CN113726761A - 一种基于白名单的网络安全防护方法 - Google Patents

一种基于白名单的网络安全防护方法 Download PDF

Info

Publication number
CN113726761A
CN113726761A CN202110991645.6A CN202110991645A CN113726761A CN 113726761 A CN113726761 A CN 113726761A CN 202110991645 A CN202110991645 A CN 202110991645A CN 113726761 A CN113726761 A CN 113726761A
Authority
CN
China
Prior art keywords
white list
address
port number
rule information
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110991645.6A
Other languages
English (en)
Inventor
车向北
李曼
康文倩
欧阳宇宏
林子钊
叶睿显
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Bureau Co Ltd
Original Assignee
Shenzhen Power Supply Bureau Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Bureau Co Ltd filed Critical Shenzhen Power Supply Bureau Co Ltd
Priority to CN202110991645.6A priority Critical patent/CN113726761A/zh
Publication of CN113726761A publication Critical patent/CN113726761A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于白名单的网络安全防护方法。该网络安全防护方法先获取由客户端向服务端发送的数据包,对该数据包进行IP地址和端口号解析,获得数据包的IP地址和端口号组合向量;接着,检测所获得的IP地址和端口号组合向量是否符合白名单规则信息,以确定是否允许所述客户端与所述服务端通信。本发明基于白名单进行网络安全防护以确保服务端的运行安全,能够有效保证系统的可靠性、稳定性及业务连续性。

Description

一种基于白名单的网络安全防护方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于白名单的网络安全防护方法。
背景技术
在信息技术飞速发展的今天,计算机网络得到了广泛应用,然而随着网络中信息传输量的急剧增长,网络中的数据也很容易遭到各种攻击和破坏,例如,网络信息被窃听,数据库被篡改或删除,用户身份被盗用或伪造,计算机遭到病毒攻击,等等,这都使数据的安全性和用户自身的利益受到了严重的威胁。
常见的网络安全防护大多基于杀毒软件或防病毒网关等实现,这类技术可归纳为基于黑名单的网络安全防护技术,其是将可疑代码的特征或者行为作为评判标准,通过与病毒库、恶意代码库进行匹配,确认可疑代码是否是恶意的攻击代码,来实现网络安全防护。因此,这类基于黑名单的恶意代码防控技术,本质上是被动式查杀方法,需要实时更新病毒库并不断获取恶意代码的特征,不适用于一些可靠性、稳定性及业务连续性要求较高的领域(如电力监控系统和工业控制系统等)。
发明内容
本发明实施例所要解决的技术问题在于,提供一种基于白名单的网络安全防护方法,能够基于白名单进行网络安全防护来确保服务端的运行安全。
为解决上述技术问题,本发明提供一种基于白名单的网络安全防护方法,包括:
步骤S1,获取由客户端向服务端发送的数据包,对所述数据包进行IP地址和端口号解析,获得所述数据包的IP地址和端口号组合向量;
步骤S2,检测所述IP地址和端口号组合向量是否符合白名单规则信息,以确定是否允许所述客户端与所述服务端通信,其中所述白名单规则信息存放于白名单数据库模块中。
进一步地,所述步骤S2包括:
步骤S21,判断所述IP地址和端口号组合向量是否符合所述白名单规则信息,若不符合,则执行步骤S22;反之,若符合,则执行步骤S23;
步骤S22,向所述服务端查询所述IP地址和端口号组合向量是否包含新的IP地址和端口号,若包含,则所述白名单数据库模块基于所述新的IP地址和端口号更新所述白名单规则信息,并返回所述步骤S21;
步骤S23,允许所述客户端与所述服务端通信。
进一步地,所述步骤S22还包括:若查询获知所述IP地址和端口号组合向量不包含新的IP地址和端口号,则判断所述数据包是否存在攻击行为,若判断所述数据包存在攻击行为,则丢弃所述数据包或者将所述数据包引入蜜罐系统;反之,若判断所述数据包不存在攻击行为,则执行所述步骤S23。
进一步地,所述IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号,所述IP地址和端口号组合向量符合所述白名单规则信息是指所述源IP地址和所述目的IP地址、所述源端口号和所述目的端口号均符合所述白名单规则信息。
进一步地,所述步骤S22中,所述白名单数据库模块通过对所述新的IP地址和端口号进行自学习更新所述白名单规则信息。
进一步地,所述白名单数据库模块包括动态白名单模块,所述白名单规则信息包括动态白名单规则信息,所述动态白名单规则信息包括可信IP地址和端口号列表,所述动态白名单模块用于建立所述动态白名单规则信息并通过自学习更新所述动态白名单规则信息。
进一步地,所述动态白名单模块通过构建白名单自学习模型进行自学习来更新所述动态白名单规则信息,所述动态白名单模块通过下列步骤构建所述白名单自学习模型:
步骤S31,采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量;
步骤S32,对所述正常数据包的IP地址和端口号组合向量以及所述异常数据包的IP地址和端口号组合向量进行标注,并将标注后的IP地址和端口号组合向量作为样本集;
步骤S33,将所述样本集划分为训练集和测试集;
步骤S34,构建支持向量机,将所述训练集作为输入数据输入所述支持向量机中进行样本训练,得到所述白名单自学习模型;
步骤S35,利用所述测试集对所述白名单自学习模型进行测试,若准确率达到预定值,则输出所述白名单自学习模型;反之,若准确率未能达到预定值,则返回所述步骤S31,重新采样。
进一步地,所述白名单数据库模块还包括静态白名单模块,所述白名单规则信息还包括静态白名单规则信息,所述静态白名单模块用于通过管理员自定义建立所述静态白名单规则信息。
进一步地,所述方法利用设于所述服务端的入侵监测系统执行所述步骤S1。
实施本发明实施例,具有如下有益效果:本发明通过检测IP地址和端口号组合向量是否符合白名单规则信息来确定是否允许客户端与服务端通信,以确保服务端运行安全,能够有效保证系统的可靠性、稳定性及业务连续性,适用于电力监控和工业控制等特殊领域;而且本发明的白名单规则信息设有能够进行自更新的动态白名单规则信息和供管理员自定义的静态白名单规则信息,提高了本发明的实施灵活性,且令白名单规则信息能够得以及时更新,从而提高检测准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的基于白名单的网络安全防护方法的流程图。
图2为本发明一实施例的基于白名单的网络安全防护方法的流程图。
图3为本发明一实施例中构建白名单自学习模型的流程图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
本发明实施例的基于白名单的网络安全防护方法,可以用于具有多个客户端和服务端的系统中,为客户端与服务端之间的数据传输提供网络安全防护。该多个客户端可以与服务端进行双向数据包传送。服务端包括数据包处理模块和客户端管理模块,其中数据包处理模块用于对多个客户端发送的数据包进行分析处理,并向其返回处理结果数据包;客户端管理模块用于实时更新和管理客户端及服务端的IP地址和端口号。
如图1所示,本发明实施例的基于白名单的网络安全防护方法包括:步骤S1,获取由客户端向服务端发送的数据包,对该数据包进行IP地址和端口号解析,获得其IP地址和端口号组合向量;步骤S2,检测所获得的IP地址和端口号组合向量是否符合白名单数据库模块中的白名单规则信息,以确定是否允许客户端与服务端通信。
其中,步骤S1中所获取的数据包的IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号。在一实施例中,该步骤S1可以通过设于服务端的入侵监测系统来实现,该入侵监测系统可以内置有网络防火墙。
如此,本发明实施例可以允许IP地址和端口号组合向量符合白名单规则信息的客户端节点进行通信,而对不符合白名单规则信息的客户端节点则进行通信阻断或告警,也可以进一步进行检测,以确保服务端运行安全。
在本发明一实施例中,上述步骤S2还可以采用图2所示的具体实施过程。如图2所示,首先,在步骤S21,判断所获得的IP地址和端口号组合向量是否符合白名单数据库模块中的白名单规则信息,即进行白名单检测。白名单数据库模块用于存放白名单规则信息,只有当IP地址和端口号组合向量中的源IP地址和目的IP地址、源端口号和目的端口号均符合白名单规则信息,才能通过白名单检测。
若所获得的IP地址和端口号组合向量符合白名单数据库模块中的白名单规则信息,则认为来自客户端的数据包是正常数据包,进入步骤S23,允许该客户端与服务端通信;若所获得的IP地址和端口号组合向量不符合白名单数据库模块中的白名单规则信息,则认为来自客户端的数据包是异常数据包,执行步骤S22。
在步骤S22,向服务端查询所获得的IP地址和端口号组合向量是否包含新的IP地址和端口号,若查询获知所获得的IP地址和端口号组合向量包含新的IP地址和端口号,则在步骤S24,白名单数据库模块基于新的IP地址和端口号更新白名单规则信息。
在本发明一实施例中,白名单数据库模块包括动态白名单模块和静态白名单模块,相应地,白名单规则信息包括动态白名单规则信息和静态白名单规则信息。其中,动态白名单模块用于建立动态白名单规则信息并通过自学习更新该动态白名单规则信息,该动态白名单规则信息包括可信IP地址和端口号列表。静态白名单模块用于通过管理员自定义建立静态白名单规则信息,该静态白名单规则信息可以是管理员自定义的白名单组合规则,以作为可信条件,例如:数据包MAC地址、IP地址、封装协议等的组合规则。
在本发明实施例中,白名单数据库模块更新白名单规则信息是通过动态白名单模块更新动态白名单规则信息实现。
具体而言,动态白名单模块是通过构建白名单自学习模型进行自学习,来更新其动态白名单规则信息。如图3所示,动态白名单模块构建白名单自学习模型的过程可以如下:
在步骤S31,采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量;在步骤S32,对所采集的正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量进行人工标注,并将标注后的IP地址和端口号组合向量作为样本集;在步骤S33,将样本集划分为训练集和测试集,举例来说,训练集可以占样本集的70%,测试集可以占样本集的30%;接下来,在步骤S34,构建支持向量机SVM,并将训练集作为输入数据输入支持向量机中进行样本训练,得到白名单自学习模型;而后,在步骤S35,利用测试集对所得到的白名单自学习模型进行测试,若准确率达到预定值如95%,则在步骤S36,输出该白名单自学习模型,反之,若准确率未能达到预定值,则返回步骤S31,重新采样。直到准确率达到预定值。
由此获得的白名单自学习模型可以对新的IP地址和端口号进行自学习,以更新动态白名单规则信息。
在此需要说明的是,白名单数据库模块可以通过加密设置于本地服务器,其加密密钥和证书的签发和管理由服务器进行统一管理;白名单数据库模块的访问权限可以由系统最高管理人员控制,以确保白名单数据库模块不会被外部攻击者窃取和篡改。
进一步地,本发明实施例在步骤S24进行白名单规则信息更新之后,返回步骤S21,再次判断IP地址和端口号组合向量是否符合白名单数据库模块中的白名单规则信息,即对IP地址和端口号组合向量进行白名单的二次检测。
但是,若在步骤S22中查询获知IP地址和端口号组合向量不包含新的IP地址和端口号,则进入步骤S25,进行攻击行为判断。该攻击行为判断是判断来自客户端的数据包是否存在攻击行为,若判断数据包不存在攻击行为,则进入步骤S23,允许客户端与服务端通信;若判断数据包存在攻击行为,则丢弃该数据包或者将该数据包引入蜜罐系统,步骤S26。
由上述步骤可知,本发明实施例允许IP地址和端口号组合向量符合白名单规则信息的客户端节点进行通信,在IP地址和端口号组合向量不符合白名单规则信息时,若IP地址和端口号组合向量包含新的IP地址和端口号,可以先对白名单规则信息进行自更新,再次判断IP地址和端口号组合向量是否符合白名单规则信息,若IP地址和端口号组合向量仍不符合白名单规则信息,可以进一步判断数据包是否存在攻击行为,对存在攻击行为的数据包进行丢弃或者引入蜜罐系统,对相应的客户端节点进行通信阻断。
在此对蜜罐系统略作说明,蜜罐系统是使用各种技术手段吸引网络攻击流量,在系统遭受网络攻击时,可以有效地将攻击流量吸引并转移到蜜罐系统上。蜜罐系统在分担系统安全威胁的同时,收集攻击者的信息,如攻击方式、攻击手段、攻击特征等,作为数据分析及学习使用。
通过上述说明可知,本发明基于白名单进行网络安全防护,应用于具有多个客户端和服务端的系统,可以对IP地址和端口号组合向量不符合白名单规则信息的客户端节点进行通信阻断,也可以再进一步进行攻击行为判断,确定是否对IP地址和端口号组合向量不符合白名单规则信息的客户端节点进行通信阻断,以确保服务端运行安全。举例来说,即使攻击者已侦测得合法通信数据包的IP地址和端口,然后模拟源IP地址、源端口号、目的IP地址和一个新的端口号来探测服务端的新端口号是否打开,也会被检测出,其数据包会被丢弃,同时可以告警。相较于基于黑名单的防护方法,本发明无需实时更新病毒库或者不断获取恶意代码的特征,能够有效保证系统的可靠性、稳定性及业务连续性,从而适用电力监控和工业控制等特殊领域。
而且,本发明实施例的基于白名单的网络安全防护方法,可以设置动态白名单模块和静态白名单模块,动态白名单模块能够通过机器学习技术对动态白名单规则信息进行自更新,静态白名单模块则可以供管理员自定义建立静态白名单规则信息,如此有利于提高本发明的实施灵活性,且令白名单规则信息能够得以及时更新,以提高检测准确性。
与现有技术相比,本发明的有益效果在于:本发明通过检测IP地址和端口号组合向量是否符合白名单规则信息来确定是否允许客户端与服务端通信,以确保服务端的运行安全,能够有效保证系统的可靠性、稳定性及业务连续性,适用于电力监控和工业控制等特殊领域;而且本发明的白名单规则信息设有能够进行自更新的动态白名单规则信息和供管理员自定义的静态白名单规则信息,提高了本发明的实施灵活性,且令白名单规则信息能够得以及时更新,从而提高检测准确性。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (9)

1.一种基于白名单的网络安全防护方法,其特征在于,包括:
步骤S1,获取由客户端向服务端发送的数据包,对所述数据包进行IP地址和端口号解析,获得所述数据包的IP地址和端口号组合向量;
步骤S2,检测所述IP地址和端口号组合向量是否符合白名单规则信息,以确定是否允许所述客户端与所述服务端通信,其中所述白名单规则信息存放于白名单数据库模块中。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述步骤S2包括:
步骤S21,判断所述IP地址和端口号组合向量是否符合所述白名单规则信息,若不符合,则执行步骤S22;反之,若符合,则执行步骤S23;
步骤S22,向所述服务端查询所述IP地址和端口号组合向量是否包含新的IP地址和端口号,若包含,则所述白名单数据库模块基于所述新的IP地址和端口号更新所述白名单规则信息,并返回所述步骤S21;
步骤S23,允许所述客户端与所述服务端通信。
3.根据权利要求2所述的网络安全防护方法,其特征在于,所述步骤S22还包括:若查询获知所述IP地址和端口号组合向量不包含新的IP地址和端口号,则判断所述数据包是否存在攻击行为,若判断所述数据包存在攻击行为,则丢弃所述数据包或者将所述数据包引入蜜罐系统;反之,若判断所述数据包不存在攻击行为,则执行所述步骤S23。
4.根据权利要求1或2所述的网络安全防护方法,其特征在于,所述IP地址和端口号组合向量包括源IP地址、目的IP地址、源端口号和目的端口号,所述IP地址和端口号组合向量符合所述白名单规则信息是指所述源IP地址和所述目的IP地址、所述源端口号和所述目的端口号均符合所述白名单规则信息。
5.根据权利要求1或2所述的网络安全防护方法,其特征在于,所述步骤S22中,所述白名单数据库模块通过对所述新的IP地址和端口号进行自学习更新所述白名单规则信息。
6.根据权利要求5所述的网络安全防护方法,其特征在于,所述白名单数据库模块包括动态白名单模块,所述白名单规则信息包括动态白名单规则信息,所述动态白名单规则信息包括可信IP地址和端口号列表,所述动态白名单模块用于建立所述动态白名单规则信息并通过自学习更新所述动态白名单规则信息。
7.根据权利要求6所述的网络安全防护方法,其特征在于,所述动态白名单模块通过构建白名单自学习模型进行自学习来更新所述动态白名单规则信息,所述动态白名单模块通过下列步骤构建所述白名单自学习模型:
步骤S31,采样正常数据包的IP地址和端口号组合向量以及异常数据包的IP地址和端口号组合向量;
步骤S32,对所述正常数据包的IP地址和端口号组合向量以及所述异常数据包的IP地址和端口号组合向量进行标注,并将标注后的IP地址和端口号组合向量作为样本集;
步骤S33,将所述样本集划分为训练集和测试集;
步骤S34,构建支持向量机,将所述训练集作为输入数据输入所述支持向量机中进行样本训练,得到所述白名单自学习模型;
步骤S35,利用所述测试集对所述白名单自学习模型进行测试,若准确率达到预定值,则输出所述白名单自学习模型;反之,若准确率未能达到预定值,则返回所述步骤S31,重新采样。
8.根据权利要求6所述的网络安全防护方法,其特征在于,所述白名单数据库模块还包括静态白名单模块,所述白名单规则信息还包括静态白名单规则信息,所述静态白名单模块用于通过管理员自定义建立所述静态白名单规则信息。
9.根据权利要求1所述的网络安全防护方法,其特征在于,所述方法利用设于所述服务端的入侵监测系统执行所述步骤S1。
CN202110991645.6A 2021-08-27 2021-08-27 一种基于白名单的网络安全防护方法 Pending CN113726761A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110991645.6A CN113726761A (zh) 2021-08-27 2021-08-27 一种基于白名单的网络安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110991645.6A CN113726761A (zh) 2021-08-27 2021-08-27 一种基于白名单的网络安全防护方法

Publications (1)

Publication Number Publication Date
CN113726761A true CN113726761A (zh) 2021-11-30

Family

ID=78678314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110991645.6A Pending CN113726761A (zh) 2021-08-27 2021-08-27 一种基于白名单的网络安全防护方法

Country Status (1)

Country Link
CN (1) CN113726761A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102291441A (zh) * 2011-08-02 2011-12-21 杭州迪普科技有限公司 一种防范SYN Flood攻击的方法及安全代理装置
US20120023593A1 (en) * 2010-07-26 2012-01-26 Puder George System and method for filtering internet content & blocking undesired websites by secure network appliance
CN105704145A (zh) * 2016-03-22 2016-06-22 英赛克科技(北京)有限公司 针对opc协议的安全防护方法和系统
WO2017160557A1 (en) * 2016-03-18 2017-09-21 Pcms Holdings, Inc. System and method for network-level smart home security
CN109743300A (zh) * 2018-12-20 2019-05-10 浙江鹏信信息科技股份有限公司 一种基于异构模型策略库的安全事件自动化处置方法
CN110324316A (zh) * 2019-05-31 2019-10-11 河南恩湃高科集团有限公司 一种基于多种机器学习算法的工控异常行为检测方法
CN110465094A (zh) * 2019-08-19 2019-11-19 福建天晴在线互动科技有限公司 一种基于ip端口特征的游戏外挂检测方法
CN113037779A (zh) * 2021-04-19 2021-06-25 清华大学 一种积极防御系统中的智能自学习白名单方法和系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120023593A1 (en) * 2010-07-26 2012-01-26 Puder George System and method for filtering internet content & blocking undesired websites by secure network appliance
CN102291441A (zh) * 2011-08-02 2011-12-21 杭州迪普科技有限公司 一种防范SYN Flood攻击的方法及安全代理装置
WO2017160557A1 (en) * 2016-03-18 2017-09-21 Pcms Holdings, Inc. System and method for network-level smart home security
CN105704145A (zh) * 2016-03-22 2016-06-22 英赛克科技(北京)有限公司 针对opc协议的安全防护方法和系统
CN109743300A (zh) * 2018-12-20 2019-05-10 浙江鹏信信息科技股份有限公司 一种基于异构模型策略库的安全事件自动化处置方法
CN110324316A (zh) * 2019-05-31 2019-10-11 河南恩湃高科集团有限公司 一种基于多种机器学习算法的工控异常行为检测方法
CN110465094A (zh) * 2019-08-19 2019-11-19 福建天晴在线互动科技有限公司 一种基于ip端口特征的游戏外挂检测方法
CN113037779A (zh) * 2021-04-19 2021-06-25 清华大学 一种积极防御系统中的智能自学习白名单方法和系统

Similar Documents

Publication Publication Date Title
Singh et al. Issues and challenges in DNS based botnet detection: A survey
US20200358792A1 (en) Artificial intelligence (ai) based cyber threat analyst to support a cyber security appliance
US9860278B2 (en) Log analyzing device, information processing method, and program
US10581880B2 (en) System and method for generating rules for attack detection feedback system
CN110113350B (zh) 一种物联网系统安全威胁监测与防御系统及方法
Yin Towards accurate node-based detection of P2P botnets
McLaughlin et al. Secure communications in smart grid: Networking and protocols
Deri et al. Using deep packet inspection in cybertraffic analysis
Jing et al. DDoS detection based on graph structure features and non‐negative matrix factorization
EP4236202A1 (en) Method and apparatus for detecting anomalies of an infrastructure in a network
Uhříček et al. BOTA: Explainable IoT malware detection in large networks
Shafee Botnets and their detection techniques
Abaid et al. Early detection of in-the-wild botnet attacks by exploiting network communication uniformity: An empirical study
Miao et al. Automated big traffic analytics for cyber security
Yu et al. Detection and defense against network isolation attacks in software‐defined networks
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
CN113726761A (zh) 一种基于白名单的网络安全防护方法
Shriyal et al. IoT Device Classification Techniques and Traffic Analysis-A Review
CN114553513A (zh) 一种通信检测方法、装置及设备
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system
Laabid Botnet command & control detection in iot networks
Drakos Implement a security policy and identify Advance persistent threats (APT) with ZEEK anomaly detection mechanism
Mishra et al. Anomaly-based detection of system-level threats and statistical analysis
Tariq et al. The industrial internet of things (iiot): An anomaly identification and countermeasure method
Schölzel et al. A viable SIEM approach for Android

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211130