CN107409124B - 检测对网络的攻击的系统、方法和计算机可读存储介质 - Google Patents
检测对网络的攻击的系统、方法和计算机可读存储介质 Download PDFInfo
- Publication number
- CN107409124B CN107409124B CN201680010942.5A CN201680010942A CN107409124B CN 107409124 B CN107409124 B CN 107409124B CN 201680010942 A CN201680010942 A CN 201680010942A CN 107409124 B CN107409124 B CN 107409124B
- Authority
- CN
- China
- Prior art keywords
- node
- network
- communication network
- attack
- motif
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
检测对网络的攻击的系统、方法和计算机可读存储介质。描述了一种用于检测对网络的攻击的系统。通信网络的活动的分层表示用于检测和预测通信网络中的假信息的源。所述分层表示包括至少一对节点之间的通信的时间模式,每个时间模式表示分层表示中具有一尺寸的模体。模体的变化提供了假信息攻击的信号。
Description
政府许可权
本发明是在美国政府合同号AFRL FA8750-14-C-0017下凭借政府支持进行的。政府对本发明享有一定的权利。
相关申请的交叉引用
这是2015年3月18日提交的题为“System and Method to Detect Attacks onMobile Wireless Networks Based on Motif Analysis”的美国临时申请号62/135,136的非临时专利申请,其整体通过引用并入本文。
这也是2015年3月18日提交的题为“System and Method to Detect Attacks onMobile Wireless Networks Based on Network Controllability Analysis”的美国临时申请号62/135,142的非临时专利申请,其整体通过引用并入本文。
发明背景
技术领域
本发明涉及一种用于检测移动无线网络中的假信息(misinformation)的源的系统,并且更具体地,涉及一种用于基于模体分析(motif analysis)来检测移动无线网络中的假信息的源的系统。
背景技术
由于移动无线网络的动态性质,从其构建的网络应用、协议和服务采用控制信息的隐式信任和共享。这使得假信息的检测特别困难。虽然当前的网络协议栈从外部观察者保护多对节点之间的无线传输,但它们对共享信息的依赖以使得节点的聚集能够作为网络来操作,使得很难抵御发出假信息的“内部”节点。
用于移动无线网络的现有安全解决方案(诸如,在并入的参考文献列表中的参考文献1-4中描述的那些)通常通过监视性能指标(诸如,联网堆栈内的单独层处的吞吐量、延迟和抖动)、寻找相对于基线的行为异常(其(在该抽象层)非常嘈杂,很难准确地表征广泛的条件)来表征网络。即使在理想情况下,也可能由于少量的假信息而导致整体网络实用程序(overall network utility)的显著中断,所述假信息仅把少数关键网络元素作为目标(即,“shrew”攻击),所述少数关键网络元素低于使用基于这样的性能指标的异常检测的检测的阀值。
其它现有的安全解决方案(诸如,参考文献1-4和5中所描述的那些)能够检测假信息的小变化(诸如“shrew”攻击中的那些),但是它们需要网络配置的详细知识(诸如,协议实例、应用、以及底层物理无线通道的类型和状态)。这样的协议特定(或基于规范的)方法难以实现和维护,并且仅对于具有简单且容易观察的状态机制(例如,媒体访问控制(MAC)协议或路由协议)的网络元素是实际的。然而,如果所述元素的规范和实现以可被假信息利用的方式偏离,或者如果规范本身具有可被利用的缺陷,则这些方法将失败。公开的文献(诸如,参考文献1和4)已经表明,这些缺陷(即,实现缺陷和规范缺陷)都是常见的。
因此,持续需要一种使得能够实现控制平面处的假信息(包括有针对性的假信息)的协议不可知检测(protocol agnostic detection)。
发明内容
本发明涉及一种用于检测移动无线网络中的假信息的源的系统,并且更具体地,涉及一种用于基于模体分析来检测移动无线网络中的假信息的源的系统。该系统包括一个或多个处理器和存储器,该存储器具有指令,使得当执行所述指令时,一个或多个处理器执行多个操作。通信网络的活动的分层表示用于检测和预测通信网络中的假信息的源。所述分层表示包括多个节点和至少一对节点之间的通信的时间模式(temporal pattern),每个时间模式表示分层表示中具有一尺寸的模体。模体的变化提供了假信息攻击的信号。
在另一方面,在显示器上生成与感兴趣的模体有关的视觉表示以识别假信息攻击。
在另一方面,假信息攻击的特征在于具有预定尺寸的模体的过度表示(over-representation)。
在另一方面,通过在通信网络的正常基线操作中学习每个尺寸的模体的最大频度来设置用于检测假信息攻击的尺寸阈值。
在另一方面,如果任何模体尺寸的频度超过最大频度的两倍,则检测到假信息攻击信号。
在另一方面,系统在通信网络的各节点i处引入模体归因度量(motifattribution measure)。针对每个节点i,mi被定义为所述节点i所贡献的子图的频度。大于最大频度的两倍的mi指示节点i是攻击者的可能性。
在另一方面,分层表示包括描述在通信网络上运行的应用和服务以及应用与服务之间的一组相互依赖性的多个数据表。
在另一方面,在检测到通信网络上的假信息的攻击时,系统执行缓解动作(mitigation action)。
在另一方面,缓解动作包括将攻击节点与通信网络的其余部分隔离。
在另一方面,本发明还包括一种用于使处理器执行本文所描述的操作的方法。
最后,在又一方面,本发明还包括计算机程序产品,所述计算机程序产品包括存储在非暂时性计算机可读介质上的计算机可读指令,所述计算机可读指令可由具有用于使处理器执行本文所述操作的处理器的计算机执行。
附图说明
该专利或专利申请公开的文件至少包含一个以彩色绘制的附图。具有彩色附图的该专利或专利申请公开的副本将由知识产权局(Office)根据要求以及必要的费用的支付来提供。
从以下结合附图对本发明的各个方面的详细描述,本发明的目的、特征和优点将变得显而易见,其中:
图1是描绘根据本公开的各种实施方式的用于检测移动无线网络中的假信息的源的系统的部件的框图;
图2是根据本公开的各种实施方式的计算机程序产品的例示;
图3是根据本公开的各种实施方式的网络模体尺寸频度的例示;
图4是根据本公开的各种实施方式的针对图3中的常规模式和攻击模式的子图的条形码的例示;
图5A是根据本公开的各种实施方式的样本图的例示;
图5B是根据本公开的各种实施方式的利用图5A中的样本图找出所有子图的例示;
图6是示出根据本公开的各种实施方式的用于找出子图的枚举子图(ESU)算法的伪代码的表;
图7A是示出根据本公开的各种实施方式的在复位攻击期间的模体尺寸频度的曲线;
图7B是示出根据本公开的各种实施方式的在泛洪攻击(flood attack)期间的模体尺寸频度的曲线;
图8是示出根据本公开的各种实施方式的使用尺寸为3的模体的6节点示例中的归因的图;
图9是示出根据本公开的各种实施方式的用于检测对移动无线网络的攻击的方法的流程图。
具体实施方式
本发明涉及一种用于检测移动无线网络中的假信息的源的系统,并且更具体地,涉及一种用于基于模体分析来检测移动无线网络中的假信息的源的系统。提出以下描述以使得本领域普通技术人员能够进行和使用本发明并将其并入特定应用的上下文中。在不同应用中的各种修改以及各种用途对于本领域技术人员将是显而易见的,并且本文定义的一般原理可以应用于广泛的方面。因此,本发明不旨在限于所提出的方面,而是符合与本文公开的原理和新颖特征相一致的最宽范围。
在下面的详细描述中,阐述了许多具体细节,以便提供本发明的更透彻的理解。然而,对于本领域技术人员显而易见的是,可以实施本发明而不必限于这些具体细节。在其它情况下,为了避免使本发明模糊,以框图形式而不是详细地示出公知的结构和装置。
读者的注意力被引导到与本说明书同时提交并且与本说明书一起公开进行审查的所有论文和文件,并且所有这样的论文和文件的内容通过引用并入本文。除非另有明确说明,否则本说明书(包括任何所附权利要求、摘要和附图)中公开的所有特征可由服务相同、等效或相似目的的另选特征来替代。因此,除非另有明确说明,所公开的每个特征都仅是一类等同或类似特征的一个示例。
此外,权利要求中未明确说明用于执行指定功能的“装置”或用于执行特定功能的“步骤”的任何元素不被解释为如在35U.S.C第112节第6段中指定的“装置”或“步骤”条款。特别是,本文权利要求中“…的步骤”或“…的动作”的使用不旨在援引35U.S.C第112节第6段中的规定。
请注意,如果使用的话,标签左、右、前、后、顶、底、向前、向后、顺时针和逆时针都仅出于方便的目的,并不旨在暗示任何特定的固定方向。相反,它们用于反映对象的各个部分之间的相对位置和/或方向。因此,随着本发明的改变,上述标签可能改变其方向。
在详细描述本发明之前,首先提供在说明书中使用的并入的参考文献的列表。接下来,提供对本发明的各个主要方面的描述。最后,提供本发明的具体细节,以给出对特定方面的理解。
(1)并入的参考文献的列表
贯穿本申请并入并引用了以下参考文献。为了清晰和方便起见,本文将参考文献列为读者的中心资源。以下参考文献通过引用并入本文,如同完全包括在本文中。参考文献通过参考相应的参考文献号在本申请中引用,如下:
1.J.-P.Hubaux,L.Buttyán,and S.Capkun,“The quest for security inmobile ad hoc networks,”in Proceedings of the 2nd ACM international symposiumon Mobile ad hoc networking&computing.ACM,2001,pp.146–155.
2.S.Marti,T.J.Giuli,K.Lai,M.Baker et al.,“Mitigating routingmisbehavior in mobile ad hoc networks,”in International Conference on MobileComputing and Networking:Proceedings of the 6th annual internationalconference on Mobile computing and networking,vol.6,no.11,2000,pp.255–265.
3.H.Yang,J.Shu,X.Meng,and S.Lu,“Scan:self-organized network-layersecurity in mobile ad hoc networks,”Selected Areas in Communications,IEEEJournal on,vol.24,no.2,pp.261–273,2006.
4.Y.Zhang and W.Lee,“Security in mobile ad-hoc networks,”in Ad HocNetworks.Springer,2005,pp.249–268.
5.K.E.Defrawy and G.Tsudik,“Anonymous location aided routing insuspicious MANETs,”IEEE Transactions on Mobile Computing(IEEE TMC),vol.10,no.9,September 2011.
6.Wernicke,Sebastian.“Efficient Detection of Network Motifs.”IEEE/ACMTrans.Computational Biol.Bioinformatics 3,no.4(October 2006):347–59.doi:10.1109/TCBB.2006.51.
7.Ribeiro,Pedro,and Fernando Silva.“G-Tries:An Efficient DataStructure for Discovering Network Motifs.”In Proceedings of the 2010ACMSymposium on Applied Computing,1559–66.SAC’10.New York,NY,USA:ACM,2010.doi:10.1145/1774088.1774422.
8.McKay,Brendan D.“Isomorph-Free Exhaustive Generation.”Journal ofAlgorithms 26,no.2(February 1998):306–24.doi:10.1006/jagm.1997.0898.
(2)主要方面
本发明具有三个“主要”方面。第一个是用于检测移动无线网络中的假信息的源的系统。系统通常以操作软件的计算机系统的形式或者以“硬编码”指令集的形式。该系统可以被并入提供不同功能的多种装置。第二主要方面是通常以使用数据处理系统(计算机)操作的软件的形式的方法。第三个主要方面是计算机程序产品。计算机程序产品通常表示存储在非暂时性计算机可读介质(诸如,光存储装置(例如,光盘(CD)或数字通用光盘(DVD))或磁存储装置(诸如,软盘或磁带))上的计算机可读指令。计算机可读介质的其它非限制性示例包括硬盘、只读存储器(ROM)和闪存型存储器。下面将更详细地描述这些方面。
在图1中提供了描绘本发明的系统(即,计算机系统100)的示例的框图。计算机系统100被配置为执行与程序或算法相关联的计算、处理、操作和/或功能。在一个方面,本文讨论的某些过程和步骤被实现为一系列指令(例如,软件程序),所述一系列指令驻留在计算机可读存储器单元内,并且由计算机系统100的一个或更多个处理器来执行。当执行时,指令使得计算机系统100执行特定的动作并展示特定的行为,诸如本文所描述的。
计算机系统100可以包括被配置为传送信息的地址/数据总线102。另外,一个或更多个数据处理单元(诸如,处理器104(或多个处理器))与地址/数据总线102联接。处理器104被配置为处理信息和指令。在一方面,处理器104是微处理器。另选地,处理器104可以是不同类型的处理器(诸如,并行处理器或现场可编程门阵列)。
计算机系统100被配置为利用一个或更多个数据存储单元。计算机系统100可以包括与地址/数据总线102联接的易失性存储器单元106(例如,随机存取存储器(“RAM”)、静态RAM、动态RAM等),其中,易失性存储器单元106被配置为存储用于处理器104的信息和指令。计算机系统100还可以包括与地址/数据总线102联接的非易失性存储器单元108(例如,只读存储器(“ROM”)、可编程ROM(“PROM”)、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪存等),其中,非易失性存储器单元108被配置为存储用于处理器104的静态信息和指令。另选地,计算机系统100可以执行从诸如“云”计算中的线上数据存储单元检索的指令。在一方面,计算机系统100还可以包括与地址/数据总线102联接的一个或更多个接口(诸如,接口110)。一个或更多个接口被配置为使得计算机系统100能够与其它电子装置和计算机系统接口连接。由一个或更多个接口实现的通信接口可以包括有线通信技术(例如,串行电缆、调制解调器、网络适配器等)和/或无线通信技术(例如,无线调制解调器、无线网络适配器等)。
在一个方面,计算机系统100可以包括与地址/数据总线102联接的输入装置112,其中,输入装置112被配置为将信息和命令选择传送至处理器100。根据一个方面,输入装置112是可以包括字母数字和/或功能键的字母数字输入装置(诸如,键盘)。另选地,输入装置112可以是除字母数字输入装置之外的输入装置。例如,输入装置112可以包括一个或更多个传感器,诸如用于视频或静止图像的相机、麦克风或神经传感器。输入装置的其它示例可以包括加速度计、GPS传感器或陀螺仪。
在一方面,计算机系统100可以包括与地址/数据总线102联接的光标控制装置114,其中,光标控制装置114被配置为将用户输入信息和/或命令选择传送至处理器100。在一方面,光标控制装置114使用诸如鼠标、轨迹球、轨迹板、光学追踪装置或触摸屏的装置来实现。尽管有上述情况,但在一方面,光标控制装置114经由来自输入装置112的输入(诸如,响应于与输入装置112相关联的特殊键和键序列命令的使用)来引导和/或激活。在另选方面,光标控制装置114被配置为由语音命令来引导或指导。
在一方面,计算机系统100还可以包括与地址/数据总线102联接的一个或更多个可选的计算机可用数据存储装置(诸如,存储装置116)。存储装置116被配置为存储信息和/或计算机可执行指令。在一个方面,存储装置116是诸如磁盘驱动器或光盘驱动器(例如,硬盘驱动器(“HDD”)、软盘、光盘只读存储器(“CD-ROM”)、数字通用光盘(“DVD”))的存储装置。根据一个方面,显示装置118与地址/数据总线102联接,其中,显示装置118被配置为显示视频和/或图形。在一方面,显示装置118可以包括阴极射线管(“CRT”)、液晶显示器(“LCD”)、场发射显示器(“FED”)、等离子体显示器或适于显示用户可识别的视频和/或图形图像以及字母数字字符的任何其它显示装置。
本文所提出的计算机系统100是根据一个方面的示例计算环境。然而,计算机系统100的非限制性示例并不严格限于是计算机系统。例如,一个方面提供了计算机系统100表示可以根据本文描述的各个方面使用的一种数据处理分析。此外,还可以实现其它计算系统。事实上,本技术的精神和范围不限于任何单个数据处理环境。因此,在一方面,使用由计算机执行的计算机可执行指令(诸如,程序模块)来控制或实现本技术的各个方面的一个或更多个操作。在一个实现中,这样的程序模块包括被配置为执行特定任务或实现特定抽象数据类型的例程、程序、对象、部件和/或数据结构。另外,一个方面提供了本技术的一个或更多个方面通过利用一个或更多个分布式计算环境(诸如任务由通过通信网络链接的远程处理装置来执行的环境或诸如各种程序模块位于包括存储器-存储装置的本地和远程计算机存储介质二者中的环境)来实现。
图2中描绘了实施本发明的计算机程序产品(即,存储装置)的例示图。计算机程序产品被描绘为软盘200或光盘202(诸如,CD或DVD)。然而,如前所述,计算机程序产品通常表示存储在任何兼容的非暂时性计算机可读介质上的计算机可读指令。如关于本发明使用的术语“指令”通常指示要在计算机上执行的一组操作,并且可以表示整个程序的片段或独立(可分离的)软件模块。“指令”的非限制性示例包括计算机程序代码(源码或目标码)和“硬编码”电子器件(即,被编码到计算机芯片中的计算机操作)。“指令”被存储在任何非暂时性计算机可读介质上(诸如,在计算机的存储器中或在软盘、CD-ROM和闪存驱动器上)。无论在哪一种情况下,指令都被编码在非暂时性计算机可读介质上。
(3)本发明的具体细节
eXploitation网络(Xnet)是(多个网络中的一个网络)网络的分层模型,其提供了通过定向链路链接在一起的三个不同的网络视图。在美国专利申请号14/625,988中详细描述了Xnet,其通过引用并入本文,如同在此完全阐述一样。该模型除了网络拓扑本身之外还包括应用依赖层和网络依赖层。Xnet将问题从常规无线联网技术(所述常规无线联网技术将重点放在多对节点之间的吞吐量上)的领域转移到能够进行更全面的行为处理的表示中。到所述表示的这种转移是实现本发明的社交网络和信息动态方法的基础。根据本发明的实施方式的系统依赖于网络活动的Xnet分层模型。
Xnet模型包括至少四个独特的模块,所述模块包括Xnet动态(XD)模块、Xnet可控性/可观察性(XCO)模块、Xnet可演变性(XE)模块和(4)可靠性估计(RE)模块。XD模块基于社交网络的动态(不依赖于协议)来识别不可靠节点,以指示存在改变网络中的控制和数据平面信息的恶意或损坏的节点。XCO模块识别被动地监视(可观察性)或主动地探测(可控性)疑似的假信息的源所需的最佳节点集合。这些技术需要明显较少的节点(即,比现有技术更低的开销)来形成关于疑似的假信息的源是否是恶意的共识,而无需准确性折衷(增加的检测概率、降低的误报概率)。XE模块模拟失败的进展,以预测哪些节点最有可能接下来被攻击或应重新评估信任。最后,RE模块融合跨层和跨平面(控制和数据平面)信息来识别可疑节点并改进基于信誉的信任管理。统一信任度量以混合方法来计算,其中,节点基于直接经验和其它节点的推荐结合归一化置信度(confidence)和信任值。这种混合方法避免了集中的故障点、确保了可扩展性、并放弃回弹到以计算为目标的攻击的这种计算。这些模块将在下面进一步描述。
所有模块通过Xnet上的注释进行通信。XD模块识别似乎是行为不端(misbehaving)的节点。RE模块从XCO模块获得针对可疑节点的驱动节点和观察节点的最小集合。RE模块使用驱动节点对可疑节点进行主动探测,并且观察节点利用结果更新信任度量。XE模块模拟被俘节点(compromised node)的扩展。
RE模块使用依赖于基于与邻居的直接交互的本地计算的模型以及也通过并入其它节点的推荐(和经验)来形式化和量化信任。正式的主观逻辑和信任模型被用于关于节点有多可靠的证据的原则组合。通过采用混合分布式方法来计算信任度、避免单点故障来获得对攻击的恢复力,并且该方法对于正在使用的控制和/或数据平面统计是不可知的。当节点中RE模块的信任下降到一定水平以下时,对该节点执行主动探测。为了最有效地进行此操作,XCO模块计算驱动节点(用于发出挑战)以及观察节点(用于观察结果)的最小集合。
该系统还采用双管齐下的方法来发现网络中的假信息的源(采用Xnet依赖性的可疑变化的信息动态识别)以及这样的被俘节点的出现趋势。首先,XD模块通过分析Xnet时间序列数据,使用独特的信息动态谱架构来预测复杂系统中关键转换的系统不稳定性。这标记节点以供RE模块进一步检查。其次,XE模块跟踪行为不端节点的趋势,并且与传染性和级联故障的模拟相匹配。XE模块将发出关于是否存在模式的置信度量,并且如果存在,则RE模块可以将监视和测试资源集中于预测要被攻击的下一个节点上。系统管理员可以使用该信息来聚焦预防措施。
(3.1)操作的概念
以下是利用从初始化到部署、现场操作以及网络攻击的不同阶段进行的概念性任务的非限制性示例对在美国专利申请号14/625,988中描述的Xnet工具的操作的描述。特别是,对网络的“控制平面”的网络攻击是负责管理“数据平面”中的信息是如何通过网络进行通信的软件系统和协议。例如,对移动无线网络的操作至关重要的一个软件系统是路由守护进程(routing daemon),其负责维护路由表,物理网络中的每个节点使用所述路由表来确定如何将数据从一个节点中继到另一个节点。
在一些实施方式中,在初始化阶段期间,网络管理员利用兼容的联网堆栈、主机和网络服务、应用以及任务所需的其它软件(包括支持配置数据的模块套件)配置网络(例如,移动无线网络)的每个节点。然后,以数据表的形式创建网络(即,Xnet)的分层表示,所述数据表描述在网络上运行的应用和服务、它们的相互依赖性以及在正常操作下它们的行为动态的可观察特征(例如,节点度、业务流量特征、拓扑)。Xnet模体(XM)模块从Xnet接收应用依赖性(AppDep)和网络依赖性(NetDep)图。关于Xnet的更多细节,参考通过引用整体并入本文的美国专利申请号14/625,988。
在标称(现场(fielded))阶段,XM模块通过收集关于其基线配置中识别的统计的时间序列数据来监视AppDep和NetDep图的动态。将针对在设定的时间量(例如,10秒的时间量)期间出现的模体的每个尺寸开发(develop)基线频度。这将包括保持跟踪模体的典型时间序列。
在攻击阶段的检测阶段,被俘节点将引起XM模块的注意,XM模块将观察到模体尺寸的频度的突然变化。例如,在节点处恶意丢弃分组将导致依赖该节点的应用与服务之间的负荷发生阶跃变化(step-change)。例如,攻击节点的分组丢弃可以通过监视通道并观察该节点是否将分组转发到下一跳而直接在媒体接入控制(MAC)层进行观察。
在攻击阶段的归因阶段,通过比较抽象和真实网络内不同点处处的检测的模式,可以揭露被俘节点。例如,模体中共有的标记为异常的和/或共享已被检测为具有异常动态的边的节点被分类为嫌犯(suspect)。抽象网络(或图)是指物理网络(即,包括物理节点(例如,无线电设备(radios))的实际网络)中通信实体之间的关系的抽象数学表示。
(3.2)网络模体
如上所述,Xnet是网络图的分层网络,其节点包括在网络上通信的物理无线电设备以及表示通信网络实体(诸如,应用和网络服务)的概念节点。只要这些节点中的一个发送数据到另一个节点(只是起始节点和结束节点,而不是转发消息数据报的中间节点),就会创建节点之间的边。边存在直到消息到达其目的地为止。网络模体是节点之间的通信的时间模式。网络活动被分为时间窗口。在每个窗口期间,如果在两个节点之间出现边,则可以计数针对该窗口的模体中的边。网络模体是在一起工作的节点的子集之间的通信的复现的并且统计学显著的子图或模式。由顶点之间的相互作用的特定模式定义的这些子图中的每一个可以反映出有效实现特定通信协议的架构。实际上,模体尤其重要主要是因为它们捕获无线网络的底层通信结构。模体尺寸的直方图的变化为某些类型的攻击提供了特征信号。当发生攻击时,不同的复现子图将反映网络通信模式的变化,从而导致检测到攻击。
(3.2.1)问题定义
令G=(V,E)并且G'=(E',V')为两个图。V表示顶点(在抽象网络的上下文中讨论时也称为“节点”)。E表示边(也称为“链路”)。如果并且 则图G'是图G的子图(写为)。如果并且G'包含所有边<u,v>∈E,其中u,v∈V',则G'是导出的G的子图。称G'和G同构(写为),如果存在双射(一对一)f:V'→V,其中对于所有u,v∈V',映射f被称为G和G'之间的同构(isomorphism)。当并且在子图G”和图G'之间存在同构时,该映射表示G中的G'的出现。G中的图G'的出现次数称为G中G'的频度FG。
图3是示出攻击期间的网络模体尺寸频度相对于规范的网络模体尺寸频度的图,示出了常规模式和攻击模式的FG(G')。常规模式由未填充的条表示,而攻击模式由填充的条表示。图3指示相比在泛洪攻击(如由存在攻击模式所指示的)下的模体,在常规通信网络(如由不存在常规模式所指示的)中,不太可能发现大的模体(尺寸>5),建议潜在攻击检测器。准确地说,定义了针对不同通信的显著模体的条形码,其使得能够识别攻击。图4是针对图3中的常规模式和攻击模式的子图的条形码400的例示,其中,顶部子图402表示常规模式,而底部子图404表示攻击模式。
模体是具有大于预定阈值或截止值(cut-off value)的频度FG(G')的子图。传统上,通过与空模型进行比较来确定阈值(诸如,随机化图中统一子图的复现频度)。然而,此定义不适用于移动网络问题。实际上,这里的一个目标是区分在常规模式和攻击模式中频繁出现的子图。然而,即使在正常条件下运行的通信网络中,FG(G')也可能与完全随机的图模型显著不同。因此,根据本发明的实施方式的方法将常规模式的FG(G')作为空模型。如果其FG(G')显著偏离上述定义的空模型,则将检测到异常模式。
(3.2.2)模体发现算法
本发明中分析的成功依赖于足够的模体发现算法。在本节中,可以使用的两种广泛采用的算法被引入作为模体发现算法的非限制性示例,其包括(在参考文献6中描述的)算法ESU和(在参考文献7中描述的)算法G-Tries。图5A描绘了样本图,图5B描绘了在图5A中寻找具有三个节点(其中,节点由带有数字的圆圈表示)的所有子图的ESU(枚举子图)算法过程。
图5B中的树针对尺寸k=3(即,在每个子图中恰好有3个顶点)的图5A中的图在叶(非常底行)处示出了枚举的子图。树的深度从针对根500的0开始,并且针对下面的每一行增加1。由于树的高度限定了它枚举的子图的尺寸,因此深度也与所述尺寸相同(即,深度==k)。
在图5B所描绘的示例中,根500是k=0,下一行框(元素502)([({1},{3})]...)是k=1,下一行框(元素504)是k=2,并且叶(图的底行(元素506))为k=3。注意,在每个叶的每个图中恰好有3个顶点(即,在树的深度k=3处存在尺寸k=3的子图)。
术语SUB是每个框中示出的最左侧集合的名称,术语EXT是每个框中最右侧集合的名称。因此,例如,对于k=2的行中最左侧的框508将被标记为:
SUB={1,3}
EXT={4,5}。
术语SUB表示该框的当前子图。术语EXT表示可用于扩展子图的可能的节点集合。因此,对于上述示例,
SUB=(1)-(3)是子图,并且
EXT=(4)和(5)是可以用来扩展该子图的节点,如下所示:
(1)-(3)-(4)是利用EXT=(4)对SUB=(1)-(3)的扩展
(1)-(3)-(5)是利用EXT=(5)对SUB=(1)-(3)的扩展。
算法ESU首先找到所有导出的尺寸为k的子图的集合;令Sk为该集合。ESU可以被实现为递归函数。该函数的运行可以显示为深度k的树状结构,称为ESU树,如图5B中所描绘的。ESU树节点中的每一个(由框表示)指示递归函数的状态,其需要两个连续的集合SUB和EXT。SUB指的是目标网络中相邻并建立尺寸|SUB|≤k的部分子图的节点。如果|SUB|=k,则算法已经找到一个导出的完整子图,因此Sk=SUB∪Sk。然而,如果|SUB|<k,则算法必须扩展SUB以实现基数k。这是由包含满足两个条件的所有节点的EXT集合完成的。
第一,EXT中的节点的每一个必须与SUB中的节点的至少一个相邻;第二,它们的数字标签必须大于SUB节点的标签。第一个条件确保SUB节点的扩展产生一个连接的图,第二个条件使得ESU树的叶(图的底行(元素506))是不同的。因此,防止超出计数。应注意的是,EXT集合不是静态集合,因此在每个步骤中,其可能会扩展不会违反两个条件的一些新节点。
ESU的下一步涉及将ESU树的叶中的子图分类为非同构尺寸-k图类。因此,ESU确定子图频度和集中度(concentration)。该阶段已通过采用McKay的nauty算法(参见参考文献8中针对该算法的描述)简单地实现,所述nauty算法通过执行图同构检验对每个子图进行分类。因此,ESU通过递归算法找到目标图中所有导出的k尺寸子图的集合,并且然后使用有效的工具确定它们的频度。
算法G-Tries是可以利用的另一个模体发现算法。G-Tries构建了可以存储一组图的多路树(简称g-trie)。每个树节点包含关于单个图顶点及其到祖先节点(ancestornodes)的相应边的信息。从根到叶的路径对应于一个单个图。g-trie节点的子节点(descendant)共享一个共同的子图。在构建g-trie之后,计数部分就位。这在概念上类似于前缀树(prefix tree),该前缀树根据其结构存储子图,并且在更大的图中找到这些子图中的每一个的出现。计数过程中的主要思想是通过所有可能的子图来回溯,但同时进行同构检验。在给定的时间针对几个不同的候选子图存在部分同构匹配的意义上说,该过程利用共同的子结构。
G-Tries不需要找到不在主网络中的那些子图,这可能是得到网络中所有子图的算法中耗时的部分中的一个。然而,折衷是存储器的过度使用,这可能会限制可由具有平均存储器的个人计算机发现的模体的尺寸。
(3.2.3)实现和时间复杂性
为了将模体发现算法与根据本公开的实施方式的攻击检测包(即,在美国专利申请号14/625,988中描述的Xnet工具的检测部分)进行集成,使用已经实现了ESU算法和G-Tries算法二者的(参考文献7中描述的)开源包gtrieScanner。G-Tries算法需要较低的中央处理单元(CPU)时间。然而,这两种算法具有相似的计算复杂性,因此,检测包的一个实施方式基于较简单的ESU算法(参见图6,针对包含由gtrieScanner实现的其伪码的表)。
本文描述的方法的实际有用性强烈地依赖于模体发现算法(诸如,ESU算法和G-Tries算法)的可扩展性。算法的时间复杂性主要取决于两个参数,图尺寸N和子图尺寸n。众所周知,所有模体发现算法都以子图尺寸n进行超多项分解(scalesuperpolynomially)。因此,模体尺寸不能增加到非常大的值。然而,根据本公开的实施方式的方法对子图尺寸n<9进行了很好的分析,子图尺寸n<9是易于处理的。虽然鉴于模体尺寸N的计算复杂性在理论上是未知的,但从以前的工作的数值结果来看,可以得出结论,其规模为O(N*M)(具有固定的模体尺寸n),其中N是节点数,M是底层网络的模体的总数。对于所开发的大多数通信网络而言,图是稀疏的,并且M与N进行线性成比例,导致鉴于整个网络尺寸(即,设备数量)的整体时间复杂性为O(N2)。
(3.3)利用模体分析的攻击检测和归因
图7A和图7B绘制了在复位(网页)攻击(图7A)和泛洪(TTCP)(图7B)攻击期间每个尺寸的模体的频度。“复位”攻击发送一种特殊类型的TCP包,其基本上强制TCP连接“复位”,或不必要地关闭。“泛洪”攻击造成大量不必要的网络业务,所述网络业务导致网络的“拒绝服务”。如图7A和图7B所示,不同的曲线颜色表示不同的模体尺寸。模体频度测量单位时间内出现的模体数量。在复位(网页)攻击中,较小的模体频度增加。在泛洪攻击(图7B)中,其是大于占主导地位的尺寸5的模体。一般而言,攻击(由峰值表示)的特征在于较大模体(尺寸>5)的过度表示。通过在网络的正常基线操作中学习每个尺寸的模体的最大频度来设置检测攻击的阈值。如果任何模体尺寸的频度超过基线条件下看到的最大频度的两倍,则检测到攻击条件。
为了定位网络中的实际攻击者(称为“归因”),进一步引入了每个节点处的模体归因度量。对于每个节点i,将mi定义为其贡献的子图的频度。再次,较大的mi(大于基线条件下看到的最大值的两倍)指示节点i是攻击者的高可能性。图8针对5个非攻击者以及在500毫秒(ms)之后执行黑洞攻击的一个攻击节点使用尺寸为3的模体绘制了6节点的示例中TTCP层处的模体归因mi。“黑洞”攻击具有以下最终目标:1)强制所有路由通过攻击的物理节点(即,节点“捕获”网络中所有其它对节点之间的所有路由),以及2)丢弃这些路由上的所有后续数据业务。因此,这在概念上类似于黑洞的极端重力如何将所有物质拉入其中并且(表面上)毁坏它。不同的曲线颜色表示5个非攻击节点和一个攻击节点800。该图示出当发生攻击时仅针对攻击节点800的清晰信号(即,尖峰)。这里攻击节点800清晰地突出,因为该节点处的尺寸为3的模体的频度增加了近4倍于任何其它节点的频度。
图9是根据本公开的一些实施方式的用于检测对网络的攻击的方法的流程图。如上所述,在第一步骤900中,生成网络活动的分层表示。在第二步骤902中,检测分层表示中时间模体的尺寸的变化。在第三步骤904中,检测并预测通信网络中的假信息的源。
移动无线网络在应用中经历广泛使用,其非限制性示例包括移动军事和执法网络(士兵到士兵、传感器到传感器、地面和空中交通工具到交通工具);商业交通工具到交通工具和交通工具到基础设施网络;商业网状网络;无线基础设施ISP以及蜂窝公司(扩展的数据容量)。本文描述的发明将显著改善这些和其它相关网络的安全性,这些和其它相关网络目前主要依赖于分组级加密来降低外部入侵的可能性,但是不检测或防止“网络内部”攻击。
在实施方式中,在识别网络中存在假信息之后,系统执行操作来归因谁对该攻击负责的操作。在将攻击归因于实体后,系统可以采取行动来缓解攻击。缓解动作的非限制性示例将是隔离攻击节点(即,物理无线电设备)。例如,所述动作可以包括通知网络中的每个其它节点,以简单地忽略攻击节点发出的任何东西,并且不向攻击节点发送任何东西或通过攻击节点发送任何东西。
本文描述的系统的实现采用一组算法的形式,所述算法提供对无线网络的控制平面中的假信息的源的快速和准确的检测和预测。算法/模块是将能够使得其到各种各样的网络安全系统(包括无线网络和有线网络)的过度的工具的协议不可知特征。此外,该方法的固有可扩展性使其非常适合在大得多的网络中轻松操作。
最后,虽然已经根据几个实施方式描述了本发明,但是本领域普通技术人员将容易地认识到本发明可以在其它环境中具有其他应用。应注意,许多实施方式和实现是可能的。此外,所附权利要求绝不旨在将本发明的范围限于上述特定实施方式。另外,“用于…的装置”的任何叙述旨在引起元素和权利要求的装置加功能解读,而未特别使用“用于…装置”的叙述的任何元素不旨在被解读为装置加功能元素,即使权利要求另外包括词语“装置”。此外,虽然已经以特定顺序描述了特定方法步骤,但方法步骤可以以任何期望的顺序进行,并且落在本发明的范围内。
Claims (14)
1.一种用于检测对网络的攻击的系统,所述系统包括:
一个或更多个处理器和非暂时性存储器,所述非暂时性存储器在上面编码有指令,使得当执行所述指令时,所述一个或更多个处理器执行以下操作:
使用通信网络的活动的分层表示来检测和预测所述通信网络中的假信息的源;
其中,所述分层表示包括多个节点和至少一对节点之间的通信的时间模式,每个时间模式表示在所述分层表示中具有一尺寸的模体,
其中,模体的变化提供了假信息攻击的信号,并且其中,假信息攻击的特征在于具有预定尺寸的模体的过度表示,
其中,通过在所述通信网络的正常基线操作中学习每个尺寸的模体的最大频度来设置用于检测假信息攻击的尺寸阈值,并且
其中,如果任何模体尺寸的频度超过所述最大频度的两倍,则检测到假信息攻击信号。
2.根据权利要求1所述的系统,其中,所述一个或更多个处理器还执行在显示器上生成与感兴趣的模体相关的视觉表示以识别假信息攻击的操作。
3.根据权利要求1所述的系统,其中,所述一个或更多个处理器还执行以下操作:
在所述通信网络的每个节点i处引入模体归因度量;以及
针对每个节点i,将mi定义为所述节点i贡献的子图的频度;
其中,大于所述最大频度的两倍的mi指示所述节点i是攻击者的可能性。
4.根据权利要求1所述的系统,其中,所述分层表示包括描述在所述通信网络上运行的应用和服务以及所述应用与所述服务之间的一组相互依赖性的多个数据表。
5.根据权利要求1所述的系统,其中,在检测到所述通信网络上的假信息的攻击时,所述一个或更多个处理器还执行进行缓解动作的操作。
6.根据权利要求5所述的系统,其中,所述缓解动作包括将攻击节点与所述通信网络的其余部分隔离。
7.一种用于检测对网络的攻击的计算机实现的方法,所述方法包括以下步骤:
使得一个或更多个处理器执行存储在非暂时性存储器上的指令的动作,使得在执行时,所述一个或更多个处理器执行以下操作:
使用通信网络的活动的分层表示来检测和预测所述通信网络中的假信息的源;
其中,所述分层表示包括多个节点和至少一对节点之间的通信的时间模式,每个时间模式表示在所述分层表示中具有一尺寸的模体,
其中,模体的变化提供了假信息攻击的信号,并且其中,假信息攻击的特征在于具有预定尺寸的模体的过度表示,
其中,通过在所述通信网络的正常基线操作中学习每个尺寸的模体的最大频度来设置用于检测假信息攻击的尺寸阈值,并且
其中,如果任何模体尺寸的频度超过所述最大频度的两倍,则检测到假信息攻击信号。
8.根据权利要求7所述的方法,其中,所述一个或更多个处理器还执行在显示器上生成与感兴趣的模体相关的视觉表示以识别假信息攻击的操作。
9.根据权利要求7所述的方法,其中,所述一个或更多个处理器还执行以下操作:
在所述通信网络的每个节点i处引入模体归因度量;以及
针对每个节点i,将mi定义为所述节点i贡献的子图的频度;
其中,大于所述最大频度的两倍的mi指示所述节点i是攻击者的可能性。
10.根据权利要求7所述的方法,其中,所述分层表示包括描述在所述通信网络上运行的应用和服务以及所述应用与所述服务之间的一组相互依赖性的多个数据表。
11.一种用于检测对网络的攻击的计算机可读存储介质,所述计算机可读存储介质存储有:
计算机可读指令,所述计算机可读指令能够由具有一个或更多个处理器的计算机执行,以使得所述处理器执行以下操作:
使用通信网络的活动的分层表示来检测和预测所述通信网络中的假信息的源;
其中,所述分层表示包括多个节点和至少一对节点之间的通信的时间模式,每个时间模式表示在所述分层表示中具有一尺寸的模体,
其中,模体的变化提供了假信息攻击的信号,并且其中,假信息攻击的特征在于具有预定尺寸的模体的过度表示,
其中,通过在所述通信网络的正常基线操作中学习每个尺寸的模体的最大频度来设置用于检测假信息攻击的尺寸阈值,并且
其中,如果任何模体尺寸的频度超过所述最大频度的两倍,则检测到假信息攻击信号。
12.根据权利要求11所述的计算机可读存储介质,所述计算机可读存储介质还存储有指令,所述指令用于使得所述一个或更多个处理器执行在显示器上生成与感兴趣的模体相关的视觉表示以识别假信息攻击的操作。
13.根据权利要求11所述的计算机可读存储介质,所述计算机可读存储介质还存储有用于使得所述一个或更多个处理器执行以下操作的指令:
在所述通信网络的每个节点i处引入模体归因度量;以及
针对每个节点i,将mi定义为所述节点i贡献的子图的频度;
其中,大于所述最大频度的两倍的mi指示所述节点i是攻击者的可能性。
14.根据权利要求11所述的计算机可读存储介质,其中,所述分层表示包括描述在所述通信网络上运行的应用和服务以及所述应用与所述服务之间的一组相互依赖性的多个数据表。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562135136P | 2015-03-18 | 2015-03-18 | |
US201562135142P | 2015-03-18 | 2015-03-18 | |
US62/135,142 | 2015-03-18 | ||
US62/135,136 | 2015-03-18 | ||
PCT/US2016/023307 WO2016204838A2 (en) | 2015-03-18 | 2016-03-18 | System and method to detect attacks on mobile wireless networks based on motif analysis |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107409124A CN107409124A (zh) | 2017-11-28 |
CN107409124B true CN107409124B (zh) | 2020-09-15 |
Family
ID=57546242
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680010942.5A Active CN107409124B (zh) | 2015-03-18 | 2016-03-18 | 检测对网络的攻击的系统、方法和计算机可读存储介质 |
CN201680010741.5A Active CN107251519B (zh) | 2015-03-18 | 2016-03-18 | 用于检测通信网络上的假信息的攻击的系统、方法和介质 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680010741.5A Active CN107251519B (zh) | 2015-03-18 | 2016-03-18 | 用于检测通信网络上的假信息的攻击的系统、方法和介质 |
Country Status (3)
Country | Link |
---|---|
EP (2) | EP3272102A4 (zh) |
CN (2) | CN107409124B (zh) |
WO (2) | WO2016204838A2 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10897471B2 (en) | 2018-01-30 | 2021-01-19 | Hewlett Packard Enterprise Development Lp | Indicating malicious entities based on multicast communication patterns |
CN110706743A (zh) * | 2019-10-14 | 2020-01-17 | 福建师范大学 | 一种平衡采样与图检索的蛋白质互作网络模体检测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
CN101800989A (zh) * | 2010-01-19 | 2010-08-11 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
CN102869006A (zh) * | 2012-09-13 | 2013-01-09 | 柳州职业技术学院 | 无线传感器网络层次型入侵诊断处理系统及其方法 |
CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8327442B2 (en) * | 2002-12-24 | 2012-12-04 | Herz Frederick S M | System and method for a distributed application and network security system (SDI-SCAM) |
US7281270B2 (en) * | 2003-04-01 | 2007-10-09 | Lockheed Martin Corporation | Attack impact prediction system |
US7529187B1 (en) * | 2004-05-04 | 2009-05-05 | Symantec Corporation | Detecting network evasion and misinformation |
US20060230450A1 (en) * | 2005-03-31 | 2006-10-12 | Tian Bu | Methods and devices for defending a 3G wireless network against a signaling attack |
US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
US20070180521A1 (en) * | 2006-01-31 | 2007-08-02 | International Business Machines Corporation | System and method for usage-based misinformation detection and response |
KR100767589B1 (ko) * | 2006-07-20 | 2007-10-17 | 성균관대학교산학협력단 | 디렉티드 디퓨젼 기반의 센서 네트워크를 위한 퍼지 로직침입 탐지 기법 |
US8655939B2 (en) * | 2007-01-05 | 2014-02-18 | Digital Doors, Inc. | Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor |
US8850578B2 (en) * | 2008-08-06 | 2014-09-30 | International Business Machines Corporation | Network intrusion detection |
US8312542B2 (en) * | 2008-10-29 | 2012-11-13 | Lockheed Martin Corporation | Network intrusion detection using MDL compress for deep packet inspection |
US8245301B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network intrusion detection visualization |
US8245302B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network attack visualization and response through intelligent icons |
US8683591B2 (en) * | 2010-11-18 | 2014-03-25 | Nant Holdings Ip, Llc | Vector-based anomaly detection |
WO2012142287A2 (en) * | 2011-04-14 | 2012-10-18 | Lockheed Martin Corporation | Dynamically reconfigurable 2d topology communication and verification scheme |
US8560681B2 (en) * | 2011-05-10 | 2013-10-15 | Telefonica, S.A. | Method of characterizing a social network communication using motifs |
WO2014118362A1 (en) * | 2013-02-01 | 2014-08-07 | Siemens Aktiengesellschaft | Method and apparatus for monitoring security intrusion of a distributed computer system |
CN104144063B (zh) * | 2013-05-08 | 2018-08-10 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
CN103957525B (zh) * | 2014-05-12 | 2018-02-27 | 江苏大学 | 车联网中基于分簇信任评估的恶意节点检测方法 |
-
2016
- 2016-03-18 WO PCT/US2016/023307 patent/WO2016204838A2/en active Application Filing
- 2016-03-18 EP EP16812077.2A patent/EP3272102A4/en active Pending
- 2016-03-18 CN CN201680010942.5A patent/CN107409124B/zh active Active
- 2016-03-18 WO PCT/US2016/023308 patent/WO2016204839A2/en active Application Filing
- 2016-03-18 CN CN201680010741.5A patent/CN107251519B/zh active Active
- 2016-03-18 EP EP16812078.0A patent/EP3272075A4/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
CN101800989A (zh) * | 2010-01-19 | 2010-08-11 | 重庆邮电大学 | 用于工业无线网络的防重放攻击系统 |
CN102869006A (zh) * | 2012-09-13 | 2013-01-09 | 柳州职业技术学院 | 无线传感器网络层次型入侵诊断处理系统及其方法 |
CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107251519B (zh) | 2020-06-12 |
WO2016204838A9 (en) | 2017-06-15 |
EP3272075A2 (en) | 2018-01-24 |
EP3272102A2 (en) | 2018-01-24 |
WO2016204839A3 (en) | 2017-01-26 |
CN107251519A (zh) | 2017-10-13 |
EP3272075A4 (en) | 2018-12-05 |
WO2016204839A2 (en) | 2016-12-22 |
WO2016204838A2 (en) | 2016-12-22 |
WO2016204838A3 (en) | 2017-01-26 |
EP3272102A4 (en) | 2018-11-14 |
CN107409124A (zh) | 2017-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9979738B2 (en) | System and method to detect attacks on mobile wireless networks based on motif analysis | |
US10091218B2 (en) | System and method to detect attacks on mobile wireless networks based on network controllability analysis | |
Moore et al. | IoT reliability: a review leading to 5 key research directions | |
Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
JP6378395B2 (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
Aiken et al. | Investigating adversarial attacks against network intrusion detection systems in sdns | |
Ji et al. | {SecGraph}: A uniform and open-source evaluation system for graph data anonymization and de-anonymization | |
US10305917B2 (en) | Graph-based intrusion detection using process traces | |
US9367683B2 (en) | Cyber security | |
Fan et al. | An improved network security situation assessment approach in software defined networks | |
US10003985B1 (en) | System and method for determining reliability of nodes in mobile wireless network | |
US20090307772A1 (en) | framework for scalable state estimation using multi network observations | |
JP2018526728A (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
Wu et al. | Nodes Availability Analysis of NB‐IoT Based Heterogeneous Wireless Sensor Networks under Malware Infection | |
Barrère et al. | Tracking the bad guys: An efficient forensic methodology to trace multi-step attacks using core attack graphs | |
CN107409124B (zh) | 检测对网络的攻击的系统、方法和计算机可读存储介质 | |
Kalutarage et al. | Detecting stealthy attacks: Efficient monitoring of suspicious activities on computer networks | |
Harrison et al. | Interactive detection of network anomalies via coordinated multiple views | |
Feng et al. | Generalized network dismantling via a novel spectral partition algorithm | |
Anil | A zero-trust security framework for granular insight on blind spot and comprehensive device protection in the enterprise of internet of things (e-iot) | |
Strapp et al. | Segmenting large-scale cyber attacks for online behavior model generation | |
Kalutarage | Effective monitoring of slow suspicious activites on computer networks. | |
Wang et al. | Catch me if you can: detecting compromised users through partial observation on networks | |
Chen et al. | Evaluation of community vulnerability based on communicability and structural dissimilarity | |
Beulah et al. | Simple hybrid feature selection (SHFS) for enhancing network intrusion detection with NSL-KDD dataset |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |