公开(公告)号：CN106576051B

公开(公告)日：2019-01-01

申请号：CN201580039858.1

申请日：2015-06-23

申请人： 迈克菲股份有限公司

发明人： M·库马

IPC分类号： H04L12/22 ,  H04L9/00 ,  H04L29/06

CPC分类号： H04L63/1433 ,  H04L63/0227 ,  H04L63/0281 ,  H04L63/1441 ,  H04L63/145 ,  H04L63/20 ,  H04L67/02 ,  H04L67/2842 ,  H04L2463/144 ,  H04L2463/146

摘要： 一种允许在网络通信量中关联主机应用和用户代理、并且不依赖于用户代理的签名而检测可能的恶意软件的技术。维持主机应用和用户代理的数据库，当发现新应用或者新应用到用户代理的映射时允许数据库的自动更新.当对应用作出改变时可以进行部分匹配，允许自动学习新映射。如果应用与多于阈值数量的用户代理相关联，可以生成应用是可疑的并且可能是恶意软件的指示。

公开(公告)号：CN108833406A

公开(公告)日：2018-11-16

申请号：CN201810613475.6

申请日：2018-06-14

申请人： 北京云端智度科技有限公司

发明人： 刘晓光 ,  汪志武 ,  赵子毅 ,  张晴晴

IPC分类号： H04L29/06 ,  H04L29/12

CPC分类号： H04L63/0236 ,  H04L61/1511 ,  H04L63/1425 ,  H04L63/1458 ,  H04L2463/144 ,  H04L2463/146

摘要： 本发明涉及安全防护技术领域，具体涉及一种基于多层级自行调整限速的流量控制安全防护技术，该技术方案能有效过滤不同类型DDoS攻击流量，最大限度保证正常用户的DNS访问。多层级自行调整限速可防止某一地址段或者对某些域名的查询流量占用太多资源，从而影响整体系统性能。当出现局部IP段或域名段查询流量异常变大，则可能是DDoS攻击所造成，则可通过多层级限速实现防御功能，设置矩阵的顺序自行调节技术，保证了在新的周期内，数据包首先经过丢弃数据包最多的矩阵，这样就尽可能地减少了数据经历矩阵的数量，从而节省了系统计算资源的开销。

公开(公告)号：CN107046586A

公开(公告)日：2017-08-15

申请号：CN201710243526.6

申请日：2017-04-14

申请人： 四川大学

发明人： 陈兴蜀 ,  朱毅 ,  江天宇 ,  曾雪梅 ,  陈敬涵

IPC分类号： H04L29/12 ,  H04L29/06

CPC分类号： H04L61/1511 ,  H04L63/1441 ,  H04L63/1483 ,  H04L2463/144

摘要： 本发明公开了一种基于类自然语言特征的算法生成域名检测方法，包括以下步骤：步骤1：选取域名语料库，并针对域名语料库使用特征提取模块进行特征提取；步骤2：针对域名语料库进行参数学习，得到各项特征的系统参数，获得基于语料库的检测模型；步骤3：通过数据包嗅探模块获取DNS服务器的请求域名信息；步骤4：根据请求域名信息使用特征提取模块进行特征提取；步骤5：在真实环境中根据检测模型对域名进行检测。本发明可以检测出层出不穷的新型算法生成域名，对域名进行分级分别对每级域名进行特征提取，提高了检测的精确度。

公开(公告)号：CN103283202B

公开(公告)日：2017-04-12

申请号：CN201180046900.4

申请日：2011-02-15

申请人： 麦克菲公司

发明人： R.巴加瓦 ,  D.P.小里斯

IPC分类号： H04L29/06

CPC分类号： H04L63/20 ,  H04L63/02 ,  H04L63/10 ,  H04L63/1408 ,  H04L63/1416 ,  H04L63/164 ,  H04L2463/144

摘要： 在一种范例实施方式中，一种方法包括接收第一计算装置上与网络访问企图相关的信息，其中所述信息识别与所述网络访问企图相关联的软件程序文件。该方法还包括评估第一标准以确定是否许可与软件程序文件相关联的网络流量，并且然后创建约束规则，以便如果不许可网络流量则阻止网络流量。第一标准包括软件程序文件的信任状态。在具体实施例中，该方法包括向网络保护装置推送所述约束规则，所述网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。在更具体的实施例中，该方法包括搜索识别值得信任的软件程序文件的白名单以确定所述软件程序文件的信任状态。

公开(公告)号：CN106506545A

公开(公告)日：2017-03-15

申请号：CN201611191530.4

申请日：2016-12-21

申请人： 深圳市深信服电子科技有限公司

发明人： 王云浩 ,  杨峰

IPC分类号： H04L29/06

CPC分类号： H04L63/145 ,  H04L63/0815 ,  H04L63/1416 ,  H04L63/20 ,  H04L2463/144

摘要： 本发明公开了一种网络安全威胁评估系统和方法，该系统包括：客户端模块、安全网关模块和云端扫描平台模块；客户端模块用于向云端扫描平台模块发送攻击请求信息以及根据安全网关模块对攻击数据的安全检测的结果进行分析和评估；云端扫描平台模块用于根据攻击请求信息向客户端模块反馈对应的攻击数据；安全网关模块用于对攻击请求信息和攻击数据进行安全检测。安全网关模块会对攻击数据进行拦截防御，客户端模块即可获取拦截防御的结果，只需操作客户端模块访问云端扫描平台模块即可，无需复杂的安装环境，用户也无需具备专业的安全检测知识，使得网络安全的检测更加简单易行，无无需专门配置网络安全检测设备，降低了网络安全检测的成本。

公开(公告)号：CN101883020B

公开(公告)日：2015-11-25

申请号：CN201010170922.9

申请日：2010-04-29

申请人： 丛林网络公司

发明人： 布赖恩·伯恩斯 ,  克里希纳·纳拉亚纳斯瓦米

IPC分类号： H04L12/26 ,  H04L29/06 ,  H04L29/08

CPC分类号： H04L63/1441 ,  H04L63/14 ,  H04L63/1416 ,  H04L2463/144

摘要： 本发明公开描述了用于确定网络会话是否由自动软件代理发起的检测恶意网络软件代理的技术。在一个实例中，一种诸如路由器的网络设备包括：网络接口，用于接收网络会话的数据包；机器人检测模块，用于基于多个指标计算网络会话数据的多个分数，以根据多个分数的合计生成总分，并在总分超过阈值时确定网络会话由自动软件代理发起，其中，指标中的每一个对应于自动软件代理发起的网络会话的特征；以及攻击检测模块，用于在确定网络会话由自动软件代理发起时，执行程序化响应。每个分数均表示网络会话由自动软件代理发起的可能性。

公开(公告)号：CN104871580A

公开(公告)日：2015-08-26

申请号：CN201380066544.1

申请日：2013-12-17

申请人： 皇家KPN公司 ,  荷兰应用自然科学研究组织

发明人： F.弗兰森 ,  S.德基伊维特

IPC分类号： H04W12/12 ,  H04L29/06 ,  H04W88/16

CPC分类号： H04L63/10 ,  G06F2221/2149 ,  H04L63/1416 ,  H04L63/1441 ,  H04L2463/142 ,  H04L2463/144 ,  H04W12/00 ,  H04W12/12 ,  H04W36/08 ,  H04W88/16

摘要： 描述了当怀疑移动设备正在被或者已经发现被导致其在网络内表现恶意或侵略的恶意软件或病毒传染时控制电信网络内的移动电信设备的系统。电信网络被布置成标识电信设备并且限制移动电信设备与电信网络之间的通信。这可以意味着限制移动电信设备与电信网络之间的承载的带宽或者可以意味着限制移动电信设备与特定位置之间的通信。在另外的实施例中，电信网络通过将移动电信设备的附着转移到第二网络或者维护设备的列表并且将所标识的移动电信设备添加到所述列表来隔离所标识的设备。

公开(公告)号：CN102238044B

公开(公告)日：2013-05-08

申请号：CN201010163239.2

申请日：2010-04-30

申请人： 中国人民解放军国防科学技术大学

发明人： 李润恒 ,  贾焰 ,  杨树强 ,  李爱平 ,  周斌 ,  韩伟红 ,  甘亮 ,  王小伟

IPC分类号： H04L12/26 ,  H04L29/06

CPC分类号： H04L63/1416 ,  H04L2463/144

摘要： 本发明提供一种同源僵尸网络判别方法，包括：根据僵尸网络数据计算僵尸网络的通讯量特征与通讯频率特征，得到相应的通讯量日周期曲线与通讯频率日周期曲线；从所述通讯量日周期曲线与通讯频率日周期曲线中提取各自的特征点，根据所述特征点分别生成通讯量标准化形状曲线以及通讯频率标准化形状曲线；计算所要比较的僵尸网络对的通讯量标准化形状曲线间的第一欧式距离以及通讯频率标准化形状曲线的第二欧氏距离，根据所述第一欧式距离与所述第二欧式距离判断所要比较的僵尸网络对是否属于同源僵尸网络。本发明的方法判别同源僵尸网络的准确率较高。

公开(公告)号：CN101588276B

公开(公告)日：2012-09-19

申请号：CN200910142292.1

申请日：2009-06-29

申请人： 成都市华为赛门铁克科技有限公司

发明人： 蒋武

IPC分类号： H04L12/26 ,  H04L12/56 ,  H04L29/06

CPC分类号： H04L63/1416 ,  H04L2463/144

摘要： 本发明实施例公开了一种检测僵尸网络的方法及其装置，该方法为：获取网络中的数据报文；对数据报文中的可执行程序进行安全性分析，将有危害的可执行程序确定为恶意资源；监控恶意资源是否有访问请求；当有访问请求时，确定发出访问请求的主机为僵尸主机。本发明实施例通过主动获取网络中的数据报文，并对数据报文中的可执行程序进行安全性分析，然后监控访问有危害的可执行程序的请求主机地址，即可确定发出所述请求的主机为僵尸主机，从而在遭受到僵尸网络的攻击前主动地确定僵尸主机的位置，检测到僵尸网络的存在。

公开(公告)号：CN102104506A

公开(公告)日：2011-06-22

申请号：CN200910261203.5

申请日：2009-12-17

申请人： 中国人民解放军国防科学技术大学

发明人： 李润恒 ,  贾焰 ,  邹鹏 ,  吴泉源

IPC分类号： H04L12/26 ,  H04L29/06

CPC分类号： H04L63/1416 ,  H04L2463/144

摘要： 本发明提供一种僵尸网络相似性度量的训练方法，包括：从僵尸网络数据中提取僵尸网络的通讯量，由通讯量计算通讯量单位周期函数，进而计算所要比较的僵尸网络的通讯量单位周期曲线距离；从僵尸网络数据中提取僵尸网络的通讯量以及被控主机的个数，由通讯量以及被控主机的个数计算通讯频率，得到通讯频率单位周期函数以及该函数所对应的通讯频率单位周期曲线，进而计算所要比较的僵尸网络的通讯频率单位周期曲线距离；从僵尸网络数据中提取被控主机的IP地址，对被控主机的IP地址做聚集操作，得到僵尸网络的被控主机集合，由所要比较的僵尸网络的被控主机集合计算所述所要比较的僵尸网络的被控主机重叠率；生成相似性度量函数。