CN113691562B - 一种精确识别恶意网络通讯的规则引擎实现方法 - Google Patents
一种精确识别恶意网络通讯的规则引擎实现方法 Download PDFInfo
- Publication number
- CN113691562B CN113691562B CN202111082727.5A CN202111082727A CN113691562B CN 113691562 B CN113691562 B CN 113691562B CN 202111082727 A CN202111082727 A CN 202111082727A CN 113691562 B CN113691562 B CN 113691562B
- Authority
- CN
- China
- Prior art keywords
- data
- identification
- feature
- session
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 title claims abstract description 16
- 238000010801 machine learning Methods 0.000 claims abstract description 14
- 230000008569 process Effects 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 19
- 238000007405 data analysis Methods 0.000 claims description 9
- 238000012423 maintenance Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000003066 decision tree Methods 0.000 claims description 3
- 238000009795 derivation Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 230000008713 feedback mechanism Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 239000003446 ligand Substances 0.000 claims description 3
- 230000008520 organization Effects 0.000 claims description 3
- 238000012706 support-vector machine Methods 0.000 claims description 3
- 238000000926 separation method Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 6
- 238000013461 design Methods 0.000 abstract description 5
- 230000006872 improvement Effects 0.000 abstract description 4
- 238000005457 optimization Methods 0.000 abstract description 4
- 230000000007 visual effect Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008030 elimination Effects 0.000 description 2
- 238000003379 elimination reaction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Algebra (AREA)
- Mathematical Optimization (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Pure & Applied Mathematics (AREA)
- Medical Informatics (AREA)
- Mathematical Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种精确识别恶意网络通讯的规则引擎实现方法,涉及网络通讯规则引擎技术领域,包括步骤1‑步骤8;本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确;本发明除了要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,通过改进识别流程,拆分识别职责,从而提升识别效率和识别准确率,在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员;实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。
Description
技术领域
本发明属于网络通讯规则引擎技术领域,具体涉及一种精确识别恶意网络通讯的规则引擎实现方法。
背景技术
随着互联网技术的不断发展,互联网上不稳定因素也在不断增加,人们在加紧部署网路安全设施的同时,网络恶意流量的类型和种类也在不断的变化当中,网络威胁的识别机制也需要不断的推陈出新,及时防护网络,保护上网者的上网安全。本识别引擎是对传统识别引擎的完善和补充,相较之前的恶意流量识别引擎,本识别引擎不需要需要使用人员对网络攻击相关知识有较深的了解,不需要熟练掌握识别引擎的使用规则,降低入门门槛,部署完成即可起效,可以做到“无干预”运行。在识别效率上,本识别引擎采用了高效的特征匹配策略和匹配算法,保证流量信息的快速处理。在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员。
精确识别恶意网络通讯的规则引擎实现中,要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,现有技术是使用者的使用门槛较高;恶意流量识别的效率较低且识别的准确度较低,为此我们提出一种精确识别恶意网络通讯的规则引擎实现方法来解决现有技术中存在的问题。
发明内容
本发明的目的在于提供一种精确识别恶意网络通讯的规则引擎实现方法,以解决上述背景技术中提出现有技术中的问题。
为实现上述目的,本发明采用了如下技术方案:一种精确识别恶意网络通讯的规则引擎实现方法,包括如下步骤:
步骤1、系统进行服务器搭建,本服务器使用串接方式接入组织的外网接口;
步骤2、进行引擎PDUMP抓包作为网络流量的入口,对出入流量进行实时抓包留存处理,此时的数据量可能比较多,其中包括大量正常流量,因此需要先把可识别的正常流量排除掉;
步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除,依据是累积的正常会话特征库,这个过程可以排除掉大部分的数据,后续我们只针对少部分的数据进行特征风险识别;
步骤4、在上一步的基础上,发现的可疑会话流量,此时需要做详细检查,判断是否是已知的恶意攻击行为,如果匹配正确,那么需要做告警处理,同时判断是否还有未匹配的流量数据,如果还有剩余,我们将这部分数据丢进大数据特征学习匹配平台,做后续处理;
步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理,通过学习已知风险对风险变种进行识别区分;
步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库,用于放行安全会话信息,此部分信息专业人员可以协助维护;
步骤7、危险会话特征库是经过多方渠道,累积下来的已知危险会话特征;
步骤8、系统采用各种反馈机制,完成系统运行与网安人员的互动,帮助网安人员及时发现问题,处理危情。
优选的,步骤1中,系统采用Linux服务器进行搭建,服务器内存至少16G、硬盘至少1T,CPU使用因特尔系列处理器。
3.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤2中,采用DPDK抓包作为引擎PDUMP抓包软件。
4.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤3至步骤4中特征匹配过滤流程包括三个步骤:
S1、第一步完成对会话数据的还原操作,这一步操作通过定义还原策略的方式进行还原,排除掉不需要的会话信息,还原关键点和特征,主要包含数据包中第18到28位的数据,这里可以灵活配置还原策略,让引擎高可用;
S1、第二步我们通过特征库进行字符串和五元组匹配,首先检查会话的五元组信息,在已知特征表里找出对应的特征,完成数据匹配;
S1、第三步采用字符串通配法匹配特征,查找对应数据,字符串特征我们构建了字符串索引,使检索的效率增加,快速匹配数据值。
优选的,步骤3中,根据网络会话协议对网络数据进行数据分析,其中包括对不相关数据的丢弃,可用数据的提取。
优选的,对会话的传输数据进行特征提取,这部分我们对数据的关键字符串进行提取,在数据包里面是报文第18位到28位的区间范围,这部分字符串我们作为识别会话特点的特征。
优选的,将提取到的特征数据按照字符串匹配法对特征进行归类,这一步的操作类型创建索引,有利于后续我们查询使用;
然后我们针对旧的特征衍生策略,和自定义的特征衍生策略,自学习生成同种类的特征,方法主要是通过增加统配符的方式进行扩展。
优选的,步骤7中,危险会话特征库还包括系统自主学习生成的特征库,此部分信息专业人员可以协助维护。
优选的,本规则引擎实现方法中的机器学习算法主要采用的是支持向量机和决策树,帮助完成对特征的衍生和整理,快速分类和扩充。
优选的,样本库提供了机器学习的学习样本,使机器学习策略按照我们的需求进行数据分析处理。
本发明的技术效果和优点:本发明提出的一种精确识别恶意网络通讯的规则引擎实现方法,与现有技术相比,具有以下优点:
本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确;本发明除了要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,通过改进识别流程,拆分识别职责,从而提升识别效率和识别准确率,在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员;实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书以及附图中所指出的结构来实现和获得。
附图说明
图1为本发明的系统结构设计图;
图2为本发明大数据机器学习平台设计图;
图3为本发明中特征匹配过滤流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了如图1-3所示的实施例:
系统机构设计详述(参见图1):
步骤1、系统采用Linux服务器进行搭建,服务器内存至少16G、硬盘至少1T,CPU使用因特尔系列处理器,本服务器使用串接方式接入组织的外网接口;
步骤2、采用DPDK抓包引擎PDUMP抓包软件作为网络流量的入口,对出入流量进行实时抓包留存处理,此时的数据量可能比较多,其中包括大量正常流量,因此需要先把可识别的正常流量排除掉;
步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除,依据是累积的正常会话特征库,这个过程可以排除掉大部分的数据,后续我们只针对少部分的数据进行特征风险识别;
步骤4、这一步是在上一步的基础上,发现的可疑会话流量,此时需要做详细检查,判断是否是已知的恶意攻击行为,如果匹配正确,那么需要做告警处理,同时判断是否还有未匹配的流量数据,如果还有剩余,我们将这部分数据丢进大数据特征学习匹配平台,做后续处理;
步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理,通过学习已知风险对风险变种进行识别区分
步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库,用于放行安全会话信息,此部分信息专业人员可以协助维护;
步骤7、危险会话特征库是经过多方渠道,累积下来的已知危险会话特征,还包括系统自主学习生成的特征库,此部分信息专业人员可以协助维护;
步骤8、系统采用各种反馈机制,完成系统运行与网安人员的互动,帮助网安人员及时发现问题,处理危情;
大数据机器学习平台详述(图见图2):
1、本系统可以直接对接网络流量数据,也可以通过三方识别网络流量文件进行数据分析,提供两种方式满足实际不同的应用场景;
2、当数据进入到系统,首先要对数据包进行格式化的检查整理,处理成本系统可以分析的格式化数据,其中包括数据的解析,我们统一按照逗号分隔的形式拆分数据字段;
3、根据网络会话协议对网络数据进行数据分析,其中包括对不相关数据的丢弃,可用数据的提取;
4、对会话的传输数据进行特征提取,这部分我们对数据的关键字符串进行提取,在数据包里面是报文第18位到28位的区间范围,这部分字符串我们作为识别会话特点的特征;
5、我们将提取到的特征数据按照字符串匹配法对特征进行归类,这一步的操作类型创建索引,有利于后续我们查询使用;
6、然后我们针对旧的特征衍生策略,和自定义的特征衍生策略,自学习生成同种类的特征,方法主要是通过增加统配符的方式进行扩展;
7、机器学习算法主要采用的是支持向量机和决策树,帮助完成对特征的衍生和整理,快速分类和扩充;
8、样本库提供了机器学习的学习样本,使机器学习策略按照我们的需求进行数据分析处理;
9、这一步我们针对输入数据进行再一次的特征匹配,检查是否是恶意会话,此步骤的匹配方式是通过字符串统配匹配的方式完成,实际上还是简单的字符串检查操作,当前的检查可以准确识别出是否是恶意会话数据;
10、如果第九步处理完之后还有剩余未识别的流量数据,本方案提供了人为介入的接口,网安人员可以对剩余数据进行经验分析,然后确定是否放行;
特征匹配过滤流程详述(图见图3):
1、第一步完成对会话数据的还原操作,这一步操作通过定义还原策略的方式进行还原,排除掉不需要的会话信息,还原关键点和特征,主要包含数据包中第18到28位的数据,这里可以灵活配置还原策略,让引擎高可用;
2、这一步我们通过特征库进行字符串和五元组匹配,首先检查会话的五元组信息,在已知特征表里找出对应的特征,完成数据匹配;
3、这一步采用字符串通配法匹配特征,查找对应数据,字符串特征我们构建了字符串索引,使检索的效率增加,快速匹配数据值。
综上所述,本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确;本发明除了要对使用者使用的过程进行人性化优化以外,更重要的是对识别策略和识别方法的改进,通过改进识别流程,拆分识别职责,从而提升识别效率和识别准确率,在识别准确率方面,本识别引擎设计了一套完整的恶意特征生成体系,系统可以通过不断的允许自主完成特征的更新操作,从而更精准更快速的将恶意信息反馈给网络安全管理相关人员;实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于,包括如下步骤:
步骤1、系统进行服务器搭建,本服务器使用串接方式接入组织的外网接口;
步骤2、进行引擎PDUMP抓包作为网络流量的入口,对出入流量进行实时抓包留存处理,其中包括大量正常流量,把可识别的正常流量排除掉;
步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除,依据是累积的正常会话特征库;
步骤4、在上一步的基础上,发现的可疑会话流量,判断是否是已知的恶意攻击行为,如果匹配正确,做告警处理,同时判断是否还有未匹配的流量数据,如果还有剩余,将这部分数据丢进大数据特征学习匹配平台,做后续处理;
步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理,通过学习已知风险对风险变种进行识别区分;
步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库,用于放行安全会话信息,此部分信息专业人员可以协助维护;
步骤7、危险会话特征库是经过多方渠道,累积下来的已知危险会话特征,所述危险会话特征库还包括系统自主学习生成的特征库,此部分信息专业人员可以协助维护;
步骤8、系统采用各种反馈机制,完成系统运行与网安人员的互动,及时发现问题,处理危情;
步骤3至步骤4中特征匹配过滤流程包括三个步骤:
S1、第一步完成对会话数据的还原操作,这一步操作通过定义还原策略的方式进行还原,排除掉不需要的会话信息,还原关键点和特征,主要包含数据包中第18到28位的数据;
S2、第二步通过特征库进行字符串和五元组匹配,首先检查会话的五元组信息,在已知特征表里找出对应的特征,完成数据匹配;
S3、第三步采用字符串通配法匹配特征,查找对应数据,利用字符串特征构建字符串索引,使检索的效率增加,快速匹配数据值;
步骤4中,所述大数据特征学习匹配平台处理数据包括:
首先要对数据包进行格式化的检查整理,处理成本系统可以分析的格式化数据,其中包括数据的解析,统一按照逗号分隔的形式拆分数据字段;
根据网络会话协议对网络数据进行数据分析,其中包括对不相关数据的丢弃,可用数据的提取;
对会话的传输数据进行特征提取,这部分对数据的关键字符串进行提取,在数据包里面是报文第18位到28位的区间范围,这部分字符串作为识别会话特点的特征;
将提取到的特征数据按照字符串匹配法对特征进行归类;
然后针对旧的特征衍生策略,和自定义的特征衍生策略,自学习生成同种类的特征,方法主要是通过增加统配符的方式进行扩展;
本规则引擎实现方法中的机器学习算法主要采用的是支持向量机和决策树,完成对特征的衍生和整理以及快速分类和扩充;
样本库提供了机器学习的学习样本,使机器学习策略按照需求进行数据分析处理;
针对处理完之后剩余未识别的流量数据,提供人为介入的接口,网安人员可以对剩余数据进行经验分析,确定是否放行。
2.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤1中,系统采用Linux服务器进行搭建,服务器内存至少16G、硬盘至少1T,CPU使用因特尔系列处理器。
3.根据权利要求1所述的一种精确识别恶意网络通讯的规则引擎实现方法,其特征在于:步骤2中,采用DPDK抓包作为引擎PDUMP抓包软件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111082727.5A CN113691562B (zh) | 2021-09-15 | 2021-09-15 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111082727.5A CN113691562B (zh) | 2021-09-15 | 2021-09-15 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113691562A CN113691562A (zh) | 2021-11-23 |
| CN113691562B true CN113691562B (zh) | 2024-04-23 |
Family
ID=78586415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111082727.5A Active CN113691562B (zh) | 2021-09-15 | 2021-09-15 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691562B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468252A (zh) * | 2013-09-23 | 2015-03-25 | 重庆康拜因科技有限公司 | 一种基于正迁移学习的智能网络业务识别方法 |
| CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测系统 |
| CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN108512841A (zh) * | 2018-03-23 | 2018-09-07 | 四川长虹电器股份有限公司 | 一种基于机器学习的智能防御系统及防御方法 |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| WO2019144521A1 (zh) * | 2018-01-23 | 2019-08-01 | 杭州电子科技大学 | 信息物理交通系统中基于深度学习的恶意攻击检测方法 |
| CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测系统 |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
| US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
| CN111935081A (zh) * | 2020-06-24 | 2020-11-13 | 武汉绿色网络信息服务有限责任公司 | 一种数据包脱敏方法和装置 |
| CN112084497A (zh) * | 2020-09-11 | 2020-12-15 | 国网山西省电力公司营销服务中心 | 嵌入式Linux系统恶意程序检测方法及装置 |
-
2021
- 2021-09-15 CN CN202111082727.5A patent/CN113691562B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468252A (zh) * | 2013-09-23 | 2015-03-25 | 重庆康拜因科技有限公司 | 一种基于正迁移学习的智能网络业务识别方法 |
| CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测系统 |
| CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
| US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| WO2019144521A1 (zh) * | 2018-01-23 | 2019-08-01 | 杭州电子科技大学 | 信息物理交通系统中基于深度学习的恶意攻击检测方法 |
| CN108512841A (zh) * | 2018-03-23 | 2018-09-07 | 四川长虹电器股份有限公司 | 一种基于机器学习的智能防御系统及防御方法 |
| CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测系统 |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
| CN111935081A (zh) * | 2020-06-24 | 2020-11-13 | 武汉绿色网络信息服务有限责任公司 | 一种数据包脱敏方法和装置 |
| CN112084497A (zh) * | 2020-09-11 | 2020-12-15 | 国网山西省电力公司营销服务中心 | 嵌入式Linux系统恶意程序检测方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 网络异常行为自动识别技术研究;张存正;《中国优秀硕士学位论文全文数据库 信息科技辑(2016)》;20160915(第9期);正文第1,3-4章 * |
| 网络异常行为自动识别技术研究;张存正;中国优秀硕士学位论文全文数据库 信息科技辑;20160915(第第9期期);正文第1、3、4章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113691562A (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN106961419B (zh) | WebShell检测方法、装置及系统 | |
| CN102420723A (zh) | 一种面向多类入侵的异常检测方法 | |
| CN109818964B (zh) | 一种DDoS攻击检测方法、装置、设备以及存储介质 | |
| CN1578227A (zh) | 一种动态ip数据包过滤方法 | |
| CN113194058B (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
| CN110958233B (zh) | 一种基于深度学习的加密型恶意流量检测系统和方法 | |
| CN113079150B (zh) | 一种电力终端设备入侵检测方法 | |
| CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
| CN115987615A (zh) | 一种网络行为安全预警方法及系统 | |
| CN1235108C (zh) | 一种计算机病毒检测和识别方法 | |
| CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
| CN115396169B (zh) | 基于ttp的多步骤攻击检测与场景还原的方法及系统 | |
| CN113821793A (zh) | 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
| CN115242441A (zh) | 一种基于特征选择和深度神经网络的网络入侵检测方法 | |
| Kamalov et al. | Orthogonal variance-based feature selection for intrusion detection systems | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| CN112507336A (zh) | 基于代码特征和流量行为的服务端恶意程序检测方法 | |
| WO2018110997A1 (ko) | 네트워크 침입 탐지 규칙을 생성하는 방법 및 장치 | |
| JP2004312083A (ja) | 学習データ作成装置、侵入検知システムおよびプログラム | |
| CN112001423B (zh) | Apt恶意软件组织的开集识别方法、装置、设备和介质 | |
| CN113691562B (zh) | 一种精确识别恶意网络通讯的规则引擎实现方法 | |
| CN117857088A (zh) | 一种网络流量异常检测方法、系统、设备及介质 | |
| CN116827656A (zh) | 网络信息安全防护系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |