CN111901286A - 一种基于流量日志的apt攻击检测方法 - Google Patents
一种基于流量日志的apt攻击检测方法 Download PDFInfo
- Publication number
- CN111901286A CN111901286A CN201910374169.6A CN201910374169A CN111901286A CN 111901286 A CN111901286 A CN 111901286A CN 201910374169 A CN201910374169 A CN 201910374169A CN 111901286 A CN111901286 A CN 111901286A
- Authority
- CN
- China
- Prior art keywords
- time
- access
- data
- log
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 claims abstract description 10
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims abstract description 5
- 238000012549 training Methods 0.000 claims abstract description 4
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 9
- 230000003993 interaction Effects 0.000 claims description 9
- 230000000737 periodic effect Effects 0.000 claims description 6
- 239000002360 explosive Substances 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000001788 irregular Effects 0.000 claims description 2
- 238000012886 linear function Methods 0.000 claims description 2
- 238000012360 testing method Methods 0.000 claims description 2
- 239000013598 vector Substances 0.000 claims description 2
- 230000000694 effects Effects 0.000 claims 1
- 230000000717 retained effect Effects 0.000 claims 1
- 238000012216 screening Methods 0.000 claims 1
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 230000007123 defense Effects 0.000 abstract 1
- 238000011156 evaluation Methods 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000013144 data compression Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000004907 flux Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明首先提出了一种对于DNS流量日志和网络流量日志的特征提取和计算方法,其次提出了基于IForest的异常检测算法,通过对DNS和网络流量的日志分析对获取数据进行异常评估。本发明包括:对DNS流量日志的特征提取及计算方法;对网络流日志的特征提取及计算方法;基于IForest算法对DNS流量日志和网络流量日志对数据进行异常分析的异常检测算法。与现有技术相比,本发明的有益效果是:从多角度对网络流量日志进行分析,选取的特征包含方面较为全面,同时针对在攻防对抗中出现新的攻击方式和特点,针对性提取了特征值用于分析;使用IForest算法对日志特征进行检测,对比其他算法拥有更好的性能且训练过程几乎不与训练数据规模相关,具有更高的全面性和可操作性。
Description
技术领域
本发明涉及APT异常检测技术,从DNS日志和网络流量方面进 行分析,设计了一个APT攻击的检测方法。
背景技术
在检测方面,IDS系统往往被组织或企业部署在流量进出口上以对网络数据 进行分析和检测。IDS系统是一种动态主动安全威胁检测技术,利用可以配置更 新的规则库,将采集到的流量数据与规则库数据比对进而判断是否存在攻击。 入侵检测系统可以做到实时对网络监控告警,同时不影响系统网络性能,使网 络管理员得以及时对系统网络中的威胁进行处理。但是在APT攻击的环境下, APT攻击很多都采用了零日漏洞来对系统实施攻击或入侵。在这种情况下,入 侵检测系统极有可能对关键攻击无法做出反应,不仅不能及时告警,告警日志 的后续分析也会由于关键攻击步骤的缺失而难于分析。使用原始流量可以完整 获取到攻击的几乎全部信息,但是由于APT攻击存在潜伏时间长等特点,导致 目标数据量巨大,在没有适当预处理的情况下效率极低。
DNS协议实现了将域名转换为IP地址的功能,是互联网的重要 基础设施。然而DNS系统除了被用在定位服务器等良性用途以外, 还被恶意攻击者用来定位他们的C2(Command and Control)服务器。 攻击者往往在入侵并感染一台主机之后,需要对该主机进行远程控制, 以进行更多的诸如权限提升、文件扫描、敏感信息窃取等操作,这些 操作都依赖于C2服务器与被感染机器之间建立的通信渠道。出于种 种原因(可能的原因包括硬编码不利于开发攻击程序,不便于在C2 服务器被检测出之后的更换等等),攻击者们往往不使用硬IP编码 的方式以获取C2服务器的地址。例如著名木马Gh0st,PCShare以及Poison Ivy都首先使用域名加端口来对C2服务器进行定位。对APT 攻击中涉及的恶意域名的检出目前仍然是一个挑战。APT攻击由于其 攻击目标明确且花费代价相对较大,因此一般都具有良好的隐蔽性, 攻击者刻意控制域名的行为,其域名行为往往很难和正常的域名行为 进行区分。APT攻击中使用的域名也展现出了与僵尸网络或一般木马 软件不一样的特点:Apt攻击中使用的域名往往不使用恶意flux服务 和DGA域名。同时针对大型机构、企业或者ISp的巨量的网络流量 进行分析也是一件有挑战的任务。
发明内容
本发明正是基于上述问题,提出了一种基于流量日志的APT攻 击检测方法;通过对流量日志的数据压缩、特征提取和检测算法分析, 最终得到流量日志的分析结果。
本发明包括如下步骤:
A、对于DNS流量日志特征的选取与表示:以DNS流量为重点 关注行为特征,对DNS流量日志进行分析;
B、对于网络流日志特征的选取与表示:基于APT攻击的特点, 对流量日志进行特征的选取及分析;
C、结合流量日志的IForest检测算法:关联和融合DNS流量日 志特征和网络流日志特征,通过提取到的流量日志特征进行异常分析 检测具体实施方式:
为使本发明的上述特征和优点更明显易懂,下面结合具体实施方 式和图表对本发明方法作进一步详细说明。
图1为DNS流量日志的特征选取信息
图2为网络流量日志的特征选取信息
图3为检测算法的流程图
具体实施方式
如表一所示,本发明对于DNS流量日志的特征提取主要包含以 下内容:
A1、访问频率:指主机向不同域名发送请求的频率,以t1为检 测数据的起始时间,t2为检测数据的截止时间,fi为i时间点C2服 务器的对外访问频率,访问频率F的计算公式如下:
A2、活跃时间:指在观察窗口时间内,从主机对某一域名的第一 次访问时间到最后一次的访问时间之差,定义主机第一次访问某域名 的时间为t1,最后一次的访问时间为t2,则活跃时间pd(pair duration) 的计算公式如下:
pd=t1-t2
A3、域名流行度:指观察窗口内部访问某域名主机数与当前活跃 主机的比例,定义一定时间内,整个访问某个域名的主机数目为S, 而窗口内部的活跃主机数为N,则该域名的流行度P的计算公式如下:
P=S/N
A4、爆发性访问:指APT攻击的恶意样本运行期间,恶意样本会持 续不断的通过域名向C2服务器发出请求的情况,定义时间窗口t, C2服务器在t时间内接受到的访问次数为n,则爆发性访问fr(foold rate)的计算公式如下:
f=n/t
A5、阶段性特点:指APT攻击经过初级入侵阶段后,攻击方通 过被感染主机与服务器建立的周期性通信,分为传入传出数据为目标 的无规律通信和最终结束的零通讯两个阶段,通过方差的指数加权平 均值来表征上述阶段性访问特征,过程如下:
记特定主机h与域名d之间的访问初始记录为R(r1,r2,…rn),
其中r1为三元组(t,h,d),t代表访问记录r1发生的时间。由原始记 录可得到时间间隔序列。根据求得时间间隔的方差序列DV(dv1, dv2,...dvn-1),考虑到不同时间间隔序列的数可能会存在数据量级 上的差异,我们提出如下的计算方法,其中:
根据方差序列求得指数加权均值vi如下:
A6、恶意域名独立访问:指被感染主机对恶意域名的访问呈现 出一种独立访问特点,定义R(k,l,m)代表第k主机与第1域名之间 的第m次交互的CODD(Concurrent Domains指在一定时间窗口内被 主机一起访问的域名),每个CODD选取第m次交互发生时前后时
vi=λvi-1+(1-λ)dvi
间窗口内的域名访问记录。使用C(k,l)代表第k主机与第l域名 全部交互的CODD。基于C(k,l),生成三个特征构成特征向量V (k,l)=[M,AH,HC]。M代表第k主机与第l域名在观察期内 的交互次数。AN代表每次交互产生的CODD数量,计算方式如下 公式:
HC的计算方式如下公式,代表目标域名与其CODD是否紧密关 联。
其中Dw表示目标域名l的CODD中的一个域名,使用如下公式 的方式表示。其中Sk,l代表包含Dw域名的子集。
CI(Dw)=|Sk,l|
如表二所示,本发明对于网络流量日志的特征提取主要包含以下 内容:
B1、端口协议不匹配:指主机对外通信使用的端口与该端口绑 定协议冲突,定义流量日志中端口号与协议的数据对为(port,protocal), 将其与端口号对应的正确协议rp(right protocal)进行对比,从而判断端 口协议匹配pp的值,计算公式如下:
B2、上下行流量比例异常:指主机的上传流量与下载流量之比 会远高于其他正常主机,定义检测主机的上行流量大小为f1,下行流 量的大小为f2则上下行流量之比ud(updown)计算公式如下:
ud=f1/f2
B3、心跳包异常:心跳包是用于攻击者与感染主机相互联系、 具有很强周期性的小数据包,以筛选连接中的小数据量的连接,判断 其出现时间与线性函数的拟合程度来作为判断心跳包异常情况的依 据。在T时间内,定义小数据量连接的出现时间为ti(1≤i≤T),计算 时间差
xj=tj+1-tj(1≤j≤T-1)
计算时间差的方差σ2,公式如下:
其中为μ总体均值,N为总体例数,将数据时间差的方差作为心跳 包是否具有周期性的判断标准
如图1所示,本发明对于网络流日志的检测算法主要包含以下内 容:
C1、从提取到的流量日志数据中随机选择若干个样本数据点作 为subsample,放入树的根节点;
C2、、随机选择流量日志的一个特征作为新节点,在当前提取 的特征下随机选择一个切割点p,切割点的数值位于于当前节点数据 中指定维度的最大值和最小值之间
C3、以在C2中选取的切割点为标准,将当前节点数据空间划分 为两个子空间:把指定特征值小于切割点p的数据放在当前节点的左 孩子,把大于等于p的数据放在当前节点的右孩子;
C4、分别在左右孩子节点中递归步骤(2)与步骤(3),不断 选取特征的切割点构造新的孩子节点,直到孩子节点中只有一条数据 或孩子节点已到达树的限定高度
在对所有特征都进行上述操作后,会得到与特征个数相同的 ITree树,IForest训练结束,使用模型对得到的数据进行评估。对于 每一个测试数据,遍历所有Itree,并记录该节点被单独分开时或者达 到树的最深层为止,得出该数据落在IForest的平均高度。通过以下 公式计算样本点的异常概率:
Claims (4)
1.一种基于流量日志的APT攻击检测方法,其特征在于,所述方法包括:
A、对于DNS流量日志特征的选取与表示:以DNS流量为重点关注行为特征,对DNS流量日志进行分析;
B、对于网络流日志特征的选取与表示:基于APT攻击的特点,对流量日志进行特征的选取及分析;
C、结合流量日志的IForest检测算法:关联和融合DNS流量日志特征和网络流日志特征,通过提取到的流量日志特征进行异常分析检测。
2.根据权利要求1所述的DNS流量日志特征的选取与表示,步骤A所包含的行为特征和内容如下:
A1、访问频率:APT攻击中攻击C2(Command and Control)服务器的过程是一个相对比较低频的行为,采用主机向域名发送请求的频率作为DNS流量日志分析的一个特征,以t1为检测数据的起始时间,t2为检测数据的截止时间,fi为i时间点C2服务器的对外访问频率,访问频率F的计算公式如下:
A2、活跃时间:活跃时间为在观察窗口内第一次被访问到最近一次被访问之间的时间段,在大时间窗口下能够区分主机-不同域名对的相对活跃度,检测内部跳板主机,在时间窗口下,主机第一次访问某域名的时间为t1,最后一次的访问时间为t2,则活跃时间pd(pairduration)的计算公式如下:
pd=t1-t2
A3、域名流行度:APT攻击会感染一小部分关键主机进行敏感文件访问,因此在观察窗口内部,将访问某个域名的主机数与窗口内活跃主机数的比例作为参考的特征;在一定时间内,整个访问某个域名的主机数目为S,而窗口内部的活跃主机数为N,则该域名的流行度P的计算公式如下:
P=S/N
A4、爆发性访问:在APT攻击的恶意样本运行期间,会出现高频率的C2服务器访问,恶意样本会持续不断的通过域名向C2服务器发出请求,将短时间窗口的爆发性访问作为日志特征以判断是否存在攻击。选择时间窗口,其时间长度为t,,C2服务器在t时间内接受到的访问次数为n,则爆发性访问fr(foold rate)的计算公式如下:
f=n/t
A5、阶段性特点:APT攻击经过初级入侵阶段后,攻击方通过被感染主机与服务器建立通信,会经历过周期性通讯、以传入传出数据为目标的无规律通信和最终结束的零通讯阶段;综上,方差的指数加权平均值来表征上述阶段性访问特征,过程如下:
记特定主机h与域名d之间的访问初始记录为R(r1,r2,...rn),其中r1为三元组(t,h,d),t代表访问记录r1发生的时间。由原始记录可得到时间间隔序列。根据求得时间间隔的方差序列DV(dv1,dv2,...dvn-1),考虑到不同时间间隔序列的数可能会存在数据量级上的差异,我们提出如下的计算方法,其中:
根据方差序列求得指数加权均值vi如下:
vi=λvi-1+(1-λ)dvi
通过增加对方差的指数加权平均以及合适的λ,我们得以保留第一阶段的周期性访问特点从而可以准确描述周期性访问特征。
A6、恶意域名独立访问:指被感染主机对恶意域名的访问呈现出一种独立访问特点,定义R(k,l,m)代表第k主机与第l域名之间的第m次交互的CODD(Concurrent Domains指在一定时间窗口内被主机一起访问的域名),每个CODD选取第m次交互发生时前后时间窗口内的域名访问记录。使用C(k,l)代表第k主机与第l域名全部交互的CODD。基于C(k,l),生成三个特征构成特征向量V(k,l)=[M,AH,HC]。M代表第k主机与第l域名在观察期内的交互次数。AN代表每次交互产生的CODD数量,计算方式如下公式:
HC的计算方式如下公式,代表目标域名与其CODD是否紧密关联。
其中Dw表示目标域名l的CODD中的一个域名,使用如下公式的方式表示。其中Sk,l代表包含Dw域名的子集。
CI(Dw)=|Sk,l|。
3.根据权利要求1所述的网络流日志特征的选取与表示,步骤B所包含的行为特征和内容如下:
B1、端口协议不匹配:攻击者的协议在攻击准备阶段已经确定,而攻击过程中的端口则视情况进行配置,通过端口与协议的不匹配状态进行恶意流量检测;定义流量日志中端口号与协议的数据对为(port,protocal),将其与端口号对应的正确协议rp(rightprotocal)进行对比,从而判断端口协议匹配pp的值,计算公式如下:
B2、上下行流量比例异常:APT攻击的窃密阶段,感染主机的上传流量与下载流量之比会远高于其他正常主机,定义检测主机的上行流量大小为f1,下行流量的大小为f2则上下行流量之比ud(up down)计算公式如下:
ud=f1/f2
B3、心跳包异常:心跳包是用于攻击者与感染主机相互联系、具有很强周期性的小数据包。通过筛选连接中的小数据量的连接,判断其出现时间与线性函数的拟合程度来作为是否具有周期性的依据;在T时间内,定义小数据量连接的出现时间为ti(1≤i≤T),计算时间差
xj=tj+1-tj(1≤j≤T-1)
计算时间差数据x的方差σ2,公式如下:
其中为μ总体均值,N为总体例数,将数据时间差的方差作为心跳包是否具有周期性的判断标准。
4.根据权利要求1所述的检测算法,其特征在于,步骤C进一步包括以下步骤:
C1、从提取到的流量日志数据中随机选择若干个样本数据点作为subsample,放入树的根节点;
C2、随机选择流量日志的一个特征作为新节点,在当前提取的特征下随机选择一个切割点p,切割点的数值位于于当前节点数据中指定维度的最大值和最小值之间
C3、以此切割点产生了一个超平面,将当前节点数据空间划分为两个子空间:把指定特征值小于切割点p的数据放在当前节点的左孩子,把大于等于p的数据放在当前节点的右孩子;
C4、分别在左右孩子节点中递归步骤(2)与步骤(3),不断选取特征的切割点构造新的孩子节点,直到孩子节点中只有一条数据或孩子节点已到达树的限定高度,在对所有特征都进行上述操作后,会得到与特征个数相同的ITree树,IForest训练结束,使用模型对得到的数据进行评估。对于每一个测试数据,遍历所有Itree,并记录该节点被单独分开时或者达到树的最深层为止,得出该数据落在IForest的平均高度。通过以下公式计算样本点的异常概率:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910374169.6A CN111901286B (zh) | 2019-05-06 | 2019-05-06 | 一种基于流量日志的apt攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910374169.6A CN111901286B (zh) | 2019-05-06 | 2019-05-06 | 一种基于流量日志的apt攻击检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901286A true CN111901286A (zh) | 2020-11-06 |
| CN111901286B CN111901286B (zh) | 2023-11-07 |
Family
ID=73169577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910374169.6A Active CN111901286B (zh) | 2019-05-06 | 2019-05-06 | 一种基于流量日志的apt攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901286B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746832A (zh) * | 2021-09-02 | 2021-12-03 | 华中科技大学 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
| CN115190051A (zh) * | 2021-04-01 | 2022-10-14 | 中国移动通信集团河南有限公司 | 心跳数据识别方法及电子装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160219067A1 (en) * | 2015-01-28 | 2016-07-28 | Korea Internet & Security Agency | Method of detecting anomalies suspected of attack, based on time series statistics |
| CN107659543A (zh) * | 2016-07-26 | 2018-02-02 | 北京计算机技术及应用研究所 | 面向云平台apt攻击的防护方法 |
| CN108270716A (zh) * | 2016-12-30 | 2018-07-10 | 绵阳灵先创科技有限公司 | 一种基于云计算的信息安全审计方法 |
-
2019
- 2019-05-06 CN CN201910374169.6A patent/CN111901286B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160219067A1 (en) * | 2015-01-28 | 2016-07-28 | Korea Internet & Security Agency | Method of detecting anomalies suspected of attack, based on time series statistics |
| CN107659543A (zh) * | 2016-07-26 | 2018-02-02 | 北京计算机技术及应用研究所 | 面向云平台apt攻击的防护方法 |
| CN108270716A (zh) * | 2016-12-30 | 2018-07-10 | 绵阳灵先创科技有限公司 | 一种基于云计算的信息安全审计方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王晓琪等: "高级持续性威胁中隐蔽可疑DNS行为的检测", 《计算机研究与发展》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115190051A (zh) * | 2021-04-01 | 2022-10-14 | 中国移动通信集团河南有限公司 | 心跳数据识别方法及电子装置 |
| CN115190051B (zh) * | 2021-04-01 | 2023-09-05 | 中国移动通信集团河南有限公司 | 心跳数据识别方法及电子装置 |
| CN113746832A (zh) * | 2021-09-02 | 2021-12-03 | 华中科技大学 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901286B (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| Giura et al. | A context-based detection framework for advanced persistent threats | |
| Bagui et al. | Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset | |
| JP4364901B2 (ja) | アタックデータベース構造 | |
| US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US20140101724A1 (en) | Network attack detection and prevention based on emulation of server response and virtual server cloning | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| Jiang et al. | Novel intrusion prediction mechanism based on honeypot log similarity | |
| Qin et al. | Worm detection using local networks | |
| Ádám et al. | Artificial neural network based IDS | |
| CN111901286B (zh) | 一种基于流量日志的apt攻击检测方法 | |
| Luxemburk et al. | Detection of https brute-force attacks with packet-level feature set | |
| Haddadi et al. | How to choose from different botnet detection systems? | |
| Debashi et al. | Sonification of network traffic for detecting and learning about botnet behavior | |
| JP2008507222A (ja) | ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム | |
| Yen | Detecting stealthy malware using behavioral features in network traffic | |
| Ongun et al. | PORTFILER: port-level network profiling for self-propagating malware detection | |
| CN112333180A (zh) | 一种基于数据挖掘的apt攻击检测方法及系统 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| CN113132335A (zh) | 一种虚拟变换系统、方法及网络安全系统与方法 | |
| Huang et al. | APT attack detection method based on traffic log features | |
| Davis | Botnet detection using correlated anomalies | |
| Alqahtani et al. | Enhanced Scanning in SDN Networks and its Detection using Machine Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: Room 512-2, building 2, No. 34, Xueyuan South Road, Haidian District, Beijing 100082 Applicant after: Beijing Xin'an Software Co.,Ltd. Applicant after: Beijing University of Posts and Telecommunications Address before: Room 512-2, building 2, No. 34, Xueyuan South Road, Haidian District, Beijing 100082 Applicant before: Beijing mingxin'an Co.,Ltd. Applicant before: Beijing University of Posts and Telecommunications |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |