CN106027559A - 基于网络会话统计特征的大规模网络扫描检测方法 - Google Patents
基于网络会话统计特征的大规模网络扫描检测方法 Download PDFInfo
- Publication number
- CN106027559A CN106027559A CN201610523216.5A CN201610523216A CN106027559A CN 106027559 A CN106027559 A CN 106027559A CN 201610523216 A CN201610523216 A CN 201610523216A CN 106027559 A CN106027559 A CN 106027559A
- Authority
- CN
- China
- Prior art keywords
- return value
- request
- abnormal
- network
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法,属于互联网安全技术领域。本发明对捕获的原始网络数据,按协议类型筛选分类;再从数据中还原每个会话,将会话按照源IP聚类;统计每个IP所有会话的异常返回值数目,计算出异常返回值与正常返回值的数目比值;分析每个IP所有会话的请求模式,观察异常返回值对应的请求模式是否一致;根据比值和请求模式判断是否有攻击行为,当有攻击行为时,获取攻击者和攻击目标的IP信息,并相应地做出处理措施。本发明的实际可行性十分高,检测方法具有普遍性,可以识别出攻击者对任意IP做扫描的情况,并有机率检测未知的攻击方式。
Description
技术领域
本发明属于互联网安全技术领域,具体是指一种基于网络会话统计特征的大规模网络扫描检测方法。
背景技术
随着互联网的不断发展和计算机技术的普及,全球经济增长越来越快,人们的生活也越来越便利,但与此同时也带来了各式各样的网络安全问题与隐患。互联网技术的发展使得网络攻击的风险性与机会日益增多,而一旦发生大规模的网络攻击行为,其造成后果也将越严重。如何做好网络安全防御工作越来越被人们所重视。应对网络攻击的最理想方法即是建立一个完全安全的系统,但这样要求所有的用户都能认证自己且得采用各种各样的加密方法和访问控制措施来保护数据,这在实际看来是几乎不可能的事。基于此,网络攻击检测技术对于网络安全就显得十分重要了,只要在网络流量中存在恶意行为时,能够最大限度且准确地检测到,然后采取相对应的处理措施,便能将这一恶意行为造成的影响降得尽可能低。
黑客在做网络攻击时,扫描往往是第一步。要完成一次成功的网络攻击,首先就是要收集目标的各种信息,然后攻击者可以根据这些信息对目标进行分析,找到目标系统存在的漏洞,从而便能利用这些漏洞或权限进行下一步行动。如果能检测到黑客的扫描行为,就可以在攻击还没造成实质性危害时修复漏洞,预防接下来可能的攻击行为。但随着大数据时代的来临,相应产生的网络流量也在急剧增加,如何鉴别异常流量,并在这海量数据中准确而高效地检测出扫描攻击行为,是现在网络安全领域中的一大难题。
目前,关于通过流量分析网络当中存在的网络恶意行为的研究已经有一部分成果。有许多文献从不同角度提出了网络攻击检测的方法。对已有的文献进行检索、比较和分析,筛选出了如下几篇与网络攻击检测相关的技术信息:
参考文献1:张萌萌在2011年9月28日公开的《用于网络入侵检测系统的快速匹配方法》,提出了一种基于snort规则的快速字符串匹配方法,利用网络正常数据流几乎不与任何病毒数据名相匹配的事实,来检测出网络入侵行为。
参考文献2:王平辉、郑庆华、牛国林等在2008年4月21日公开的《基于流量统计特征的端口扫描检测算法》中,以主机数和端口数的比值及被访问主机端口集合之间的相似度为基础,采用非参数累积和cusum方法对流量统计特征进行分析,判断是否有端口扫描行为。
目前很多文献都详细分析了网络攻击的方式,针对这些方式,只是提出了一系列防范的思路,但许多思路并未应用到实际中,可用性较差。另外,很多文献提出来的攻击检测方法只能检测出针对某个单一系统或目标的攻击行为。面对大规模的网络扫描攻击,解决方案并不是很多。并且已有的很多网络攻击检测技术只能针对某一种特定的攻击方式进行检测,例如参考文献2中提出的方案只能检测出针对端口的扫描,有一定的局限性。
发明内容
本发明的主要目的在于提供一种基于网络会话统计特征的大规模扫描行为的检测方法,分析网络中的会话,利用在实际中总结出的大规模网络扫描行为特征,对攻击检测问题进行分解与简化,判断流量中是否有攻击数据,并识别出攻击行为,同时尽可能地提高判断准确率、降低误报率。
本发明提供的基于网络会话统计特征的大规模扫描行为的检测方法,包括如下步骤:
步骤101:从节点捕获原始网络数据流;
步骤102:按协议类型将数据进行筛选分类;
步骤103:从数据中还原每个会话,将会话按照不同源IP聚成不同的类;
步骤104:统计每个IP所有会话的异常返回值数目M,并计算出异常返回值与正常返回值的数目比值K;M、K均为正数;
用户可针对不同协议自定义请求模式和异常返回值;
步骤105:分析每个IP所有会话的请求模式,观察异常返回值对应的请求模式是否一致;
步骤106:判断数据中是否攻击行为,如果有,执行步骤107;如果没有,转步骤108执行;
步骤107:获取攻击者和攻击目标的IP信息,并相应地做出处理措施;
步骤108:检测结束。
所述的步骤106中,判断是否有攻击行为具体方法是:设定阈值A和阈值B,A、B均为正数,当异常返回值数目超过阈值A,且比值K超过阈值B时,进一步查看异常返回值对应的请求模式是否达到90%的一致,若是,认为存在异常流量,有攻击行为;否则,认为没有攻击行为。
利用本发明提供的方法进行网络扫描检测,具有以下优点与积极效果:
(1)本发明方法的实际可行性十分高,可以将检测的每一个步骤都实现至计算机程序当中,从而实现自动化检测功能,效率比起人工检测要高很多,且可以节省资源。
(2)本发明方法并不只是针对会话中特定的字段来进行检测,只要是有返回值和请求模式的协议会话,均可使用本发明方法来检测,具有普遍性。
(3)本发明方法中并没有对流量中的IP做限制,它可以识别出攻击者对任意IP做扫描的情况,从而可以检测出大规模的网络扫描行为。
(4)由于本方法并不针对某种特定的已知的攻击模式来检测,从而有机率检测未知的攻击方式。
附图说明
图1是本发明的基于网络会话统计特征的大规模网络扫描检测方法流程示意图。
具体实施方式
下面将结合附图和实例对本发明作进一步的详细说明。
本发明通过分析总结出了黑客针对不同协议进行扫描的行为特征,将关注点锁定在流量中的返回值和请求模式上。针对这两点,提出了基于网络会话统计特征的大规模扫描检测方法。通过对异常返回值的定义和请求模式的比对,判断流量是否符合攻击行为特征,从而识别出可能存在的攻击行为。同时将网络扫描在请求时间上体现出来的特性,加入检测机制当中,提高了分析结果的准确率。
首先将抓取到的原始流量按网络协议进行分类,然后针对不同协议提出符合该协议的攻击特征,并将流量与攻击特征相匹配,当有流量满足特征时,则判断存在攻击行为,接着进一步分析该部分流量,得到攻击者和被攻击者的信息。
如图1所示,本发明的基于网络会话统计特征的大规模网络扫描检测方法包括步骤101~步骤108,各步骤描述如下:
步骤101:从节点捕获原始网络数据流;
步骤102:按协议类型将数据进行筛选分类,例如有HTTP(超文本传输协议)、FTP(文件传输协议)、IMAP(Internet邮件访问协议)、SNMP(简单网络管理协议)等协议;
步骤103:从数据中还原每个会话,将这些会话按照不同源IP聚成不同的类;
步骤104:统计每个IP所有会话的异常返回值数目,并计算出异常返回值与正常返回值的数目比值K;用户可针对不同协议自定义异常返回值和对应的请求模式。K为正数。
步骤105:分析每个IP所有会话的请求模式,观察异常返回值对应的请求模式是否一致;
步骤106:判断数据中是否攻击行为。如果有,则转步骤107;如果没有,则转步骤108;
步骤107:经分析后,拿到攻击者的IP、攻击者的攻击目标IP信息等;对攻击行为,则可相应地做出处理措施。
步骤108:本次检测结束。
只要协议对相同请求模式的不同请求结果均有相应返回值,即可使用本方法进行分类检测。
步骤104~105中,本发明针对HTTP、FTP、SNMP协议定义了相应请求模式和异常返回值,本发明定义的这几种返回值和请求模式应用到大规模网络扫描检查中均有较好的效果。
(1)HTTP协议:HTTP协议对应的返回值即为每次HTTP请求的返回值,包括200,302,304,401,403,404等,其中401,403,404定义为异常返回值;对应的请求模式为每次HTTP请求对应的URL(统一资源定位符)。即若某个IP发出的HTTP请求的URL基本相同,返回值却大部分异常,则符合攻击特征。
(2)FTP协议:FTP协议对应的返回值即为每次提交的返回FTP命令的返回值,包括230,220,210,150,331等,其中331(需要登陆账户),530(未登入)定义为异常返回值;对应的请求模式为不断输入用户名和密码,尝试连接FTP服务器。即若某IP在短时间内不断尝试登入不同FTP服务器,却未能成功,则认为它符合攻击特征。
(3)SNMP协议:每次SNMP请求都会对应一个oid,SNMP协议对应的请求模式即为每次snmp请求中相应的oid(系统的对象标识符),像IBM为{1.3.6.1.4.1.2},Cisco为{1.3.6.1.4.1.9},这些公司自己定义有各个系统资源的oid,有system,name,tcp等,例如1.3.6.1.4.1.1.2.1.4就代表系统用户名;对应的异常返回值为oid相应的返回信息(value)。即若某个IP不断对不同设备发送相同oid号的snmp request请求,且为同一个或者同几个oid,从而拿到一大堆系统或设备信息,则认为它符合攻击特征。
对于上面本申请对http、ftp、snmp这三种协议的定义,经实验,有较好的检测效果。其他协议的请求模式和异常返回值,分析人员可以参考这三种协议自行定义。
优选的,在步骤106中,本发明将采用以下机制来降低检测方法的误报率。首先,考虑到访问网站或者服务器出现异常的情况,只有在异常返回值比例较大时才认为流量中可能存在异常流量;设阈值A和阈值B,A、B均为正数,当异常返回值数目M超过阈值A,且比值K超过阈值B时,认为有可能存在异常流量。然后再判断异常返回值对应的请求模式是否基本一致,若达到90%的一致,则判定为存在大规模扫描,数据有攻击特征,请求发起者为攻击方。另外,通常攻击者使用辅助程序来做大规模扫描,这种程序扫描的流量和正常流量有一个较大的区别,即每次请求的时间间隔都很短,所以可以进一步的分析疑似流量的请求是否都集中在某一设定长度的时间内,若是,才认为这部分流量为攻击流量。
优选的,步骤106中,本发明统计了异常返回值数目,经分析统计,当异常返回值出现超过1000条,且比例超过70%时,认为有可能是在做大规模的扫描行为,存在攻击行为。
优选的,以上所有步骤均可通过程序来实现,只要将写好的程序部署在某个流量节点上,便可对这些流量进行自动化的检测。使用该程序检测比起人工检测,它具有处理海量数据的能力,检测的效率也比较高。
本发明的实例中,从某一单位的网口捕获到了该网口的所有数据流量,发现某一IP的HTTP请求的返回值中有许多404和401,然后按照本发明的检测步骤关注这些请求的URL,发现这些URL基本一致,均为login.html,且每次请求的时间间隔都很小,符合本发明定义的网络扫描特征,判断该部分流量为网络扫描流量,该IP为攻击者IP。
后对原始流量进行分析验证,发现该IP确实是利用了某特定型号的家用路由器漏洞在作做大规模的扫描。
Claims (4)
1.一种基于网络会话统计特征的大规模扫描行为的检测方法,其特征在于,实现步骤如下:
步骤101:从节点捕获原始网络数据流;
步骤102:按协议类型将数据进行筛选分类;
步骤103:从数据中还原每个会话,将会话按照不同源IP聚成不同的类;
步骤104:统计每个IP所有会话的异常返回值数目,并计算出异常返回值与正常返回值的数目比值K,K为正数;
步骤105:分析每个IP所有会话的请求模式,观察异常返回值对应的请求模式是否一致;
步骤106:判断数据中是否有攻击行为,如果有,执行步骤107;否则转步骤108执行;
判断是否有攻击行为具体方法是:设定阈值A和阈值B,A、B均为正数,当异常返回值数目超过阈值A,且比值K超过阈值B时,进一步查看异常返回值对应的请求模式是否达到90%的一致,若是,认为存在异常流量,有攻击行为;否则,认为没有攻击行为;
步骤107:获取攻击者和攻击目标的IP信息,并相应地做出处理措施;
步骤108:检测结束。
2.根据权利要求1所述的一种基于网络会话统计特征的大规模扫描行为的检测方法,其特征在于,所述的异常返回值与请求模式,在HTTP、FTP和SNMP协议中的定义如下:
(1)HTTP协议:HTTP协议对应的返回值为每次HTTP请求的返回值,定义异常返回值包括401、403和404;对应的请求模式为每次HTTP请求对应的URL,URL表示统一资源定位符;
(2)FTP协议:FTP协议对应的返回值为每次提交的返回FTP命令的返回值,定义异常返回值包括331和530;对应的请求模式为不断输入用户名和密码,尝试连接FTP服务器;
(3)SNMP协议:每次SNMP请求都会对应一个oid,oid为系统的对象标识符,SNMP协议的请求模式为每次snmp请求中相应的oid,对应的异常返回值为oid相应的返回信息;若某个IP不断对不同设备发送相同oid号的snmp request请求,且为同一个或者同几个oid,则认为它符合攻击特征。
3.根据权利要求1所述的一种基于网络会话统计特征的大规模扫描行为的检测方法,其特征在于,所述的步骤106中设置阈值A为1000条,阈值B为70%。
4.根据权利要求1所述的一种基于网络会话统计特征的大规模扫描行为的检测方法,其特征在于,所述的步骤106中,当异常返回值数目超过阈值A,且比值K超过阈值B,且异常返回值对应的请求模式达到90%的一致时,判断该数据流程的请求是否都集中在某一设定长度的时间内,若是,则判定该数据流量为攻击流量,否则,判定该数据流量不是攻击流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610523216.5A CN106027559B (zh) | 2016-07-05 | 2016-07-05 | 基于网络会话统计特征的大规模网络扫描检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610523216.5A CN106027559B (zh) | 2016-07-05 | 2016-07-05 | 基于网络会话统计特征的大规模网络扫描检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106027559A true CN106027559A (zh) | 2016-10-12 |
CN106027559B CN106027559B (zh) | 2019-07-05 |
Family
ID=57107946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610523216.5A Expired - Fee Related CN106027559B (zh) | 2016-07-05 | 2016-07-05 | 基于网络会话统计特征的大规模网络扫描检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106027559B (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850687A (zh) * | 2017-03-29 | 2017-06-13 | 北京百度网讯科技有限公司 | 用于检测网络攻击的方法和装置 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN107733873A (zh) * | 2017-09-19 | 2018-02-23 | 北京北信源软件股份有限公司 | 一种病毒预警系统和方法 |
CN108471430A (zh) * | 2018-07-03 | 2018-08-31 | 杭州安恒信息技术股份有限公司 | 一种物联网嵌入式安全防护方法及装置 |
CN108989294A (zh) * | 2018-06-28 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种准确识别网站访问的恶意用户的方法及系统 |
CN109274638A (zh) * | 2018-05-22 | 2019-01-25 | 四川斐讯信息技术有限公司 | 一种攻击源接入自动识别处理的方法和路由器 |
CN109951368A (zh) * | 2019-05-07 | 2019-06-28 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
CN110574349A (zh) * | 2017-02-27 | 2019-12-13 | 卡特伯德网络股份有限公司 | 网络系统的行为基线化 |
CN111835696A (zh) * | 2019-04-23 | 2020-10-27 | 阿里巴巴集团控股有限公司 | 一种检测异常请求个体的方法及装置 |
CN112953938A (zh) * | 2021-02-20 | 2021-06-11 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
CN114244632A (zh) * | 2022-02-24 | 2022-03-25 | 上海观安信息技术股份有限公司 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
CN114465764A (zh) * | 2021-12-24 | 2022-05-10 | 中孚信息股份有限公司 | 一种基于流量数据的端口扫描识别方法、系统及装置 |
CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN114826670A (zh) * | 2022-03-23 | 2022-07-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
CN115150182A (zh) * | 2022-07-25 | 2022-10-04 | 国网湖南省电力有限公司 | 基于流量分析的信息系统网络攻击检测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1931105A1 (fr) * | 2006-12-06 | 2008-06-11 | Societé Française du Radiotéléphone | Procédé et système de gestion de sessions multimédia, permettant de contrôler l'établissement de canaux de communication |
WO2009044660A1 (ja) * | 2007-10-02 | 2009-04-09 | Nippon Telegraph And Telephone Corporation | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
CN103997439A (zh) * | 2014-06-04 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种流量监测方法、装置和系统 |
CN105337985A (zh) * | 2015-11-19 | 2016-02-17 | 北京师范大学 | 一种攻击检测方法及系统 |
CN105553740A (zh) * | 2015-12-25 | 2016-05-04 | 北京奇虎科技有限公司 | 数据接口监控方法和装置 |
-
2016
- 2016-07-05 CN CN201610523216.5A patent/CN106027559B/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1931105A1 (fr) * | 2006-12-06 | 2008-06-11 | Societé Française du Radiotéléphone | Procédé et système de gestion de sessions multimédia, permettant de contrôler l'établissement de canaux de communication |
WO2009044660A1 (ja) * | 2007-10-02 | 2009-04-09 | Nippon Telegraph And Telephone Corporation | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
CN103997439A (zh) * | 2014-06-04 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种流量监测方法、装置和系统 |
CN105337985A (zh) * | 2015-11-19 | 2016-02-17 | 北京师范大学 | 一种攻击检测方法及系统 |
CN105553740A (zh) * | 2015-12-25 | 2016-05-04 | 北京奇虎科技有限公司 | 数据接口监控方法和装置 |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110574349A (zh) * | 2017-02-27 | 2019-12-13 | 卡特伯德网络股份有限公司 | 网络系统的行为基线化 |
CN106850687A (zh) * | 2017-03-29 | 2017-06-13 | 北京百度网讯科技有限公司 | 用于检测网络攻击的方法和装置 |
CN107733873A (zh) * | 2017-09-19 | 2018-02-23 | 北京北信源软件股份有限公司 | 一种病毒预警系统和方法 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN107454109B (zh) * | 2017-09-22 | 2020-06-23 | 杭州安恒信息技术股份有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN109274638A (zh) * | 2018-05-22 | 2019-01-25 | 四川斐讯信息技术有限公司 | 一种攻击源接入自动识别处理的方法和路由器 |
CN108989294A (zh) * | 2018-06-28 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种准确识别网站访问的恶意用户的方法及系统 |
CN108471430A (zh) * | 2018-07-03 | 2018-08-31 | 杭州安恒信息技术股份有限公司 | 一种物联网嵌入式安全防护方法及装置 |
CN111835696A (zh) * | 2019-04-23 | 2020-10-27 | 阿里巴巴集团控股有限公司 | 一种检测异常请求个体的方法及装置 |
CN111835696B (zh) * | 2019-04-23 | 2023-05-09 | 阿里巴巴集团控股有限公司 | 一种检测异常请求个体的方法及装置 |
CN109951368B (zh) * | 2019-05-07 | 2021-07-30 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN109951368A (zh) * | 2019-05-07 | 2019-06-28 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
CN112953938A (zh) * | 2021-02-20 | 2021-06-11 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN112953938B (zh) * | 2021-02-20 | 2023-04-28 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
CN113452707B (zh) * | 2021-06-28 | 2022-07-22 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
CN114465764B (zh) * | 2021-12-24 | 2024-02-20 | 中孚信息股份有限公司 | 一种基于流量数据的端口扫描识别方法、系统及装置 |
CN114465764A (zh) * | 2021-12-24 | 2022-05-10 | 中孚信息股份有限公司 | 一种基于流量数据的端口扫描识别方法、系统及装置 |
CN114244632A (zh) * | 2022-02-24 | 2022-03-25 | 上海观安信息技术股份有限公司 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
CN114244632B (zh) * | 2022-02-24 | 2022-05-03 | 上海观安信息技术股份有限公司 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
CN114826670A (zh) * | 2022-03-23 | 2022-07-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
CN114826670B (zh) * | 2022-03-23 | 2024-03-29 | 国家计算机网络与信息安全管理中心 | 一种分析网络流量检测大规模恶意代码传播的方法 |
CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN114760216B (zh) * | 2022-04-12 | 2023-12-05 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN115150182A (zh) * | 2022-07-25 | 2022-10-04 | 国网湖南省电力有限公司 | 基于流量分析的信息系统网络攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106027559B (zh) | 2019-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106027559A (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
McHugh | Intrusion and intrusion detection | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
Seufert et al. | Machine learning for automatic defence against distributed denial of service attacks | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN106302450B (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
CN106650436A (zh) | 一种基于局域网的安全检测方法和装置 | |
Sabri et al. | Identifying false alarm rates for intrusion detection system with data mining | |
Riadi et al. | Internet forensics framework based-on clustering | |
CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
Ádám et al. | Artificial neural network based IDS | |
Sharma et al. | BotMAD: Botnet malicious activity detector based on DNS traffic analysis | |
US20210367958A1 (en) | Autonomic incident response system | |
Chakir et al. | An efficient method for evaluating alerts of Intrusion Detection Systems | |
Kumar et al. | Intrusion detection system-false positive alert reduction technique | |
Moustafa et al. | RCNF: Real-time collaborative network forensic scheme for evidence analysis | |
Sharma et al. | A detection algorithm for DoS attack in the cloud environment | |
Siraj et al. | A cognitive model for alert correlation in a distributed environment | |
El‐Hajj et al. | Updating snort with a customized controller to thwart port scanning | |
Gupta | Comparison of classification algorithms to detect phishing web pages using feature selection and extraction | |
CN106993005A (zh) | 一种网络服务器的预警方法及系统 | |
Gupta et al. | FVBA: A combined statistical approach for low rate degrading and high bandwidth disruptive DDoS attacks detection in ISP domain | |
Lee et al. | DGA-based malware detection using DNS traffic analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190705 Termination date: 20200705 |
|
CF01 | Termination of patent right due to non-payment of annual fee |