CN107612890A - 一种网络监测方法及系统 - Google Patents

一种网络监测方法及系统 Download PDF

Info

Publication number
CN107612890A
CN107612890A CN201710733192.0A CN201710733192A CN107612890A CN 107612890 A CN107612890 A CN 107612890A CN 201710733192 A CN201710733192 A CN 201710733192A CN 107612890 A CN107612890 A CN 107612890A
Authority
CN
China
Prior art keywords
secret information
attack
message
behavior
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710733192.0A
Other languages
English (en)
Other versions
CN107612890B (zh
Inventor
周舟
刘萍
孙永
刘庆云
张成伟
刘俊朋
王凤梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201710733192.0A priority Critical patent/CN107612890B/zh
Publication of CN107612890A publication Critical patent/CN107612890A/zh
Application granted granted Critical
Publication of CN107612890B publication Critical patent/CN107612890B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种网络监测方法,其步骤包括:接收攻击窃密行为检测策略;根据其中的规则特征,对网络流量进行检测,发现攻击窃密行为;根据与攻击窃密行为检测策略对应的报文留存策略,对相应攻击窃密行为进行报文留存;并据以完成攻击窃密行为溯源。同时提供相应系统,包括存储器、接收器和处理器;存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令;接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略;处理器用于执行存储器中存储的上述方法对应的程序指令。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略,采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。

Description

一种网络监测方法及系统
技术领域
本发明涉及信息安全和计算机网络领域,尤其涉及一种网络监测方法及系统。
背景技术
随着网络安全形式的恶化,特别是在针对计算机系统的攻击逐渐增加的情况下,如何为带宽越来越高、业务越来越复杂的计算机网络提供可靠的安全防护成为信息安全和计算机网络领域重点和热点的问题。为了提高网络攻击窃密监测能力,越来越多的网络监测系统部署在运营商、政府、军队、企业等的互联网出口。通常,网络监测系统通过分光或镜像的方法获得内部网络与互联网的网络流量。系统通过对网络流量进行重整和分析,找到潜在的攻击窃密行为,并报警或采取其他措施防止进一步攻击窃密行为的发生。
对网络流量进行检测和分析是网络监测系统核心的任务,常见的检测分析技术为特征检测。这种检测方法基于这样的假设,即所有的攻击窃密行为都有能被检测到的规则特征。特征检测是指通过描述这些攻击窃密行为的规则特征,构建特征库。在检测时,对网络流量进行模式匹配,凡是符合特征库中的规则特征的行为均视为攻击窃密行为。当网络监测系统检测到攻击窃密行为后,产生报警并保存与上报攻击现场以备后续追踪溯源。
发明内容
为了提高传统网络监测系统检测攻击窃密行为和发现攻击窃密行为后追踪溯源的效果,本发明提供一种网络监测方法及系统。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略,采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。
为达上述目的,本发明所采用的技术方案为:
一种网络监测方法,其步骤包括:
接收攻击窃密行为检测策略;
根据攻击窃密行为检测策略中的规则特征,对网络流量进行检测,发现攻击窃密行为;
根据与攻击窃密行为检测策略对应的报文留存策略,对相应攻击窃密行为进行报文留存;
根据留存的报文完成攻击窃密行为溯源。
进一步地,所述攻击窃密行为检测策略是指监测中心下发的攻击窃密检测策略或用户配置的内置攻击窃密检测策略。
更进一步地,根据攻击窃密行为检测策略中的策略ID,判断所述攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略还是攻击窃密检测策略;
若所述攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略,则直接对该攻击窃密行为进行报文留存;
若所述攻击窃密行为对应的攻击窃密行为检测策略是攻击窃密检测策略,则获取该攻击窃密行为对应的攻击窃密检测策略中的store_pcap参数值,并判断该参数值是否指示进行报文留存。
进一步地,所述攻击窃密行为的类型包括木马攻击窃密行为、漏洞利用攻击窃密行为和恶意程序攻击窃密行为;每一类型的攻击窃密行为都对应相应的攻击窃密行为检测策略。
进一步地,所述攻击窃密行为检测策略包括木马攻击窃密检测策略、漏洞利用攻击窃密检测策略和恶意程序攻击窃密检测策略。
进一步地,所述报文留存策略采用动态流式攻击窃密报文留存方法,包括:当一条网络流的一个报文符合规则特征时,留存该条网络流所有报文的原始报文,并将该条网络流所有报文的原始报文上报至监测中心。
更进一步地,所述动态流式攻击窃密报文留存方法还包括:
留存一条网络流所有报文的原始报文时,判断该条网络流中是否有符合规则特征的报文;
若有,则将留存的该条网络流所有报文的原始报文上报至监测中心;否则丢弃留存的该条网络流所有报文的原始报文。
进一步地,所述报文留存策略还能够采用网络流的窗口式动态留存方法,包括:
1)设定一窗口长度,并从一条网络流的第一个报文的原始报文开始进行留存;
2)当下一个报文到达时,判断当前留存的原始报文长度是否达到窗口长度;
3)若当前留存的原始报文长度未达到窗口长度,则留存该报文的原始报文;若当前留存的原始报文长度达到窗口长度,则判断当前留存的原始报文中是否有符合规则特征的报文;
4)若有符合规则特征的报文,则留存该条网络流后续的所有报文的原始报文,并将留存的该条网络流所有报文的原始报文上报至监测中心;
5)若没有符合规则特征的报文,则留存该报文的原始报文,并丢弃第一个留存的原始报文;
6)循环执行步骤2)至步骤5),若保留的最新的窗口长度内的原始报文有符合规则特征的报文,则执行步骤4);否则当该条网络流结束时,丢弃留存的该条网络流所有报文的原始报文。
更进一步地,所述原始报文包括该原始报文对应的策略ID。
一种网络监测系统,包括存储器、接收器和处理器;
所述存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令;
所述接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略;
所述处理器用于执行存储器中存储的上述方法对应的程序指令,以使所述网络监测系统执行上述任一所述方法的步骤。
本发明主要具有以下优点:
1)本发明方法根据与攻击窃密行为检测策略对应的报文留存策略进行报文留存与上报,以保证本发明方法的高效性和灵活性,且在无需大幅增加网络监测系统开销的前提下实现攻击窃密报文的及时留存。
2)通过采用本发明的动态报文留存方案(即动态流式攻击窃密报文留存方法和网络流的窗口式动态留存方法),能够确保在尽可能全面的留存攻击窃密报文的前提下,避免大量增加系统负担。
3)在上报至监测中心的原始报文中还包括策略ID,监测中心可根据该策略ID确定对应的规则特征,并结合上报的原始报文进行溯源分析或进行进一步的告警优化。
附图说明
图1为本发明提供的一种网络监测方法流程图。
图2为本发明一实施例的一种动态流式攻击窃密报文留存方法流程图。
图3为本发明另一实施例的一种动态流式攻击窃密报文留存方法流程图。
图4为本发明一实施例的一种网络流的窗口式动态留存方法流程图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。
为了提高传统网络监测系统检测攻击窃密行为和发现攻击窃密行为后追踪溯源的效果,本发明提供了一种网络监测方法,该方法用于实现攻击窃密报文的留存与上报,其主要适用于部署在互联网出口处的网络监测系统中,所述网络监测系统通过分光或镜像的方法获得内部网络与互联网之间的网络流量。
本发明提供的一种网络监测方法流程图如图1所示,包括以下三个步骤:
1)策略接收。网络监测系统接收攻击窃密行为检测策略;所述攻击窃密行为检测策略是指监测中心下发的攻击窃密检测策略或者直接加载内置攻击窃密检测策略;
2)攻击检测。网络监测系统根据上述攻击窃密行为检测策略中的规则特征,对网络流量进行检测,得到攻击窃密行为;
3)报文留存与上报。网络监测系统发现攻击窃密行为后,根据与攻击窃密行为检测策略对应的报文留存策略,对相应攻击窃密行为进行报文留存,并上报至监测中心,完成攻击窃密行为溯源,实现网络监测。
下面将对每个步骤的处理过程进行详细说明。
1)策略接收。该步骤中,网络监测系统接收监测中心下发的攻击窃密检测策略。同时,网络监测系统中也可以预先或者在系统运行过程中,接收用户配置的内置攻击窃密检测策略。所述内置攻击窃密检测策略预置在网络监测系统中,可以自行进行更新和维护。所述攻击窃密检测策略由监测中心统一下发和更新,且网络监测系统负责接收并加载执行。
攻击窃密行为和其对应的攻击窃密行为检测策略的分类是本发明得以实施的基础。从攻击窃密的原理对攻击窃密行为进行分类,可分为木马攻击窃密行为、漏洞利用攻击窃密行为和恶意程序攻击窃密行为。每一类型的攻击窃密行为都对应相应的攻击窃密行为检测策略。
所述攻击窃密行为检测策略包括木马攻击窃密检测策略、漏洞利用攻击窃密检测策略和恶意程序攻击窃密检测策略三种类型。攻击窃密行为检测策略是指通过Base64编码以后,以字符串类型作为攻击窃密行为检测策略下发命令的config字段值传递。攻击窃密行为检测策略下发命令的其他字段还包含攻击窃密行为检测策略对应的模块名、策略对应版本号、策略下发类型、策略个数等。
针对每种类型的攻击窃密行为,其对应的攻击窃密行为检测策略中有相应的字段表示报文留存规则,即符合攻击窃密行为检测策略的规则特征后是否进行流的报文留存。当字段值为1时,表示进行报文留存;当字段值为2时,表示不进行报文留存。网络监测系统内置的检测策略(即内置攻击窃密检测策略)全部需要进行报文留存。以下详细说明每种类型的攻击窃密行为对应的攻击窃密行为检测策略。
A)木马攻击窃密检测策略。木马攻击窃密检测策略的参数除了规则特征(其规则特征符合snort标准),还包括木马分类编号、报文留存策略、攻击适用的操作系统、木马名称、木马类型等。木马攻击窃密检测策略参数表如表1所示。
表1:木马攻击窃密检测策略参数表
B)漏洞利用攻击窃密检测策略。漏洞利用攻击窃密检测策略的参数除了规则特征(其规则特征符合snort标准),还包括报文留存策略、攻击类型、攻击适用的应用程序、攻击适用的操作系统等。漏洞利用攻击窃密检测策略参数表如表2所示。
表2:漏洞利用攻击窃密检测策略参数表
表3:攻击类型表
C)恶意程序攻击窃密检测策略。恶意程序攻击窃密检测策略的参数除了规则特征(包含恶意程序的md5、恶意程序包含的十六进制字符串),还包括报文留存策略、恶意程序种类、恶意程序名称等。恶意程序攻击窃密检测策略参数表如表4所示。
表4:恶意程序攻击窃密检测策略参数表
2)攻击检测。该步骤负责攻击窃密行为的检测。在检测时,对网络流量进行规则匹配,凡是符合攻击窃密行为检测策略中的规则特征的行为均视为攻击窃密行为。
该步骤中,攻击检测方法采用特征检测技术。网络监测系统根据内置攻击窃密检测策略或者攻击窃密检测策略进行检测。
3)报文留存与上报。在攻击检测步骤中发现攻击窃密行为后,根据与攻击窃密行为检测策略对应的报文留存策略,对相应攻击窃密行为进行报文留存与上报,以备后续追踪溯源。其中,木马攻击窃密行为、漏洞利用攻击窃密行为和恶意程序攻击窃密行为分别设置了报文留存策略,网络监测系统根据报文留存策略进行相应的报文留存动作,并上报至监测中心。
在高速网络环境下,大量的报文留存会增大网络监测系统的计算开销,特别是存储开销,因此,需要在不大幅增加网络监测系统开销的前提下实现攻击报文的及时留存。本发明采取动态流式攻击窃密报文留存方法。一条网络流由TCP/IP头部的源IP地址、目的IP地址、源端口号、目的端口号和传输层协议五元组构成。当一条网络流的某个报文被发现符合攻击窃密行为检测策略中的规则特征时,网络监测系统则根据与攻击窃密行为检测策略对应的报文留存策略,对该条网络流所有报文的原始报文进行留存。当该条网络流结束时,网络监测系统上报该条网络流所有报文的原始报文至监测中心。
请参考图2,步骤3)的执行过程具体包括以下子步骤:
步骤301:在攻击检测步骤中发现攻击窃密行为后(在该处所述攻击窃密行为实质上就是一条网络流中符合攻击窃密行为检测策略中的规则特征的报文),通过策略ID判断该攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略还是攻击窃密检测策略;如果是内置攻击窃密检测策略(此时策略ID为0),则直接在步骤303进行报文留存与上报;如果是攻击窃密检测策略,则执行步骤302。
步骤302:获取该攻击窃密行为对应的攻击窃密检测策略中的store_pcap参数值,并进行判断,当该参数值指示进行报文留存时,执行步骤303进行报文留存与上报;否则,不进行报文留存,继续检测,在再次发现攻击窃密行为后,继续执行步骤301。
步骤303:留存该攻击窃密行为对应的网络流的所有报文的原始报文,当该条网络流结束时,网络监测系统上报该条网络流所有报文的原始报文至监测中心。
在步骤303上报的原始报文中,还可以进一步包括策略ID,则监测中心可以根据策略ID确定对应的规则特征,并结合上报的原始报文进行溯源分析或进行进一步的告警优化。
在以上实施例的流程中,网络监测系统在发现攻击窃密行为后才进行报文留存与上报。在本发明另外的实施例中,也可以针对一条网络流的全部报文进行留存,该网络流结束时,判断留存的全部报文是否有符合攻击窃密行为检测策略中的规则特征的报文,以决定上报或丢弃报文。
请参考图3,该实施例包括以下子步骤:
步骤311:当检测到一条新的网络流开始时,从该条网络流的第一个报文的原始报文开始进行留存;
步骤312:检测该条网络流是否结束,在检测到该条网络流结束后,执行步骤313;否则继续执行步骤311;
步骤313:判断在该条网络流的检测过程中是否有符合攻击窃密行为检测策略中的规则特征的报文,如果有,则执行步骤314;否则执行步骤315;
步骤314:将留存的该条网络流所有报文的原始报文上报至监测中心;
步骤315:丢弃留存的该条网络流所有报文的原始报文。
在该实施例中,所述原始报文还包括该原始报文对应的策略ID。监测中心可以根据策略ID确定对应的规则特征,并结合上报的原始报文进行溯源分析或进行进一步的告警优化。
在本发明另外的实施例中,还可以进行网络流的窗口式动态留存,请参考图4,该实施例包括以下子步骤:
步骤321:当检测到一条新的网络流开始时,从该条网络流的第一个报文的原始报文开始进行留存;
步骤322:当下一个报文到达时,判断当前留存的原始报文长度是否达到窗口长度(窗口长度可根据经验进行调整,如4000字节或3个报文等),如果没有达到窗口长度,则执行步骤323;如果达到了设定的窗口长度,则执行步骤324;
步骤323:留存该报文的原始报文,然后返回继续执行步骤322;
步骤324:判断当前留存的原始报文是否有符合攻击窃密行为检测策略中的规则特征的报文,如果有,则执行步骤325;否则执行步骤328;
步骤325:保留该窗口长度内的报文的原始报文,并留存该条网络流后续的所有报文的的原始报文(即进行报文留存),然后执行步骤326;
步骤326:判断该条网络流是否结束,如果没有结束,返回执行步骤325;如果已结束,则执行步骤327;
步骤327:将留存的该条网络流所有报文的原始报文上报至监测中心;
步骤328:留存该报文的原始报文,并丢弃第一个留存的报文的原始报文,也即仅保留最新的窗口长度内的原始报文,丢弃之前的原始报文,之后执行步骤329;
步骤329:判断该条网络流是否结束,如果没有结束,则执行步骤330;如果已结束,则丢弃该条网络流的全部报文(即丢弃该条网络流所有的原始报文);
步骤330:当下一个报文到达时,返回继续执行步骤324。
在该实施例中,所述原始报文还包括该原始报文对应的策略ID。监测中心可以根据策略ID确定对应的规则特征,并结合上报的原始报文进行溯源分析或进行进一步的告警优化。
在硬件实现方面,本发明的网络监测系统包括:接收器、处理器和存储器。
存储器用于存储本发明任一所述方法对应的程序指令,以及内置攻击窃密检测策略和监测中心下发的攻击窃密检测策略等。
接收器用于通过分光器或镜像装置获取内部网络与互联网之间的网络流量,并进行物理层和数据链路层的解析处理,以及用于网络监测系统与监测中心通信,接收监测中心下发的攻击窃密检测策略等相关数据,解析后供处理器进行处理,并将处理器发送给监测中心的数据进行数据链路层和物理层的调制处理后,发送给监测中心。
处理器用于通过执行存储器中存储的本发明任一所述方法对应的程序指令,完成本发明任一所述方法实施例中的各个步骤,具体内容这里不再赘述。
以上实施仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种网络监测方法,其步骤包括:
接收攻击窃密行为检测策略;
根据攻击窃密行为检测策略中的规则特征,对网络流量进行检测,得到攻击窃密行为;
根据与攻击窃密行为检测策略对应的报文留存策略,对相应攻击窃密行为进行报文留存;
根据留存的报文完成攻击窃密行为溯源。
2.如权利要求1所述的网络监测方法,其特征在于,所述攻击窃密行为检测策略是指监测中心下发的攻击窃密检测策略或用户配置的内置攻击窃密检测策略。
3.如权利要求2所述的网络监测方法,其特征在于,根据攻击窃密行为检测策略中的策略ID,判断所述攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略还是攻击窃密检测策略;
若所述攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略,则直接对该攻击窃密行为进行报文留存;
若所述攻击窃密行为对应的攻击窃密行为检测策略是攻击窃密检测策略,则获取该攻击窃密行为对应的攻击窃密检测策略中的store_pcap参数值,并判断该参数值是否指示进行报文留存。
4.如权利要求1所述的网络监测方法,其特征在于,所述攻击窃密行为的类型包括木马攻击窃密行为、漏洞利用攻击窃密行为和恶意程序攻击窃密行为;每一类型的攻击窃密行为都对应相应的攻击窃密行为检测策略。
5.如权利要求4所述的网络监测方法,其特征在于,所述攻击窃密行为检测策略包括木马攻击窃密检测策略、漏洞利用攻击窃密检测策略和恶意程序攻击窃密检测策略。
6.如权利要求1所述的网络监测方法,其特征在于,所述报文留存策略采用动态流式攻击窃密报文留存方法,包括:当一条网络流的一个报文符合规则特征时,留存该条网络流所有报文的原始报文,并将该条网络流所有报文的原始报文上报至监测中心。
7.如权利要求6所述的网络监测方法,其特征在于,所述动态流式攻击窃密报文留存方法还包括:
留存一条网络流所有报文的原始报文时,判断该条网络流中是否有符合规则特征的报文;
若有,则将留存的该条网络流所有报文的原始报文上报至监测中心;否则丢弃留存的该条网络流所有报文的原始报文。
8.如权利要求1所述的网络监测方法,其特征在于,所述报文留存策略采用网络流的窗口式动态留存方法,包括:
1)设定一窗口长度,并从一条网络流的第一个报文的原始报文开始进行留存;
2)当下一个报文到达时,判断当前留存的原始报文长度是否达到窗口长度;
3)若当前留存的原始报文长度未达到窗口长度,则留存该报文的原始报文;若当前留存的原始报文长度达到窗口长度,则判断当前留存的原始报文中是否有符合规则特征的报文;
4)若有符合规则特征的报文,则留存该条网络流后续的所有报文的原始报文,并将留存的该条网络流所有报文的原始报文上报至监测中心;
5)若没有符合规则特征的报文,则留存该报文的原始报文,并丢弃第一个留存的原始报文;
6)循环执行步骤2)至步骤5),若保留的最新的窗口长度内的原始报文有符合规则特征的报文,则执行步骤4);否则当该条网络流结束时,丢弃留存的该条网络流所有报文的原始报文。
9.如权利要求8所述的网络监测方法,其特征在于,所述原始报文包括该原始报文对应的策略ID。
10.一种网络监测系统,包括存储器、接收器和处理器;
所述存储器用于存储攻击窃密行为检测策略以及与权利要求1至9任一项所述方法对应的程序指令;
所述接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略;
所述处理器用于执行存储器中存储的权利要求1至9任一项所述方法对应的程序指令,以使所述网络监测系统执行相应方法的步骤。
CN201710733192.0A 2017-08-24 2017-08-24 一种网络监测方法及系统 Active CN107612890B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710733192.0A CN107612890B (zh) 2017-08-24 2017-08-24 一种网络监测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710733192.0A CN107612890B (zh) 2017-08-24 2017-08-24 一种网络监测方法及系统

Publications (2)

Publication Number Publication Date
CN107612890A true CN107612890A (zh) 2018-01-19
CN107612890B CN107612890B (zh) 2020-09-15

Family

ID=61065853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710733192.0A Active CN107612890B (zh) 2017-08-24 2017-08-24 一种网络监测方法及系统

Country Status (1)

Country Link
CN (1) CN107612890B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400978A (zh) * 2018-02-07 2018-08-14 深圳壹账通智能科技有限公司 漏洞检测方法、装置、计算机设备和存储介质
CN108566377A (zh) * 2018-03-14 2018-09-21 中电和瑞科技有限公司 一种攻击事件取证方法、装置及存储介质
CN109587124A (zh) * 2018-11-21 2019-04-05 国家电网有限公司 电力网络的处理方法、装置和系统
CN109698819A (zh) * 2018-11-19 2019-04-30 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统
CN110221581A (zh) * 2019-04-26 2019-09-10 工业互联网创新中心(上海)有限公司 工业控制网络监测装置和方法
CN112637229A (zh) * 2020-12-29 2021-04-09 湖南文理学院 基于安全云的网络入侵协同检测方法
CN114301689A (zh) * 2021-12-29 2022-04-08 北京安天网络安全技术有限公司 校园网络安全防护方法、装置、计算设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022411A (zh) * 2007-03-07 2007-08-22 华为技术有限公司 多链路捆绑协议报文分片接收方法
CN101039176A (zh) * 2007-04-25 2007-09-19 华为技术有限公司 一种dhcp监听方法及其装置
CN102843362A (zh) * 2012-08-08 2012-12-26 江苏华丽网络工程有限公司 一种使用tcam进行arp防御的方法
CN103095563A (zh) * 2011-11-01 2013-05-08 中兴通讯股份有限公司 一种报文处理方法及系统
US20140230059A1 (en) * 2011-12-07 2014-08-14 Beijing Runstone Technology Incorporation Method and Apparatus for Tracing Attack Source of Abnormal Network Traffic
CN105187265A (zh) * 2015-07-01 2015-12-23 中国科学院信息工程研究所 一种面向流量测试的网络流水印标记和溯源方法
CN106131054A (zh) * 2016-08-17 2016-11-16 国家计算机网络与信息安全管理中心 基于安全云的网络入侵协同检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022411A (zh) * 2007-03-07 2007-08-22 华为技术有限公司 多链路捆绑协议报文分片接收方法
CN101039176A (zh) * 2007-04-25 2007-09-19 华为技术有限公司 一种dhcp监听方法及其装置
CN103095563A (zh) * 2011-11-01 2013-05-08 中兴通讯股份有限公司 一种报文处理方法及系统
US20140230059A1 (en) * 2011-12-07 2014-08-14 Beijing Runstone Technology Incorporation Method and Apparatus for Tracing Attack Source of Abnormal Network Traffic
CN102843362A (zh) * 2012-08-08 2012-12-26 江苏华丽网络工程有限公司 一种使用tcam进行arp防御的方法
CN105187265A (zh) * 2015-07-01 2015-12-23 中国科学院信息工程研究所 一种面向流量测试的网络流水印标记和溯源方法
CN106131054A (zh) * 2016-08-17 2016-11-16 国家计算机网络与信息安全管理中心 基于安全云的网络入侵协同检测方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400978A (zh) * 2018-02-07 2018-08-14 深圳壹账通智能科技有限公司 漏洞检测方法、装置、计算机设备和存储介质
CN108400978B (zh) * 2018-02-07 2021-08-06 深圳壹账通智能科技有限公司 漏洞检测方法、装置、计算机设备和存储介质
CN108566377A (zh) * 2018-03-14 2018-09-21 中电和瑞科技有限公司 一种攻击事件取证方法、装置及存储介质
CN109698819A (zh) * 2018-11-19 2019-04-30 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统
CN109698819B (zh) * 2018-11-19 2020-07-24 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统
CN109587124A (zh) * 2018-11-21 2019-04-05 国家电网有限公司 电力网络的处理方法、装置和系统
CN109587124B (zh) * 2018-11-21 2021-08-03 国家电网有限公司 电力网络的处理方法、装置和系统
CN110221581A (zh) * 2019-04-26 2019-09-10 工业互联网创新中心(上海)有限公司 工业控制网络监测装置和方法
CN110221581B (zh) * 2019-04-26 2022-03-15 工业互联网创新中心(上海)有限公司 工业控制网络监测装置和方法
CN112637229A (zh) * 2020-12-29 2021-04-09 湖南文理学院 基于安全云的网络入侵协同检测方法
CN114301689A (zh) * 2021-12-29 2022-04-08 北京安天网络安全技术有限公司 校园网络安全防护方法、装置、计算设备及存储介质
CN114301689B (zh) * 2021-12-29 2024-02-23 北京安天网络安全技术有限公司 校园网络安全防护方法、装置、计算设备及存储介质

Also Published As

Publication number Publication date
CN107612890B (zh) 2020-09-15

Similar Documents

Publication Publication Date Title
CN107612890A (zh) 一种网络监测方法及系统
AU2017200969B2 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
Dou et al. A confidence-based filtering method for DDoS attack defense in cloud environment
Haddadi et al. Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification
US7017186B2 (en) Intrusion detection system using self-organizing clusters
US9584533B2 (en) Performance enhancements for finding top traffic patterns
US11368470B2 (en) Real-time alert reasoning and priority-based campaign discovery
CN103428224A (zh) 一种智能防御DDoS攻击的方法和装置
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
CN111865996A (zh) 数据检测方法、装置和电子设备
Chen et al. LDDoS Attack Detection by Using Ant Colony Optimization Algorithms.
Haddadi et al. How to choose from different botnet detection systems?
Cambiaso et al. Detection and classification of slow DoS attacks targeting network servers
CN105939328A (zh) 网络攻击特征库的更新方法及装置
Hurley et al. ITACA: Flexible, scalable network analysis
Stergiopoulos et al. Using side channel TCP features for real-time detection of malware connections
CN116915519B (zh) 数据流溯源的方法、装置、设备以及存储介质
Lee et al. High performance payload signature-based Internet traffic classification system
Promrit et al. Traffic flow classification and visualization for network forensic analysis
Ussath et al. Automatic multi-step signature derivation from taint graphs
Divya et al. Malicious Traffic detection and containment based on connection attempt failures using kernelized ELM with automated worm containment algorithm
CN105530098A (zh) 一种协议指纹自动提取方法及系统
Junior et al. A User-friendly Approach to Write and Enforce Rules for Detecting Anomalous Network Traffic in IoT Environments
Gore et al. Improvised Ensemble Model for Fast Prediction of DoS/DDoS Attacks in Various Networks
Jeevitha et al. Identification of DDoS Attack using Blended Machine Learning Algorithms

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant