申请/专利权人:江南信安(北京)科技有限公司
申请日:2023-08-29
公开(公告)日:2024-04-02
公开(公告)号:CN116896478B
主分类号:H04L9/40
分类号:H04L9/40
优先权:
专利状态码:有效-授权
法律状态:2024.04.02#授权;2023.11.03#实质审查的生效;2023.10.17#公开
摘要:本发明提供了一种用于对僵尸主机进行检测的方法及系统,其中方法包括:获取源僵尸主机所发送的第一预定数量的历史数据包;获取待检测的目标主机所发送的第二预定数量的历史数据包;基于源僵尸主机的标识符和待检测的目标主机的标识符,确定源僵尸主机与待检测的目标主机的标识相似度;将源僵尸主机所发送的第一预定数量的历史数据包构成第一数据序列,并且将待检测的目标主机所发送的第二预定数量的历史数据包构成第二数据序列,确定第一数据序列和第二数据序列的数据相似度;以及基于标识相似度和数据相似度,确定源僵尸主机和待检测的目标主机的主机相似度,并基于主机相似度确定待检测的目标主机是否为僵尸主机。
主权项:1.一种用于对僵尸主机进行检测的方法,所述方法包括:从已知的僵尸网络内的多个僵尸主机中选择源僵尸主机,获取所述源僵尸主机的标识符,并基于所述源僵尸主机的标识符获取所述源僵尸主机所发送的第一预定数量的历史数据包;确定待检测的目标主机并获取所述待检测的目标主机的标识符,基于所述待检测的目标主机的标识符获取待检测的目标主机所发送的第二预定数量的历史数据包;基于所述源僵尸主机的标识符和所述待检测的目标主机的标识符,确定所述源僵尸主机与所述待检测的目标主机的标识相似度;将所述源僵尸主机所发送的第一预定数量的历史数据包构成第一数据序列,并且将待检测的目标主机所发送的第二预定数量的历史数据包构成第二数据序列,确定所述第一数据序列和第二数据序列的数据相似度;以及基于标识相似度和数据相似度,确定所述源僵尸主机和待检测的目标主机的主机相似度,并基于所述主机相似度确定待检测的目标主机是否为僵尸主机;其中,从已知的僵尸网络内的多个僵尸主机中选择源僵尸主机,包括:从入侵检测系统或入侵检测程序获取所述已知的僵尸网络内多个僵尸主机中每个僵尸主机的运行数据;以及基于每个僵尸主机的运行数据,从已知的僵尸网络内的多个僵尸主机中选择源僵尸主机;其中,所述运行数据包括:第一统计时间段内发送到每个目的主机的数据包的数量和第二统计时间段内发送到每个目的主机的数据包的数量,其中第一统计时间段和第二统计时间段的时间长度相同并且第一统计时间段和第二统计时间段是时间上相邻的两个统计时间段,第一统计时间段在时间上比第二统计时间段更接近当前时间;其中,所述运行数据还包括:每个僵尸主机在第一统计时间段内发送的数据包所涉及的目的主机的数量,以及每个僵尸主机在第二统计时间段内发送的数据包所涉及的目的主机的数量;其中,基于每个僵尸主机的运行数据,从已知的僵尸网络内的多个僵尸主机中选择源僵尸主机,包括:基于每个僵尸主机的运行数据,确定每个僵尸主机的网络攻击参数值;以及将已知的僵尸网络内的多个僵尸主机中,网络攻击参数值最大的僵尸主机选择作为源僵尸主机。
全文数据:
权利要求:
百度查询: 江南信安(北京)科技有限公司 一种用于对僵尸主机进行检测的方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。