| 发明名称 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 | ||
| 摘要 | 本发明提供一种生成移动僵尸网络的特征码方法,包括:捕获可疑主机群的网络流量;对所述网络流量数据包作基于内容的分割,获取相同字符串;对所述相同字符串进行统计分析,计算其流行度,提取流行度超出一定阈值的字符串;和过滤所述流行度超出一定阈值的字符串,将常用的字符串排除,剩下的字符串作为特征码。还提供一种利用上述方法生成的特征码来检测移动僵尸网的方法,包括:捕获待检测主机群的网络流量;所述网络流量为数据包,所述数据包具有包头和有效负载,所述包头和有效负载为一系列字符串;利用特征码进行字符串匹配;对匹配成功的流量,确定为手机僵尸程序,记录信息;和对匹配不成功的流量,放行此流量。 | ||
| 申请公布号 | CN102333313A | 申请公布日期 | 2012.01.25 |
| 申请号 | CN201110315580.X | 申请日期 | 2011.10.18 |
| 申请人 | 中国科学院计算技术研究所 | 发明人 | 卢维清;崔翔;郭莉 |
| 分类号 | H04W12/12(2009.01)I;H04L29/06(2006.01)I | 主分类号 | H04W12/12(2009.01)I |
| 代理机构 | 北京泛华伟业知识产权代理有限公司 11280 | 代理人 | 王勇 |
| 主权项 | 一种生成移动僵尸网络的特征码方法,包括:步骤1、捕获可疑主机群的网络流量;步骤2、对所述网络流量数据包作基于内容的分割,获取相同字符串;步骤3、对所述相同字符串进行统计分析,计算其流行度,提取流行度超出一定阈值的字符串;和步骤4、过滤所述流行度超出一定阈值的字符串,将常用的字符串排除,剩下的字符串作为特征码。 | ||
| 地址 | 100190 北京市海淀区中关村科学院南路6号 | ||