公开(公告)号：CN104618377A

公开(公告)日：2015-05-13

申请号：CN201510058355.0

申请日：2015-02-04

申请人： 上海交通大学

发明人： 邹福泰 ,  徐凯翼 ,  王佳慧 ,  任思君 ,  李建华

IPC分类号： H04L29/06

CPC分类号： H04L63/1408 ,  H04L63/1458 ,  H04L63/1483

摘要： 本发明提供一种基于NetFlow的僵尸网络检测系统包括：数据采集模块、预处理模块、节点评估模块、拓扑发现模块以及相关性分析模块，节点评估模块通过分析函数Fbot(vi)得到数据流i对应的疑似僵尸网络概率Pboti；相关性分析模块绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图，计算目标网络为僵尸网络的概率，如果大于设定阈值，目标网络为僵尸网络。本发明还提供一种僵尸网络检测方法。本发明结合了NetFlow流量分析的高效性，采用分析算法，计算得到每个节点与整个网络拓扑结构的威胁系数，结合目标网络具体的拓扑结构，对网络拓扑复杂、迁移性强、隐蔽性高、危害性大的僵尸网络进行准确的甄别。

公开(公告)号：CN104618377B

公开(公告)日：2018-01-30

申请号：CN201510058355.0

申请日：2015-02-04

申请人： 上海交通大学

发明人： 邹福泰 ,  徐凯翼 ,  王佳慧 ,  任思君 ,  李建华

IPC分类号： H04L29/06

摘要： 本发明提供一种基于NetFlow的僵尸网络检测系统包括：数据采集模块、预处理模块、节点评估模块、拓扑发现模块以及相关性分析模块，节点评估模块通过分析函数Fbot(vi)得到数据流i对应的疑似僵尸网络概率Pboti；相关性分析模块绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图，计算目标网络为僵尸网络的概率，如果大于设定阈值，目标网络为僵尸网络。本发明还提供一种僵尸网络检测方法。本发明结合了NetFlow流量分析的高效性，采用分析算法，计算得到每个节点与整个网络拓扑结构的威胁系数，结合目标网络具体的拓扑结构，对网络拓扑复杂、迁移性强、隐蔽性高、危害性大的僵尸网络进行准确的甄别。

公开(公告)号：CN103384245A

公开(公告)日：2013-11-06

申请号：CN201310210694.7

申请日：2013-05-30

申请人： 上海交通大学

发明人： 易平 ,  任思君 ,  邹福泰 ,  柳宁 ,  李建华

IPC分类号： H04L29/06 ,  H04L12/70

摘要： 一种无线网络中信道抢占攻击的防范方法：①两次更新NAV的防御方法建立在攻击节点行为像一个普通节点那样，仅通过故意延长Duration值来实施无线信道抢占攻击,即攻击节点在接收到目的节点的CTS后就发送Data数据包,且攻击节点收到ACK确认后进行第二次NAV更新；②目标节点（Dest）在收到Data数据包后再次更新自己及其周围邻居节点的NAV为一个SIFS加一个ACK数据包；发送节点（Src）在收到ACK数据包后，立即更新自己及周围邻居节点NAV为0。这样信道就不会因为先前设置的NAV而被长时间闲置，从而避免伪造Duration域的RTS/CTS占用信道攻击。