CN109474573B - 一种识别失活木马程序的方法、装置和存储介质 - Google Patents

一种识别失活木马程序的方法、装置和存储介质 Download PDF

Info

Publication number
CN109474573B
CN109474573B CN201711491739.7A CN201711491739A CN109474573B CN 109474573 B CN109474573 B CN 109474573B CN 201711491739 A CN201711491739 A CN 201711491739A CN 109474573 B CN109474573 B CN 109474573B
Authority
CN
China
Prior art keywords
server
data
program
trojan
inactivated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711491739.7A
Other languages
English (en)
Other versions
CN109474573A (zh
Inventor
康学斌
张雨晨
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201711491739.7A priority Critical patent/CN109474573B/zh
Publication of CN109474573A publication Critical patent/CN109474573A/zh
Application granted granted Critical
Publication of CN109474573B publication Critical patent/CN109474573B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。该方法包括:从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序。

Description

一种识别失活木马程序的方法、装置和存储介质
技术领域
本发明涉及信息安全技术领域,尤其涉及一种识别失活木马程序的方法、装置及存储介质。
背景技术
随着互联网的快速发展宽带的普及,基于流量监控系统已经成为入侵检测的重要手段之一,对于可以正常通讯的木马,会在TCP三次握手成功后,与服务端通讯,这种情况下通过被动式监视就能够简单的发现与定位出当前被感染的主机,也就是说,目前只有在木马与服务端正常通讯,才能够发现与定位出当前被感染的主机,确认主机感染了木马程序。其中,TCP 连接通过三次握手进行初始化,三次握手的目的是同步连接双方的序列号和确认号并交换 TCP 窗口大小信息,以保证在发送数据前建立可靠的连接。
而对于处于控制命令服务器(C&C, Command and Control)已经失活或者暂时失活状态的主机,主机中感染的木马程序在执行TCP三次握手时不能成功,导致木马程序与服务端不能通讯,这导致目前的被动式监视的方式难以发现被C&C失活木马感染的主机,而C&C失活木马很可能再次复活,因此,这会使得网内的威胁不能很好的被发现,从而可能造成不可预估的威胁情况。
综上所述,目前的基于流量监控的被动式监视方法不能发现被失活木马感染的主机。
发明内容
本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机。
基于上述问题,本发明实施例提供的一种识别失活木马程序的方法,包括:
从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;
根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;
在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序;
其中,所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
本发明实施例提供的一种识别失活木马程序的装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;
根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;
在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序;
其中,所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
本发明实施例还提供了一种非易失性计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的识别失活木马程序的方法。
本发明实施例的有益效果包括:
本发明实施例提供的识别失活木马程序的方法、装置和存储介质,通过从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;并在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序,从而识别出网内处于失活或者暂时失活的木马程序,定位被该木马程序感染的主机;其中,所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
附图说明
图1为本发明实施例提供的一种的识别失活木马程序的方法的流程图;
图2为本发明实施例提供的另一种的识别失活木马程序的方法的流程图;
图3为本发明实施例提供的识别失活木马程序的装置的结构图。
具体实施方式
本发明实施例提供的识别失活木马程序的方法、装置和存储介质,利用了在主机与服务端断开连接的情况下,正常应用程序会在几次尝试与服务端连接失败之后放弃,而木马程序则会间断性重复尝试与服务端进行连接的特点,来对失活木马程序和正常应用程序进行分辨。
在主机与服务端断开连接的情况下,由于正常应用程序会在几次尝试与服务端连接失败之后放弃,而木马程序则会间断性重复尝试与服务端进行连接,因此,正常应用程序与服务端尝试连接的时间间隔与木马程序与服务端尝试连接的时间间隔之间是存在差异的,另外,正常应用程序与服务端尝试连接的SYN(synchronous)请求应答比例与木马程序与服务端尝试连接的SYN请求应答比例也是不同的。
其中,SYN是TCP/IP建立连接时使用的握手信号。在客户端和服务端之间建立正常的TCP网络连接时,客户端首先发出一个SYN消息,服务端使用SYN+ACK应答表示接收到了这个消息,最后客户端再以ACK消息响应。这样在客户端和服务端之间才能建立起可靠的TCP连接,数据才可以在客户端和服务端之间传递。因此,SYN请求应答比例也就是发送的SYN消息与收到的SYN+ACK应答消息的比例。
下面结合说明书附图,对本发明实施例提供的一种识别失活木马程序的方法、装置及存储介质的具体实施方式进行说明。
本发明实施例提供的一种识别失活木马程序的方法,如图1所示,具体包括以下步骤:
S101、从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;
S102、根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;
S103、判断未知类型的流量来自于失活木马程序的概率是否大于未知类型的流量来自于正常应用程序的概率;若是,则执行S104,否则,执行S105;
S104、确定未知类型的流量来自于失活木马程序;
S105、确定未知类型的流量来自于正常应用程序。
其中,所述训练数据包括从大量正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从大量失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从大量正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从大量失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
其中,图1所示的识别失活木马程序的方法中包括了三种情况;
第一种情况为:在S101中仅提取了与服务端尝试连接的时间间隔的数据,那么S102中的提取出的数据也就是与服务端尝试连接的时间间隔的数据,所述训练数据仅包括了从大量正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从大量失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据;
第二种情况为:在S101 中仅提取了与服务端进行连接的SYN请求应答比例的数据,那么S102中的提取出的数据也就是与服务端进行连接的SYN请求应答比例的数据,所述训练数据仅包括了从大量正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从大量失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据;
第三种情况为:在S101中仅提取了与服务端尝试连接的时间间隔的数据和与服务端进行连接的SYN请求应答比例的数据,那么S102中的提取出的数据也就是与服务端尝试连接的时间间隔的数据和与服务端进行连接的SYN请求应答比例的数据,所述训练数据不仅包括了从大量正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从大量失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,还包括了从大量正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从大量失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
在一种实施方式中,可以采用朴素贝叶斯分类算法,根据训练数据和提取出的数据,计算未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率。
由于不同类型的木马程序在与服务端尝试连接时的连接时间间隔存在差异,考虑到网络环境的变化,可以通过对比其与服务端尝试连接的平均周期与标准差来判断木马程序的类型。
因此,本发明实施例还提供的另一种识别失活木马程序的方法,如图2所示,在图1的基础上还包括:
S201、根据从所述未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据,计算与服务端尝试连接的平均周期及标准差;
S202、将计算得到的与服务端尝试连接的平均周期及标准差,与预设的木马家族的识别库进行匹配;
S203、确定未知流量来自于匹配中的类型的木马程序。
其中,木马家族的识别库中保存了多种类型的木马程序和多个与服务端尝试连接的平均间隔周期和标准差的对应关系;例如,第1种类型的木马程序与服务端尝试连接的平均间隔周期为X1,标准差为Y1;第2种类型的木马程序与服务端尝试连接的平均间隔周期为X2,标准差为Y2;…;第n种类型的木马程序与服务端尝试连接的平均间隔周期为Xn,标准差为Yn。也就是说,木马家族的识别库中保存了已知的大量的不同类型的失活木马与服务端进行通讯的平均间隔周期和标准差。
在一种实施方式中,将计算得到的与服务端尝试连接的平均周期及标准差,与预设的木马家族的识别库进行匹配,包括:
将计算得到的与服务端尝试连接的平均周期及标准差,与所述识别库中的多个与服务端尝试连接的平均间隔周期和标准差进行比对;
确定在预设误差范围内的服务端尝试连接的平均间隔周期和标准差对应的类型的木马程序为匹配中的类型的木马程序。
其中,针对平均间隔周期的误差范围和针对标准差的误差范围可以不同,那么此时预设误差范围中就包括了两个误差范围;当然,针对平均间隔周期的误差范围和针对标准差的误差范围也可以不同,此时预设误差范围中仅包括了一个误差范围;针对平均间隔周期的误差范围和针对标准差的误差范围不同或者相同,依具体实施情况而定。
基于同一发明构思,本发明实施例还提供了一种识别失活木马程序的装置及存储介质,由于该装置所解决问题的原理与前述识别失活木马程序的方法相似,因此该装置的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种识别失活木马程序的装置,如图3所示,该装置包括存储器31和处理器32,存储器31用于存储多条指令,处理器32用于加载存储器31中存储的指令以执行:
从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;
根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;
在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序;
其中,所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
可选地,处理器32还用于加载存储器31中存储的指令以执行:
在确定未知类型的流量来自于失活木马程序后,根据从所述未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据,计算与服务端尝试连接的平均周期及标准差;
将计算得到的与服务端尝试连接的平均周期及标准差,与预设的木马家族的识别库进行匹配;所述木马家族的识别库存储了多种类型的木马程序和多个与服务端尝试连接的平均间隔周期和标准差的对应关系;
确定未知流量来自于匹配中的类型的木马程序。
可选地,处理器32用于加载存储器31中存储的指令以执行:
将计算得到的与服务端尝试连接的平均周期及标准差,与所述识别库中的多个与服务端尝试连接的平均间隔周期和标准差进行比对;
确定在预设误差范围内的服务端尝试连接的平均间隔周期和标准差对应的类型的木马程序为匹配中的类型的木马程序。
本发明实施例还提供一种非易失性计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的识别失活木马程序的方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.一种识别失活木马程序的方法,其特征在于,包括:
从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;
根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;
在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序;
其中,所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
2.如权利要求1所述的方法,其特征在于,在确定未知类型的流量来自于失活木马程序后,所述方法还包括:
根据从所述未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据,计算与服务端尝试连接的平均周期及标准差;
将计算得到的与服务端尝试连接的平均周期及标准差,与预设的木马家族的识别库进行匹配;所述木马家族的识别库存储了多种类型的木马程序和多个与服务端尝试连接的平均间隔周期和标准差的对应关系;
确定未知流量来自于匹配中的类型的木马程序。
3.如权利要求2所述的方法,其特征在于,将计算得到的与服务端尝试连接的平均周期及标准差,与预设的木马家族的识别库进行匹配,包括:
将计算得到的与服务端尝试连接的平均周期及标准差,与所述识别库中的多个与服务端尝试连接的平均间隔周期和标准差进行比对;
确定在预设误差范围内的服务端尝试连接的平均间隔周期和标准差对应的类型的木马程序为匹配中的类型的木马程序。
4.一种识别失活木马程序的装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据;
根据训练数据和提取出的数据,确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率;
在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时,确定未知类型的流量来自于失活木马程序;
其中,所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据,和/或,从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。
5.如权利要求4所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
在确定未知类型的流量来自于失活木马程序后,根据从所述未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据,计算与服务端尝试连接的平均周期及标准差;
将计算得到的与服务端尝试连接的平均周期及标准差,与预设的木马家族的识别库进行匹配;所述木马家族的识别库存储了多种类型的木马程序和多个与服务端尝试连接的平均间隔周期和标准差的对应关系;
确定未知流量来自于匹配中的类型的木马程序。
6.如权利要求5所述的装置,其特征在于,所述处理器用于加载所述存储器中存储的指令以执行:
将计算得到的与服务端尝试连接的平均周期及标准差,与所述识别库中的多个与服务端尝试连接的平均间隔周期和标准差进行比对;
确定在预设误差范围内的服务端尝试连接的平均间隔周期和标准差对应的类型的木马程序为匹配中的类型的木马程序。
7.一种非易失性计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行权利要求 1-3任一所述的方法的步骤。
CN201711491739.7A 2017-12-30 2017-12-30 一种识别失活木马程序的方法、装置和存储介质 Active CN109474573B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711491739.7A CN109474573B (zh) 2017-12-30 2017-12-30 一种识别失活木马程序的方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711491739.7A CN109474573B (zh) 2017-12-30 2017-12-30 一种识别失活木马程序的方法、装置和存储介质

Publications (2)

Publication Number Publication Date
CN109474573A CN109474573A (zh) 2019-03-15
CN109474573B true CN109474573B (zh) 2021-05-25

Family

ID=65657954

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711491739.7A Active CN109474573B (zh) 2017-12-30 2017-12-30 一种识别失活木马程序的方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN109474573B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103198046A (zh) * 2011-12-28 2013-07-10 富士通株式会社 信息处理装置和控制方法
CN103593614A (zh) * 2013-11-29 2014-02-19 成都科来软件有限公司 一种未知病毒检索方法
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置
CN106330911A (zh) * 2016-08-25 2017-01-11 广东睿江云计算股份有限公司 一种cc攻击的防护方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103198046A (zh) * 2011-12-28 2013-07-10 富士通株式会社 信息处理装置和控制方法
CN103593614A (zh) * 2013-11-29 2014-02-19 成都科来软件有限公司 一种未知病毒检索方法
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置
CN106330911A (zh) * 2016-08-25 2017-01-11 广东睿江云计算股份有限公司 一种cc攻击的防护方法及装置

Also Published As

Publication number Publication date
CN109474573A (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
US11159558B2 (en) Mobile risk assessment
US11171977B2 (en) Unsupervised spoofing detection from traffic data in mobile networks
EP3178011B1 (en) Method and system for facilitating terminal identifiers
US10887307B1 (en) Systems and methods for identifying users
CN110290522B (zh) 用于移动设备的风险识别方法、装置和计算机系统
CN103955645A (zh) 恶意进程行为的检测方法、装置及系统
WO2013159607A1 (zh) 一种安全检测的方法和系统
KR20170121242A (ko) 신원 인증 방법, 장치 및 시스템
US20160134646A1 (en) Method and apparatus for detecting malicious software using handshake information
US10609071B2 (en) Preventing MAC spoofing
CN112134893A (zh) 物联网安全防护方法、装置、电子设备及存储介质
CN110619022B (zh) 基于区块链网络的节点检测方法、装置、设备及存储介质
US20210112068A1 (en) Data security method utilizing mesh network dynamic scoring
WO2017054307A1 (zh) 用户信息的识别方法及装置
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
US10205767B2 (en) Management system and method for a big data processing device
CN111224782A (zh) 基于数字签名的数据校验方法、智能设备及存储介质
CN109474573B (zh) 一种识别失活木马程序的方法、装置和存储介质
CN110381016A (zh) Cc攻击的防护方法及装置、存储介质、计算机设备
US9913201B1 (en) Systems and methods for detecting potentially illegitimate wireless access points
US8943589B2 (en) Application testing system and method
WO2020113401A1 (zh) 数据检测方法、装置及设备
US11082510B2 (en) Identifying a push communication pattern
CN110704779A (zh) 一种网站页面访问合规性检测方法、装置及设备
CN114338237A (zh) 终端行为监测方法、装置、设备、介质和计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant