CN113691564A - 应用层数据流安全检测方法和计算机可读存储介质 - Google Patents

应用层数据流安全检测方法和计算机可读存储介质 Download PDF

Info

Publication number
CN113691564A
CN113691564A CN202111241978.3A CN202111241978A CN113691564A CN 113691564 A CN113691564 A CN 113691564A CN 202111241978 A CN202111241978 A CN 202111241978A CN 113691564 A CN113691564 A CN 113691564A
Authority
CN
China
Prior art keywords
application layer
layer data
network protocol
data stream
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111241978.3A
Other languages
English (en)
Other versions
CN113691564B (zh
Inventor
戚建淮
周杰
唐娟
宋晶
张莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Y&D Electronics Information Co Ltd filed Critical Shenzhen Y&D Electronics Information Co Ltd
Priority to CN202111241978.3A priority Critical patent/CN113691564B/zh
Publication of CN113691564A publication Critical patent/CN113691564A/zh
Application granted granted Critical
Publication of CN113691564B publication Critical patent/CN113691564B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及应用层数据流安全检测方法,包括:对多个应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流;对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率;根据所述码串固定概率提取固定特征数据,并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库,并基于多个所述单类网络协议特征库形成网络协议特征基线库;对待识别的应用层数据流进行特征数据提取以获取待识别特征数据,基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。本发明还涉及一种计算机可读存储介质。

Description

应用层数据流安全检测方法和计算机可读存储介质
技术领域
本发明涉及网络安全领域,更具体地说,涉及一种应用层数据流安全检测方法和计算机可读存储介质。
背景技术
随着互联网技术的发展,各行各业的业务越来越多地通过网络应用进行实施和管理,网络应用的安全检测至关重要。网络应用安全检测中一个重要的技术是应用层协议识别技术,准确的应用层协议识别有助于判断应用层流量正常/异常,便于后续对异常应用层流量进行阻断并解析出异常数据,分析异常原因。现有应用层协议识别技术通常采用特征提取对比方式实现,提取协议特征形成协议特征库,根据协议特征库形成决策树,将待识别的协议数据与决策树进行对比识别,若识别不出,将待识别的协议数据提取出的协议特征更新至协议特征库和决策树。目前采用的协议固定特征的提取方法为将多条数据码流依次比对,标记不变字段的起始位置和信息,得到协议固定特征。
而现有技术对数据码流进行依次比对,计算效率低。此外,如果中间出现一条固定字段存在误码的数据码流,在将此条与上一条码流进行比对时,会导致原本的固定特征出现改变,不能被标记为不变字段,使得固定特征识别率不高。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种识别率高、计算速度快、效率高并且容错率更好的应用层数据流安全检测方法和计算机可读存储介质。
本发明解决其技术问题所采用的技术方案是:构造一种应用层数据流安全检测方法,包括以下步骤:
S1、遍历多个应用层数据流,对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流;
S2、对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率;
S3、根据所述码串固定概率提取固定特征数据,并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库,并基于多个所述单类网络协议特征库形成网络协议特征基线库;
S4、对待识别的应用层数据流进行特征数据提取以获取待识别特征数据,基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。
在本发明所述的应用层数据流安全检测方法中,所述步骤S2进一步包括以下步骤:
S21、对每个单网络协议应用层数据流,遍历其所有报文以对每一条报文进行智能拆分,从而获得多个码串;
S22、将单个码串和所述单个码串对应的同址同码数量形成单个特征数据;
S23、对每个所述特征数据按照码串位置进行统计,以获得各个码串的同址异码数量,并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。
在本发明所述的应用层数据流安全检测方法中,在所述步骤S21中,采用齐夫分布曲线确定最佳拆分粒度,并基于所述最佳拆分粒度进行所述智能拆分。
在本发明所述的应用层数据流安全检测方法中,在所述步骤S23中,所述码串固定概率=所述同址同码数量/(所述同址同码数量+所述同址异码数量)。
在本发明所述的应用层数据流安全检测方法中,所述步骤S3进一步包括以下步骤:
S31、将所述码串固定概率高于筛选阈值的所述特征数据作为所述固定特征数据;
S32、将位置相邻的多个短码串的固定特征数据合并替换成长码串的固定特征数据;
S33、基于同类单网络协议应用层数据流的所述固定特征数据构建单类固定特征库;
S34、基于多个所述单类网络协议特征库形成网络协议特征基线库。
在本发明所述的应用层数据流安全检测方法中,基于Jaccard筛选系数确定所述筛选阈值。
在本发明所述的应用层数据流安全检测方法中,所述步骤S4进一步包括以下步骤:
S41将所述待识别的应用层数据流进行特征数据提取以获取待识别特征数据;
S42、将所述待识别特征数据与所述网络协议特征基线库中的每个单类固定特征库分别进行匹配识别,并基于匹配识别结果进行放行或者拦截所述待识别特征数据对应的所述待识别的应用层数据流。
本发明解决其技术问题采用的另一技术方案是,构造一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实所述的应用层数据流安全检测方法。
实施本发明的应用层数据流安全检测方法和计算机可读存储介质,可以通过码串固定概率来确定固定特征,识别率高、计算速度快、效率高并且容错率更好。进一步地,通过采用固定特征数据构建单类固定特征库,从而规定访问的应用层协议类别,不同的访问类别能通过不同的单类固定特征库快速的定位匹配出来,因此加快了计算速度,节约了计算资源。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的应用层数据流安全检测方法的优选实施例的流程图;
图2是本发明的应用层数据流安全检测方法的码串固定概率计算步骤的优选实施例的流程图;
图3是本发明的应用层数据流安全检测方法的网络协议特征基线库构建步骤的优选实施例的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明涉及一种应用层数据流安全检测方法,包括以下步骤:遍历多个应用层数据流,对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流;对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率;根据所述码串固定概率提取固定特征数据,并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库,并基于多个所述单类网络协议特征库形成网络协议特征基线库;对待识别的应用层数据流进行特征数据提取以获取待识别特征数据,基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。
图1是本发明的应用层数据流安全检测方法的优选实施例的流程图。如图1所示,在步骤S1中,遍历多个应用层数据流,对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流。由于在网络访问过程,每个应用层数据流均采用单网络协议,但是不同的应用层数据流可能采用不同的网络协议。因此,需要对遍历每个应用层数据流,然后对于相同网络协议的应用层数据流进行聚类。因此通过聚类操作,可以形成多个不同类别的单网络协议应用层数据流。在此,可以采用任何已知的聚类算法,例如K-means,K-medoids,Clara算法等。本领域技术人员熟悉各种适合的聚类算法来进行应用层数据流的网络协议划分,在此就不再累述了。
在步骤S2中,对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率。
图2是本发明的应用层数据流安全检测方法的码串固定概率计算步骤的优选实施例的流程图。如图2所示,在步骤S21中,对每个单网络协议应用层数据流,遍历其所有报文以对每一条报文进行智能拆分,从而获得多个码串。在此,优选可以采用采用齐夫分布曲线确定最佳拆分粒度,并基于所述最佳拆分粒度进行所述智能拆分。在步骤S22中,将单个码串和所述单个码串对应的同址同码数量形成单个特征数据。在此可知,相同码串但位置不同将会形成不同的特征数据。在步骤S23中,对每个所述特征数据按照码串位置进行统计,以获得各个码串的同址异码数量,并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。在此,所述码串固定概率=所述同址同码数量/(所述同址同码数量+所述同址异码数量)。
为了更好地对上述步骤进行说明,我们一个单网络协议应用层数据流的一条报文M1进行说明:
M1=ff'555555555555d500802f270cbe001b210523220800450000347ac0400040063db1c0a8000bc0a800f701f6ebd2f04af476d7c72d8c501800fb1d8600008aac000000060201031fa73b97d559c4ff。
此时,根据齐夫分布曲线确定最佳拆分粒度2时,进行智能拆分如下:
M1= ff' f5 55 55 55 55 55 55 55 55 55 55 55 5d d5 50 00 08 80 02 2ff2 27 70 0c cb be e0 00 01 1b b2 21 10 05 52 23 32 22 20 08 80 00 04 45 50 0000 00 03 34 47 7a ac c0 04 40 00 00 04 40 00 06 63 3d db b1 1c c0 0a a8 80 0000 0b bc c0 0a a8 80 00 0f f7 70 01 1f f6 6e eb bd d2 2f f0 04 4a af f4 47 766d d7 7c c7 72 2d d8 8c c5 50 01 18 80 00 0f fb b1 1d d8 86 60 00 00 00 08 8aaa ac c0 00 00 00 00 00 00 06 60 02 20 01 10 03 31 1f fa a7 73 3b b9 97 7d d555 59 9c c4 4f ff
在对单网络协议应用层数据流的全部报文进行智能拆分之后,将单个码串和所述单个码串对应的同址同码数量形成单个特征数据,并对每个所述特征数据按照码串位置进行统计,以获得各个码串的同址异码数量,并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。
以码串“ff”为例,其码串和码串对应的同址同码数量形成的单个特征数据表示如下,ff:0-1:4353。其中ff表示码串,0-1表示在报文内的位置,4353表示同址同码数量。同时,在整个单网络协议应用层数据流中,包含码串“ff”的特征数据还可能存在ff:156-157:4353;ff:51-52:353;……;包含51-52位置的特征数据还可能存在01:51-52:35;A0:51-52:143;……。因此,单个码串和所述单个码串对应的同址同码数量形成单个特征数据如下:(ff:156-157),(ff:0-1),(ff:51-52)。
每个所述特征数据按照码串位置进行统计,以获得各个码串的同址异码数量,并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率如下:
(ff:156-157)=4353/(4353+12)≈0.997
(ff:0-1)=4353/(4353+2)≈0.999
(ff:51-52)=353/(353+35+143)≈0.665
在步骤S3中,根据所述码串固定概率提取固定特征数据,并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库,并基于多个所述单类网络协议特征库形成网络协议特征基线库。
图3是本发明的应用层数据流安全检测方法的网络协议特征基线库构建步骤的优选实施例的流程图。如图3所示,在步骤S31中,将所述码串固定概率高于筛选阈值的所述特征数据作为所述固定特征数据。在本发明的优选实施例中,基于Jaccard筛选系数确定所述筛选阈值。当然本领域技术人员也可以根据实际情况定义所述筛选阈值,例如可以将其定义为大于0.9。
基于此,参照上例,可以判断出,ff:156-157,ff:0-1和ff:51-52中,ff:156-157和ff:0-1可以作为固定特征数据,而ff:51-52不能作为固定特征数据。
在步骤S32中,将位置相邻的多个短码串的固定特征数据合并替换成长码串的固定特征数据。例如可以将两个、三个、四个或者更多个位置相邻的短码串的固定特征数据合并替换成长码串的固定特征数据。在此本领域技术人员可以根据码串的实际数量进行选择,在此不做具体限制。
在步骤S33中,将基于同类单网络协议应用层数据流的所述固定特征数据构建单类固定特征库。将于同一类的单网络协议应用层数据流的全部的长码串的固定特征数据进行组合就形成了单类固定特征库。
在步骤S34中,基于多个所述单类网络协议特征库形成网络协议特征基线库。不同的单类网络协议特征库进行组合,就形成了包括全部类别,即全部网络协议的固定特征数据的网络协议特征基线库。
在步骤S4中,对待识别的应用层数据流进行特征数据提取以获取待识别特征数据,基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。
在本发明的优选实施例中,可以先将所述待识别的应用层数据流进行特征数据提取以获取待识别特征数据;然后将所述待识别特征数据与所述网络协议特征基线库中的每个单类固定特征库分别进行匹配识别,并基于匹配识别结果进行放行或者拦截所述待识别特征数据对应的所述待识别的应用层数据流。
在此,可以采用现有技术中已知的方案进行特征数据提取和特征数据与单类固定特征库的特征数据的匹配识别。本发明的发明点在于采用码串固定概率来确定固定特征,这些提取和匹配过程都可以采用现有技术中的任何适合的提取和匹配方案来实现,在此就不再累述了。
因此,本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。
本发明还可以通过计算机程序产品进行实施,程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时,可以实现本发明所述的应用层数据流安全检测方法。本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
实施本发明的应用层数据流安全检测方法和计算机可读存储介质,可以通过码串固定概率来确定固定特征,识别率高、计算速度快、效率高并且容错率更好。进一步地,通过采用固定特征数据构建单类固定特征库,从而规定访问的应用层协议类别,不同的访问类别能通过不同的单类固定特征库快速的定位匹配出来,因此加快了计算速度,节约了计算资源。可以在网络访问过程中对访问的应用层数据流通过协议识别进行访问控制,通过既有的安全基线库,规定访问的应用层协议类别,不同的访问类别能通过已有的安全基线库快速的定位匹配出来,加快了计算速度,节约了计算资源。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种应用层数据流安全检测方法,其特征在于,包括以下步骤:
S1、遍历多个应用层数据流,对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流;
S2、对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率;
S3、根据所述码串固定概率提取固定特征数据,并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库,并基于多个所述单类网络协议特征库形成网络协议特征基线库;
S4、对待识别的应用层数据流进行特征数据提取以获取待识别特征数据,基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。
2.根据权利要求1所述的应用层数据流安全检测方法,其特征在于,所述步骤S2进一步包括以下步骤:
S21、对每个单网络协议应用层数据流,遍历其所有报文以对每一条报文进行智能拆分,从而获得多个码串;
S22、将单个码串和所述单个码串对应的同址同码数量形成单个特征数据;
S23、对每个所述特征数据按照码串位置进行统计,以获得各个码串的同址异码数量,并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。
3.根据权利要求2所述的应用层数据流安全检测方法,其特征在于,在所述步骤S21中,采用齐夫分布曲线确定最佳拆分粒度,并基于所述最佳拆分粒度进行所述智能拆分。
4.根据权利要求2所述的应用层数据流安全检测方法,其特征在于,在所述步骤S23中,所述码串固定概率=所述同址同码数量/(所述同址同码数量+所述同址异码数量)。
5.根据权利要求2所述的应用层数据流安全检测方法,其特征在于,所述步骤S3进一步包括以下步骤:
S31、将所述码串固定概率高于筛选阈值的所述特征数据作为所述固定特征数据;
S32、将位置相邻的多个短码串的固定特征数据合并替换成长码串的固定特征数据;
S33、基于同类单网络协议应用层数据流的所述固定特征数据构建单类固定特征库;
S34、基于多个所述单类网络协议特征库形成网络协议特征基线库。
6.根据权利要求5所述的应用层数据流安全检测方法,其特征在于,在所述步骤S31中,基于Jaccard筛选系数确定所述筛选阈值。
7.根据权利要求5所述的应用层数据流安全检测方法,其特征在于,所述步骤S4进一步包括以下步骤:
S41将所述待识别的应用层数据流进行特征数据提取以获取待识别特征数据;
S42、将所述待识别特征数据与所述网络协议特征基线库中的每个单类固定特征库分别进行匹配识别,并基于匹配识别结果进行放行或者拦截所述待识别特征数据对应的所述待识别的应用层数据流。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现根据权利要求1-7中任意一项权利要求所述的应用层数据流安全检测方法。
CN202111241978.3A 2021-10-25 2021-10-25 应用层数据流安全检测方法和计算机可读存储介质 Active CN113691564B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111241978.3A CN113691564B (zh) 2021-10-25 2021-10-25 应用层数据流安全检测方法和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111241978.3A CN113691564B (zh) 2021-10-25 2021-10-25 应用层数据流安全检测方法和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113691564A true CN113691564A (zh) 2021-11-23
CN113691564B CN113691564B (zh) 2022-02-22

Family

ID=78587812

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111241978.3A Active CN113691564B (zh) 2021-10-25 2021-10-25 应用层数据流安全检测方法和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113691564B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707532A (zh) * 2009-10-30 2010-05-12 中山大学 一种未知应用层协议自动分析方法
CN102045347A (zh) * 2010-11-30 2011-05-04 华为技术有限公司 协议识别方法和装置
CN102546625A (zh) * 2011-12-31 2012-07-04 深圳市永达电子股份有限公司 半监督聚类集成的协议识别系统
US20130204903A1 (en) * 2012-02-07 2013-08-08 Fang Hao Probabilistic fingerprint checking for preventing data leakage
US20190278842A1 (en) * 2016-02-15 2019-09-12 Tata Consultancy Services Limited Method and system for managing data quality for spanish names in a database
US20200349388A1 (en) * 2017-12-29 2020-11-05 Nsfocus Technologies Group Co., Ltd. Method for extracting feature string, device, network apparatus, and storage medium

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707532A (zh) * 2009-10-30 2010-05-12 中山大学 一种未知应用层协议自动分析方法
CN102045347A (zh) * 2010-11-30 2011-05-04 华为技术有限公司 协议识别方法和装置
CN102546625A (zh) * 2011-12-31 2012-07-04 深圳市永达电子股份有限公司 半监督聚类集成的协议识别系统
US20130204903A1 (en) * 2012-02-07 2013-08-08 Fang Hao Probabilistic fingerprint checking for preventing data leakage
US20190278842A1 (en) * 2016-02-15 2019-09-12 Tata Consultancy Services Limited Method and system for managing data quality for spanish names in a database
US20200349388A1 (en) * 2017-12-29 2020-11-05 Nsfocus Technologies Group Co., Ltd. Method for extracting feature string, device, network apparatus, and storage medium

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
洪征等: "自适应聚类的未知应用层协议识别方法", 《计算机工程与应用》 *

Also Published As

Publication number Publication date
CN113691564B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
US10678669B2 (en) Field content based pattern generation for heterogeneous logs
US10721256B2 (en) Anomaly detection based on events composed through unsupervised clustering of log messages
US8682864B1 (en) Analyzing frequently occurring data items
EP3777067A1 (en) Device and method for anomaly detection on an input stream of events
KR20070011432A (ko) 컴퓨터화된 시스템에서의 데이터 프로세싱
WO2023093100A1 (zh) 一种api网关异常调用识别的方法、装置、设备及产品
CN113254255B (zh) 一种云平台日志的分析方法、系统、设备及介质
CN111160021A (zh) 日志模板提取方法及装置
US11307953B2 (en) Block-based anomaly detection in computing environments
US20220156367A1 (en) System and method for detection of anomalous controller area network (can) messages
CN112989332A (zh) 一种异常用户行为检测方法和装置
CN111258798A (zh) 监控数据的故障定位方法、装置、计算机设备及存储介质
Smrithy et al. Online anomaly detection using non-parametric technique for big data streams in cloud collaborative environment
CN113691564B (zh) 应用层数据流安全检测方法和计算机可读存储介质
US20190163598A1 (en) Methods and systems to determine baseline event-type distributions of event sources and detect changes in behavior of event sources
CN115514581B (zh) 一种用于工业互联网数据安全平台的数据分析方法及设备
El Hadj et al. Validation and correction of large security policies: A clustering and access log based approach
KR102559398B1 (ko) 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법
CN111258788B (zh) 磁盘故障预测方法、装置及计算机可读存储介质
CN115102848A (zh) 日志数据的提取方法、系统、设备及介质
CN111475380B (zh) 一种日志分析方法和装置
Akram et al. Anomaly detection of manufacturing equipment via high performance rdf data stream processing: Grand challenge
Qian et al. Grid‐based high performance ensemble classification for evolving data stream
US20220091845A1 (en) Sub-field identification system and method
CN114553580B (zh) 基于规则泛化和攻击重构网络攻击检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant