TWI779245B - 異常流量偵測方法與異常流量偵測裝置 - Google Patents

異常流量偵測方法與異常流量偵測裝置 Download PDF

Info

Publication number
TWI779245B
TWI779245B TW108139410A TW108139410A TWI779245B TW I779245 B TWI779245 B TW I779245B TW 108139410 A TW108139410 A TW 108139410A TW 108139410 A TW108139410 A TW 108139410A TW I779245 B TWI779245 B TW I779245B
Authority
TW
Taiwan
Prior art keywords
data
sampling
image
network traffic
abnormal
Prior art date
Application number
TW108139410A
Other languages
English (en)
Other versions
TW202119242A (zh
Inventor
孫明功
何宗諭
張宗銓
黃瓊瑩
Original Assignee
安碁資訊股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 安碁資訊股份有限公司 filed Critical 安碁資訊股份有限公司
Priority to TW108139410A priority Critical patent/TWI779245B/zh
Priority to CN201911197065.9A priority patent/CN112751818B/zh
Priority to US17/015,027 priority patent/US11916939B2/en
Priority to EP20204323.8A priority patent/EP3817328A1/en
Publication of TW202119242A publication Critical patent/TW202119242A/zh
Application granted granted Critical
Publication of TWI779245B publication Critical patent/TWI779245B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2237Vectors, bitmaps or matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/258Data format conversion from or to a database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)
  • Traffic Control Systems (AREA)
  • Road Signs Or Road Markings (AREA)

Abstract

本發明的實施例提供一種異常流量偵測方法,其包括:獲得目標裝置的網路流量資料;根據取樣窗取樣所述網路流量資料以獲得取樣資料。所述取樣窗具有一時間長度;根據所述取樣資料產生圖像。所述圖像呈現所述網路流量資料相對於所述時間長度的流量特徵;以及分析所述圖像以產生對應異常流量的評估資訊。此外,本發明的實施例也提供一種異常流量偵測裝置,可有效提高對於異常流量及/或惡意程式的偵測及/或分析能力。

Description

異常流量偵測方法與異常流量偵測裝置
本發明是有關於一種網路安全技術,且特別是有關於一種異常流量偵測方法與異常流量偵測裝置。
殭屍網路(亦稱為Botnet)通常是指被惡意程式控制的多台裝置(例如手機、電腦或其他類型的聯網裝置)。殭屍網路可用來發送垃圾郵件或進行惡意的網路攻擊,例如分散式阻斷服務攻擊(DDoS)。殭屍網路中的裝置可透過改變行為特徵等機制來躲避偵測,從而提高追蹤難度。殭屍網路有一個重要的特性是透過中繼站對受感染裝置下達攻擊指令。一般的防毒軟體通常只能偵測受感染裝置執行的攻擊行為,而發送攻擊指令的源頭(即中繼站)往往難以追縱。
一般來說,對於殭屍網路的偵測機制包括使用黑/白名單比對、網路行為比對及惡意程式的行為分析。黑/白名單比對只能 針對已知的惡意網際網路協議(IP)位址及/或網域名進行比對與過濾。網路行為比對是針對已知的網路異常行為進行比對與偵測。惡意程式的行為分析例如是採用逆向工程分析並紀錄受感染裝置的惡意程式行為,以嘗試追蹤中繼站。然而,這些偵測機制皆是透過資安專家對大量的資料進行特徵分析與分類,因此在實際使用上往往落後於惡意程式的特徵變化。
本發明提供一種異常流量偵測方法與異常流量偵測裝置,可有效提高對於異常流量的偵測效率。
本發明的實施例提供一種異常流量偵測方法,其包括:獲得目標裝置的網路流量資料;根據取樣窗取樣所述網路流量資料以獲得取樣資料。所述取樣窗具有一時間長度;根據所述取樣資料產生圖像。所述圖像呈現所述網路流量資料相對於所述時間長度的流量特徵;以及分析所述圖像以產生對應異常流量的評估資訊。
本發明的實施例另提供一種異常流量偵測裝置,其包括儲存裝置與處理器。所述儲存裝置儲存目標裝置的網路流量資料。所述處理器耦接所述儲存裝置。所述處理器根據取樣窗取樣所述網路流量資料以獲得取樣資料。所述取樣窗具有一時間長度。所述處理器根據所述取樣資料產生圖像。所述圖像呈現所述網路流量資料相對於所述時間長度的流量特徵。所述處理器分析 所述圖像以產生對應異常流量的評估資訊。
本發明的實施例另提供一種異常流量偵測方法,其包括:獲得目標裝置的網路流量資料;根據第一取樣窗取樣所述網路流量資料以獲得第一取樣資料,其中所述第一取樣窗具有第一時間長度;根據第二取樣窗取樣所述網路流量資料以獲得第二取樣資料,其中所述第二取樣窗具有第二時間長度,且所述第一時間長度不同於所述第二時間長度;根據所述第一取樣資料產生第一圖像;根據所述第二取樣資料產生第二圖像;以及根據所述第一圖像與所述第二圖像產生對應異常流量的評估資訊。
本發明的實施例另提供一種異常流量偵測裝置,其包括儲存裝置與處理器。所述儲存裝置儲存目標裝置的網路流量資料。所述處理器耦接所述儲存裝置。所述處理器根據第一取樣窗取樣所述網路流量資料以獲得第一取樣資料。所述第一取樣窗具有第一時間長度。所述處理器根據第二取樣窗取樣所述網路流量資料以獲得第二取樣資料。所述第二取樣窗具有第二時間長度,且所述第一時間長度不同於所述第二時間長度。所述處理器根據所述第一取樣資料產生第一圖像。所述處理器根據所述第二取樣資料產生第二圖像。所述處理器根據所述第一圖像與所述第二圖像產生對應異常流量的評估資訊。
基於上述,本發明實施例可透過至少一種時間長度的取樣窗來取樣網路流量資料並透過圖像分析機制來自動分析取樣資料。藉此,相對於傳統上依靠資安專家進行大量的流量資料分析, 本發明實施例的異常流量偵測方法與異常流量偵測裝置可有效提高對於異常流量的偵測效率。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
10:異常流量偵測系統
11:異常流量偵測裝置
111:儲存裝置
112:處理器
113:輸入/輸出界面
12:目標裝置
13:惡意伺服器
101:連線
21、22、31、81:網路流量資料
201:白名單
301~303:取樣窗
401~403、411~413、51、52、801(1)~801(3)、802(1)~802(4)、803(1):取樣資料
61:二維位元表
601、701:位置
71:圖像
91:評估資訊
1001:風險分布圖
S1101~S1104、S1201~S1206:步驟
圖1是根據本發明的一實施例所繪示的異常流量偵測系統的示意圖。
圖2是根據本發明的一實施例所繪示的過濾網路流量資料的示意圖。
圖3是根據本發明的一實施例所繪示的根據取樣窗取樣網路流量資料的示意圖。
圖4是根據本發明的一實施例所繪示的第一正規化操作的示意圖。
圖5是根據本發明的一實施例所繪示的第二正規化操作的示意圖。
圖6是根據本發明的一實施例所繪示的二維位元圖的示意圖。
圖7是根據本發明的一實施例所繪示的圖像的示意圖。
圖8是根據本發明的一實施例所繪示的分析結果的示意圖。
圖9是根據本發明的一實施例所繪示的評估資訊的示意圖。
圖10是根據本發明的一實施例所繪示的風險等級的示意圖。
圖11是根據本發明的一實施例所繪示的異常流量偵測方法的流程圖。
圖12是根據本發明的一實施例所繪示的異常流量偵測方法的流程圖。
圖1是根據本發明的一實施例所繪示的異常流量偵測系統的示意圖。請參照圖1,異常流量偵測系統10包括異常流量偵測裝置11與目標裝置12。異常流量偵測裝置11可為智慧型手機、平板電腦、筆記型電腦、桌上型電腦、工業電腦、伺服器主機、交換器或路由器等具有連網與運算功能的電子裝置。裝置(亦稱為目標裝置)12可為智慧型手機、平板電腦、筆記型電腦、桌上型電腦、工業電腦、物聯網(IoT)裝置或伺服器主機等具有連網與運算功能的電子裝置。
目標裝置12可有線及/或無線地經由連線101與惡意伺服器13或其他網路終端通訊。連線101可包括網際網路。在以下實施例中,是假設惡意伺服器13為中繼站(亦稱為惡意中繼站或指令與控制伺服器)。在一實施例中,假設目標裝置12為受感染的裝置,則目標裝置12內的惡意程式可定期或依照某一規則與惡意伺服器13通訊,且目標裝置12可根據惡意伺服器13的攻擊指令而攻擊其他網路終端。此外,目標裝置12也可與其他網路終端通 訊,例如使用者可藉由目標裝置12瀏覽網頁等等。
異常流量偵測裝置11可獲得目標裝置12的網路流量資料。例如,目標裝置12的網路流量資料可包含目標裝置12與任一網路終端進行網路通訊的日誌(log)資料(例如日誌檔)。例如,此日誌資料可包含目標裝置12與某一網路終端進行網路通訊的連線時間、來源網際網路協議(IP)位址、目的IP位址、某一時間點的傳輸資料量及/或其他連線資訊。在一實施例中,若目標裝置12為受感染的裝置,則目標裝置12的網路流量資料可包含目標裝置12經由連線101與惡意伺服器13進行網路通訊的日誌資料。
異常流量偵測裝置11可獲得並分析目標裝置12的網路流量資料。在一實施例中,異常流量偵測裝置11可自動根據目標裝置12的網路流量資料判斷網路流量資料是否包含異常流量、異常流量的類型及/或風險等級。一旦網路流量資料包含異常流量,則目標裝置12就有很高的機率是已被惡意程式感染及/或屬於殭屍網路的一部分。此外,異常流量的風險等級越高,則目標裝置12所感染的惡意程式可能也更危險。
在一實施例中,異常流量偵測裝置11可自動根據目標裝置12的網路流量資料產生對應於異常流量的評估資訊。此評估資訊可反映目標裝置12的網路流量資料是否包含異常流量、異常流量的類型及/或風險等級。此外,在一實施例中,異常流量偵測裝置11還可根據此評估資訊判斷目標裝置12是否已受惡意程式感染、目標裝置12受惡意程式感染的機率、目標裝置12是否屬於 殭屍網路的一部分、目標裝置12屬於殭屍網路之一部分的機率、所感染的惡意程式之類型及/或所感染的惡意程式之風險等級等。
在一實施例中,異常流量偵測裝置11包括儲存裝置111、處理器112及輸入/輸出界面113。儲存裝置111用以儲存資料。儲存裝置111可包括揮發性儲存媒體與非揮發性儲存媒體。例如,揮發性儲存媒體可包括隨機存取記憶體(RAM),而非揮發性儲存媒體可包括唯讀記憶體(ROM)、固態硬碟(SSD)或傳統硬碟(HDD)等。處理器112耦接至儲存裝置111。處理器112可以是中央處理單元(CPU)、圖形處理器(GPU),或是其他可程式化之一般用途或特殊用途的微處理器、數位訊號處理器(Digital Signal Processor,DSP)、可程式化控制器、特殊應用積體電路(Application Specific Integrated Circuits,ASIC)、可程式化邏輯裝置(Programmable Logic Device,PLD)或其他類似裝置或這些裝置的組合。處理器112可控制異常流量偵測裝置11的整體或部分操作。輸入/輸出界面113耦接至處理器112。輸入/輸出界面113可包括各式輸入/輸出界面,例如,螢幕、觸控螢幕、觸控板、滑鼠、鍵盤、實體按鈕、揚聲器、麥克風、有線網路卡及/或無線網路卡,且輸入/輸出界面的類型不限於此。
在一實施例中,處理器112可經由輸入/輸出界面113從目標裝置12接收目標裝置12的網路流量資料。例如,處理器112可從目標裝置12的儲存媒體或從連接至目標裝置12的路由器及/或交換器下載目標裝置12的網路流量資料。或者,在一實施例中, 處理器112可經由輸入/輸出界面113監聽連線101(或目標裝置12的網路介面)以獲得目標裝置12的網路流量資料。所獲得的目標裝置12的網路流量資料可儲存於儲存裝置111。此外,此網路流量資料可以是某一時間範圍內的網路流量資料。例如,此時間範圍可以是5小時、12小時、3天、1個月或1年等,本發明不加以限制。
在一實施例中,處理器112可過濾目標裝置12的網路流量資料,以初步減少待分析之資料的資料量。例如,在一實施例中,處理器112可過濾網路流量資料中來源IP位址為外部網路終端的IP位址的網路流量資料,而(僅)保留此網路流量資料中來源IP位址為目標裝置12的IP位址的網路流量資料。或者,在一實施例中,處理器112可過濾網路流量資料中目的IP位址被標記為安全的網路流量資料。例如,Google及/或Facebook等某些安全網站的IP位址可被記載於一白名單。目的IP位址屬於此白名單的網路流量資料可被過濾,而目的IP位址不屬於此白名單的網路流量資料可被保留。此外,在一實施例中,白名單中的資料可被動態地刪減或擴充。例如,白名單中被標記為安全的目的IP位址可根據世界網站排名(Alexa)而動態更新。上述過濾機置可擇一使用或搭配使用。
圖2是根據本發明的一實施例所繪示的過濾網路流量資料的示意圖。請參照圖2,網路流量資料21可經由白名單201過濾。網路流量資料22用以表示經過濾的網路流量資料21。白名單 201可用於過濾網路流量資料21中與特定來源IP位址相關的網路流量資料、與特定目的IP位址相關的網路流量資料及/或與特定關鍵字相關的網路流量資料。在一實施例中,由於網路流量資料21中的部分網路流量資料被過濾,故網路流量資料22的資料量可小於網路流量資料21的資料量。此外,在一實施例中,目標裝置12的網路流量資料21可不被過濾及/或用於過濾網路流量資料21的過濾規則可動態調整(例如擴充或刪減)。
處理器112可根據至少一個取樣窗來取樣目標裝置12的網路流量資料以獲得取樣資料。所使用的取樣窗可對應某一時間長度。例如,處理器112可從多個候選時間長度中選擇某一時間長度。處理器112可根據所選擇的時間長度產生相應的取樣窗並根據此取樣窗來取樣網路流量資料。
圖3是根據本發明的一實施例所繪示的根據取樣窗取樣網路流量資料的示意圖。請參照圖3,網路流量資料31可為圖2的網路流量資料21或22。取樣窗301具有時間長度T1。取樣窗302具有時間長度T2。取樣窗303具有時間長度T3。時間長度T1~T3彼此不同。時間長度T1小於時間長度T2。時間長度T2小於時間長度T3。時間長度T1~T3皆為候選時間長度。此外,可選用的候選時間長度還可以是更多(例如4個)或更少(例如2個),本發明不加以限制。
取樣窗301~303中的至少一者可被用於取樣網路流量資料31。例如,假設時間長度T1為0.5小時、時間長度T2為1小 時、時間長度T3為2小時、且網路流量資料31為6小時的網路流量資料,則網路流量資料31可被12個取樣窗301取樣(0.5×12=6)以獲得12個0.5小時的連續取樣資料、被6個取樣窗302取樣(1×6=6)以獲得6個1小時的連續取樣資料、及/或被3個取樣窗303取樣(2×3=6)以獲得3個2小時的連續取樣資料。
須注意的是,取樣窗301~303對應於不同的時間長度T1~T3。因此,經取樣窗301~303取樣而獲得的取樣資料的時間長度也會不同。例如,經取樣窗301~303取樣而獲得的取樣資料的時間長度可分別相同於時間長度T1~T3。此外,本發明並不限制時間長度T1~T3的值,只要滿足時間長度T1~T3彼此不同即可。
在一實施例中,處理器112可經由一正規化操作(亦稱為第一正規化操作)來調整取樣資料的時間長度。例如,圖3的網路流量資料31可包含多個取樣值與多個取樣點,且每一個取樣值對應一個取樣點。一個取樣點可以是以1秒或其他時間長度作為取樣單位。在以下實施例中,是以1秒作為一個取樣點的時間單位。一個取樣值反映對應於某一個取樣點的傳輸資料量。例如,網路流量資料31中連續的N個取樣值可表示N秒內目標裝置12的資料傳輸量。資料傳輸量的計數單位可以是位元組(byte)。若某一取樣點所對應的時間點沒有資料被傳輸,則對應於此取樣點的取樣值可被設為零或其他預設值。在第一正規化操作中,處理器112可將取樣資料中的取樣點的總數從N調整為M,且N不同於M。換言之,在一實施例中,第一正規化操作可用以對取樣資料中取 樣點的總數進行正規化。
圖4是根據本發明的一實施例所繪示的第一正規化操作的示意圖。請參照圖3與圖4,取樣資料401表示經取樣窗301取樣的取樣資料。取樣資料402表示經取樣窗302取樣的取樣資料。取樣資料403表示經取樣窗303取樣的取樣資料。取樣資料401~403分別具有資料長度T1~T3。資料長度T1對應於N1個取樣點。資料長度T2對應於N2個取樣點。資料長度T3對應於N3個取樣點。N3大於N2,且N2大於N1。
經過第一正規畫操作,取樣資料401~403可分別被調整為取樣資料411~413。取樣資料411~413皆具有資料長度TS。資料長度TS對應於M個取樣點。換言之,取樣資料411~413皆具有M個取樣點。經過第一正規畫操作,取樣資料401~403的取樣點(或取樣值)的總數皆被減少為M。例如,在一實施例中,時間長度T1為3600秒(例如對應3600個取樣點)、時間長度T2為7200秒(例如對應7200個取樣點)、時間長度T3為14400秒(例如對應14400個取樣點)、且時間長度TS為1800秒(例如對應1800個取樣點)。
在一實施例中,第一正規畫操作包括下取樣(down sampling)操作。以將時間長度T3為14400秒的取樣資料403轉換為時間長度TS為1800秒的取樣資料411為例,取樣資料403中8個取樣點的取樣值會被轉換為1個取樣點的取樣值(即下取樣)。例如,處理器112可將連續的8個取樣點所對應的取樣值中的最 大者保留至取樣資料411中(亦稱為最大池化),藉以減少取樣資料中取樣點與取樣值的總數。例如,假設取樣資料403中連續的8個取樣值為[2,2,0,1,2,10,8,0],則(僅)這8個取樣值中最大的取樣值[10]可被保留至取樣資料413中,而其餘7個取樣值可被過濾。依此類推,取樣資料411與412亦可被獲得。
在一實施例中,處理器112可對取樣資料執行另一正規化操作(亦稱為第二正規化操作)。第二正規化操作可用以對取樣資料中取樣值的數值範圍進行正規化。例如,處理器112可根據以下方程式(1)對取樣資料執行第二正規化操作。
Figure 108139410-A0305-02-0014-1
在方程式(1)中,X表示取樣資料中的某一個取樣值,Xmin表示取樣值的最小值,Xmax表示取樣值的最大值,且X’表示經正規化的新的取樣值。根據方程式(1),取樣資料中的取樣值可被調整為0至1之間的數值,以反映同一個取樣資料中不同取樣值之間的數值關係。多個取樣資料(例如圖4的取樣資料411與412)之間也可以根據此數值關係進行比較。
圖5是根據本發明的一實施例所繪示的第二正規化操作的示意圖。請參照圖5,假設取樣資料51包含對應於取樣點1~9的取樣值[0,0,10,20,50,20,30,70,80]。在對這9個取樣值執行第二正規化後,取樣資料52可被獲得。例如,取樣資料52中的每一個新的取樣值可根據方程式(1)而獲得。例如,假設取樣值的 最大值為100,取樣值的最小值為0,則根據方程式(1)可獲得取樣資料52中新的取樣值為[0,0,0.1,0.2,0.5,0.2,0.3,0.7,0.8]。在一實施例中,假設另一取樣資料包含取樣值[0,0,1,2,5,2,3,7,8],則經第二正規化後此取樣資料中新的取樣值也為[0,0,0.1,0.2,0.5,0.2,0.3,0.7,0.8]。這兩個取樣資料經第二正規化後可獲得相同的取樣值,表示這兩個取樣資料的取樣值之間的數值關係是相同或相似的。因此,在一實施例中,藉由第二正規化操作可提高對於取樣資料的分析效率。
處理器112可根據所獲得的取樣資料產生圖像。用以產生圖像的取樣資料可以是經第一正規化操作與第二正規化操作中至少一者處理的資料或不經第一正規化操作與第二正規化操作處理的資料。此圖像可呈現所分析的網路流量資料相對於所採用的取樣窗之時間長度的流量特徵。以圖3為例,假設所採用的取樣窗為取樣窗301~303,則所產生的圖像可分別反映所述網路流量資料相對於時間長度T1~T3的流量特徵。此外,在圖1的一實施例中,若目標裝置12已被惡意程式感染,則此圖像更可呈現異常流量(或惡意程式)相對於所採用的取樣窗之時間長度的流量特徵(亦稱為異常流量的流量特徵)。根據此圖像,處理器112可產生所述評估資訊。
在一實施例中,處理器112可將取樣資料轉換為二維位元表。此二維位元表的一個維度(亦稱為第一維度)對應於取樣資料的取樣點。此二維位元表的另一個維度(亦稱為第二維度)對應於取 樣資料的取樣值。然後,處理器112可根據此二維位元表產生圖像。此外,處理器112可根據二維位元表中某一位置(亦稱為第一位置)的位元值決定所產生的圖像中相應於第一位置的某一位置(亦稱為第二位置)的像素值。在一實施例中,第一位置的二維座標相同於第二位置的二維座標。
圖6是根據本發明的一實施例所繪示的二維位元圖的示意圖。圖7是根據本發明的一實施例所繪示的圖像的示意圖。
請參照圖5、圖6及圖7,二維位元表61可根據取樣資料52而獲得。二維位元表61的第一維度(即橫軸方向)對應於取樣資料52的9個取樣點。二維位元表61的第二維度(即縱軸方向)對應於取樣資料52的取樣值。例如,取樣資料52的取樣點1與2所對應的取樣值為0,則二維位元表61中的第1與第2個行(column)中的位元皆為0。取樣資料52的取樣點3所對應的取樣值為0.1,則二維位元表61中的第3個行中有1個位元1,其餘位元為0。取樣資料52的取樣點4所對應的取樣值為0.2,則二維位元表61中的第4個行有2個位元1,其餘位元為0。依此類推,二維位元表61可被產生,以反映取樣資料52的取樣點與取樣值之間的數值分布狀態。
根據二維位元表61,圖像71可被產生。例如,圖像71中某一個位置(亦稱為像素位置)的像素值可根據二維位元表61中相應位置的位元值而決定。假設圖6中的位置601對應於圖7的位置701,則根據位置601的位元值是1(亦稱為第一位元值),位 置701的像素值可被決定為對應於第一位元值的某一像素值(亦稱為第一像素值)。或者,在另一實施例中,若位置601的位元值是0(亦稱為第二位元值),則位置701的像素值可被決定為對應於第二位元值的另一像素值(亦稱為第二像素值)。位置601的座標可相同於位置701的座標。
在本實施例中,是假設第一像素值為灰階值255,且第一像素值為灰階值0。因此,根據位置601的位元值是1,位置701所呈現出的顏色為黑色。或者,在另一實施例中,若位置601的位元值是0,則位置701所呈現出的顏色可為白色。依此類推,圖像71中所有位置的像素值可根據二維位元表61中相應位置的位元值而決定。此外,在另一實施例中,對應於第一位元值及/或第二位元值的像素值也可以根據實務需求調整,本發明不加以限制。圖像71可反映出取樣資料52相應於所採用的取樣窗之時間長度的流量特徵。
在一實施例中,處理器112可經由類神經網路架構(亦稱為深度學習模型)來自動分析所獲得的圖像。例如,此類神經網路架構可採用卷積神經網路中的VGG16演算法。例如,類神經網路架構可分析圖像並自動判斷圖像中的流量特徵是否包含或符合惡意程式的流量特徵。處理器112可根據類神經網路架構的圖像分析結果產生所述評估資訊。換言之,經由類神經網路架構來執行圖像分析以取代傳統的資料分析,可大幅減少資安專家的工作量及/或提高分析準確度。
在一實施例中,處理器112可獲得訓練資料。訓練資料可包含具有惡意程式之網路流量的資料以及不具有惡意程式之網路流量的資料。處理器112可依照前述實施例將訓練資料轉換為訓練圖像。例如,根據包含惡意程式之網路流量的訓練資料,包含惡意程式之流量特徵的訓練圖像可被產生。根據不包含惡意程式之網路流量的訓練資料,不包含惡意程式之流量特徵的訓練圖像可被產生。處理器112可根據訓練圖像來訓練類神經網路架構。例如,處理器112可將訓練圖像與答案輸入至類神經網路架構。類神經網路架構可將訓練圖像的分析結果與答案進行比對並調整判斷權重。經過持續的訓練,類神經網路架構對於圖像中是否存在惡意程式的流量特徵的分析準確率可逐漸提升。
圖8是根據本發明的一實施例所繪示的分析結果的示意圖。請參照圖8,須注意的是,圖8中是將判定具有異常流量之流量特徵的取樣資料以斜線標示。在以對應於時間長度T1~T4的多個取樣窗來取樣網路流量資料後,圖像分析結果可呈現對應於時間長度T1的取樣資料801(1)~801(3)、對應於時間長度T2的取樣資料802(1)~802(4)及對應於時間長度T3的取樣資料803(1)具有異常流量的流量特徵。此分析結果可用於產生所述評估資訊。此評估資訊可反映目標裝置12的網路流量資料是否包含異常流量、異常流量的類型及/或風險等級。
在一實施例中,處理器112還可根據此評估資訊判斷目標裝置12是否已受惡意程式感染、目標裝置12受惡意程式感染 的機率、目標裝置12是否屬於殭屍網路的一部分、目標裝置12屬於殭屍網路之一部分的機率、所感染的惡意程式之類型及/或所感染的惡意程式之風險等級等。
在一實施例中,所產生的評估資訊可包括網路流量資料的來源位址(即來源IP位址)、網路流量資料的目的位址(即目的IP位址)、網路流量資料的(總)時間長度、異常流量的流量特徵在網路流量資料中的出現率及所採用的取樣窗的時間長度的至少其中之一。以圖8為例,對於時間長度為T2的取樣資料,異常流量的流量特徵在網路流量資料81中的出現率約為0.8(即5個取樣資料中有4個取樣資料802(1)~802(4)出現異常流量的流量特徵)。在一實施例中,異常流量的流量特徵在網路流量資料中的出現率亦可以信標(beacon)來表示。信標的值可相同或正相關於所述出現率。
在一實施例中,對應於至少兩種時間長度的取樣與分析結果可用於產生所述評估資訊。因此,所產生的評估資訊涵蓋了至少兩種時間長度的取樣與分析結果。然而,在另一實施例中,僅對應於單一種時間長度的取樣與分析結果被用於產生所述評估資訊。例如,在一實施例中,可以僅選用異常流量的流量特徵的出現率(或信標)最高的時間長度的取樣與分析結果來產生評估資訊。以圖8為例,對應於時間長度T1~T4,異常流量在網路流量資料81中的出現率(或信標)分別約為0.3、0.8、0.5及0。因此,在圖8的一實施例中,可以僅選用時間長度T2的取樣與分析結果來產生評估資訊。
圖9是根據本發明的一實施例所繪示的評估資訊的示意圖。請參照圖8與圖9,在一實施例中,評估資訊91可包括來源位址(SIP)、目的位址(DIP)、出現率(或信標)(0.8)、總時間(5)及取樣窗時間(1)。來源位址為SIP可反映圖1的目標裝置12的IP位址。目的位址為DIP可反映惡意伺服器13的IP位址。出現率(或信標)為0.8可反映對於時間長度為T2,異常流量的流量特徵在網路流量資料81中的出現率(或信標)。總時間為5可反映網路流量資料81的(總)時間長度為5小時。取樣窗時間為1可反映時間長度T2為1小時。
在一實施例中,處理器112可根據網路流量資料的(總)時間長度與異常流量的流量特徵在網路流量資料中的出現率(或信標)來評估異常流量的風險等級。在一實施例中,網路流量資料的(總)時間長度及/或所述出現率(或信標)與所決定的異常流量的風險等級成正相關。
圖10是根據本發明的一實施例所繪示的風險等級的示意圖。請參照圖10,風險分布圖1001包括區域R1~R5。風險分布圖1001可表示不同的網路流量資料的(總)時間長度與所述出現率(或信標)之組合所對應的異常流量的風險等級。區域R1~R5所對應的風險等級遞減。亦即,區域R1所對應的風險等級最高,而區域R5所對應的風險等級最低。例如,橫軸的出現率(或信標)可被劃分為第一數值區間(例如0~0.33)、第二數值區間(例如0.33~0.66)及第三數值區間(例如0.66~1)。縱軸的網路流量資料的(總)時間長 度也可被劃分為第一總時間區間(例如1小時內)、第二總時間區間(例如1天內)及第三總時間區間(例如1個月內)。以圖9的評估資訊91為例,異常流量的出現率為0.8位於第三數值區間且網路流量資料的總時間為5小時位於第二總時間區間,故可獲得異常流量的風險等級為R2。依此類推,異常流量的風險等級可藉由異常流量的出現率與網路流量資料的總時間長度查詢風險分布圖1001而獲得。
在一實施例中,異常流量(或惡意程式)在時間長度相對較短的時間範圍(例如圖8的時間長度T1或T2)內的流量特徵亦稱為高頻特徵。例如,目標裝置12內的惡意程式在短時間內很頻繁地與惡意伺服器13通訊。因此,高頻特徵需要分析相對較短的時間範圍內的網路流量資料才能獲得。相對地,異常流量(或惡意程式)在時間長度相對較長的時間範圍(例如時間長度T3或T4)內的流量特徵亦稱為低頻特徵。例如,目標裝置12內的惡意程式在很長的時間內非常分散地與惡意伺服器13通訊。因此,低頻特徵則需要分析相對較長的時間範圍內的網路流量資料才能獲得。在一實施例中,根據至少兩種時間長度的取樣窗來執行取樣以及後續的圖像分析,可有效偵測出符合高頻特徵的異常流量與符合低頻特徵的異常流量,有效提高分析準確率。
圖11是根據本發明的一實施例所繪示的異常流量偵測方法的流程圖。請參照圖11,在步驟S1101中,獲得目標裝置的網路流量資料。在步驟S1102中,根據取樣窗取樣所述網路流量資 料以獲得取樣資料。所述取樣窗具有某一時間長度。在步驟S1103中,根據所述取樣資料產生圖像。所述圖像呈現所述網路流量資料相對於所述時間長度的流量特徵。在步驟S1104中,分析所述圖像以產生對應異常流量的評估資訊。
圖12是根據本發明的一實施例所繪示的異常流量偵測方法的流程圖。請參照圖12,在步驟S1201中,獲得目標裝置的網路流量資料。在步驟S1202中,根據某一取樣窗(亦稱為第一取樣窗)取樣所述網路流量資料以獲得取樣資料(亦稱為第一取樣資料)。所述第一取樣窗具有第一時間長度。在步驟S1203中,根據所述第一取樣資料產生某一圖像(亦稱為第一圖像)。所述第一圖像呈現所述網路流量資料相對於所述第一時間長度的流量特徵。在步驟S1204中,根據另一取樣窗(亦稱為第二取樣窗)取樣所述網路流量資料以獲得取樣資料(亦稱為第二取樣資料)。所述第二取樣窗具有第二時間長度。所述第一時間長度不同於所述第二時間長度。在步驟S1205中,根據所述第二取樣資料產生另一圖像(亦稱為第二圖像)。所述第二圖像呈現所述網路流量資料相對於所述第二時間長度的流量特徵。在步驟S1206中,分析所述第一圖像語所述第二圖像以產生對應異常流量的評估資訊。
然而,圖11與圖12中各步驟已詳細說明如上,在此便不再贅述。值得注意的是,圖11與圖12中各步驟可以實作為多個程式碼或是電路,本發明不加以限制。此外,圖11與圖12的方法可以搭配以上範例實施例使用,也可以單獨使用,本發明不 加以限制。
綜上所述,本發明實施例可透過至少一種時間長度的取樣窗來取樣網路流量資料並透過圖像分析機制來自動偵測可能是由惡意程式引起的異常流量。藉此,相對於傳統上依靠資安專家進行大量的流量資料分析,本發明實施例的異常流量偵測方法與異常流量偵測裝置可藉由自動化的圖像分析而有效提高對於異常流量的偵測效率。本發明實施例亦可藉由分析不同時間長度的取樣資料來偵測異常流量(或惡意程式)的高頻特徵與低頻特徵,以提高偵測準確率。此外,所偵測的異常流量可進一步用於偵測惡意程式及/或殭屍網路,改善異常流量偵測裝置的性能。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
S1101~S1104:步驟

Claims (18)

  1. 一種異常流量偵測方法,由一異常流量偵測裝置執行,該方法包括:獲得一目標裝置的網路流量資料;根據一取樣窗取樣該網路流量資料以獲得取樣資料,其中該取樣窗具有一時間長度;根據該取樣資料產生一圖像,其中該圖像呈現該網路流量資料相對於該時間長度的一流量特徵,且該流量特徵反映該網路流量資料對應於多個取樣點的傳輸資料量;以及由經過圖像辨識訓練的深度學習模型對該圖像執行一自動化圖像分析以產生對應一異常流量的評估資訊。
  2. 如申請專利範圍第1項所述的異常流量偵測方法,更包括:從多個候選時間長度中選擇該時間長度;以及根據該時間長度產生該取樣窗。
  3. 如申請專利範圍第1項所述的異常流量偵測方法,其中根據該取樣窗取樣該網路流量資料以獲得該取樣資料的步驟包括:根據一白名單過濾該網路流量資料;以及根據該取樣窗取樣經過濾的該網路流量資料以獲得該取樣資料。
  4. 如申請專利範圍第1項所述的異常流量偵測方法,其中根據該取樣資料產生該圖像的步驟包括:將該取樣資料的一取樣點的一總數從N調整為M,其中N不同於M。
  5. 如申請專利範圍第1項所述的異常流量偵測方法,其中根據該取樣資料產生該圖像的步驟包括:將該取樣資料轉換為一二維位元表,其中該二維位元表的一第一維度對應多個取樣點,且該二維位元表的一第二維度對應於多個取樣值;以及根據該二維位元表產生該圖像。
  6. 如申請專利範圍第5項所述的異常流量偵測方法,其中根據該二維位元表產生該圖像的步驟包括:根據該二維位元表中一第一位置的一位元值決定該圖像中相應於該第一位置的一第二位置的一像素值。
  7. 如申請專利範圍第1項所述的異常流量偵測方法,其中該評估資訊包括該網路流量資料的一來源位址、該網路流量資料的一目的位址、該網路流量資料的一總時間長度、該異常流量的一流量特徵在該網路流量資料中的一出現率及該取樣窗的該時間長度的至少其中之一。
  8. 如申請專利範圍第7項所述的異常流量偵測方法,更包括:根據該出現率與該網路流量資料的該總時間長度評估該異常 流量的一風險等級。
  9. 一種異常流量偵測裝置,包括:一儲存裝置,儲存一目標裝置的網路流量資料;以及一處理器,耦接該儲存裝置,其中該處理器根據一取樣窗取樣該網路流量資料以獲得取樣資料,該取樣窗具有一時間長度,該處理器根據該取樣資料產生一圖像,其中該圖像呈現該網路流量資料相對於該時間長度的一流量特徵,該流量特徵反映該網路流量資料對應於多個取樣點的傳輸資料量,並且該處理器藉由經過圖像辨識訓練的深度學習模型對該圖像執行一自動化圖像分析以產生對應一異常流量的評估資訊。
  10. 如申請專利範圍第9項所述的異常流量偵測裝置,其中該處理器更從多個候選時間長度中選擇該時間長度並根據該時間長度產生該取樣窗。
  11. 如申請專利範圍第9項所述的異常流量偵測裝置,其中該處理器根據該取樣窗取樣該網路流量資料以獲得該取樣資料的操作包括:根據一白名單過濾該網路流量資料;以及根據該取樣窗取樣經過濾的該網路流量資料以獲得該取樣資料。
  12. 如申請專利範圍第9項所述的異常流量偵測裝置,其中該處理器根據該取樣資料產生該圖像的操作包括: 將該取樣資料的一取樣點的一總數從N調整為M,其中N不同於M。
  13. 如申請專利範圍第9項所述的異常流量偵測裝置,其中該處理器根據該取樣資料產生該圖像的操作包括:將該取樣資料轉換為一二維位元表,其中該二維位元表的一第一維度對應多個取樣點,且該二維位元表的一第二維度對應於多個取樣值;以及根據該二維位元表產生該圖像。
  14. 如申請專利範圍第13項所述的異常流量偵測裝置,其中該處理器根據該二維位元表產生該圖像的操作包括:根據該二維位元表中一第一位置的一位元值決定該圖像中相應於該第一位置的一第二位置的一像素值。
  15. 如申請專利範圍第9項所述的異常流量偵測裝置,其中該評估資訊包括該網路流量資料的一來源位址、該網路流量資料的一目的位址、該網路流量資料的一總時間長度、該異常流量的一流量特徵在該網路流量資料中的一出現率及該取樣窗的該時間長度的至少其中之一。
  16. 如申請專利範圍第15項所述的惡意程式偵測裝置,其中該處理器更用以根據該出現率與該網路流量資料的該總時間長度評估一風險等級。
  17. 一種異常流量偵測方法,由一異常流量偵測裝置執行,該方法包括: 獲得一目標裝置的網路流量資料;根據一第一取樣窗取樣該網路流量資料以獲得第一取樣資料,其中該第一取樣窗具有一第一時間長度;根據一第二取樣窗取樣該網路流量資料以獲得第二取樣資料,其中該第二取樣窗具有一第二時間長度,且該第一時間長度不同於該第二時間長度;根據該第一取樣資料產生一第一圖像,該第一圖像反映該網路流量資料對應於多個第一取樣點的傳輸資料量;根據該第二取樣資料產生一第二圖像,該第一圖像反映該網路流量資料對應於多個第二取樣點的傳輸資料量;以及由經過圖像辨識訓練的深度學習模型對該第一圖像與該第二圖像執行一自動化圖像分析以產生對應一異常流量的評估資訊。
  18. 一種異常流量偵測裝置,包括:一儲存裝置,儲存一目標裝置的網路流量資料;以及一處理器,耦接該儲存裝置,其中該處理器根據一第一取樣窗取樣該網路流量資料以獲得第一取樣資料,該第一取樣窗具有一第一時間長度,該處理器根據一第二取樣窗取樣該網路流量資料以獲得第二取樣資料,該第二取樣窗具有一第二時間長度,且該第一時間長度不同於該第二時間長度,該處理器根據該第一取樣資料產生一第一圖像,該第一圖像反映該網路流量資料對應於多個第一取樣點的傳輸資料量, 該處理器根據該第二取樣資料產生一第二圖像,該第一圖像反映該網路流量資料對應於多個第二取樣點的傳輸資料量,並且該處理器藉由經過圖像辨識訓練的深度學習模型對該第一圖像與該第二圖像執行一自動化圖像分析以產生對應一異常流量的評估資訊。
TW108139410A 2019-10-31 2019-10-31 異常流量偵測方法與異常流量偵測裝置 TWI779245B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW108139410A TWI779245B (zh) 2019-10-31 2019-10-31 異常流量偵測方法與異常流量偵測裝置
CN201911197065.9A CN112751818B (zh) 2019-10-31 2019-11-29 异常流量检测方法与异常流量检测装置
US17/015,027 US11916939B2 (en) 2019-10-31 2020-09-08 Abnormal traffic detection method and abnormal traffic detection device
EP20204323.8A EP3817328A1 (en) 2019-10-31 2020-10-28 Abnormal traffic detection method and abnormal traffic detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW108139410A TWI779245B (zh) 2019-10-31 2019-10-31 異常流量偵測方法與異常流量偵測裝置

Publications (2)

Publication Number Publication Date
TW202119242A TW202119242A (zh) 2021-05-16
TWI779245B true TWI779245B (zh) 2022-10-01

Family

ID=73037760

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108139410A TWI779245B (zh) 2019-10-31 2019-10-31 異常流量偵測方法與異常流量偵測裝置

Country Status (4)

Country Link
US (1) US11916939B2 (zh)
EP (1) EP3817328A1 (zh)
CN (1) CN112751818B (zh)
TW (1) TWI779245B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160173516A1 (en) * 2013-11-07 2016-06-16 Cyberpoint International Llc Methods And Systems For Malware Detection
CN106209868A (zh) * 2016-07-18 2016-12-07 国网辽宁省电力有限公司阜新供电公司 一种大规模网络流量异常侦测方法及系统
US20170063905A1 (en) * 2015-08-31 2017-03-02 Splunk Inc. Detection of anomalies, threat indicators, and threats to network security
TWM542807U (zh) * 2016-11-07 2017-06-01 Kuo-Liang Liu 網路資訊安全偵測系統
US20190036952A1 (en) * 2017-07-28 2019-01-31 Penta Security Systems Inc. Method and apparatus for detecting anomaly traffic
TWI666568B (zh) * 2018-04-30 2019-07-21 國立成功大學 在Netflow上以會話型式之P2P殭屍網路偵測方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097439A1 (en) * 2000-10-23 2003-05-22 Strayer William Timothy Systems and methods for identifying anomalies in network data streams
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
CN107637041B (zh) * 2015-03-17 2020-09-29 英国电讯有限公司 识别恶意加密网络流量的方法与系统以及计算机程序元件
US10375143B2 (en) * 2016-08-26 2019-08-06 Cisco Technology, Inc. Learning indicators of compromise with hierarchical models
US10375096B2 (en) * 2016-12-08 2019-08-06 Cisco Technology, Inc. Filtering onion routing traffic from malicious domain generation algorithm (DGA)-based traffic classification
CN106657038B (zh) * 2016-12-08 2019-12-27 西安交通大学 一种基于对称度Sketch的网络流量异常检测与定位方法
JP2018106432A (ja) * 2016-12-27 2018-07-05 株式会社日立製作所 オンライン監視装置、及びオンライン監視方法
US11381583B1 (en) * 2017-11-03 2022-07-05 DimensionalMechanics, Inc. Systems and methods for detecting anomalous system or network behavior
US10915631B2 (en) * 2017-12-28 2021-02-09 Intel Corporation Deep learning on execution trace data for exploit detection
US10797863B2 (en) * 2017-12-28 2020-10-06 Intel Corporation Multi-domain cascade convolutional neural network
KR102169255B1 (ko) * 2018-12-20 2020-10-23 펜타시큐리티시스템 주식회사 Cae 기반으로 비정상적인 트래픽을 탐지하는 방법 및 장치

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160173516A1 (en) * 2013-11-07 2016-06-16 Cyberpoint International Llc Methods And Systems For Malware Detection
US20170063905A1 (en) * 2015-08-31 2017-03-02 Splunk Inc. Detection of anomalies, threat indicators, and threats to network security
US20190173893A1 (en) * 2015-08-31 2019-06-06 Splunk Inc. Method and system for generating an entities view with risk-level scoring for performing computer security monitoring
CN106209868A (zh) * 2016-07-18 2016-12-07 国网辽宁省电力有限公司阜新供电公司 一种大规模网络流量异常侦测方法及系统
TWM542807U (zh) * 2016-11-07 2017-06-01 Kuo-Liang Liu 網路資訊安全偵測系統
US20190036952A1 (en) * 2017-07-28 2019-01-31 Penta Security Systems Inc. Method and apparatus for detecting anomaly traffic
TWI666568B (zh) * 2018-04-30 2019-07-21 國立成功大學 在Netflow上以會話型式之P2P殭屍網路偵測方法

Also Published As

Publication number Publication date
CN112751818B (zh) 2023-02-24
TW202119242A (zh) 2021-05-16
CN112751818A (zh) 2021-05-04
EP3817328A1 (en) 2021-05-05
US11916939B2 (en) 2024-02-27
US20210136099A1 (en) 2021-05-06

Similar Documents

Publication Publication Date Title
CN109831465B (zh) 一种基于大数据日志分析的网站入侵检测方法
CN108347430B (zh) 基于深度学习的网络入侵检测和漏洞扫描方法及装置
CN106713371B (zh) 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法
US11785040B2 (en) Systems and methods for cyber security alert triage
WO2019128529A1 (zh) Url攻击检测方法、装置以及电子设备
US10547618B2 (en) Method and apparatus for setting access privilege, server and storage medium
US9565209B1 (en) Detecting electronic messaging threats by using metric trees and similarity hashes
US10721248B2 (en) Methods, systems and apparatus to mitigate steganography-based malware attacks
CN106992981B (zh) 一种网站后门检测方法、装置和计算设备
US20210344693A1 (en) URL risk analysis using heuristics and scanning
CN107463844B (zh) Web木马检测方法及系统
CN110011932B (zh) 一种可识别未知流量的网络流量分类方法和终端设备
CN112738107B (zh) 一种网络安全的评价方法、装置、设备及存储介质
CN109660517B (zh) 异常行为检测方法、装置及设备
CN111245784A (zh) 多维度检测恶意域名的方法
US10623426B1 (en) Building a ground truth dataset for a machine learning-based security application
WO2022266201A1 (en) Systems and methods for network risk management, cyber risk management, security ratings, and evaluation systems
US11297083B1 (en) Identifying and protecting against an attack against an anomaly detector machine learning classifier
CN111953665A (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
TWI779245B (zh) 異常流量偵測方法與異常流量偵測裝置
CN109450853B (zh) 恶意网站判定方法、装置、终端及服务器
JP2020109611A (ja) コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法
TWI777766B (zh) 偵測惡意網域查詢行為的系統及方法
CN115801366A (zh) 攻击检测的方法、装置、电子设备及计算机可读存储介质
US20210266341A1 (en) Automated actions in a security platform

Legal Events

Date Code Title Description
GD4A Issue of patent certificate for granted invention patent