CN111931168A - 一种基于警报关联的僵尸机检测方法 - Google Patents

一种基于警报关联的僵尸机检测方法 Download PDF

Info

Publication number
CN111931168A
CN111931168A CN202010564369.0A CN202010564369A CN111931168A CN 111931168 A CN111931168 A CN 111931168A CN 202010564369 A CN202010564369 A CN 202010564369A CN 111931168 A CN111931168 A CN 111931168A
Authority
CN
China
Prior art keywords
alarm
value
detection module
vulnerability
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010564369.0A
Other languages
English (en)
Other versions
CN111931168B (zh
Inventor
孙宁
石慧珠
韩光洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changzhou Campus of Hohai University
Original Assignee
Changzhou Campus of Hohai University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changzhou Campus of Hohai University filed Critical Changzhou Campus of Hohai University
Priority to CN202010564369.0A priority Critical patent/CN111931168B/zh
Publication of CN111931168A publication Critical patent/CN111931168A/zh
Application granted granted Critical
Publication of CN111931168B publication Critical patent/CN111931168B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24147Distances to closest patterns, e.g. nearest neighbour classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种云环境中基于警报关联的分布式入侵检测方法,包括如下步骤:入侵证据收集;分布式行为图模板建立;异常检测;行为图模板更新。本发明通过分簇的方式实现云环境中的分布式检测,基于警报关联的思想实现进一步入侵检测判断,有利于降低误报率。通过本方法,可以有效检测云环境中的僵尸机,从而保护云计算资源不被恶意利用。

Description

一种基于警报关联的僵尸机检测方法
技术领域
本发明涉及物联网领域,具体涉及一种基于警报关联的僵尸机检测方法。
背景技术
僵尸网络是最严重的网络威胁之一,指感染僵尸程序病毒,从而被黑客程序控制的计算机设备被称为僵尸机。黑客利用僵尸机可以达到不同的目的,例如发起分布式网络攻击、分布式拒绝服务攻击等。
入侵检测系统(IDS)是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。许多为僵尸网络构建的现有IDSs是基于规则的,其性能取决于专家、定义的规则集。基于规则的僵尸网络ID通过检查网络流量并将其与已知的或以前见过的僵尸网络签名(通常由安全专家进行编码)进行比较来识别僵尸网络。然而,由于网络流量的大量增加,更新这些规则变得越来越困难、乏味和耗时。这种依赖使得它对新型僵尸网络的效率很低。
发明内容
本发明提供了一种基于警报关联的僵尸机检测方法,包括:
一种基于警报关联的僵尸机检测方法,所述方法包括在线入侵检测模块,离线入侵检测模块和入侵警报关联模块,其中:
所述在线入侵检测模块进行实时的网络流量检测;
所述离线入侵检测模块利用攻击图技术,进行虚拟机安全状态评估;
所述入侵检测警报关联模块包括警报聚合和警报验证,用于关联在线入侵检测模块的警报和离线入侵检测模块的结果,最终判断是否发生入侵,并输出警报信息。
上述在线入侵检测模块,使用现有技术方案进行实时的网络流量检测;在线入侵检测模块包括恶意IP地址检测模块,恶意SSL证书检测模块,域通量检测模块和Tor连接检测模块,通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。
上述离线入侵检测模块,利用改进的攻击图技术,进行虚拟机安全状态的评估,具体步骤如下:
(2.1)使用漏洞扫描工具Nessus识别系统漏洞,根据漏洞和网络拓扑构建攻击图;
(2.2)根据通用漏洞评分系统和历史数据计算漏洞的可利用分数;
(2.3)建立条件概率分布表;
(2.4)计算虚拟机的脆弱分数。
上述步骤(2.1)中构建的攻击图是一个有向无环图,表示为:
BAG=(V,E,P) (1)
其中V表示节点,V=Vc∪Vd∪Vr,Vr表示根节点,Vc表示漏洞节点,Vd表示利用漏洞可以得到的结果节点,E表示边,P表示概率集合,P=P(Vc)表示成功利用漏洞的概率。
上述步骤(2.2)计算漏洞的可利用分数,公式如下:
Figure BDA0002547131350000023
其中CVSSSCORE表示由CVSS提供的漏洞评分,influence score表示漏洞被利用的频率,通过历史数据计算,
Figure BDA0002547131350000024
和β为系数,用于平衡两个参数。
上述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的,条件概率表完成之后合并所有边缘概率得到无条件概率,即主机的脆弱性分数,将主机脆弱性分数作为离线入侵检测模块的警报值。
上述警报聚合的具体步骤如下:
(3.1.1)利用MapReduce方法处理在线警报,形成键值对:<key,value>,key表示警报中的sourceIP,value为时间窗内的警报数量;
(3.1.2)触发离线入侵检测模块,得到虚拟机的脆弱分数score;
(3.1.3)用警报向量表示时间窗内的警报结果:
Figure BDA0002547131350000021
其中,Alertn表示时间窗内的警报向量,n表示时间窗编号。
上述警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测,将这个预测值与实际值进行比较,如果差距超过阈值,就判定发生异常,发出最终入侵警报,具体步骤如下:
(3.2.1)为当前AlertT构造时间序列,向前取固定时长作为时间序列窗口N,
将窗口内的警报向量作为时间序列,所述时间序列表示为:
Figure BDA0002547131350000022
Figure BDA0002547131350000031
(3.2.2)对
Figure BDA0002547131350000032
进行二次指数平滑的方法为对valuei和scorei分别进行二次指数平滑,得到平滑值pvalueT和pscoreT,即当前valueT和scoreT的预测值,valuei的二次指数平滑公式如下:
Figure BDA0002547131350000033
其中,valuet表示valuei在t期的值,α为平滑系数,
Figure BDA0002547131350000034
分别为t期和t-1期的二次指数平滑值,
Figure BDA0002547131350000035
Figure BDA0002547131350000036
分别为t期和t-1期的一次指数平滑值;pvalueT的计算公式为
pvalueT=at+bt (5)
其中,
Figure BDA0002547131350000037
由此得到valueT的预测值pvalueT,scoret的预测值pscoreT通过同样的方法得到,AlertT的预测值表示为
Figure BDA0002547131350000038
(3.2.3)将pAlertt和AlertT进行比较,做差得到dAlertT,使用KNN算法对dAlertT进行处理,从历史数据库中找到k个与dAlertT距离最小的邻居样本,根据这k个邻居样本所属的类别决定dAlertT的类别,实现入侵检测。
本发明的有益效果:
本发明结合在线入侵检测和离线入侵检测,有利于降低误报率。通过本方法,可以有效检测网络中的僵尸机,从而减轻僵尸网络带来的恶劣后果。
附图说明
图1是本发明的装置模块结构图;
图2是本发明的攻击图;
图3是本发明的时间序列图。
具体实施方式
如图1所示,一种基于警报关联的僵尸机检测方法,包括以下几个模块:在线入侵检测模块,离线入侵检测模块和入侵警报关联模块,其中:
在线入侵检测模块使用现有技术方案进行实时的网络流量检测;
离线入侵检测模块利用改进的攻击图技术,进行虚拟机安全状态评估;
入侵检测警报关联模块包括警报聚合和警报验证,用于关联在线入侵检测模块的警报和离线入侵检测模块的结果,最终判断是否发生入侵,并输出警报信息。
上述在线入侵检测模块,使用现有技术方案进行实时的网络流量检测;在线入侵检测模块具体包括恶意IP地址检测模块(MIPD),恶意SSL证书检测模块(MSSLD),域通量检测模块(DFD)和Tor连接检测模块(TorD),通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。
上述离线入侵检测模块,利用改进的攻击图技术,进行虚拟机安全状态的评估,具体步骤如下:
(2.1)使用漏洞扫描工具Nessus识别系统漏洞,根据漏洞和网络拓扑构建攻击图;
(2.2)根据通用漏洞评分系统(CVSS)和历史数据计算漏洞的可利用分数;
(2.3)建立条件概率分布表;
(2.4)计算虚拟机的脆弱分数。
上述步骤(2.1)中构建的攻击图是一个有向无环图,如图2所示,表示为:
BAG=(V,E,P) (1)
其中V表示节点,V=Vc∪Vd∪Vr,Vr表示根节点,Vc表示漏洞节点,Vd表示利用漏洞可以得到的结果节点,E表示边,P表示概率集合,P=P(Vc)表示成功利用漏洞的概率。
上述步骤(2.2)计算漏洞的可利用分数,公式如下:
Figure BDA0002547131350000042
其中CVSSSCORE表示由CVSS提供的漏洞评分,包括脆弱性得分和影响性得分,influence score表示漏洞被利用的频率,通过历史数据计算,
Figure BDA0002547131350000041
和β为系数,用于平衡两个参数,这里取0.8和0.2。
上述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的,条件概率表完成之后可以合并所有边缘概率得到无条件概率,即主机的脆弱性分数,将主机脆弱性分数作为离线入侵检测模块的警报值。
上述入侵检测警报关联模块包括警报聚合和警报验证,以5min作为取固定时长作为一个时间窗TW,警报聚合的具体步骤如下:
(3.1.1)利用MapReduce方法处理在线警报,形成键值对:<key,value>,key表示警报中的sourceIP,value为时间窗内的警报数量;
(3.1.2)触发离线入侵检测模块,得到虚拟机的脆弱分数score;
(3.1.3)用警报向量表示时间窗内的警报结果:
Figure BDA0002547131350000051
其中,Alertn表示时间窗内的警报向量,n表示时间窗编号。
警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测,将这个预测值与实际值进行比较,如果差距超过阈值,就判定发生异常,发出最终入侵警报,具体步骤如下:
(3.2.1)为当前AlertT构造时间序列,如图3所示,向前取固定时长作为时间序列窗口N,将窗口内的警报向量作为时间序列,所述时间序列可以表示为:
Figure BDA0002547131350000052
(3.2.2)对
Figure BDA0002547131350000053
进行二次指数平滑的方法为对valuei和scorei分别进行二次指数平滑,得到平滑值pvalueT和pscoreT,即当前valueT和scoreT的预测值,valuei的二次指数平滑公式如下:
Figure BDA0002547131350000054
其中,valuet表示valuei在t期的值,α为平滑系数,
Figure BDA0002547131350000055
分别为t期和t-1期的二次指数平滑值,
Figure BDA0002547131350000056
Figure BDA0002547131350000057
分别为t期和t-1期的一次指数平滑值;
pvalueT的计算公式为
pvalueT=at+bt (5)
其中,
Figure BDA0002547131350000058
由此可以得到valueT的预测值pvalueT,scoret的预测值pscoreT可以通过同样的方法得到,那么AlertT的预测值可以表示为
Figure BDA0002547131350000059
其中,所述步骤α可以通过随机梯度下降法确定;
(3.2.3)将pAlertt和AlertT进行比较,做差得到dAlertT,使用KNN算法对dAlertT进行处理,从历史数据库中找到k个与dAlertT距离最小的邻居样本,根据这k个邻居样本所属的类别决定dAlertT的类别,实现入侵检测。

Claims (9)

1.一种基于警报关联的僵尸机检测方法,其特征在于,所述装置包括在线入侵检测模块,离线入侵检测模块和入侵警报关联模块,其中:
所述在线入侵检测模块进行实时的网络流量检测;
所述离线入侵检测模块利用攻击图技术,进行虚拟机安全状态评估;
所述入侵检测警报关联模块包括警报聚合和警报验证,用于关联在线入侵检测模块的警报和离线入侵检测模块的结果,最终判断是否发生入侵,并输出警报信息。
2.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述在线入侵检测模块,使用现有技术方案进行实时的网络流量检测;在线入侵检测模块包括恶意IP地址检测模块,恶意SSL证书检测模块,域通量检测模块和Tor连接检测模块,通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。
3.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述离线入侵检测模块,利用改进的攻击图技术,进行虚拟机安全状态的评估,具体步骤如下:
(2.1)使用漏洞扫描工具Nessus识别系统漏洞,根据漏洞和网络拓扑构建攻击图;
(2.2)根据通用漏洞评分系统和历史数据计算漏洞的可利用分数;
(2.3)建立条件概率分布表;
(2.4)计算虚拟机的脆弱分数。
4.根据权利要求3所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(2.1)中构建的攻击图是一个有向无环图,表示为:
BAG=(V,E,P) (1)
其中V表示节点,V=Vc∪Vd∪Vr,Vr表示根节点,Vc表示漏洞节点,Vd表示利用漏洞可以得到的结果节点,E表示边,P表示概率集合,P=P(Vc)表示成功利用漏洞的概率。
5.根据权利要求3所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(2.2)计算漏洞的可利用分数,公式如下:
Figure FDA0002547131340000011
其中CVSSSCORE表示由CVSS提供的漏洞评分,influence score表示漏洞被利用的频率,通过历史数据计算,
Figure FDA0002547131340000021
和β为系数,用于平衡两个参数。
6.根据权利要求3所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的,条件概率表完成之后合并所有边缘概率得到无条件概率,即主机的脆弱性分数,将主机脆弱性分数作为离线入侵检测模块的警报值。
7.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述警报聚合的具体步骤如下:
(3.1.1)利用map reduce方法处理在线警报,形成键值对:<key,value>,key表示警报中的sourceip,value为时间窗内的警报数量;
(3.1.2)触发离线入侵检测模块,得到虚拟机的脆弱分数score;
(3.1.3)用警报向量表示时间窗内的警报结果:
Figure FDA0002547131340000022
其中,Alertn表示时间窗内的警报向量,n表示时间窗编号。
8.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测,将这个预测值与实际值进行比较,如果差距超过阈值,就判定发生异常,发出最终入侵警报,具体步骤如下:
(3.2.1)为当前AlertT构造时间序列,向前取固定时长作为时间序列窗口N,将窗口内的警报向量作为时间序列,所述时间序列表示为:
Figure FDA0002547131340000023
Figure FDA0002547131340000024
(3.2.2)对
Figure FDA0002547131340000025
进行二次指数平滑的方法为对valuei和scorei分别进行二次指数平滑,得到平滑值pvalueT和pscoreT,即当前valueT和scoreT的预测值,valuei的二次指数平滑公式如下:
Figure FDA0002547131340000026
其中,valuet表示valuei在t期的值,α为平滑系数,
Figure FDA0002547131340000027
分别为t期和t-1期的二次指数平滑值,
Figure FDA0002547131340000028
Figure FDA0002547131340000029
分别为t期和t-1期的一次指数平滑值;
pvalueT的计算公式为
pvalueT=at+bt (5)
其中,
Figure FDA0002547131340000031
由此得到valueT的预测值pvalueT,scoret的预测值pscoreT可以通过同样的方法得到,AlertT的预测值表示为
Figure FDA0002547131340000032
(3.2.3)将pAlertt和AlertT进行比较,做差得到dAlertT,使用KNN算法对dAlertT进行处理,从历史数据库中找到k个与dAlertT距离最小的邻居样本,根据这k个邻居样本所属的类别决定dAlertT的类别,实现入侵检测。
9.根据权利要求8所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(3.2.2)中的α通过随机梯度下降法确定。
CN202010564369.0A 2020-06-19 2020-06-19 一种基于警报关联的僵尸机检测方法 Active CN111931168B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010564369.0A CN111931168B (zh) 2020-06-19 2020-06-19 一种基于警报关联的僵尸机检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010564369.0A CN111931168B (zh) 2020-06-19 2020-06-19 一种基于警报关联的僵尸机检测方法

Publications (2)

Publication Number Publication Date
CN111931168A true CN111931168A (zh) 2020-11-13
CN111931168B CN111931168B (zh) 2022-09-09

Family

ID=73317744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010564369.0A Active CN111931168B (zh) 2020-06-19 2020-06-19 一种基于警报关联的僵尸机检测方法

Country Status (1)

Country Link
CN (1) CN111931168B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101803337A (zh) * 2007-09-19 2010-08-11 阿尔卡特朗讯公司 入侵检测方法和系统
CN101980506A (zh) * 2010-10-29 2011-02-23 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
CN108769051A (zh) * 2018-06-11 2018-11-06 中国人民解放军战略支援部队信息工程大学 一种基于告警融合的网络入侵态势意图评估方法
CN108965248A (zh) * 2018-06-04 2018-12-07 上海交通大学 一种基于流量分析的p2p僵尸网络检测系统及方法
CN110012037A (zh) * 2019-05-21 2019-07-12 北京理工大学 基于不确定性感知攻击图的网络攻击预测模型构建方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101803337A (zh) * 2007-09-19 2010-08-11 阿尔卡特朗讯公司 入侵检测方法和系统
CN101980506A (zh) * 2010-10-29 2011-02-23 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
CN108965248A (zh) * 2018-06-04 2018-12-07 上海交通大学 一种基于流量分析的p2p僵尸网络检测系统及方法
CN108769051A (zh) * 2018-06-11 2018-11-06 中国人民解放军战略支援部队信息工程大学 一种基于告警融合的网络入侵态势意图评估方法
CN110012037A (zh) * 2019-05-21 2019-07-12 北京理工大学 基于不确定性感知攻击图的网络攻击预测模型构建方法

Also Published As

Publication number Publication date
CN111931168B (zh) 2022-09-09

Similar Documents

Publication Publication Date Title
US11201882B2 (en) Detection of malicious network activity
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
Cepheli et al. Hybrid intrusion detection system for ddos attacks
Nezhad et al. A novel DoS and DDoS attacks detection algorithm using ARIMA time series model and chaotic system in computer networks
CN107040517B (zh) 一种面向云计算环境的认知入侵检测方法
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
Kushwah et al. Distributed denial of service attacks detection in cloud computing using extreme learning machine
Nafea et al. Efficient non-linear covert channel detection in TCP data streams
Gharvirian et al. Neural network based protection of software defined network controller against distributed denial of service attacks
US10681059B2 (en) Relating to the monitoring of network security
CN115706671A (zh) 网络安全防御方法、装置以及存储介质
Igbe et al. Detecting denial of service attacks using a combination of dendritic cell algorithm and the negative selection algorithm
Dehkordi et al. Retracted: A Novel Distributed Denial of Service (DDoS) Detection Method in Software Defined Networks
CN111931168B (zh) 一种基于警报关联的僵尸机检测方法
Ahmed et al. Enhancing intrusion detection using statistical functions
Alhaidari et al. Detecting distributed Denial of service attacks using hidden Markov models
Bharati et al. A survey on hidden Markov model (HMM) based intention prediction techniques
Murthy et al. Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study
Dixit et al. Naive Bayes and SVM based NIDS
Ramprasath et al. Virtual Guard Against DDoS Attack for IoT Network Using Supervised Learning Method
Mohan et al. A Perspicacious Multi-level Defense System Against DDoS Attacks in Cloud Using Information Metric & Game Theoretical Approach
Chaudhari et al. A Systematic Review of DoS Attack Prevention Techniques on Delay Tolerant Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant