CN114531271A - 一种恶意流量检测方法和装置 - Google Patents
一种恶意流量检测方法和装置 Download PDFInfo
- Publication number
- CN114531271A CN114531271A CN202111682240.0A CN202111682240A CN114531271A CN 114531271 A CN114531271 A CN 114531271A CN 202111682240 A CN202111682240 A CN 202111682240A CN 114531271 A CN114531271 A CN 114531271A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- domain name
- sni
- name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 30
- 230000000903 blocking effect Effects 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 3
- 238000013480 data collection Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种恶意流量检测方法,包括以下步骤:建立域名数据库,包含禁止访问的服务器名单;在来自客户端的加密流量中,获得客户端发出的Client Hello包,提取Hello包中的SNI信息;将SNI中的第一服务器名称和所述域名数据库比较;响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。本申请还包含实现所述方法的装置。本申请解决传统发送RST包阻断连接方式阻断率低的问题。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种基于服务器名称指示的恶意流量检测技术。
背景技术
蜜罐技术通过让外来攻击者“入瓮”,从而起到保护真实服务器不受攻击的作用,同时运维蜜罐的工程师也可以凭此来分析外来攻击者的行为。但蜜罐自身也存在被外来攻击者攻破的风险,外来攻击者可以利用被攻破的蜜罐作为跳板,攻击内、外网的其它服务器,从而造成严重损失。
传统的蜜罐针对恶意流量检测使用DNS Sinkhole重定向恶意流量、主干网流量恶意域名检测等技术去分析并拦截恶意流量。
新型DNS加密病毒利用最新的DNS加密协议(如DNS-over-HTTPS),使得数据链路上的中间人攻击者无法识别到DNS流量,进而无法针对性地阻断或是欺骗,此时,使用DNSSinkhole技术的蜜罐也失去了效果。传统采用发送RST包的方式阻断连接,通过中间人攻击的方法向服务端或客户端发送伪造的RST包,以终止双方的连接,缺点就是阻断率太低。当访问小文件或网页的时候,常常十几个连接当中只有四五个能成功阻断。
发明内容
为解决传统发送RST包阻断连接方式阻断率低的问题,本申请提出一种恶意流量检测的方法和装置。
一方面,本申请实施例提出一种恶意流量检测方法,包括以下步骤:
建立域名数据库,包含禁止访问的服务器名单;
在来自客户端的加密流量中,获得客户端发出的Client Hello包,提取Hello包中的SNI信息;
将SNI中的第一服务器名称和所述域名数据库比较;
响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。
优选地,响应于所述服务器名称与所述域名数据库中任一域名相同,将所述客户端发出的与Client Hello包关联的数据重定向至第二服务器。进一步优选地,将所述SNI中的第一服务器名称修改为第三服务器名称。
获得客户端发出的Client Hello包的步骤,进一步包括:根据第一标识确定数据包的IP层协议为TCP协议;根据第二标识确定TCP处于未断开连接状态;根据第三标识确定TLS内存类型为握手包;根据第四标识确定TLS握手包为Client Hello包。
提取Hello包中的SNI信息的步骤,进一步包括:取得Session id length的值为x,Cipher length的值为y,Server Name length的值为L;则Server Name的值起始于第x+y+113字节,终止于第x+y+112+L字节。
优选地,用LINUX内核的IP tables命令阻断所述客户端和所述服务器之间的通信。
优选地,响应于来自客户端的数据流包含HTTP Flood攻击,与所述客户端关联的服务器名称被存储在所述域名数据库。
另一方面,本申请还提出一种恶意流量检测装置,用于实现本申请任意一项实施例所述方法,所述装置包括:
所述数据采集模块,用于分析出站的网络流量包,获得客户端发出的ClientHello包;
所述SNI生成模块,用于提取Hello包中的SNI信息,将SNI中的第一服务器名称和所述域名数据库比较;
所述阻断模块,用于响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
在加密访问可保障通讯安全的情况下,多数网络设备对网络攻击、恶意软件等加密流量却无能为力,攻击者也会使用加密的方式来伪装或者隐藏攻击行为,如新型的DNS加密协议,所以检测出恶意加密流量是非常必要的。本申请解决传统发送RST包阻断连接方式所带来的低阻断率,不管是多小的恶意数据包或者恶意文件,在通过SNI信息提取对比后,都能达到一个较高的阻断率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明系统应用场景;
图2为本发明恶意流量检测方法的实施例流程图;
图3为本发明恶意流量检测装置的实施例;
图4为数据采集过程的实施例流程图;
图5为Server Name位置示意图;
图6为SNI阻断过程的实施例流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明提出了针对蜜罐、防火墙、态势感知等流量监测设备的恶意流量检测技术;采用SNI技术配合Linux内核的Iptables命令来阻断恶意域名对应IP地址的连接。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本发明系统应用场景,包含客户端设备、蜜罐、服务器结构。
本申请的最佳实施例中,方法利用HTTPS握手包中未加密的服务器名称标识(Server Name Indication,SNI)信息,来判断蜜罐对外的连接是否是恶意连接。一旦发现恶意的SNI信息,就调用Iptables阻断模块,阻断对应恶意IP的通信,以防止恶意IP再次连接通信。
图2为本发明恶意流量检测方法的实施例流程图。
本申请实施例提出一种恶意流量检测方法,包括以下步骤:
步骤11、建立域名数据库,包含禁止访问的服务器名单;
所述禁止访问的服务器名单,例如具有恶意流量历史的服务器列入黑名单;或者是由于安全的原因要保护而禁止访问的的网站域名。
优选地,响应于来自客户端的数据流包含HTTP Flood攻击,与所述客户端关联的服务器名称被存储在所述域名数据库。
步骤12、在来自客户端的加密流量中,获得客户端发出的Client Hello包。
在本步骤中,检查蜜罐每个出入包的流量;
获得客户端发出的Client Hello包的步骤,进一步包括:根据第一标识确定数据包的IP层协议为TCP协议;根据第二标识确定TCP处于未断开连接状态;根据第三标识确定TLS内存类型为握手包;根据第四标识确定TLS握手包为Client Hello包。
步骤13、提取Hello包中的未加密SNI信息。
同时检查流量包中的SNI信息和DNS信息,分析TLS连接中的Client Hello包,并解析出服务器名称标识中的服务器名(Server Name)字段。
提取Hello包中的SNI信息的步骤,进一步包括:取得Session id length的值为x,Cipher length的值为y,Server Name length的值为L;则Server Name的值起始于第x+y+113字节,终止于第x+y+112+L字节。
步骤14、将SNI中的第一服务器名称和所述域名数据库比较。
将解析到的服务器名信息和恶意域名名单进行对比,或者,将解析到的服务器名称信息和要保护的服务器名称对比。
步骤15、响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。
优选地,用LINUX内核的IP tables命令阻断所述客户端和所述服务器之间的通信。例如一旦发现符合恶意域名名单的服务器名信息,就调用Iptables阻断模块阻断通信。
步骤16、优选地,响应于所述服务器名称与所述域名数据库中任一域名相同,将所述客户端发出的与Client Hello包关联的数据重定向至第二服务器。进一步优选地,将所述SNI中的第一服务器名称修改为第三服务器名称。
需要说明的是,重定向至第二服务器,当所述第一服务器是受保护的服务器时当所述第一服务器是欲防止接入的恶意流量来源时,用预设的第二服务器代替第一服务器。
还需要说明的是,将SNI中的第一服务器名称修改为第三服务器名称,是指在发生阻断的条件下,所述客户端在设定时间内不能获得来自第一服务器的响应而修改的,和/或,所述客户端在接收到来自第二服务器的响应后再次触发新的数据流。
图3为本发明恶意流量检测装置的实施例。
本申请的恶意流量检测装置,包含数据采集模块21、SNI生成模块22和阻断模块23、域名数据库24。
所述数据采集模块,用于分析出站的网络流量包,获得客户端发出的ClientHello包。
所述SNI生成模块,用于提取Hello包中的SNI信息,将SNI中的第一服务器名称和所述域名数据库比较。
所述阻断模块,用于响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。优选地,所述阻断模块,还用于响应于所述服务器名称与所述域名数据库中任一域名相同,将所述客户端发出的与Client Hello包关联的数据重定向至第二服务器。进一步优选地,将所述SNI中的第一服务器名称修改为第三服务器名称。
所述域名数据库,用于存储禁止访问的服务器名称(网址、域名)。
优选地,本申请装置还包含恶意攻击识别模块25,其功能在于,响应于来自客户端的数据流包含HTTP Flood攻击,与所述客户端关联的服务器名称被存储在所述域名数据库。
需要说明的是,为识别恶意攻击,一种常用方案是使用DNS Sinkhole技术,另一常用方案是,通过分析告警日志文件定位恶意攻击和恶意服务器。
图4为数据采集过程的实施例流程图。
作为本申请步骤12的具体实施例,本申请的装置通过抓包的方式分析每一个出站的网络流量包。由于服务器名称数据存在Client Hello包中,所以需要先确定目标数据包是否为Client Hello包。
本申请中,采用四个特定的标识位来共同确定一个数据包是否为Client Hello包,其十六进制分別为:第一标识0x06、第二标识0xl8、第三标识0x16、第四标识0x01,分别位于Client Hello包第23、47、54、59个比特位的位置,如表1所示。
表1确定数据包为Client Hello包的依据
| 数据 | 含义 | 位置 |
| 0x06 | IP层协议为TCP协议 | Byte 23 |
| 0x18 | TCP处于未断开连接状态 | Byte 47 |
| 0x16 | TLS内存类型为握手包 | Byte 54 |
| 0x01 | TLS握手包为Client Hello包 | Byte 59 |
提取并确认特定四个标识位的值正确后,即可在确定数据包为Client Hello包。
图4为Server Name位置示意图。
作为本申请步骤13的具体实施例,Session id length的值为x,Cipher length的值为y,Server Name length的值为L,x,y,L都转换为十进制,如图4所示。
根据标准以太网数据帧格式(RFC894),服务器名称字段的位置与多个字段都相关。Session id length位于第97个字节,值为x。
Cipher length位于第97+x+1、97+x+2个字节,值为y。
Server Name length位于第97+x+2+y+12、97+x+2+y+13个字节,值为L。
则Server Name的值起始于:x+y+113,终止于:x+y+112+L。
根据上述算法,通过计算Client Hello包中的Sessioin id length、Cipherlength、Server Name length,得到Server Name的值位于177到190字节,该数据中包含本次HTTPS请求访问的域名(示例www.baidu.com),且未加密。
图5为SNI阻断过程的实施例流程图。
作为本申请步骤14的实施例,将得到的服务器名称数据通过自定义正则与恶意域名库文件逐行进行匹配,一旦发现域名符合,就调用阻断模块阻断相应的IP地址通信。
优选地,本发明使用Linux内核的Iptables命令来阻断恶意域名对应IP地址的连接,使恶意程序无法进行下一步行动。
目前多数网络设备对于加密流量的检测都是分析网络全流量,结合威胁情报数据及网络行为进行深度检测分析,需要配合多个安全设备进行深度学习,但并没有使用Server Name Indication技术配合Iptables进行恶意流量检测的,因此该技术属于创新性应用技术,填补了该领域的空白,并且具有明显的实用性,对现有技术方案也是非常好的补充。
需要说明的是,阻断模块进行恶意加密流量检测的,而且该技术不只是局限于使用在恶意加密流量检测上,也可用于作为保护内部网站的流量检测技术,将黑名单中的域名替换成想要保护的内部网站域名,一旦从流量中检测出受到保护的域名地址就阻断通信。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
因此,本申请还提出一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请中任一实施例所述的方法。
进一步地,本申请还提出一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,所述处理器执行所述计算机程序时实现如本申请任一实施例所述的方法。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现本申请方法任一步骤指定的功能的装置。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种恶意流量检测方法,其特征在于,包括以下步骤:
建立域名数据库,包含禁止访问的服务器名单;
在来自客户端的加密流量中,获得客户端发出的Client Hello包,提取Hello包中的SNI信息;
将SNI中的第一服务器名称和所述域名数据库比较;
响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。
2.如权利要求1所述恶意流量检测方法,其特征在于,
响应于所述服务器名称与所述域名数据库中任一域名相同,将所述客户端发出的与Client Hello包关联的数据重定向至第二服务器。
3.如权利要求1所述恶意流量检测方法,其特征在于,
获得客户端发出的Client Hello包的步骤,进一步包括:
根据第一标识确定数据包的IP层协议为TCP协议;
根据第二标识确定TCP处于未断开连接状态;
根据第三标识确定TLS内存类型为握手包;
根据第四标识确定TLS握手包为Client Hello包。
4.如权利要求1所述恶意流量检测方法,其特征在于,
提取Hello包中的SNI信息的步骤,进一步包括:
取得Session id length的值为x,Cipher length的值为y,Server Name length的值为L;
则Server Name的值起始于第x+y+113字节,终止于第x+y+112+L字节。
5.如权利要求1所述恶意流量检测方法,其特征在于,
用LINUX内核的IP tables命令阻断所述客户端和所述服务器之间的通信。
6.如权利要求1所述恶意流量检测方法,其特征在于,
响应于来自客户端的数据流包含HTTP Flood攻击,与所述客户端关联的服务器名称被存储在所述域名数据库。
7.如权利要求2所述恶意流量检测方法,其特征在于,
将所述SNI中的第一服务器名称修改为第三服务器名称。
8.一种恶意流量检测装置,用于实现权利要求1~7任意一项所述方法,其特征在于,包括:
所述数据采集模块,用于分析出站的网络流量包,获得客户端发出的Client Hello包;
所述SNI生成模块,用于提取Hello包中的SNI信息,将SNI中的第一服务器名称和所述域名数据库比较;
所述阻断模块,用于响应于所述第一服务器名称与所述域名数据库中任一域名相同,阻断所述客户端和所述第一服务器的链接。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~7中任一所述的方法。
10.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1~7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111682240.0A CN114531271A (zh) | 2021-12-29 | 2021-12-29 | 一种恶意流量检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111682240.0A CN114531271A (zh) | 2021-12-29 | 2021-12-29 | 一种恶意流量检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114531271A true CN114531271A (zh) | 2022-05-24 |
Family
ID=81621876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111682240.0A Pending CN114531271A (zh) | 2021-12-29 | 2021-12-29 | 一种恶意流量检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114531271A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170302703A1 (en) * | 2013-06-05 | 2017-10-19 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
| CN109450945A (zh) * | 2018-12-26 | 2019-03-08 | 成都西维数码科技有限公司 | 一种基于sni的网页访问安全监控方法 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
| CN112448920A (zh) * | 2019-08-30 | 2021-03-05 | 中国移动通信有限公司研究院 | 网站访问监控方法、装置、服务器及计算机可读存储介质 |
| CN113676348A (zh) * | 2021-08-04 | 2021-11-19 | 南京赋乐科技有限公司 | 一种网络通道破解方法、装置、服务器及存储介质 |
-
2021
- 2021-12-29 CN CN202111682240.0A patent/CN114531271A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170302703A1 (en) * | 2013-06-05 | 2017-10-19 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
| CN109450945A (zh) * | 2018-12-26 | 2019-03-08 | 成都西维数码科技有限公司 | 一种基于sni的网页访问安全监控方法 |
| CN112448920A (zh) * | 2019-08-30 | 2021-03-05 | 中国移动通信有限公司研究院 | 网站访问监控方法、装置、服务器及计算机可读存储介质 |
| CN113676348A (zh) * | 2021-08-04 | 2021-11-19 | 南京赋乐科技有限公司 | 一种网络通道破解方法、装置、服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| US20160381070A1 (en) | Protocol based detection of suspicious network traffic | |
| US20160366159A1 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| CN110417717B (zh) | 登录行为的识别方法及装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| KR20110037645A (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
| CN110581836B (zh) | 一种数据处理方法、装置及设备 | |
| Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| CN114531271A (zh) | 一种恶意流量检测方法和装置 | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| RU183015U1 (ru) | Средство обнаружения вторжений | |
| CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| KR101043003B1 (ko) | 컨텐츠 차단용 패턴을 이용한 좀비 pc ip 추출 방법 | |
| CN116506216B (zh) | 一种轻量化恶意流量检测存证方法、装置、设备及介质 | |
| Majed et al. | Efficient and Secure Statistical Port Scan Detection Scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |