CN109960729A - Http恶意流量的检测方法及系统 - Google Patents
Http恶意流量的检测方法及系统 Download PDFInfo
- Publication number
- CN109960729A CN109960729A CN201910241639.1A CN201910241639A CN109960729A CN 109960729 A CN109960729 A CN 109960729A CN 201910241639 A CN201910241639 A CN 201910241639A CN 109960729 A CN109960729 A CN 109960729A
- Authority
- CN
- China
- Prior art keywords
- http
- malicious
- data
- http request
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000004458 analytical method Methods 0.000 claims abstract description 17
- 238000000605 extraction Methods 0.000 claims abstract description 16
- 238000006243 chemical reaction Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims abstract description 8
- 238000012545 processing Methods 0.000 claims description 32
- 230000011218 segmentation Effects 0.000 claims description 8
- 230000003068 static effect Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 abstract description 7
- 238000007405 data analysis Methods 0.000 abstract description 3
- 238000005206 flow analysis Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013136 deep learning model Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
- G06F40/216—Parsing using statistical methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/284—Lexical analysis, e.g. tokenisation or collocates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computational Linguistics (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种HTTP恶意流量的检测方法及系统,该方法包括:抓取网络流量数据,并对网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;对格式化数据进行特征提取,得到每条格式化数据的文本向量特征;基于预先训练的恶意流量检测模型对文本向量特征进行分类检测,检测出HTTP恶意请求;基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类,得到聚类簇;基于聚类簇进行分析,得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化,并利用机器学习和聚类算法对恶意流量进行挖掘,提高了网络恶意流量的检测精确度,减少了安全分析人员的流量分析时间成本。
Description
技术领域
本发明涉及网络通信技术领域,特别是指一种HTTP(Hyper Text TransferProtocol,超文本传输协议)恶意流量的检测方法及系统。
背景技术
近年来,随着互联网应用的发展突飞猛进,互联网的网络规模呈现出空前的扩张趋势,网络复杂程度也越来越高。互联网给广大用户带来便利服务的同时,随之而来的网络安全问题也愈加严峻。网络数据传输中频频发生用户信息被任意窃取、修改等事件,使得网络安全问题引起广泛重视。
恶意流量识别是网络监管中的一个重要手段,使用网络流量分析对恶意流量进行识别与分类已经成为一个热点研究课题,其通过对网络流量数据进行分析,将流量数据标记为正常流量和恶意流量。恶意流量识别按照协议可分为全流量检测、加密流量检测、工控协议流量检测、TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)流量检测、DNS(Domain Name System,域名系统)流量检测、HTTP流量检测等。按照检测方法可分为基于规则的检测、基于机器学习模型的检测、基于深度学习模型的检测以及综合性的检测方法等。
针对HTTP的恶意攻击,WAF(Web Application Firewall,网站应用级入侵防御系统)规则检测方法主要通过正则匹配的方式进行恶意流量检测。该方法检测速度快,但模式固定且单一、检测结果的好坏完全依赖于WAF正则表达式,并且该方法只能检测出已知的网络攻击方式,对于加入了混淆代码的攻击方式或者未知的攻击方式,该方法并不能奏效。基于深度学习模型的检测方法具有良好的数据拟合能力,能够一定程度的识别出具有混淆代码的恶意攻击,但由于深度学习的解释性较差,且需要消耗大量的GPU(GraphicsProcessing Unit,图形处理器)资源,所以并不适用于如今的大数据流量检测场景。
发明内容
有鉴于此,本发明的目的在于提出一种HTTP恶意流量的检测方法及系统。
基于上述目的本发明提供的一种HTTP恶意流量的检测方法,包括以下步骤:
抓取网络流量数据,并对所述网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;
对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征;
基于预先训练的恶意流量检测模型对所述向量特征进行分类检测,检测出HTTP恶意请求;
基于相似攻击聚类算法对所述HTTP恶意请求进行相似攻击聚类,得到聚类簇;
基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息.
在一实施例中,所述对所述网络流量数据进行预处理,包括:
判断所述网络流量数据是否属于HTTP请求,如果判断为否,则对不属于HTTP请求的网络流量数据进行过滤;
如果判断为是,则对所述HTTP请求进行以下处理的一种或多种:
判断所述HTTP请求是否属于二进制格式,如果判断为是,则将所述二进制格式的HTTP请求格式化为文本结构;
判断所述HTTP请求的请求体是否为静态文件或请求体的所有字段是否为空,如果判断为是,则去除对应的HTTP请求;
提取所述HTTP请求中的脏数据,并对所述脏数据进行统一化处理;
判断所述HTTP请求中是否存在指定编码,如果判断为是,则将所述HTTP请求进行解码处理。
在一实施例中,所述对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征,包括:
基于N-gram分词方法对所述格式化数据进行分词处理,得到若干分词,使用字符标志对所述分词进行区分;
计算各所述分词的词频-逆文本频率指数TF-IDF权重;
基于词向量工具将各所述分词转化为固定维度的向量;
基于各分词的TF-IDF权重,使用加权平均的方式将每条所述固定维度的向量转化为文本向量特征。
在一实施例中,所述基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息,包括:
提取所述聚类簇中的设定字段;
将所述设定字段与HTTP恶意流量数据库中存储的字段进行比对;
如果所述设定字段与所存储的一个字段一致,则将所述HTTP恶意流量数据库中与所述字段对应的信息确定为恶意攻击信息;
如果所述设定字段与所存储的任一个字段都不一致,则提取所述聚类簇中每一簇的频繁项集,基于所述频繁项集确定恶意攻击信息。
在一实施例中,所述方法还包括:
基于所述分类检测的结果、相似攻击聚类的结果、所述聚类簇的分析结果生成检测报告;
将所述检测报告存储到HTTP恶意流量数据库中。
基于上述目的本发明提供的一种HTTP恶意流量的检测系统,包括:
处理模块,被配置为抓取网络流量数据,并对所述网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;
特征提取模块,被配置为对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征;
分类检测模块,被配置为基于预先训练的恶意流量检测模型对所述向量特征进行分类检测,检测出HTTP恶意请求;
聚类模块,被配置为基于相似攻击聚类算法对所述HTTP恶意请求进行相似攻击聚类,得到聚类簇;
分析模块,被配置为基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息。
在一实施例中,所述处理模块包括:
第一判断子模块,被配置为判断所述网络流量数据是否属于HTTP请求,如果判断为否,则对不属于HTTP请求的网络流量数据进行过滤;如果判断为是,则还包括以下子模块的一种或多种:
第二判断子模块,被配置为判断所述HTTP请求是否属于二进制格式,如果判断为是,则将所述二进制格式的HTTP请求格式化为文本结构;
第三判断子模块,被配置为判断所述HTTP请求的请求体是否为静态文件或请求体的所有字段是否为空,如果判断为是,则去除对应的HTTP请求;
第一提取子模块,被配置为提取所述HTTP请求中的脏数据,并对所述脏数据进行统一化处理;
第四判断子模块,被配置为判断所述HTTP请求中是否存在指定编码,如果判断为是,则将所述HTTP请求进行解码处理。
在一实施例中,所述特征提取模块包括:
分词处理子模块,被配置为基于N-gram分词方法对所述格式化数据进行分词处理,得到若干分词,使用字符标志对所述分词进行区分;
计算子模块,被配置为计算各所述分词的词频-逆文本频率指数TF-IDF权重;
第一转化子模块,被配置为基于词向量工具将各所述分词转化为固定维度的向量;
第二转化子模块,被配置为基于各分词的TF-IDF权重,使用加权平均的方式将每条所述固定维度的向量转化为文本向量特征。
在一实施例中,所述分析模块包括:
第二提取子模块,被配置为提取所述聚类簇中的设定字段;
比对子模块,被配置为将所述设定字段与HTTP恶意流量数据库中存储的字段进行比对;
第一确定子模块,被配置为如果所述设定字段与所存储的一个字段一致,则将所述HTTP恶意流量数据库中与所述字段对应的信息确定为恶意攻击信息;
第二确定子模块,被配置为如果所述设定字段与所存储的任一个字段都不一致,则提取所述聚类簇中每一簇的频繁项集,基于所述频繁项集确定恶意攻击信息。
在一实施例中,所述系统还包括:
报告生成模块,被配置为基于所述分类检测的结果、相似攻击聚类的结果、所述聚类簇的分析结果生成检测报告;
存储模块,被配置为将所述检测报告存储到HTTP恶意流量数据库中。
从上面所述可以看出,本发明提供的HTTP恶意流量的检测方法及系统,通过机器学习的检测模型,可以在具有混淆代码或攻击未知的情况下进行恶意流量检测,具有良好的检测效率,同时本发明能够聚类出相似攻击方式,相比WAF规则检测和深度学习检测有了很大改进,而且使用相似攻击聚类模型进行攻击行为聚类,能够有效减少安全研究人员的流量分析时间成本。此外本发明提供的特征提取方法可以减少模型误报,充分提取流量文本特征,提升机器学习模型检测效果。
附图说明
图1为本发明实施例提供的HTTP恶意流量的检测方法的流程图;
图2为本发明实施例提供的HTTP恶意流量的检测系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
图1为本发明实施例提供的一种HTTP恶意流量的检测方法的流程图,如图1所示,本发明实施例提供的方法,可以基于Hortonworks公司开发的开源大数据分析平台(Hortonworks Data Platform)作为基础数据处理平台,并在该平台的基础上搭建分布式HTTP恶意流量的检测平台。该检测平台可以包括:位于各分布式服务器上的:Hadoop数据存储组件、Spark计算引擎组件以及Yarn资源调度组件,其中Hadoop数据存储组件用于存储网络流量数据和恶意流量检测模型等模型文件,Spark计算引擎组件用于作为数据分析引擎,执行数据处理和基于模型的恶意流量检测,Yarn资源调度组件用于调度可使用的计算资源。
本发明实施例提供的方法,包括由分布式Spark Worker(节点)执行的以下步骤:
在步骤S101中,对网络流量数据进行抓取,并存储所抓取的网络流量数据。
本步骤中,可以采用光纤分光器等设备,对网关、交换机中传输的网络流量数据进行抓取,并将获取的网络流量镜像保存至Hadoop数据存储组件中。
在步骤S102中,对抓取的网络流量数据进行预处理,得到HTTP请求的格式化数据。
在一实施例中,可以使用Spark分布式计算引擎组件的UDF函数,对上一步骤抓取的网络流量数据进行预处理,具体可以包括:
使用Pcap包分析工具对网络流量数据是否属于HTTP协议,即是否为HTTP请求,进行分析判断,如果判断为否,则对识别为非HTTP协议的网络流量数据进行过滤;
如果判断为是,那么对于属于HTTP协议的网络流量数据,即HTTP请求,进行以下处理中的一种或多种:
判断HTTP请求是否为二进制格式,如果判断为是,则将二进制格式的HTTP请求格式化为文本结构;
判断HTTP请求的请求体是否是静态文件或者请求体所有字段为空,如果判断为是,则去除包含图片、文件等静态文件的HTTP请求;
提取HTTP请求中存在的脏数据,并对脏数据进行统一化处理;
判断HTTP请求中是否存在指定编码,例如Base64编码和URL编码,如果判断为是,则对该HTTP请求进行解码处理。
通过以上预处理流程,对于每条HTTP请求,都能得到一条对应的格式化数据,包括URL、Get、Post、Header、Method等字段的详细信息。
本公开步骤中通过对抓取的网络流量数据进行预处理,能够尽可能的减少由于数据不规范造成的模型误报风险。
在步骤S103中,对格式化数据进行特征提取,得到每条格式化数据的文本向量特征。
在一实施例中,特征提取的实现流程如下:
使用3-gram或2-gram分词方法对上一步骤得到的格式化数据进行分词处理,得到若干分词,并且在分词处理过程中将URL、GET、POST等字段使用字符标志进行区分;
计算每个分词的TF-IDF(term frequency–inverse document frequency,词频-逆文本频率指数)权重;
利用Word2vec词向量工具对分词后的数据进行特征转化,即将每条格式化数据中的每个分词转化为固定维度,例如300维度的向量;
使用加权平均的方式将每条固定维度的向量转化为文本向量特征,也就是说将每条格式化数据的所有分词的向量加权平均为一条固定维度为300的文本向量特征,其中权重使用计算出的TF-IDF权重,至此,特征提取完毕,通过上述过程,能够提取到每条格式化数据的文本向量特征。
在一实施例中,还可以设置TF-IDF权重阈值,在计算出TF-IDF权重之后,仅保留TF-IDF权重值高于阈值的分词,并对保留的分词进行特征转化。
在现有技术中,使用N-gram分词与TF-IDF结合的特征提取方式进行HTTP特征提取,所得到的向量特征最高可达95的3次方维度,而本发明实施例使用增加了文本标识符的N-gram分词方法进行HTTP网络流量数据的文本分词,并将特征提取方法改进为增加了TF-IDF权重的Word2vec向量表示提取方法,进行文本向量特征的提取,使得提取到的文本向量特征的维度缩减至300维度,从而大大降低了特征的维度,减少了算法的运算量;并且能够充分提取流量数据的文本向量特征,提高了特征提取的效率。
由于采用了Word2vec向量表示提取方法,该方法可以提取出词前后的相关信息,因而与现有技术中的其他提取方法相比,可以更加充分的提取流量文本特征,减少模型误报,提升机器学习模型检测效果。
在步骤S104中,加载预先训练的恶意流量检测模型,对上一步骤得到的文本向量特征进行检测,检测出HTTP恶意请求。
本实施例中,通过恶意流量检测模型对文本向量特征进行分类检测,能够检测出是否为HTTP恶意请求。检测结果包括“正常”和“恶意”,在检测之后,对每条向量特征对应的HTTP请求进行模型检测结果的标记,将标记为“正常”的HTTP请求,即不包含恶意流量的HTTP请求去除,只保留标记为“恶意”的HTTP请求,即HTTP恶意请求,将该HTTP请求及其对应的文本向量特征存储在Hadoop数据存储组件中。
在一实施例中,需要预先根据已知的HTTP恶意请求数据集训练恶意流量检测模型,本实施例选择的机器模型为逻辑回归模型。基于机器学习模型的检测方法对减少人工干预、提高识别精度、处理大量流量数据、发现未知攻击等方面具有其他方法所不具有的优势。
在步骤S105中,基于预先编写的相似攻击聚类算法,对步骤S104中检测出的HTTP恶意请求进行相似攻击聚类,得到聚类簇,对聚类簇进行存储。
在一实施例中,通过以下方式编写相似攻击聚类算法:
1)初始聚类。
使用Kmeans算法对输入的恶意流量数据的文本向量特征进行初始聚类,聚类类别可以为5000,使每一类别中的攻击数据属于同一类攻击,本质上为将向量空间划分成5000个节点。
2)计算相关系数。
针对5000个节点中的数据,计算簇质心,并针对5000个簇质心计算相关系数矩阵,该相关系数矩阵的维度为5000*5000,其中相关系数使用pearson相关系数。
3)设立联通阈值。
将相关系数矩阵看作无向图,设立空间相邻阈值,当相关系数大于0.9时,认为该节点在空间上相邻。
4)选择相邻节点。
计算每个节点的相邻节点,并以相邻节点最多的节点为权重进行排序,拥有更多节点相连的节点具有更高的优先级。
5)合并相邻节点。
对排序后的相关节点进行划分,将无向图中连通的节点划分为同一攻击方式。
具体地,在本步骤中,通过上述相似攻击聚类算法对HTTP恶意请求对应的文本向量特征进行相似攻击聚类,算法运行完毕后将会生成多个不同攻击类型的聚类簇,每种聚类簇代表着一种相似的攻击。
本实施例中,通过对文本向量特征进行相似攻击聚类,有效减少了安全研究人员的流量分析时间成本。
在步骤S106中,基于步骤S105中生成的聚类簇进行分析,得到HTTP恶意请求的恶意攻击信息。
在本实施例中,HTTP恶意请求的恶意攻击信息可以包括:攻击者、攻击行为、恶意IP、恶意HTTP请求负载、攻击针对平台信息、漏洞编号和漏洞解决办法等信息。
在一实施例中,通过以下方法进行聚类簇的分析:
提取聚类簇中的Payload字段;
将提取的Payload字段与HTTP恶意流量数据库中的Payload字段进行比对,模糊匹配;
如果匹配结果一致,则能够根据HTTP恶意流量数据库中记录的信息确定HTTP恶意请求的漏洞信息,攻击行为信息,漏洞编号和解决办法等详细信息,也说明该HTTP恶意请求是已知的恶意攻击。
如果匹配结果不一致,说明该HTTP恶意请求是未知的HTTP网络攻击,那么可以提取聚类簇的频繁项集,得到每个聚类簇的特征;
通过分析每一簇的频繁项集,可以定位攻击者攻击意图,从而帮助研究人员快速发现未知威胁,并将该HTTP恶意请求的聚类簇等相关信息保存至HTTP恶意流量数据库中。
例如,在某一类聚类簇中,提取HTTP请求的网络流量数据中的字符,发现“z0”、“z1”字符出现的次数较多,通过研究可发现,该频繁出现的字符是由名为“中国菜刀”的Webshell通信工具产生的HTTP网络流量数据,以此可判断出攻击者企图利用网站后台的某一Shell文件进行注入等攻击行为。
在本实施例中,可以根据已知HTTP恶意请求的数据构建HTTP恶意流量数据库,存储每一类攻击行为的恶意IP记录、恶意HTTP请求、针对平台信息、漏洞编号和漏洞解决办法等信息。
进一步地,通过分析聚类后的数据,还可以生成检测报告,将分类与聚类的检测结果,包括检测到的恶意攻击行为、相关漏洞编号、漏洞描述和解决措施等详细信息记录到报告中,并将生成的报告进行存储,以供研究人员研究和总结。
本发明实施例所提供的方法由于采用了机器学习模型,因而可以在具有混淆代码或攻击未知的情况下进行流量检测,具有良好的检测效率,同时本发明能够聚类出相似攻击方式,因而相比现有技术中的WAF规则检测和深度学习检测有了很大改进。此外本发明由于实现了分布式HTTP恶意流量的检测,利用Spark分布式计算引擎和Spark ML(SparkMachine Learning)分布式机器学习算法,对HTTP请求进行恶意流量检测,与现有技术中单机流量检测相比,充分利用了多机性能,大大提升了恶意流量恶意攻击行为的检测效率。
图2是本发明实施例提供的一种HTTP恶意流量的检测系统的结构示意图,如图2所示,该系统可以包括:处理模块201、特征提取模块202、分类检测模块203、聚类模块204及分析模块205。
其中,处理模块201,被配置为抓取网络流量数据,并对所述网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;
特征提取模块202,被配置为对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征;
分类检测模块203,被配置为基于预先训练的恶意流量检测模型对所述向量特征进行分类检测,检测出HTTP恶意请求;
聚类模块204,被配置为基于相似攻击聚类算法对所述HTTP恶意请求进行相似攻击聚类,得到聚类簇;
分析模块205,被配置为基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息。
在一实施例中,处理模块可以包括:
第一判断子模块,被配置为判断所述网络流量数据是否属于HTTP请求,如果判断为否,则对不属于HTTP请求的网络流量数据进行过滤;如果判断为是,则还包括以下子模块的一种或多种:
第二判断子模块,被配置为判断所述HTTP请求是否属于二进制格式,如果判断为是,则将所述二进制格式的HTTP请求格式化为文本结构;
第三判断子模块,被配置为判断所述HTTP请求的请求体是否为静态文件或请求体的所有字段是否为空,如果判断为是,则去除对应的HTTP请求;
第一提取子模块,被配置为提取所述HTTP请求中的脏数据,并对所述脏数据进行统一化处理;
第四判断子模块,被配置为判断所述HTTP请求中是否存在指定编码,如果判断为是,则将所述HTTP请求进行解码处理。
在一实施例中,特征提取模块包括:
分词处理子模块,被配置为基于N-gram分词方法对所述格式化数据进行分词处理,得到若干分词,使用字符标志对所述分词进行区分;
计算子模块,被配置为计算各所述分词的词频-逆文本频率指数TF-IDF权重;
第一转化子模块,被配置为基于词向量工具将各所述分词转化为固定维度的向量;
第二转化子模块,被配置为基于各分词的TF-IDF权重,使用加权平均的方式将每条所述固定维度的向量转化为文本向量特征。
在一实施例中,分析模块包括:
第二提取子模块,被配置为提取所述聚类簇中的设定字段;
比对子模块,被配置为将所述设定字段与HTTP恶意流量数据库中存储的字段进行比对;
第一确定子模块,被配置为如果所述设定字段与所存储的一个字段一致,则将所述HTTP恶意流量数据库中与所述字段对应的信息确定为恶意攻击信息;
第二确定子模块,被配置为如果所述设定字段与所存储的任一个字段都不一致,则提取所述聚类簇中每一簇的频繁项集,基于所述频繁项集确定恶意攻击信息。
在一实施例中,该系统还可以包括:
报告生成模块,被配置为基于所述分类检测的结果、相似攻击聚类的结果、所述聚类簇的分析结果生成检测报告;
存储模块,被配置为将所述检测报告存储到HTTP恶意流量数据库中。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种HTTP恶意流量的检测方法,其特征在于,包括:
抓取网络流量数据,并对所述网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;
对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征;
基于预先训练的恶意流量检测模型对所述向量特征进行分类检测,检测出HTTP恶意请求;
基于相似攻击聚类算法对所述HTTP恶意请求进行相似攻击聚类,得到聚类簇;
基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息。
2.根据权利要求1所述的方法,其特征在于,所述对所述网络流量数据进行预处理,包括:
判断所述网络流量数据是否属于HTTP请求,如果判断为否,则对不属于HTTP请求的网络流量数据进行过滤;
如果判断为是,则对所述HTTP请求进行以下处理的一种或多种:
判断所述HTTP请求是否属于二进制格式,如果判断为是,则将所述二进制格式的HTTP请求格式化为文本结构;
判断所述HTTP请求的请求体是否为静态文件或请求体的所有字段是否为空,如果判断为是,则去除对应的HTTP请求;
提取所述HTTP请求中的脏数据,并对所述脏数据进行统一化处理;
判断所述HTTP请求中是否存在指定编码,如果判断为是,则将所述HTTP请求进行解码处理。
3.根据权利要求1所述的方法,其特征在于,所述对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征,包括:
基于N-gram分词方法对所述格式化数据进行分词处理,得到若干分词,使用字符标志对所述分词进行区分;
计算各所述分词的词频-逆文本频率指数TF-IDF权重;
基于词向量工具将各所述分词转化为固定维度的向量;
基于各分词的TF-IDF权重,使用加权平均的方式将每条所述固定维度的向量转化为文本向量特征。
4.根据权利要求1所述的方法,其特征在于,所述基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息,包括:
提取所述聚类簇中的设定字段;
将所述设定字段与HTTP恶意流量数据库中存储的字段进行比对;
如果所述设定字段与所存储的一个字段一致,则将所述HTTP恶意流量数据库中与所述字段对应的信息确定为恶意攻击信息;
如果所述设定字段与所存储的任一个字段都不一致,则提取所述聚类簇中每一簇的频繁项集,基于所述频繁项集确定恶意攻击信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述分类检测的结果、相似攻击聚类的结果、所述聚类簇的分析结果生成检测报告;
将所述检测报告存储到HTTP恶意流量数据库中。
6.一种HTTP恶意流量的检测系统,其特征在于,包括:
处理模块,被配置为抓取网络流量数据,并对所述网络流量数据进行预处理,得到对应每条HTTP请求的格式化数据;
特征提取模块,被配置为对所述格式化数据进行特征提取,得到每条所述格式化数据的文本向量特征;
分类检测模块,被配置为基于预先训练的恶意流量检测模型对所述向量特征进行分类检测,检测出HTTP恶意请求;
聚类模块,被配置为基于相似攻击聚类算法对所述HTTP恶意请求进行相似攻击聚类,得到聚类簇;
分析模块,被配置为基于所述聚类簇进行分析,得到所述HTTP恶意请求的恶意攻击信息。
7.根据权利要求6所述的系统,其特征在于,所述处理模块包括:
第一判断子模块,被配置为判断所述网络流量数据是否属于HTTP请求,如果判断为否,则对不属于HTTP请求的网络流量数据进行过滤;如果判断为是,则还包括以下子模块的一种或多种:
第二判断子模块,被配置为判断所述HTTP请求是否属于二进制格式,如果判断为是,则将所述二进制格式的HTTP请求格式化为文本结构;
第三判断子模块,被配置为判断所述HTTP请求的请求体是否为静态文件或请求体的所有字段是否为空,如果判断为是,则去除对应的HTTP请求;
第一提取子模块,被配置为提取所述HTTP请求中的脏数据,并对所述脏数据进行统一化处理;
第四判断子模块,被配置为判断所述HTTP请求中是否存在指定编码,如果判断为是,则将所述HTTP请求进行解码处理。
8.根据权利要求6所述的系统,其特征在于,所述特征提取模块包括:
分词处理子模块,被配置为基于N-gram分词方法对所述格式化数据进行分词处理,得到若干分词,使用字符标志对所述分词进行区分;
计算子模块,被配置为计算各所述分词的词频-逆文本频率指数TF-IDF权重;
第一转化子模块,被配置为基于词向量工具将各所述分词转化为固定维度的向量;
第二转化子模块,被配置为基于各分词的TF-IDF权重,使用加权平均的方式将每条所述固定维度的向量转化为文本向量特征。
9.根据权利要求6所述的系统,其特征在于,所述分析模块包括:
第二提取子模块,被配置为提取所述聚类簇中的设定字段;
比对子模块,被配置为将所述设定字段与HTTP恶意流量数据库中存储的字段进行比对;
第一确定子模块,被配置为如果所述设定字段与所存储的一个字段一致,则将所述HTTP恶意流量数据库中与所述字段对应的信息确定为恶意攻击信息;
第二确定子模块,被配置为如果所述设定字段与所存储的任一个字段都不一致,则提取所述聚类簇中每一簇的频繁项集,基于所述频繁项集确定恶意攻击信息。
10.根据权利要求6所述的系统,其特征在于,所述系统还包括:
报告生成模块,被配置为基于所述分类检测的结果、相似攻击聚类的结果、所述聚类簇的分析结果生成检测报告;
存储模块,被配置为将所述检测报告存储到HTTP恶意流量数据库中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910241639.1A CN109960729B (zh) | 2019-03-28 | 2019-03-28 | Http恶意流量的检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910241639.1A CN109960729B (zh) | 2019-03-28 | 2019-03-28 | Http恶意流量的检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109960729A true CN109960729A (zh) | 2019-07-02 |
CN109960729B CN109960729B (zh) | 2022-01-18 |
Family
ID=67025048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910241639.1A Expired - Fee Related CN109960729B (zh) | 2019-03-28 | 2019-03-28 | Http恶意流量的检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109960729B (zh) |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417810A (zh) * | 2019-08-20 | 2019-11-05 | 西安电子科技大学 | 基于逻辑回归的增强模型的恶意加密流量检测方法 |
CN110535878A (zh) * | 2019-09-23 | 2019-12-03 | 电子科技大学 | 一种基于事件序列的威胁检测方法 |
CN110650156A (zh) * | 2019-10-23 | 2020-01-03 | 北京天融信网络安全技术有限公司 | 网络实体的关系聚类方法、装置及网络事件的识别方法 |
CN110673951A (zh) * | 2019-08-30 | 2020-01-10 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 通用运行环境的拟态调度方法、系统及介质 |
CN111031071A (zh) * | 2019-12-30 | 2020-04-17 | 杭州迪普科技股份有限公司 | 恶意流量的识别方法、装置、计算机设备及存储介质 |
CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
CN111224946A (zh) * | 2019-11-26 | 2020-06-02 | 杭州安恒信息技术股份有限公司 | 一种基于监督式学习的tls加密恶意流量检测方法及装置 |
CN111526141A (zh) * | 2020-04-17 | 2020-08-11 | 福州大学 | 基于Word2vec和TF-IDF的Web异常检测方法与系统 |
CN111783442A (zh) * | 2019-12-19 | 2020-10-16 | 国网江西省电力有限公司电力科学研究院 | 入侵检测方法、设备和服务器、存储介质 |
CN111818067A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 流量特征提取方法及装置 |
CN112422513A (zh) * | 2020-10-26 | 2021-02-26 | 浙江大学 | 一种基于网络流量报文的异常检测和攻击发起者分析系统 |
CN112565270A (zh) * | 2020-12-08 | 2021-03-26 | 国网湖南省电力有限公司 | Http会话异常检测方法及检测系统 |
CN112685736A (zh) * | 2021-03-18 | 2021-04-20 | 北京安博通科技股份有限公司 | 一种webshell识别方法、装置及计算机可读存储介质 |
CN112714118A (zh) * | 2020-12-24 | 2021-04-27 | 新浪网技术(中国)有限公司 | 网络流量检测方法和装置 |
CN112765324A (zh) * | 2021-01-25 | 2021-05-07 | 四川虹微技术有限公司 | 一种概念漂移检测方法及装置 |
CN113014549A (zh) * | 2021-02-01 | 2021-06-22 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
CN113194064A (zh) * | 2021-03-16 | 2021-07-30 | 中国科学院信息工程研究所 | 基于图卷积神经网络的webshell检测方法及装置 |
CN113315789A (zh) * | 2021-07-29 | 2021-08-27 | 中南大学 | 一种基于多级联合网络的Web攻击检测方法及系统 |
CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
CN113904829A (zh) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
CN114124509A (zh) * | 2021-11-17 | 2022-03-01 | 浪潮云信息技术股份公司 | 基于Spark的网络异常流量检测的方法及系统 |
CN114422241A (zh) * | 2022-01-19 | 2022-04-29 | 内蒙古工业大学 | 一种入侵检测方法、装置及系统 |
CN114513341A (zh) * | 2022-01-21 | 2022-05-17 | 上海斗象信息科技有限公司 | 恶意流量检测方法、装置、终端及计算机可读存储介质 |
CN115150160A (zh) * | 2022-06-29 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种网络攻击特征的检测方法及系统 |
CN115333768A (zh) * | 2022-06-29 | 2022-11-11 | 国家计算机网络与信息安全管理中心 | 一种面向海量网络攻击的快速研判方法 |
CN115361242A (zh) * | 2022-10-24 | 2022-11-18 | 长沙市智为信息技术有限公司 | 一种基于多维特征网络的Web攻击检测方法 |
CN116319050A (zh) * | 2023-04-07 | 2023-06-23 | 绵阳新奥科技有限公司 | 基于智慧互联网的网络攻击ai检测分析方法及服务器 |
CN116915474A (zh) * | 2023-07-26 | 2023-10-20 | 安徽中杰信息科技有限公司 | 一种基于流量分析的https协议分析系统及方法 |
CN116962081A (zh) * | 2023-09-19 | 2023-10-27 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
CN115333768B (zh) * | 2022-06-29 | 2024-06-04 | 国家计算机网络与信息安全管理中心 | 一种面向海量网络攻击的快速研判方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8195734B1 (en) * | 2006-11-27 | 2012-06-05 | The Research Foundation Of State University Of New York | Combining multiple clusterings by soft correspondence |
US20140373148A1 (en) * | 2013-06-14 | 2014-12-18 | Damballa, Inc. | Systems and methods for traffic classification |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN107404473A (zh) * | 2017-06-06 | 2017-11-28 | 西安电子科技大学 | 基于Mshield机器学习多模式Web应用防护方法 |
CN107665164A (zh) * | 2016-07-29 | 2018-02-06 | 百度在线网络技术(北京)有限公司 | 安全数据检测方法和装置 |
CN108718298A (zh) * | 2018-04-28 | 2018-10-30 | 北京奇安信科技有限公司 | 一种恶意外连流量检测方法及装置 |
-
2019
- 2019-03-28 CN CN201910241639.1A patent/CN109960729B/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8195734B1 (en) * | 2006-11-27 | 2012-06-05 | The Research Foundation Of State University Of New York | Combining multiple clusterings by soft correspondence |
US20140373148A1 (en) * | 2013-06-14 | 2014-12-18 | Damballa, Inc. | Systems and methods for traffic classification |
CN107665164A (zh) * | 2016-07-29 | 2018-02-06 | 百度在线网络技术(北京)有限公司 | 安全数据检测方法和装置 |
CN107404473A (zh) * | 2017-06-06 | 2017-11-28 | 西安电子科技大学 | 基于Mshield机器学习多模式Web应用防护方法 |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN108718298A (zh) * | 2018-04-28 | 2018-10-30 | 北京奇安信科技有限公司 | 一种恶意外连流量检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
何毓锟等: "基于流量图的僵尸网络检测技术分析", 《吉林大学学报(理学版)》 * |
杨放春等: "《下一代网络业务冲突的控制方法》", 31 January 2008, 北京邮电大学出版社 * |
Cited By (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417810A (zh) * | 2019-08-20 | 2019-11-05 | 西安电子科技大学 | 基于逻辑回归的增强模型的恶意加密流量检测方法 |
CN110673951A (zh) * | 2019-08-30 | 2020-01-10 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 通用运行环境的拟态调度方法、系统及介质 |
CN110673951B (zh) * | 2019-08-30 | 2022-02-15 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 通用运行环境的拟态调度方法、系统及介质 |
CN110535878A (zh) * | 2019-09-23 | 2019-12-03 | 电子科技大学 | 一种基于事件序列的威胁检测方法 |
CN110535878B (zh) * | 2019-09-23 | 2021-03-30 | 电子科技大学 | 一种基于事件序列的威胁检测方法 |
CN110650156A (zh) * | 2019-10-23 | 2020-01-03 | 北京天融信网络安全技术有限公司 | 网络实体的关系聚类方法、装置及网络事件的识别方法 |
CN110650156B (zh) * | 2019-10-23 | 2021-12-31 | 北京天融信网络安全技术有限公司 | 网络实体的关系聚类方法、装置及网络事件的识别方法 |
CN111224946A (zh) * | 2019-11-26 | 2020-06-02 | 杭州安恒信息技术股份有限公司 | 一种基于监督式学习的tls加密恶意流量检测方法及装置 |
CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
CN111191767B (zh) * | 2019-12-17 | 2023-06-06 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
CN111783442A (zh) * | 2019-12-19 | 2020-10-16 | 国网江西省电力有限公司电力科学研究院 | 入侵检测方法、设备和服务器、存储介质 |
CN111031071B (zh) * | 2019-12-30 | 2023-01-24 | 杭州迪普科技股份有限公司 | 恶意流量的识别方法、装置、计算机设备及存储介质 |
CN111031071A (zh) * | 2019-12-30 | 2020-04-17 | 杭州迪普科技股份有限公司 | 恶意流量的识别方法、装置、计算机设备及存储介质 |
CN111526141A (zh) * | 2020-04-17 | 2020-08-11 | 福州大学 | 基于Word2vec和TF-IDF的Web异常检测方法与系统 |
CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
CN111818067A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 流量特征提取方法及装置 |
CN111818067B (zh) * | 2020-07-14 | 2022-07-15 | 绿盟科技集团股份有限公司 | 流量特征提取方法及装置 |
CN112422513A (zh) * | 2020-10-26 | 2021-02-26 | 浙江大学 | 一种基于网络流量报文的异常检测和攻击发起者分析系统 |
CN112565270A (zh) * | 2020-12-08 | 2021-03-26 | 国网湖南省电力有限公司 | Http会话异常检测方法及检测系统 |
CN112714118B (zh) * | 2020-12-24 | 2023-06-06 | 新浪技术(中国)有限公司 | 网络流量检测方法和装置 |
CN112714118A (zh) * | 2020-12-24 | 2021-04-27 | 新浪网技术(中国)有限公司 | 网络流量检测方法和装置 |
CN112765324A (zh) * | 2021-01-25 | 2021-05-07 | 四川虹微技术有限公司 | 一种概念漂移检测方法及装置 |
CN113014549A (zh) * | 2021-02-01 | 2021-06-22 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
CN113014549B (zh) * | 2021-02-01 | 2022-04-08 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
CN113194064B (zh) * | 2021-03-16 | 2022-07-26 | 中国科学院信息工程研究所 | 基于图卷积神经网络的webshell检测方法及装置 |
CN113194064A (zh) * | 2021-03-16 | 2021-07-30 | 中国科学院信息工程研究所 | 基于图卷积神经网络的webshell检测方法及装置 |
CN112685736B (zh) * | 2021-03-18 | 2021-06-29 | 北京安博通科技股份有限公司 | 一种webshell识别方法、装置及计算机可读存储介质 |
CN112685736A (zh) * | 2021-03-18 | 2021-04-20 | 北京安博通科技股份有限公司 | 一种webshell识别方法、装置及计算机可读存储介质 |
CN113315789B (zh) * | 2021-07-29 | 2021-10-15 | 中南大学 | 一种基于多级联合网络的Web攻击检测方法及系统 |
CN113315789A (zh) * | 2021-07-29 | 2021-08-27 | 中南大学 | 一种基于多级联合网络的Web攻击检测方法及系统 |
CN113904829A (zh) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
CN113904829B (zh) * | 2021-09-29 | 2024-01-23 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
CN114124509A (zh) * | 2021-11-17 | 2022-03-01 | 浪潮云信息技术股份公司 | 基于Spark的网络异常流量检测的方法及系统 |
CN114422241A (zh) * | 2022-01-19 | 2022-04-29 | 内蒙古工业大学 | 一种入侵检测方法、装置及系统 |
CN114513341A (zh) * | 2022-01-21 | 2022-05-17 | 上海斗象信息科技有限公司 | 恶意流量检测方法、装置、终端及计算机可读存储介质 |
CN114513341B (zh) * | 2022-01-21 | 2023-09-12 | 上海斗象信息科技有限公司 | 恶意流量检测方法、装置、终端及计算机可读存储介质 |
CN115150160A (zh) * | 2022-06-29 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种网络攻击特征的检测方法及系统 |
CN115333768A (zh) * | 2022-06-29 | 2022-11-11 | 国家计算机网络与信息安全管理中心 | 一种面向海量网络攻击的快速研判方法 |
CN115333768B (zh) * | 2022-06-29 | 2024-06-04 | 国家计算机网络与信息安全管理中心 | 一种面向海量网络攻击的快速研判方法 |
CN115361242A (zh) * | 2022-10-24 | 2022-11-18 | 长沙市智为信息技术有限公司 | 一种基于多维特征网络的Web攻击检测方法 |
CN116319050A (zh) * | 2023-04-07 | 2023-06-23 | 绵阳新奥科技有限公司 | 基于智慧互联网的网络攻击ai检测分析方法及服务器 |
CN116319050B (zh) * | 2023-04-07 | 2024-02-20 | 天翼安全科技有限公司 | 基于智慧互联网的网络攻击ai检测分析方法及服务器 |
CN116915474A (zh) * | 2023-07-26 | 2023-10-20 | 安徽中杰信息科技有限公司 | 一种基于流量分析的https协议分析系统及方法 |
CN116915474B (zh) * | 2023-07-26 | 2024-01-26 | 安徽中杰信息科技有限公司 | 一种基于流量分析的https协议分析系统及方法 |
CN116962081A (zh) * | 2023-09-19 | 2023-10-27 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
CN116962081B (zh) * | 2023-09-19 | 2023-12-12 | 南京聚铭网络科技有限公司 | 安全报警研判方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109960729B (zh) | 2022-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109960729A (zh) | Http恶意流量的检测方法及系统 | |
Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
CN108600200B (zh) | 域名检测方法、装置、计算机设备及存储介质 | |
CN112905421B (zh) | 基于注意力机制的lstm网络的容器异常行为检测方法 | |
US10033757B2 (en) | Identifying malicious identifiers | |
CN107241352A (zh) | 一种网络安全事件分类与预测方法及系统 | |
CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
Yuan et al. | URL2Vec: URL modeling with character embeddings for fast and accurate phishing website detection | |
CN107332848A (zh) | 一种基于大数据的网络流量异常实时监测系统 | |
CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
CN108718306A (zh) | 一种异常流量行为判别方法和装置 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
CN108509794A (zh) | 一种基于分类学习算法的恶意网页防御检测方法 | |
Gonaygunta | Machine learning algorithms for detection of cyber threats using logistic regression | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
Kakavand et al. | O-ADPI: online adaptive deep-packet inspector using Mahalanobis distance map for web service attacks classification | |
CN108494791A (zh) | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 | |
Kasim | Automatic detection of phishing pages with event-based request processing, deep-hybrid feature extraction and light gradient boosted machine model | |
CN111447169B (zh) | 一种在网关上的实时恶意网页识别方法及系统 | |
Bhati et al. | An ensemble model for network intrusion detection using adaboost, random forest and logistic regression | |
CN115442159A (zh) | 一种基于家用路由的风险管控方法、系统和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220118 |