CN110784429A - 恶意流量的检测方法、装置和计算机可读存储介质 - Google Patents
恶意流量的检测方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN110784429A CN110784429A CN201810756359.XA CN201810756359A CN110784429A CN 110784429 A CN110784429 A CN 110784429A CN 201810756359 A CN201810756359 A CN 201810756359A CN 110784429 A CN110784429 A CN 110784429A
- Authority
- CN
- China
- Prior art keywords
- data
- traffic
- malicious traffic
- data set
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 41
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000010801 machine learning Methods 0.000 claims abstract description 18
- 239000013598 vector Substances 0.000 claims description 15
- 239000003795 chemical substances by application Substances 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000003066 decision tree Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 4
- 230000004927 fusion Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种恶意流量的检测方法、装置和计算机可读存储介质,涉及信息安全技术领域。该方法包括:获取网络流量的镜像数据;根据镜像数据的网络层的数据属性生成第一数据集;根据镜像数据的应用层的数据属性生成第二数据集;根据第一数据集,利用机器学习方法来计算网络流量是恶意流量的置信度;根据第二数据集和置信度,利用机器学习方法来判断网络流量是否为恶意流量。本公开的技术方案能够提高网络安全性。
Description
技术领域
本公开涉及信息安全技术领域,特别涉及一种恶意流量的检测方法、恶意流量的检测装置和计算机可读存储介质。
背景技术
随着人们生活的信息化,互联网带给我们便利的同时,也为不法分子提供了犯罪的新途径。网络攻击者甚至不需要亲临现场,就可以在远处发动恶意攻击。这就使得通过固定规则检测恶意流量的传统防火墙技术对于变种的网络攻击方式束手无策。
针对上述问题,目前的相关技术主要有基于应用层的分词检测方法、基于蜜罐技术的策略检测方法和结合免疫危险理论和蜜罐技术的诱导检测等。
发明内容
本公开的发明人发现上述相关技术中存在如下问题:无法检测具有未知攻击方式的恶意网络流量,从而导致网络安全性低。
鉴于此,本公开提出了一种恶意流量的检测技术方案,能够提高网络安全性。
根据本公开的一些实施例,提供了一种恶意流量的检测方法,包括:获取网络流量的镜像数据;根据所述镜像数据的网络层的数据属性生成第一数据集;根据所述镜像数据的应用层的数据属性生成第二数据集;根据所述第一数据集利用机器学习方法,计算所述网络流量是恶意流量的置信度;根据所述第二数据集和所述置信度利用机器学习方法,判断所述网络流量是否为恶意流量。
在一些实施例中,将所述置信度高于阈值的网络流量的时间戳指纹和攻击指纹存储在区块链中,所述时间戳指纹为所述网络流量的时间戳的哈希值,所述攻击指纹为所述网络流量的数据包和所述时间戳组合后的哈希值。
在一些实施例中,根据所述第一数据集利用KNN(K-Nearest Neighbor,K最近邻)方法,计算所述网络流量是恶意流量的置信度。
在一些实施例中,根据所述第二数据集和所述置信度利用GBDT(GradientBoosting Decision Tree,梯度提升决策树)方法,确定所述网络流量是否为恶意流量。
在一些实施例中,所述网络层的数据属性为IP数据包的数据属性;所述第一数据集包括:请求端口号、请求数据包大小、请求源IP、所述IP数据包的标识位、请求包的剩余跳数、所述请求包的协议、请求目标IP、请求目标端口、距离上一次请求时间、确认号、紧急指针字段、报头长度中的多项。
在一些实施例中,所述第二数据集包括:请求报文的长度、请求使用的协议、请求URL(Uniform Resource Locator,统一资源定位符)的词向量、请求头中包含的攻击策略中关键词的数量、距离上一次请求时间、是否使用代理、请求正文的词向量、请求头中user-agent(用户代理)的词向量、返回头的词向量、所述返回头的状态码、返回正文的词向量、所述返回头中包含的攻击策略中关键词的数量、是否包含应用层数据中的多项。
在一些实施例中,通过镜像服务器从网关获取所述网络流量的镜像数据。
根据本公开的另一些实施例,提供一种恶意流量的检测装置,包括:接收器,用于获取网络流量的镜像数据;处理器,用于根据所述镜像数据的IP数据包生成第一数据集;根据所述镜像数据的应用层数据内容生成第二数据集;根据所述第一数据集利用机器学习方法,计算所述网络流量是恶意流量的置信度;根据所述第二数据集和所述置信度利用机器学习方法,判断所述网络流量是否为恶意流量。
在一些实施例中,所述处理器将所述置信度高于阈值的网络流量的时间戳指纹和攻击指纹存储在区块链中,所述时间戳指纹为所述网络流量的时间戳的哈希值,所述攻击指纹为所述网络流量的数据包和所述时间戳组合后的哈希值。
在一些实施例中,所述处理器根据所述第一数据集利用KNN方法,计算所述网络流量是恶意流量的置信度。
在一些实施例中,所述处理器根据所述第二数据集和所述置信度利用GBDT方法,确定所述网络流量是否为恶意流量。
在一些实施例中,所述接收器通过镜像服务器从网关获取所述网络流量的镜像数据。
根据本公开的又一些实施例,提供一种恶意流量的检测装置,包括:存储器;和耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器装置中的指令,执行上述任一个实施例中的恶意流量的检测方法中的一个或多个步骤。
根据本公开的再一些实施例,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一个实施例中的恶意流量的检测方法中的一个或多个步骤。
在上述实施例中,利用机器学习方法将网络流量的网络层和应用层的数据属性进行信息融合,以检测恶意流量。这样可以在不依赖预定策略的情况下,结合不同层的数据属性进行恶意流量检测,从而提高网络安全性。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出本公开的恶意流量的检测方法的一些实施例的流程图;
图2示出本公开的恶意流量的检测方法的另一些实施例的流程图;
图3示出本公开的恶意流量的检测装置的一些实施例的框图;
图4示出本公开的恶意流量的检测装置的另一些实施例的框图;
图5示出本公开的恶意流量的检测装置的又一些实施例的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出本公开的恶意流量的检测方法的一些实施例的流程图。
如图1所示,该方法包括:步骤110,获取镜像数据;步骤120,生成第一数据集;步骤130,生成第二数据集;步骤140,计算置信度;和步骤150,判断恶意流量。
在步骤110中,获取网络流量的镜像数据。在一些实施例中,可以通过镜像服务器从网关获取所述网络流量的镜像数据。例如,可以通在网关入口获取镜像数据作为处理的数据源,镜像数据中可以包括请求流量、返回流量等。
在步骤120中,根据镜像数据的网络层的数据属性生成第一数据集。例如,网络层的数据可以是网络流量的IP数据包,IP数据包中可以包括源IP、目的IP、包大小、协议、版本、源端口、目的端口、标志位、顺序号、确认号、生存周期、时间戳等。根据IP数据包可以获取网络层的数据属性以生成第一数据集,第一数据集包含能够表征网络流量的网络层特性的字段。
在一些实施例中,对IP数据包进行预处理后生成的第一数据集可以包括:请求端口号(source-port)、请求IP(source-ip)、请求数据包大小(request-length)、IP数据包的标识位(request-option)、请求包的剩余跳数(request-ttl)、请求包的协议(request-potocol)、请求目标IP(target-ip)、请求目标端口(target-port)、距离上一次请求时间(send-time)、确认号(ack_num)、紧急指针字段(urg)、报头长度(head-length)中的多项字段。
在步骤130中,根据镜像数据的应用层的数据属性生成第二数据集。例如,应用层的数据可以包括请求头、请求正文、返回头、返回正文等。根据应用层的数据包可以获取应用层的数据属性以生成第二数据集,第二数据集包含能够表征网络流量的应用层特性的字段。
在一些实施例中,对应用层的数据进行预处理后生成的第二数据集可以包括:请求报文的长度(request-content-length)、使用的协议(request–protocol)、请求URL的词向量(request–url)、请求头中包含的攻击策略中关键词的数量(request-evil-num)、距离上一次请求时间(request-time)、是否使用代理(isproxy)、请求正文的词向量(request–data)、请求头中user-agent的词向量(request–ua)、返回头的词向量(response-head)、返回头的状态码(response-code)、返回正文的词向量(response-data)、返回头中包含的攻击策略中关键词的数量(response-evil-num)、流量风险等级(evil-level)、是否包含应用层数据(is-application)中的多项字段。
步骤120和步骤130没有执行的先后顺序,也可以并行处理。
在步骤140中,根据第一数据集利用机器学习方法,计算网络流量是恶意流量的置信度。例如,可以根据第一数据集利用KNN方法,计算网络流量是恶意流量的置信度。该置信度是从网络层面估计网络流量为恶意流量的可能性。
在步骤150中,根据第二数据集和置信度利用机器学习方法,判断网络流量是否为恶意流量。例如,根据第二数据集和置信度利用GBDT方法,确定网络流量是否为恶意流量。
这样,通过结合网络流量的网络层属性和应用层属性进行数据融合得到的检测结果,能够更加准确、全面地判断网络流量是否为恶意流量。而且,通过机器学习方法避免了检测结果依赖于预定策略的弊端,使得检测方法具有更高的灵活性以应对未知网络攻击,从而提高了网络安全性。
在一些实施例中,可以通过图2中的步骤对检测结果进行进一步处理。
图2示出本公开的恶意流量的检测方法的另一些实施例的流程图。
如图2所示,相比于图1中的技术方案恶意流量的检测方法还包括:步骤260,生成时间戳指纹;步骤270,生成攻击指纹;和步骤280,区块链存储。
在步骤260中,可以为步骤150中判断为恶意流量的网络流量生成时间戳指纹。也可以为步骤140中置信度高于阈值的网络流量生成时间戳指纹。例如,可以计算网络流量的时间戳的哈希值作为时间戳指纹。
在步骤270中,可以为步骤150中判断为恶意流量的网络流量生成攻击指纹。也可以为步骤140中置信度高于阈值的网络流量生成攻击指纹。例如,可以将网络流量的数据包和时间戳组合起来,然后计算组合的哈希值作为攻击指纹。也可以对计算组合的哈希值再次进行哈希计算,将计算结果作为攻击指纹,以避免指纹重复。
在步骤280中,将时间戳指纹和攻击指纹存储在区块链中。由于区块链的不可篡改性,时间戳指纹和攻击指纹可以作为网络攻击回溯的可靠证据,既保证了流量数据的隐私,又提高了回溯证据的有效性。
上述实施例中,利用机器学习方法将网络流量的网络层和应用层的数据属性进行信息融合,以检测恶意流量。这样可以在不依赖预定策略的情况下,结合网络不同层的数据属性进行恶意流量检测,从而提高网络安全性。
图3示出本公开的恶意流量的检测装置的一些实施例的框图。
如图3所示,恶意流量的检测装置3包括:接收器31和处理器32。
接收器31用于获取网络流量的镜像数据。处理器32用于根据镜像数据的IP数据包生成第一数据集;根据镜像数据的应用层数据内容生成第二数据集。例如,接收器31通过镜像服务器从网关获取网络流量的镜像数据。
处理器32根据第一数据集利用机器学习方法,计算网络流量是恶意流量的置信度。例如,处理器32根据第一数据集利用KNN方法,计算网络流量是恶意流量的置信度。
处理器32根据第二数据集和置信度利用机器学习方法,判断网络流量是否为恶意流量。例如,处理器32根据第二数据集和置信度利用GBDT方法,确定网络流量是否为恶意流量。
在一些实施例中,处理器32将恶意流量的时间戳指纹和攻击指纹存储在区块链中,时间戳指纹为恶意流量的时间戳的哈希值,攻击指纹为恶意流量的数据包和时间戳组合后的哈希值。
上述实施例中,利用机器学习方法将网络流量的网络层和应用层的数据属性进行信息融合,以检测恶意流量。这样可以在不依赖预定策略的情况下,结合不同层的数据属性进行恶意流量检测,从而提高网络安全性。
图4示出本公开的恶意流量的检测装置的另一些实施例的框图。
如图4所示,该实施例的恶意流量的检测装置4包括:存储器41以及耦接至该存储器41的处理器42,处理器42被配置为基于存储在存储器41中的指令,执行本公开中任意一个实施例中的恶意流量的检测装置方法中的一个或多个步骤。
其中,存储器41例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)、数据库以及其他程序等。
图5示出本公开的恶意流量的检测装置的又一些实施例的框图。
如图5所示,该实施例的恶意流量的检测装置5包括:存储器510以及耦接至该存储器510的处理器520,处理器520被配置为基于存储在存储器510中的指令,执行前述任意一个实施例中的恶意流量的检测装置方法。
存储器510例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
恶意流量的检测装置5还可以包括输入输出接口530、网络接口540、存储接口550等。这些接口530、540、550以及存储器510和处理器520之间例如可以通过总线560连接。其中,输入输出接口530为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口540为各种联网设备提供连接接口。存储接口540为SD卡、U盘等外置存储设备提供连接接口。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
至此,已经详细描述了根据本公开的恶意流量的检测方法、恶意流量的检测装置和计算机可读存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (14)
1.一种恶意流量的检测方法,包括:
获取网络流量的镜像数据;
根据所述镜像数据的网络层的数据属性生成第一数据集;
根据所述镜像数据的应用层的数据属性生成第二数据集;
根据所述第一数据集,利用机器学习方法来计算所述网络流量是恶意流量的置信度;
根据所述第二数据集和所述置信度,利用机器学习方法来判断所述网络流量是否为恶意流量。
2.根据权利要求1所述的检测方法,还包括:
将所述恶意流量的时间戳指纹和攻击指纹存储在区块链中,所述时间戳指纹为所述恶意流量的时间戳的哈希值,所述攻击指纹为所述恶意流量的数据包和所述时间戳组合后的哈希值。
3.根据权利要求1所述的检测方法,其中,
根据所述第一数据集,利用K最近邻方法来计算所述网络流量是恶意流量的置信度。
4.根据权利要求1所述的检测方法,其中,
根据所述第二数据集和所述置信度,利用梯度提升决策树GBDT方法来确定所述网络流量是否为恶意流量。
5.根据权利要求1-4任一项所述的检测方法,其中,
所述网络层的数据属性为IP数据包的数据属性;
所述第一数据集包括:请求端口号、请求数据包大小、请求源IP、所述IP数据包的标识位、请求包的剩余跳数、所述请求包的协议、请求目标IP、请求目标端口、距离上一次请求时间、确认号、紧急指针字段、报头长度中的多项。
6.根据权利要求1-4任一项所述的检测方法,其中,
所述第二数据集包括:请求报文的长度、请求使用的协议、请求统一资源定位符的词向量、请求头中包含的攻击策略中关键词的数量、距离上一次请求时间、是否使用代理、请求正文的词向量、请求头中用户代理的词向量、返回头的词向量、所述返回头的状态码、返回正文的词向量、所述返回头中包含的攻击策略中关键词的数量、流量风险等级、是否包含应用层数据中的多项。
7.根据权利要求1-4任一项所述的检测方法,其中,
通过镜像服务器从网关获取所述网络流量的镜像数据。
8.一种恶意流量的检测装置,包括:
接收器,用于获取网络流量的镜像数据;
处理器,用于
根据所述镜像数据的IP数据包生成第一数据集;
根据所述镜像数据的应用层数据内容生成第二数据集;
根据所述第一数据集,利用机器学习方法来计算所述网络流量是恶意流量的置信度;
根据所述第二数据集和所述置信度,利用机器学习方法来判断所述网络流量是否为恶意流量。
9.根据权利要求8所述的检测装置,其中,
所述处理器将所述恶意流量的时间戳指纹和攻击指纹存储在区块链中,所述时间戳指纹为所述恶意流量的时间戳的哈希值,所述攻击指纹为所述恶意流量的数据包和所述时间戳组合后的哈希值。
10.根据权利要求8所述的检测装置,其中,
所述处理器根据所述第一数据集,利用K最近邻方法来计算所述网络流量是恶意流量的置信度。
11.根据权利要求8所述的检测装置,其中,
所述处理器根据所述第二数据集和所述置信度,利用梯度提升决策树GBDT方法来确定所述网络流量是否为恶意流量。
12.根据权利要求8-11任一项所述的检测装置,其中,
所述接收器通过镜像服务器从网关获取所述网络流量的镜像数据。
13.一种恶意流量的检测装置,包括:
存储器;和
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器装置中的指令,执行权利要求1-7任一项所述的恶意流量的检测方法中的一个或多个步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-7任一项所述的恶意流量的检测方法中的一个或多个步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810756359.XA CN110784429A (zh) | 2018-07-11 | 2018-07-11 | 恶意流量的检测方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810756359.XA CN110784429A (zh) | 2018-07-11 | 2018-07-11 | 恶意流量的检测方法、装置和计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110784429A true CN110784429A (zh) | 2020-02-11 |
Family
ID=69377052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810756359.XA Pending CN110784429A (zh) | 2018-07-11 | 2018-07-11 | 恶意流量的检测方法、装置和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110784429A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN115314268A (zh) * | 2022-07-27 | 2022-11-08 | 天津市国瑞数码安全系统股份有限公司 | 基于流量指纹和行为的恶意加密流量检测方法和系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120054867A1 (en) * | 2010-08-25 | 2012-03-01 | International Business Machines Corporation | Two-tier deep analysis of html traffic |
US20120079592A1 (en) * | 2010-09-24 | 2012-03-29 | Verisign, Inc. | Ip prioritization and scoring system for ddos detection and mitigation |
US20120084464A1 (en) * | 2010-10-01 | 2012-04-05 | Telcordia Technologies, Inc. | Obfuscating Network Traffic from Previously Collected Network Traffic |
US20120151593A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive |
US8621618B1 (en) * | 2011-02-07 | 2013-12-31 | Dell Products, Lp | System and method for assessing whether a communication contains an attack |
US20150128263A1 (en) * | 2013-11-07 | 2015-05-07 | Cyberpoint International, LLC | Methods and systems for malware detection |
US20150200962A1 (en) * | 2012-06-04 | 2015-07-16 | The Board Of Regents Of The University Of Texas System | Method and system for resilient and adaptive detection of malicious websites |
US20170099310A1 (en) * | 2015-10-05 | 2017-04-06 | Cisco Technology, Inc. | Dynamic deep packet inspection for anomaly detection |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
-
2018
- 2018-07-11 CN CN201810756359.XA patent/CN110784429A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120054867A1 (en) * | 2010-08-25 | 2012-03-01 | International Business Machines Corporation | Two-tier deep analysis of html traffic |
US20120079592A1 (en) * | 2010-09-24 | 2012-03-29 | Verisign, Inc. | Ip prioritization and scoring system for ddos detection and mitigation |
US20120084464A1 (en) * | 2010-10-01 | 2012-04-05 | Telcordia Technologies, Inc. | Obfuscating Network Traffic from Previously Collected Network Traffic |
US20120151593A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive |
US8621618B1 (en) * | 2011-02-07 | 2013-12-31 | Dell Products, Lp | System and method for assessing whether a communication contains an attack |
US20150200962A1 (en) * | 2012-06-04 | 2015-07-16 | The Board Of Regents Of The University Of Texas System | Method and system for resilient and adaptive detection of malicious websites |
US20150128263A1 (en) * | 2013-11-07 | 2015-05-07 | Cyberpoint International, LLC | Methods and systems for malware detection |
US20170099310A1 (en) * | 2015-10-05 | 2017-04-06 | Cisco Technology, Inc. | Dynamic deep packet inspection for anomaly detection |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN115314268A (zh) * | 2022-07-27 | 2022-11-08 | 天津市国瑞数码安全系统股份有限公司 | 基于流量指纹和行为的恶意加密流量检测方法和系统 |
CN115314268B (zh) * | 2022-07-27 | 2023-12-12 | 天津市国瑞数码安全系统股份有限公司 | 基于流量指纹和行为的恶意加密流量检测方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6670907B2 (ja) | スクリプトの実行をブロックするシステム及び方法 | |
US9967265B1 (en) | Detecting malicious online activities using event stream processing over a graph database | |
US10375086B2 (en) | System and method for detection of malicious data encryption programs | |
CN104052734B (zh) | 使用全球设备指纹识别的攻击检测和防止 | |
CN106470214B (zh) | 攻击检测方法和装置 | |
US10609057B2 (en) | Digital immune system for intrusion detection on data processing systems and networks | |
KR101956486B1 (ko) | 단말 식별자들을 용이하게 하는 방법 및 시스템 | |
US20230224232A1 (en) | System and method for extracting identifiers from traffic of an unknown protocol | |
EP2924943B1 (en) | Virus detection method and device | |
KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
US20080313708A1 (en) | Data content matching | |
CN109344611B (zh) | 应用的访问控制方法、终端设备及介质 | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
US10255436B2 (en) | Creating rules describing malicious files based on file properties | |
CN106911637A (zh) | 网络威胁处理方法和装置 | |
US10581883B1 (en) | In-transit visual content analysis for selective message transfer | |
CN110868405B (zh) | 恶意代码检测方法、装置、计算机设备及存储介质 | |
CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
CN111740946A (zh) | Webshell报文的检测方法及装置 | |
CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN106911640A (zh) | 网络威胁处理方法和装置 | |
CN110784429A (zh) | 恶意流量的检测方法、装置和计算机可读存储介质 | |
CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
CN109495471B (zh) | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200211 |
|
RJ01 | Rejection of invention patent application after publication |