CN104486324B - 识别网络攻击的方法及系统 - Google Patents
识别网络攻击的方法及系统 Download PDFInfo
- Publication number
- CN104486324B CN104486324B CN201410756146.9A CN201410756146A CN104486324B CN 104486324 B CN104486324 B CN 104486324B CN 201410756146 A CN201410756146 A CN 201410756146A CN 104486324 B CN104486324 B CN 104486324B
- Authority
- CN
- China
- Prior art keywords
- flow value
- component
- value
- computer room
- current time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供一种识别网络攻击的方法及系统,所述方法包括:定位机房出口的流量异常的持续时间;提取所述机房出口在所述定位的流量异常的持续时间内的原始流量数据;判断所述提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击。通过采用本发明可以维持低成本的同时确保识别网络攻击的稳定性与专业性。
Description
技术领域
本发明涉及通信领域,更为具体而言,涉及识别网络攻击的方法及系统。
背景技术
随着互联网公司业务规模的发展壮大,越来越多的用户使用和接入公司的应用和服务。然而,未知的网络攻击导致的大流量冲击,会影响服务的正常使用,也会推高流量为影响公司的宽带成本计费。及时发现网络攻击不仅为采取应对措施争取了时间,也为后续同运营商进行成本议价提供了数据支持。
然而由于互联网公司的业务流量巨大,常规的网络安全产品和方法难以应对,需要投入更高的成本代价(如硬件资源)来支撑发现网络攻击的业务需求。对此,有的公司转而自研网络安全设备和方案,但却缺乏稳定性、专业性,甚至难以运维。
发明内容
为有效地解决上述技术问题,本发明提供了一种识别网络攻击的方法及系统。
一方面,本发明的实施方式提供了一种识别网络攻击的方法,所述方法包括:
定位机房出口的流量异常的持续时间;
提取所述机房出口在所述定位的流量异常的持续时间内的原始流量数据;
判断所述提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击。
另一方面,本发明的实施方式提供了一种识别网络攻击的系统,所述系统包括:
定位模块,用于定位机房出口的流量异常的持续时间;
提取模块,用于提取所述机房出口在所述定位模块所定位出的流量异常的持续时间内的原始流量数据;
判断模块,用于执行以下操作:判断所述提取模块所提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击。
实施本发明提供的识别网络攻击的方法及系统可以维持低成本的同时确保识别网络攻击的稳定性与专业性。
附图说明
图1是根据本发明实施方式的识别网络攻击的方法的流程图;
图2示出了图1所示的步骤S100的一种实施方式;
图3示出了图2所示的步骤S120的一种实施方式;
图4示出了本发明实施方式中判断机房出口当前时刻的流量值是否异常的方法的框图;
图5是根据本发明实施方式的识别网络攻击的系统的结构示意图;
图6示出了图5所示的定位模块100的一种实施方式;
图7示出了图5所示的判断及修改单元120的一种实施方式。
具体实施方式
为使本发明的实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
图1是根据本发明实施方式的识别网络攻击的方法的流程图。参见图1,所述方法包括:
S100:定位机房出口的流量异常的持续时间。
其中,如图2所示,在本发明的实施方式中,可以通过以下步骤实现步骤S100:
S110:判断当前时刻与所述机房出口的参照时间段(在时间维度上与当前时刻最近的异常时间段)的结束时刻的时间间隔是否大于预定时间间隔(例如10分钟,当然不限于此,根据实际需要可以设定预定时间间隔为5分钟到15分钟的范围内的任意时间),若判定为否,则执行步骤S120,若判定为是,则执行步骤S140;
S120:判断所述机房出口的当前时刻的流量值是否异常,若判定为是,则执行步骤S130;
其中,如图3所示,在本发明的实施方式中,可以通过以下方式实现步骤S120:
S121:获取所述机房出口的当前时刻的流量值;
其中,在本发明的实施方式中,可以通过以下的方式实现:通过网络管理数据系统(提供交换机信息采集对象的存储和查询任务)查询所述机房出口所对应的交换机端口集合;查询所述交换机端口集合中各交换机端口在所述当前时刻的流量值;对所述查询到的流量值进行聚合以获取所述机房出口的当前时刻的流量值。
S122:通过异常判定规则对所述获取的流量值进行判定,其中所述异常判定规则包括:经验阈值规则、曲线拟合规则、流量预测规则;
以下,分别对本发明实施方式中通过经验阈值规则、曲线拟合规则、流量预测规则判定流量值是否异常的方式进行具体说明:
通过所述经验阈值规则对所述获取的流量值进行判定可以通过以下方式实现:
选取历史流量值(例如可以选取前7天在所述当前时刻的流量值以及前一分钟的流量值);
计算所述获取的流量值相对于所述历史流量值的变化幅度,即((获取的流量值-历史流量值)/历史流量值)*100%;
将所述计算出的变化幅度与预定阈值(在本发明中,该预定阈值由本领域技术人员根据实际情况进行合理设置)进行比较;
统计所述比较的结果为所述计算出的变化幅度大于所述预定阈值的历史值的数量;
若所述统计出的数量占所述选取的历史值的数量的预定比例(例如50%,当然不限于此,根据实际需要可以设定预定比例为40%到60%范围内的任意比例)以上,则确定所述获取的流量值为异常。
通过所述曲线拟合规则对所述获取的流量值进行判定可以通过以下方式实现:
通过三角函数曲线拟合的方法量化所述机房出口的流量值的变化规律;
根据所述量化出的三角函数计算所述机房出口在所述当前时刻的基准流量值;
计算所述获取的流量值与所述计算出的基准流量值的偏差幅度,即((获取的流量值-基准流量值)/基准流量值)*100%;
将所述计算出的偏差幅度与预定阈值(在本发明中,该预定阈值由本领技术人员根据实际情况进行合理设置)进行比较;
若所述比较的结果为所述偏差幅度大于所述预定阈值,则确定所述获取的流量值为异常。
通过所述流量预测规则对所述获取的流量值进行判定包括:
通过神经网络技术预测所述机房出口在所述当前时刻的预测流量值以及误差范围;
计算所述获取的流量值与所述预测流量值的偏差幅度,即((获取的流量值-预测流量值)/预测流量值)*100%,若所述偏差幅度在所述误差范围以外,则确定所述获取的流量值为异常。
S123:若在所述异常判定规则中判定所述当前时刻的流量值为异常的异常判断规则所占的比例超过预定值(例如50%,当然不限于此,根据实际需要可以设定预定比例为40%到60%范围内的任意比例),则确定所述当前时刻的流量值为异常。
由此,结合经验阈值规则、曲线拟合规则、流量预测规则等多种方法判定流量值是否异常,可以有效地提高判定的准确率,而且无需耗费大量的计算和存储资源。
S130:将所述参照时间段的结束时刻修改为所述当前时刻,并经过预定时间(例如可以按照分钟粒度,经过1分钟)后返回执行步骤S110;
S140:则将所述参照时间段定位为所述机房出口的流量异常的持续时间。
S200:提取所述机房出口在所述定位的流量异常的持续时间内的原始流量数据。
S300:判断所述提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击。
其中,在本发明的实施方式中可以,但不限于:通过开源工具或者网络安全设备判断所述提取的原始流量数据是否为攻击数据,例如将所述原始流量数据提交至开源工具或者网络安全设备(例如snort(一种入侵检测系统)或DPI(Deep packet inspection,一种基于应用层的流量检测和控制技术)类型的安全设备)进行检测,确定是否为攻击报文。
以下结合具体例子对本发明的实施方式进行具体说明。在本发明的实施方式中,可以按照分钟粒度时间推进地判断机房出口每分钟的流量值是否异常,将首次发现流量值为异常的时刻点作为最近的异常时间段的起、止时刻;判断当前时刻点距离最近的异常时间段的结束时刻的相差的分钟数:如果小于10分钟且当前时刻的流量值为异常,则更新最近的异常时间段的结束时刻为当前时刻;如果大于10分钟,则将最近的异常时间段输出为一个异常持续时间,然后待新的流量值为异常的时刻点发现后,初始最近的异常时间段的起、止时刻,并以其中最大的流量值作为宽带峰值。
其中,如图4所示,在本发明的实施方式中,可以采用以下方式判断机房出口的当前时刻的流量值是否异常:
首先,查询机房出口在当前时刻的流量值,具体地可以通过以下方式实现:
1)查询DC(网络管理数据系统,Data Center)获取当前机房出口对应的交换机端口集合;
2)查询RRD数据库(Round Robin Data,一种存储数据的方式)获取交换机端口集合中各端口的流量值;
3)对各端口在当前时刻的流量值进行聚合,从而得出机房出口在当前时刻的流量值。
其次,在获取到机房出口在当前时刻的流量值后,分别根据经验阈值规则、曲线拟合规则、流量预测规则判断当前时刻的流量值是否异常,若其中半数以上的判定结果为该流量值为异常,则确定该流量值为异常。
其中,通过所述经验阈值规则对所述获取的流量值进行判定可以通过以下方式实现:
选取历史流量值(例如可以选取前7天在所述当前时刻的流量值以及前一分钟的流量值);
计算所述获取的流量值相对于所述历史流量值的变化幅度,即((获取的流量值-历史流量值)/历史流量值)*100%;
将所述计算出的变化幅度与预定阈值(在本发明中,该预定阈值由本领域的技术人员根据实际情况进行合理设置)进行比较;
统计所述比较的结果为所述计算出的变化幅度大于所述预定阈值的历史值的数量;
若所述统计出的数量占所述选取的历史值的数量的预定比例(例如50%,当然不限于此,根据实际需要可以设定预定比例为40%到60%范围内的任意比例)以上,则确定所述获取的流量值为异常。
通过所述曲线拟合规则对所述获取的流量值进行判定可以通过以下方式实现:
通过三角函数曲线拟合的方法量化所述机房出口的流量值的变化规律;
根据所述量化出的三角函数计算所述机房出口在所述当前时刻的基准流量值;
计算所述获取的流量值与所述计算出的基准流量值的偏差幅度,即((获取的流量值-基准流量值)/基准流量值)*100%;
将所述计算出的偏差幅度与预定阈值(在本发明中,该预定阈值由本领域的技术人员根据实际情况进行合理设置)进行比较;
若所述比较的结果为所述偏差幅度大于所述预定阈值,则确定所述获取的流量值为异常。
通过所述流量预测规则对所述获取的流量值进行判定包括:
通过神经网络技术预测所述机房出口在所述当前时刻的预测流量值以及误差范围;
计算所述获取的流量值与所述预测流量值的偏差幅度,即((获取的流量值-预测流量值)/预测流量值)*100%,若所述偏差幅度在所述误差范围以外,则确定所述获取的流量值为异常。
根据机房出口信息(通过查询DC可以得到机房出口信息以及运营商信息)以及上述输出的异常的持续时间提取该机房出口在该持续时间内的原始流量数据,并将该原始流量数据提交给开源工具或网络安全设备(例如snort(一种入侵检测系统)或DPI(Deeppacket inspection,一种基于应用层的流量检测和控制技术)类型安全设备)进行检测,确定是否为攻击报文,若是攻击报文,则识别出存在网络攻击。
图5是根据本发明实施方式的识别网络攻击的系统1000的结构示意图。参见图5,所述系统1000包括:
定位模块100,用于定位机房出口的流量异常的持续时间。
其中,如图6所示,在本发明的实施方式中,定位模块100具体包括:
判断单元110,用于判断当前时刻与所述机房出口的参照时间段的结束时刻的时间间隔是否大于预定时间间隔。
判断及修改单元120,用于执行以下操作:当所述判断单元110判定为否时,判断所述机房出口的当前时刻的流量值是否异常,若判定为异常,则将所述参照时间段的结束时刻修改为所述当前时刻。
其中,如图7所示,该判断及修改单元120可以包括:
获取子单元121,用于获取所述机房出口的当前时刻的流量值。
其中,在本发明的实施方式中,该获取子单元121可以包括:
第一查询组件,用于通过网络管理数据系统查询所述机房出口所对应的交换机端口集合;
第二查询组件,用于查询所述第一查询组件所查询到的交换机端口集合中各交换机端口在所述当前时刻的流量值;
获取组件,用于对所述第二查询组件所查询到的流量值进行聚合以获取所述机房出口的当前时刻的流量值。
判定子单元122,包括:用于通过经验阈值规则对所述获取子单元121所获取的流量值进行判定的经验阈值组件1221,用于通过曲线拟合规则对所述获取子单元121所获取的流量值进行判定的曲线拟合组件1222,以及用于通过流量预测规则对所述获取子单元121所获取的流量值进行判定的流量预测组件1223。
以下分别对本发明的实施方式中经验阈值组件1221、曲线拟合组件1222以及流量预测组件1223进行说明,具体地:
该经验阈值组件1221可以包括:
选取子组件,用于选取历史流量值;
第一计算子组件,用于计算所述获取的流量值相对于所述选取子组件所选取的历史流量值的变化幅度;
第一比较子组件,用于将所述第一计算子组件所计算出的变化幅度与预定阈值进行比较;
统计子组件,用于统计所述第一比较子组件中所述比较的结果为所述计算出的变化幅度大于所述预定阈值的历史值的数量;
第一确定子组件,用于当所述统计子组件所统计出的数量占所述选取的历史值的数量的预定比例以上时,确定所述获取的流量值为异常。
该曲线拟合组件1222可以包括:
量化子组件,用于通过三角函数曲线拟合的方法量化所述机房出口的流量值的变化规律;
第二计算子组件,用于根据所述量化子组件量化出的三角函数计算所述机房出口在所述当前时刻的基准流量值;
第三计算子组件,用于计算所述获取的流量值与所述第二计算子组件所计算出的基准流量值的偏差幅度;
第二比较子组件,用于将所述第三计算子组件所计算出的偏差幅度与预定阈值进行比较;
第二确定子组件,用于当所述第二比较子组件所比较的结果为所述偏差幅度大于所述预定阈值时,确定所述获取的流量值为异常。
该流量预测组件1223可以包括:
预测子组件,用于通过神经网络技术预测所述机房出口在所述当前时刻的预测流量值以及误差范围;
计算及确定子组件,用于执行以下操作:计算所述获取的流量值与所述预测子组件所预测出的预测流量值的偏差幅度,当所述述偏差幅度在所述预测子组件所预测出的误差范围以外时,确定所述获取的流量值为异常。
确定子单元123,用于当所述判定子单元122中判定所述当前时刻的流量值为异常的异常判断规则所占的比例超过预定值时,确定所述当前时刻的流量值为异常。
定位单元130,用于当所述判断单元110判定为是时,将所述参照时间段定位为所述机房出口的流量异常的持续时间。
提取模块200,用于提取所述机房出口在所述定位模块110所定位出的流量异常的持续时间内的原始流量数据。
判断模块300,用于执行以下操作:判断所述提取模块200所提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击。
在本发明的实施方式中,该判断模块300可以包括:开源工具判断单元,用于通过开源工具判断所述提取的原始流量数据是否为攻击数据;或者,网络安全设备判断单元,用于通过网络安全设备判断所述提取的原始流量数据是否为攻击数据。
实施本发明提供的识别网络攻击的方法及系统可以维持低成本的同时确保识别网络攻击的稳定性与专业性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,智能手机或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (14)
1.一种识别网络攻击的方法,其特征在于,所述方法包括:
定位机房出口的流量异常的持续时间;
提取所述机房出口在所述定位的流量异常的持续时间内的原始流量数据;
判断所述提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击;其中,
定位机房出口的流量异常的持续时间包括:
判断当前时刻与所述机房出口的参照时间段的结束时刻的时间间隔是否大于预定时间间隔;
若判断为否,则进一步判断所述机房出口的当前时刻的流量值是否异常,若判定为异常,则将所述参照时间段的结束时刻修改为所述当前时刻,并经过预定时间后返回执行判断当前时刻与所述机房出口的参照时间段的结束时刻的时间间隔是否大于预定时间间隔;
若判断为是,则将所述参照时间段定位为所述机房出口的流量异常的持续时间。
2.如权利要求1所述的方法,其特征在于,判断所述机房出口的当前时刻的流量值是否异常包括:
获取所述机房出口的当前时刻的流量值;
通过异常判定规则对所述获取的流量值进行判定,其中所述异常判定规则包括:经验阈值规则、曲线拟合规则、流量预测规则;
若在所述异常判定规则中判定所述当前时刻的流量值为异常的异常判断规则所占的比例超过预定值,则确定所述当前时刻的流量值为异常。
3.如权利要求2所述的方法,其特征在于,获取所述机房出口的当前时刻的流量值包括:
通过网络管理数据系统查询所述机房出口所对应的交换机端口集合;
查询所述交换机端口集合中各交换机端口在所述当前时刻的流量值;
对所述查询到的流量值进行聚合以获取所述机房出口的当前时刻的流量值。
4.如权利要求2所述的方法,其特征在于,通过所述经验阈值规则对所述获取的流量值进行判定包括:
选取历史流量值;
计算所述获取的流量值相对于所述历史流量值的变化幅度;
将所述计算出的变化幅度与预定阈值进行比较;
统计所述比较的结果为所述计算出的变化幅度大于所述预定阈值的历史流量值的数量;
若所述统计出的数量占所述选取的历史流量值的数量的预定比例以上,则确定所述获取的流量值为异常。
5.如权利要求2所述的方法,其特征在于,通过所述曲线拟合规则对所述获取的流量值进行判定包括:
通过三角函数曲线拟合的方法量化所述机房出口的流量值的变化规律;
根据所述量化出的三角函数计算所述机房出口在所述当前时刻的基准流量值;
计算所述获取的流量值与所述计算出的基准流量值的偏差幅度;
将所述计算出的偏差幅度与预定阈值进行比较;
若所述比较的结果为所述偏差幅度大于所述预定阈值,则确定所述获取的流量值为异常。
6.如权利要求2所述的方法,其特征在于,通过所述流量预测规则对所述获取的流量值进行判定包括:
通过神经网络技术预测所述机房出口在所述当前时刻的预测流量值以及误差范围;
计算所述获取的流量值与所述预测流量值的偏差幅度,若所述偏差幅度在所述误差范围以外,则确定所述获取的流量值为异常。
7.如权利要求1~6中任意一项所述的方法,其特征在于,判断所述提取的原始流量数据是否为攻击数据包括:
通过开源工具判断所述提取的原始流量数据是否为攻击数据;
或者,
通过网络安全设备判断所述提取的原始流量数据是否为攻击数据。
8.一种识别网络攻击的系统,其特征在于,所述系统包括:
定位模块,用于定位机房出口的流量异常的持续时间;
提取模块,用于提取所述机房出口在所述定位模块所定位出的流量异常的持续时间内的原始流量数据;
判断模块,用于执行以下操作:判断所述提取模块所提取的原始流量数据是否为攻击数据,若是,则识别出存在网络攻击;其中,所述定位模块包括:
判断单元,用于判断当前时刻与所述机房出口的参照时间段的结束时刻的时间间隔是否大于预定时间间隔;
判断及修改单元,用于执行以下操作:当所述判断单元判定为否时,判断所述机房出口的当前时刻的流量值是否异常,若判定为异常,则将所述参照时间段的结束时刻修改为所述当前时刻;
定位单元,用于当所述判断单元判定为是时,将所述参照时间段定位为所述机房出口的流量异常的持续时间。
9.如权利要求8所述的系统,其特征在于,所述判断及修改单元包括:
获取子单元,用于获取所述机房出口的当前时刻的流量值;
判定子单元,包括:用于通过经验阈值规则对所述获取子单元所获取的流量值进行判定的经验阈值组件,用于通过曲线拟合规则对所述获取子单元所获取的流量值进行判定的曲线拟合组件,以及用于通过流量预测规则对所述获取子单元所获取的流量值进行判定的流量预测组件;
确定子单元,用于当所述判定子单元中判定所述当前时刻的流量值为异常的异常判断规则所占的比例超过预定值时,确定所述当前时刻的流量值为异常。
10.如权利要求9所述的系统,其特征在于,所述获取子单元包括:
第一查询组件,用于通过网络管理数据系统查询所述机房出口所对应的交换机端口集合;
第二查询组件,用于查询所述第一查询组件所查询到的交换机端口集合中各交换机端口在所述当前时刻的流量值;
获取组件,用于对所述第二查询组件所查询到的流量值进行聚合以获取所述机房出口的当前时刻的流量值。
11.如权利要求9所述的系统,其特征在于,所述经验阈值组件包括:
选取子组件,用于选取历史流量值;
第一计算子组件,用于计算所述获取的流量值相对于所述选取子组件所选取的历史流量值的变化幅度;
第一比较子组件,用于将所述第一计算子组件所计算出的变化幅度与预定阈值进行比较;
统计子组件,用于统计所述第一比较子组件中所述比较的结果为所述计算出的变化幅度大于所述预定阈值的历史流量值的数量;
第一确定子组件,用于当所述统计子组件所统计出的数量占所述选取的历史流量值的数量的预定比例以上时,确定所述获取的流量值为异常。
12.如权利要求9所述的系统,其特征在于,所述曲线拟合组件包括:
量化子组件,用于通过三角函数曲线拟合的方法量化所述机房出口的流量值的变化规律;
第二计算子组件,用于根据所述量化子组件量化出的三角函数计算所述机房出口在所述当前时刻的基准流量值;
第三计算子组件,用于计算所述获取的流量值与所述第二计算子组件所计算出的基准流量值的偏差幅度;
第二比较子组件,用于将所述第三计算子组件所计算出的偏差幅度与预定阈值进行比较;
第二确定子组件,用于当所述第二比较子组件所比较的结果为所述偏差幅度大于所述预定阈值时,确定所述获取的流量值为异常。
13.如权利要求9所述的系统,其特征在于,所述流量预测组件包括:
预测子组件,用于通过神经网络技术预测所述机房出口在所述当前时刻的预测流量值以及误差范围;
计算及确定子组件,用于执行以下操作:计算所述获取的流量值与所述预测子组件所预测出的预测流量值的偏差幅度,当所述偏差幅度在所述预测子组件所预测出的误差范围以外时,确定所述获取的流量值为异常。
14.如权利要求8~13中任意一项所述的系统,其特征在于,所述判断模块包括:
开源工具判断单元,用于通过开源工具判断所述提取的原始流量数据是否为攻击数据;
或者,
网络安全设备判断单元,用于通过网络安全设备判断所述提取的原始流量数据是否为攻击数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410756146.9A CN104486324B (zh) | 2014-12-10 | 2014-12-10 | 识别网络攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410756146.9A CN104486324B (zh) | 2014-12-10 | 2014-12-10 | 识别网络攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104486324A CN104486324A (zh) | 2015-04-01 |
| CN104486324B true CN104486324B (zh) | 2018-02-27 |
Family
ID=52760828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410756146.9A Active CN104486324B (zh) | 2014-12-10 | 2014-12-10 | 识别网络攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104486324B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119735B (zh) * | 2015-07-15 | 2018-07-06 | 百度在线网络技术(北京)有限公司 | 一种用于确定流量类型的方法和装置 |
| CN105141604B (zh) * | 2015-08-19 | 2019-03-08 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN106850687A (zh) * | 2017-03-29 | 2017-06-13 | 北京百度网讯科技有限公司 | 用于检测网络攻击的方法和装置 |
| DE102018201718A1 (de) * | 2018-02-05 | 2019-08-08 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk |
| CN108494746B (zh) * | 2018-03-07 | 2020-08-25 | 长安通信科技有限责任公司 | 一种网络端口流量异常检测方法及系统 |
| CN110166480B (zh) * | 2019-05-31 | 2021-05-14 | 新华三信息安全技术有限公司 | 一种数据包的分析方法及装置 |
| CN110572362B (zh) * | 2019-08-05 | 2020-09-15 | 北京邮电大学 | 针对多类不均衡异常流量的网络攻击检测方法及装置 |
| CN113037657B (zh) * | 2021-03-23 | 2022-09-06 | 北京汇钧科技有限公司 | 流量的调度方法、装置、电子设备及计算机可读介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101582788A (zh) * | 2008-05-12 | 2009-11-18 | 北京启明星辰信息技术股份有限公司 | 一种对安全事件的分级处理方法及系统 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN102118273A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种人机互动式网络异常诊断方法 |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101686235B (zh) * | 2008-09-26 | 2013-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常流量分析设备和方法 |
-
2014
- 2014-12-10 CN CN201410756146.9A patent/CN104486324B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582788A (zh) * | 2008-05-12 | 2009-11-18 | 北京启明星辰信息技术股份有限公司 | 一种对安全事件的分级处理方法及系统 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN102118273A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种人机互动式网络异常诊断方法 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104486324A (zh) | 2015-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104486324B (zh) | 识别网络攻击的方法及系统 | |
| CN111669375B (zh) | 一种电力工控终端在线安全态势评估方法及系统 | |
| CN106548343B (zh) | 一种非法交易检测方法及装置 | |
| CN104484909B (zh) | 巡检点确定方法、确定装置、交互方法和装置 | |
| CN107070683A (zh) | 数据预测的方法和装置 | |
| RU2013156373A (ru) | Прогнозирование и обработка транзакций на основе частоты | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
| CN103840988A (zh) | 一种基于rbf神经网络的网络流量测量方法 | |
| CN102722814A (zh) | 一种网上交易欺诈风险的自适应可控管理系统 | |
| CN107039970A (zh) | 公变台区线损率异常原因检测方法和系统 | |
| CN106535204B (zh) | 一种业务覆盖质量评估方法及装置 | |
| CN104268378B (zh) | 一种基于移动用户大数据的异常行为可视化监控方法 | |
| CN111092862A (zh) | 一种用于对电网终端通信流量异常进行检测的方法及系统 | |
| CN109116072A (zh) | 窃电分析方法、装置及服务器 | |
| CN106713233B (zh) | 一种网络安全状态的判断与保护方法 | |
| CN106559803A (zh) | 一种基站建设评估方法及装置 | |
| CN106548342A (zh) | 一种可信设备确定方法及装置 | |
| CN105872061A (zh) | 一种服务器集群管理方法、装置及系统 | |
| CN109685140A (zh) | 一种基于主成分分析的dbscan算法岸桥状态分类方法 | |
| CN105656867A (zh) | 盗窃账号事件的监控方法及装置 | |
| CN105574666A (zh) | 一种基于关键数据建模的评定企业信用等级的方法及装置 | |
| CN111553633A (zh) | 一种工程造价管理系统及方法 | |
| CN105991574A (zh) | 风险行为监控方法及装置 | |
| CN114757270A (zh) | 基于NB-IoT燃气智能设备的异常分析方法系统及存储介质 | |
| CN108845285A (zh) | 电能计量装置检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |