公开(公告)号：CN116633640A

公开(公告)日：2023-08-22

申请号：CN202310626971.6

申请日：2023-05-30

Applicant: 清华大学

Inventor： 张甲 ,  张镇睿 ,  付卓群 ,  李想 ,  段海新

IPC: H04L9/40

Abstract: 本发明提供一种主被动结合的挖矿行为检测方法和装置，包括：基于流量指纹信息获取挖矿流量，其中，所述挖矿流量是指矿机和矿池服务器之间的通信流量，所述流量指纹信息包括通信过程中产生的文本信息；基于所述挖矿流量得到至少一个待检测目标地址；向所述待检测目标地址发送矿池探测报文，得到探测响应，基于所述探测响应得到检测结果；其中，所述矿池探测报文是基于所述流量指纹信息构建得到的。本发明通过流量指纹信息获取挖矿流量，以挖矿流量的矿池信息为基础进行扩充，实现挖矿行为的检测，本发明通过被动监听和主动探测的方法检测网络中的挖矿流量，发现网络中的挖矿设备和矿池地址，普适性较高、效率较高。

公开(公告)号：CN115567317A

公开(公告)日：2023-01-03

申请号：CN202211391725.9

申请日：2022-11-08

Applicant: 奇安信科技集团股份有限公司 ,  清华大学

Inventor： 付卓群 ,  刘明烜 ,  郑恩南 ,  张甲 ,  郑晓峰 ,  段海新

IPC: H04L9/40

Abstract: 本申请涉及网络安全技术领域，提供一种加密恶意流量检测方法及装置。所述方法包括：从至少一个主机与至少一个服务端之间的各连接路径中，将任一连接路径作为初始路径，随机对各连接路径进行遍历，获取与初始路径对应的路径连接列表；根据初始路径的路径连接列表，确定初始路径的目标向量；根据各目标向量中，初始路径与各主机的目标主机对应的各流向量，确定目标主机的加密恶意流量检测结果；其中，各连接路径与主机与服务端之间的各次网络连接一一对应。本申请实施例提供的加密恶意流量检测方法，能够提高对加密恶意流量的检测准确性。