CN103973663A - 一种ddos攻击动态阈值异常流量检测方法及装置 - Google Patents
一种ddos攻击动态阈值异常流量检测方法及装置 Download PDFInfo
- Publication number
- CN103973663A CN103973663A CN201310058519.0A CN201310058519A CN103973663A CN 103973663 A CN103973663 A CN 103973663A CN 201310058519 A CN201310058519 A CN 201310058519A CN 103973663 A CN103973663 A CN 103973663A
- Authority
- CN
- China
- Prior art keywords
- value
- traffic detection
- threshold
- abnormal traffic
- tolerance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种DDOS攻击动态阈值异常流量检测方法及装置,其中,该方法包括:获得异常流量检测历史数据,根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值;将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较;如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警。本发明的DDOS攻击动态阈值异常流量检测方法及装置,能够有效的利用历史数据生成容忍线上下流量阈值,弥补了现有技术中针对DDOS攻击的异常流量检测过程中阈值确定难度大的问题,基于统计学的阈值确定方法使DDOS异常流量检测的准确性得到较大幅度提升,降低了异常流量检测告警的误报率。
Description
技术领域
本发明涉及通信领域中网络安全技术领域,具体地,涉及一种DDOS攻击动态阈值异常流量检测方法及装置。
背景技术
DDOS是Distributed Denial of Service的缩写,即分布式拒绝服务。DDOS攻击,即分布式拒绝服务攻击,是指通过主控机控制网络上的大量傀儡主机同时向攻击目标发动拒绝服务攻击,以达到耗尽服务器资源的目的。目前针对DDOS攻击的检测通常有异常检测和误用检测两种方式。
使用误用检测方式时,需要为每一种攻击提取其特征,然后将当前流量特征和攻击知识库中的每个攻击的特征签名进行比较,如果符合,则可判定发生此种类型的攻击。
使用异常检测方式时,需要为正常的网络流量建立模型,然后将当前的流量特征和模型进行比较,如果存在较大偏差,则说明流量异常。
目前通常采用误用检测方式进行DDOS攻击检测,现有检测方式存在诸多缺点,主要问题在于:
1)基于误用检测方式的攻击知识库不完备
基于误用检测方式中,攻击知识库的定义是其中的关键。由于攻击方式的多种多样,攻击知识库中的攻击种类也多种多样,使得收集到完备的攻击种类变得异常困难。由于攻击知识库的不完备性,导致安全事件的检查能力存在不足,容易出现安全事件的漏报。
2)基于误用检测方式的滞后性
基于误用检测方式中,其数据源是部署到网络中的安全设备,通过对其分析发现网络中发生的安全事件。由于在一个完整的多步攻击中,攻击可能持续多天,使得误用检测方式不能实时地检查到系统遭到攻击。由于安全事件检测的不及时,使得安全事件响应不及时,进而降低企业安全掌控力度。
如图1所示,现有技术中采用静态流量阈值进行异常检测的方法,通过在一定时间内的检测得到的流量值与流量检测的参考值(不随时间变化)进行比较来决定是否发生流量异常。
发明内容
本发明是为了克服现有技术中DDOS攻击动态阈值异常流量检测发出的检测告警准确率不高的缺陷,根据本发明的一个方面,提出一种DDOS攻击动态阈值异常流量检测方法。
根据本发明实施例的DDOS攻击动态阈值异常流量检测方法,包括:
获得异常流量检测历史数据,根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值;
将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较;
如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警。
本发明是为了克服现有技术中DDOS攻击动态阈值异常流量检测发出的检测告警准确率不高的缺陷,根据本发明的另一个方面,提出一种DDOS攻击动态阈值异常流量检测装置。
根据本发明实施例的DDOS攻击动态阈值异常流量检测装置,包括:
阈值生成模块,用于获得异常流量检测历史数据,根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值;
流量比较模块,用于将检测得到的流量值与异常流量检测的容忍线上下流量阈值进行比较,将比较结果向告警发出模块发送;
告警发出模块,用于如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警。
本发明的DDOS攻击动态阈值异常流量检测方法及装置,能够有效的利用历史数据生成容忍线上下流量阈值,并将检测得到的流量值与容忍线上下流量阈值进行比较,发出异常流量检测告警,弥补了现有技术中针对DDOS攻击的异常流量检测过程中阈值确定难度大的问题,基于统计学的阈值确定方法使DDOS异常流量检测的准确性得到较大幅度提升,降低了异常流量检测告警的误报率。
本发明的DDOS攻击动态阈值异常流量检测方法及装置,在确定容忍线上下流量阈值的过程中,根据异常流量检测历史数据获得异常流量检测的上下基线值,根据上下基线值和获得的阈值容忍度,得到异常流量检测的容忍线上下流量阈值,进一步保证了异常流量检测过程中容忍线上下流量阈值确定的准确性和针对性,提高了DDOS异常流量检测告警的准确性,降低了异常流量检测告警的误报率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为现有技术中静态阈值异常流量检测方法的示意图;
图2为本发明动态阈值异常流量检测方法的示意图;
图3为本发明动态阈值异常流量检测方法的流程图;
图4为本发明步骤108的触发异常流量检测告警的具体流程示意图;
图5为本发明DDOS攻击动态阈值异常流量检测装置结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
本发明提供了一种DDOS攻击动态阈值异常流量检测方法,其动态阀值的确定基于统计学原理。能够在不用事先预定义攻击知识的情况下,通过对周期内(如一个星期)的正常流量建立曲线统计模型,结合统计学原理生成动态流量阀值。如果检测得到的流量值超过动态流量阀值,则认为网络流量出现异常,进而生成告警。本发明的异常流量检测方法,可及时发现网络中的安全问题,有效提高了异常流量检测的准确性。
本发明的异常流量检测方法,能够依据业务系统及设备重要性不同设置多级安全级别和不同安全标准,弥补了现有安全检测标准设置死板,不灵活的缺点。
本发明的异常流量检测方法,当检测的流量波动范围不大时,根据不同时段的流量情况设定不同的变化阀值进行异常流量检测,阀值随时段变化是动态阀值检测方法与静态阀值检测方法的根本不同。
动态阀值计算依赖的统计学原理为小概率事件原理。即正态分布在(μ+3σ,μ-3σ)以外的取值概率不到0.3%,几乎不可能发生,称为小概率事件。小概率事件在一次试验中发生的可能性很小,如果真的发生了,统计学则怀疑其真实性。因此当网络流量超出基于统计原理的流量阀值时,我们认为该网络流量为异常流量,有可能由DDOS攻击引起。
如图2所示,流量检测的上基线表示各个时段正常值最大值连成的曲线,流量检测的下基线表示各个时段正常值最小值连成的曲线,二者确定了各个时段的正常波动范围,体现了正常情况下该性能指标在一个周期之内的变化趋势。当检测得到的流量值超出容忍线上下流量阈值时,将触发相应告警。
如图3所示,为本发明动态阈值异常流量检测方法的流程图,包括:
步骤102:根据流量采集时间粒度和流量采集周期获得异常流量检测历史数据;
1)选取流量采集时间粒度
流量采集时间粒度是网络流量等属性采集提取的最小周期,设定值应与检测的需求相适应,设定值过小会导致系统负荷压力过大,没有实际价值;设定值过大,可能导致失去检测的意义。例如,流量采集周期可以设定为1分钟、5分钟、15分钟、1小时等不同时间粒度。
2)选取流量采集周期
选取网络流量的采集周期,可以选取一周或一月为采集周期。
在一流量采集周期内,根据流量采集时间粒度获得异常流量检测历史数据,该异常流量检测历史数据为一流量采集周期内的正常流量的历史有效检测数据集合,由该异常流量检测历史数据建立检测模型进行DDOS攻击动态阈值异常流量检测。
步骤104:根据异常流量检测历史数据获得异常流量检测的上下基线值;
首先对获得的一流量采集周期内的异常流量检测历史数据进行排序,假设共有N*个检测数据,分别记为X1~XN *;假设有效数据的Y%(在实践中可以根据省公司、业务系统、管理要求等因素设定,建议取95%)为检测容忍值,计算该N*个检测数据中样本点数据的均方差。
其中,所述的检测容忍值为可以接受而不用产生告警的指标值。
1)计算每流量采集周期内的样本点数据的平均值作为期望值E(X);
2)计算各个样本点数据对于上述期望值E(X)的偏离程度,单个偏离是X-E(X)。为消除符号影响,一般取(X-E(X))2。
3)求方差,即一流量采集周期内所有样本点数据偏离平方的均值,记为D(X),D(X)=E[(X-E(X))2]。
4)求标准差或均方差描述了该周期内样本点数据的波动程度。
5)获取该周期内所有样本点数据,设样本点数据为S,以作为异常流量检测的上基线值,以作为异常流量检测的下基线值。
其中,假设检测容忍值为95%,由此确定和为异常流量检测的上下基线值。经测试运行,该上下基线值使DDOS攻击的误报率过高,则根据小概率事件原理,可假设有效数据的99.7%为检测容忍值,由此确定和为异常流量检测的上下基线值。
步骤106:根据上下基线值和阈值容忍度,得到异常流量检测的容忍线上下流量阈值;
异常流量检测的容忍线上下流量阈值根据上下基线值和阈值容忍度计算得到,计算公式如下:
容忍线上流量阈值=(1+阈值容忍度)*上基线值
容忍线下流量阈值=(1-阈值容忍度)*下基线值
其中,阈值容忍度是指超出上下基线值的百分比,也就是数据超出正常值范围的百分比。在阈值容忍度范围内,我们可以认为检测到的流量值的偏离度是可以接受的。而一旦超出阈值容忍度范围,则需要触发异常流量检测告警。
阈值容忍度和容忍线上下流量阈值的设定是一项很重要的工作,需要根据数据的实际情况,并结合运维经验,进行设定。
例如,在针对DNS服务器的DDOS攻击的异常流量检测过程中,阈值容忍度取0.3,即如果此时的DNS查询数据包等数据超过上下基线值对应数据量的30%,则判定发生了DDOS攻击。上述阈值容忍度可以根据不同环境下,检测流量的变化程度,选定不同的值。
其中,上述容忍线上下流量阈值为异常流量检测的流量值界限,流量值超过容忍线上下流量阈值,即如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,则触发异常流量检测告警。
步骤108:如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,触发异常流量检测告警。
如图4所示,步骤108包括:
步骤1082:根据系统的安全级别和检测时段,确定与安全级别和检测时段对应的不同容忍线上下流量阈值;
针对重要性不同的检测目标,通过设置不同的容忍线上下流量阈值,确定不同的安全级别。如将安全标准分为严格、标准和宽松三个级别或高、中高、中、中低和低五个级别。
例如,针对重要程度较高的计费系统、核心数据库、与互联网连通的业务系统,可以将阈值容忍度适当降低,设置较高安全级别。在节假日、重要活动或特殊事件发生时期,安全标准也要相应提高。如五一、十一、国庆节和春节,可能频繁发生重大安全攻击,可以将阈值容忍度适当降低,设置较高安全级别。
步骤1084:根据不同的告警级别,确定与告警级别对应的多级容忍线上下流量阈值;
根据实际运维经验确定业务系统的多级容忍线上下流量阈值,通过设置不同的容忍线上下流量阈值来对应不同的安全告警级别,如高危告警、中危告警和普通告警等。
通过设置不同容忍线上下流量阈值和/或多级容忍线上下流量阈值,灵活的配置告警的级别,实现对DDOS攻击危害程度的大小识别作用。
步骤1086:如果检测得到的流量值大于不同容忍线上流量阈值和/或多级容忍线上流量阈值,或者小于不同容忍线下流量阈值和/或多级容忍线下流量阈值,发出对应的异常流量检测告警,运维人员根据告警的不同级别进行响应。
本发明的DDOS攻击动态阈值异常流量检测方法,能够有效的利用历史数据生成容忍线上下流量阈值,并将检测得到的流量值与容忍线上下流量阈值进行比较,发出异常流量检测告警,弥补了现有技术中针对DDOS攻击的异常流量检测过程中阈值确定难度大的问题,基于统计学的阈值确定方法使DDOS异常流量检测的准确性得到较大幅度提升,降低了异常流量检测告警的误报率。
本发明的DDOS攻击动态阈值异常流量检测方法,在确定容忍线上下流量阈值的过程中,根据异常流量检测历史数据获得异常流量检测的上下基线值,根据上下基线值和获得的阈值容忍度,得到异常流量检测的容忍线上下流量阈值,进一步保证了异常流量检测过程中容忍线上下流量阈值确定的准确性和针对性,提高了DDOS异常流量检测告警的准确性,降低了异常流量检测告警的误报率。
如图5所示,为本发明DDOS攻击动态阈值异常流量检测装置结构示意图,包括:
阈值生成模块100,用于获得异常流量检测历史数据,根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值;
流量比较模块200,用于将检测得到的流量值与异常流量检测的容忍线上下流量阈值进行比较,将比较结果向告警发出模块发送;
告警发出模块300,用于如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警。
其中:阈值生成模块100包括:
数据获得子模块110,用于确定异常流量检测的流量采集时间粒度和流量采集周期,根据流量采集时间粒度和流量采集周期获得异常流量检测历史数据。
阈值生成模块100包括:
基线值获得子模块120,用于根据异常流量检测历史数据获得异常流量检测的上下基线值;
阈值得到子模块130,用于根据上下基线值和获得的阈值容忍度,得到异常流量检测的容忍线上下流量阈值。
其中:容忍线上下流量阈值包括:
容忍线上流量阈值=(1+阈值容忍度)*上基线值,
容忍线下流量阈值=(1-阈值容忍度)*下基线值。
其中:基线值获得子模块120包括:
数据获得单元121,用于获得异常流量检测历史数据中的样本点数据S和样本点数据的均方差;
基线值得到单元122,用于根据样本点数据S和均方差,获得异常流量检测的上下基线值。
其中:数据获得单元121包括:
偏离计算子单元,用于将流量采集周期中样本点数据的平均值作为期望值E(X),计算各样本点数据对于所述期望值E(X)的偏离平方值;
均值获得子单元,用于根据期望值E(X)的偏离平方值,获得偏离平方值的均值;
均方差计算子单元,用于计算偏离平方值的均值的均方差。
其中:告警发出模块300包括:
阈值确定子模块310,用于根据系统的安全级别和检测时段,确定与安全级别和检测时段对应的不同容忍线上下流量阈值;和/或,
根据不同的告警级别,确定与告警级别对应的多级容忍线上下流量阈值;
告警发送子模块320,用于如果检测得到的流量值大于不同容忍线上流量阈值和/或多级容忍线上流量阈值,或者小于不同容忍线下流量阈值和/或多级容忍线下流量阈值,发出对应的异常流量检测告警。
本发明的DDOS攻击动态阈值异常流量检测装置,能够有效的利用历史数据生成容忍线上下流量阈值,并将检测得到的流量值与容忍线上下流量阈值进行比较,发出异常流量检测告警,弥补了现有技术中针对DDOS攻击的异常流量检测过程中阈值确定难度大的问题,基于统计学的阈值确定方法使DDOS异常流量检测的准确性得到较大幅度提升,降低了异常流量检测告警的误报率。
本发明的DDOS攻击动态阈值异常流量检测装置,在确定容忍线上下流量阈值的过程中,根据异常流量检测历史数据获得异常流量检测的上下基线值,根据上下基线值和获得的阈值容忍度,得到异常流量检测的容忍线上下流量阈值,进一步保证了异常流量检测过程中容忍线上下流量阈值确定的准确性和针对性,提高了DDOS异常流量检测告警的准确性,降低了异常流量检测告警的误报率。
本发明能有多种不同形式的具体实施方式,上面以图2-图5为例结合附图对本发明的技术方案作举例说明,这并不意味着本发明所应用的具体实例只能局限在特定的流程或实施例结构中,本领域的普通技术人员应当了解,上文所提供的具体实施方案只是多种优选用法中的一些示例,任何体现本发明权利要求的实施方式均应在本发明技术方案所要求保护的范围之内。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种DDOS攻击动态阈值异常流量检测方法,其特征在于,包括:
获得异常流量检测历史数据,根据所述异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值;
将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较;
如果所述流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警。
2.根据权利要求1所述的方法,其特征在于,所述获得异常流量检测历史数据包括:
确定异常流量检测的流量采集时间粒度和流量采集周期,根据所述流量采集时间粒度和流量采集周期获得异常流量检测历史数据。
3.根据权利要求1或2所述的方法,其特征在于,所述根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值包括:
根据所述异常流量检测历史数据获得异常流量检测的上下基线值;
根据所述上下基线值和获得的阈值容忍度,得到异常流量检测的容忍线上下流量阈值。
4.根据权利要求3所述的方法,其特征在于,所述容忍线上下流量阈值包括:
容忍线上流量阈值=(1+阈值容忍度)*上基线值,
容忍线下流量阈值=(1-阈值容忍度)*下基线值。
5.根据权利要求3所述的方法,其特征在于,所述根据异常流量检测历史数据获得异常流量检测的上下基线值包括:
获得异常流量检测历史数据中的样本点数据S和样本点数据的均方差
根据所述样本点数据S和均方差获得异常流量检测的上下基线值。
6.根据权利要求3所述的方法,其特征在于,如果所述异常流量检测历史数据中的95%为检测容忍值,所述上下基线值分别为和
如果所述异常流量检测历史数据中的99.7%为检测容忍值,所述上下基线值分别为和
7.根据权利要求5所述的方法,其特征在于,所述获得异常流量检测历史数据中的样本点数据的均方差包括:
将所述流量采集周期中样本点数据的平均值作为期望值E(X),计算各样本点数据对于所述期望值E(X)的偏离平方值;
根据所述期望值E(X)的偏离平方值,获得所述偏离平方值的均值;
计算所述偏离平方值的均值的均方差。
8.根据权利要求1或2所述的方法,其特征在于,所述如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警包括:
根据系统的安全级别和检测时段,确定与所述安全级别和检测时段对应的不同容忍线上下流量阈值;和/或,
根据不同的告警级别,确定与所述告警级别对应的多级容忍线上下流量阈值;
如果检测得到的流量值大于所述不同容忍线上流量阈值和/或多级容忍线上流量阈值,或者小于所述不同容忍线下流量阈值和/或多级容忍线下流量阈值,发出对应的异常流量检测告警。
9.一种DDOS攻击动态阈值异常流量检测装置,其特征在于,包括:
阈值生成模块,用于获得异常流量检测历史数据,根据所述异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值;
流量比较模块,用于将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较,将比较结果向告警发出模块发送;
告警发出模块,用于如果所述流量值大于容忍线上流量阈值或小于容忍线下流量阈值,发出异常流量检测告警。
10.根据权利要求9所述的装置,其特征在于,所述阈值生成模块包括:
数据获得子模块,用于确定异常流量检测的流量采集时间粒度和流量采集周期,根据所述流量采集时间粒度和流量采集周期获得异常流量检测历史数据。
11.根据权利要求9或10所述的装置,其特征在于,所述阈值生成模块包括:
基线值获得子模块,用于根据所述异常流量检测历史数据获得异常流量检测的上下基线值;
阈值得到子模块,用于根据所述上下基线值和获得的阈值容忍度,得到异常流量检测的容忍线上下流量阈值。
12.根据权利要求11所述的装置,其特征在于,所述容忍线上下流量阈值包括:
容忍线上流量阈值=(1+阈值容忍度)*上基线值,
容忍线下流量阈值=(1-阈值容忍度)*下基线值。
13.根据权利要求11所述的装置,其特征在于,所述基线值获得子模块包括:
数据获得单元,用于获得异常流量检测历史数据中的样本点数据S和样本点数据的均方差
基线值得到单元,用于根据所述样本点数据S和均方差获得异常流量检测的上下基线值。
14.根据权利要求13所述的装置,其特征在于,所述数据获得单元包括:
偏离计算子单元,用于将所述流量采集周期中样本点数据的平均值作为期望值E(X),计算各样本点数据对于所述期望值E(X)的偏离平方值;
均值获得子单元,用于根据所述期望值E(X)的偏离平方值,获得所述偏离平方值的均值;
均方差计算子单元,用于计算所述偏离平方值的均值的均方差。
15.根据权利要求9所述的装置,其特征在于,所述告警发出模块包括:
阈值确定子模块,用于根据系统的安全级别和检测时段,确定与所述安全级别和检测时段对应的不同容忍线上下流量阈值;和/或,
根据不同的告警级别,确定与所述告警级别对应的多级容忍线上下流量阈值;
告警发送子模块,用于如果检测得到的流量值大于所述不同容忍线上流量阈值和/或多级容忍线上流量阈值,或者小于所述不同容忍线下流量阈值和/或多级容忍线下流量阈值,发出对应的异常流量检测告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310058519.0A CN103973663A (zh) | 2013-02-01 | 2013-02-01 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310058519.0A CN103973663A (zh) | 2013-02-01 | 2013-02-01 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103973663A true CN103973663A (zh) | 2014-08-06 |
Family
ID=51242712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310058519.0A Pending CN103973663A (zh) | 2013-02-01 | 2013-02-01 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103973663A (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202329A (zh) * | 2014-09-12 | 2014-12-10 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
| CN104468264A (zh) * | 2014-11-17 | 2015-03-25 | 中国船舶重工集团公司第七二二研究所 | 监控舰船通信网络性能的方法和装置 |
| CN105049291A (zh) * | 2015-08-20 | 2015-11-11 | 广东睿江科技有限公司 | 一种检测网络流量异常的方法 |
| CN105743913A (zh) * | 2016-03-31 | 2016-07-06 | 广州华多网络科技有限公司 | 检测网络攻击的方法和装置 |
| CN105763387A (zh) * | 2016-05-16 | 2016-07-13 | 北京百度网讯科技有限公司 | 网络流量监控方法和装置 |
| CN105871611A (zh) * | 2016-03-31 | 2016-08-17 | 浪潮通信信息系统有限公司 | 一种网管系统监管平台及监管方法 |
| CN106557401A (zh) * | 2016-10-13 | 2017-04-05 | 中国铁道科学研究院电子计算技术研究所 | 一种it设备监控指标的动态阈值设定方法及系统 |
| CN107196816A (zh) * | 2016-03-14 | 2017-09-22 | 中国移动通信集团江西有限公司 | 异常流量检测方法、系统及网络分析设备 |
| CN107438079A (zh) * | 2017-08-18 | 2017-12-05 | 杭州安恒信息技术有限公司 | 一种网站未知异常行为的检测方法 |
| CN107508815A (zh) * | 2017-08-30 | 2017-12-22 | 杭州安恒信息技术有限公司 | 基于网站流量分析预警方法及装置 |
| CN107579986A (zh) * | 2017-09-21 | 2018-01-12 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
| CN107690776A (zh) * | 2015-06-04 | 2018-02-13 | 思科技术公司 | 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置 |
| CN107888441A (zh) * | 2016-09-30 | 2018-04-06 | 全球能源互联网研究院 | 一种网络流量基线自学习自适应方法 |
| CN108234496A (zh) * | 2018-01-05 | 2018-06-29 | 宝牧科技(天津)有限公司 | 一种基于神经网络的流量预测方法 |
| CN108768954A (zh) * | 2018-05-04 | 2018-11-06 | 中国科学院信息工程研究所 | 一种dga恶意软件识别方法 |
| CN109067787A (zh) * | 2018-09-21 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务ddos攻击检测方法和装置 |
| CN109862129A (zh) * | 2018-12-26 | 2019-06-07 | 中国互联网络信息中心 | Dns流量异常检测方法、装置、电子设备及存储介质 |
| CN109889373A (zh) * | 2019-01-22 | 2019-06-14 | 视联动力信息技术股份有限公司 | 一种告警信息的传输方法、装置和系统 |
| CN112188531A (zh) * | 2019-07-01 | 2021-01-05 | 中国移动通信集团浙江有限公司 | 异常检测方法、装置、电子设备及计算机存储介质 |
| US11132109B2 (en) | 2019-05-08 | 2021-09-28 | EXFO Solutions SAS | Timeline visualization and investigation systems and methods for time lasting events |
| CN113992496A (zh) * | 2020-07-10 | 2022-01-28 | 中国移动通信集团湖北有限公司 | 基于四分位算法的异动告警方法、装置及计算设备 |
| CN115242513A (zh) * | 2022-07-22 | 2022-10-25 | 中国工商银行股份有限公司 | 广域网链路流量异常告警方法、装置、设备、介质和程序产品 |
| CN116232776A (zh) * | 2023-05-09 | 2023-06-06 | 鹏城实验室 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040215976A1 (en) * | 2003-04-22 | 2004-10-28 | Jain Hemant Kumar | Method and apparatus for rate based denial of service attack detection and prevention |
| CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
| CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
| CN102111307A (zh) * | 2009-12-29 | 2011-06-29 | 亿阳信通股份有限公司 | 网络风险监控方法和装置 |
-
2013
- 2013-02-01 CN CN201310058519.0A patent/CN103973663A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040215976A1 (en) * | 2003-04-22 | 2004-10-28 | Jain Hemant Kumar | Method and apparatus for rate based denial of service attack detection and prevention |
| CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
| CN102111307A (zh) * | 2009-12-29 | 2011-06-29 | 亿阳信通股份有限公司 | 网络风险监控方法和装置 |
| CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202329B (zh) * | 2014-09-12 | 2018-01-26 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
| US11140197B2 (en) | 2014-09-12 | 2021-10-05 | NSFOCUS Information Technology Co., Ltd. | Method and apparatus for DDoS attack detection |
| CN104202329A (zh) * | 2014-09-12 | 2014-12-10 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
| CN104468264A (zh) * | 2014-11-17 | 2015-03-25 | 中国船舶重工集团公司第七二二研究所 | 监控舰船通信网络性能的方法和装置 |
| CN107690776A (zh) * | 2015-06-04 | 2018-02-13 | 思科技术公司 | 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置 |
| CN105049291A (zh) * | 2015-08-20 | 2015-11-11 | 广东睿江科技有限公司 | 一种检测网络流量异常的方法 |
| CN107196816A (zh) * | 2016-03-14 | 2017-09-22 | 中国移动通信集团江西有限公司 | 异常流量检测方法、系统及网络分析设备 |
| CN105743913A (zh) * | 2016-03-31 | 2016-07-06 | 广州华多网络科技有限公司 | 检测网络攻击的方法和装置 |
| CN105743913B (zh) * | 2016-03-31 | 2019-07-09 | 广州华多网络科技有限公司 | 检测网络攻击的方法和装置 |
| CN105871611A (zh) * | 2016-03-31 | 2016-08-17 | 浪潮通信信息系统有限公司 | 一种网管系统监管平台及监管方法 |
| CN105763387A (zh) * | 2016-05-16 | 2016-07-13 | 北京百度网讯科技有限公司 | 网络流量监控方法和装置 |
| CN105763387B (zh) * | 2016-05-16 | 2019-12-10 | 北京百度网讯科技有限公司 | 网络流量监控方法和装置 |
| CN107888441B (zh) * | 2016-09-30 | 2022-03-18 | 全球能源互联网研究院 | 一种网络流量基线自学习自适应方法 |
| CN107888441A (zh) * | 2016-09-30 | 2018-04-06 | 全球能源互联网研究院 | 一种网络流量基线自学习自适应方法 |
| CN106557401A (zh) * | 2016-10-13 | 2017-04-05 | 中国铁道科学研究院电子计算技术研究所 | 一种it设备监控指标的动态阈值设定方法及系统 |
| CN107438079A (zh) * | 2017-08-18 | 2017-12-05 | 杭州安恒信息技术有限公司 | 一种网站未知异常行为的检测方法 |
| CN107438079B (zh) * | 2017-08-18 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种网站未知异常行为的检测方法 |
| CN107508815A (zh) * | 2017-08-30 | 2017-12-22 | 杭州安恒信息技术有限公司 | 基于网站流量分析预警方法及装置 |
| CN107508815B (zh) * | 2017-08-30 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于网站流量分析预警方法及装置 |
| CN107579986B (zh) * | 2017-09-21 | 2020-11-06 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
| CN107579986A (zh) * | 2017-09-21 | 2018-01-12 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
| CN108234496A (zh) * | 2018-01-05 | 2018-06-29 | 宝牧科技(天津)有限公司 | 一种基于神经网络的流量预测方法 |
| CN108768954A (zh) * | 2018-05-04 | 2018-11-06 | 中国科学院信息工程研究所 | 一种dga恶意软件识别方法 |
| CN108768954B (zh) * | 2018-05-04 | 2020-07-10 | 中国科学院信息工程研究所 | 一种dga恶意软件识别方法 |
| CN109067787A (zh) * | 2018-09-21 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务ddos攻击检测方法和装置 |
| CN109862129A (zh) * | 2018-12-26 | 2019-06-07 | 中国互联网络信息中心 | Dns流量异常检测方法、装置、电子设备及存储介质 |
| CN109889373A (zh) * | 2019-01-22 | 2019-06-14 | 视联动力信息技术股份有限公司 | 一种告警信息的传输方法、装置和系统 |
| US11132109B2 (en) | 2019-05-08 | 2021-09-28 | EXFO Solutions SAS | Timeline visualization and investigation systems and methods for time lasting events |
| CN112188531A (zh) * | 2019-07-01 | 2021-01-05 | 中国移动通信集团浙江有限公司 | 异常检测方法、装置、电子设备及计算机存储介质 |
| CN112188531B (zh) * | 2019-07-01 | 2022-12-27 | 中国移动通信集团浙江有限公司 | 异常检测方法、装置、电子设备及计算机存储介质 |
| CN113992496A (zh) * | 2020-07-10 | 2022-01-28 | 中国移动通信集团湖北有限公司 | 基于四分位算法的异动告警方法、装置及计算设备 |
| CN113992496B (zh) * | 2020-07-10 | 2023-11-17 | 中国移动通信集团湖北有限公司 | 基于四分位算法的异动告警方法、装置及计算设备 |
| CN115242513A (zh) * | 2022-07-22 | 2022-10-25 | 中国工商银行股份有限公司 | 广域网链路流量异常告警方法、装置、设备、介质和程序产品 |
| CN115242513B (zh) * | 2022-07-22 | 2024-02-27 | 中国工商银行股份有限公司 | 广域网链路流量异常告警方法、装置、设备和介质 |
| CN116232776A (zh) * | 2023-05-09 | 2023-06-06 | 鹏城实验室 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
| CN116232776B (zh) * | 2023-05-09 | 2023-08-25 | 鹏城实验室 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103973663A (zh) | 一种ddos攻击动态阈值异常流量检测方法及装置 | |
| US10635817B2 (en) | Targeted security alerts | |
| EP2800024B1 (en) | System and methods for identifying applications in mobile networks | |
| CN102694696B (zh) | Dns服务器异常检测的方法及装置 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| US20110208849A1 (en) | Method and system for security maintenance in a network | |
| CN107508831B (zh) | 一种基于总线的入侵检测方法 | |
| US20210044607A1 (en) | Monitor, monitoring method, and recording medium | |
| CN105577757B (zh) | 基于负载均衡的智能电力终端的多级管理系统及认证方法 | |
| Lin et al. | Timing patterns and correlations in spontaneous {SCADA} traffic for anomaly detection | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| CN108111463A (zh) | 基于平均值和标准差的多维度基线自学习和异常行为分析 | |
| Singh et al. | Sql injection detection and correction using machine learning techniques | |
| CN105791027B (zh) | 一种工业网络异常中断的检测方法 | |
| CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
| CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| RU166348U1 (ru) | Устройство корреляции событий информационной безопасности | |
| CN104104666B (zh) | 一种探测云端服务异常的方法和装置 | |
| CN115017509A (zh) | 一种用户账号的风险度量方法及相关装置 | |
| CN113691498B (zh) | 一种电力物联终端安全状态评估方法、装置及存储介质 | |
| CN110798425B (zh) | 一种黑客攻击行为的检测方法、系统及相关装置 | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
| JP2014048984A (ja) | 管理装置、管理方法及び管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140806 |
|
| RJ01 | Rejection of invention patent application after publication |