CN109525577B - 基于http行为图的恶意软件检测方法 - Google Patents

基于http行为图的恶意软件检测方法 Download PDF

Info

Publication number
CN109525577B
CN109525577B CN201811333866.9A CN201811333866A CN109525577B CN 109525577 B CN109525577 B CN 109525577B CN 201811333866 A CN201811333866 A CN 201811333866A CN 109525577 B CN109525577 B CN 109525577B
Authority
CN
China
Prior art keywords
http
node
characteristic
behavior
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811333866.9A
Other languages
English (en)
Other versions
CN109525577A (zh
Inventor
牛伟纳
张小松
卓中流
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan University
Original Assignee
Sichuan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan University filed Critical Sichuan University
Priority to CN201811333866.9A priority Critical patent/CN109525577B/zh
Publication of CN109525577A publication Critical patent/CN109525577A/zh
Application granted granted Critical
Publication of CN109525577B publication Critical patent/CN109525577B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于HTTP行为图的恶意软件检测方法,属于网络安全技术领域,首先根据收集的已知恶意或良性软件的HTTP流量,将收集的流量建成HTTP行为树状图,然后提取行为树状图中每个节点的特征来生成特征树状图,再利用Graph Embedding算法将特征树状图转换为特征向量,再将特征向量输入模型进行训练和测试,最后通过检测模型检测并输出检测结果,解决了当前许多恶意软件可产生合法的HTTP流量,并且定期生成请求,导致分辨正常软件和恶意软件难度加大,分类效果较差的问题。

Description

基于HTTP行为图的恶意软件检测方法
技术领域
本发明属于网络安全技术领域,涉及基于HTTP行为图的恶意软件检测方法。
背景技术
基于Web的服务越来越多地用于诸如社交网络或云计算的互联网应用中。另外,由于网络安全威胁的增加,系统管理员通过关闭向内的端口来保护他们的网络,并允许通过选定诸如HTTP的协议进行传出通信。因此,HTTP是内部安全威胁的潜在通信媒介。
当复杂的或新的模型恶意软件产生合法的HTTP流量并且与正常软件具有相似的行为时,通过监视HTTP流量区分正常和恶意活动变得更加困难,然而分析HTTP活动对于恶意检测仍是有价值的过程。网络犯罪分子或互联网蜘蛛利用网络技术作为通信媒介,隐藏恶意软件(恶意软件)或各种非法活动。基于HTTP的恶意软件感染的计算机,受到以下两种情况的控制:例如发送垃圾邮件或从秘密服务器下载shell代码,基础架构可以指示执行恶意的HTTP活动。
正常情况下,HTTP流量可以分为两类:人流量和非人流量,非人流量又叫自动流量。当用户使用正常的网页浏览器(例如Internet Explorer...)访问他们想要或需要的网站时,会产生人流量,流量类型的特点是访问的网站以用户所知,他们知道他们将得到什么样的数据/信息。相反,来自自动软件的非人为流量的特点是访问的网站不被用户所知,产生非人为流量的自动软件大致可以分为三类:防病毒升级,邮件客户端,浏览器工具栏等常用软件;广告软件,间谍软件,笑话程序等灰色软件;基于HTTP的机器人,特洛伊木马等恶意软件,这些自动软件无需用户意图便访问不知情的服务器。当恶意软件产生合法的HTTP流量,并且定期生成请求时,正常和恶意活动与HTTP流量的区别变得越来越困难。
目前存在的正常软件和恶意软件检测的方法主要是特征匹配,对变种恶意软件以及未发现的新型恶意软件,由于缺少特征样本,所以检测效率低下。
因此,本发明提出了一种基于HTTP行为图的恶意软件检测方法。
发明内容
本发明的目的在于:提供了基于HTTP行为图的恶意软件检测方法,解决了当前许多恶意软件可产生合法的HTTP流量,并且定期生成请求,导致分辨正常软件和恶意软件难度加大,分类效果较差的问题。
本发明采用的技术方案如下:
基于HTTP行为图的恶意软件检测方法,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤2:使用收集的流量建立对应HTTP的行为树状图;
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤5:利用模型对特征向量进行训练和测试,得到检测模型M;
步骤6:利用检测模型M完成恶意软件的检测。
进一步地,所述步骤2中的行为树状图包括根节点、子节点和边;
所述根节点是检测主机的源IP;
所述子节点是一个HTTP请求,包括HTTP请求包和HTTP应答包,分别记录了HTTP的请求内容和应答内容,所述HTTP请求还包括Host,Connection,User-Agent和Referer的内容;
所述边是根节点以下的所有节点的产生原因,记录了这个节点与其父节点的关系。
进一步地,所述步骤3的具体步骤如下:
步骤3.1:提取步骤2中行为树状图每个节点的特征,所述特征包括请求资源类型,是否是DGA域名,请求与返回是否一致,是否是重定向,是否是连续重定向,路径上的连续重定向数量和节点深度;
步骤3.2:用每个节点的特征代替节点原本内容,生成特征树状图。
进一步地,所述步骤4的具体步骤如下:
步骤4.1:基于神经网络的Graph Embedding算法,计算步骤3的特征树状图中每个顶点的嵌入特征μv
步骤4.2:计算嵌入特征μv的向量之和μg
步骤4.3:将μg变换为特征向量φ(g)后输出。
进一步地,所述步骤5的具体步骤如下:
步骤5.1:将特征向量φ(g)划分为训练集和测试集;
步骤5.2:利用BP神经网络模型对步骤5.1的训练集进行训练,使用反向传播进行BP网络权值更新和Graph Embedding网络权值更新,得到临时检测模型M1;
步骤5.3:利用临时检测模型M1对步骤5.1的测试集进行测试,得到测试误差k;
步骤5.4:测试误差k若满足预先设定的期望值Θ,则输出最终检测模型M;否则,返回步骤5.2,修改BP神经网络模型的参数,重新对训练集进行训练,再得到新的临时模型M2,直到测试误差k满足预先设定的期望值Θ为止。
更进一步地,所述步骤5.4中预先设定的期望值Θ为90%。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.基于HTTP行为图的恶意软件检测方法,首先根据收集的已知恶意或良性软件的HTTP流量,将收集的流量建成HTTP行为树状图,然后提取行为树状图中每个节点的特征来生成特征树状图;再利用Graph Embedding算法将特征树状图转换为特征向量,最后将特征向量输入BP神经网络模型进行训练,构建一个基于HTTP行为图的恶意软件检测分类器,本方法可检测出能产生合法的HTTP流量的恶意软件,可轻易分辨出正常软件和恶意软件,分类效果好,分类精度高。
2.本发明中采用行为图的方法进行恶意软件和正常软件的检测,未使用特征匹配的方式,不需要软件特征即可实现恶意软件检测,克服了传统检测方法的缺点,对于变种以及新型的恶意软件都有一定的检测效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图,其中:
图1是基于HTTP行为图的恶意软件检测方法的流程图;
图2是本发明实施例一中步骤2的行为树状图;
图3是本发明实施例一中步骤3的特征树状图;
图4是本发明实施例一中步骤4的Graph Embedding算法概述图;
图5是本发明实施例一中步骤4的Graph Embedding网络一层迭代示例图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
基于HTTP行为图的恶意软件检测方法,解决了当前许多恶意软件可产生合法的HTTP流量,并且定期生成请求,导致分辨正常软件和恶意软件难度加大,分类效果较差的问题;
基于HTTP行为图的恶意软件检测方法,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤2:使用收集的流量建立对应HTTP的行为树状图;
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤5:利用模型对特征向量进行训练和测试,得到检测模型M;
步骤6:利用检测模型M完成恶意软件的检测;
本发明首先根据收集的已知恶意或良性软件的HTTP流量,将收集的流量建成HTTP行为树状图,然后提取行为树状图中每个节点的特征来生成特征树状图;再利用GraphEmbedding算法将特征树状图转换为特征向量,最后将特征向量输入BP神经网络模型进行训练,构建一个基于HTTP行为图的恶意软件检测分类器,本方法可检测出能产生合法的HTTP流量的恶意软件,可轻易分辨出正常软件和恶意软件,分类效果好,分类精度高。
下面结合实施例对本发明的特征和性能作进一步的详细描述。
实施例一
本发明较佳实施例提供的一种基于HTTP行为图的恶意软件检测方法,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤1.1:使用cuckoo建立沙箱,模拟软件的真实使用环境;
步骤1.2:将收集的恶意软件和良性软件依次放入沙箱,收集恶意软件和良性软件产生的流量;
步骤1.3:将收集的Alexatop10000的网站输入沙箱,依次收集Alexatop10000的网站流量作为良性数据的补充;
步骤2:使用收集的流量建立对应HTTP的行为树状图,如图2所示,所述行为树状图的每棵树代表客户端在沙箱中的HTTP行为活动,所述行为树状图包括根节点、子节点和边;
所述根节点是检测主机的源IP;
所述子节点是一个HTTP请求,包括HTTP请求包和HTTP应答包,分别记录了HTTP的请求内容和应答内容,所述HTTP请求还包括Host,Connection,User-Agent和Referer的内容;
所述边是根节点以下的所有节点的产生原因,记录了这个节点与其父节点的关系;
软件直接发起的HTTP请求数据包和返回数据包作为根节点和子节点,节点的返回数据包中若包含如表1中所示的重定向标记并触发新的HTTP流,则将新的HTTP数据包作为节点的子节点;
表1
Figure BDA0001860703300000051
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤3.1:提取步骤2中行为树状图每个节点的特征,所述特征包括且不限于请求资源类型,是否是DGA域名,请求与返回是否一致,是否是重定向,是否是连续重定向,路径上的连续重定向数量和节点深度,具体如表2所示,
表2
Figure BDA0001860703300000052
Figure BDA0001860703300000061
步骤3.2:对每个节点进行预处理,用每个节点的特征代替节点原本内容,将其中字符型特征转换成数字特征,比如请求资源类型,jpg用1替换,png用2替换,exe用3替换;生成特征树状图,如图3所示;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤4.1:以Graph Embedding中Structure2vec算法为基础,基于神经网络的Graph Embedding算法,将步骤3的特征树状图定义为g=(V,E),其中V和E分别是顶点和边的集合,
如图4和图5所示,设定每个顶点v都有特征xv,计算每个顶点的嵌入特征μv,所述嵌入特征μv的计算公式如下:
Figure BDA0001860703300000062
其中,N(v)是节点v的所有邻居节点,t是节点的嵌入深度,
通过计算得出
Figure BDA0001860703300000063
包含T-hop邻居的拓扑信息和节点特征信息,初始的
Figure BDA0001860703300000064
是0,F的计算公式为:
Figure BDA0001860703300000065
其中,xv是一个d维的特征向量,W1是一个d×p的矩阵,d是特征树状图中节点的特征数,p是设置的Embedding Size,σ是n层的全连接神经网络,公式如下:
Figure BDA0001860703300000066
其中,Pi(i=1,…,n)是一个p×p的矩阵,n是嵌入深度;
通过上述公式便计算出各个节点μv(n)的值;
步骤4.2:计算嵌入特征μv的向量之和μg
Figure BDA0001860703300000071
步骤4.3:将μg变换为特征向量φ(g)后输出,所述特征向量φ(g)的计算公式为:
Figure BDA0001860703300000072
其中,W2是一个p×p的矩阵,用来变换μg的向量;
步骤5:利用BP神经网络模型对特征向量进行训练和测试,得到检测模型M;
步骤5.1:将特征向量φ(g)划分为训练集和测试集;
步骤5.2:利用BP神经网络模型对步骤5.1的训练集进行训练,使用反向传播进行BP网络权值更新和Graph Embedding网络权值更新,得到临时检测模型M1;
步骤5.3:利用临时检测模型M1对步骤5.1的测试集进行测试,得到测试误差k;
步骤5.4:测试误差k若满足预先设定的期望值Θ,则输出最终检测模型M;否则,返回步骤5.2,修改BP神经网络模型的参数,重新对训练集进行训练,再得到新的临时模型M2,直到测试误差k满足预先设定的期望值Θ为止;所述预先设定的期望值Θ为90%;
步骤6:利用检测模型M完成恶意软件的检测。
本实施例中,输入数据是HTTP行为树状图的特征向量,输出结果是分类标签,0代表良性软件,1代表恶意软件。
本发明采用行为图的方法进行恶意软件和正常软件的检测,未使用特征匹配的方式,不需要软件特征即可实现恶意软件检测,克服了传统检测方法的缺点,对于变种以及新型的恶意软件都有一定的检测效果。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明的保护范围,任何熟悉本领域的技术人员在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (2)

1.基于HTTP行为图的恶意软件检测方法,其特征在于,包括以下步骤:
步骤1:收集恶意软件和良性软件产生的HTTP流量;
步骤2:使用收集的流量建立对应HTTP的行为树状图;
所述行为树状图包括根节点、子节点和边;
所述根节点是检测主机的源IP;
所述子节点是一个HTTP请求,包括HTTP请求包和HTTP应答包,分别记录了HTTP的请求内容和应答内容,所述HTTP请求还包括Host,Connection,User-Agent和Referer的内容;
所述边是根节点以下的所有节点的产生原因,记录了这个节点与其父节点的关系;
步骤3:提取行为树状图每个节点的特征,生成特征树状图;
步骤3.1:提取步骤2中行为树状图每个节点的特征,所述特征包括请求资源类型,是否是DGA域名,请求与返回是否一致,是否是重定向,是否是连续重定向,路径上的连续重定向数量和节点深度;
步骤3.2:用每个节点的特征代替节点原本内容,生成特征树状图;
步骤4:基于神经网络的Graph Embedding算法,将特征树状图转换为特征向量;
步骤4.1:基于神经网络的Graph Embedding算法,计算步骤3的特征树状图中每个顶点的嵌入特征μv
步骤4.2:计算嵌入特征μv的向量之和μg
步骤4.3:将μg变换为特征向量φ(g)后输出;
其中:g表示特征树状图,v表示特征树状图的顶点;
步骤5:利用模型对特征向量进行训练和测试,得到检测模型M;
步骤5.1:将特征向量φ(g)划分为训练集和测试集;
步骤5.2:利用BP神经网络模型对步骤5.1的训练集进行训练,使用反向传播进行BP网络权值更新和Graph Embedding网络权值更新,得到临时检测模型M1;
步骤5.3:利用临时检测模型M1对步骤5.1的测试集进行测试,得到测试误差k;
步骤5.4:测试误差k若满足预先设定的期望值Θ,则输出最终检测模型M;否则,返回步骤5.2,修改BP神经网络模型的参数,重新对训练集进行训练,再得到新的临时模型M2,直到测试误差k满足预先设定的期望值Θ为止;步骤6:利用检测模型M完成恶意软件的检测。
2.根据权利要求1所述的基于HTTP行为图的恶意软件检测方法,其特征在于:所述步骤5.4中预先设定的期望值Θ为90%。
CN201811333866.9A 2018-11-09 2018-11-09 基于http行为图的恶意软件检测方法 Active CN109525577B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811333866.9A CN109525577B (zh) 2018-11-09 2018-11-09 基于http行为图的恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811333866.9A CN109525577B (zh) 2018-11-09 2018-11-09 基于http行为图的恶意软件检测方法

Publications (2)

Publication Number Publication Date
CN109525577A CN109525577A (zh) 2019-03-26
CN109525577B true CN109525577B (zh) 2021-08-20

Family

ID=65773713

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811333866.9A Active CN109525577B (zh) 2018-11-09 2018-11-09 基于http行为图的恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN109525577B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11373063B2 (en) * 2018-12-10 2022-06-28 International Business Machines Corporation System and method for staged ensemble classification
CN110062013A (zh) * 2019-06-04 2019-07-26 电子科技大学 一种针对恶意软件http流量的检测系统及其方法
CN111737694B (zh) * 2020-05-19 2023-04-25 华南理工大学 一种基于行为树的恶意软件同源性分析方法
CN113256507B (zh) * 2021-04-01 2023-11-21 南京信息工程大学 一种针对二进制流量数据生成图像的注意力增强方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104735074A (zh) * 2015-03-31 2015-06-24 江苏通付盾信息科技有限公司 一种恶意url检测方法及其实现系统
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及系统
CN105656886A (zh) * 2015-12-29 2016-06-08 北京邮电大学 一种基于机器学习的网站攻击行为的检测方法及装置
CN105915555A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 网络异常行为的检测方法及系统
US9531736B1 (en) * 2012-12-24 2016-12-27 Narus, Inc. Detecting malicious HTTP redirections using user browsing activity trees
CN108566364A (zh) * 2018-01-15 2018-09-21 中国人民解放军国防科技大学 一种基于神经网络的入侵检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9531736B1 (en) * 2012-12-24 2016-12-27 Narus, Inc. Detecting malicious HTTP redirections using user browsing activity trees
CN104735074A (zh) * 2015-03-31 2015-06-24 江苏通付盾信息科技有限公司 一种恶意url检测方法及其实现系统
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及系统
CN105656886A (zh) * 2015-12-29 2016-06-08 北京邮电大学 一种基于机器学习的网站攻击行为的检测方法及装置
CN105915555A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 网络异常行为的检测方法及系统
CN108566364A (zh) * 2018-01-15 2018-09-21 中国人民解放军国防科技大学 一种基于神经网络的入侵检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
" Neural network-based graph embedding for cross-platform binary code similarity detection";Xu Xiaojun等;《Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security》;20171103;第363-276页 *
"Detecting malicious http redirections using trees of user browsing activity ";Mekky Hesham等;《IEEE INFOCOM 2014-IEEE Conference on Computer Communications》;20140708;第1159-1167页 *

Also Published As

Publication number Publication date
CN109525577A (zh) 2019-03-26

Similar Documents

Publication Publication Date Title
Koroniotis et al. Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset
US10708288B2 (en) Computerized system and method for automatically determining malicious IP clusters using network activity data
TWI648650B (zh) 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
Vinayakumar et al. Scalable framework for cyber threat situational awareness based on domain name systems data analysis
US10375143B2 (en) Learning indicators of compromise with hierarchical models
Homayoun et al. BoTShark: A deep learning approach for botnet traffic detection
CN109525577B (zh) 基于http行为图的恶意软件检测方法
Karataş et al. A review on social bot detection techniques and research directions
Rahbarinia et al. Peerrush: Mining for unwanted p2p traffic
Biswas et al. Botnet traffic identification using neural networks
Lin et al. Using federated learning on malware classification
Moghanian et al. GOAMLP: Network intrusion detection with multilayer perceptron and grasshopper optimization algorithm
Rao et al. Tor anonymous traffic identification based on gravitational clustering
Elnakib et al. EIDM: Deep learning model for IoT intrusion detection systems
Chen et al. Ai@ ntiphish—machine learning mechanisms for cyber-phishing attack
Garcıa Identifying, modeling and detecting botnet behaviors in the network
CN111224941A (zh) 一种威胁类型识别方法及装置
Fallah et al. Android malware detection using network traffic based on sequential deep learning models
Dong et al. BotDetector: An extreme learning machine‐based Internet of Things botnet detection model
Li et al. A method based on statistical characteristics for detection malware requests in network traffic
Lei et al. Detecting malicious domains with behavioral modeling and graph embedding
Sadique et al. Modeling and analyzing attacker behavior in IoT botnet using temporal convolution network (TCN)
Parasar et al. An Automated System to Detect Phishing URL by Using Machine Learning Algorithm
Guntuku et al. Real-time peer-to-peer botnet detection framework based on bayesian regularized neural network
CN115834176A (zh) 一种基于沙箱流量构建异构图的恶意域名检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant