CN112003869B - 一种基于流量的漏洞识别方法 - Google Patents

一种基于流量的漏洞识别方法 Download PDF

Info

Publication number
CN112003869B
CN112003869B CN202010886014.3A CN202010886014A CN112003869B CN 112003869 B CN112003869 B CN 112003869B CN 202010886014 A CN202010886014 A CN 202010886014A CN 112003869 B CN112003869 B CN 112003869B
Authority
CN
China
Prior art keywords
decision tree
flow
vulnerability
representing
random
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010886014.3A
Other languages
English (en)
Other versions
CN112003869A (zh
Inventor
梁花
杨云
李洋
徐鑫
朱珠
韩世海
晏尧
雷娟
张森
徐镭洋
严华
李玮
向菲
万凌云
戴豪礽
张伟
景钰文
於舰
侯兴哲
陈涛
宫林
周全
李松浓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
State Grid Corp of China SGCC
Original Assignee
Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
State Grid Corp of China SGCC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd, State Grid Corp of China SGCC filed Critical Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
Priority to CN202010886014.3A priority Critical patent/CN112003869B/zh
Publication of CN112003869A publication Critical patent/CN112003869A/zh
Application granted granted Critical
Publication of CN112003869B publication Critical patent/CN112003869B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于流量的漏洞识别方法,属于漏洞识别技术领域。所述方法包括:S1.对本地访问网络数据通道进行代理以抓取流量并进行提取和过滤;S2.识别漏洞通信流量和正常通信流量并进行特征化处理以形成数据集;S3.根据数据集生成决策树模型;S4.将待测通信流量输入决策树模型以识别漏洞类型和命中的流量特征。本发明采用流量代理的方式对漏洞进行检测,可以在传统web、桌面程序和移动终端中进行漏洞检测,同时利用决策树算法可以将漏洞检测过程的流量进行特征化,并且进行学习训练,提高单个场景下单一漏洞检测准确率。

Description

一种基于流量的漏洞识别方法
技术领域
本发明涉及漏洞识别技术领域,特别是一种基于流量的漏洞识别方法。
背景技术
目前基于传统的桌面系统应用,从安全问题的发现到解决甚至是补救都具备 了一套完整的、可行的安全方案。且由于移动终端和传统终端的具有同构性, 所以其中不乏可以借鉴并引用到来解决目前出现的移动终端应用所面临的安全 威胁。但是由于移动终端和传统终端同时也具有异构性,以及实现技术的不断 更新,导致不能所有的安全解决方案全部被照搬来使用,其中就包括安全漏洞 的发现手段及检测方法。并且在传统的流量代理漏洞识别中针对不同业务的漏 洞检测需要加载不同的漏洞检测脚本,导致了漏洞识别准确率低,扩展性差等。
发明内容
有鉴于背景技术的上述缺陷,本发明的目的是提供一种基于流量的漏洞识别方法,漏 洞识别准确率高,扩展性好。
本法明的实施例提出一种基于流量的漏洞识别方法,包括以下步骤:
S1.对本地访问网络数据通道进行代理以抓取流量并进行提取和过滤;
S2.识别漏洞通信流量和正常通信流量并进行特征化处理以形成数据集;
S3.根据数据集生成决策树模型;
S4.将待测通信流量输入决策树模型以识别漏洞类型和命中的流量特征。
在本发明的优选实施例中,所述S3包括以下步骤:
S31.从数据集中随机选取一部分数据作为随机训练集,剩余数据作为随机测 试集,同时设置重置概率p和最大训练次数k;
S32.生成随机数,若该随机数小于重置概率p则重新生成随机训练集和随机 测试集;
S33.根据随机训练集生成决策树,将随机测试集输入该决策树进行预测,得 到预测结果不符合实际结果的错误样本集,从随机测试集中随机选出数据与错 误样本集进行替换;
S34.再将随机测试集输入决策树,根据随机测试集的预测结果与实际结果的 误差对决策树模型进行调整;若此时尚未达到最大训练次数k且误差尚高于预 设值,返回S32;否则,完成训练,输出决策树模型。
在本发明的优选实施例中,采用梯度提升决策树算法,所述梯度公式如下:
Figure RE-GDA0002692265700000021
其中,Rj(xi)为第j轮得到的强学习器,可以理解为xi属于j类的概率,
Figure BDA0002655606970000022
为该学习器的损失函数,G为决策树所划分的类型总数,
Figure BDA0002655606970000023
表 示第i个特征对于分类g上的梯度变化,i表示第i个元素,j表示计算的当前分 类j,yij表示xi对应分类j下的梯度,xi表示输入x的第i个元素,Rg(x)表示分 类g对应的强学习器,Rj,m-1(x)表示在m-1轮次对应的分类g的强学习器,m表 示当前轮次,yig表示第i个特征对于分类g上的梯度,pg(xi)表示xi被分到g类 的概率。
在本发明的优选实施例中,所述步骤S1中通过在客户端设置代理,采用http、socks方式进行对本地访问网络数据通道进行代理,从而实现对tcp、udp、http 层的流量抓取。
在本发明的优选实施例中,所述步骤S1中的流量提取包括基于端口的方法、 基于内容的方法和基于通信特征的方法。
在本发明的优选实施例中,所述步骤S2中的流量特征化处理是指将WEB 攻击类型中的每种攻击采用分词的方法将字符串的词语剥离出来,再统计词频 映射到空间向量中。
本发明的优点:
本发明采用流量代理的方式对漏洞进行检测,可以在传统web、桌面程序和 移动终端中进行漏洞检测,同时利用决策树算法可以将漏洞检测过程的流量进 行特征化,并且进行学习训练,提高单个场景下单一漏洞检测准确率。
附图说明
本发明的附图说明如下:
图1本发明实施例中基于流量的漏洞识别方法的流程图。
图2本发明实施例中决策树训练识别过程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
通过对客户端的浏览器进行代理配置,浏览器的HTTP请求发送到HTTP代理服务器,HTTP 代理服务器解析HTTP协议报文,得到web服务器的域名或IP,然后进行相应的处理。此种 HTTP代理服务器,用户知道它的存在。HTTP代理服务器处在客户端局域网与公共网络的出口 处。如图1所示,具体步骤如下:
(1)访问数据
通过在客户端设置代理,采用http、socks方式进行对本地访问网络数据通道进行代 理,从而实现对tcp、udp、http层的流量抓取。
(2)数据提取
使用己知特征标识的分类方法有基于端口的方法、基于内容的方法和基于通信特征的方 法,使用机器学习方式建立特征标识的分类方法是基于统计模型的方法。
(3)数据过滤
基于端口的分类方法,网络中大部分使用TCP/IP协议的数据包都有一个端口号用来进行 传输层和应用层之间的数据传递,使数据传送给正确的应用程序。
基于内容的方法通过分析数据包的真实数据来对网络流量进行分类。只要能够在数据包 的真实数据中找到这种“标识”,我们就可以判定这个数据包是属于哪种协议的了。这种“标 识"被称为“特征字符串”,这就是基于内容的方法所使用的特征标识。
基于通信特征的分类方法利用主机之间进行通信时的行为特征来对数据包进行分类。对 这种行为特征的研究需要观察多个主机之间的通信,通过行为来确定每个主机的职能,然后 再具体分析它们之间进行通信的数据包,进而对数据包进行分类。
(4)流量特征化
基于报文头部的流量特征从单个报文头部的字段提取得到,包括帧头部、IP头部和传输 层头部。帧头部的特征包括帧长度、报文长度等;IP头部包括IP头校验和、IP协议、TTL 标记等;传输层头部包括端口号、TCP标记、PUSH标记、UDP标记等。相比于基于流的流量特征,基于报文头部的流量特征的分类性能较弱。包括特征词及权重、关键词和特定信息,特征提取主要是将WEB攻击类型中的每种攻击,如SQL注入的关键词作为空间向量模型的关键词,采用分词的方法将字符串的词语剥离出来,再统计词频,映射到空间向量中。
(5)训练集
通过网络代理获取程序确定的漏洞识别出来的通信流量(漏洞通信流量),作为漏洞识别 模型的训练数据。
(6)样本集
通过网络代理获取程序的正常通信流量,进行流量特征化,将该数据集输入决策树模型 进行漏洞识别。
(7)决策树模型
基于流量的漏洞识别采用梯度提升决策树(GBDT)算法,该算法已经被成功地应用于许多 领域,其主要优点是具有通过最小误差和决策树学习自动找到非线性相互影响的能力.对于多 分类问题,GBDT将损失函数定义为。
Figure BDA0002655606970000041
其中,
Figure BDA0002655606970000042
为Rg(x)的损失函数,pg(x)=P(yg=1|xg),也就是x被正确分 到g类的概率。同时,pg(x)和Rg(x)的关系为:
Figure BDA0002655606970000043
则可以得到梯度:
Figure RE-GDA0002692265700000044
其中,Rj(xi)为第j轮得到的强学习器,可以理解为xi属于j类的概率,
Figure BDA0002655606970000045
为该学习器的损失函数,G为决策树所划分的类型总数,
Figure BDA0002655606970000046
表示第i个特征对于分类g上的梯 度变化,i表示第i个元素,j表示计算的当前分类j,yij表示xi对应分类j下的梯度,xi表 示输入x的第i个元素,Rg(x)表示分类g对应的强学习器,Rj,m-1(x)表示在m-1轮次对应的 分类g的强学习器,m表示当前轮次,yig表示第i个特征对于分类g上的梯度,pg(xi)表示xi被分到g类的概率。
根据式(3),需要计算G个参数以及Rg(x),从而对识别到的漏洞信息进行归类。
决策树的生成,就是根据不同的属性和各不相同的对应值,将样本进行划分。由于我们 划分的最终目的是为了将划分后的样本的熵降到最低,也就是在划分过后使得该样本下所有 的结果尽可能地唯一,那么当我们选择一个属性对样本进行分割时,如果该划分导致样本的 熵减少,那么信息增益量即为样本的熵的减少量,同时定义熵的减少比率为该划分因子的信 息增益比。这里我们通过计算不同因子的信息增益比,将所有因子中信息增益比最大的因子 作为分裂节点,从而一层一层地构造出决策树。
本发明利用决策树算法构建被动流量漏洞识别模型,实现对传统Web服务、桌面应用程 序和移动APP等应用系统的漏洞识别。
决策树为一种预测模型,该模型被用来展示对象属性与对象值之间的一种映射关系。在 决策树中,节点被用来表示特定的对象,而分叉路径则表示的某个可能的属性值,而叶结点 则对应从根节点到该叶节点所经历的路径所表示的对象的值。决策树仅有单一输出,若欲有 复数输出,可以建立独立的决策树以处理不同输出。决策树是一种经常要用到的技术,可以 用于分析数据,同样也可以用来作预测,本发明中主要采用决策树对被动获取的通信流量中 的交互数据进行漏洞检测。
而由于在传统的决策树算法生成决策树的过程中,该决策树与样本数据关联性较强,往 往造成生成的决策树对样本数据预测能力较强,而对新得到的数据预测能力相对较弱,所以 决策树往往只可以得到局部最优解,性能极度依赖样本数据的获取或划分。
为了解决这个问题,达到对决策树算法进行优化的目的,这里我们在训练过程中会对随 机训练集进行部分替换,而替换目标根据当前随机训练集在生成的决策树进行测试得出,我 们会将随机训练集中测试结果错误的样本进行替换,替换为随机测试集中随机筛选的部分样 本。这样可以一定程度上对决策树的训练起到优化的目的,避免局部最优解的产生。如图2 所示,决策树的具体优化过程如下:
从数据集中随机选取一部分数据作为随机训练集,剩余数据作为随机测试集,同时设置 重置概率p和最大训练次数k;
生成随机数,若该随机数小于重置概率p则重新生成随机训练集和随机测试集;
根据随机训练集生成决策树,将随机测试集输入该决策树进行预测,得到预测结果不符 合实际结果的错误样本集,从随机测试集中随机选出数据与错误样本集进行替换;
再将随机测试集输入决策树,根据随机测试集的预测结果与实际结果的误差对决策树模 型进行调整;若此时尚未达到最大训练次数k且误差尚高于预设值,返回S32;否则,完成 训练,输出决策树模型。
其中随机数为0到1之间随机生成的一个数,p为事先设置的,通常被设置为0.1。
(8)漏洞识别
通过将通信流量输入步骤(7)的模型中,最终输出识别到的漏洞类型和命中的流量特征。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解: 依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范 围的任何修改或者等同替换,其均应涵盖在本发明的保护范围之内。

Claims (4)

1.一种基于流量的漏洞识别方法,其特征在于,包括以下步骤:
S1.对本地访问网络数据通道进行代理以抓取流量并进行提取和过滤;
S2.识别漏洞通信流量和正常通信流量并进行特征化处理以形成数据集;
S3.根据数据集生成决策树模型;
所述S3包括以下步骤:
S31.从数据集中随机选取一部分数据作为随机训练集,剩余数据作为随机测试集,同时设置重置概率p和最大训练次数k;
S32.生成随机数,若该随机数小于重置概率p则重新生成随机训练集和随机测试集;
S33.根据随机训练集生成决策树,将随机测试集输入该决策树进行预测,得到预测结果不符合实际结果的错误样本集,从随机测试集中随机选出数据与错误样本集进行替换;
S34.再将随机测试集输入决策树,根据随机测试集的预测结果与实际结果的误差对决策树模型进行调整;若此时尚未达到最大训练次数k且误差尚高于预设值,返回S32;否则,完成训练,输出决策树模型;
采用梯度提升决策树算法,梯度公式如下:
Figure FDA0003740056490000011
其中,Rj(xi)为第j轮得到的强学习器,可以理解为xi属于j类的概率,
Figure FDA0003740056490000012
为该学习器的损失函数,G为决策树所划分的类型总数,
Figure FDA0003740056490000013
表示第i个特征对于分类g上的梯度变化,i表示第i个元素,j表示计算的当前分类j,yij表示xi对应分类j下的梯度,xi表示输入x的第i个元素,Rg(x)表示分类g对应的强学习器,Rj,m-1(x)表示在m-1轮次对应的分类g的强学习器,m表示当前轮次,yig表示第i个特征对于分类g上的梯度,pg(xi)表示xi被分到g类的概率;
S4.将待测通信流量输入决策树模型以识别漏洞类型和命中的流量特征。
2.如权利要求1所述的方法,其特征在于,所述步骤S1中通过在客户端设置代理,采用http、socks方式进行对本地访问网络数据通道进行代理,从而实现对tcp、udp、http层的流量抓取。
3.如权利要求2所述的方法,其特征在于,所述步骤S1中的流量提取包括基于端口的方法、基于内容的方法和基于通信特征的方法。
4.如权利要求1所述的方法,其特征在于,所述步骤S2中的流量特征化处理是指将WEB攻击类型中的每种攻击采用分词的方法将字符串的词语剥离出来,再统计词频映射到空间向量中。
CN202010886014.3A 2020-08-28 2020-08-28 一种基于流量的漏洞识别方法 Active CN112003869B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010886014.3A CN112003869B (zh) 2020-08-28 2020-08-28 一种基于流量的漏洞识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010886014.3A CN112003869B (zh) 2020-08-28 2020-08-28 一种基于流量的漏洞识别方法

Publications (2)

Publication Number Publication Date
CN112003869A CN112003869A (zh) 2020-11-27
CN112003869B true CN112003869B (zh) 2022-10-04

Family

ID=73464511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010886014.3A Active CN112003869B (zh) 2020-08-28 2020-08-28 一种基于流量的漏洞识别方法

Country Status (1)

Country Link
CN (1) CN112003869B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398875B (zh) * 2021-01-18 2021-04-09 北京电信易通信息技术股份有限公司 视频会议场景下基于机器学习的流数据安全漏洞探测方法
CN113127881A (zh) * 2021-04-20 2021-07-16 重庆电子工程职业学院 一种基于大数据的数据安全处理方法
CN115102734B (zh) * 2022-06-14 2024-02-20 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法
CN115982722B (zh) * 2023-01-16 2023-06-23 浙江御安信息技术有限公司 一种基于决策树的漏洞分类检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106817248A (zh) * 2016-12-19 2017-06-09 西安电子科技大学 一种apt攻击检测方法
CN106899440A (zh) * 2017-03-15 2017-06-27 苏州大学 一种面向云计算的网络入侵检测方法及系统
CN110311829A (zh) * 2019-05-24 2019-10-08 西安电子科技大学 一种基于机器学习加速的网络流量分类方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2887291A1 (en) * 2014-04-02 2015-10-02 Speakread A/S Systems and methods for supporting hearing impaired users
CN110516748A (zh) * 2019-08-29 2019-11-29 泰康保险集团股份有限公司 业务处理方法、装置、介质及电子设备
CN111371700A (zh) * 2020-03-11 2020-07-03 武汉思普崚技术有限公司 一种应用于正向代理环境中的流量识别方法及装置
CN111464510B (zh) * 2020-03-18 2021-06-08 华南理工大学 基于快速梯度提升树分类模型的网络实时入侵检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106817248A (zh) * 2016-12-19 2017-06-09 西安电子科技大学 一种apt攻击检测方法
CN106899440A (zh) * 2017-03-15 2017-06-27 苏州大学 一种面向云计算的网络入侵检测方法及系统
CN110311829A (zh) * 2019-05-24 2019-10-08 西安电子科技大学 一种基于机器学习加速的网络流量分类方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于决策树的端口扫描恶意流量检测研究;王远帆等;《通信技术》;20200810(第08期);全文 *

Also Published As

Publication number Publication date
CN112003869A (zh) 2020-11-27

Similar Documents

Publication Publication Date Title
CN112003869B (zh) 一种基于流量的漏洞识别方法
CN112398779B (zh) 一种网络流量数据分析方法及系统
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN112738015A (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN111478920A (zh) 一种隐蔽信道通信检测方法、装置及设备
CN108833437A (zh) 一种基于流量指纹和通信特征匹配的apt检测方法
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
Staudemeyer et al. Extracting salient features for network intrusion detection using machine learning methods
CN111740946B (zh) Webshell报文的检测方法及装置
US11888874B2 (en) Label guided unsupervised learning based network-level application signature generation
CN115277102B (zh) 网络攻击检测方法、装置、电子设备及存储介质
CN114050912B (zh) 一种基于深度强化学习的恶意域名检测方法和装置
CN111935185B (zh) 基于云计算构建大规模诱捕场景的方法及系统
CN113923003A (zh) 一种攻击者画像生成方法、系统、设备以及介质
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
Dixit et al. Internet traffic detection using naïve bayes and K-Nearest neighbors (KNN) algorithm
CN116015965A (zh) 一种网络恶意流量的多维度检测及防御系统
CN111464510A (zh) 一种基于快速梯度提升树模型的网络实时入侵检测方法
CN108199878B (zh) 高性能ip网络中个人标识信息识别系统及方法
CN112822121A (zh) 流量识别方法、流量确定方法、知识图谱建立方法
CN112822223B (zh) 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant