CN105553998B - 一种网络攻击异常检测方法 - Google Patents
一种网络攻击异常检测方法 Download PDFInfo
- Publication number
- CN105553998B CN105553998B CN201510976440.5A CN201510976440A CN105553998B CN 105553998 B CN105553998 B CN 105553998B CN 201510976440 A CN201510976440 A CN 201510976440A CN 105553998 B CN105553998 B CN 105553998B
- Authority
- CN
- China
- Prior art keywords
- network
- characteristic value
- normal
- layer
- application layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击异常检测方法,涉及信息安全技术领域,本发明技术要点:步骤1:在网络流量汇聚节点部署流量数据采集设备;步骤2:从采集到的流量数据中提取网络行为特征值;步骤3:对网络行为特征值进行降维及标准化;步骤4:确定正常的网络行为特征值,基于正常的网络行为特征值的集合建立正常行为模型;步骤5:基于正常行为模型对其他网络行为特征值进行检测,判断是否出现异常网络行为;在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。
Description
技术领域
本发明涉及信息安全技术领域,尤其是一种基于行为特征的网络异常行为检测方法。
背景技术
在互联网迅速普及当中,人们在感受网络所带来的便利的同时,也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。网络与系统存在的漏洞给攻击者带来了可乘之机,随着计算机技术的不断发展,新的攻击层出不穷,给政府、银行甚至军事系统带来了极大的损失。据最新的一项统计表明,在美国因数据泄露所引发的安全事故平均带来的经济损失达到700多万美元。网络空间安全已上升到国家安全甚至是军事安全层面,最大程度地保护网络和信息系统的安全已成为当今一个非常重要非常迫切的任务。
在网络入侵检测中,行为建模与异常检测是重要的技术手段。异常检测建立系统、用户、网络或应用等正常行为模型,当待检测的行为在一定程度上偏离该模型,则认为存在异常。在网络流量监测中,行为建模与异常检测不仅可以及时发现网络攻击行为,还能探测到非法行为,如超大文件的P2P传送。同时,与误用检测相比,异常检测不仅能检测出已知的网络攻击行为,还能探测到未知的或变种的网络攻击。
在互联网应用中,基于web的应用不断增长。与此同时,与web有关的漏洞也与日俱增。Cenzic公司最新的调查报告显示,在2010年大约50%的网络漏洞来自于Web,73%的网络管理员承认曾经遭受过Web攻击。拒绝服务攻击(Dos)、网络扫描、网络蠕虫等大型攻击给关键系统及整个网络的正常使用带来极大的危害。因此,基于Web的攻击检测变得尤其重要。同时,大数据时代的到来,我们面临的是高速的并且不断进化的海量数据流,如何从海里数据流中找到网络攻击行为的蛛丝马迹也是一个难题。
在异常检测方面,早期的异常检测主要是通过监听系统日志,如CPU使用率、用户连接时间、访问的文件等,来实现对系统和用户行为的建模。Schonlau等人使用用户的命令序列来检测内部的伪装攻击行为并发布了他们的数据。近10年来很多异常检测方法都已用于该命令序列数据,如Oka等人使用EigenCo-Occurrence Matrix(ECM)检测内部攻击。中科院翟起滨教授带领的团队里面Markov模型进行异常行为检测。北京邮电大学的王伟教授带领的团队基于命令序列数据成果应用了非负矩阵分解、主成分分析等方法来检测攻击,并取得了较好的检测效果。同时,对网络行为建模以检测网络异常也得到了广泛的应用。Heberlein等人第一次直接将网络数据包作为信息源检测入侵。Lee等人从DARPA提供的网络数据中提取了41个特征并建立网络入侵检测模型,这些特征集被发布为KDD’1999CUP数据,并一度成为了网络入侵检测的研究中应用最广的标准数据集之一。国内中科院李洋等人使用基于直推信度机的最近邻方法在KDD’1999数据上进行网络入侵检测。南京邮电大学的徐冲等人集成改进的BP神经网络算法和支持向量机并将其应用于KDD’1999网络数据以检测入侵。
在对Web攻击检测方面,2003年Kruegel等人首次使用HTTP数据流来检测基于Web的攻击。他们通过分析客户端的查询及其参数,使用6种不同的统计方法来检测潜在的异常或攻击行为。Ingham等人收集了一些HTTP攻击,并基于Kruegel工作的基础上比较了几种Web攻击检测方法。Song等人基于n-gram方法,利用混合Markov模型来识别Web攻击。
同时,基于IP网络流量的异常检测是今年来的一个研究热点。Barford等人通过IP流量分析了四种不同的网络异常。Lakhina等人使用PCA检测基于Netflow的网络流量异常行为。Ringberg等人和Brauckhoff等人的研究表明PCA在检测异常时对参数设置较为敏感,会带来检测的不稳定性。基于此问题,Brauckhoff等人设计了一种扩展的PCA算法以试图解决这个问题。北京大学和中科院的李臻等人提出了一种在网络数据链中发现大业务流的识别方法。西安交通大学管晓宏等人提出了一种检测网络流量特征变化的方法。
在自适应异常检测方面,Cretu等人尝试在训练环节让检测模型随着被保护对象的行为变化而自适应地改变。Rehak等人通过不断插入新的网络流量对检测模型进行优化以实现实时网络监测。Robertson等人试图解决异常检测中训练数据严重不足的问题,通过提取HTTP请求中的参数值,在较大数据集上通过训练建立一个检测模型。
近年来,在基于Web攻击的异常检测方面已取得了明显的进展,但在实际应用中还存在以下一些问题:
1.针对具体的攻击,目前已有的方法存在较高的误报率,过多的误报降低了检测系统的可信度,这在一定程度上导致了这些检测方法的不可用性。
2.在大数据时代,面临的都是高速的海量数据流,现有的方法在快速处理高维海量数据流方面还存在问题。
3.在正常行为建模方面,针对处理的数据是高速流动的,检测主体的行为也是多样变化的,现有的很多检测方法采用离线标定、离线学习的方式进行建模,很难适应动态变化的网络行为。
发明内容
为了克服上述现有方法的不足,本发明提供了一种Web攻击异常检测方法,通过在网络层和应用层建立正常网络行为模型,在应用层上主要监听服务器上的80端口并以HTTP流量作为信息输入,而在网络层上主要监听IP流量并以路由器收集到的Netflow流量作为信息输入,利用大数据技术对Web异常行为进行挖掘。结合两个层面的检测结果进行综合分析,可有效降低对Web攻击检测的误报率和漏报率。
本发明所提供的一种Web攻击异常检测方法,包含以下步骤:
步骤1:在网络流量汇聚节点部署流量数据采集设备;
步骤2:从采集到的流量数据中提取网络行为特征值;
步骤3:对网络行为特征值进行降维及标准化;
步骤4:确定正常的网络行为特征值,基于正常的网络行为特征值的集合建立正常行为模型;
步骤5:基于正常行为模型对其他网络行为特征值进行检测,判断是否出现异常网络行为;
在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。
优选地,步骤1中,流量数据采集设备包括应用层流量数据采集设备及网络层流量数据采集设备;
相应的,步骤4:分别确定正常的应用层网络行为特征值及正常的网络层网络行为特征值,基于正常的应用层网络行为特征值的集合建立应用层正常行为模型;基于正常的网络层网络行为特征值的集合建立网络层正常行为模型;
步骤5:基于应用层正常行为模型对其他应用层网络行为特征值进行检测,判断是否出现异常网络行为;基于网络层正常行为模型对其他网络层网络行为特征值进行检测,判断是否出现异常网络行为;
若应用层与网络层均检测到异常网络行为时则断定该事件为异常并告警;如果应用层与网络层中只有一个检测到异常网络行为时则将该事件标定为可疑事件。
优选地,对于从应用层流量数据提取的网络行为特征值:步骤4确定正常的应用层网络行为特征值的集合,利用K-means聚类算法将集合中的特征值分为若干聚类,并确定这些聚类的中心。
进一步,逐一计算其他的应用层网络行为特征值与所述各个聚类中心的距离,当该应用层网络行为特征值到各个聚类中心的最小值大于设定的阈值,则认为该应用层网络行为特征值为异常。
进一步,进行异常网络行为检测的同时,将确定为正常的新的应用层网络行为特征值加入到原有的应用层正常网络行为特征值集合中,利用K-means聚类算法将应用层正常网络行为特征值重新分为若干聚类,并确定这些聚类的中心从而得到更新后的应用层正常行为模型。
进一步,对于从网络层流量数据提取的网络行为特征值:步骤4确定正常的网络层网络行为特征值的集合,计算集合中样本分布的均值[e1,e2,...ek],k网络层网络行为特征值的维度。
进一步,逐一计算其他的网络层网络行为特征值[d1,d2,...dk]是否与所述样本分布的均值[e1,e2,...ek]同分布:计算判断χ2是否大于χ2(α),α为预设的置信水平,若大于则认为该网络层网络行为特征值为异常。
进一步,进行异常网络行为检测的同时,将确定为正常的新的网络层网络行为特征值加入到原有的网络层正常网络行为特征值集合中,重新计算该集合的样本分布均值,从而得到更新后的网络层正常行为模型。
用于采用了上述技术手段,本发明的有益效果是:
1.误报率低
本发明通过采集应用层HTTP流量和网络层Netflow数据,结合两个层面的检测结果进行综合分析,可有效降低对web攻击检测的误报率。
2.具备自适应能力
本发明基于动态聚类实现正常行为模型的构建和自适应调整,能够及时发现网络行为的变化而自动对检测模型进行重建,并根据检测性能自动调整模型参数。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明提供的一种Web攻击异常检测方法实施流程图。
图2为本发明提供的一种Web攻击异常检测方法中的流量数据采集设备的部署图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
如图1所示,本发明提供的一种web攻击异常检测方法,包括以下步骤:
步骤1:在网络流量汇聚节点部署流量数据采集设备;
步骤2:从采集到的流量数据中提取网络行为特征值;
步骤3:对网络行为特征值进行降维及标准化;
步骤4:确定正常的网络行为特征值,基于正常的网络行为特征值的集合建立正常行为模型;
步骤5:基于正常行为模型对其他网络行为特征值进行检测,判断是否出现异常网络行为;
在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。
如图1所示,在一个具体实施例中,步骤1中的流量数据采集设备包括应用层流量数据采集设备及网络层流量数据采集设备。
相应的,步骤4进一步包括:分别确定正常的应用层网络行为特征值及正常的网络层网络行为特征值,基于正常的应用层网络行为特征值的集合建立应用层正常行为模型;基于正常的网络层网络行为特征值的集合建立网络层正常行为模型。
步骤5进一步包括:基于应用层正常行为模型对其他应用层网络行为特征值进行检测,判断是否出现异常网络行为;基于网络层正常行为模型对其他网络层网络行为特征值进行检测,判断是否出现异常网络行为。
若应用层与网络层均检测到异常网络行为时则断定该事件为异常并告警;如果应用层与网络层中只有一个检测到异常网络行为时则将该事件标定为可疑事件。
现在详细介绍各个步骤的实施细节。
其中,步骤1的实施细节包括:
如图2,在网络流量的汇聚节点部署采集设备为其异常检测分析提供原始网络流量数据。根据部署地点不同,分为应用层及网络层两种类型的流量采集设备,即HTTP流量采集探针和Netflow流量采集设备。Netflow流量采集设备部署在路由器旁,通过镜像口抓取网络包来采集跨网段的流量数据。HTTP流量采集探针部署在Web服务器上收集HTTP流量。
步骤2的实施细节:
针对Web攻击的异常检测,本发明采用在应用层和网络层数据流分别提取异常行为特征,主要包括:
在应用层上提取的HTTP行为特征包括但不限于:耗时、数据包数目、请求方法Request-URI、Request-URI特征值、Content-Length、状态代码、行为类别、行为频度等特征。
在网络层上提取的行为特征包括但不限于数据包的个数、字节的个数、端口,IP地址和TCP标记的熵以及直方图、每个流(flow)持续的时间和包大小的直方图等特征。
步骤3的实施细节
为了消除数据量纲和量级的影响,在进行数据降维前进行标准化。针对一部分数值型数据,如HTTP数据流的耗时、数据包数目、行为频度等以及Netflow数据流中的数据包个数、字节个数、每个流(flow)持续的时间等,采用最大值-最小值标准化方法进行标准化;而对于一部分二值数据,如行为类别等直接采用0或1表示;对于仅表示属性类别的数据,如请求方法、状态代码等,首先对所有状态进行编号,然后再采用最大值-最小值标准化方法进行标准化。
针对一条HTTP数据记录中包含的属性项较多且有些属性只是其标识作用,为了提高数据处理效率,需要对数据集进行降维,即从特征集中提取出最关键的有利于检测的特征,删除对检测结果影响不大的特征。
为了提高检测的准确性,在其他实施例中,在对数据标准化之后,对数据进行主成分分析得到各主成分分量的特征值、贡献率和累计贡献率,从属性项中提取出一些贡献率较大的综合因子,并根据贡献率大小对属性项设置权重。
步骤4的实施细节
首先通过现有的较成熟的异常检测算法对前述步骤提取到的网络行为特征值进行检测,并经过人工标定获取一个精确标定的小的正常网络行为特征值的数据集合,分别为应用层数据集和网络层数据集。
针对应用层数据集的正常行为建模,本实施例中利用K-means聚类算法获取数据集的k个聚类及其中心,这k个聚类作为HTTP行为的正常行为分类。
针对网络层数据集,计算数据集中各个样本特征值向量中相同位置元素的均值,将均值作为样本分布均值向量的同位置的元素,得到均值向量[e1,e2,…,ek],将其作为总体分布的估计,k为特征值的维度。如将各个样本特征值向量中的第1个元素进行求均值,将该均值作为样本分布均值向量的第1个元素,依次类推。
考虑到正常的网络行为会随着时间的变化而发生变化,因此需要对正常的网络行为模型进行更新,以提高检测准确度。
本实施例中,针对应用层正常网络行为模型是这样更新的。
对新确定的正常的应用层网络行为特征值进行距离度量。本实施例采用欧几里德公式对特征值进行距离度量,其计算公式如下:
式中,[w1,w2,...,wm]为权值,[xi1,xi2,...,xim]为第i个聚类的中心,[xj1,xj2,...,xjm]为新的正常的应用层网络行为特征值,m为应用层网络行为特征值的维度。
按照欧几里德距离公式,计算该特征值与所有聚类的聚类中心的距离,记录距离最小的聚类C及其距离dMin;若dMin大于预设的聚类半径,则新创建一个聚类C’,若dMin小于预设的聚类半径,则将该特征值划分到聚类C中,并重新计算C的聚类中心。
针对网络层网络行为模型是这样更新的。
将确定为正常的新的网络层网络行为特征值加入到原有的网络层正常网络行为特征值集合中,重新计算该集合的样本分布均值,从而得到更新后的网络层正常行为模型。
正常的新的网络行为特征值可以是人工判决得到,也可以采用已有的成熟的检测算法判决得到,也可以是正常行为模型本身检测得到的。
步骤5的实施细节
在异常检测阶段,针对应用层网络行为特征值,计算其与应用层正常行为模型中所有聚类中心的距离,如果该特征值与各个聚类中心的距离值中的最小值都大于预先设定的阈值,则判断该事件为异常。
同时,针对网络层网络行为特征值,使用Pearson方检验计算χ2值判断该特征值[d1,d2,…,dk]是否与样本均值[e1,e2,…,ek]同分布:计算判断在给定置信水平α的前提下,χ是否大于χ2(α),若大于则说明存在异常。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (7)
1.一种网络攻击异常检测方法,其特征在于,包括:
步骤1:在网络流量汇聚节点部署流量数据采集设备;流量数据采集设备包括应用层流量数据采集设备及网络层流量数据采集设备;
步骤2:从采集到的流量数据中提取网络行为特征值;
步骤3:对网络行为特征值降维及标准化;
步骤4:分别确定正常的应用层网络行为特征值及正常的网络层网络行为特征值,基于正常的应用层网络行为特征值的集合建立应用层正常行为模型;基于正常的网络层网络行为特征值的集合建立网络层正常行为模型;
步骤5:基于应用层正常行为模型对其他应用层网络行为特征值进行检测,判断是否出现异常网络行为;基于网络层正常行为模型对其他网络层网络行为特征值进行检测,判断是否出现异常网络行为;
若应用层与网络层均检测到异常网络行为时则断定相应事件为异常并告警;如果应用层与网络层中只有一个检测到异常网络行为时则将相应事件标定为可疑事件;
在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。
2.根据权利要求1所述的一种网络攻击异常检测方法,其特征在于,对于从应用层流量数据提取的网络行为特征值:步骤4确定正常的应用层网络行为特征值的集合,利用K-means聚类算法将集合中的特征值分为若干聚类,并确定这些聚类的中心。
3.根据权利要求2所述的一种网络攻击异常检测方法,其特征在于,逐一计算待检测的应用层网络行为特征值与各个聚类中心的距离,当该应用层网络行为特征值到各个聚类中心的最小值大于设定的阈值,则认为该应用层网络行为特征值为异常;否则为正常的网络行为。
4.根据权利要求2或3所述的一种网络攻击异常检测方法,其特征在于,进行异常网络行为检测的同时,将确定为正常的新的应用层网络行为特征值加入到原有的应用层正常网络行为特征值集合中,利用K-means聚类算法将应用层正常网络行为特征值重新分为若干聚类,并重新确定这些聚类的中心从而得到更新后的应用层正常行为模型。
5.根据权利要求1所述的一种网络攻击异常检测方法,其特征在于,对于从网络层流量数据提取的网络行为特征值:步骤4确定正常的网络层网络行为特征值的集合,计算集合中样本分布的均值[e1,e2,...ek],k为网络层网络行为特征值的维度。
6.根据权利要求5所述的一种网络攻击异常检测方法,其特征在于,逐一计算其他的网络层网络行为特征值[d1,d2,...dk]是否与所述样本分布的均值[e1,e2,...ek]同分布:计算判断χ2是否大于χ2(α),α为预设的置信水平,若大于则认为该网络层网络行为特征值为异常。
7.根据权利要求5或6所述的一种网络攻击异常检测方法,其特征在于,进行异常网络行为检测的同时,将确定为正常的新的网络层网络行为特征值加入到原有的网络层正常网络行为特征值集合中,重新计算该集合的样本分布均值,从而得到更新后的网络层正常行为模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510976440.5A CN105553998B (zh) | 2015-12-23 | 2015-12-23 | 一种网络攻击异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510976440.5A CN105553998B (zh) | 2015-12-23 | 2015-12-23 | 一种网络攻击异常检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105553998A CN105553998A (zh) | 2016-05-04 |
CN105553998B true CN105553998B (zh) | 2019-02-01 |
Family
ID=55832933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510976440.5A Active CN105553998B (zh) | 2015-12-23 | 2015-12-23 | 一种网络攻击异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105553998B (zh) |
Families Citing this family (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871879B (zh) * | 2016-05-06 | 2019-03-05 | 中国联合网络通信集团有限公司 | 网元异常行为自动检测方法及装置 |
CN106101102B (zh) * | 2016-06-15 | 2019-07-26 | 华东师范大学 | 一种基于pam聚类算法的网络异常流量检测方法 |
CN105939359A (zh) * | 2016-06-20 | 2016-09-14 | 国家计算机网络与信息安全管理中心 | 检测移动终端隐私泄露的方法及装置 |
CN107528812B (zh) * | 2016-06-21 | 2020-05-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN106254321B (zh) * | 2016-07-26 | 2019-03-19 | 中国人民解放军防空兵学院 | 一种全网络异常数据流分类方法 |
CN106411860B (zh) * | 2016-09-07 | 2019-09-17 | 微梦创科网络科技(中国)有限公司 | 一种网络互连协议ip检测的方法及装置 |
CN106453404B (zh) * | 2016-11-23 | 2019-09-10 | 北京邮电大学 | 一种网络入侵检测方法及装置 |
CN108234435A (zh) * | 2016-12-22 | 2018-06-29 | 上海行邑信息科技有限公司 | 一种基于ip分类的自动检测方法 |
CN106778259B (zh) * | 2016-12-28 | 2020-01-10 | 北京明朝万达科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法及系统 |
CN106612289A (zh) * | 2017-01-18 | 2017-05-03 | 中山大学 | 一种基于sdn的网络协同异常检测方法 |
CN107122394B (zh) * | 2017-03-10 | 2020-02-14 | 博彦科技股份有限公司 | 异常数据检测方法和装置 |
CN107104944A (zh) * | 2017-03-10 | 2017-08-29 | 林榆坚 | 一种网络入侵的检测方法及装置 |
CN106888211A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的检测方法及装置 |
CN106973047A (zh) * | 2017-03-16 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种异常流量检测方法和装置 |
CN107404471A (zh) * | 2017-04-05 | 2017-11-28 | 青海民族大学 | 一种基于admm算法网络流量异常检测方法 |
CN109309649A (zh) * | 2017-07-27 | 2019-02-05 | 苏宁云商集团股份有限公司 | 一种攻击预警方法及系统 |
CN109327345A (zh) * | 2017-08-01 | 2019-02-12 | 中国移动通信集团湖北有限公司 | 网络异常流量的检测方法和装置、计算机可读存储介质 |
CN107809439B (zh) * | 2017-08-31 | 2020-01-10 | 上海财经大学 | 网络连接数据分类系统 |
CN107707547A (zh) * | 2017-09-29 | 2018-02-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的检测方法及设备 |
US20190166024A1 (en) * | 2017-11-24 | 2019-05-30 | Institute For Information Industry | Network anomaly analysis apparatus, method, and non-transitory computer readable storage medium thereof |
CN109150817B (zh) * | 2017-11-24 | 2020-11-27 | 新华三信息安全技术有限公司 | 一种网页请求识别方法及装置 |
CN108319851B (zh) * | 2017-12-12 | 2022-03-11 | 中国电子科技集团公司电子科学研究院 | 一种异常行为主动检测方法、设备及存储介质 |
CN108494747B (zh) * | 2018-03-08 | 2020-11-10 | 上海观安信息技术股份有限公司 | 数字化变电站流量异常检测方法、电子设备及计算机存储介质 |
CN108650218B (zh) * | 2018-03-22 | 2019-10-08 | 平安科技(深圳)有限公司 | 网络流量监测方法、装置、计算机设备及存储介质 |
CN108737406B (zh) * | 2018-05-10 | 2020-08-04 | 北京邮电大学 | 一种异常流量数据的检测方法及系统 |
CN108718306B (zh) * | 2018-05-10 | 2020-09-01 | 北京邮电大学 | 一种异常流量行为判别方法和装置 |
CN109861953B (zh) | 2018-05-14 | 2020-08-21 | 新华三信息安全技术有限公司 | 一种异常用户识别方法及装置 |
CN108763470A (zh) * | 2018-05-29 | 2018-11-06 | 北京白山耘科技有限公司 | 一种通过文本信息检测危险信息的方法及装置 |
CN108848095B (zh) * | 2018-06-22 | 2021-03-02 | 安徽大学 | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 |
CN109067722B (zh) * | 2018-07-24 | 2020-10-27 | 湖南大学 | 一种基于两步聚类和检测片分析联合算法的LDoS检测方法 |
CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
CN109871688B (zh) * | 2018-09-21 | 2020-12-18 | 中国人民解放军国防科技大学 | 漏洞威胁程度评估方法 |
CN109951317B (zh) * | 2019-02-18 | 2022-04-05 | 大连大学 | 一种基于用户驱动的流行度感知模型的缓存替换方法 |
CN111835681B (zh) * | 2019-04-19 | 2023-08-04 | 北京京东尚科信息技术有限公司 | 一种大规模流量异常主机检测方法和装置 |
US11165804B2 (en) | 2019-05-30 | 2021-11-02 | Microsoft Technology Licensing, Llc | Distinguishing bot traffic from human traffic |
CN110995525A (zh) * | 2019-10-31 | 2020-04-10 | 北京直真科技股份有限公司 | 一种基于维护矩阵的路由器检测方法 |
CN111371594B (zh) * | 2020-02-25 | 2023-05-02 | 成都西加云杉科技有限公司 | 设备异常告警方法、装置及电子设备 |
CN111404911B (zh) * | 2020-03-11 | 2022-10-14 | 国网新疆电力有限公司电力科学研究院 | 一种网络攻击检测方法、装置及电子设备 |
CN112104503B (zh) * | 2020-09-17 | 2022-08-16 | 成都思维世纪科技有限责任公司 | 一种基于流转模型的数据异常流转的监测分析系统及方法 |
CN112235264B (zh) * | 2020-09-28 | 2022-10-14 | 国家计算机网络与信息安全管理中心 | 一种基于深度迁移学习的网络流量识别方法及装置 |
CN112491806A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种云平台流量安全分析系统及方法 |
CN112422546A (zh) * | 2020-11-10 | 2021-02-26 | 昆明理工大学 | 一种基于变邻域算法和模糊聚类的网络异常检测方法 |
CN112600792B (zh) * | 2020-11-23 | 2022-04-08 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN113347184A (zh) * | 2021-06-01 | 2021-09-03 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
CN115622720A (zh) * | 2021-07-13 | 2023-01-17 | 中移物联网有限公司 | 一种网络异常检测方法、装置及检测设备 |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
CN114553675B (zh) * | 2022-03-24 | 2023-05-09 | 中国联合网络通信集团有限公司 | 故障网元处理方法、装置及存储介质 |
CN117221017A (zh) * | 2023-11-09 | 2023-12-12 | 北京宏数科技有限公司 | 一种基于大数据的网络监测方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902338A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN104753732A (zh) * | 2013-12-27 | 2015-07-01 | 郭祖龙 | 一种基于分布式的网络流量分析系统及方法 |
-
2015
- 2015-12-23 CN CN201510976440.5A patent/CN105553998B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902338A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种采用统一检测框架的入侵检测系统和入侵检测方法 |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN104753732A (zh) * | 2013-12-27 | 2015-07-01 | 郭祖龙 | 一种基于分布式的网络流量分析系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105553998A (zh) | 2016-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105553998B (zh) | 一种网络攻击异常检测方法 | |
Zheng et al. | Realtime DDoS defense using COTS SDN switches via adaptive correlation analysis | |
He et al. | Software-defined-networking-enabled traffic anomaly detection and mitigation | |
Xie et al. | Monitoring the application-layer DDoS attacks for popular websites | |
EP2661049B1 (en) | System and method for malware detection | |
US20100071061A1 (en) | Method and Apparatus for Whole-Network Anomaly Diagnosis and Method to Detect and Classify Network Anomalies Using Traffic Feature Distributions | |
Lappas et al. | Data mining techniques for (network) intrusion detection systems | |
CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
CN111049680B (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
CN108255996A (zh) | 基于Apriori算法的安全日志分析方法 | |
CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
CN109040130A (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
He et al. | Large-scale IP network behavior anomaly detection and identification using substructure-based approach and multivariate time series mining | |
CN110602109A (zh) | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 | |
Mangrulkar et al. | Network attacks and their detection mechanisms: A review | |
Bawa et al. | Enhanced mechanism to detect and mitigate economic denial of sustainability (EDoS) attack in cloud computing environments | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
Patole et al. | Self organizing maps to build intrusion detection system | |
Viegas et al. | Enabling anomaly-based intrusion detection through model generalization | |
Potteti et al. | Intrusion detection system using hybrid Fuzzy Genetic algorithm | |
Daneshgadeh et al. | A hybrid approach to detect DDoS attacks using KOAD and the Mahalanobis distance | |
Li et al. | A distributed intrusion detection model based on cloud theory | |
CN101882997A (zh) | 一种基于nba的网络安全评估方法 | |
KR101923776B1 (ko) | 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |