Nothing Special   »   [go: up one dir, main page]

CN108965248B - 一种基于流量分析的p2p僵尸网络检测系统及方法 - Google Patents

一种基于流量分析的p2p僵尸网络检测系统及方法 Download PDF

Info

Publication number
CN108965248B
CN108965248B CN201810565197.1A CN201810565197A CN108965248B CN 108965248 B CN108965248 B CN 108965248B CN 201810565197 A CN201810565197 A CN 201810565197A CN 108965248 B CN108965248 B CN 108965248B
Authority
CN
China
Prior art keywords
botnet
communication
module
detection
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810565197.1A
Other languages
English (en)
Other versions
CN108965248A (zh
Inventor
邹福泰
张奕
吴越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Shiyue Computer Technology Co ltd
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201810565197.1A priority Critical patent/CN108965248B/zh
Publication of CN108965248A publication Critical patent/CN108965248A/zh
Application granted granted Critical
Publication of CN108965248B publication Critical patent/CN108965248B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于流量分析的P2P僵尸网络检测系统,属于计算机网络安全领域,包括网络流量接收模块从不同监测点获取网络流量,通信结构图构建模块,检测算法模块从通信结构图中利用社区发现算法发现P2P结构,采用决策树和贝叶斯网络两种机器学习方法结合检测P2P僵尸网络,跟踪与其它节点的通信对僵尸网络进行扩展,数据库模块存储相关数据。本发明还公开了基于流量分析的P2P僵尸网络检测方法。本发明未将端口作为特征以防止端口随机化造成的检测失效,基于流量分析进行P2P僵尸网络检测,通过过滤良性网络流量提高检测效率,使用包长度为特征减少数据处理量,能高效识别P2P僵尸网络通信,为入侵检测系统提供支撑。

Description

一种基于流量分析的P2P僵尸网络检测系统及方法
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于流量分析的P2P僵尸网络检测系统及方法。
背景技术
僵尸网络(Botnet)是互联网上受到攻击者控制的大量主机,利用C&C(Commandand Control)信道控制和对存在于僵尸网络当中的主机发布命令。僵尸网络通常被用于发起分布式拒绝服务(Distributed Denial-of-Service,DDoS)攻击、发送垃圾邮件、比特币采矿等攻击。
P2P(Peer-to-Peer)对等网络,又称为端对端技术,其每个节点都具有同等的能力,通常不依赖一个中心节点。P2P网络的分散性特点使得它们难以被发现,分布式的特性也能极好地应对单点故障。在21世纪初用户开始拥有越来越强大的服务器、存储空间和带宽,P2P结构的互联网占有份额急剧上升,由于P2P模式一直受到隐私、盗版等问题的困扰,之后所占的互联网份额之后有所下降。
P2P僵尸网络种类繁多,但是最底层都是由对等的僵尸主机节点构成的P2P结构网络。攻击者可以通过设置超级代理节点发布命令给他所控制的僵尸主机,也可以通过不对称加密的方式对命令进行加密从而引导僵尸网络继续攻击。
最初的僵尸网络检测工作是利用端口以及签名的方法,检测特定端口的流量包信息,这种检测方式一旦遇到加密的僵尸网络或者对于通信端口采取随机化的僵尸网络就无法生效。
之后的一些检测方式采用图形聚类技术来检测P2P流量,但是没有对良性P2P流量进行分析,存在的问题是检测消耗的计算资源大,检测效率低,此外这种方法也存在图形可能无法扩展的问题。
因此,本领域的技术人员致力于开发一种不依赖于通信端口检测,基于流量分析的P2P僵尸网络检测系统,区分良性和恶性P2P流量,提高检测效率。此外,在系统挖掘的僵尸网络基础上进一步跟踪以保证系统获取的僵尸网络结构得以扩展。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是区分良性和恶性P2P流量,提高检测效率。此外,在系统挖掘的僵尸网络基础上进一步跟踪以保证系统获取的僵尸网络结构得以扩展。
为实现上述目的,本发明提供了一种基于流量分析的P2P僵尸网络检测系统,包括网络流量接收模块、通信结构图构建模块、检测算法模块、数据库模块,其中:
网络流量接收模块:从分布在不同监测点的程序获取网络流量,根据过滤规则过滤掉良性的网络流量,将不确定的流量记录在数据库模块中;
通信结构图构建模块:读取不确定的流量记录,构建通信结构图;
检测算法模块:对生成的通信结构图进行分析探究,判断通信结构图中的节点所属IP地址是否为僵尸网络主机;
数据库模块:存放网络流量接收模块、通信结构图构建模块、检测算法模块的计算结果。
进一步地,过滤规则包含公认良性网络地址。
进一步地,过滤规则包含本系统检测出来的良性P2P网络地址。
进一步地,通信结构图构建模块被配置为:以监测到的IP地址为节点,以互相之间的通信为边构建加权有向图,利用社区发现算法进行子图分割,找到其中的P2P结构子图。
进一步地,加权有向图的权值能够通过计算节点与其它相连节点的通信相似度得出。
进一步地,通信相似度采用时间戳TS、数据包有效负载长度PS进行计算。
进一步地,检测算法模块被配置为:将通信结构图节点之间的通信整合成为节点之间的会话,计算会话开始时间戳和会话结束时间戳差值得到会话持续时间TD、源IP为A向目标IP为B发送的数据包有效负载总长度APS、源IP为B向目标IP为A发送的数据包有效负载总长度BPS、双方之间的通信次数NOC,并将APS、BPS、NOC、TD作为特征,采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器来进行对恶意P2P流量的检测,将良性P2P网络添加进流量接收模块的过滤规则当中,并将P2P僵尸网络的检测结果存入数据库模块当中。
进一步地,检测算法模块被配置为:当检测到僵尸网络中的节点与其它不属于此僵尸网络的节点进行通信时,跟踪这两个节点之间的会话,计算出APS、BPS、NOC、TD的值与僵尸网络的会话特点进行相似度判断,如果相似则将其加入之前的P2P僵尸网络结构当中并记录。
本发明还提供了一种基于流量分析的P2P僵尸网络检测方法,包括如下步骤:
步骤1:对于已知的通信结构图,获取通信结构图中相关流量的关键字段组,包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS;
步骤2:使用步骤1中获取的SIP、DIP、TS、PS为特征,利用社区发现算法,对通信结构图进行子图分割,发现其中的P2P结构,获取P2P结构流量;
步骤3:遍历属于P2P结构流量的关键字段组,将通信双方IP地址相同的通信归为一组,即A数据包的SIP、DIP分别和B数据包的DIP、SIP相同,将A和B归为一组;
步骤4:遍历步骤3的每个分组,对组内数据按照时间规则排序,基于时间将组内数据分割成会话;
步骤5:计算会话开始时间戳和结束时间戳差值得到会话的持续时间TD,SIP为A向DIP为B发送的数据包有效负载总长度APS,SIP为B向DIP为A发送的数据包有效负载总长度BPS,以及双方之间的通信次数NOC;
步骤6:将APS、BPS、NOC、TD作为一个四元组,采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器,进行恶意P2P流量的检测,从而检测出P2P僵尸网络;
步骤7:将步骤6的检测结果存入数据库当中。
步骤8:读取已检测到的P2P僵尸网络中的主机IP,当检测到IP和其它不属于这个僵尸网络的IP进行通信时,获取关键字段组,包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS;
步骤9:跟踪接下来的通信,计算得出包含APS、BPS、NOC、TD的四元组;
步骤10:将步骤9获取的四元组与之前僵尸网络的四元组进行相似性比较,如果是恶意流量则将新的节点加入P2P僵尸网络,并记录在数据库当中。
在本发明的较佳实施方式中,在过滤规则中选取Alexa排名前10000的公认良性流量,以及本系统检测出来的良性P2P网络的正常网络流量,大大减少了后续步骤需要处理的数据量。
本发明基于网络流量的P2P僵尸网络检测系统和方法,从分布在网络上的不同节点监测到的网络流量集中起来,以网络流量为输入,僵尸网络的检测结果为输出。本发明未将通信双方的端口作为特征进行检测,避免了端口随机化造成检测方法失效,基于流量分析进行P2P僵尸网络检测,通过过滤良性网络流量提高检测效率,未将流量包的具体有效负载作为特征,而是选择其长度大小为特征,减少了数据处理量,能高效识别P2P僵尸网络通信。同时本发明基于系统已有的僵尸网络结果可以进行进一步的追踪,实现了检测结果可以扩展的特点。最终检测结果可以使得P2P僵尸网络通信行为得到辨识,可以为一些入侵检测系统提供支撑。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的系统示意图;
图2是本发明的一个较佳实施例的网络流量接收模块流程图;
图3是本发明的一个较佳实施例的检测算法模块中P2P僵尸网络检测过程;
图4是本发明的一个较佳实施例的检测算法模块中P2P僵尸网络追踪过程;
图5是本发明的一个较佳实施例的流程图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方适当夸大了部件的厚度。
如图1所示,系统由四个模块组成,分别为网络流量接收模块、通信结构图构建模块、检测算法模块、数据库模块。
系统在每个对等节点设置监测程序,进行网络流量的收集。收集到的流量进入网络流量接收模块,按照过滤规则过滤掉良性流量,剩下不确定的网络流量存入数据库模块;
通信结构图构建模块读取不确定的流量记录,以监测到的IP地址为节点,以互相之间的通信为边构建加权有向通信结构图;
检测算法模块对生成的通信结构图进行分析探究,判断通信结构图中的节点所属IP地址是否为僵尸网络主机,以及僵尸网络的再追踪;
数据库模块存放网络流量接收模块、通信结构图构建模块、检测算法模块的计算结果,包括存放经过过滤的网络流量、监测到的良性P2P网络结构、P2P僵尸网络结构及其特征;
如图2所示,网络流量接收模块的流程如下:
网络流量接收模块遍历从对等节点的监测点上获取利用NETFLOW收集的网络流量;
判断是否属于Alexa排名前10000排名的公认良性流量,如果是则丢弃该网络流量;
如果否则进行下一步,判断是否属于系统已经检测出的良性P2P网络流量,如果是则丢弃该网络流量;
如果仍为否,则将该流量存入数据库;
继续判断下一条网络流量,直到遍历完成。
通过网络流量接收模块的筛选,需要进一步判断的网络流量已经大为减少。
如图3所示,检测算法模块中P2P僵尸网络检测过程如下:
检测算法模块根据通信结构图构建模块构建的通信结构图,计算图中的节点与其它相连节点的通信相似度,这里采用时间戳TS、数据包有效负载长度PS来计算。计算所得的节点通信相似度将作为边的权值,利用社区发现算法进行子图分割,找到其中的P2P结构子图;
将节点之间的通信整合成为节点之间的会话;
利用通信中的TS、PS值以及会话中通信次数和交换包的数量计算出APS、BPS、NOC、TD的值并将它们作为特征,采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器来进行对恶意P2P流量的检测;
将良性P2P网络放入流量接收模块的过滤规则当中,并将P2P僵尸网络的检测结果存入数据库当中。
如图4所示,检测算法模块中P2P僵尸网络追踪过程如下:
P2P模式僵尸网络追踪过程是建立在系统已经检测到的P2P僵尸网络的基础上,随着时间的推移,僵尸网络可能会感染越来越多的主机,僵尸网络的规模也将越来越大,本系统的追踪过程能很好的解决可拓展性的问题。
首先获取僵尸网络中的节点与其它不属于此僵尸网络节点的通信流量;
跟踪这两个节点之间的通信,建立会话;
同样计算出APS、BPS、NOC、TD的值,与僵尸网络的会话特点进行相似度判断;
如果相似则将其加入之前的P2P僵尸网络结构当中并记录。
如图5所示,基于网络流量的P2P僵尸网络检测方法的步骤如下:
步骤S1:对于已知的通信结构图,获取通信结构图中相关流量的关键字段组,包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS;
步骤S2:使用步骤S1中获取的SIP、DIP、TS、PS为特征,利用社区发现算法,对通信结构图进行子图分割,发现其中的P2P结构,获取P2P结构流量;
步骤S3:遍历属于P2P结构流量的关键字段组,将通信双方IP地址相同的通信归为一组,即A数据包的SIP、DIP分别和B数据包的DIP、SIP相同,将A和B归为一组;
步骤S4:遍历步骤S3的每个分组,对组内数据按照时间规则排序,基于时间将组内数据分割成会话;
步骤S5:计算会话开始时间戳和结束时间戳差值得到会话的持续时间TD,SIP为A向DIP为B发送的数据包有效负载总长度APS,SIP为B向DIP为A发送的数据包有效负载总长度BPS,以及双方之间的通信次数NOC;
步骤S6:将(APS,BPS,NOC,TD)作为一个四元组,采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器,进行恶意P2P流量的检测,从而检测出P2P僵尸网络;
步骤S7:将步骤S6的检测结果存入数据库当中;
步骤S8:读取已检测到的P2P僵尸网络中的主机IP,当检测到IP和其它不属于这个僵尸网络的IP进行通信时,获取关键字段组,包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS;
步骤S9:跟踪接下来的通信,计算得出包含(APS,BPS,NOC,TD)的四元组;
步骤S10:将步骤S9获取的四元组与之前僵尸网络的四元组进行相似性比较,如果是恶意流量则将新的节点加入P2P僵尸网络,并记录在数据库当中。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (5)

1.一种基于流量分析的P2P僵尸网络检测系统,其特征在于,包括网络流量接收模块、通信结构图构建模块、检测算法模块、数据库模块,其中:
所述网络流量接收模块从分布在不同监测点的程序获取网络流量,根据过滤规则过滤掉良性的网络流量,将不确定的流量记录在所述数据库模块中;
所述通信结构图构建模块读取所述不确定的流量记录,构建通信结构图;
所述检测算法模块对所述通信结构图进行分析探究,判断所述通信结构图中的节点所属IP地址是否为僵尸网络主机;
数据库模块存放所述网络流量接收模块、所述通信结构图构建模块、所述检测算法模块的计算结果;
所述过滤规则包含公认良性网络地址;
所述过滤规则包含本系统检测出来的良性P2P网络地址;
所述通信结构图构建模块被配置为:以监测到的IP地址为节点,以互相之间的通信为边构建加权有向图,利用社区发现算法进行子图分割,找到其中的P2P结构子图;
所述检测算法模块被配置为:将所述通信结构图节点之间的通信整合成为节点之间的会话,计算会话开始时间戳和会话结束时间戳差值得到会话持续时间TD、源IP为A向目标IP为B发送的数据包有效负载总长度APS、源IP为B向目标IP为A发送的数据包有效负载总长度BPS、双方之间的通信次数NOC,并将所述APS、BPS、NOC、TD作为特征,采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器来进行对恶意P2P流量的检测,将良性P2P网络添加进所述流量接收模块的所述过滤规则当中,并将P2P僵尸网络的检测结果存入所述数据库模块当中。
2.如权利要求1所述的基于流量分析的P2P僵尸网络检测系统,其特征在于,所述加权有向图的权值能够通过计算所述节点与其它相连节点的通信相似度得出。
3.如权利要求2所述的基于流量分析的P2P僵尸网络检测系统,其特征在于,所述通信相似度采用时间戳TS、数据包有效负载长度PS进行计算。
4.如权利要求1所述的基于流量分析的P2P僵尸网络检测系统,其特征在于,所述检测算法模块被配置为:当检测到僵尸网络中的节点与其它不属于此僵尸网络的节点进行通信时,跟踪这两个节点之间的会话,计算出所述APS、BPS、NOC、TD的值与所述僵尸网络的会话特点进行相似度判断,如果相似则将其加入之前的P2P僵尸网络结构当中并记录。
5.一种基于流量分析的P2P僵尸网络检测方法,其特征在于,包括以下步骤:
步骤1:对于已知的通信结构图,获取所述通信结构图中相关流量的关键字段组,包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS;
步骤2:使用所述步骤1中获取的所述SIP、DIP、TS、PS为特征,利用社区发现算法,对所述通信结构图进行子图分割,发现其中的P2P结构,获取P2P结构流量;
步骤3:遍历属于所述P2P结构流量的关键字段组,将通信双方IP地址相同的通信归为一组;
步骤4:遍历所述步骤3的每个所述分组,对组内数据按照时间规则排序,基于时间将所述组内数据分割成会话;
步骤5:计算所述步骤4中所述会话开始时间戳和结束时间戳差值得到会话的持续时间TD,SIP为A向DIP为B发送的数据包有效负载总长度APS,SIP为B向DIP为A发送的数据包有效负载总长度BPS,以及双方之间的通信次数NOC;
步骤6:将所述APS、BPS、NOCTD作为一个四元组,采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器,进行恶意P2P流量的检测,从而检测出P2P僵尸网络;
步骤7:将所述步骤6的检测结果存入数据库当中;
步骤8:读取已检测到的所述P2P僵尸网络中的主机IP,当检测到所述IP和其它不属于所述僵尸网络的IP进行通信时,获取关键字段组,包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS;
步骤9:跟踪接下来的通信,计算得出包含所述APS、BPS、NOC、TD的四元组;
步骤10:将所述步骤9获取的所述四元组与之前所述僵尸网络的所述四元组进行相似性比较,如果是恶意流量则将新的节点加入所述P2P僵尸网络,并记录在数据库当中。
CN201810565197.1A 2018-06-04 2018-06-04 一种基于流量分析的p2p僵尸网络检测系统及方法 Active CN108965248B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810565197.1A CN108965248B (zh) 2018-06-04 2018-06-04 一种基于流量分析的p2p僵尸网络检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810565197.1A CN108965248B (zh) 2018-06-04 2018-06-04 一种基于流量分析的p2p僵尸网络检测系统及方法

Publications (2)

Publication Number Publication Date
CN108965248A CN108965248A (zh) 2018-12-07
CN108965248B true CN108965248B (zh) 2021-08-20

Family

ID=64493483

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810565197.1A Active CN108965248B (zh) 2018-06-04 2018-06-04 一种基于流量分析的p2p僵尸网络检测系统及方法

Country Status (1)

Country Link
CN (1) CN108965248B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417810B (zh) * 2019-08-20 2021-06-25 西安电子科技大学 基于逻辑回归的增强模型的恶意加密流量检测方法
CN110912888B (zh) * 2019-11-22 2021-08-10 上海交通大学 一种基于深度学习的恶意http流量检测系统和方法
CN111931168B (zh) * 2020-06-19 2022-09-09 河海大学常州校区 一种基于警报关联的僵尸机检测方法
CN112788065B (zh) * 2021-02-20 2022-09-06 苏州知微安全科技有限公司 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置
CN113518073B (zh) * 2021-05-05 2022-07-19 东南大学 一种比特币挖矿僵尸网络流量的快速识别方法
CN113381996B (zh) * 2021-06-08 2023-04-28 中电福富信息科技有限公司 基于机器学习的c&c通讯攻击检测方法
CN114513325B (zh) * 2021-12-21 2023-05-12 中国人民解放军战略支援部队信息工程大学 基于saw社区发现的非结构化p2p僵尸网络检测方法及装置
CN115118491B (zh) * 2022-06-24 2024-02-09 北京天融信网络安全技术有限公司 僵尸网络检测的方法、装置、电子设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100877911B1 (ko) * 2008-01-31 2009-01-12 전남대학교산학협력단 네트워크 트래픽 전이 모델을 이용한 피투피 기반 봇넷탐지방법
CN102014025A (zh) * 2010-12-06 2011-04-13 北京航空航天大学 基于网络流聚类检测p2p僵尸网络结构的方法
CN103685184A (zh) * 2012-09-14 2014-03-26 上海宝信软件股份有限公司 一种基于小流统计分析的对等僵尸主机识别方法
CN104683346A (zh) * 2015-03-06 2015-06-03 西安电子科技大学 基于流量分析的p2p僵尸网络检测装置及方法
CN106657001A (zh) * 2016-11-10 2017-05-10 广州赛讯信息技术有限公司 一种基于Netflow及DNS日志的僵尸网络检测方法
CN108011894A (zh) * 2017-12-26 2018-05-08 陈晶 一种软件定义网络下僵尸网络检测系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176173B2 (en) * 2008-09-12 2012-05-08 George Mason Intellectual Properties, Inc. Live botmaster traceback

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100877911B1 (ko) * 2008-01-31 2009-01-12 전남대학교산학협력단 네트워크 트래픽 전이 모델을 이용한 피투피 기반 봇넷탐지방법
CN102014025A (zh) * 2010-12-06 2011-04-13 北京航空航天大学 基于网络流聚类检测p2p僵尸网络结构的方法
CN103685184A (zh) * 2012-09-14 2014-03-26 上海宝信软件股份有限公司 一种基于小流统计分析的对等僵尸主机识别方法
CN104683346A (zh) * 2015-03-06 2015-06-03 西安电子科技大学 基于流量分析的p2p僵尸网络检测装置及方法
CN106657001A (zh) * 2016-11-10 2017-05-10 广州赛讯信息技术有限公司 一种基于Netflow及DNS日志的僵尸网络检测方法
CN108011894A (zh) * 2017-12-26 2018-05-08 陈晶 一种软件定义网络下僵尸网络检测系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于流量分析的僵尸网络检测技术研究;谢舜;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20160315(第06期);I139-392 *
谢舜.基于流量分析的僵尸网络检测技术研究.《中国优秀硕士学位论文全文数据库(信息科技辑)》.2016,(第06期),I139-392. *

Also Published As

Publication number Publication date
CN108965248A (zh) 2018-12-07

Similar Documents

Publication Publication Date Title
CN108965248B (zh) 一种基于流量分析的p2p僵尸网络检测系统及方法
Li et al. A survey of network flow applications
Lu et al. Clustering botnet communication traffic based on n-gram feature selection
Iliofotou et al. Graph-based p2p traffic classification at the internet backbone
Li et al. Detecting saturation attacks based on self-similarity of OpenFlow traffic
Wijesinghe et al. An enhanced model for network flow based botnet detection
Venkatesh et al. BotSpot: fast graph based identification of structured P2P bots
Herzalla et al. TII-SSRC-23 dataset: typological exploration of diverse traffic patterns for intrusion detection
Wijesinghe et al. Botnet detection using software defined networking
CN114513325B (zh) 基于saw社区发现的非结构化p2p僵尸网络检测方法及装置
Fajana et al. Torbot stalker: Detecting tor botnets through intelligent circuit data analysis
Li et al. A general framework of trojan communication detection based on network traces
Qin et al. MUCM: multilevel user cluster mining based on behavior profiles for network monitoring
Wang et al. Identifying peer-to-peer botnets through periodicity behavior analysis
Nowakowski et al. Network covert channels detection using data mining and hierarchical organisation of frequent sets: an initial study
Rexha et al. Guarding the Cloud: An Effective Detection of Cloud-Based Cyber Attacks using Machine Learning Algorithms.
Smadia et al. VPN Encrypted Traffic classification using XGBoost
He et al. PeerSorter: classifying generic P2P traffic in real-time
Rostami et al. Analysis and detection of P2P botnet connections based on node behaviour
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统
Feizi et al. Detecting botnet using traffic behaviour analysis and extraction of effective flow features
Singh et al. Distilling command and control network intrusions from network flow metadata using temporal pagerank
Sadasivam et al. Detection of stealthy single-source SSH password guessing attacks
Kuzniar et al. PoirIoT: Fingerprinting IoT Devices at Tbps Scale
Majed et al. Efficient and Secure Statistical Port Scan Detection Scheme

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230301

Address after: No. 588, Longchang Road, Yangpu District, Shanghai, 200090_ Room 2602-60, 26th floor, No. 1

Patentee after: SHANGHAI SHIYUE COMPUTER TECHNOLOGY Co.,Ltd.

Address before: 200240 No. 800, Dongchuan Road, Shanghai, Minhang District

Patentee before: SHANGHAI JIAO TONG University

TR01 Transfer of patent right