| 发明名称 | 一种僵尸网络分布式实时检测方法和系统 | ||
| 摘要 | 本发明公开了一种僵尸网络分布式实时检测方法和系统,包括:数据生成组件生成网络流量元数据Netflow信息,并发送给数据检测组件;数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征,建立作为实时检测单元的检测标准的检测模型;数据检测组件的实时检测单元接收实时发送的Netflow信息,并提取多个检测特征,与上述检测模型进行比较,当比较结果匹配时,得出包括检测对象标识符的告警信息,将所述告警信息与主机黑白名单比较,得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网,又可以应用到ISPs网络中;提高了僵尸网络检测的总体检测性能。 | ||
| 申请公布号 | CN105681250A | 申请公布日期 | 2016.06.15 |
| 申请号 | CN201410655378.5 | 申请日期 | 2014.11.17 |
| 申请人 | 中国信息安全测评中心;北京启明星辰信息安全技术有限公司;北京启明星辰信息技术股份有限公司 | 发明人 | 胡卫华;班晓芳;曲武;张利;孟祥杰;刘锡峰;梁杰 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京安信方达知识产权代理有限公司 11262 | 代理人 | 栗若木;王丹 |
| 主权项 | 一种僵尸网络分布式实时检测方法,其特征在于,所述方法包括:数据生成组件接收网络流量生成网络流量元数据Netflow信息,并将所述Netflow信息发送给数据检测组件;所述数据检测组件的检测模型训练单元,从经过标注的训练数据中提取多个训练检测特征,基于所述训练检测特征,建立作为所述实时检测单元的检测标准的检测模型;所述数据检测组件的实时检测单元,接收所述数据生成组件实时发送的所述Netflow信息,基于所述Netflow信息提取多个检测特征,将所述检测特征与所述检测模型进行比较,当比较结果匹配时,得出包括检测对象标识符的告警信息,将所述告警信息与主机黑白名单相比较,得出确认受控僵尸主机和可疑受控僵尸主机。 | ||
| 地址 | 100085 北京市海淀区上地西路8号院A座 | ||