CN112751869A - 基于滑动窗口群的网络异常流量检测方法及装置 - Google Patents

基于滑动窗口群的网络异常流量检测方法及装置 Download PDF

Info

Publication number
CN112751869A
CN112751869A CN202011624472.6A CN202011624472A CN112751869A CN 112751869 A CN112751869 A CN 112751869A CN 202011624472 A CN202011624472 A CN 202011624472A CN 112751869 A CN112751869 A CN 112751869A
Authority
CN
China
Prior art keywords
network
time
sliding
window
sliding window
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011624472.6A
Other languages
English (en)
Other versions
CN112751869B (zh
Inventor
熊达鹏
王宇
朱诗兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Original Assignee
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peoples Liberation Army Strategic Support Force Aerospace Engineering University filed Critical Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority to CN202011624472.6A priority Critical patent/CN112751869B/zh
Publication of CN112751869A publication Critical patent/CN112751869A/zh
Application granted granted Critical
Publication of CN112751869B publication Critical patent/CN112751869B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Operations Research (AREA)
  • Evolutionary Biology (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于滑动窗口群的网络异常流量检测方法及装置,采集检测时间段TZ内的网络流量数据,将所述网络流量数据按照时序切割成多个数据单元,所述每个数据单元与1个基本时间窗口相对应,各个基本时间窗口的时间长度T0相同;将基本时间窗口划分成多个类型,数据单元相应划分为多个类型;计算每个所述数据单元的网络流量特征值;设置多个滑动时间窗口;针对检测时间段TZ内的网络流量数据,将所述多个滑动时间窗口同步按时序进行滑动;计算各滑动窗口内网络流量特征值,进行网络异常流量检测。本发明能够有效检测时空分布碎片化的异常网络流量。

Description

基于滑动窗口群的网络异常流量检测方法及装置
技术领域
本发明涉及一种基于滑动窗口群的网络异常流量检测方法及装置。
背景技术
在现有的安全防护体系中,主要包括防火墙系统、防病毒系统、入侵检测系统和安全审计系统等。这些系统构建了较好的安全基础,但是,这样的安全防御体系只是构建了基础的安全架构,实现了被动的攻击响应,并不能应对高级持续性威胁(APT,AdvancedPersist Threat),整个网络信息系统检测攻击、响应攻击的能力存在不足。APT攻击是一种高级的持续性的威胁攻击,也称为定向威胁攻击,它是由某些组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,时间跨度非常大,通过受感染的移动介质、供应链和社会工程学等多种手段实施先进的、持久的、隐蔽的威胁和攻击。
当攻击者成功进入目标系统后,通常采取隐藏策略进入休眠状态,待时机成熟时,才利用时间间隙与外部服务器进行信息交互。这种交互具有碎片化的特点,交互信息在较大的时空范围内展开,从而使得基于单点时间或短时间窗口的实时检测技术,以及基于网络会话的检测技术均难以成功检测出APT攻击。
APT攻击的主要目的包括两个方面,一是获取高价值机密信息,另一方面是占用或破坏目标资产。由于攻击目标的高度敏感性,APT攻击不同于一般的病毒和木马攻击,其攻击过程通常包括以下七个步骤:定向情报收集、攻击载荷部署、渗透入侵、命令与控制信道建立与通信、横向移动、数据回传和撤出。
通过分析APT攻击的目标和过程,可以看到APT攻击具有以下特点:
高危性:APT攻击主要针对高价值的资产,或者高敏感性的资产,涉及政府、企业等核心关键组织,以及金融、能源、军工等国计民生的重要领域。
隐蔽性:攻击者利用社会工程学、系统漏洞等高级技术手段对目标资产发起攻击,能够逃避安全防护系统的检测,以隐蔽方式侵入目标资产。
持续性:攻击者渗透进入目标资产后,通过安插后门、植入代码等技术手段驻留在目标资产中,从而达到长期控制目标资产的目的。
扩散性:攻击者在目标资产中长期潜伏,能够不断寻找时机,逐步扩大攻击和渗透范围,对目标资产形成广泛而深入的威胁。
与本发明最相关的现有技术是发明名称为“一种网络流量异常检测方法及系统”专利(申请号:CN201010619810.7),该专利设计了一个单一的滑动窗口,并统计窗口内的比特速率和流速率,根据比特速率和流速率的统计值建立流量模型。进行检测时,将窗口在网络流量数据上按时间方向滑动,当检测到窗口内的比特速率或流速率异常时,确定异常网络流量。
为了达到隐蔽攻击的目的,APT攻击行为会在数月甚至数年内展开,使得攻击行为在时间上碎片化;另外,当实施具体的攻击步骤时,也会尽量在不同的终端或服务器上进行,以期在空间上将攻击行为碎片化。因此,需要发明新的网络攻击检测手段,以应对APT等定向网络攻击行为时空碎片化所带来的挑战。分析APT的攻击过程可以发现,在攻击的渗透入侵阶段、命令与控制信道建立与通信阶段、横向移动阶段和数据回传等阶段,主要依靠计算机网络完成信息交互、数据分发与汇聚等操作。
APT攻击中的异常流量包括汇聚流量、发散流量、渗透流量和节点间分散时间流量等几种形式。对于汇聚流量和发散流量,如果网络流量发生在一个较为集中的时间段,凭借单一的时间窗口能够对这些异常流量进行检测,如果这些网络流量分散在一个较长的时间范围内,凭借单一的时间窗口很难对这些异常流量进行检测;对于渗透流量和节点间分散时间流量,这些流量分散在较大的时间和空间范围内,凭借单一的时间窗口难以对这些异常流量进行检测。
发明内容
本发明的发明目的在于提供基于滑动窗口群的网络异常流量检测方法及装置,能够有效检测时空分布碎片化的异常网络流量。
基于同一发明构思,本发明具有两个独立的技术方案:
1、一种基于滑动窗口群的网络异常流量检测方法,包括如下步骤:
步骤1:采集检测时间段TZ内的网络流量数据,将所述网络流量数据按照时序切割成多个数据单元,所述每个数据单元与1个基本时间窗口相对应,各个基本时间窗口的时间长度T0相同;将基本时间窗口划分成多个类型,数据单元相应划分为多个类型;
步骤2:计算每个所述数据单元的网络流量特征值;
步骤3:设置多个滑动时间窗口,所述滑动时间窗口时间长度TH为所述基本时间窗口时间长度T0的整数倍,所述滑动时间窗口之间的间距为所述基本时间窗口时间长度T0的整数倍;
步骤4:针对检测时间段TZ内的网络流量数据,将所述多个滑动时间窗口同步按时序进行滑动,滑动的步长为基本时间窗口时间长度T0
步骤5:计算各滑动窗口内网络流量特征值,进行网络异常流量检测。
进一步地,步骤1中,基本时间窗口的时间长度T0为0.5小时、1小时、1.5小时或2小时。
进一步地,步骤2中,所述网络流量特征值包括收发流量值、收发数据包数量、网络连接的出入度。
进一步地,步骤2中,所述网络流量特征值的采集范围包括网络终端节点之间的网络流量特征、网络终端节点之间会话的网络流量特征。
进一步地,步骤3中,各滑动时间窗口之间的间距相同,所述间距为基本时间窗口时间长度T0的整数倍。
进一步地,步骤4中,将所述多个滑动时间窗口同步按时序进行滑动,直至滑动时间窗口超出检测时间段TZ
进一步地,步骤5中,计算各滑动窗口内网络流量特征值时,将各滑动窗口内相同类型数据单元的网络流量特征值进行累加。
进一步地,步骤5中,计算滑动窗口内网络流量特征值的置信区间,当滑动窗口内网络流量特征值超出所述置信区间时,判断出现网络异常流量。
2、一种基于滑动窗口群的网络异常流量检测装置,用于执行上述方法。
本发明具有的有益效果:
本发明设置滑动时间窗口群(多个滑动时间窗口),计算滑动窗口内网络流量特征值,进行网络异常流量检测。本发明将不同时间上的网络流量特征值同时提取出来,解决了异常网络流量在时间上碎片化分布的问题,通过将不同节点之间,以及相同网络会话的网络流量特征值进行累加,解决了异常网络流量在空间上碎片化分布的检测问题。
本发明基本时间窗口的时间长度T0为0.5小时、1小时、1.5小时或2小时;各滑动时间窗口之间的间距相同,所述间距为基本时间窗口时间长度T0的整数倍。本发明通过对基本时间窗口的时间长度T0、各滑动时间窗口之间的间距有效选取,进一步保证对网络异常流量检测的准确性。
本发明网络流量特征值包括收发流量值、收发数据包数量、网络连接的出入度;所述网络流量特征值的采集范围包括网络终端节点之间的网络流量特征、网络终端节点之间会话的网络流量特征。本发明通过对网络流量特征值类别、采集范围的选取,进一步保证对网络异常流量检测的准确性。
本发明计算各滑动窗口内网络流量特征值时,将各滑动窗口内相同类型数据单元的网络流量特征值进行累加;计算滑动窗口内网络流量特征值的置信区间,当滑动窗口内网络流量特征值超出所述置信区间时,判断出现网络异常流量。各滑动窗口内相同类型数据单元的网络流量特征值进行累加的置信区间小于各数据单元网络流量特征值置信区间之和,从而增加微弱信号的统计显著性,有助于时空分布碎片化的异常网络流量的检测。
附图说明
图1是网络流量数据被切割成多个数据单元的示意图;
图2是本发明滑动窗口群的示意图;
图3是本发明基于滑动窗口群检测的示意图。
具体实施方式
下面结合附图所示的实施方式对本发明进行详细说明,但应当说明的是,这些实施方式并非对本发明的限制,本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代,均属于本发明的保护范围之内。
实施例一:
基于滑动窗口群的网络异常流量检测方法
包括:
步骤1:采集检测时间段TZ内的网络流量数据,将所述网络流量数据按照时序切割成多个数据单元,所述每个数据单元与1个基本时间窗口相对应,各个基本时间窗口的时间长度T0相同。将基本时间窗口划分成多个类型,数据单元相应划分为多个类型。
如图1所示,基本时间窗口的时间长度T0为0.5小时、1小时、1.5小时或2小时。本实施例中,T0为1小时。
根据实际需要,对基本时间窗口添加多种类型的标签,如时间段标签9时、10时,时间窗口特征标签工作时间、非工作时间等,从而将时间窗口分为若干类型,相应地,数据单元划分为多个类型。
步骤2:计算每个所述数据单元的网络流量特征值。
所述网络流量特征值包括收发流量值、收发数据包数量、网络连接的出入度;所述网络流量特征值的采集范围包括网络终端节点之间的网络流量特征、网络终端节点之间会话(以IP地址和端口进行标记)的网络流量特征。
步骤3:设置多个滑动时间窗口,所述滑动时间窗口时间长度TH为所述基本时间窗口时间长度T0的整数倍,所述滑动时间窗口之间的间距为所述基本时间窗口时间长度T0的整数倍。
如图2所示,各滑动时间窗口之间的间距相同,所述间距为基本时间窗口时间长度T0的整数倍。本实施例中,采用4个滑动窗口,滑动窗口间距S为6T0,滑动时间窗口时间长度TH为3T0
步骤4:针对检测时间段TZ内的网络流量数据,将所述多个滑动时间窗口同步按时序进行滑动,滑动的步长为基本时间窗口时间长度T0。
如图3所示,将所述多个滑动时间窗口同步按时序进行滑动,直至有滑动时间窗口超出检测时间段TZ
步骤5:计算各滑动窗口内网络流量特征值,进行网络异常流量检测。
计算各滑动窗口内网络流量特征值时,将各滑动窗口内相同类型数据单元的网络流量特征值进行累加。网络流量特征值累加的目的在于,当异常流量的特征比较微弱时,单个数据单元中的异常流量特征性不具有统计显著性,但是,通过累加计算,能够将微弱的异常流量进行放大,使其在背景流量中具有统计显著性。
将单个数据单元(基本时间窗口)中的网络流量特征值视为相互独立的随机变量,根据相互独立的随机变量之和的概率分布理论,计算滑动窗口内网络流量特征值的数学期望值,以及按照一定概率计算特征值的置信区间。
将各滑动窗口内相同类型数据单元的网络流量特征值进行累加后,获得累加值,将所述累加值与上述数学期望值比较,当超出上述置信区间时,则判断滑动窗口内该类型数据单元出现网络异常流量。根据异常的特征值种类,可以反映出不同的异常网络流量,如:节点上的某个网络会话流量异常、节点上的网络收发流量异常、节点之间的某个网络会话异常、节点之间的网络收发流量异常等。图3中的涂黑部分代表网络异常流量。
假设不同数据单元(基本时间窗口)中的网络流量特征值为独立的随机变量,这些随机变量的概率分布符合正态分布。将不同“基本时间窗口”中的网络流量特征值进行累加,会得到一个新的随机变量,根据正态随机变量线性组合的概率分布理论,叠加后的随机变量依然遵循正态分布。
设X和Y服从正态分布,概率分布密度函数如下:
Figure BDA0002878981680000081
Figure BDA0002878981680000082
则随机变量Z=X+Y的概率分布密度函数如下:
Figure BDA0002878981680000083
其中,随机变量Z的标准偏差值为:
Figure BDA0002878981680000084
当多个相互独立的正态随机变量相加后,所得到的随机变量的标准偏差值小于这些独立正态随机变量的标准偏差之和,即有:
Figure BDA0002878981680000085
由此可见,将独立的正态随机变量相加后,能够减小置信区间的宽度,从而增加微弱信号的统计显著性,有助于时空分布碎片化的异常网络流量的检测。
实施例二:
一种基于滑动窗口群的网络异常流量检测装置
用于执行实施例一所述的方法。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

Claims (9)

1.一种基于滑动窗口群的网络异常流量检测方法,其特征在于,包括如下步骤:
步骤1:采集检测时间段TZ内的网络流量数据,将所述网络流量数据按照时序切割成多个数据单元,所述每个数据单元与1个基本时间窗口相对应,各个基本时间窗口的时间长度T0相同;将基本时间窗口划分成多个类型,数据单元相应划分为多个类型;
步骤2:计算每个所述数据单元的网络流量特征值;
步骤3:设置多个滑动时间窗口,所述滑动时间窗口时间长度TH为所述基本时间窗口时间长度T0的整数倍,所述滑动时间窗口之间的间距为所述基本时间窗口时间长度T0的整数倍;
步骤4:针对检测时间段TZ内的网络流量数据,将所述多个滑动时间窗口同步按时序进行滑动,滑动的步长为基本时间窗口时间长度T0
步骤5:计算各滑动窗口内网络流量特征值,进行网络异常流量检测。
2.根据权利要求1所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤1中,基本时间窗口的时间长度T0为0.5小时、1小时、1.5小时或2小时。
3.根据权利要求1所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤2中,所述网络流量特征值包括收发流量值、收发数据包数量、网络连接的出入度。
4.根据权利要求3所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤2中,所述网络流量特征值的采集范围包括网络终端节点之间的网络流量特征、网络终端节点之间会话的网络流量特征。
5.根据权利要求3所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤3中,各滑动时间窗口之间的间距相同,所述间距为基本时间窗口时间长度T0的整数倍。
6.根据权利要求1所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤4中,将所述多个滑动时间窗口同步按时序进行滑动,直至滑动时间窗口超出检测时间段TZ
7.根据权利要求1所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤5中,计算各滑动窗口内网络流量特征值时,将各滑动窗口内相同类型数据单元的网络流量特征值进行累加。
8.根据权利要求7所述的基于滑动窗口群的网络异常流量检测方法,其特征在于:步骤5中,计算滑动窗口内网络流量特征值的置信区间;当滑动窗口内网络流量特征值超出所述置信区间时,判断出现网络异常流量。
9.一种基于滑动窗口群的网络异常流量检测装置,其特征在于,用于执行权利要求1至8任何一项所述的方法。
CN202011624472.6A 2020-12-31 2020-12-31 基于滑动窗口群的网络异常流量检测方法及装置 Active CN112751869B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011624472.6A CN112751869B (zh) 2020-12-31 2020-12-31 基于滑动窗口群的网络异常流量检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011624472.6A CN112751869B (zh) 2020-12-31 2020-12-31 基于滑动窗口群的网络异常流量检测方法及装置

Publications (2)

Publication Number Publication Date
CN112751869A true CN112751869A (zh) 2021-05-04
CN112751869B CN112751869B (zh) 2023-07-14

Family

ID=75650484

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011624472.6A Active CN112751869B (zh) 2020-12-31 2020-12-31 基于滑动窗口群的网络异常流量检测方法及装置

Country Status (1)

Country Link
CN (1) CN112751869B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124507A (zh) * 2021-11-16 2022-03-01 北京安天网络安全技术有限公司 一种数据请求频次统计方法、装置、电子设备及存储介质
CN114826718A (zh) * 2022-04-19 2022-07-29 中国人民解放军战略支援部队航天工程大学 一种基于多维度信息的内部网络异常检测方法及系统
CN117938542A (zh) * 2024-03-19 2024-04-26 北京微步在线科技有限公司 一种网络流量数据的方向确定方法、装置、设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014031A (zh) * 2010-12-31 2011-04-13 湖南神州祥网科技有限公司 一种网络流量异常检测方法及系统
US20110261710A1 (en) * 2008-09-26 2011-10-27 Nsfocus Information Technology (Beijing) Co., Ltd. Analysis apparatus and method for abnormal network traffic
CN103001972A (zh) * 2012-12-25 2013-03-27 苏州山石网络有限公司 Ddos攻击的识别方法和识别装置及防火墙
CN105049276A (zh) * 2015-05-29 2015-11-11 北京东方棱镜科技有限公司 对广域网流量行为进行监测管理的方法和装置
CN105989061A (zh) * 2015-02-09 2016-10-05 中国科学院信息工程研究所 一种滑动窗口下多维数据重复检测快速索引方法
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统
CN108881326A (zh) * 2018-09-27 2018-11-23 深圳市联软科技股份有限公司 确定网络流量异常行为的方法、系统、介质及设备
CN108965055A (zh) * 2018-07-17 2018-12-07 成都力鸣信息技术有限公司 一种基于历史时间取点法的网络流量异常检测方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110261710A1 (en) * 2008-09-26 2011-10-27 Nsfocus Information Technology (Beijing) Co., Ltd. Analysis apparatus and method for abnormal network traffic
CN102014031A (zh) * 2010-12-31 2011-04-13 湖南神州祥网科技有限公司 一种网络流量异常检测方法及系统
CN103001972A (zh) * 2012-12-25 2013-03-27 苏州山石网络有限公司 Ddos攻击的识别方法和识别装置及防火墙
CN105989061A (zh) * 2015-02-09 2016-10-05 中国科学院信息工程研究所 一种滑动窗口下多维数据重复检测快速索引方法
CN105049276A (zh) * 2015-05-29 2015-11-11 北京东方棱镜科技有限公司 对广域网流量行为进行监测管理的方法和装置
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统
CN108965055A (zh) * 2018-07-17 2018-12-07 成都力鸣信息技术有限公司 一种基于历史时间取点法的网络流量异常检测方法
CN108881326A (zh) * 2018-09-27 2018-11-23 深圳市联软科技股份有限公司 确定网络流量异常行为的方法、系统、介质及设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124507A (zh) * 2021-11-16 2022-03-01 北京安天网络安全技术有限公司 一种数据请求频次统计方法、装置、电子设备及存储介质
CN114826718A (zh) * 2022-04-19 2022-07-29 中国人民解放军战略支援部队航天工程大学 一种基于多维度信息的内部网络异常检测方法及系统
CN117938542A (zh) * 2024-03-19 2024-04-26 北京微步在线科技有限公司 一种网络流量数据的方向确定方法、装置、设备及介质
CN117938542B (zh) * 2024-03-19 2024-05-17 北京微步在线科技有限公司 一种网络流量数据的方向确定方法、装置、设备及介质

Also Published As

Publication number Publication date
CN112751869B (zh) 2023-07-14

Similar Documents

Publication Publication Date Title
CN112751869B (zh) 基于滑动窗口群的网络异常流量检测方法及装置
Bohara et al. An unsupervised multi-detector approach for identifying malicious lateral movement
US10033752B2 (en) System for implementing threat detection using daily network traffic community outliers
CN104836702A (zh) 一种大流量环境下主机网络异常行为检测及分类方法
CN105208037A (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN103561004A (zh) 基于蜜网的协同式主动防御系统
CN102271068A (zh) 一种dos/ddos攻击检测方法
CN104899513A (zh) 一种工业控制系统恶意数据攻击的数据图检测方法
Li et al. Stochastic detection against deception attacks in CPS: Performance evaluation and game-theoretic analysis
CN112533170A (zh) 一种基于时间信誉序列的恶意节点识别方法
Rong et al. A novel intrusion detection algorithm for wireless sensor networks
Soh et al. Setting optimal intrusion-detection thresholds
Kim et al. CATCH: A protocol framework for cross-layer attacker traceback in mobile multi-hop networks
KR101374009B1 (ko) 이상 트래픽 차단 장치 및 방법
Manohar et al. Detection of stealthy denial of service (S-DoS) attacks in wireless sensor networks
Kavitha et al. Massive stream data processing to attain anomaly Intrusion Prevention
Benedetto et al. A novel method for securing critical infrastructures by detecting hidden flows of data
CN109547504B (zh) 一种移动传感器网络入侵检测与自适应响应方法
Arunkumar et al. A recent analysis of intrusion detection and prevention system for protecting range of attack using data gathering technique in MANET
CN114978777B (zh) 一种基于网络对象的多领域场景威胁融合评估方法
CN102882739B (zh) 通信行为检测方法及装置
Qu et al. An empirical study of morphing on network traffic classification
Feng et al. A congestion attack behaviour recognition method for wireless sensor networks based on a decision tree
Muthumanickam et al. A dynamic botnet detection model based on behavior analysis
Yu et al. On effective sampling techniques in host–based intrusion detection in tactical MANET

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant