CN115834119A - 一种特征流量的配电物联网僵尸程序的检测方法及装置 - Google Patents
一种特征流量的配电物联网僵尸程序的检测方法及装置 Download PDFInfo
- Publication number
- CN115834119A CN115834119A CN202211243298.XA CN202211243298A CN115834119A CN 115834119 A CN115834119 A CN 115834119A CN 202211243298 A CN202211243298 A CN 202211243298A CN 115834119 A CN115834119 A CN 115834119A
- Authority
- CN
- China
- Prior art keywords
- information
- file
- power distribution
- bot
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供一种特征流量的配电物联网僵尸程序的检测方法及装置,包括:获取各配电物联终端的终端标识、进程信息和网络信息;将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配;响应于得到匹配结果,将所述终端标识对应的配电物联终端作为目标终端,将所述进程信息对应的进程作为目标进程。本申请的方法适于配电物联网的僵尸程序检测,能够准确检测产生异常流量的配电物联终端及应用。
Description
技术领域
本申请实施例涉及信息安全技术领域,尤其涉及一种特征流量的配电物联网僵尸程序的检测方法及装置。
背景技术
随着物联网的广泛应用,物联网的网络安全问题日益突出。配电物联网中的配电物联终端在运行过程中被恶意程序攻击,不仅消耗自身资源,影响终端正常功能运行,且会对配电物联网中的其他应用和终端造成安全威胁。因此,如何有效检测配电物联网的僵尸程序,是所需解决的问题。
发明内容
有鉴于此,本申请实施例的目的在于提出一种特征流量的配电物联网僵尸程序的检测方法及装置,能够准确检测配电物联网的僵尸程序。
基于上述目的,本申请实施例提供了一种特征流量的配电物联网僵尸程序的检测方法,包括:
获取各配电物联终端的终端标识、进程信息和网络信息;
将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配;
响应于得到匹配结果,将所述终端标识对应的配电物联终端作为目标终端,将所述进程信息对应的进程作为目标进程。
可选的,所述网络信息包括接收流量对应的进程信息、发送流量对应的进程信息;所述进程信息包括进程文件md5、进程文件SHA1、进程文件SHA256;
将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配,包括:
将所述进程文件md5、进程文件SHA1、进程文件SHA256分别与所述僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配;
响应于得到匹配结果,将所述进程信息对应的进程作为目标进程,包括:响应于其中一项或几项得到匹配结果,将所述进程信息对应的进程作为感染僵尸程序的目标进程。
可选的,所述进程信息包括进程id和/或进程父id;响应于得到匹配结果之后,还包括:
根据所述进程id或进程父id,强制退出所述目标进程。
可选的,所述进程信息包括进程拥有者权限和/或进行执行用户,响应于得到匹配结果之后,还包括:
根据进程拥有者权限和/或进行执行用户,确定感染僵尸程序的漏洞项。
可选的,响应于得到匹配结果之后,还包括:
根据所述目标进程的发送流量,确定被攻击地址和/或下载地址;
根据所述被攻击地址和/或下载地址,更新所述僵尸特征数据库。
本申请实施例还提供一种特征流量的配电物联网僵尸程序的检测装置,包括:
获取模块,用于获取各配电物联终端的终端标识、进程信息和网络信息;
匹配模块,用于将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配;
检测模块,用于响应于得到匹配结果,将所述终端标识对应的配电物联终端作为目标终端,将所述进程信息对应的进程作为目标进程。
可选的,所述网络信息包括接收流量对应的进程信息、发送流量对应的进程信息;所述进程信息包括进程文件md5、进程文件SHA1、进程文件SHA256;
所述匹配模块,用于将所述进程文件md5、进程文件SHA1、进程文件SHA256分别与所述僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配;
所述检测模块,用于响应于其中一项或几项得到匹配结果,将所述进程信息对应的进程作为感染僵尸程序的目标进程。
可选的,所述进程信息包括进程id和/或进程父id;所述装置还包括:
退出模块,用于根据所述进程id或进程父id,强制退出所述目标进程。
可选的,所述进程信息包括进程拥有者权限和/或进行执行用户,所述装置还包括:
定位模块,用于根据进程拥有者权限和/或进行执行用户,确定感染僵尸程序的漏洞项。
可选的,所述装置还包括:
更新模块,用于根据所述目标进程的发送流量,确定被攻击地址和/或下载地址;根据被攻击地址和/或下载地址,更新僵尸特征数据库。
从上面所述可以看出,本申请实施例提供的一种特征流量的配电物联网僵尸程序的检测方法及装置,通过获取各配电物联终端的终端标识、进程信息和网络信息;将进程信息和网络信息与预设的僵尸特征数据库进行匹配;如果得到匹配结果,将终端标识对应的配电物联终端作为目标终端,将进程信息对应的进程作为目标进程。本申请的方法适于配电物联网的僵尸程序检测,能够准确检测产生异常流量的配电物联终端及应用。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的方法流出示意图;
图2为本申请实施例的系统架构示意图;
图3为本申请实施例的装置结构框图;
图4为本申请实施例的电子设备结构框图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
相关技术中,为实现僵尸程序检测,一般通过网络节点(如网关、路由器等)采集网络流量,基于网络流量中的网络信息进行特征提取和分析,将提取出的特征与僵尸特征源进行比对,判断是否为僵尸程序。例如,根据提取出的IP地址和端口号判断是否属于异常流量。此种方法需要依赖网络中的节点设备,且无法检测异常流量的产生主体,不适于配电物联网场景的僵尸网络检测,无法准确检测出产生异常流量的配电物联终端,更无法确定存在异常的程序。
有鉴于此,本申请实施例提供一种特征流量的配电物联网僵尸程序的检测方法,通过采集配电物联终端的进程信息和网络信息,对进程信息和网络信息进行特征提取和分析,判断是否存在恶意程序,能够准确检测产生异常流量的配电物联终端和程序。
如图1所示,本申请实施例提供一种特征流量的配电物联网僵尸程序的检测方法,包括:
S101:获取各配电物联终端的终端标识、进程信息和网络信息;
结合图1、2所示,本实施例中,配电物联网包括分布式设置的若干具有相同功能或不同功能的配电物联终端,例如电表、快递柜、图像采集单元、传感器等。利用僵尸程序检测装置获取各配电物联终端的终端标识、进程信息和网络信息,一些方式中,可以按照资源配置条件、所处地理位置等条件从若干配电物联终端选取出一个配电物联终端,将僵尸程序检测装置配置在该配电物联终端,其他各配电物联终端分别将自身的终端标识、正在运行的所有进程信息和所有流量信息发送给僵尸程序检测装置。另一些方式中,配电物联网还包括中央控制单元,将僵尸程序检测装置配置在中央控制单元,各配电物联终端分别将自身的终端标识、正在运行的所有进程信息和所有流量信息发送给僵尸程序检测装置;还可以是,在一些对安全性要求较高的场景中,每个配电物联终端安装僵尸程序检测装置,利用僵尸程序检测装置检测本机是否存在僵尸程序。以上仅为示例性说明,僵尸程序检测装置的具体配置方式可以根据配电物联网的组网方式、资源配置和应用场景等条件进行选择,具体不做限定。
一些实施方式中,配电物联终端的终端标识为用于唯一标识终端身份的标识信息,例如出厂设置的设备标识、根据预定规则对配电物联网中所有配电物联终端进行编码后得到的唯一编号等,标识形式不做限定。
所获取的进程信息是配电物联终端上正在运行的所有进程的进程信息,包括进程名称、进程id、进程父id、进程拥有者权限、进程执行用户、进程文件md5、进程文件SHA1、进程文件SHA256等。一些方式中,可通过读取特定的系统进程文件、并解析文件获取进程名称、进程id、进程父id、进程拥有者权限、进程执行用户等,可通过特定算法根据进程信息计算进程文件md5、进程文件SHA1、进程文件SHA256,获取进程信息的具体方式和算法不做限定。
所获取的网络信息是配电物联终端与网络中其他设备之间通过网络交互的所有的流量数据的信息,包括从所有流量数据中提取出的五元组(源IP地址、目的IP地址、源端口号、目的端口号和协议类型),以及接收流量对应的进程信息、发送流量对应的进程信息。其中,接收流量是指目的IP地址为配电物联终端的IP地址,目的端口号为配电物联终端的端口号的流量数据,发送流量是指源IP地址为配电物联终端的IP地址,源端口号为配电物联终端的端口号的流量数据。
S102:将进程信息和网络信息与预设的僵尸特征数据库进行匹配;
S103:响应于得到匹配结果,将终端标识对应的配电物联终端作为目标终端,将进程信息对应的进程作为目标进程。
本实施例中,获取进程信息和网络信息中的进程信息(接收流量对应的进程信息、发送流量对应的进程信息)之后,将其中的进程文件md5、进程文件SHA1、进程文件SHA256分别与僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配,如果有一项或几项均匹配,则判断该进程信息对应的进程为目标进程,该进程信息对应的程序感染僵尸程序,该终端标识对应的配电物联终端为感染僵尸程序的目标终端。
本实施例中,在获取各配电物联终端的进程信息和网络信息之后,分别将各配电物联终端的进程信息和网络信息与预先构建的僵尸特征数据库进行匹配,如果能够获得匹配结果,则进程信息和网络信息所对应的配电物联终端为存在僵尸程序的目标终端,进程信息所对应的程序为感染僵尸程序的程序,从而实现配电物联网的僵尸程序检测,准确识别存在僵尸程序的配电物联终端和运行僵尸程序的应用程序。
一些实施例中,当检测出进程对应的程序感染了僵尸程序后,可以通过进程id或进程父id,强制退出目标进程,结束运行异常程序,避免配电物联终端继续受到僵尸程序的影响。还可以根据进程拥有者权限和/或进行执行用户,确定感染僵尸程序的漏洞项,判断异常程序感染僵尸程序的可能原因,例如,分析用户的密码强度是否较弱而易于被攻击,分析是否可能存在权限漏洞等。进一步的,可以输出异常程序的相关信息,并提示可能存在的漏洞,提醒及时修补漏洞,提高配电物联终端的安全性。
一些实施例中,将进程信息和网络信息与预设的僵尸特征数据库进行匹配,且得到匹配结果之后,方法还包括:
根据目标进程的发送流量,确定被攻击地址和/或下载地址;
根据被攻击地址和/或下载地址,更新僵尸特征数据库。
本实施例中,僵尸特征数据库基于从网络中抓取的各类配电物联网恶意程序特征构建而成,包括但不限于bot名称、bot家族名称、C&C服务器地址、进程文件MD5值、进程文件SHA1值、进程文件SHA256值等。当获取的进程文件MD5值、进程文件SHA1值、进程文件SHA256值中的一个与僵尸特征数据库中的相应特征相匹配时,确定该进程感染了僵尸程序。之后,追踪感染了僵尸程序的目标进程的发送流量的目的IP地址和目的端口号,如果目标进程向该目的IP地址和目的端口号发送大量的数据包,可以判断该目的IP地址和目的端口号为被攻击地址;还可以追踪目标进程的发送流量的目的IP地址和数据内容,如果目标进程向目的IP地址请求特定的数据文件,可以判断该目的IP地址是恶意程序的下载地址,提供恶意程序下载配置文件或其他资源文件。获得追踪结果之后,将确定出的被攻击地址、下载地址保存于僵尸特征数据库,更新僵尸特征数据库。通过不断丰富、更新僵尸特征数据库,提高检测准确性。
基于更新的僵尸特征数据库,在特征匹配时,还可以利用获取的网络信息中的五元组与僵尸特征数据库进行匹配,根据IP地址、端口号判断僵尸特征数据库中是否存在匹配项,如果存在,可以判断配电物联终端可能成为被僵尸程序攻击的对象,或者是配电物联终端感染了僵尸程序,且已成为供僵尸程序下载数据的对象。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
如图3所示,本申请实施例提供一种特征流量的配电物联网僵尸程序的检测装置,包括:
获取模块,用于获取各配电物联终端的终端标识、进程信息和网络信息;
匹配模块,用于将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配;
检测模块,用于响应于得到匹配结果,将所述终端标识对应的配电物联终端作为目标终端,将所述进程信息对应的进程作为目标进程。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种特征流量的配电物联网僵尸程序的检测方法,其特征在于,包括:
获取各配电物联终端的终端标识、进程信息和网络信息;
将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配;
响应于得到匹配结果,将所述终端标识对应的配电物联终端作为目标终端,将所述进程信息对应的进程作为目标进程。
2.根据权利要求1所述的方法,其特征在于,所述网络信息包括接收流量对应的进程信息、发送流量对应的进程信息;所述进程信息包括进程文件md5、进程文件SHA1、进程文件SHA256;
将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配,包括:
将所述进程文件md5、进程文件SHA1、进程文件SHA256分别与所述僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配;
响应于得到匹配结果,将所述进程信息对应的进程作为目标进程,包括:响应于其中一项或几项得到匹配结果,将所述进程信息对应的进程作为感染僵尸程序的目标进程。
3.根据权利要求2所述的方法,其特征在于,所述进程信息包括进程id和/或进程父id;响应于得到匹配结果之后,还包括:
根据所述进程id或进程父id,强制退出所述目标进程。
4.根据权利要求2所述的方法,其特征在于,所述进程信息包括进程拥有者权限和/或进行执行用户,响应于得到匹配结果之后,还包括:
根据进程拥有者权限和/或进行执行用户,确定感染僵尸程序的漏洞项。
5.根据权利要求1所述的方法,其特征在于,响应于得到匹配结果之后,还包括:
根据所述目标进程的发送流量,确定被攻击地址和/或下载地址;
根据所述被攻击地址和/或下载地址,更新所述僵尸特征数据库。
6.一种特征流量的配电物联网僵尸程序的检测装置,其特征在于,包括:
获取模块,用于获取各配电物联终端的终端标识、进程信息和网络信息;
匹配模块,用于将所述进程信息和网络信息与预设的僵尸特征数据库进行匹配;
检测模块,用于响应于得到匹配结果,将所述终端标识对应的配电物联终端作为目标终端,将所述进程信息对应的进程作为目标进程。
7.根据权利要求6所述的装置,其特征在于,所述网络信息包括接收流量对应的进程信息、发送流量对应的进程信息;所述进程信息包括进程文件md5、进程文件SHA1、进程文件SHA256;
所述匹配模块,用于将所述进程文件md5、进程文件SHA1、进程文件SHA256分别与所述僵尸特征数据库中的进程文件md5、进程文件SHA1、进程文件SHA256进行匹配;
所述检测模块,用于响应于其中一项或几项得到匹配结果,将所述进程信息对应的进程作为感染僵尸程序的目标进程。
8.根据权利要求7所述的装置,其特征在于,所述进程信息包括进程id和/或进程父id;所述装置还包括:
退出模块,用于根据所述进程id或进程父id,强制退出所述目标进程。
9.根据权利要求7所述的装置,其特征在于,所述进程信息包括进程拥有者权限和/或进行执行用户,所述装置还包括:
定位模块,用于根据进程拥有者权限和/或进行执行用户,确定感染僵尸程序的漏洞项。
10.根据权利要求6所述的装置,其特征在于,还包括:
更新模块,用于根据所述目标进程的发送流量,确定被攻击地址和/或下载地址;根据被攻击地址和/或下载地址,更新僵尸特征数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211243298.XA CN115834119A (zh) | 2022-10-11 | 2022-10-11 | 一种特征流量的配电物联网僵尸程序的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211243298.XA CN115834119A (zh) | 2022-10-11 | 2022-10-11 | 一种特征流量的配电物联网僵尸程序的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115834119A true CN115834119A (zh) | 2023-03-21 |
Family
ID=85524629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211243298.XA Pending CN115834119A (zh) | 2022-10-11 | 2022-10-11 | 一种特征流量的配电物联网僵尸程序的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834119A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
| CN106878240A (zh) * | 2015-12-14 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 僵尸主机识别方法及装置 |
| CN111786964A (zh) * | 2020-06-12 | 2020-10-16 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| WO2021189257A1 (zh) * | 2020-03-24 | 2021-09-30 | 深圳市欢太科技有限公司 | 恶意进程的检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-10-11 CN CN202211243298.XA patent/CN115834119A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
| CN106878240A (zh) * | 2015-12-14 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 僵尸主机识别方法及装置 |
| WO2021189257A1 (zh) * | 2020-03-24 | 2021-09-30 | 深圳市欢太科技有限公司 | 恶意进程的检测方法、装置、电子设备及存储介质 |
| CN111786964A (zh) * | 2020-06-12 | 2020-10-16 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lv | Security of internet of things edge devices | |
| CN111953770B (zh) | 一种路由转发方法、装置、路由设备及可读存储介质 | |
| US20160269442A1 (en) | Methods and systems for improving analytics in distributed networks | |
| WO2019095911A1 (zh) | 一种抵御拒绝服务攻击的方法及设备 | |
| US20170026416A1 (en) | Automated compliance checking through analysis of cloud infrastructure templates | |
| US11916926B1 (en) | Lateral movement analysis using certificate private keys | |
| US12231440B2 (en) | System and method for detecting lateral movement using cloud access keys | |
| US11936622B1 (en) | Techniques for cybersecurity risk-based firewall configuration | |
| CN112513848A (zh) | 隐私保护内容分类 | |
| US12452262B2 (en) | System and method for file scanning between a source and client in a zero trust environment | |
| CN119011160A (zh) | 威胁事件溯源方法及相关设备 | |
| JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| CN115643039A (zh) | 物联终端的安全防护方法、装置及计算机可读存储介质 | |
| CN109818972A (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN115834119A (zh) | 一种特征流量的配电物联网僵尸程序的检测方法及装置 | |
| CN116132117A (zh) | 接口攻击的检测方法、装置、电子设备及存储介质 | |
| CN114070581B (zh) | 域名系统隐藏信道的检测方法及装置 | |
| CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
| US12095808B1 (en) | System and method for near-real time cloud security posture management | |
| CN113872953B (zh) | 一种访问报文处理方法及装置 | |
| CA3268598C (en) | Techniques for preventing cloud identity misuse leveraging runtime context | |
| US20250227124A1 (en) | System and method for detecting protection gap in cybersecurity | |
| US20250247430A1 (en) | Managing data processing systems based on motion data | |
| Shuai et al. | A Fast Matching Method of Trusted Whitelist Based on Bloom Filter | |
| EP4672052A1 (en) | Techniques for detecting cloud identity misuse based on runtime context and static analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |