CN110611636B - 一种基于大数据算法的失陷主机检测方法 - Google Patents
一种基于大数据算法的失陷主机检测方法 Download PDFInfo
- Publication number
- CN110611636B CN110611636B CN201810611626.4A CN201810611626A CN110611636B CN 110611636 B CN110611636 B CN 110611636B CN 201810611626 A CN201810611626 A CN 201810611626A CN 110611636 B CN110611636 B CN 110611636B
- Authority
- CN
- China
- Prior art keywords
- model
- data
- analysis
- algorithm
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种基于大数据算法的失陷主机检测方法,该方法通过模拟黑客或者僵尸、木马、蠕虫等病毒攻击主机的全过程,利用大数据算法的判断识别攻击的全过程,并搭建真实的病毒局域网环境,利用病毒局域网收集病毒的攻击行为数据样本,将其攻击样本放到算法和安全设备中检测算法和安全设备上报的异常,最后基于逻辑回归算法学习出各个攻击过程所占的权重。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于大数据算法的失陷主机检测方法。
背景技术
主机是计算机网络或者是通讯网络中使用的各种设备,这些设备包括但不局限于计算机、交换机、路由器和安全设备等。黑客攻击主机,或者是僵尸、木马、蠕虫等病毒对主机进行攻击,以导致主机被控制甚至直接瘫痪,将这一攻击的全过程称为主机失陷。
目前大部分安全设备防护的都是都是针对一个或者多个域来进行防护的,因此设备的安全策略绝大多数是共用的,能将规则适用于域中所有主机,拦截下很多常见的攻击。正是因为这些普遍性的防护,会很容易被黑客或者僵尸、木马、蠕虫等病毒有针对性的绕过安全设备,对某台主机进行攻击。且常规的安全设备缺少对阶段性的检测,没有很好的关联当前发生的所有安全事件。所以,现在迫切需要一种技术能对单台主机的异常进行检测,由此才能从根源上防护黑客或者僵尸、木马、蠕虫等病毒的攻击。
传统的安全设备都具有普遍性,能够兼容一个甚至多个域中的主机进行防护。虽然此方法快速、便捷、兼容性高,但是无法防护带有针对性的特殊攻击,且无法根据对同一主机的不同攻击进行关联判断,因此使用传统的安全设备很容易造成误报、漏报。
发明内容
首先搭建一个真实的局域网环境,人为的攻击局域网或者种下僵尸、木马、蠕虫等某种病毒,然后再通过在网络节点中部署专门的协议解析工具,从数据链路层、网络层、传输层逐层拆封数据报文,解析主机日志、协议头部中的 IP 地址信息、请求包数量、访问域名、端口等多个特征,利用大数据平台Spark对数据进行预处理,将处理后的数据存入至分布式存储系统Hadoop的hdfs中,作为各个算法的负样本。之后收集局域网中的正常数据,作为算法的正样本。通过让算法学习多种黑客攻击和僵尸、木马、蠕虫等病毒的攻击行为,使其算法变得成熟。最后将检测体系部署真实的环境中,当出上报某种异常的分数大于阈值时,进行告警。
为了实现所述目的,本发明提供的一种基于大数据算法的失陷主机检测方法方案如下所述:
步骤S1:搭建一个真实的局域网环境,人为的攻击局域网或者种下僵尸、木马、蠕虫等某种病毒,提取的信息包含IP 地址信息、端口信息、流量大小、协议类型、dns域名、记录时间、应答标志、主机日志、请求类型、回答类型、流量发生时间、IPS/IDS日志、入侵审计日志、防火墙日志等,并将这些作为负样本数据存储到Hadoop的hdfs中。
步骤S2:基于间歇性连接分析、上下行流量异常分析、隐蔽通道分析、端口异常分析、服务器主动外联行为分析、可疑域名分析、流量异常分析、基于DNS的僵尸网络检测、基于Netflow的僵尸网络检测等9个算法模型的需要,提取Netflow、Http、Dns流量,针对这些流量做算法模型的特征工程预处理。
步骤S3:收集实际生产环境的正常数据,提取的信息包含IP 地址信息、端口信息、流量大小、协议类型、dns域名、记录时间、应答标志、主机日志、请求类型、回答类型、流量发生时间、IPS/IDS日志、入侵审计日志、防火墙日志等,并将这些数据作为正样本存储到Hadoop的hdfs中。
步骤S4:利用局域网和实际生产环境得到的正负数据样本,将正样本和负样本按照1:1的比例进行混合,经过步骤S2的特征预抽取后,将相应的数据根据模型的需要,处理后代入间歇性连接分析、上下行流量异常分析、隐蔽通道分析、端口异常分析、服务器主动外联行为分析、可疑域名分析、流量异常分析、基于DNS的僵尸网络检测、基于Netflow的僵尸网络检测等9个算法模型中学习训练,并调整好算法模型参数。
步骤S5:当某些模型一起发生时,往往会导致主机失陷发生,利用LogisticRegression模型旨在找出这种模型组合。根据步骤S4学习到的模型,以及引入安全设备、威胁情报,重新识别检测局域网机器的病毒。重复识别检测多种病毒,收集不同病毒的算法模型、安全设备、威胁情报的命中结果,以此来作为原始数据学习训练逻辑回归的参数,得到主机失陷评分体系模型。
步骤S6:为了验证检测模型是否可靠,将混合样本按照7:3的比例划分为训练集和校验集,利用学习训练得到的算法模型对校验集进行检测,根据检测值和数据标签的对比得出准确率和混淆矩阵,以准确率和混淆矩阵来调整参数,使其检测结果更加优秀;为了验证评分模型是否可靠,对局域网实施人为的攻击或者种下僵尸、木马、蠕虫等某种病毒,以命中的模型事件和上报的分数来调整参数,使其评分模型更加优秀。
步骤S7:将检测模型和评分模型放入到实际环境中学习,当检测出黑客攻击或者僵尸、木马、蠕虫等某种病毒时,专家可以对其结果进行进一步确认,当确认是一个黑客攻击或者是僵尸、木马、蠕虫等某种病毒攻击时,可以将其标记出来,关联相关的数据,依据之前的步骤进行处理,并将结果加入到检测模型和评分模型的训练集中丰富训练样本,使其模型越来越精确,识别效果更加优秀。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的流程图;
具体实施方式
下面将结合附图,对本发明进行详细说明。所描述的详细案例仅是本发明的一部分,而不是对本发明的限制。
步骤S1:基于间歇性连接分析、上下行流量异常分析、隐蔽通道分析、端口异常分析、服务器主动外联行为分析、可疑域名分析、流量异常分析、基于DNS的僵尸网络检测、基于Netflow的僵尸网络检测等9个算法模型的需要,提取Netflow、Http、Dns流量,针对这些流量做算法模型的特征工程预处理。
搭建一个真实的局域网环境,人为的攻击局域网或者种下僵尸、木马、蠕虫等某种病毒,提取的信息包含IP 地址信息、端口信息、流量大小、协议类型、dns域名、记录时间、应答标志、主机日志、请求类型、回答类型、流量发生时间、IPS/IDS日志、入侵审计日志、防火墙日志等,并将这些作为负样本数据存储到Hadoop的hdfs中。
步骤S2:根据各个检测模型的特征需求,提取Netflow、Http、Dns流量的特征。基于间歇性连接分析、上下行流量异常分析、隐蔽通道分析、端口异常分析、服务器主动外联行为分析、可疑域名分析、流量异常分析、基于DNS的僵尸网络检测、基于Netflow的僵尸网络检测模型,需要提取源地址、目的地址、请求时间、协议、请求字节数、下载字节数、源端口、目的端口、生存时间、查询名、查询类型、域名、回答类型、响应标识等特征,所有特征包括如下字段:
| 字段名 | 字段说明 |
| 源地址 | SRCIP |
| 目的地址 | DSTIP |
| 请求时间 | RECORDTIME |
| 协议 | PROTOCOL |
| 请求字节数 | UPBYTESIZE |
| 下载字节数 | DOWNBYTESIZE |
| 源端口 | SRCPORT |
| 目的端口 | DSTPORT |
| 生存时间 | LIVETIME |
| 查询名 | QUERIESNAME |
| 查询类型 | QUERIESTYPE |
| 域名 | DOMAIN |
| 回答类型 | ANSWERSTYPE |
| 响应标识 | ANSWERSINDEX |
步骤S3:收集实际生产环境的正常数据,提取的信息包含IP 地址信息、端口信息、流量大小、协议类型、dns域名、记录时间、应答标志、主机日志、请求类型、回答类型、流量发生时间、IPS/IDS日志、入侵审计日志、防火墙日志等,并将这些数据作为正样本存储到Hadoop的hdfs中。
步骤S4:利用局域网和实际生产环境得到的正负数据样本,将正样本和负样本按照1:1的比例进行混合,经过步骤S2的特征预抽取后,根据间歇性连接分析的模型需求,将保留访问过可疑域名,且请求字节数和下载字节数的总数大于70的数据流,作为循环自相关模型的输送数据;根据上下行流量异常分析的模型需求,将同个时间点、源地址、目的地址、协议的数据流整合为一条,作为基线模型的输送数据;根据隐蔽通道分析的模型需求,将同个时间点、源地址、目的地址、协议的数据流整合为一条,作为基线模型的输送数据;根据端口异常分析的模型需求,将目的地址、目的端口、协议绑定在一起,作为新的特征,作为基线模型的输送数据;根据服务器主动外联行为分析的模型需求,配置对特定的服务器、交换机等不会主动与外网通讯的资产进行标记,存储到数据库中;根据可疑域名分析的模型需求,取域名的第二、第三段作为目标识别段,作为梯度提升树算法的输送数据;根据流量异常分析的模型需求,将同一个十分钟内的数据都归为一个时刻,并且合并在同一时刻,源地址和目的地址相同的数据,作为基线模型的输送数据;根据基于DNS的僵尸网络检测的模型需求,将保留访问过可疑域名的数据流,作为x-means和循环自相关模型的输送数据;根据基于Netflow的僵尸网络检测的模型需求,将保留访问过可疑域名和出现间歇性连接的数据流,作为群组行为模型的输送数据。利用上述输送的数据以及相应的算法模型中学习训练,并调整好算法模型参数。
步骤S5:当某些模型一起发生时,往往会织就导致主机失陷时间发生,利用Logistic Regression模型旨在找出这种模型组合。通过检测模型得到的结果向量,并引入安全设备、威胁情报检测的结果,使用Logistic Regression模型训练一个分类器,结果向量作为分类器的特征,分类器中每一个特征系数,即为该特征对应的权重值。那么模型总得分计算公式为:
其中Logistic Regression模型具体如下:
其中,
的具体定义如下:
那么权重值即为公式中的
。
本专利采用FP-tree挖掘共同导致主机失陷事件出现的频繁项集,且将置信度作为模型的最终得分。其中FP-tree算法如下:
Step1:将样本数据中所有检测模型结果和主机失陷时间,分别拆分为项集集合,以此构造事务库。
Step2:扫描事务库,每个事件按频数递减排序,并删除频数小于最小支持度
的事件。其中支持度的计算方式为:
其中,A、B分别为频繁1项集,D为频繁1集合。
Step3:对于每一条事务记录,按照Step2中的顺序重新排序。
Step4:把Step3得到的各条记录插入到FP-Tree中,刚开始时后缀模式为空。
Step5:设置置信度阈值
,过滤FP-Tree置信度小于阈值的频繁项,其中置信度计算方式为:
其中,A、B分别为频繁1项集。
根据步骤S4学习到的模型,以及引入安全设备、威胁情报,重新识别检测局域网机器的病毒。重复识别检测多种病毒,收集不同病毒的算法模型、安全设备、威胁情报的命中结果,作为结果向量输送到逻辑回归算法中,以此来作为原始数据学习训练逻辑回归的权重,得到主机失陷评分体系模型。
步骤S6:为了验证检测模型是否可靠,将混合样本按照7:3的比例划分为训练集和校验集,利用学习训练得到的算法模型对校验集进行检测,根据检测值和数据标签的对比得出准确率和混淆矩阵,以准确率和混淆矩阵来调整参数,使其检测结果更加优秀;为了验证评分模型是否可靠,对局域网实施人为的攻击或者种下僵尸、木马、蠕虫等某种病毒,以命中的模型事件和上报的分数来调整参数,使其评分模型更加优秀。由于校验集实际上是已经知道了词属于那个分类的,用校验集中原本存在的分类和预测出来的分类做混淆矩阵,结构如下:
| Positive | Negative | |
| Positive | 实际是Positive,预测成Positive的样本数,又叫true positive (TP) | 实际是Negative,预测成Positive的样本数,又叫false positive(FP) |
| Negative | 实际是Positive,预测成Negative的样本数,又叫false negative(FN) | 实际是Negative,预测成Negative的样本数,又叫true negative(TN) |
根据混淆矩阵计算分类器的正确率,假设样本数为
,那么
,则正确率
为:
最后准确率和混淆矩阵来调整参数,使其分类结果更加优秀。
步骤S7:将检测模型和评分模型放入到实际环境中学习,当检测出黑客攻击或者僵尸、木马、蠕虫等某种病毒时,专家可以对其结果进行进一步确认,当确认是一个黑客攻击或者是僵尸、木马、蠕虫等某种病毒攻击时,可以将其标记出来,关联相关的数据,依据之前的步骤进行处理,并将结果加入到检测模型和评分模型的训练集中丰富训练样本,使其模型越来越精确,识别效果更加优秀。
以上对本发明实施例所提供的一种基于大数据算法的失陷主机检测方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (1)
1.一种基于大数据算法的失陷主机检测方法,该方法基于黑客或者僵尸、木马、蠕虫病毒攻击主机的全过程分析方法;该方法创新式的从黑客或者僵尸、木马或蠕虫病毒攻击主机的全过程出发,细化了攻击的每一个流程步骤,能够更有效的防护针对主机的攻击,降低了传统检测方法的误报率和漏报率,所述方法包括以下步骤:
步骤S1:搭建一个真实的局域网环境,人为的攻击局域网或者种下僵尸、木马、蠕虫中某种病毒,提取的信息包含IP 地址信息、端口信息、流量大小、协议类型、dns域名、记录时间、应答标志、主机日志、请求类型、回答类型、流量发生时间、IPS/IDS日志、入侵审计日志、防火墙日志,并将这些作为负样本数据存储到Hadoop的hdfs中;
步骤S2:基于间歇性连接分析、上下行流量异常分析、隐蔽通道分析、端口异常分析、服务器主动外联行为分析、可疑域名分析、流量异常分析、基于DNS的僵尸网络检测、基于Netflow的僵尸网络检测9个算法模型的需要,提取Netflow、Http、Dns流量,针对这些流量做算法模型的特征工程预处理;
步骤S3:收集实际生产环境的正常数据,提取的信息包含IP 地址信息、端口信息、流量大小、协议类型、dns域名、记录时间、应答标志、主机日志、请求类型、回答类型、流量发生时间、IPS/IDS日志、入侵审计日志、防火墙日志,并将这些数据作为正样本存储到Hadoop的hdfs中;
步骤S4:利用局域网和实际生产环境得到的正负数据样本,将正样本和负样本按照1:1的比例进行混合,经过步骤S2的特征预抽取后,根据间歇性连接分析的模型需求,将保留访问过可疑域名,且请求字节数和下载字节数的总数大于70的数据流,作为循环自相关模型的输送数据;根据上下行流量异常分析的模型需求,将同个时间点、源地址、目的地址、协议的数据流整合为一条,作为基线模型的输送数据;根据隐蔽通道分析的模型需求,将同个时间点、源地址、目的地址、协议的数据流整合为一条,作为基线模型的输送数据;根据端口异常分析的模型需求,将目的地址、目的端口、协议绑定在一起,作为新的特征,作为基线模型的输送数据;根据服务器主动外联行为分析的模型需求,配置对特定的服务器、交换机等不会主动与外网通讯的资产进行标记,存储到数据库中;根据可疑域名分析的模型需求,取域名的第二、第三段作为目标识别段,作为梯度提升树算法的输送数据;根据流量异常分析的模型需求,将同一个十分钟内的数据都归为一个时刻,并且合并在同一时刻,源地址和目的地址相同的数据,作为基线模型的输送数据;根据基于DNS的僵尸网络检测的模型需求,将保留访问过可疑域名的数据流,作为x-means和循环自相关模型的输送数据;根据基于Netflow的僵尸网络检测的模型需求,将保留访问过可疑域名和出现间歇性连接的数据流,作为群组行为模型的输送数据;利用上述输送的数据以及相应的算法模型中学习训练,并调整好算法模型参数;
步骤S5:当某些模型一起发生时,往往会导致主机失陷发生,利用LogisticRegression模型旨在找出这种模型组合;根据步骤S4学习到的模型,以及引入安全设备、威胁情报,重新识别检测局域网机器的病毒;重复识别检测多种病毒,收集不同病毒的算法模型、安全设备、威胁情报的命中结果,以此来作为原始数据学习训练逻辑回归的权重值,得到主机失陷评分体系模型;
步骤S6:为了验证检测模型是否可靠,将混合样本按照7:3的比例划分为训练集和校验集,利用学习训练得到的算法模型对校验集进行检测,根据检测值和数据标签的对比得出准确率和混淆矩阵,以准确率和混淆矩阵来调整参数,使其检测结果更加优秀;为了验证评分模型是否可靠,对局域网实施人为的攻击或者种下僵尸、木马、蠕虫中某种病毒,以命中的模型事件和上报的分数来调整参数,使其评分模型更加优秀;
步骤S7:将检测模型和评分模型放入到实际环境中学习,当检测出黑客攻击或者僵尸、木马、蠕虫中某种病毒时,专家能够对其结果进行进一步确认,当确认是一个黑客攻击或者是僵尸、木马、蠕虫中某种病毒攻击时,将其标记出来,关联相关的数据,依据之前的步骤进行处理,并将结果加入到检测模型和评分模型的训练集中丰富训练样本,使其模型越来越精确,识别效果更加优秀。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810611626.4A CN110611636B (zh) | 2018-06-14 | 2018-06-14 | 一种基于大数据算法的失陷主机检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810611626.4A CN110611636B (zh) | 2018-06-14 | 2018-06-14 | 一种基于大数据算法的失陷主机检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110611636A CN110611636A (zh) | 2019-12-24 |
| CN110611636B true CN110611636B (zh) | 2021-12-14 |
Family
ID=68887502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810611626.4A Active CN110611636B (zh) | 2018-06-14 | 2018-06-14 | 一种基于大数据算法的失陷主机检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110611636B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112651790B (zh) * | 2021-01-19 | 2024-04-12 | 恩亿科(北京)数据科技有限公司 | 基于快消行业用户触达的ocpx自适应学习方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN107579944A (zh) * | 2016-07-05 | 2018-01-12 | 南京联成科技发展股份有限公司 | 基于人工智能和MapReduce安全攻击预测方法 |
-
2018
- 2018-06-14 CN CN201810611626.4A patent/CN110611636B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
| CN107579944A (zh) * | 2016-07-05 | 2018-01-12 | 南京联成科技发展股份有限公司 | 基于人工智能和MapReduce安全攻击预测方法 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110611636A (zh) | 2019-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
| US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN108092948B (zh) | 一种网络攻击模式的识别方法和装置 | |
| Hassan | Network intrusion detection system using genetic algorithm and fuzzy logic | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| CN107370752B (zh) | 一种高效的远控木马检测方法 | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| CN105681250A (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| CN110830490B (zh) | 基于带对抗训练深度网络的恶意域名检测方法及系统 | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
| Jiang et al. | Novel intrusion prediction mechanism based on honeypot log similarity | |
| Zhao | Network intrusion detection system model based on data mining | |
| Chou et al. | An adaptive network intrusion detection approach for the cloud environment | |
| Le et al. | Unsupervised monitoring of network and service behaviour using self organizing maps | |
| CN110611636B (zh) | 一种基于大数据算法的失陷主机检测方法 | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| CN116827690A (zh) | 基于分布式的抗DDoS攻击及云WAF防御方法 | |
| Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20220422 Granted publication date: 20211214 |
|
| PP01 | Preservation of patent right |