CN112104628B - 一种自适应特征规则匹配的实时恶意流量检测方法 - Google Patents
一种自适应特征规则匹配的实时恶意流量检测方法 Download PDFInfo
- Publication number
- CN112104628B CN112104628B CN202010918767.8A CN202010918767A CN112104628B CN 112104628 B CN112104628 B CN 112104628B CN 202010918767 A CN202010918767 A CN 202010918767A CN 112104628 B CN112104628 B CN 112104628B
- Authority
- CN
- China
- Prior art keywords
- rule
- matching
- flow
- data packet
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种自适应特征规则匹配的实时恶意流量检测方法,包括以下几个步骤:步骤001,自适应启动;步骤002,将重要恶意流量特征规则库载入内存;步骤003,捕获传入网卡的数据包并预处理且缓存;步骤004,解析捕获的数据包并与规则库进行快速匹配;步骤005,对于符合恶意流量特征的流量进行警报记录,输出至日志,并回到步骤003开始,当一个既定周期结束时,进行下一步;步骤006,流量特征反馈;步骤007,开始步骤003。本发明支持更高速的规则匹配和简洁高效的日志报警,能够根据硬件状况进行负载能力的调节,根据流量状况更新管理规则库,去除冗余规则,添加更优规则等,以提供更高效的恶意流量检测服务。
Description
技术领域
本发明涉及一种自适应特征规则匹配的实时恶意流量检测方法及其检测系统,属于计算机网络安全技术领域。
背景技术
随着社会信息化的不断发展,因特网环境中潜在的不法分子也越来越多。通过病毒文件、钓鱼网站、对主机恶意的网络请求等,恶意者能够攻击目标主机以达到不法目的,例如窃取管理员权限以控制服务器、获得个人信息,隐私文件等。现阶段,万物互联又使得个人家庭网、单位局域网的安全涉及人们的方方面面,关乎个人隐私和商业安全,网络安全至关重要。
针对这些网络信息安全的威胁,存在多种防御方法。其中,通过恶意流量检测技术,网络服务商等可以在流量传输阶段就及时发现潜在的安全威胁,对网络管理员进行警报使其知晓局域网络环境内的安全状况,能够针对不同安全威胁做出有准备的防御措施,有效降低攻击者攻击成功的概率。
目前市场主流的轻量级恶意流量检测系统主要依赖特征规则匹配的方式。通过解析流量的数据包,通过其与既有特征规则库进行匹配比对以得到与规则库中规则相符的数据流,由此发现这部分网络流量中很有可能含有恶意攻击。一方面传统的恶意流量检测系统基于正则匹配,匹配速度导致了系统能够处理的网络环境的带宽受限。另一方面由于特征库通常都是根据各种安全威胁人工编写的,往往不易管理更不能实时更新,然而对各类网络防御系统来说与时俱进又至关重要。
目前基于特征规则匹配的恶意流量检测方式存在匹配速度慢导致的负载能力低、检测成功率不稳定,以及特征规则库不易更新管理导致系统无法适应快速迭代的网络恶意攻击方式等问题。现有恶意流量检测技术已经无法满足日新月异的网络环境,亟需有所修正。
发明内容
发明目的:针对现有技术中存在的问题与不足,本发明提供一种自适应特征规则高精准实时恶意流量检测方法。
技术方案:一种自适应特征规则匹配的实时恶意流量检测方法,其特征在于,包括以下几个步骤:
步骤001,自适应启动;
步骤002,将重要恶意流量特征规则库载入内存;
步骤003,捕获传入网卡的数据包并预处理且缓存;
步骤004,解析捕获的数据包并与规则库进行快速匹配;
步骤005,对于符合恶意流量特征的流量进行警报记录,输出至日志,并回到步骤003开始,当一个既定周期结束时,进行下一步;
步骤006,流量特征反馈;
步骤007,返回步骤003。
本发明进一步限定的技术方案为:在步骤001启动时,根据硬件状态自适应调节启动线程数、缓存池大小,通过多线程和缓冲池的方法极大程度提供系统整体负载能力。
作为优选,所述步骤001,包含以下几个流程:
步骤101,获取主机状况,获取核心处理器,内存大小等数据;
步骤102,检测主机运行状态,一定时间区间内处理器运行及内存负载;
步骤103,根据获得的主机状况和运行负载,通过既定方式确定包含运行线程数、缓存池大小的运行配置并得到预估的负载能力;
步骤104,由获取的运行配置启动检测系统,若启动失败,则回到步骤101并报告。
作为优选,所述步骤002,包含以下几个步骤:
步骤201,检索网络上最新的规则库;
步骤202,对采集的规则库做可用性测试,若通过,进行下一步;否则回到步骤201;
步骤203,通过可用性测试的部分规则载入系统中;
作为优选,所述步骤003中,数据包的捕获采用捕获工具libpcap或afpacket。
作为优选,所述步骤004,包括以下几个步骤:
步骤401,多个线程协作解析并匹配数据包;
步骤402,根据解析的数据包与载入内存的特征规则库,使用高性能正则表达式匹配库行匹配,首先根据数据包协议,寻找协议相同的规则链;
步骤403,匹配规则头部分,若符合则进行下一步,否则回到步骤402进行下一个数据包的匹配;
步骤404,匹配规则选项部分,根据规则中的关键字逐一匹配,如果出现不相符的则回到步骤402,开始下一个数据包的匹配;
步骤405,数据包与规则所有特征都相符,则为恶意流量,将其记录。
作为优选,所述步骤005中,对于匹配结果的日志输出包含以下几个步骤:
步骤501,每个线程指定一个日志输出文件;
步骤502,将匹配结果输出至日志文件中;
步骤503,将每个线程的日志汇总、统计。
作为优选,所述步骤006中,根据捕获的恶意流量特征反馈为新的特征规则,反馈方式包含固定规则模式、机器学习方法。
作为优选,所述步骤006包含以下几个步骤:
步骤601,采集上个周期捕获的恶意流量特征样本;
步骤602,将所述的恶意流量特征和匹配结果送至学习模型中,获取恶意流量特征;
步骤603,根据获取的恶意流量特征进行自动化规则生成;
步骤604,对获取的新规则进行可用性检测,若通过则进行下一步,否则回到步骤603;
步骤605,更新已有规则库。
本发明还涉及一种自适应特征规则匹配的实时恶意流量检测系统,其特征在于,包括:
启动模块,用于收集主机状态,使得系统能够根据硬件状况自适应调节系统运行配置,提供不同程度的负载能力,并且加载规则库至内存;
数据捕获模块,用于传输至受监控网络流量的捕获和缓存;
规则匹配模块,用于解析流量数据包的特征并与特征规则库进行匹配;
输出模块,用于将匹配得到的疑似恶意流量记录并输出至日志文件中;以及,
特征反馈模块,用于对触发规则流量的特征进行统计总结并反馈生成新的特征规则。
有益效果:与现有技术相比,本发明设计了一种支持高负载运行的实时恶意流量检测工具及检测方法,其不仅支持更高速的规则匹配和简洁高效的日志报警,同时能够根据硬件状况进行负载能力的调节,根据流量状况更新管理规则库,去除冗余规则,添加更优规则等,以提供更高效的恶意流量检测服务。
附图说明
图1 为本发明实施例所处物理装置主要构成图。
图2 为本发明实施例的系统结构框图。
图3 为本发明实施例的规则匹配模块流程图。
图4 为本发明实施例的恶意流量特征反馈与规则生成模块流程图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明。
在目前主流的网络环境中,为了应对各种网络安全威胁,对网络环境做出有效防护和保障,通常会在局域网与外部网络交换时部署恶意流量入侵检测系统,通常部署在交换机设备中或者其他流量可以途径的设备,整体结构如图1。
针对目前相关技术的缺陷,本实施例提出了一种自适应特征规则匹配的实时恶意流量检测系统,如图2所示,包括:
启动模块,用于收集主机状态,使得系统能够根据硬件状况自适应调节系统运行配置,提供不同程度的负载能力,并且加载规则库至内存。
数据捕获模块,对于传输至受监控网络的流量进行捕获和缓存,直接缓存至内存中以供高速读取,提升系统整体带宽。
规则匹配模块,解析流量数据包的特征,如数据类型,流量来源、目的IP、来源IP等,并与特征规则库进行匹配。规则有固定的语法,其通常由规则头和规则选项组成,规则头包含协议、IP、端口等信息,规则选项则包含多个关键字,为了提高匹配速度,可对不同协议的流量和规则分类进行匹配,即先进行规则头的匹配,再进行规则选项的匹配,链式进行。
输出模块,将匹配得到的疑似恶意流量记录并输出至日志文件中,包括时间戳、数据包类型、数据包长度、来源以及目的IP及端口、触发的规则信息等。
特征反馈模块,根据已经捕获并且特征提取和匹配的流量,对触发规则及对应的恶意流量特征进行统计总结并反馈生成新的特征规则,总结方法包括但不限于固定规则模式、机器学习方法。
本实施例还提供了基于上述系统的自适应特征规则匹配的实时恶意流量检测方法,主要通过将流量特征与既定特征规则相匹配的方式发现恶意流量,主要包含以下几个流程:
步骤001,自适应启动,具体包括以下流程步骤:
步骤101,获取主机状况,获取核心处理器,内存大小等数据;
步骤102,检测主机运行状态,一定时间区间内处理器运行及内存负载;
步骤103,根据获得的主机状况和运行负载,通过既定方式确定运行线程数、缓存池大小等运行配置并得到预估的负载能力;
步骤104,由获取的运行配置启动检测系统,若启动失败,则回到步骤101并报告。
步骤002,将重要恶意流量特征规则库载入内存;具体步骤如下:
步骤201,检索社区网络上最新的规则库;
步骤202,对采集的规则库做可用性测试,即将其载入标准测试模型中,使用通用流量样本测试,若通过进行下一步否则回到步骤201;
步骤203,通过测试的部分规则载入系统中,并对适用不同协议的规则做分类形成多个链式结构。
步骤003,捕获传入网卡的数据包并预处理且缓存;具体步骤如下:
步骤301,通过使用主流网络数据包捕获工具库AFPACKET捕获流经的流量数据;
步骤302,对于无法实时处理的数据,将其缓存至系统启动时配置的预留内存之中;
步骤303,对数据包做必要的预处理,如提取数据包包头及内容部分特征,解析数据包之前需要进行必要的预处理过程,如IP分片的重组、协议解码、异常检测等;
步骤004,解析捕获的数据包并与规则库进行快速匹配;如图3所示,包含以下步骤:
步骤401,多个线程协作解析并匹配数据包;
步骤402,根据解析的数据包与载入内存的特征规则库,使用高性能正则表达式匹配库如HyperScan进行匹配,首先根据数据包协议,寻找协议相同的规则链;
步骤403,匹配规则头部分,即目的IP、来源IP等,若符合则进行下一步,否则回到步骤402进行下一个数据包的匹配;
步骤404,匹配规则选项部分,根据规则中的关键字逐一匹配,如果出现不相符的则回到步骤402,开始下一个数据包的匹配;
步骤405,数据包与规则所有特征都相符,则为恶意流量,将其记录。
步骤005,对于符合恶意流量特征的流量进行警报记录,输出至日志,并回到步骤003开始,当一个既定周期结束时,进行下一步;所述对于符合恶意流量特征的流量进行警报记录,输出至日志包括以下几个流程步骤:
步骤501,为每个运行线程指定一个日志输出文件;
步骤502,将每个线程各自的匹配结果输出至日志文件中;
步骤503,将每个线程的日志汇总、统计,通过前端系统展示最常出现的恶意攻击来源IP,频繁触发的规则等。
步骤006,流量特征反馈;如图4,包含以下几个流程:
步骤601,采集上个周期捕获的恶意流量特征样本和匹配结果;
步骤602,将所述恶意流量特征和匹配结果送至学习模型中,获取目标特征,其中学习模型可为固定模式规则、机器学习方式等,如通过统计攻击来源IP频率的固定模式规则,可将出现频繁的同一恶意流量来源IP定为恶意IP,将来自此IP的流量判定为可疑流量,又如可以使用半监督或无监督聚类算法对收集的恶意特征做特征提取,寻找新的更具通用性的特征;
步骤603,通过规则自动生成算法,根据获得的新的恶意特征生成新的规则;
步骤604,对获取的规则进行可用性检测,即将其载入预定的标准测试模型中,使用规则来源流量进行测试以获取测试结果,若通过则进行下一步否则回到步骤603。
步骤605,更新已有规则库并重新载入。
步骤007,开始步骤003。由此循环运行则可以使得本发明的恶意流量监测系统不断自我更新,根据网络环境自适应提升恶意流量检测能力。
本实施例提供了一种自适应特征规则匹配的实时恶意流量检测方法的思路,主要在于可自适应的规则库。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进,这些改进也应视为本发明的保护范围。
Claims (5)
1.一种自适应特征规则匹配的实时恶意流量检测方法,其特征在于,包括以下几个步骤:
步骤001,自适应启动;
步骤002,将重要恶意流量特征规则库载入内存;
步骤003,捕获传入网卡的数据包并预处理且缓存;
步骤004,解析捕获的数据包并与规则库进行快速匹配;
步骤005,对于符合恶意流量特征的流量进行警报记录,输出至日志,并回到步骤003开始,当一个既定周期结束时,进行下一步;
步骤006,流量特征反馈;
步骤007,返回步骤003;
在步骤001启动时,根据硬件状态自适应调节启动线程数、缓存池大小;所述步骤001,包含以下几个流程:
步骤101,获取主机状况,获取核心处理器,内存大小等数据;
步骤102,检测主机运行状态,一定时间区间内处理器运行及内存负载;
步骤103,根据获得的主机状况和运行负载,通过既定方式确定包含运行线程数、缓存池大小的运行配置并得到预估的负载能力;
步骤104,由获取的运行配置启动检测系统,若启动失败,则回到步骤101并报告;
所述步骤004,包括以下几个步骤:
步骤401,多个线程协作解析并匹配数据包;
步骤402,根据解析的数据包与载入内存的特征规则库,使用高性能正则表达式匹配库行匹配,首先根据数据包协议,寻找协议相同的规则链;
步骤403,匹配规则头部分,若符合则进行下一步,否则回到步骤402进行下一个数据包的匹配;
步骤404,匹配规则选项部分,根据规则中的关键字逐一匹配,如果出现不相符的则回到步骤402,开始下一个数据包的匹配;
步骤405,数据包与规则所有特征都相符,则为恶意流量,将其记录;
所述步骤006包含以下几个步骤:
步骤601,采集上个周期捕获的恶意流量特征样本;
步骤602,将所述的恶意流量特征和匹配结果送至学习模型中,获取恶意流量特征;
步骤603,根据获取的恶意流量特征进行自动化规则生成;
步骤604,对获取的新规则进行可用性检测,若通过则进行下一步,否则回到步骤603;
步骤605,更新已有规则库。
2.根据权利要求1所述的自适应特征规则匹配的实时恶意流量检测方法,其特征在于:所述步骤002,包含以下几个步骤:
步骤201,检索网络上最新的规则库;
步骤202,对采集的规则库做可用性测试,若通过,进行下一步;否则回到步骤201;
步骤203,通过可用性测试的部分规则载入系统中。
3.根据权利要求1所述的自适应特征规则匹配的实时恶意流量检测方法,其特征在于:所述步骤005中,对于匹配结果的日志输出包含以下几个步骤:
步骤501,每个线程指定一个日志输出文件;
步骤502,将匹配结果输出至日志文件中;
步骤503,将每个线程的日志汇总、统计。
4.根据权利要求1所述的自适应特征规则匹配的实时恶意流量检测方法,其特征在于:所述步骤006中,根据捕获的恶意流量特征反馈为新的特征规则,反馈方式包含固定规则模式、机器学习方法。
5.根据权利要求1所述的自适应特征规则匹配的实时恶意流量检测方法,其特征在于,该方法采用的自适应特征规则匹配的实时恶意流量检测系统包括:
启动模块,用于收集主机状态,使得系统能够根据硬件状况自适应调节系统运行配置,提供不同程度的负载能力,并且加载规则库至内存;
数据捕获模块,用于传输至受监控网络流量的捕获和缓存;
规则匹配模块,用于解析流量数据包的特征并与特征规则库进行匹配;
输出模块,用于将匹配得到的疑似恶意流量记录并输出至日志文件中;以及,
特征反馈模块,用于对触发规则流量的特征进行统计总结并反馈生成新的特征规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010918767.8A CN112104628B (zh) | 2020-09-04 | 2020-09-04 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010918767.8A CN112104628B (zh) | 2020-09-04 | 2020-09-04 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112104628A CN112104628A (zh) | 2020-12-18 |
| CN112104628B true CN112104628B (zh) | 2022-07-26 |
Family
ID=73757702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010918767.8A Active CN112104628B (zh) | 2020-09-04 | 2020-09-04 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104628B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114697068A (zh) * | 2020-12-31 | 2022-07-01 | 华为技术有限公司 | 一种恶意流量识别方法及相关装置 |
| CN115208657A (zh) * | 2022-07-11 | 2022-10-18 | 阿里云计算有限公司 | 日志安全检测方法、装置、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测系统及方法 |
| CN101789885A (zh) * | 2009-01-23 | 2010-07-28 | 英业达股份有限公司 | 网络入侵检测系统 |
| US8533308B1 (en) * | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
| CN105183625A (zh) * | 2015-08-31 | 2015-12-23 | 北京奇虎科技有限公司 | 一种日志数据处理方法和装置 |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN109408246A (zh) * | 2018-09-05 | 2019-03-01 | 江苏博智软件科技股份有限公司 | 一种工控网络自适应审计方法 |
| CN111061620A (zh) * | 2019-12-27 | 2020-04-24 | 福州林科斯拉信息技术有限公司 | 一种混合策略的服务器异常智能检测方法及检测系统 |
| KR20200066428A (ko) * | 2018-11-30 | 2020-06-10 | 주식회사 리얼타임테크 | 행위 기반 룰 처리 장치 및 그 처리 방법 |
-
2020
- 2020-09-04 CN CN202010918767.8A patent/CN112104628B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8533308B1 (en) * | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
| CN101656634A (zh) * | 2008-12-31 | 2010-02-24 | 暨南大学 | 基于IPv6网络环境的入侵检测系统及方法 |
| CN101789885A (zh) * | 2009-01-23 | 2010-07-28 | 英业达股份有限公司 | 网络入侵检测系统 |
| CN105183625A (zh) * | 2015-08-31 | 2015-12-23 | 北京奇虎科技有限公司 | 一种日志数据处理方法和装置 |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN109408246A (zh) * | 2018-09-05 | 2019-03-01 | 江苏博智软件科技股份有限公司 | 一种工控网络自适应审计方法 |
| KR20200066428A (ko) * | 2018-11-30 | 2020-06-10 | 주식회사 리얼타임테크 | 행위 기반 룰 처리 장치 및 그 처리 방법 |
| CN111061620A (zh) * | 2019-12-27 | 2020-04-24 | 福州林科斯拉信息技术有限公司 | 一种混合策略的服务器异常智能检测方法及检测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 周国华."高速网络环境下入侵检测系统的研究".《信息科技》.2008,(第01期),I139-117. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112104628A (zh) | 2020-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220368703A1 (en) | Method and device for detecting security based on machine learning in combination with rule matching | |
| US11316878B2 (en) | System and method for malware detection | |
| CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
| CN106657001B (zh) | 一种基于Netflow及DNS日志的僵尸网络检测方法 | |
| US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| Feng et al. | Feature selection for machine learning-based early detection of distributed cyber attacks | |
| CN111064678A (zh) | 基于轻量级卷积神经网络的网络流量分类方法 | |
| CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| CN112104628B (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
| CN110392013A (zh) | 一种基于网络流量分类的恶意软件识别方法、系统及电子设备 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
| KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
| CN110602109A (zh) | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| CN114268484A (zh) | 恶意加密流量检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220629 Address after: 210000 Room 518, building B1, Longgang Science Park, Hengyuan Road, Nanjing Economic and Technological Development Zone, Jiangsu Province Applicant after: Nanjing linkora Information Technology Co.,Ltd. Address before: 350000 Fuli center, Shangpu intersection, Taijiang District, Fuzhou City, Fujian Province Applicant before: Fuzhou linkosla Information Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |