CN111131137B - 可疑封包检测装置及其可疑封包检测方法 - Google Patents
可疑封包检测装置及其可疑封包检测方法 Download PDFInfo
- Publication number
- CN111131137B CN111131137B CN201811346304.8A CN201811346304A CN111131137B CN 111131137 B CN111131137 B CN 111131137B CN 201811346304 A CN201811346304 A CN 201811346304A CN 111131137 B CN111131137 B CN 111131137B
- Authority
- CN
- China
- Prior art keywords
- packet
- http
- information
- suspicious
- user agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Abstract
一种可疑封包检测装置及其可疑封包检测方法。可疑封包检测装置撷取自内部网络传送至外部网络的超文本传输协议(HTTP)封包,以及基于HTTP封包的HTTP标头,判断HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别HTTP封包为一正常封包及一可疑封包其中之一。当HTTP封包被辨别为正常封包时,可疑封包检测装置更将HTTP标头与关联信息比对或使用一网址分类模型,以进一步地确认HTTP封包是否为可疑封包。
Description
技术领域
本发明是关于一种可疑封包检测装置及其可疑封包检测方法。具体而言,可疑封包检测装置可基于HTTP封包的HTTP标头,辨别HTTP封包为一正常封包及一可疑封包其中之一,并当HTTP封包被辨别为正常封包时,进一步地确认HTTP封包是否为可疑封包。
背景技术
随着科技的发展,网络通信的各种应用已充斥于人们的生活中,且人们对于网络通信的需求亦日益增加。然而,网络通信的安全性也随的日益重要。
目前关于网络安全的多个研究议题其中之一在于,黑客会通过命令与控制服务器(command-and-control server;C2server)向被僵尸病毒感染的电脑下达指令并加以控制,以攻击特定受害者电脑(例如:企业的服务器),例如:寄送垃圾信件、窃取个资或发起阻断服务攻击等。近年来的僵尸病毒攻击案例中,C2服务器除了使用因特网中继聊天(Internet Relay Chat;IRC)协议及对等(Point-to-Point)协议向被僵尸病毒感染的电脑下达指令外,更逐渐地开始使用超文本传输协议(HyperText Transfer Protocol;HTTP)。相较于IRC协议及P2P协议,由于基于HTTP传输的封包(后称HTTP封包)的流量大且难以有效地检测,故一般的防御检测系统不会去阻挡或检测可疑的HTTP封包,进而使得黑客有机可乘以将指令藏到HTTP封包内。
有鉴于此,如何提供一种HTTP封包检测机制,其能有效地检测出可疑的HTTP封包,为业界及学术界亟需解决的一技术问题。
发明内容
本发明的目的在于提供一种HTTP封包检测机制,其能有效地检测出可疑的HTTP封包。具体而言,本发明的HTTP封包检测机制可通过撷取HTTP封包的特征来分析及比对,以辨别可疑封包,并进一步地通过深度学习算法加以确认,以增强辨别可疑封包的能力。
为达上述目的,本发明揭露一种可疑封包检测装置,其包括一存储器、一网络接口以及一处理器。该存储器用以存储一参考数据以及一伪造特征数据。该参考数据记录一超文本传输协议(HTTP)参考标头。该伪造特征数据记录一关联信息。处理器,电性连接该存储器及该网络接口,且用以执行以下操作:通过该网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包;以及将该HTTP封包的一HTTP标头与该HTTP参考标头比对,以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一。当该HTTP封包被辨别为该正常封包且属于该浏览器类别时,该处理器更执行以下操作:判断该HTTP标头的一目标域名信息及一参照位置信息是否存在于该关联信息中;以及当该目标域名信息及该参照位置信息不存在于该关联信息中时,判断该HTTP封包是否使得一时间窗口内与该目标域名信息相关联的一计数值超过一第一门槛值,以及若该计数值超过该第一门槛值,则重新辨别该HTTP封包为该可疑封包。该计数值为该时间窗口内的多个已接收HTTP封包的一封包总数,且各该已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于该关联信息中。
此外,本发明更揭露一种用于一可疑封包检测装置的可疑封包检测方法。该可疑封包检测装置包括一存储器、一网络接口以及一处理器。该存储器存储一参考数据以及一伪造特征数据。该参考数据记录一超文本传输协议(HTTP)参考标头。该伪造特征数据记录一关联信息。该可疑封包检测方法由该处理器所执行且包括下列步骤:通过该网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包;以及将该HTTP封包的一HTTP标头与该HTTP参考标头比对,以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一。当该HTTP封包被辨别为该正常封包且属于该浏览器类别时,该可疑封包检测方法更该包括下列步骤:判断该HTTP标头的一目标域名信息及一参照位置信息是否存在于该关联信息中;当该目标域名信息及该参照位置信息不存在于该关联信息中时,判断该HTTP封包是否使得一时间窗口内与该目标域名信息相关联的一计数值超过一第一门槛值,其中该计数值为该时间窗口内的多个已接收HTTP封包的一封包总数,且各该已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于该关联信息中;以及若该计数值超过该第一门槛值,则重新辨别该HTTP封包为该可疑封包。
此外,本发明更揭露一种可疑封包检测装置,其包括:一存储器、一网络接口以及一处理器。该存储器用以存储一参考数据以及一伪造特征数据。该参考数据记录一超文本传输协议(HTTP)参考标头。该伪造特征数据记录一网址分类模型。该处理器电性连接该存储器及该网络接口,且用以执行以下操作:通过该网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包;以及将该HTTP封包的一HTTP标头与该HTTP参考标头比对,以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一。当该HTTP封包被辨别为该正常封包且属于该应用程序类别时,该处理器更执行以下操作:将该HTTP封包的一网址信息输入至该网址分类模型,以产生一推论用户代理信息;以及判断该HTTP封包的一用户代理信息是否与该推论用户代理信息相同,若不相同,则重新辨别该HTTP封包为该可疑封包。
在参阅附图及随后描述的实施方式后,本领域技术人员便可了解本发明的其他目的,以及本发明的技术手段及实施方式。
附图说明
图1描绘本发明的一实施情境的示意图;
图2为本发明的可疑封包检测装置1的示意图;
图3描绘属于浏览器类别的一HTTP封包的相关信息;
图4描绘一域名D1及其相关联的参照位置R1、R2、R3、R4、R5的一关联图;
图5描绘属于应用程序类别的一HTTP封包的相关信息;
图6是本发明的网址分类模型UCM的示意图;以及
图7A-7C是本发明的可疑封包检测方法的流程图。
附图标记:
HD:黑客装置
CCS:C2服务器
EN:外部网络
IN:内部网络
GD:网关装置
IND1、IND2、IND3:内部装置
1:可疑封包检测装置
11:存储器
13:处理器
15:网络接口
102:参考数据
104:伪造特征数据
RI1:HTTP封包HP1的相关信息
RI2:HTTP封包HP2的相关信息
D1:域名
R1、R2、R3、R4、R5:参照位置
IUAI:推论用户代理信息
UCM:网址分类模型
F1:域名特征
F2:路径特征
F3:参数索引键特征
S701~S715:步骤
具体实施方式
以下将通过实施例来解释本发明内容,本发明的实施例并非用以限制本发明须在如实施例所述的任何特定的环境、应用或特殊方式方能实施。因此,关于实施例的说明仅为阐释本发明的目的,而非用以限制本发明。需说明者,以下实施例及附图中,与本发明非直接相关的元件已省略而未绘示,且附图中各元件间的尺寸关系仅为求容易了解,并非用以限制实际比例。
本发明第一实施例如图1-2所示。图1描绘本发明的一实施情境,以及图2为本发明的可疑封包检测装置1的示意图。可疑封包检测装置1包括一存储器11、一处理器13以及一网络接口15。存储器11与网络接口15电性连接至处理器13。
本发明的可疑封包检测装置1可实作成一网关装置GD,其用以连接于一内部网络IN及一外部网络EN。内部网络IN连接至多个内部装置(例如:内部装置IND1、IND2、IND3)。内部网络IN可为一企业内部网络、一学校内部网络或任何团体的内部网络。内部网络IN通常包括多个路由器(例如:有线路由器、无线路由器或其组合),因此各内部装置IND1、IND2、IND3可能是经由一个或多个路由器或直接藉由网络线或无线通信方式直接连接至网关装置GD。各内部装置IND1、IND2、IND3可为一个人电脑、一服务器、一便携式电脑、一平板电脑或任一可被殭尸病毒感染的装置。为简化说明,于第1图中仅绘示内部装置IND1、IND2、IND3;然而,可理解的是,内部装置的数量并非用以限制本发明。
此外,黑客装置HD可藉由操控一命令与控制服务器(后称,C2服务器)CCS,经由外部网络EN及网关装置GD而向内部装置IND1、IND2、IND3散布僵尸病毒。外部网络EN可包括一因特网、一电信网络及任何有线、无线通信网络。为检测是否有黑客通过C2服务器CCS以HTTP协议向被僵尸病毒感染的内部装置IND1、IND2、IND3下达指令,网关装置GD可藉由撷取自内部网络IN传送至外部网络EN的HTTP封包并加以分析,以筛选出可疑封包。
另一方面,本发明的可疑封包检测装置1亦可实作成一内部装置(例如:内部装置IND1),其连接至内部网络IN,并通过网关装置GD联机至外部网络EN。内部装置IND1可通过网关装置GD撷取自内部网络IN传送至外部网络EN的HTTP封包并加以分析,以筛选出可疑封包。由于本领域技术人员基于前述说明,应可轻易了解本发明的可疑封包检测装置1如何实作成网关装置GD及内部装置IND1,故后续说明仅针对可疑封包检测装置1如何分析HTTP封包并筛选出可疑封包加以描述。
请继续参考图2。可疑封包检测装置1的存储器11存储一参考数据102以及一伪造特征(fingerprint)检测数据104。参考数据102记录一超文本传输协议(HTTP)参考标头。伪造特征数据104记录一关联信息。
处理器13通过网络接口15撷取自内部网络IN传送至外部网络EN的一HTTP封包HP1。举例而言,处理器13可通过一封包撷取工具(例如:TCP Dump)来达到获取封包的目的,并获得HTTP封包HP1的相关信息RI1,如图3所示,其为一网页浏览器程序所产生的封包的相关信息。据此,处理器13可获得HTTP封包的相关信息,例如:传输控制协议(TransmissionControl Protocol;TCP)信息及超文本传输协议(Hypertext Transfer Protocol;HTTP)信息。
基于图3的TCP信息及HTTP信息,处理器13可进一步解析HTTP封包HP1,以获得HTTP标头(例如:目标域名信息、用户代理信息、语言信息、参照位置信息)及封包尺寸信息如下表一所示。
表一
信息名称 | 信息内容 |
目标域名信息 | www.railway.gov.tw |
用户代理信息 | Mozilla |
语言信息 | zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7 |
参照位置信息 | http://railway.hinet.net/Foreign/tw/index.html |
封包尺寸信息 | 494 |
随后,处理器13将HTTP封包HP1的HTTP标头与HTTP参考标头比对,以判断HTTP封包HP1属于一浏览器类别及一应用程序类别其中之一,并辨别HTTP封包HP1为一正常封包及一可疑封包其中之一。
举例而言,HTTP参考标头可包括一用户代理参考信息、一语言参考信息、一域名参考信息及一字段参考信息。这些参考信息可事先藉由于一段时间区间内(例如:数天、一周、一个月)收集未被僵尸病毒感染的所有内部装置所传送至外部网络EN的封包来建立,且这些参考信息于后续检测HTTP封包时是作为特征,以辨别HTTP封包为正常封包,或者为可疑封包。
用户代理参考信息可包括一浏览器信息及一应用程序信息。浏览器信息记录多个网页浏览器程序的名称,例如:“Mozilla”、“Firefox”、“Chrome”、“Safari”、“OPR”、“Opera”、“MSIC”、“Gecko”、“Trident”、“AppleWebKit”,但不限于此。应用程序信息记录多个应用程序的名称,例如:“Facebook”、“LINE”、“Avast”、“Microsoft-Delivery-Optimization”、“NET Framework”、“iTunes”、“Spotify”、“Microsoft Office”、“JavaUpdate”、“WeChat”、“Windows-Update-Agent”、“iosapp.camera”,但不限于此据此。因此,处理器13可将HTTP封包HP1的用户代理信息(即,Mozilla)与浏览器信息比对,以判断用户代理信息存在于浏览器信息中,进而判断HTTP封包HP1属于浏览器类别。
同时,处理器13可判断HTTP封包HP1的用户代理信息是否存在于用户代理参考信息中,以辨别HTTP封包HP1为一正常封包及一可疑封包其中之一。因此,当用户代理信息不存在于用户代理参考信息时,处理器13辨别HTTP封包HP1为可疑封包,并可将HTTP封包HP1记录至一可疑封包历史数据中以供内部网络IN的管理者或相关人员查阅,或者进一步地产生一检测结果报告,并传送给内部网络IN的管理者或相关人员。
此外,当HTTP封包HP1属于浏览器类别且经由上述检测机制被辨别为正常封包时,本发明将进一步确认HTTP封包是否仍有可能为可疑封包,以避免HTTP标头是僵尸病毒所伪造。首先,处理器13判断HTTP标头的一目标域名信息及一参照位置信息是否存在于伪造特征数据104所记录的关联信息中。
举例而言,关联信息可记载各域名及其相关联的参照位置。图4是描绘一域名D1及其相关联的参照位置R1、R2、R3、R4、R5的一关联图。可想象地是,其他域名及其相关联的参照位置皆可具有类似于图4所绘示的关联图,因此为了简化说明,其他域名及其相关联的参照位置不另以附图说明。类似地,各域名及其相关联的参照位置可事先藉由于一段时间区间内(例如:数天、一周、一个月)收集未被僵尸病毒感染的所有内部装置所传送至外部网络EN的封包来建立。
因此,处理器13根据目标域名信息(即,www.railway.gov.tw)自关联信息中搜寻与目标域名信息相同的域名(例如:域名D1)。接着,处理器13将参照位置信息(即,http://railway.hinet.net/Foreign/tw/index.html)与域名D1相关联的参照位置R1、R2、R3、R4、R5相比对,以确认是否参照位置信息与参照位置R1、R2、R3、R4、R5任一者相同。倘若目标域名信息及参照位置信息不存在于关联信息中,则处理器13判断HTTP封包HP1是否使得一时间窗口内与目标域名信息相关联的一计数值超过一第一门槛值,以及若计数值超过第一门槛值,则重新辨别HTTP封包HP1为可疑封包。在此,计数值为时间窗口内的多个已接收HTTP封包的一封包总数,且各已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于关联信息中。
举例而言,时间窗口可选择为3分钟、5分钟或者6分钟,而第一门槛值可选择100或120。本领域技术人员可了解若时间窗口选择越短、第一门槛值选择越大,则代表判断为可疑封包的条件越宽松(即,越不容易被重新辨别为可疑封包);反之,若时间窗口选择越长、第一门槛值选择越小,则代表判断为可疑封包的条件越严苛(即,越容易被重新辨别为可疑封包)。
因此,若假设时间窗口选择为5分钟以及第一门槛值选择为100,则当目标域名信息不存在于关联信息中时,处理器13判断HTTP封包HP1的传送时间点的过去5分钟是否已经存在100笔已接收HTTP封包具有相同的目标域名信息(即,已接收HTTP封包的封包总数为100),而HTTP封包HP1使得5分钟内与此目标域名信息相关联的计数值(即,100+1=101)超过第一门槛值(即,100)。同样地,若假设时间窗口选择为5分钟以及第一门槛值选择为100,则当目标域名信息存在于关联信息中,但参照位置信息不存在于关联信息时,处理器13判断HTTP封包HP1的传送时间点的过去5分钟是否已经存在100笔已接收HTTP封包具有相同的目标域名信息且其参照位置信息也不存在于关联信息中,而HTTP封包HP1使得5分钟内与此目标域名信息相关联的计数值(即,100+1=101)超过第一门槛值(即,100)。
类似地,当HTTP封包HP1使得时间窗口内与此目标域名信息相关联的计数值超过第一门槛值时,处理器13重新辨别HTTP封包HP1为可疑封包,并可将HTTP封包HP1记录至可疑封包历史数据中以供内部网络IN的管理者或相关人员查阅,或者进一步地产生一检测结果报告,并传送给内部网络IN的管理者或相关人员。
本发明第二实施例请继续参考图1-2。如同前述,处理器13可通过封包撷取工具来达到获取封包的目的,并获得HTTP封包HP2的相关信息RI2,如图5所示。不同于第一实施例,于本实施例中,HTTP封包HP2为一其他应用程序所产生的封包。同样地,基于图5的TCP信息及HTTP信息,处理器13可进一步解析HTTP封包HP2,以获得HTTP标头(例如:目标域名信息、用户代理信息、字段信息、网址信息)及封包尺寸信息如下表二所示。
表二
随后,处理器13将HTTP封包HP2的HTTP标头与HTTP参考标头比对,以判断HTTP封包HP2属于浏览器类别及应用程序类别其中之一,并辨别HTTP封包HP2为正常封包及可疑封包其中之一。类似于第一实施例所述的范例,处理器13可将HTTP封包HP2的用户代理信息(即,Microsoft Delivery Optimization)与浏览器信息比对,以判断用户代理信息不存在于浏览器信息中,进而判断HTTP封包HP1属于应用程序类别。同时,处理器13可判断HTTP封包HP1的用户代理信息是否存在于用户代理参考信息中,以辨别HTTP封包HP1为正常封包或可疑封包。
此外,当HTTP封包HP2属于应用程序类别且经由上述检测机制被辨别为正常封包时,本发明将进一步确认HTTP封包是否仍有可能为可疑封包,以避免HTTP标头是僵尸病毒所伪造。首先,于本实施例中,伪造特征数据104更记录一网址分类模型。处理器13将HTTP封包HP1的网址信息输入至网址分类模型,以产生一推论用户代理信息。接着,处理器13判断HTTP封包的用户代理信息是否与推论用户代理信息相同。倘若不相同,则处理器13重新辨别HTTP封包HP2为可疑封包,并可将HTTP封包HP2记录至可疑封包历史数据中以供内部网络IN的管理者或相关人员查阅,或者进一步地产生一检测结果报告,并传送给内部网络IN的管理者或相关人员。
举例而言,网址分类模型UCM可基于一序列分析算法及一多对一(many-to-one)规则,以一监督式学习训练所建立,如图6所示。于训练过程中,处理器13藉由于一段时间区间内(例如:数天、一周、一个月)收集未被僵尸病毒感染的所有内部装置所传送至外部网络EN的封包。处理器13将这些封包作为训练数据,并自各封包的网址信息撷取出三个特征,即域名特征F1、路径特征F2、参数索引键(parameter keys)特征F3。以HTTP封包HP2的网址信息作为说明,域名特征F1为“7.tlu.dl.delivery.mp.microsoft.com”,路径特征F2为“filestreamingservice/files/fd16269d-13de-4d6f-a167-aca78db10e9f”,以及参数索引键特征F3为参数:“P1,P2,P3”。接着,处理器13将各网址信息的域名特征F1、路径特征F2、参数索引键特征F3输入至网址分类模型UCM。针对各个封包的域名特征F1、路径特征F2、参数索引键特征F3,网址分类模型UCM首先将域名特征F1、路径特征F2、参数索引键特征F3串行化,例如将“7.tlu.dl.delivery.mp.microsoft.com”串行化为“7”、“tlu”、“dl”、“delivery”、“mp”、“microsoft”、“com”。接着,处理器13使用串行化算法(例如:循环神经网络(Recurrent Neural Networks;RNN)、长短期记忆(Long Short-Term Memory;LSTM)网络、门闸递归单元(Gated Recurrent Unit;GRU)网络),并以多对一规则进行监督式学习训练。针对各个封包的域名特征F1、路径特征F2、参数索引键特征F3所对应的网址分类模型UCM的输出被卷标为一用户代理信息(即,推论用户代理信息IUAI)。由于本领域技术人员基于前述说明应已可了解本发明如何通过监督式学习的训练方式,通过封包中的已知用户代理信息,来建立网址分类模型UCM,故针对其细节内容在此不加以赘述。
因此,倘若将HTTP封包HP2的网址信息输入至网址分类模型UCM后所产生的推论用户代理信息IUAI不等于HTTP封包HP2的用户代理信息(即,Microsoft DeliveryOptimization),则处理器13重新辨别HTTP封包HP2为可疑封包。如此一来,本发明的HTTP封包检测机制可有效地检测出HTTP标头是僵尸病毒所伪造的封包。
本发明第三实施例请继续参考如图第1-3、图5。本实施例为第一实施例及第二实施例的延伸。前述实施例的范例中描述,处理器13可基于HTTP封包HP1、HP2的用户代理信息是否存在于用户代理参考信息中来辨别HTTP封包HP1、HP2为正常封包或可疑封包,而本实施例可更基于以下操作来进一步地检测HTTP封包HP1、HP2是否为可疑封包。
详言之,参考数据102更记录一容许范围,而如同前述说明,HTTP参考标头可包括用户代理参考信息、语言参考信息、域名参考信息及字段参考信息。于判断HTTP封包HP1属于该浏览器类别且其用户代理信息存在于用户代理参考信息中后,处理器13判断是否HTTP标头的一语言信息存在于语言参考信息中。若是,处理器13则辨别HTTP封包HP1为正常封包。若否,处理器13则辨别该HTTP封包HP1为可疑封包。
此外,于判断HTTP封包HP2属于应用程序类别且其用户代理信息存在于用户代理参考信息中时,处理器13根据HTTP标头的目标域名信息及一字段信息是否分别存在于域名参考信息及字段参考信息中且HTTP封包HP2的一封包尺寸是否落入容许范围内计算一评估值。若评估值大于等于一第二门槛值,则处理器13辨别HTTP封包HP2为正常封包。若评估值小于该第二门槛值,则处理器13辨别HTTP封包HP2为可疑封包。
举例而言,评估值可由三个分数值V1、V2、V3加总而得。当HTTP标头的目标域名信息存在于域名参考信息中时,分数值V1=1;反之,分数值V1=0。当HTTP标头的字段信息存在于字段参考信息中时,分数值V2=1;反之,分数值V2=0。当HTTP封包HP2的封包尺寸落入容许范围内时,分数值V3=1;反之,分数值V3=0。第二门槛值可设为1、2、3。第二门槛值设为1即表示前述三个条件只要满足一个条件,处理器13即辨别HTTP封包HP2为正常封包。类似地,第二门槛值设为2即表示前述三个条件只要满足二个条件,处理器13即辨别HTTP封包HP2为正常封包。第二门槛值设为3则为最严苛的状况,即表示前述三个条件皆须满足,处理器13才会辨别HTTP封包HP2为正常封包。
当HTTP封包HP1经前述操作被辨别正常封包后,处理器13将如第一实施例所述,进一步判断HTTP标头的目标域名信息及参照位置信息是否存在于伪造特征数据104所记录的关联信息中,以确认HTTP封包是否仍有可能为可疑封包,以避免HTTP标头是僵尸病毒所伪造。同样地,当HTTP封包HP2经前述操作被辨别正常封包后,处理器13将如第二实施例所述,进一步将HTTP封包HP1的网址信息输入至网址分类模型,以判断HTTP封包的用户代理信息是否与推论用户代理信息相同,以确认HTTP封包是否仍有可能为可疑封包,以避免HTTP标头是僵尸病毒所伪造。
本发明第四实施例是描述一可疑封包检测方法,其流程图如图7A-7C所示。可疑封包检测方法用于一可疑封包检测装置,例如:前述实施例的可疑封包检测装置1。可疑封包检测装置包括一存储器、一网络接口以及一处理器。处理器电性连接至网络接口及存储器。存储器存储一参考数据以及一伪造特征数据。参考数据记录一超文本传输协议(HTTP)参考标头。伪造特征数据记录一关联信息。可疑封包检测方法由处理器所执行,其包括步骤说明如下。
首先,于步骤S701中,通过网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包。于步骤S703中,将HTTP封包的一HTTP标头与HTTP参考标头比对,以判断HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一。
接着,当HTTP封包被辨别为正常封包且属于浏览器类别时,执行步骤S705,以判断HTTP标头的一目标域名信息及一参照位置信息是否存在于关联信息中。当目标域名信息及参照位置信息不存在于关联信息中时,执行步骤S707,以判断HTTP封包是否使得一时间窗口内与目标域名信息相关联的一计数值超过一第一门槛值。计数值为时间窗口内的多个已接收HTTP封包的一封包总数,且各已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于关联信息中。若计数值超过第一门槛值,则执行步骤S709,以重新辨别HTTP封包为可疑封包。接着,于步骤S711中,将HTTP封包记录至一可疑封包历史数据中。此外,步骤S703若辨别HTTP封包为可疑封包时,则亦执行步骤S711,以将HTTP封包记录至可疑封包历史数据中。
另一方面,伪造特征数据更记录一网址分类模型。步骤S703若辨别HTTP封包为正常封包且属于应用程序类别,则执行步骤S713,将HTTP封包的一网址信息输入至网址分类模型,以产生一推论用户代理信息。接着,于步骤S715中,判断HTTP封包的用户代理信息是否与推论用户代理信息相同。若不相同,则执行步骤S709,重新辨别HTTP封包为可疑封包。
于一实施例中,HTTP参考标头包括一用户代理参考信息、一语言参考信息、一域名参考信息及一字段参考信息。在此情况下,步骤S703更包括以下步骤:判断用户代理信息是否存在于用户代理参考信息中,若不存在,则辨别HTTP封包为可疑封包;当用户代理信息存在于用户代理参考信息中且HTTP封包属于浏览器类别时,判断HTTP标头的一语言信息是否存在于语言参考信息中,若是,则辨别HTTP封包为一正常封包,若否,则辨别HTTP封包为可疑封包;以及当用户代理信息存在于用户代理参考信息中且HTTP封包属于应用程序类别时,根据HTTP标头的一目标域名信息及一字段信息是否分别存在于域名参考信息及字段参考信息中且HTTP封包的一封包尺寸是否落入一容许范围内计算一评估值。若评估值大于等于一第二门槛值,则辨别HTTP封包为正常封包。反之,若评估值小于第二门槛值,则辨别HTTP封包为可疑封包。
于一实施例中,步骤S703更包括以下步骤:将HTTP标头的用户代理信息与用户代理参考信息比对,判断HTTP封包属于浏览器类别及应用程序类别其中之一。于一实施例中,用户代理参考信息包括一浏览器信息及一应用程序信息。在此情况下,步骤S703更包括以下步骤:判断HTTP标头的用户代理信息是否存在于浏览器信息;若存在,则判断HTTP封包属于浏览器类别;以及若不存在,则判断该HTTP封包属于应用程序类别。
于一实施例中,网址分类模型是基于一序列分析算法及一多对一(many-to-one)规则,以一监督式学习训练所建立。于一实施例中,可疑封包检测方法更包括步骤:自网址信息撷取一域名特征、一路径特征及一参数索引键特征,以将域名特征、路径特征及参数索引键特征输入至网址分类模型,来产生推论用户代理信息。于一实施例中,可疑封包检测方法更包括步骤:解析HTTP封包,以取得HTTP标头。
除了上述步骤,本发明的可疑封包检测方法亦能执行在所有前述实施例中所阐述的所有操作并具有所有对应的功能,本领域技术人员可直接了解此实施例如何基于所有前述实施例执行此等操作及具有这些功能,故不赘述。
综上所述,本发明的HTTP封包检测机制可通过撷取HTTP封包的特征来分析及比对,以辨别可疑封包,并进一步地通过深度学习算法加以确认,以增强辨别可疑封包的能力。据此,本发明的HTTP封包检测机制能有效地检测出可疑的HTTP封包。
上述的实施例仅用来例举本发明的实施态样,以及阐释本发明的技术特征,并非用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的安排均属于本发明所主张的范围,本发明的权利保护范围应以权利要求书为准。
Claims (19)
1.一种可疑封包检测装置,其特征在于,该可疑封包检测装置包括:
一存储器,用以存储一参考数据以及一伪造特征数据,该参考数据记录一超文本传输协议HTTP参考标头,该伪造特征数据记录一关联信息;
一网络接口;以及
一处理器,电性连接该存储器及该网络接口,用以执行以下操作:
通过该网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包;以及
将该HTTP封包的一HTTP标头与该HTTP参考标头比对,以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一;
其中,当该HTTP封包被辨别为该正常封包且属于该浏览器类别时,该处理器更执行以下操作:
判断该HTTP标头的一目标域名信息及一参照位置信息是否存在于该关联信息中;以及
当该目标域名信息及该参照位置信息不存在于该关联信息时,判断该HTTP封包是否使得一时间窗口内与该目标域名信息相关联的一计数值超过一第一门槛值,以及若该计数值超过该第一门槛值,则重新辨别该HTTP封包为该可疑封包,其中该计数值为该时间窗口内的多个已接收HTTP封包的一封包总数,且各该已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于该关联信息中。
2.如权利要求1所述的可疑封包检测装置,其特征在于,该伪造特征数据更记录一网址分类模型,以及当该HTTP封包被辨别为该正常封包且属于该应用程序类别时,该处理器更用以执行以下操作:
将该HTTP封包的一网址信息输入至该网址分类模型,以产生一推论用户代理信息;以及
判断该HTTP封包的一用户代理信息是否与该推论用户代理信息相同,若不相同,则重新辨别该HTTP封包为该可疑封包。
3.如权利要求2所述的可疑封包检测装置,其特征在于,该HTTP参考标头包括一用户代理参考信息、一语言参考信息、一域名参考信息及一字段参考信息,以及该处理器更用以执行以下操作:
判断该用户代理信息是否存在于该用户代理参考信息中,若不存在,则辨别该HTTP封包为该可疑封包;
当该用户代理信息存在于该用户代理参考信息中且该HTTP封包属于该浏览器类别时,判断该HTTP标头的一语言信息是否存在于该语言参考信息中,若是,则辨别该HTTP封包为该正常封包,若否,则辨别该HTTP封包为该可疑封包;以及
当该用户代理信息存在于该用户代理参考信息中且该HTTP封包属于该应用程序类别时,根据该HTTP标头的该目标域名信息是否存在于该域名参考信息中、该HTTP标头的一字段信息是否存在于该字段参考信息中且该HTTP封包的一封包尺寸是否落入一容许范围内计算一评估值,并判断该评估值是否大于等于一第二门槛值,若该评估值大于等于该第二门槛值,则辨别该HTTP封包为该正常封包,若该评估值小于该第二门槛值,则辨别该HTTP封包为该可疑封包。
4.如权利要求3所述的可疑封包检测装置,其特征在于,该处理器更将该HTTP标头的该用户代理信息与该用户代理参考信息比对,以判断该HTTP封包属于该浏览器类别及该应用程序类别其中之一。
5.如权利要求4所述的可疑封包检测装置,其特征在于,该用户代理参考信息包括一浏览器信息及一应用程序信息,该处理器更判断该HTTP标头的该用户代理信息是否存在于该浏览器信息中,若存在,则判断该HTTP封包属于该浏览器类别,以及若不存在,则判断该HTTP封包属于该应用程序类别。
6.如权利要求2所述的可疑封包检测装置,其特征在于,该网址分类模型是基于一序列分析算法及一多对一规则,以一监督式学习训练所建立。
7.如权利要求2所述的可疑封包检测装置,其特征在于,该处理器更自该HTTP封包的该网址信息撷取一域名特征、一路径特征及一参数索引键特征,以将该域名特征、该路径特征及该参数索引键特征输入至该网址分类模型,藉此产生该推论用户代理信息。
8.如权利要求1所述的可疑封包检测装置,其特征在于,该处理器更解析该HTTP封包,以取得该HTTP标头。
9.一种用于一可疑封包检测装置的可疑封包检测方法,其特征在于,该可疑封包检测装置包括一存储器、一网络接口以及一处理器,该存储器存储一参考数据以及一伪造特征数据,该参考数据记录一超文本传输协议HTTP参考标头,该伪造特征数据记录一关联信息,该可疑封包检测方法由该处理器所执行且包括下列步骤:
通过该网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包;以及
将该HTTP封包的一HTTP标头与该HTTP参考标头比对,以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一;
其中,当该HTTP封包被辨别为该正常封包且属于该浏览器类别时,该可疑封包检测方法更该包括下列步骤:
判断该HTTP标头的一目标域名信息及一参照位置信息是否存在于该关联信息中;
当该目标域名信息及该参照位置信息不存在于该关联信息中时,判断该HTTP封包是否使得一时间窗口内与该目标域名信息相关联的一计数值超过一第一门槛值,其中该计数值为该时间窗口内的多个已接收HTTP封包的一封包总数,且各该已接收HTTP封包的另一HTTP标头的另一目标域名信息及另一参照位置信息不存在于该关联信息中;以及
若该计数值超过该第一门槛值,则重新辨别该HTTP封包为该可疑封包。
10.如权利要求9所述的可疑封包检测方法,其特征在于,该伪造特征数据更记录一网址分类模型,以及当该HTTP封包被辨别为该正常封包且属于该应用程序类别时,该可疑封包检测方法更包括以下步骤:
将该HTTP封包的一网址信息输入至该网址分类模型,以产生一推论用户代理信息;以及
判断该HTTP封包的一用户代理信息是否与该推论用户代理信息相同,若不相同,则重新辨别该HTTP封包为该可疑封包。
11.如权利要求10所述的可疑封包检测方法,其特征在于,该HTTP参考标头包括一用户代理参考信息、一语言参考信息、一域名参考信息及一字段参考信息,以及该可疑封包检测方法更包括以下步骤:
判断该用户代理信息是否存在于该用户代理参考信息中,若不存在,则辨别该HTTP封包为一可疑封包;
当该用户代理信息存在于该用户代理参考信息中且该HTTP封包属于该浏览器类别时,判断该HTTP标头的一语言信息是否存在于该语言参考信息中,若是,则辨别该HTTP封包为一正常封包,若否,则辨别该HTTP封包为该可疑封包;以及
当该用户代理信息存在于该用户代理参考信息中且该HTTP封包属于该应用程序类别时,根据该HTTP标头的该目标域名信息及一字段信息是否分别存在于该域名参考信息及该字段参考信息中且该HTTP封包的一封包尺寸是否落入一容许范围内计算产生一评估值,若该评估值大于等于一第二门槛值,则辨别该HTTP封包为该正常封包,若该评估值小于该第二门槛值,则辨别该HTTP封包为该可疑封包。
12.如权利要求11所述的可疑封包检测方法,其特征在于,该可疑封包检测方法更包括以下步骤:
将该HTTP标头的该用户代理信息与该用户代理参考信息比对,判断该HTTP封包属于该浏览器类别及该应用程序类别其中之一。
13.如权利要求12所述的可疑封包检测方法,其特征在于,该用户代理参考信息包括一浏览器信息及一应用程序信息,以及该可疑封包检测方法更包括以下步骤:
判断该HTTP标头的该用户代理信息是否存在于该浏览器信息;
若存在,则判断该HTTP封包属于该浏览器类别;以及
若不存在,则判断该HTTP封包属于该应用程序类别。
14.如权利要求10所述的可疑封包检测方法,其特征在于,该网址分类模型是基于一序列分析算法及一多对一规则,以一监督式学习训练所建立。
15.如权利要求10所述的可疑封包检测方法,其特征在于,该可疑封包检测方法更包括以下步骤:
自该网址信息撷取一域名特征、一路径特征及一参数索引键特征,以将该域名特征、该路径特征及该参数索引键特征输入至该网址分类模型,来产生该推论用户代理信息。
16.如权利要求9所述的可疑封包检测方法,其特征在于,该可疑封包检测方法更包括以下步骤:
解析该HTTP封包,以取得该HTTP标头。
17.一种可疑封包检测装置,其特征在于,该可疑封包检测装置包括:
一存储器,用以存储一参考数据以及一伪造特征数据,该参考数据记录一超文本传输协议HTTP参考标头,该伪造特征数据记录一网址分类模型;
一网络接口;以及
一处理器,电性连接该存储器及该网络接口,用以执行以下操作:
通过该网络接口,撷取自一内部网络传送至一外部网络的一HTTP封包;以及
将该HTTP封包的一HTTP标头与该HTTP参考标头比对,以判断该HTTP封包属于一浏览器类别及一应用程序类别其中之一,并辨别该HTTP封包为一正常封包及一可疑封包其中之一;
其中,当该HTTP封包被辨别为该正常封包且属于该应用程序类别时,该处理器更执行以下操作:
将该HTTP封包的一网址信息输入至该网址分类模型,以产生一推论用户代理信息;以及
判断该HTTP封包的一用户代理信息是否与该推论用户代理信息相同,若不相同,则重新辨别该HTTP封包为该可疑封包,
其中,该处理器更自该HTTP封包的该网址信息撷取一域名特征、一路径特征及一参数索引键特征,以将该域名特征、该路径特征及该参数索引键特征输入至该网址分类模型,藉此产生该推论用户代理信息。
18.如权利要求17所述的可疑封包检测装置,其特征在于,该网址分类模型是基于一序列分析算法及一多对一规则,以一监督式学习训练所建立。
19.如权利要求17所述的可疑封包检测装置,其特征在于,该处理器更解析该HTTP封包,以取得该HTTP标头。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107138823 | 2018-11-01 | ||
TW107138823A TWI729320B (zh) | 2018-11-01 | 2018-11-01 | 可疑封包偵測裝置及其可疑封包偵測方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111131137A CN111131137A (zh) | 2020-05-08 |
CN111131137B true CN111131137B (zh) | 2022-05-24 |
Family
ID=70458753
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811346304.8A Active CN111131137B (zh) | 2018-11-01 | 2018-11-13 | 可疑封包检测装置及其可疑封包检测方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11057403B2 (zh) |
CN (1) | CN111131137B (zh) |
TW (1) | TWI729320B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
RU2701040C1 (ru) * | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
US11184377B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
US11184376B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
US20220078208A1 (en) * | 2019-07-16 | 2022-03-10 | Cisco Technology, Inc. | Multi-protocol / multi-session process identification |
US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
CN114465769B (zh) * | 2021-12-28 | 2024-03-15 | 尚承科技股份有限公司 | 学习网络行为特征的网络设备、处理系统与方法 |
US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
CN116244612B (zh) * | 2023-05-12 | 2023-08-29 | 国网江苏省电力有限公司信息通信分公司 | 一种基于自学习参数度量的http流量聚类方法及装置 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8879388B2 (en) * | 2006-05-30 | 2014-11-04 | Broadcom Corporation | Method and system for intrusion detection and prevention based on packet type recognition in a network |
US7877806B2 (en) * | 2006-07-28 | 2011-01-25 | Symantec Corporation | Real time malicious software detection |
CN101523379A (zh) * | 2006-08-18 | 2009-09-02 | 阿卡麦科技公司 | 分布式网络中的数据收集方法 |
US7917957B2 (en) * | 2007-05-29 | 2011-03-29 | Alcatel Lucent | Method and system for counting new destination addresses |
US20110041182A1 (en) * | 2008-04-29 | 2011-02-17 | John Stenfelt | intrusion detection and notification |
KR101585700B1 (ko) * | 2010-12-14 | 2016-01-14 | 한국전자통신연구원 | 서비스 거부 공격 차단 방법 |
US8762298B1 (en) | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
US9038172B2 (en) * | 2011-05-06 | 2015-05-19 | The Penn State Research Foundation | Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows |
US8676729B1 (en) * | 2011-06-14 | 2014-03-18 | Narus, Inc. | Network traffic classification using subspace clustering techniques |
CN103096321B (zh) * | 2011-11-02 | 2015-11-25 | 西门子公司 | 一种用于检测恶意服务器的方法和装置 |
KR102017810B1 (ko) * | 2012-04-18 | 2019-10-21 | 짐페리엄 리미티드 | 모바일 기기용 침입방지장치 및 방법 |
KR101391781B1 (ko) * | 2012-08-07 | 2014-05-07 | 한국전자통신연구원 | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 |
US9135439B2 (en) * | 2012-10-05 | 2015-09-15 | Trustwave Holdings, Inc. | Methods and apparatus to detect risks using application layer protocol headers |
US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
US9247075B2 (en) * | 2013-08-27 | 2016-01-26 | International Business Machines Corporation | Data sharing with mobile devices |
CN103916288B (zh) * | 2013-12-27 | 2017-11-28 | 哈尔滨安天科技股份有限公司 | 一种基于网关与本地的Botnet检测方法及系统 |
US20150222526A1 (en) * | 2014-02-05 | 2015-08-06 | Calix, Inc. | Network and service layers for next generation access networks |
US9888033B1 (en) * | 2014-06-19 | 2018-02-06 | Sonus Networks, Inc. | Methods and apparatus for detecting and/or dealing with denial of service attacks |
JP5947838B2 (ja) * | 2014-07-04 | 2016-07-06 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
US10135633B2 (en) * | 2015-04-21 | 2018-11-20 | Cujo LLC | Network security analysis for smart appliances |
GB201603118D0 (en) * | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
TWI634769B (zh) * | 2016-09-20 | 2018-09-01 | 中華電信股份有限公司 | Method for detecting domain name transformation botnet through proxy server log |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
US10778699B1 (en) * | 2017-04-17 | 2020-09-15 | Verizon Digital Media Services Inc. | Network attack mitigation based on distributed packet analysis |
CN107231364B (zh) * | 2017-06-13 | 2020-06-09 | 深信服科技股份有限公司 | 一种网站漏洞检测方法及装置、计算机装置及存储介质 |
US10038715B1 (en) * | 2017-08-01 | 2018-07-31 | Cloudflare, Inc. | Identifying and mitigating denial of service (DoS) attacks |
CN107483488B (zh) * | 2017-09-18 | 2021-04-30 | 济南互信软件有限公司 | 一种恶意Http检测方法及系统 |
US10498658B2 (en) * | 2017-10-23 | 2019-12-03 | Citrix Systems, Inc. | Systems and methods for first packet application classification |
CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
US10805320B1 (en) * | 2018-06-15 | 2020-10-13 | Trend Micro Incorporated | Methods and systems for inspecting encrypted network traffic |
-
2018
- 2018-11-01 TW TW107138823A patent/TWI729320B/zh active
- 2018-11-13 CN CN201811346304.8A patent/CN111131137B/zh active Active
- 2018-11-27 US US16/202,084 patent/US11057403B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN111131137A (zh) | 2020-05-08 |
US11057403B2 (en) | 2021-07-06 |
TWI729320B (zh) | 2021-06-01 |
TW202019140A (zh) | 2020-05-16 |
US20200145435A1 (en) | 2020-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
US20200322362A1 (en) | Deep-learning-based intrusion detection method, system and computer program for web applications | |
US20240056480A1 (en) | Detection of content generated from phishing attacks | |
TWI674777B (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
TWI648650B (zh) | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 | |
EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
Boukhamla et al. | CICIDS2017 dataset: performance improvements and validation as a robust intrusion detection system testbed | |
Catak et al. | Distributed denial of service attack detection using autoencoder and deep neural networks | |
CN110166480B (zh) | 一种数据包的分析方法及装置 | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
Eslahi et al. | Periodicity classification of HTTP traffic to detect HTTP Botnets | |
Ghafir et al. | DNS query failure and algorithmically generated domain-flux detection | |
Farhan et al. | Performance analysis of intrusion detection for deep learning model based on CSE-CIC-IDS2018 dataset | |
David et al. | Zero day attack prediction with parameter setting using Bi direction recurrent neural network in cyber security | |
Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
Mahardhika et al. | An implementation of Botnet dataset to predict accuracy based on network flow model | |
Iorliam et al. | " Flow Size Difference" Can Make a Difference: Detecting Malicious TCP Network Flows Based on Benford's Law | |
Lu et al. | Network security situation awareness based on network simulation | |
KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 | |
Rana et al. | Automated fast-flux detection using machine learning and genetic algorithms | |
Isma'ila et al. | Evaluation on bot-IoT dataset enabled reducing false alarm rate for IoT threats | |
Zhai et al. | Detecting JitterBug covert timing channel with sparse embedding |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |