CN107666468B - 网络安全检测方法和装置 - Google Patents
网络安全检测方法和装置 Download PDFInfo
- Publication number
- CN107666468B CN107666468B CN201610615866.2A CN201610615866A CN107666468B CN 107666468 B CN107666468 B CN 107666468B CN 201610615866 A CN201610615866 A CN 201610615866A CN 107666468 B CN107666468 B CN 107666468B
- Authority
- CN
- China
- Prior art keywords
- subgraph
- subgraphs
- frequent
- network
- characteristic subgraph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提出一种网络安全检测方法和装置,涉及大数据领域。其中,本发明的网络安全检测方法,包括:根据网络通信状态实时生成网络状态图;在网络状态图中匹配预定特征子图,其中,预定特征子图为网络通信状态发生异常时的状态图;在匹配成功的情况下,确定发生预定特征子图对应的异常事件。通过这样的方法,能够在实时生成的网络状态图中采用图像匹配的方式查找异常状态对应的子图,确定网络中是否发生该异常状态。与传统的基于关键词的搜索方式相比,图匹配技术更适合对具有高度关联性的数据进行复杂模式搜索,能够极大的提高网络安全检测的效率。
Description
技术领域
本发明涉及大数据领域,特别是一种网络安全检测方法和装置。
背景技术
随着互联网的迅速发展,网络数据更新的日益频繁,网络安全问题也备受关注,对于网络安全检测的准确性、实时性的要求越来越高,而日益庞大的网络、多种多样的网络威胁方式对网络安全检测提出了更高的挑战。
典型的网络安全系统通常采用模式串匹配技术进行入侵检测和反病毒、反垃圾邮件检测,这样的方式计算复杂,效率低,已经无法满足移动互联网时代网络数据动态变化和大数据量的检测要求。在网络威胁诊断、病毒检测、网络故障和漏洞排除等多方面都需要更好的网络安全检测技术来提供支持。
发明内容
本发明的一个目的在于提高网络安全检测的效率。
根据本发明的一个方面,提出一种网络安全检测方法,包括:根据网络通信状态实时生成网络状态图,其中,网络状态图的节点表示的信息包括主机、IP地址和/或用户,网络状态图的连接线表示的信息包括主机间的通信、用户的登录和/或IP地址的切换;在网络状态图中匹配预定特征子图,其中,预定特征子图为网络通信状态发生异常时的状态图;在匹配成功的情况下,确定发生预定特征子图对应的异常事件。
进一步地,在网络状态图中匹配预定特征子图包括:将当前时刻的网络状态图与过去指定时刻的网络状态图相比较,确定网络状态图中发生变化的部分;在发生变化的部分中匹配预定特征子图。
进一步地,在网络状态图中匹配预定特征子图包括:根据网络状态图进行节点和连接线编码并确定待匹配前缀树;基于先验规则在待匹配前缀树中查找预定特征子图前缀树,其中,预定特征子图前缀树为根据预定特征子图生成的前缀树。
进一步地,当确定发生预定特征子图对应的异常事件时,还包括:在网络状态图中匹配预定特征子图的父类图,预定特征子图的父类图为预定特征子图对应的异常事件的子类型异常事件对应的状态图;若匹配成功,则确定发生预定特征子图的父类图对应的子类型异常事件。
进一步地,还包括:根据发生异常事件时的网络通信状态生成预定特征子图,预定特征子图为标识异常事件的最小网络通信状态图。
进一步地,根据异常事件对应的网络通信状态生成预定特征子图具体包括:基于预定阈值获取发生预定异常事件的网络状态图中的频繁子图;获取频繁子图的子图,若频繁子图不存在子图,则设定频繁子图为预定特征子图;若频繁子图存在子图,则,统计异常状态发生时频繁子图的数量,以及频繁子图的子图的数量;若频繁子图的子图的数量与频繁子图的数量的差小于预定阈值,则设定频繁子图为预定特征子图;若频繁子图的子图的数量与频繁子图的数量的差不小于预定阈值,则设置频繁子图的子图为频繁子图,执行获取频繁子图的子图的步骤。
通过这样的方法,能够在实时生成的网络状态图中采用图像匹配的方式查找异常状态对应的子图,确定网络中是否发生该异常状态。与传统的基于关键词的搜索方式相比,图匹配技术更适合对具有高度关联性的数据进行复杂模式搜索,能够极大的提高网络安全检测的效率。
根据本发明的另一个方面,提一种网络安全检测装置,包括:网络状态图生成模块,用于根据网络通信状态实时生成网络状态图,其中,网络状态图的节点表示的信息包括主机、IP地址和/或用户,网络状态图的连接线表示的信息包括主机间的通信、用户的登录和/或IP地址的切换;图形匹配模块,用于在网络状态图中匹配预定特征子图,其中,预定特征子图为网络通信状态发生异常时的状态图。
进一步地,图形匹配模块包括:变化确定单元,用于将当前时刻的网络状态图与过去指定时刻的网络状态图相比较,确定网络状态图中发生变化的部分;匹配单元,用于在发生变化的部分中匹配预定特征子图。
进一步地,图形匹配模块具体用于:根据网络状态图进行节点和连接线编码并确定待匹配前缀树;基于先验规则在待匹配前缀树中查找预定特征子图前缀树,其中,预定特征子图前缀树为根据预定特征子图生成的前缀树。
进一步地,图形匹配模块还用于:当确定发生预定特征子图对应的异常事件时,在网络状态图中匹配预定特征子图的父类图,预定特征子图的父类图为预定特征子图对应的异常事件的子类型异常事件对应的状态图;若匹配成功,则确定发生预定特征子图的父类图对应的子类型异常事件。
进一步地,还包括:特征子图设定模块,用于根据发生异常事件时的网络通信状态生成预定特征子图,预定特征子图为标识异常事件的最小网络通信状态图。
进一步地,特征子图设定模块包括:频繁子图获取单元,用于基于预定阈值获取发生预定异常事件的网络状态图中的频繁子图;子图获取单元,用于获取频繁子图的子图,若频繁子图不存在子图,则将频繁子图发送给特征子图确定单元;若频繁子图存在子图,则激活统计单元;统计单元,用于统计异常状态发生时频繁子图的数量,以及频繁子图的子图的数量;若频繁子图的子图的数量与频繁子图的数量的差小于预定阈值,则将频繁子图发送给特征子图确定单元;若频繁子图的子图的数量与频繁子图的数量的差不小于预定阈值,则设置频繁子图的子图为频繁子图并发送给子图获取单元;特征子图确定单元,用于确定频繁子图为预定特征子图。
这样的装置能够在实时生成的网络状态图中采用图像匹配的方式查找异常状态对应的子图,确定网络中是否发生该异常状态。与传统的基于关键词的搜索方式相比,图匹配技术更适合对具有高度关联性的数据进行复杂模式搜索,能够极大的提高网络安全检测的效率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明的网络安全检测方法的一个实施例的流程图。
图2为本发明的网络安全检测方法中网络状态图的一个实施例的示意图。
图3a为本发明的网络安全检测方法中预定特征子图的一个实施例的示意图。
图3b为本发明的网络安全检测方法中预定特征子图的另一个实施例的示意图。
图3c为本发明的网络安全检测方法中预定特征子图的又一个实施例的示意图。
图4为本发明的网络安全检测方法中匹配预定特征子图的一个实施例的流程图。
图5为本发明的网络安全检测方法中状态图编码和匹配的一个实施例的示意图。
图6为本发明的网络安全检测方法中预定特征子图生成的一个实施例的流程图。
图7为本发明的网络安全检测装置的一个实施例的示意图。
图8为本发明的网络安全检测装置中图形匹配模块的一个实施例的示意图。
图9为本发明的网络安全检测装置的另一个实施例的示意图。
图10为本发明的网络安全检测装置中特征子图设定模块的一个实施例的示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明的网络安全监测方法的一个实施例的流程图如图1所示。
在步骤101中,根据网络通信状态实时生成网络状态图。网络状态图的节点表示的信息包括主机、IP地址、用户等,网络状态图的连接线表示的信息包括主机间的通信、用户的登录、IP地址的切换等。在一个实施例中,网络状态图如图2所示。
在步骤102中,在网络状态图中匹配预定特征子图,其中,预定特征子图为网络通信状态发生异常时的状态图,例如图3a、图3b、图3c所示,其中,图3a为蠕虫病毒传播的预定特征子图,图3b为DDOS攻击的预定特征子图,图3c为放大攻击的预定特征子图。
在步骤103中,在匹配成功的情况下,确定发生预定特征子图对应的异常事件。在一个实施例中,可以对异常事件进行预警,以便工作人员进行实时处理。
通过这样的方法,能够在实时生成的网络状态图中采用图像匹配的方式查找异常状态对应的子图,确定网络中是否发生该异常状态。与传统的基于关键词的搜索方式相比,图匹配技术更适合对具有高度关联性的数据进行复杂模式搜索,能够极大的提高网络安全检测的效率。
在一个实施例中,每次匹配时可记录匹配时刻的网络状态图和匹配时刻,在下一个匹配时刻时,将实时的网络状态图与上一个匹配时刻的网络状态图相比较,获得网络状态图中发生变化的部分,在发生变化的部分中匹配预定特征子图,能够更快的得到两个匹配时刻之间发生的异常事件。通过采用动态的大数据图匹配的方式能够大大的减少特征子图匹配的运算量,提高匹配效率,提高网络安全监测的实时性。同时,记录每次确定的异常事件以及匹配时刻能够更有目的性的针对检测结果掌握网络状态。
本发明的网络安全检测方法中匹配预定特征子图的一个实施例的流程图如图4所示。
在步骤401中,根据网络状态图进行节点和连接线编码并确定待匹配前缀树。如图5所示,左侧的图为预定特征子图,将特征子图的节点和连接线分别编码;右侧的为网络状态图,将网络状态图的节点和连接线分别编码。图5中标识A、B为节点表示的信息类型的标识,a、b为连接线表示的信息类型的标识,u1~u9为网络状态图节点编码,v1~v4为预定特征子图编码。
在步骤402中,基于先验规则在待匹配前缀树中查找预定特征子图前缀树。在一个实施例中,先在待匹配前缀树中匹配预定特征子图的子图,若未能匹配成功,则无需继续匹配即能够确定待匹配前缀树中不包括预定特征子图,从而减少匹配次数,提高匹配效率。在另一个实施例中,可采用深度优先算法进行匹配,在保证匹配准确度的同时,提高匹配效率。
通过这样的方法,能够实现在网络状态图中查找预定特征子图,且提高匹配效率,提高网络安全监测的准确性、实时性,满足网络动态变化和大数据量的需求。
在一个实施例中,当在网络状态图中成功匹配预定特征子图后,可以再匹配预定特征子图的父类图,预定特征子图的父类图为预定特征子图对应的异常事件的子类型异常事件的状态图。若匹配成功,则确定发生预定特征子图的父类图对应的子类型异常事件。通过这样的方法,能够在保证匹配效率的同时,对异常事件进行更加准确的确认。
在一个实施例中,还可以根据已有的异常事件生成预定特征子图,预定特征子图为标识异常事件的最小网络通信状态图。采用能够标识异常事件的最小网络通信状态图作为预定特征子图能够更加准确的确认网络状态图中的异常事件,防止误判的产生。
在一个实施例中,可以在确认发生异常状态的网络状态图中自动生成预定特征子图,如图6所示。
在步骤601中,基于预定阈值获取发生预定异常事件的网络状态图中的频繁子图。频繁子图为在网络状态图中的数量超过预定阈值的子图。
在步骤602中,确定频繁子图中是否包括子图。若频繁子图中不包括子图,则执行步骤606;若频繁子图中不包括子图,则执行步骤603。
在步骤603中,获取频繁子图的子图,统计异常状态发生时状态图中频繁子图的数量,以及频繁子图的子图的数量。
在步骤604中,比较频繁子图的数量与该频繁子图的子图的数量。若频繁子图的子图的数量与频繁子图的数量的差小于预定阈值,则执行步骤606;若频繁子图的子图的数量与频繁子图的数量的差不小于预定阈值,则执行步骤605。
在步骤605中,设置频繁子图的子图为频繁子图,执行步骤602。
在步骤606中,设定频繁子图为预定特征子图。
通过这样的方法,能够通过在确认发生异常状态的网络状态图中自动生成预定特征子图,从而丰富预定特征子图的数据库,保证异常事件确认的准确性。
本发明的网络安全检测装置的一个实施例的示意图如图7所示。其中,网络状态生成模块701能够根据网络通信状态实时生成网络状态图。网络状态图的节点表示的信息包括主机、IP地址、用户等,网络状态图的连接线表示的信息包括主机间的通信、用户的登录、IP地址的切换等。图形匹配模块702能够在网络状态图中匹配预定特征子图,其中,预定特征子图为网络通信状态发生异常时的状态图。异常状态可以包括蠕虫病毒传播、DDOS攻击、DNS放大攻击等。
通过这样的装置,能够在实时生成的网络状态图中采用图像匹配的方式查找异常状态对应的子图,确定网络中是否发生该异常状态。与传统的基于关键词的搜索方式相比,图匹配技术更适合对具有高度关联性的数据进行复杂模式搜索,能够极大的提高网络安全检测的效率。
本发明的网络安全检测装置中图形匹配模块的一个实施例的示意图如图8所示。图形匹配模块包括变化确定单元801和匹配单元802。其中,变化确定单元801能够将实时的网络状态图与上一个匹配时刻的网络状态图相比较,获得网络状态图中发生变化的部分,匹配单元802能够在发生变化的部分中匹配预定特征子图,确定匹配时刻与最近的上一个匹配时刻之间发生的异常事件。
这样的装置能够大大的减少特征子图匹配的运算量,提高匹配效率,提高网络安全监测的实时性。
在一个实施例中,图形匹配模块先根据网络状态图进行节点和连接线编码并确定待匹配前缀树,再基于先验规则在待匹配前缀树中查找预定特征子图前缀树。在一个实施例中,先在待匹配前缀树中匹配预定特征子图的子图,若未能匹配成功,则无需继续匹配即能够确定待匹配前缀树中不包括预定特征子图,从而提高匹配效率。在另一个实施例中,可采用深度优先算法进行匹配,在保证匹配准确度的同时,提高匹配效率。
这样的装置能够实现在网络状态图中查找预定特征子图,且提高匹配效率,提高网络安全监测的准确性、实时性,满足网络动态变化和大数据量的需求。
在一个实施例中,当图形匹配模块在网络状态图中成功匹配预定特征子图后,可以再匹配预定特征子图的父类图,预定特征子图的父类图为预定特征子图对应的异常事件的子类型异常事件对应的状态图。若匹配成功,则确定发生预定特征子图的父类图对应的子类型异常事件。这样的装置能够在保证匹配效率的同时,对异常事件进行更加准确的确认。
本发明的网络安全检测装置的另一个实施例的示意图如图9所示。其中,网络状态图生成模块901和图形匹配模块902的结构和功能与图7的实施例中相似。网络安全监测装置还包括特征子图设定模块903,用于根据已有的异常事件生成预定特征子图,预定特征子图为标识异常事件的最小网络通信状态图。采用能够标识异常事件的最小网络通信状态图作为预定特征子图能够更加准确的确认网络状态图中的异常事件,防止误判的产生。
在一个实施例中,特征子图设定模块如图10所示。其中,频繁子图获取单元1001用于基于预定阈值获取发生预定异常事件的网络状态图中的频繁子图。子图获取单元1002用于获取频繁子图的子图,若频繁子图不存在子图,则将频繁子图发送给特征子图确定单元1004;若频繁子图存在子图,则激活统计单元1003。统计单元1003用于统计异常状态发生时频繁子图的数量,以及频繁子图的子图的数量;若频繁子图的子图的数量与频繁子图的数量的差小于预定阈值,则将频繁子图发送给特征子图确定单元1004;若频繁子图的子图的数量与频繁子图的数量的差不小于预定阈值,则设置频繁子图的子图为频繁子图,并发送给子图获取单,1002。特征子图确定单元用于确定频繁子图为预定特征子图。
这样的装置能够通过在确认发生异常状态的网络状态图中自动生成预定特征子图,从而丰富预定特征子图的数据库,保证异常事件确认的准确性。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (12)
1.一种网络安全检测方法,其特征在于,
根据网络通信状态实时生成网络状态图,其中,所述网络状态图的节点表示的信息包括主机、IP地址和/或用户,所述网络状态图的连接线表示的信息包括主机间的通信、用户的登录和/或IP地址的切换;
在所述网络状态图中匹配预定特征子图,其中,所述预定特征子图为网络通信状态发生异常时的状态图,所述异常时的状态图包括蠕虫病毒传播的预定特征子图、分布式拒绝服务DDOS攻击的预定特征子图和/或放大攻击的预定特征子图;
在匹配成功的情况下,确定发生所述预定特征子图对应的异常事件。
2.根据权利要求1所述的方法,其特征在于,
所述在所述网络状态图中匹配预定特征子图包括:
将当前时刻的所述网络状态图与过去指定时刻的所述网络状态图相比较,确定所述网络状态图中发生变化的部分;
在所述发生变化的部分中匹配所述预定特征子图。
3.根据权利要求1或2所述的方法,其特征在于,所述在所述网络状态图中匹配预定特征子图包括:
根据所述网络状态图进行节点和连接线编码并确定待匹配前缀树;
基于先验规则在所述待匹配前缀树中查找预定特征子图前缀树,其中,所述预定特征子图前缀树为根据所述预定特征子图生成的前缀树。
4.根据权利要求1或2所述的方法,其特征在于,
当确定发生所述预定特征子图对应的异常事件时,还包括:
在所述网络状态图中匹配所述预定特征子图的父类图,所述预定特征子图的父类图为所述预定特征子图对应的异常事件的子类型异常事件对应的状态图;
若匹配成功,则确定发生所述预定特征子图的父类图对应的所述子类型异常事件。
5.根据权利要求1所述的方法,其特征在于,还包括:
根据发生异常事件时的网络通信状态生成预定特征子图,所述预定特征子图为标识所述异常事件的最小网络通信状态图。
6.根据权利要求5所述的方法,其特征在于,所述根据发生异常事件时的网络通信状态生成预定特征子图具体包括:
基于预定阈值获取发生预定异常事件的网络状态图中的频繁子图;
获取所述频繁子图的子图,若所述频繁子图不存在子图,则设定所述频繁子图为所述预定特征子图;若所述频繁子图存在子图,则,
统计异常状态发生时所述频繁子图的数量,以及所述频繁子图的子图的数量;
若所述频繁子图的子图的数量与所述频繁子图的数量的差小于预定阈值,则设定所述频繁子图为所述预定特征子图;若所述频繁子图的子图的数量与所述频繁子图的数量的差不小于预定阈值,则设置所述频繁子图的子图为所述频繁子图,执行获取所述频繁子图的子图的步骤。
7.一种网络安全检测装置,其特征在于,包括:
网络状态图生成模块,用于根据网络通信状态实时生成网络状态图,其中,所述网络状态图的节点表示的信息包括主机、IP地址和/或用户,所述网络状态图的连接线表示的信息包括主机间的通信、用户的登录和/或IP地址的切换;
图形匹配模块,用于在所述网络状态图中匹配预定特征子图,其中,所述预定特征子图为网络通信状态发生异常时的状态图,所述异常时的状态图包括蠕虫病毒传播的预定特征子图、分布式拒绝服务DDOS攻击的预定特征子图和/或放大攻击的预定特征子图。
8.根据权利要求7所述的装置,其特征在于,
所述图形匹配模块包括:
变化确定单元,用于将当前时刻的所述网络状态图与过去指定时刻的所述网络状态图相比较,确定所述网络状态图中发生变化的部分;
匹配单元,用于在所述发生变化的部分中匹配所述预定特征子图。
9.根据权利要求7或8所述的装置,其特征在于,所述图形匹配模块具体用于:
根据所述网络状态图进行节点和连接线编码并确定待匹配前缀树;
基于先验规则在所述待匹配前缀树中查找预定特征子图前缀树,其中,所述预定特征子图前缀树为根据所述预定特征子图生成的前缀树。
10.根据权利要求7或8所述的装置,其特征在于,
所述图形匹配模块还用于:
当确定发生所述预定特征子图对应的异常事件时,在所述网络状态图中匹配所述预定特征子图的父类图,所述预定特征子图的父类图为所述预定特征子图对应的异常事件的子类型异常事件对应的状态图;
若匹配成功,则确定发生所述预定特征子图的父类图对应的所述子类型异常事件。
11.根据权利要求7所述的装置,其特征在于,还包括:
特征子图设定模块,用于根据发生异常事件时的网络通信状态生成预定特征子图,所述预定特征子图为标识所述异常事件的最小网络通信状态图。
12.根据权利要求11所述的装置,其特征在于,所述特征子图设定模块包括:
频繁子图获取单元,用于基于预定阈值获取发生预定异常事件的网络状态图中的频繁子图;
子图获取单元,用于获取所述频繁子图的子图,若所述频繁子图不存在子图,则将所述频繁子图发送给特征子图确定单元;若所述频繁子图存在子图,则激活统计单元;
所述统计单元,用于统计异常状态发生时所述频繁子图的数量,以及所述频繁子图的子图的数量;若所述频繁子图的子图的数量与所述频繁子图的数量的差小于预定阈值,则将所述频繁子图发送给所述特征子图确定单元;若所述频繁子图的子图的数量与所述频繁子图的数量的差不小于预定阈值,则设置所述频繁子图的子图为所述频繁子图并发送给所述子图获取单元;
所述特征子图确定单元,用于确定所述频繁子图为所述预定特征子图。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610615866.2A CN107666468B (zh) | 2016-07-29 | 2016-07-29 | 网络安全检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610615866.2A CN107666468B (zh) | 2016-07-29 | 2016-07-29 | 网络安全检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107666468A CN107666468A (zh) | 2018-02-06 |
CN107666468B true CN107666468B (zh) | 2020-08-04 |
Family
ID=61115830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610615866.2A Active CN107666468B (zh) | 2016-07-29 | 2016-07-29 | 网络安全检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107666468B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108762908B (zh) * | 2018-05-31 | 2021-12-07 | 创新先进技术有限公司 | 系统调用异常检测方法及装置 |
CN112532408B (zh) * | 2019-09-17 | 2022-05-24 | 华为技术有限公司 | 提取故障传播条件的方法、装置及存储介质 |
CN111431865B (zh) * | 2020-02-28 | 2022-01-04 | 四川亿览态势科技有限公司 | 一种网络深度威胁检测方法 |
CN111510454B (zh) * | 2020-04-15 | 2022-03-15 | 中国人民解放军国防科技大学 | 一种面向模式图变化的连续子图匹配方法、系统及设备 |
CN112491853A (zh) * | 2020-11-09 | 2021-03-12 | 扬州工业职业技术学院 | 一种计算机网络安全检测方法及装置 |
CN115189947B (zh) * | 2022-07-11 | 2023-11-28 | 万申科技股份有限公司 | 一种基于大数据的通信安全监测系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
CN103888304A (zh) * | 2012-12-19 | 2014-06-25 | 华为技术有限公司 | 一种多节点应用的异常检测方法及相关装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7530105B2 (en) * | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
CN102291594B (zh) * | 2011-08-25 | 2015-05-20 | 中国电信股份有限公司上海信息网络部 | 一种ip网络视频质量的检测评估系统与方法 |
CN103874179A (zh) * | 2012-12-11 | 2014-06-18 | 中国电信股份有限公司 | 家庭网关及其wlan 发射功率调整方法 |
US9367809B2 (en) * | 2013-10-11 | 2016-06-14 | Accenture Global Services Limited | Contextual graph matching based anomaly detection |
CN103546916B (zh) * | 2013-11-07 | 2016-08-17 | 东南大学 | 基于数据增量图的异常检测方法 |
US9712549B2 (en) * | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
-
2016
- 2016-07-29 CN CN201610615866.2A patent/CN107666468B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
CN103888304A (zh) * | 2012-12-19 | 2014-06-25 | 华为技术有限公司 | 一种多节点应用的异常检测方法及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107666468A (zh) | 2018-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107666468B (zh) | 网络安全检测方法和装置 | |
US11089035B2 (en) | Techniques for predicting subsequent attacks in attack campaigns | |
US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
US8429747B2 (en) | Method and device for detecting flood attacks | |
US9245121B1 (en) | Detecting suspicious network behaviors based on domain name service failures | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
Yoon et al. | Communication pattern monitoring: Improving the utility of anomaly detection for industrial control systems | |
CN107657174B (zh) | 一种基于协议指纹的数据库入侵检测方法 | |
US20120159629A1 (en) | Method and system for detecting malicious script | |
CN106470214B (zh) | 攻击检测方法和装置 | |
CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
CN108718306B (zh) | 一种异常流量行为判别方法和装置 | |
CN109409113B (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
CN109660517B (zh) | 异常行为检测方法、装置及设备 | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
Zali et al. | Real-time attack scenario detection via intrusion detection alert correlation | |
CN112437062A (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
CN112153062A (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN112995218A (zh) | 域名的异常检测方法、装置及设备 | |
CN115549990B (zh) | 一种sql注入检测方法、装置、电子设备及存储介质 | |
KR102251467B1 (ko) | 이상치 스코어 기반의 edr에서의 이상 징후 탐지 장치 및 방법 | |
García-Teodoro et al. | Automatic signature generation for network services through selective extraction of anomalous contents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |