CN111541655A - 网络异常流量检测方法、控制器及介质 - Google Patents
网络异常流量检测方法、控制器及介质 Download PDFInfo
- Publication number
- CN111541655A CN111541655A CN202010269784.3A CN202010269784A CN111541655A CN 111541655 A CN111541655 A CN 111541655A CN 202010269784 A CN202010269784 A CN 202010269784A CN 111541655 A CN111541655 A CN 111541655A
- Authority
- CN
- China
- Prior art keywords
- address
- malicious
- detected
- suspicious
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络异常流量检测方法、控制器及介质,所述方法包括获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址;对所述可疑IP地址所承载服务进行自动化验证,确定恶意IP地址,所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址;基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址,所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。本发明基于流量进行IP地址级别细粒度异常分析,提高了网络异常流量检测的准确度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络异常流量检测方法、控制器及介质。
背景技术
高级可持续威胁攻击也称为定向威胁攻击,指攻击组织对特定公司或组织展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。网络高级威胁攻击犯罪组织主要以牟取经济利益而实施攻击活动,近年来,数个活跃的网络犯罪组织也呈现出明确的组织化特点,并且使用其自身特色的攻击工具和战术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零售等行业带来了巨大的资金损失和业务安全风险。
任何攻击窃密行为都离不开网络流量,都需要基于网络流量远程实现敏感信息的回传,因此可通过监测网络流量来发现这些异常行为。但是,现有的流量监测技术仅能识别出某个IP地址总体流出流量激增的异常情况,而一些网络高级威胁攻击组织攻击窃密的流量混杂于正常的流量中,单次窃密的流量并不大,因此并不一定会造成整体流出流量的激增,因此,如何实现更细粒度的网络流量异常分析成为亟待解决的技术问题。
发明内容
本发明目的在于,提供一种网络异常流量检测方法、控制器及介质,基于流量进行IP地址级别细粒度异常分析,提高了网络异常流量检测的准确度。
为了解决上述技术问题,本发明提供了一种网络异常流量检测方法,包括:
获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址;
对所述可疑IP地址所承载服务进行自动化验证,确定恶意IP地址,所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址;
基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址,所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。
进一步的,所述获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址,包括:
在预设时间段内,为所述待测IP地址建立周期性查询任务,查询所述待测IP地址的相关流记录参数;
基于所述待测IP地址的相关流记录参数确定每一对端IP地址对应的输出流量字节数;
根据所述每一对端IP地址对应的输出流量字节数获取排名处于前N的对端IP地址,记为所述可疑IP地址,其中,所述N为正整数。
进一步的,所述相关流记录参数包括源IP地址、目的IP地址、源端口、目的端口、传输协议、开始时间和字节数。
进一步的,所述获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址,还包括:
通过源IP地址、目的IP地址、源端口、目的端口将流量信息分类,然后将类内的流量信息按照发生时间确定待测IP地址端口与所述可疑IP地址端口的连续连接时长;
判断待测IP地址端口与所述可疑IP地址端口的连续连接时长是否低于预设连接时长阈值,若低于,则将该对端IP地址从所述可疑IP地址中删除。
进一步的,对所述可疑IP地址所承载服务进行自动化验证,确定恶意IP地址,包括:
对所述可疑IP地址进行自动化的扫描探测,获取所述可疑IP地址对应的操作系统类型、开放的端口、开放的服务和承载的业务;
若所述可疑IP地址承载了网站页面,则对所述网站页面进行爬取,获取网站承载的实际业务类型;
基于所述可疑IP地址对应的操作系统类型、开放的端口、开放的服务、承载的业务以及网站承载的实际业务类型,判断所述可疑IP地址是否为恶意IP地址。
进一步的,所述历史攻击参数包括定向威胁攻击组织对应的历史发起攻击的IP地址、历史被攻击的IP地址、攻击时间段和攻击流量特征中的一种或多种。
进一步的,所述基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址,包括:
判断所述恶意IP地址是否为历史发起攻击的IP地址,若是,则判断所述恶意IP地址为目标恶意IP地址;
或者,
判断所述恶意IP地址对应的流量是否采用私有加密协议进行加密、通信端口是否为非常用的大端口、通信端口是否存在异常数据流出,若上述条件有至少一个为是,则判断所述恶意IP地址为目标恶意IP地址;
或者,
将在攻击时段内流出流量的恶意IP地址确定为目标恶意IP地址;
或者,
对比所述恶意IP地址的C段和历史发起攻击的IP地址C段,若相同,则判断所述恶意IP为目标恶意IP;
或者,
判断所述恶意IP地址的页面类型特征是否符合历史发起攻击的IP地址的页面类型特征,若符合,则判断所述恶意IP为目标恶意IP。
根据本发明又一方面,提供一种控制器,其包括存储器与处理器,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现所述方法的步骤。
根据本发明又一方面,提供一种计算机可读存储介质,用于存储计算机程序,所述程序在由一计算机或处理器执行时实现所述方法的步骤。
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明一种网络异常流量检测方法、控制器及介质可达到相当的技术进步性及实用性,并具有产业上的广泛利用价值,其至少具有下列优点:
本发明基于网络流量,对待测IP地址的每日网络流出流量进行IP地址级别的细粒度异常分析,再通过排序、筛选、自动验证等步骤,提高了网络异常流量检测的准确度,实现了从自动从流量中定位出可疑的对端IP地址,能够对网络高级威胁组织攻击窃密行为进行自动化的检测分析,确认重大意义的网络攻击窃密可疑线索,提升使用者的未知威胁发现能力,为相关工作人员提供了有力支撑。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为本发明一实施例提供网络异常流量检测方法流程图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种网络异常流量检测方法、控制器及介质的具体实施方式及其功效,详细说明如后。
本发明提供了一种网络异常流量检测方法,如图1所示,包括以下步骤:
步骤S1、获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址;
需要说明的是,待测IP地址为可能被攻击的IP地址,具体可为企业或组织用户所关注的重点IP。
步骤S2、对所述可疑IP地址所承载服务进行自动化验证,确定恶意IP地址,所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址;
步骤S3、基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址,所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。
作为一种示例,所述步骤S1包括:
步骤S11、在预设时间段内,为所述待测IP地址建立周期性查询任务,查询所述待测IP地址的相关流记录参数;
其中,所述相关流记录参数包括源IP地址、目的IP地址、源端口、目的端口、传输协议、开始时间和字节数。
步骤S12、基于所述待测IP地址的相关流记录参数确定每一对端IP地址对应的输出流量字节数;
步骤S13、根据所述每一对端IP地址对应的输出流量字节数获取排名处于前N的对端IP地址,记为所述可疑IP地址,其中,所述N为正整数。
具体地,以一天作为预设时间段为例,对于待测IP地址,可利用现有的流量检测系统建立自动化的周期性查询任务,查询这些IP地址的相关流记录。查询字段包括:源IP地址、目的IP地址、源端口、目的端口、传输协议、开始时间、字节数。将查询到的结果导出后,保存在记录文件中。导出的所有记录文件,遍历所有记录文件,记录文件中出现的与待测IP地址发生连接的对端IP地址,并记录每次连接发生的时间、流量、源端口、目的端口。再根据流出流量的字节数,统计出待测IP地址每天网络流出量的对端IP地址排名,获取每个待测IP地址的每日排名处于前N的对端IP地址,并导出。其中,参数N可以根据关注IP地址的业务特点进行设定与调整。
扫描、爬取和爆破等一般网络攻击行为不会建立稳定长连接,所以可以通过排除非长连接流量的方式,将扫描、爬取、爆破等一般网络攻击行为排除。对于待测IP地址与排名处于前N的对端IP地址的连接情况,根据稳定长连接通信时,长时间会保持双方端口不变的特点,可以计算待测IP地址是否与排名处于前N的对端IP地址建立过稳定长连接,将没有发生稳定长连接的对端IP地址从可疑IP地址中剔除,提高选取可疑IP地址的精确性。作为一种示例,所述步骤S1还包括:
步骤S101、通过源IP地址、目的IP地址、源端口、目的端口将流量信息分类,然后将类内的流量信息按照发生时间确定待测IP地址端口与所述可疑IP地址端口的连续连接时长;
步骤S102、判断待测IP地址端口与所述可疑IP地址端口的连续连接时长是否低于预设连接时长阈值,若低于,则将该对端IP地址从所述可疑IP地址中删除。
现有异常流量检测技术没有考虑对端IP地址和其承载业务的情况。一些攻击组织惯用跳板IP地址或沦陷IP地址进行攻击窃密,尽管这些IP地址也开放了一些业务端口,但这些IP地址并未真正承载这些业务。对于待测IP地址,其在预设时间段(例如一天)流出流量TOPN的对端IP地址,因此可通过步骤S2进行自动化的验证,验证对端IP地址和对端IP地址承载业务的有效性、真实性,通过端口扫描,确定对端IP地址在网络中的业务形态,以此判断可疑IP地址是否为否为恶意IP地址,提高了检测的准确性。作为一种示例,所述步骤S2包括:
步骤S21、对所述可疑IP地址进行自动化的扫描探测,获取所述可疑IP地址对应的操作系统类型、开放的端口、开放的服务和承载的业务;
作为示例,步骤S21中,可使用Nmap提供的接口,对目标IP地址进行自动化扫描探测,获取对端IP地址对应的操作系统类型、开放的端口、开放的服务和承载的业务,其中,Nmap就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包,Nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统。
步骤S22、若所述可疑IP地址承载了网站页面,则对所述网站页面进行爬取,获取网站承载的实际业务类型;
作为示例,步骤S22可采用python脚本对页面进行爬取,获取网站承载的实际业务类型。其中,Python是一种计算机程序设计语言,是一种面向对象的动态类型语言,最初被设计用于编写自动化脚本,随着版本的不断更新和语言新功能的添加,越来越多被用于独立的、大型项目的开发。
步骤S23、基于所述可疑IP地址对应的操作系统类型、开放的端口、开放的服务、承载的业务以及网站承载的实际业务类型,判断所述可疑IP地址是否为恶意IP地址。
作为示例,具体可结合已有的相关威胁情报系统、Virustotal以及微步在线等平台,查询对端IP地址是否为一个恶意IP地址。其中,VirusTotal,是一个提供免费的可疑文件和IP地址地址分析服务的网站。
基于步骤S1和步骤S2,可以检测发现异常的网络高级威胁攻击组织的攻击窃密行为,但无法更进一步确认是否是特定组织的攻击行为。因此,可通过一些网络高级威胁攻击组织网络攻击窃密行为的背景参数来进一步定位目标恶意IP,例如历史攻击参数,历史攻击参数具体可包括:定向威胁攻击组织对应的历史发起攻击的IP地址、历史被攻击的IP地址、攻击时间段和攻击流量特征中的一种或多种。因此可通过步骤S3来定位目标恶意IP,作为一种示例,所述步骤S3可包括:
步骤S31、判断所述恶意IP地址是否为历史发起攻击的IP地址,若是,则判断所述恶意IP地址为目标恶意IP地址;
需要说明的是,步骤S31中,由于网络线路的调整,历史发起攻击的IP地址可能会有所变化,但其承载的业务应与实际被攻击时承载的业务相同,即承载的域名应保持不变,当历史发起攻击的IP地址由于网络线路调整时,可通过其承载的域名进行判断。
步骤S32、判断所述恶意IP地址对应的流量是否采用私有加密协议进行加密、通信端口是否为非常用的大端口、通信端口是否存在异常数据流出,若上述条件有至少一个为是,则判断所述恶意IP地址为目标恶意IP地址;
步骤S33、将在攻击时段内流出流量的恶意IP地址确定为目标恶意IP地址;
可以理解的是,网络高级威胁攻击组织使用的攻击时间段相对比较固定,因此可通过步骤S33查询此时间段内流出流量的恶意IP地址,并确定为目标恶意IP地址。
步骤S34、对比所述恶意IP地址的C段和历史发起攻击的IP地址C段,若相同,则判断所述恶意IP为目标恶意IP;
步骤S35、判断所述恶意IP地址的页面类型特征是否符合历史发起攻击的IP地址的页面类型特征,若符合,则判断所述恶意IP为目标恶意IP。
需要说明的是,步骤S31-步骤S35中任何一步骤均可判断所述恶意IP为目标恶意IP,可根据具体检测需求选取其中一个进行判断,或选择多个步骤共同判断,即所述恶意IP同时满足多个步骤的判断,才判断为目标恶意IP,判断条件越多,准确性越高。
本发明实施例还提供一种控制器,其包括存储器与处理器,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现所述网络异常流量检测方法的步骤。
本发明实施例还提供一种计算机可读存储介质,用于存储计算机程序,所述程序在由一计算机或处理器执行时实现所述网络异常流量检测方法的步骤。
本发明实施例基于流量数据进行待测IP地址的预设时间段网络流出流量IP地址级别的细粒度异常分析。对于流出流量中异常的排名处于前N的对端IP地址,采用自动化主动探测和爬取的方式,验证对端IP地址和其承载业务的有效性、真实性。同时,基于知识库中攻击组织的背景知识的关联分析框架,结合历史攻击IP地址、攻击目标、攻击时间、攻击流量、攻击方式特点等历史攻击参数,进行进一步分析确认。以实现自动从流量中定位出疑似为特定攻击组织攻击窃密流量的功能,提高了网络异常流量检测的准确度。本发明实施例能够对网络高级威胁攻击窃密行为进行自动化的检测分析,确认重大意义的网络攻击窃密可疑线索,提升使用者的未知威胁发现能力,为相关工作人员提供了有力支撑。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (9)
1.一种网络异常流量检测方法,其特征在于,包括:
获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址;
对所述可疑IP地址所承载服务进行自动化验证,确定恶意IP地址,所述恶意IP地址为对所述待测IP地址进行网络攻击的IP地址;
基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址,所述目标恶意IP地址为对待测IP地址进行定向威胁攻击的IP地址。
2.根据权利要求1所述的网络异常流量检测方法,其特征在于,
所述获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址,包括:
在预设时间段内,为所述待测IP地址建立周期性查询任务,查询所述待测IP地址的相关流记录参数;
基于所述待测IP地址的相关流记录参数确定每一对端IP地址对应的输出流量字节数;
根据所述每一对端IP地址对应的输出流量字节数获取排名处于前N的对端IP地址,记为所述可疑IP地址,其中,所述N为正整数。
3.根据权利要求2所述的网络异常流量检测方法,其特征在于,
所述相关流记录参数包括源IP地址、目的IP地址、源端口、目的端口、传输协议、开始时间和字节数。
4.根据权利要求3所述的网络异常流量检测方法,其特征在于,
所述获取待测IP地址在预设时间段内网络流出量排名处于前N的对端IP地址,记为可疑IP地址,还包括:
通过源IP地址、目的IP地址、源端口、目的端口将流量信息分类,然后将类内的流量信息按照发生时间确定待测IP地址端口与所述可疑IP地址端口的连续连接时长;
判断待测IP地址端口与所述可疑IP地址端口的连续连接时长是否低于预设连接时长阈值,若低于,则将该对端IP地址从所述可疑IP地址中删除。
5.根据权利要求1所述的网络异常流量检测方法,其特征在于,
对所述可疑IP地址所承载服务进行自动化验证,确定恶意IP地址,包括:
对所述可疑IP地址进行自动化的扫描探测,获取所述可疑IP地址对应的操作系统类型、开放的端口、开放的服务和承载的业务;
若所述可疑IP地址承载了网站页面,则对所述网站页面进行爬取,获取网站承载的实际业务类型;
基于所述可疑IP地址对应的操作系统类型、开放的端口、开放的服务、承载的业务以及网站承载的实际业务类型,判断所述可疑IP地址是否为恶意IP地址。
6.根据权利要求5所述的网络异常流量检测方法,其特征在于,
所述历史攻击参数包括定向威胁攻击组织对应的历史发起攻击的IP地址、历史被攻击的IP地址、攻击时间段和攻击流量特征中的一种或多种。
7.根据权利要求1所述的网络异常流量检测方法,其特征在于,
所述基于所述待测IP地址对应的历史攻击参数判断所述恶意IP地址是否为目标恶意IP地址,包括:
判断所述恶意IP地址是否为历史发起攻击的IP地址,若是,则判断所述恶意IP地址为目标恶意IP地址;
或者,
判断所述恶意IP地址对应的流量是否采用私有加密协议进行加密、通信端口是否为非常用的大端口、通信端口是否存在异常数据流出,若上述条件有至少一个为是,则判断所述恶意IP地址为目标恶意IP地址;
或者,
将在攻击时段内流出流量的恶意IP地址确定为目标恶意IP地址;
或者,
对比所述恶意IP地址的C段和历史发起攻击的IP地址C段,若相同,则判断所述恶意IP为目标恶意IP;
或者,
判断所述恶意IP地址的页面类型特征是否符合历史发起攻击的IP地址的页面类型特征,若符合,则判断所述恶意IP为目标恶意IP。
8.一种控制器,其包括存储器与处理器,其特征在于,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现权利要求1至7中任意一项权利要求所述的方法的步骤。
9.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述程序在由一计算机或处理器执行时实现如权利要求1至7中任意一项权利要求所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010269784.3A CN111541655A (zh) | 2020-04-08 | 2020-04-08 | 网络异常流量检测方法、控制器及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010269784.3A CN111541655A (zh) | 2020-04-08 | 2020-04-08 | 网络异常流量检测方法、控制器及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111541655A true CN111541655A (zh) | 2020-08-14 |
Family
ID=71978524
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010269784.3A Pending CN111541655A (zh) | 2020-04-08 | 2020-04-08 | 网络异常流量检测方法、控制器及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111541655A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
CN114205095A (zh) * | 2020-08-27 | 2022-03-18 | 极客信安(北京)科技有限公司 | 一种加密恶意流量的检测方法和装置 |
CN115134276A (zh) * | 2022-05-12 | 2022-09-30 | 亚信科技(成都)有限公司 | 一种挖矿流量检测方法及装置 |
CN116506225A (zh) * | 2023-06-27 | 2023-07-28 | 武汉中科通达高新技术股份有限公司 | 协作式DDoS攻击检测方法、系统、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
CN101599920A (zh) * | 2009-06-30 | 2009-12-09 | 东北大学 | 可验证邮件用户源地址和真实性的电子邮件系统及方法 |
CN106209867A (zh) * | 2016-07-15 | 2016-12-07 | 北京元支点信息安全技术有限公司 | 一种高级威胁防御方法及系统 |
US20170041332A1 (en) * | 2015-08-07 | 2017-02-09 | Cisco Technology, Inc. | Domain classification based on domain name system (dns) traffic |
CN106899608A (zh) * | 2017-03-21 | 2017-06-27 | 杭州迪普科技股份有限公司 | 一种确定ddos攻击的攻击目的ip的方法及装置 |
CN107733867A (zh) * | 2017-09-12 | 2018-02-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法和系统 |
CN108712365A (zh) * | 2017-08-29 | 2018-10-26 | 长安通信科技有限责任公司 | 一种基于流量日志的DDoS攻击事件检测方法及系统 |
-
2020
- 2020-04-08 CN CN202010269784.3A patent/CN111541655A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
CN101599920A (zh) * | 2009-06-30 | 2009-12-09 | 东北大学 | 可验证邮件用户源地址和真实性的电子邮件系统及方法 |
US20170041332A1 (en) * | 2015-08-07 | 2017-02-09 | Cisco Technology, Inc. | Domain classification based on domain name system (dns) traffic |
CN106209867A (zh) * | 2016-07-15 | 2016-12-07 | 北京元支点信息安全技术有限公司 | 一种高级威胁防御方法及系统 |
CN106899608A (zh) * | 2017-03-21 | 2017-06-27 | 杭州迪普科技股份有限公司 | 一种确定ddos攻击的攻击目的ip的方法及装置 |
CN108712365A (zh) * | 2017-08-29 | 2018-10-26 | 长安通信科技有限责任公司 | 一种基于流量日志的DDoS攻击事件检测方法及系统 |
CN107733867A (zh) * | 2017-09-12 | 2018-02-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法和系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205095A (zh) * | 2020-08-27 | 2022-03-18 | 极客信安(北京)科技有限公司 | 一种加密恶意流量的检测方法和装置 |
CN114205095B (zh) * | 2020-08-27 | 2023-08-18 | 极客信安(北京)科技有限公司 | 一种加密恶意流量的检测方法和装置 |
CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
CN115134276A (zh) * | 2022-05-12 | 2022-09-30 | 亚信科技(成都)有限公司 | 一种挖矿流量检测方法及装置 |
CN115134276B (zh) * | 2022-05-12 | 2023-12-08 | 亚信科技(成都)有限公司 | 一种挖矿流量检测方法及装置 |
CN116506225A (zh) * | 2023-06-27 | 2023-07-28 | 武汉中科通达高新技术股份有限公司 | 协作式DDoS攻击检测方法、系统、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
US11785040B2 (en) | Systems and methods for cyber security alert triage | |
CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
CN111541655A (zh) | 网络异常流量检测方法、控制器及介质 | |
US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
US20190182286A1 (en) | Identifying communicating network nodes in the presence of Network Address Translation | |
US20130081065A1 (en) | Dynamic Multidimensional Schemas for Event Monitoring | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
US20230208870A1 (en) | Systems and methods for predictive analysis of potential attack patterns based on contextual security information | |
CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
US9871810B1 (en) | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties | |
US9729505B2 (en) | Security threat analysis | |
Musa et al. | Analysis of complex networks for security issues using attack graph | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN117220994A (zh) | 一种基于网络安全服务的数据处理方法及系统 | |
AT&T |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200814 |