CN113163406A - 用于移动通信系统的威胁侦测系统及其中心装置与本地装置 - Google Patents
用于移动通信系统的威胁侦测系统及其中心装置与本地装置 Download PDFInfo
- Publication number
- CN113163406A CN113163406A CN202010054392.5A CN202010054392A CN113163406A CN 113163406 A CN113163406 A CN 113163406A CN 202010054392 A CN202010054392 A CN 202010054392A CN 113163406 A CN113163406 A CN 113163406A
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- training
- classifier
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 35
- 238000010295 mobile communication Methods 0.000 title claims abstract description 30
- 238000012549 training Methods 0.000 claims abstract description 99
- 238000003062 neural network model Methods 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 6
- 238000013528 artificial neural network Methods 0.000 abstract description 11
- 230000006870 function Effects 0.000 description 20
- 230000005540 biological transmission Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 230000007123 defense Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 3
- 238000013136 deep learning model Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004907 flux Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T15/00—3D [Three Dimensional] image rendering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/19—Flow control; Congestion control at layers above the network layer
- H04L47/193—Flow control; Congestion control at layers above the network layer at the transport layer, e.g. TCP related
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/27—Evaluation or update of window size, e.g. using information derived from acknowledged [ACK] packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/143—Denial of service attacks involving systematic or selective dropping of packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Computer Graphics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于一移动通信系统的威胁侦测系统,及其中心装置与本地装置。威胁侦测系统用以侦测并防御低速分散式阻断服务(low and slow distributed denial‑of‑service;LSDDoS)攻击。中心装置位于移动通信系统的一核心网络,且用以训练一张量神经网络(Tensor Neural Network;TNN)模型,以生成一威胁分类器。威胁分类器用以供本地装置辨识多个威胁类型。本地装置将待辨识数据输入至威胁分类器,以产生一分类结果。分类结果对应至该等威胁类型其中之一。
Description
技术领域
本发明是关于用于一移动通信系统的威胁侦测系统,及其中心装置与本地装置。具体而言,本发明的威胁侦测系统的中心装置训练一张量神经网络(TNN)模型,以生成供本地装置辨识低速分散式阻断服务(LSDDoS)攻击类型的一威胁分类器。
背景技术
随着无线通信技术的快速成长,无线通信的各种应用已充斥于人们的生活中,且人们对于无线通信的需求亦日益增加。随着移动通信系统(例如:4G移动通信系统、5G移动通信系统)的布建,除了现在常见的智能手机、平板外,越来越多的电子产品也开始内建通信功能,例如:目前热门的窄频物联网(Narrowband Internet of Things;NB-IoT)装置。在此情况下,开始有恶意人士藉由移动通信系统网络,对特定企业服务器或移动通信系统的核心网络中的服务器进行攻击,以尝试瘫痪服务器或造成服务器的庞大负担,使其无法正常运作。
分散式阻断服务(DDoS)攻击是一种常见且存在已久的攻击手法。DDoS攻击藉由分散式地装置传送大量的封包、建立大量的连线或下达多种混乱的指示,以使得服务器瞬间过于忙碌而被瘫痪。传统的DDoS攻击主要是属于传输层(transmission layer)的攻击。由于近年来对于传统的DDoS攻击的防御机制已逐渐有成效,因此恶意人士开始转向使用应用层(application layer)的DDoS攻击。应用层的DDoS攻击主要是利用高层协定(例如:超文本传输协定(Hypertext Transfer Protocol;HTTP)),以多样化且复杂性高的方式进行攻击。
低速分散式阻断服务(low and slow distributed denial-of-service;LSDDoS)攻击属于应用层的DDoS攻击的一种。相较于传统的DDoS攻击,LSDDoS攻击的攻击速度较慢且流量较低,故不容易基于流量被侦测出来,但仍可逐步地耗尽服务器的资源,最终几乎被瘫痪。有鉴于此,本领域亟需一种威胁侦测机制,以侦测LSDDoS攻击并辨识出其攻击类型,进而做出适当的防御。
发明内容
本发明的目的在于提供一种威胁侦测机制,其针对移动通信系统网络建立一威胁侦测系统,并藉由中心装置训练一张量神经网络(TNN)模型,以生成供本地装置辨识低速分散式阻断服务(LSDDoS)攻击类型的一威胁分类器。据此,本发明的威胁侦测机制可侦测LSDDoS攻击的动态行为并辨识出其攻击类型,进而做出适当的防御。
为达上述目的,本发明揭露一种用于一移动通信系统的威胁侦测系统,其包含一中心装置及一本地装置。该中心装置位于该移动通信系统的一核心网络,并用以执行下列操作:自一本地装置接收多个训练数据,各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成;将该等训练数据输入至一张量神经网络(Tensor Neural Network;TNN)模型,以训练该张量神经网络模型,并生成一威胁分类器,该威胁分类器用以辨识多个威胁类型;以及将该威胁分类器传送至一本地装置。该本地装置用以执行下列操作:自该中心装置接收该威胁分类器;撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据;以及将该待辨识数据输入至该威胁分类器,以产生一分类结果,该分类结果对应至该等威胁类型其中之一。
此外,本发明更揭露一种用于一移动通信系统的一威胁侦测系统的中心装置。该威胁侦测系统包含该中心装置及一本地装置。该中心装置位于该移动通信系统的一核心网络。该中心装置包含一网络接口及一处理器。该网络接口用以连接该本地装置。该处理器电性连接至该网络接口,并用以执行以下操作:透过该网络接口,自该本地装置接收多个训练数据,各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成;将该等训练数据输入至一张量神经网络(Tensor Neural Network;TNN)模型,以训练该张量神经网络模型,并生成一威胁分类器,该威胁分类器用以辨识多个威胁类型;以及透过该网络接口,将该威胁分类器传送至该本地装置,以使该中心装置撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据,并将该待辨识数据输入至该威胁分类器,以产生一分类结果,其中,该分类结果对应至该等威胁类型其中之一。
此外,本发明更揭露一种用于一移动通信系统的一威胁侦测系统的本地装置。该威胁侦测系统包含一中心装置及该本地装置。该中心装置位于该移动通信系统的一核心网络。该本地装置包含一网络接口以及一处理器。该网络接口用以连接该中心装置。该处理器,电性连接至该网络接口,并用以执行以下操作:撷取多个训练数据,各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成;透过该网络接口,传送该等训练数据至该中心装置,以使该中心装置将该等训练数据输入至一张量神经网络(Tensor Neural Network;TNN)模型,以训练该张量神经网络模型,并生成一威胁分类器,其中该威胁分类器用以辨识多个威胁类型;透过该网络接口,自该中心装置接收该威胁分类器;撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据;以及将该待辨识数据输入至该威胁分类器,以产生一分类结果,其中,该分类结果对应至该等威胁类型其中之一。
在参阅附图及随后描述的实施方式后,本领域技术人员便可了解本发明的其他目的,以及本发明的技术手段及实施态样。
附图说明
图1是描绘本发明的威胁侦测系统1的示意图;
图2是描绘可用于本发明的威胁侦测系统1的一移动通信系统网络架构的示意图;
图3是描绘本发明训练张量神经网络模型TM的实施情境;
图4是描绘本发明透过威胁分类器TCR分析待辨识数据304的实施情境;
图5是本发明中心装置2的示意图;以及
图6是本发明本地装置3的示意图。
附图标记说明
1:威胁侦测系统
2:中心装置
21:网络接口
23:处理器
202:训练分类结果
3:本地装置
31:网络接口
33:处理器
302:训练数据
304:待辨识数据
306:分类结果
4:外部服务器
501:网络开放功能
502:网络数据分析功能
503:应用功能
504:接入和移动管理功能
505:会话管理功能
506:用户平面功能
507:基站
508:基站
509:用户装置
510:数据网络
CN:核心网络
TM:张量神经网络模型
TCR:威胁分类器
具体实施方式
以下将透过实施例来解释本发明内容,本发明的实施例并非用以限制本发明须在如实施例所述的任何特定的环境、应用或特殊方式方能实施。因此,关于实施例的说明仅为阐释本发明的目的,而非用以限制本发明。需说明者,以下实施例及附图中,与本发明非直接相关的元件已省略而未绘示,且附图中各元件间的尺寸关系仅为求容易了解,并非用以限制实际比例。
本发明第一实施例请参考图1-4。如图1所示,威胁侦测系统1包含中心装置2及本地装置3。威胁侦测系统1可用于一移动通信系统,例如:5G移动通信系统(但不限于此)。中心装置2位于移动通信系统的一核心网络CN。如图2所示,核心网络CN可用以提供下列功能:网络开放功能(Network Exposure Function;NEF)501、网络数据分析功能(Network DataAnalytics Function;NWDAF)502、应用功能(Application Function;AF)503、接入和移动管理功能(Access and Mobility Management Function;AMF)504、会话管理功能(SessionManagement Function;SMF)505及用户平面功能(User Plane Function;UPF)506。
核心网络CN可由一个或多个装置(例如:服务器)所组成,以透过硬件或软件的型态来实现上述该等功能。该等功能彼此可透过特定接口连接(例如:SMF 505与UPF 506间可透过N4接口连接)。由于本领域技术人员可了解各功能间的连接接口,故于此不加以赘述。
中心装置2可为执行网络数据分析功能(NWDAF)502的装置(但不限于此)。本地装置3可为执行核心网络CN的其他功能(例如:AMF 504)的装置,或核心网络CN以外的装置,例如:基站(例如:5G移动通信系统的基站507(通常称作gNB)或4G移动通信系统的基站508(通常称作eNB))。用户装置(user equipment;UE)509可为一智能手机或一NB-IoT装置(但不限于此)。
如图3所示,中心装置2自本地装置3接收多个训练数据302。各训练数据302是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成。临界值可与一日平均封包总数量相关联。该等训练数据302是由已知威胁类型的流量数据所构成。换言之,系统建立者可藉由多个用户装置产生各种LSDDoS攻击类型的封包(即,模拟攻击者的动态行为),并经由移动通信系统网络传送,以供本地装置3撷取这些封包的信息并产生训练流量数据。随后,本地装置3将由该等训练流量数据所构成的训练数据302提供给中心装置2,以供中心装置2训练机器学习模型或深度学习模型使用,来产生用于本地装置3的威胁分类器。
具体而言,本地装置3在第一时间点判断每秒封包数量大于临界值时,开始自该等封包撷取信息,以产生训练流量数据,直到本地装置3判断在第二时间点的每秒封包数量小于临界值时,停止自该等封包撷取信息并停止产生训练流量数据,并将在第一时间点至第二时间点间所搜集的训练流量数据作为一笔训练数据302。
如同前述,临界值可与日平均封包总数量相关联。举例而言,假设日平均封包总数量为1000万笔,比例值设定为0.2,因此临界值可设计为日平均封包总数量乘上比例值,即临界值为200万笔。当本地装置3于15:10:00判断每秒封包数量大于200万笔时,则开始自该等封包撷取信息,以产生训练流量数据,并且于15:10:30判断每秒封包数量小于200万笔时,停止自该等封包撷取信息并停止产生训练流量数据。因此,本地装置3将自15:10:00至15:10:29期间所搜集到的训练流量数据作为一笔训练数据302,再将该笔训练数据302传送至中心装置2。随后依循上述操作,本地装置3可获得其他每秒封包数量大于临界值的时间区间的训练流量数据,以产生其他笔训练数据302。
随后,如图4所示,中心装置2获得该等训练数据302后,将该等训练数据302输入至一张量神经网络(Tensor Neural Network;TNN)模型TM,以产生多个训练分类结果202,藉以训练张量神经网络模型TM,并生成一威胁分类器TCR,以及将威胁分类器TCR传送至本地装置3,供本地装置3利用威胁分类器TCR辨识威胁类型。本发明的训练方式可为监督式(但不限于此),藉以将该等训练分类结果202分别标示为一种威胁类型。张量神经网络(TNN)模型TM可为基于反向传播算法的神经网络模型(但不限于此),且其所运算的数据是以张量表示(例如:以三维坐标系统表示)。本领域技术人员可了解任何可支持张量运算的机器学习模型或深度学习模型皆可作为本发明的张量神经网络(TNN)模型TM,以生成本发明的威胁分类器TCR,故在此不加以赘述。
本地装置3自中心装置2接收威胁分类器TCR后,于另一时间区间内撷取每秒封包数量大于临界值的多个待辨识流量数据,以产生一待辨识数据304,并将待辨识数据304输入至威胁分类器TCR,以产生一分类结果306。分类结果306对应至该等威胁类型其中之一。
由上述说明可知,本地装置3主要用于撷取封包信息及辨识威胁,而中心装置2主要用于训练机器学习模型或深度学习模型(即,TNN模型),以生成符合本地装置3所需的威胁分类器TCR。
于一实施例中,本地装置3可纪录多笔分类结果306,并将该等分类结果306回报至中心装置2。中心装置2可根据该等分类结果306,计算威胁分类器TCR的一错误率,并更新临界值,以及因应临界值被更新,重新训练该张量神经网络模型TM,以更新威胁分类器TCR,并将更新的威胁分类器TCR传送至本地装置3。换言之,中心装置2藉由观察本地装置3的威胁分类器TCR的辨识失败率,以适时地重新训练张量神经网络模型TM,以生成新的威胁分类器TCR,来提高威胁分类器TCR的辨识成功率。
此外,于其他实施例中,中心装置2是基于一排程周期重新训练张量神经网络模型TM,以更新威胁分类器TCR。换言之,中心装置2定期地(例如:固定几周或固定几个月)更新或新增训练数据302,以重新训练张量神经网络模型TM,以生成新的威胁分类器TCR,来提高威胁分类器TCR的辨识成功率。
本发明第二实施例请再次参考第1-4图。第二实施例为第一实施例的延伸。于本实施例中,该等训练数据302及待辨识数据304皆为封包数据。详言之,若该等封包的目的端为核心网络CN以外的装置,例如:用户装置509所产生的封包是经由核心网络CN透过数据网络(data network;DN)510传送至外部服务器4,则本地装置3判断基于该等封包的信息所产生的该等训练数据302及待辨识数据304属于封包数据。此外,本地装置3可利用嗅探工具(例如:tcpdump)搜集各封包的信息。
针对目的端为外部服务器4的该等封包,本地装置3自各封包中撷取一时间戳记、一来源端网际协定(Internet Protocol;IP)地址、一超文本传输协定(Hyper TextTransfer Protocol;HTTP)标头的一保持存活(keep-alive)栏位与一内文长度(content-length)栏位、一传输控制协定(Transmission Control Protocol;TCP)的一滑动视窗(sliding window)栏位以及一重发超过时间(retransmission time-out)栏位以获得一笔训练流量数据,并以张量结构表示各训练流量数据。
各训练流量数据的张量结构是由一三维坐标系统所表示。三维坐标系统包含一第一维度、一第二维度及一第三维度。第一维度表示由时间戳记所构成的一第一数值,第二维度表示由来源端IP地址所构成的一第二数值,以及第三维度表示由HTTP标头的保持存活栏位与内文长度栏位及TCP的滑动视窗栏位与重发超过时间栏位所构成的一第三数值。
随后,本地装置3将该等训练数据302传送至中心装置2,由中心装置2将该等训练数据302输入至张量神经网络模型TM,以训练张量神经网络模型TM,并生成威胁分类器TCR。中心装置2将威胁分类器TCR传送至本地装置3,使本地装置3利用威胁分类器TCR辨识待辨识数据304的威胁类型。换言之,针对目的端为外部服务器4的该等封包,本地装置3自各封包中撷取时间戳记、来源端IP地址、超文本传输协定(HTTP)标头的保持存活(keep-alive)栏位与内文长度(content-length)栏位、传输控制协定(TCP)的滑动视窗(slidingwindow)栏位以及重发超过时间(retransmission time-out)栏位获得一笔待辨识流量数据,并以张量结构表示待辨识流量数据。最后,本地装置3基于特定时间区间(即,每秒封包数量大于临界值的一时间区间)所产生的该等待辨识流量数据,产生待辨识数据304,并将待辨识数据304输入至威胁分类器TCR以获得分类结果306。如同前述,分类结果306对应至该等威胁类型其中之一。
进一步言,封包数据具有负载重及服务单纯的特性。举例而言,该等威胁类型可包含3种封包威胁类型:第一封包威胁类型为「藉由一直传送不完整的消息,要求保持持续连线性」,第二封包威胁类型为「藉由要求目的端传送超长消息,但来源端每次传送消息是短的、间隔时间长且不固定」,以及第三封包威胁类型为「藉由要求设定滑动视窗,占据较多服务资源」。分类结果306可为一具有3个元素的向量,且3个元素分别表示对应至3种封包威胁类型的机率值。机率值最高者表示分类结果306所对应的封包威胁类型。
本地装置3根据分类结果306,判断待辨识数据304属于前述3种封包威胁类型时,则进一步地做出适当的防御。举例而言,若待辨识数据304呈现来源端一直传送不完整的消息(即,不包含\r\n\r\n(0d0a0d0a)的消息),则分类结果306对应至第一封包威胁类型。在此情况下,本地装置3可藉由设定一最大允许等待次数为「(1-对应至第一封包威胁类型的机率值)乘上预设等待次数」,且当达到最大允许等待次数时,则中断连线,以对此封包威胁类型的攻击进行防御。
再举例而言,若待辨识数据304呈现来源端以10-100秒速度发送一个字节,则分类结果306对应至第二封包威胁类型。在此情况下,本地装置3可藉由设定一最大允许传送时间为「(1-对应至第二封包威胁类型的机率值)乘上(1+平均传输时间)」,以对此封包威胁类型的攻击进行防御。
再举例而言,若待辨识数据304呈现来源端的TCP参数变更次数频繁而藉以控制目的端单次发送的数据大小,导致长期占有资源,则分类结果306对应至第三封包威胁类型。在此情况下,本地装置3可藉由设定一最大允许滑动视窗大小为「(1-对应至第三封包威胁类型的机率值)乘上(1+平均滑动视窗大小)」,以对此封包威胁类型的攻击进行防御。
本发明第三实施例请再次参考第1-4图。第三实施例亦为第一实施例的延伸。于本实施例中,该等训练数据302及待辨识数据304皆为伫列数据。详言之,若该等封包的目的端为核心网络CN中的装置,例如:执行AMF 504的装置,则本地装置3判断基于该等封包的信息所产生的该等训练数据302及待辨识数据304属于伫列数据。同样地,本地装置3可利用嗅探工具(例如:tcpdump)搜集封包的信息。
针对目的端为核心网络CN中的装置的该等封包,本地装置3自各封包中撷取一时间戳记、一目的端IP地址、一拒绝服务次数、一服务解析时间以及一资源处理时间以获得一笔训练数据,并以张量结构表示各训练数据。同样地,各训练数据的张量结构是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。不同于第二实施例,于本实施例中,对于伫列数据,第一维度是表示由时间戳记所构成的第一数值,第二维度是表示由目的端IP地址所构成的第二数值,以及第三维度是表示由拒绝服务次数、服务解析时间及资源处理时间所构成的第三数值。
本地装置3将该等训练数据302传送至中心装置2,由中心装置2将该等训练数据302输入至张量神经网络模型TM,以训练张量神经网络模型TM,并生成威胁分类器TCR。中心装置2将威胁分类器TCR传送至本地装置3,使本地装置3利用威胁分类器TCR辨识待辨识数据304的威胁类型。换言之,针对目的端为核心网络CN中的装置的该等封包,本地装置3自各封包中撷取时间戳记、目的端IP地址、拒绝服务次数、服务解析时间以及资源处理时间以获得一笔待辨识流量数据,并以张量结构表示待辨识流量数据。最后,本地装置3基于特定时间区间(即,每秒封包数量大于临界值的一时间区间)所产生的该等待辨识流量数据,产生待辨识数据304,并将待辨识数据304输入至威胁分类器TCR以获得分类结果306。如同前述,分类结果306对应至该等威胁类型其中之一。
进一步言,伫列数据具有负载轻及服务复杂的特性。举例而言,该等威胁类型包含4种伫列威胁类型:第一伫列威胁类型为「透过重传或回复机制启动拥塞控制,降低网络吞吐量」,第二伫列威胁类型为「留存过多数据或允许过长封包标头于暂存或快取区,导致后续连线被拒绝」,第三伫列威胁类型为「应用简单规则且合法,但内含逻辑炸弹,藉此消耗主机端前后端资源」,以及第四伫列威胁类型为「应用合法但却复杂规则,藉此消耗前后端解析信息」。分类结果306可为一具有4个元素的向量,且4个元素分别表示对应至4种伫列威胁类型的机率值。机率值最高者表示分类结果306所对应的伫列威胁类型。
本地装置3根据分类结果306,判断待辨识数据304属于前述4种伫列威胁类型时,则进一步地做出适当的防御。举例而言,若待辨识数据304呈现透过重传/回复机制启动拥塞控制,以降低网络吞吐量,则分类结果306对应至第一伫列威胁类型。在此情况下,本地装置3可藉由将重发超过时间设定为「(1-对应至第一伫列威胁类型的机率值)乘上(1+预设重发超过时间)」,以对此伫列威胁类型的攻击进行防御。
再举例而言,若待辨识数据304呈现留存过多数据或允许过长封包标头(header)于暂存区或快取区(cache),导致后续连线被拒,则分类结果306对应至第二伫列威胁类型。在此情况下,本地装置3可藉由清除暂存数据,以对此伫列威胁类型的攻击进行防御。
再举例而言,若待辨识数据304中存在串接大量独立指令,建立逻辑炸弹(logicbomb),使目标服务端得到一个无效结果,造成资源损耗,则分类结果306对应至第三伫列威胁类型。在此情况下,本地装置3可藉由将最大允许回应时间设定为「(1-对应至第三伫列威胁类型的机率值)乘上(1+平均回应时间)」,以对此伫列威胁类型的攻击进行防御。
再举例而言,假设待辨识数据中存在大量合并(JOIN)类型指令(例如:布林函数运算指令)组合进行检索,使目标服务端的索引资源被大量消耗,则分类结果306对应至第四伫列威胁类型,本地装置3可藉由将最大允许回应时间设定为「(1-对应至第四伫列威胁类型的机率)乘上(1+平均回应时间)」,以对此伫列威胁类型的攻击进行防御。
须说明者,前述第二实施例的三种封包威胁类型及第三实施例的四种伫列威胁类型仅作为举例说明,以及本领域技术人员可基于前述说明了解,本发明的威胁侦测系统1可对不同数量种类的封包威胁类型及不同数量种类的伫列威胁类型进行张量神经网络(TNN)模型的训练,以生成多个不同的威胁分类器TCR。中心装置2可保存各种威胁分类器TCR,并基于实际需求(威胁类型的改变或环境的改变)更换本地装置3的威胁分类器TCR或其参数(又称超参数),以进行符合实际需求的防御。再者,依据不同本地装置3所扮演的角色(即,其所具有的功能及能力),各本地装置3可设有封包威胁类型的分类器及伫列威胁类型的分类器其中之一,或者同时设有封包威胁类型的分类器及伫列威胁类型的分类器。
本发明第四实施例如图5所示,其为本发明中心装置2的示意图。中心装置2包含一网络接口21以及一处理器23。处理器23电性连接至网络接口21。基于说明简化的原则,中心装置2的其它元件,例如:储存器、壳体、电源模组等与本发明较不相关的元件,皆于图中省略而未绘示。处理器23可为各种处理器、中央处理单元、微处理器、数字讯号处理器或本领域技术人员所知的其他可进行机器学习或深度学习的计算装置。
对应至第一实施例,网络接口21用以连接本地装置3。处理器23透过网络接口21,自本地装置3接收多个训练数据302。各训练数据302是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成。处理器23将该等训练数据302输入至张量神经网络模型TM,以训练张量神经网络模型TM,并生成威胁分类器TCR。威胁分类器TCR用以辨识多个威胁类型。处理器23透过网络接口21,将威胁分类器TCR传送至本地装置3,以使本地装置3撷取每秒封包数量大于临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据,并将待辨识数据输入至威胁分类器TCR,以产生一分类结果306。分类结果306对应至该等威胁类型其中之一。
于一实施例中,临界值与一日平均封包总数量相关联。
对应至第二实施例,该等训练数据302及该待辨识数据304每一者是一封包数据,以及该等训练流量数据及该等待辨识流量数据每一者是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示由时间戳记所构成的第一数值。第二维度表示由来源端IP地址所构成的第二数值。第三维度表示由超文本传输协定(HyperText Transfer Protocol;HTTP)标头的保持存活(keep-alive)栏位与内文长度(content-length)栏位及传输控制协定(Transmission Control Protocol;TCP)的滑动视窗(sliding window)栏位与重发超过时间(retransmission time-out)栏位所构成的第三数值。
对应至第三实施例,该等训练数据302及该待辨识数据304每一者是一伫列数据,以及该等训练流量数据及该等待辨识流量数据每一者是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示时间戳记所构成的第一数值。第二维度表示由目的端IP地址所构成的第二数值。第三维度表示由拒绝服务次数、服务解析时间及资源处理时间所构成的第三数值。
本发明第五实施例如图6所示,其是为本发明本地装置3的示意图。本地装置3包含一网络接口31以及一处理器33。处理器33电性连接至网络接口31。基于说明简化的原则,本地装置3的其它元件,例如:储存器、壳体、电源模组等与本发明较不相关的元件,皆于图中省略而未绘示。处理器33可为各种处理器、中央处理单元、微处理器、数字讯号处理器或本领域技术人员所知的其他计算装置。
对应至第一实施例,网络接口31用以连接中心装置2。处理器33撷取多个训练数据302。各训练数据302是由每秒封包数量大于临界值的时间区间内的多个训练流量数据所构成。处理器33透过网络接口31,传送该等训练数据302至中心装置2,以使中心装置2将该等训练数据302输入至张量神经网络(Tensor Neural Network;TNN)模型TM,以训练张量神经网络模型TM,并生成威胁分类器TCR。威胁分类器TCR用以辨识多个威胁类型。处理器33透过网络接口31,自中心装置2接收威胁分类器TCR。处理器33撷取每秒封包数量大于临界值的另一时间区间内的多个待辨识流量数据,以产生待辨识数据304。处理器33将待辨识数据304输入至威胁分类器TCR,以产生分类结果306。分类结果对应至该等威胁类型其中之一。
于一实施例中,临界值与日平均封包总数量相关联。
对应至第二实施例,该等训练数据302及待辨识数据304每一者是封包数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示由时间戳记所构成的第一数值。第二维度表示由来源端IP地址所构成的第二数值。第三维度表示由超文本传输协定(HyperText Transfer Protocol;HTTP)标头的保持存活(keep-alive)栏位与内文长度(content-length)栏位及传输控制协定(Transmission Control Protocol;TCP)的滑动视窗(sliding window)栏位与重发超过时间(retransmission time-out)栏位所构成的第三数值。
对应至第三实施例,该等训练数据302及待辨识数据304每一者是伫列数据,以及该等训练流量数据及该等待辨识流量数据每一者是由三维坐标系统所表示。三维坐标系统包含第一维度、第二维度及第三维度。第一维度表示由时间戳记所构成的第一数值。第二维度表示由目的端IP地址所构成的第二数值。第三维度表示由拒绝服务次数、服务解析时间及资源处理时间所构成的第三数值。
综上所述,本发明的威胁侦测系统藉由中心装置训练张量神经网络模型,以生成供本地装置辨识核心网络内部及外部不同的低速分散式阻断服务(LSDDoS)攻击类型的威胁分类器。据此,本发明的威胁侦测机制可侦测LSDDoS攻击并辨识出其攻击类型,进而做出适当的防御。
上述的实施例仅用来例举本发明的实施态样,以及阐释本发明的技术特征,并非用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的安排均属于本发明所主张的范围,本发明的权利保护范围应以权利要求为准。
Claims (20)
1.一种用于一移动通信系统的威胁侦测系统,其特征在于,包含:
一中心装置,位于该移动通信系统的一核心网络,且用以执行下列操作:
自一本地装置接收多个训练数据,各该训练数据由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成;
将该等训练数据输入至一张量神经网络模型,以训练该张量神经网络模型,并生成一威胁分类器,该威胁分类器用以辨识多个威胁类型;以及
将该威胁分类器传送至该本地装置;以及
该本地装置,用以执行下列操作:
自该中心装置接收该威胁分类器;
撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据;以及
将该待辨识数据输入至该威胁分类器,以产生一分类结果,该分类结果对应至该等威胁类型其中之一。
2.如权利要求1所述的威胁侦测系统,其特征在于,该等训练数据及该待辨识数据每一者是一封包数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。
3.如权利要求2所述的威胁侦测系统,其特征在于,该三维坐标系统包含一第一维度、一第二维度及一第三维度,该第一维度表示由一时间戳记所构成的一第一数值,该第二维度表示由一来源端IP地址所构成的一第二数值及该第三维度表示由一超文本传输协定标头的一保持存活栏位与一内文长度栏位及一传输控制协定的一滑动视窗栏位与一重发超过时间栏位所构成的一第三数值。
4.如权利要求1所述的威胁侦测系统,其特征在于,该等训练数据及该待辨识数据每一者是一伫列数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。
5.如权利要求4所述的威胁侦测系统,其特征在于,该三维坐标系统包含一第一维度、一第二维度及一第三维度,该第一维度表示由一时间戳记所构成的一第一数值,该第二维度表示由一目的端IP地址所构成的一第二数值,以及该第三维度表示由一拒绝服务次数、一服务解析时间及一资源处理时间所构成的一第三数值。
6.如权利要求1所述的威胁侦测系统,其特征在于,该中心装置更计算该威胁分类器的一错误率,以更新该临界值,以及因应该临界值被更新,重新训练该张量神经网络模型,以更新该威胁分类器,并将更新的该威胁分类器传送至该本地装置。
7.如权利要求1所述的威胁侦测系统,其特征在于,该中心装置更基于一排程周期重新训练该张量神经网络模型,以更新该威胁分类器。
8.如权利要求1所述的威胁侦测系统,其特征在于,该临界值与一日平均封包总数量相关联。
9.一种用于一移动通信系统的一威胁侦测系统的中心装置,其特征在于,该威胁侦测系统包含该中心装置及一本地装置,该中心装置位于该移动通信系统的一核心网络,该中心装置包含:
一网络接口,用以连接该本地装置;以及
一处理器,电性连接至该网络接口,并用以执行以下操作:
透过该网络接口,自该本地装置接收多个训练数据,各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成;
将该等训练数据输入至一张量神经网络模型,以训练该张量神经网络模型,并生成一威胁分类器,该威胁分类器用以辨识多个威胁类型;以及
透过该网络接口,将该威胁分类器传送至该本地装置,以使该中心装置撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据,并将该待辨识数据输入至该威胁分类器,以产生一分类结果,其中,该分类结果对应至该等威胁类型其中之一。
10.如权利要求9所述的中心装置,其特征在于,该等训练数据及该待辨识数据每一者是一封包数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。
11.如权利要求10所述的中心装置,其特征在于,该三维坐标系统包含一第一维度、一第二维度及一第三维度,该第一维度表示由一时间戳记所构成的一第一数值,该第二维度表示由一来源端IP地址所构成的一第二数值及该第三维度表示由一超文本传输协定标头的一保持存活栏位与一内文长度栏位及一传输控制协定的一滑动视窗栏位与一重发超过时间栏位所构成的一第三数值。
12.如权利要求9所述的中心装置,其特征在于,该等训练数据及该待辨识数据每一者是一伫列数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。
13.如权利要求12所述的中心装置,其特征在于,该三维坐标系统包含一第一维度、一第二维度及一第三维度,该第一维度表示一时间戳记所构成的一第一数值,该第二维度表示由一目的端IP地址所构成的一第二数值,以及该第三维度表示由一拒绝服务次数、一服务解析时间及一资源处理时间所构成的一第三数值。
14.如权利要求9所述的中心装置,其特征在于,该临界值与一日平均封包总数量相关联。
15.一种用于一移动通信系统的一威胁侦测系统的本地装置,其特征在于,该威胁侦测系统包含一中心装置及该本地装置,该中心装置位于该移动通信系统的一核心网络,该本地装置包含:
一网络接口,用以连接该中心装置;以及
一处理器,电性连接至该网络接口,并用以执行以下操作:
撷取多个训练数据,各该训练数据是由每秒封包数量大于一临界值的一时间区间内的多个训练流量数据所构成;
透过该网络接口,传送该等训练数据至该中心装置,以使该中心装置将该等训练数据输入至一张量神经网络模型,以训练该张量神经网络模型,并生成一威胁分类器,其中该威胁分类器用以辨识多个威胁类型;
透过该网络接口,自该中心装置接收该威胁分类器;
撷取每秒封包数量大于该临界值的另一时间区间内的多个待辨识流量数据,以产生一待辨识数据;以及
将该待辨识数据输入至该威胁分类器,以产生一分类结果,其中,该分类结果对应至该等威胁类型其中之一。
16.如权利要求15所述的本地装置,其特征在于,该等训练数据及该待辨识数据每一者是一封包数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。
17.如权利要求16所述的本地装置,其特征在于,该三维坐标系统包含一第一维度、一第二维度及一第三维度,该第一维度表示由一时间戳记所构成的一第一数值,该第二维度表示由一来源端IP地址及该第三维度表示由一超文本传输协定标头的一保持存活栏位与一内文长度栏位所构成的一第二数值及一传输控制协定的一滑动视窗栏位与一重发超过时间栏位所构成的一第三数值。
18.如权利要求15所述的本地装置,其特征在于,该等训练数据及该待辨识数据每一者是一伫列数据,以及该等训练流量数据及该等待辨识流量数据每一者是由一三维坐标系统所表示。
19.如权利要求18所述的本地装置,其特征在于,该三维坐标系统包含一第一维度、一第二维度及一第三维度,该第一维度表示一时间戳记所构成的一第一数值,该第二维度表示由一目的端IP地址所构成的一第二数值,以及该第三维度表示由一拒绝服务次数、一服务解析时间及一资源处理时间所构成的一第三数值。
20.如权利要求15所述的本地装置,其特征在于,该临界值与一日平均封包总数量相关联。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109100331 | 2020-01-06 | ||
| TW109100331A TWI698102B (zh) | 2020-01-06 | 2020-01-06 | 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113163406A true CN113163406A (zh) | 2021-07-23 |
| CN113163406B CN113163406B (zh) | 2023-10-17 |
Family
ID=72602224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010054392.5A Active CN113163406B (zh) | 2020-01-06 | 2020-01-17 | 用于移动通信系统的威胁侦测系统及其中心装置与本地装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11368482B2 (zh) |
| CN (1) | CN113163406B (zh) |
| TW (1) | TWI698102B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102291869B1 (ko) * | 2019-12-31 | 2021-08-19 | 아주대학교산학협력단 | 비정상 트래픽 패턴의 탐지 방법 및 장치 |
| TWI784753B (zh) * | 2021-10-15 | 2022-11-21 | 財團法人資訊工業策進會 | 測試核心網路功能實體之方法、測試設備及非暫態電腦可讀媒體 |
| CN114928492B (zh) * | 2022-05-20 | 2023-11-24 | 北京天融信网络安全技术有限公司 | 高级持续威胁攻击识别方法、装置和设备 |
| CN115695027A (zh) * | 2022-11-04 | 2023-02-03 | 中国电子科技集团公司第十五研究所 | 一种原始网络流威胁检测方法与装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800727A (zh) * | 2017-12-12 | 2018-03-13 | 蔡昌菊 | 一种DDoS检测方法 |
| US20180367561A1 (en) * | 2017-06-14 | 2018-12-20 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
| CN109597043A (zh) * | 2018-11-16 | 2019-04-09 | 江苏科技大学 | 基于量子粒子群卷积神经网络的雷达信号识别方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US9866426B2 (en) * | 2009-11-17 | 2018-01-09 | Hawk Network Defense, Inc. | Methods and apparatus for analyzing system events |
| US9215244B2 (en) * | 2010-11-18 | 2015-12-15 | The Boeing Company | Context aware network security monitoring for threat detection |
| US20210216928A1 (en) * | 2020-01-13 | 2021-07-15 | Johnson Controls Technology Company | Systems and methods for dynamic risk analysis |
-
2020
- 2020-01-06 TW TW109100331A patent/TWI698102B/zh active
- 2020-01-17 CN CN202010054392.5A patent/CN113163406B/zh active Active
- 2020-01-30 US US16/777,865 patent/US11368482B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180367561A1 (en) * | 2017-06-14 | 2018-12-20 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
| CN107800727A (zh) * | 2017-12-12 | 2018-03-13 | 蔡昌菊 | 一种DDoS检测方法 |
| CN109597043A (zh) * | 2018-11-16 | 2019-04-09 | 江苏科技大学 | 基于量子粒子群卷积神经网络的雷达信号识别方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李寒雨;秦克;李家志;罗威;赵开敏;: "一种基于改进迭代决策树算法的目标威胁评估模型", 舰船电子工程, no. 10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11368482B2 (en) | 2022-06-21 |
| TW202127834A (zh) | 2021-07-16 |
| TWI698102B (zh) | 2020-07-01 |
| US20210211458A1 (en) | 2021-07-08 |
| CN113163406B (zh) | 2023-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113163406B (zh) | 用于移动通信系统的威胁侦测系统及其中心装置与本地装置 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| US11700275B2 (en) | Detection of malware and malicious applications | |
| US10218598B2 (en) | Automatic parsing of binary-based application protocols using network traffic | |
| US20210352090A1 (en) | Network security monitoring method, network security monitoring device, and system | |
| CN111181901B (zh) | 异常流量检测装置及其异常流量检测方法 | |
| CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
| WO2015018303A1 (en) | Method and device for detecting distributed denial of service attack | |
| CN108337652B (zh) | 一种检测流量欺诈的方法及装置 | |
| WO2021170141A1 (zh) | 一种信息处理方法及装置、设备、存储介质 | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| JP6548823B2 (ja) | 木グラフプロパティを適用するjsonデータのリアルタイムバリデーション | |
| Kakavelakis et al. | Auto-learning of {SMTP}{TCP}{Transport-Layer} Features for Spam and Abusive Message Detection | |
| CN114422207B (zh) | 基于多模态的c&c通信流量检测方法及装置 | |
| JP2018531466A6 (ja) | 木グラフプロパティを適用するjsonデータのリアルタイムバリデーション | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| WO2014175583A1 (ko) | 악성 메시지 검사 방법 및 장치 | |
| CN113901334B (zh) | 一种基于服务数据矩阵的社交软件用户行为识别方法 | |
| Nakamura et al. | Malicious host detection by imaging SYN packets and a neural network | |
| Wang et al. | A classifier method for detection of covert channels over lte | |
| JP2019216305A (ja) | 通信装置、パケット処理方法及びプログラム | |
| WO2023085491A1 (ko) | 인공지능 기반 악성 스팸 전화 판별 방법 및 장치 | |
| CN118612780A (zh) | 面向蜂窝网络大流量数据的人机交互异常检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |