信息包括:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
4.如权利要求3所述的方法,其特征在于,所述对获取的HTTP数据包进行解码,具体为:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
5.一种基于网络流量信息检测僵尸网络的系统,其特征在于,包括:
数据包获取模块,用于监控网关流量并抓取数据包;
数据包分析模块,用于分析抓取的数据包并筛选出HTTP数据包;
数据包解码模块,用于对获取的HTTP数据包进行解码;
控制信息匹配模块,用于若HTTP数据包是请求包,则将HTTP数据包的控制信息与已知僵尸网络的控制信息进行匹配,若匹配成功则判定为疑似僵尸网络;
回传信息匹配模块,用于若HTTP数据包是响应包,则将HTTP数据包的回传信息与已知僵尸网络的回传信息进行匹配,若匹配成功则判定为疑似僵尸网络。
6.如权利要求5所述的系统,其特征在于,还包括:回传信息二次匹配模块,用于若所述回传信息匹配模块匹配失败后,将HTTP数据包与已知僵尸网络的常见关键字进行匹配,若匹配成功则判定为疑似僵尸网络。
7.如权利要求5或6所述的系统,其特征在于,还包括:信息预警模块,用于若判定为疑似僵尸网络,则提取并存储必要信息,并设置预警;其中,所述必要信息包括:源IP地址及端口、目的IP地址及端口、HTTP请求头和HTTP响应头。
8.如权利要求7所述的系统,其特征在于,所述数据包解码模块,具体用于:判断所述HTTP数据包是否进行了分片,若是则对经过分片的数据包进行重组,还原完整数据包后进行解码,否则直接对获取的HTTP数据包进行解码。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的基于网络流量信息检测僵尸网络的方法。
CN201711393341.XA 2017-12-21 2017-12-21 基于网络流量信息检测僵尸网络的方法、系统及存储介质 Withdrawn CN109474485A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711393341.XA CN109474485A (zh) 2017-12-21 2017-12-21 基于网络流量信息检测僵尸网络的方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711393341.XA CN109474485A (zh) 2017-12-21 2017-12-21 基于网络流量信息检测僵尸网络的方法、系统及存储介质

Publications (1)

Publication Number Publication Date
CN109474485A true CN109474485A (zh) 2019-03-15

Family

ID=65658515

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711393341.XA Withdrawn CN109474485A (zh) 2017-12-21 2017-12-21 基于网络流量信息检测僵尸网络的方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN109474485A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110708327A (zh) * 2019-10-15 2020-01-17 北京丁牛科技有限公司 一种基于ZeroNet构建隐蔽信道的方法及装置
CN111182002A (zh) * 2020-02-19 2020-05-19 北京亚鸿世纪科技发展有限公司 基于http首个问答包聚类分析的僵尸网络检测装置
CN111404949A (zh) * 2020-03-23 2020-07-10 深信服科技股份有限公司 一种流量检测方法、装置、设备及存储介质
CN112311721A (zh) * 2019-07-25 2021-02-02 深信服科技股份有限公司 一种检测下载行为的方法及装置
CN113518073A (zh) * 2021-05-05 2021-10-19 东南大学 一种比特币挖矿僵尸网络流量的快速识别方法
CN115037500A (zh) * 2022-04-07 2022-09-09 水利部信息中心 一种基于配置文件检测挖矿失陷主机的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651579A (zh) * 2009-09-15 2010-02-17 成都市华为赛门铁克科技有限公司 识别僵尸网络的方法及网关设备
CN102035793A (zh) * 2009-09-28 2011-04-27 成都市华为赛门铁克科技有限公司 僵尸网络检测方法、装置以及网络安全防护设备
CN102571812A (zh) * 2011-12-31 2012-07-11 成都市华为赛门铁克科技有限公司 一种网络威胁的跟踪识别方法及装置
CN103297433A (zh) * 2013-05-29 2013-09-11 中国科学院计算技术研究所 基于网络数据流的http僵尸网络检测方法及系统
US20140047543A1 (en) * 2012-08-07 2014-02-13 Electronics And Telecommunications Research Institute Apparatus and method for detecting http botnet based on densities of web transactions

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651579A (zh) * 2009-09-15 2010-02-17 成都市华为赛门铁克科技有限公司 识别僵尸网络的方法及网关设备
CN102035793A (zh) * 2009-09-28 2011-04-27 成都市华为赛门铁克科技有限公司 僵尸网络检测方法、装置以及网络安全防护设备
CN102571812A (zh) * 2011-12-31 2012-07-11 成都市华为赛门铁克科技有限公司 一种网络威胁的跟踪识别方法及装置
US20140047543A1 (en) * 2012-08-07 2014-02-13 Electronics And Telecommunications Research Institute Apparatus and method for detecting http botnet based on densities of web transactions
CN103297433A (zh) * 2013-05-29 2013-09-11 中国科学院计算技术研究所 基于网络数据流的http僵尸网络检测方法及系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112311721A (zh) * 2019-07-25 2021-02-02 深信服科技股份有限公司 一种检测下载行为的方法及装置
CN112311721B (zh) * 2019-07-25 2022-11-22 深信服科技股份有限公司 一种检测下载行为的方法及装置
CN110708327A (zh) * 2019-10-15 2020-01-17 北京丁牛科技有限公司 一种基于ZeroNet构建隐蔽信道的方法及装置
CN110708327B (zh) * 2019-10-15 2022-06-21 北京丁牛科技有限公司 一种基于ZeroNet构建隐蔽信道的方法及装置
CN111182002A (zh) * 2020-02-19 2020-05-19 北京亚鸿世纪科技发展有限公司 基于http首个问答包聚类分析的僵尸网络检测装置
CN111404949A (zh) * 2020-03-23 2020-07-10 深信服科技股份有限公司 一种流量检测方法、装置、设备及存储介质
CN113518073A (zh) * 2021-05-05 2021-10-19 东南大学 一种比特币挖矿僵尸网络流量的快速识别方法
CN115037500A (zh) * 2022-04-07 2022-09-09 水利部信息中心 一种基于配置文件检测挖矿失陷主机的方法
CN115037500B (zh) * 2022-04-07 2024-02-13 水利部信息中心 一种基于配置文件检测挖矿失陷主机的方法

Similar Documents

Publication Publication Date Title
CN109474485A (zh) 基于网络流量信息检测僵尸网络的方法、系统及存储介质
Stiawan et al. Investigating brute force attack patterns in IoT network
JP6714314B2 (ja) 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出
EP3195124B1 (en) Malicious relay detection on networks
EP1873992B1 (en) Packet classification in a network security device
US9853988B2 (en) Method and system for detecting threats using metadata vectors
CN105681250B (zh) 一种僵尸网络分布式实时检测方法和系统
US11777971B2 (en) Bind shell attack detection
Osanaiye Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
WO2010031288A1 (zh) 一种僵尸网络的检测方法和系统
CN102387151A (zh) 一种p2p网络中基于块的病毒检测方法
Shanthi et al. Detection of botnet by analyzing network traffic flow characteristics using open source tools
Wu et al. Detecting remote access trojans through external control at area network borders
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
WO2011000297A1 (zh) 一种检测僵尸网络的方法及其装置
Hsu et al. Detecting Web‐Based Botnets Using Bot Communication Traffic Features
Li et al. A general framework of trojan communication detection based on network traces
CN104660584B (zh) 基于网络会话的木马病毒分析技术
KR101615587B1 (ko) 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법
Shyry Efficient identification of bots by K-means clustering
Han et al. A collaborative botnets suppression system based on overlay network
CN104468601A (zh) 一种p2p蠕虫检测系统及方法
Barati et al. Features selection for IDS in encrypted traffic using genetic algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20190315