CN109379341B - 一种基于行为分析的反弹型远控木马网络流量检测方法 - Google Patents

一种基于行为分析的反弹型远控木马网络流量检测方法 Download PDF

Info

Publication number
CN109379341B
CN109379341B CN201811117592.XA CN201811117592A CN109379341B CN 109379341 B CN109379341 B CN 109379341B CN 201811117592 A CN201811117592 A CN 201811117592A CN 109379341 B CN109379341 B CN 109379341B
Authority
CN
China
Prior art keywords
flow
session
trojan
traffic
trojan horse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811117592.XA
Other languages
English (en)
Other versions
CN109379341A (zh
Inventor
朱宏宇
田建伟
田峥
乔宏
黎曦
刘洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hunan Electric Power Co Ltd
State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hunan Electric Power Co Ltd
State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Hunan Electric Power Co Ltd, State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201811117592.XA priority Critical patent/CN109379341B/zh
Publication of CN109379341A publication Critical patent/CN109379341A/zh
Application granted granted Critical
Publication of CN109379341B publication Critical patent/CN109379341B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于行为分析的反弹型远控木马网络流量检测方法,首先对训练样本进行TCP会话重组、会话特征提取及会话标记后,将会话特征及会话标记输入随机森林检测模型。通过对比不同参数下模型的指标性能,调整模型,并最终确定优化后的木马检测模型。然后对于探针上采集的实时原始流量数据进行TCP会话重组及会话特征提取,将会话特征输入第一阶段优化后的木马检测模型中,模型将其分类为木马流量或正常业务流量。本发明的技术效果在于,从木马自身特点所产生的流量特征出发,通过模型直接对流量文件进行检测,故本发明不依赖已有的木马特征库,也能够检测未知的新型远控木马,还能够检测出通信流量进行了加密的木马。

Description

一种基于行为分析的反弹型远控木马网络流量检测方法
技术领域
本发明涉及网络安全领域,特别涉及一种基于行为分析的反弹型远控木马网络流量检测方法。
背景技术
由于黑客可通过远程控制木马盗取企业敏感数据、监控关键用户行为和执行恶意操作,远控木马已成为企业面临的重要信息安全威胁之一。远控木马程序由独立的两部分组成——控制端及被控制端,这两部分通过互联网进行数据交互。被控制端程序通过钓鱼邮件或U盘摆渡等方式秘密安装在受感染的计算机上,并远程接收黑客的命令。控制端程序被黑客掌握,并向受感染的计算机发送命令。根据木马连接的方向可将远控木马分为两类:前向远控木马和反弹远控木马。在前向远控木马连接中,被控制端开启服务接口,控制端主动连接被控制端,但是在反弹远控木马中,是被控端主动连接控制端上的端口。
前向远控木马可以通过防火墙或交换机中的端口过滤策略结合企业开放端口白名单的方式来防范,但这种安全策略对反弹远控木马是无效的,因为仅从端口无法区分反弹木马与正常业务的网络流量。利用深度数据包检测技术开展远控木马检测是业内一种主流技术方向,主要思路是将网络流量包负载与木马特征库进行比对,但此方法无法对加密数据包进行检测,并且计算复杂度高,难以做到企业级的实时木马检测。另一种木马检测技术是基于主机行为检测的,但它需要在每台主机上安装检测程序,较难推广。另外,部分高级木马能够感知到安全检测程序,并隐藏木马进程已逃避检测。
从网络行为分析的角度,反弹远控型木马与正常业务行为之间必定存在差异之处,但目前尚未有公开文献提出一种方法能够智能分析网络行为,高效准确地检测出反弹远控木马的网络流量。
发明内容
本发明提出了基于行为分析的反弹远控木马网络流量检测方法。该方法实时提取网络流量中的行为特征,并利用机器学习的方法训练木马检测模型,从而实现对反弹远控木马的准确检测。
本发明的技术方案是:
一种基于行为分析的反弹型远控木马网络流量检测方法,包括以下步骤:
步骤一,训练木马检测模型:采集木马流量文件和正常网络业务流量文件这两种不同类型的流量文件;然后从流量文件中提取每个TCP会话的完整网络流量;再从TCP会话流量中提取包括上传与下载流量包负载长度之比、标志位PSH Flag值等于1的流量包比例、会话初始阶段的数据包数量和心跳行为标识的会话行为特征;最后将会话行为特征与流量文件类型输入到基于随机森林算法的木马检测模型中进行训练,在训练过程中调整模型中决策树的数量,直到得到识别木马流量文件和正常网络业务流量文件最为准确的木马检测模型。这样就完成了对于模型的训练,即可通过该模型来自动识别木马流量和正常网络业务流量。
步骤二,根据步骤一中得到的木马检测模型进行检测:首先监测实时网络流量,然后从流量中提取每个TCP会话的完整网络流量,再从TCP会话流量中提取会话行为特征,最后将提取到的会话行为特征输入至木马检测模型中,模型根据输入将每个TCP会话分类为木马流量或正常网络业务流量。
所述的方法,所述的步骤一中,从流量文件中提取每个TCP会话的完整网络流量包括以下步骤:
将流量文件以TCP会话为单位重新组织,基于流量包中的Flag值包含 SYN来判断会话开始,包含RST或FIN来判断会话结束,并从所有TCP会话中筛选出从内部网络向外部网络发起的会话,丢弃从外部网络连入的TCP 会话。
所述的方法,所述的步骤一中,提取会话行为特征,是通过提取源IP、源端口、目的IP、目的端口、时间戳、FLAG值、净负载字节数这7项基本属性并进行处理后得到的。
所述的方法,所述的步骤一中,会话行为特征中,上传与下载流量包负载长度之比是指一个TCP会话的上传字节总数与下载字节总数之比;标志位 PSH Flag值等于1的流量包比例是指标志位PSH Flag的值为1的流量包占整个会话中流量包的比例;会话初始阶段的数据包数量是指从TCP会话建立开始的预设时间内数据包的数量;心跳行为标识是指会话中是否存在心跳行为的标识。
所述的方法,所述的步骤一中,训练木马检测模型的步骤包括:
采用10折交叉验证的方法,将训练样本区分为训练集与验证集,在训练集上进行算法训练,用训练后的算法对验证集中的样本进行分类,并计算正确率和AUC指标,其中正确率是指被分类正确的样本数与样本总数的比值, AUC指标是指用于描绘分类器在真阳性率与假阳性率之间关系的ROC曲线下的面积;在得到正确率和AUC指标后,调整随机森林算法中决策树的个数,并取正确率和AUC指标两项指标的综合值最佳的决策树个数来作为木马检测模型的决策树个数。
本发明的技术效果在于,从木马自身特点所产生的流量特征出发,通过模型直接对流量文件进行检测,故本发明不依赖已有的木马特征库,也能够检测未知的新型远控木马,还能够检测出通信流量进行了加密的木马。
附图说明
图1为是本发明实施的基于行为分析的反弹型远控木马网络流量检测方法框架示意图;
图2是图1中流量数据采集探针结构图;
图3是网络行为日志数据单元格式。
具体实施方式
本实施例包括以下两个阶段:
第一阶段模型训练阶段
第一步,收集训练样本。从公开网站收集了370个真实的反弹型远控木马流量文件,其中约30%为加密后的流量。从企业交换机上收集了2190个正常网络业务流量文件,正常业务流量包括电子邮件、QQ等即时通讯、浏览网页、P2P及其他云服务的流量。将所有收集到的网络流量标记为恶意木马流量或正常网络业务流量。
第二步,从网络流量中提取每个TCP会话的完整网络流量。第一步收集的流量文件中的数据包是按到达时间排序的、局域网内所有流量的集合,首先需要将流量以网络会话为单位重新组织。一个TCP会话是指位于同一对源 IP、源端口、目的IP、目的端口之间的一次完整TCP会话。在给定IP端口的前提下,一个TCP会话开始于TCP三次握手、结束于TCP四次挥手,可以通过流量包中的Flag值是否包含SYN来判断会话是否开始、是否包含RST 或FIN来判断会话是否结束。另外,由于关注的是反弹型木马,所以还需从所有TCP会话中筛选出从内部网络向外部网络发起的会话,丢弃从外部网络连入的TCP会话。
第三步,从TCP会话流量中提取会话行为特征。从组成TCP会话的每个流量包中提取源IP、源端口、目的IP、目的端口、时间戳、FLAG值、净负载字节数这7项基本属性,再从一个会话的上述属性中统计得到以下4项行为特征:
1、上传与下载流量包负载长度之比:上传流量是指从内部网络向外部网络发送的流量,下载流量则是指由外到内的流量。此项特征是指一个TCP会话的上传字节总数与下载字节总数之比。
2、标志位PSH Flag值等于1的流量包的比例:此项特征是指流量包中的标志位PSHFlag的值为1的流量包占整个会话中流量包的比例。
3、会话初始阶段的数据包数量:会话初始阶段是指从TCP会话建立开始的一系列连续的包,这些包之间相邻时间间隔均小于t,这里取t的值为1秒。此项特征是位于会话初始阶段的包的数量。
4、心跳行为标识:心跳行为是指TCP连接的两端在不发送业务数据的空闲时间里,发送固定长度的小数据包以确认对方是否还在线的机制。这里心跳行为被指定为一方发送一个长度为A的数据包,另一方返回一个长度为B 的数据包,并且重复长度为A和B的数据包发送行为3次。此项特征是一个布尔值,若会话中存在心跳行为,则此值为真,否则此值为假。
第四步,训练基于随机森林的木马流量检测模型。随机森林算法是一种被广泛使用的机器学习分类器,适用于木马流量识别这种二分类问题。训练过程中综合以下两个指标来进行模型关键参数的调整:
1、正确率:即被分类正确的样本数与样本总数的比值。
2、AUC:训练样本集是不平衡的,即木马流量的样本数远小于正常网络业务样本数。仅根据正确率无法全面衡量非平衡数据集上的算法性能,而AUC 这一指标能够解决这一问题。ROC曲线中每个点的横坐标是假阳性率、纵坐标是真阳性率,它是描绘分类器在真阳性率与假阳性率之间关系的曲线。AUC 值是ROC曲线下的面积。
模型训练中采用10折交叉验证的方法,将训练样本区分为训练集与验证集,在训练集上进行算法训练,用训练后的算法对验证集中的样本进行分类,并计算正确率和AUC指标。手动调整随机森林算法中决策树的个数,并根据算法指标选择最佳的决策树个数。经过模型训练,本实施例将决策树个数设置为10,此时随机森林算法的正确率为95.7%,AUC值为97.9%。
第二阶段:模型检测阶段
第一步,部署网络流量采集探针,实时采集通过网络边界交换机或路由器的全部流量。
第二步,从网络流量中实时提取每个TCP会话的完整网络流量。方法同第一阶段第二步。
第三步,从TCP会话流量中提取会话行为特征。方法同第一阶段第三步。
第四步,将提取的会话行为特征输入第一阶段第四步中训练好的随机森林模型,模型将会话分类为反弹型远控木马或正常网络业务流量。
图1是本发明实施的基于行为分析的反弹型远控木马网络流量检测方法框架示意图,方法由两个阶段构成。第一阶段为有监督的模型训练阶段,对训练样本进行TCP会话重组、会话特征提取及会话标记后,将会话特征及会话标记输入随机森林检测模型。通过对比不同参数下模型的指标性能,调整模型,并最终确定优化后的木马检测模型。第二阶段为反弹型木马的实时检测阶段,对于探针上采集的实时原始流量数据进行TCP会话重组及会话特征提取,将会话特征输入第一阶段优化后的木马检测模型中,模型将其分类为木马流量或正常业务流量。
图2是图1中TCP会话重组及会话特征提取模块的流程图。首先从网络流量中过滤出一个反向TCP会话的所有流量包,获取每个流量包的7项基本属性组成流量包属性列表。通过遍历流量包属性列,统计会话中PSH Flag值为真的包占比、上传与下载流量包负载长度之比、会话初始阶段的数据包数量、是否存在心跳行为的标识。
图3是图2中的心跳行为检测模块,模块输入是一个会话的流量属性列表。对于流量属性列表中的每连续6个流量包,首先判断它们的数据传输方向是否符合上传-下载-上传-下载-上传-下载,若符合,则进一步判断其中3个上传包的长度是否相等、3个下载包的长度是否相等,若相等则表明此会话存在心跳行为,终止心跳行为检测流程。若遍历整个流量属性列表都未找到符合上述条件的连续6个包,则说明此会话不存在心跳行为,终止心跳行为检测流程。
选取上述4个行为特征作为木马检测模型输入特征的原因说明:
1、上传与下载流量包负载长度之比:
正常反向连接的网络业务流量通常上传数据量比下载数据量小,例如浏览网页、下载文件等,而反向远控木马刚好相反。
2、标志位PSH Flag值等于1的流量包的比例:
标志位PSH值等于1表明数据发送方在提醒应用层以较高的优先级处理流量包中的内容,远控木马的通常希望能尽快完成数据传输,因此木马流量比正常流量更倾向于设置这此标志位为1。
3、会话初始阶段的数据包数量:
正常网络连接建立后通常马上开始自动传输数据,但远控型木马连接建立后需要等待黑客操作,因此木马连接的会话初始阶段数据包数量相对较少。
4、心跳行为标识:
木马连接建立后,即使没有黑客操作木马也倾向于保持连接,而心跳机制是保持连接的一种常见方法。因此,恶意木马连接中存在心跳行为的可能性大于正常业务连接。

Claims (4)

1.一种基于行为分析的反弹型远控木马网络流量检测方法,其特征在于,包括以下步骤:
步骤一,训练木马检测模型:采集木马流量文件和正常网络业务流量文件这两种不同类型的流量文件;然后从流量文件中提取每个TCP会话的完整网络流量;再从TCP会话流量中提取包括上传与下载流量包负载长度之比、标志位PSH Flag值等于1的流量包比例、会话初始阶段的数据包数量和心跳行为标识的会话行为特征;最后将会话行为特征与流量文件类型输入到基于随机森林算法的木马检测模型中进行训练,在训练过程中调整模型中决策树的数量,直到得到识别木马流量文件和正常网络业务流量文件最为准确的木马检测模型;
步骤二,根据步骤一中得到的木马检测模型进行检测:首先监测实时网络流量,然后从流量中提取每个TCP会话的完整网络流量,再从TCP会话流量中提取会话行为特征,最后将提取到的会话行为特征输入至木马检测模型中,模型根据输入将每个TCP会话分类为木马流量或正常网络业务流量;
所述的步骤一中,会话行为特征中,上传与下载流量包负载长度之比是指一个TCP会话的上传字节总数与下载字节总数之比;标志位PSH Flag值等于1的流量包比例是指标志位PSH Flag的值为1的流量包占整个会话中流量包的比例;会话初始阶段的数据包数量是指从TCP会话建立开始的预设时间内数据包的数量;心跳行为标识是指会话中是否存在心跳行为的标识。
2.根据权利要求1所述的方法,其特征在于,所述的步骤一中,从流量文件中提取每个TCP会话的完整网络流量包括以下步骤:
将流量文件以TCP会话为单位重新组织,基于流量包中的Flag值包含SYN来判断会话开始,包含RST或FIN来判断会话结束,并从所有TCP会话中筛选出从内部网络向外部网络发起的会话,丢弃从外部网络连入的TCP会话。
3.根据权利要求1所述的方法,其特征在于,所述的步骤一中,提取会话行为特征,是通过提取源IP、源端口、目的IP、目的端口、时间戳、FLAG值、净负载字节数这7项基本属性并进行处理后得到的。
4.根据权利要求1所述的方法,其特征在于,所述的步骤一中,训练木马检测模型的步骤包括:
采用10折交叉验证的方法,将训练样本区分为训练集与验证集,在训练集上进行算法训练,用训练后的算法对验证集中的样本进行分类,并计算正确率和AUC指标,其中正确率是指被分类正确的样本数与样本总数的比值,AUC指标是指用于描绘分类器在真阳性率与假阳性率之间关系的ROC曲线下的面积;在得到正确率和AUC指标后,调整随机森林算法中决策树的个数,并取正确率和AUC指标两项指标的综合值最佳的决策树个数来作为木马检测模型的决策树个数。
CN201811117592.XA 2018-09-21 2018-09-21 一种基于行为分析的反弹型远控木马网络流量检测方法 Active CN109379341B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811117592.XA CN109379341B (zh) 2018-09-21 2018-09-21 一种基于行为分析的反弹型远控木马网络流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811117592.XA CN109379341B (zh) 2018-09-21 2018-09-21 一种基于行为分析的反弹型远控木马网络流量检测方法

Publications (2)

Publication Number Publication Date
CN109379341A CN109379341A (zh) 2019-02-22
CN109379341B true CN109379341B (zh) 2022-02-01

Family

ID=65402457

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811117592.XA Active CN109379341B (zh) 2018-09-21 2018-09-21 一种基于行为分析的反弹型远控木马网络流量检测方法

Country Status (1)

Country Link
CN (1) CN109379341B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110266678B (zh) * 2019-06-13 2022-03-25 深圳市腾讯计算机***有限公司 安全攻击检测方法、装置、计算机设备及存储介质
CN110674010B (zh) * 2019-09-10 2021-04-06 西安电子科技大学 基于会话长度概率分布的智能设备应用程序识别方法
CN111859386A (zh) * 2020-08-03 2020-10-30 深圳市联软科技股份有限公司 基于行为分析的木马检测方法及***
CN113037646A (zh) * 2021-03-04 2021-06-25 西南交通大学 一种基于深度学习的列车通信网络流量识别方法
CN115134096A (zh) * 2021-03-11 2022-09-30 深信服科技股份有限公司 一种rat连接检测方法、流量审计设备及介质
CN113591085B (zh) * 2021-07-27 2024-05-14 深圳市纽创信安科技开发有限公司 安卓恶意应用检测方法、装置及设备
CN113949531B (zh) * 2021-09-14 2022-06-17 北京邮电大学 一种恶意加密流量检测方法及装置
CN114124463B (zh) * 2021-10-27 2023-05-16 中国电子科技集团公司第三十研究所 基于网络行为特征的暗网加密应用服务识别方法及***
CN115002760A (zh) * 2022-07-20 2022-09-02 广东南方电信规划咨询设计院有限公司 一种5g终端加密流量数据安全检测方法和***
CN115277152B (zh) * 2022-07-22 2023-09-05 长扬科技(北京)股份有限公司 网络流量安全检测方法及装置
CN116260660B (zh) * 2023-05-15 2023-07-25 杭州美创科技股份有限公司 网页木马后门识别方法及***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572711A (zh) * 2009-06-08 2009-11-04 北京理工大学 一种基于网络的反弹端口型木马的检测方法
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和***
CN103491077A (zh) * 2013-09-09 2014-01-01 无锡华御信息技术有限公司 反弹木马控制端网络行为功能重建的方法及***
CN107423622A (zh) * 2017-07-04 2017-12-01 上海高重信息科技有限公司 一种检测和防范反弹shell的方法和***
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
KR20180055957A (ko) * 2016-11-16 2018-05-28 순천향대학교 산학협력단 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572711A (zh) * 2009-06-08 2009-11-04 北京理工大学 一种基于网络的反弹端口型木马的检测方法
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和***
CN103491077A (zh) * 2013-09-09 2014-01-01 无锡华御信息技术有限公司 反弹木马控制端网络行为功能重建的方法及***
KR20180055957A (ko) * 2016-11-16 2018-05-28 순천향대학교 산학협력단 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법
CN107423622A (zh) * 2017-07-04 2017-12-01 上海高重信息科技有限公司 一种检测和防范反弹shell的方法和***
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法

Also Published As

Publication number Publication date
CN109379341A (zh) 2019-02-22

Similar Documents

Publication Publication Date Title
CN109379341B (zh) 一种基于行为分析的反弹型远控木马网络流量检测方法
CN111277578B (zh) 加密流量分析特征提取方法、***、存储介质、安全设备
US10218740B1 (en) Fuzzy hash of behavioral results
Park et al. Towards automated application signature generation for traffic identification
US10277614B2 (en) Information processing apparatus, method for determining activity and computer-readable medium
Alshammari et al. Machine learning based encrypted traffic classification: Identifying ssh and skype
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN107968791B (zh) 一种攻击报文的检测方法及装置
JP6142702B2 (ja) 監視装置、監視方法及びプログラム
CN107370752B (zh) 一种高效的远控木马检测方法
CN110166480B (zh) 一种数据包的分析方法及装置
US10749895B2 (en) Handling network threats
CN110224970B (zh) 一种工业控制***的安全监视方法和装置
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
CN105207997B (zh) 一种防攻击的报文转发方法和***
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN101030835B (zh) 检测特征获取装置和方法
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及***
KR102174462B1 (ko) 네트워크 보안 방법 및 이를 수행하는 시스템
CN112235242A (zh) 一种c&c信道检测方法及***
KR20130126830A (ko) 실시간 응용 시그니쳐 생성 장치 및 방법
Nakahara et al. Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest.
CN112565259B (zh) 过滤dns隧道木马通信数据的方法及装置
KR101048159B1 (ko) 봇넷 탐지 및 차단 시스템 및 방법
KR20220094093A (ko) 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant