CN103078856B - 一种基于访问标记的应用层DDoS攻击的检测过滤方法 - Google Patents
一种基于访问标记的应用层DDoS攻击的检测过滤方法 Download PDFInfo
- Publication number
- CN103078856B CN103078856B CN201210590828.8A CN201210590828A CN103078856B CN 103078856 B CN103078856 B CN 103078856B CN 201210590828 A CN201210590828 A CN 201210590828A CN 103078856 B CN103078856 B CN 103078856B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- access flag
- svdd
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于访问标记的应用层DDoS攻击的检测过滤方法,方法包括,训练阶段对正常用户访问行为进行无策略标记;采用标记策略进行标记处理;采用特征提取策略提取检测特征,将访问用户表征为特征向量;获取正常用户的SVDD超球体保存到训练数据库;对进入服务器待检测用户的访问行为进行基于标记策略的标记;提取有效检测特征并将访问用户表示为特征向量形式;根据SVDD超球体,对特征向量进行检测分类并进行异常判决,当为异常用户时进行同步过滤。实施本发明的技术方案,具有以下有益效果:访问标记及异常特征的提取不局限于特定的服务器;检测同时便可实现对攻击用户的同步过滤,提高了服务器抵御应用层DDoS攻击的能力。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于访问标记的应用层DDoS攻击的检测过滤方法。
背景技术
伴随着互联网广泛应用于商业、政府、企业、娱乐等工作生活的各个方面,相应的网络安全显得越发重要。在众多的网络攻击中,分布式拒绝服务攻击,自1999年8月第一次发生以来,以其发起简单、破坏力强大的攻击特性,成为影响网络安全不可忽视的隐患因素。近年来,随着低层检测防御手段的不断完善,一种与高层服务相结合、利用正常的协议和服务器连接传输数据的应用层DDoS攻击应运而生。由于与正常请求仅在目的上不同,因此该种攻击可以轻易穿越针对传统DDoS攻击的低层检测防御系统,而处理一个高层应用请求的复杂度远高于一个低层分组,正是由于这种远高于传统DDoS攻击的隐蔽性和破坏性,针对应用层DDoS攻击的检测防御显得必要紧迫。
基于用户行为分析的检测方法是目前应用层DDoS攻击检测的主要研究方向。早期基于用户行为的检测方法主要包括Takeshi提出的基于用户浏览信息的检测方法,该方法依据用户浏览页面的顺序以及浏览时间和页面信息大小之间的关系达到检测HTTP洪泛攻击的目的。谢逸、余顺争提出的基于隐半马尔可夫模型(HsMM)的检测方法将HsMM模型引入攻击检测,在对用户访问行为进行HsMM建模的基础上,采用与大多数正常用户访问行为的偏离作为攻击的异常度测量,最终实现应用层DDoS攻击的有效检测。该方法最大的贡献是将用户的访问行为进行了抽象的数学建模,用状态空间的方法合理准确地描述了用户的访问行为轮廓。Ranjan等人根据Session参数将应用层DDoS攻击分为Requestflooding攻击、Asymmetric workload攻击和Repeated one-shot攻击,基于这三种攻击,提出了一种Session可疑度模型,依据Session可疑度大小进行请求转发,并在检测的基础上研究了不同转发调度策略对于应用层DDoS攻击的过滤效果。
分析上述检测方法,可以发现:1)应用层服务和协议的差异性,使得应用层DDoS攻击可以有多种不同的形式,而上述检测方法大多仅考虑了针对Web服务器攻击的检测,检测算法透明度不高、局限性较大,2)检测与过滤并没有很好地结合,尤其是两者的同步结合,因此即便达到了较高的检测效果,对攻击过滤的延迟同样使得服务器陷入攻击。
发明内容
本发明针对以上问题的提出,而研制一种基于访问标记的应用层DDoS攻击的检测过滤方法。
一种基于访问标记的应用层DDoS攻击的检测过滤方法,其特征在于,包括训练阶段和检测阶段,其中,
训练阶段包括如下步骤:
1)对正常用户i访问行为进行无策略标记,对正常用户i的访问时间和访问页面不做任何处理,获得原始标记结果;
2)以原始标记为基础,设定访问标记统计时间段ts,设定访问标记平均间隔时间td,采用标记策略对原始标记结果进行标记处理,获得处理标记结果;其中,
标记策略包括访问时间标记策略和访问页面标记策略,访问时间的标记策略为:若当前访问标记与前一标记的间隔时间td'与访问标记平均间隔时间td的关系为t'd<td时,则将当前用户的访问时间点标记为1,否则标记为0;访问页面的标记策略为:若用户请求的访问页面存在于当前服务器内,直接将当前用户的访问页面标记为当前访问页面,否则标记为2;
3)采用特征提取策略从已处理标记结果中提取检测特征,将访问用户表征为特征向量;其中,
特征提取策略包括:
①统计访问标记统计时间段ts内正常用户i标记为1和0的总和,记为sic;
②统计访问标记统计时间段ts内正常用户i连续标记为1的最大个数si1;
③统计访问标记统计时间段ts内正常用户i连续标记为0的最大个数si0;
④统计访问标记统计时间段ts内正常用户i标记为2的总和si2;
⑤计算访问标记统计时间段ts内si2占sic的比例pi2=si2/sic;
将正常用户i表示为特征向量形式为:Ci=<sic,si1,si0,pi2>;
4)通过SVDD分类算法获取正常用户i的SVDD超球体,并将正常用户i的SVDD超球体保存到训练数据库;
检测阶段包括如下步骤:
5)访问标记模块对进入服务器的用户j的访问行为进行策略标记,标记策略同训练阶段;
6)特征向量提取模块根据特征提取策略,提取基于访问标记结果的有效检测特征,并将访问用户j表示为特征向量形式;其中,
特征提取策略包括:
①统计访问标记统计时间段ts内用户j标记为1和0的总和,记为sjc;
②统计访问标记统计时间段ts内用户j连续标记为1的最大个数sj1;
③统计访问标记统计时间段ts内用户j连续标记为0的最大个数sj0;
④统计访问标记统计时间段ts内用户j标记为2的总和sj2;
⑤计算访问标记统计时间段ts内sj2占sjc的比例pj2=sj2/sjc;
将用户j表示为特征向量形式为:Cj=<sjc,sj1,sj0,pj2>;
7)SVDD分类模块根据训练数据库中的SVDD超球体,对检测阶段的特征向量Cj进行检测分类;
8)SVDD分类模块根据判决函数 进行异常判决,f(C)的物理意义为用户C与球心C0之间距离的平方与R2的差值,若f(C)>0,特征向量在超球体内,判定用户j为正常用户;若f(C)<0,特征向量在超球体外,判定用户j为异常用户;其中,l为样本数量,αi为支持向量的Lagrange系数,R为超球体的半径,C为特征向量,K为核函数;
9)当判定用户j为异常用户时,攻击过滤模块对异常用户进行同步过滤。
本发明的步骤9)中同步过滤步骤如下:
A)当判定用户j为异常用户时,将异常用户记为Cjo,做进一步判定,当 时,对于 的异常用户Cjo直接过滤;
B)若过滤之后,服务器正常工作,则攻击过滤模块进入下一访问标记统计时间段ts;
C)若过滤之后,服务器不能正常工作,则依从大到小的优先级进行剩余Cjo的攻击过滤,直到服务器能正常工作;其中,
为通过判决函数表示的异常用户Cjo距离球心C0距离。
本发明选择高斯径向基函数作为核函数K,
实施本发明的技术方案,具有以下有益效果:1)访问标记及异常特征的提取不局限于特定的服务器,因而不仅可以检测针对Web服务器的应用层DDoS攻击,且对DNS、STMP、FTP等服务器的应用层DDoS攻击都有良好的检测性能;2)无需额外的过滤算法,在检测同时便可实现对攻击用户的同步过滤,提高了服务器抵御应用层DDoS攻击的能力。
附图说明
图1为本发明的基于访问标记的应用层DDoS攻击的检测过滤方法的一实施例的方法流程图;
图2为访问标记模块的示意图;
图3为特征向量提取模块的示意图;
图4为SVDD分类模块的示意图;
图5为攻击过滤模块的一实施例的示意图。
具体实施方式
本发明提供一种基于访问标记的应用层DDoS攻击的检测过滤方法,该方法实现了针对各类服务器的应用层DDoS攻击的透明检测及同步过滤,下面结合附图对本发明的技术方案进行详细说明。
图1为本发明的基于访问标记的应用层DDoS攻击的检测过滤方法的一实施例的方法流程图,如图所示。方法包括如下步骤:
训练数据库的建立步骤,即训练阶段步骤:
1)对正常用户i访问行为进行无策略标记,对正常用户i的访问时间和访问页面不做任何处理,获得原始标记结果;
2)设定访问标记统计时间段ts,设定访问标记平均间隔时间td,采用标记策略对原始标记结果进行标记处理,获得处理标记结果;
3)采用特征提取策略从处理标记结果中提取检测特征,将正常访问用户i表征为特征向量;
4)通过SVDD分类算法获取正常用户的SVDD超球体,并将正常用户i的SVDD超球体保存到训练数据库。
检测阶段步骤:
5)访问标记模块对进入服务器的用户j的访问行为进行基于标记策略的访问标记;
6)特征向量提取模块根据训练阶段所采用的特征提取策略,提取基于访问标记结果的有效检测特征,并将访问用户j表示为特征向量形式;
7)SVDD分类模块根据训练数据库中的SVDD超球体,对检测阶段的特征向量进行检测分类;
8)SVDD分类模块根据判决函数 进行异常判决,若f(c)>0,特征向量在超球体内,判定用户i为正常用户;若f(c)<0,特征向量在超球体外,判定用户j为异常用户;
9)当判定用户j为异常用户时,攻击过滤模块对异常用户进行同步过滤。
训练数据库中存储正常用户i的SVDD超球体。检测阶段,获取进入服务器的用户j的特征向量。然后,利用训练数据库中存储正常用户i的SVDD超球体将进入服务器的用户j(待检测用户)的特征向量进行判定,若特征向量在SVDD超球体内,则进入服务器的用户j为正常用户,若特征向量不在SVDD超球体内,则进入服务器的用户j为异常用户。
图2为访问标记模块的示意图,如图所示。在训练阶段步骤和检测阶段步骤中,以时间t为坐标轴标记,以访问标记统计时间段ts为时间段,标记每一个从访问标记统计时间段ts到下一访问标记统计时间段ts内进入服务器的用户发起的新访问请求的时间点及请求页面。标记策略包括访问时间标记策略和访问页面标记策略,访问时间的标记策略为:若当前访问标记与前一标记的间隔时间td'与访问标记平均间隔时间td的关系为t'd<td时,则将当前用户的访问时间点标记为1,否则标记为0;访问页面的标记策略为:若用户请求的访问页面存在于当前服务器内,直接当前用户的访问页面标记为当前访问页面,否则标记为2。
图3为特征向量提取模块的示意图,如图所示。在训练阶段,采用特征提取策略从处理标记结果中提取检测特征,将访问用户表征为特征向量;其中,
特征提取策略包括:
①统计访问标记统计时间段ts内正常用户i标记为1和0的总和,记为sic;
②统计访问标记统计时间段ts内正常用户i连续标记为1的最大个数si1;
③统计访问标记统计时间段ts内正常用户i连续标记为0的最大个数si0;
④统计访问标记统计时间段ts内正常用户i标记为2的总和si2;
⑤计算访问标记统计时间段ts内si2占sic的比例pi2=si2/sic;
将正常用户i表示为特征向量形式为:Ci=<sic,si1,si0,pi2>。
检测阶段采用与训练阶段同样的特征提取策略、特征向量的表征形式(图3中未示出)。在检测阶段,特征向量提取模块根据特征提取策略,提取基于访问标记结果的有效检测特征,并将访问用户j表示为特征向量形式。
特征提取策略包括:
①统计访问标记统计时间段ts内用户j标记为1和0的总和,记为sjc;
②统计访问标记统计时间段ts内用户j连续标记为1的最大个数sj1;
③统计访问标记统计时间段ts内用户j连续标记为0的最大个数sj0;
④统计访问标记统计时间段ts内用户j标记为2的总和sj2;
⑤计算访问标记统计时间段ts内sj2占sjc的比例pj2=sj2/sjc;
将用户j表示为特征向量形式为:Cj=<sjc,sj1,sj0,pj2>。
对当前访问标记统计时间段ts内用户j的时间标记结果提取sjc、sj1、sj0三个特征属性,其中sjc为时间标记为1和0的总和,反映用户在当前访问标记统计时间段ts时间内发起的总访问次数,sj1为连续标记为1的最大个数,sj0为连续标记为0的最大个数,两者都反映用户的浏览时间情况。与发生应用层DDoS攻击时相比,正常访问情况下的sjc、sj1取值偏小,sj0的取值偏大。
对当前访问标记统计时间段ts内用户j的页面标记结果提取特征属性pj2,其为页面标记为2的总和,反映用户在ts时间内发起的伪造URL请求的次数,该特征特别适用于检测针对Web服务器的Forged-URL Flood攻击。
针对不同服务器的应用层DDoS攻击,可以根据攻击的特点及检测的需要提取有效的检测特征。提取出的检测特征应当满足:1)可综合反映用户访问服务器时的时间及空间分布,2)发生攻击时,特征值有较明显的变化。
图4为SVDD分类模块的示意图,如图所示。SVDD分类模块根据训练数据库中的SVDD超球体,对检测阶段的特征向量进行检测分类。
SVDD分类模块根据判决函数 进行异常判决,f(C)的物理意义为用户C与球心C0之间距离的平方与R2的差值。若f(C)>0,特征向量在超球体内,判定用户为正常用户,记为Cji;若f(C)<0,特征向量在超球体外,判定用户为异常用户,记为Cjo。
本发明提出的基于访问标记的应用层DDoS攻击的检测过滤方法可用于针对各类服务器的攻击检测,考虑到获得各类攻击样本的纯净度及工作量,本发明采用基于SVDD的分类方法,即支持向量描述分类算法。训练样本集合中只需正常类别的目标数据,称为正类,将正类样本集{Ci,i=1,2,…,l},Ci∈Rd通过核函数映射Φ做非线性映射,在高维空间中寻找一个包含尽可能多样本的最小超球体作为决策边界,该超球体以球心为C0,半径为R。SVDD问题转化为求解优化问题:
约束条件为:||Φ(Ci)-C0||2-R2≤ξi,ξi≥0,i=1,2,…,l。其中ξi为松弛变量,控制超球体的体积和样本中被拒于球外的样本点数量,当正常样本在超球体内时,ξi=0,当正常样本在超球体之外时,ξi>0,ξi的大小反应了正常样本距超球面的远近。1/vl为惩罚因子,其中v∈[0,1],l为样本的数量。相应于最优超球体的分类判决函数为:
f(C)=sgn(R2-||Φ(C)-α||2) (2)
为求解原问题,引入Lagrange乘子,同时引入核函数K(Ci,Cj)=Φ(Ci)·Φ(Cj),转化其为优化问题的对偶形式:
约束条件为:解上述对偶问题,不为0的少量的αi值所对应的样本为支持向量,超球体的中心可由式(4)求出:
半径R可由任一支持向量代入式(5)求得:
判决函数的最终形式为:
当f(C)>0时判定为正常访问用户,当f(C)<0时判定为攻击用户。
公式中,l为样本数量,αi为支持向量的Lagrange系数,R为超球体的半径,C为特征向量,K为核函数。
SVDD的训练目的是为了找到最优数量的支持向量,因此需要进行惩罚因子1/vl的设定及核函数的选择,其中v值越小,包含在超球体内的样本数越多,当v值增大时,被拒于超球体外的样本数增多。
可以选择任意核函数作为上述公式中的核函数K,作为本发明的优选技术方案,选择高斯径向基函数(RBF)作为核函数K。
高斯径向基函数(RBF),其定义如下:
RBF核函数可以将非线性样本映射到无限高维空间,可以处理任意分布的样本,且仅有一个参数σ,是应用最为广泛的核函数,其中参数σ决定了SVDD分界面的复杂程度。σ减小时,支持向量的数量增加,分界面更加贴近训练样本,当σ足够小时,SVDD仅包含训练样本,描述精度达到最高,但推广能力最弱,所以σ应在描述精度与推广能力权衡的基础上进行设置。
图5为攻击过滤模块的一实施例的示意图,如图所示。为使过滤与检测同步,且保证正常用户以几乎零误报率实现访问,作为本发明的优选技术方案,依据SVDD分类模块中的判决函数f(C)实现攻击过滤时,设定过滤条件如下:对于的Cjo,直接过滤,若过滤之后,服务器能正常工作,则攻击过滤模块进入下一ts,否则依从大到小的优先级进行剩余Cjo的攻击过滤,直到服务器能正常工作,其中为通过判决函数表示的异常用户Cjo距离球心C0距离。该过滤方法既实现了对攻击用户的同步过滤,又最大限度地保证了正常用户的合法访问,实现了即时过滤与最优误报率之间的良好平衡。
实施本发明的技术方案,具有如下效果:
1、通过访问标记方法来描述用户的访问行为,该方法适用于用户对各类服务器访问行为的描述,大大提高了算法的透明度,扩大了算法的检测范围。
2、给出了访问标记方法及具体的标记策略,其中对于不同的服务器,标记策略略有不同。以Web服务器为例,对每一进入服务器的用户i,以时间为坐标轴,标记其发起HTTP Get请求的时间点及请求页面。时间标记采用策略:若当前标记点与前一标记点的标记间隔t′d>td,则标记为1,否则标记为0;页面标记采用策略:若用户请求访问的页面存在于当前服务器内,直接标记为当前访问页面,否则一律标记为2。对于DNS服务器,标记其域名解析请求,时间标记策略同HTTP Get请求,修改页面标记策略为:若用户请求解析的域名不存在于当前DNS服务器缓存区且经过递归查询后无应答,则标记该请求为2,其余请求不做页面标记。
3、有效检测特征的提取完全建立在访问标记的基础上,针对不同的应用层DDoS攻击,通过访问时间及访问页面的标记,采用合理的特征提取策略提取出各类攻击的有效检测特征。
4、采用了基于SVDD的分类方法实现正常用户与攻击用户的检测分类,由于本算法支持多类应用层DDoS攻击的异常检测,故提取不同攻击数据存在工作量大、数据不充分等难题,而SVDD仅需正常用户数据,很好地解决了这一问题,从一定程度了增强了算法的透明度。
5、在分类的同时,无需额外的计算开销,通过SVDD判决函数便可实现对攻击用户的同步过滤,实现了即时过滤与最优误报率之间的良好平衡。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (3)
1.一种基于访问标记的应用层DDoS攻击的检测过滤方法,其特征在于,包括训练阶段和检测阶段,其中,
训练阶段包括如下步骤:
1)对正常用户i访问行为进行无策略标记,对正常用户i的访问时间和访问页面不做任何处理,获得原始标记结果;
2)以原始标记为基础,设定访问标记统计时间段ts,设定访问标记平均间隔时间td,采用标记策略对原始标记结果进行标记处理,获得处理标记结果;其中,
标记策略包括访问时间标记策略和访问页面标记策略,访问时间的标记策略为:若当前访问标记与前一标记的间隔时间td'与访问标记平均间隔时间td的关系为t'd<td时,则将当前用户的访问时间点标记为1,否则标记为0;访问页面的标记策略为:若用户请求的访问页面存在于当前服务器内,直接将当前用户的访问页面标记为当前访问页面,否则标记为2;
3)采用特征提取策略从已处理标记结果中提取检测特征,将访问用户表征为特征向量;其中,
特征提取策略包括:
①统计访问标记统计时间段ts内正常用户i标记为1和0的总和,记为sic;
②统计访问标记统计时间段ts内正常用户i连续标记为1的最大个数si1;
③统计访问标记统计时间段ts内正常用户i连续标记为0的最大个数si0;
④统计访问标记统计时间段ts内正常用户i标记为2的总和si2;
⑤计算访问标记统计时间段ts内si2占sic的比例pi2=si2/sic;
将正常用户i表示为特征向量形式为:Ci=<sic,si1,si0,pi2>;
4)通过SVDD分类算法获取正常用户i的SVDD超球体,并将正常用户i的SVDD超球体保存到训练数据库;
检测阶段包括如下步骤:
5)访问标记模块对进入服务器的用户j的访问行为进行策略标记,标记策略同训练阶段;
6)特征向量提取模块根据特征提取策略,提取基于访问标记结果的有效检测特征,并将访问用户j表示为特征向量形式;其中,
特征提取策略包括:
①统计访问标记统计时间段ts内用户j标记为1和0的总和,记为sjc;
②统计访问标记统计时间段ts内用户j连续标记为1的最大个数sj1;
③统计访问标记统计时间段ts内用户j连续标记为0的最大个数sj0;
④统计访问标记统计时间段ts内用户j标记为2的总和sj2;
⑤计算访问标记统计时间段ts内sj2占sjc的比例pj2=sj2/sjc;
将用户j表示为特征向量形式为:Cj=<sjc,sj1,sj0,pj2>;
7)SVDD分类模块根据训练数据库中的SVDD超球体,对检测阶段的特征向量Cj进行检测分类;
8)SVDD分类模块根据判决函数 进行异常判决,f(C)的物理意义为用户C与球心C0之间距离的平方与R2的差值,若f(C)>0,特征向量在超球体内,判定用户j为正常用户;若f(C)<0,特征向量在超球体外,判定用户j为异常用户;其中,l为样本数量,αi为支持向量的Lagrange系数,R为超球体的半径,C为特征向量,K为核函数;
9)当判定用户j为异常用户时,攻击过滤模块对异常用户进行同步过滤。
2.根据权利要求1所述的基于访问标记的应用层DDoS攻击的检测过滤方法,其特征在于,步骤9)中同步过滤步骤如下:
A)当判定用户j为异常用户时,将异常用户记为Cjo,做进一步判定,当 时,对于 的异常用户Cjo直接过滤;
B)若过滤之后,服务器正常工作,则攻击过滤模块进入下一访问标记统计时间段ts;
C)若过滤之后,服务器不能正常工作,则依从大到小的优先级进行剩余Cjo的攻击过滤,直到服务器能正常工作;其中,
为通过判决函数表示的异常用户Cjo距离球心C0距离。
3.根据权利要求1或2所述的基于访问标记的应用层DDoS攻击的检测过滤方法,其特征在于,选择高斯径向基函数作为核函数K,
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210590828.8A CN103078856B (zh) | 2012-12-29 | 2012-12-29 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210590828.8A CN103078856B (zh) | 2012-12-29 | 2012-12-29 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103078856A CN103078856A (zh) | 2013-05-01 |
CN103078856B true CN103078856B (zh) | 2015-04-22 |
Family
ID=48155260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210590828.8A Expired - Fee Related CN103078856B (zh) | 2012-12-29 | 2012-12-29 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103078856B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104270373B (zh) * | 2014-10-11 | 2017-07-14 | 国家电网公司 | 一种基于时间特征的Web服务器匿名访问流量检测方法 |
CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
CN106156362A (zh) * | 2016-08-01 | 2016-11-23 | 陈包容 | 一种针对预警提示自动提供解决方案的方法及装置 |
US10404738B2 (en) * | 2017-02-27 | 2019-09-03 | Microsoft Technology Licensing, Llc | IPFIX-based detection of amplification attacks on databases |
CN108319851B (zh) * | 2017-12-12 | 2022-03-11 | 中国电子科技集团公司电子科学研究院 | 一种异常行为主动检测方法、设备及存储介质 |
CN108256573B (zh) * | 2018-01-16 | 2021-06-25 | 成都寻道科技有限公司 | 一种Web Service用户端虚假申请识别方法 |
CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
CN108809955B (zh) * | 2018-05-22 | 2019-05-24 | 南瑞集团有限公司 | 一种基于隐马尔可夫模型的电力用户行为深度分析方法 |
CN108965381B (zh) * | 2018-05-31 | 2023-03-21 | 康键信息技术(深圳)有限公司 | 基于Nginx的负载均衡实现方法、装置、计算机设备和介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101526960A (zh) * | 2009-04-21 | 2009-09-09 | 王鹏 | 支持向量数据描述外壳算法 |
CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
CN102075535A (zh) * | 2011-01-12 | 2011-05-25 | 中国科学院计算技术研究所 | 一种应用层分布式拒绝服务攻击过滤方法及系统 |
CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
CN102638474A (zh) * | 2012-05-08 | 2012-08-15 | 山东大学 | 一种应用层DDoS分布式拒绝服务攻击防御方法 |
-
2012
- 2012-12-29 CN CN201210590828.8A patent/CN103078856B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101526960A (zh) * | 2009-04-21 | 2009-09-09 | 王鹏 | 支持向量数据描述外壳算法 |
CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
CN102075535A (zh) * | 2011-01-12 | 2011-05-25 | 中国科学院计算技术研究所 | 一种应用层分布式拒绝服务攻击过滤方法及系统 |
CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
CN102638474A (zh) * | 2012-05-08 | 2012-08-15 | 山东大学 | 一种应用层DDoS分布式拒绝服务攻击防御方法 |
Non-Patent Citations (7)
Title |
---|
Hyung-Woo Lee.SVM Based Packet Marking Technique for Traceback on Malicious DDoS Traffic.《ICOIN 2006,LNCS 3961》.2006, * |
Intrusion Detection Technology Based on SVDD;Liu Jiaomin 等;《Intelligent Networks and Intelligent Systems, 2009》;《IEEE Conference Publications》;20091231;第15-18页 * |
SVM Based Scheme for Predicting Number of Zombies in a DDoS Attack;Agrawal, P.K.等;《Intelligence and Security Informatics Conference (EISIC), 2011 European》;《IEEE Conference Publications》;20111231;第178-182页 * |
基于推广能力测度的多类SVDD模式识别方法;朱孝开等;《电子学报》;20090331;第37卷(第3期);第464-469 * |
基于支持向量机的Web用户行为异常检测方法;孙明谦等;《微计算机信息》;20100625;第1-3页 * |
网络流量异常检测中分类器的提取与训练方法研究;郑黎明等;《计算机学报》;20120415;第35卷(第4期);第719-730页 * |
超球体多类支持向量机及其在DDoS攻击检测中的应用;徐图;《中国博士学位论文全文数据库 信息科技辑》;20090115(第1期);第1-165页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103078856A (zh) | 2013-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103078856B (zh) | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 | |
Wenyin et al. | Detection of phishing webpages based on visual similarity | |
WO2016201938A1 (zh) | 一种多阶段钓鱼网站检测方法与系统 | |
Dalgic et al. | Phish-iris: A new approach for vision based brand prediction of phishing web pages via compact visual descriptors | |
CN108737423A (zh) | 基于网页关键内容相似性分析的钓鱼网站发现方法及系统 | |
Liu et al. | An efficient multistage phishing website detection model based on the CASE feature framework: Aiming at the real web environment | |
WO2014075571A1 (en) | Method and device for detecting malicious url | |
Zhang et al. | Web phishing detection based on page spatial layout similarity | |
CN103577755A (zh) | 一种基于支持向量机的恶意脚本静态检测方法 | |
CN107391598A (zh) | 一种威胁情报自动生成方法及系统 | |
CN102170447A (zh) | 一种基于最近邻及相似度测量检测钓鱼网页的方法 | |
Guo et al. | Learning to upgrade internet information security and protection strategy in big data era | |
CN113132410B (zh) | 一种用于检测钓鱼网址的方法 | |
CN111835769A (zh) | 基于vgg神经网络的恶意流量检测方法、装置、设备及介质 | |
Rasymas et al. | Detection of phishing URLs by using deep learning approach and multiple features combinations | |
CN103679019B (zh) | 恶意文件识别方法及装置 | |
CN108471382A (zh) | 一种基于节点度值的复杂网络聚类算法攻击方法 | |
CN105653941A (zh) | 一种启发式检测钓鱼网站的方法及系统 | |
Ruan et al. | Applying Large Language Models to Power Systems: Potential Security Threats | |
Wang et al. | MSAAM: A multiscale adaptive attention module for IoT malware detection and family classification | |
CN116545733A (zh) | 一种电网入侵检测方法及系统 | |
Bertino | Security threats: protecting the new cyberfrontier | |
Tseng et al. | Building a frame-based anti-phishing model based on phishing ontology | |
Meng et al. | Deep Learning SDN Intrusion Detection Scheme Based on TW-Pooling | |
Lee et al. | Context-aware web security threat prevention |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150422 Termination date: 20181229 |