CN112637224A - 一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 - Google Patents
一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN112637224A CN112637224A CN202011574807.8A CN202011574807A CN112637224A CN 112637224 A CN112637224 A CN 112637224A CN 202011574807 A CN202011574807 A CN 202011574807A CN 112637224 A CN112637224 A CN 112637224A
- Authority
- CN
- China
- Prior art keywords
- flow
- autonomous system
- subspace
- entropy
- matrix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,本发明首先统计某一时间段的自治系统的流量大小并判断是否超出预测流量,其次通过主成分分析法对这一自治系统内的边缘路由器的熵值构建子空间,并以此来区分正常和异常的网络流量,最后计算出异常流量相对熵,从而判断此自治系统是否发生DDoS攻击。本发明对于检测某一自治系统区域内的DDoS攻击检测具有重大意义。
Description
技术领域
本发明涉及网络安全中的DDoS攻击检测领域,尤其涉及一种自治系统内基于子空间和相对熵的DDoS攻击检测方法。
背景技术
随着人工智能和5G技术的相继到来,网络数据量出现几何式爆炸增长,随之而来的网络安全问题也愈发严峻,多样化的攻击方式使网络的安全性能遭受不小的挑战。在网络安全威胁中,分布式拒绝服务攻击(DDoS,distributed denial-of-service)作为最常见和最主要的攻击方式,已然成为互联网的公敌。DDoS攻击主要表现为流量攻击和资源耗尽攻击。流量攻击是专门对网络带宽的一种攻击,通过发送大量无效数据包挤爆带宽使正常数据包无法正常送达,导致主机拒绝服务。资源耗尽攻击是对服务器的一种攻击,通过占用服务器内存或让服务器一直处于等待响应的状态,最终实现服务器无法正常提供服务。发起DDoS攻击的成本较低,且破坏能力较大,攻击者可以在短时间内发起规模巨大的DDoS攻击,并且难以防御。而且许多DDoS流量会模拟正常流量的请求,从大量的网络流量中发现并识别出DDoS的流量,是一项必要而又繁琐的工作。
现有的DDoS攻击检测方法有很多,大致可以分为基于统计方法、基于传统机器学习算法、基于深度学习、基于知识方法以及以上两种方法的混合方法。这些方案针对某一链路或者某一网络设备具有较好的检测效果,但是针对某一区域或某一自治系统来说,还没有较好的整体防御DDoS攻击检测的方法。
发明内容
本发明为克服上述的不足之处,目的在于提供一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,本发明首先统计某一时间段的自治系统的流量大小并判断是否超出预测流量,其次通过主成分分析法对这一自治系统内的边缘路由器的熵值构建子空间,并以此来区分正常和异常的网络流量,最后计算出异常流量相对熵,从而判断此自治系统是否发生DDoS攻击。本发明对于检测某一自治系统区域内的DDoS攻击检测具有重大意义。
本发明是通过以下技术方案达到上述目的:一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,包括如下步骤:
(1)定时采集自治系统内的流量数据,并统计一段时间内该自治系统的流量大小,预测当前时间段内该自治系统的流量大小,将预测流量作为当前时间段内的阈值,并与实际流量相比,若超出阈值,则此自治系统标记为可疑自治系统;
(2)依据信息熵的概念,对可疑自治系统中的各边缘路由器选取源IP地址、目的IP地址两个特征,分别计算信息熵;
(3)将各边缘路由器源IP地址、目的IP地址的信息熵按时间序列组成一个矩阵,通过主成分分析法构建子空间,并以此来区分正常和异常的网络流量;
(4)将异常流量与之前时间段内的信息熵差值得出相对熵,通过设置相对应的检测阈值来判断是否属于DDoS攻击流量。
作为优选,所述步骤(1)具体如下:
(1.1)定时采集自治系统内的流量数据,并统计一段时间内该自治系统的流量大小,按下列公式计算前n个时间段内流量的均值:
(1.2)由于当前时间段内的流量大小与前几个时间段内的流量大小相关联,利用如下公式计算预测当前时间段内的流量:
其中,α取值为[0,1],α越接近于0,预测流量与实际流量越接近;
(1.3)当发生洪泛式DDoS攻击时,自治系统中的流量会迅速增大,以此来初步判断是否发生了DDoS攻击;若出现Tt值大于所预测的ETt阈值,则将这一段时间内的流量标记为疑似DDoS攻击流量。
作为优选,所述步骤(2)具体为:两个特征的信息熵计算过程相似,以计算目的IP地址特征的信息熵为例:统计一段时间t内目的IP地址数据包的总数,记为S,N表示不同IP地址数量,ni则表示同一IP地址出现的次数。根据信息熵的计算公式,计算某一目的IP地址的熵值E:
作为优选,所述步骤(3)具体如下:
(3.1)采用E(scrIP)、E(dstIP)分别表示源IP地址和目的IP地址矩阵,该矩阵是一个t×p的数据矩阵,其中列表示同一流在不同时间段t时的信息熵,行表示同一时间段内不同流的信息熵;通过对E(scrIP)、E(dstIP)两个数据矩阵并排排列组成一个新的合并矩阵H,其大小为t×2p,如下所示:
其中前p列表示源IP地址的熵子矩阵,后p列表示目的IP地址的熵子矩阵,E(p,t)代表边缘路由器p在时间段t内源IP地址所对应的信息熵;
(3.2)由于矩阵H中的列向量具有相关性,采用主成分分析法对合并矩阵进行处理;
(3.3)对多维度的变量进行处理,计算各维度两两之间的协方差,协方差的绝对值大小与两两变量之间的相互影响成正相关趋势;计算后的协方差组成了矩阵C,如下所示:
根据矩阵特征值和特征向量的概念,协方差矩阵C对应的值为:
其中,2p阶矩阵特征值有2p个,将这些特征值按照从大到小的顺序排列;第一主成分是单个轴上尽可能最大程度地捕获数据的方差,下一主成分则是捕获各自其余正交方向中的最大方差,以此类推;选择最大的前k个特征值,其相对应的k个特征向量 代表着是k个主轴的方向;
上面的等式表明,当用加权时,边缘路由器所有的熵值都转换为一维的数据;因此,矢量捕获整个自治系统边缘路由器熵值沿着主轴i的时间变化;根据最大方差理论,方差越大,所包含的信息量就越大;由于各主轴中总方差大小是有序的,捕获自治系统边缘路由器熵的方差最大,捕获的方差其次,以此类推;由于主轴的存在,子空间方法可以将其分成两组,分别对应流量的正常和异常变化;其中使用一种基于阈值的分离方法,具体为:首先按顺序检查每个主轴上的投影,一旦发现投影的值超过阈值,该主轴标记为异常部分,并将后续的主轴都分配给异常子空间;其次,将所有先前的主轴分配给正常子空间;将自治系统内所有可能的边缘路由器信息熵值的空间分成子空间Snor和Sano之后,将各边缘路由器信息熵值分解成正常分量和异常分量。
作为优选,所述步骤(3.2)具体为首先对矩阵进行数据中心化,使每一列的数据之和的平均值为零,即每列字段减去每一列数据的平均值,得到当使用平均值为零的数据时,每个主成分都具有指向数据中最大方差向量的属性。
作为优选,所述步骤(3.4)具体如下:
其中矩阵Cnor=PPT表示投影到正常子空间Snor上的线性操作,同理,Cano=E-PPT表示投影到异常子空间Sano上的线性操作;
并且
其中λj是将数据投影到第j个主轴上捕获的方差,而cα是标准正态分布的1-α分位点;
作为优选,所述步骤(4)具体如下:
(4.1)采用如下公式计算异常流量的相对熵:
其中,L(x)、M(x)分别代表当前时间段内、上一个时间段内通过边缘路由器的数据包中目的IP地址数量占总目的IP地址数量的概率;(4.2)当发生DDoS攻击时,源IP地址的相对熵KL会急剧变小,目的IP地址的相对熵KL会急剧变大,基于这两特征,最终确定此路由器是否发生DDoS攻击。
本发明的有益效果在于:本发明可实现对某一区域或某一自治系统中的整体防御DDoS攻击检测,本发明对于检测某一自治系统区域内的DDoS攻击检测具有重大意义。
附图说明
图1是本发明的方法流程示意图;
图2是本发明实施例的自治系统架构示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此:
实施例:如图1所示,本发明主要分为三个部分,第一部分统计和预测当前时间段该自治系统的流量大小,第二部分通过主成分分析法构建子空间,并以此来区分正常和异常的网络流量,第三个部分计算异常的相对熵,通过设置相对应的检测阈值来判断是否属于DDoS攻击流量,包括如下步骤:
步骤1:每隔10秒统计某个自治系统的流量大小,并预测当前时间段该自治系统的流量大小,将预测流量作为当前时间段内的阈值,与实际流量相比,若超出阈值,则此自治系统标记为可疑自治系统。
步骤1.1:自治系统的实际流量的大小,并按下列公式计算前3个时间段(前30秒)内流量的均值:
步骤1.2:利用如下公式计算预测当前时间段内的流量:
其中,为了让预测流量与最近时间段的实际流量更接近,α取值为0.9,δ取值为0.9。
步骤1.3:当发生洪泛式DDoS攻击时,自治系统中的流量会迅速增大,以此来初步判断是否发生了DDoS攻击。若出现Tt值大于所预测的ETt阈值,则将这一段时间内的流量标记为疑似DDoS攻击流量。
步骤2:对可疑自治系统中的各边缘路由器选取源IP地址、目的IP地址两个特征计算信息熵,两个特征的信息熵计算过程相似,以目的IP地址为例,统计10秒内,目的IP地址数据包的总数,记为S,N表示不同IP地址数量,ni则表示同一IP地址出现的次数。根据信息熵的计算公式,计算某一目的IP地址的熵值E:
步骤3:将各边缘路由器源IP地址、目的IP地址的信息熵按时间序列组成一个矩阵,通过主成分分析法构建子空间,并以此来区分正常和异常的网络流量;
步骤3.1:如图2所示,自治系统内有5个边缘路由器,用E(scrIP)、E(dstIP)分别表示源IP地址和目的IP地址在100秒(每隔10秒)时间内的矩阵。通过对E(scrIP)、E(dstIP)两个数据矩阵并排排列组成一个新的合并矩阵H,其大小为t×2p,如下所示:
其中前5列表示源IP地址的熵子矩阵,后5列表示目的IP地址的熵子矩阵,E(p,t)代表边缘路由器p在时间段t内源IP地址所对应的信息熵。
步骤3.2:矩阵H中的列向量具有相关性,因此可以使用主成分分析法对合并矩阵进行处理。首先要对矩阵进行数据中心化,使每一列的数据之和的平均值为零,即每列字段减去每一列数据的平均值,得到当使用平均值为零的数据时,每个主成分都具有指向数据中最大方差向量的属性。
步骤3.3:对多维度的变量进行处理,首先计算各维度两两之间的协方差,协方差的绝对值大小与两变量之间的相互影响成正相关趋势。计算后的协方差组成了矩阵C,如下所示:
根据矩阵特征值和特征向量的概念,求协方差矩阵C的对应的值:
其中,10阶矩阵特征值一定有10个,将这些特征值按照从大到小的顺序排列。第一主成分是单个轴上尽可能最大程度地捕获数据的方差,下一主成分则是捕获各自其余正交方向中的最大方差,以此类推。选择最大的前k个特征值,其相对应的k个特征向量 代表着是k个主轴的方向。
上面的等式表明,当用加权时,边缘路由所有的熵值都生成为转换为一维的数据。因此,矢量捕获整个自治系统边缘路由器熵值沿着主轴i的时间变化。根据最大方差理论,方差越大,所包含的信息量就越大。由于各主轴中总方差大小是有序的,捕获自治系统边缘路由器熵的方差最大,捕获的方差其次,以此类推。由于主轴的存在,子空间方法可以将其分成两组,分别对应流量的正常和异常变化。使用一种简单的基于阈值的分离方法。具体来说,首先按顺序检查每个主轴上的投影,一旦发现投影的值超过阈值(例如,与平均值有3σ偏差),该主轴标记为异常部分,并将后续的主轴都分配给异常子空间。其次,将所有先前的主轴分配给正常子空间。将自治系统内所有可能的边缘路由器信息熵值的空间分成子空间Snor和Sano之后,就可以将各边缘路由器信息熵值分解成正常分量和异常分量。
其中矩阵Cnor=PPT表示投影到正常子空间Snor上的线性操作,同理,Cano=E-PPT表示投影到异常子空间Sano上的线性操作。
并且
其中λj是通过将数据投影到第j个主轴上捕获的方差,而cα是标准正态分布的1-α分位点。
步骤4:将异常流量与之前时间段内的信息熵对比得出相对熵,通过设置相对应的检测阈值来判断是否属于DDoS攻击流量。
步骤4.1:使用下列公式计算异常流量的相对熵:
其中,L(x)、M(x)分别代表当前时间段内、上一个时间段内通过边缘路由器的包中目的IP地址数量占总目的IP地址数量的概率。
步骤4.2:当发生DDoS攻击时,源IP地址的相对熵KL会急剧变小,目的IP地址的相对熵KL会急剧变大,基于这两特征,最终确定此路由器是否发生DDoS攻击。
以上的所述乃是本发明的具体实施例及所运用的技术原理,若依本发明的构想所作的改变,其所产生的功能作用仍未超出说明书及附图所涵盖的精神时,仍应属本发明的保护范围。
Claims (7)
1.一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,其特征在于,包括如下步骤:
(1)定时采集自治系统内的流量数据,并统计一段时间内该自治系统的流量大小,预测当前时间段内该自治系统的流量大小,将预测流量作为当前时间段内的阈值,并与实际流量相比,若超出阈值,则此自治系统标记为可疑自治系统;
(2)依据信息熵的概念,对可疑自治系统中的各边缘路由器选取源IP地址、目的IP地址两个特征,分别计算信息熵;
(3)将各边缘路由器源IP地址、目的IP地址的信息熵按时间序列组成一个矩阵,通过主成分分析法构建子空间,并以此来区分正常和异常的网络流量;
(4)将异常流量与之前时间段内的信息熵差值得出相对熵,通过设置相对应的检测阈值来判断是否属于DDoS攻击流量。
2.根据权利要求1所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,其特征在于:所述步骤(1)具体如下:
(1.1)定时采集自治系统内的流量数据,并统计一段时间内该自治系统的流量大小,按下列公式计算前n个时间段内流量的均值:
(1.2)由于当前时间段内的流量大小与前几个时间段内的流量大小相关联,利用如下公式计算预测当前时间段内的流量:
其中,α取值为[0,1],α越接近于0,预测流量与实际流量越接近;
(1.3)当发生洪泛式DDoS攻击时,自治系统中的流量会迅速增大,以此来初步判断是否发生了DDoS攻击;若出现Tt值大于所预测的ETt阈值,则将这一段时间内的流量标记为疑似DDoS攻击流量。
4.根据权利要求1所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,其特征在于:所述步骤(3)具体如下:
(3.1)采用E(scrIP)、E(dstIP)分别表示源IP地址和目的IP地址矩阵,该矩阵是一个t×p的数据矩阵,其中列表示同一流在不同时间段t时的信息熵,行表示同一时间段内不同流的信息熵;通过对E(scrIP)、E(dstIP)两个数据矩阵并排排列组成一个新的合并矩阵H,其大小为t×2p,如下所示:
其中前p列表示源IP地址的熵子矩阵,后p列表示目的IP地址的熵子矩阵,E(p,t)代表边缘路由器p在时间段t内源IP地址所对应的信息熵;
(3.2)由于矩阵H中的列向量具有相关性,采用主成分分析法对合并矩阵进行处理;
(3.3)对多维度的变量进行处理,计算各维度两两之间的协方差,协方差的绝对值大小与两两变量之间的相互影响成正相关趋势;计算后的协方差组成了矩阵C,如下所示:
根据矩阵特征值和特征向量的概念,协方差矩阵C对应的值为:
其中,2p阶矩阵特征值有2p个,将这些特征值按照从大到小的顺序排列;第一主成分是单个轴上尽可能最大程度地捕获数据的方差,下一主成分则是捕获各自其余正交方向中的最大方差,以此类推;选择最大的前k个特征值,其相对应的k个特征向量 代表着是k个主轴的方向;
上面的等式表明,当用加权时,边缘路由器所有的熵值都转换为一维的数据;因此,矢量捕获整个自治系统边缘路由器熵值沿着主轴i的时间变化;根据最大方差理论,方差越大,所包含的信息量就越大;由于各主轴中总方差大小是有序的,捕获自治系统边缘路由器熵的方差最大,捕获的方差其次,以此类推;由于主轴的存在,子空间方法可以将其分成两组,分别对应流量的正常和异常变化;其中使用一种基于阈值的分离方法,具体为:首先按顺序检查每个主轴上的投影,一旦发现投影的值超过阈值,该主轴标记为异常部分,并将后续的主轴都分配给异常子空间;其次,将所有先前的主轴分配给正常子空间;将自治系统内所有可能的边缘路由器信息熵值的空间分成子空间Snor和Sano之后,将各边缘路由器信息熵值分解成正常分量和异常分量。
6.根据权利要求4所述的一种自治系统内基于子空间和相对熵的DDoS攻击检测方法,其特征在于:所述步骤(3.4)具体如下:
其中矩阵Cnor=PPT表示投影到正常子空间Snor上的线性操作,同理,Cano=E-PPT表示投影到异常子空间Sano上的线性操作;
并且
其中λj是将数据投影到第j个主轴上捕获的方差,而cα是标准正态分布的1-α分位点;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011574807.8A CN112637224B (zh) | 2020-12-28 | 2020-12-28 | 一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011574807.8A CN112637224B (zh) | 2020-12-28 | 2020-12-28 | 一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112637224A true CN112637224A (zh) | 2021-04-09 |
CN112637224B CN112637224B (zh) | 2022-11-15 |
Family
ID=75325803
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011574807.8A Active CN112637224B (zh) | 2020-12-28 | 2020-12-28 | 一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637224B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422766A (zh) * | 2021-06-18 | 2021-09-21 | 北京理工大学 | 一种DDoS攻击下的网络系统安全风险评估方法 |
CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN103530823A (zh) * | 2013-10-25 | 2014-01-22 | 湖南大学 | 基于otfn-ahp的微电网规划设计综合评价体系 |
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN104502795A (zh) * | 2014-11-26 | 2015-04-08 | 国家电网公司 | 一种适用于微电网的智能故障诊断方法 |
CN104537684A (zh) * | 2014-06-17 | 2015-04-22 | 浙江立元通信技术股份有限公司 | 一种静态场景中的实时运动目标提取方法 |
CN104933417A (zh) * | 2015-06-26 | 2015-09-23 | 苏州大学 | 一种基于稀疏时空特征的行为识别方法 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
US20170085585A1 (en) * | 2015-09-23 | 2017-03-23 | AVAST Software s.r.o. | Detection of malware in derived pattern space |
CN107231348A (zh) * | 2017-05-17 | 2017-10-03 | 桂林电子科技大学 | 一种基于相对熵理论的网络流量异常检测方法 |
CN110398722A (zh) * | 2019-07-23 | 2019-11-01 | 南京航空航天大学 | 基于随机矩阵有限谱的扩展目标回波检测方法 |
CN111787860A (zh) * | 2018-12-21 | 2020-10-16 | 尼罗特兰德股份公司 | 存储多媒体消息的测量方法 |
US20200382528A1 (en) * | 2019-05-27 | 2020-12-03 | Industry-Academic Cooperation Foundation, Chosun University | Apparatus for detecting in-vehicle external data intrusion by comparing multiple information entropy and operating method thereof |
-
2020
- 2020-12-28 CN CN202011574807.8A patent/CN112637224B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN103530823A (zh) * | 2013-10-25 | 2014-01-22 | 湖南大学 | 基于otfn-ahp的微电网规划设计综合评价体系 |
CN104537684A (zh) * | 2014-06-17 | 2015-04-22 | 浙江立元通信技术股份有限公司 | 一种静态场景中的实时运动目标提取方法 |
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN104502795A (zh) * | 2014-11-26 | 2015-04-08 | 国家电网公司 | 一种适用于微电网的智能故障诊断方法 |
CN104933417A (zh) * | 2015-06-26 | 2015-09-23 | 苏州大学 | 一种基于稀疏时空特征的行为识别方法 |
US20170085585A1 (en) * | 2015-09-23 | 2017-03-23 | AVAST Software s.r.o. | Detection of malware in derived pattern space |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
CN107231348A (zh) * | 2017-05-17 | 2017-10-03 | 桂林电子科技大学 | 一种基于相对熵理论的网络流量异常检测方法 |
CN111787860A (zh) * | 2018-12-21 | 2020-10-16 | 尼罗特兰德股份公司 | 存储多媒体消息的测量方法 |
US20200382528A1 (en) * | 2019-05-27 | 2020-12-03 | Industry-Academic Cooperation Foundation, Chosun University | Apparatus for detecting in-vehicle external data intrusion by comparing multiple information entropy and operating method thereof |
CN110398722A (zh) * | 2019-07-23 | 2019-11-01 | 南京航空航天大学 | 基于随机矩阵有限谱的扩展目标回波检测方法 |
Non-Patent Citations (2)
Title |
---|
MAO KEJI: "Area Division Based Semi-auto DV-Hop Localization algorithm in IEEGS", 《2011 EIGHTH INTERNATIONAL CONFERENCE ON FUZZY SYSTEMS AND KNOWLEDGE DISCOVERY》 * |
宋洪涛等: "基于信息熵的分布式拒绝服务攻击协同检测系统的设计与实现", 《小型微型计算机系统》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422766A (zh) * | 2021-06-18 | 2021-09-21 | 北京理工大学 | 一种DDoS攻击下的网络系统安全风险评估方法 |
CN113422766B (zh) * | 2021-06-18 | 2022-08-23 | 北京理工大学 | 一种DDoS攻击下的网络系统安全风险评估方法 |
CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
CN114338206B (zh) * | 2021-12-31 | 2024-05-07 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112637224B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11848950B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
CN112637224B (zh) | 一种自治系统内基于子空间和相对熵的DDoS攻击检测方法 | |
US20100071061A1 (en) | Method and Apparatus for Whole-Network Anomaly Diagnosis and Method to Detect and Classify Network Anomalies Using Traffic Feature Distributions | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN108092989B (zh) | 一种基于智能蜂群算法的DDoS攻击检测方法 | |
CN111262849A (zh) | 一种基于流表信息的网络异常流量行为识别阻断的方法 | |
CN112788007A (zh) | 基于卷积神经网络的DDoS攻击检测方法 | |
Buragohain et al. | Anomaly based DDoS attack detection | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN113872962B (zh) | 一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法 | |
CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
CN113630420A (zh) | 一种基于SDN的DDoS攻击检测方法 | |
Fries | Classification of network traffic using fuzzy clustering for network security | |
Yu et al. | Design of DDoS attack detection system based on intelligent bee colony algorithm | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
CN109474593B (zh) | 一种识别c&c周期性回连行为的方法 | |
CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
CN110611636B (zh) | 一种基于大数据算法的失陷主机检测方法 | |
Hooper | An intelligent intrusion detection and response system using hybrid ward hierarchical clustering analysis | |
CN112153004B (zh) | 一种SDN环境下基于子网温度的DDoS攻击检测方法 | |
CN110689074A (zh) | 一种基于模糊集特征熵值计算的特征选择方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |