CN112583832A - 一种基于dpi的应用层协议识别方法及系统 - Google Patents
一种基于dpi的应用层协议识别方法及系统 Download PDFInfo
- Publication number
- CN112583832A CN112583832A CN202011466759.0A CN202011466759A CN112583832A CN 112583832 A CN112583832 A CN 112583832A CN 202011466759 A CN202011466759 A CN 202011466759A CN 112583832 A CN112583832 A CN 112583832A
- Authority
- CN
- China
- Prior art keywords
- application
- feature
- rule
- dpi
- layer protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000001514 detection method Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 2
- 230000008676 import Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 9
- 238000007689 inspection Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 241001501944 Suricata Species 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/20—Software design
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Communication Control (AREA)
Abstract
本发明公开了一种基于DPI的应用层协议识别方法及系统,所述方法为:导入应用特征库文件,基于Hyperscan框架,将ASCII特征关键字预编译到Hyperscan框架中,同时为每个特征关键字生成唯一的从零开始的正整数ID,对应用特征库文件解析后进行应用特征预编译;导入应用规则列表文件,解析应用规则列表文件,读取每条列表,获取列表中每段应用特征结点的信息并生成规则树。本发明解决了现有应用层协议识别功能单一、不支持多特征、易出现误识别的问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于DPI的应用层协议识别方法及系统。
背景技术
当前深度数据包检测(Deep packet inspection,缩写为DPI)技术是安全领域的关键技术点之一,围绕DPI技术衍生出的安全产品类型也非常的多样。主要体现在两个方面:1、从攻击防御的角度看,Web类的安全风险正在成为目前安全风险的主流攻击形式,针对Web类应用层安全攻击的防护,依靠传统的防火墙是无法实现的,具备深度报文检测能力的IPS设备或者WAF设备开始为大家所熟知。2、从业务应用识别分析的角度看,单纯的分析报文的头字段内容无法识别该报文所承载的具体的业务类型,要想深度了解报文所承载的业务应用类型及流量大小等信息,必须要跟踪业务应用的协议交互过程,并对报文的负载payload进行深度的识别。如果用户希望网络安全设备具备针对应用层的风险防护能力且能够对互联网出口的流量应用进行精细化的管理控制,DPI技术的能很好的满足客户的需求
现有的应用层协议识别技术也有使用了DPI技术,但是功能比较单一,或是不支持多特征;或是支持但是支持不够理想,当多种协议的特征相近,特征关键字相,位置顺序不同,这些情况容易产生误识别。
发明内容
为此,本发明提供一种基于DPI的应用层协议识别方法及系统,以解决现有应用层协议识别功能单一、不支持多特征、易出现误识别的问题。
为了实现上述目的,本发明提供如下技术方案:
根据本发明的第一方面,公开了一种基于DPI的应用层协议识别方法,所述方法为:导入应用特征库文件,基于Hyperscan框架,将ASCII特征关键字预编译到Hyperscan框架中,同时为每个特征关键字生成唯一的从零开始的正整数ID,对应用特征库文件解析后进行应用特征预编译;
导入应用规则列表文件,解析应用规则列表文件,读取每条列表,获取列表中每段应用特征结点的信息并生成规则树。
进一步地,所述应用特征库文件进行解析,获取每个PATTERN的ASCII特征关键字和生成的特征ID,预编译到Hyperscan框架中,同时把PATTERN存储到可变长数组中,以ID为数组下标,便于查找。
进一步地,所述应用规则列表包括应用协议结点和应用特征结点,所述应用特征结点为规则列表的结点,包含唯一ID、唯一名称和特征关键字,所述应用协议的结点包含唯一协议号PID,等级LEVEL。
进一步地,所述应用协议结点后依次对应多个特征结点,先生成规则树根结点,再获取特征结点,将特征结点转换为PATTERN的特征ID值,通过特征ID值给数组下标进行赋值。
进一步地,所述规则树生成过程中,树由数组的方式存储,通过idx表示规则树结点在数组中的下标,通过idxs[]表示子结点的下标列表,通过PID表示应用协议号,应用规则列表中最后一个应用特征结点生成的规则树结点大于等于零时有效,为-1时则为无效。
根据本发明的第二方面,公开了一种基于DPI的应用层协议识别系统,所述系统包括:应用特征提取模块、应用特征匹配模块、应用特征检测模块和应用规则匹配模块。
进一步地,所述特征提取模块对应用特征库中的特征关键字进行提取,提取后发送至应用特征匹配模块。
进一步地,所述应用特征匹配模块命中特征关键字,回调代码逻辑,应用特征预编译后导入应用特征匹配模块。
进一步地,所述应用特征检测模块用于将DPI命中的应用特征关键字相关信息进行合法性检查。
进一步地,所述应用规则匹配根据应用特征的ID遍历规则树,识别应用层协议,应用规则预编译后生成规则树导入应用规则匹配模块,进行应用层协议输出。
本发明具有如下优点:
本发明公开了一种基于DPI的应用层协议识别方法及系统,导入特征库文件,进行应用特征解析和应用特征预编译,导入应用特征匹配模块,应用规则文件导入后进行应用规则解析和应用规则预编译,导入应用规则匹配模块;基于多特征上下文相关联的DPI应用层协议识别引擎的技术,通过检查特征匹配的合法性及扫描多叉树来关联一条流多特征匹配的先后顺序来降低误识别率。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明实施例提供的一种基于DPI的应用层协议识别方法的架构图;
图2为本发明实施例提供的应用规则列表逻辑图;
图3为本发明实施例提供的规则树生成示意图;
图4为本发明实施例提供的一种基于DPI的应用层协议识别系统流程图;
图中:1-应用特征提取模块、2-应用特征匹配模块、3-应用特征检测模块、4-应用规则匹配模块。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参考图1,本实施例公开了一种基于DPI的应用层协议识别方法,所述方法为:
导入应用特征库文件,基于Hyperscan框架,将ASCII特征关键字预编译到Hyperscan框架中,同时为每个特征关键字生成唯一的从零开始的正整数ID,对应用特征库文件解析后进行应用特征预编译,应用特征库文件进行解析,获取每个PATTERN的ASCII特征关键字和生成的特征ID,预编译到Hyperscan框架中,同时把PATTERN存储到可变长数组中,以ID为数组下标,便于查找;
导入应用规则列表文件,解析应用规则列表文件,读取每条列表,获取列表中每段应用特征结点的信息并生成规则树。
本实施例中DPI指深度数据包检测(Deep packet inspection,缩写为DPI)是一种特殊的网络技术,一般网络设备只会查看以太网头部、IP头部而不会分析TCP/UDP里面的内容这种被称为浅数据包检测;与之对应的DPI会检查TCP/UDP里面的内容,所以称为深度数据包检测。
Hyperscan是一款来自于Intel的高性能的正则表达式匹配库。它是基于X86平台以PCRE为原型而开发的,并以BSD许可开源在https://01.org/hyperscan。在支持PCRE的大部分语法的前提下,Hyperscan增加了特定的语法和工作模式来保证其在真实网络场景下的实用性。与此同时,大量高效算法及IntelSIMD*指令的使用实现了Hyperscan的高性能匹配。Hyperscan适用于部署在诸如DPI/IPS/IDS/FW等场景中,目前已经在全球多个客户网络安全方案中得到实际的应用。此外,Hyperscan还支持和开源IDS/IPS产品Snort(https://www.snort.org)和Suricata(https://suricata-ids.org)集成,使其应用更加广泛。
应用层协议指在应用层中,定义了很多面向应用的协议,应用程序通过本层协议利用网络完成数据交互的任务。这些协议主要有FTP、TFTP、QQ、百度,QQ邮箱。
PATTERN表示应用特征关键字相关信息,是用于DPI检测报文时,匹配的关键字段,在DPI启动前预编译并加载到DPI引擎中。
RULES表示协议规则列表,由一组用于识别某个具体应用层协议所需要的应用特征关键字相关信息构成。
ASCII((American Standard Code for Information Interchange):美国信息交换标准代码)是基于拉丁字母的一套电脑编码系统,主要用于显示现代英语和其他西欧语言。它是最通用的信息交换标准,并等同于国际标准ISO/IEC 646。
应用规则列表包括应用协议结点和应用特征结点,所述应用特征结点为规则列表的结点,包含唯一ID、唯一名称和特征关键字,所述应用协议的结点包含唯一协议号PID,等级LEVEL。
参考图2,应用规则列表中,以应用1为例,生成规则树的详细过程为:
S1、生成规则树根结点,结点在数组中的下标为idx:0,其子结点的下标列表idxs[]为空,即无子结点。应用协议号PID:-1,即该结点不是规则列表中最后一个应用特征结点生成的树结点。
S2、获取特征结点A,把A转换成PATTERN的特征ID值为i_a,通过i_a给S1的idxs[i_a]赋值为1,即其子结点的变长数组下标;idxs[]列表的实现可自由选择,本实施例为了简单高效用数组,数组长度是PATTERN的最大ID值。以空间换时间,找子结点是O(1)操作;生成规则树结点,结点在数组中的下标idx:1,其子结点的下标列表idxs[]为空,应用协议号PID:-1。
S3、获取特征结点B,把B转换成PATTERN的特征ID值为i_b,通过i_b给S2的idxs[i_b]赋值为2,即其子结点的变长数组下标;生成规则树结点,结点在数组中的下标idx:2,其子结点的下标列表idxs[]为空,应用协议号PID:-1。
S4、获取特征结点C,把C转换成PATTERN的特征ID值为i_c,通过i_c给S3的idxs[i_c]赋值为3,即其子结点的变长数组下标;生成规则树结点,结点在数组中的下标idx:3,其子结点的下标列表idxs[]为空,应用协议号PID:-1。
S5、获取特征结点D,把D转换成PATTERN的特征ID值为i_d,通过i_d给S4的idxs[i_d]赋值为4,即其子结点的变长数组下标;生成规则树结点,结点在数组中的下标idx:4,其子结点的下标列表idxs[]为空,应用协议号PID:100。
应用2、3、4与应用1相似,在本实施例中不再赘述。
参考图3,规则树生成过程中,树由数组的方式存储,通过idx表示规则树结点在数组中的下标,通过idxs[]表示子结点的下标列表,通过PID表示应用协议号,应用规则列表中最后一个应用特征结点生成的规则树结点大于等于零时有效,为-1时则为无效。
基于多特征上下文相关联的DPI应用层协议识别引擎的技术,通过检查特征匹配的合法性及扫描多叉树来关联一条流多特征匹配的先后顺序来降低误识别率。
实施例2
本实施例公开了一种基于DPI的应用层协议识别系统,所述系统包括:应用特征提取模块1、应用特征匹配模块2、应用特征检测模块3和应用规则匹配模块4。
上网流量进入应用特征提取模块1,对应用特征库中的特征关键字进行提取,提取后发送至应用特征匹配模块2;应用特征经过预编译后导入应用特征匹配模块2,应用特征匹配模块2命中特征关键字,回调代码逻辑;应用特征检测模块3用于将DPI命中的应用特征关键字相关信息进行合法性检查,应用规则预编译后生成规则树导入应用规则匹配模块4,应用规则匹配根据应用特征的ID遍历规则树,识别应用层协议,进行应用层协议输出。
参考图4,系统整体流程为:输入五元组session相关信息,判断session是否第一次进入DPI引擎,判定结果为是,则初始化session的idx_list列表长度为1,值为0,即规则树根在数组中的下标,再输入DPI模块;判定结果为否,则直接进入DPI模块;判断是否有应用特征ID1命中,判定结果为否则直接结束;判定结果为是,则遍历idx_list,依次获取规则树在数组中的下标idx,并通过idx得到树结点C1;在结点C1中,根据特征ID1在子结点列表中查找子结点C2;判定子结点C2是否存在,若存在,则判定子结点的PID是否等于-1,若子结点的PID不等于-1,则通过PID获取应用协议相关信息,保存C2在数组中的下标idx到idx_list中;若判定子结点的PID等于-1,则缓存C2在数组中的下标idx到idx_list_tmp列表中,接着判定是否是idx_list中的最后一个成员,判定是,则添加idx_list到idx_list_tmp中,判定为否,则再次遍历idx_list,依次获取规则树在数组中的下标idx,并通过idx得到树结点C1;当判定子结点C2不存在,则判定是否是idx_list中的最后一个成员,判定为否,则再次遍历idx_list,依次获取规则树在数组中的下标idx,并通过idx得到树结点C1;判定是,则添加idx_list到idx_list_tmp中,结束操作。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种基于DPI的应用层协议识别方法,其特征在于,所述方法为:
导入应用特征库文件,基于Hyperscan框架,将ASCII特征关键字预编译到Hyperscan框架中,同时为每个特征关键字生成唯一的从零开始的正整数ID,对应用特征库文件解析后进行应用特征预编译;
导入应用规则列表文件,解析应用规则列表文件,读取每条列表,获取列表中每段应用特征结点的信息并生成规则树。
2.如权利要求1所述的一种基于DPI的应用层协议识别方法,其特征在于,所述应用特征库文件进行解析,获取每个PATTERN的ASCII特征关键字和生成的特征ID,预编译到Hyperscan框架中,同时把PATTERN存储到可变长数组中,以ID为数组下标,便于查找。
3.如权利要求1所述的一种基于DPI的应用层协议识别方法,其特征在于,所述应用规则列表包括应用协议结点和应用特征结点,所述应用特征结点为规则列表的结点,包含唯一ID、唯一名称和特征关键字,所述应用协议的结点包含唯一协议号PID,等级LEVEL。
4.如权利要求3所述的一种基于DPI的应用层协议识别方法,其特征在于,所述应用协议结点后依次对应多个特征结点,先生成规则树根结点,再获取特征结点,将特征结点转换为PATTERN的特征ID值,通过特征ID值给数组下标进行赋值。
5.如权利要求1所述的一种基于DPI的应用层协议识别方法,其特征在于,所述规则树生成过程中,树由数组的方式存储,通过idx表示规则树结点在数组中的下标,通过idxs[]表示子结点的下标列表,通过PID表示应用协议号,应用规则列表中最后一个应用特征结点生成的规则树结点大于等于零时有效,为-1时则为无效。
6.一种基于DPI的应用层协议识别系统,其特征在于,所述系统包括:应用特征提取模块、应用特征匹配模块、应用特征检测模块和应用规则匹配模块。
7.如权利要求6所述的一种基于DPI的应用层协议识别系统,其特征在于,所述特征提取模块对应用特征库中的特征关键字进行提取,提取后发送至应用特征匹配模块。
8.如权利要求6所述的一种基于DPI的应用层协议识别系统,其特征在于,所述应用特征匹配模块命中特征关键字,回调代码逻辑,应用特征预编译后导入应用特征匹配模块。
9.如权利要求6所述的一种基于DPI的应用层协议识别系统,其特征在于,所述应用特征检测模块用于将DPI命中的应用特征关键字相关信息进行合法性检查。
10.如权利要求6所述的一种基于DPI的应用层协议识别系统,其特征在于,所述应用规则匹配根据应用特征的ID遍历规则树,识别应用层协议,应用规则预编译后生成规则树导入应用规则匹配模块,进行应用层协议输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011466759.0A CN112583832A (zh) | 2020-12-14 | 2020-12-14 | 一种基于dpi的应用层协议识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011466759.0A CN112583832A (zh) | 2020-12-14 | 2020-12-14 | 一种基于dpi的应用层协议识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112583832A true CN112583832A (zh) | 2021-03-30 |
Family
ID=75134797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011466759.0A Pending CN112583832A (zh) | 2020-12-14 | 2020-12-14 | 一种基于dpi的应用层协议识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583832A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113905411A (zh) * | 2021-10-28 | 2022-01-07 | 中国联合网络通信集团有限公司 | 深度包检测识别规则的检测方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741908A (zh) * | 2009-12-25 | 2010-06-16 | 青岛朗讯科技通讯设备有限公司 | 一种应用层协议特征的识别方法 |
| CN106209506A (zh) * | 2016-06-30 | 2016-12-07 | 瑞斯康达科技发展股份有限公司 | 一种虚拟化深度包检测流量分析方法及系统 |
| CN108900374A (zh) * | 2018-06-22 | 2018-11-27 | 网宿科技股份有限公司 | 一种应用于dpi设备的数据处理方法和装置 |
| CN109981389A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团辽宁有限公司 | 手机号码识别方法、装置、设备及介质 |
| CN110708215A (zh) * | 2019-10-10 | 2020-01-17 | 深圳市网心科技有限公司 | 深度包检测规则库生成方法、装置、网络设备及存储介质 |
| US20200259793A1 (en) * | 2015-11-17 | 2020-08-13 | Zscaler, Inc. | Stream scanner for identifying signature matches |
-
2020
- 2020-12-14 CN CN202011466759.0A patent/CN112583832A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741908A (zh) * | 2009-12-25 | 2010-06-16 | 青岛朗讯科技通讯设备有限公司 | 一种应用层协议特征的识别方法 |
| US20200259793A1 (en) * | 2015-11-17 | 2020-08-13 | Zscaler, Inc. | Stream scanner for identifying signature matches |
| CN106209506A (zh) * | 2016-06-30 | 2016-12-07 | 瑞斯康达科技发展股份有限公司 | 一种虚拟化深度包检测流量分析方法及系统 |
| CN109981389A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团辽宁有限公司 | 手机号码识别方法、装置、设备及介质 |
| CN108900374A (zh) * | 2018-06-22 | 2018-11-27 | 网宿科技股份有限公司 | 一种应用于dpi设备的数据处理方法和装置 |
| CN110708215A (zh) * | 2019-10-10 | 2020-01-17 | 深圳市网心科技有限公司 | 深度包检测规则库生成方法、装置、网络设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113905411A (zh) * | 2021-10-28 | 2022-01-07 | 中国联合网络通信集团有限公司 | 深度包检测识别规则的检测方法、装置、设备及存储介质 |
| CN113905411B (zh) * | 2021-10-28 | 2023-05-02 | 中国联合网络通信集团有限公司 | 深度包检测识别规则的检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112104677B (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
| CN1881950B (zh) | 使用频谱分析的分组分类加速 | |
| KR101868720B1 (ko) | 정규 표현식들에 대한 컴파일러 | |
| CN105162626B (zh) | 基于众核处理器的网络流量深度识别系统及识别方法 | |
| WO2012177752A1 (en) | Anchored patterns | |
| CN110213212A (zh) | 一种设备的分类方法和装置 | |
| CN110347501A (zh) | 一种业务检测方法、装置、存储介质及电子设备 | |
| CN110336789A (zh) | 基于混合学习的Domain-flux僵尸网络检测方法 | |
| Najam et al. | Speculative parallel pattern matching using stride-k DFA for deep packet inspection | |
| CN111224941A (zh) | 一种威胁类型识别方法及装置 | |
| CN113194058A (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
| Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
| CN111314379B (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
| Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
| CN116055448A (zh) | 一种电力作业的标识数据管理平台 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
| CN112583832A (zh) | 一种基于dpi的应用层协议识别方法及系统 | |
| US20220006782A1 (en) | Efficient matching of feature-rich security policy with dynamic content using user group matching | |
| CN114598499A (zh) | 结合业务应用的网络风险行为分析方法 | |
| CN108199878B (zh) | 高性能ip网络中个人标识信息识别系统及方法 | |
| CN111291078B (zh) | 一种域名匹配检测方法及装置 | |
| CN112073364A (zh) | 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质 | |
| KR101648033B1 (ko) | 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치 | |
| CN115632893A (zh) | 一种蜜罐生成方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210330 |