公开(公告)号：CN113489744A

公开(公告)日：2021-10-08

申请号：CN202110847302.2

申请日：2021-07-27

Applicant: 哈尔滨工业大学

Inventor： 张伟哲 ,  江家伟 ,  何慧 ,  王焕然 ,  方滨兴

IPC: H04L29/06 ,  G06K9/62

Abstract: 一种基于霍克斯多元过程建模的物联网攻击模式识别方法，属于物联网攻击模式识别技术领域，用以解决现有的物联网攻击模式识别方法不能准确有效地识别僵尸网络中同一个受控僵尸主机行为模式不一致的问题。本发明的技术要点包括：首先通过一组蜜罐来捕获足够多的真实攻击者活动，然后提出一种改进的DBScan算法来精简海量数据规模；然后提出一种基于控制周期检测的僵尸网络聚类算法来推断僵尸网络控制不同僵尸主机的时间片段，并根据加权的潜在影响以细粒度的方式将攻击者活动聚集到僵尸网络中。本发明以控制期的粒度对僵尸网络进行进一步识别，解决了由于不同僵尸网络占有时间段不同而导致的同一个受控主机行为模式不一致的问题。

公开(公告)号：CN113489744B

公开(公告)日：2022-05-10

申请号：CN202110847302.2

申请日：2021-07-27

Applicant: 哈尔滨工业大学

Inventor： 张伟哲 ,  江家伟 ,  何慧 ,  王焕然 ,  方滨兴

IPC: H04L9/40 ,  G06K9/62

Abstract: 一种基于霍克斯多元过程建模的物联网攻击模式识别方法，属于物联网攻击模式识别技术领域，用以解决现有的物联网攻击模式识别方法不能准确有效地识别僵尸网络中同一个受控僵尸主机行为模式不一致的问题。本发明的技术要点包括：首先通过一组蜜罐来捕获足够多的真实攻击者活动，然后提出一种改进的DBScan算法来精简海量数据规模；然后提出一种基于控制周期检测的僵尸网络聚类算法来推断僵尸网络控制不同僵尸主机的时间片段，并根据加权的潜在影响以细粒度的方式将攻击者活动聚集到僵尸网络中。本发明以控制期的粒度对僵尸网络进行进一步识别，解决了由于不同僵尸网络占有时间段不同而导致的同一个受控主机行为模式不一致的问题。