CN103475662A - 网络入侵防御的可拓求解方法 - Google Patents
网络入侵防御的可拓求解方法 Download PDFInfo
- Publication number
- CN103475662A CN103475662A CN2013104190782A CN201310419078A CN103475662A CN 103475662 A CN103475662 A CN 103475662A CN 2013104190782 A CN2013104190782 A CN 2013104190782A CN 201310419078 A CN201310419078 A CN 201310419078A CN 103475662 A CN103475662 A CN 103475662A
- Authority
- CN
- China
- Prior art keywords
- message
- matter
- defence
- value
- correlation function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络入侵防御的可拓求解方法,包括(1)预处理通过收集到的数据报文和网络拓扑信息,得到构造基元的数据,然后构造基元;(2)对基元进行可拓变换,扩大已知条件,减少问题的矛盾性;(3)建立问题合适的关联函数,进行结点状态的可拓识别和防御。本发明用包括相关数据的各种基元对问题进行抽象;通过对物元的可拓处理,扩大已知条件,降低问题求解的矛盾性;确定具有公共左端点,且最优点在左端点的关联函数为问题域的关联函数;用此关联函数进行多特征融合的攻击识别、攻击预警;并针对蠕虫,给出了防御步骤。
Description
技术领域
本发明用于解决网络的入侵防御问题,涉及网络攻击的检测、预警和防御的这一矛盾问题的可拓求解方法。
背景技术
网络的入侵检测是指通过对计算机网络或计算机系统若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并作出反应的过程。网络入侵防御指通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性攻击的一种智能化的安全技术。网络入侵检测已成为继防火墙后,不可或缺的网络安全保障技术之一。常用的检测方法有异常检测和误用检测,技术主要是基于特征的匹配和基于特征的分类,方法上有神经网络学习法,支持矢量机法,聚类分析等;情景分析方法,如入侵关联跟踪、态势分析等。
可拓学是用形式化模型研究事物拓展的可能性和开拓创新的规律与方法,用以解决矛盾问题的科学。为了形式化描述客观世界的物、事(物与物之间的相互作用)和关系(物物、物事及事事之间关系),可拓论建立了物元R=(N,C,V)、事元I=(D,C,V)和关系元Q=(A,C,V)分别作为物、事和关系的表示形式,物元、事元和关系元,统称为基元,是可拓论的基础。它们在组成上类似,由三元组组成。其中,N是名词,是物名;D是动词,表示事的行为;A是名词,是关系名。二元组(C,V)表示对应的特征与特征值,是多维的。如果基元是随时间变化的,可记为:R(t)、I(t)、Q(t)等。
在可拓论中,用关联函数来刻画论域中的元素具有某种性质的程度,把“具有性质P”的事物从定性描述拓展到“具有性质P的程度”的定量描述。关联函数使问题的关联度的计算不必依靠主观判断或统计,而是根据对事物关于某特征的量化要求的范围X0=<a,b>和质变的区间X=<c,d>来确定。这使关联函数摆脱了主观判断造成的偏差。关联函数的值由距值与位值决定。距表示点与区间的距离。当最优点x0发生在区间中间时,为一般意义上的“距”;最优点发生左半区间或右半区间时,称为“侧距”。位值表示一个点与两个区间或两个区间之间的距离。
网络安全理论的核心是对无边界系统的安全理论的研究。无边界意味着网络安全问题具有矛盾问题之特性。这也正是用常规求解方法解决网络入侵与防御问题的困难所在。尝试用可拓理论解决网络安全问题,只见2例。赵玲针对DARPA抽出的通用入侵检测系统模型CIDF,给出了事件分析器物元模型的构造;肖敏等人把可拓理论用于基于特征的入侵检测中,给出了攻击的基于特征的物元,研究了其在流量异常中的应用。
发明内容
本发明的目的在于提供一种可有效解决网络入侵防御的网络入侵防御的可拓求解方法。
本发明的技术解决方案是:
一种网络入侵检测与防御的可拓求解方法,其特征是:包括下列步骤:
(1)预处理通过收集到的数据报文和网络拓扑信息,得到构造基元的数据,然后构造基元;
(2)对基元进行可拓变换,扩大已知条件,减少问题的矛盾性;
(3)建立问题合适的关联函数,进行结点状态的可拓识别和防御。
所述的基元如下:
(1)报文物元R(t),用于记载网络数据包;
R(t)={报文,C,V(t)}
C={时间,协议类型,源IP,源端口,目标IP,目标端口,
包容量,传输标志,包内容}
V(t)=C(R),是C的值
(2)防御事元I,表示对感染点采取的防御措施;
I=(D,C,V},D=“防御措施标识”
C={施动对象,支配对象,时间,地点,程序,方式,工具}
V=C(I),是C的值
(3)节点关系元Q(t),表示节点之间的相似关系;
Q(t)={A,C,V},A=“连通”
C={前项,后项,程度,容量,内容,联系通道,联系方式}
V(t)=C(Q),是C的值
其中,容量与内容的值在0~1之间,分别反映两节点之间报文容量和内容相似度。
(4)预警混合元Inf(t),告知检测到的攻击;
Inf(t)={通知,C,V}
C={攻击标识,原因,端口,发布时间,负载标志,尺寸,内容,防御}
V(t)=C(Inf),是C的值
其中,“原因”是关于攻击所利用的漏洞描述的物元,设为H=(N,c,v),N={漏洞名},c={依托软件,危害,…},v=c(H);防御为防御事元。
所述可拓变换步骤如下:
(1)R(t)-|R_R(t)、R_T(t):根据物元的可扩缩性,把权利要求2所述的报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t);
1)接收报文物元如下:
R_R(t)={接收报文,CR_R,VR_R}
CR_R={时间,源IP,源端口,目标端口, 包容量,类型,标志}
VR_R=CR_R(R_R),是CR_R的值
2)发送报文物元如下:
R_T(t)={发送报文,CR_T,VR_T}
CR_T={时间,目标端口,目标 IP,源端口,包容量,类 型,标志}
VR_T=CR_T(R_R),是CR_T的值
(2)R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t):根据物元的可组合性,由接收报文物元R_R(t)和发送报文物元R_T(t),得到某一时间间隔Δt内接收收到报文的物元R_R_T(t)和传出报文物元R_T_T(t);
1)某一时间间隔△t内接收收到报文的物元R_R_T(t)如下:
R_R_T(t)={Δt接收报文,CR_R_T,VR_R_T}
CR_R_T={类型,时间段,源 IP,源端口,端口,报文数}
VR_R_T=CR_R_T(R_R_T),是CR_R_T的值
2)某一时间间隔△t内接收收到报文的物元R_T_T(t)如下所示:
R_T_T(t)={Δt发送报文,CR_T_T,VR_T_T}
CR_T_T={类型,时间段,目标IP,目标端口,源端口,报文数}
VR_T_T=CR_T_T(R_T_T),是CR_T_T的值
(3)R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t):根据物元的可分解性,由R_R_T(t)、R_T_T(t)得到关于包括端口、协议条件分类的接收报文统计物元R_R_T_C(t)和传送报文的分类统计物元R_T_T_C(t);
1)分类的接收报文物元R_R_T_C(t)如下所示:
R_R_T_C(t)={Δt发送报文类名,CR_R_T_C,VR_R_T_C)
CR_R_T_C={时间段,报文数,......}
VR_R_T_C=CR_R_T_C(R_R_T_C),是CR_R_T_C的值
2)分类的发送报文物元R_T_T_C(t)如下所示。
R_T_T_C(t)={Δt接收报文类名,CR_T_T_C,VR_T_T_C}
CR_T_T_C={时间段,报文数,…}
VR_T_T_C=CR_T_T_C(R_T_T_C),是CR_T_T_C的值
所述进行结点状态的可拓识别和防御,包括下列步骤:
(1)确定关联函数:
用于入侵识别问题自变量域(a,b)的关联函数,是具有公共端点且最优点在a处的关联函数kl(x,a);
(2)根据所述的报文物元R(t)和所述的某一时间间隔△t内分类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)中的报文数,利用关联函数kl(x,a),分别计算被攻击的可能性,然后进行加权计算,进行入侵识别;
(3)入侵预警:根据所述的节点关系元Q(t)中的容量和内容相似度,利用关联函数kl(x,a),分别计算受感染的可能性,然后进行加权计算,进行入侵预警;
(4)入侵防御:根据入侵识别和受攻击可能性,用所述的防御事元I(t),启动防御措施。
本发明用包括相关数据的各种基元对问题进行抽象;通过对物元的可拓处理,扩大已知条件,降低问题求解的矛盾性;确定具有公共左端点,且最优点在左端点的关联函数为问题域的关联函数;用此关联函数进行多特征融合的攻击识别、攻击预警;并针对蠕虫,给出了防御步骤。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1是可拓求解过程示意图。
图2是具有公共左端点且最优点在左端点关联函数图。
具体实施方式
一种网络入侵检测与防御的可拓求解方法,其特征是:包括下列步骤:
(1)预处理通过收集到的数据报文和网络拓扑信息,得到构造基元的数据,然后构造基元;
(2)对基元进行可拓变换,扩大已知条件,减少问题的矛盾性;
(3)建立问题合适的关联函数,进行结点状态的可拓识别和防御。以蠕虫的检测、预警与防御为测试对象,在一个局域网内进行。
2、构造下列基元
(1)报文物元R(t),用于记载网络数据包。
R(t)={报文,C,V(t)}
C={时间,协议类型,源IP,源端口,目标IP,目标端口,
包容量,传输标志,包内容}
V(t)=C(R),是C的值
具体为:
其中vi(t)表示各参数随时间变化的函数。
(2)防御事元I(t),表示对感染点采取的防御措施。
I=(D,C,V},D=“防御措施标识”
C={施动对象,支配对象,时间,地点,程序,方式,工具}
V(t)=C(t),是C的值
具体为:
其中,P(i)为防御程序标识;Src_Prot(t)为t时刻的端口号;D(i)为防御紧急状态等级数;M(i)为采取措施的方式,自动或手动等;T(i)防御中所需工具软件。
(3)节点关系元Q(t),表示节点之间的相似关系。
Q(t)={A,C,V},A=“连通”
C={前项,后项,程度,容量,内容,联系通道,联系方式}
V(t)=C(Q),是C的值
具体如下:
vi(t)表示各参数随时间变化的值,v3(t)、v4(t)值在0~1之间,分别反映两节点包容量和内容之间的相似度。
(4)预警混合元Inf(t),告知检测到的攻击。
Inf(t)={N,C,V},N=“通知”
C={攻击名,原因,端口,发布时间,负载标志,尺寸,内容,防御} (式4)
V=C(Inf),是C的值
其中,“原因”是关于攻击所利用的漏洞描述的物元,设为H=(N,c,v),N={漏洞名},c={依托软件,危害,…},v=c(H)。防御为防御事元。
3、进行下列可拓变换处理:
(1)R(t)-|R_R(t)、R_T(t)。根据物元的可扩缩性,把物元报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t)。
1)接收报文物元如下:
R_R(t)={接收报文,CR_R,VR_R}
CR_R={时间,源IP,源端口,目标端口,包容量,类型,标志} (式5)
VR_R=CR_R(R_R),是CR_R的值
2)发送报文物元如下:
R_T(t)={发送报文,CR_T,VR_T}
CR_T={时间,目标端口,目标IP,源端口,包容量,类型,标志} (式6)
VR_T=CR_T(R_R),是CR_T的值
(2)R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)。根据物元的可组合性,由接收报文物元R_R(t)和发送报文物元R_T(t),得到某一时间间隔△t内接收收到报文的物元R_R_T(t)和传出报文物元R_T_T(t)。
1)某一时间间隔△t内收到报文的物元R_R_T(t)如下:
R_R_T(t)={Δt接收报文,CR_R_T,VR_R_T}
CR_R_T={类型,时间段,源IP,源端口,端口,报文数} (式7)
VR_R_T=CR_R_T(R_R_T)
2)某一时间间隔△t内发送报文的物元R_T_T(t)如下:
R_T_T(t)={Δt发送报文,CR_T_T,VR_T_T}
CR_T_T={类型,时间段,目标IP,目标端口,源端口,报文数} (式8)
VR_T_T=CR_T_T(R_T_T)
(3)R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t)。根据物元的可分解性,由R_R_T(t)、R_T_T(t)得到关于端口、协议等条件分类的接收报文统计物元R_R_T_C(t)和传送报文的分类统计物元R_T_T_C(t)。
1)分类的接收报文物元R_R_T(t)如下:
2)分类的发送报文物元R_T_T_C(t)如下。
4、入侵的可拓识别和防御:
(1)通过下列步骤得到的关联函数:
1)用于入侵识别问题自变量域(a,b)的关联函数,是具有公共端点且最优点在a处的关联函数kl(x,a);
2)最优点时,基于左侧距的区间套位值为
特别地当最优点发生在X0的左端点a处,位值为:
其中,ρl(x,x0,X0)为左侧距,计算如下:
特别是当x0=a时,
其中,
3)具有左公共端点且最优点在a处的关联函数,记为:kl(x,a)为:
由2)ρl(x,x0,X0),得:最优点在公共端点的a处,基于左侧距的关联函数k(a,x)为:
(2)通过可拓处理得到的某一时间间隔△t内分类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)的报文数,利用关联函数,分别进行入侵识别,然后加权求和。具体如下:
Step1:根据发送的报文,判定节点异常可能性p1。
设:△t时间内可能的发送报文数为:<0,40>,当发出的报文数<0,5>时为正常值,当x=m时,计算利用关函数,计算结果如表1所示。受到攻击的可能性为p1=-k(x)。
表1 k(x)计算举例
m | 0 | 2 | 5 | 10 | 20 | 30 | 40 |
k(x) | 1 | 0.085 | 0 | -0.714 | -0.429 | -0.7143 | -1 |
Step2:根据收到的异常报文,判定节点异常可能性p2
同理,可根据△t收到的异常报文数n,判定节点被感染的可能性。
Step3:通过加权综合考虑上述两个因素得到
p=α1p1+α2p2其中α1,α2为权值
考虑到防火墙的存在,许多异常报文会有去无回使得后者实际收到的报文数小于实际数,设两者对结论的贡献分别为0.7,0.3,则,p=0.7p1+0.3p2
例:p1=0.714,p2=0.3,则p=0.59,表示由发送报文和接收报文异常,得到的关于该节点是否感染蠕虫的可能性。
(3)入侵预警,由已知感染点判别其它点是否感染。根据节点关系元Q(t),利用关联函数,计算受攻击可能性,进行入侵预警。具体步骤如下:
Step1:根据容量比r1,判定感染可能性。
容量比的可能取值范围为在<0,1>,设正常范围<0,0.85>,若超过0.85,就有发生质变的可能。问题转变为:X0=<0,0.85>,X=<0,1>,当x为r1时,该节点被感染的可能性p1是多少?计算方法同上。
Step2:根据内容相似率r2,判定感染可能性。
内容相似的可能取值范围为<0,1>,设正常范围<0,0.5>,若超过0.5,就有发生质变的可能。问题转变为:X0=<0,0.5>,X=<0,1>,当x为r2时,该节点被感染的可能性p2是多少?计算方法同Step1。
Step3:通过加权综合考虑上述两个因素,p=α1p1+α2p2,其中α1,α2为权值。
考虑到内容相近,更能说明两报文的相似性,设两者对结论的贡献分别为0.2和0.8,则,p=0.2p1+0.8p2。例:p1=0.8,p2=0.6,p=0.64,表示当检测点的报文大小与内容与一感染点的容量和内容之比分别为0.8和0.6时,该节点被感染的可能性为64%。
(4)入侵防御。根据入侵识别和受攻击可能性,用权利要求1的防御事元I(t),启动防御措施。策略如下:
Case1:同一广播域,主动防御。即,当监测到某个点被感染,对与其在同一广播域中的各点立刻无条件地采取防御措施。
Case2:非同一广播域,根据路由表,进行防御,具体步骤如下:
Step1:感染点建立感染告知基元,如(式4)所示。
Step2:根据路由信息表,对于所有与告知物元节点有连接关系的节点((式3)所示),进行漏洞检查。
2.1如果存有漏洞,按防御事元进行防御,并由物元的可拓性生成感染标志;如果没有,作检查标志;
2.2如果该路由的各端口均有标志(感染or检查),则标志该路由,表示搜索过。
重复Step1、Step2,如果在某一时间段,没有新标志生成,则结束搜索。
Claims (4)
1.一种网络入侵检测与防御的可拓求解方法,其特征是:包括下列步骤:
(1)预处理通过收集到的数据报文和网络拓扑信息,得到构造基元的数据,然后构造基元;
(2)对基元进行可拓变换,扩大已知条件,减少问题的矛盾性;
(3)建立问题合适的关联函数,进行结点状态的可拓识别和防御。
2.根据权利要求1所述的网络入侵检测与防御的可拓求解方法,其特征是:所述的基元如下:
(1)报文物元R(t),用于记载网络数据包;
R(t)={报文,C,V(t)}
C={时间,协议类型,源IP,源端口,目标IP,目标端口,
包容量,传输标志,包内容}
V(t)=C(R),是C的值
(2)防御事元I,表示对感染点采取的防御措施;
I=(D,C,V},D=“防御措施标识”
C={施动对象,支配对象,时间,地点,程序,方式,工具}
V=C(I),是C的值
(3)节点关系元Q(t),表示节点之间的相似关系;
Q(t)={A,C,V},A=“连通”
C={前项,后项,程度,容量,内容,联系通道,联系方式}
V(t)=C(Q),是C的值
其中,容量与内容的值在0~1之间,分别反映两节点之间报文容量和内容相似度。
(4)预警混合元Inf(t),告知检测到的攻击;
Inf(t)={通知,C,V}
C={攻击标识,原因,端口,发布时间,负载标志,尺寸,内容,防御}
V(t)=C(Inf),是C的值
其中,“原因”是关于攻击所利用的漏洞描述的物元,设为H=(N,c,v),N={漏洞名},c={依托软件,危害,…},v=c(H);防御为防御事元。
3.根据权利要求2所述的网络入侵检测与防御的可拓求解方法,其特征是:所述可拓变换步骤如下:
(1)R(t)-|R_R(t)、R_T(t):根据物元的可扩缩性,把权利要求2所述的报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t);
1)接收报文物元如下:
R_R(t)={接收报文,CR_R,VR_R}
CR_R={时间,源 IP,源端口,目标端口, 包容量,类型,标志}
VR_R=CR_R(R_R),是CR_R的值
2)发送报文物元如下:
R_T(t)={发送报文,CR_T,VR_T}
CR_T={时间,目标端口,目标IP,源端口,包容量,类型,标志}
VR_T=CR_T(R_R),是CR_T的值
(2)R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t):根据物元的可组合性,由接收报文物元R_R(t)和发送报文物元R_T(t),得到某一时间间隔△t内接收收到报文的物元R_R_T(t)和传出报文物元R_T_T(t);
1)某一时间间隔△t内接收收到报文的物元R_R_T(t)如下:
R_R_T(t)={Δt接收报文,CR_R_T,VR_R_T}
CR_R_T={类型,时间段,源IP,源端口,端口,报文数}
VR_R_T=CR_R_T(R_R_T),是CR_R_T的值
2)某一时间间隔△t内接收收到报文的物元R_T_T(t)如下所示:
R_T_T(t)={Δt发送报文,CR_T_T,VR_T_T}
CR_T_T={类型,时间段,目标IP,目标端口,源端口,报文数}
VR_T_T=CR_T_T(R_T_T),是CR_T_T的值
(3)R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t):根据物元的可分解性,由R_R_T(t)、R_T_T(t)得到关于包括端口、协议条件分类的接收报文统计物元R_R_T_C(t)和传送报文的分类统计物元R_T_T_C(t);
1)分类的接收报文物元R_R_T_C(t)如下所示:
R_R_T_C(t)={Δt发送报文类名,CR_R_T_C,VR_R_T_C)
CR_R_T_C={时间段,报文数,......}
VR_R_T_C=CR_R_T_C(R_R_T_C),是CR_R_T_C的值
2)分类的发送报文物元R_T_T_C(t)如下所示。
R_T_T_C(t)={Δt接收报文类名,CR_T_T_C,VR_T_T_C}
CR_T_T_C={时间段,报文数,…}
VR_T_T_C=CR_T_T_C(R_T_T_C),是CR_T_T_C的值。
4.根据权利要求3所述的网络入侵与防御的可拓求解方法,其特征是:所述进行结点状态的可拓识别和防御,包括下列步骤:
(1)确定关联函数:
用于入侵识别问题自变量域(a,b)的关联函数,是具有公共端点且最优点在a处的关联函数kl(x,a);
(2)根据所述的报文物元R(t)和所述的某一时间间隔△t内分 类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)中的报文数,利用关联函数kl(x,a),分别计算被攻击的可能性,然后进行加权计算,进行入侵识别;
(3)入侵预警:根据所述的节点关系元Q(t)中的容量和内容相似度,利用关联函数kl(x,a),分别计算受感染的可能性,然后进行加权计算,进行入侵预警;
(4)入侵防御:根据入侵识别和受攻击可能性,用所述的防御事元I(t),启动防御措施。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310419078.2A CN103475662B (zh) | 2013-09-13 | 2013-09-13 | 网络入侵防御的可拓求解方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310419078.2A CN103475662B (zh) | 2013-09-13 | 2013-09-13 | 网络入侵防御的可拓求解方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103475662A true CN103475662A (zh) | 2013-12-25 |
CN103475662B CN103475662B (zh) | 2017-05-24 |
Family
ID=49800358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310419078.2A Expired - Fee Related CN103475662B (zh) | 2013-09-13 | 2013-09-13 | 网络入侵防御的可拓求解方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103475662B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1609854A (zh) * | 2003-06-26 | 2005-04-27 | 微软公司 | 关联的共享计算机对象 |
US20090327993A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Extension Model for Improved Parsing and Describing Protocols |
-
2013
- 2013-09-13 CN CN201310419078.2A patent/CN103475662B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1609854A (zh) * | 2003-06-26 | 2005-04-27 | 微软公司 | 关联的共享计算机对象 |
US20090327993A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Extension Model for Improved Parsing and Describing Protocols |
Non-Patent Citations (5)
Title |
---|
徐慧,周建美,蒋峥峥: "基于侧距的关联函数构造及应用", 《南通大学学报》 * |
徐慧,肖德宝,肖敏: "基于可拓学的网络安全报警分析技术研究", 《计算机应用研究》 * |
肖敏,柴蓉,杨富平,范士喜: "基于可拓集的入侵检测模型", 《重庆邮电大学学报》 * |
肖敏等: "基于可拓集的信息安全风险评估", 《计算机应用》 * |
赵玲: "可拓物元模型用于入侵检测的研究", 《微机发展》 * |
Also Published As
Publication number | Publication date |
---|---|
CN103475662B (zh) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10261502B2 (en) | Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model | |
KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
CN108769051B (zh) | 一种基于告警融合的网络入侵态势意图评估方法 | |
Zhengbing et al. | A novel network intrusion detection system (nids) based on signatures search of data mining | |
CN1946077B (zh) | 基于及早通知检测异常业务的系统和方法 | |
JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
CN102624696B (zh) | 一种网络安全态势评估方法 | |
CN101001242B (zh) | 网络设备入侵检测的方法 | |
CN100531219C (zh) | 一种网络蠕虫检测方法及其系统 | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN105721242A (zh) | 一种基于信息熵的加密流量识别方法 | |
KR100745678B1 (ko) | 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법 | |
EP3338405B1 (en) | System and method for detecting attacks on mobile ad hoc networks based on network flux | |
Meng et al. | Adaptive character frequency-based exclusive signature matching scheme in distributed intrusion detection environment | |
Ahmed et al. | Enhancing intrusion detection using statistical functions | |
CN103475662A (zh) | 网络入侵防御的可拓求解方法 | |
CN105516164A (zh) | 基于分形与自适应融合的P2P botnet检测方法 | |
CN115022079A (zh) | 攻击数据处理方法、装置、电子设备和计算机存储设备 | |
CN112769847B (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 | |
Hassanzadeh et al. | Intrusion detection with data correlation relation graph | |
JP2005203992A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 | |
CN112543177A (zh) | 一种网络攻击检测方法及装置 | |
Xue et al. | Research of worm intrusion detection algorithm based on statistical classification technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170524 Termination date: 20170913 |
|
CF01 | Termination of patent right due to non-payment of annual fee |