CN110493235A - 一种基于网络流量特征的移动终端恶意软件同步检测方法 - Google Patents
一种基于网络流量特征的移动终端恶意软件同步检测方法 Download PDFInfo
- Publication number
- CN110493235A CN110493235A CN201910785124.8A CN201910785124A CN110493235A CN 110493235 A CN110493235 A CN 110493235A CN 201910785124 A CN201910785124 A CN 201910785124A CN 110493235 A CN110493235 A CN 110493235A
- Authority
- CN
- China
- Prior art keywords
- network
- network flow
- sample
- feature
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络流量特征的移动终端恶意软件同步检测方法,包括:A.进行网络流量收集,B.对网络流量进行分组,C.提取网络流量最小单元,D.提取网络流量特征,E.训练特征检测模型,F.提取待检测样本的网络数据特征,G.将待检测样本的特征向量输入特征检测模型进行同步检测。本发明的检测方法可有效解决现有技术检测时有延时,不能同步的缺陷。
Description
技术领域
本发明涉及软件安全技术领域,特别涉及一种基于网络流量特征的移动终端恶意软件同步检测方法。
背景技术
近些年来,随着网络和计算机软件得到快速的发展,移动终端也得到了快速的发展,尤其是智能手机的迅速普及。现如今,手机已不再局限于传统意义上的通信业务,而是成为了集电子商务、个人支付、社交娱乐等功能于一体的强大终端。然而随着移动应用的普及和用户数量爆发式增长,越来越多的攻击者把目标转向了终端的应用软件中,随之暴露的关于移动终端应用软件安全问题也越来越多,随着移动终端的恶意软件层出不穷,移动智能终端的安全面临着巨大挑战,对恶意软件的检测也变得日趋重要。
传统的移动终端恶意软件检测方主要有两种:其一是利用反编译工具和逆向工程技术,对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意软件,但是随着代码混淆、加壳等技术的出现,通过反编译来对恶意软件的特征匹配,变成了一件非常困难的事情。同时,这种检测技术非常依赖于已有恶意软件的特征,对未知恶意软件的发现功能存在不足。其二是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的,这种动态的方法对未知的恶意应用具有一定的发现功能,但是对用户终端的资源消耗巨大,并且难以大规模部署实施。
现有的通过网络流量特征,来发现移动终端的恶意软件网络行为的检测技术,通常是对不同TCP会话中的网络流量进行分析,或者是对网络数据包逐个进行分析来检测恶意软件的,这种检测技术具有一定的延时缺陷,不能同步的对恶意软件行为做出检测。
发明内容
本发明的目的是克服上述背景技术中不足,提供一种基于网络流量特征的移动终端恶意软件同步检测方法,可有效解决现有技术检测时有延时,不能同步的缺陷。
为了达到上述的技术效果,本发明采取以下技术方案:
一种基于网络流量特征的移动终端恶意软件同步检测方法,包括以下步骤:
A.进行网络流量收集,分别收集正常软件样本和恶意软件样本所产生的网络流量,将收集的网络流量作为训练恶意软件检测模型的初始数据集;
B.对网络流量进行分组;
C.提取网络流量最小单元;
D.提取网络流量特征;包括从网络流量最小单元的各个数据包的头部字段信息中,提取网络数据包字段特征,并将提取的网络数据包字段特征作为向量的元素,组成一个特征向量;
E.训练特征检测模型;分别将每个特征向量标记为与该特征向量对应的软件样本类别,将所有标记后的特征向量组成特征检测模型的训练样本集,并利用决策算法对训练样本集进行训练,得到特征检测模型;
F.提取待检测样本的网络数据特征;
G.将待检测样本的特征向量输入特征检测模型进行同步检测;
本发明的移动终端恶意软件同步检测方法包括了检测模型建立阶段和同步检测阶段,其中检测模型建立阶段,是通过对正常软件和恶意软件的网络流量数据进行分析,提取出能够区分正常软件和恶意软件的网络数据特征,然后使用对应算法对不同类型的网络流量特征建立恶意软件检测模型;同步检测阶段,是使用模型训练阶段建立的恶意软件检测模型,对待检测软件样本进行同步检测,输出检测结果。
进一步地,所述步骤B具体为根据网络流量分组的定义规则,对初始数据集进行分组,得到不同的网络流量分组。
进一步地,所述网络流量分组的定义规则为:对于初始数据集中的网络数据包,按照网络数据包的时间顺序,将时间间隔小于T秒的相邻的网络数据包,划分为一个网络流量分组。
进一步地,所述步骤C具体为根据网络流量最小单元的定义规则,分别从每个网络流量分组中提取网络流量最小单元。
进一步地,所述网络流量最小单元的定义规则为:对于每一个网络流量分组内的网络数据包,根据时间顺序,按照五元组特征,将具有相同的源IP、目的IP、源端口、目的端口、协议的网络数据包,划分成一个网络数据流最小单元,且7<total<256,其中,total为网络数据流最小单元中数据包的总数。
进一步地,所述步骤F包括:
F1.利用网络嗅探工具同步捕获待检测样本的网络流量数据;
F2.根据网络流量分组的定义规则,得到待检测样本的网络数据流分组;
F3.根据网络流量最小单元的定义规则,从待检测样本的网络数据流分组中提取网络流量最小单元;
F4.提取网络数据包字段特征作为向量的元素,组成特征向量。
进一步地,所述网络数据包字段特征包括:请求数据包的平均长度、响应数据包的平均长度、请求数据包个数或响应数据包个数、请求数据包字节数或响应数据包字节数、URI字段(URI包括访问资源的命名机制,存放资源的主机名,资源自身的名称,由路径表示)、请求方法字段、User-Agent字段、Host字段。
进一步地,所述步骤E中所述决策算法为C4.5算法。
进一步地,所述C4.5算法具体实现过程如下:
S1.将特征向量及其对应的软件样本类别作为训练样本集,其中每个特征向量的所有字段特征组成特征集合;
S2.创建一个树节点,判断训练样本集中的样本是否全属于同一类别,若是,将树节点标记为该类叶子结点并执行步骤S11,否则,直接执行步骤S3;
S3.判断特征集合中的候选特征是否为空,若是,则执行步骤S4,否则,执行步骤S5;
S4.将树节点标记为训练样本集中样本数最多的软件样本类别,执行步骤S11;
S5.按照下式,计算特征集合中的每个字段特征的信息增益率:
其中,Ki表示的第i个字段特征的信息增益率,T(D)表示训练样本集D的信息熵,Σ表示求和操作,v表示当前字段特征的取值的总数,W表示当前字段特征取值相同的所有训练样本,T(W)表示信息熵;
S6.从特征集合中的所有字段特征的信息增益率中,选择信息增益率最大的字段特征,作为树节点的最优特征;
S7.按照训练样本在树节点的最优特征上的不同取值,将训练样本集划分为不同的训练样本子集;
S8.分别判断每个训练样本子集是否为空,若是,则执行步骤S10,否则,执行步骤S9;
S9.将训练样本子集作为训练样本集,从特征集合中去掉当前最优特征,继续递归执行步骤S2;
S10.将当前分支结点标记为叶子结点,类别标记为训练样本集中样本最多的类别,执行步骤S11;
S11.将得到的C4.5模型作为特征检测模型。
进一步地,所述步骤G具体为:将待检测样本的特征向量输入特征检测模型进行同步检测,判断特征检测模型的输出是否为恶意软件类别,若是,提示用户该待检测样本为恶意软件;否则,提示用户该待检测样本为正常软件。
本发明与现有技术相比,具有以下的有益效果:
本发明的基于网络流量特征的移动终端恶意软件同步检测方法,包括检测模型建立阶段和同步检测阶段,其中检测模型建立阶段,是通过对正常软件和恶意软件的网络流量数据进行分析,提取出能够区分正常软件和恶意软件的网络数据特征,然后使用C4.5算法对不同类型的网络流量特征建立恶意软件检测模型;同步检测阶段,是使用模型训练阶段建立的恶意软件检测模型,对待检测软件样本进行同步检测,输出检测结果,最终实现移动终端恶意软件的检测,本发明的检测方法可有效解决现有技术检测时有延时,不能同步的缺陷。
附图说明
图1是本发明的基于网络流量特征的移动终端恶意软件同步检测方法的流程示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
如图1所示,一种基于网络流量特征的移动终端恶意软件同步检测方法,包括以下步骤:
步骤1.网络流量收集。
分别收集正常软件样本和恶意软件样本所产生的网络流量,将收集的网络流量作为训练恶意软件检测模型的初始数据集。
具体的,本实施例中,正常软件网络流量收集是采用爬虫技术,到用户指定的官方网站或者是第三方市场收集移动终端软件,使用网络嗅探工具(如Wireshark,Tcpdump等)收集移动终端软件的网络流量。
恶意软件网络流量收集时由于真实的环境中恶意软件网络流量样本缺少,本实施例中采用模拟搭建恶意软件入侵的环境的方式,按照恶意软件的种类、攻击的行为写好自动化脚本,运行时产生大量恶意软件流量,使用网络嗅探工具(如Wireshark,Tcpdump等)收集恶意软件网络流量。
步骤2.对网络流量进行分组。
即根据网络流量分组的定义规则,对初始数据集进行分组,得到多个不同的网络流量分组。其中网络流量分组的定义规则具体为:对于初始数据集中的网络流量,按照网络数据包的时间顺序,将时间间隔小于T秒的相邻的网络数据包,划分为一个网络流量分组。
步骤3.提取网络流量最小单元。
即根据网络流量最小单元的定义规则,分别从每个网络流量分组中提取网络流量最小单元。其中,网络流量最小单元的定义规则具体为:对于每一个网络流量分组内的网络数据包,按照时间顺序,根据五元组特征,将具有相同的源IP、目的IP、源端口、目的端口、协议的网络数据包,划分成一个网络数据流最小单元,7<total<256,其中,total为网络数据流最小单元中数据包的总数。
步骤4.提取网络流量特征。
包括:步骤4.1.从网络数据流最小单元的各个数据包的头部字段信息中,提取网络数据包字段特征。
其中,数据包字段特征包括:请求数据包的平均长度、响应数据包的平均长度、请求数据包个数/响应数据包个数、请求数据包字节数/响应数据包字节数、URI字段(其中URI包括访问资源的命名机制,存放资源的主机名,资源自身的名称,由路径表示)、请求方法字段、User-Agent字段、Host字段。
步骤4.2.将提取的网络数据包特征作为向量的元素,组成一个特征向量。
步骤5.训练特征检测模型。
即分别将每个特征向量标记为与该特征向量对应的软件样本类别,将所有标记后的特征向量组成特征检测模型的训练样本集;利用C4.5算法,对训练样本集进行训练,得到特征检测模型。
具体的,本实施例中,C4.5算法的具体实现过程如下:
S1.将特征向量及其对应的软件样本类别作为训练样本集,其中每个特征向量的所有字段特征组成特征集合;
S2.创建一个树节点,判断训练样本集中的样本是否全属于同一类别,若是,将树节点标记为该类叶子结点并执行步骤S11,否则,直接执行步骤S3;
S3.判断特征集合中的候选特征是否为空,若是,则执行步骤S4,否则,执行步骤S5;
S4.将树节点标记为训练样本集中样本数最多的软件样本类别,执行步骤S11;
S5.按照下式,计算特征集合中的每个字段特征的信息增益率:
其中,Ki表示的第i个字段特征的信息增益率,T(D)表示训练样本集D的信息熵,Σ表示求和操作,v表示当前字段特征的取值的总数,W表示当前字段特征取值相同的所有训练样本,T(W)表示信息熵;
S6.从特征集合中的所有字段特征的信息增益率中,选择信息增益率最大的字段特征,作为树节点的最优特征;
S7.按照训练样本在树节点的最优特征上的不同取值,将训练样本集划分为不同的训练样本子集;
S8.分别判断每个训练样本子集是否为空,若是,则执行步骤S10,否则,执行步骤S9;
S9.将训练样本子集作为训练样本集,从特征集合中去掉当前最优特征,继续递归执行步骤S2;
S10.将当前分支结点标记为叶子结点,类别标记为训练样本集中样本最多的类别,执行步骤S11;
S11.将得到的C4.5模型作为特征检测模型。
步骤6.提取待检测样本的网络数据特征。
包括:步骤6.1.利用网络嗅探工具(如Wireshark,Tcpdump等),同步捕获待检测样本的网络流量数据;
步骤6.2.根据网络数据流分组的定义规则,得到待检测样本的网络数据流分组;
步骤6.3.根据数据流最小单元的定义规则,从待检测样本的网络数据流分组中提取网络数据流最小单元;
步骤6.4.提取网络数据包字段特征作为向量的元素,组成特征向量。
步骤7.同步检测。
即将待检测样本的特征向量输入特征检测模型同步检测,判断特征检测模型的输出是否为恶意软件类别,若是,提示用户该待检测样本为恶意软件;否则,提示用户该待检测样本为正常软件。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,包括以下步骤:
A.进行网络流量收集,分别收集正常软件样本和恶意软件样本所产生的网络流量,将收集的网络流量作为训练恶意软件检测模型的初始数据集;
B.对网络流量进行分组;
C.提取网络流量最小单元;
D.提取网络流量特征;包括从网络流量最小单元的各个数据包的头部字段信息中,提取网络数据包字段特征,并将提取的网络数据包字段特征作为向量的元素,组成一个特征向量;
E.训练特征检测模型;分别将每个特征向量标记为与该特征向量对应的软件样本类别,将所有标记后的特征向量组成特征检测模型的训练样本集,并利用决策算法对训练样本集进行训练,得到特征检测模型;
F.提取待检测样本的网络数据特征;
G.将待检测样本的特征向量输入特征检测模型进行同步检测。
2.根据权利要求1所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述步骤B具体为根据网络流量分组的定义规则,对初始数据集进行分组,得到不同的网络流量分组。
3.根据权利要求2所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述网络流量分组的定义规则为:对于初始数据集中的网络数据包,按照网络数据包的时间顺序,将时间间隔小于T秒的相邻的网络数据包,划分为一个网络流量分组。
4.根据权利要求3所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述步骤C具体为根据网络流量最小单元的定义规则,分别从每个网络流量分组中提取网络流量最小单元。
5.根据权利要求4所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述网络流量最小单元的定义规则为:对于每一个网络流量分组内的网络数据包,根据时间顺序,按照五元组特征,将具有相同的源IP、目的IP、源端口、目的端口、协议的网络数据包,划分成一个网络数据流最小单元,且7<total<256,其中,total为网络数据流最小单元中数据包的总数。
6.根据权利要求4所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述步骤F包括:
F1.利用网络嗅探工具同步捕获待检测样本的网络流量数据;
F2.根据网络流量分组的定义规则,得到待检测样本的网络数据流分组;
F3.根据网络流量最小单元的定义规则,从待检测样本的网络数据流分组中提取网络流量最小单元;
F4.提取网络数据包字段特征作为向量的元素,组成特征向量。
7.根据权利要求1或6所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述网络数据包字段特征包括:请求数据包的平均长度、响应数据包的平均长度、请求数据包个数或响应数据包个数、请求数据包字节数或响应数据包字节数、URI字段、请求方法字段、User-Agent字段、Host字段。
8.根据权利要求1所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述步骤E中所述决策算法为C4.5算法。
9.根据权利要求8所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述C4.5算法具体实现过程如下:
S1.将特征向量及其对应的软件样本类别作为训练样本集,其中每个特征向量的所有字段特征组成特征集合;
S2.创建一个树节点,判断训练样本集中的样本是否全属于同一类别,若是,将树节点标记为该类叶子结点并执行步骤S11,否则,直接执行步骤S3;
S3.判断特征集合中的候选特征是否为空,若是,则执行步骤S4,否则,执行步骤S5;
S4.将树节点标记为训练样本集中样本数最多的软件样本类别,执行步骤S11;
S5.按照下式,计算特征集合中的每个字段特征的信息增益率:
其中,Ki表示的第i个字段特征的信息增益率,T(D)表示训练样本集D的信息熵,Σ表示求和操作,v表示当前字段特征的取值的总数,W表示当前字段特征取值相同的所有训练样本,T(W)表示信息熵;
S6.从特征集合中的所有字段特征的信息增益率中,选择信息增益率最大的字段特征,作为树节点的最优特征;
S7.按照训练样本在树节点的最优特征上的不同取值,将训练样本集划分为不同的训练样本子集;
S8.分别判断每个训练样本子集是否为空,若是,则执行步骤S10,否则,执行步骤S9;
S9.将训练样本子集作为训练样本集,从特征集合中去掉当前最优特征,继续递归执行步骤S2;
S10.将当前分支结点标记为叶子结点,类别标记为训练样本集中样本最多的类别,执行步骤S11;
S11.将得到的C4.5模型作为特征检测模型。
10.根据权利要求1所述的一种基于网络流量特征的移动终端恶意软件同步检测方法,其特征在于,所述步骤G具体为:将待检测样本的特征向量输入特征检测模型进行同步检测,判断特征检测模型的输出是否为恶意软件类别,若是,提示用户该待检测样本为恶意软件;否则,提示用户该待检测样本为正常软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910785124.8A CN110493235A (zh) | 2019-08-23 | 2019-08-23 | 一种基于网络流量特征的移动终端恶意软件同步检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910785124.8A CN110493235A (zh) | 2019-08-23 | 2019-08-23 | 一种基于网络流量特征的移动终端恶意软件同步检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110493235A true CN110493235A (zh) | 2019-11-22 |
Family
ID=68553351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910785124.8A Pending CN110493235A (zh) | 2019-08-23 | 2019-08-23 | 一种基于网络流量特征的移动终端恶意软件同步检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493235A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111163184A (zh) * | 2019-12-25 | 2020-05-15 | 杭州迪普科技股份有限公司 | 一种报文特征的提取方法和装置 |
CN111447232A (zh) * | 2020-03-30 | 2020-07-24 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
CN111859069A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络恶意爬虫识别方法、系统、终端及存储介质 |
CN112861130A (zh) * | 2021-01-28 | 2021-05-28 | 济南大学 | 从n到n+1的多类转换恶意软件检测方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
CN106845230A (zh) * | 2016-12-29 | 2017-06-13 | 济南大学 | 基于恶意网络流量词库的恶意软件检测可视化方法及系统 |
WO2018001295A1 (zh) * | 2016-06-30 | 2018-01-04 | 博奥生物集团有限公司 | 分子标志物、内参基因及其应用、检测试剂盒以及检测模型的构建方法 |
CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
CN110073301A (zh) * | 2017-08-02 | 2019-07-30 | 强力物联网投资组合2016有限公司 | 工业物联网中具有大数据集的数据收集环境下的检测方法和系统 |
-
2019
- 2019-08-23 CN CN201910785124.8A patent/CN110493235A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018001295A1 (zh) * | 2016-06-30 | 2018-01-04 | 博奥生物集团有限公司 | 分子标志物、内参基因及其应用、检测试剂盒以及检测模型的构建方法 |
CN106845230A (zh) * | 2016-12-29 | 2017-06-13 | 济南大学 | 基于恶意网络流量词库的恶意软件检测可视化方法及系统 |
CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
CN110073301A (zh) * | 2017-08-02 | 2019-07-30 | 强力物联网投资组合2016有限公司 | 工业物联网中具有大数据集的数据收集环境下的检测方法和系统 |
CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111163184A (zh) * | 2019-12-25 | 2020-05-15 | 杭州迪普科技股份有限公司 | 一种报文特征的提取方法和装置 |
CN111163184B (zh) * | 2019-12-25 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种报文特征的提取方法和装置 |
CN111447232A (zh) * | 2020-03-30 | 2020-07-24 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
CN111859069A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络恶意爬虫识别方法、系统、终端及存储介质 |
CN112861130A (zh) * | 2021-01-28 | 2021-05-28 | 济南大学 | 从n到n+1的多类转换恶意软件检测方法 |
CN112861130B (zh) * | 2021-01-28 | 2022-09-06 | 济南大学 | 从n到n+1的多类转换恶意软件检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 | |
CN105022960B (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及系统 | |
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
CN105187395B (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及系统 | |
CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
CN110221977B (zh) | 基于ai的网站渗透测试方法 | |
CN105530265B (zh) | 一种基于频繁项集描述的移动互联网恶意应用检测方法 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN106657141A (zh) | 基于网络流量分析的安卓恶意软件实时检测方法 | |
CN110347501A (zh) | 一种业务检测方法、装置、存储介质及电子设备 | |
CN103297270A (zh) | 应用类型识别方法及网络设备 | |
CN107515915A (zh) | 基于用户行为数据的用户标识关联方法 | |
CN110245273B (zh) | 一种获取app业务特征库的方法及相应的装置 | |
Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
CN103297267B (zh) | 一种网络行为的风险评估方法和系统 | |
CN108768921A (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
CN111245784A (zh) | 多维度检测恶意域名的方法 | |
CN104348741A (zh) | 基于多尺度分析和决策树的p2p流量检测方法和系统 | |
CN113868656A (zh) | 一种基于行为模式的apt事件同源判定方法 | |
Li et al. | Street-Level Landmarks Acquisition Based on SVM Classifiers. | |
Li et al. | Activetracker: Uncovering the trajectory of app activities over encrypted internet traffic streams | |
Wang et al. | Benchmark data for mobile app traffic research | |
CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
Elekar | Combination of data mining techniques for intrusion detection system | |
Ren et al. | App identification based on encrypted multi-smartphone sources traffic fingerprints |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191122 |
|
RJ01 | Rejection of invention patent application after publication |