CN105827611B - 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 - Google Patents
一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 Download PDFInfo
- Publication number
- CN105827611B CN105827611B CN201610210663.5A CN201610210663A CN105827611B CN 105827611 B CN105827611 B CN 105827611B CN 201610210663 A CN201610210663 A CN 201610210663A CN 105827611 B CN105827611 B CN 105827611B
- Authority
- CN
- China
- Prior art keywords
- fuzzy
- network
- packet
- reasoning
- fuzzy reasoning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明提供一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统,系统包络网络数据包采集模块、报文格式识别模块、模糊推理模块和报警模块;其中网络数据采集模块、报文格式识别模块先后串联,报文格式识别模块传递出流量属性信息给模糊推理模块和报警模块,模糊推理模块传递出推理结果给报警模块,本发明解决了分布式网络攻击流量识别、预警问题,通过使用本发明可以结合网络流量特征定义模糊推理中的知识库,有效提高了分布式网络攻击的识别率,降低了分布式网络攻击的虚警率。
Description
技术领域
本发明属于网络安全技术领域,涉及网络攻击检测,特别涉及一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统。
背景技术
随着网络通信技术和计算机技术的不断发展,网络安全问题层出不穷。在网络安全问题中,分布式拒绝服务攻击越来越多的被运用到攻击事件中,由于其阻断目标通信和服务和的效果危害显著,使其成为计算机网络攻击的主要手段之一。
分布式拒绝服务攻击是指借助于客户/服务器技术,木马病毒技术,僵尸网络技术等将多个计算机、服务器、网络设备联合起来作为攻击平台,对一个或多个网络目标发动分布式拒绝服务攻击。攻击者通过控制软件、程序控制多台网络设备在同一时间对某个网络设备重复发送大量畸形报文、连接请求、服务请求造成被攻击的网络设备带宽拥挤、硬件资源耗尽、服务瘫痪达到攻击者的破坏目的。
模糊推理是一项上世纪七十年代发展起来的基于模糊数学的控制技术。实践中,许多大规模的复杂系统很难用精确的数学表达式来表示其模型,于是智能控制的出现,可以有效地将熟练操作工、技术人员或专家的经验知识与控制理论结合起来去解决复杂系统的控制问题。1965年,美国的L.A.Zadeh创立了模糊集合论,1973年他给出了模糊逻辑控制的定义和相关的定理。1974年,英国的E.H.Mamdani首先用模糊控制语句组成模糊控制器,并把它应用于锅炉和蒸汽机的控制,在实验室获得成功。相比传统的控制技术,模糊控制具有无需知道被控对象数学模型、可以反映人类思维方式智能控制、控制规则易于理解、构造容易、高鲁棒性等优势。
入侵检测是入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统可分为特征检测与异常检测两种。目前入侵检测产品主要使用特征检测实现,即通过检测主体活动是否符合已知的入侵模式、规则。这种方法对新的入侵方式无能无力,其使用难点在于定义出合适的模式、规则。分布式拒绝服务网络攻击具有非线性、非时变难于定义特征的特点,造成了现有的入侵检测系统不能有效的对分布式拒绝服务网络攻击进行告警或产生大量虚警,因此找到一种异常检测办法十分必要。
发明内容
为了克服上述现有技术的缺点,本发明的目的在于提供一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统,解决了入侵检测问题中分布式拒绝服务网络攻击的识别问题,通过使用本发明可以结合具体的网络环境配置系统的相关参数,有效提高入侵检测对分布式拒绝服务网络攻击的识别率和准确率。
为了实现上述目的,本发明采用的技术方案是:
一种基于模糊推理的分布式拒绝服务网络攻击检测方法,包括以下步骤:
步骤1:获取网络数据包;
步骤2:对获取到的网络数据进行识别,该步骤是对已知协议的识别,解析已知的协议;
步骤3:用已知的分布式拒绝服务网络攻击特征规则匹配网络数据,如果匹配进行报警,不匹配则对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行提取;
步骤4:对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行模糊化;
步骤5:根据知识库和规则库对输入进行模糊推理;
步骤6:对推理结果进行去模糊化;
步骤7:根据推理结果选择是否告警。
所述步骤1中,从网络中通过以下两种方式采集网络数据包:
1)采用网络嗅探方式获取网络数据包,所述嗅探方式是指将网络设备的网卡设置为混杂模式,通过调用网络截包工具来捕获所在线路的网络数据包;
2)通过网络端口镜像功能获取网络数据包,所述端口镜像方式是指将将网络设备的采集端口映射到另一端口,数据实现实时拷贝,从而实现数据包采集;
所述步骤2和步骤3具体包括以下步骤:
1)可配置过滤网络数据包的源和目的地址的ip、端口、协议,默认不进行过滤;
2)用报文格式库已知的传输协议匹配捕获的网络数据包格式,得到识别结果;
3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP地址数量、增速计算;
4)提取计算得到的参数。
所述步骤4中模糊化是将输入的精确数值转换成模糊量,具体过程为:尺度变化,将输入变量由基本论语变换到各自的论域范围,将变换后的输入量进行模糊化,使精确的输入量变成模糊量,并用相应的模糊集来表示。
所述步骤5中,知识库为数据库,主要包括各语言变量的隶属函数,尺度变换因子及模糊空间的分级数;规则库包括用模糊语言变量表示的一系列控制规则,它们反映了控制专家的经验和知识,所述模糊推理模拟人的基于模糊概念的推理能力,根据输入的速率以及速率增量进行模糊推理,得到推理结果;所述步骤6中,去模糊化是将模糊推理得到的模糊控制量变化为实际用于控制的清晰量,包括将模糊量经清晰化变换成论域范围的清晰量以及将清晰量经尺度变换成实际的网络攻击指示信息。
所述步骤7中,根据模糊推理结果匹配已有的攻击特征,如果匹配则进行报警。
本发明还提供了一种基于模糊推理的分布式拒绝服务网络攻击检测系统,包括:
用于从网络中获取网络数据包的网络数据包采集模块;
用于对所获取网络数据包进行识别以得到流量属性信息的报文格式识别模块;
用于将所述流量属性信息模糊化并进行模糊推理及去模糊化的模糊推理模块;
以及用于根据模糊推理模块的推理结果进行报警的监控报警模块。
所述网络指计算机通信交换数据使用的网络,形式上包括广域网骨干网络和交换式以太局域网络,所述网络数据包采集模块对所在线路的网络数据包进行全部采集,之后将获取到的网络数据包发给报文格式识别模块。
所述报文格式识别模块对网络数据包采集模块发送的网络数据包进行过滤和分析识别,包括:
1)报文格式识别模块系统参数初始化,可配置过滤网络数据包的源和目的地址的ip、端口、协议,默认不进行过滤;
2)用报文格式库已知的传输协议匹配捕获的网络数据包格式,得到识别结果;
3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP地址数量、增速计算;
4)将网络数据包格式、速率、数据包速率增速、IP地址数量、IP地址增速发送给模糊推理模块。
所述模糊推理模块基于模糊推理,包括:
1)模糊化,将输入的精确数值转换成模糊量,具体过程为:尺度变化,将输入变量由基本论语变换到各自的论域范围,将变换后的输入量进行模糊化,使精确的输入量变成模糊量,并用相应的模糊集来表示,根据网络数据包采集模块获取到的数据包格式将数据包速率、数据包速率增速、IP地址数量、IP地址增速进行模糊化;
2)知识库:即数据库,主要包括各语言变量的隶属函数,尺度变换因子及模糊空间的分级数;
3)规则库:包括了用模糊语言变量表示的一系列控制规则,它们反映了控制专家的经验和知识;
4)模糊推理:模拟人的基于模糊概念的推理能力,根据输入的速率以及速率增量进行模糊推理,得到推理结果;
5)去模糊化:将模糊推理得到的模糊控制量变化为实际用于控制的清晰量,包括:将模糊量经清晰化变换成论域范围的清晰量。将清晰量经尺度变换成实际的网络攻击指示信息。
所述的报警模块根据模糊推理结果和报文格式识别模块匹配已有的攻击特征,若匹配或者部分匹配则进行报警。
现有的入侵检测系统主要采用特征匹配和异常检测两种方法来进行入侵检测,与现有技术相比,本发明通过将模糊控制方法引入入侵检测,针对分布式拒绝服务攻击,将网络流量数据格式识别模块得到的输入量按照模糊理论得到模糊控制量,根据推理规则的出结论,解模糊后选择是否告警。针对分布式拒绝服务攻击非线性、强耦合、时变和迟滞特性。入侵检测系统没有统一数学模型、没有统一攻击特征、不易检测、检测响应迟滞的现有情况,提出此方法提高了针对分布式攻击的检测率,和响应速度,降低了虚警率。
附图说明
图1是本发明实施例中基于模糊推理的分布式拒绝服务网络攻击检测方法流程图。
图2是本发明实施例中基于模糊推理的分布式拒绝服务网络攻击检测系统结构图。
图3是本发明实施例中基于模糊推理的分布式拒绝服务网络攻击检测系统模糊推理模块结构图。
图4是本发明网络参数接入模糊推理器的示意图。
具体实施方式
下面结合附图和实施例详细说明本发明的实施方式。
本发明提供一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统,图1为本发明提供的基于模糊推理的分布式拒绝服务网络攻击检测方法一个实例的流程图,如图1所示,包括以下步骤:
步骤1:使用网络嗅探工具或镜像网络传输设备中数据源端口,获取网络数据包;
步骤2:对获取到的网络数据进行识别;
步骤3:用已知的分布式拒绝服务网络攻击特征规则匹配网络数据,如果匹配进行报警,不匹配则对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行提取;
步骤4:对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行模糊化;
步骤5:根据知识库对输入进行模糊推理;
步骤6:对推理结果进行去模糊化;
步骤7:根据推理结果选择是否告警。
本发明还提供一种基于模糊推理的分布式拒绝服务网络攻击检测系统,如图2,系统包括网络数据包采集模块,报文格式识别模块、模糊推理模块和监控报警模块;其中网络数据采集模块、报文格式识别模块先后串联,报文格式识别模块传递出流量属性信息给模糊推理模块和报警模块,模糊推理模块传递出推理结果给报警模块。
本发明中,网络指计算机通信交换数据使用的网络,形式上包括广域网骨干网络和交换式以太局域网络。针对计算机数据传输网络,网络数据包采集模块从网络中通过以下两种方式采集网络数据包:
1)采用网络嗅探方式获取网络数据包,嗅探方式是指将网络设备的网卡设置为混杂模式,通过调用网络截包工具来捕获所在线路的网络数据包;
2)通过网络端口镜像功能获取网络数据包,端口镜像方式是指将将网络设备的采集端口映射到另一端口,数据实现实时拷贝,从而实现数据包采集。
报文格式识别模块对网络数据包采集模块发送的网络数据包进行过滤和分析识别,包括:
1)报文格式识别模块系统参数初始化,可配置过滤网络数据包的源和目的地址的ip、端口、协议,默认不进行过滤;
2)用报文格式库已知的传输协议匹配捕获的网络数据包格式,得到识别结果;
3)对初始化时参数设置的网络数据包进行速率、速率增速计算,IP地址增速计算;
4)将网络数据包格式、速率、数据包速率增速、IP地址数量、IP地址增速发送给模糊推理模块。
模糊推理模块基于模糊推理,模糊推理模块的一般结构如图3所示,其中网络数据提取的参数可按照图4的方式接入,模糊推理模块包括:
1)模糊化,将输入的精确数值转换成模糊量。具体过程为:尺度变化,将输入变量由基本论语变换到各自的论域范围。
以分布式网络攻击为例,可以将所监测的输入数据包速率、和数据包增速速率划分模糊区间,参考所监控网络中流量情况定义数据包速率。
模糊处理:将变换后的输入量进行模糊化,使精确的输入量变成模糊量,并用相应的模糊集来表示。根据网络数据包采集模块获取到的数据包格式将数据包速率、数据包速率增速、IP地址数量、IP地址增速进行模糊化。
2)知识库:即数据库,主要包括各语言变量的隶属函数,尺度变换因子及模糊空间的分级数等。根据分布式网络攻击流量数据特点和正常的网络流量数据特点选择合适的变换函数和变换因子以及模糊的分级数。
隶属度函数是用来描述模糊集合的模糊性,能使集合的模糊特性和运算本质更加清晰。可以用高斯函数作为描述输入变量的隶属度函数:高斯函数易于实现,其中心Ci和宽度σi构成了一个简便的参数集合以进行初始化,还可用于自适应模糊系统的训练。
隶属度函数用于说明所取得的样本归属于哪一类事物,根据客观情况确定待分事物的种类数,根据概率统计的出相应种类的高斯函数参数。其中参数意义如下:
将待分类的事物,依次带入隶属度函数中,取得最大隶属度得到该类事物的分类,完成连续型输入参数的模糊化。
3)规则库:规则库包括了用模糊语言变量表示的一系列控制规则。它们反映了控制专家的经验和知识。
用模糊语言可以建立模糊控制规则,模糊规则的一般形式为:If e is NS and ecis NB then u is PB.
根据分布式网络攻击流量数据特点和正常的网络流量数据特点定义模糊推理中合理的推理规则。
4)模糊推理:模糊推理是模糊控制器的核心,它具有模拟人的基于模糊概念的推理能力。根据输入的速率以及速率增量进行模糊推理,得到推理结果。模糊推理或模糊决策过程的输出,往往是两个或多个模糊隶属度函数的逻辑并集,这些函数使被定义在输出变量的论域上。
5)去模糊化:将模糊推理得到的模糊控制量变化为实际用于控制的清晰量。包括:将模糊量经清晰化变换成论域范围的清晰量。将清晰量经尺度变换成实际的网络攻击指示信息。
运用加权平均法,该方法适合于输出模糊集的隶属度函数是对称的情况,在模糊控制中应用较为广泛。其计算公式为:式中ej和分别表示各对称隶属度函数的质心和隶属度函数值。
报警模块根据模糊推理结果和报文格式识别模块匹配已有的攻击特征,按照设置的报警规则进行报警。
Claims (8)
1.一种基于模糊推理的分布式拒绝服务网络攻击检测方法,包括以下步骤:
步骤1:获取网络数据包;
步骤2:对获取到的网络数据进行识别;
步骤3:用已知的分布式拒绝服务网络攻击特征规则匹配网络数据,如果匹配进行报警,不匹配则对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行提取;
步骤4:对数据包速率、数据包速率增速、IP地址数量、IP地址增速参数进行模糊化;
步骤5:根据知识库和规则库对输入进行模糊推理;
步骤6:对推理结果进行去模糊化;
步骤7:根据推理结果选择是否告警;
其特征在于,
所述步骤1中,从网络中通过以下两种方式采集网络数据包:
1)采用网络嗅探方式获取网络数据包,所述嗅探方式是指将网络设备的网卡设置为混杂模式,通过调用网络截包工具来捕获所在线路的网络数据包;
2)通过网络端口镜像功能获取网络数据包,所述端口镜像方式是指将将网络设备的采集端口映射到另一端口,数据实现实时拷贝,从而实现数据包采集;
所述步骤2和步骤3具体包括以下步骤:
1)可配置过滤网络数据包的源和目的地址的ip、端口、协议,默认不进行过滤;
2)用报文格式库已知的传输协议匹配捕获的网络数据包格式,得到识别结果;
3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP地址数量、增速计算;
4)提取计算得到的参数。
2.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方法,其特征在于,所述步骤4中模糊化是将输入的精确数值转换成模糊量,具体过程为:尺度变化,将输入变量由基本论域变换到各自的论域范围,将变换后的输入量进行模糊化,使精确的输入量变成模糊量,并用相应的模糊集来表示。
3.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方法,其特征在于,所述步骤5中,知识库为数据库,主要包括各语言变量的隶属函数,尺度变换因子及模糊空间的分级数;规则库包括用模糊语言变量表示的一系列控制规则,它们反映了控制专家的经验和知识,所述模糊推理模拟人的基于模糊概念的推理能力,根据输入的速率以及速率增量进行模糊推理,得到推理结果;所述步骤6中,去模糊化是将模糊推理得到的模糊控制量变化为实际用于控制的清晰量,包括将模糊量经清晰化变换成论域范围的清晰量以及将清晰量经尺度变换成实际的网络攻击指示信息。
4.根据权利要求1所述基于模糊推理的分布式拒绝服务网络攻击检测方法,其特征在于,所述步骤7中,根据模糊推理结果匹配已有的攻击特征,如果匹配则进行报警。
5.一种基于模糊推理的分布式拒绝服务网络攻击检测系统,包括:
用于从网络中获取网络数据包的网络数据包采集模块;
用于对所获取网络数据包进行识别以得到流量属性信息的报文格式识别模块;
用于将所述流量属性信息模糊化并进行模糊推理及去模糊化的模糊推理模块;
以及用于根据模糊推理模块的推理结果进行报警的监控报警模块;
其特征在于,所述报文格式识别模块对网络数据包采集模块发送的网络数据包进行过滤和分析识别,包括:
1)报文格式识别模块系统参数初始化,可配置过滤网络数据包的源和目的地址的ip、端口、协议,默认不进行过滤;
2)用报文格式库已知的传输协议匹配捕获的网络数据包格式,得到识别结果;
3)对初始化时参数设置的网络数据包进行速率、速率增速计算以及IP地址数量、增速计算;
4)将网络数据包格式、速率、数据包速率增速、IP地址数量、IP地址增速发送给模糊推理模块。
6.根据权利要求5所述基于模糊推理的分布式拒绝服务网络攻击检测系统,其特征在于,所述网络指计算机通信交换数据使用的网络,形式上包括广域网骨干网络和交换式以太局域网络,所述网络数据包采集模块对所在线路的网络数据包进行全部采集,之后将获取到的网络数据包发给报文格式识别模块。
7.根据权利要求5所述基于模糊推理的分布式拒绝服务网络攻击检测系统,其特征在于,所述模糊推理模块基于模糊推理,包括:
1)模糊化,将输入的精确数值转换成模糊量,具体过程为:尺度变化,将输入变量由基本论域变换到各自的论域范围,将变换后的输入量进行模糊化,使精确的输入量变成模糊量,并用相应的模糊集来表示,根据网络数据包采集模块获取到的数据包格式将数据包速率、数据包速率增速、IP地址数量、IP地址增速进行模糊化;
2)知识库:即数据库,主要包括各语言变量的隶属函数,尺度变换因子及模糊空间的分级数;
3)规则库:包括了用模糊语言变量表示的一系列控制规则,它们反映了控制专家的经验和知识;
4)模糊推理:模拟人的基于模糊概念的推理能力,根据输入的速率以及速率增量进行模糊推理,得到推理结果;
5)去模糊化:将模糊推理得到的模糊控制量变化为实际用于控制的清晰量,包括:将模糊量经清晰化变换成论域范围的清晰量,将清晰量经尺度变换成实际的网络攻击指示信息。
8.根据权利要求5所述基于模糊推理的分布式拒绝服务网络攻击检测系统,其特征在于,所述的报警模块根据模糊推理结果和报文格式识别模块匹配已有的攻击特征,若匹配或者部分匹配则进行报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610210663.5A CN105827611B (zh) | 2016-04-06 | 2016-04-06 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610210663.5A CN105827611B (zh) | 2016-04-06 | 2016-04-06 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105827611A CN105827611A (zh) | 2016-08-03 |
CN105827611B true CN105827611B (zh) | 2018-12-28 |
Family
ID=56526744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610210663.5A Active CN105827611B (zh) | 2016-04-06 | 2016-04-06 | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105827611B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106355095B (zh) * | 2016-11-23 | 2018-10-19 | 吉林大学 | 利用模糊理论对欺诈网页识别的方法 |
CN108289077B (zh) * | 2017-01-09 | 2021-09-21 | 中兴通讯股份有限公司 | 一种对web服务器安全性进行模糊检测分析的方法及装置 |
CN112416976A (zh) * | 2020-11-18 | 2021-02-26 | 简和网络科技(南京)有限公司 | 基于分布式多级协同的分布式拒绝服务攻击监控系统及方法 |
CN112688938B (zh) * | 2020-12-22 | 2023-09-29 | 太原微木智能装备有限公司 | 基于攻防模式的网络性能测量系统及方法 |
CN113596001B (zh) * | 2021-07-19 | 2023-04-28 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及系统 |
CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
CN104125112A (zh) * | 2014-07-29 | 2014-10-29 | 西安交通大学 | 基于物理-信息模糊推理的智能电网攻击检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
-
2016
- 2016-04-06 CN CN201610210663.5A patent/CN105827611B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及系统 |
CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
CN104125112A (zh) * | 2014-07-29 | 2014-10-29 | 西安交通大学 | 基于物理-信息模糊推理的智能电网攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105827611A (zh) | 2016-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105827611B (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
Tang et al. | MF-Adaboost: LDoS attack detection based on multi-features and improved Adaboost | |
Sangkatsanee et al. | Practical real-time intrusion detection using machine learning approaches | |
CN110138787A (zh) | 一种基于混合神经网络的异常流量检测方法及系统 | |
Peng et al. | Network intrusion detection based on deep learning | |
CN109063745A (zh) | 一种基于决策树的网络设备类型识别方法及系统 | |
CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
CN105847283A (zh) | 一种基于信息熵方差分析的异常流量检测方法 | |
Srivastav et al. | Novel intrusion detection system integrating layered framework with neural network | |
CN110691073A (zh) | 一种基于随机森林的工控网络暴力破解流量检测方法 | |
CN112822189A (zh) | 一种流量识别方法及装置 | |
CN113206860A (zh) | 一种基于机器学习和特征选择的DRDoS攻击检测方法 | |
CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
CN106254318A (zh) | 一种网络攻击分析方法 | |
CN111698209A (zh) | 一种网络异常流量检测方法及装置 | |
Yao et al. | Multi-source alert data understanding for security semantic discovery based on rough set theory | |
Hoyos Ll et al. | Distributed denial of service (DDoS) attacks detection using machine learning prototype | |
Kong et al. | Identification of abnormal network traffic using support vector machine | |
CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
Yong et al. | A novel approach to network security situation awareness based on multi-perspective analysis | |
US20200059484A1 (en) | Protocol-independent anomaly detection | |
Zhang et al. | Network traffic anomaly detection based on ML-ESN for power metering system | |
Xia et al. | Intrusion detection system based on principal component analysis and grey neural networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |