CN113726761A - 一种基于白名单的网络安全防护方法 - Google Patents
一种基于白名单的网络安全防护方法 Download PDFInfo
- Publication number
- CN113726761A CN113726761A CN202110991645.6A CN202110991645A CN113726761A CN 113726761 A CN113726761 A CN 113726761A CN 202110991645 A CN202110991645 A CN 202110991645A CN 113726761 A CN113726761 A CN 113726761A
- Authority
- CN
- China
- Prior art keywords
- white list
- address
- port number
- rule information
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 239000013598 vector Substances 0.000 claims abstract description 53
- 230000003068 static effect Effects 0.000 claims description 18
- 238000012549 training Methods 0.000 claims description 10
- 238000012360 testing method Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000012706 support-vector machine Methods 0.000 claims description 6
- 238000002372 labelling Methods 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 238000012952 Resampling Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 11
- 238000001514 detection method Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于白名单的网络安全防护方法。该网络安全防护方法先获取由客户端向服务端发送的数据包,对该数据包进行IP地址和端口号解析,获得数据包的IP地址和端口号组合向量;接着,检测所获得的IP地址和端口号组合向量是否符合白名单规则信息,以确定是否允许所述客户端与所述服务端通信。本发明基于白名单进行网络安全防护以确保服务端的运行安全,能够有效保证系统的可靠性、稳定性及业务连续性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于白名单的网络安全防护方法。
背景技术
在信息技术飞速发展的今天,计算机网络得到了广泛应用,然而随着网络中信息传输量的急剧增长,网络中的数据也很容易遭到各种攻击和破坏,例如,网络信息被窃听,数据库被篡改或删除,用户身份被盗用或伪造,计算机遭到病毒攻击,等等,这都使数据的安全性和用户自身的利益受到了严重的威胁。
常见的网络安全防护大多基于杀毒软件或防病毒网关等实现,这类技术可归纳为基于黑名单的网络安全防护技术,其是将可疑代码的特征或者行为作为评判标准,通过与病毒库、恶意代码库进行匹配,确认可疑代码是否是恶意的攻击代码,来实现网络安全防护。因此,这类基于黑名单的恶意代码防控技术,本质上是被动式查杀方法,需要实时更新病毒库并不断获取恶意代码的特征,不适用于一些可靠性、稳定性及业务连续性要求较高的领域(如电力监控系统和工业控制系统等)。
发明内容
本发明实施例所要解决的技术问题在于,提供一种基于白名单的网络安全防护方法,能够基于白名单进行网络安全防护来确保服务端的运行安全。
为解决上述技术问题,本发明提供一种基于白名单的网络安全防护方法,包括:
步骤S1,获取由客户端向服务端发送的数据包,对所述数据包进行IP地址和端口号解析,获得所述数据包的IP地址和端口号组合向量;
步骤S2,检测所述IP地址和端口号组合向量是否符合白名单规则信息,以确定是否允许所述客户端与所述服务端通信,其中所述白名单规则信息存放于白名单数据库模块中。
进一步地,所述步骤S2包括:
步骤S21,判断所述IP地址和端口号组合向量是否符合所述白名单规则信息,若不符合,则执行步骤S22;反之,若符合,则执行步骤S23;
步骤S22,向所述服务端查询所述IP地址和端口号组合向量是否包含新的IP地址和端口号,若包含,则所述白名单数据库模块基于所述新的IP地址和端口号更新所述白名单规则信息,并返回所述步骤S21;
步骤S23,允许所述客户端与所述服务端通信。
进一步地,所述步骤S22还包括:若查询获知所述IP地址和端口号组合向量不包含新的IP地址和端口号,则判断所述数据包是否存在攻击行为,若判断所述数据包存在攻击行为,则丢弃所述数据包或者将所述数据包引入蜜罐系统;反之,若判断所述数据包不存在攻击行为,则执行所述步骤S23。
进一步地,所述IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号,所述IP地址和端口号组合向量符合所述白名单规则信息是指所述源IP地址和所述目的IP地址、所述源端口号和所述目的端口号均符合所述白名单规则信息。
进一步地,所述步骤S22中,所述白名单数据库模块通过对所述新的IP地址和端口号进行自学习更新所述白名单规则信息。
进一步地,所述白名单数据库模块包括动态白名单模块,所述白名单规则信息包括动态白名单规则信息,所述动态白名单规则信息包括可信IP地址和端口号列表,所述动态白名单模块用于建立所述动态白名单规则信息并通过自学习更新所述动态白名单规则信息。
进一步地,所述动态白名单模块通过构建白名单自学习模型进行自学习来更新所述动态白名单规则信息,所述动态白名单模块通过下列步骤构建所述白名单自学习模型:
步骤S31,采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量;
步骤S32,对所述正常数据包的IP地址和端口号组合向量以及所述异常数据包的IP地址和端口号组合向量进行标注,并将标注后的IP地址和端口号组合向量作为样本集;
步骤S33,将所述样本集划分为训练集和测试集;
步骤S34,构建支持向量机,将所述训练集作为输入数据输入所述支持向量机中进行样本训练,得到所述白名单自学习模型;
步骤S35,利用所述测试集对所述白名单自学习模型进行测试,若准确率达到预定值,则输出所述白名单自学习模型;反之,若准确率未能达到预定值,则返回所述步骤S31,重新采样。
进一步地,所述白名单数据库模块还包括静态白名单模块,所述白名单规则信息还包括静态白名单规则信息,所述静态白名单模块用于通过管理员自定义建立所述静态白名单规则信息。
进一步地,所述方法利用设于所述服务端的入侵监测系统执行所述步骤S1。
实施本发明实施例,具有如下有益效果:本发明通过检测IP地址和端口号组合向量是否符合白名单规则信息来确定是否允许客户端与服务端通信,以确保服务端运行安全,能够有效保证系统的可靠性、稳定性及业务连续性,适用于电力监控和工业控制等特殊领域;而且本发明的白名单规则信息设有能够进行自更新的动态白名单规则信息和供管理员自定义的静态白名单规则信息,提高了本发明的实施灵活性,且令白名单规则信息能够得以及时更新,从而提高检测准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的基于白名单的网络安全防护方法的流程图。
图2为本发明一实施例的基于白名单的网络安全防护方法的流程图。
图3为本发明一实施例中构建白名单自学习模型的流程图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
本发明实施例的基于白名单的网络安全防护方法,可以用于具有多个客户端和服务端的系统中,为客户端与服务端之间的数据传输提供网络安全防护。该多个客户端可以与服务端进行双向数据包传送。服务端包括数据包处理模块和客户端管理模块,其中数据包处理模块用于对多个客户端发送的数据包进行分析处理,并向其返回处理结果数据包;客户端管理模块用于实时更新和管理客户端及服务端的IP地址和端口号。
如图1所示,本发明实施例的基于白名单的网络安全防护方法包括:步骤S1,获取由客户端向服务端发送的数据包,对该数据包进行IP地址和端口号解析,获得其IP地址和端口号组合向量;步骤S2,检测所获得的IP地址和端口号组合向量是否符合白名单数据库模块中的白名单规则信息,以确定是否允许客户端与服务端通信。
其中,步骤S1中所获取的数据包的IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号。在一实施例中,该步骤S1可以通过设于服务端的入侵监测系统来实现,该入侵监测系统可以内置有网络防火墙。
如此,本发明实施例可以允许IP地址和端口号组合向量符合白名单规则信息的客户端节点进行通信,而对不符合白名单规则信息的客户端节点则进行通信阻断或告警,也可以进一步进行检测,以确保服务端运行安全。
在本发明一实施例中,上述步骤S2还可以采用图2所示的具体实施过程。如图2所示,首先,在步骤S21,判断所获得的IP地址和端口号组合向量是否符合白名单数据库模块中的白名单规则信息,即进行白名单检测。白名单数据库模块用于存放白名单规则信息,只有当IP地址和端口号组合向量中的源IP地址和目的IP地址、源端口号和目的端口号均符合白名单规则信息,才能通过白名单检测。
若所获得的IP地址和端口号组合向量符合白名单数据库模块中的白名单规则信息,则认为来自客户端的数据包是正常数据包,进入步骤S23,允许该客户端与服务端通信;若所获得的IP地址和端口号组合向量不符合白名单数据库模块中的白名单规则信息,则认为来自客户端的数据包是异常数据包,执行步骤S22。
在步骤S22,向服务端查询所获得的IP地址和端口号组合向量是否包含新的IP地址和端口号,若查询获知所获得的IP地址和端口号组合向量包含新的IP地址和端口号,则在步骤S24,白名单数据库模块基于新的IP地址和端口号更新白名单规则信息。
在本发明一实施例中,白名单数据库模块包括动态白名单模块和静态白名单模块,相应地,白名单规则信息包括动态白名单规则信息和静态白名单规则信息。其中,动态白名单模块用于建立动态白名单规则信息并通过自学习更新该动态白名单规则信息,该动态白名单规则信息包括可信IP地址和端口号列表。静态白名单模块用于通过管理员自定义建立静态白名单规则信息,该静态白名单规则信息可以是管理员自定义的白名单组合规则,以作为可信条件,例如:数据包MAC地址、IP地址、封装协议等的组合规则。
在本发明实施例中,白名单数据库模块更新白名单规则信息是通过动态白名单模块更新动态白名单规则信息实现。
具体而言,动态白名单模块是通过构建白名单自学习模型进行自学习,来更新其动态白名单规则信息。如图3所示,动态白名单模块构建白名单自学习模型的过程可以如下:
在步骤S31,采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量;在步骤S32,对所采集的正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量进行人工标注,并将标注后的IP地址和端口号组合向量作为样本集;在步骤S33,将样本集划分为训练集和测试集,举例来说,训练集可以占样本集的70%,测试集可以占样本集的30%;接下来,在步骤S34,构建支持向量机SVM,并将训练集作为输入数据输入支持向量机中进行样本训练,得到白名单自学习模型;而后,在步骤S35,利用测试集对所得到的白名单自学习模型进行测试,若准确率达到预定值如95%,则在步骤S36,输出该白名单自学习模型,反之,若准确率未能达到预定值,则返回步骤S31,重新采样。直到准确率达到预定值。
由此获得的白名单自学习模型可以对新的IP地址和端口号进行自学习,以更新动态白名单规则信息。
在此需要说明的是,白名单数据库模块可以通过加密设置于本地服务器,其加密密钥和证书的签发和管理由服务器进行统一管理;白名单数据库模块的访问权限可以由系统最高管理人员控制,以确保白名单数据库模块不会被外部攻击者窃取和篡改。
进一步地,本发明实施例在步骤S24进行白名单规则信息更新之后,返回步骤S21,再次判断IP地址和端口号组合向量是否符合白名单数据库模块中的白名单规则信息,即对IP地址和端口号组合向量进行白名单的二次检测。
但是,若在步骤S22中查询获知IP地址和端口号组合向量不包含新的IP地址和端口号,则进入步骤S25,进行攻击行为判断。该攻击行为判断是判断来自客户端的数据包是否存在攻击行为,若判断数据包不存在攻击行为,则进入步骤S23,允许客户端与服务端通信;若判断数据包存在攻击行为,则丢弃该数据包或者将该数据包引入蜜罐系统,步骤S26。
由上述步骤可知,本发明实施例允许IP地址和端口号组合向量符合白名单规则信息的客户端节点进行通信,在IP地址和端口号组合向量不符合白名单规则信息时,若IP地址和端口号组合向量包含新的IP地址和端口号,可以先对白名单规则信息进行自更新,再次判断IP地址和端口号组合向量是否符合白名单规则信息,若IP地址和端口号组合向量仍不符合白名单规则信息,可以进一步判断数据包是否存在攻击行为,对存在攻击行为的数据包进行丢弃或者引入蜜罐系统,对相应的客户端节点进行通信阻断。
在此对蜜罐系统略作说明,蜜罐系统是使用各种技术手段吸引网络攻击流量,在系统遭受网络攻击时,可以有效地将攻击流量吸引并转移到蜜罐系统上。蜜罐系统在分担系统安全威胁的同时,收集攻击者的信息,如攻击方式、攻击手段、攻击特征等,作为数据分析及学习使用。
通过上述说明可知,本发明基于白名单进行网络安全防护,应用于具有多个客户端和服务端的系统,可以对IP地址和端口号组合向量不符合白名单规则信息的客户端节点进行通信阻断,也可以再进一步进行攻击行为判断,确定是否对IP地址和端口号组合向量不符合白名单规则信息的客户端节点进行通信阻断,以确保服务端运行安全。举例来说,即使攻击者已侦测得合法通信数据包的IP地址和端口,然后模拟源IP地址、源端口号、目的IP地址和一个新的端口号来探测服务端的新端口号是否打开,也会被检测出,其数据包会被丢弃,同时可以告警。相较于基于黑名单的防护方法,本发明无需实时更新病毒库或者不断获取恶意代码的特征,能够有效保证系统的可靠性、稳定性及业务连续性,从而适用电力监控和工业控制等特殊领域。
而且,本发明实施例的基于白名单的网络安全防护方法,可以设置动态白名单模块和静态白名单模块,动态白名单模块能够通过机器学习技术对动态白名单规则信息进行自更新,静态白名单模块则可以供管理员自定义建立静态白名单规则信息,如此有利于提高本发明的实施灵活性,且令白名单规则信息能够得以及时更新,以提高检测准确性。
与现有技术相比,本发明的有益效果在于:本发明通过检测IP地址和端口号组合向量是否符合白名单规则信息来确定是否允许客户端与服务端通信,以确保服务端的运行安全,能够有效保证系统的可靠性、稳定性及业务连续性,适用于电力监控和工业控制等特殊领域;而且本发明的白名单规则信息设有能够进行自更新的动态白名单规则信息和供管理员自定义的静态白名单规则信息,提高了本发明的实施灵活性,且令白名单规则信息能够得以及时更新,从而提高检测准确性。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (9)
1.一种基于白名单的网络安全防护方法,其特征在于,包括:
步骤S1,获取由客户端向服务端发送的数据包,对所述数据包进行IP地址和端口号解析,获得所述数据包的IP地址和端口号组合向量;
步骤S2,检测所述IP地址和端口号组合向量是否符合白名单规则信息,以确定是否允许所述客户端与所述服务端通信,其中所述白名单规则信息存放于白名单数据库模块中。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述步骤S2包括:
步骤S21,判断所述IP地址和端口号组合向量是否符合所述白名单规则信息,若不符合,则执行步骤S22;反之,若符合,则执行步骤S23;
步骤S22,向所述服务端查询所述IP地址和端口号组合向量是否包含新的IP地址和端口号,若包含,则所述白名单数据库模块基于所述新的IP地址和端口号更新所述白名单规则信息,并返回所述步骤S21;
步骤S23,允许所述客户端与所述服务端通信。
3.根据权利要求2所述的网络安全防护方法,其特征在于,所述步骤S22还包括:若查询获知所述IP地址和端口号组合向量不包含新的IP地址和端口号,则判断所述数据包是否存在攻击行为,若判断所述数据包存在攻击行为,则丢弃所述数据包或者将所述数据包引入蜜罐系统;反之,若判断所述数据包不存在攻击行为,则执行所述步骤S23。
4.根据权利要求1或2所述的网络安全防护方法,其特征在于,所述IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号,所述IP地址和端口号组合向量符合所述白名单规则信息是指所述源IP地址和所述目的IP地址、所述源端口号和所述目的端口号均符合所述白名单规则信息。
5.根据权利要求1或2所述的网络安全防护方法,其特征在于,所述步骤S22中,所述白名单数据库模块通过对所述新的IP地址和端口号进行自学习更新所述白名单规则信息。
6.根据权利要求5所述的网络安全防护方法,其特征在于,所述白名单数据库模块包括动态白名单模块,所述白名单规则信息包括动态白名单规则信息,所述动态白名单规则信息包括可信IP地址和端口号列表,所述动态白名单模块用于建立所述动态白名单规则信息并通过自学习更新所述动态白名单规则信息。
7.根据权利要求6所述的网络安全防护方法,其特征在于,所述动态白名单模块通过构建白名单自学习模型进行自学习来更新所述动态白名单规则信息,所述动态白名单模块通过下列步骤构建所述白名单自学习模型:
步骤S31,采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量;
步骤S32,对所述正常数据包的IP地址和端口号组合向量以及所述异常数据包的IP地址和端口号组合向量进行标注,并将标注后的IP地址和端口号组合向量作为样本集;
步骤S33,将所述样本集划分为训练集和测试集;
步骤S34,构建支持向量机,将所述训练集作为输入数据输入所述支持向量机中进行样本训练,得到所述白名单自学习模型;
步骤S35,利用所述测试集对所述白名单自学习模型进行测试,若准确率达到预定值,则输出所述白名单自学习模型;反之,若准确率未能达到预定值,则返回所述步骤S31,重新采样。
8.根据权利要求6所述的网络安全防护方法,其特征在于,所述白名单数据库模块还包括静态白名单模块,所述白名单规则信息还包括静态白名单规则信息,所述静态白名单模块用于通过管理员自定义建立所述静态白名单规则信息。
9.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法利用设于所述服务端的入侵监测系统执行所述步骤S1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110991645.6A CN113726761A (zh) | 2021-08-27 | 2021-08-27 | 一种基于白名单的网络安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110991645.6A CN113726761A (zh) | 2021-08-27 | 2021-08-27 | 一种基于白名单的网络安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113726761A true CN113726761A (zh) | 2021-11-30 |
Family
ID=78678314
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110991645.6A Pending CN113726761A (zh) | 2021-08-27 | 2021-08-27 | 一种基于白名单的网络安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113726761A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
US20120023593A1 (en) * | 2010-07-26 | 2012-01-26 | Puder George | System and method for filtering internet content & blocking undesired websites by secure network appliance |
CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
WO2017160557A1 (en) * | 2016-03-18 | 2017-09-21 | Pcms Holdings, Inc. | System and method for network-level smart home security |
CN109743300A (zh) * | 2018-12-20 | 2019-05-10 | 浙江鹏信信息科技股份有限公司 | 一种基于异构模型策略库的安全事件自动化处置方法 |
CN110324316A (zh) * | 2019-05-31 | 2019-10-11 | 河南恩湃高科集团有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
CN110465094A (zh) * | 2019-08-19 | 2019-11-19 | 福建天晴在线互动科技有限公司 | 一种基于ip端口特征的游戏外挂检测方法 |
CN113037779A (zh) * | 2021-04-19 | 2021-06-25 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
-
2021
- 2021-08-27 CN CN202110991645.6A patent/CN113726761A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120023593A1 (en) * | 2010-07-26 | 2012-01-26 | Puder George | System and method for filtering internet content & blocking undesired websites by secure network appliance |
CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
WO2017160557A1 (en) * | 2016-03-18 | 2017-09-21 | Pcms Holdings, Inc. | System and method for network-level smart home security |
CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
CN109743300A (zh) * | 2018-12-20 | 2019-05-10 | 浙江鹏信信息科技股份有限公司 | 一种基于异构模型策略库的安全事件自动化处置方法 |
CN110324316A (zh) * | 2019-05-31 | 2019-10-11 | 河南恩湃高科集团有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
CN110465094A (zh) * | 2019-08-19 | 2019-11-19 | 福建天晴在线互动科技有限公司 | 一种基于ip端口特征的游戏外挂检测方法 |
CN113037779A (zh) * | 2021-04-19 | 2021-06-25 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Singh et al. | Issues and challenges in DNS based botnet detection: A survey | |
US20200358792A1 (en) | Artificial intelligence (ai) based cyber threat analyst to support a cyber security appliance | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
CN110113350B (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
Yin | Towards accurate node-based detection of P2P botnets | |
McLaughlin et al. | Secure communications in smart grid: Networking and protocols | |
Deri et al. | Using deep packet inspection in cybertraffic analysis | |
Jing et al. | DDoS detection based on graph structure features and non‐negative matrix factorization | |
EP4236202A1 (en) | Method and apparatus for detecting anomalies of an infrastructure in a network | |
Uhříček et al. | BOTA: Explainable IoT malware detection in large networks | |
Shafee | Botnets and their detection techniques | |
Abaid et al. | Early detection of in-the-wild botnet attacks by exploiting network communication uniformity: An empirical study | |
Miao et al. | Automated big traffic analytics for cyber security | |
Yu et al. | Detection and defense against network isolation attacks in software‐defined networks | |
Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
CN113726761A (zh) | 一种基于白名单的网络安全防护方法 | |
Shriyal et al. | IoT Device Classification Techniques and Traffic Analysis-A Review | |
CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
Laabid | Botnet command & control detection in iot networks | |
Drakos | Implement a security policy and identify Advance persistent threats (APT) with ZEEK anomaly detection mechanism | |
Mishra et al. | Anomaly-based detection of system-level threats and statistical analysis | |
Tariq et al. | The industrial internet of things (iiot): An anomaly identification and countermeasure method | |
Schölzel et al. | A viable SIEM approach for Android |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211130 |