CN109831462A - 一种病毒检测方法及装置 - Google Patents

一种病毒检测方法及装置 Download PDF

Info

Publication number
CN109831462A
CN109831462A CN201910251958.0A CN201910251958A CN109831462A CN 109831462 A CN109831462 A CN 109831462A CN 201910251958 A CN201910251958 A CN 201910251958A CN 109831462 A CN109831462 A CN 109831462A
Authority
CN
China
Prior art keywords
node
communication behavior
under
default
dimension
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910251958.0A
Other languages
English (en)
Other versions
CN109831462B (zh
Inventor
顾成杰
张力
孙松儿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201910251958.0A priority Critical patent/CN109831462B/zh
Publication of CN109831462A publication Critical patent/CN109831462A/zh
Application granted granted Critical
Publication of CN109831462B publication Critical patent/CN109831462B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种病毒检测方法及装置,包括:确定通过预设端口与第一节点通信的第二节点的个数;若所确定的个数大于预设个数阈值,则判断所述第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;若大于预设相似度阈值,则确定第一节点感染病毒。应用本申请实施例提供的技术方案,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测;另外,也不需要与大量已知病毒的特征进行比对,提高了病毒检测效率。

Description

一种病毒检测方法及装置
技术领域
本申请涉及网络安全领域,特别是涉及一种病毒检测方法及装置。
背景技术
蠕虫病毒是一种通过网络传播的恶性病毒。蠕虫病毒的泛滥,能够造成操作系统被滥用或重复重启,让网络的流量突然暴涨,且持续不断地进行大量的网络扫描行为,形成对网络使用量的阻断攻击。因此,需要一种方法能有效的对蠕虫病毒进行检测。
目前,采用净荷特征比对的方法对蠕虫病毒进行检测。具体的过程为:获取节点发送的流量包,将流量包中的载荷与特征库中的特征逐一匹配。若特征库中存在与流量包中的载荷匹配的特征,则确定该流量包为蠕虫病毒,该节点被蠕虫病毒感染。
为了准确的识别出蠕虫病毒,特征库中需要存储大量的已知蠕虫病毒的特征。这使得逐一匹配特征的时间会很长,病毒检测效率较低。并且,对于未知的蠕虫病毒,采用上述蠕虫病毒检测方法无法准确的检测出。
发明内容
本申请实施例的目的在于提供一种病毒检测方法及装置,以实现对未知的蠕虫病毒的检测,并提高病毒检测效率。具体技术方案如下:
第一方面,本申请实施例提供了一种病毒检测方法,所述方法包括:
确定通过预设端口与第一节点通信的第二节点的个数;
若所述个数大于预设个数阈值,则判断所述第一节点利用所述预设端口与每一第二节点下的通信行为的相似度是否大于预设相似度阈值;
若大于所述预设相似度阈值,则确定所述第一节点感染病毒。
第二方面,本申请实施例提供了一种病毒检测装置,所述装置包括:
确定单元,用于确定通过预设端口与第一节点通信的第二节点的个数;
判断单元,用于若所述个数大于预设个数阈值,则判断所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
处理单元,用于若大于所述预设相似度阈值,则确定所述第一节点感染病毒。
第三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述病毒检测方法的任一步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述病毒检测方法的任一步骤。
本申请实施例提供的病毒检测方法及装置,基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,而不是利用病毒的特征确定第一节点是否感染病毒,因此,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测。另外,本申请实施例提供的技术方案中,不需要基于已知病毒的特征构建特征库,也不需要与大量已知病毒的特征进行比对,仅仅是基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,提高了病毒检测效率。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的病毒检测方法的一种流程示意图;
图2为本申请实施例提供的病毒检测方法的另一种流程示意图;
图3为本申请实施例提供的病毒检测装置的一种结构示意图;
图4为本申请实施例提供的病毒检测装置的另一种结构示意图;
图5为本申请实施例提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,检测蠕虫病毒时采用净荷特征比对的方法。具体的,获取节点发送的流量包,将流量包中的载荷与特征库中的特征逐一匹配。若特征库中存在与流量包中的载荷匹配的特征,则确定该流量包为蠕虫病毒,该节点被蠕虫病毒感染。
为了准确的识别出蠕虫病毒,特征库中需要存储大量的已知蠕虫病毒的特征。这使得逐一匹配特征的时间会很长,病毒检测效率较低。并且,对于未知的蠕虫病毒,其特征不会存储在特征库中,这也导致采用上述蠕虫病毒检测方法无法实现对未知的蠕虫病毒的检测。
为实现对未知的蠕虫病毒的检测,并提高病毒检测效率,本申请实施例提供了一种病毒检测方法。该方法可以应用于任一网络设备。网络设备可以为防火墙设备、路由器、交换机、服务器等设备。
本申请实施例提供的技术方案中,基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,而不是利用病毒的特征确定第一节点是否感染病毒,因此,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测。另外,不需要基于已知病毒的特征构建特征库,也不需要与大量已知病毒的特征进行比对,仅仅是基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,提高了病毒检测效率。
下面通过具体实施例,对本申请实施例提供的病毒检测方法进行具体说明。
参考图1,图1为本申请实施例提供的病毒检测方法的一种流程示意图,该方法包括以下步骤。为便于描述,下面以网络设备为执行主体进行说明。
步骤101,确定通过预设端口与第一节点通信的第二节点的个数。
其中,预设端口为预设病毒利用的端口,预设端口可以为一个或多个。例如,震荡波B变种蠕虫病毒利用的端口为5554端口和9996端口。网络设备若需要检测的病毒为震荡波B变种蠕虫病毒,则预设端口可以为5554端口和9996端口。针对不同的病毒,其利用的端口也是不同的,本申请实施例并不作特别限定。
本申请实施例中,节点可以为一个主机或虚拟机。第一节点可以为网络中的任一节点。第二节点为通过预设端口与第一节点通信的节点。第一节点通过预设端口向一节点发送流量包,则该节点为通过预设端口与第一节点通信的第二节点。
网络设备在进行病毒检测时,可以获取第一节点发送的流量包,分析流量包的目的IP(Internet Protocol,网络协议)地址、源IP地址、目的端口和源端口等信息。网络设备从获取的流量包中,筛选出源端口为预设端口流量包,并确定筛选出的流量包包括的目的IP地址的数量。其中,确定的目的IP地址的种类数即为通过预设端口与第一节点通信的第二节点的个数。
例如,预设端口为端口1和端口2。网络设备获取第一节点发送的流量包,包括流量包1-5。其中,流量包1的源端口为端口1,流量包2的源端口为端口2,流量包3的源端口为端口1,流量包4的源端口为端口3,流量包5的源端口为端口4。网络设备可筛选出源端口为预设端口流量包有流量包1、流量包2和流量包3。其中,流量包1的目的IP地址为IP1,流量包2的目的IP地址为IP1,流量包3的目的IP地址为IP2。则网络设备可确定筛选出的流量包包括的目的IP地址的数量为2,进而确定通过预设端口与第一节点通信的第二节点的个数为2。
本申请实施例中,只对预设端口的流量进行病毒检测,这大大降低了流量采集量和检测量。另外,网络设备不需要对第一节点发送的每一流量包进行检测,可提高病毒检测的及时性。
步骤102,若所确定的个数大于预设个数阈值,则判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值。若是,则执行步骤103。
步骤103,确定第一节点感染病毒。
其中,预设个数阈值可根据实际需要进行设定。例如,预设个数阈值可以为10、11等。利用预设端口的通信行为是通过预设端口进行通信时的通信行为。
网络设备在确定通过预设端口与第一节点通信的第二节点的个数后,判断所确定的个数是否大于预设个数阈值。考虑到一般情况下,感染病毒的节点会与大量节点通信,而正常节点(即未被感染病毒的节点)不会与大量节点通信的问题,若所确定的个数大于预设个数阈值,则网络设备可确定第一节点为疑似感染病毒的节点,进而确定第一节点与每一第二节点在预设端口下的通信行为的相似度是否大于预设相似度阈值。若所确定的个数小于等于预设个数阈值,网络设备可以确定第一节点为正常节点,结束本次对第一节点的检测。
一个可选的实施例中,网络设备可以预先设置用于评价通信行为的相似度的通信行为维度。其中,预设的通信行为维度可以包括:流量的总分组数,流量的总字节数,分组到达时间间隔中值,分组到达时间平均值,分组到达时间间隔方差,分组到达时间间隔最大值,分组到达时间间隔最小值,分组净荷平均值,分组净荷中值,分组净荷方差,分组净荷最大值,分组净荷最小值,分组大小平均值,分组大小中值,分组大小方差,分组大小最大值,分组大小最小值中的一个或多个。
其中,一个分组可以理解为一个流量包。
流量的总分组数表示第一节点向一个第二节点发送的流量包的总个数。
流量的总字节数表示流量包的总数据量。
分组到达时间表示流量包到达节点的时间。
分组净荷表示流量包包括的用户数据部分。
一个示例中,从工程应用的计算复杂度和检测精度的平衡性出发,网络设备预先设置的通信行为维度可以包括:流量的总分组数,流量的总字节数,分组到达时间间隔中值,分组到达时间平均值,分组净荷平均值,分组大小平均值。
基于预设的通信行为维度,网络设备判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值的步骤(步骤102),具体可以包括如下步骤。
步骤1021,根据第一节点利用预设端口与每一第二节点的通信行为,确定预设的每一通信行为维度下每一第二节点对应的第一特征值。
例如,第一节点为节点1,第二节点包括节点2和节点3,预设的通信行为维度包括维度1和维度2。网络设备获取到节点1利用预设端口与节点2在的通信行为1,以及节点1利用预设端口与节点3的通信行为2。
网络设备确定通信行为1在维度1下的特征值11,特征值11即为维度1下节点2对应的第一特征值。网络设备确定通信行为2在维度1下的特征值12,特征值12即为维度1下节点3对应的第一特征值。
网络设备确定通信行为1在维度2下的特征值21,特征值21即为维度2下节点2对应的第一特征值。网络设备确定通信行为2在维度2下的特征值22,特征值22即为维度2下节点3对应的第一特征值。
步骤1022,对于每一通信行为维度,根据每一第二节点对应的第一特征值,计算在该通信行为维度下第一特征值的方差。
仍以步骤1021中的例子进行说明。网络设备确定了第一特征值包括:维度1下节点2对应的特征值11,维度1下节点3对应的特征值12,维度2下节点2对应的特征值21,维度2下节点3对应的特征值22。对于维度1,网络设备计算特征值11和特征值12的方差1,对于维度2,网络设备计算特征值21和特征值22的方差2。其中,方差1为维度1下第一特征值的方差,方差2为维度2下第一特征值的方差。
步骤1023,判断各通信行为维度下第一特征值的方差是否均小于该通信行为维度下的预设方差阈值。如果是,则执行步骤1024。如果否,则执行步骤1025。
其中,预设方差阈值可以根据实际需求进行设定。本申请实施例中,各通信行为维度下的预设方差阈值可以相同,也可以不同。仍以步骤1021中的例子进行说明。维度1下的预设方差阈值和维度2下的预设方差阈值可以相同,也可以不同。
步骤1024,确定第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值。
步骤1025,确定第一节点与利用预设端口每一第二节点的通信行为的相似度不大于预设相似度阈值。
若各通信行为维度下第一特征值的方差均小于该通信行为维度下的预设方差阈值,则网络设备可确定第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值,第一节点与每一第二节点的通信行为基本相同。而这种与每一节点基本相同的通信行为可以被认为是病毒通信行为,因此,网络设备可确定第一节点感染病毒。若至少一通信行为维度下第一特征值的方差不小于该通信行为维度下的预设方差阈值,则网络设备可确定第一节点与每一第二节点的通信行为的相似度不大于预设相似度阈值,第一节点与每一第二节点的通信行为不相同。因此,网络设备可确定第一节点未感染病毒。
仍以步骤1022中的例子进行说明。网络设备确定了第一特征值的方差包括:维度1下特征值的方差1和维度2下特征值的方差2。网络设备若确定方差1小于维度1下的预设方差阈值,且方差2小于维度2下的预设方差阈值,则通信行为1和通信行为2的相似度大于预设相似度阈值,节点1感染病毒。网络设备若确定方差1不小于维度1下的预设方差阈值,或方差2不小于维度2下的预设方差阈值,则通信行为1和通信行为2的相似度不大于预设相似度阈值,节点1未感染病毒。
在本申请的一个实施例中,为了病毒检测的准确性,网络设备在确定第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值后,可获取第一节点发送的流量包,提取流量包的载荷与病毒特征库中的特征进行比对,判断第一节点发送的流量包的载荷与病毒特征库中的特征是否匹配。若匹配,则网络设备可确定第一节点感染病毒。若不匹配,则网络设备可确定第一节点未感染病毒。
本申请实施例中,网络设备通过节点的通信行为,筛选掉利用预设端口与每一节点的通信行为的相似度不大于预设相似度阈值的节点,利用剩余的节点发送的流量包的载荷与病毒特征库中的特征进行比对,可准确判断出节点是否感染病毒。并且由于筛选掉一些节点,因此减少参与与病毒特征库中的特征比对的节点数量,提高了病毒检测效率。
在本申请的一个实施例中,为了提高病毒检测的准确性,本申请实施例还提供了一种病毒检测方法。参考图2,图2为本申请实施例提供的病毒检测方法的另一种流程示意图,该方法包括以下步骤。
步骤201,确定通过预设端口与第一节点通信的第二节点的个数;
步骤202,若所确定的个数大于预设个数阈值,则判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值。如果是,则执行步骤203。
步骤201-202与步骤101-102相同。
步骤203,根据第一节点利用预设端口与每一第二节点的通信行为,确定在每一通信行为维度下所有第二节点对应的第二特征值。
例如,第一节点为节点1,第二节点包括节点2和节点3,预设的通信行为维度包括维度1和维度2。网络设备获取到节点1利用预设端口与节点2的通信行为1,以及节点1利用预设端口与节点3的通信行为2。
网络设备确定通信行为1和通信行为2在维度1下的特征值s1,特征值s1即为维度1下节点2和节点3二者对应的第二特征值。网络设备确定通信行为1和通信行为2在维度2下的特征值s2,特征值s2即为维度2下节点2和节点3二者对应的第二特征值。
一个可选的实施例中,上述步骤201可以为网络设备确定第一预设时间段内通过预设端口与第一节点通信的第二节点的个数。
上述步骤202可以为若所确定的个数大于预设个数阈值,则判断第一预设时间段内第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值。
上述步骤203可以为根据第一节点利用预设端口与每一第二节点的通信行为,确定第二预设时间段内在每一通信行为维度下所有第二节点对应的第二特征值,其中,第一预设时间段包括第二预设时间段。
步骤204,判断各通信行为维度下的第二特征值是否均小于该通信行为维度下的临界系数。若否,则执行步骤205。其中,每一通信行为维度下的临界系数依据该通信行为维度下的正常特征值确定。
网络设备统计未感染病毒的节点之间的通信行为在每一通信行为维度下的特征值,作为正常特征值。对于每一通信行为维度,网络设备根据该通信行为维度下的正常特征值,确定该通信行为维度下的临界系数。
一个可选的实施例中,网络设备将周期时间分成n个时间段,周期时间为第一预设时间段,每一时间段作为第二预设时间段。对于每一第二预设时间段,根据该第二预设时间段内每一通信行为维度下的正常特征值,确定该第二预设时间段内每一通信行为维度下的临界系数。也就是,每一通信行为维度下一第二预设时间段对应的临界系数依据该通信行为维度下该第二预设时间段对应的正常特征值确定。其中,周期时间可以为一天、一星期、一月等。
此时,上述步骤201可以为网络设备确定第一预设时间段内通过预设端口与第一节点通信的第二节点的个数。上述步骤202可以为若所确定的个数大于预设个数阈值,则判断第一预设时间段内第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值。上述步骤203可以为根据第一节点利用预设端口与每一第二节点的通信行为,确定第二预设时间段内在每一通信行为维度下所有第二节点对应的第二特征值,其中,第一预设时间段包括第二预设时间段。
例如,第一预设时间段为一天,第二预设时间段为1小时,当前时间为10月2日10:00。网络设备可以确定10月1日10:00至10月2日10:00这1天内通过预设端口与第一节点通信的第二节点的个数,若所确定的个数大于预设个数阈值,则判断10月1日10:00至10月2日10:00这1天内第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值。另外,网络设备根据第一节点利用预设端口与每一第二节点的通信行为,确定10月2日9:00至10月2日10:00这1小时内在每一通信行为维度下所有第二节点对应的第二特征值。
采用上述方式进行病毒检测,在网络流量呈现周期性规律变化,或者有明显的尖峰分布的情况下,可以准确的确定出节点是否感染病毒。
一个可选的实施例中,网络设备可以利用以下公式(1),更新每一通信行为维度下的基线值Qi
Qi=a×pi+(1-a)×Wi (1)
其中,a为预设权重,0<a<1,pi为第i个通信行为维度下的正常特征值,Qi为第i个通信行为维度下的基线值,Wi为第i个通信行为维度下更新前的基线值,1≤i≤m,m表示预设的通信行为维度的个数,i和m为正整数。
一个示例中,网络设备将周期时间分成n个时间段:t1,t2,…,tn。上述公式(1)可以改写为公式(2):
Qij=a×pij+(1-a)×Wij (2)
公式(2)中,Qij为当前周期的第j个时间段第i个通信行为维度下的基线值,pij为当前周期的第j个时间段第i个通信行为维度下的正常特征值,Wij为上一周期的第j个时间段第i个通信行为维度下的基线值。
例如,周期时间为一天,网络设备将周期时间分成12个时间段:t1,t2,…,t12,6个通信行为维度。以t2时间段,第1个通信行为维度为例。当天t1时间段第1个通信行为维度下的基线值Q12=a×p12+(1-a)×W12。其中,p12为当天第t2个时间段第1个通信行为维度下的正常特征值,W12为昨天第t2个时间段第1个通信行为维度下的基线值。
一个示例中,在确定基线值之后,网络设备将基线值Qi,确定该通信行为维度的临界系数Mi
另一个示例中,在确定基线值之后,网络设备根据基线值Qi,利用以下公式(3),确定该通信行为维度的临界系数Mi
Mi=K×Qi (3)
其中,K为预设常数,K>1,Mi为第i个通信行为维度下的临界系数,Qi为第i个通信行为维度下的基线值,1≤i≤m,m表示预设的通信行为维度的个数,i和m为正整数。
一个示例中,网络设备将周期时间分成n个时间段:t1,t2,…,tn。上述公式(3)可以改写为公式(4):
Mij=K×Qij (4)
公式(4)中,Mij为当前周期的第j个时间段第i个通信行为维度下的临界系数,Qij为当前周期的第j个时间段第i个通信行为维度下的基线值。
例如,周期时间为一天,网络设备将周期时间分成12个时间段:t1,t2,…,t12,6个通信行为维度。以t2时间段,第1个通信行为维度为例。当天t1时间段第1个通信行为维度下的临界系数M12=K×Q12。其中,Q12为当天第t2个时间段第1个通信行为维度下的基线值。
上述公式(3)和(4)中的K可根据实际需求进行设定。例如,K可以设置为一个较大值,此时,一旦判定一个节点与其他节点的通信行为在一通信行为维度下特征值超过了临界系数,则可判定该节点感染病毒,提高了病毒检测的准确性。K可以设置为一个较小值,这样,网络设备可将大部分节点判定为感染病毒,提高了网络的安全性。
步骤205,确定第一节点感染病毒。
网络设备若所有通信行为维度中存在一个通信行为维度,在该通信行为维度下所有第二节点对应的第二特征值大于等于该通信行为维度下的临界系数,则可确定第一节点感染病毒。若各通信行为维度下所有第二节点对应的第二特征值均小于该通信行为维度下的临界系数,则网络设备可确定第一节点未感染病毒。
本申请实施例中并不限定步骤202和步骤204的执行顺序。当确定至少一通信行为维度下的第二特征值不小于该通信行为维度下的临界系数,且第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值时,则可确定第一节点感染病毒。
一个示例中,网络设备将周期时间分成n个时间段,周期时间为第一预设时间段,每一时间段作为第二预设时间段。若第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值,且针对至少一第二预设时间段,至少一通信行为维度下的第二特征值不小于该通信行为维度下该第二预设时间段对应的临界系数,则网络设备可确定第一节点感染病毒。此时,对于一第二预设时间段,至少一通信行为维度下的第二特征值不小于该通信行为维度下该第二预设时间段对应的临界系数,则该第二预设时间段可标记为异常时间段。采用上述方式进行病毒检测,在网络流量呈现周期性规律变化,或者有明显的尖峰分布的情况下(例如某一时间段或时间点,网络流量明显增长或减少),可以准确的确定出节点是否感染病毒。
本申请实施例中,网络设备通过与第一节点通信的第二节点的数量,第一节点与各个第二节点间的通信行为的相似度,以及每一通信行为维度的临界系数,多个角度确定第一节点是否感染病毒,提高病毒检测的准确性。
在本申请的一个实施例中,为了病毒检测的准确性,网络设备在确定第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值,且至少一通信行为维度下的第二特征值不小于该通信行为维度下的临界系的情况下,可获取第一节点发送的流量包,提取流量包的载荷与病毒特征库中的特征进行比对,判断第一节点发送的流量包的载荷与病毒特征库中的特征是否匹配。若匹配,则网络设备可确定第一节点感染病毒。若不匹配,则网络设备可确定第一节点未感染病毒。
本申请实施例中,网络设备通过节点的通信行为和每一通信行为维度下流量的临界系数,筛选掉一些节点,利用剩余的节点发送的流量包的载荷与病毒特征库中的特征进行比对,可准确判断出节点是否感染病毒。并且由于筛选掉一些节点,因此减少参与与病毒特征库中的特征比对的节点数量,提高了病毒检测效率。
因为一个被病毒感染的节点会大量发送流量包到网络上,因此在网络中会留下许多信息流量记录。在本申请的一个实施例中,通过对第一节点发送的流量包进行解析,以确定流量包的目的端口号和目的IP地址。网络设备可根据目的端口号和目的IP地址来定位疑似受病毒感染的节点,以便于用户及时排除网络中被病毒感染的节点,提高网络的安全性。
一个示例中,网络设备将周期时间分成n个时间段。当某一时间段,在一通信行为维度下所有第二节点对应的特征值大于等于该通信行为维度下的临界系数,则网络设备可将该时间段标记为异常时间段,获取该时间段第一节点发送的流量包,判断获取的流量包的载荷与病毒特征库中的特征是否匹配。若匹配,则网络设备可确定第一节点感染病毒。若不匹配,则网络设备可确定第一节点未感染病毒。另外,网络设备对该时间段第一节点发送的流量包进行解析,确定流量包的目的端口号和目的IP地址。网络设备可根据目的端口号和目的IP地址来定位疑似受病毒感染的节点。这样,可以及时的排除网络中潜在的风险。
基于上述病毒检测方法实施例,本申请实施例还提供了一种病毒检测装置。参考图3,图3为本申请实施例提供的病毒检测装置的一种结构示意图,该装置包括:确定单元301、判断单元302和处理单元303。
其中,确定单元301,用于确定通过预设端口与第一节点通信的第二节点的个数;
判断单元302,用于若个数大于预设个数阈值,则判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
处理单元303,用于若大于预设相似度阈值,则确定第一节点感染病毒。
一个可选的实施例中,判断单元302,具体可以用于:
根据第一节点利用预设端口与每一第二节点的通信行为,确定预设的每一通信行为维度下每一第二节点对应的第一特征值;
对于每一通信行为维度,根据每一第二节点对应的第一特征值,计算在该通信行为维度下第一特征值的方差;
若各通信行为维度下第一特征值的方差均小于该通信行为维度下的预设方差阈值,则确定第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值;
若至少一通信行为维度下第一特征值的方差不小于该通信行为维度下的预设方差阈值,则确定第一节点利用预设端口与每一第二节点的通信行为的相似度不大于预设相似度阈值。
一个可选的实施例中,确定单元302,具体可以用于根据第一节点利用预设端口与每一第二节点的通信行为,确定在每一通信行为维度下所有第二节点对应的第二特征值;
处理单元303,具体可以用于若大于预设相似度阈值,且至少一通信行为维度下的第二特征值不小于该通信行为维度下的临界系数,则确定第一节点感染病毒,其中,每一通信行为维度下的临界系数依据该通信行为维度下的正常特征值确定。
一个可选的实施例中,确定单元302,具体可以用于确定第一预设时间段内通过预设端口与第一节点通信的第二节点的个数;根据第一节点利用预设端口与每一第二节点的通信行为,确定第二预设时间段内在每一通信行为维度下所有第二节点对应的第二特征值,其中,第一预设时间段包括至少一第二预设时间段;
处理单元303,具体可以用于若第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值,且针对至少一第二预设时间段,至少一通信行为维度下的第二特征值不小于该通信行为维度下该第二预设时间段对应的临界系数,则确定第一节点感染病毒,其中,每一通信行为维度下该第二预设时间段对应的临界系数依据该通信行为维度下该第二预设时间段对应的正常特征值确定。
一个可选的实施例中,预设的通信行为维度包括:流量的总分组数,流量的总字节数,分组到达时间间隔中值,分组到达时间平均值,分组到达时间间隔方差,分组到达时间间隔最大值,分组到达时间间隔最小值,分组净荷平均值,分组净荷中值,分组净荷方差,分组净荷最大值,分组净荷最小值,分组大小平均值,分组大小中值,分组大小方差,分组大小最大值,分组大小最小值中的一个或多个。
一个可选的实施例中,处理单元303,还可以用于若大于预设相似度阈值,判断第一节点发送的流量包的载荷与病毒特征库中的特征是否匹配;若匹配,则确定第一节点感染病毒。
本申请实施例提供的技术方案中,基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,而不是利用病毒的特征确定第一节点是否感染病毒,因此,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测。另外,不需要基于已知病毒的特征构建特征库,也不需要与大量已知病毒的特征进行比对,仅仅是基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,提高了病毒检测效率。
基于上述病毒检测方法,本申请实施例还提供了一种病毒检测装置。参考图4,图4为本申请实施例提供的病毒检测装置的另一种结构示意图,该装置包括:流量采集模块401、多维属性提取模块402、节点通信行为统计模块403、判断模块404、多维基线建立模块405、临界系数选择模块406和检测模块407。
其中,流量采集模块401,用于采集预设时间内第一节点向第二节点发送的流量包;
多维属性提取模块402,用于从采集的流量包中,确定源端口为预设端口的流量包,并从确定的流量包中提取预设的通信行为维度下的特征值;
节点通信行为统计模块403,用于统计通过预设端口与第一节点通信的第二节点的个数;
判断模块404,用于判断统计的个数是否大于预设个数阈值,并判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
多维基线建立模块405,用于根据当前周期时间内预设的每一通信行为维度下的正常特征值,确定当前周期时间内每一通信行为维度下基线值;
临界系数选择模块406,用于基于当前周期时间内每一通信行为维度下基线值,确定当前周期时间内每一通信行为维度的临界系数;
检测模块407,用于若统计的个数大于预设个数阈值,且第一节点利用预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值,则确定当前周期时间内各通信行为维度下所有第二节点对应的第二特征值,并判断当前周期时间内各通信行为维度下第二特征值是否均小于该通信行为维度下的临界系数;若至少一通信行为维度下第二特征值不小于该通信行为维度下的临界系数,则对获取的流量包进行分析,判断第一节点发送的流量包的载荷与病毒特征库中的特征是否匹配,若匹配,则确定第一节点感染病毒。另外,网络设备通过对第一节点发送的流量包进行解析,确定流量包的目的端口号和目的IP地址,根据目的端口号和目的IP地址来定位疑似受病毒感染的节点。
本申请实施例提供的技术方案中,基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,而不是利用病毒的特征确定第一节点是否感染病毒,因此,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测。另外,不需要基于已知病毒的特征构建特征库,也不需要与大量已知病毒的特征进行比对,仅仅是基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,提高了病毒检测效率。
基于上述病毒检测方法,本申请实施例还提供了一种网络设备,如图5所示,包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的机器可执行指令。处理器501被机器可执行指令促使实现上述图1-2所示的病毒检测方法的任一步骤。其中,病毒检测方法包括:
确定通过预设端口与第一节点通信的第二节点的个数;
若所确定的个数大于预设个数阈值,则判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
若大于预设相似度阈值,则确定第一节点感染病毒。
本申请实施例提供的技术方案中,基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,而不是利用病毒的特征确定第一节点是否感染病毒,因此,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测。另外,不需要基于已知病毒的特征构建特征库,也不需要与大量已知病毒的特征进行比对,仅仅是基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,提高了病毒检测效率。
一个可选的实施例中,如图5所示,网络设备还可以包括:通信接口503和通信总线504;其中,处理器501、机器可读存储介质502、通信接口503通过通信总线504完成相互间的通信,通信接口x03用于上述网络设备与其他设备之间的通信。
上述通信总线504可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线504可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述机器可读存储介质502可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质502还可以是至少一个位于远离前述处理器的存储装置。
上述处理器501可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于上述病毒检测方法,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图1-2所示的病毒检测方法的任一步骤。其中,病毒检测方法包括:
确定通过预设端口与第一节点通信的第二节点的个数;
若所确定的个数大于预设个数阈值,则判断第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
若大于预设相似度阈值,则确定第一节点感染病毒。
本申请实施例提供的技术方案中,基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,而不是利用病毒的特征确定第一节点是否感染病毒,因此,不需要预先获知病毒的特征,可实现对未知的蠕虫病毒的检测。另外,不需要基于已知病毒的特征构建特征库,也不需要与大量已知病毒的特征进行比对,仅仅是基于第一节点与各个第二节点的通信行为,确定第一节点是否感染病毒,提高了病毒检测效率。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于病毒检测装置、网络设备、机器可读存储介质实施例而言,由于其基本相似于病毒检测方法实施例,所以描述的比较简单,相关之处参见病毒检测方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (14)

1.一种病毒检测方法,其特征在于,所述方法包括:
确定通过预设端口与第一节点通信的第二节点的个数;
若所述个数大于预设个数阈值,则判断所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
若大于所述预设相似度阈值,则确定所述第一节点感染病毒。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值的步骤,包括:
根据所述第一节点利用所述预设端口与每一第二节点的通信行为,确定预设的每一通信行为维度下每一第二节点对应的第一特征值;
对于每一通信行为维度,根据每一第二节点对应的第一特征值,计算在该通信行为维度下第一特征值的方差;
若各通信行为维度下第一特征值的方差均小于该通信行为维度下的预设方差阈值,则确定所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值;
若至少一通信行为维度下第一特征值的方差不小于该通信行为维度下的预设方差阈值,则确定所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度不大于预设相似度阈值。
3.根据权利要求1所述的方法,其特征在于,在所述确定所述第一节点感染病毒的步骤之前,所述方法还包括:
根据所述第一节点利用所述预设端口与每一第二节点的通信行为,确定在每一通信行为维度下所有第二节点对应的第二特征值;
所述若大于所述预设相似度阈值,则确定所述第一节点感染病毒的步骤,包括:
若大于所述预设相似度阈值,且至少一通信行为维度下的第二特征值不小于该通信行为维度下的临界系数,则确定所述第一节点感染病毒,其中,每一通信行为维度下的临界系数依据该通信行为维度下的正常特征值确定。
4.根据权利要求3所述的方法,其特征在于,所述确定通过预设端口与第一节点通信的第二节点的个数的步骤,包括:确定第一预设时间段内通过预设端口与第一节点通信的第二节点的个数;
所述根据所述第一节点利用所述预设端口与每一第二节点在所述预设端口下的通信行为,确定在每一通信行为维度下所有第二节点对应的第二特征值的步骤,包括:根据所述第一节点利用所述预设端口与每一第二节点的通信行为,确定第二预设时间段内在每一通信行为维度下所有第二节点对应的第二特征值,其中,所述第一预设时间段包括至少一所述第二预设时间段;
所述若大于所述预设相似度阈值,则确定所述第一节点感染病毒的步骤,包括:若大于所述预设相似度阈值,且针对至少一第二预设时间段,至少一通信行为维度下的第二特征值不小于该通信行为维度下该第二预设时间段对应的临界系数,则确定所述第一节点感染病毒,其中,每一通信行为维度下该第二预设时间段对应的临界系数依据该通信行为维度下该第二预设时间段对应的正常特征值确定。
5.根据权利要求2-4任一项所述的方法,其特征在于,所述预设的通信行为维度包括:流量的总分组数,流量的总字节数,分组到达时间间隔中值,分组到达时间平均值,分组到达时间间隔方差,分组到达时间间隔最大值,分组到达时间间隔最小值,分组净荷平均值,分组净荷中值,分组净荷方差,分组净荷最大值,分组净荷最小值,分组大小平均值,分组大小中值,分组大小方差,分组大小最大值,分组大小最小值中的一个或多个。
6.根据权利要求1所述的方法,其特征在于,所述若大于所述预设相似度阈值,则确定所述第一节点感染病毒的步骤,包括:
若大于所述预设相似度阈值,判断所述第一节点发送的流量包的载荷与病毒特征库中的特征是否匹配;
若匹配,则确定所述第一节点感染病毒。
7.一种病毒检测装置,其特征在于,所述装置包括:
确定单元,用于确定通过预设端口与第一节点通信的第二节点的个数;
判断单元,用于若所述个数大于预设个数阈值,则判断所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值;
处理单元,用于若大于所述预设相似度阈值,则确定所述第一节点感染病毒。
8.根据权利要求7所述的装置,其特征在于,所述判断单元,具体用于:
根据所述第一节点利用所述预设端口与每一第二节点的通信行为,确定预设的每一通信行为维度下每一第二节点对应的第一特征值;
对于每一通信行为维度,根据每一第二节点对应的第一特征值,计算在该通信行为维度下第一特征值的方差;
若各通信行为维度下第一特征值的方差均小于该通信行为维度下的预设方差阈值,则确定所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度大于预设相似度阈值;
若至少一通信行为维度下第一特征值的方差不小于该通信行为维度下的预设方差阈值,则确定所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度不大于预设相似度阈值。
9.根据权利要求7所述的装置,其特征在于,所述确定单元,具体用于根据所述第一节点利用所述预设端口与每一第二节点的通信行为,确定在每一通信行为维度下所有第二节点对应的第二特征值;
所述处理单元,具体用于若大于所述预设相似度阈值,且至少一通信行为维度下的第二特征值不小于该通信行为维度下的临界系数,则确定所述第一节点感染病毒,其中,每一通信行为维度下的临界系数依据该通信行为维度下的正常特征值确定。
10.根据权利要求9所述的装置,其特征在于,所述确定单元,具体用于确定第一预设时间段内通过预设端口与第一节点通信的第二节点的个数;根据所述第一节点利用所述预设端口与每一第二节点的通信行为,确定第二预设时间段内在每一通信行为维度下所有第二节点对应的第二特征值,其中,所述第一预设时间段包括至少一所述第二预设时间段;
所述处理单元,具体用于若大于所述预设相似度阈值,且针对至少一第二预设时间段,至少一通信行为维度下的第二特征值不小于该通信行为维度下该第二预设时间段对应的临界系数,则确定所述第一节点感染病毒,其中,每一通信行为维度下该第二预设时间段对应的临界系数依据该通信行为维度下该第二预设时间段对应的正常特征值确定。
11.根据权利要求8-10任一项所述的装置,其特征在于,所述预设的通信行为维度包括:流量的总分组数,流量的总字节数,分组到达时间间隔中值,分组到达时间平均值,分组到达时间间隔方差,分组到达时间间隔最大值,分组到达时间间隔最小值,分组净荷平均值,分组净荷中值,分组净荷方差,分组净荷最大值,分组净荷最小值,分组大小平均值,分组大小中值,分组大小方差,分组大小最大值,分组大小最小值中的一个或多个。
12.根据权利要求7所述的装置,其特征在于,所述处理单元,还用于若大于所述预设相似度阈值,判断所述第一节点发送的流量包的载荷与病毒特征库中的特征是否匹配;若匹配,则确定所述第一节点感染病毒。
13.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
CN201910251958.0A 2019-03-29 2019-03-29 一种病毒检测方法及装置 Active CN109831462B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910251958.0A CN109831462B (zh) 2019-03-29 2019-03-29 一种病毒检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910251958.0A CN109831462B (zh) 2019-03-29 2019-03-29 一种病毒检测方法及装置

Publications (2)

Publication Number Publication Date
CN109831462A true CN109831462A (zh) 2019-05-31
CN109831462B CN109831462B (zh) 2021-12-24

Family

ID=66873792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910251958.0A Active CN109831462B (zh) 2019-03-29 2019-03-29 一种病毒检测方法及装置

Country Status (1)

Country Link
CN (1) CN109831462B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110933115A (zh) * 2019-12-31 2020-03-27 上海观安信息技术股份有限公司 基于动态session的分析对象行为异常检测方法及装置
CN111224997A (zh) * 2020-01-17 2020-06-02 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
CN111245855A (zh) * 2020-01-17 2020-06-05 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
WO2021098527A1 (zh) * 2019-11-19 2021-05-27 华为技术有限公司 一种蠕虫检测方法及网络设备
CN117951704A (zh) * 2024-03-27 2024-04-30 宁波和利时信息安全研究院有限公司 可执行文件的哈希计算方法、装置、电子设备和介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060089985A1 (en) * 2004-10-26 2006-04-27 Mazu Networks, Inc. Stackable aggregation for connection based anomaly detection
CN1848745A (zh) * 2005-04-13 2006-10-18 安氏互联网安全系统(中国)有限公司 基于网络流量特征的蠕虫病毒检测方法
US20100199349A1 (en) * 2004-10-26 2010-08-05 The Mitre Corporation Method, apparatus, and computer program product for detecting computer worms in a network
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN102111302A (zh) * 2009-12-28 2011-06-29 北京安码科技有限公司 一种蠕虫检测方法
US8151350B2 (en) * 2008-11-03 2012-04-03 Korea University Industry And Academy Collaboration Foundation Method and device for detecting unknown network worms
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
CN107682354A (zh) * 2017-10-25 2018-02-09 东软集团股份有限公司 一种网络病毒检测方法、装置及设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060089985A1 (en) * 2004-10-26 2006-04-27 Mazu Networks, Inc. Stackable aggregation for connection based anomaly detection
US20100199349A1 (en) * 2004-10-26 2010-08-05 The Mitre Corporation Method, apparatus, and computer program product for detecting computer worms in a network
CN1848745A (zh) * 2005-04-13 2006-10-18 安氏互联网安全系统(中国)有限公司 基于网络流量特征的蠕虫病毒检测方法
US8151350B2 (en) * 2008-11-03 2012-04-03 Korea University Industry And Academy Collaboration Foundation Method and device for detecting unknown network worms
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN102111302A (zh) * 2009-12-28 2011-06-29 北京安码科技有限公司 一种蠕虫检测方法
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
CN107682354A (zh) * 2017-10-25 2018-02-09 东软集团股份有限公司 一种网络病毒检测方法、装置及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
卿斯汉等: "一种基于网状关联分析的网络蠕虫预警新方法", 《通信学报》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021098527A1 (zh) * 2019-11-19 2021-05-27 华为技术有限公司 一种蠕虫检测方法及网络设备
CN110933115A (zh) * 2019-12-31 2020-03-27 上海观安信息技术股份有限公司 基于动态session的分析对象行为异常检测方法及装置
CN110933115B (zh) * 2019-12-31 2022-04-29 上海观安信息技术股份有限公司 基于动态session的分析对象行为异常检测方法及装置
CN111224997A (zh) * 2020-01-17 2020-06-02 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
CN111245855A (zh) * 2020-01-17 2020-06-05 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
US20210226964A1 (en) * 2020-01-17 2021-07-22 Hangzhou Dptech Technologies Co., Ltd. Suppressing virus propagation in a local area network
CN111245855B (zh) * 2020-01-17 2022-04-26 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
US11736514B2 (en) * 2020-01-17 2023-08-22 Hangzhou Dptech Technologies Co., Ltd. Suppressing virus propagation in a local area network
US12003530B2 (en) 2020-01-17 2024-06-04 Hangzhou Dptech Technologies Co., Ltd. Suppressing virus propagation in a local area network
CN117951704A (zh) * 2024-03-27 2024-04-30 宁波和利时信息安全研究院有限公司 可执行文件的哈希计算方法、装置、电子设备和介质
CN117951704B (zh) * 2024-03-27 2024-06-07 宁波和利时信息安全研究院有限公司 可执行文件的哈希计算方法、装置、电子设备和介质

Also Published As

Publication number Publication date
CN109831462B (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
CN109831462A (zh) 一种病毒检测方法及装置
CN106453392B (zh) 基于流量特征分布的全网络异常流识别方法
US9787556B2 (en) Apparatus, system, and method for enhanced monitoring, searching, and visualization of network data
WO2019136955A1 (zh) 基于画像技术的网络异常检测方法、装置、设备及介质
CN1946077B (zh) 基于及早通知检测异常业务的系统和方法
CN101001242B (zh) 网络设备入侵检测的方法
CN106357673A (zh) 一种多租户云计算系统DDoS攻击检测方法及系统
CN106790050A (zh) 一种异常流量检测方法及检测系统
WO2011130957A1 (zh) 利用数据流头部特征的tcp流量在线识别方法及装置
JP5673805B2 (ja) ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム
CN105991587A (zh) 一种入侵检测方法及系统
CN103532969A (zh) 一种僵尸网络检测方法、装置及处理器
JPH07221760A (ja) データ捕獲装置
JP2020174257A (ja) 登録システム、登録方法及び登録プログラム
EP3823217A1 (en) Network flow measurement method, network measurement device and control plane device
CN107566192A (zh) 一种异常流量处理方法及网管设备
CN110417748A (zh) 一种攻击检测方法及装置
CN108494635A (zh) 一种基于云计算的网络流量探测系统
EP3092737B1 (en) Systems for enhanced monitoring, searching, and visualization of network data
DK2929472T3 (en) Device, system and approach for improved network monitoring, data reporting and data processing
CN114189480B (zh) 一种流量采样方法、装置、电子设备及介质
CN101815076B (zh) 一种内网蠕虫主机检测方法
CN113395255B (zh) 一种autossh反向代理检测方法、系统、设备及可读存储介质
US5778172A (en) Enhanced real-time topology analysis system or high speed networks
US20230254234A1 (en) Imparting device, imparting method, and imparting program

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant