CN109150920A - 一种基于软件定义网络的攻击检测溯源方法 - Google Patents
一种基于软件定义网络的攻击检测溯源方法 Download PDFInfo
- Publication number
- CN109150920A CN109150920A CN201811305115.6A CN201811305115A CN109150920A CN 109150920 A CN109150920 A CN 109150920A CN 201811305115 A CN201811305115 A CN 201811305115A CN 109150920 A CN109150920 A CN 109150920A
- Authority
- CN
- China
- Prior art keywords
- packet
- attack
- data packet
- network
- count value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于软件定义网络的攻击检测溯源方法,首先通过对可疑主机进行抓包以获取数据流,并从数据流中筛选出数据包,并将数据包读取到内存中,提取得到数据包的packet_count值;然后对packet_count值进行判断,将所有非零的packet_count值保存至同一txt文档中,并对txt文档中的所有packet_count值按照时间顺序建模,再将得到的数据划分为A组长度为h的相邻子区间,并基于子区间计算得到自相似检测指数,根据网络流量随机过程的相似性特征,将自相似检测指数与设定的阈值比较来判断是否存在攻击流量,如果检测到攻击,则对交换机中数据包对应流表项和网络拓扑建立有向图,最后对有向图采用逆向拓扑溯源,从而找到攻击源;本发明可以准确找到网络攻击源,有利于网络安全性的提升。
Description
技术领域
本发明属于网络技术应用领域,具体涉及一种基于软件定义网络的攻击检测溯源方法。
背景技术
信息化进程的飞速发展,互联网深入到人们生活的方方面面。互联网不仅成为人们生活中离不开的基础设施,而且对人们的生活有着举足轻重的影响。因此,互联网的安全性、可靠性变的非常重要。尤其是近年来随着软件定义网络、云计算、物联网等网络技术的发展,互联网为生活带来很多便利的同时也存在着很大的安全隐患。当前,网络流量都非常的庞大,每时每刻时刻都承载着巨大的数据,当网络发生异常时,可能导致通信故障、交易中止、业务关闭,严重威胁着人们的工作和生活秩序,造成可怕的后果。网络异常流量通常会带来较多的网络带宽消耗,占用CPU处理时间,占用硬盘存储的空间等资源,甚至会出现网络拥堵、链路利用率降低等严重影响网络服务质量的各方面问题。在这种情况下,如何制定准确性、实时性的网络流量异常检测方案,为网络应急人员提供及时预警,为分析人员提供数据参考,成为网络安全紧迫解决的问题。综上所述,网络安全问题称为人们生活的关键问题,对人们的日常生活有着直接而重要的影响。因此,如何从安全角度快速而又精确的检测到网络流量异常,做出有效的响应,成为网络安全运行的必要条件。
目前,网络流量异常检测技术成为现代网络信息中最重要的研究课题之一。Denning提出一种实时网络检测模型,通过系统中的监视系统的审计记录,来预测网络模型是否正常。Hussain A等,通过对数据报的标识和生命周期等信息来获得攻击者的数量和信息。乔治梅森大学提出了一种通过数据关联规则来实时检测网络中数据异常。Barford P将小波分析理论用于异常检测。由上可知,通过不同的问题角度,流量异常检测方法非常多样化,概念起来主要分为以下五大类:行为特征检测、异常统计检测、马尔科夫模型异常检测、小波分析技术检测、流挖掘技术异常检测。在传统的网络中已经有很多对攻击溯源的方法:输入调试方法、主动洪水测试方法、ICMP溯源方法、附加节点信息方法、节点抽样重写信息方法、链路抽样重写信息方法。
随着近几年软件定义网络的兴起,也出现了很多借助软件定义安全来解决网络问题的新方法、新手段,但这些方法只能够对攻击进行检测或识别攻击是否发生,却无法追踪到攻击源,导致无法根除网络攻击的发生,网络安全得不到有效的保障。
发明内容
本发明的主要目的在于针对现有技术中无法对网络攻击源进行追踪导致时刻存在网络攻击威胁的问题,提供一种基于软件定义网络的攻击检测溯源方法,具体技术方案如下:
一种基于软件定义网络的攻击检测溯源方法,所述方法包括步骤:
S1、对可疑主机抓包得到由数据包组成的数据流,并从所述数据流中筛选具有可疑攻击流量的数据包;
S2、读取筛选得到的所述数据包并保存到对应的本地主机中,在本地主机中提取筛选对应所述数据包的packet_count值;
S3、判断所述packet_count值是否为0,若为0则直接丢弃,否则将所述packet_count值保存至一新建txt文档中;
S4、对所述txt文档中的所有所述packet_count值建模得到连续的n个值Xi,其中,i=1,2,...,n;并将n个值按照指定长度h划分为预设数目的A个相邻子区间;
S5、分别计算A个所述子区间的均值、标准差以及均值的累积横距和A个所述子区间的组内极差,并基于A个所述子区间的均值、标准差、均值的累积横距和A个子区间的组内极差的计算结果计算所述数据包相互之间的自相似检测指数;
S6、设定一上限阈值a和一下限阈值b,根据所述自相似检测指数与所述上限阈值a和下限阈值b的大小关系判断与所述packet_count值对应的所述数据包是否存在攻击流量,若所述自相似检测指数大于所述上限阈值a或小于所述下限阈值b,则所述packet_count值对应的所述数据包存在攻击流量,并进入步骤S7,否则,重复步骤S2~S6;
S7、获取所述可疑主机对应的交换机节点和交换机中与所述数据包对应的流表项,并对所述流表项和网络拓扑结构建立对应的有向图G(V,E),其中,V表示主机或者交换机,E表示所述流表项中的匹配域;
S8、基于所述packet_count值求得的自相似指数判断出被攻击的主机,对所述有向图G(V,E)求取逆拓扑排序,对所述攻击流量逆向追踪,找到攻击源。
进一步的,在步骤S5中,通过公式Xm=(X1+…+Xn)/h计算所述均值,通过公式计算所述标准差,通过公式计算所述均值的累积横距,通过公式Rh=max(Xr,A)-min(Xr,A)计算A组所述相邻子区间的组内极差,并基于所述均值、标准差、均值的累积横距以及所述A组所述相邻子区间的组内极差通过公式计算所述数据包的自相似检测指数。
进一步的,在步骤S5中还包括步骤:对公式作归一化处理得到所述数据包之间的自相似关系表达式Rn/Sn=c×nH,其中,Rn表示极差,Sn表示标准差,c为常数,H为所述自相似检测指数。
进一步的,所述连续的n个值Xi满足关系A*h=n。
进一步的,所述packet_count值为数据包的计数字段。
本发明的基于软件定义网络的攻击检测溯源方法,首先对可疑受到攻击的主机进行抓包,获取并筛选得到数据包;然后对数据包中的网络流量进行判断,识别是否含有网络攻击流量;并对与含有网络攻击流量的主机有关的交换机节点和交换机中的流表项进行提取,基于网络拓扑结构和流表项构建有向图;最后基于有向图,对受到攻击的主机求取逆拓扑排序,并进行逆向追踪以实现对攻击源的寻找;与现有技术相比,本发明的方法基于数据包中的网络流量的自相似检验指数判断是否存在网络攻击,具有较高的精确性,可提升网络攻击源的溯源效果,有利于网络安全的维护,以此提升整个网络的安全性。
附图说明
图1为本发明实施例中所述基于软件定义网络的攻击检测溯源方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
在软件定义网络中,如果不存在攻击流量,网络流量存在自相似现象,通过网络流量随机过程的相似特征,进而判断网络中是否存在攻击流量,以此检测出网络的攻击行为;同时若数据包在某个交换机转发过,则该交换机必然存在一条能匹配该数据包的流表项;根据交换机中保留下来的流表项,在检测到网络攻击的同时,对交换机流表项和网络拓扑建立有向图,然后对有向图进行逆拓扑溯源,从而找到攻击源;具体参阅图1,在本发明实施例中,提供了一种基于软件定义网络的攻击检测溯源方法,所述方法包括步骤:
S1、对可疑主机抓包得到由数据包组成的数据流,并从数据流中筛选具有可疑攻击流量的数据包。
具体的,在本发明实施例中,在本地主机上安装wireshark软件,采用wireshark抓包软件,设定过滤条件的IP目的地址为可疑主机的IP地址,从而通过IP地址来从网络流量中获取可疑主机的可疑数据流。
S2、读取筛选得到的数据包并保存到对应的本地主机中,在本地主机中提取筛选对应数据包的packet_count值;其中,packet_count值表示数据包的计数字段。
具体的,在本发明实施例中,用wireshark软件抓取到的数据包进行导出操作,把导出的文件保存到本地主机中,利用代码读取文件操作,获取相应的packet_count值。
S3、判断所述packet_count值是否为0,若为0则直接丢弃,否则将packet_count值保存至一新建txt文档中;具体的,由于packet_count值为一具体数值,将其与自然数0比较,只要packet_count值对应的数值不为0,即将packet_count值保存至txt文档,否则,不保存。
S4、对txt文档中的所有packet_count值建模得到连续的n个值Xi,其中,i=1,2,...,n,并将n个值按照指定长度h划分为预设数目的A个相邻子区间,具体的,连续的n个值Xi满足关系A*h=n。
S5、分别计算A个子区间的均值、标准差以及均值的累积横距和A个述子区间的组内极差,并基于A个子区间的均值、标准差、均值的累积横距和A个子区间的组内极差的计算结果计算数据包相互之间的自相似检测指数。
具体的,在本发明实施例中,通过公式Xm=(X1+…+Xn)/h计算均值,通过公式计算标准差,通过公式计算均值的累积横距,通过公式Rh=max(Xr,A)-min(Xr,A)计算A组相邻子区间的组内极差,并基于均值、标准差、均值的累积横距以及A组相邻子区间的组内极差通过公式计算数据包的自相似检测指数;具体的,可对公式作归一化处理得到数据包之间的自相似关系表达式Rn/Sn=c×nH,其中,Rn表示极差,Sn表示标准差,c为常数,H为自相似检测指数;随后即可对所有数据包通过公式Rn/Sn=c×nH来两两之间的相似关系,这样可以更加快速而有效地对网络中是否存在攻击进行判断,提升对网络攻击的识别效率,从而保证整个网络可以始终处于一个安全的状态。
S6、设定一上限阈值a和一下限阈值b,根据自相似检测指数与上限阈值a和下限阈值b的大小关系判断与packet_count值对应的数据包是否存在攻击流量,若自相似检测指数大于上限阈值a或小于下限阈值b,则packet_count值对应的所述数据包存在攻击流量,并进入步骤S7,否则,重复步骤S2~S6;由于packet_count值表示交换机数据包的计数字段,这样就可以通过packet_count值是否存在除网络中指定的数据包传输数量外是否含有额外的数据传输,即判断自相似检测指数与上、下限阈值的大小,若自相似检测指数大于上限阈值a或小于所述下限阈值b,则所述packet_count值对应的数据包存在攻击流量,实现本发明方法对攻击流量的判断。
S7、获取可疑主机对应的交换机节点和交换机中与数据包对应的流表项,并对流表项和网络拓扑结构建立对应的有向图G(V,E),其中,V表示主机或者交换机,E表示流表项中的匹配域。
在本发明的实施例中,采用floodlifht控制器,该控制器将自己的API以Restfulapi的形式向外暴露,利用curl工具向floodlifht的staticflowpusher模块发送Get请求,即可获得交换机中的流表项;具体的,一个流表项简化为r=<MatchField,Modify,Action>,其中,MatchField表示流表项的匹配域部分;Modify表示流表项中对数据包的修改操作;Action表示流表项中对数据包的转发操作;在构建有向图的过程中,根据已有的网络拓扑结构,通过已经获得的流表项,根据流表项的Action来构建有向图中两个点之间的箭头,每个箭头代表一个流表项,箭头的指向即为流表项的Action对应的指向,从而逐步完成有向图的构建。
S8、基于packet_count值求得的自相似指数判断出被攻击的主机,对有向图G(V,E)求取逆拓扑排序,对攻击流量逆向追踪,找到攻击源。
具体的,在本发明的实施例中,采用递归算法寻找攻击源节点,一个流表项简化为r=<MatchField,Modify,Action>,其中,MatchField表示流表项的匹配域部分;Modify表示流表项中对数据包的修改操作;Action表示流表项中对数据包的转发操作;递归算法的输入为<location,g>,其中location表示检测到攻击发生的主机节点,g表示可以上述建立的有向图;用到的主要函数如下所述:incoming_edges(g,n)返回在图g中,所有指向节点n的边;flow(e)返回边e对应的流表项;mod(f,mf)对匹配域为mf的流表项f的Modify进行逆变换;match(f,mf)如果匹配域mf与流表项f相匹配,则返回true,否则返回false;tail(e)返回边e的源节点,输出的attacknode即为攻击节点;其中主函数trace伪代码如下:
本发明的基于软件定义网络的攻击检测溯源方法,首先对可疑受到攻击的主机进行抓包,获取并筛选得到数据包;然后对数据包中的网络流量进行判断,识别是否含有网络攻击流量;并对与含有网络攻击流量的主机有关的交换机节点和交换机中的流表项进行提取,基于网络拓扑结构和流表项构建有向图;最后基于有向图,对受到攻击的主机求取逆拓扑排序,并进行逆向追踪以实现对攻击源的寻找;与现有技术相比,本发明的方法基于数据包中的网络流量的自相似检验指数判断是否存在网络攻击,具有较高的精确性,可提升网络攻击源的溯源效果,有利于网络安全的维护,以此提升整个网络的安全性。
以上仅为本发明的较佳实施例,但并不限制本发明的专利范围,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本发明专利保护范围之内。
Claims (5)
1.一种基于软件定义网络的攻击检测溯源方法,其特征在于,所述方法包括步骤:
S1、对可疑主机抓包得到由数据包组成的数据流,并从所述数据流中筛选具有可疑攻击流量的数据包;
S2、读取筛选得到的所述数据包并保存到对应的本地主机中,在本地主机中提取筛选对应所述数据包的packet_count值;
S3、判断所述packet_count值是否为0,若为0则直接丢弃,否则将所述packet_count值保存至一新建txt文档中;
S4、对所述txt文档中的所有所述packet_count值建模得到连续的n个值Xi,其中,i=1,2,...,n,并将n个值按照指定长度h划分为预设数目的A个相邻子区间;
S5、分别计算A个所述子区间的均值、标准差以及均值的累积横距和A个所述子区间的组内极差,并基于A个所述子区间的均值、标准差、均值的累积横距和A个子区间的组内极差的计算结果计算所述数据包相互之间的自相似检测指数;
S6、设定一上限阈值a和一下限阈值b,根据所述自相似检测指数与所述上限阈值a和下限阈值b的大小关系判断与所述packet_count值对应的所述数据包是否存在攻击流量,若所述自相似检测指数大于所述上限阈值a或小于所述下限阈值b,则所述packet_count值对应的所述数据包存在攻击流量,并进入步骤S7,否则,重复步骤S2~S6;
S7、获取所述可疑主机对应的交换机节点和交换机中与所述数据包对应的流表项,并对所述流表项和网络拓扑结构建立对应的有向图G(V,E),其中,V表示主机或者交换机,E表示所述流表项中的匹配域;
S8、基于所述packet_count值求得的自相似指数判断出被攻击的主机,对所述有向图G(V,E)求取逆拓扑排序,对所述攻击流量逆向追踪,找到攻击源。
2.根据权利要求1所述的基于软件定义网络的攻击检测溯源方法,其特征在于,在步骤S5中,通过公式Xm=(X1+…+Xn)/h计算所述均值,通过公式计算所述标准差,通过公式计算所述均值的累积横距,通过公式Rh=max(Xr,A)-min(Xr,A)计算A组所述相邻子区间的组内极差,并基于所述均值、标准差、均值的累积横距以及所述A组所述相邻子区间的组内极差通过公式计算所述数据包的自相似检测指数。
3.根据权利要求1~2任一项所述的基于软件定义网络的攻击检测溯源方法,其特征在于,在步骤S5中还包括步骤:对公式作归一化处理得到所述数据包之间的自相似关系表达式Rn/Sn=c×nH,其中,Rn表示极差,Sn表示标准差,c为常数,H为所述自相似检测指数。
4.根据权利要求3所述的基于软件定义网络的攻击检测溯源方法,其特征在于,所述连续的n个值Xi满足关系A*h=n。
5.根据权利要求4所述的基于软件定义网络的攻击检测溯源方法,其特征在于,所述packet_count值为数据包的计数字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811305115.6A CN109150920A (zh) | 2018-11-05 | 2018-11-05 | 一种基于软件定义网络的攻击检测溯源方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811305115.6A CN109150920A (zh) | 2018-11-05 | 2018-11-05 | 一种基于软件定义网络的攻击检测溯源方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109150920A true CN109150920A (zh) | 2019-01-04 |
Family
ID=64807621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811305115.6A Pending CN109150920A (zh) | 2018-11-05 | 2018-11-05 | 一种基于软件定义网络的攻击检测溯源方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150920A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110875928A (zh) * | 2019-11-14 | 2020-03-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种攻击溯源方法、装置、介质和设备 |
| TWI707565B (zh) * | 2019-04-19 | 2020-10-11 | 國立中央大學 | 網路攻擊者辨識方法及網路系統 |
| CN114257461A (zh) * | 2022-03-01 | 2022-03-29 | 四川省商投信息技术有限责任公司 | 一种sdn交换机流表控制方法及装置 |
| CN116488894A (zh) * | 2023-04-21 | 2023-07-25 | 清华大学 | 一种基于软件定义的物联网设备安全测试系统及方法 |
| CN118300897A (zh) * | 2024-06-05 | 2024-07-05 | 国网浙江省电力有限公司信息通信分公司 | 一种饱和攻击流的溯源与抑制方法、系统、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027497A (zh) * | 2016-05-04 | 2016-10-12 | 山东大学 | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 |
| CN106572107A (zh) * | 2016-11-07 | 2017-04-19 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
| CN107070895A (zh) * | 2017-03-17 | 2017-08-18 | 中国科学院信息工程研究所 | 一种基于sdn的数据流溯源方法 |
| KR20180000100A (ko) * | 2016-06-22 | 2018-01-02 | (주)유미테크 | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 |
| CN108667804A (zh) * | 2018-04-08 | 2018-10-16 | 北京大学 | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
-
2018
- 2018-11-05 CN CN201811305115.6A patent/CN109150920A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027497A (zh) * | 2016-05-04 | 2016-10-12 | 山东大学 | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 |
| KR20180000100A (ko) * | 2016-06-22 | 2018-01-02 | (주)유미테크 | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 |
| CN106572107A (zh) * | 2016-11-07 | 2017-04-19 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
| CN107070895A (zh) * | 2017-03-17 | 2017-08-18 | 中国科学院信息工程研究所 | 一种基于sdn的数据流溯源方法 |
| CN108667804A (zh) * | 2018-04-08 | 2018-10-16 | 北京大学 | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 张玉杰: "基于SDN的网络异常检测模型设计和实现", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
| 贾雪松: "面向SDN的入侵防御与取证方法研究", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI707565B (zh) * | 2019-04-19 | 2020-10-11 | 國立中央大學 | 網路攻擊者辨識方法及網路系統 |
| CN110875928A (zh) * | 2019-11-14 | 2020-03-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种攻击溯源方法、装置、介质和设备 |
| CN114257461A (zh) * | 2022-03-01 | 2022-03-29 | 四川省商投信息技术有限责任公司 | 一种sdn交换机流表控制方法及装置 |
| CN116488894A (zh) * | 2023-04-21 | 2023-07-25 | 清华大学 | 一种基于软件定义的物联网设备安全测试系统及方法 |
| CN118300897A (zh) * | 2024-06-05 | 2024-07-05 | 国网浙江省电力有限公司信息通信分公司 | 一种饱和攻击流的溯源与抑制方法、系统、设备及介质 |
| CN118300897B (zh) * | 2024-06-05 | 2024-08-13 | 国网浙江省电力有限公司信息通信分公司 | 一种饱和攻击流的溯源与抑制方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150920A (zh) | 一种基于软件定义网络的攻击检测溯源方法 | |
| Ye et al. | A DDoS attack detection method based on SVM in software defined network | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| CN103532776B (zh) | 业务流量检测方法及系统 | |
| CN105577679B (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
| CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
| CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN105959144A (zh) | 面向工业控制网络的安全数据采集与异常检测方法与系统 | |
| CN107690776A (zh) | 用于异常检测中的将特征分组为具有选择的箱边界的箱的方法和装置 | |
| CN106657038A (zh) | 一种基于对称度Sketch的网络流量异常检测与定位方法 | |
| CN107517216A (zh) | 一种网络安全事件关联方法 | |
| CN103532940A (zh) | 网络安全检测方法及装置 | |
| CN103368976A (zh) | 一种基于攻击图邻接矩阵的网络安全评估装置 | |
| CN105847029A (zh) | 一种基于大数据分析的信息安全事件自动关联及快速响应的方法及系统 | |
| CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
| CN108011894A (zh) | 一种软件定义网络下僵尸网络检测系统及方法 | |
| Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
| He et al. | Large-scale IP network behavior anomaly detection and identification using substructure-based approach and multivariate time series mining | |
| Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
| CN116032526A (zh) | 一种基于机器学习模型优化的异常网络流量检测方法 | |
| CN103501302B (zh) | 一种蠕虫特征自动提取的方法及系统 | |
| CN110086829A (zh) | 一种基于机器学习技术进行物联网异常行为检测的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |