TW201103281A - Botnet early detection using HHMM algorithm - Google Patents
Botnet early detection using HHMM algorithm Download PDFInfo
- Publication number
- TW201103281A TW201103281A TW098122517A TW98122517A TW201103281A TW 201103281 A TW201103281 A TW 201103281A TW 098122517 A TW098122517 A TW 098122517A TW 98122517 A TW98122517 A TW 98122517A TW 201103281 A TW201103281 A TW 201103281A
- Authority
- TW
- Taiwan
- Prior art keywords
- probability
- network
- state
- value
- behavior
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
201103281 六、發明說明: 【發明所屬之技術領咸】 / 本發明係有關於一氆電腦系統與方法,特別是有關於 一種偵測僵屍網路(botnet)的電腦系統與方法。 【先前技術】 近年來,用於從事惡意目的的彊屍網路(botnet)活動 數量正與曰俱增。不法的殖屍操控者(Botmaster)可從他 處集中操控礓屍程式’下指令啟動礓屍程式(bot)來執行 * 大規模的惡意活動,包括散佈垃圾郵件、網路釣魚、卩且絕 服務程式(DoS)攻擊及勒索威脅。 傳統上用以偵測僵屍網路的方法’多半依賴已知的病毒 碼,且無法早期偵測到僵屍網路。 因此,需要一種能夠有政偵測僵屍網路的系統與方法。 【發明内容】 本發明提供一種僵屍網路偵測系統,其包括:一突發流 φ 量特徵萃取器,接收一偵測對象網路中一網際網路中繼聊 天(IRC)封包的欄位值,並據以計算一突發流量特徵值; 一模型參數估算器,依據該突發流量特徵值,決定混合隱 藏式馬可夫模型(Hybrid Hidden Markov Model,HHMM ) 所需之機率參數值;一模型產生器,依據該機率參數值, 並配=預先定義的網路行為狀態類別,建立混合隱藏式馬 可土杈型之機率時序模型;及一可疑狀態偵測器,當接收 到-,的IRC封包’並由突發流量特徵萃取器據以產生突 發/瓜里特徵值之後,該可疑狀態偵測器將該突發流量特徵 值輸入該此5隱藏式馬可夫模型之機率時序模型中,據以 201103281 判斷該彳貞測對象網路的中繼聊天流量狀態是否為可疑流量 狀態,若疋,則產生相對的警告訊息。 本發明另提供一種礓屍網路偵測方法,其包括:接收一 摘測對象網路々中—網際網路中繼聊天(IRC)封包的攔位 值’並據以計算一突發流量特徵值;依據該突發流量特徵 值決疋δ隱藏式馬可夫模型(Hybrid Hidden Markov Model,HHMM)所需之機率參數值;依據該機率參數值, 並配合預先定義的網路行為狀態類別,建立混合隱藏式馬 可夫模型之機率時序模型;及當接收到一新的 IRC封包, 並由突發流量特徵萃取器據以產生突發流量特徵值之後, 該可疑=態偵測器將該突發流量特徵值輸入該混合隱藏式 馬可夫挺型之機率時序模型中,據以判斷該偵測對象網路 #中繼聊天流量狀態是否為可疑流量狀態,若是,則產生 相對的警告訊息。 易懂為讓本發明之上述和其他目的、特徵、和優點能更明顯 下文特舉出較佳實施例,並配合所附圖式,作詳細 說明如下: 【實施方式】 第 1 ^ 圖顯示依據本發明實施例之僵屍網路偵測系統之 万塊圖。 1圖所示,僵屍網路偵測系統1〇〇主要包括:一 模型表封l收集器11〇、一突發流量特徵萃取器130、一 哭二數估其器150、一模型產生器170、一可凝狀態偵測 及一警告資料庫180。 IRP & t ,,同路封包收集器110從網路收集封包,並篩選出 網際網路Φ # 甲繼聊天(Internet Relay Chat,IRC)封包,擷取並 201103281 輸出該IRC封包的欄位值。 突發流量特徵萃取器130接收該irc封包的欄位值, 並據以計算突發流量特徵值。在此,突發流量特徵值有二: 其一為每秒鐘封包大小的平均值,另一則是每秒鐘封包間 隔時間的平均值。
模型參數估算器15〇,依據該突發流量特徵值,決定混 合隱藏式馬可夫模型(Hybrid Hidden Markov Model, HHMM )所需之機率參數值,亦即轉換機率(transiti〇n probability)參數及輸出機率(emissi〇n pr〇babiuty)參數。 模型參數估算器150包括轉換機率參數估算器151及 輸出機率參數估算器153。 其^ ’轉換機率參數估算器151依據該突發流量特徵 值,計算各個預先定義的狀態間轉換機率,以產生轉換機 率°轉換機率參數估算ϋ 1M湘條件機率配合統計 的计人法則(C〇unting mle),依序計算每一筆訓練資料 (InStanCe)所屬的行為狀態類別在整個訓練資料集(Training 有的比率,該比率便是該筆資料的轉換機率。 參數估算器153依據該突發流量特徵值,計 ϊ突發特徵值符合各個預先定義狀態的可能機率, 出機率參數。輸出機率參數估算器153利用條 統計的計次法則,計算每一個訓練資料中萃取 ,向量值在行為狀態中的機率。 數,抽 生器依據該轉換機率參數及該輸出機率參 二、配合預先定義的網路行為狀態類別, 模型之機率時序模型,供後續用於細屍3 所產的騎流量。在此,預紋義了三_路行為狀態 201103281 類別:正常行綠態(Nonnal state)、閒置料狀即心軸) 和動作行為狀態(Active state)。 模型參數估算器150及模型產生器17〇係在訓練階段 運作,由收集到的IRC封包產生混合隱藏式馬可夫模型之 機率時序模型,以供後續偵測僵屍網路之用 徵萃取器130從1測對象網路接收到 =二發流量特徵萃取器130據以產生突發流 1特徵值之後’由可疑狀態偵測器190將
值輸入該混合隱藏式馬可夫模型之機率時 = 该測對象網路的中繼聊天流量狀態是减^ 若是,則產生並儲存相對的警告訊息。欸里狀^ 可疑狀態偵測器⑽包括一狀;估算器19 器193及先前狀態暫存器I%。 應 狀悲估异191依據突發流量特徵萃取器13〇輸入的 突發流量賴值及先前網路行為狀§_,決 ^式馬可夫模型中,對應各_先定義_騎為狀態^ 常行為狀態、閒置行為狀態和動作㈣ 狀態估算器191利用前向式演算法(?_心㈣_,亦 即將利用混合隱藏式馬可夫模型所計算出的各個網路突發 流量,徵機率值力:總’以計算目前網路的行為狀態在各個 預先定義的網路行為狀態的機率值。 狀態對應器193從狀態估算器191輪入的各個網路 為狀態的機率值,決定目前網路狀態所屬_路行為狀離 類別,且满其是否為需警告的網路行為狀g類別,並^ 時儲存此祕行為狀態咖。狀·㈣顧193當目前網: 的行為狀賴屬_先定義網路㈣錢為行為狀態 201103281 或動作f為狀態則產生警告。 網路ί暫存器195暫存由狀態對應器193所產生的 θ‘、、、狀態類別’以提供狀態估算器191計算下一筆流 行為狀態的機率值。 s σ >料庫180儲存狀態對應器193產生的警告訊 心,以供後續使用。 第2圖顯示依據本發明實施例之殪屍網路偵測方法的 流程圖。 步驟S201為訓練階段,建立被偵測之網路的混合隱藏 式馬可夫模型。步驟S205為檢測階段,依據已建立的混合 隱藏式馬可夫模型’判斷目前網路之行為狀態類別。 上述訓練階段及檢測階段的詳細步驟如第3圖及第4 圖所示。 第3圖顯示第2圖之訓練階段的流程圖。 步驟S301中’從網路收集封包,並篩選出網際網路中 繼聊天(Internet Relay Chat,IRC)封包,擷取並輸出該IRC 封包的棚位值。 步驟S303中,計算突發流量特徵值。在此,突發流量 特徵值有二:其一為每秒鐘封包大小的平均值,另一則是 每秒鐘封包間隔時間的平均值。 步驟S305中,依據該突發流量特徵值,計算各個預先 定義的狀態間轉換機率,以產生轉換機率參數。利用條件 機率配合統計的計次法則(Counting rule),依序計算每一筆 訓練資料(Instance)所屬的行為狀態類別在整個訓練資料集 (Training set)中所佔有的比率’該比率便是該筆資料的轉換 機率。 . 201103281 步驟S307中,依據該突發流量特徵值,計算該流量突 發特徵值符合各個預先定義狀態的可能機率,以產生該輸 出機率參數。利用條件機率配合統計的計次法則,計算每 一個訓練資料中萃取出的特徵向量值在行為狀態中的機 率。 步驟S309中,依據該轉換機率參數及輸出機率參數, 產生混合隱藏式馬可夫模型之機率時序模型。 第4圖顯示第2圖中檢測階段的流程圖。 步驟S401中,從網路收集封包,並篩選出網際網路中 繼聊天(Internet Relay Chat,IRC)封包,摘取並輸出該IRC 封包的攔位值。 步驟S402中,計算突發流量特徵值。在此,突發流量 特徵值有二:其一為每秒鐘封包大小的平均值,另一則是 每秒鐘封包間隔時間的平均值。
當從一偵測對象網路接收到IRC封包,並據以產生突 發流量特徵值之後,在步驟S4〇3中,依據突發流量特徵值 及先前網路行為狀態類別’判斷並儲存目前的網路狀態。 亦即,依據突發流量特徵值及先前網路行為狀態類別,決 定在混合隱藏式馬可夫模型中,對應各個預先定義的網路 行為狀態(正常行為狀態、閒置行為狀態和動作行為狀態) 否為閒置行為狀 ’該方法執行步 步驟S404中,判斷目前的網路狀態是 態’若是,則該方法執^于步驟S4〇6,否則 驟 S405 。 在步驟S40.5中,判斷目前的網路狀態是否 狀態,若是,則該方法執行步驟S4〇6,否則,該H t 201103281 在步驟S406中,發出並儲存警告訊息。 如上述,本系統設立閒置行為狀態,可以用於偵測早 期的礓屍網路流量,即偵測出尚在等待駭客或攻擊者命令 的彊屍網路,可於礓屍電腦(B 〇 t s)發動攻擊前便可以偵測出 來,並提醒管理人員進行處理,以減少因為礓屍網路產生 攻擊時的修復成本。 雖然本發明已以較佳實施例揭露如上,然其並非用以 限定本發明,任何熟習此技藝者,在不脫離本發明之精神 和範圍内,當可作些許之更動與潤飾,因此本發明之保護 • 範圍當視後附之申請專利範圍所界定者為準。 201103281 【圖式簡單說明】 第1圖顯示依據本發明實施例之僵屍網路偵測系統之 方塊圖。 第2圖顯示依據本發明實施例之礓屍網路偵測方法的 流程圖。 第3圖顯示第2圖之訓練階段的流程圖。 第4圖顯示第2圖中檢測階段的流程圖。 【主要元件符號說明】 • 僵屍網路偵測系統100 IRC網路封包收集器110 突發流量特徵萃取器130 模型參數估算器150 轉換機率參數估算器151 輸出機率參數估算器1:53 模型產生器170 可疑狀態偵測器190 φ 狀態估算器191 狀態對應器193 先前狀態暫存器195 警告資料庫180
Claims (1)
- 201103281 七、申請專利範圍: 1.一種僵屍網路偵測系統,其包括: 一突發流量特徵萃取器,接收一偵測對象網路中一網 際網路中繼聊天(IRC)封包的欄位值,並據以計算一突發 流量特徵值; 一模型參數估算器,依據該突發流量特徵值,決定混 5 隱藏式馬可夫模型(Hybrid Hidden Markov Model, HHMM)所需之機率參數值; 一模型產生器’依據該機率參數值,並配合預先定義 鲁的網路行為狀態類別,建立混合隱藏式馬可夫模型之機率 時序模型;及 一可疑狀態偵測器,當接收到一新的IRC封包,並由 突發流量特徵萃取器據以產生突發流量特徵值之後,該可 疑狀態彳貞測器將該突發流量特徵值輸入該混合隱藏式馬可 夫模型之機率時序模型中,據以判斷該偵測對象網路的中 繼聊天流量狀態是否為可疑流量狀態,若是,則產生相對 的警告訊息。 Φ .2.如申請專利範圍第1項所述之僵屍網路偵測系統’更 包括一網際網路中繼聊天(IRC)封包收集器,其從該偵測 對象網路收集封包,並從收集之該封包中篩選出網際網路 中繼聊天(Internet Relay Chat, IRC)封包,擷取該IRC封包 的欄位值’並將該IRC封包的欄位值輸出給該突發流量特 徵萃取器。 3. 如申請專利範圍第1項所述之僵屍網路偵測系統’其 中該突發流量特徵值包括:每秒鐘封包大小的平均值、及 每秒鐘封包間隔時間的平均值9 4. 如申請專利範圍第1項所述之僵屍網路偵測系統’其 , m 12 201103281 中該機率參數值包括一轉換 值,其中該模型參數估算器包括,值及一輸出機率參數 一轉換機率參數估算器,1 六 計算各個預先定義的狀離換1該犬發^量特徵值, 參數值,·及 Μ間轉換機率’以產生該轉換機率 一輸出機率參數仕瞀哭,& 計算該流量突發特徵值,符合各^發流量特徵值, 率,以產生該輸出機率參數口值。 定義狀態的可能機 5.如申请專利範圍第4适路、+、+ ,_ 中該轉換㈣H # 僵屍網削貞測系統,其 H 鼻器利用條件機率配合統計的計次法 的-:Hru e ’依序計算每—筆訓練資料(instance)所屬 的灯為L]在整個訓練f料集(Training set)中所佔有 的比率’該比率即為該筆資料的轉換機率參數值。 6’如申#專利範®第4項所述之僵屍網路彳貞測系、統,其 中該,,,率參數估昇器利用條件機率配合統計的計次法 則,δ十算每-個味練資料中萃取出的特徵向量值在行為狀 態中的機率,作為該輸出機率參數值。 • 7.如申二專利範圍第〗項所述之僵屍網路偵測系統,其 中該預先定義的網路行為狀態類別包括正常行為狀態 (Normal state)、閒置行為狀態(1心似⑹和動作行為狀態 (Active state) ’其中該閒置行為狀態及該動作行為狀態屬於 該可疑流量狀態。 8.如申請專利範圍第1項所述之僵屍網路偵測系統,該 可疑狀態偵測器包括: 一狀態估算器’依據該突發流量特徵值及先前網路行 為狀態類別’決定在混合隱藏式馬可夫模型中,對應各個 201103281 預先定義的網路行為機率值. —二狀態對應器,依據各個網路行為狀 路狀態所屬的網路行為狀態類別了且:Ϊ ’決 為高警告的網路行為狀態類別;及 】斷其是否 一先前狀態暫存器,暫存由該狀態 路行為狀態類別,以提供該狀態估算器的網 各個網路行為狀態的機率值。 華v量在9.如申請專利範圍第8項所述之 狀態,將利用混合隱藏式馬可夫模型所 === =路大發流量特徵機率值加總,以計算目前網路的行= L在各個預先定義的網路行為狀態的機率值。 ··、、狀 10·如申請專利範sf〗項所述之錢網 更包括-警告資料庫.,其儲存該警告訊息,以供後=。 11·一種彊屍網路偵測方法,其包括: 接收一偵測對象網路中一網際網路中繼聊天()封 包的欄位值,並據以計算一突發流量特徵值; 依據該突發流量特徵值,決定混合隱藏式馬可夫模型 (Hybrid Hidden Markov Model,HHMM)所需之機率參數 值; / 依據該機率參數值,並配合預先定義的網路行為狀態 類別’建立混合隱藏式馬可夫模型之機率時序模型;及 當接收到一新的IRC封包,並由突發流量特徵萃取器 據以產生突發流量特徵值之後’該可疑狀態偵測器將該突 發流量特徵值輸入該混合隱藏式馬可夫模型之機率時序模 型中,據以判斷該偵測對象網路的中繼聊天流量狀態是否 為可疑流量狀態,若是,則產生相對的警告訊息。 m 14 201103281 12. 如申請專利範圍第丨丨項所述之殪屍網路偵測方 法’更從該偵測對象網路收集封包,並從收集之該封包中 筛選出網際網路中繼聊天(Internet Relay Chat, IRC)封包, 擷取該IRC封包的襴位值。 13. 如申請專利範圍第u項所述之殖屍網路偵測方 法’其中該突發流量特徵值包括:每秒鐘封包大小的平均 值、及每秒鐘封包間隔時間的平均值。14. 如申請專利範圍第11項所述之礓屍網路偵測方 法,其中該機率參數值包括一轉換機率參數值及一輸出機 率參數值’該方法更包括: 依據該突發流量特徵值,計算各個預先定義的狀態間 轉換機率,以產生該轉換機率參數值;及 依據該突發流量特徵值,計算該流量突發特徵值符合 各個預先定義狀態的可能機率,以產生該輸出機率參數值。 15_如申請專利範圍第14項所述之殪屍網路偵測方 法,利用條件機率配合統計的計次法則(c〇unting rule),依 序計算每一筆訓練資料(Instance)所屬的行為狀態類別在^ 個訓練資料集(Training set)中所佔有的比率,該比率 筆資料的轉換機率。 # 16. 如申請專利範圍第14項所述之殪屍網路偵測方 法,利用條件機率配合統計的計次法則,計算每一個訓 資料中萃取出的特徵向量值在行為狀態中的機率, 兮 輪出機率參數值。 17. 如申請專利範圍第U項所述之邊屍網路偵測方 法,其中該預先定義的網路行為狀態類別包括正常行為狀 態(Normal state)、閒置行為狀態(idle state)和動作行為狀,能 201103281 (Active state),其中該閒置行為狀態及該動作行為狀態屬於 該可疑流量狀態。 18. 如申請專利範圍第11項所述之礓屍網路偵測方 法,更包括: 依據該突發流量特徵值及先前網路行為狀態類別,決 定在混合隱藏式馬可夫模型中,對應各個預先定義的網路 行為狀態的機率值; 依據各個網路行為狀態的機率值,決定目前網路狀態 所屬的網路行為狀態類別,且判斷其是否為需警告的網路 ®行為狀態類別;及 暫存由該狀態對應器所產生的網路行為狀態類別,以 提供計算下一筆流量在各個網路行為狀態的機率值之用。 19. 如申請專利範圍第18項所述之礓屍網路偵測方 法,將利用混合隱藏式馬可夫模型所計算出的各個網路突 發流量特徵機率值加總,以計算目前網路的行為狀態在各 個預先定義的網路行為狀態的機率值。 20. 如申請專利範圍第11項所述之礓屍網路偵測方 φ 法,更儲存該警告訊息,以供後續使用。 [s] 16
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW098122517A TWI405434B (zh) | 2009-07-03 | 2009-07-03 | 殭屍網路偵測系統及方法 |
US12/726,272 US8307459B2 (en) | 2009-07-03 | 2010-03-17 | Botnet early detection using hybrid hidden markov model algorithm |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW098122517A TWI405434B (zh) | 2009-07-03 | 2009-07-03 | 殭屍網路偵測系統及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201103281A true TW201103281A (en) | 2011-01-16 |
TWI405434B TWI405434B (zh) | 2013-08-11 |
Family
ID=43413333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW098122517A TWI405434B (zh) | 2009-07-03 | 2009-07-03 | 殭屍網路偵測系統及方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8307459B2 (zh) |
TW (1) | TWI405434B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI616771B (zh) * | 2016-04-25 | 2018-03-01 | 宏碁股份有限公司 | 殭屍網路偵測系統及其方法 |
TWI636680B (zh) * | 2016-12-14 | 2018-09-21 | 中華電信股份有限公司 | System and method for detecting suspicious domain names based on semi-passive domain name server |
TWI666568B (zh) * | 2018-04-30 | 2019-07-21 | 國立成功大學 | 在Netflow上以會話型式之P2P殭屍網路偵測方法 |
CN111818049A (zh) * | 2020-07-08 | 2020-10-23 | 宝牧科技(天津)有限公司 | 一种基于马尔可夫模型的僵尸网络流量检测方法及系统 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10243981B2 (en) | 2016-09-09 | 2019-03-26 | Ca, Inc. | Bot detection based on divergence and variance |
US10075463B2 (en) | 2016-09-09 | 2018-09-11 | Ca, Inc. | Bot detection system based on deep learning |
US10135852B2 (en) | 2016-09-09 | 2018-11-20 | Ca, Inc. | Bot detection based on behavior analytics |
TWI596498B (zh) * | 2016-11-02 | 2017-08-21 | FedMR-based botnet reconnaissance method | |
CN106911675B (zh) * | 2017-02-09 | 2019-02-26 | 中国移动通信集团设计院有限公司 | 一种手机恶意软件预警方法和装置 |
CN108881255B (zh) * | 2018-06-29 | 2020-11-13 | 长扬科技(北京)有限公司 | 一种基于c&c通信状态转换检测僵尸网络的方法 |
CN115733642A (zh) * | 2021-08-30 | 2023-03-03 | 华为技术有限公司 | 流量特征提取方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6622150B1 (en) * | 2000-12-18 | 2003-09-16 | Networks Associates Technology, Inc. | System and method for efficiently managing computer virus definitions using a structured virus database |
TWI273399B (en) * | 2005-07-11 | 2007-02-11 | Via Tech Inc | Command process method for RAID |
US20090064337A1 (en) * | 2007-09-05 | 2009-03-05 | Shih-Wei Chien | Method and apparatus for preventing web page attacks |
US8271422B2 (en) * | 2008-11-29 | 2012-09-18 | At&T Intellectual Property I, Lp | Systems and methods for detecting and coordinating changes in lexical items |
-
2009
- 2009-07-03 TW TW098122517A patent/TWI405434B/zh active
-
2010
- 2010-03-17 US US12/726,272 patent/US8307459B2/en active Active
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI616771B (zh) * | 2016-04-25 | 2018-03-01 | 宏碁股份有限公司 | 殭屍網路偵測系統及其方法 |
US10122738B2 (en) | 2016-04-25 | 2018-11-06 | Acer Incorporated | Botnet detection system and method |
TWI636680B (zh) * | 2016-12-14 | 2018-09-21 | 中華電信股份有限公司 | System and method for detecting suspicious domain names based on semi-passive domain name server |
TWI666568B (zh) * | 2018-04-30 | 2019-07-21 | 國立成功大學 | 在Netflow上以會話型式之P2P殭屍網路偵測方法 |
CN111818049A (zh) * | 2020-07-08 | 2020-10-23 | 宝牧科技(天津)有限公司 | 一种基于马尔可夫模型的僵尸网络流量检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
TWI405434B (zh) | 2013-08-11 |
US20110004936A1 (en) | 2011-01-06 |
US8307459B2 (en) | 2012-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201103281A (en) | Botnet early detection using HHMM algorithm | |
Chen et al. | CBF: a packet filtering method for DDoS attack defense in cloud environment | |
CN101895521B (zh) | 一种网络蠕虫检测与特征自动提取方法及其系统 | |
Xie et al. | Monitoring the application-layer DDoS attacks for popular websites | |
CN104468507B (zh) | 基于无控制端流量分析的木马检测方法 | |
Lv et al. | Detecting the sybil attack cooperatively in wireless sensor networks | |
CN101635658B (zh) | 网络失窃密行为的异常检测方法及系统 | |
CN107046468B (zh) | 一种物理层认证门限确定方法及系统 | |
CN109617931A (zh) | 一种SDN控制器的DDoS攻击防御方法及防御系统 | |
CN110719250B (zh) | 基于PSO-SVDD的Powerlink工控协议异常检测方法 | |
Udhayan et al. | Statistical segregation method to minimize the false detections during ddos attacks. | |
CN102546524B (zh) | 一种针对sip单源洪泛攻击的检测方法和sip入侵检测系统 | |
Chawla et al. | Discrimination of DDoS attacks and flash events using Pearson’s product moment correlation method | |
CN107454039A (zh) | 网络攻击检测系统和检测网络攻击的方法 | |
CN106878314A (zh) | 基于可信度的网络恶意行为检测方法 | |
Jiang et al. | RED-FT: A scalable random early detection scheme with flow trust against DoS attacks | |
CN104158823B (zh) | 一种面向LDoS与LDDoS的模拟方法 | |
CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
CN103269337B (zh) | 数据处理方法及装置 | |
CN106161241B (zh) | 一种无线传感器网络路由层低速洪泛攻击的检测方法 | |
CN106412888B (zh) | 基于性能反馈的容侵路由方法 | |
CN104125194A (zh) | 基于互相关的LDDoS攻击时间同步和流量汇聚方法 | |
Ding et al. | Detecting intruders using a long connection chain to connect to a host | |
Mrugala et al. | Evolving attackers against wireless sensor networks | |
CN103716307B (zh) | 结合网络脆弱性评估的反射拒绝服务攻击检测方法 |