李丽辉
- 作品数:6 被引量:16H指数:1
- 供职机构:北京航空航天大学更多>>
- 发文基金:国家自然科学基金国家科技支撑计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 一种基于域名可读性及域名解析行为的可疑性检测方法
- 本发明公开了一种基于域名可读性及域名解析行为的可疑性检测方法,本方法是基于DNS访问日志检测出攻击活动中使用的域名。本发明方法首先从DNS访问日志中提取出域名字段,然后依据13维特征向量对域名字段可读性特征进行提取,并采...
- 李巍李丽辉李云春
- 文献传递
- 一种基于NACC对数据包进行网络流分类的SDN控制器
- 本发明公开了一种基于NACC对数据包进行网络流分类的SDN控制器,是在现有SDN控制器中增加了采用并行处理方式的NACC分类器线程;通过对OFPAK协议数据包进行去消息头、特征向量提取、分类器调度后,应用多个NACC分类...
- 李巍李国君于秀芬李丽辉
- 远控型木马通信三阶段流量行为特征分析
- 随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题。目前,木马是网络安全最严重的威胁之一,主要的检测方法是基于特征码的木马检测和基于行为的木马检测。论文从远程控制类型木马通信的三个阶段分析...
- 李巍李丽辉李佳林绅文严寒冰
- 关键词:木马检测
- 远控型木马通信三阶段流量行为特征分析被引量:16
- 2015年
- 随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题。目前,木马是网络安全最严重的威胁之一,针对木马的主要检测方法是基于特征码的木马检测和基于行为的木马检测。文章从远程控制类型木马通信的3个阶段分析其流量行为特征,发现木马在建立连接阶段会有动态DNS行为,在数据传输时报文会置推送标志位PSH为1,导致PSH报文数量增大;在命令交互阶段,上下行流量不对称,小数据包比例大;在保持连接阶段会有心跳数据包。文章通过实验比较了正常应用通信流量与远程控制类型木马通信流量在上述特征上的表现行为,分析它们的异同点,从而为木马流量行为特征识别提供依据。
- 李巍李丽辉李佳林绅文
- 关键词:木马检测
- 一种基于NACC对数据包进行网络流分类的SDN控制器
- 本发明公开了一种基于NACC对数据包进行网络流分类的SDN控制器,是在现有SDN控制器中增加了采用并行处理方式的NACC分类器线程;通过对OFPAK协议数据包进行去消息头、特征向量提取、分类器调度后,应用多个NACC分类...
- 李巍李国君于秀芬李丽辉
- 文献传递
- 一种基于域名可读性及域名解析行为的可疑性检测方法
- 本发明公开了一种基于域名可读性及域名解析行为的可疑性检测方法,本方法是基于DNS访问日志检测出攻击活动中使用的域名。本发明方法首先从DNS访问日志中提取出域名字段,然后依据13维特征向量对域名字段可读性特征进行提取,并采...
- 李巍李丽辉李云春
