CN110602102A - 一种僵尸网络的检测方法及系统 - Google Patents

一种僵尸网络的检测方法及系统 Download PDF

Info

Publication number
CN110602102A
CN110602102A CN201910874101.4A CN201910874101A CN110602102A CN 110602102 A CN110602102 A CN 110602102A CN 201910874101 A CN201910874101 A CN 201910874101A CN 110602102 A CN110602102 A CN 110602102A
Authority
CN
China
Prior art keywords
botnet
generator
noise simulation
flow
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910874101.4A
Other languages
English (en)
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201910874101.4A priority Critical patent/CN110602102A/zh
Publication of CN110602102A publication Critical patent/CN110602102A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Virology (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种僵尸网络的检测方法及系统,可以基于历史网络数据,分析构建一个噪声模拟僵尸网络流模型,首先使用真实僵尸网络流训练所述噪声模拟僵尸网络流模型,所述模型自身还有不断复合、变异僵尸网络的能力,当噪声模拟僵尸网络流模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟僵尸网络源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。

Description

一种僵尸网络的检测方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种僵尸网络的检测方法及系统。
背景技术
僵尸网络是感染相同病毒的主机所构成的网络,严重危害网络的安全,僵尸网络的检测一直是网络安全的热点。现有的僵尸网络检测不考虑网络流负载信息,例如数据包长度、字节长度,只对网络流五元组进行分析,误报率较高,并且无法检测新型的僵尸网络。所以急需一种可以自我生成可使用的僵尸网络,增强训练数据,提升检测模型性能的方法和系统。
发明内容
本发明的目的在于提供一种僵尸网络的检测方法及系统,可以基于历史网络数据,分析构建一个噪声模拟僵尸网络流模型,首先使用真实僵尸网络流训练所述噪声模拟僵尸网络流模型,所述模型自身还有不断复合、变异僵尸网络的能力,当噪声模拟僵尸网络流模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟僵尸网络源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。
第一方面,本申请提供一种僵尸网络的检测方法,所述方法包括:
获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;
其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];
基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;
所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;
将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;
所述判别器根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;
将所述噪声模拟僵尸网络流模型接入机器学习模块,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。
结合第一方面,在第一方面第一种可能的实现方式中,所述变异僵尸网络特征而成的数据流,包括对已知的僵尸网络特征向量做扩展,以及修改若干僵尸网络的字段,进而再形成数据流。
结合第一方面,在第一方面第二种可能的实现方式中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟僵尸网络流模型的参数。
结合第一方面,在第一方面第三种可能的实现方式中,所述判别器可以是僵尸网络检测器。
第二方面,本申请提供一种僵尸网络的检测系统,所述系统包括:
获取单元,用于获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];
创建单元,用于基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;
生成器,用于将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;
判别器,用于根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;
机器学习模块,用于接入所述噪声模拟僵尸网络流模型,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。
结合第二方面,在第二方面第一种可能的实现方式中,所述变异僵尸网络特征而成的数据流,包括对已知的僵尸网络特征向量做扩展,以及修改若干僵尸网络的字段,进而再形成数据流。
结合第二方面,在第二方面第二种可能的实现方式中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟僵尸网络流模型的参数。
结合第二方面,在第二方面第三种可能的实现方式中,所述判别器可以是僵尸网络检测器。
本发明提供一种僵尸网络的检测方法及系统,可以基于历史网络数据,分析构建一个噪声模拟僵尸网络流模型,首先使用真实僵尸网络流训练所述噪声模拟僵尸网络流模型,所述模型自身还有不断复合、变异僵尸网络的能力,当噪声模拟僵尸网络流模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟僵尸网络源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明僵尸网络的检测方法的流程图;
图2为本发明僵尸网络的检测系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的僵尸网络的检测方法的流程图,所述方法包括:
获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;
其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];
基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;
所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;
将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;
所述判别器根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;
将所述噪声模拟僵尸网络流模型接入机器学习模块,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。
在一些优选实施例中,所述变异僵尸网络特征而成的数据流,包括对已知的僵尸网络特征向量做扩展,以及修改若干僵尸网络的字段,进而再形成数据流。
在一些优选实施例中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟僵尸网络流模型的参数。
在一些优选实施例中,所述判别器可以是僵尸网络检测器。
图2为本申请提供的僵尸网络的检测系统的架构图,所述系统包括:
获取单元,用于获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];
创建单元,用于基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;
生成器,用于将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;
判别器,用于根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;
机器学习模块,用于接入所述噪声模拟僵尸网络流模型,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。
在一些优选实施例中,所述变异僵尸网络特征而成的数据流,包括对已知的僵尸网络特征向量做扩展,以及修改若干僵尸网络的字段,进而再形成数据流。
在一些优选实施例中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟僵尸网络流模型的参数。
在一些优选实施例中,所述判别器可以是僵尸网络检测器。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种僵尸网络的检测方法,其特征在于,所述方法包括:
获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;
其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];
基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;
所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;
将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;
所述判别器根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;
将所述噪声模拟僵尸网络流模型接入机器学习模块,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。
2.根据权利要求1所述的方法,其特征在于,所述变异僵尸网络特征而成的数据流,包括对已知的僵尸网络特征向量做扩展,以及修改若干僵尸网络的字段,进而再形成数据流。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟僵尸网络流模型的参数。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述判别器可以是僵尸网络检测器。
5.一种僵尸网络的检测系统,其特征在于,所述系统包括:
获取单元,用于获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];
创建单元,用于基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;
生成器,用于将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;
判别器,用于根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;
机器学习模块,用于接入所述噪声模拟僵尸网络流模型,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。
6.根据权利要求5所述的系统,其特征在于,所述变异僵尸网络特征而成的数据流,包括对已知的僵尸网络特征向量做扩展,以及修改若干僵尸网络的字段,进而再形成数据流。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟僵尸网络流模型的参数。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述判别器可以是僵尸网络检测器。
CN201910874101.4A 2019-09-17 2019-09-17 一种僵尸网络的检测方法及系统 Pending CN110602102A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910874101.4A CN110602102A (zh) 2019-09-17 2019-09-17 一种僵尸网络的检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910874101.4A CN110602102A (zh) 2019-09-17 2019-09-17 一种僵尸网络的检测方法及系统

Publications (1)

Publication Number Publication Date
CN110602102A true CN110602102A (zh) 2019-12-20

Family

ID=68860131

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910874101.4A Pending CN110602102A (zh) 2019-09-17 2019-09-17 一种僵尸网络的检测方法及系统

Country Status (1)

Country Link
CN (1) CN110602102A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107392019A (zh) * 2017-07-05 2017-11-24 北京金睛云华科技有限公司 一种恶意代码家族的训练和检测方法及装置
US20180314716A1 (en) * 2017-04-27 2018-11-01 Sk Telecom Co., Ltd. Method for learning cross-domain relations based on generative adversarial networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180314716A1 (en) * 2017-04-27 2018-11-01 Sk Telecom Co., Ltd. Method for learning cross-domain relations based on generative adversarial networks
CN107392019A (zh) * 2017-07-05 2017-11-24 北京金睛云华科技有限公司 一种恶意代码家族的训练和检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
傅建明等: "基于GAN的网络攻击检测研究综述", 《信息网络安全》 *
柴梦婷等: "生成式对抗网络研究与应用进展", 《计算机工程》 *

Similar Documents

Publication Publication Date Title
CN110505241B (zh) 一种网络攻击面检测方法及系统
Garcia et al. Distributed real-time SlowDoS attacks detection over encrypted traffic using Artificial Intelligence
US10187412B2 (en) Robust representation of network traffic for detecting malware variations
Wang et al. Research on DDoS attacks detection based on RDF-SVM
CN110493262B (zh) 一种改进分类的网络攻击检测方法及系统
Greensmith et al. The DCA: SOMe comparison: A comparative study between two biologically inspired algorithms
Sudar et al. Flow-based detection and mitigation of low-rate ddos attack in sdn environment using machine learning techniques
Rupa Devi et al. A review on network intrusion detection system using machine learning
CN105635170A (zh) 基于规则对网络数据包进行识别的方法和装置
CN110545284A (zh) 一种对抗性网络的域名检测方法及系统
CN111464510B (zh) 基于快速梯度提升树分类模型的网络实时入侵检测方法
He et al. AppFA: a novel approach to detect malicious android applications on the network
Kozik et al. Pattern extraction algorithm for NetFlow‐based botnet activities detection
CN110619216B (zh) 一种对抗性网络的恶意软件检测方法及系统
Hostiadi et al. A new approach to detecting bot attack activity scenario
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及系统
CN111182002A (zh) 基于http首个问答包聚类分析的僵尸网络检测装置
CN107832611B (zh) 一种动静态特征结合的僵尸程序检测与分类方法
CN108173818A (zh) 一种基于Proxy日志数据的网络安全威胁分析方法及系统
Bui et al. A clustering-based shrink autoencoder for detecting anomalies in intrusion detection systems
Kemp et al. Netflow feature evaluation for the detection of slow read http attacks
CN110602102A (zh) 一种僵尸网络的检测方法及系统
CN112532562B (zh) 一种对抗性网络的恶意数据流检测方法及系统
CN108040052A (zh) 一种基于Netflow日志数据的网络安全威胁分析方法及系统
Said et al. Attention-based CNN-BiLSTM deep learning approach for network intrusion detection system in software defined networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191220