CN103957203A - 一种网络安全防御系统 - Google Patents
一种网络安全防御系统 Download PDFInfo
- Publication number
- CN103957203A CN103957203A CN201410164366.2A CN201410164366A CN103957203A CN 103957203 A CN103957203 A CN 103957203A CN 201410164366 A CN201410164366 A CN 201410164366A CN 103957203 A CN103957203 A CN 103957203A
- Authority
- CN
- China
- Prior art keywords
- detector
- data
- network
- module
- intelligent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全防御系统,该系统包括管理模块、训练模块、采集模块、分析模块和处理模块。管理模块负责生成智能实体,计划智能实体的移动路径后派发到主机;采集模块负责采集数据,为分析模块做准备;分析模块由各个智能实体构成,负责分析数据流,若分析出有攻击,则通知处理模块;处理模块则负责做出相应的处理;训练模块根据已有的网络攻击模式训练产生相应检测器,构成智能实体;主动模块是当智能实体发现可疑网络攻击时,主动产生新检测器上报给管理模块。通过本发明的网络安全防御系统,提高了对网络攻击的反应速度,平衡了负载,节省了带宽,降低了误检率,通过主动地检测可疑网络攻击行为,降低了漏检率。
Description
技术领域
本发明涉及一种网络安全防御系统,尤其涉及一种主动的网络安全防御系统,通过对计算机网络或计算机系统关键节点的信息采集和分析,发现各种外部攻击、内部攻击和误操作,并做出相应的响应,保证系统或网络资源的机密性、完整性与可用性。
背景技术
网络技术正在改变传统的生产、经营和生活方式,成为新的经济增长点。但是计算机网络在带给我们便利的同时,也体现出它的脆弱性。网络信息系统存在的安全漏洞和隐患层出不穷,基础网络和重要信息系统面临着严峻的安全威胁。
漏洞的大量存在是网络安全问题的总体形势趋于严峻的重要原因之一。由于基于TCP/IP架构的计算机网络是一个开放和自由的网络,它在大大增强网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。黑客攻击技术与网络病毒日趋融合是目前网络攻击的发展趋势,并且随着攻击工具日益先进,攻击者所需的技能日趋下降,网络受到攻击的可能性将越来越大。另外,企业外部的攻击可以对企业网络造成巨大的威胁,“御敌于城门之外”也是计算机安全的传统的范例,但是企业内部员工的不正确使用和恶意破坏则是一种更加危险的因素。
世界上众多科研机构经过多年的研究,在网络安全领域中的许多方面取得了显著的成就,现有技术中典型地包括防火墙、杀毒软件等。但是这些系统也有些缺陷和不足,例如:(1)限制有用的网络服务;(2)无法防护内部网络用户的攻击;(3)无法全面防备病毒,不可能限制所有感染病毒的文件在网络中流通;(4)不能防备新的网络安全问题,只能对已知的网络威胁起作用,不可能靠一次性的设置解决所有的安全问题;(5)对大量潜在的后门缺乏有效手段;(6)高误检率和漏检率;(7)处理速度慢,难以跟上网络速度的发展。
发明内容
本发明的目的在于针对传统网络安全防御措施的缺陷,提出一种主动的网络安全防御系统,用于监控计算机网络各个节点上的主机,以发现和防御网络攻击行为,该系统包括管理模块、训练模块、采集模块、分析模块和处理模块。管理模块负责生成智能实体,计划智能实体的移动路径,派发各智能实体到相应的主机;采集模块负责采集数据,并分析包头及协议,提取有用特征,为分析模块做准备;分析模块由各个智能实体构成,负责分析截获的数据流,判断是否有攻击发生,若分析出有攻击,则通知处理模块;处理模块则负责做出相应的处理,如断开可疑连接,锁住相应的账号或者限制登陆等;训练模块是根据已有的网络攻击模式,训练产生相应的检测器,从而构成智能实体;主动模块是当智能实体发现可疑的网络攻击时,主动产生新的检测器,并上报给管理模块。
附图说明
图1:本发明的系统模块结构;
图2:durantion的隶属度函数;
图3:可变选择算法的检测流程图;
图4:改进后的可变选择算法的检测流程图;
具体实施方式
参见图1,本发明的网络安全防御系统的系统结构从功能角度可分为:管理模块、训练模块、采集模块、分析模块、处理模块、主动模块。除此之外,本系统还包括一些智能实体,这些智能实体是一类特殊的软件模块,具有独立处理事务的功能,并且具有可迁移性,类似网络蠕虫,可以从一个网络节点迁移到另一个网络节点。迁移的目的是使程序的执行尽可能靠近数据源,降低网络通信开销,节省带宽,平衡负载,加快任务的执行,从而提高分布式系统的处理效率。管理模块负责生成智能实体,计划智能实体的移动路径,派发各智能实体到相应的主机。采集模块负责采集数据,本发明只采集网络数据,并分析包头及协议,提取有用特征,为分析模块做准备。分析模块由各个智能实体构成,负责分析截获的数据流,判断是否有攻击发生,若分析出有攻击,则通知处理模块。处理模块则负责做出相应的处理,如断开可疑连接,锁住相应的账号或者限制登陆等。训练模块是根据已有的网络攻击模式,训练产生相应的检测器,从而构成智能实体。主动模块是当智能实体发现可疑的网络攻击时,主动产生新的检测器,并上报给管理模块。以下是具体说明。
管理模块:主要负责管理、协调、控制被监控主机上的智能实体,它生成带检测器的智能实体,收到采集模块的信号之后,派发智能实体到相应的主机中。智能实体产生之后,其工作过程是独立的,与管理模块无关,即就算管理服务器受到攻击,也不会影响已经产生的在系统内的智能实体的工作,这些智能实体也可以通过克隆,移动到需要检测的主机上进行检测,为恢复控制平台的工作争取了时间,这样就消除了中央控制器的单点失效问题。
训练模块:系统管理员根据已知的网络攻击模式建立一个攻击模式的训练数据库,训练模块提取该数据库中的网络攻击模式,根据每个网络攻击模式进行训练,从而创建相应的网络攻击模式的检测器。但是,由于攻击模式众多,不可能针对每一种攻击模式都创建一个检测器,训练模块还需要对检测器进行总结、分类和合并,使得一个检测器可以检测多种攻击模式,尽可能减少检测器数量。
采集模块:数据采集是整个系统的基础。所有的检测、分析、处理是建立在数据采集基础上的。采集的数据源主要包括基于主机的数据和基于网络的数据,本系统只针对基于网络的数据。采集模块分布在网络中的各节点上,主要有两大任务:一是,负责对网络数据包的截获;二是,对截获的网络数据包进行预处理,由于采集到的数据信息量非常大,所以采集模块要过滤出相关的信息,减小无用的信息入库,对其进行编码,将数据提供给分析模块进行分析。
分析模块:分析模块实际上是由各个智能实体构成,是整个系统的核心。主要完成对采集模块所传送的数据进行检测分析。智能实体可以在主机间迁移,可以相互进行通信协作来完成网络攻击的检测。智能实体可分为B-智能实体和M-智能实体。每个B-智能实体都有一个检测器集合,该集合中的所有的检测器均为通过训练的成熟检测器,B-智能实体对采集模块所传送的数据进行检测分析,发现攻击行为及时向处理模块发出处理请求。同样,每个M-智能实体也都有一个检测器集,该检测器集中的检测器均为通过训练的记忆检测器,也就是针对此前出现过的攻击的检测器,当采集模块传送数据后,若此时M-智能实体不为空,则由M-智能实体先进行检测,若匹配不成功,再交由B-智能实体进行检测。这样,当有相同或者相似的攻击再次出现时,可以明显提高检测速度。
处理模块:一旦智能实体检测到有网络攻击行为或者可疑网络攻击行为时,它们便会及时激活处理模块,处理模块会立即发出警报,并对此做出响应。
主动模块:由于系统中可能出现未知的网络攻击模式,因此智能实体发现可疑的网络行为时,将上报给主动模块,在主动模块的控制下,该智能实体将主动产生一个可以检测该可疑网络行为的新的检测器,然后立即将该检测器发送给其他网络节点的智能实体,以帮助其他智能实体及时发现该网络行为。
网络数据的提取:
采集模块需要提取数据包的特征,特征集的选取直接影响系统的性能,选取时必须遵循以下原则:一是,特征集要能够精确描述网络行为;二是,能够区分“合法”和“非法”的行为。三是,在保证精确性的同时,特征串尽量不要太长,防止特征爆炸现象,破坏系统的实时性。
对数据包包头进行解析,可以发现部分攻击,如当发现回复地址为广播地址,往往就是攻击者想利用ICMP应答请求数据包来淹没受害主机的方式,再如,发现SYN包的源地址与目的地址为同一地址时,那是攻击者发起的Land攻击。但是仅仅利用原始特征并不能很好地完成攻击的检测,比如,一次IP扫描,其单个数据包的各个字段都是正常,不正常的是短时间从单一IP地址发送了大量的ICMP连接。如果这时仅仅依靠包头解析,就会发现不了此类攻击。
特征的数量与质量直接影响到系统的检测效率。这涉及到特征选择和特征提取,本发明选用三类特征作为检测特征:基于会话的特征、基于时间的统计特征和基于连接的统计特征。由于TCP是一个基于会话的协议,一次会话包括从初始连接到结束发送的所有的数据包。基于会话的特征,包括基于会话的基本特征和基于会话的内容特征,分别如表1和2所示。这些特征对于检测单个会话中的攻击非常有效。基于时间的统计特征是对基于会话的一个扩展,包括多个会话。基于时间的统计特征主要包括在一段时间内针对同一主机,同一服务的统计,如表3所示。本发明选择的时间窗口大小为2秒。因为一般拒绝服务和端口扫描都是在短时间内连接大量主机,因此,基于时间的统计特征对此类攻击有一定的检测作用。但如果攻击者选择发出攻击的时间间隔大于本发明所选的时间窗口,那么,就会躲过检测。因此,基于连接的统计特征也显得很重要,主要包括在一定连接中针对同一主机,同一服务的统计。本发明选择的连接窗口大小为100个连接。这些特征主要用于检测目前流行的慢扫描或称作隐蔽扫描,如表4所示。
表1基于会话的基本特征
表2一个连接内的内容特征
表3基于时间的统计特征
表4基于连接的统计特征
在数据预处理阶段,要将截获的数据转化后交由检测单元检测。而数据包包括多种表现型特征,有离散的特征,也有连续的。对于离散的特征,可以直接进行编码。连续特征的变化范围宽,不利于网络攻击的判断,因此,对于连续性特征,需先进行离散化处理。由于连续性数据的变化范围宽,很难精确地对其进行区间的划分。而且,攻击行为和正常行为本身就没有一个明确的界限,对于一个看似异常的流量,它可能的确是攻击行为,但也有可能因为故障产生的异常。为了解决这样的情况,本发明采用模糊化的概念,利用隶属度函数对连续性变量进行处理。隶属度函数是表示一个对象隶属于集合的程度的函数,定义如下:给定一个非空集合x,x上的一个模糊子集A:x→[0,1],该映射称为A的隶属度函数,它反映x中的每个元素x对于模糊子集A的隶属度函数,若当A(x)=1时,说明x完全属于A。
本发明采用三角形隶属度函数对连续性变量进行模糊处理。以基于会话的特征duration为例,说明该处理过程。duration表示的是连接持续的时间,用“很短”、“较短”、“正常”、“较长”和“很长”五个模糊概念来描述连接持续的时间。分别采用降半阶梯形和升半阶梯形作为“很短”和“很长”的隶属度函数,三角形隶属度函数作为“较短”、“正常”和“较长”的隶属度函数,如图2所示。根据图2中a到f七个duration(持续时间)点,以随机变量x为函数自变量,可求出各隶属度函数公式,分别见公式(3.3)-(3.7),随机变量x是duration属性值。
根据切比雪夫不等式:
可推导出公式(3.9)
在随机变量x的分布未知的情况下,事件{|x-μ|<ε}的概率的一种估计方法可用公式(3.9)计算。当取ε=2σ时,P{|x-μ|<2σ}≥0.75;
当取ε=3σ,P{|x-μ|<3σ}≥0.89;
当取ε=4σ,P{|x-μ|<4σ}≥0.94;
因此,图2中的各变量的取值为:a=μ-4σ,b=μ-3σ,c=μ-2σ,d=μ+2σ,e=μ+3σ,f=μ+4σ。
其中,μ和σ分别是在学习阶段为系统提供的正常样本集中该属性的期望与标准差。设x1,x2,...,xn为正常样本集中该属性的所有值,μ和σ的求法如公式(3.10)和公式(3.11)所示。
特征duration就有“很短”、“较短”、“正常”、“较长”和“很长”五种可能的值,用3位二进制码就可以表示,本发明分别用000、001、010、011、100来表示。
本发明将统计型属性作为协同信号,对于连续信号也采用上述的方式离散化。所不同的是,由于此类变量是作为协同信号,因此本发明用“正常”、“怀疑”、“异常”三个模糊化概念来描述基于时间的统计变量。分别采用降半阶梯形和升半阶梯形作为“正常”和“异常”的隶属度函数,三角形隶属度函数作为“正常”的隶属度函数,将值为“很短”、“较短”、“正常”的属性认为是正常,若某属性值为“较长”,则列入怀疑的范围,若某属性值为“很长”,则列入异常的范围。
检测器的定义及分类:
检测器,是指在深刻理解网络协议的机制以及它们的安全漏洞的基础上,对异常网络通信模式的描述。有效的检测器,是安全防御系统中的关键。检测器分为未成熟检测器、成熟检测器和记忆检测器。真正参与检测的检测器只有成熟检测器和记忆检测器。而且当记忆检测器不为空时,总是先由记忆检测器先行进行检测,若检测不出是否是攻击,再交由成熟检测器去检测,成熟检测器和记忆检测器都是动态变化的。把生成的成熟检测器和记忆检测器再嵌入到智能实体里。根据智能实体的可迁移性,即可以把检测器移动到数据源主机上直接进行判断。
未成熟检测器就是初始生成,未经过否定选择的检测器。成熟检测器是指通过否定选择后存活下来的检测器。记忆检测器是检测已出现过的攻击的检测器。
检测器的生成:
检测器生成算法是整个系统的关键,生成的检测器直接影响到检测率和误检率,其可以使用下述三种算法。
(1)否定选择算法,该算法的步骤如下:
a)定义自身序列的集合;
b)生成检测器集合,生成一组随机串,将每个随机串与自身序列进行匹配,若能匹配,则丢弃此随机串,若该随机串与任何自身序列都不匹配,则保留;
c)检测阶段。将被保护的数据与检测器相比较,若检测器被激活,则说明有变化发生。
(2)可变选择算法,该算法具体步骤如下:
Step1:随机产生未成熟检测器,用否定选择算法比较未成熟检测器群体和所给的合法数据集,删除那些发生匹配的检测器,再补充新的未成熟检测器直到其数量达到非记忆检测器群体的最大值。同样的过程在耐受期T的各代中继续下去。当总的代数达到T后,那些岁数为T代(出生为1代)的未成熟检测器就变为成熟检测器。
Step2:在T+1代,成熟检测器要检测新的数据集合,当一个成熟检测器与一个数据发生匹配时,这个检测器的匹配数就加1,当所有的数据都与现有成熟检测器比较后,系统就会检查:①检查各成熟检测器的匹配数是否超过了预定义的激活阀值(A);②如果一个成熟检测器的匹配数超过了A,并且,若安全管理员确定这个检测器检测到了网络攻击行为(协同刺激),该成熟检测器被激活成记忆检测器;③如果成熟检测器的年龄到了L代,那么将从成熟检测器群体中删除。
Step3:在T+2代,当记忆检测器匹配某种数据后,会立即报警,这种数据将从数据群体中删除,剩余的数据被送到成熟检测器群体中进行比较,检测过程和T+1代一样。
Step4:从T+3代开始,检测过程就和T+2代一样,这样不断持续下去以检测不断变化的数据群体,直至系统关闭。
将可变选择算法应用到检测器中,其检测流程图如图3所示,但是当已学习过的自我和非我数据通过合法改变发生变化时,可变选择算法不能学习新的自我数据,当此新的数据被该算法检测时,就会引起高的误检率。
(3)改进的可变选择算法
针对上述可变选择算法的不足,在可变选择算法的基础上,对记忆检测器和成熟检测器做了改进。
在T+1代,成熟的检测器要检测新的数据集合,如果数据与成熟检测器匹配成功,判断该数据是否属于当前的合法数据集,如果属于,则将该成熟检测器删除,并把该数据加入当前的合法数据集中,如果不属于,则把对应的成熟检测器中的计数器加1,并删除该数据,并检查该检测器的生命周期L和激活阀值A。如果计数器的值超过A,则该成熟检测器进入记忆检测器集中;如果计数器的值小于A,且年龄超过L,则删除该检测器。
T+2代,当记忆检测器匹配了某种数据之后,判断该数据是否属于当前的合法数据集。若不属于,则删除该数据;否则,删除该记忆检测器。
图4是将改进的可变选择算法运用到检测器中的检测流程图。
Claims (10)
1.一种网络安全防御系统,用于监控计算机网络各个节点上的主机,以发现和防御网络攻击行为,其特征在于,该系统包括
管理模块,负责管理、协调、控制被监控主机上的智能实体,生成带检测器的智能实体,在收到采集模块的信号之后,派发智能实体到相应的主机中,所述智能实体是一类特殊的软件模块,具有独立处理事务的功能,并且具有可迁移性,可以从一个网络节点迁移到另一个网络节点,智能实体产生之后,其工作过程是独立的,与管理模块无关,即就算管理服务器受到攻击,也不会影响已经产生的在系统内的智能实体的工作,这些智能实体也可以通过克隆,将克隆出的智能实体移动到需要检测的主机上进行检测;
训练模块,用于提取数据库中存储的网络攻击模式,根据每个网络攻击模式进行训练,从而创建相应的网络攻击模式的检测器,同时还对检测器进行总结、分类和合并,使得一个检测器可以检测多种攻击模式,尽可能减少检测器数量,所述数据库是系统管理员根据已知的网络攻击模式建立的一个攻击模式的训练数据库;
采集模块,分布在计算机网络中的各个节点上,负责对网络数据包的截获,以及对截获的网络数据包进行预处理,从采集到的数据信息中过滤出相关的信息,减小无用的信息入库,并对采集到的数据进行编码,将编码后的数据提供给分析模块进行分析;
分析模块,由系统中运行的所有智能实体构成,负责对采集模块所传送的数据进行检测分析,智能实体可以在主机间迁移,可以相互进行通信协作来完成对网络攻击的检测,智能实体分为B-智能实体和M-智能实体,每个B-智能实体都有一个检测器集合,该集合中的所有的检测器均为通过训练的成熟检测器,B-智能实体对采集模块所传送的数据进行检测分析,发现攻击行为后及时向处理模块发出处理请求,同样,每个M-智能实体也都有一个检测器集,该检测器集中的检测器均为通过训练的记忆检测器,也就是针对此前出现过的攻击的检测器,当采集模块传送数据后,若此时M-智能实体不为空,则由M-智能实体先进行检测,若匹配不成功,再交由B-智能实体进行检测;
处理模块,负责处理发现的网络攻击行为或可疑网络行为,在智能实体检测到有网络攻击行为或者可疑网络行为时,它们便会及时激活处理模块,处理模块会立即发出警报,并作出相应的处理;
主动模块,负责控制智能主体产生新的可疑网络行为检测器,智能实体发现可疑的网络行为时,将上报给主动模块,在主动模块的控制下,该智能实体将主动产生一个可以检测该可疑网络行为的新的检测器,然后立即将该检测器发送给其他网络节点的智能实体,以帮助其他智能实体及时发现该网络行为。
2.如权利要求1所述的网络安全防御系统,其中采集模块提取网络数据的特征,包括基于会话的特征、基于时间的统计特征和基于连接的统计特征;对于离散的特征,采集模块直接进行编码,对于连续性特征,使用隶属度函数对其进行离散化处理后再编码。
3.如权利要求2所述的网络安全防御系统,进一步包括:采集模块采用三角形隶属度函数对基于会话的特征duration进行模糊处理,duration表示的是连接持续的时间,分别采用降半阶梯形和升半阶梯形作为“很短”和“很长”的隶属度函数,三角形隶属度函数作为“较短”、“正常”和“较长”的隶属度函数,以随机变量x为函数自变量,各隶属度函数公式如下:
其中,a=μ-4σ,b=μ-3σ,c=μ-2σ,d=μ+2σ,e=μ+3σ,f=μ+4σ,,μ和σ分别是在学习阶段为系统提供的正常样本集中该duration属性的期望与标准差,随机变量x是duration属性值。
4.如权利要求2-3的网络安全防御系统,其中使用“正常”、“怀疑”、“异常”三个模糊化概念来描述基于时间的统计变量。分别采用降半阶梯形和升半阶梯形作为“正常”和“异常”的隶属度函数,三角形隶属度函数作为“正常”的隶属度函数,将值为“很短”、“较短”、“正常”的属性认为是正常,若某属性值为“较长”,则列入怀疑的范围,若某属性值为“很长”,则列入异常的范围。
5.如权利要求1-4的网络安全防御系统,使用否定选择算法来生成检测器,该算法包括如下步骤:
a)定义自身序列的集合;
b)生成检测器集合,生成一组随机串,将每个随机串与自身序列进行匹配,若能匹配,则丢弃此随机串,若该随机串与任何自身序列都不匹配,则保留;
c)检测阶段,将被保护的数据与检测器相比较,若检测器被激活,则说明有变化发生。
6.如权利要求1-4的网络安全防御系统,使用可变选择算法生成检测器,具体步骤如下:
Step1:随机产生未成熟检测器,用否定选择算法比较未成熟检测器群体和所给的合法数据集,删除那些发生匹配的检测器,再补充新的未成熟检测器直到其数量达到非记忆检测器群体的最大值,同样的过程在耐受期T的各代中继续下去。当总的代数达到T后,那些岁数为T代的未成熟检测器就变为成熟检测器;
Step2:在T+1代,成熟检测器要检测新的数据集合,当一个成熟检测器与一个数据发生匹配时,这个检测器的匹配数就加1,当所有的数据都与现有成熟检测器比较后,系统就会检查:①检查各成熟检测器的匹配数是否超过了预定义的激活阀值A;②如果一个成熟检测器的匹配数超过了A,并且安全管理员确定这个检测器检测到了网络攻击行为,该成熟检测器被激活成记忆检测器;③如果成熟检测器的年龄到了L代,那么将从成熟检测器群体中删除;
Step3:在T+2代,当记忆检测器匹配某种数据后,会立即报警,这种数据将从数据群体中删除,剩余的数据被送到成熟检测器群体中进行比较,检测过程和T+1代一样;
Step4:从T+3代开始,检测过程就和T+2代一样,这样不断持续下去以检测不断变化的数据群体,直至系统关闭。
7.如权利要求6的网络安全防御系统,进一步包括:
在T+1代,成熟的检测器要检测新的数据集合,如果数据与成熟检测器匹配成功,判断该数据是否属于当前的合法数据集,如果属于,则将该成熟检测器删除,并把该数据加入当前的合法数据集中,如果不属于,则把对应的成熟检测器中的计数器加1,并删除该数据,并检查该检测器的生命周期L和激活阀值A,如果计数器的值超过A,则该成熟检测器进入记忆检测器集中;如果计数器的值小于A,且年龄超过L,则删除该检测器;
T+2代,当记忆检测器匹配了某种数据之后,判断该数据是否属于当前合法数据集,若不属于,则删除该数据;否则,删除该记忆检测器。
8.如权利要求1-7的网络安全防御系统,其中检测器分为未成熟检测器、成熟检测器和记忆检测器,未成熟检测器就是初始生成,未经过否定选择的检测器,成熟检测器是指通过否定选择后存活下来的检测器,记忆检测器是检测已出现过的攻击的检测器。
9.如权利要求2的网络安全防御系统,其中基于会话的特征包括基于会话的基本特征和基于会话的内容特征。
10.如权利要求2的网络安全防御系统,其中基于时间的统计特征主要包括在一段时间内针对同一主机、同一服务的统计,基于连接的统计特征包括在一定连接中针对同一主机、同一服务的统计。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410164366.2A CN103957203B (zh) | 2014-04-19 | 2014-04-19 | 一种网络安全防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410164366.2A CN103957203B (zh) | 2014-04-19 | 2014-04-19 | 一种网络安全防御系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103957203A true CN103957203A (zh) | 2014-07-30 |
CN103957203B CN103957203B (zh) | 2015-10-21 |
Family
ID=51334429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410164366.2A Active CN103957203B (zh) | 2014-04-19 | 2014-04-19 | 一种网络安全防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103957203B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506482A (zh) * | 2014-10-10 | 2015-04-08 | 香港理工大学 | 网络攻击检测方法及装置 |
CN105827611A (zh) * | 2016-04-06 | 2016-08-03 | 清华大学 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
CN106034132A (zh) * | 2015-03-05 | 2016-10-19 | 纬创资通股份有限公司 | 保护方法与计算机系统 |
CN106850645A (zh) * | 2017-02-18 | 2017-06-13 | 许昌学院 | 一种检测非法访问计算机网络的系统和方法 |
CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
CN107046549A (zh) * | 2017-05-31 | 2017-08-15 | 郑州轻工业学院 | 基于免疫的物联网分布式入侵检测方法及系统 |
CN109495795A (zh) * | 2019-01-16 | 2019-03-19 | 陈小明 | 一种网络安全防御系统 |
CN109660532A (zh) * | 2018-12-14 | 2019-04-19 | 华南农业大学 | 一种分布式网络数据采集方法及其采集系统 |
CN110224969A (zh) * | 2018-03-01 | 2019-09-10 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
CN111464568A (zh) * | 2020-06-17 | 2020-07-28 | 广东电网有限责任公司佛山供电局 | 一种增强多网口防网络攻击能力的方法和系统 |
CN112131568A (zh) * | 2019-06-25 | 2020-12-25 | 国际商业机器公司 | 推理时对已训练模型的对抗性后门攻击的检测 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299691A (zh) * | 2008-06-13 | 2008-11-05 | 南京邮电大学 | 一种基于人工免疫的动态网格入侵检测方法 |
CN101523848A (zh) * | 2006-09-29 | 2009-09-02 | 阿尔卡特朗讯公司 | 使用ⅱ型模糊神经网络的智能网络异常检测 |
CN101604408A (zh) * | 2009-04-03 | 2009-12-16 | 江苏大学 | 一种检测器的生成和检测方法 |
CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
-
2014
- 2014-04-19 CN CN201410164366.2A patent/CN103957203B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101523848A (zh) * | 2006-09-29 | 2009-09-02 | 阿尔卡特朗讯公司 | 使用ⅱ型模糊神经网络的智能网络异常检测 |
CN101299691A (zh) * | 2008-06-13 | 2008-11-05 | 南京邮电大学 | 一种基于人工免疫的动态网格入侵检测方法 |
CN101604408A (zh) * | 2009-04-03 | 2009-12-16 | 江苏大学 | 一种检测器的生成和检测方法 |
CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
Non-Patent Citations (1)
Title |
---|
徐静等: "基于改进动态克隆算法的入侵检测研究", 《计算机工程与应用》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9876807B2 (en) | 2014-10-10 | 2018-01-23 | The Hong Kong Polytechnic University | Network attack detection method |
US10193910B2 (en) | 2014-10-10 | 2019-01-29 | The Hong Kong Polytechnic University | Network attack detection method |
CN104506482A (zh) * | 2014-10-10 | 2015-04-08 | 香港理工大学 | 网络攻击检测方法及装置 |
CN106034132A (zh) * | 2015-03-05 | 2016-10-19 | 纬创资通股份有限公司 | 保护方法与计算机系统 |
CN106034132B (zh) * | 2015-03-05 | 2019-01-15 | 纬创资通股份有限公司 | 保护方法与计算机系统 |
CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
CN105827611B (zh) * | 2016-04-06 | 2018-12-28 | 清华大学 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
CN105827611A (zh) * | 2016-04-06 | 2016-08-03 | 清华大学 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
CN106850645A (zh) * | 2017-02-18 | 2017-06-13 | 许昌学院 | 一种检测非法访问计算机网络的系统和方法 |
CN107046549B (zh) * | 2017-05-31 | 2018-05-18 | 郑州轻工业学院 | 基于免疫的物联网分布式入侵检测方法及系统 |
CN107046549A (zh) * | 2017-05-31 | 2017-08-15 | 郑州轻工业学院 | 基于免疫的物联网分布式入侵检测方法及系统 |
CN110224969A (zh) * | 2018-03-01 | 2019-09-10 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
CN109660532A (zh) * | 2018-12-14 | 2019-04-19 | 华南农业大学 | 一种分布式网络数据采集方法及其采集系统 |
CN109660532B (zh) * | 2018-12-14 | 2021-08-24 | 华南农业大学 | 一种分布式农业网络数据采集方法及其采集系统 |
CN109495795A (zh) * | 2019-01-16 | 2019-03-19 | 陈小明 | 一种网络安全防御系统 |
CN112131568A (zh) * | 2019-06-25 | 2020-12-25 | 国际商业机器公司 | 推理时对已训练模型的对抗性后门攻击的检测 |
CN111464568A (zh) * | 2020-06-17 | 2020-07-28 | 广东电网有限责任公司佛山供电局 | 一种增强多网口防网络攻击能力的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103957203B (zh) | 2015-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103957203B (zh) | 一种网络安全防御系统 | |
Maglaras et al. | Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems | |
CN107277039B (zh) | 一种网络攻击数据分析及智能处理方法 | |
CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN110113328A (zh) | 一种基于区块链的软件定义机会网络DDoS防御方法 | |
CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN106411562A (zh) | 一种电力信息网络安全联动防御方法及系统 | |
Sayegh et al. | SCADA intrusion detection system based on temporal behavior of frequent patterns | |
Hofmann et al. | Online intrusion alert aggregation with generative data stream modeling | |
CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
CN103227798A (zh) | 一种免疫网络系统 | |
Gómez et al. | Design of a snort-based hybrid intrusion detection system | |
CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护系统 | |
CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
CN106330611A (zh) | 一种基于统计特征分类的匿名协议分类方法 | |
Signorini et al. | Advise: anomaly detection tool for blockchain systems | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
Yang et al. | RTT-based random walk approach to detect stepping-stone intrusion | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
Bonifácio et al. | An adaptive intrusion detection system using neural networks | |
Sapozhnikova et al. | Intrusion detection system based on data mining technics for industrial networks | |
Yahyazadeh et al. | BotCatch: Botnet detection based on coordinated group activities of compromised hosts | |
Dinh et al. | Economic Denial of Sustainability (EDoS) detection using GANs in SDN-based cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190318 Address after: Room 2, 1st floor, 1412 Lane 15, Nicheng Yunduan Road, Pudong New Area, Shanghai, 200120 Patentee after: Shanghai view security information technology Limited by Share Ltd Address before: No. 9 hope Avenue, Yancheng City, Jiangsu Province, Jiangsu Patentee before: Yangcheng Institute of Technology |
|
TR01 | Transfer of patent right |