CN107508816A - 一种攻击流量防护方法及装置 - Google Patents
一种攻击流量防护方法及装置 Download PDFInfo
- Publication number
- CN107508816A CN107508816A CN201710769285.9A CN201710769285A CN107508816A CN 107508816 A CN107508816 A CN 107508816A CN 201710769285 A CN201710769285 A CN 201710769285A CN 107508816 A CN107508816 A CN 107508816A
- Authority
- CN
- China
- Prior art keywords
- traffic
- abnormal flow
- flow
- attack
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请公开了一种攻击流量防护方法及装置。一种攻击流量防护方法,包括:获取异常流量;从所述异常流量中提取多个流量特征;基于选定的所述多个流量特征,对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量;如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。采用上述方案,通过多维度对异常流量进行评价来提升对攻击流量判断的准确性,可以更加有效地防护攻击流量。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种攻击流量防护方法及装置。
背景技术
随着网络规模的不断扩大,网络上各种开放的黑客工具也越来越多,黑客们可以通过这些黑客工具对网络用户发起攻击,以达到破坏网络或者窃取数据的目的。对于用户而言,用户则需要增强网络安全的防范措施来防御黑客的入侵。
现有技术中,网络用户出于对安全方面的考虑,通常会选择部署防护设备,比如入侵防御系统(IPS,Intrusion Prevention System),实时地对相关网络流量进行识别。IPS包含有特征库,特征库中存储有已知的、常见的攻击流量。IPS在识别相关网络流量时将网络流量与特征库中的攻击流量进行匹配,一旦发现匹配到攻击流量就会对其进行拦截阻断。但是黑客对网络用户发起攻击时,通常伴随着大量的异常流量,异常流量可能是正常流量,也可能是攻击流量,IPS无法作出明确地判断。常规的IPS需要依赖高质量的特征库,也就是说,需要特征库存储大量的攻击流量。同时,实际应用中仅仅通过特征库进行单维度特征匹配难以识别一些变形的攻击流量,且准确性不高。因此需要研究一种针对攻击流量更加有效的防护方法。
发明内容
有鉴于此,本申请提供一种攻击流量防护方法及装置。
一种攻击流量防护方法,包括:
获取异常流量;
从所述异常流量中提取多个流量特征;
基于选定的所述多个流量特征,对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量;
如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
所述基于选定的所述多个流量特征分别对所述异常流量进行多维度的攻击检测,包括:
基于与各流量特征对应的检测规则,分别对所述异常流量进行攻击检测,得到对应于各检测规则的多个风险评分;
将得到的各风险评分进行相加,得到对应于所述异常流量的总评分。
所述将得到的各风险评分进行相加,得到对应于所述异常流量的总评分,包括:
将得到的各风险评分乘以对应的权重再进行相加,得到对应于所述异常流量的总评分。
不同流量特征分别对应不同的检测规则。
所述获取异常流量,包括:
记录采集到的流量的流量特征;
基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析,以获取采集到的流量中的异常流量;其中,不同的流量特征分别对应不同的异常流量分析策略。
一种攻击流量防护装置,包括:
获取单元,用于获取异常流量;
提取单元,用于从所述异常流量中提取多个流量特征;
攻击检测单元,使基于选定的所述多个流量特征对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量;
规则生成单元,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
所述攻击检测单元,包括:
风险评分获取子单元,基于与各流量特征对应的检测规则,分别对所述异常流量进行攻击检测,得到对应于各检测规则的多个风险评分;
风险评分处理子单元,用于将得到的各风险评分进行相加,得到对应于所述异常流量的总评分,以确定所述异常流量是否为攻击流量。
所述风险评分处理子单元进一步用于将得到的各风险评分乘以对应的权重再进行相加,得到对应于所述异常流量的总评分。
不同流量特征分别对应不同的检测规则。
所述获取单元包括:
记录子单元,用于记录采集到的流量的流量特征;
分析子单元,使基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析,以确定采集到的流量中的异常流量;其中,不同的流量特征分别对应不同的异常流量分析策略。
上述技术方案中,通过获取异常流量,从获取的异常流量中提取多个流量特征,并基于选定的多个流量特征对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
与现有技术相比,本方案通过选定的多个流量特征对异常流量进行多维度的攻击检测,因此可以更加全面地评价异常流量,从而提升对攻击流量判断的准确性,可以更加有效地防护攻击流量。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一实施例的一种攻击流量防护方法流程示意图;
图2是本申请一实施例的一种攻击流量防护装置的逻辑框图;
图3是本申请一实施例的一种攻击流量防护装置的攻击检测单元的结构图;
图4是本申请一实施例的一种攻击流量防护装置的获取单元的结构图;
图5是本申请一实施例提供的承载所述一种攻击流量防护装置的防护设备的硬件结构图。
具体实施方式
本申请提出一种攻击流量防护方法,通过获取异常流量,从获取的异常流量中提取多个流量特征,并基于选定的多个流量特征对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
由于本方案通过选定的多个流量特征对异常流量进行多维度的攻击检测,因此可以更加全面地评价异常流量,从而提升对攻击流量判断的准确性,可以更加有效地防护攻击流量。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图1,图1为本申请一实施例提供的一种攻击流量防护方法,应用在防护设备上,执行以下步骤:
S101,获取异常流量;
S102,从所述异常流量中提取多个流量特征;
S103,基于选定的所述多个流量特征,对所述异常流量进行多维度的攻击检测;
S104,确定所述异常流量是否为攻击流量;
S105,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则;
S106,如果确定所述异常流量为正常流量时,基于所述正常流量的流量特征生成正常流量防护规则。
上述步骤S101至步骤S106记载的技术方案,可以理解为安装在防护设备上的防病毒软件中加载的攻击流量防护逻辑。防护设备通过运行防护逻辑,可以获取异常流量,并从异常流量中提取多个流量特征,基于选定的多个流量特征对异常流量进行多维度的攻击检测以确定所述异常流量是否为攻击流量,如果确定所述异常流量为攻击流量,基于所述攻击流量的流量特征生成攻击流量防护规则,从而提升对攻击流量判断的准确性。
其中,多个流量特征可以在获取异常流量之前选定,也可在获取异常流量之后选定。
上述防病毒软件可以包括针对除防护设备保护的业务对象之外的访问对象具有攻击流量防护功能的软件。
下面将会基于在防病毒软件上实现攻击流量防护的具体过程进行说明。
上述防病毒软件可以记录采集到的流量的流量特征。其中,防病毒软件可以对经过防护设备的全部流量进行实时采集,也可以根据设定的时间间隔进行采集。若采用根据设定的时间间隔进行采集,可以理解的是,时间间隔不宜设置过大,以防错过较多流量。
采集到流量后,防病毒软件再对采集到的流量的流量特征进行记录并进行保存。具体地,可以保存在在防病毒软件中,可以保存在防护设备其他存储空间中,还可以保存在其他外接设备中。其中,保存的流量的的流量特征可以每隔一段时间进行清除,释放存储空间。可以理解的是,由于流量具有大量的流量特征,可以只选取主要的流量特征进行记录并保存。
例如,在实际应用中,主要的流量特征可以包括创建时间、访问持续时间、源地址、目的地址、源端口、目的端口、协议、连接方式、域名等。
防病毒软件记录采集到的流量的流量特征后,基于与记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析,以获取采集到的流量中的异常流量;其中,不同的流量特征分别对应不同的异常流量分析策略。异常流量分析策略通常需要视防护设备的实际情况以及实际需求而定,也就是说,与记录的流量特征对应的异常流量分析策略可以进行设置与更改。
例如,在实际应用中,与创建时间相对应的分析策略可以设置为:如果在24小时内流量的创建时间为凌晨1点至凌晨3点,则确定为异常流量;与源端口相对应的分析策略可以设置为:如果流量采用的源端口非默认端口,则确定为异常流量;与目的端口相对应的分析策略可以设置为:如果流量采用的目的端口非默认端口,则确定为异常流量;与目的地址相对应的分析策略可以设置为:如果流量在5分钟内的目的地址保持不变,则确定为异常流量。可以理解的是,异常流量分析策略不仅限于以上几种。
在本例中,防病毒软件获取异常流量后从异常流量中提取多个流量特征。其中,多个流量特征是从所述异常流量的流量特征中重新进行提取,也就是说,此处多个流量特征与前述采集到的流量的流量特征没有必然联系。
以所述异常流量中的同一源地址发出的TCP流量为例,防病毒软件分析24小时内所有会话,可以提取TCP流量中的多个流量特征:该流量会话数与24小时内会话总数的比例、会话创建时间、访问的目的端口总数、单条会话平均流量。可以理解的是,以上多个流量特征仅仅是示意性的,并不能用于限制本发明,且多个流量特征的数量也可以根据实际需要进行改变。
在本例中,从异常流量中提取出多个流量特征之后,基于与各流量特征对应的检测规则,分别对所述异常流量进行攻击检测,得到对应于各检测规则的多个风险评分;将得到的各风险评分进行相加,得到对应于所述异常流量的总评分。其中,不同流量特征对应的检测规则也不同。
仍以前述异常流量中的同一源地址发出的TCP流量为例,防病毒软件分别从该流量会话数与24小时内会话总数的比例、会话创建时间、访问的目的端口总数、单条会话平均流量这多个维度对该TCP流量进行攻击检测。
其中,与该流量会话数与24小时内会话总数的比例对应的检测规则可以设置为:如果会话数与24小时内会话总数的比例大于1%,则该TCP流量得到风险评分80分;与该会话创建时间对应的检测规则可以设置为:如果会话创建时间在凌晨12点至凌晨6点,则该TCP流量得到风险评分90分;与访问的目的端口总数相对应的检测规则可以设置为:如果访问的目的端口总数大于10个,则该TCP流量得到风险评分90分;与单条会话平均流量对应的检测规则可以设置为:如果单条会话的平均流量小于20kb,则该TCP流量得到风险评分90分。将得到的各风险评分进行相加,得到对应于该TCP流量的总评分。如果该TCP流量同时满足上述检测规则,则总评分为350分。
在示出的一种实施方式中,采用的多维度攻击检测方式可以作出如下改进:将得到的各风险评分乘以对应的权重再进行相加,得到对应于所述异常流量的总评分。其中,防病毒软件可以根据不同情况下各流量特征对检测结果的影响程度给各检测方式设置不同的权重。
仍以前述异常流量中的同一源地址发出的TCP流量为例,与该流量会话数与24小时内会话总数的比例对应的检测规则可以设置权重20%,与该会话创建时间对应的检测规则可以设置权重30%,与访问的目的端口总数相对应的检测规则可以设置权重30%,与单条会话平均流量对应的检测规则可以设置权重20%。如果该TCP流量同时满足上述检测规则,则总评分为88分。
通过这种方式,可以使得各流量特征对检测结果影响程度的不同得到体现,影响程度较大的权重较大,影响程度较小的权重较小,从而提升多维度攻击检测方式的准确性。
在本例中,防病毒软件见将得到的对应于所述异常流量的总评分与标准评分进行比较以确定所述异常流量是否为攻击流量。如果总评分高于标准评分,则判断异常流量为攻击流量;反之,则判断异常流量为正常流量。其中,所述标准评分可以根据不同实际情况进行修改。
在本例中,如果确定所述异常流量为攻击流量,则针对所述同一源地址发出的TCP流量,生成的攻击流量防护规则为:之后默认该源地址发出的TCP流量均为攻击流量。防病毒软件保存生成的攻击流量防护规则并进行应用,实现防护规则的动态更新。
在本例中,如果确定所述异常流量为正常流量,则针对所述同一源地址发出的TCP流量,生成的正常流量防护规则为:之后默认该源地址发出的TCP流量均为正常流量。防病毒软件保存生成的正常流量防护规则并进行应用,实现防护规则的动态更新。
在以上实施例中,通过获取异常流量,从获取的异常流量中提取多个流量特征,并基于选定的多个流量特征对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
由于本方案通过选定的多个流量特征对异常流量进行多维度的攻击检测,因此可以更加全面地评价异常流量,从而提升对攻击流量判断的准确性,可以更加有效地防护攻击流量。
与上述方法实施例相对应,本申请还提供了装置的实施例。
请参考图2,本申请提出一种攻击流量防护装置20,应用于防护设备;其中,请参见图5,作为承载所述攻击流量防护装置20的防护设备所涉及的硬件架构中,通常包括CPU、内存、非易失性存储器、网络接口以及内部总线等;以软件实现为例,所述攻击流量防护装置20通常可以理解为加载在内存中的计算机程序,通过CPU运行之后形成的软硬件相结合的逻辑装置,所述攻击流量防护装置20包括:
获取单元201,用于获取异常流量;
提取单元202,用于从所述异常流量中提取多个流量特征;
攻击检测单元203,使基于选定的所述多个流量特征对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量;
规则生成单元204,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
参见图3所示,攻击检测单元203,包括:
风险评分获取子单元203a,基于与各流量特征对应的检测规则,分别对所述异常流量进行攻击检测,得到对应于各检测规则的多个风险评分;
风险评分处理子单元203b,用于将得到的各风险评分进行相加,得到对应于所述异常流量的总评分,以确定所述异常流量是否为攻击流量。
风险评分处理子单元203b进一步用于将得到的各风险评分乘以对应的权重再进行相加,得到对应于所述异常流量的总评分。
不同流量特征分别对应不同的检测规则。
参见图4所示,获取单元201,包括:
记录子单元201a,用于记录采集到的流量的流量特征;
分析子单元201b,使基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析,以确定采集到的流量中的异常流量;其中,不同的流量特征分别对应不同的异常流量分析策略。
对于装置实施例而言,由于其基本对应于方法实施例,处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种攻击流量防护方法,其特征在于,包括:
获取异常流量;
从所述异常流量中提取多个流量特征;
基于选定的所述多个流量特征,对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量;
如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
2.根据权利要求1所述的方法,其特征在于,所述基于选定的所述多个流量特征分别对所述异常流量进行多维度的攻击检测,包括:
基于与各流量特征对应的检测规则,分别对所述异常流量进行攻击检测,得到对应于各检测规则的多个风险评分;
将得到的各风险评分进行相加,得到对应于所述异常流量的总评分。
3.根据权利要求2所述的方法,其特征在于,所述将得到的各风险评分进行相加,得到对应于所述异常流量的总评分,包括:
将得到的各风险评分乘以与各检测规则对应的权重值后再进行相加,得到对应于所述异常流量的总评分。
4.根据权利要求2所述的方法,其特征在于,不同流量特征分别对应不同的检测规则。
5.根据权利要求1所述的方法,其特征在于,所述获取异常流量,包括:
记录采集到的流量的流量特征;
基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析,以获取采集到的流量中的异常流量;其中,不同的流量特征分别对应不同的异常流量分析策略。
6.一种攻击流量防护装置,其特征在于,包括:
获取单元,用于获取异常流量;
提取单元,用于从所述异常流量中提取多个流量特征;
攻击检测单元,使基于选定的所述多个流量特征对所述异常流量进行多维度的攻击检测,以确定所述异常流量是否为攻击流量;
规则生成单元,如果确定所述异常流量为攻击流量时,基于所述攻击流量的流量特征生成攻击流量防护规则。
7.根据权利要求6所述的装置,其特征在于,所述攻击检测单元,包括:
风险评分获取子单元,基于与各流量特征对应的检测规则,分别对所述异常流量进行攻击检测,得到对应于各检测规则的多个风险评分;
风险评分处理子单元,用于将得到的各风险评分进行相加,得到对应于所述异常流量的总评分,以确定所述异常流量是否为攻击流量。
8.根据权利要求7所述的装置,其特征在于,所述风险评分处理子单元进一步用于将得到的各风险评分乘以对应的权重再进行相加,得到对应于所述异常流量的总评分。
9.根据权利要求7所述的装置,其特征在于,不同流量特征分别对应不同的检测规则。
10.根据权利要求6所述的装置,其特征在于,所述获取单元包括:
记录子单元,用于记录采集到的流量的流量特征;
分析子单元,使基于与所述记录的流量特征分别对应的异常流量分析策略对采集到的流量进行异常分析,以确定采集到的流量中的异常流量;其中,不同的流量特征分别对应不同的异常流量分析策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710769285.9A CN107508816A (zh) | 2017-08-31 | 2017-08-31 | 一种攻击流量防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710769285.9A CN107508816A (zh) | 2017-08-31 | 2017-08-31 | 一种攻击流量防护方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107508816A true CN107508816A (zh) | 2017-12-22 |
Family
ID=60694547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710769285.9A Pending CN107508816A (zh) | 2017-08-31 | 2017-08-31 | 一种攻击流量防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107508816A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802973A (zh) * | 2019-03-15 | 2019-05-24 | 北京百度网讯科技有限公司 | 用于检测流量的方法和装置 |
CN109818942A (zh) * | 2019-01-07 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 一种基于时序特征的用户帐号异常检测方法及装置 |
CN110061998A (zh) * | 2019-04-25 | 2019-07-26 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN110166480A (zh) * | 2019-05-31 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种数据包的分析方法及装置 |
CN110336801A (zh) * | 2019-06-20 | 2019-10-15 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
CN110493253A (zh) * | 2019-09-02 | 2019-11-22 | 四川长虹电器股份有限公司 | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 |
CN111404949A (zh) * | 2020-03-23 | 2020-07-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及存储介质 |
CN111464359A (zh) * | 2020-04-03 | 2020-07-28 | 杭州迪普科技股份有限公司 | 异常流量告警决策系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
CN106790050A (zh) * | 2016-12-19 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种异常流量检测方法及检测系统 |
-
2017
- 2017-08-31 CN CN201710769285.9A patent/CN107508816A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
CN106790050A (zh) * | 2016-12-19 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种异常流量检测方法及检测系统 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109818942A (zh) * | 2019-01-07 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 一种基于时序特征的用户帐号异常检测方法及装置 |
CN109802973A (zh) * | 2019-03-15 | 2019-05-24 | 北京百度网讯科技有限公司 | 用于检测流量的方法和装置 |
US11444861B2 (en) | 2019-03-15 | 2022-09-13 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for detecting traffic |
CN110061998A (zh) * | 2019-04-25 | 2019-07-26 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN110061998B (zh) * | 2019-04-25 | 2022-03-22 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN110166480A (zh) * | 2019-05-31 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种数据包的分析方法及装置 |
CN110336801A (zh) * | 2019-06-20 | 2019-10-15 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
CN110336801B (zh) * | 2019-06-20 | 2021-07-06 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
CN110493253A (zh) * | 2019-09-02 | 2019-11-22 | 四川长虹电器股份有限公司 | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 |
CN111404949A (zh) * | 2020-03-23 | 2020-07-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及存储介质 |
CN111464359A (zh) * | 2020-04-03 | 2020-07-28 | 杭州迪普科技股份有限公司 | 异常流量告警决策系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107508816A (zh) | 一种攻击流量防护方法及装置 | |
CN108696473B (zh) | 攻击路径还原方法及装置 | |
US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
CN111245807B (zh) | 基于攻击链因子的网络态势量化评估方法 | |
US20040250169A1 (en) | IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program | |
CN107483381B (zh) | 关联账户的监控方法及装置 | |
CN105959250A (zh) | 网络攻击黑名单管理方法及装置 | |
CN111371758A (zh) | 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 | |
CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
CN102945340A (zh) | 信息对象检测方法及系统 | |
CN106470188A (zh) | 安全威胁的检测方法、装置以及安全网关 | |
CN110035062A (zh) | 一种网络验伤方法及设备 | |
KR20160089800A (ko) | 사이버 침해 사고 조사 장치 및 방법 | |
EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
Koch | Hidden in the shadow: The dark web-a growing risk for military operations? | |
Miranda-Calle et al. | Exploratory data analysis for cybersecurity | |
Dainotti et al. | Analysis of internet-wide probing using darknets | |
Sandoval et al. | Measurement, identification and calculation of cyber defense metrics | |
Easttom | On the application of algebraic graph theory to modeling network intrusions | |
CN106411951A (zh) | 网络攻击行为检测方法及装置 | |
Kwan et al. | Towards a methodology for profiling cyber criminals | |
Hughes et al. | Performance measures of behavior-based signatures: an anti-malware solution for platforms with limited computing resource | |
CN113329026A (zh) | 一种基于网络靶场漏洞演练的攻击能力确定方法及系统 | |
CN111966667A (zh) | 数据库的运维审计方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171222 |