公开(公告)号：CN102246490B

公开(公告)日：2015-06-24

申请号：CN200980149225.0

申请日：2009-11-25

申请人： 国际商业机器公司

发明人： G·D·奥尔曼

IPC分类号： G06F21/55 ,  G06F21/56 ,  G06F21/60 ,  H04L29/06

CPC分类号： G06F21/552 ,  G06F21/566 ,  G06F21/606 ,  G06F2221/2141 ,  G06F2221/2149 ,  H04L63/0428 ,  H04L63/101 ,  H04L63/145 ,  H04L2463/144

摘要： 一种在计算机基础设施内实现的用于识别恶意软件或未授权软件通信的方法，所述方法包括检测加密通信和确定所述加密通信的标识数据。此外，所述方法包括将所检测的加密通信与针对使用所述标识数据的加密通信获得授权的应用的列表和使用所述标识数据的加密通信的授权目的地的列表中的至少一个相比较。另外，所述方法包括响应于确定以下项中的至少一个，将所检测的加密通信识别为未授权加密通信：根据所述比较，所检测的加密通信来自不在针对加密通信获得授权的应用的列表中的未授权应用；以及所检测的加密通信去往不在授权目的地的列表中的未授权目的地。

公开(公告)号：CN104519049A

公开(公告)日：2015-04-15

申请号：CN201410521259.0

申请日：2014-09-30

申请人： 瞻博网络公司

发明人： K·亚当斯 ,  D·J·奎因兰

IPC分类号： H04L29/06

CPC分类号： H04L63/1458 ,  G06F2221/2103 ,  H04L47/808 ,  H04L63/10 ,  H04L63/1425 ,  H04L63/1441 ,  H04L67/303 ,  H04L67/42 ,  H04L2463/141 ,  H04L2463/144

摘要： 一种设备，可以检测攻击。该设备可以从客户端设备接收对资源的请求。该设备可以基于检测该攻击来确定待被提供给客户端设备的计算开销问题，其中计算开销问题需要由客户端设备来解决计算开销问题的计算。该设备可以通知客户端设备提供计算开销问题的解决方案。该设备可以从客户端设备接收对计算开销问题的解决方案，该设备可以基于该解决方案来向客户端设备选择性地提供对资源的访问。

公开(公告)号：CN104486298A

公开(公告)日：2015-04-01

申请号：CN201410708281.6

申请日：2014-11-27

申请人： 小米科技有限责任公司

发明人： 张华 ,  夏翼 ,  洪定坤 ,  王海洲

IPC分类号： H04L29/06 ,  G06F21/56

CPC分类号： H04L63/1425 ,  G06F21/552 ,  G06F2221/2133 ,  H04L43/10 ,  H04L63/1458 ,  H04L2463/142 ,  H04L2463/144

摘要： 本公开是关于一种识别用户行为的方法及装置，用于更有效、更准确的识别恶意行为。所述方法包括：获取在预设的时间滑动窗口内的终端的访问行为；根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；根据评估结果确定所述终端的访问行为是否为恶意访问。

公开(公告)号：CN104303153A

公开(公告)日：2015-01-21

申请号：CN201380026239.X

申请日：2013-03-14

申请人： 洛斯阿拉莫斯国家安全股份有限公司

发明人： 约书亚·C·尼尔 ,  迈克尔·E·菲斯克 ,  亚历山大·W·布勒 ,  小柯蒂斯·L·哈什 ,  柯蒂斯·B·斯托利 ,  本杰明·乌波夫 ,  亚历山大·肯特

IPC分类号： G06F11/00

CPC分类号： H04L63/1425 ,  G06F21/577 ,  G06N5/02 ,  G06N7/005 ,  H04L1/002 ,  H04L63/1408 ,  H04L63/1416 ,  H04L63/1433 ,  H04L2463/144

摘要： 本发明提供一种用于在网络中检测异常行为的系统、装置、计算机可读介质和计算机执行的方法。确定网络的历史参数，从而确定正常的活动级别。枚举网络中的多个路径作为反映网络的图形的一部分，其中在网络中的每个计算系统可以是图形中的节点，并且两个计算系统之间的连接序列可以是图形中的有向边。将统计模型应用到基于滑动窗口的图形中的多个路径，以检测异常行为。还可以使用通过统一主机收集代理(“UHCA”)收集的数据来检测异常行为。

公开(公告)号：CN101335721B

公开(公告)日：2013-11-20

申请号：CN200810111432.4

申请日：2008-06-12

申请人： 赛门铁克公司

发明人： 迪伦·莫尔斯 ,  埃米特·卡西迪

IPC分类号： H04L12/58 ,  H04L29/06

CPC分类号： H04L63/14 ,  H04L51/12 ,  H04L63/1441 ,  H04L63/145 ,  H04L2463/144

摘要： 本发明公开了一种为消息创建预测过滤器的方法和装置。在一个实施方式中，过滤器信息连接到信誉数据库。如果消息特征的信誉与过滤器信息的一个或多个部分相关联，则为消息特征生成一个或多个过滤器。在一个实施方式中，生成SPAM过滤器。在又一实施方式中，使用启发式来检测一个或多个消息特征。基于启发式的决定，将一个或多个消息特征列入黑名单。如果消息特征的信誉与列入黑名单的特征相关联，生成一个或多个附加的消息过滤器。

公开(公告)号：CN103283202A

公开(公告)日：2013-09-04

申请号：CN201180046900.4

申请日：2011-02-15

申请人： 麦克菲公司

发明人： R.巴加瓦 ,  D.P.小里斯

IPC分类号： H04L29/06

CPC分类号： H04L63/20 ,  H04L63/02 ,  H04L63/10 ,  H04L63/1408 ,  H04L63/1416 ,  H04L63/164 ,  H04L2463/144

摘要： 在一种范例实施方式中，一种方法包括接收第一计算装置上与网络访问企图相关的信息，其中所述信息识别与所述网络访问企图相关联的软件程序文件。该方法还包括评估第一标准以确定是否许可与软件程序文件相关联的网络流量，并且然后创建约束规则，以便如果不许可网络流量则阻止网络流量。第一标准包括软件程序文件的信任状态。在具体实施例中，该方法包括向网络保护装置推送所述约束规则，所述网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。在更具体的实施例中，该方法包括搜索识别值得信任的软件程序文件的白名单以确定所述软件程序文件的信任状态。

公开(公告)号：CN102238044A

公开(公告)日：2011-11-09

申请号：CN201010163239.2

申请日：2010-04-30

申请人： 中国人民解放军国防科学技术大学

发明人： 李润恒 ,  贾焰 ,  杨树强 ,  李爱平 ,  周斌 ,  韩伟红 ,  甘亮 ,  王小伟

IPC分类号： H04L12/26 ,  H04L29/06

CPC分类号： H04L63/1416 ,  H04L2463/144

摘要： 本发明提供一种同源僵尸网络判别方法，包括：根据僵尸网络数据计算僵尸网络的通讯量特征与通讯频率特征，得到相应的通讯量日周期曲线与通讯频率日周期曲线；从所述通讯量日周期曲线与通讯频率日周期曲线中提取各自的特征点，根据所述特征点分别生成通讯量标准化形状曲线以及通讯频率标准化形状曲线；计算所要比较的僵尸网络对的通讯量标准化形状曲线间的第一欧式距离以及通讯频率标准化形状曲线的第二欧氏距离，根据所述第一欧式距离与所述第二欧式距离判断所要比较的僵尸网络对是否属于同源僵尸网络。本发明的方法判别同源僵尸网络的准确率较高。

公开(公告)号：CN101883020A

公开(公告)日：2010-11-10

申请号：CN201010170922.9

申请日：2010-04-29

申请人： 丛林网络公司

发明人： 布赖恩·伯恩斯 ,  克里希纳·纳拉亚纳斯瓦米

IPC分类号： H04L12/26 ,  H04L29/06 ,  H04L29/08

CPC分类号： H04L63/1441 ,  H04L63/14 ,  H04L63/1416 ,  H04L2463/144

摘要： 本发明公开描述了用于确定网络会话是否由自动软件代理发起的检测恶意网络软件代理的技术。在一个实例中，一种诸如路由器的网络设备包括：网络接口，用于接收网络会话的数据包；机器人检测模块，用于基于多个指标计算网络会话数据的多个分数，以根据多个分数的合计生成总分，并在总分超过阈值时确定网络会话由自动软件代理发起，其中，指标中的每一个对应于自动软件代理发起的网络会话的特征；以及攻击检测模块，用于在确定网络会话由自动软件代理发起时，执行程序化响应。每个分数均表示网络会话由自动软件代理发起的可能性。

公开(公告)号：CN101848197A

公开(公告)日：2010-09-29

申请号：CN200910106341.6

申请日：2009-03-23

申请人： 华为技术有限公司

发明人： 陈旭 ,  沈烁

IPC分类号： H04L29/06 ,  H04L29/12

CPC分类号： H04L61/2514 ,  H04L61/2567 ,  H04L63/1416 ,  H04L67/125 ,  H04L2463/144

摘要： 本发明涉及通信领域，尤其涉及一种检测方法、装置和具有检测功能的网络，以解决目前通信网络中无法检测僵尸网络的问题。该检测方法，用于检测僵尸网络，该方法包括：获取网络地址转换NAT表；根据该网络地址转换表，对主机的行为平面和通讯平面进行检测；对通讯平面和行为平面的检测结果进行聚类分析。

公开(公告)号：CN101588276A

公开(公告)日：2009-11-25

申请号：CN200910142292.1

申请日：2009-06-29

申请人： 成都市华为赛门铁克科技有限公司

发明人： 蒋武

IPC分类号： H04L12/26 ,  H04L12/56 ,  H04L29/06

CPC分类号： H04L63/1416 ,  H04L2463/144

摘要： 本发明实施例公开了一种检测僵尸网络的方法及其装置，该方法为：获取网络中的数据报文；对数据报文中的可执行程序进行安全性分析，将有危害的可执行程序确定为恶意资源；监控恶意资源是否有访问请求；当有访问请求时，确定发出访问请求的主机为僵尸主机。本发明实施例通过主动获取网络中的数据报文，并对数据报文中的可执行程序进行安全性分析，然后监控访问有危害的可执行程序的请求主机地址，即可确定发出所述请求的主机为僵尸主机，从而在遭受到僵尸网络的攻击前主动地确定僵尸主机的位置，检测到僵尸网络的存在。