CN105978916A - 一种sdn网络的安全审计系统 - Google Patents
一种sdn网络的安全审计系统 Download PDFInfo
- Publication number
- CN105978916A CN105978916A CN201610567165.6A CN201610567165A CN105978916A CN 105978916 A CN105978916 A CN 105978916A CN 201610567165 A CN201610567165 A CN 201610567165A CN 105978916 A CN105978916 A CN 105978916A
- Authority
- CN
- China
- Prior art keywords
- event
- security audit
- security
- sdn
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开一种SDN网络的安全审计系统,包括:所述事件生成模块,用于将网络中与安全有关状态信息转换为预设格式的安全审计事件,事件存储模块,用于安全审计事件存储到数据库中;事件分析模块,用于从数据库中对安全审计事件进行DDoS攻击回溯分析,能够分析出DDoS攻击中的攻击者和僵尸主机集合,同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为。采用本发明的技术方案,可对SDN网络中与安全有关的活动进行记录,建立网络中的安全审计事件数据库,根据安全审计数据能分析出网络中的安全事件过程,为网络管理员分析和识别攻击行为提供有力的证据。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种SDN网络的安全审计系统。
背景技术
SDN的安全问题根据其网络架构特征,主要集中在控制平面,数据平面以及控制平面和数据平面之间的通信。控制平面主要研究SDN控制器的安全性,控制器集中管控的特性提高网络部署与管理的效率,也引出一些安全隐患,如目前收到研究者关注的控制器可靠性和健壮性的问题目,控制器成为网络的核心后,更要考虑控制器故障造成的损失及安全事故。数据平面的安全问题如恶意流量的注入造成未知流量引发大量PACKET_IN消息发往控制器会造成控制器资源耗尽出现DoS攻击,此外数据平面的流表规则一致性问题、防篡改问题也备受研究者关注。控制平面和数据平面的通信安全方面目前很多控制器都提供TSL协议来保证通信的安全,同时也有较多研究者关注控制器和交换机之间的可信认证。
目前SDN网络中的安全审计方面的研究尚属少数,基本思路多围绕控制器自身安全性进行探讨。还没有一个完整的对SDN网络状态进行监控采集和分析的系统,这是目前SDN网络安全研究方面的一个空缺,而少数研究者提到的SDN网络的安全审计也仅仅涉及了事件的采集并没有对事件的分析。
发明内容
本发明要解决的技术问题是,提供一种SDN网络的安全审计系统,以解决SDN网络中状态采集、事件生成、事件分析的问题。
为解决上述问题,本发明采用如下的技术方案:
一种SDN网络的安全审计系统包括:
事件生成模块,用于将网络中与安全有关状态信息转换为预设格式的安全审计事件;
事件存储模块,用于所述安全审计事件存储到数据库中;
事件分析模块,用于调用数据库中对安全审计事件进行DDoS攻击回溯分析,分析出DDoS攻击中的攻击者,同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为。
作为优选,还包括:自动响应模块,用于根据事件分析模块发送的备份指令,将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。
作为优选,还包括:事件浏览模块,用于呈现数据库中所述安全审计事件以及事件分析模块的分析结果。
作为优选,所述事件分析模块采用滑动分割算法对安全审计事件进行分析提取用户网络访问记录中体现出的网络访问行为模式,
作为优选,所述事件分析模块采用基于Levenshtein算法的模式相似度计算方法,通过模式之间的相似度来衡量行为模式是否为异常或正常。
作为优选,所述安全审计事件的预设格式包含:源IP地址、目的IP地址、源端口、目的端口、所属协议、数据包数目、字节数目。
作为优选,所述事件存储模块采用MySQL数据库进行存储。
本发明的SDN网络的安全审计系统包括:事件生成模块,用于将网络中与安全有关状态信息转换为预设格式的安全审计事件,事件存储模块,用于安全审计事件存储到数据库中;事件分析模块,用于调用数据库对安全审计事件进行DDoS攻击回溯分析,能够分析出DDoS攻击中的攻击者,同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为;自动响应模式,用于将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。采用本发明的技术方案,可对SDN网络中与安全有关的活动进行记录,建立网络中的安全审计事件数据库,根据安全审计数据能分析出网络中的安全事件过程,为网络管理员分析和识别攻击行为提供有力的证据。
附图说明
图1为本发明SDN网络的安全审计系统的结构示意图。
图2为DDoS攻击时序图;
图3为自动响应模块工作原理图;
图4为自动响应模块引流功能示意图。
具体实施方式
以下结合具体实施例,并参照附图,对本发明进一步详细说明。
如图1所示,本发明提供一种SDN网络的安全审计系统包括:事件生成模块、事件存储模块、事件分析模块、事件浏览模块以及自动响应模块。
事件生成模块,位于Floodlight控制器中,用于将网络中与安全有关状态信息转换为预设格式的安全审计事件,所述安全审计事件预设格式为:
flow(src_ip,dst_ip,src_port,dst_port,protocol,packet_count,byte_count),其中,src_ip为源IP地址,dst_ip为目的IP地址,src_port为源端口,dst_port为目的端口,protocol为所属协议,packet_count为数据包数目,byte_count为字节数目。
事件存储模块,位于Floodlight控制器中,用于所述安全审计事件存储到数据库中,作为优选,所述事件存储模块采用MySQL数据库进行存储;
事件分析模块,独立于Floodlight控制器,用于调用数据库中对安全审计事件进行DDoS攻击回溯分析,分析出DDoS攻击中的攻击者,同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为;优先地,采用滑动分割算法对安全审计事件进行分析提取用户网络访问记录中体现出的网络访问行为模式,采用基于Levenshtein算法的模式相似度计算方法,通过模式之间的相似度来衡量行为模式是否为异常或正常。
自动响应模块,位于Floodlight控制器中,具有引流备份功能,用于根据事件分析模块发送的备份指令,将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。
事件浏览模块,独立于Floodlight控制器,用于呈现数据库中所述安全审计事件以及事件分析模块的分析结果,提供事件的查询和检索服务,可根据时间和事件属性字段进行查询和检索事件记录。
所述事件分析模块对安全审计事件进行DDoS攻击回溯分析,具体过程如下:
Floodlight控制器通过事件生成模块对流建立请求PACKET_IN报文进行解析,获取相关流记录信息,控制器实时不间断地解析PACKET_IN报文记录流信息:控制器实时不间断地把网络的中所有网络访问记录(流记录)均存储到审计数据存储中心的数据库中,当检测到DDoS攻击时立即调用攻击回溯算法进行回溯追踪确定僵尸主机集合ZH和攻击者Attacker。
如图2所示,攻击从t0时刻开始,在[t0,ts]时间段,攻击者Attacker主动向ZH发起通信目的在于向ZH下达攻击命令,在[ts,tdetect]时间段接收到Attacker下达的攻击命令后ZH中的主机成员开始向目标主机th发送大量的报文(如,UDP报文)。在tdetect时刻系统中检测到DDoS攻击出现被立即调用攻击回溯算法。
攻击回溯过程描述:
第一步、确定僵尸主机集合ZHset,通过以下公式确定可能的僵尸主机集合,即
ZHset={src_ip|flowLogi[dst_ip]==th_ip&&flow_volumei>MaxVolume,
flowLogi∈flowLogSetattack,src_ip∈flowLogi,i=1,2,...|flowLogSetattack|}
其中,flowLogSetattack为[tdetect-Δtattack,tdetect]时间段内的所有网络流记录,flowLogi[dst_ip]即为该条流记录中的目的地址,th_ip表示目标主机的IP地址,flow_volumei表示从flowLogi[src_ip]到flowLogi[dst_ip]单向流量,可以用packet_count或byte_count作为计量单位来计算。若单向流量flow_volumei超过预设的阈值MaxVolume并且该条流记录的目的IP地址为目标主机的IP地址则该条流记录中的源IP地址将被加入到ZHset中,目标主机的IP地址由DDoS攻击检测模块提供或者直接有被攻击主机提供。
第二步、确定攻击者,当发生DDoS攻击时攻击者至少和僵尸主机集合中的每台主机通信一次,因此,在[tdetect-Δtattack-Δtsetup_attack,ts]时间段内的流记录中和ZHset通信次数最频繁的主机最有可能是攻击者。通过ZHset和[tdetect-Δtattack-Δtsetup_attack,ts]时间段内的流记录flowLogSetsetup_attack通过以下公式可以确定出幕后的DDoS攻击者集合attackHostSet,即
攻击回溯算法伪代码如表1:
表1攻击回溯算法
如表1中描述Δtsetup_attack=(2i-1-1)×Δtattack(i=0,1,...),根据i的取值发生扩展直到攻击者的集合不为空,即确定了可能的攻击者集合算法则终止,该回溯算法的时间复杂度主要决定于审计数据库中流记录的条目数量,时间复杂度为Ο(n)。
事件分析模块采用基于Levenshtein算法的模式相似度计算方法,通过模式之间的相似度来衡量行为模式是否为异常或正常,具体过程如下:
两个字符串之间的相似度通过编辑距离(Levenshtein distance)来度量。Levenshtein距离由俄国科学家Levenshtein最先提出,指两个字符串之间,由一个字符串转换成另一个字符串所需的最少编辑操作次数,编辑操作包括替换、插入、删除,而每种不同的操作具有不同的权值,根据权值来计算相似度,权值是可以自定义的,一般情况(默认情况下)三种操作的权值均为1。
设有两个字符串S和T:S=s1s2...sm,T=t1t2...tm。首先建立一个(m+1)×(n+1)阶矩阵LD来表示S和T的匹配关系,LD也称匹配关系矩阵,一般情况下,第1列表示S,第1行表示T,LD(m+1)×(n+1)={dij}(0≤i≤m,0≤j≤n)。
由式(1)进行初始化填充矩阵LD:
其中:
矩阵LD最右下角的元素dmn即是字符串S和T之间的Levenshtein距离,记作ld。ld直观的代表了字符串S转换到字符串T所需要最少编辑操作次数。算法时间复杂度Ο(m*n),m和n分别为字符串S和T的长度。
两个字符串之间的编辑距离(LD距离)可看作两个字符串相似度的一种度量,LD距离越小则相似度越大,基于编辑距离计算两个字符串相似度的公式如下:其中,ld用来表示两个字符串之间的Levenshtein距离,m和n分别是两个字符串的长度,similarity的值越大表示两个字符串之间的相似度越高。如两个字符串S1='CD',S2='CE',则similarity(S1,S2)=0.5。字符串可看作元素为字符的数组,而相应的用户行为模式(序列模式)可以看作元素是字符串的数组,这个数组中的一个元素代表了一个基本操作(用户行为)。由此可以将Levenshtein算法扩展应用到序列模式相似度的计算上来,其中的区别仅仅是原Levenshtein算法针对的是比较字符串中单个字符是否相同,而扩展到序列模式相似度计算时变成了比较序列模式中单个序列元素(一个用户行为)是否相同,而单个序列模式自身是一个字符串的形式存在,这样本质上就是由比较单个字符是否相同扩展成了比较单个字符串是否相同。如果两个序列模式seq1=['mail','cd','vi.c','gcc'],seq2=['mail','cd','ls','vi.c','gcc']计算它们之间的相似度similarity(seq1,seq2)=0.8。
综上所述,基于Levenshtein算法计算两个序列模式的相似度是可行的,一个序列中由于序列元素之间存在一定的相关性,这种相关性直观体现在它们的排列顺序上,只要序列中元素排列顺序发生改变则计算出来相似度很接近零,这是符合序列模式自身特性的,因此公式对于计算序列模式相似度是具备普遍适用性的。本发明采用此方法计算出两个序列模式的相似度,并用相似度来完成序列模式之间的比较。
所述自动响应模块的引流备份具体过程如下:
如图3所示,自动响应模块接收安全审计分析模块发出的命令及参数并执行响应操作,自动响应模块将自身具备的功能以REST API的形式作为服务(Service)接口向外部开放,这样安全审计分析模块调用其REST API触发自动响应模块执行相应的操作。此外,其他网络安全设备也能利用该模块提供的REST API接口调用该模块提供的功能服务。
如图4所示,假设在某时刻检测到交换机SW1的端口1流量异常,此时要求对SW1的端口1的流量进行镜像处理,将流量引到和SW5相连的DataBase,这里的DataBase是广义上的DataBase可用来存储流量数据。此刻,交换机SW1端口1所连接的PC1正在和SW3端口3相连的PC3进行通信(可能为异常通信行为),PC1和PC3进行通信时控制器计算两者之间的通信路径为Path1(PC1,PC3)=[PC1,SW1-1,SW1-2,SW3-1,SW3-3,PC3],并按照该路径Path1向SW1和SW3下发流表项(Normal Flow Entry)。
考虑到需要将SW1端口1的流量引到DataBase进行备份处理,首先控制器需要计算PC1到DataBase的通信路径,通信路径为:
Path2(PC1,DataBase)=[PC1,SW1-1,SW1-2,SW3-1,SW3-2,SW4-1,SW4-2,SW5-1,SW5-2,DataBase],计算出该路径之后需要对比Path1和Path2发现两条路径有重合点SW3,因此在SW3上安装特殊流表项(Special Flow Entry),该流表项能将数据正常转发给PC3的同时拷贝一份转发给DataBase,实现该项功能只要将流表项中的output操作指令指向多个端口即可,如本例中output=SW3-3,SW3-2,将数据分别访问SW3的端口3(给PC3)和端口2(给SW4);下发特殊流表项之后需要按照Path2中重合点之后的路径安装正常的流表项保证在SW3(重合点)上拷贝的数据包能顺利转发到DataBase,Path2中重合点之后的路径为Path2’=[SW4-1,SW4-2,SW5-1,SW5-2,DataBase]。
采用本发明的技术方案,事件分析模块从数据库中查询事件记录数据并按照分析算法进行事件分析,如分析用户行为模式等,同时根据分析的结果向自动响应模块发送备份指令,自动响应模块接收到事件分析模块的指令后执行响应操作。事件分析模块将分析的结果发送该事件浏览模块,事件浏览模块除了给用户呈现数据库中的安全审计事还呈现事件分析模块提交的分析结果。应用层中的第三方应用,如第三方入侵检测系统等能调用控制器中的自动响应模块提供的服务,当第三方应用检测出系统中存在安全攻击行为时能通过自动响应模块提供的外部接口(REST API)让自动响应模块执行响应操作。第三方应用也能和事件分析模块进行交互,如第三方应检测出系统中存在安全威胁时可以通知事件分析模块进行对系统中的事件记录数据进行审计分析,并将审计分析的结果反馈给第三方应用,第三方应用根据此结果执行相应的响应操作。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (7)
1.一种SDN网络的安全审计系统,其特征在于,包括:
事件生成模块,用于将网络中与安全有关状态信息转换为预设格式的安全审计事件;
事件存储模块,用于所述安全审计事件存储到数据库中;
事件分析模块,用于调用数据库中对安全审计事件进行DDoS攻击回溯分析,分析出DDoS攻击中的攻击者,同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为。
2.如权利要求1所述的SDN网络的安全审计系统,其特征在于,还包括:自动响应模块,用于根据事件分析模块发送的备份指令,将可疑流量重定向到指定的存储中心进行存储以备后续的流量分析。
3.如权利要求2所述的SDN网络的安全审计系统,其特征在于,还包括:事件浏览模块,用于呈现数据库中所述安全审计事件以及事件分析模块的分析结果。
4.如权利要求1所述的SDN网络的安全审计系统,其特征在于,所述事件分析模块采用滑动分割算法对安全审计事件进行分析提取用户网络访问记录中体现出的网络访问行为模式。
5.如权利要求所述的SDN网络的安全审计系统,其特征在于,所述事件分析模块采用基于Levenshtein算法的模式相似度计算方法,通过模式之间的相似度来衡量行为模式是否为异常或正常。
6.如权利要求1所述的SDN网络的安全审计系统,其特征在于,所述安全审计事件的预设格式包含:源IP地址、目的IP地址、源端口、目的端口、所属协议、数据包数目、字节数目。
7.如权利要求1所述的SDN网络的安全审计系统,其特征在于,所述事件存储模块采用MySQL数据库进行存储。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610567165.6A CN105978916A (zh) | 2016-07-19 | 2016-07-19 | 一种sdn网络的安全审计系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610567165.6A CN105978916A (zh) | 2016-07-19 | 2016-07-19 | 一种sdn网络的安全审计系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105978916A true CN105978916A (zh) | 2016-09-28 |
Family
ID=56951730
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610567165.6A Pending CN105978916A (zh) | 2016-07-19 | 2016-07-19 | 一种sdn网络的安全审计系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105978916A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357470A (zh) * | 2016-11-15 | 2017-01-25 | 中国电子科技集团公司第四十研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
CN107086967A (zh) * | 2017-04-19 | 2017-08-22 | 济南浪潮高新科技投资发展有限公司 | 一种报文数据审计电路及方法 |
CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
CN108173884A (zh) * | 2018-03-20 | 2018-06-15 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
CN110798429A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的威胁追捕方法、装置及设备 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
CN103227798A (zh) * | 2013-04-23 | 2013-07-31 | 西安电子科技大学 | 一种免疫网络系统 |
CN105337958A (zh) * | 2015-09-24 | 2016-02-17 | 陈鸣 | 一种基于OpenFlow流的网络安全审计、接入系统和方法 |
-
2016
- 2016-07-19 CN CN201610567165.6A patent/CN105978916A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
CN103227798A (zh) * | 2013-04-23 | 2013-07-31 | 西安电子科技大学 | 一种免疫网络系统 |
CN105337958A (zh) * | 2015-09-24 | 2016-02-17 | 陈鸣 | 一种基于OpenFlow流的网络安全审计、接入系统和方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357470A (zh) * | 2016-11-15 | 2017-01-25 | 中国电子科技集团公司第四十研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
CN106357470B (zh) * | 2016-11-15 | 2019-09-10 | 中国电子科技集团公司第四十一研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
CN106973051B (zh) * | 2017-03-27 | 2019-11-19 | 山石网科通信技术股份有限公司 | 建立检测网络威胁模型的方法、装置和存储介质 |
CN107086967A (zh) * | 2017-04-19 | 2017-08-22 | 济南浪潮高新科技投资发展有限公司 | 一种报文数据审计电路及方法 |
CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
CN108173884A (zh) * | 2018-03-20 | 2018-06-15 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
CN110798429A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的威胁追捕方法、装置及设备 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113179241B (zh) * | 2021-03-01 | 2022-06-17 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105978916A (zh) | 一种sdn网络的安全审计系统 | |
Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
CN112102111B (zh) | 一种发电厂数据智能处理系统 | |
Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
US10735456B2 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
IL275042A (en) | Security monitoring Level of application programming programming with self-adaptation | |
CN108229181A (zh) | 非交互式模型中的差分隐私和孤立点检测 | |
CN108429651A (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
CN101751535A (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
CN109313689A (zh) | 检测容量耗尽攻击 | |
CN105471875A (zh) | 一种计算机网络监控系统 | |
CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
CN112385196B (zh) | 用于报告计算机安全事故的系统和方法 | |
CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN109040130A (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
CN108833372A (zh) | 一种企业网络安全管理云服务平台系统 | |
CN113168469B (zh) | 用于行为威胁检测的系统及方法 | |
Wang et al. | A centralized HIDS framework for private cloud | |
CN103309937A (zh) | 一种云平台内容监管的方法 | |
US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160928 |