CN111510434A - 网络入侵检测方法、系统及相关设备 - Google Patents
网络入侵检测方法、系统及相关设备 Download PDFInfo
- Publication number
- CN111510434A CN111510434A CN202010211960.8A CN202010211960A CN111510434A CN 111510434 A CN111510434 A CN 111510434A CN 202010211960 A CN202010211960 A CN 202010211960A CN 111510434 A CN111510434 A CN 111510434A
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- traffic
- request message
- mirror
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络入侵检测方法、系统及相关设备,涉及网络安全技术领域,所述网络入侵检测方法包括:获取目标系统的输入流量的镜像流量和输出流量的镜像流量;根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文;将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中;获取所述行为模型输出的攻击是否成功的结果。通过上述方法,本发明可以自动识别攻击是否成功。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络入侵检测方法、系统及相关设备。
背景技术
随着金融业的发展,各个银行均部署了入侵检测设备来防范入侵。现有技术通过扫描互联网外部输入流量,来判断自于互联网外部的流量是否为攻击流量,若是的话,则产生告警,通知监控人员来进行处理。
然而,来自于互联网外部的攻击持续不断,导致了入侵检测设备产生了大量告警,而监控人员会被淹没在海量的告警中,无法进一步判断攻击是否成功。
因此如何判断攻击是否成功,成为亟待解决的技术问题。
发明内容
本发明的实施方式提供一种网络入侵检测方法、系统及相关设备,其通过镜像输入输出双向流量,从双向镜像流量中获取攻击请求报文和其对应的响应报文,将攻击请求报文和响应报文输入到行为模型中,可以自动判断攻击是否成功。
本发明实施方式的第一方面提供一种网络入侵检测方法,所述网络入侵检测方法包括:
获取目标系统的输入流量的镜像流量和输出流量的镜像流量;
根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文;
将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中;
获取所述行为模型输出的攻击是否成功的结果;
其中,所述行为模型为使用多组数据通过机器学习训练得到的,所述多组数据包括第一类数据和第二类数据,所述第一类数据中的每组数据均包括:攻击成功的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击成功的标签,所述第二类数据中的每组数据均包括:攻击失败的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击失败的标签。
在本发明的一种实施方式中,所述根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文包括:
从所述输入流量的镜像流量中获取攻击流量;
根据所述攻击流量和所述输出流量的镜像流量还原为会话流量;
从所述会话流量中获取每次会话的攻击请求报文和响应报文。
在本发明的一种实施方式中,从所述镜像流量中获取攻击流量包括:
基于攻击检测规则从所述输入流量的镜像流量中筛选出攻击流量。
在本发明的一种实施方式中,所述根据所述攻击流量和所述输出流量的镜像流量还原会话流量包括:
根据所述攻击流量和所述输出流量的镜像流量的源IP地址、目的IP地址、源端口、目的端口、以及数据号将所述攻击流量还原为http会话形式,从而得到会话流量。
在本发明的一种实施方式中,所述特征向量由从全报文中提取的关键字段形成。
本发明实施方式的第二方面提供一种网络入侵检测系统,所述网络入侵检测系统包括:
镜像流量获取模块,用于获取目标系统的输入流量的镜像流量和输出流量的镜像流量;
报文获取模块,用于根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文;
输入模块,用于将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中;
结果获取模块,用于获取所述行为模型输出的攻击是否成功的结果;
其中,所述行为模型为使用多组数据通过机器学习训练得到的,所述多组数据包括第一类数据和第二类数据,所述第一类数据中的每组数据均包括:攻击成功的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击成功的标签,所述第二类数据中的每组数据均包括:攻击失败的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击失败的标签。
在本发明的一种实施方式中,所述报文获取模块包括:
攻击流量获取单元,用于从所述输入流量的镜像流量中获取攻击流量;
会话还原单元,用于根据所述攻击流量和所述输出流量的镜像流量还原为会话流量;
报文获取单元,用于从所述会话流量中获取每次会话的攻击请求报文和响应报文。
在本发明的一种实施方式中,攻击流量获取单元采用以下方式从所述镜像流量中获取攻击流量:
基于攻击检测规则从所述输入流量的镜像流量中筛选出攻击流量。
在本发明的一种实施方式中,所述会话还原单元采用以下方式还原会话流量:
根据所述攻击流量的源IP地址、目的IP地址、源端口、目的端口、以及序号和所述输出流量的镜像流量的源IP地址、目的IP地址、源端口、目的端口、以及序号将所述攻击流量还原为http会话形式,从而得到会话流量。
在本发明的一种实施方式中,所述特征向量由从全报文中提取的关键字段形成。
本发明实施方式的第三方面提供一种计算机存储介质,其上存储有计算机指令,该计算机指令能够被处理器执行以实现前述实施方式中任意一项实施方式所述的网络入侵检测方法。
本发明实施方式的第四方面一种计算机设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述计算机程序以实现前述实施方式中任意一项实施方式所述的网络入侵检测方法。
本发明实施方式提供的网络入侵检测方法、系统及相关设备相比于现有技术具有如下有益技术效果:
本发明通过镜像双向流量获取攻击请求报文和响应报文,然后将所述攻击请求报文和响应报文的特征向量输入到机器学习得到的行为模型,可以自动化的判断攻击是否成功。
附图说明
为了更清楚地说明本发明实施方式中的技术方案,下面将对实施方式中所需要使用的附图作简要的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施方式一的网络入侵检测方法的方法流程图;
图2是本发明实施方式一的获取攻击请求报文和响应报文的方法流程图;
图3是本发明实施方式二的网络入侵检测系统的模块示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步的详细描述。应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的保护范围。
实施方式一
本实施方式提供一种网络入侵检测方法,如图1所示,所述方法包括:
S101:获取目标系统的输入流量的镜像流量和输出流量的镜像流量。
目标系统为需要进行网络入侵检测的系统,例如,企业的业务系统,内部办公系统等等。目标系统的输入流量为外部互联网向目标系统输入的流量,其可以为外部互联网对目标系统的http/https请求流量,目标系统的输出流量为目标系统向外部互联网输出的流量,其可以为目标系统返回给外部互联网的http/https响应流量。可以通过交换机或路由器将目标系统的输入流量和输出流量镜像到指定端口,从而获取目标系统的输入流量的镜像流量和输出流量的镜像流量。
S102:根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文。
S103:将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中。
其中,所述行为模型为使用多组数据通过机器学习训练得到的,所述多组数据包括第一类数据和第二类数据,所述第一类数据中的每组数据均包括:攻击成功的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击成功的标签,所述第二类数据中的每组数据均包括:攻击失败的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击失败的标签。
在本实施方式中,可以从历史数据中获取攻击成功的攻击请求报文以及该请求报文的响应报文,以及攻击失败的攻击请求报文以及该请求报文的响应报文。然后从所述攻击请求报文和响应报文中分别获取特征向量,用这些数据来训练机器学习模型,从而得到行为模型。
可以理解的是,攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量用于输入到行为模型中来判断攻击是否成功,因此,判断攻击是否成功时从攻击请求报文提取的用于构造特征向量的字段与训练行为模型时所采用的攻击请求报文的特征向量中的字段一致,判断攻击是否成功时从响应报文提取的用于构造特征向量的字段与训练行为模型时所采用的响应报文的特征向量中的字段一致。
其中,可以分别从报文的请求行、请求头、请求体中提取关键字段,例如,请求方法、协议、关键字等,从而形成全报文的特征向量。通常来说,攻击片段隐藏在报文体中,但是某些攻击也可能隐藏在报文的其他部分。通过上述方法,可以避免攻击者将攻击片段隐藏在其他部分来绕过判断,从而来提高判断的准确度。
在其他实施方式中,也可以采用其他方式来获取训练样本,例如,可以从其他系统中获取攻击成功的攻击请求报文和响应报文和攻击失败的攻击请求报文和响应报文。
S104:获取所述行为模型输出的攻击是否成功的结果。
本实施方式通过镜像双向流量获取攻击请求报文和响应报文,然后将所述攻击请求报文和响应报文的特征向量输入到机器学习得到的行为模型中,由行为模型为攻击是否成功进行判断,可以得到行为模型输出的判断结果,从而可以自动化的判断攻击是否成功。并且,现有技术中通常仅关心输入流量而不关心输出流量,相比于仅通过输入流量来判断而言,本实施方式通过镜像双向流量,通过攻击请求和响应两种报文中的特征向量来判断攻击是否成功,可以获得更为准确的判断结果,便于根据判断结果及时发现0day漏洞(一种在运维人员知晓并发布相关补丁前就被攻击者掌握或者公开的漏洞)。
镜像输入流量和输出流量后,得到的镜像流量中的请求和响应是无序的。可以通过以下方式从输入流量的镜像流量和输出流量的镜像流量中获取攻击请求报文和与所述攻击请求对应的响应报文:
S201:基于攻击检测规则从所述输入流量的镜像流量中筛选出攻击流量。
在其他实施方式中,也可以采用其他方式来从输入流量的镜像流量中获取攻击流量,例如,基于入侵检测模型在输入流量的镜像流量中检测攻击流量,或基于神经网络、遗传算法等在输入流量的镜像流量中检测攻击流量。也可结合多种攻击流量检测来在所述输入流量的镜像流量中检测攻击流量。通过上述方法,可以从镜像流量中识别出攻击流量,对攻击流量进行有针对性的检测,从而提高检测效率。
S202:根据所述攻击流量和所述输出流量的镜像流量的源IP地址、目地IP地址、源端口、目标端口、数据号将所述攻击流量还原为http会话形式,从而得到会话流量。
在筛选出攻击流量后,可以根据攻击流量的源IP地址、目地IP地址、源端口、目标端口、数据号、时序等信息从输出流量的镜像流量中获取所述攻击流量的响应流量,从而来还原攻击会话。
S203:从所述会话流量中获取每次会话的攻击请求报文和响应报文。
会话流量由多个会话组成,可以从所述会话流量中获取每次会话的攻击请求报文和响应报文,从而得到多个攻击请求报文和响应报文对,进而可以分别将每次会话的攻击请求报文的特征向量和响应报文的特征向量输入到行为模型中来分别判断各次会话的攻击是否成功。
实施方式二
本实施方式提供一种网络入侵检测系统,所述网络入侵检测系统包括:
镜像流量获取模块11,用于获取目标系统的输入流量的镜像流量和输出流量的镜像流量;
报文获取模块12,用于根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文;
输入模块13,用于将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中;
结果获取模块14,用于获取所述行为模型输出的攻击是否成功的结果;
其中,所述行为模型为使用多组数据通过机器学习训练得到的,所述多组数据包括第一类数据和第二类数据,所述第一类数据中的每组数据均包括:攻击成功的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击成功的标签,所述第二类数据中的每组数据均包括:攻击失败的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击失败的标签。
在本发明的一种实施方式中,所述报文获取模块12包括:
攻击流量获取单元121,用于从所述输入流量的镜像流量中获取攻击流量;
会话还原单元122,用于根据所述攻击流量和所述输出流量的镜像流量还原为会话流量;
报文获取单元123,用于从所述会话流量中获取每次会话的攻击请求报文和响应报文。
在本发明的一种实施方式中,攻击流量获取单元121采用以下方式从所述镜像流量中获取攻击流量:
基于攻击检测规则从所述输入流量的镜像流量中筛选出攻击流量。
在本发明的一种实施方式中,所述会话还原单元122采用以下方式还原会话流量:
根据所述攻击流量的源IP地址、目的IP地址、源端口、目的端口、以及序号和所述输出流量的镜像流量的源IP地址、目的IP地址、源端口、目的端口、以及序号将所述攻击流量还原为http会话形式,从而得到会话流量。
在本发明的一种实施方式中,所述特征向量由从全报文中提取的关键字段形成。
本实施方式提供的网络入侵检测系统的工作过程、处理可以参照前述实施方式中网络入侵检测方法的对应处理过程,在此不再赘述。
虽然本文举例描述了一些实施方式,但是,在不脱离本发明实质的前提下,可以对这些实施方式进行各种变形,所有这些变形仍属于本发明的构思,并且落入本发明权利要求所限定的保护范围。例如,在本发明各实施方式中,多个模块中的部分模块的功能可以组合或集成为由一个模块实现,或者,某个模块的功能可以分成由多个模块实现。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施方式或者实施方式的某些部分所述的方法。
实施方式三
本实施方式提供一种计算机存储介质,如硬盘、光盘、闪存、软盘、磁带等,其上存储有计算机可读指令,该计算机可读指令能够被处理器执行以实现上述任意一种实施方式所述的网络入侵检测方法。
实施方式四
本实施方式提供一种计算机设备,包括:
存储器,其上存储有计算机程序,
处理器,其可以执行所述计算机程序以实现上述任意一种实施方式所述的网络入侵检测方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的保护范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (12)
1.一种网络入侵检测方法,其特征在于,所述网络入侵检测方法包括:
获取目标系统的输入流量的镜像流量和输出流量的镜像流量;
根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文;
将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中;
获取所述行为模型输出的攻击是否成功的结果;
其中,所述行为模型为使用多组数据通过机器学习训练得到的,所述多组数据包括第一类数据和第二类数据,所述第一类数据中的每组数据均包括:攻击成功的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击成功的标签,所述第二类数据中的每组数据均包括:攻击失败的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击失败的标签。
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文包括:
从所述输入流量的镜像流量中获取攻击流量;
根据所述攻击流量和所述输出流量的镜像流量还原为会话流量;
从所述会话流量中获取每次会话的攻击请求报文和响应报文。
3.根据权利要求2所述的方法,其特征在于,从所述镜像流量中获取攻击流量包括:
基于攻击检测规则从所述输入流量的镜像流量中筛选出攻击流量。
4.根据权利要求2所述的方法,其特征在于,所述根据所述攻击流量和所述输出流量的镜像流量还原会话流量包括:
根据所述攻击流量和所述输出流量的镜像流量的源IP地址、目的IP地址、源端口、目的端口、以及数据号将所述攻击流量还原为http会话形式,从而得到会话流量。
5.根据权利要求1-4中任意一项权利要求所述的方法,其特征在于,所述特征向量由从全报文中提取的关键字段形成。
6.一种网络入侵检测系统,其特征在于,所述网络入侵检测系统包括:
镜像流量获取模块,用于获取目标系统的输入流量的镜像流量和输出流量的镜像流量;
报文获取模块,用于根据所述输入流量的镜像流量和输出流量的镜像流量获取攻击请求报文和与所述攻击请求报文对应的响应报文;
输入模块,用于将所述攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量输入到行为模型中;
结果获取模块,用于获取所述行为模型输出的攻击是否成功的结果;
其中,所述行为模型为使用多组数据通过机器学习训练得到的,所述多组数据包括第一类数据和第二类数据,所述第一类数据中的每组数据均包括:攻击成功的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击成功的标签,所述第二类数据中的每组数据均包括:攻击失败的攻击请求报文的特征向量和与所述攻击请求报文对应的响应报文的特征向量、以及标识所述攻击失败的标签。
7.根据权利要求6所述的网络入侵检测系统,其特征在于,所述报文获取模块包括:
攻击流量获取单元,用于从所述输入流量的镜像流量中获取攻击流量;
会话还原单元,用于根据所述攻击流量和所述输出流量的镜像流量还原为会话流量;
报文获取单元,用于从所述会话流量中获取每次会话的攻击请求报文和响应报文。
8.根据权利要求7所述的网络入侵检测系统,其特征在于,攻击流量获取单元采用以下方式从所述镜像流量中获取攻击流量:
基于攻击检测规则从所述输入流量的镜像流量中筛选出攻击流量。
9.根据权利要求7所述的系统,其特征在于,所述会话还原单元采用以下方式还原会话流量:
根据所述攻击流量的源IP地址、目的IP地址、源端口、目的端口、以及序号和所述输出流量的镜像流量的源IP地址、目的IP地址、源端口、目的端口、以及序号将所述攻击流量还原为http会话形式,从而得到会话流量。
10.根据权利要求6-9中任意一项权利要求所述的系统,其特征在于,所述特征向量由从全报文中提取的关键字段形成。
11.一种计算机存储介质,其上存储有计算机指令,其特征在于,该计算机指令能够被处理器执行以实现权利要求1-5中任意一项权利要求所述的方法。
12.一种计算机设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述计算机程序以实现权利要求1-5中任意一项权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010211960.8A CN111510434A (zh) | 2020-03-24 | 2020-03-24 | 网络入侵检测方法、系统及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010211960.8A CN111510434A (zh) | 2020-03-24 | 2020-03-24 | 网络入侵检测方法、系统及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111510434A true CN111510434A (zh) | 2020-08-07 |
Family
ID=71875792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010211960.8A Pending CN111510434A (zh) | 2020-03-24 | 2020-03-24 | 网络入侵检测方法、系统及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111510434A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259402A (zh) * | 2021-07-19 | 2021-08-13 | 北京明略软件系统有限公司 | 一种异常网络协议地址的确定方法和装置 |
| CN113872953A (zh) * | 2021-09-18 | 2021-12-31 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN109495471A (zh) * | 2018-11-15 | 2019-03-19 | 东信和平科技股份有限公司 | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
| CN109743325A (zh) * | 2019-01-11 | 2019-05-10 | 北京中睿天下信息技术有限公司 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
-
2020
- 2020-03-24 CN CN202010211960.8A patent/CN111510434A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN108881263A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN109495471A (zh) * | 2018-11-15 | 2019-03-19 | 东信和平科技股份有限公司 | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
| CN109743325A (zh) * | 2019-01-11 | 2019-05-10 | 北京中睿天下信息技术有限公司 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259402A (zh) * | 2021-07-19 | 2021-08-13 | 北京明略软件系统有限公司 | 一种异常网络协议地址的确定方法和装置 |
| CN113872953A (zh) * | 2021-09-18 | 2021-12-31 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN113872953B (zh) * | 2021-09-18 | 2024-03-26 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114710354B (zh) * | 2022-04-11 | 2023-09-08 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12047396B2 (en) | System and method for monitoring security attack chains | |
| US11818170B2 (en) | Detection of phishing campaigns based on deep learning network detection of phishing exfiltration communications | |
| US8621618B1 (en) | System and method for assessing whether a communication contains an attack | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
| US20210392152A1 (en) | Intrusion detection using robust singular value decomposition | |
| CN111510434A (zh) | 网络入侵检测方法、系统及相关设备 | |
| US9178899B2 (en) | Detecting automated site scans | |
| CN114761953A (zh) | 用于对抗网络攻击的攻击活动智能和可视化 | |
| WO2016123522A1 (en) | Anomaly detection using adaptive behavioral profiles | |
| IL265849B (en) | A system and method for improved anomaly detection by using graphs of relationships | |
| Årnes et al. | Using Hidden Markov Models to evaluate the risks of intrusions: system architecture and model validation | |
| Chkirbene et al. | A combined decision for secure cloud computing based on machine learning and past information | |
| Marchetti et al. | Identification of correlated network intrusion alerts | |
| US11436323B2 (en) | Detecting anomalies in software service usage activity | |
| Ahmed et al. | Enhancing hybrid intrusion detection and prevention system for flooding attacks using decision tree | |
| Selvakani et al. | Genetic Algorithm for framing rules for Intrusion Detection | |
| Pandeeswari et al. | Analysis of Intrusion Detection Using Machine Learning Techniques | |
| Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
| CN116633640A (zh) | 主被动结合的挖矿行为检测方法和装置 | |
| CN115643082A (zh) | 一种失陷主机的确定方法、装置及计算机设备 | |
| Geluvaraj et al. | DDoS attack detection and analytics | |
| Kapourniotis et al. | Scam and fraud detection in VoIP Networks: Analysis and countermeasures using user profiling | |
| US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| CN113127855A (zh) | 安全防护系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200807 |
|
| RJ01 | Rejection of invention patent application after publication |