CN101741862A - 基于数据包序列特征的irc僵尸网络检测***和检测方法 - Google Patents
基于数据包序列特征的irc僵尸网络检测***和检测方法 Download PDFInfo
- Publication number
- CN101741862A CN101741862A CN201010013660A CN201010013660A CN101741862A CN 101741862 A CN101741862 A CN 101741862A CN 201010013660 A CN201010013660 A CN 201010013660A CN 201010013660 A CN201010013660 A CN 201010013660A CN 101741862 A CN101741862 A CN 101741862A
- Authority
- CN
- China
- Prior art keywords
- irc
- server
- data
- address
- botnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于数据包序列特征的IRC僵尸网络检测方法,该方法通过离线基础数据获取模块、在线数据实时分析模块、数据中心和检测策略控制模块四部分协同工作完成IRC僵尸网络的检测,其思想是利用IRC僵尸主机与C&C(Command & Control)控制服务器之间通信时的数据包大小序列的周期性和大小特征,通过识别获取网络出口处的IRC流量,判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络,本发明的主要创新点在于通过度量IRC僵尸主机与C&C服务器之间通信过程中数据包序列的周期度和均值,以区别IRC聊天应用和IRC僵尸网络,从而达到IRC僵尸网络检测的目的。
Description
技术领域:
本发明涉及网络通信安全领域,特别是涉及基于数据包序列特征的IRC僵尸网络检测***和检测方法。
背景技术:
僵尸网络是一群被僵尸程序(bot)感染的僵尸主机(zombie)的集合,分布于家庭、企业、政府机构等各种场合,接收来自僵尸控制者(botmaster或botherder)的指令,进行DDoS、信息窃取、网络钓鱼、垃圾邮件、广告滥点、非法投票等多种攻击行为。由于攻击手段丰富多样、隐蔽性强、有能力发动大规模攻击、以经济利益为目的等特点,僵尸网络已成为黑客产业链中的一个重要环节,受到新闻媒体、安全业界和学术机构的广泛关注。
根据命令与控制(Command and Control,简称C&C)结构的不同,僵尸网络分为集中式和非集中式两大类。IRC僵尸网络属于集中式C&C结构,它依赖于C&C服务器实现僵尸控制者与僵尸主机之间的通信,其结构简单,易于部署,常采用IRC协议实现通信。IRC(Internet Relay Chat)协议由RFC 1459定义,是基于TCP协议的应用层协议,其基本功能是使人们能够利用IRC频道(Channel)实现相互之间的实时对话。主机感染IRC僵尸程序后,经过NICK、USER等一系列协议行为,加入到僵尸网络控制者指定的C&C服务器频道。同时,僵尸控制者采用IRC客户端软件加入到同一个C&C服务器频道,向各个僵尸主机发送自定义格式的控制命令,而僵尸主机在接收到控制命令之后会解析并执行。基于IRC协议的C&C服务器为僵尸网络提供了有效的通信方式。从攻击者的角度,IRC僵尸网络具有如下优点:1)IRC僵尸网络功能强大丰富,仍能满足黑客需求;2)IRC僵尸网络技术门槛和成本低,各种黑客论坛和社区免费提供大量IRC僵尸程序代码的下载,很容易被各种技术水平参差不齐的人恶意利用;3)互联网上的许多主机防护措施不到位,存在各种漏洞,许多用户缺乏基本的安全防护意识和技术;4)有些国家和地区网络安全的相关法律法规不健全。因此,以IRC僵尸网络为代表的集中式僵尸网络给互联网造成的威胁不容忽视。
IRC僵尸网络和正常聊天同属IRC协议的应用。IRC僵尸网络的会话内容序列近似符合周期性,主要由于:1)如果C&C服务器处于在线状态,一般情况下,IRC僵尸主机与其保持TCP连接,并在大部分时间内如同僵尸般处于“静静发呆”状态,即僵尸主机与C&C服务器间仅采用“ACK-PING-PONG”的模式保持连接。2)如果C&C服务器处于离线状态,僵尸程序因连接不到指定的C&C服务器,而不停的按照固定时间间隔连接;3)存在一些IRC僵尸网络,其僵尸控制者本身为一程序,它按照固定的时间间隔向所有僵尸主机发送攻击命令。
僵尸主机的这种周期性一般并非严格的周期性,主要原因在于:1)僵尸控制者向僵尸主机发送攻击命令时会打破周期性规律,但作为僵尸控制者的人对僵尸网络的控制一般只占僵尸网络生命周期的极小部分;2)网络延时、数据包乱序、数据包重传等不确定因素会造成周期性的小范围变动。由于正常的IRC聊天应用会有较多的人参与到同一个广播式聊天频道中,而每一个人所发表的言论的长度都是随机的,这就导致对于正常的IRC聊天应用,其周期性的“ACK-PING-PONG”数据包大小序列会被聊天所造成的大量随机噪声所淹没,其会话内容序列整体上没有周期性的特征。
发明内容:
本发明公开了一种基于数据包序列特征的IRC僵尸网络检测***和检测方法,基于IRC僵尸主机与C&C(Command&Control)控制服务器之间通信时的数据包大小序列的周期性和大小特征,通过识别获取网络出口处的IRC流量,判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络。
本发明的目的是通过以下技术方案实现的:
一种基于数据包序列特征的IRC僵尸网络检测***,包括以下模块:
离线基础数据获取模块本模块负责从被监控网络出口流量镜像的TCP流量(包括数据包内容)中,利用IRC协议的NICK、USER、PASSWORD、PRIVMSG、PUBMSG、NOTICE等协议关键特征字段对其进行协议的离线内容匹配,从中识别和发现基于IRC协议的服务器的IP地址和端口,并将这些信息写入数据中心,建立IRC服务器的IP地址和端口数据库,为在线数据实时分析模块提供基础的数据准备;
在线数据实时分析模块本模块负责从IRC服务相关的TCP流量(与数据中心存放的IRC服务器IP地址和端口通信的所有TCP流量)中在线实时分析出IRC僵尸网络命令与控制(Command&Control,C&C)服务器及相应的被控IRC僵尸主机;本模块采用了“基于已知特征的检测”和“基于数据包序列特征的检测”两种僵尸网络检测策略;
首先,本模块将利用已知的僵尸网络C&C服务器黑白名单(由基于数据包序列特征的检测部分生成并存放在数据中心)进行IRC被控僵尸主机的检测:如果与C&C服务器白名单匹配,则与该C&C服务器通信的IRC客户端为一个正常聊天用户;若与C&C服务器黑名单匹配,则与该C&C服务器通信的IRC客户端为一个被控IRC僵尸主机;
其次,针对未能与C&C服务器黑白名单匹配的IRC服务相关的TCP流量,本模块将继续基于数据包序列特征进行分析;将待检测的原始TCP流量转化为数据包大小序列,对每一个数据包大小序列进行周期度和大小均值的计算,若同时满足“周期度大于事先设定的阈值”和“大小均值小于事先设定的阈值”,相应的IRC客户端被判定为IRC被控僵尸主机,否则相应的IRC客户端被判定为IRC正常聊天用户,其中周期度阈值的设置范围为0.5~0.8,大小均值阈值的设置范围为60~90字节,同时基于这一结果,利用IRC服务器的IP地址和端口信息分别更新C&C服务器黑名单和C&C服务器白名单;
数据中心模块数据中心存放三种数据:C&C服务器黑名单、C&C服务器白名单、IRC僵尸网络检测结果,其中,C&C服务器黑名单存放僵尸网络命令与控制服务器的IP地址和端口信息以及最后确认时间,C&C服务器白名单存放IRC聊天服务器的IP地址和端口信息以及最后确认时间,IRC僵尸网络检测结果存放已检测出的IRC僵尸主机IP地址、对应的C&C服务器信息及检测时间;
检测策略控制模块对“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者进行控制;其中,对“被监控网络出口TCP流量镜像”的控制包括协议、IP地址范围、存储策略的控制;对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置;对“离线基础数据提取模块”的控制包括对IRC协议关键词的增加、删除、修改,其中周期度阈值的设置范围为0.5~0.8,大小均值阈值的设置范围为60~90字节。
上述功能模块相互协作实现IRC僵尸网络的检测。
一种基于数据包序列特征的IRC僵尸网络检测方法,采用以下操作步骤实现:
步骤1:设置检测策略 包括对“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者的控制,对“被监控网络出口TCP流量镜像”的控制包括开始、停止、协议、IP地址范围、存储策略的控制;对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置以及分析线程的设定;对“离线基础数据提取模块”的控制包括对IRC协议关键词的增加、删除、修改;
步骤2:出口流量镜像 将网络出口处的交换机上将所有TCP流量进行镜像,获取所有的完整的TCP数据包(包括数据包应用层负载),并以pcap文件的形式存储在镜像服务器上,完成原始数据源获取;
步骤3:IRC协议识别 利用NICK、USER、PASSWORD、PRIVMSG、PUBMSG、NOTICE等协议关键特征对存储在镜像服务器上的PCAP文件进行IRC协议的离线分析,从中识别和发现基于IRC协议的服务器的IP地址和端口,将结果写入数据中心,建立IRC服务器的IP地址和端口数据库,完成IRC协议的识别和发现;
步骤4:待测数据包提取 由离线基础数据提取模块完成,从所有的原始数据中提取用于检测IRC僵尸网络的所有数据包,从存储在镜像服务器上的pcap文件中实时提取与IRC服务相关的所有流量(不包括数据包应用层负载),即提取与IRC服务器的IP地址和端口通信的所有数据包的网络层和传输层数据,作为待测数据包;
步骤5:基于已知特征检测IRC僵尸网络 由在线数据实时分析模块完成,将基于已知IRC僵尸网络特征检测IRC僵尸网络,将待测数据包中的IP地址和端口特征与已知特征(C&C服务器黑白名单)进行匹配,如果与C&C服务器白名单匹配,则与该C&C服务器白名单通信的IRC客户端为正常的聊天用户,IRC客户端的IP地址为IRC聊天客户的IP地址;若与C&C服务器黑名单匹配,则与该C&C服务器黑名单通信的IRC客户端为IRC被控僵尸主机,IRC客户端的IP地址为IRC被控僵尸主机的IP地址。若与C&C服务器黑白名单均不匹配,则转到步骤6;
步骤6:基于数据包序列特征检测 在线数据实时分析模块将基于IRC客户端与IRC服务器通信过程中的数据包大小序列特征检测IRC僵尸网络,从待测数据包中提取不同的IRC客户端与IRC服务器通信过程中TCP会话的第21个到第120个数据包的大小序列,并计算每一个序列的均值和周期度,周期度计算方法如下:将整个数据包大小序列映射到一个字符串S,通过查找长度为L的出现次数最多的不重叠重复子串R,计算R在整个字符串S中的比重,通过比重即可衡量会话内容序列的周期性程度,即周期度,若序列的均值,即数据包大小均值<阈值,并且序列的周期度>阈值,则与IRC服务器通信的客户端为IRC僵尸主机,对应的IRC服务器IP地址和端口为控制服务器的IP地址和端口,否则与IRC服务器通信的客户端为IRC聊天用户,对应的IRC服务器的IP和端口为IRC聊天服务器的IP和端口,其中周期度的阈值范围为0.5~0.8,大小均值的阈值范围为60~90字节;
步骤7:已知特征更新 若通过步骤6检测出IRC僵尸网络,则将相应的僵尸网络C&C服务器的IP地址和端口加入到C&C服务器黑名单中,否则将相应的IRC聊天服务器的IP地址和端口加入到C&C服务器白名单中。形成的C&C服务器黑白名单存放在数据中心,为步骤5提供用于IRC僵尸网络检测的已知特征。
本发明是基于IRC僵尸主机与C&C(Command&Control)控制服务器之间通信时的数据包大小序列的周期性和大小特征,通过识别获取网络出口处的IRC流量,判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络。本发明以IRC僵尸网络为对象,采用已知特征(基于序列特征生成)和序列特征分析相结合的策略。在序列特征分析方面,基于IRC僵尸主机与C&C(Command&Control)服务器之间通信时会话的数据包大小序列的周期性和均值特征,通过获取网络出口处的IRC流量,判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络。在已知特征方面,通过行为分析发现的已知IRC僵尸网络C&C服务器和IRC聊天服务器将分别作为黑、白名单,并依据序列特征分析的结果进行实时更新。
本发明中的序列特征分析检测方法利用了IRC僵尸主机连接到C&C控制服务器之后,保持连接却较少发送数据包应用层负载这一控制特征,基于后缀树方法计算数据包序列的周期度,设定周期度和数据包大小均值两个阈值,可在IRC控制会话的前120个数据包之内实现IRC僵尸网络的检测,即可在被IRC僵尸网络控制之后的很短之间内实现IRC僵尸网络的检测。本发明的主要创新点在于通过度量IRC僵尸主机与C&C服务器之间通信过程中数据包序列的周期度和均值,以区别IRC聊天应用和IRC僵尸网络,从而达到IRC僵尸网络检测的目的。
附图说明:
图1是基于数据包序列特征的IRC僵尸网络检测***的原理图;
图2为字符串S为“abcdabe”的后缀树形式;
图3为周期度计算实施例中字符串所形成的后缀树,在具体实施方式的步骤6中有所说明。
具体实施方式:
参见图1所示,一种基于数据包序列特征的IRC僵尸网络检测***,是由离线基础数据获取模块、在线数据实时分析模块、数据中心和检测策略控制模块四部分构成。
离线基础数据获取模块负责从被监控网络出口流量镜像的TCP流量(包括数据包内容)中,利用IRC协议的NICK、USER、PASSWORD、PRIVMSG、PUBMSG、NOTICE等协议关键特征字段对其进行协议的离线内容匹配,以从中识别和发现基于IRC协议的服务器的IP地址和端口,并将这些信息写入数据中心,建立IRC服务器的IP地址和端口数据库,为在线数据实时分析模块提供基础的数据准备。
在线数据实时分析模块负责从IRC服务相关的TCP流量(与数据中心存放的IRC服务器IP地址和端口通信的所有TCP流量)中在线实时分析出IRC僵尸网络命令与控制(Command&Control,C&C)服务器及相应的被控IRC僵尸主机。本模块采用“基于已知特征的检测”和“基于数据包序列特征的检测”两种僵尸网络检测策略。
首先,本模块利用已知的僵尸网络C&C服务器黑白名单(由基于数据包序列特征的检测部分生成并存放在数据中心)进行IRC被控僵尸主机的检测:如果与C&C服务器白名单匹配,则与该C&C服务器通信的IRC客户端为一个正常聊天用户;若与C&C服务器黑名单匹配,则与该C&C服务器通信的IRC客户端为一个被控IRC僵尸主机。
其次,针对未能与C&C服务器黑白名单匹配的IRC服务相关的TCP流量,本模块将继续基于数据包序列特征进行分析。将带检测的原始TCP流量转化为数据包大小序列,对每一个数据包大小序列进行周期度和大小均值的计算,若同时满足“周期度大于事先设定的阈值”和“大小均值小于事先设定的阈值”,相应的IRC客户端被判定为IRC被控僵尸主机。否则相应的IRC客户端被判定为IRC正常聊天用户。周期度阈值默认设置为0.5,大小均值阈值默认设置为80字节。基于这一决策结果,利用IRC服务器的IP地址和端口信息分别更新C&C服务器黑名单和C&C服务器白名单。
数据中心模块存放三种数据:C&C服务器黑名单、C&C服务器白名单、IRC僵尸网络检测结果。其中,C&C服务器黑名单存放僵尸网络命令与控制服务器的IP地址和端口信息以及最后确认时间,C&C服务器白名单存放IRC聊天服务器的IP地址和端口信息以及最后确认时间,IRC僵尸网络检测结果存放已检测出的IRC僵尸主机IP地址、对应的C&C服务器信息及检测时间。
检测策略控制模块实现对“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者的控制。其中,对“被监控网络出口TCP流量镜像”的控制包括协议、IP地址范围、存储策略等的控制;对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置;对“离线基础数据提取模块”的控制包括对IRC协议关键词的增加、删除、修改。
一种基于数据包序列特征的IRC僵尸网络检测方法,包括以下步骤:
步骤1:设置检测策略。这部分由检测策略控制模块完成,设置基于数据包序列特征的IRC僵尸网络检测方法的策略。
检测策略控制模块实现对“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者的控制。其中,对“被监控网络出口TCP流量镜像”的控制包括开始、停止、协议、IP地址范围、存储策略等的控制;对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置以及分析线程的设定;对“离线基础数据提取模块”的控制包括对IRC协议关键词的增加、删除、修改。
检测策略控制模块与“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者之间的通信采用TCP socket方法,检测策略控制模块将向“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者发起主动连接,基于push策略向三者发送控制策略。
检测策略控制模块向“被监控网络出口TCP流量镜像”发送控制策略的通信协议格式为<flag,proto,Mbytes,duration>。其中,flag为0或1,0代表停止流量镜像,1代表开始流量镜像;proto代表所采集的流量协议,此处默认设置为TCP(为了本发明的扩展性,也可以根据需要设置为UDP);Mbytes代表每一个流量镜像文件的大小,单位为兆字节;duration代表每一个流量文件的最长持续时间,单位为小时;Mbytes和duration为或关系。
检测策略控制模块向“在线数据实时分析模块”发送控制策略的通信协议格式为<flag,periodicity,average_size,#thread>。其中,flag为0或1,0代表停止分析,1代表开始分析;periodicity代表周期度阈值;average_size代表均值大小阈值,单位为字节;周期度的阈值可默认设置为0.5,大小均值的阈值可默认设置为80字节(这是因为:一般情况下,IRC僵尸主机与其命令与控制服务器通信时的数据包大小序列的周期度大于0.5,同时,通信时TCP/IP应用层的负载内容较少,其数据包大小序列的大小均值小于80字节)。当然,用户也可根据需求进行调整,周期度的阈值调整范围为0.5~0.8,大小均值的阈值的调整范围为60~90字节;#thread代表同时并发进行在线实时分析的线程个数,用户可根据数据量大小和实时性要求自行设置,一般监控一个C类型的网络推荐默认线程数目为10。
检测策略控制模块向“离线基础数据提取模块”发送控制策略的通信协议格式为<#signature,(signature1,direction),(signature2,direction2),…>。其中,#signature代表本次检测策略控制模块向“离线基础数据提取模块”发送的特征个数,signature1代表相应的第1个特征,direction1代表signature1的判定方向,即若signatue1由服务器发向客户端,则direction1取值为1,否则取值为0。以此类推。Signature采用正则表达式的方法,例如,本发明默认的IRC协议相关的signature包括五个:
(1)(@″JOIN(?<any>.+[^\s])\b″,0);
(2)(@″JOIN(?<any>.+[^\s])\s+(?<any1>.+)\b″,0);
(3)(@″.*NICK(?<any>.*)\n″,0);
(4)(@″.*USER(?<any>.*)\n″,0);
(5)(@″PRIVMSG(.[^\s]+)\s+:(?<any>.*)\n″,0);
步骤2:出口流量镜像。这部分将完成原始数据源获取。将网络出口处的交换机上将所有TCP流量进行镜像,获取所有的完整的TCP数据包
(包括数据包应用层负载),并以pcap文件的形式存储在镜像服务器上。流量镜像的策略采用检测策略控制模块向“被监控网络出口TCP流量镜像”发送的控制策略。
步骤3:IRC协议识别。这部分将完成IRC协议的识别和发现。利用NICK、USER、PASSWORD、PRIVMSG、PUBMSG、NOTICE等协议关键特征对存储在镜像服务器上的pcap文件进行IRC协议的离线分析,从中识别和发现基于IRC协议的服务器的IP地址和端口,将结果写入数据中心,建立IRC服务器的IP地址和端口数据库。
采用检测策略控制模块向“离线基础数据提取模块”发送的IRC协议signature数据,从步骤2所获得的原始流量镜像文件中识别IRC协议。识别方法为:只要数据包应用层负载中含有与IRC协议signature数据匹配的内容,则将该数据包判定为IRC协议相关的数据包。然后,从该数据包中识别和发现IRC服务器IP地址和端口,方法如下:若所匹配的signature其direction取值为0,则提取对应的数据包中的网络层的目的IP地址和传输层的目的端口作为IRC服务器IP地址和端口;若所匹配的signature其direction取值为1,则提取对应的数据包中的网络层的源IP地址和传输层的源端口作为IRC服务器IP地址和端口。
最后,将IRC服务器IP地址和端口信息写入数据中心。
步骤4:待测数据包提取。这部分由离线基础数据提取模块完成,将从所有的原始数据中提取用于检测IRC僵尸网络的所有数据包。从存储在镜像服务器上的pcap文件中实时提取与IRC服务相关的所有流量(不包括数据包应用层负载),即提取与IRC服务器的IP地址和端口通信的所有数据包的网络层和传输层数据,作为待测数据包。
具体实施方案为:从数据中心读取IRC服务器IP地址和端口信息,然后遍历所有的原始流量,从中提取中与IRC服务器IP地址和端口发生通信的所有数据包,并将待测数据包存放在镜像服务器上。
步骤5:基于已知特征检测IRC僵尸网络。这部分由在线数据实时分析模块完成,将基于已知IRC僵尸网络特征检测IRC僵尸网络。
具体实施方案为:将待测数据包中的IP地址和端口特征与已知特征(C&C服务器黑白名单,由步骤6生成,***第一次运行时C&C服务器黑白名单为空,但随着***运行,将逐渐建立C&C服务器黑白名单)进行匹配,如果与C&C服务器白名单匹配,则与该C&C服务器白名单通信的IRC客户端为正常的聊天用户,IRC客户端的IP地址为IRC聊天客户的IP地址;若与C&C服务器黑名单匹配,则与该C&C服务器黑名单通信的IRC客户端为IRC被控僵尸主机,IRC客户端的IP地址为IRC被控僵尸主机的IP地址。若与C&C服务器黑白名单均不匹配,则转到步骤6。
步骤6:基于数据包序列特征检测。这部分由在线数据实时分析模块完成,将基于IRC客户端与IRC服务器通信过程中的数据包大小序列特征检测IRC僵尸网络。
具体实施方案为:从待测数据包中提取每一个IRC客户端与IRC服务器通信过程中TCP会话的第21个到第120个数据包的大小序列,并计算每一个序列的均值和周期度,若序列的均值,即数据包大小均值<阈值S,并且序列的周期度>P,则与IRC服务器通信的客户端为IRC僵尸主机,对应的IRC服务器IP地址和端口为控制服务器的IP地址和端口。否则与IRC服务器通信的客户端为IRC聊天用户,对应的IRC服务器的IP和端口为IRC聊天服务器的IP和端口。
设数据包大小序列用(s1,s2,…,s100)表示,分别代表第21个到第120个数据包的大小序列,单位为字节,则显然均值的计算方法为∑i=1 100si。至此,关键问题是求解数据包大小序列(s1,s2,…,s100)的周期度。周期度的求解流程为:
1、通过数据处理,将数据包大小序列(s1,s2,…,s100)依次利用小写字母a~z和大写字母A~Z,映射到一个字符串S。例如,依次利用小写字母a~z和大写字母A~Z,数据包大小序列“40,60,46,70,40,60,80,…”将映射为“abcdabe”,这里40第一个出现,所以映射为a,60第二个出现,所以映射为b,……,40第五次出现的时候,因为在第一次出现的时候已经映射为a,所以此时40映射为a,……。
2、通过数据处理,将S转化为后缀树T。首先,列举S的所有后缀,例如,若字符串S为“abcdabe”,则其所有的后缀为:“abcdabe”、“bcdabe”、“cdabe”、“dabe”、“abe”、“be”“e”。若用“$”表示字符串结尾标志,则字符串S为“abcdabe”可表示为“abcdabe$”,相应的,其所有后缀变为“abcdabe$”、“bcdabe$”、“cdabe$”、“dabe$”、“abe$”、“be$”“e$”。其次,遍历所有后缀,发现所有后缀的第一个字母存在a、b、c、d、e五种情况,所以,根节点的分支因子(branch factor,节点的子树的个数)为5,与根节点连接的5条边分别代表字母a、b、c、d、e,继续遍历,发现a之后均为b,故与根节点连接的边a更新为ab,而以b、c、d、e开头的后缀后面均不同,因此这些边之后出现分叉,最终,将产生如图2所示的后缀树。这样,通过对字符串S的所有后缀进行数据处理,将其转换为后缀树的形式存储。
3、通过对后缀树T的查找和搜索,寻找深度最大的(设为L)分叉(fork)节点N,这里设分叉节点的分支因子(branch factor,节点的子树的个数)为branch_factor,那么从后缀树的根节点R到分叉节点N的路径所对应的字串即为整个字符串S中的最长重复字串,用R表示。如图2所示,所有的分叉节点(分支因子)大于2的节点中,
为深度最大的分叉节点(因为从根节点到
的路径ab长度最长,为2)。所以,“abcdabe”的最长重复字串为“ab”。这里,branch_factor=2,L=2。
4、计算R在整个字符串S中的比重branch_factor×L/100,该比重即为序列的周期度。所以,“abcdabe”的周期度为2×2/7=0.57。(用7替换100,因为“abcdabe”总长度为7)。
这里通过一个序列长度较短(长度为10<100)的实施例来说明此过程。用户可在不付出创造性思维活动的情况下,依照类似的过程,可实现数据包大小序列周期度的计算。例如,某个数据包大小序列为
(60,40,71,45,60,40,71,45,60,40)
首先将此序列映射为一个字符串序列,60用a替换,40用b替换,71用c替换,45用d替换,如下:
(a,b,c,d,a,b,c,d,a,b)
sis2…sn(1≤i≤n)为字符串s1s2…sn的第i个后缀(suffix),一个长度为n的字符串总共有n个后缀。则上述字符串的所有后缀总共10个(这里用$表示后缀的结束标志),分别为:
(a,b,c,d,a,b,c,d,a,b,$)
(b,c,d,a,b,c,d,a,b,$)
(c,d,a,b,c,d,a,b,$)
(d,a,b,c,d,a,b,$)
(a,b,c,d,a,b,$)
(b,c,d,a,b,$)
(c,d,a,b,$)
(d,a,b,$)
(a,b,$)
(b,$)
将上述10个原始字符串的后缀构建原始字符串的后缀树,如图2所示。后缀树的构建方法为:遍历以10个后缀,将后缀的公共部分合并作为一条边,若出现不同的情况则做分叉处理。如图3所示,
为深度最大的分叉节点,其深度为其上行边“cdab”的长度,即L=4,相应的branch_factor=2。故周期度=branch_factor×L/100=2×4/10=0.8(此例中原始字符串总长度为10,所以将100替换为10)。
步骤7:已知特征更新。若通过步骤6检测出IRC僵尸网络,则将相应的僵尸网络C&C服务器的IP地址和端口加入到C&C服务器黑名单中,否则将相应的IRC聊天服务器的IP地址和端口加入到C&C服务器白名单中。形成的C&C服务器黑白名单存放在数据中心,为步骤5提供用于IRC僵尸网络检测的已知特征。
Claims (2)
1.一种基于数据包序列特征的IRC僵尸网络检测***,其特征在于,包括以下模块:
离线基础数据获取模块,负责从被监控网络出口流量镜像的TCP流量中,利用IRC协议的NICK、USER、PASSWORD、PRIVMSG、PUBMSG、NOTICE协议关键特征字段对其进行协议的离线内容匹配,从中识别和发现基于IRC协议的服务器的IP地址和端口,并将这些信息写入数据中心,建立IRC服务器的IP地址和端口数据库,为在线数据实时分析模块提供基础的数据准备;
在线数据实时分析模块,负责从IRC服务相关的TCP流量中在线实时分析出IRC僵尸网络命令与控制服务器及相应的被控IRC僵尸主机,本模块利用已知的僵尸网络C&C服务器黑白名单进行IRC被控僵尸主机的检测,如果与C&C服务器白名单匹配,则与该C&C服务器通信的IRC客户端为一个正常聊天用户;若与C&C服务器黑名单匹配,则与该C&C服务器通信的IRC客户端为一个被控IRC僵尸主机;针对未能与C&C服务器黑白名单匹配的IRC服务相关的TCP流量,本模块继续基于数据包序列特征进行分析,将待检测的原始TCP流量转化为IRC客户端与IRC服务器通信过程中的数据包大小序列,对每一个数据包大小序列进行周期度和大小均值的计算,若同时满足“周期度大于事先设定的阈值”和“大小均值小于事先设定的阈值”,相应的IRC客户端被判定为IRC被控僵尸主机,否则相应的IRC客户端被判定为IRC正常聊天用户,其中周期度的阈值范围为0.5~0.8,大小均值的阈值范围为60~90字节,基于这一结果,利用IRC服务器的IP地址和端口信息分别更新C&C服务器黑名单和C&C服务器白名单;
数据中心模块,数据中心存放三种数据:C&C服务器黑名单、C&C服务器白名单、IRC僵尸网络检测结果,其中,C&C服务器黑名单存放僵尸网络命令与控制服务器的IP地址和端口信息以及最后确认时间,C&C服务器白名单存放IRC聊天服务器的IP地址和端口信息以及最后确认时间,IRC僵尸网络检测结果存放已检测出的IRC僵尸主机IP地址、对应的C&C服务器信息及检测时间;
检测策略控制模块,对“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者进行控制,其中,对“被监控网络出口TCP流量镜像”的控制包括协议、IP地址范围、存储策略的控制;对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置,对“离线基础数据提取模块”的控制包括对IRC协议关键词的增加、删除、修改,所述周期度阈值的设置范围为0.5~0.8,大小均值阈值的设置范围为60~90字节。
2.一种基于数据包序列特征的IRC僵尸网络检测方法,其特征在于,包括以下步骤:
步骤1:设置检测策略,包括对“被监控网络出口TCP流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者的控制,对“被监控网络出口TCP流量镜像”的控制包括开始、停止、协议、IP地址范围、存储策略的控制;对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置以及分析线程的设定;对“离线基础数据提取模块”的控制包括对IRC协议关键词的增加、删除、修改;
步骤2:出口流量镜像,将网络出口处的交换机上将所有TCP流量进行镜像,获取所有的完整的TCP数据包,并以pcap文件的形式存储在镜像服务器上;
步骤3:IRC协议识别,利用NICK、USER、PASSWORD、PRIVMSG、PUBMSG、NOTICE协议关键特征对存储在镜像服务器上的pcap文件进行IRC协议的离线分析,从中识别和发现基于IRC协议的服务器的IP地址和端口,将结果写入数据中心,建立IRC服务器的IP地址和端口数据库;
步骤4:待测数据包提取,通过离线基础数据提取模块从所有的原始数据中提取用于检测IRC僵尸网络的所有数据包,从存储在镜像服务器上的pcap文件中实时提取与IRC服务相关的所有流量,即提取与IRC服务器的IP地址和端口通信的所有数据包的网络层和传输层数据,作为待测数据包;
步骤5:基于已知特征检测IRC僵尸网络,通过在线数据实时分析模块将待测数据包中的IP地址和端口特征与已知特征进行匹配,如果与C&C服务器白名单匹配,则与该C&C服务器白名单通信的IRC客户端为正常的聊天用户,IRC客户端的IP地址为IRC聊天客户的IP地址;若与C&C服务器黑名单匹配,则与该C&C服务器黑名单通信的IRC客户端为IRC被控僵尸主机,IRC客户端的IP地址为IRC被控僵尸主机的IP地址,若与C&C服务器黑白名单均不匹配,则转到步骤6;
步骤6:基于数据包序列特征检测,通过在线数据实时分析模块将基于IRC客户端与IRC服务器通信过程中的数据包大小序列特征检测IRC僵尸网络,从待测数据包中提取不同的IRC客户端与IRC服务器通信过程中TCP会话的第21个到第120个数据包的大小序列,并计算每一个序列的均值和周期度,周期度计算方法如下:通过数据处理,将整个数据包大小序列映射到一个字符串S,通过查找长度为L的出现次数最多的不重叠重复子串R,计算R在整个字符串S中的比重,通过比重即可衡量会话内容序列的周期性程度,即周期度,若序列的均值,即数据包大小均值<阈值,并且序列的周期度>阈值,则与IRC服务器通信的客户端为IRC僵尸主机,对应的IRC服务器IP地址和端口为控制服务器的IP地址和端口,否则与IRC服务器通信的客户端为IRC聊天用户,对应的IRC服务器的IP和端口为IRC聊天服务器的IP和端口,其中周期度阈值的设置范围为0.5~0.8,大小均值阈值的设置范围为60~90字节;
步骤7:已知特征更新,若通过步骤6检测出IRC僵尸网络,则将相应的僵尸网络C&C服务器的IP地址和端口加入到C&C服务器黑名单中,否则将相应的IRC聊天服务器的IP地址和端口加入到C&C服务器白名单中,形成的C&C服务器黑白名单存放在数据中心,为步骤5提供用于IRC僵尸网络检测的已知特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100136605A CN101741862B (zh) | 2010-01-22 | 2010-01-22 | 基于数据包序列特征的irc僵尸网络检测***和检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100136605A CN101741862B (zh) | 2010-01-22 | 2010-01-22 | 基于数据包序列特征的irc僵尸网络检测***和检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101741862A true CN101741862A (zh) | 2010-06-16 |
| CN101741862B CN101741862B (zh) | 2012-07-18 |
Family
ID=42464748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100136605A Expired - Fee Related CN101741862B (zh) | 2010-01-22 | 2010-01-22 | 基于数据包序列特征的irc僵尸网络检测***和检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101741862B (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN102014025A (zh) * | 2010-12-06 | 2011-04-13 | 北京航空航天大学 | 基于网络流聚类检测p2p僵尸网络结构的方法 |
| CN102404285A (zh) * | 2010-09-09 | 2012-04-04 | 富士通株式会社 | 实现信息安全的装置、方法和包括该装置的通信*** |
| CN102638448A (zh) * | 2012-02-27 | 2012-08-15 | 珠海市君天电子科技有限公司 | 一种基于非内容分析的判断钓鱼网站的方法 |
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测*** |
| CN102882739A (zh) * | 2012-09-07 | 2013-01-16 | 中国科学院信息工程研究所 | 通信行为检测方法及装置 |
| CN102916955A (zh) * | 2012-10-15 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测***及方法 |
| CN103078771A (zh) * | 2013-02-01 | 2013-05-01 | 上海交通大学 | 基于p2p的僵尸网络分布式协作检测***和方法 |
| CN103902895A (zh) * | 2012-12-24 | 2014-07-02 | 腾讯科技(深圳)有限公司 | 僵尸网络控制协议挖掘方法和装置 |
| CN103973666A (zh) * | 2013-08-13 | 2014-08-06 | 哈尔滨理工大学 | 垃圾邮件僵尸主机检测方法及装置 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN105516096A (zh) * | 2015-11-30 | 2016-04-20 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
| CN106656966A (zh) * | 2016-09-30 | 2017-05-10 | 广州华多网络科技有限公司 | 一种拦截业务处理请求的方法和装置 |
| CN107678912A (zh) * | 2017-09-12 | 2018-02-09 | 上海展扬通信技术有限公司 | 一种基于智能终端的应用程序监控方法及监控*** |
| CN107786531A (zh) * | 2017-03-14 | 2018-03-09 | 平安科技(深圳)有限公司 | Apt攻击检测方法和装置 |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测*** |
| CN109936557A (zh) * | 2018-11-12 | 2019-06-25 | 浙江工商大学 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及*** |
| WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN110099058A (zh) * | 2019-05-06 | 2019-08-06 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
| US11374897B2 (en) | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| CN115086060A (zh) * | 2022-06-30 | 2022-09-20 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115174270A (zh) * | 2022-09-05 | 2022-10-11 | 杭州安恒信息技术股份有限公司 | 一种行为异常检测方法、装置、设备及介质 |
| CN115150159B (zh) * | 2022-06-30 | 2023-11-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2548336A1 (en) * | 2004-01-26 | 2005-08-04 | Cisco Technology, Inc. | Upper-level protocol authentication |
| CN100463461C (zh) * | 2005-05-10 | 2009-02-18 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN101360019B (zh) * | 2008-09-18 | 2011-11-16 | 成都市华为赛门铁克科技有限公司 | 一种僵尸网络的检测方法、***和设备 |
| EP2353272B1 (fr) * | 2008-09-30 | 2014-06-04 | Orange | Procede de caracterisation d'entites a l'origine de variations dans un trafic reseau |
| US8468601B1 (en) * | 2008-10-22 | 2013-06-18 | Kaspersky Lab, Zao | Method and system for statistical analysis of botnets |
| CN101588276B (zh) * | 2009-06-29 | 2012-09-19 | 成都市华为赛门铁克科技有限公司 | 一种检测僵尸网络的方法及其装置 |
| CN101621428B (zh) * | 2009-07-29 | 2012-02-22 | 成都市华为赛门铁克科技有限公司 | 一种僵尸网络检测方法及***以及相关设备 |
| CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
| CN101714931B (zh) * | 2009-11-26 | 2012-09-19 | 成都市华为赛门铁克科技有限公司 | 一种未知恶意代码的预警方法、设备和*** |
-
2010
- 2010-01-22 CN CN2010100136605A patent/CN101741862B/zh not_active Expired - Fee Related
Cited By (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757B (zh) * | 2010-07-30 | 2013-12-18 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN102404285A (zh) * | 2010-09-09 | 2012-04-04 | 富士通株式会社 | 实现信息安全的装置、方法和包括该装置的通信*** |
| CN102014025A (zh) * | 2010-12-06 | 2011-04-13 | 北京航空航天大学 | 基于网络流聚类检测p2p僵尸网络结构的方法 |
| CN102014025B (zh) * | 2010-12-06 | 2012-09-05 | 北京航空航天大学 | 基于网络流聚类检测p2p僵尸网络结构的方法 |
| CN102638448A (zh) * | 2012-02-27 | 2012-08-15 | 珠海市君天电子科技有限公司 | 一种基于非内容分析的判断钓鱼网站的方法 |
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测*** |
| CN102710645B (zh) * | 2012-06-06 | 2015-10-21 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测*** |
| CN102882739A (zh) * | 2012-09-07 | 2013-01-16 | 中国科学院信息工程研究所 | 通信行为检测方法及装置 |
| CN102882739B (zh) * | 2012-09-07 | 2016-05-11 | 中国科学院信息工程研究所 | 通信行为检测方法及装置 |
| CN102916955A (zh) * | 2012-10-15 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测***及方法 |
| CN102916955B (zh) * | 2012-10-15 | 2016-03-02 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测***及方法 |
| CN103902895A (zh) * | 2012-12-24 | 2014-07-02 | 腾讯科技(深圳)有限公司 | 僵尸网络控制协议挖掘方法和装置 |
| CN103078771A (zh) * | 2013-02-01 | 2013-05-01 | 上海交通大学 | 基于p2p的僵尸网络分布式协作检测***和方法 |
| CN103078771B (zh) * | 2013-02-01 | 2015-09-09 | 上海交通大学 | 基于p2p的僵尸网络分布式协作检测***和方法 |
| CN103973666B (zh) * | 2013-08-13 | 2017-07-14 | 哈尔滨理工大学 | 垃圾邮件僵尸主机检测方法及装置 |
| CN103973666A (zh) * | 2013-08-13 | 2014-08-06 | 哈尔滨理工大学 | 垃圾邮件僵尸主机检测方法及装置 |
| CN103997489B (zh) * | 2014-05-09 | 2017-02-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN105516096B (zh) * | 2015-11-30 | 2018-10-30 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
| CN105516096A (zh) * | 2015-11-30 | 2016-04-20 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
| CN106656966A (zh) * | 2016-09-30 | 2017-05-10 | 广州华多网络科技有限公司 | 一种拦截业务处理请求的方法和装置 |
| CN106656966B (zh) * | 2016-09-30 | 2020-02-21 | 广州华多网络科技有限公司 | 一种拦截业务处理请求的方法和装置 |
| CN107786531B (zh) * | 2017-03-14 | 2020-02-18 | 平安科技(深圳)有限公司 | Apt攻击检测方法和装置 |
| CN107786531A (zh) * | 2017-03-14 | 2018-03-09 | 平安科技(深圳)有限公司 | Apt攻击检测方法和装置 |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测*** |
| CN107678912A (zh) * | 2017-09-12 | 2018-02-09 | 上海展扬通信技术有限公司 | 一种基于智能终端的应用程序监控方法及监控*** |
| CN107678912B (zh) * | 2017-09-12 | 2020-09-22 | 上海展扬通信技术有限公司 | 一种基于智能终端的应用程序监控方法及监控*** |
| US11374897B2 (en) | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN109936557A (zh) * | 2018-11-12 | 2019-06-25 | 浙江工商大学 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及*** |
| CN110099058A (zh) * | 2019-05-06 | 2019-08-06 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
| CN110099058B (zh) * | 2019-05-06 | 2021-08-13 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
| CN115086060A (zh) * | 2022-06-30 | 2022-09-20 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115086060B (zh) * | 2022-06-30 | 2023-11-07 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115150159B (zh) * | 2022-06-30 | 2023-11-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115174270A (zh) * | 2022-09-05 | 2022-10-11 | 杭州安恒信息技术股份有限公司 | 一种行为异常检测方法、装置、设备及介质 |
| CN115174270B (zh) * | 2022-09-05 | 2022-11-29 | 杭州安恒信息技术股份有限公司 | 一种行为异常检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101741862B (zh) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101741862B (zh) | 基于数据包序列特征的irc僵尸网络检测***和检测方法 | |
| Chen et al. | An effective conversation‐based botnet detection method | |
| US9544273B2 (en) | Network traffic processing system | |
| CN101640666B (zh) | 一种面向目标网络的流量控制装置及方法 | |
| EP2241072B1 (en) | Method of detecting anomalies in a communication system using numerical packet features | |
| Narang et al. | Peershark: detecting peer-to-peer botnets by tracking conversations | |
| Mai et al. | Impact of packet sampling on portscan detection | |
| Cabaj et al. | SDN Architecture Impact on Network Security. | |
| EP3823244A1 (en) | High availability for network security devices | |
| CN109818970B (zh) | 一种数据处理方法及装置 | |
| Shanthi et al. | Detection of botnet by analyzing network traffic flow characteristics using open source tools | |
| WO2010031288A1 (zh) | 一种僵尸网络的检测方法和*** | |
| CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
| EP1738551A1 (en) | Method of detecting anomalous behaviour in a computer network | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| CN102546298A (zh) | 一种基于主动探测的僵尸网络家族检测方法 | |
| KR100877911B1 (ko) | 네트워크 트래픽 전이 모델을 이용한 피투피 기반 봇넷탐지방법 | |
| CN110958233A (zh) | 一种基于深度学习的加密型恶意流量检测***和方法 | |
| Nair et al. | A study on botnet detection techniques | |
| Marnerides et al. | Analysis and characterisation of botnet scan traffic | |
| Feng et al. | Automatic traffic signature extraction based on Smith-waterman algorithm for traffic classification | |
| Etemad et al. | Real-time botnet command and control characterization at the host level | |
| Meidan et al. | Privacy-preserving detection of iot devices connected behind a nat in a smart home setup | |
| Lee et al. | DDoS attacks detection using GA based optimized traffic matrix | |
| Hwa et al. | Review of peer-to-peer botnets and detection mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120718 Termination date: 20190122 |