CN1330131C - 一种交互式的网络蠕虫检测***和方法 - Google Patents
一种交互式的网络蠕虫检测***和方法 Download PDFInfo
- Publication number
- CN1330131C CN1330131C CNB2005100753416A CN200510075341A CN1330131C CN 1330131 C CN1330131 C CN 1330131C CN B2005100753416 A CNB2005100753416 A CN B2005100753416A CN 200510075341 A CN200510075341 A CN 200510075341A CN 1330131 C CN1330131 C CN 1330131C
- Authority
- CN
- China
- Prior art keywords
- network
- worm
- terminal
- network worm
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种分布式的网络蠕虫检测***,由分布式设置在网络***中各个终端的网络流量采集单元和设置在服务器中的网络蠕虫分析单元组成;其中前者实时采集该终端的进出数据流量信息,并对这些数据进行快照和标准化处理后,传递给网络蠕虫分析单元,以及在其请求下,提交可疑网络蠕虫的攻击样本和终端基本状态信息;后者对网络流量采集单元所提供的流量数据进行统计和分析,根据流量阈值判断该终端是否可能遭到蠕虫攻击或者成为攻击源;再根据判断结果,与流量采集单元进行交互,请求提交攻击样本数据和终端基本状态信息,以便进行查询匹配,发现网络蠕虫和判断该终端是否成为攻击源,同时告警。该方法及时发现和识别网络蠕虫的攻击并告警,保证网络安全。
Description
技术领域
本发明涉及一种用于计算机网络的安全检测***和方法。确切地说,涉及一种交互式的网络蠕虫检测***和方法,属于数据通信中的网络设备安全技术领域。
背景技术
随着计算机网络的迅速普及和各种网络新业务的不断兴起,网络安全问题已经逐渐渗透到社会生活的各个领域,并且变得越来越严峻。网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫与病毒的最大不同是它不需要人为干预,且能够自主不断地复制和传播。每一次网络蠕虫的爆发都会给社会带来巨大的损失。例如1988年11月2日,Morris蠕虫发作,几天之内6000台以上的互联网服务器被感染而瘫痪,损失超过一千万美元。2001年7月19日,CodeRed网络蠕虫爆发,在爆发后的9小时内就攻击了25万台计算机,造成的损失估计超过20亿美元。随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12亿美元。2001年9月18日被发现的Nimda网络蠕虫,其所造成的损失评估数据已经从5亿美元攀升到26亿美元,而且后来继续攀升,至今已经无法估计。目前蠕虫爆发的频率越来越快,尤其近两年来,出现了越来越多的网络蠕虫(如冲击波、振荡波等网络蠕虫),因此,迫切需要一种有效的检测手段及时发现网络蠕虫的攻击行为,并采取相应措施遏制蠕虫攻击的蔓延。综上所述,网络蠕虫检测成为网络蠕虫防治的重要环节之一。
目前,网络蠕虫的检测***主要有两种类型:
(1)由入侵检测***(IDS,Intrusion Detection System)承担。这类检测***的工作方式有二种:
基于网络的IDS,它需要将所有的流量镜像到IDS***中,然后对IP数据包进行分析和特征匹配,以发现包括网络蠕虫的各种网络攻击。由于这种***需要在网络设备上做流量镜像处理,增加了网络设备的负担,同时目前网络型的IDS还没有建立与受攻击主机的交互机制,存在一定的误报;
基于主机的IDS,它需要捕捉主机***网卡的所有IP数据包,并在本机上根据网络攻击特征数据库对攻击进行匹配分析,由于这种***需要对所有进出主机的数据包进行处理和分析,大大增加了主机***的负担,造成主机***运行效率降低。
(2)由异常流量检测***承担。目前这类***主要依赖网络设备提供IP数据包的快照(Snapshot)来实现(例如Cisco的网络流技术Netflow),这类***先收集网络设备的数据进行统计和分析,再根据一定阈值来判断是否存在有网络蠕虫攻击。这类***一方面打开网络设备的数据包快照功能会对网络设备造成一定的负担,同时也不是所有的网络设备都能够提供IP数据包的快照功能,使得该类***的应用有一定局限性;另一方面由于该类***缺乏与受攻击主机***的交互,仅仅只能从流量大小的变化来判断网络蠕虫的攻击,不能根据受攻击主机***的状态以及对攻击数据包进行特征匹配来确认攻击的存在,所以,这类***也存在一定的误报问题。
综上所述,现有的网络蠕虫检测方法,或者对网络设备、主机***造成了一定的负担,影响设备运行的效率,或者由于与受攻击主机缺乏必要的信息交互而存在一定的误报问题,因此如何对网络蠕虫检测***和方法进行必要的改进,就成为业内人士研究、开发的新课题。
发明内容
本发明的目的是提供一种交互式的网络蠕虫检测***和方法,以便解决现有的网络蠕虫检测所存在的技术问题,及时发现和识别网络蠕虫的攻击行为,并发布告警,引起安全管理员的密切注意和采取相应处理措施,保证网络安全。
为了达到上述目的,本发明提供了一种分布式的网络蠕虫检测***,其特征在于:该***包括下列组件:
网络流量采集单元,分布式地设置在网络***中需要保护的各个终端设备中,负责实时采集流入和流出所述安装有网络流量采集单元的终端设备的数据流量信息,并对这些数据包报头进行快照处理,提取报头中的相关信息和进行标准化处理,再通过传输控制协议TCP/互联网协议IP中的TCP协议将该终端设备网络流量的快照信息传递给网络蠕虫分析单元进行统计和分析;并在网络蠕虫分析单元的请求下,通过TCP/IP的TCP协议向其提交可疑网络蠕虫的攻击样本和该终端的基本状态信息;
网络蠕虫分析单元,设置在高性能的服务器中,负责对网络流量采集单元所提供的流量数据进行基于统计的分析和基于特征匹配的分析,并根据设定的网络流量阈值,判断该终端设备是否有可能遭到网络蠕虫攻击,或者成为网络蠕虫的攻击源;再根据判断的结果,与网络流量采集单元进行交互,请求该单元在链式用户扩展数据中向其提交网络蠕虫攻击样本数据和该终端的基本状态信息,以便与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
所述网络***中需要保护的终端设备包括但不限于PC主机、服务器、手机、或IP网络的其它终端设备。
所述网络流量采集单元是利用数据包捕捉程序实时采集流入和流出所述安装有网络流量采集单元的终端设备的流量信息。
所述网络流量采集单元提取的流量信息和进行标准化的信息内容至少包括:源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向、数据流个数、链式用户扩展数据。
所述终端的基本状态信息包括但不限于操作***类型、操作***的版本信息、操作信息补丁信息、操作***开放的网络服务端口信息;所述终端的基本状态信息是通过读取终端操作***的配置文件和状态文件获得的,以供网络蠕虫分析单元藉此分析该终端的操作***是否与网络蠕虫攻击对象的特征参数吻合,是否可能成为网络蠕虫的攻击源头。
为了达到上述目的,本发明还提供了一种分布式的网络蠕虫检测***的检测方法,其特征在于:包含步骤如下:
(1)网络流量采集单元采集需要保护的终端设备的进出数据流量信息,并将该流量信息标准化处理后,传送给网络蠕虫分析单元进行统计和分析;还在网络蠕虫分析单元的请求下,向其提交可疑的网络蠕虫攻击样本和该终端的基本状态信息;
(2)网络蠕虫分析单元根据网络流量采集单元所提供的流量数据对其所在的终端设备的流量进行基于统计的分析和基于特征匹配的分析,根据设定的阈值,判断该终端是否有可能遭到网络蠕虫攻击或者已经成为网络蠕虫的攻击源;再在网络蠕虫分析算法的要求下,与网络流量采集单元进行交互,请求该单元向其提交网络蠕虫攻击样本数据和该终端的基本状态信息后,与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否成为网络蠕虫的攻击源,同时发出告警。
所述步骤(1)进一步包括下列操作:
(11)启动数据包捕捉程序;
(12)当捕捉到数据包后,在缓冲区内搜索源IP地址、目的IP地址、源端口、目的端口、协议类型和流量流向都相同的数据包,对这些特征相同的数据包进行合并,将其作为一个数据流来处理;
(13)将数据包报头按照流量信息标准格式写入数据包缓冲区中;
(14)定时向网络蠕虫分析单元提交缓冲区数据;
(15)根据网络蠕虫分析单元的请求提交攻击样本和该终端的基本状态信息。
所述步骤(1)进一步包括下列初始化操作:
(10)在每次采集数据之前,要对数据包捕捉程序进行初始化、清空数据包缓存区和开启定时器。
所述步骤(2)进一步包括下列操作:
(21)接收到网络流量采集单元的数据时,对单位时间内进出该终端设备的数据流进行统计;
(22)根据各个数据流的统计参数所设置的阈值,判断该终端设备是否有流量信息超过了阈值,以决定是否请求该终端设备提交攻击样本和该终端的基本状态信息;
(23)在接收到终端设备提交的攻击样本和该终端的基本状态信息后,根据数据库内存储的已知网络蠕虫特征信息,对样本进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
所述步骤(2)进一步包括下列初始化操作:
(20)设置数据流的流量阈值。
本发明是一种交互式的网络蠕虫检测***,该***由分布式安装在受保护的各个网络终端设备中的网络流量采集单元和安装在高性能服务器中的交互式网络蠕虫分析单元组成。网络流量采集单元进行分布式的多点检测,利用数据包捕捉程序实时采集流入和流出该终端设备的流量信息,并对数据报头进行快照处理。与在终端中安装IDS***相比较,该***对终端的性能影响较小;与基于网络设备流量监控的方式(例如基于Netflow监控技术)相比较,具有良好的通用性和适用性,并将监控的范围由网络设备延伸到了各个终端上,拓宽了***检测和应用的领域。此外,网络蠕虫分析单元与网络流量采集单元之间采用交互方式通过TCP/IP的TCP协议进行通信:网络蠕虫分析单元对接收的网络流量快照信息进行统计和分析,并在必要时对网络流量采集单元发出提交可疑网络蠕虫攻击样本和该终端的基本状态信息的请求。这种由终端设备直接提交攻击样本和该终端的基本状态信息,以便进行特征匹配来确认攻击的方式,不仅提高了对网络蠕虫攻击分析和判断的效率,而且也提高了准确性,较好地避免了现有技术中存在的误报问题。
附图说明
图1是本发明交互式的网络蠕虫检测***的检测方法流程图。
图2是网络流量采集单元对数据包报头进行标准化处理的格式示意图。
图3是本发明***中的网络流量采集单元实施例的操作流程图。
图4是本发明***中的网络蠕虫分析单元实施例的操作流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
网络蠕虫进行攻击时,具备一定的行为特征,通常会先对本网络段的计算机***进行扫描,探测与蠕虫攻击相关的***漏洞是否存在。网络蠕虫攻击的对象多为终端设备,包括PC主机和服务器主机。基于网络蠕虫的这个行为特征,本发明***采用在各个终端设备上分布式安装网络流量采集单元,进行多点检测,并将流量信息集中送到位于高性能服务器中的网络蠕虫分析单元进行基于统计的分析和基于特征匹配的分析,在发现某些计算机或服务器在一段时间内收到或者发送特定的数据包超过一定阈值时,可判断该计算机或服务器可能已经受到网络蠕虫的攻击或者已经成为蠕虫攻击的源头。此时,为了进一步确认,本发明的网络蠕虫分析单元与网络流量采集单元进行交互,请求该计算机或服务器作为终端设备提交攻击样本以及该终端的基本状态信息,以确认网络蠕虫的具体类型和发出告警。这里的基本状态信息包括但不限于操作***类型、操作***的版本信息、操作信息补丁信息、操作***开放的网络服务端口信息等。因为网络蠕虫的攻击对象一般是针对特定的某些操作***(网络蠕虫特征数据库中有其攻击对象的特征数据),在判断该终端是否成为网络蠕虫的攻击源头时,应该先查看该终端的基本状态信息,看看是否与网络蠕虫攻击对象的特征参数吻合,这样判断才能比较准确。另外,通过读取该终端操作***的配置文件及状态文件可以很容易地获得这些基本状态信息。
参见图1,介绍本发明分布式的网络蠕虫检测***的检测方法,它是由网络流量采集单元和网络蠕虫分析单元进行交互、配合共同完成的,具体步骤是:
(1)网络流量采集单元启动数据捕捉程序,采集需要保护的终端设备的进出数据流量信息;
(2)当捕捉到数据包后,在缓冲区内搜索源IP地址、目的IP地址、源端口、目的端口、协议类型和流量流向都相同的数据流,合并这些特征相同的数据流,作为一个数据流进行标准化处理,并将其按照流量信息标准格式(参见图2)写入数据包缓冲区中;
(3)网络流量采集单元定时向网络蠕虫分析单元提交标准化的流量数据;
(4)网络流量采集单元根据网络蠕虫分析单元的请求,向其提交网络蠕虫攻击样本和该终端的基本状态信息;
(5)交互式的网络蠕虫分析单元接收到网络流量采集单元的数据后,对在单位时间内进出该终端的数据流情况进行统计和分析;
(6)根据各个数据流统计参数所设置的阈值,判断该终端是否有流量信息超过了阈值,决定是否请求该终端提交攻击样本和该终端的基本状态信息;
(7)在接收到终端设备提交的攻击样本和该终端的基本状态信息后,根据数据库内存储的已知网络蠕虫特征信息,对样本进行查询匹配,决定是否发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发布告警。
下面结合两个实施例,分别说明本发明***两个组件的具体操作的流程:
参见图3,先介绍其中网络流量采集单元的操作流程,其实现步骤如下:
(301)初始化数据包捕捉程序,数据包缓冲区清空,开启定时器;
(302)当捕捉到第一个数据包后,将数据报头按照流量信息标准格式写入数据包缓冲区中;
(303)当捕捉到下一数据时,先扫描数据包缓冲区,查找是否有相同数据包信息,如果有,则进行合并处理,将数据流个数加1;如果没有,则在缓冲区中增加该数据流信息,并按照流量信息标准格式写入数据包缓冲区中;其中所谓流量相同的数据包的判断依据是源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向是否完全一致;
(304)判断定时器是否到达设定时间,当定时器到达设定时间时,则向交互式网络蠕虫分析单元提交该设定时间内所采集的数据;然后将数据包缓冲区重新清空,重新开启定时器;返回步骤(302),继续进行新一轮的数据采集;
(305)当接收到交互式的网络蠕虫分析单元请求提交攻击样本和该终端的基本状态信息时,根据其申请的要求,捕捉该类数据包,并添加到流量信息标准化格式数据包中,通过TCP/IP的TCP协议发送给交互式的网络蠕虫分析单元。
参见图4,再介绍其中网络蠕虫分析单元的操作流程,其实现步骤如下:
(401)定义数据流量阈值,该流量阈值为经验性数据,需要根据实际网络的环境进行调整;通常定义如下条件:5分钟内,进出主机***的TCP数据流的个数不超过200个、UDP数据流个数不超过80个、ICMP数据流个数不超过50个;
(402)接收网络流量采集单元的数据,并写入数据库,数据库表格式为序号、时间戳、源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向、数据流个数;
(403)调用数据库查询和统计功能,统计在设定时间内,进出该主机的TCP数据流个数、UDP数据流个数、ICMP数据流个数;
(404)根据数据库查询统计的结果,与事先定义的流量阈值进行比较,判断该主机有哪些参数超过了阈值,如果超过了阈值,则通过TCP/IP的TCP协议向该主机提出样本申请,将超过阈值流量的数据流特征,包括源IP地址、目的IP地址、协议类型、源端口、目的端口、流量流向等信息作为流量样本的申请条件,同时要求提供该终端的基本状态信息;
(405)在接收到主机提交的攻击样本和该主机的基本状态信息时,查询已知网络蠕虫的特征数据库,对样本进行匹配,判断是否存在网络蠕虫攻击,再根据该主机的基本状态信息判断其是否已经成为网络蠕虫的攻击源,同时根据判断结果,决定是否发布告警。
Claims (10)
1、一种分布式的网络蠕虫检测***,其特征在于:该***包括下列组件:
网络流量采集单元,分布式地设置在网络***中需要保护的各个终端设备中,负责实时采集流入和流出所述安装有网络流量采集单元的终端设备的数据流量信息,并对这些数据包报头进行快照处理,提取报头中的相关信息和进行标准化处理,再通过传输控制协议TCP/互联网协议IP中的TCP协议将该终端设备网络流量的快照信息传递给网络蠕虫分析单元进行统计和分析;并在网络蠕虫分析单元的请求下,通过TCP/IP的TCP协议向其提交可疑网络蠕虫的攻击样本和该终端的基本状态信息;
网络蠕虫分析单元,设置在高性能的服务器中,负责对网络流量采集单元所提供的流量数据进行基于统计的分析和基于特征匹配的分析,并根据设定的网络流量阈值,判断该终端设备是否有可能遭到网络蠕虫攻击,或者成为网络蠕虫的攻击源;再根据判断的结果,与网络流量采集单元进行交互,请求该单元在链式用户扩展数据中向其提交网络蠕虫攻击样本数据和该终端的基本状态信息,以便与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
2、根据权利要求1所述的分布式的网络蠕虫检测***,其特征在于:所述网络***中需要保护的终端设备包括但不限于PC主机、服务器、手机、或IP网络的其它终端设备。
3、根据权利要求1所述的分布式的网络蠕虫检测***,其特征在于:所述网络流量采集单元是利用数据包捕捉程序实时采集流入和流出所述安装有网络流量采集单元的终端设备的流量信息。
4、根据权利要求1所述的分布式的网络蠕虫检测***,其特征在于:所述网络流量采集单元提取的流量信息和进行标准化的信息内容至少包括:源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向、数据流个数、链式用户扩展数据。
5、根据权利要求1所述的分布式的网络蠕虫检测***,其特征在于:所述终端的基本状态信息包括但不限于操作***类型、操作***的版本信息、操作信息补丁信息、操作***开放的网络服务端口信息;所述终端的基本状态信息是通过读取终端操作***的配置文件和状态文件获得的,以供网络蠕虫分析单元藉此分析该终端的操作***是否与网络蠕虫攻击对象的特征参数吻合,是否可能成为网络蠕虫的攻击源头。
6、一种使用权利要求1所述的分布式的网络蠕虫检测***的检测方法,其特征在于:包含步骤如下:
(1)网络流量采集单元采集需要保护的终端设备的进出数据流量信息,并将该流量信息标准化处理后,传送给网络蠕虫分析单元进行统计和分析;还在网络蠕虫分析单元的请求下,向其提交可疑的网络蠕虫攻击样本和该终端的基本状态信息;
(2)网络蠕虫分析单元根据网络流量采集单元所提供的流量数据对其所在的终端设备的流量进行基于统计的分析和基于特征匹配的分析,根据设定的阈值,判断该终端是否有可能遭到网络蠕虫攻击或者已经成为网络蠕虫的攻击源;再在网络蠕虫分析算法的要求下,与网络流量采集单元进行交互,请求该单元向其提交网络蠕虫攻击样本数据和该终端的基本状态信息后,与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否成为网络蠕虫的攻击源,同时发出告警。
7、根据权利要求6所述的检测方法,其特征在于:所述步骤(1)进一步包括下列操作:
(11)启动数据包捕捉程序;
(12)当捕捉到数据包后,在缓冲区内搜索源IP地址、目的IP地址、源端口、目的端口、协议类型和流量流向都相同的数据包,对这些特征相同的数据包进行合并,将其作为一个数据流来处理;
(13)将数据包报头按照流量信息标准格式写入数据包缓冲区中;
(14)定时向网络蠕虫分析单元提交缓冲区数据;
(15)根据网络蠕虫分析单元的请求提交攻击样本和该终端的基本状态信息。
8、根据权利要求6或7所述的方法,其特征在于:所述步骤(1)进一步包括下列初始化操作:
(10)在每次采集数据之前,要对数据包捕捉程序进行初始化、清空数据包缓存区和开启定时器。
9、根据权利要求6所述的方法,其特征在于:所述步骤(2)进一步包括下列操作:
(21)接收到网络流量采集单元的数据时,对单位时间内进出该终端设备的数据流进行统计;
(22)根据各个数据流的统计参数所设置的阈值,判断该终端设备是否有流量信息超过了阈值,以决定是否请求该终端设备提交攻击样本和该终端基本状态信息;
(23)在接收到终端设备提交的攻击样本和该终端基本状态信息后,根据数据库内存储的已知网络蠕虫特征信息,对样本进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
10、根据权利要求6或9所述的方法,其特征在于:所述步骤(2)进一步包括下列初始化操作:
(20)设置数据流的流量阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100753416A CN1330131C (zh) | 2005-06-10 | 2005-06-10 | 一种交互式的网络蠕虫检测***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100753416A CN1330131C (zh) | 2005-06-10 | 2005-06-10 | 一种交互式的网络蠕虫检测***和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1697404A CN1697404A (zh) | 2005-11-16 |
| CN1330131C true CN1330131C (zh) | 2007-08-01 |
Family
ID=35349940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100753416A Expired - Fee Related CN1330131C (zh) | 2005-06-10 | 2005-06-10 | 一种交互式的网络蠕虫检测***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1330131C (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100377534C (zh) * | 2006-02-20 | 2008-03-26 | 华为技术有限公司 | 一种网络蠕虫检测***及方法 |
| US7948977B2 (en) * | 2006-05-05 | 2011-05-24 | Broadcom Corporation | Packet routing with payload analysis, encapsulation and service module vectoring |
| US8020207B2 (en) * | 2007-01-23 | 2011-09-13 | Alcatel Lucent | Containment mechanism for potentially contaminated end systems |
| CN101383722B (zh) * | 2007-09-05 | 2011-04-06 | 大唐移动通信设备有限公司 | 一种时变量性能数据采集方法及装置 |
| CN101184094B (zh) * | 2007-12-06 | 2011-07-27 | 北京启明星辰信息技术股份有限公司 | 一种适于局域网环境的网络节点扫描检测方法和*** |
| CN101227331B (zh) * | 2008-01-25 | 2010-06-09 | 华中科技大学 | 一种减少网络入侵检测***误告警方法 |
| CN101355463B (zh) * | 2008-08-27 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、***和设备 |
| CN101895521B (zh) * | 2009-05-22 | 2013-09-04 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其*** |
| CN101778011B (zh) * | 2009-12-31 | 2012-10-10 | 候万春 | 监视网络计算机终端通过互联网外传数据的方法 |
| CN102413201B (zh) * | 2011-11-10 | 2015-03-04 | 上海牙木通讯技术有限公司 | 一种dns查询请求的处理方法及设备 |
| CN102708313B (zh) * | 2012-03-08 | 2015-04-22 | 珠海市君天电子科技有限公司 | 针对大文件的病毒检测***及方法 |
| CN103916376A (zh) * | 2013-01-09 | 2014-07-09 | 台达电子工业股份有限公司 | 具攻击防护机制的云端***及其防护方法 |
| CN105207829B (zh) * | 2014-06-04 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 一种入侵检测数据处理方法、装置,及*** |
| CN104539471B (zh) * | 2014-12-01 | 2018-02-23 | 北京百度网讯科技有限公司 | 带宽计量方法、装置和计算机设备 |
| CN105007175A (zh) * | 2015-06-03 | 2015-10-28 | 北京云杉世纪网络科技有限公司 | 一种基于openflow的流深度关联分析方法及*** |
| CN105915516B (zh) * | 2016-04-15 | 2020-01-03 | 新华三技术有限公司 | 基于安全检测的数据流获取方法及装置 |
| CN107659540B (zh) * | 2016-07-25 | 2021-01-26 | 中兴通讯股份有限公司 | 动态行为分析方法、装置、***及设备 |
| CN107332832A (zh) * | 2017-06-21 | 2017-11-07 | 北京东方棱镜科技有限公司 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
| CN107277073A (zh) * | 2017-08-16 | 2017-10-20 | 北京新网数码信息技术有限公司 | 一种网络监控方法及装置 |
| CN108683681A (zh) * | 2018-06-01 | 2018-10-19 | 杭州安恒信息技术股份有限公司 | 一种基于流量策略的智能家居入侵检测方法及装置 |
| CN112073209A (zh) * | 2019-06-10 | 2020-12-11 | 中兴通讯股份有限公司 | 一种数据包处理方法和装置 |
| CN112615857B (zh) * | 2020-12-17 | 2023-02-17 | 杭州迪普科技股份有限公司 | 网络数据处理方法、装置与*** |
| CN115396212A (zh) * | 2022-08-26 | 2022-11-25 | 国科华盾(北京)科技有限公司 | 检测模型的训练方法、装置、计算机设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003088017A2 (en) * | 2002-04-09 | 2003-10-23 | Cisco Technology, Inc. | System and method for detecting an infective element in a network environment |
| CN1529462A (zh) * | 2003-10-21 | 2004-09-15 | 中兴通讯股份有限公司 | 一种实现异常流量控制的装置及方法 |
| CN1549126A (zh) * | 2003-05-16 | 2004-11-24 | 北京爱迪安网络技术有限公司 | 检测蠕虫病毒及延缓病毒传播的方法 |
| WO2005006710A1 (en) * | 2003-07-03 | 2005-01-20 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| CN1571362A (zh) * | 2004-05-14 | 2005-01-26 | 清华大学 | 因特网蠕虫病毒的早期预警方法 |
-
2005
- 2005-06-10 CN CNB2005100753416A patent/CN1330131C/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003088017A2 (en) * | 2002-04-09 | 2003-10-23 | Cisco Technology, Inc. | System and method for detecting an infective element in a network environment |
| CN1549126A (zh) * | 2003-05-16 | 2004-11-24 | 北京爱迪安网络技术有限公司 | 检测蠕虫病毒及延缓病毒传播的方法 |
| WO2005006710A1 (en) * | 2003-07-03 | 2005-01-20 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| CN1529462A (zh) * | 2003-10-21 | 2004-09-15 | 中兴通讯股份有限公司 | 一种实现异常流量控制的装置及方法 |
| CN1571362A (zh) * | 2004-05-14 | 2005-01-26 | 清华大学 | 因特网蠕虫病毒的早期预警方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1697404A (zh) | 2005-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1330131C (zh) | 一种交互式的网络蠕虫检测***和方法 | |
| US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
| Yegneswaran et al. | Using honeynets for internet situational awareness | |
| US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
| US7623466B2 (en) | Symmetric connection detection | |
| US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
| Shanmugasundaram et al. | ForNet: A distributed forensics network | |
| CN101656634B (zh) | 基于IPv6网络环境的入侵检测方法 | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN101789931B (zh) | 一种基于数据挖掘的网络入侵检测***及方法 | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| CN101001242B (zh) | 网络设备入侵检测的方法 | |
| CN108931968A (zh) | 一种应用于工业控制***中的网络安全防护***及其防护方法 | |
| CN101217547B (zh) | 基于开源内核的无状态的泛洪请求攻击过滤方法 | |
| CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其*** | |
| CN114124516A (zh) | 态势感知预测方法、装置及*** | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| CN104660584B (zh) | 基于网络会话的木马病毒分析技术 | |
| CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及*** | |
| Liu et al. | A data mining framework for building intrusion detection models based on IPv6 | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| Mai et al. | J-Honeypot: a Java-based network deception tool with monitoring and intrusion detection | |
| CN113377051B (zh) | 一种基于fpga的网络安全防护设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070801 Termination date: 20150610 |
|
| EXPY | Termination of patent right or utility model |