公开(公告)号：CN106790175B

公开(公告)日：2019-09-17

申请号：CN201611249823.3

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李浩 ,  皮靖 ,  闫凡

IPC: H04L29/06

Abstract: 本发明公开一种蠕虫事件的检测方法及装置，所述方法包括：针对每个发送设备确定特征向量，所述特征向量中包含接收设备的第一接收次数，接收端口的第二接收次数，及数据包的大小及数量；对特征向量进行聚类处理；根据蠕虫标准点对应的特征向量，确定目标聚类；针对每个目标特征向量，对发送设备和接收设备对应的可疑次数进行更新，判断更新后的该可疑次数大于设定的次数阈值时，确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。由于在本发明实施例中，电子设备能够根据发送设备和接收设备之间的数据传输，确定对应的特征向量，通过聚类处理进行蠕虫事件的检测，因此不需要检测数据包内容即可实现蠕虫事件的检测。

公开(公告)号：CN106790175A

公开(公告)日：2017-05-31

申请号：CN201611249823.3

申请日：2016-12-29

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李浩 ,  皮靖 ,  闫凡

IPC: H04L29/06

Abstract: 本发明公开一种蠕虫事件的检测方法及装置，所述方法包括：针对每个发送设备确定特征向量，所述特征向量中包含接收设备的第一接收次数，接收端口的第二接收次数，及数据包的大小及数量；对特征向量进行聚类处理；根据蠕虫标准点对应的特征向量，确定目标聚类；针对每个目标特征向量，对发送设备和接收设备对应的可疑次数进行更新，判断更新后的该可疑次数大于设定的次数阈值时，确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。由于在本发明实施例中，电子设备能够根据发送设备和接收设备之间的数据传输，确定对应的特征向量，通过聚类处理进行蠕虫事件的检测，因此不需要检测数据包内容即可实现蠕虫事件的检测。