CN113920398A - 异常设备识别方法、装置、计算机设备和存储介质 - Google Patents

异常设备识别方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN113920398A
CN113920398A CN202111192013.XA CN202111192013A CN113920398A CN 113920398 A CN113920398 A CN 113920398A CN 202111192013 A CN202111192013 A CN 202111192013A CN 113920398 A CN113920398 A CN 113920398A
Authority
CN
China
Prior art keywords
network
data
access
bytes
network behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111192013.XA
Other languages
English (en)
Inventor
刘育权
许斌斌
陈畅
黄均才
刘鉴栋
袁晶
周鑫
谢志炜
王伟光
林镜星
王遂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority to CN202111192013.XA priority Critical patent/CN113920398A/zh
Priority to PCT/CN2021/128138 priority patent/WO2023060664A1/zh
Publication of CN113920398A publication Critical patent/CN113920398A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种异常设备识别方法、装置、计算机设备和存储介质。方法包括:获取网络访问数据;网络访问数据为目标设备执行网络行为而产生的通信数据;对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;将访问数据流量特征、访问持续时间特征和访问请求字段特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果;网络行为分类结果包括网络行为是否为异常网络行为的分类结果;若网络行为为异常网络行为,则根据网络访问数据中的通信发起方地址,确定目标设备中的异常设备。采用本方法能够准确地识别出存在异常网络行为的物联网设备。

Description

异常设备识别方法、装置、计算机设备和存储介质
技术领域
本申请涉及电网安全技术领域,特别是涉及一种异常设备识别方法、装置、计算机设备和存储介质。
背景技术
物联网是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络。
在变电站二次系统中各种物联网设备和边缘节点的部署所构成的云边协同架构中,基于客户端/服务器模式的交互过程在使用HTTP协议时可能面临的恶意泄露隐患,负责网络安全的用户往往需要检测出云边协同架构中存在异常网络行为的物联网设备。
相关技术比较常用的检测方法是基于黑名单匹配来实现的即采用IP地址黑名单来对存在异常网络行为的物联网设备进行拦截管控。然而,IP地址黑名单往往不能记录下所有存在异常网络行为的IP地址,使得不利于准确地识别出存在异常网络行为的物联网设备。
发明内容
基于此,有必要针对上述技术问题,提供一种能够准确地识别出存在异常网络行为的物联网设备的异常设备识别方法、装置、计算机设备和存储介质。
一种异常设备识别方法,包括:
获取网络访问数据;所述网络访问数据为目标设备执行网络行为而产生的数据;
对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;
将所述访问数据流量特征、所述访问持续时间特征和所述访问请求字段特征输入至预训练的网络行为分类模型,得到针对所述网络行为的网络行为分类结果;所述网络行为分类结果包括所述网络行为是否为异常网络行为的分类结果;
若所述网络行为为异常网络行为,则根据所述网络访问数据中的通信发起方地址,确定所述目标设备中的异常设备。
在其中一个实施例中,所述对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:
确定所述网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数;
根据所述数据包个数、所述数据包字节数、所述接收数据包字节数和所述发送数据包字节数,生成所述访问数据流量特征。
在其中一个实施例中,所述根据所述数据包个数、所述数据包字节数、所述接收数据包字节数和所述发送数据包字节数,生成所述访问数据流量特征,包括:
计算所述数据包字节数的平均数,得到数据包字节数平均值;
计算所述接收数据包字节数的平均数,得到接收数据包字节数平均值;
计算所述发送数据包字节数的平均数,得到发送数据包字节数平均值;
计算所述接收数据包字节数与所述发送数据包字节数之间的比值,得到收发数据包字节数比率;
生成与所述数据包个数、所述数据包字节数、所述数据包字节数平均值、所述接收数据包字节数、所述接收数据包字节数平均值、所述发送数据包字节数、所述发送数据包字节数平均值和所述收发数据包字节数比率对应的特征向量,作为所述访问数据流量特征。
在其中一个实施例中,所述对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:
根据所述网络访问数据,确定对应的所述目标设备与服务器进行通信传输的数据流持续时间;
确定所述网络访问数据中的数据包字节数,并根据所述数据包字节数和所述数据流持续时间,生成所述访问持续时间特征。
在其中一个实施例中,所述根据所述数据包字节数和所述数据流持续时间,生成所述访问持续时间特征,包括:
计算所述数据包字节数与所述数据流持续时间的比值,得到数据流传输速度;
生成与所述数据流持续时间和所述数据流传输速度对应的特征向量,作为所述访问持续时间特征。
在其中一个实施例中,所述对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:
读取所述网络访问数据中的网络访问请求;
提取所述网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度;
生成与所述URL路径长度、所述访问页面名称长度和所述资源路径长度对应的特征向量,作为所述访问请求字段特征。
在其中一个实施例中,在根据所述网络访问数据中的通信发起方地址,定位所述目标设备中的异常设备的步骤之后,所述方法还包括:
对所述网络访问数据进行解析处理,得到所述网络访问数据中的通信接收方地址;
根据所述通信接收方地址,确定与所述异常设备进行通信的接收方服务器;
生成用于提示所述异常设备与所述接收方服务器进行异常通讯的告警消息。
一种异常设备识别装置,所述装置包括:
获取模块,用于获取网络访问数据;所述网络访问数据为目标设备执行网络行为而产生的数据;
提取模块,用于对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;
分类模块,用于将所述访问数据流量特征、所述访问持续时间特征和所述访问请求字段特征输入至预训练的网络行为分类模型,得到针对所述网络行为的网络行为分类结果;所述网络行为分类结果包括所述网络行为是否为异常网络行为的分类结果;
识别模块,用于若所述网络行为为异常网络行为,则根据所述网络访问数据中的通信发起方地址,确定所述目标设备中的异常设备。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
上述异常设备识别方法、装置、计算机设备和存储介质,通过获取目标设备执行网络行为而产生的网络访问数据,并对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;再将访问数据流量特征、访问持续时间特征和访问请求字段特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果;网络行为分类结果包括网络行为是否为异常网络行为的分类结果;若网络行为为异常网络行为,则根据网络访问数据中的通信发起方地址,确定目标设备中的异常设备;如此,可以通过提取出网络访问数据中的访问数据流量特征、访问持续时间特征和访问请求字段特征,实现借助目标设备的网络流量准确刻画出目标设备网络行为的特征,并通过预训练的网络行为分类模型准确分类恶意网络行为,检测并识别系统中的恶意设备,提前预警,提高了安全可控性。
附图说明
图1为一个实施例中一种异常设备识别方法的应用环境图;
图2为一个实施例中一种异常设备识别方法的流程示意图;
图3为一个实施例中恶意应用与安全应用HTTP数据包个数对比图;
图4为一个实施例中恶意应用与安全应用的HTTP数据包字节数对比图;
图5为一个实施例中恶意应用与安全应用的数据流持续时间对比图;
图6为一个实施例中恶意应用与安全应用的HTTP数据流传输速度对比图;
图7为一个实施例中恶意应用与安全应用GET请求的URI长度对比图;
图8为一个实施例中恶意应用与安全应用GET请求的路径长度对比图;
图9为一个实施例中恶意应用与安全应用GET请求的参数长度对比图;
图10为一个实施例中一种异常设备识别方法的框架图;
图11为另一个实施例中一种异常设备识别方法的流程示意图;
图12为一个实施例中一种异常设备识别装置的结构框图;
图13为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的异常设备识别方法,可以应用于如图1所示的应用环境中。其中,电子设备110通过网络与目标设备120进行通信。其中,电子设备110获取网络访问数据;网络访问数据为目标设备执行网络行为而产生的数据;电子设备110对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;电子设备110将访问数据流量特征、访问持续时间特征和访问请求字段特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果;网络行为分类结果包括网络行为是否为异常网络行为的分类结果;若网络行为为异常网络行为,电子设备110则根据网络访问数据中的通信发起方地址,确定目标设备中的异常设备。实际应用中,电子设备110可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,目标设备120可以是变电站系统中物联网设备。
在一个实施例中,如图2所示,提供了一种异常设备识别方法,以该方法应用于图1中的电子设备为例进行说明,包括以下步骤:
步骤S210,获取网络访问数据。
其中,网络访问数据为目标设备执行网络行为而产生的数据。
具体实现中,电子设备可以采集各个目标设备的网络行为文件PCAP(即PCAP文件),进而实现采集各个目标设备执行网络行为而产生的网络访问数据。
步骤S220,对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征。
其中,访问数据流量特征可以是指目标设备与服务器进行通讯过程中所产生的HTTP流量的数据量特征。
其中,访问持续时间特征可以是指目标设备与服务器进行通讯过程中的时间行为特征。
其中,访问请求字段特征可以是指目标设备与服务器进行通讯过程中访问请求的字段特征。
具体实现中,电子设备可以分析采集到的PCAP文件,并提取属性特征,从而实现对PCAP文件的特征挖掘。然后,电子设备进行HTTP流量的关联分析,即电子设备可以基于数据量大小的关联分析、基于时间属性的关联分析,以及,基于语义字段属性的关联分析,进而确定出可以有效区分出网络行为是否为异常网络行为的三类流量属性特征即访问数据流量特征、访问持续时间特征和访问请求字段特征。
步骤S230,将访问数据流量特征、访问持续时间特征和访问请求字段特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果。
其中,网络行为分类结果包括网络行为是否为异常网络行为的分类结果。
具体实现中,预训练的网络行为分类模型可以是指基于神经网络的分类模型。实际应用中,该网络行为分类模型可以采用Bayes Net、Random SubSpace、J48、DecisionTable和Random Tree。
其中,Bayes Net:又称信度网络,作为Bayes分类的扩展方法,它是目前在推理领域已经未知的知识表达最有效的理论模型之一。一个贝叶斯网络是一个有向无环图,由结点及连接这些结点的有向边构成。结点代表随机特征变量,结点间的有向边代表了结点间的互相关系,用条件概率进行关系强度的表达,没有父结点的用先验概率进行表达。
其中,Random SubSpace:随机子空间是一种集成学习方法,通过使用随机的部分特征而不是所有的特征来训练每个分类器,来降低每个分类器之间的相关性。不同于bagging的随机使用部分训练数据,Random SubSpace是随机使用部分特征,因此RandomSubSpace常用于特征远远大于训练样本数的情况。
其中,J48:J48的分类方式是从上到下、不断递归,选择某个属性放置在根节点,为每个可能的属性值产生一个分支,将实例分成多个子集,每个子集对应一个根节点的分支,然后在每个分支上递归地重复这个过程。当所有实例有相同的分类时,停止。
其中,Decision Table:决策表用来表达与DRD决策工件相对应决策逻辑的一种方法。决策表是一组相关输入和输出表达式的表格表示形式,被组织成规则,这些规则指示哪个输出条目适用于一组特定的输入条目。决策表包含确定输出所需的所有(唯一)输入。此外,一个完整的表包含输入值(所有规则)的所有可能组合。
其中,Random Tree:和普通决策树相比,Random Tree会随机的选择若干属性来进行构建而不是选取所有的属性。Weka在实现上,对于随机属性的选取、生成分裂点的过程是这样的:设置一个要选取的属性的数量K—>在全域属性中无放回的对属性进行抽样—>算出该属性的信息增益(注意不是信息增益率)—>重复K次,选出信息增益最大的当分裂节点—>构建该节点的孩子子树。该方法使用于数据集有较多个属性的时候使用。
具体实现中,电子设备将用于区分是否是异常网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征这三类流量属性特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果。其中,预训练的网络行为分类模型具有多个,电子设备可以在Windows系统下的weka平台训练了5个知名的分类器并进行十折并交叉验证。
实际应用中,还可以利用下述评价指标,并借助TP(被模型预测为正类的正样本)、FN(被模型预测为负类的正样本)、FP(被模型预测为正类的负样本)、TN(被模型预测为负类的负样本)四个参数来评价上述分类器的性能。
Accuracy:准确率,即预测结果正确的样本数量占样本总数的比例。
Figure BDA0003301560140000081
Precision:精确率,即在预测为正的样本中,有多少是真正的正样本。
Figure BDA0003301560140000082
Recall:召回率,即在标记为正的样本中,有多少被真正预测为正样本。
Figure BDA0003301560140000083
Specificity:特异性,即在标记为负的样本中,有多少被真正预测为负样本。
Figure BDA0003301560140000084
F1-score:用于调和Precision和Recall互斥特性的平均评估指标。
MCC:用于评估不均衡数据集。
Figure BDA0003301560140000085
ROC-area:ROC曲线以Specificity为横轴,Recall为纵轴,利用所有样本的对应指标绘制而成。ROC-area即对应ROC曲线下与坐标轴所围面积。
PRC-area:ROC曲线以Recall为横轴,Precision为纵轴,利用所有样本的对应指标绘制而成。PRC-area即对应PRC曲线下与坐标轴所围面积。
为了便于本领域技术人员的理解,表1实例性地提供了一种机器学习模型分类评估结果。
Figure BDA0003301560140000086
Figure BDA0003301560140000091
步骤S240,若网络行为为异常网络行为,则根据网络访问数据中的通信发起方地址,确定目标设备中的异常设备。
其中,通信发起方地址可以是指通信发起方所采用的通讯协议地址。实际应用中,通信发起方地址可以是通信发起方的IP(Internet Protocol,互联网协议)地址即源IP地址。
具体实现中,若电子设备确定该网络行为为异常网络行为,电子设备则可以读取该网络访问数据中的源IP地址即通信发起方地址;然后,电子设备在目标设备中确定与该源IP地址对应的目标设备为异常设备。
上述异常设备识别方法中,通过获取目标设备执行网络行为而产生的网络访问数据,并对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;再将访问数据流量特征、访问持续时间特征和访问请求字段特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果;网络行为分类结果包括网络行为是否为异常网络行为的分类结果;若网络行为为异常网络行为,则根据网络访问数据中的通信发起方地址,确定目标设备中的异常设备;如此,可以通过提取出网络访问数据中的访问数据流量特征、访问持续时间特征和访问请求字段特征,实现借助目标设备的网络流量准确刻画出目标设备网络行为的特征,并通过预训练的网络行为分类模型准确分类恶意网络行为,检测并识别系统中的恶意设备,提前预警,提高了安全可控性。
在另一个实施例中,对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:确定网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数;根据数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数,生成访问数据流量特征。
其中,计算数据包字节数的平均数,得到数据包字节数平均值;计算接收数据包字节数的平均数,得到接收数据包字节数平均值;计算发送数据包字节数的平均数,得到发送数据包字节数平均值;计算接收数据包字节数与发送数据包字节数之间的比值,得到收发数据包字节数比率;生成与数据包个数、数据包字节数、数据包字节数平均值、接收数据包字节数、接收数据包字节数平均值、发送数据包字节数、发送数据包字节数平均值和收发数据包字节数比率对应的特征向量,作为访问数据流量特征。
其中,数据包个数可以是指设备网络行为所产生的HTTP流中包含的数据包个数
其中,数据包字节数可以是指设备网络行为所产生的HTTP流数据包的字节总数。
其中,数据包字节数平均值可以是指设备网络行为所产生的HTTP流数据包的字节总数平均值。
其中,接收数据包字节数可以是指设备接收外部服务器发来的HTTP流数据包中的字节总数。
其中,接收数据包字节数平均值可以是指设备接收外部服务器发来的HTTP流数据包中字节总数的平均值。
其中,发送数据包字节数可以是指设备向外部服务器发送的HTTP流数据包中的字节总数。
其中,收发数据包字节数比率可以是指接收字节总数与发送字节总数的比值。
具体实现中,电子设备对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征的过程中,电子设备可以确定网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数,并根据数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数,生成访问数据流量特征;具体来说,电子设备可以计算数据包字节数的平均数,得到数据包字节数平均值;计算接收数据包字节数的平均数,得到接收数据包字节数平均值;计算发送数据包字节数的平均数,得到发送数据包字节数平均值;计算接收数据包字节数与发送数据包字节数之间的比值,得到收发数据包字节数比率。
该类属性是测量恶意应用和安全应用在一次操作行为之后,所产生的流量属性在数据量大小方面的不同。本文主要从数据包个数和字节数两个属性进行对比分析。
当用户在恶意应用进行网络行为时,该应用会与恶意的外部服务器进行通信,通常会通过请求更新命令和以固定格式的数据包来向外发送用户的隐私信息。不仅如此,大部分的恶意应用为了要躲避安全防护软件的检测,进行单次操作行为,并不会产生大数量的网络流量。所以,恶意应用一次操作行为所产生的流量,在大多数情况下,会具有每个HTTP数据流的字节数大小类似且数据量不大的特点。基于对200个恶意应用和200个安全应用的PCAP文件观察上,如图3和图4可以看到,80%的恶意应用包含10个或少于10个HTTP数据包,每条流的总数小于5000字节。而这个区间,在安全应用的数据上,这个比例仅仅只有50%。
最后,电子设备生成与数据包个数、数据包字节数、数据包字节数平均值、接收数据包字节数、接收数据包字节数平均值、发送数据包字节数、发送数据包字节数平均值和收发数据包字节数比率对应的特征向量,作为访问数据流量特征。
本实施例的技术方案,通过确定网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数,并根据数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数,生成用于准确表征访问数据流量大小的访问数据流量特征。
在另一个实施例中,对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:根据网络访问数据,确定对应的目标设备与服务器进行通信传输的数据流持续时间;确定网络访问数据中的数据包字节数,并根据数据包字节数和数据流持续时间,生成访问持续时间特征。
其中,计算数据包字节数与数据流持续时间的比值,得到数据流传输速度;生成与数据流持续时间和数据流传输速度对应的特征向量,作为访问持续时间特征。
其中,数据流持续时间可以是指设备在一次操作或一次网络行为中与外部服务器进行通信传输HTTP数据流的总时长。
其中,数据流传输速度可以是指设备与外部服务器通信时产生的HTTP流中每秒传输的字节数。
具体实现中,电子设备在对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征的过程中,电子设备可以根据网络访问数据,确定对应的目标设备与服务器进行通信传输的数据流持续时间;确定网络访问数据中的数据包字节数,并根据数据包字节数和数据流持续时间,生成访问持续时间特征。具体来说,电子设备可以计算数据包字节数与数据流持续时间的比值,得到数据流传输速度。
该类属性是为了分析物联网设备中的应用在一次操作、一次网络行为时产生的HTTP流量的时间行为特征。物联网设备中的恶意应用为了躲避安全杀毒检测软件的追杀,必须保证数据通信过程的持续性、隐蔽性,所以大多数的物联网设备中的恶意应用与外部服务器的通信时间都会比安卓正常应用与外部服务器的通信时间短。该类属性的具体可分为HTTP数据流持续时间和每秒传输的HTTP数据流字节数。
首先,对HTTP流数据持续时间进行分析比较。该属性表示的是安卓应用在一次操作或者一次网络行为,与外部服务器进行通信传输HTTP数据流的总时长。物联网设备中的恶意应用的行为主要是窃取用户隐私数据并发送给外部服务器,所以一次操作或者一次网络行为不会需要过长时间,当目的达到,恶意应用便可以停止与外部服务器的通信。而对于安全应用没有特殊的目的,只要在其使用期间即可进行长时间的网络活动。如图5所示,对于物联网设备中的恶意应用,100秒范围内的HTTP流持续时间的比例达到了80%。而同样是100秒的范围时间,在物联网设备中的安全应用中的比例只有40%。
接着本部分对每秒传输的HTTP数据流字节数进行分析比较。该属性表示的是安卓应用与外部服务器进行通信时产生的HTTP流中每秒的传输字节数。图6展示的是物联网设备中的恶意应用与安全应用在该属性上的比较。从图中可以看到,在100bytes/s的范围之外,两种应用的差异逐渐显著。总体上来看,恶意应用的传输速度会小于安全应用的传输速度。
最后,电子设备生成与数据流持续时间和数据流传输速度对应的特征向量,作为访问持续时间特征。
本实施例的技术方案,通过根据网络访问数据,确定对应的目标设备与服务器进行通信传输的数据流持续时间;确定网络访问数据中的数据包字节数,并根据数据包字节数和数据流持续时间,生成可以准确表征目标设备访问时间行为的访问持续时间特征。
在另一个实施例中,对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:读取网络访问数据中的网络访问请求;提取网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度;生成与URL路径长度、访问页面名称长度和资源路径长度对应的特征向量,作为访问请求字段特征。
具体实现中,电子设备在对网络访问数据进行特征提取处理,确定针对网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征的过程中,电子设备可以读取网络访问数据中的网络访问请求,并提取网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度。具体来说,物联网设备中的应用不论是恶意还是安全,绝大多数都是通过HTTP数据流来与外部服务器进行数据传输、通信。因此,物联网设备中的应用的一次操作或者一次网络行为可以由访问的主机、HTTP请求的方法、URI等内容进行反映,所以可以与HTTP请求以及响应中包含的语义字段进行关联。
为了更好的解释语义字段,在该部分,我们使用WhatsApp应用的一次恶意行为所产生的一条HTTP请求为例来进行说明:GET/search/isavaible2.php?imei=35547006228587&ch=-1&ver=12GET表示HTTP的请求的方法,除GET之外,常见的还有POST请求方法;search/isavaible2.php表示该物联网设备中的应用请求的数据、文件在外部服务器上的路径;IMEI表示查询的参数;35547006228587表示查询的参数的值。以上描述的字段,任意一个的改变,都会引起HTTP数据流性质的改变。
以Get请求为例,我们依据HTTP数据流在请求或者响应外部服务器时的语义字段,从中提取出URL长度、路径长度和参数长度三个字段。
其中,URL路径长度是指物联网设备中的应用在请求数据、文件的过程中访问外部数据的资源的路径长度。物联网设备中的恶意应用的网络行为通常是将窃取的用户隐私数据发送给外部服务器,以及向外部服务器请求新的命令从而开始新的恶意行为,所以对于物联网设备中的恶意应用来说,不论是GET请求还是POST请求,它们的格式都较为固定。而物联网设备中的安全应用因为其具有丰富的功能的缘故,会因为其请求不同数据、文件的缘故而具有长度不同的URL。如图7所示,物联网设备中的恶意应用的GET/POST请求的URL长度相比于物联网设备中的安全应用,具有较大的差别。
其中,路径长度表示的是物联网设备中的应用在请求数据、文件过程中访问外部服务器的URL的路径或者页面长度。物联网设备中的恶意应用因为其访问的文件、数据比较单一、外部服务器在小范围内变换,所以它们的网络行为变化较小。相反,物联网设备中的安全应用的网络行为多样丰富,导致其访问的数据、资源文件会出现多个的情况。如图8所示,物联网设备中的恶意应用的GET请求的路径长度会小于物联网设备中的安全应用的路径长度,而且物联网设备中的安全应用的路径长度所跨越的区间也更大。
其中,参数长度表示的是物联网设备中的应用向外部服务器发送的HTTP请求中所要查询的参数的长度。通过参数的内容,也可以分析出物联网设备中的应用是否向外部服务器发送了诸如IMEI之类的隐私数据。物联网设备中的应用向服务器发送请求时的参数会因为不同的网络行为而带有差异,对于物联网设备中的恶意应用,例如,即时通讯软件,当用户登录的时候会带有用户账号密码等参数;而当打开好友发来的页面链接去请求页面时,可能出现不带有参数的情况。可见,物联网设备中的安全应用向外部服务器请求中的查询参数的长度和个数都会在不断变化。如图9所示,物联网设备中的恶意应用的请求参数长度会小于物联网设备中的安全应用,而且参数的格式也没有物联网设备中的安全应用的格式丰富。
最后,电子设备生成与URL路径长度、访问页面名称长度和资源路径长度对应的特征向量,作为访问请求字段特征。
本实施例的技术方案,通过读取网络访问数据中的网络访问请求,并提取网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度;生成与URL路径长度、访问页面名称长度和资源路径长度对应的特征向量,作为用于准确表征访问请求语义信息的访问请求字段特征。
为了便于本领域技术人员的理解,表2提供了实例性地提供了HTTP流量特征属性。
表2
Figure BDA0003301560140000151
Figure BDA0003301560140000161
在另一个实施例中,在根据网络访问数据中的通信发起方地址,定位目标设备中的异常设备的步骤之后,方法还包括:对网络访问数据进行解析处理,得到网络访问数据中的通信接收方地址;根据通信接收方地址,确定与异常设备进行通信的接收方服务器;生成用于提示异常设备与接收方服务器进行异常通讯的告警消息。
其中,通信接收方地址可以是指接收方服务器所采用的通讯协议地址。实际应用中,通信接收方地址可以是通信接收方的IP(Internet Protocol,互联网协议)地址。
具体实现中,电子设备在根据网络访问数据中的通信发起方地址,定位目标设备中的异常设备的步骤之后,电子设备还可以对网络访问数据进行解析处理,得到网络访问数据中的目标IP地址(即通信接收方地址);然后,电子设备再根据目标IP地址对外部服务器进行追踪和定位。
最后,电子设备还可以生成用于提示异常设备与接收方服务器进行异常通讯的告警消息。
本实施例的技术方案,通过对网络访问数据进行解析处理,得到网络访问数据中的通信接收方地址,并可以根据通信接收方地址,准确地确定出与异常设备进行通信的接收方服务器,实现对外部服务器的溯源、定位以及追踪。
为了便于本领域技术人员的理解,图10实例性地提供了一种异常设备识别方法的框架图。首先,电子设备进行样本收集即获取设备网络行为文件PCAP。然后,电子设备进行特征挖掘即通过分析该设备网络行为文件PCAP的内容,提取出用于区分网络行为是否为恶意行为的属性特征。再然后,电子设备进行HTTP流量关联分析即基于数据量大小、时间属性和语义字段属性进行关联分析。再然后,电子设备进行分类器模型构建即通过采用多个机器学习分类模型进行恶意行为识别。最后,电子设备在识别出网络行为存在恶意行为时,电子设备则进行追踪定位即提取设备网络行为文件PCAP中的源IP地址和目标IP地址,并利用源IP地址和目标IP地址确定出正常设备和恶意设备。
在另一个实施例中,如图11所示,提供了一种异常设备识别方法,以该方法应用于图1中的电子设备为例进行说明,包括以下步骤:
步骤S1102,获取网络访问数据;网络访问数据为目标设备执行网络行为而产生的数据。
步骤S1104,确定网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数。
步骤S1106,根据数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数,生成访问数据流量特征。
步骤S1108,根据网络访问数据,确定对应的目标设备与服务器进行通信传输的数据流持续时间。
步骤S1110,确定网络访问数据中的数据包字节数,并根据数据包字节数和数据流持续时间,生成访问持续时间特征。
步骤S1112,读取网络访问数据中的网络访问请求。
步骤S1114,提取网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度。
步骤S1116,生成与URL路径长度、访问页面名称长度和资源路径长度对应的特征向量,作为访问请求字段特征。
步骤S1118,将访问数据流量特征、访问持续时间特征和访问请求字段特征输入至预训练的网络行为分类模型,得到针对网络行为的网络行为分类结果;网络行为分类结果包括网络行为是否为异常网络行为的分类结果。
步骤S1120,若网络行为为异常网络行为,则根据网络访问数据中的通信发起方地址,确定目标设备中的异常设备。
需要说明的是,上述步骤的具体限定可以参见上文对一种异常设备识别方法的具体限定。
应该理解的是,虽然图2和图11的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2和图11中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图12所示,提供了一种异常设备识别装置,包括:
获取模块1210,用于获取网络访问数据;所述网络访问数据为目标设备执行网络行为而产生的数据;
提取模块1220,用于对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;
分类模块1230,用于将所述访问数据流量特征、所述访问持续时间特征和所述访问请求字段特征输入至预训练的网络行为分类模型,得到针对所述网络行为的网络行为分类结果;所述网络行为分类结果包括所述网络行为是否为异常网络行为的分类结果;
识别模块1240,用于若所述网络行为为异常网络行为,则根据所述网络访问数据中的通信发起方地址,确定所述目标设备中的异常设备。
在其中一个实施例中,所述提取模块1220,具体用于确定所述网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数;根据所述数据包个数、所述数据包字节数、所述接收数据包字节数和所述发送数据包字节数,生成所述访问数据流量特征。
在其中一个实施例中,所述提取模块1220,具体用于计算所述数据包字节数的平均数,得到数据包字节数平均值;计算所述接收数据包字节数的平均数,得到接收数据包字节数平均值;计算所述发送数据包字节数的平均数,得到发送数据包字节数平均值;计算所述接收数据包字节数与所述发送数据包字节数之间的比值,得到收发数据包字节数比率;生成与所述数据包个数、所述数据包字节数、所述数据包字节数平均值、所述接收数据包字节数、所述接收数据包字节数平均值、所述发送数据包字节数、所述发送数据包字节数平均值和所述收发数据包字节数比率对应的特征向量,作为所述访问数据流量特征。
在其中一个实施例中,所述提取模块1220,具体用于根据所述网络访问数据,确定对应的所述目标设备与服务器进行通信传输的数据流持续时间;确定所述网络访问数据中的数据包字节数,并根据所述数据包字节数和所述数据流持续时间,生成所述访问持续时间特征。
在其中一个实施例中,所述提取模块1220,具体用于计算所述数据包字节数与所述数据流持续时间的比值,得到数据流传输速度;生成与所述数据流持续时间和所述数据流传输速度对应的特征向量,作为所述访问持续时间特征。
在其中一个实施例中,所述提取模块1220,具体用于读取所述网络访问数据中的网络访问请求;提取所述网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度;生成与所述URL路径长度、所述访问页面名称长度和所述资源路径长度对应的特征向量,作为所述访问请求字段特征。
在其中一个实施例中,所述装置还包括:解析模块,用于对所述网络访问数据进行解析处理,得到所述网络访问数据中的通信接收方地址;定位模块,用于根据所述通信接收方地址,确定与所述异常设备进行通信的接收方服务器。
关于异常设备识别装置的具体限定可以参见上文中对于异常设备识别方法的限定,在此不再赘述。上述异常设备识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储执行异常设备识别方法的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常设备识别方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种异常设备识别方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图13中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述一种异常设备识别方法的步骤。此处一种异常设备识别方法的步骤可以是上述各个实施例的一种异常设备识别方法中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述一种异常设备识别方法的步骤。此处一种异常设备识别方法的步骤可以是上述各个实施例的一种异常设备识别方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种异常设备识别方法,其特征在于,包括:
获取网络访问数据;所述网络访问数据为目标设备执行网络行为而产生的数据;
对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;
将所述访问数据流量特征、所述访问持续时间特征和所述访问请求字段特征输入至预训练的网络行为分类模型,得到针对所述网络行为的网络行为分类结果;所述网络行为分类结果包括所述网络行为是否为异常网络行为的分类结果;
若所述网络行为为异常网络行为,则根据所述网络访问数据中的通信发起方地址,确定所述目标设备中的异常设备。
2.根据权利要求1所述的方法,其特征在于,所述对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:
确定所述网络访问数据中的数据包个数、数据包字节数、接收数据包字节数和发送数据包字节数;
根据所述数据包个数、所述数据包字节数、所述接收数据包字节数和所述发送数据包字节数,生成所述访问数据流量特征。
3.根据权利要求2所述的方法,其特征在于,所述根据所述数据包个数、所述数据包字节数、所述接收数据包字节数和所述发送数据包字节数,生成所述访问数据流量特征,包括:
计算所述数据包字节数的平均数,得到数据包字节数平均值;
计算所述接收数据包字节数的平均数,得到接收数据包字节数平均值;
计算所述发送数据包字节数的平均数,得到发送数据包字节数平均值;
计算所述接收数据包字节数与所述发送数据包字节数之间的比值,得到收发数据包字节数比率;
生成与所述数据包个数、所述数据包字节数、所述数据包字节数平均值、所述接收数据包字节数、所述接收数据包字节数平均值、所述发送数据包字节数、所述发送数据包字节数平均值和所述收发数据包字节数比率对应的特征向量,作为所述访问数据流量特征。
4.根据权利要求1所述的方法,其特征在于,所述对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:
根据所述网络访问数据,确定对应的所述目标设备与服务器进行通信传输的数据流持续时间;
确定所述网络访问数据中的数据包字节数,并根据所述数据包字节数和所述数据流持续时间,生成所述访问持续时间特征。
5.根据权利要求4所述的方法,其特征在于,所述根据所述数据包字节数和所述数据流持续时间,生成所述访问持续时间特征,包括:
计算所述数据包字节数与所述数据流持续时间的比值,得到数据流传输速度;
生成与所述数据流持续时间和所述数据流传输速度对应的特征向量,作为所述访问持续时间特征。
6.根据权利要求1所述的方法,其特征在于,所述对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征,包括:
读取所述网络访问数据中的网络访问请求;
提取所述网络访问请求中的URL路径长度、访问页面名称长度和访问外部服务器的资源路径长度;
生成与所述URL路径长度、所述访问页面名称长度和所述资源路径长度对应的特征向量,作为所述访问请求字段特征。
7.根据权利要求1所述的方法,其特征在于,在根据所述网络访问数据中的通信发起方地址,定位所述目标设备中的异常设备的步骤之后,所述方法还包括:
对所述网络访问数据进行解析处理,得到所述网络访问数据中的通信接收方地址;
根据所述通信接收方地址,确定与所述异常设备进行通信的接收方服务器。
8.一种异常设备识别装置,其特征在于,所述装置包括:
获取模块,用于获取网络访问数据;所述网络访问数据为目标设备执行网络行为而产生的数据;
提取模块,用于对所述网络访问数据进行特征提取处理,确定针对所述网络行为的访问数据流量特征、访问持续时间特征和访问请求字段特征;
分类模块,用于将所述访问数据流量特征、所述访问持续时间特征和所述访问请求字段特征输入至预训练的网络行为分类模型,得到针对所述网络行为的网络行为分类结果;所述网络行为分类结果包括所述网络行为是否为异常网络行为的分类结果;
识别模块,用于若所述网络行为为异常网络行为,则根据所述网络访问数据中的通信发起方地址,确定所述目标设备中的异常设备。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202111192013.XA 2021-10-13 2021-10-13 异常设备识别方法、装置、计算机设备和存储介质 Pending CN113920398A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111192013.XA CN113920398A (zh) 2021-10-13 2021-10-13 异常设备识别方法、装置、计算机设备和存储介质
PCT/CN2021/128138 WO2023060664A1 (zh) 2021-10-13 2021-11-02 异常设备识别方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111192013.XA CN113920398A (zh) 2021-10-13 2021-10-13 异常设备识别方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN113920398A true CN113920398A (zh) 2022-01-11

Family

ID=79240175

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111192013.XA Pending CN113920398A (zh) 2021-10-13 2021-10-13 异常设备识别方法、装置、计算机设备和存储介质

Country Status (2)

Country Link
CN (1) CN113920398A (zh)
WO (1) WO2023060664A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834311B (zh) * 2024-03-06 2024-05-14 成都工业职业技术学院 一种用于网络安全的恶意行为识别系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9781139B2 (en) * 2015-07-22 2017-10-03 Cisco Technology, Inc. Identifying malware communications with DGA generated domains by discriminative learning
CN111107096A (zh) * 2019-12-27 2020-05-05 杭州迪普科技股份有限公司 一种Web站点安全防护方法及装置
CN111953665B (zh) * 2020-07-28 2022-08-30 深圳供电局有限公司 服务器攻击访问识别方法及系统、计算机设备、存储介质
CN112543176A (zh) * 2020-10-22 2021-03-23 新华三信息安全技术有限公司 一种异常网络访问检测方法、装置、存储介质及终端

Also Published As

Publication number Publication date
WO2023060664A1 (zh) 2023-04-20

Similar Documents

Publication Publication Date Title
Wang et al. Detecting android malware leveraging text semantics of network flows
CN112417439B (zh) 账号检测方法、装置、服务器及存储介质
CN110177108B (zh) 一种异常行为检测方法、装置及验证系统
Jerlin et al. A new malware detection system using machine learning techniques for API call sequences
US10033757B2 (en) Identifying malicious identifiers
CN107888571B (zh) 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统
Chu et al. Blog or block: Detecting blog bots through behavioral biometrics
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN107659570A (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
CN109948334B (zh) 一种漏洞检测方法、系统及电子设备和存储介质
CN110768875A (zh) 一种基于dns学习的应用识别方法及系统
CN114866358B (zh) 一种基于知识图谱的自动化渗透测试方法及系统
CN112565308B (zh) 基于网络流量的恶意应用检测方法、装置、设备及介质
CN109413047B (zh) 行为模拟的判定方法、系统、服务器及存储介质
CN108055166B (zh) 一种嵌套的应用层协议的状态机提取系统及其提取方法
Kelley et al. Getting prepared for the next botnet attack: Detecting algorithmically generated domains in botnet command and control
CN110572302B (zh) 无盘局域网场景识别方法、装置及终端
CN113920398A (zh) 异常设备识别方法、装置、计算机设备和存储介质
CN113132329A (zh) Webshell检测方法、装置、设备及存储介质
Niveditha et al. Detection of Malware attacks in smart phones using Machine Learning
He et al. Mobile app identification for encrypted network flows by traffic correlation
US10313127B1 (en) Method and system for detecting and alerting users of device fingerprinting attempts
CN109450853B (zh) 恶意网站判定方法、装置、终端及服务器
CN115314268B (zh) 基于流量指纹和行为的恶意加密流量检测方法和系统
CN111181756B (zh) 一种域名安全性判定方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination