CN100531073C - 一种基于状态检测的协议异常检测方法及系统 - Google Patents
一种基于状态检测的协议异常检测方法及系统 Download PDFInfo
- Publication number
- CN100531073C CN100531073C CNB2007101207220A CN200710120722A CN100531073C CN 100531073 C CN100531073 C CN 100531073C CN B2007101207220 A CNB2007101207220 A CN B2007101207220A CN 200710120722 A CN200710120722 A CN 200710120722A CN 100531073 C CN100531073 C CN 100531073C
- Authority
- CN
- China
- Prior art keywords
- protocol
- state
- agreement
- normal
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种基于状态检测的协议异常检测方法及系统。协议正常运行状态模型的建立包括协议形式化描述语法的检查和相关协议状态机的生成;协议运行状态定位阶段实现对于具体网络通信数据报文在当前会话中所使用协议状态的准确定位;协议运行状态迁移阶段实现了对定位后的协议状态进行下一步可能进行的状态迁移的预测并生成正常状态迁移集合;异常检测阶段通过获取的后续报文及预测状态迁移集合判断当前协议运行是否符合协议标准模型并返回检测结果。能够在网络协议通信过程中根据实际抓获的报文当中使用的具体协议进行相关的协议异常检测,并能够根据实际需要方便的进行协议正常运行模型的扩展。
Description
技术领域
本发明属于网络技术领域,依据网络数据流中报文所使用的协议规范进行协议异常检测,尤其涉及一种可用于入侵检测系统及审计产品中的基于状态检测的协议异常检测方法及系统。
背景技术
入侵检测系统(IDS-Intrusion Detection System)作为网络安全防护的重要手段,通常部署在关键网络内部或网络边界入口处,实时捕获网络内或进出网络的报文数据流并进行智能综合分析,发现可能的入侵行为并采取相应处理。目前的入侵检测方法主要分为误用检测技术和异常检测技术。异常检测可以检测出已知的和未知的攻击,但是正常行为模型的建立只能依据国际标准并采用人工智能、机器学习算法等来生成,需要大量的数据和时间,并且在不同的网络环境当中,正常的网络使用表现出不同的标准模型,其正常模型的建立是否准确直接影响到入侵检测或审计的准确性,因此尽管该技术得到了广泛的关注却依然没有被广泛的应用到实际产品当中。目前入侵检测系统使用的误用检测机制尽管对于已知攻击检测准确、效率高,但是无法有效的检测和防御未知攻击,因此综合需求和效率的考虑需要增加协议异常检测的处理机制。协议异常检测主要考虑根据各种协议的标准,建立正常的协议运行模型,对于明显违背网络通信协议标准请求注解(RFC-Request For Comments)中规定的协议规范的,则报警。例如拒绝服务攻击(SYN flood attack)中攻击者不断发送虚拟源IP地址的SYN,使得服务器端的连接服务对于正常连接不可用,这种情况下对于传输控制协议TCP的使用是偏离正常模型的。这个原因主要是由于大多数操作系统和应用软件都是在假定RFC被严格遵守的情况下编写的,没有添加针对异常数据的错误处理程序,所以许多协议漏洞的利用都会故意违反RFC的标准定义以实现某种方式的攻击。
目前的入侵检测产品及技术主要应用了误用检测技术实现,因为异常检测技术正常模型建立困难,检测效率较低。在误用检测的过程中主要是通过特征匹配的方式来实现。工作方式是针对已知的攻击提取特征,在网络抓包的过程中进行攻击特征的匹配以判断是否存在攻击。传统的检测技术主要是针对已知攻击并且能够提取明显攻击特征进行的,而某些攻击实际上是针对数据包使用的协议规范进行的,如SYN flood attack,Teardrop Attack等。随着网络应用的不断丰富和高速网络技术的不断发展,攻击的变种日益繁多而且变更极快,对于每一种出现的攻击进行特征提取再进行误用检测显然是不适合入侵检测及防御的实时性要求的,也就是说仅仅使用误用检测是非常被动的。同时考虑很多的新型攻击和已知攻击的变种实际上是针对协议规范的某一部分或某些部分,这些攻击所体现出的异常行为具有类似的原理,异常检测技术的研究与实施已经成为国内外的重点课题。目前绝大多数的入侵检测产品或审计产品当中的协议异常检测主要针对的是违背协议格式规范的行为,而很多的攻击实际上并没有违背协议规定的数据报文格式,而是违背协议的运行状态,例如中断,篡改协议的运行过程等。目前具有完备的协议异常检测功能的产品非常缺乏,因此有必要发展完备的易于扩展的协议异常检测技术,尽可能的弥补误用检测技术的不足,在更大的范围内提升入侵检测或审计系统对于未知攻击的检测和防御能力。该协议异常检测技术必须满足以下要求:
根据网络通信协议标准RFC尽可能多的建立各种协议运行正常状态模型,能够准确的描述协议正常运行过程;尽可能多的准确识别通信过程中违反协议正常模型的异常行为,并有相应的风险评估机制判断攻击是否存在及危害程度,以提高入侵检测系统对于未知攻击的防御能力;具有很好的可扩展性,对于某些新型的协议或特定环境下协议的特殊使用,可以灵活的调整正常协议模型以保证入侵检测/审计的准确性;具有非常高的协议异常检测效率,算法实现尽可能简单;方法通用性强,并要求协议异常检测准确率高。
发明内容
为了克服现有技术的不足,本发明提供一种基于状态检测的协议异常检测方法及系统。
本发明解决其技术问题所采用的技术方案是:
一种基于状态检测的协议异常检测方法,包含:
建立协议正常运行状态模型的步骤;
协议运行状态定位的步骤;
协议运行状态迁移的步骤;
异常检测的步骤;
其中,所述的协议正常运行状态模型建立阶段步骤主要包括协议正常运行状态形式化描述和状态机的建立;
协议运行状态定位主要是依据实际捕获的网络报文结合以建立的正常运行状态模型识别正在运行的协议及当前会话所处协议状态;
在协议运行状态迁移阶段主要根据当前协议运行状态定位及该协议的状态机模型进行状态迁移并输出该协议下一步可能的状态迁移集合;
在异常检测阶段根据上一阶段输出的可能状态迁移集合和实际捕获的后续数据报文判断协议的运行是否符合标准模型。
所述建立协议正常运行状态模型进一步包含:制订形式化描述的语法规则,以该语法对协议进行形式化的描述,利用语法检测装置自动验证输入的协议形式化描述是否符合预定语法规则。
所述建立协议正常运行状态模型进一步包含:使用自动生成算法自动生成该协议的状态机。
所述协议运行状态定位进一步包含:将已建立的协议正常运行状态机及实际网络捕获数据报文作为输入,采用多模式匹配算法定位当前会话当中使用的协议运行所处状态,以形式化语言描述该状态。
所述协议运行状态迁移进一步包含:以协议运行状态定位输出为输入,根据对应协议状态机的描述,预测协议下一步运行的迁移状态,并将触发该迁移的数据报文作为输出,形成协议状态可能迁移集合。
所述异常检测进一步包含:以协议运行状态迁移阶段输出的可能迁移状态集合和实际捕获的后续网络数据报文为输入,进行模式匹配,匹配成功则修改协议当前状态,否则输出异常报警。
一种协议异常检测系统,包含:
用于对添加的协议形式化描述模型进行解释并验证是否符合语法的规则的语法解释器;
用于存储通过语法检测阶段的协议合法形式化描述及生成相应的协议状态机的实际协议正常模型库;
用于根据实际网络报文对当前会话当中协议状态进行准确定位的协议运行状态定位模块;
用于对定位后的协议状态进行下一步的状态迁移预测,并生成协议状态可能迁移集合的协议预测迁移模块;
用于通过获取的后续报文及协议状态可能迁移集合,判断当前协议运行是否符合协议正常运行状态模型,并返回检测结果的异常检测模块。
所述的语法解释器,与实际协议正常模型库连接,为实际协议正常模型库的建立提供形式化描述数据;所述的实际协议正常模型库,与协议运行状态定位模块连接,在实际检测过程中协议运行状态定位模块依据协议正常模型库提供的正常模型和当前捕获的网络数据报文对当前报文在模型当中所处状态进行定位;所述的协议运行状态定位模块,和协议预测迁移模块连接,依据协议正常模型库当中该协议的正常运行模型结合当前所处状态预测下一步可能迁移的状态集合;所述的协议预测迁移模块,和异常检测模块连接,异常检测模块依据收到的后续报文状态与预测的状态集合进行匹配判断当前协议运行是否正常。
本发明的有益效果是,本发明解决了传统IDS及审计产品中仅仅依赖误用检测对于所有数据包的载荷部分进行模式匹配所带来的无法准确检测并抵御未知攻击的问题,是误用检测的有效的补充。同时在协议的正常模型生成时主要参考的是RFC当中对协议的规范设定,因此可以检测出很多攻击的变种或新的攻击。本发明采用了功能强大的语法解释器使得本系统的扩展变得非常方便,可自动生成符合语法描述的协议的正常运行模型,因此在进行协议正常模型添加及扩展的时候无需对系统进行大的改动,可广泛应用于IDS审计等网络安全产品中。
附图说明
图1为本发明的协议异常检测系统结构示意图;
图2为本发明的协议异常检测方法流程图。
下面结合附图和实施例对本发明进一步说明。
具体实施方式
有关本发明的技术内容及详细说明,现配合附图说明如下:
如图1所示,本发明提供一种基于状态检测的协议异常检测系统,包含语法解释器1、实际协议正常模型库2、协议运行状态定位模块3、协议预测迁移模块4和异常检测模块5。其中,语法解释器1用于对添加的协议形式化描述模型进行解释并验证是否符合语法的规则;实际协议正常模型库2用于存储通过语法检测阶段的协议合法形式化描述及进一步生成的相应协议状态机;协议运行状态定位模块3用于根据实际网络报文对当前会话当中协议状态进行准确定位;协议预测迁移模块4用于对定位后的协议状态进行下一步可能进行的状态迁移的预测并生成正常状态迁移集合;异常检测模块5用于通过获取的后续报文及预测状态迁移集合判断当前协议运行是否符合协议标准模型并返回检测结果。
如图2所示,本发明还提供一种基于状态检测的协议异常检测方法,包含协议正常运行状态模型的建立、协议运行状态定位、协议运行状态迁移及异常检测。首先,进行协议正常运行状态形式化描述和状态机的建立(步骤S101);其次,依据实际捕获的网络报文结合已建立的正常运行状态模型,识别正在运行的协议及当前会话所处协议状态(步骤S102);然后,根据当前协议运行状态定位及该协议的状态机模型进行状态迁移,并输出该协议状态可能迁移集合(步骤S103);再次,根据上一阶段输出的协议状态可能迁移集合和实际捕获的后续数据报文判断协议的运行是否符合标准模型(步骤S104);如果匹配成功则说明协议运行正常,并修改协议运行状态为实际迁移状态(步骤105),继续后续的协议异常检测;如果匹配失败则说明协议运行异常,产生报警(步骤106)。
协议正常运行状态模型建立阶段方法如下:
首先选择适当的形式化描述语言对协议的运行过程、各个协议变量及状态标识进行统一的形式化描述;对于每一种协议根据通用的RFC协议标准,采用该形式化语言进行描述并调用词法分析器和语法分析器对输入语法进行词法分析和语法分析,以此判断该协议的形式化描述是否符合预先设定的语法规则。如果通过了语法检测说明该协议的形式化描述符合预先设定的语法规则,则以此描述作为下一步生成该协议的状态机的依据。接下来根据协议的形式化描述建立该协议的状态机并以此作为该协议的正常行为模型供异常检测使用。
协议运行状态定位阶段具有如下步骤:
结合已确定的协议类别将实际捕获的网络通信报文和已建立的相应协议状态机作为输入,使用多模式匹配算法确定当前捕获的通信报文在相应协议状态机中所处位置,即定位该报文在当前协议会话当中所处状态作为下一阶段进行相关状态迁移的输入。
协议运行状态迁移阶段:
以协议运行状态定位阶段的输出作为输入,严格按照协议正常状态机模型进行预测性的状态迁移。在此阶段需要输出可能的迁移状态,即协议下一步收到某一数据报文后将要进入的状态。此阶段以可能迁移到的下一步状态需要接收的数据报文类型作为输出,该输出将作为下阶段实际异常检测的匹配模式集合。
异常检测阶段:
此阶段以协议运行状态迁移阶段输出的预测状态集合和实际接收到的后续数据报文作为输入,以多模式匹配的方式检测收到的后续报文是否包含在预测状态集合当中,如果匹配成功则说明协议运行正常,并修改协议运行状态定位阶段定位的协议状态为实际迁移状态,继续后续的协议异常检测。如果匹配失败则说明协议运行异常,产生报警。
在实际运行中,以TCP握手过程为例,是按照如下方法进行操作的:
A.协议正常运行状态模型的建立阶段;
首先,TCP握手过程,可定义为一个6元组(<S,s0,E,f,V,X>)这里S表示状态集合,s0表示初始状态,E表示参数列表,f是状态转移函数,V是局部变量集合,X是符号集。一旦发生某一事件触发状态转移则由状态转移函数确定状态转移的输出状态。所谓状态转移即转移前的状态符合协议运行过程中的某一状态并且该触发事件符合某一转移条件。TCP握手过程初始状态可以描述如表1:
[1]S0=listen
[2]E={send(ip_id,flags),recv(ip_id,flags)}
[3]f:{f(listen,recv(ip_id,SYN),ip_seq_per_id=0)->(syn_rcvd,ip_seq_per_id=ip_seq_per_id+ip_seq,SYN,ACK),
[4]V=ip_seq_per_id,ip_seq
[5]X=ACK,SYN,FIN
表1中:
第一行设定初始状态为监听,即有没有TCP连接触发;
第二行标识当前参数,即可发送的ip和接收ip;
第三行此状态转移函数标识当收到TCP连接请求的SYN报文之后,将当前监听状态转移到synr_cvd,表示已接收到相关连接请求,并且将ip链表当中的指针增加一位,标识当前连接在列表中的位置,同时准备发送SYN_ACK报文
第四行标识当前协议状态所使用的变量为ip_seq_per_id,ip_seq。
第五行标识描述当前状态所使用的符号集合。
本发明使用了lex词法分析器进行输入语句的词法分割。随后将分割后的结果作为语法检测的输入,采用yacc语法分析器作为工具进行相应的语法分析,将符合语法输入规则的协议形式化描述作为本阶段的输出结果,存储在实际协议正常模型库2,供接下来的协议状态机建立使用。
接下来按照上述形式化模型描述使用自动生成算法建立相应的协议正常模型状态机
B.协议运行状态定位阶段;
在生成协议正常模型状态机之后,通过协议运行状态定位模块3结合实际捕获的网络通信报文进行当前数据报文运行状态的定位。本发明采用多模式匹配算法,以协议正常模型状态机各个状态的形式化描述为模式,以实际数据报文为样本,唯一的确定当前报文在当前会话使用的协议当中所处的位置,即当前状态。此时可沿用相同的形式化描述方式对当前状态进行表示并作为状态迁移阶段的输入。如在TCP握手协议当中以SYN_SENT为当前状态描述,则在实际捕获报文过程当中发现客户端发送了SYN数据报文,则可以将该客户端当前状态设定为SYN_SENT。
C.协议运行状态迁移阶段
此阶段实际上可以看作是一个预测阶段,按照协议正常运行模型的表述,当接收到特定类型数据报文之后,当前协议运行将进入下一个状态。例如TCP握手过程,当发出SYN报文之后根据后续接收到的不同类型报文,协议可能进入到建立、关闭等不同的后续状态。此时协议预测迁移模块4确定可能迁移的后续状态,及对后续可能发生的状态迁移进行预测,并将触发这些可能的状态迁移的条件集合作为本阶段的输出提供给异常检测模块作为检测的标准。
D.异常检测阶段
异常检测模块5收到协议运行状态迁移阶段提供的可能状态迁移集合之后,以实际捕获的同一会话当中使用相同协议的后续数据报文作为样本输入,与可能的状态迁移集合进行逐个比对,如果比对成功说明协议后续报文符合正常模型则协议运行正常,否则报警。在此阶段实际上是对协议运行状态迁移阶段产生的预测状态集进行验证。在匹配成功时还需要相应的修改协议运行状态定位阶段定位的当前协议状态,为实际状态迁移之后的新状态,以进一步进行后续异常检测。TCP握手过程,如收到SYN ACK包则进入建立状态,超过时间间隔则进入关闭状态。
上述仅为本发明的较佳实施例而已,并非用来限定本发明实施范围。即凡依本发明申请专利范围所做的均等变化与修饰,皆为本发明专利范围所涵盖。
Claims (3)
1.一种基于状态检测的协议异常检测方法,其特征在于包含以下步骤:
建立协议正常运行状态模型的步骤;
协议运行状态定位的步骤;
协议运行状态迁移的步骤;
异常检测的步骤;
所述建立协议正常运行状态模型进一步包含:制订形式化描述的语法规则,以该语法规则对协议进行形式化的描述,利用语法检测装置自动验证输入的协议形式化描述是否符合预定语法规则;
所述建立协议正常运行状态模型进一步包含:使用自动生成算法自动生成该协议的状态机;
所述协议运行状态定位进一步包含:将已建立的协议正常运行状态机及实际网络捕获数据报文作为输入,采用多模式匹配算法定位当前会话当中使用的协议运行所处状态,以形式化语言描述该状态;
所述协议运行状态迁移进一步包含:以协议运行状态定位输出为输入,根据对应协议状态机的描述,预测协议下一步运行的迁移状态,并将触发该迁移的数据报文作为输出,形成协议状态可能迁移集合;
所述异常检测进一步包含:以协议运行状态迁移阶段输出的可能迁移状态集合和实际捕获的后续网络数据报文为输入,进行模式匹配,匹配成功则修改协议当前状态,否则输出异常报警。
2.一种基于状态检测的协议异常检测系统,其特征在于,包括:
用于对添加的协议形式化描述模型进行解释并验证是否符合语法的规则的语法解释器;
用于存储通过语法检测阶段的协议合法形式化描述及生成相应的协议状态机的实际协议正常模型库;
用于根据实际网络报文对当前会话当中协议状态进行准确定位的协议运行状态定位模块;
用于对定位后的协议状态进行下一步的状态迁移预测,并生成协议状态可能迁移集合的协议预测迁移模块;
用于通过获取的后续报文及协议状态可能迁移集合,判断当前协议运行是否符合协议正常运行状态模型,并返回检测结果的异常检测模块。
3.根据权利要求2所述的一种协议异常检测系统,其特征在于:所述的语法解释器,与实际协议正常模型库连接,为实际协议正常模型库的建立提供形式化描述数据;所述的实际协议正常模型库,与协议运行状态定位模块连接,在实际检测过程中协议运行状态定位模块依据实际协议正常模型库提供的正常模型和当前捕获的网络数据报文对当前报文在模型当中所处状态进行定位;所述的协议运行状态定位模块,和协议预测迁移模块连接,依据协议正常模型库当中该协议的正常运行模型结合当前所处状态预测下一步可能迁移的状态集合;所述的协议预测迁移模块,和异常检测模块连接,异常检测模块依据收到的后续报文状态与预测的状态集合进行匹配,判断当前协议运行是否正常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101207220A CN100531073C (zh) | 2007-08-24 | 2007-08-24 | 一种基于状态检测的协议异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101207220A CN100531073C (zh) | 2007-08-24 | 2007-08-24 | 一种基于状态检测的协议异常检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101119241A CN101119241A (zh) | 2008-02-06 |
| CN100531073C true CN100531073C (zh) | 2009-08-19 |
Family
ID=39055193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007101207220A Expired - Fee Related CN100531073C (zh) | 2007-08-24 | 2007-08-24 | 一种基于状态检测的协议异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100531073C (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964922B (zh) * | 2009-07-23 | 2015-05-06 | 中兴通讯股份有限公司 | 异常情况捕捉方法及装置 |
| CN101673200B (zh) * | 2009-10-15 | 2015-10-21 | 中兴通讯股份有限公司 | 用户输入模型的检测方法及装置 |
| NL2007180C2 (en) | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
| CN103516703A (zh) * | 2012-06-29 | 2014-01-15 | 西门子公司 | 一种数据报文检测方法和设备 |
| CN103116168B (zh) * | 2013-02-01 | 2015-02-04 | 珠海德百祺科技有限公司 | 一种导航定位装置的异常检测及处理方法和装置 |
| CN103269290B (zh) * | 2013-04-18 | 2016-04-13 | 中国移动通信集团陕西有限公司 | 基于案例库智能分析网络异常的方法和装置 |
| CN104363131B (zh) * | 2014-10-14 | 2017-11-21 | 国家电网公司 | 基于有限状态机动态可扩展的电力通信协议异常检测方法 |
| CN104601230A (zh) * | 2015-01-09 | 2015-05-06 | 北京奥普维尔科技有限公司 | 一种无线测试仪表、及其测试方法 |
| CN104601231B (zh) * | 2015-01-09 | 2018-06-08 | 北京奥普维尔科技有限公司 | 一种测试仪表、系统及方法 |
| CN104618180A (zh) * | 2015-01-09 | 2015-05-13 | 北京奥普维尔科技有限公司 | 一种测试仪表及测试方法 |
| CN104883281B (zh) * | 2015-05-27 | 2019-03-08 | 北京北信源软件股份有限公司 | 一种网络边界检测方法 |
| CN105049227B (zh) * | 2015-06-12 | 2018-03-30 | 杭州德澜科技有限公司 | 一种Wifi非联网控制及设置的方法 |
| CN105897879B (zh) * | 2016-04-01 | 2019-03-01 | 锐捷网络股份有限公司 | 一种迁移自动配置服务器acs的方法、设备及客户端 |
| CN106254316B (zh) * | 2016-07-20 | 2019-07-05 | 北京工业大学 | 一种基于数据依赖的工控行为异常检测系统 |
| CN108718296A (zh) * | 2018-04-27 | 2018-10-30 | 广州西麦科技股份有限公司 | 基于sdn网络的网络管控方法、装置与计算机可读存储介质 |
| CN111163043B (zh) * | 2018-11-08 | 2023-03-21 | 全球能源互联网研究院有限公司 | 一种源网荷系统实时交互协议深度解析方法和系统 |
| US11843621B2 (en) * | 2019-03-08 | 2023-12-12 | Forescout Technologies, Inc. | Behavior based profiling |
| CN112153030B (zh) * | 2020-09-15 | 2022-04-12 | 杭州弈鸽科技有限责任公司 | 一种基于形式化验证的物联网协议安全性自动分析方法与系统 |
| CN114039783B (zh) * | 2021-11-10 | 2024-01-30 | 中国人民解放军战略支援部队信息工程大学 | 一种网络安全协议脆弱性分析方法 |
-
2007
- 2007-08-24 CN CNB2007101207220A patent/CN100531073C/zh not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| 基于状态检测的TCP应用服务端安全测试. 金虎,李志蜀,杨秋辉,李奇.四川大学学报(工程科学版),第37卷第4期. 2005 |
| 基于状态检测的TCP应用服务端安全测试. 金虎,李志蜀,杨秋辉,李奇.四川大学学报(工程科学版),第37卷第4期. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101119241A (zh) | 2008-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100531073C (zh) | 一种基于状态检测的协议异常检测方法及系统 | |
| Tan et al. | A new framework for DDoS attack detection and defense in SDN environment | |
| CN101399710B (zh) | 一种协议格式异常检测方法及系统 | |
| Yazdinejadna et al. | A kangaroo-based intrusion detection system on software-defined networks | |
| Caselli et al. | Sequence-aware intrusion detection in industrial control systems | |
| EP3855692A1 (en) | Network security monitoring method, network security monitoring device, and system | |
| CN101753377B (zh) | 一种p2p_botnet实时检测方法及系统 | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| Lin et al. | Adapting bro into scada: building a specification-based intrusion detection system for the dnp3 protocol | |
| CN101035111B (zh) | 一种智能协议解析方法及装置 | |
| CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
| CN108683682A (zh) | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 | |
| CN104580222A (zh) | 基于信息熵的DDoS攻击分布式检测与响应系统及方法 | |
| Fiterău-Broştean et al. | Learning fragments of the TCP network protocol | |
| CN108989136A (zh) | 业务端到端性能监控方法及装置 | |
| CN111866030B (zh) | 一种拟态边缘网关的工业协议识别装置及方法 | |
| CN111800419B (zh) | 一种SDN环境下DDoS攻击检测系统及方法 | |
| Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
| CN201813382U (zh) | 一种用于运载火箭测试和发射控制的网络监测系统 | |
| Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
| CN116418567A (zh) | 一种网络协议安全性测试系统 | |
| EP4046331B1 (en) | Endpoint network sensor and related cybersecurity infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING QIMINGXINCHEN INFORMATION SECURITY TECHNOL |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100094 QIMINGXINGCHEN BUILDING, NO.21, ZHONGGUANCUN SOFTWARE PARK, NO.8, DONGBEIWANG WEST ROAD, HAIDIAN DISTRICT, BEIJING CITY TO: 100193 QIMINGXINGCHEN BUILDING, BUILDING 21, ZHONGGUANCUN SOFTWARE PARK, NO.8, DONGBEIWANG WEST ROAD, HAIDIAN DISTRICT, BEIJING CITY |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20100507 Address after: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park Co-patentee after: Beijing Venusense Information Security Technology Co., Ltd. Patentee after: Beijing Venus Information Technology Co., Ltd. Address before: 100094, Beijing Haidian District 8 West Road, Zhongguancun Software Park, 21, Venus building Patentee before: Beijing Venus Information Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090819 Termination date: 20160824 |