CN106888209A - 一种基于协议状态图深度遍历的工控漏洞挖掘方法 - Google Patents
一种基于协议状态图深度遍历的工控漏洞挖掘方法 Download PDFInfo
- Publication number
- CN106888209A CN106888209A CN201710120947.XA CN201710120947A CN106888209A CN 106888209 A CN106888209 A CN 106888209A CN 201710120947 A CN201710120947 A CN 201710120947A CN 106888209 A CN106888209 A CN 106888209A
- Authority
- CN
- China
- Prior art keywords
- packet
- protocol
- constraint
- target device
- protocol status
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于协议状态图深度遍历的工控漏洞挖掘方法。该方法包括:1)获取目标设备的网络数据包,对网络数据包进行预处理得到待分析数据包集合;2)对待分析数据包集合中的数据包进行分块处理得到大量协议基础块;3)提取单数据包内协议基础块间的约束关联关系及数据包间的状态转移关联关系,并以此为基础构造协议状态图;4)按深度优先方式对协议状态图进行遍历,生成并发送相应的畸形数据包;5)探测目标设备是否存活,若目标设备崩溃则根据畸形数据包编写POC脚本进行漏洞验证,从而发现目标设备中存在的安全漏洞。本发明能够有效地发现物联网及工业控制***设备中存在的安全漏洞,解决了传统的漏洞挖掘方法有效性较差的问题。
Description
技术领域
本发明涉及网络协议安全、物联网/工业控制***安全及安全测试技术领域,尤其涉及一种基于协议状态图深度遍历的安全漏洞挖掘方法。
背景技术
随着物联网、智慧城市、智能电网的普及,近年来针对物联网及工业控制***设备的各种网络攻击事件日益增多,暴露出物联网及工业控制***设备中存在大量的安全漏洞。主动发现物联网及工业控制***设备中存在的安全漏洞并进行修复成为了一项重要的安全防护措施。
由于物联网设备及工业控制***设备具有封闭性、难以调试、***实时性高、难以仿真等特点,传统的漏洞挖掘方法,比如逆向分析、符号执行、污点跟踪等方法很难取得较好的效果。为了能有效地发现物联网及工业控制***设备中存在的安全漏洞,需要一套专门针对物联网及工业控制***设备的漏洞挖掘***。
本发明提出一种基于协议状态图深度遍历的的工控漏洞挖掘方法,通过远程fuzz测试来实现,主要用来有效发现物联网及工业控制***设备中存在的安全漏洞。Fuzz测试也叫“模糊测试”,是一种挖掘软件安全漏洞、检测软件健壮性的黑盒测试,它通过向软件输入非法的字段,观测被测试软件是否异常而实现。
发明内容
本发明解决的问题是针对物联网及工业控制***中使用的网络通信协议,提出一种基于协议状态图深度遍历的工控漏洞挖掘方法,根据数据包内协议基础块间的约束关联关系及数据包间的状态转移关联关系构造协议状态图,基于协议状态图进行远程fuzz测试,达到有效发现物联网及工业控制***设备中存在的安全缺陷的目的。
本发明解决上述问题的技术方案如下:
一种基于协议状态图深度遍历的工控漏洞挖掘方法,首先获取目标设备的网络数据包,对网络数据包进行预处理得到待分析数据包集合;对待分析数据包集合中的数据包进行分块处理得到大量协议基础块,提取单数据包内基础块间的约束关联关系及多数据包间的状态转移关联关系,并以此为基础构造协议状态图;按深度优先方式对协议状态图进行遍历,生成并向目标设备发送相应的畸形数据包;同时探测目标设备是否存活,若目标设备崩溃则可根据畸形数据包编写POC(漏洞验证)脚本进行漏洞验证从而发现目标设备中存在的安全漏洞;重复畸形数据包的发送与目标存活探测的过程,直到协议状态图遍历完毕。
上述方法的具体步骤包括:
步骤1,通过与目标设备进行交互,利用数据包嗅探器抓取目标设备的网络数据包;
步骤2,对捕获的网络数据包进行预处理,得到待分析数据包集合;
步骤3,利用协议自动化分析方法,对集合中的网络数据包进行分块处理,得到大量的协议基础块;
步骤4,结合自动化分析及人工分析的方式,对网络数据包内的协议基础块进行函数关联,获得约束关系,对网络数据包之间的转移关系进行关联,获得状态转移关联关系;
步骤5,以协议基础块、块与块之间的约束关联关系及数据包之间的状态转移关联关系为基础构造协议状态图,其中,每个节点为协议的一个状态,节点属性为协议基础块及其约束关联关系,每条边为协议状态间的状态转移关联关系;
步骤6,按深度优先方式对协议状态图进行遍历,并设置最大遍历深度max_depth,依据节点内的约束关联关系及节点之间的状态转移关联关系生成畸形数据包并发送;所述畸形数据包是指正常的工控数据包的部分字段经过随机变化之后所产生的工控数据包;
步骤7,向目标***发送探测数据包,探测目标是否存活,若目标崩溃,则可根据畸形数据包编写POC脚本进行漏洞验证,从而发现目标设备中存在的安全漏洞;
步骤8,若达到最大遍历深度max_depth,则向上回溯,跳转到步骤6,继续对协议状态图进行遍历,若整个协议状态图遍历完毕,则停止。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述步骤1中对网络数据包的获取方法包括但不限于使用Wireshark、Tcpdump、Burpsuite、Fiddler、Scapy、libpcap等工具,针对的目标设备包括但不限于网络摄像头、智能路由器、智能灯泡、PLC等,针对的网络协议包括但不限于TCP协议、UDP协议、FTP协议、Telnet协议、HTTP协议、RTSP协议、S7协议及MODBUS协议等;
进一步,所述步骤2中对网络数据包的预处理过程,包括但不限于过滤掉无关协议的数据包、筛除对fuzz测试无价值的数据包以及对多次出现的重复网络数据包的去重等;
进一步,所述步骤3中对网络数据包的分块包括但不限于协议请求头及请求数据、协议关键字、协议分隔符及协议内容等;
进一步,所述步骤4中协议基础块之间的约束关联关系包括但不限于长度约束、校验和约束、字段取值约束等,网络数据包之间的转移关联关系包括但不限于认证约束、字段取值约束、状态切换约束等;其中,长度约束是指数据包中有一个字段,其值为该数据包的长度大小;校验和约束是指数据包中有一个字段,其值为该数据包的校验和;字段取值约束是指数据包中有一个字段,其值随着协议版本等的类型而取不同的值;认证约束是指,部分协议在交互前,需要相互进行身份认证;状态切换约束是指协议状态机中的某个状态需要发送特定的数据包才能到达该状态。
进一步,所述步骤7中探测目标***是否存活的方法包括但不限于发送ICMP探测数据包、发送TCP SYN探测数据包、发送TCP FIN数据包、发送TCP探测数据包、发送UDP探测数据包等。
本发明的有益效果是:
本发明构建的***通过挖掘数据包内基础块之间的约束关联关系及数据包之间的状态转移关联关系,基于协议状态图进行fuzz测试,能够有效地发现物联网及工业控制***设备中存在的安全漏洞,解决了传统的漏洞挖掘方法有效性较差的问题。
附图说明
图1为本发明实施例中基于协议状态图深度遍历对目标进行fuzz测试的流程图;
图2为本发明所述基于RTSP协议状态图对摄像头进行fuzz测试的流程图;
图3为本发明所述针对RTSP协议构建的协议状态图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
本实施例涉及一种基于协议状态图深度遍历的工控漏洞挖掘方法,主要是通过获取目标设备的网络数据包并进行预处理得到待分析数据包集合,对集合中的数据包进行分块。结合自动化分析及人工分析的方式获取数据包内基础块之间的约束关联关系及数据包间的状态转移关联关系,并以此为基础构造协议状态图。按深度优先方式遍历协议图进行fuzz测试,并对目标是否存活进行探测,以达到有效发现物联网及工业控制***设备中存在的安全缺陷的目的。
根据图1给出的fuzz测试流程图,本实施例的方法具体包括以下步骤:
步骤1,通过与目标设备进行交互,利用数据包嗅探器抓取目标设备的网络数据包;
步骤2,对捕获的网络数据包进行预处理操作包括过滤、去重等,得到待分析数据包集合;
步骤3,利用协议自动化分析方法,对网络数据包的协议请求头、请求数据、协议关键字、协议分隔符及协议字段值等进行分块,得到大量的协议基础块;
步骤4,结合自动化分析及人工分析的方式,对网络数据包内的协议基础块进行函数关联,获得约束关系如长度约束、校验和约束、取值约束等,对网络数据包之间的转移关系进行关联,获得状态转移关联关系如认证条件等;
步骤5,以协议基础块、块与块之间的约束关联关系及数据包之间的状态转移关联关系为基础构造协议状态图,其中,每个节点为协议的一个状态,节点属性为协议基础块及其约束关联关系,每条边为协议状态间的状态转移关联关系;
步骤6,按深度优先方式对协议状态图进行遍历,并设置最大遍历深度max_depth,依据节点内的约束关联关系及节点之间的状态转移关联关系生成畸形数据包并发送;
步骤7,向目标***发送探测数据包,探测目标是否存活,若目标崩溃,则可根据畸形数据包编写POC脚本进行漏洞验证;
步骤8,若达到最大遍历深度max_depth,则向上回溯,跳转到步骤6,继续对协议状态图进行遍历,若整个协议状态图遍历完毕,则停止。
下面以利用RTSP协议对网络摄像头进行fuzz测试为例详细说明本实施例的测试流程。其具体实现过程如图2所示。
一、网络数据包采集与预处理过程
首先登入到网络摄像头的配置管理界面,进行视频流实时预览,同时利用wireshark工具捕获数据包。之后,退出网络摄像头管理界面,然后停止数据包的捕获。
对Wireshark中捕获的数据包进行预处理操作,设置过滤条件为“rtsp”筛选出RTSP协议的数据包,保存结果得到待分析数据包集合。
二、数据包分块与协议状态图构造过程
对协议数据包进行自动化分析,利用分隔符“\r\n\r\n”分隔开RTSP协议中的请求头与请求数据,再利用分隔符“\r\n”将请求头中的内容进行分块,再利用分隔符“:”进一步划分请求头中的内容。结合自动化分析及人工分析的方法,对数据包内的基础块进行函数关联,获得基础块之间的取值约束、长度约束等关系,如“Conetent-Length”字段的值依赖于请求数据部分的长度,对数据包间的转移关系进行关联,获得状态转移关联关系如认证条件、nc取值约束等。
以RTSP协议中的SETUP请求为例,其原始请求内容如下。
进行分块处理后的结果如下。
其中,name字段为块的名字,data字段为其内容,包含pieces字段及event_handler字段,pieces字段中包含各个基础块的内容如名字、值及处理函数的名称,event_handler字段中包含基础块间的处理函数名称及对应参数。
上例展示了数据包内基础块之间的取值约束关系及数据包间的取值依赖关系。假设describe数据包的索引号为1,setup数据包的基础块中nonce字段的取值依赖于dedcribe的基础块中nonce的值,而setup数据包的基础块中response字段的取值又依赖于基础块中action、username、realm、nonce及uri等字段的值。
以数据包内基础块之间的约束关联关系及数据包间的状态转移关联关系为基础构造协议状态图,RTSP协议的协议状态图如图3所示。根据RTSP协议关键字可区分出OPTIONS、DESCRIBE、SETUP、PLAY、TEARDOWN等状态,对每个状态下的数据包进行分块处理,得到节点的相关属性。当一个状态具有不同的属性时,如包头字段或uri字段不一样时,则对该状态进行区分,如DESCRIBE状态可分为DESCRIBE1(未经认证)和DESCRIBE2(经过认证)两个状态,经过处理后得到协议状态图节点集合;追踪数据包中的数据流如TCP数据流或session会话流,分析状态之间的依赖关系,若存在依赖关系则将其保存为边的属性,如从Describe1状态切换到Describe2状态时需要进行Authorization会话认证,认证成功则切换到Describe2状态,否则继续停留在Describe1状态。图3中,Authorization表示认证;Username or password wrong表示用户名或密码错误;usertoken表示用户令牌;sessions表示会话;Cmd type:get表示命令类型:获取;Cmd type:set表示命令类型:设置;Cmdtype:teardown表示命令类型:断开。
三、协议状态图遍历及目标设备存活探测过程
按深度优先方式遍历协议状态图,并设置最大遍历深度max_depth,依据节点的属性及节点间的关联关系生成并发送相应的畸形数据包。若发送畸形数据包后未收到来自目标设备的响应包,则发送TCP SYN探测数据包探测目标设备是否存活,若收到来自目标设备的TCP SYN+ACK数据包,说明目标设备没有崩溃,反之则说明目标已崩溃,形成一条异常记录并保存之前发送的畸形数据包,根据该畸形数据包编写POC脚本对“漏洞”进行验证。探测完毕后,若达到最大遍历深度max_depth时,则向上回溯继续遍历协议状态图,若整个协议状态图遍历完毕,则停止。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (9)
1.一种基于协议状态图深度遍历的工控漏洞挖掘方法,其步骤包括:
1)获取目标设备的网络数据包,对网络数据包进行预处理得到待分析数据包集合;
2)对待分析数据包集合中的数据包进行分块处理得到大量协议基础块;
3)提取单数据包内协议基础块间的约束关联关系及数据包间的状态转移关联关系,并以此为基础构造协议状态图;
4)按深度优先方式对协议状态图进行遍历,生成并发送相应的畸形数据包;
5)探测目标设备是否存活,若目标设备崩溃则根据畸形数据包编写POC脚本进行漏洞验证,从而发现目标设备中存在的工控漏洞。
2.如权利要求1所述的方法,其特征在于:步骤1)利用数据包嗅探器抓取目标设备的网络数据包,所述数据包嗅探器为下列工具中的一种:Wireshark、Tcpdump、Burpsuite、Fiddler、Scapy、libpcap。
3.如权利要求1所述的方法,其特征在于:步骤1)所述目标设备包括网络摄像头、智能路由器、智能灯泡、PLC,所针对的网络协议包括TCP协议、UDP协议、FTP协议、Telnet协议、HTTP协议、RTSP协议、S7协议及MODBUS协议。
4.如权利要求1所述的方法,其特征在于:步骤1)所述预处理包括:过滤掉无关协议的数据包,筛除对fuzz测试无价值的数据包,以及对多次出现的重复网络数据包的去重。
5.如权利要求1所述的方法,其特征在于:步骤2)对网络数据包的协议请求头、请求数据、协议关键字、协议分隔符及协议字段值等进行分块,得到大量的协议基础块。
6.如权利要求1所述的方法,其特征在于:步骤3)所述协议基础块之间的约束关联关系包括长度约束、校验和约束、字段取值约束,所述数据包间的状态转移关联关系包括认证约束、字段取值约束、状态切换约束。
7.如权利要求1所述的方法,其特征在于:步骤3)所述协议状态图中,每个节点为协议的一个状态,节点属性为协议基础块及其约束关联关系,每条边为协议状态间的状态转移关联关系。
8.如权利要求1所述的方法,其特征在于:步骤4)按深度优先方式对协议状态图进行遍历时,设置最大遍历深度,若达到最大遍历深度则向上回溯,继续对协议状态图进行遍历,若整个协议状态图遍历完毕,则停止。
9.如权利要求1所述的方法,其特征在于:步骤5)中探测目标设备是否存活的方法为下列中的一种:发送ICMP探测数据包、发送TCP SYN探测数据包、发送TCP FIN数据包、发送TCP探测数据包、发送UDP探测数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710120947.XA CN106888209B (zh) | 2017-03-02 | 2017-03-02 | 一种基于协议状态图深度遍历的工控漏洞挖掘方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710120947.XA CN106888209B (zh) | 2017-03-02 | 2017-03-02 | 一种基于协议状态图深度遍历的工控漏洞挖掘方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106888209A true CN106888209A (zh) | 2017-06-23 |
| CN106888209B CN106888209B (zh) | 2019-11-29 |
Family
ID=59180471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710120947.XA Active CN106888209B (zh) | 2017-03-02 | 2017-03-02 | 一种基于协议状态图深度遍历的工控漏洞挖掘方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106888209B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241226A (zh) * | 2017-06-29 | 2017-10-10 | 北京工业大学 | 基于工控私有协议的模糊测试方法 |
| CN107404487A (zh) * | 2017-08-07 | 2017-11-28 | 浙江国利信安科技有限公司 | 一种工业控制***安全检测方法及装置 |
| CN109523858A (zh) * | 2018-12-11 | 2019-03-26 | 衡阳师范学院 | 一种基于docker的网络协议仿真教学***实现方法与流程 |
| CN109660558A (zh) * | 2019-01-18 | 2019-04-19 | 中国电力科学研究院有限公司 | 基于协议状态图遍历的iec104协议漏洞挖掘方法 |
| CN110134610A (zh) * | 2019-05-20 | 2019-08-16 | 广东电网有限责任公司 | 一种终端模糊测试方法及*** |
| CN111371651A (zh) * | 2020-03-12 | 2020-07-03 | 杭州木链物联网科技有限公司 | 一种工业通讯协议逆向分析方法 |
| CN111427305A (zh) * | 2020-03-29 | 2020-07-17 | 博智安全科技股份有限公司 | 针对西门子plc漏洞挖掘的方法 |
| CN111654549A (zh) * | 2020-06-11 | 2020-09-11 | 浙江浙大网新国际软件技术服务有限公司 | 一种基于功能测试的自动化安全测试方法 |
| CN112398839A (zh) * | 2020-11-06 | 2021-02-23 | 中国科学院信息工程研究所 | 工控漏洞挖掘方法及装置 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制***保护方法、装置、设备及介质 |
| CN112866229A (zh) * | 2021-01-13 | 2021-05-28 | 中国人民解放军国防科技大学 | 一种基于状态图的高速网络流量识别方法及*** |
| CN115543172A (zh) * | 2022-11-23 | 2022-12-30 | 天津华宁电子有限公司 | 一种刮板运输机集成式矿鸿人机界面显示控制方法及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102087631A (zh) * | 2011-03-09 | 2011-06-08 | 中国人民解放军国发科学技术大学 | 一种面向状态协议实现软件的模糊测试方法 |
| US9282005B1 (en) * | 2007-11-01 | 2016-03-08 | Emc Corporation | IT infrastructure policy breach investigation interface |
-
2017
- 2017-03-02 CN CN201710120947.XA patent/CN106888209B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9282005B1 (en) * | 2007-11-01 | 2016-03-08 | Emc Corporation | IT infrastructure policy breach investigation interface |
| CN102087631A (zh) * | 2011-03-09 | 2011-06-08 | 中国人民解放军国发科学技术大学 | 一种面向状态协议实现软件的模糊测试方法 |
Non-Patent Citations (1)
| Title |
|---|
| 潘道欣等: "基于网络协议逆向分析的远程控制木马漏洞挖掘", 《计算机工程》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241226A (zh) * | 2017-06-29 | 2017-10-10 | 北京工业大学 | 基于工控私有协议的模糊测试方法 |
| CN107241226B (zh) * | 2017-06-29 | 2020-10-16 | 北京工业大学 | 基于工控私有协议的模糊测试方法 |
| CN107404487A (zh) * | 2017-08-07 | 2017-11-28 | 浙江国利信安科技有限公司 | 一种工业控制***安全检测方法及装置 |
| CN107404487B (zh) * | 2017-08-07 | 2020-07-21 | 浙江国利网安科技有限公司 | 一种工业控制***安全检测方法及装置 |
| CN109523858A (zh) * | 2018-12-11 | 2019-03-26 | 衡阳师范学院 | 一种基于docker的网络协议仿真教学***实现方法与流程 |
| CN109660558A (zh) * | 2019-01-18 | 2019-04-19 | 中国电力科学研究院有限公司 | 基于协议状态图遍历的iec104协议漏洞挖掘方法 |
| CN110134610A (zh) * | 2019-05-20 | 2019-08-16 | 广东电网有限责任公司 | 一种终端模糊测试方法及*** |
| CN111371651A (zh) * | 2020-03-12 | 2020-07-03 | 杭州木链物联网科技有限公司 | 一种工业通讯协议逆向分析方法 |
| CN111427305B (zh) * | 2020-03-29 | 2021-09-24 | 博智安全科技股份有限公司 | 针对西门子plc漏洞挖掘的方法 |
| CN111427305A (zh) * | 2020-03-29 | 2020-07-17 | 博智安全科技股份有限公司 | 针对西门子plc漏洞挖掘的方法 |
| CN111654549A (zh) * | 2020-06-11 | 2020-09-11 | 浙江浙大网新国际软件技术服务有限公司 | 一种基于功能测试的自动化安全测试方法 |
| CN112398839A (zh) * | 2020-11-06 | 2021-02-23 | 中国科学院信息工程研究所 | 工控漏洞挖掘方法及装置 |
| CN112398839B (zh) * | 2020-11-06 | 2021-11-30 | 中国科学院信息工程研究所 | 工控漏洞挖掘方法及装置 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制***保护方法、装置、设备及介质 |
| CN112866229A (zh) * | 2021-01-13 | 2021-05-28 | 中国人民解放军国防科技大学 | 一种基于状态图的高速网络流量识别方法及*** |
| CN112866229B (zh) * | 2021-01-13 | 2022-09-06 | 中国人民解放军国防科技大学 | 一种基于状态图的高速网络流量识别方法及*** |
| CN115543172A (zh) * | 2022-11-23 | 2022-12-30 | 天津华宁电子有限公司 | 一种刮板运输机集成式矿鸿人机界面显示控制方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106888209B (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106888209B (zh) | 一种基于协议状态图深度遍历的工控漏洞挖掘方法 | |
| CN102307123B (zh) | 基于传输层流量特征的nat流量识别方法 | |
| CN104506484B (zh) | 一种私有协议分析与识别方法 | |
| CN110401581B (zh) | 基于流量追溯的工控协议模糊测试用例生成方法 | |
| CN105227383B (zh) | 一种网络拓扑排查的装置 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| US7738403B2 (en) | Method for determining the operations performed on packets by a network device | |
| CN102611713B (zh) | 基于熵运算的网络入侵检测方法和装置 | |
| CN101714952A (zh) | 一种接入网的流量识别方法和装置 | |
| CN104283897A (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
| CN107147622A (zh) | Https加密网址的过滤方法、装置及其计算机设备 | |
| CN101883023A (zh) | 防火墙压力测试方法 | |
| Choi et al. | Automated classifier generation for application-level mobile traffic identification | |
| CN109120602A (zh) | 一种IPv6攻击溯源方法 | |
| CN106878339A (zh) | 一种基于物联网终端设备的漏洞扫描***及方法 | |
| CN104219221A (zh) | 一种网络安全流量生成方法和*** | |
| Kotenko | Multi-agent modelling and simulation of cyber-attacks and cyber-defense for homeland security | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| Reddy et al. | Mathematical analysis of Penetration Testing and vulnerability countermeasures | |
| Shi et al. | Protocol-independent identification of encrypted video traffic sources using traffic analysis | |
| KR101073402B1 (ko) | 네트워크의 트래픽 모의 및 유사성 검증방법 및 네트워크 트래픽 분석시스템 | |
| Shen et al. | On detection accuracy of L7-filter and OpenDPI | |
| Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
| Alsmadi et al. | Model-based testing of SDN firewalls: a case study | |
| Satria et al. | The investigation on cowrie honeypot logs in establishing rule signature snort |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |