| 发明名称 | 基于网络数据流的HTTP僵尸网络检测方法及系统 | ||
| 摘要 | 本发明提供了一种基于网络数据流、能检测未知HTTP僵尸网络方法。该方法对主机的HTTP通信数据流进行提取,通过X-means聚类方法,结合僵尸网络通信特征相似性判断出僵尸主机并对其进行类型的划分。该方法的优点包括:可检测未知的HTTP僵尸网络的目标,能及时发现指定网络内潜在的僵尸主机;增强了聚类和检测的效率,具有低误报率和漏报率的特性。 | ||
| 申请公布号 | CN103297433A | 申请公布日期 | 2013.09.11 |
| 申请号 | CN201310206651.1 | 申请日期 | 2013.05.29 |
| 申请人 | 中国科学院计算技术研究所 | 发明人 | 李可;刘潮歌;崔翔;王帅 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京泛华伟业知识产权代理有限公司 11280 | 代理人 | 王勇 |
| 主权项 | 一种基于网络数据流的HTTP僵尸网络检测方法,所述方法包括:步骤1)以HTTP会话为单位从网络数据流中提取所有HTTP数据包;步骤2)对各个HTTP会话进行聚类分析,以将不同的HTTP会话按照聚类结果归入相应的簇类;其中用于所述聚类分析的聚类属性包括每个HTTP会话中的数据包平均字节大小、数据包个数;步骤3)根据下列三个因素中的任意两个或全部来判断HTTP会话的源主机是否为僵尸主机,以及按所述聚类结果划分僵尸网络类型:(1)HTTP会话首次请求和响应包头域中首行信息;(2)首次请求和响应包头部包含的敏感字符串;(3)会话请求是否周期性发送。 | ||
| 地址 | 100190 北京市海淀区中关村科学院南路6号 | ||