CN109525577B - 基于http行为图的恶意软件检测方法 - Google Patents
基于http行为图的恶意软件检测方法 Download PDFInfo
- Publication number
- CN109525577B CN109525577B CN201811333866.9A CN201811333866A CN109525577B CN 109525577 B CN109525577 B CN 109525577B CN 201811333866 A CN201811333866 A CN 201811333866A CN 109525577 B CN109525577 B CN 109525577B
- Authority
- CN
- China
- Prior art keywords
- http
- node
- characteristic
- behavior
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于HTTP行为图的恶意软件检测方法,属于网络安全技术领域,首先根据收集的已知恶意或良性软件的HTTP流量,将收集的流量建成HTTP行为树状图,然后提取行为树状图中每个节点的特征来生成特征树状图,再利用Graph Embedding算法将特征树状图转换为特征向量,再将特征向量输入模型进行训练和测试,最后通过检测模型检测并输出检测结果,解决了当前许多恶意软件可产生合法的HTTP流量,并且定期生成请求,导致分辨正常软件和恶意软件难度加大,分类效果较差的问题。
Description
技术领域
本发明属于网络安全技术领域,涉及基于HTTP行为图的恶意软件检测方法。
背景技术
基于Web的服务越来越多地用于诸如社交网络或云计算的互联网应用中。另外,由于网络安全威胁的增加,系统管理员通过关闭向内的端口来保护他们的网络,并允许通过选定诸如HTTP的协议进行传出通信。因此,HTTP是内部安全威胁的潜在通信媒介。
当复杂的或新的模型恶意软件产生合法的HTTP流量并且与正常软件具有相似的行为时,通过监视HTTP流量区分正常和恶意活动变得更加困难,然而分析HTTP活动对于恶意检测仍是有价值的过程。网络犯罪分子或互联网蜘蛛利用网络技术作为通信媒介,隐藏恶意软件(恶意软件)或各种非法活动。基于HTTP的恶意软件感染的计算机,受到以下两种情况的控制:例如发送垃圾邮件或从秘密服务器下载shell代码,基础架构可以指示执行恶意的HTTP活动。
正常情况下,HTTP流量可以分为两类:人流量和非人流量,非人流量又叫自动流量。当用户使用正常的网页浏览器(例如Internet Explorer...)访问他们想要或需要的网站时,会产生人流量,流量类型的特点是访问的网站以用户所知,他们知道他们将得到什么样的数据/信息。相反,来自自动软件的非人为流量的特点是访问的网站不被用户所知,产生非人为流量的自动软件大致可以分为三类:防病毒升级,邮件客户端,浏览器工具栏等常用软件;广告软件,间谍软件,笑话程序等灰色软件;基于HTTP的机器人,特洛伊木马等恶意软件,这些自动软件无需用户意图便访问不知情的服务器。当恶意软件产生合法的HTTP流量,并且定期生成请求时,正常和恶意活动与HTTP流量的区别变得越来越困难。
目前存在的正常软件和恶意软件检测的方法主要是特征匹配,对变种恶意软件以及未发现的新型恶意软件,由于缺少特征样本,所以检测效率低下。
因此,本发明提出了一种基于HTTP行为图的恶意软件检测方法。
发明内容
本发明的目的在于:提供了基于HTTP行为图的恶意软件检测方法,解决了当前许多恶意软件可产生合法的HTTP流量,并且定期生成请求,导致分辨正常软件和恶意软件难度加大,分类效果较差的问题。
本发明采用的技术方案如下:
基于HTTP行为图的恶意软件检测方法,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤2:使用收集的流量建立对应HTTP的行为树状图;
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤5:利用模型对特征向量进行训练和测试,得到检测模型M;
步骤6:利用检测模型M完成恶意软件的检测。
进一步地,所述步骤2中的行为树状图包括根节点、子节点和边;
所述根节点是检测主机的源IP;
所述子节点是一个HTTP请求,包括HTTP请求包和HTTP应答包,分别记录了HTTP的请求内容和应答内容,所述HTTP请求还包括Host,Connection,User-Agent和Referer的内容;
所述边是根节点以下的所有节点的产生原因,记录了这个节点与其父节点的关系。
进一步地,所述步骤3的具体步骤如下:
步骤3.1:提取步骤2中行为树状图每个节点的特征,所述特征包括请求资源类型,是否是DGA域名,请求与返回是否一致,是否是重定向,是否是连续重定向,路径上的连续重定向数量和节点深度;
步骤3.2:用每个节点的特征代替节点原本内容,生成特征树状图。
进一步地,所述步骤4的具体步骤如下:
步骤4.1:基于神经网络的Graph Embedding算法,计算步骤3的特征树状图中每个顶点的嵌入特征μv;
步骤4.2:计算嵌入特征μv的向量之和μg:
步骤4.3:将μg变换为特征向量φ(g)后输出。
进一步地,所述步骤5的具体步骤如下:
步骤5.1:将特征向量φ(g)划分为训练集和测试集;
步骤5.2:利用BP神经网络模型对步骤5.1的训练集进行训练,使用反向传播进行BP网络权值更新和Graph Embedding网络权值更新,得到临时检测模型M1;
步骤5.3:利用临时检测模型M1对步骤5.1的测试集进行测试,得到测试误差k;
步骤5.4:测试误差k若满足预先设定的期望值Θ,则输出最终检测模型M;否则,返回步骤5.2,修改BP神经网络模型的参数,重新对训练集进行训练,再得到新的临时模型M2,直到测试误差k满足预先设定的期望值Θ为止。
更进一步地,所述步骤5.4中预先设定的期望值Θ为90%。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.基于HTTP行为图的恶意软件检测方法,首先根据收集的已知恶意或良性软件的HTTP流量,将收集的流量建成HTTP行为树状图,然后提取行为树状图中每个节点的特征来生成特征树状图;再利用Graph Embedding算法将特征树状图转换为特征向量,最后将特征向量输入BP神经网络模型进行训练,构建一个基于HTTP行为图的恶意软件检测分类器,本方法可检测出能产生合法的HTTP流量的恶意软件,可轻易分辨出正常软件和恶意软件,分类效果好,分类精度高。
2.本发明中采用行为图的方法进行恶意软件和正常软件的检测,未使用特征匹配的方式,不需要软件特征即可实现恶意软件检测,克服了传统检测方法的缺点,对于变种以及新型的恶意软件都有一定的检测效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图,其中:
图1是基于HTTP行为图的恶意软件检测方法的流程图;
图2是本发明实施例一中步骤2的行为树状图;
图3是本发明实施例一中步骤3的特征树状图;
图4是本发明实施例一中步骤4的Graph Embedding算法概述图;
图5是本发明实施例一中步骤4的Graph Embedding网络一层迭代示例图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
基于HTTP行为图的恶意软件检测方法,解决了当前许多恶意软件可产生合法的HTTP流量,并且定期生成请求,导致分辨正常软件和恶意软件难度加大,分类效果较差的问题;
基于HTTP行为图的恶意软件检测方法,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤2:使用收集的流量建立对应HTTP的行为树状图;
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤5:利用模型对特征向量进行训练和测试,得到检测模型M;
步骤6:利用检测模型M完成恶意软件的检测;
本发明首先根据收集的已知恶意或良性软件的HTTP流量,将收集的流量建成HTTP行为树状图,然后提取行为树状图中每个节点的特征来生成特征树状图;再利用GraphEmbedding算法将特征树状图转换为特征向量,最后将特征向量输入BP神经网络模型进行训练,构建一个基于HTTP行为图的恶意软件检测分类器,本方法可检测出能产生合法的HTTP流量的恶意软件,可轻易分辨出正常软件和恶意软件,分类效果好,分类精度高。
下面结合实施例对本发明的特征和性能作进一步的详细描述。
实施例一
本发明较佳实施例提供的一种基于HTTP行为图的恶意软件检测方法,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤1.1:使用cuckoo建立沙箱,模拟软件的真实使用环境;
步骤1.2:将收集的恶意软件和良性软件依次放入沙箱,收集恶意软件和良性软件产生的流量;
步骤1.3:将收集的Alexatop10000的网站输入沙箱,依次收集Alexatop10000的网站流量作为良性数据的补充;
步骤2:使用收集的流量建立对应HTTP的行为树状图,如图2所示,所述行为树状图的每棵树代表客户端在沙箱中的HTTP行为活动,所述行为树状图包括根节点、子节点和边;
所述根节点是检测主机的源IP;
所述子节点是一个HTTP请求,包括HTTP请求包和HTTP应答包,分别记录了HTTP的请求内容和应答内容,所述HTTP请求还包括Host,Connection,User-Agent和Referer的内容;
所述边是根节点以下的所有节点的产生原因,记录了这个节点与其父节点的关系;
软件直接发起的HTTP请求数据包和返回数据包作为根节点和子节点,节点的返回数据包中若包含如表1中所示的重定向标记并触发新的HTTP流,则将新的HTTP数据包作为节点的子节点;
表1
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤3.1:提取步骤2中行为树状图每个节点的特征,所述特征包括且不限于请求资源类型,是否是DGA域名,请求与返回是否一致,是否是重定向,是否是连续重定向,路径上的连续重定向数量和节点深度,具体如表2所示,
表2
步骤3.2:对每个节点进行预处理,用每个节点的特征代替节点原本内容,将其中字符型特征转换成数字特征,比如请求资源类型,jpg用1替换,png用2替换,exe用3替换;生成特征树状图,如图3所示;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤4.1:以Graph Embedding中Structure2vec算法为基础,基于神经网络的Graph Embedding算法,将步骤3的特征树状图定义为g=(V,E),其中V和E分别是顶点和边的集合,
如图4和图5所示,设定每个顶点v都有特征xv,计算每个顶点的嵌入特征μv,所述嵌入特征μv的计算公式如下:
其中,N(v)是节点v的所有邻居节点,t是节点的嵌入深度,
其中,xv是一个d维的特征向量,W1是一个d×p的矩阵,d是特征树状图中节点的特征数,p是设置的Embedding Size,σ是n层的全连接神经网络,公式如下:
其中,Pi(i=1,…,n)是一个p×p的矩阵,n是嵌入深度;
通过上述公式便计算出各个节点μv(n)的值;
步骤4.2:计算嵌入特征μv的向量之和μg:
步骤4.3:将μg变换为特征向量φ(g)后输出,所述特征向量φ(g)的计算公式为:
其中,W2是一个p×p的矩阵,用来变换μg的向量;
步骤5:利用BP神经网络模型对特征向量进行训练和测试,得到检测模型M;
步骤5.1:将特征向量φ(g)划分为训练集和测试集;
步骤5.2:利用BP神经网络模型对步骤5.1的训练集进行训练,使用反向传播进行BP网络权值更新和Graph Embedding网络权值更新,得到临时检测模型M1;
步骤5.3:利用临时检测模型M1对步骤5.1的测试集进行测试,得到测试误差k;
步骤5.4:测试误差k若满足预先设定的期望值Θ,则输出最终检测模型M;否则,返回步骤5.2,修改BP神经网络模型的参数,重新对训练集进行训练,再得到新的临时模型M2,直到测试误差k满足预先设定的期望值Θ为止;所述预先设定的期望值Θ为90%;
步骤6:利用检测模型M完成恶意软件的检测。
本实施例中,输入数据是HTTP行为树状图的特征向量,输出结果是分类标签,0代表良性软件,1代表恶意软件。
本发明采用行为图的方法进行恶意软件和正常软件的检测,未使用特征匹配的方式,不需要软件特征即可实现恶意软件检测,克服了传统检测方法的缺点,对于变种以及新型的恶意软件都有一定的检测效果。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明的保护范围,任何熟悉本领域的技术人员在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.基于HTTP行为图的恶意软件检测方法,其特征在于,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤2:使用收集的流量建立对应HTTP的行为树状图;
所述行为树状图包括根节点、子节点和边;
所述根节点是检测主机的源IP;
所述子节点是一个HTTP请求,包括HTTP请求包和HTTP应答包,分别记录了HTTP的请求内容和应答内容,所述HTTP请求还包括Host,Connection,User-Agent和Referer的内容;
所述边是根节点以下的所有节点的产生原因,记录了这个节点与其父节点的关系;
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤3.1:提取步骤2中行为树状图每个节点的特征,所述特征包括请求资源类型,是否是DGA域名,请求与返回是否一致,是否是重定向,是否是连续重定向,路径上的连续重定向数量和节点深度;
步骤3.2:用每个节点的特征代替节点原本内容,生成特征树状图;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤4.1:基于神经网络的Graph Embedding算法,计算步骤3的特征树状图中每个顶点的嵌入特征μv;
步骤4.2:计算嵌入特征μv的向量之和μg:
步骤4.3:将μg变换为特征向量φ(g)后输出;
其中:g表示特征树状图,v表示特征树状图的顶点;
步骤5:利用模型对特征向量进行训练和测试,得到检测模型M;
步骤5.1:将特征向量φ(g)划分为训练集和测试集;
步骤5.2:利用BP神经网络模型对步骤5.1的训练集进行训练,使用反向传播进行BP网络权值更新和Graph Embedding网络权值更新,得到临时检测模型M1;
步骤5.3:利用临时检测模型M1对步骤5.1的测试集进行测试,得到测试误差k;
步骤5.4:测试误差k若满足预先设定的期望值Θ,则输出最终检测模型M;否则,返回步骤5.2,修改BP神经网络模型的参数,重新对训练集进行训练,再得到新的临时模型M2,直到测试误差k满足预先设定的期望值Θ为止;步骤6:利用检测模型M完成恶意软件的检测。
2.根据权利要求1所述的基于HTTP行为图的恶意软件检测方法,其特征在于:所述步骤5.4中预先设定的期望值Θ为90%。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811333866.9A CN109525577B (zh) | 2018-11-09 | 2018-11-09 | 基于http行为图的恶意软件检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811333866.9A CN109525577B (zh) | 2018-11-09 | 2018-11-09 | 基于http行为图的恶意软件检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109525577A CN109525577A (zh) | 2019-03-26 |
CN109525577B true CN109525577B (zh) | 2021-08-20 |
Family
ID=65773713
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811333866.9A Active CN109525577B (zh) | 2018-11-09 | 2018-11-09 | 基于http行为图的恶意软件检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109525577B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11373063B2 (en) * | 2018-12-10 | 2022-06-28 | International Business Machines Corporation | System and method for staged ensemble classification |
CN110062013A (zh) * | 2019-06-04 | 2019-07-26 | 电子科技大学 | 一种针对恶意软件http流量的检测系统及其方法 |
CN111737694B (zh) * | 2020-05-19 | 2023-04-25 | 华南理工大学 | 一种基于行为树的恶意软件同源性分析方法 |
CN113256507B (zh) * | 2021-04-01 | 2023-11-21 | 南京信息工程大学 | 一种针对二进制流量数据生成图像的注意力增强方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735074A (zh) * | 2015-03-31 | 2015-06-24 | 江苏通付盾信息科技有限公司 | 一种恶意url检测方法及其实现系统 |
CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
US9531736B1 (en) * | 2012-12-24 | 2016-12-27 | Narus, Inc. | Detecting malicious HTTP redirections using user browsing activity trees |
CN108566364A (zh) * | 2018-01-15 | 2018-09-21 | 中国人民解放军国防科技大学 | 一种基于神经网络的入侵检测方法 |
-
2018
- 2018-11-09 CN CN201811333866.9A patent/CN109525577B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9531736B1 (en) * | 2012-12-24 | 2016-12-27 | Narus, Inc. | Detecting malicious HTTP redirections using user browsing activity trees |
CN104735074A (zh) * | 2015-03-31 | 2015-06-24 | 江苏通付盾信息科技有限公司 | 一种恶意url检测方法及其实现系统 |
CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN108566364A (zh) * | 2018-01-15 | 2018-09-21 | 中国人民解放军国防科技大学 | 一种基于神经网络的入侵检测方法 |
Non-Patent Citations (2)
Title |
---|
" Neural network-based graph embedding for cross-platform binary code similarity detection";Xu Xiaojun等;《Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security》;20171103;第363-276页 * |
"Detecting malicious http redirections using trees of user browsing activity ";Mekky Hesham等;《IEEE INFOCOM 2014-IEEE Conference on Computer Communications》;20140708;第1159-1167页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109525577A (zh) | 2019-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Koroniotis et al. | Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset | |
US10708288B2 (en) | Computerized system and method for automatically determining malicious IP clusters using network activity data | |
TWI648650B (zh) | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 | |
Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
US10375143B2 (en) | Learning indicators of compromise with hierarchical models | |
CN109525577B (zh) | 基于http行为图的恶意软件检测方法 | |
Karataş et al. | A review on social bot detection techniques and research directions | |
Rahbarinia et al. | Peerrush: Mining for unwanted p2p traffic | |
Biswas et al. | Botnet traffic identification using neural networks | |
Moghanian et al. | GOAMLP: Network intrusion detection with multilayer perceptron and grasshopper optimization algorithm | |
Elnakib et al. | EIDM: deep learning model for IoT intrusion detection systems | |
Rao et al. | Tor anonymous traffic identification based on gravitational clustering | |
Chen et al. | Ai@ ntiphish—machine learning mechanisms for cyber-phishing attack | |
Guo et al. | A Black‐Box Attack Method against Machine‐Learning‐Based Anomaly Network Flow Detection Models | |
Garcıa | Identifying, modeling and detecting botnet behaviors in the network | |
Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
TW202009767A (zh) | 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 | |
Li et al. | A method based on statistical characteristics for detection malware requests in network traffic | |
Sadique et al. | Modeling and analyzing attacker behavior in IoT botnet using temporal convolution network (TCN) | |
Guntuku et al. | Real-time peer-to-peer botnet detection framework based on bayesian regularized neural network | |
Parasar et al. | An Automated System to Detect Phishing URL by Using Machine Learning Algorithm | |
Saheed et al. | A voting gray wolf optimizer-based ensemble learning models for intrusion detection in the Internet of Things | |
Liu et al. | Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |