CN113162891A - 攻击流量快速识别系统、方法、计算机可读介质及设备 - Google Patents

攻击流量快速识别系统、方法、计算机可读介质及设备 Download PDF

Info

Publication number
CN113162891A
CN113162891A CN202010188281.3A CN202010188281A CN113162891A CN 113162891 A CN113162891 A CN 113162891A CN 202010188281 A CN202010188281 A CN 202010188281A CN 113162891 A CN113162891 A CN 113162891A
Authority
CN
China
Prior art keywords
attack
traffic
attack traffic
flow
suspected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010188281.3A
Other languages
English (en)
Other versions
CN113162891B (zh
Inventor
赵武
邓焕
何金光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huashunxinan Technology Co ltd
Original Assignee
Beijing Huashunxinan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huashunxinan Technology Co ltd filed Critical Beijing Huashunxinan Technology Co ltd
Publication of CN113162891A publication Critical patent/CN113162891A/zh
Application granted granted Critical
Publication of CN113162891B publication Critical patent/CN113162891B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

本发明公开了一种攻击流量快速识别系统、方法、计算机可读介质及设备,其中系统包括流量监控模块,用于对网络流量进行流量监控;流量特征分析模块,用于分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量,并将疑似攻击流量保存到一数据库中;流量导入模块,用于从数据库中导入疑似攻击流量;流量分析模块,用于对各疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各攻击流量进行分类,得到各攻击流量对应的攻击种类,并形成一攻击流量分类结果并保存;攻击流量计数模块,用于根据攻击流量分类结果,对不同种类的攻击流量进行单独计数,最终综合各单独计数结果形成一计数结果并保存,本发明提高了对攻击流量的识别效率。

Description

攻击流量快速识别系统、方法、计算机可读介质及设备
技术领域
本发明涉及计算机技术领域,尤其涉及一种攻击流量快速识别系统、方法、计算机可读介质及设备。
背景技术
近些年,由于互联网技术的快速发展,网络用户数的大规模增长,网络安全问题已经成为广大网民最为关心的问题,甚至在国家层面,政府机构对网络安全问题也越来越重视。据不完全统计,2018年国家某网络安全监管部门处置网络安全事件约10.6万起,其中网页仿冒事件占比最多;其次,安全漏洞、恶意程序攻击、网页篡改、网站后门、DDoS攻击等安全事件同样占比较大。根据专家预测,网络安全问题在未来数年甚至数十年间会越来越严峻。
现有的攻击流量识别方法通常通过攻击流量扫描软件对网络流量进行全面扫描,这种攻击流量识别方法耗时较长、效率低下,而且无法对扫描到的攻击流量进行自动分类,更无法对不同攻击种类下的攻击流量进行计数,以便于技术人员对某一段时间内的攻击流量进行汇总分析。
发明内容
本发明的目的在于提供一种攻击流量快速识别系统、方法、计算机可读介质及设备,以解决上述技术问题。
本发明解决其技术问题采取的技术方案是,提供一种攻击流量快速识别系统,用于快速识别网络流量中的攻击流量,该系统包括:
流量监控模块,用于对所述网络流量进行流量监控;
流量特征分析模块,连接所述流量监控模块,用于分析监控到的所述网络流量中是否存在符合攻击流量特征的疑似攻击流量,
若是,则截获所述疑似攻击流量并将所述疑似攻击流量保存到一数据库中;
若否,则继续对所述网络流量进行流量监控;
流量导入模块,连接所述数据库,用于从所述数据库中导入所述疑似攻击流量;
流量分析模块,连接所述流量导入模块,用于对各所述疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的攻击种类,并综合形成一攻击流量分类结果并保存;
攻击流量计数模块,连接所述流量分析模块,用于根据所述攻击流量分类结果,对不同种类的所述攻击流量进行单独计数,最终综合各单独计数结果形成一针对所分析的所述攻击流量对应的计数结果并保存。
作为本发明的一种优选方案,所述攻击流量特征包括符合sql注入、命令执行和反序列化漏洞特征中的任意一种或多种。
作为本发明的一种优选方案,截获所述疑似攻击流量的方式包括抓包。
作为本发明的一种优选方案,所述流量分析模块中具体包括:
流量类型匹配单元,用于将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配以确认各所述疑似攻击流量是否为真实的所述攻击流量,
攻击流量分类单元,连接所述流量类型匹配单元,用于对确认为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的攻击种类,并综合对各攻击流量的分类结果形成所述攻击流量分类结果并保存。
作为本发明的一种优选方案,所述攻击流量的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。
本发明还提供了一种攻击流量快速识别方法,通过应用所述攻击流量快速识别系统实现,该方法包括如下步骤:
步骤S1,所述攻击流量快速识别系统对所述网络流量进行流量监控;
步骤S2,所述攻击流量快速识别系统分析监控到的所述网络流量中是否存在符合攻击流量特征的所述疑似攻击流量,
若是,则截获所述疑似攻击流量并将所述疑似攻击流量保存到所述数据库中;
若否,则返回所述步骤S1,继续对所述网络流量进行流量监控;
步骤S3,所述攻击流量快速识别系统从所述数据库中导入所述疑似攻击流量;
步骤S4,所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的所述攻击种类,并综合形成所述攻击流量分类结果并保存;
步骤S5,所述攻击流量快速识别系统根据所述攻击流量分类结果,对不同种类的所述攻击流量进行单独计数,最终综合各单独计数结果形成针对所分析的所述攻击流量对应的所述计数结果并保存。
作为本发明的一种优选方案,所述步骤S4中,所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析的过程具体包括如下步骤:
步骤S41,所述攻击流量快速识别系统将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配,以确认各所述疑似攻击流量是否为真实的所述攻击流量,
若是,则进入步骤S42;
若否,则过滤掉所述疑似攻击流量;
步骤S42,所述攻击流量快速识别系统对经所述步骤S41确认为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的所述攻击种类,并综合对各攻击流量的分类结果最终形成所述攻击流量分类结果并保存。
作为本发明的一种优选方案,所述步骤S4中的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。
本发明还提供了一种计算机可读存储介质,包括执行指令,当电子设备的处理器执行所述执行指令时,所述处理器执行所述方法。
本发明另外还提供了一种电子设备,包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器中的所述执行指令时,所述处理器执行所述方法。
本发明实现了对攻击流量的快速识别,本发明无需对网络流量进行全面的攻击流量识别,仅当监测到疑似攻击流量时才进入攻击流量分析过程,并得到对疑似攻击流量的分类结果,大幅提高了攻击流量识别的效率。
另外,本发明将对不同种类的攻击流量进行自动计数,并形成计数结果,以便于将分析结果更加直观的显示给技术人员,便于技术人员进行进一步的数据分析、处理。
附图说明
图1是本发明实施例提供的攻击流量快速识别系统的结构示意图;
图2本发明实施例提供的攻击流量快速识别系统中的流量分析模块的结构示意图;
图3是本发明一实施例提供的攻击流量快速识别方法的方法步骤图;
图4是本发明一实施例提供的攻击流量快速识别方法中的步骤S4的分步骤图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明实施例提供的一种攻击流量快速识别系统,用于快速识别网络流量中的攻击流量,请参照图1,该攻击流量快速识别系统包括:
流量监控模块1,用于对网络流量进行流量监控;对于网络流量监控的方式为现有技术,比如可以通过现有的流量监控系统对网络流量是否异常进行监控;
流量特征分析模块2,连接流量监控模块1,用于分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量;攻击流量特征包括符合sql注入漏洞特征、命令执行漏洞特征以及反序列化等漏洞特征中的任意一种或多种;
当系统分析到所监控的网络流量中存在符合攻击流量特征的疑似攻击流量后,系统将截取疑似攻击流量并将疑似攻击流量保存到一数据库3中。如果没有发现疑似攻击流量,系统将继续对网络流量进行流量监控。
上述技术方案中,将疑似攻击流量保存到数据库中是为了便于后续对疑似攻击流量再进行分析、处理,或对保存的疑似攻击流量进行统一的分析、处理。
上述技术方案中,系统从网络流量中截获疑似攻击流量的方法为抓包,当然也可以采用现有技术中存在的其他流量获取方式。
请继续参照图1,攻击流量快速识别系统还包括:
流量导入模块4,连接数据库3,用于从数据库3中导入事先保存的疑似攻击流量。导入疑似攻击流量的方法为现有的数据导入方法,具体导入过程在此不作阐述。
流量分析模块5,连接流量导入模块4,用于对各疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各攻击流量进行流量分类,得到各攻击流量对应的攻击种类,然后综合对各种类的攻击流量的匹配结果,最终形成一攻击流量分类结果并保存。
系统可将攻击流量分类结果保存到专门的数据库中,以便于后续技术人员基于攻击流量分类结果,对网络攻击情况进行进一步的数据分析。
为实现对各攻击流量的分类汇总,优选地,请参照图1,本实施例提供的攻击流量快速识别系统还包括:
攻击流量计数模块6,连接流量分析模块5,用于根据攻击流量分类结果,对不同种类的攻击流量进行单独计数,最终综合各单独计数结果形成一针对所分析的所述攻击流量的计数结果并保存。
系统还具备攻击流量占比计算功能,对于攻击流量占比的计算方法简述如下:
系统截获的各疑似攻击流量中可能存在正常流量,当系统对各疑似攻击流量作真实度判断后,将保存被确定为真实的攻击流量,而过滤掉被确定为不真实的疑似攻击流量(不真实的疑似攻击流量可能为正常流量)。
然后系统对被确定为真实的攻击流量进行计数,以及对截取的各疑似攻击流量的总流量进行计数,最终通过计算被确定为真实的攻击流量和所截获的各疑似攻击流量的总流量的比值,得到攻击流量在截取的疑似攻击流量中的占比。
为了直观分析攻击流量的占比情况,更优选地,系统还将自动计算各攻击种类下的攻击流量在截取的总流量中的占比,比如将计算sql注入漏洞在总流量中的占比,然后通过直方图等表示方式将计算结果显示给用户。
更优选地,本实施例提供的攻击流量快速识别系统还包括一显示界面,显示界面用于向用户显示攻击流量分类结果或计数结果等系统分析结果。
请参照图2,本实施例提供的攻击流量快速识别系统中的流量分析模块5中具体包括:
流量类型匹配单元51,用于根据各疑似攻击流量对应的攻击流量特征,确认各疑似攻击流量是否为真实的攻击流量;比如系统监控到网络流量中可能存在sql注入漏洞,系统将通过抓包等方式将初步符合sql注入漏洞特征的该流量作为疑似攻击流量进行截获并保存到数据库中。后续流量类型匹配单元将各疑似攻击流量对应的流量特征与一攻击特征库中的预设攻击特征进行特征匹配,以确认各疑似攻击流量是否为真实的攻击流量。
系统确认疑似攻击流量是否为真实的攻击流量的方法为:若特征匹配成功,则确认该疑似攻击流量为真实的攻击流量;
若匹配不成功,则过滤掉该疑似攻击流量。
请继续参照图2,流量分析模块中还包括:
攻击流量分类单元52,连接流量类型匹配单元51,用于对确认为真实的各攻击流量进行分类,得到各攻击流量对应的攻击种类,并综合形成一攻击流量分类结果并保存。
上述技术方案中,攻击流量的攻击种类包括但不限于sql注入漏洞、命令执行漏洞和反序列化漏洞。
另外需要说明的是,对于攻击流量的计数还包括对过滤掉的疑似攻击流量的计数。在计算攻击流量占比时,被过滤掉的疑似攻击流量被作为正常流量予以统计。攻击流量占比通过以下计算公式计算而得:
攻击流量占比=被确认为攻击流量的数量/导入分析的各疑似攻击流量的总数量。
请参照图3,本发明实施例还提供了一种攻击流量快速识别方法,通过应用上述的攻击流量快速识别系统实现,该方法具体包括如下步骤:
步骤S1,攻击流量快速识别系统对网络流量进行流量监控;
步骤S2,攻击流量快速识别系统分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量,
若是,则截获疑似攻击流量并将疑似攻击流量保存到数据库中;
若否,则返回步骤S1,继续对网络流量进行流量监控;
步骤S3,攻击流量快速识别系统从数据库中导入疑似攻击流量;
步骤S4,攻击流量快速是被系统对各疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各攻击流量进行分类,得到各攻击流量对应的攻击种类,并综合形成攻击流量分类结果并保存;
步骤S5,攻击流量快速识别系统根据攻击流量分类结果,对不同种类的攻击流量进行单独计数,最终综合各单独计数结果形成一针对所分析的攻击流量的计数结果并保存。
请参照图4,步骤S4中,优选地,攻击流量快速识别系统对各疑似攻击流量进行真实度匹配、分析的过程具体包括如下步骤:
步骤S41,攻击流量快速识别系统将各疑似攻击流量对应的攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配,以确认各疑似攻击流量是否为真实的攻击流量,
若是,则进入步骤S42;
若否,则过滤掉疑似攻击流量;
步骤S42,攻击流量快速识别系统对经步骤S41确认为真实的各攻击流量进行分类,得到各攻击流量对应的攻击种类,并综合对各攻击流量的分类结果并形成攻击流量分类结果并保存。
上述步骤S4中所述的攻击种类包括但不限于sql注入、命令执行及反序列化漏洞。
本发明还提供了一种计算机可读存储介质,包括执行指令,当电子设备的处理器执行上述的执行指令时,处理器将执行上述的攻击流量快速识别方法。
本发明还提供了一种电子设备,包括处理器以及存储有执行指令的存储器,当处理器执行存储器中的执行指令时,处理器执行上述的攻击流量快速识别方法。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。

Claims (10)

1.一种攻击流量快速识别系统,用于快速识别网络流量中的攻击流量,其特征在于,包括:
流量监控模块,用于对所述网络流量进行流量监控;
流量特征分析模块,连接所述流量监控模块,用于分析监控到的所述网络流量中是否存在符合攻击流量特征的疑似攻击流量,
若是,则截获所述疑似攻击流量并将所述疑似攻击流量保存到一数据库中;
若否,则继续对所述网络流量进行流量监控;
流量导入模块,连接所述数据库,用于从所述数据库中导入所述疑似攻击流量;
流量分析模块,连接所述流量导入模块,用于对各所述疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的攻击种类,并综合形成一攻击流量分类结果并保存;
攻击流量计数模块,连接所述流量分析模块,用于根据所述攻击流量分类结果,对不同种类的所述攻击流量进行单独计数,最终综合各单独计数结果形成一计数结果并保存。
2.如权利要求1所述的攻击流量快速识别系统,其特征在于,所述攻击流量特征包括符合sql注入、命令执行和反序列化漏洞特征中的任意一种或多种。
3.如权利要求1所述的攻击流量快速识别系统,其特征在于,截获所述疑似攻击流量的方式包括抓包。
4.如权利要求1所述的攻击流量快速识别系统,其特征在于,所述流量分析模块中包括:
流量类型匹配单元,用于将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配以确认各所述疑似攻击流量是否为真实的所述攻击流量,
攻击流量分类单元,连接所述流量类型匹配单元,用于对确认为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的攻击种类,并综合对各攻击流量的分类结果形成所述攻击流量分类结果并保存。
5.如权利要求1所述的攻击流量快速识别系统,其特征在于,所述攻击流量的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。
6.一种攻击流量快速识别方法,通过应用如权利要求1-5中任意一项的所述攻击流量快速识别系统实现,其特征在于,包括如下步骤:
步骤S1,所述攻击流量快速识别系统对网络流量进行流量监控;
步骤S2,所述攻击流量快速识别系统分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量,
若是,则截获所述疑似攻击流量并将所述疑似攻击流量保存到数据库中;
若否,则返回所述步骤S1,继续对所述网络流量进行流量监控;
步骤S3,所述攻击流量快速识别系统从所述数据库中导入所述疑似攻击流量;
步骤S4,所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析,并对被匹配为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的所述攻击种类,并综合形成所述攻击流量分类结果并保存;
步骤S5,所述攻击流量快速识别系统根据所述攻击流量分类结果,对不同种类的所述攻击流量进行单独计数,最终综合各单独计数结果形成针对所分析的所述攻击流量对应的所述计数结果并保存。
7.如权利要求6所述的攻击流量快速识别方法,其特征在于,所述步骤S4中,所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析的过程具体包括如下步骤:
步骤S41,所述攻击流量快速识别系统将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配,以确认各所述疑似攻击流量是否为真实的所述攻击流量,
若是,则进入步骤S42;
若否,则过滤掉所述疑似攻击流量;
步骤S42,所述攻击流量快速识别系统对经所述步骤S41确认为真实的各所述攻击流量进行分类,得到各所述攻击流量对应的所述攻击种类,并综合对各攻击流量的分类结果最终形成所述攻击流量分类结果并保存。
8.如权利要求6所述的攻击流量快速识别方法,其特征在于,所述步骤S4中的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。
9.一种计算机可读存储介质,包括执行指令,其特征在于,当电子设备的处理器执行所述执行指令时,所述处理器执行如权利要求6-8中任意一项所述的方法。
10.一种电子设备,包括处理器以及存储有执行指令的存储器,其特征在于,当所述处理器执行所述存储器中的所述执行指令时,所述处理器执行如权利要求6-8中任意一项所述的方法。
CN202010188281.3A 2020-01-23 2020-03-17 攻击流量快速识别系统、方法、计算机可读介质及设备 Active CN113162891B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2020100760363 2020-01-23
CN202010076036 2020-01-23

Publications (2)

Publication Number Publication Date
CN113162891A true CN113162891A (zh) 2021-07-23
CN113162891B CN113162891B (zh) 2024-03-26

Family

ID=76882170

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010188281.3A Active CN113162891B (zh) 2020-01-23 2020-03-17 攻击流量快速识别系统、方法、计算机可读介质及设备

Country Status (1)

Country Link
CN (1) CN113162891B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021997A (zh) * 2022-05-26 2022-09-06 广州中南网络技术有限公司 一种基于机器学习的网络入侵检测系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119919A (zh) * 2015-08-22 2015-12-02 西安电子科技大学 基于流量异常及特征分析的攻击行为检测方法
US20180152475A1 (en) * 2016-11-30 2018-05-31 Foundation Of Soongsil University-Industry Cooperation Ddos attack detection system based on svm-som combination and method thereof
CN108683687A (zh) * 2018-06-29 2018-10-19 北京奇虎科技有限公司 一种网络攻击识别方法及系统
CN110691100A (zh) * 2019-10-28 2020-01-14 中国科学技术大学 基于深度学习的分层网络攻击识别与未知攻击检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119919A (zh) * 2015-08-22 2015-12-02 西安电子科技大学 基于流量异常及特征分析的攻击行为检测方法
US20180152475A1 (en) * 2016-11-30 2018-05-31 Foundation Of Soongsil University-Industry Cooperation Ddos attack detection system based on svm-som combination and method thereof
CN108683687A (zh) * 2018-06-29 2018-10-19 北京奇虎科技有限公司 一种网络攻击识别方法及系统
CN110691100A (zh) * 2019-10-28 2020-01-14 中国科学技术大学 基于深度学习的分层网络攻击识别与未知攻击检测方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021997A (zh) * 2022-05-26 2022-09-06 广州中南网络技术有限公司 一种基于机器学习的网络入侵检测系统

Also Published As

Publication number Publication date
CN113162891B (zh) 2024-03-26

Similar Documents

Publication Publication Date Title
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN112114995B (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN108200054A (zh) 一种基于dns解析的恶意域名检测方法及装置
CN105516128B (zh) 一种Web攻击的检测方法及装置
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN110493179A (zh) 基于时间序列的网络安全态势感知模型和方法
CN116662989B (zh) 一种安全数据解析方法及系统
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN101252440B (zh) 基于固有子序列模式分解的网络入侵检测方法
CN115001934A (zh) 一种工控安全风险分析系统及方法
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN113162891B (zh) 攻击流量快速识别系统、方法、计算机可读介质及设备
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN117336055A (zh) 一种网络异常行为检测方法、装置、电子设备及存储介质
CN112261034A (zh) 基于企业内网的网络安全防护系统
CN111901199A (zh) 一种基于海量数据的快速预警匹配实现方法
CN115134159B (zh) 一种安全告警分析优化方法
CN108289035B (zh) 一种直观的网络及业务系统运行状态展现方法及系统
CN110334510A (zh) 一种基于随机森林算法的恶意文件检测技术
CN114189585A (zh) 骚扰电话异常检测方法、装置及计算设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant