CN110839042A - 一种基于流量的自反馈恶意软件监测系统和方法 - Google Patents

一种基于流量的自反馈恶意软件监测系统和方法 Download PDF

Info

Publication number
CN110839042A
CN110839042A CN201911161704.6A CN201911161704A CN110839042A CN 110839042 A CN110839042 A CN 110839042A CN 201911161704 A CN201911161704 A CN 201911161704A CN 110839042 A CN110839042 A CN 110839042A
Authority
CN
China
Prior art keywords
traffic
flow
feedback
http
based self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911161704.6A
Other languages
English (en)
Other versions
CN110839042B (zh
Inventor
邹福泰
王林
肖佳伟
刘运卓
尹凯涛
吴越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201911161704.6A priority Critical patent/CN110839042B/zh
Publication of CN110839042A publication Critical patent/CN110839042A/zh
Application granted granted Critical
Publication of CN110839042B publication Critical patent/CN110839042B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于流量的自反馈恶意软件监测系统和方法,包括以下步骤:步骤1、获取HTTP流量,对良性域名的所述HTTP流量进行过滤;步骤2、清洗过滤掉源自浏览器的所述HTTP流量;步骤3、与指纹特征库进行对比,直接识别;步骤4、对不能识别的所述HTTP流量进行流化处理,对流进行聚类;步骤5、检测分析;步骤6、对检测结果进行验证,计算并监测误报率;步骤7、所述误报率超过设定的阈值时,对模型进行反馈训练调整;步骤8、循环执行所述步骤1至所述步骤7。本发明可以高效监测恶意软件,并且可适应不断变化的动态流量环境,能够应对当前恶意软件不断变化发展的趋势。

Description

一种基于流量的自反馈恶意软件监测系统和方法
技术领域
本发明涉及计算机网络安全领域,特别涉及一种基于流量的自反馈恶意软件监测系统和方法。
背景技术
互联网安全问题一直是全球范围内的重要议题。随着新型网络攻击方式的快速发展,互联网的安全威胁正在日益激化。恶意软件作为主要网络威胁之一,极可能导致其所在的整个网络系统遭受攻击,造成敏感信息的泄露,这也使得在网络系统中,对恶意软件准确及时的识别与分类变得日益重要。
对于组织机构而言,一个内部人员的疏忽而引入的恶意软件可能最终造成不可预料的损失。如何在其整个网络系统环境中有效检测恶意软件已经成为了共同的话题。然而目前的恶意软件的检测的主要方式仍为单机检测,即检测系统需要部署在单个设备上进行工作。这种方式对于拥有较大网络系统的机构来说缺乏可行性,且难以保证全面部署。而企业当中常用的网络流量检测方式通常是针对来自外部的一些攻击,其对于恶意软件的检测往往为了确保实时性只是使用了一些黑名单、签名匹配等机制进行判别,因此精确度和对变化的适应性不高。对于这些系统而言,需要一个在检测范围、实时性和精确性上做到兼备的恶意软件检测方案。
HTTP流量是软件进行通信的最常用的一种方式。卡巴斯基报告显示,近年来,虽然越来越多的应用程序已经从HTTP切换到HTTPS,截至2018年1月,有近63%的应用程序正在使用HTTPS,但是其中大多数仍没有放弃使用HTTP。据统计数据所示,目前仍有将近90%的应用程序正在使用HTTP,其中许多人的敏感数据正在被未加密地传输。
发明内容
本发明所要解决的技术问题是目前对于恶意软件的检测方法仍存在的检测范围有限、精确度和对变化的适应性不高的问题。本发明的目的在于提出一种基于流量的自反馈恶意软件监测系统和方法,系统部署于网关获取网络流量,通过迁移学习和反馈学习提升检测的准确率,保证其面对变化的流量环境和发展的恶意软件而保持有效性。
为实现上述目的,本发明提供了一种基于流量的自反馈恶意软件监测方法,包括以下步骤:
步骤1、获取HTTP流量,进行数据预处理;对良性域名的所述HTTP流量进行过滤;
步骤2、清洗过滤掉源自浏览器的所述HTTP流量;
步骤3、经过所述步骤1、2的过滤后,再提取剩下的所述HTTP流量的指纹,与指纹特征库进行对比,直接识别已知种类的所述HTTP流量;
步骤4、对不能直接识别的未知种类所述HTTP流量进行流化处理,然后对流进行聚类;
步骤5、对聚类后的所述HTTP流量进行检测分析;
步骤6、系统使用在线检测工具对检测结果中的恶意流量进行验证,计算并监测误报率,并将验证后的数据结果加入到样本库当中进行更新,同时更新所述指纹特征库;
步骤7、当监测到所述步骤6中所述误报率超过设定的阈值时,使用更新了的所述样本库对模型进行反馈训练调整,更新所述指纹特征库;
步骤8、循环执行所述步骤1至所述步骤7。
进一步地,在所述步骤1中,通过运行于网关的流量抓取模块来抓取所述HTTP流量。
进一步地,在所述步骤1之前,利用获取的HTTP历史流量样本数据集,使用深度学习CNN神经网络训练出基础检测模型;在检测的初期,对所述基础检测模型进行迁移学习调整:在神经网络模型对输入数据进行检测,识别出所述恶意软件流量后,通过引入外部指导的方式,对识别结果进行二次判断,通过该判断结果来对所述基础检测模型进行训练调整。
进一步地,在所述步骤1中,使用Alexa白名单对所述良性域名的所述HTTP流量进行过滤。
进一步地,在所述步骤2中,通过使用网络请求图算法对HTTP请求关系图进行重构,根据浏览器HTTP流量的特性区分出所述源自浏览器的所述HTTP流量与后台软件流量。
进一步地,在所述步骤4中,根据IP和User-Agent字段对流进行所述聚类。
进一步地,在所述步骤5中,使用卷积神经网络对所述HTTP流量数据进行分析判断,获得所述恶意软件判断结果。
进一步地,在所述步骤6中的所述在线检测工具为VirusTotal。
进一步地,所述步骤6还包括,将结果以<所述恶意软件所在的主机IP,通信端口,使用的User-Agent,对外通信的服务器IP>的四元组信息的形式报告用户。
本发明还提供了一种基于流量的自反馈恶意软件监测系统,包括数据预处理模块、检测分析模块、前期训练模块和反馈训练模块;
所述数据预处理模块包括:
a)读取从网关处抓取的流量包,使用白名单过滤部分流量;
b)还原请求图,通过请求行为特征识别并过滤浏览器流量;
c)通过HTTP请求的特征指纹识别不同的软件,过滤已知的良性软件或恶意软件;
d)以IP+UA的对话流为单位重组流量;
e)最后对流量进行解析重组,获得监测分析模块的输入;
所述检测分析模块包括:
a)使用卷积神经网络对流量数据进行分析判断,获得恶意软件判断结果;
b)使用在线检测工具对检测结果中的恶意流量进行验证,并将验证后的数据结果加入到样本库当中;
所述前期训练模块包括:
a)系统初次部署后,利用已有基础模型对实际环境中的流量进行检测,在检测出恶意对象后对模型的检测结果进行判断处理,并利用处理后的结果对所述基础模型进行训练调整;
所述反馈训练模块包括:
a)系统设定误报率阈值,当误报率超过所述报率阈值时,再使用样本数据对所述基础模型进行训练调整,同时更新指纹库。
本发明的有益效果在于,发明的基于流量的自反馈恶意软件监测系统和方法,以运行于网关的流量抓取模块抓取的网络流量作为输入,对恶意软件的定位作为输出,同时,获得针对于当前软件环境的指纹识别模型和检测模型。本发明通过对HTTP流按照IP+UA的方式进行聚类处理,使得检测粒度更精细,有利于维护人员对恶意软件的精确定位。本发明采用了流量清洗方法:先用白名单进行初步过滤,然后根据HTTP流量中有大量来自浏览器的部分的特点,通过请求图算法对浏览器流量进行清洗,后续仅对后台软件流量进行处理,从而很大程度地减少了数据量,提高了系统效率。并且系统通过提取流量指纹,直接对已知流量进行判别,减少系统的工作负担,进一步提高了检测的效率。同时,本发明通过初期的迁移学习与后期工作过程中的反馈学习,系统健壮性得到提高,从而可适应不断变化的动态流量环境,能够应对当前恶意软件不断变化发展的趋势。另外,本发明在后期工作时,系统也会对检测结果进行自行验证,当误报率超过设定的阈值时,系统再自动使用更新的数据集进行模型重训练,这种反馈学习方式既避免了迁移学习中需要对模型不停训练,也保证了系统持续学习。本发明以恶意软件通信的源IP、目的IP、User-Agent、以及端口号的四元组的形式给出最终的检测结果,有利于维护人员的及时预警与处理。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的整体架构图;
图2是本发明的另一个较佳实施例的系统检测分析流程示意图;
图3是本发明的另一个较佳实施例的浏览器流量清洗模块工作示意图;
图4是本发明的另一个较佳实施例的前期训练模块工作流程;
图5是本发明的另一个较佳实施例的反馈训练模块工作流程。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
如图1所示,为本发明提供的一种基于流量的自反馈恶意软件监测系统,包括数据预处理模块、检测分析模块、前期训练模块和反馈训练模块共4个模块。系统首先通过前期训练模块调整模型,将网关处抓取的网络流量作为输入,通过过滤、重组、分析检测后,以恶意软件通信的源IP、目的IP、User-Agent、以及端口号的四元组的形式给出最终的检测结果,并将使用在线检测工具验证后的数据结果加入到样本库当中。最后,系统通过反馈训练模块对检测模型再次进行调整。
其中数据预处理模块包括以下处理步骤:
a)初始流量数据为系统在网关抓取的HTTP流量,并使用AlexaTop10k等白名单进行过滤;
b)使用WebGraphic还原网络请求图,通过浏览器请求前后关联的行为特征,连接相关联的请求,识别并过滤浏览器流量;
c)通过HTTP请求的长度、请求域名等特征指纹识别不同的软件,过滤已知的良性软件或恶意软件;
d)以IP+UA的对话流为单位重组流量;
e)最后对流量进行解析重组,获得监测分析模块的输入。
其中检测分析模块包括以下处理步骤:
a)使用卷积神经网络对流量数据进行分析判断,获得恶意软件判断结果;
b)使用在线检测工具对检测结果中的恶意流量进行验证,并将验证后的数据结果加入到样本库当中。
其中前期训练模块包括以下处理步骤:
a)系统初次部署后,使用经过标注的本地历史流量数据对检测模型进行训练调整。
其中反馈训练模块包括以下处理步骤:
a)系统设定误报率阈值,在每次检测后使用可信的工具对检测结果中的恶意流量进行验证并计算误报率,经过验证的流量将会加入样本数据;
b)当误报率超过了该阈值时,再使用样本数据对模型进行训练调整,同时更新指纹库。
如图2所示,为系统检测分析流程示意图。
首先,系统使用已标注的良性与恶意的HTTP流量样本集,训练卷积神经网络模型。接下来,系统的前期训练模块在系统应用到实际环境的初期,使用标注后的本地历史流量数据再次训练模型。在之后的工作阶段中,检测分析模块使用卷积神经网络模型对流量数据进行分析判断,并使用可信的工具对检测结果中的恶意流量进行验证,反馈训练模块根据验证结果,自主更新数据集并进行重新训练调整,保证模型持续有效。
如图3所示,为浏览器流量清洗模块工作示意图。
浏览器在用户的交互下产生HTTP请求,这些由用户操作产生的一系列请求一般来说具有明显的相关性。比如浏览网页行为,从一个站点点击链接跳转到另一个站点,或者在同一个主域名下不同页面间浏览,这些请求都存在明显的关系。而后台软件所产生的每个HTTP请求一般具有各自明确目标和任务,并不相互关联。根据这个特性,可以将捕获到的每个HTTP请求视为一个节点,依次按数据包的时间戳读入请求,将其置于设定为一定大小的时间窗之中。然后通过预定的规则不断在时间窗中发现并连接具有联系的节点,构建网络请求节点图。在所有请求读入并处理完毕后,成功建立起联系的节点即为来自浏览器类型软件的流量,而孤立结点则为来自后台软件的流量。依此系统可以过滤浏览器类型软件的流量。
如图4所示,为前期训练模块工作流程。
系统初次部署后,前期训练模块利用已有基础模型对实际环境中的历史流量进行检测,在检测出恶意对象后使用某些方式对模型的检测结果进行指导区分,并利用处理后的结果对检测模型进行训练调整。
如图5所示,为反馈训练模块工作流程。
系统设定误报率阈值,使用可信的工具对检测结果中的恶意流量进行验证并计算误报率,并将经过验证的恶意流量加入样本流量。当误报率超过了该阈值时,再使用样本数据对模型进行训练调整,同时更新指纹库。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种基于流量的自反馈恶意软件监测方法,其特征在于,包括以下步骤:
步骤1、获取HTTP流量,进行数据预处理;对良性域名的所述HTTP流量进行过滤;
步骤2、清洗过滤掉源自浏览器的所述HTTP流量;
步骤3、经过所述步骤1、2的过滤后,再提取剩下的所述HTTP流量的指纹,与指纹特征库进行对比,直接识别已知种类的所述HTTP流量;
步骤4、对不能直接识别的未知种类所述HTTP流量进行流化处理,然后对流进行聚类;
步骤5、对聚类后的所述HTTP流量进行检测分析;
步骤6、系统使用在线检测工具对检测结果中的恶意流量进行验证,计算并监测误报率,并将验证后的数据结果加入到样本库当中进行更新,同时更新所述指纹特征库;
步骤7、当监测到所述步骤6中所述误报率超过设定的阈值时,使用更新了的所述样本库对模型进行反馈训练调整,更新所述指纹特征库;
步骤8、循环执行所述步骤1至所述步骤7。
2.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤1中,通过运行于网关的流量抓取模块来抓取所述HTTP流量。
3.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤1之前,利用获取的HTTP历史流量样本数据集,使用深度学习CNN神经网络训练出基础检测模型;在检测的初期,对所述基础检测模型进行迁移学习调整:在神经网络模型对输入数据进行检测,识别出所述恶意软件流量后,通过引入外部指导的方式,对识别结果进行二次判断,通过该判断结果来对所述基础检测模型进行训练调整。
4.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤1中,使用Alexa白名单对所述良性域名的所述HTTP流量进行过滤。
5.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤2中,通过使用网络请求图算法对HTTP请求关系图进行重构,根据浏览器HTTP流量的特性区分出所述源自浏览器的所述HTTP流量与后台软件流量。
6.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤4中,根据IP和User-Agent字段对流进行所述聚类。
7.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤5中,使用卷积神经网络对所述HTTP流量数据进行分析判断,获得所述恶意软件判断结果。
8.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,在所述步骤6中的所述在线检测工具为VirusTotal。
9.如权利要求1所述的基于流量的自反馈恶意软件监测方法,其特征在于,所述步骤6还包括,将结果以<所述恶意软件所在的主机IP,通信端口,使用的User-Agent,对外通信的服务器IP>的四元组信息的形式报告用户。
10.一种基于流量的自反馈恶意软件监测系统,其特征在于,包括数据预处理模块、检测分析模块、前期训练模块和反馈训练模块;
所述数据预处理模块包括:
a)读取从网关处抓取的流量包,使用白名单过滤部分流量;
b)还原请求图,通过请求行为特征识别并过滤浏览器流量;
c)通过HTTP请求的特征指纹识别不同的软件,过滤已知的良性软件或恶意软件;
d)以IP+UA的对话流为单位重组流量;
e)最后对流量进行解析重组,获得监测分析模块的输入;
所述检测分析模块包括:
a)使用卷积神经网络对流量数据进行分析判断,获得恶意软件判断结果;
b)使用在线检测工具对检测结果中的恶意流量进行验证,并将验证后的数据结果加入到样本库当中;
所述前期训练模块包括:
a)系统初次部署后,利用已有基础模型对实际环境中的流量进行检测,在检测出恶意对象后对模型的检测结果进行判断处理,并利用处理后的结果对所述基础模型进行训练调整;
所述反馈训练模块包括:
a)系统设定误报率阈值,当误报率超过所述报率阈值时,再使用样本数据对所述基础模型进行训练调整,同时更新指纹库。
CN201911161704.6A 2019-11-22 2019-11-22 一种基于流量的自反馈恶意软件监测系统和方法 Active CN110839042B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911161704.6A CN110839042B (zh) 2019-11-22 2019-11-22 一种基于流量的自反馈恶意软件监测系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911161704.6A CN110839042B (zh) 2019-11-22 2019-11-22 一种基于流量的自反馈恶意软件监测系统和方法

Publications (2)

Publication Number Publication Date
CN110839042A true CN110839042A (zh) 2020-02-25
CN110839042B CN110839042B (zh) 2021-08-03

Family

ID=69577290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911161704.6A Active CN110839042B (zh) 2019-11-22 2019-11-22 一种基于流量的自反馈恶意软件监测系统和方法

Country Status (1)

Country Link
CN (1) CN110839042B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079579A (zh) * 2021-10-21 2022-02-22 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
CN114499991A (zh) * 2021-12-30 2022-05-13 浙江大学 一种拟态waf中恶意流量检测和行为分析方法
CN114640492A (zh) * 2020-12-16 2022-06-17 深信服科技股份有限公司 一种url检测方法、系统、设备及计算机可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及系统
CN105187395A (zh) * 2015-08-10 2015-12-23 济南大学 基于接入路由器进行恶意软件网络行为检测的方法及系统
CN108737439A (zh) * 2018-06-04 2018-11-02 上海交通大学 一种基于自反馈学习的大规模恶意域名检测系统及方法
CN109492395A (zh) * 2018-10-31 2019-03-19 厦门安胜网络科技有限公司 一种检测恶意程序的方法、装置及存储介质
CN109818976A (zh) * 2019-03-15 2019-05-28 杭州迪普科技股份有限公司 一种异常流量检测方法及装置
CN110351291A (zh) * 2019-07-17 2019-10-18 海南大学 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及系统
CN105187395A (zh) * 2015-08-10 2015-12-23 济南大学 基于接入路由器进行恶意软件网络行为检测的方法及系统
CN108737439A (zh) * 2018-06-04 2018-11-02 上海交通大学 一种基于自反馈学习的大规模恶意域名检测系统及方法
CN109492395A (zh) * 2018-10-31 2019-03-19 厦门安胜网络科技有限公司 一种检测恶意程序的方法、装置及存储介质
CN109818976A (zh) * 2019-03-15 2019-05-28 杭州迪普科技股份有限公司 一种异常流量检测方法及装置
CN110351291A (zh) * 2019-07-17 2019-10-18 海南大学 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
JIACHEN ZHU; FUTAI ZOU: ""Detecting Malicious Domains Using Modified SVM Model"", 《2019 IEEE 21ST INTERNATIONAL CONFERENCE ON HIGH PERFORMANCE COMPUTING AND COMMUNICATIONS; IEEE 17TH INTERNATIONAL CONFERENCE ON SMART CITY; IEEE 5TH INTERNATIONAL CONFERENCE ON DATA SCIENCE AND SYSTEMS (HPCC/SMARTCITY/DSS)》 *
R. VINAYAKUMAR, M. ALAZAB, K. P. SOMAN, P. POORNACHANDRAN AND S.: ""Robust Intelligent Malware Detection Using Deep Learning"", 《IEEE ACCESS》 *
张蕾等: ""机器学习在网络空间安全研究中的应用"", 《计算机学报》 *
李佳等: ""基于混合结构深度神经网络的HTTP恶意流量检测方法"", 《通信学报》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640492A (zh) * 2020-12-16 2022-06-17 深信服科技股份有限公司 一种url检测方法、系统、设备及计算机可读存储介质
CN114079579A (zh) * 2021-10-21 2022-02-22 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
CN114079579B (zh) * 2021-10-21 2024-03-15 北京天融信网络安全技术有限公司 一种恶意加密流量检测方法及装置
CN114499991A (zh) * 2021-12-30 2022-05-13 浙江大学 一种拟态waf中恶意流量检测和行为分析方法
CN114499991B (zh) * 2021-12-30 2023-04-18 浙江大学 一种拟态waf中恶意流量检测和行为分析方法

Also Published As

Publication number Publication date
CN110839042B (zh) 2021-08-03

Similar Documents

Publication Publication Date Title
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
EP3528463B1 (en) An artificial intelligence cyber security analyst
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
Caselli et al. Sequence-aware intrusion detection in industrial control systems
CN108494746B (zh) 一种网络端口流量异常检测方法及系统
CN111131137B (zh) 可疑封包检测装置及其可疑封包检测方法
CN110839042B (zh) 一种基于流量的自反馈恶意软件监测系统和方法
Amoli et al. Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets
Dhakar et al. A novel data mining based hybrid intrusion detection framework
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
Zhang et al. Pca-svm-based approach of detecting low-rate dos attack
Waskita et al. A simple statistical analysis approach for intrusion detection system
EP2936772A1 (en) Network security management
CN105827611B (zh) 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统
Do et al. Classifying anomalies for network security
CN110602109A (zh) 一种基于多特征熵的应用层DDoS攻击检测与防御方法
Luktarhan et al. Multi-stage attack detection algorithm based on hidden markov model
Lagzian et al. Frequent item set mining-based alert correlation for extracting multi-stage attack scenarios
Gonzalez-Granadillo et al. An improved live anomaly detection system (i-lads) based on deep learning algorithm
Wu et al. ONLAD-IDS: ONLAD-Based Intrusion Detection System Using SmartNIC
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
Oh et al. Attack Classification Based on Data Mining Technique and Its Application for Reliable Medical Sensor Communication.
Sulaiman et al. Big data analytic of intrusion detection system
Zhu et al. Research of intrusion detection based on support vector machine
TWI720963B (zh) 用於對資訊安全性事件進行高頻啟發式資料擷取和分析的系統和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant