CN108650274B - 一种网络入侵检测方法及系统 - Google Patents
一种网络入侵检测方法及系统 Download PDFInfo
- Publication number
- CN108650274B CN108650274B CN201810485563.2A CN201810485563A CN108650274B CN 108650274 B CN108650274 B CN 108650274B CN 201810485563 A CN201810485563 A CN 201810485563A CN 108650274 B CN108650274 B CN 108650274B
- Authority
- CN
- China
- Prior art keywords
- access request
- target
- records
- record
- target access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络入侵检测方法及系统,其中,所述方法包括:获取预设数量的源IP到目标IP的访问请求记录;统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。本申请提供的技术方案,能够提高网络入侵检测的成功率。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种网络入侵检测方法及系统。
背景技术
随着网络技术的快速发展以及网络规模的急剧膨胀,网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。网络攻击中常见的是一种基于页面的分布式拒绝服务攻击。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文,导致目标服务器不断执行大量的计算或操作,耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时,将导致正常的访问被终止处理,甚至宕机。
针对上述情况,现有的检测网络入侵的方式可以通过跳转检测来实现。在该方法中,一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文。该跳转检测设备可以在目标服务器接收到请求报文之前,代替目标服务器向请求端发送一个验证报文。攻击请求端往往不会对返回的验证报文做出响应,而是继续向目标服务器发起新的访问请求。检测设备接收不到攻击请求端发来的确认信息,则不会放行攻击请求端对目标服务器的访问请求。然而,攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应,比如再次向目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息,这样便可以穿透上述现有技术的网络入侵检测方式。
发明内容
本申请的目的在于提供一种网络入侵检测方法及系统,能够提高网络入侵检测的成功率。
本申请提供一种网络入侵检测方法,所述方法包括:获取预设数量的源IP到目标IP的访问请求记录;统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。
进一步地,获取预设数量的源IP到目标IP的访问请求记录包括:基于真实源IP的确定规则,获取预设数量的真实源IP到目标IP的访问请求记录。
进一步地,所述真实源IP的确定规则具体包括:当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
进一步地,为所述目标访问请求记录的多个特征分别设置权重值包括:确定所述目标访问请求记录的目标特征对应的分类错误率,并基于所述分类错误率确定所述目标特征的权重值。
进一步地,按照下述公式确定所述目标特征的分类错误率;
其中,δ表示所述目标特征的分类错误率,ηw表示所述目标特征在指定次数中分类错误的总次数,ηc表示所述目标特征在指定次数中分类正确的总次数。
进一步地,按照下述公式确定所述目标特征的权重值:
其中,γ表示所述目标特征的权重值,γ0表示预设权重初值。
进一步地,所述预设状态表为DFA状态表,相应地,将所述目标访问请求记录写入预设状态表包括:
获取所述目标访问请求记录的三元组信息,并将所述三元组信息写入所述DFA状态表中;其中,所述三元组信息包括起始字符、位图以及转换状态。
进一步地,在所述预设状态表中将写入的目标访问请求记录进行匹配包括:
在所述DFA状态表中获取与所述目标访问记录的三元组信息中的转换状态一致的目标三元组信息,并判断所述目标访问记录的三元组信息是否存在于所述目标三元组信息中;
若存在,将所述目标访问记录作为匹配结果输出。
进一步地,在为所述目标访问请求记录的多个特征分别设置权重值之前,所述方法还包括:
确定所述目标访问请求记录对应的特征值,并将所述特征值与预设阈值进行比较,当所述特征值大于或者等于所述预设阈值时,才为所述目标访问请求记录的多个特征分别设置权重值;其中,所述特征值用于表征所述目标访问请求记录的分析成本-效益值。
本申请还提供一种网络入侵检测系统,所述系统包括:访问请求记录获取单元,用于获取预设数量的源IP到目标IP的访问请求记录;统计单元,用于统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;写入单元,用于为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;匹配单元,用于在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。
由上可见,本申请提供的技术方案,首先可以从大量的访问请求记录中筛选出来源页面标识为空白的目标访问请求记录,这些目标访问请求记录是直接对目标IP发起的访问,而不是经过其它页面跳转后得到的,更加符合网络入侵的行为模式。然后,可以为目标访问请求的多个特征设置权重值,这些权重值可以表明目标访问请求作为网络入侵请求的程度值,然后可以将权重值较高的目标访问请求记录写入预设状态表中。所述预设状态表中可以记录符合网络入侵记录的状态特征,这样,通过将写入的目标访问请求记录在所述预设状态表中进行匹配,从而可以得到精确的网络入侵记录。由上可见,本申请提供的技术方案,能够提高网络入侵检测的成功率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中网络入侵检测方法的流程图;
图2为本发明实施例中网络入侵检测系统的结构示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
请参阅图1,本申请提供一种网络入侵检测方法,所述方法包括:
S1:获取预设数量的源IP到目标IP的访问请求记录。
S2:统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录。
S3:为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表。
S4:在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。
在本实施方式中,每个获取的访问请求记录中可以包含该访问行为的源IP、目标IP以及访问请求页面。例如,访问请求记录1记载了源IP1向目标IP1发起访问页面1的请求,访问请求记录2记载了IP2向目标IP2发起访问页面2的请求。访问请求记录中还包含请求来源页面标识。请求来源页面标识可以用来注明该访问请求的前导页面地址。例如,第一源IP向第一目标IP发起访问页面2的请求,而该访问页面2的请求是通过点击页面1上的链接发起的。那么在该访问请求记录的请求来源页面标识中,会写入页面1的地址,注明该访问请求是从页面1链接过来的。在本申请具体实施例中,所述请求来源页面标识可以为访问请求中的referer字段。该referer字段注明了该访问请求的请求来源页面的页面地址。
网络入侵者往往通过自动化的脚本语言,直接通过页面的地址频繁地向目标服务器发起访问请求。网络入侵者向目标服务器发起的访问请求中,referer字段均为空。这说明网络入侵者往往都是直接通过页面的地址向目标服务器发起访问请求。在网络入侵者访问的页面中,页面与页面之间往往不存在链接关系,这就导致网络入侵者的访问请求记录中referer字段基本为空。
本申请的优选实施例可以通过访问请求中的源IP字段和x-forward-for字段来识别真实请求源IP。x-forward-for字段的标准格式可以为:
x-forward-for:client1,proxy1
其中,client1代表真实的IP地址,proxy1代表代理服务器1的IP地址。上述x-forward-for字段的标准格式可以理解为:访问请求从client1中发出时,x-forward-for字段中为空;该访问请求被发往proxy1并且通过proxy1发出去的时候,client1被添加到x-forward-for字段中;之后该访问请求被发往proxy2并且通过proxy2发出去的时候,proxy1被添加到x-forward-for字段中。可见,当x-forward-for字段为非空时,x-forward-for字段中的第一个IP地址即为该访问请求的真实源IP。当x-forward-for字段为空时,访问请求记录中的源IP字段中的IP地址即为该访问请求记录的真实源IP。
这样,在获取预设数量的源IP到目标IP的访问请求记录时,可以基于真实源IP的确定规则,获取预设数量的真实源IP到目标IP的访问请求记录。
具体地,当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
在本实施方式中,为所述目标访问请求记录的多个特征分别设置权重值包括:
确定所述目标访问请求记录的目标特征对应的分类错误率,并基于所述分类错误率确定所述目标特征的权重值。
具体地,按照下述公式确定所述目标特征的分类错误率;
其中,δ表示所述目标特征的分类错误率,ηw表示所述目标特征在指定次数中分类错误的总次数,ηc表示所述目标特征在指定次数中分类正确的总次数。
此外,按照下述公式确定所述目标特征的权重值:
其中,γ表示所述目标特征的权重值,γ0表示预设权重初值。
在本实施方式中,上述的多个特征可以是网络传输中的各个参数,例如,这些特征可以包括丢包率、传输时延、重连次数等。在实际应用时,可以通过获取大量的访问请求记录,然后利用机器学习的方法对这些访问请求记录的各个特征进行分析,从而得到用于辨别正常记录和入侵记录的分类器。在分类器分类时,通常具备正确率和错误率,那么在得到正确次数和错误次数后,可以基于分类错误率确定出相应特征的权重值。最终,可以将各个特征的权重值加权求和,得到总的权重值。该总的权重值越大,表明访问请求记录作为入侵记录的可能性越大。这样,便可以将总的权重值大于或者等于判定阈值的目标访问请求记录写入预设状态表中。
在本实施方式中,所述预设状态表为DFA状态表,相应地,将所述目标访问请求记录写入预设状态表包括:
获取所述目标访问请求记录的三元组信息,并将所述三元组信息写入所述DFA(确定性有限状态自动机)状态表中;其中,所述三元组信息包括起始字符、位图以及转换状态。
在本实施方式中,在所述预设状态表中将写入的目标访问请求记录进行匹配包括:
在所述DFA状态表中获取与所述目标访问记录的三元组信息中的转换状态一致的目标三元组信息,并判断所述目标访问记录的三元组信息是否存在于所述目标三元组信息中;
若存在,将所述目标访问记录作为匹配结果输出。
在本实施方式中,在为所述目标访问请求记录的多个特征分别设置权重值之前,所述方法还包括:
确定所述目标访问请求记录对应的特征值,并将所述特征值与预设阈值进行比较,当所述特征值大于或者等于所述预设阈值时,才为所述目标访问请求记录的多个特征分别设置权重值;其中,所述特征值用于表征所述目标访问请求记录的分析成本-效益值。所述特征值可以是针对目标访问请求记录的数据量以及采用的通信协议分析的到的,数据量越大,通信协议越复杂,对应的分析成本越高,效益越低,从而导致分析成本-效益值越大。因此,特征值越大,越不可能进行分析(否则耗费的资源太多)。在实际应用中,可以设定特征值的阈值,一旦得到的特征值超过该特征值的阈值,便可以放弃对相应的目标访问请求记录的分析过程。
请参阅图2,本申请还提供一种网络入侵检测系统,所述系统包括:
访问请求记录获取单元,用于获取预设数量的源IP到目标IP的访问请求记录;
统计单元,用于统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;
写入单元,用于为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;
匹配单元,用于在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。
由上可见,本申请提供的技术方案,首先可以从大量的访问请求记录中筛选出来源页面标识为空白的目标访问请求记录,这些目标访问请求记录是直接对目标IP发起的访问,而不是经过其它页面跳转后得到的,更加符合网络入侵的行为模式。然后,可以为目标访问请求的多个特征设置权重值,这些权重值可以表明目标访问请求作为网络入侵请求的程度值,然后可以将权重值较高的目标访问请求记录写入预设状态表中。所述预设状态表中可以记录符合网络入侵记录的状态特征,这样,通过将写入的目标访问请求记录在所述预设状态表中进行匹配,从而可以得到精确的网络入侵记录。由上可见,本申请提供的技术方案,能够提高网络入侵检测的成功率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (4)
1.一种网络入侵检测方法,其特征在于,所述方法包括:
获取预设数量的源IP到目标IP的访问请求记录;
统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;
确定所述目标访问请求记录对应的特征值,并将所述特征值与预设阈值进行比较,其中,所述特征值用于表征所述目标访问请求记录的分析成本-效益值;当所述特征值大于或者等于所述预设阈值时,为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;所述多个特征包括网络传输中的丢包率、传输时延、重连次数中的任意多个参数;
在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录;
其中,所述基于设置的权重值,将所述目标访问请求记录写入预设状态表,包括:将各个特征的权重值加权求和,得到总的权重值;将总的权重值大于或者等于判定阈值的目标访问请求记录写入预设状态表中;
其中,所述预设状态表为DFA状态表,相应地,将所述目标访问请求记录写入预设状态表包括:
获取所述目标访问请求记录的三元组信息,并将所述三元组信息写入所述DFA状态表中;其中,所述三元组信息包括起始字符、位图以及转换状态;
其中,在所述预设状态表中将写入的目标访问请求记录进行匹配包括:
在所述DFA状态表中获取与所述目标访问记录的三元组信息中的转换状态一致的目标三元组信息,并判断所述目标访问记录的三元组信息是否存在于所述目标三元组信息中;
若存在,将所述目标访问记录作为匹配结果输出;
其中,为所述目标访问请求记录的多个特征分别设置权重值包括:
获取大量的访问请求记录,利用机器学习的方法对这些访问请求记录的各个特征进行分析,得到用于辨别正常记录和入侵记录的分类器;利用分类器对所述目标访问请求记录进行分类,确定所述目标访问请求记录的目标特征对应的分类错误率,并基于所述分类错误率确定所述目标特征的权重值;
其中,按照下述公式确定所述目标特征的分类错误率;
其中,δ表示所述目标特征的分类错误率,ηw表示所述目标特征在指定次数中分类错误的总次数,ηc表示所述目标特征在指定次数中分类正确的总次数;
其中,按照下述公式确定所述目标特征的权重值:
其中,γ表示所述目标特征的权重值,γ0表示预设权重初值。
2.根据权利要求1所述的方法,其特征在于,获取预设数量的源IP到目标IP的访问请求记录包括:
基于真实源IP的确定规则,获取预设数量的真实源IP到目标IP的访问请求记录。
3.根据权利要求2所述的方法,其特征在于,所述真实源IP的确定规则具体包括:
当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;
当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。
4.一种网络入侵检测系统,其特征在于,所述系统包括:
访问请求记录获取单元,用于获取预设数量的源IP到目标IP的访问请求记录;
统计单元,用于统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;
写入单元,用于确定所述目标访问请求记录对应的特征值,并将所述特征值与预设阈值进行比较,其中,所述特征值用于表征所述目标访问请求记录的分析成本-效益值;当所述特征值大于或者等于所述预设阈值时,为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;所述多个特征包括网络传输中的丢包率、传输时延、重连次数中的任意多个参数;
匹配单元,用于在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录;
其中,所述基于设置的权重值,将所述目标访问请求记录写入预设状态表,包括:将各个特征的权重值加权求和,得到总的权重值;将总的权重值大于或者等于判定阈值的目标访问请求记录写入预设状态表中;
其中,所述预设状态表为DFA状态表,相应地,将所述目标访问请求记录写入预设状态表包括:
获取所述目标访问请求记录的三元组信息,并将所述三元组信息写入所述DFA状态表中;其中,所述三元组信息包括起始字符、位图以及转换状态;
其中,在所述预设状态表中将写入的目标访问请求记录进行匹配包括:
在所述DFA状态表中获取与所述目标访问记录的三元组信息中的转换状态一致的目标三元组信息,并判断所述目标访问记录的三元组信息是否存在于所述目标三元组信息中;
若存在,将所述目标访问记录作为匹配结果输出;
其中,为所述目标访问请求记录的多个特征分别设置权重值包括:
获取大量的访问请求记录,利用机器学习的方法对这些访问请求记录的各个特征进行分析,得到用于辨别正常记录和入侵记录的分类器;利用分类器对所述目标访问请求记录进行分类,确定所述目标访问请求记录的目标特征对应的分类错误率,并基于所述分类错误率确定所述目标特征的权重值;
其中,按照下述公式确定所述目标特征的分类错误率;
其中,δ表示所述目标特征的分类错误率,ηw表示所述目标特征在指定次数中分类错误的总次数,ηc表示所述目标特征在指定次数中分类正确的总次数;
其中,按照下述公式确定所述目标特征的权重值:
其中,γ表示所述目标特征的权重值,γ0表示预设权重初值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810485563.2A CN108650274B (zh) | 2018-05-21 | 2018-05-21 | 一种网络入侵检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810485563.2A CN108650274B (zh) | 2018-05-21 | 2018-05-21 | 一种网络入侵检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108650274A CN108650274A (zh) | 2018-10-12 |
CN108650274B true CN108650274B (zh) | 2021-07-27 |
Family
ID=63757237
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810485563.2A Active CN108650274B (zh) | 2018-05-21 | 2018-05-21 | 一种网络入侵检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108650274B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110719286A (zh) * | 2019-10-11 | 2020-01-21 | 吉讯股份有限公司 | 一种基于大数据的网络优化方案共享系统及其方法 |
CN114978629A (zh) * | 2022-05-12 | 2022-08-30 | 北京神州慧安科技有限公司 | 一种基于工业互联网安全监测、预警、应急处置系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
CN105207829A (zh) * | 2014-06-04 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 一种入侵检测数据处理方法、装置,及系统 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN105991511A (zh) * | 2015-01-27 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种检测cc攻击的方法及设备 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070077920A1 (en) * | 2005-09-15 | 2007-04-05 | Phillip Weeks | Methods, systems and computer program products for aggregating communications and media data |
US7904726B2 (en) * | 2006-07-25 | 2011-03-08 | International Business Machines Corporation | Systems and methods for securing event information within an event management system |
CN101471782B (zh) * | 2007-12-26 | 2011-04-13 | 中国科学院自动化研究所 | 基于在线提升算法的网络入侵检测方法 |
CN101388768B (zh) * | 2008-10-21 | 2011-03-23 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
US8683590B2 (en) * | 2008-10-31 | 2014-03-25 | Alcatel Lucent | Method and apparatus for pattern matching for intrusion detection/prevention systems |
CN101599963B (zh) * | 2009-06-10 | 2012-07-04 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
CN102916929A (zh) * | 2011-08-01 | 2013-02-06 | 杭州信雅达数码科技有限公司 | 基于模糊Petri网的信任评估方法 |
CN103294735B (zh) * | 2012-02-28 | 2016-08-03 | 中国科学技术大学 | 基于tcam的确定性有穷状态自动机dfa的匹配方法和装置 |
CN107682317B (zh) * | 2017-09-06 | 2019-12-06 | 中国科学院计算机网络信息中心 | 建立数据检测模型的方法、数据检测方法及设备 |
-
2018
- 2018-05-21 CN CN201810485563.2A patent/CN108650274B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
CN105207829A (zh) * | 2014-06-04 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 一种入侵检测数据处理方法、装置,及系统 |
CN105991511A (zh) * | 2015-01-27 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种检测cc攻击的方法及设备 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
Non-Patent Citations (2)
Title |
---|
Optimizing Network Layer with Adaptive Modulation for Time Varying Channel;Navaneethan, C;《WIRELESS PERSONAL COMMUNICATIONS》;20161230;第90卷(第2期);1003-1019 * |
基于Snort规则优化的IPv6入侵检测系统;张宏,龙春;《科研信息化技术与应用》;20120330(第3期);12-19 * |
Also Published As
Publication number | Publication date |
---|---|
CN108650274A (zh) | 2018-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
EP2725512B1 (en) | System and method for malware detection using multi-dimensional feature clustering | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
US20180309772A1 (en) | Method and device for automatically verifying security event | |
WO2021243663A1 (zh) | 一种会话检测方法、装置、检测设备及计算机存储介质 | |
CN110798488B (zh) | Web应用攻击检测方法 | |
CN111478920A (zh) | 一种隐蔽信道通信检测方法、装置及设备 | |
CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
CN101841533A (zh) | 分布式拒绝服务攻击检测方法和装置 | |
US20160142432A1 (en) | Resource classification using resource requests | |
CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN109922083B (zh) | 一种网络协议流量控制系统 | |
Choi et al. | Implementation and Design of a Zero‐Day Intrusion Detection and Response System for Responding to Network Security Blind Spots | |
CN112565229A (zh) | 隐蔽通道检测方法及装置 | |
CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
CN108683670B (zh) | 基于网站应用系统访问的恶意流量识别方法及系统 | |
CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |