CN114760126B - 一种工控网络流量实时入侵检测方法 - Google Patents

一种工控网络流量实时入侵检测方法 Download PDF

Info

Publication number
CN114760126B
CN114760126B CN202210366787.8A CN202210366787A CN114760126B CN 114760126 B CN114760126 B CN 114760126B CN 202210366787 A CN202210366787 A CN 202210366787A CN 114760126 B CN114760126 B CN 114760126B
Authority
CN
China
Prior art keywords
flow
group
industrial control
time
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210366787.8A
Other languages
English (en)
Other versions
CN114760126A (zh
Inventor
连莲
王文诚
宗学军
何戡
杨忠君
郑洪宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang University of Chemical Technology
Original Assignee
Shenyang University of Chemical Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenyang University of Chemical Technology filed Critical Shenyang University of Chemical Technology
Priority to CN202210366787.8A priority Critical patent/CN114760126B/zh
Publication of CN114760126A publication Critical patent/CN114760126A/zh
Application granted granted Critical
Publication of CN114760126B publication Critical patent/CN114760126B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明一种工控网络流量实时入侵检测方法,涉及一种互联网安全检测方法,本发明针对工业互联网实时流量的周期性特征,提供了一种入侵检测方法,该入侵检测方法对采集的正常流量进行滑动窗口分组构造正常流量特征,并设置正常流量哨兵;然后对采集的攻击流量进行滑动窗口分组构造攻击流量特征,并设置异常流量哨兵;接着通过这两个哨兵快速筛选实时流量中的绝对正常流量组和绝对异常流量组,对组中正常流量和异常流量掺杂的情况通过均值聚类将正常流量和异常流量分离,标记异常流量并反馈给可视化平台,以达到态势感知及入侵检测的目的。该方法有较高的检测成功率并且通过三个方面加快了入侵检测速度,进一步满足工业控制系统实时性的要求。

Description

一种工控网络流量实时入侵检测方法
技术领域
本发明涉及一种工业控制系统网络安全检测方法,特别是涉及一种工控网络流量实时入侵检测方法。为一种基于suricata和滑动窗口均值聚类的工控网络实时入侵检测方法。
背景技术
工业信息安全已经成为国家战略地位,国家高度重视工业信息安全的发展,工业信息安全事件一旦发生,所造成的财产损失不容小觑,严重的还可能造成人员伤亡等情况的出现。
工业互联网平台是在“互联网+”的背景下衍生的新一代工业生产平台,这一平台是将工业控制系统、互联网以及工业云平台联系起来,从而能够实现工业数据的全面统计和分析。但是传统工业系统与互联网结合的同时,使得更多的工控节点暴露在互联网上,工业平台的受攻击面增加。
近年来,基于机器学习的入侵检测模型正处在研究热潮,但大部分对工业控制网络的研究仅采用经过特征处理好的历史数据进行网络仿真分析,而针对工业控制网络流量特性的研究较少,这使得结论和实际使用之间可能存在严重偏差。目前工业互联网内存在各种网络入侵风险,其中资产识别攻击和DDos是工业互联网环境中最常见的两种攻击,信息收集是黑客进行安全破坏过程中最重要的一个环节,黑客能通过一些非法手段实施资产识别攻击进而在大批量的资产中快速定位比较脆弱的资产,然后进行下一步的攻击活动;DDos攻击是一种能够让原本处于稳态运行的工控主机迅速宕机,这会给工厂带来不可估计的财产损失,甚至威胁人身安全。
目前亟待针对工业控制网络安全问题,提出一种有效的实时检测常见的资产识别攻击和DDos攻击的入侵检测方法。
发明内容
本发明的目的在于提供一种工业控制系统网络安全检测方法,该方通过改进开源框架Suricata进行实时采集并解析工业以太网的工业控制网络流量的方法,将网络传输过程中的数据帧解析成自然语言,对解析好的工业控制网络流量特点进行充分分析,提出一种基于滑动窗口分组的均值聚类算法来对工业控制网络内部的一些常见的网络入侵进行检测。本发明加强了对工控现场网络状况的检测。
本发明的目的是通过以下技术方案实现的:
一种工控网络流量实时入侵检测方法,该方法为一种基于suricata和滑动窗口均值聚类工控网络流量实时入侵检测方法,所述方法包括以下步骤:
(1)通过修改suricata源码,改变suricata运行模式,使其做到实时捕获并解析全部的网络数据帧,按照想要的格式将网络数据帧解析成自然语言并进行转储;
(2)通过步骤(1)提取工控互联网中正常的网络流量数据,分析流量特点,构造正常流量特征,并设置正常流量哨兵;
(3)通过步骤(1)提取攻击流量数据,分析流量特点,构造异常流量特征,并设置异常流量哨兵;
(4)将改修改后的suricata部署到工业互联网网络节点上,通过滑动窗口分组聚类算法对采集的实时流量进行检测;
(5)将流量分析和检测结果反馈到可视化平台,对网络内部出现的攻击行为及时报警并记录异常流量。
所述的一种工控网络流量实时入侵检测方法,所述步骤(1)中,通过修改suricata源码,使其跳出原来的工作模式,在流量处理线程中,在完成网络数据帧捕获函数之后改变插槽指针,使其指向本发明重写的流量解析函数,将网络数据帧解析成我们想要的格式,其中包含的字段有<Time, Srcip, Dstip, SP, DP, Proto, Payload, Length>时间戳、源ip地址、目的ip地址、源端口号、目的端口号、数据包通信协议、数据包的payload内容、数据包总长度。
所述的一种工控网络流量实时入侵检测方法,所述步骤(2)或步骤(3)中,对采集的流量主要从流量种类,流量长度和时序特征三个方面来流量的特点,发现正常的工业控制网络环境中流量的长度是在动态的变化的且呈现出一定的周期性,这正是由于工控网络工作机制多为轮询、诊断、周期刷新业务类型,才使得网络流量特征会表现出较强的周期性;而攻击流量多数都是在短时间内发送超过255条长度几乎相同的流量,流量长度的变化极小,因此设置滑动窗口大小为255,对正常流量和攻击流量分组计算组内长度方差,构造流量特征,采用公式为:
式中为组内每个元素的长度,/>为组内元素长度平均值;
取正常流量的方差最小值为正常流量哨兵;取攻击流量的方差最大值为异常流量哨兵。
所述的一种工控网络流量实时入侵检测方法,所述步骤(4)中的实时流量检测方法,对实时流量通过滑动分组计算出组内长度方差,然后与两个哨兵进行对比,若该组内方差大于等于正常流量哨兵,则该组为正常流量组;若该组内方差小于等于异常流量哨兵,则该组为异常流量组;这样先快速过滤掉绝对正常流量和绝对异常流量,接着对位于正常流量哨兵和异常流量哨兵之间的流量组,也就是组内既有正常流量也有异常流量,通过均值聚类将该组内的正常流量和异常流量分离。
所述的一种工控网络流量实时入侵检测方法,所述步骤(5)中,可视化平台为Web平台,该平台只进行数据展示及威胁报警,并对工控网络内部出现的攻击行为提供防御建议;可视化数据包括工控网络内部访问源及访问次数统计、访问目标及访问次数统计、访问事件统计、威胁报警及防御建议、威胁流量统计、威胁事件统计。
附图说明
图1为本发明的suricata运行模式图;
图2为本发明入侵检测算法流程图;
图3为本发明实时流量提取入侵检测及可视化平台结构图。
具体实施方式
本发明提供一种基于suricata的工业互联网数据帧实时采集方法,所述方法包括:
对开源框架suricata源码的修改过程,使其能够实时采集并转储工业互联网数据帧,并将网络数据帧解析成自然语言形式,具体包括:
修改suricata源码,使suricata跳出原来的运行模式,新的运行模式如图1所示;
完成网络数据帧采集操作之后,修改插槽函数指针,使其指向本发明开发的网络数据帧解析函数,将网络数据帧解析成我们想要的自然语言形式;
经解析后的数据具体字段包括:<Time, SrcIP, DesIP, SP, DP, Proto,Payload, Length>时间戳、源ip地址、目的ip地址、源端口号、目的端口号、数据包通信协议、数据包的payload内容、数据包总长度等内容。
进一步的,为满足工业控制系统实时检测需求,本发明通过部署DPDK的方式加快网络数据帧采集效率,为工业互联网的实时性提供了第一层保障;
另一方面,本发明提供一种基于滑动窗口分组均值聚类的网络入侵方法,所属方法包括:
对采集的解析后的正常工控网络数据的流量种类,流量长度和时序特征三个方面来分析工业控制网络流量的特点,得出由于工控系统的工作机制使其流量会表现出较强的周期性特征,而这周期性特征在网络数据包长度方面能得到体现。
通过滑动窗口分组计算出正常流量组的数据包长度的组内方差,构造正常流量特征;并取数据包长度方差的最小值作为正常流量组的判定哨兵;
然后在工控网络仿真平台上进行常见的网络入侵攻击以及针对工业控制系统的网络入侵,攻击的同时通过本发明改进的suricata框架进行流量采集;
对采集的解析后的攻击流量数据的流量种类,流量长度和时序特征三个方面来分析攻击流量的特点,发现攻击流量往往在较短事件内发送数量较多且长度相同的网络数据包,所以在组内流量长度变化较小;
通过滑动窗口分组计算出攻击流量组的数据包长度的组内方差,构造异常流量特征;并取数据包长度方差的最大值作为异常流量组的判定哨兵;
然后根据流量特征先快速筛选绝对正常流量组和绝对异常流量组,对不确定的流量组,也就是正常流量和异常流量掺杂的组,在通过均值聚类将异常流量和正常流量分离,以达到对异常流量检测的目的。
其次,本发明所提供的入侵检测算法首先过滤掉大部分绝对正常的网络数据和绝对异常的网络数据,减少了机器学习的数据处理量,加快了检测速度,为工业互联网的实时性提供了第二层保障;
进一步的,为满足工业控制系统实时检测需求,本发明通过采用Redis缓存技术和ES数据库技术,加快对解析后的网络数据的读写效率,为工业互联网的实时性提供了第三层保障;
第三方面,本发明提供了Web可视化平台,将后端对网络流量的解析分析及检测结果实时反馈到前端进行展示,并对检测到的网络入侵进行实时告警并记录,便于现场工作人员及时感知并处理风险。
本发明适用于对工业互联网的网络安全进行监控和检测,及时反馈工控系统内部网络状态,降低网络入侵风险。
实施例
下面结合附图及特定的具体实例来对本发明的具体实施方式进行进一步详细说明。
本实施方式提供了一种工控网络流量采集方法,该方法通过改进suricata框架来实现,具体包括:
通过修改suricata源码,使其跳出原来的工作模式,新的工作模式如图1所示,在完成插槽中的网络数据帧捕获工作之后,修改插槽指针,使其指向本发明开发的网络数据帧解析函数,在该函数内对捕获的网络数据帧解析成我们想要的自然语言格式,并进行数据转储,以便我们进一步处理;
其中,为了满足工控系统实时性要求,我们通过部署DPDK技术来加快数据帧捕获速度,为工业互联网的实时性提供第一层保障;并且我们采用了Redis缓存和EL数据库技术,加快了数据读写速度,为工业互联网的实时性提供第二层保障;整个系统的结构图如图3所示。
此外,本实施方式提供了一种基于滑动窗口分组均值聚类的网络入侵方法,方法流程如图2所示,该方法具体包括:
步骤1、通过suricata在工控系统内部网络对正常的网络流量进行实时流量采集,并且在工业控制系统仿真平台上进行一些常见攻击,同时对攻击流量进行实时流量采集,将采集的数据存储到数据库中,为机器学习算法提供数据源。
步骤2、从流量种类,流量长度和时序特征三个方面分析工控系统内部正常网络流量和攻击流量的特征,发现通过本发明提供的算法对采集的实时网络流量数据进行特征处理,构建正常网络流量哨兵和异常网络流量哨兵
步骤2.1、因为同一网段的内网ip地址一般为255个,资产识别攻击也一般是扫描本网段的全部ip也就是255次,DDos攻击所发送的数据包更会超过255个,因此设定滑动窗口的大小为255,通过滑动窗口对流量进行分组;
步骤2.2、通过公式1计算正常流量和攻击流量每组的长度方差,并设置正常流量长度方差的最小值为正常流量哨兵,设置攻击流量的长度方差最大值为异常流量哨兵;
(1)
式中为组内每个元素的长度,/>为组内元素长度平均值
步骤2.3、对工控环境中的实时网络流量进行检测,通过滑动窗口进行分组,滑动窗口大小设置为255,通过公式1计算每组流量的长度方差并与哨兵进行比对,若该组流量方差值小于等于异常流量哨兵,则该组全部标记为异常流量;若该组流量方差大于等于正常流量哨兵,则该组全部标记为正常组;若该组流量方差位于正常流量哨兵和异常流量哨兵之间,则进入步骤2.4。
步骤2.4、将流量方差位于正常流量哨兵和异常流量哨兵之间的流量,也就是该组内既有正常流量又有异常流量的情况,对组内流量通过K-means算法聚类,将正常流量和异常流量分离。
整个算法过程如下:
步骤3、将分析及检测结果反馈到态势感知Web平台,做到数据可视化,使工作人员能够直观的看到工控网络内部存在的风险,便于现场工作人员及时对工控网络内部发生的攻击进行处理。
显然,上述实施例仅仅是为清楚地说明所作的举例,并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (4)

1.一种工控网络流量实时入侵检测方法,该方法为一种基于suricata和滑动窗口均值聚类工控网络流量实时入侵检测方法,其特征在于,所述方法包括以下步骤:
(1)通过修改suricata源码,改变suricata运行模式,使其做到实时捕获并解析全部的网络数据帧,按照想要的格式将网络数据帧解析成自然语言并进行转储;
(2)通过步骤(1)提取工控互联网中正常的网络流量数据,分析流量特点,构造正常流量特征,并设置正常流量哨兵;
(3)通过步骤(1)提取攻击流量数据,分析流量特点,构造异常流量特征,并设置异常流量哨兵;
(4)将修改后的suricata部署到工控互联网网络节点上,通过滑动窗口分组聚类算法对采集的实时流量进行检测;
(5)将流量分析和检测结果反馈到可视化平台,对网络内部出现的攻击行为及时报警并记录异常流量;
所述步骤(4)中的实时流量检测方法,对实时流量通过滑动分组计算出组内长度方差,然后与两个哨兵进行对比,若该组内方差大于等于正常流量哨兵,则该组为正常流量组;若该组内方差小于等于异常流量哨兵,则该组为异常流量组;这样先快速过滤掉绝对正常流量和绝对异常流量,接着对位于正常流量哨兵和异常流量哨兵之间的流量组,也就是组内既有正常流量也有异常流量,通过均值聚类将该组内的正常流量和异常流量分离。
2.根据权利要求1所述的一种工控网络流量实时入侵检测方法,其特征在于,所述步骤(1)中,通过修改suricata源码,使其跳出原来的工作模式,在流量处理线程中,在完成网络数据帧捕获函数之后改变插槽指针,使其执行重写的流量解析函数,将网络数据帧解析成所需的格式,其中包含的字段有<Time,Srcip,Dstip,SP,DP,Proto,Payload,Length>时间戳、源ip地址、目的ip地址、源端口号、目的端口号、数据包通信协议、数据包的payload内容、数据包总长度。
3.根据权利要求1所述的一种工控网络流量实时入侵检测方法,其特征在于,所述步骤(2)或步骤(3)中,对采集的流量主要从流量种类,流量长度和时序特征三个方面来分析流量的特点,发现正常的工业控制网络环境中流量的长度是在动态的变化的且呈现出一定的周期性,这正是由于工控网络工作机制多为轮询、诊断、周期刷新业务类型,才使得网络流量特征会表现出较强的周期性;而攻击流量多数都是在短时间内发送超过255条长度几乎相同的流量,流量长度的变化极小,因此设置滑动窗口大小为255,对正常流量和攻击流量分组计算组内长度方差,构造流量特征,采用公式为:
式中Lj为组内每个元素的长度,为组内元素长度平均值;
取正常流量的方差最小值为正常流量哨兵;取攻击流量的方差最大值为异常流量哨兵。
4.根据权利要求1所述的一种工控网络流量实时入侵检测方法,其特征在于,所述步骤(5)中,可视化平台为Web平台,该平台只进行数据展示及威胁报警,并对工控网络内部出现的攻击行为提供防御建议;可视化数据包括工控网络内部访问源及访问次数统计、访问目标及访问次数统计、访问事件统计、威胁报警及防御建议、威胁流量统计、威胁事件统计。
CN202210366787.8A 2022-04-08 2022-04-08 一种工控网络流量实时入侵检测方法 Active CN114760126B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210366787.8A CN114760126B (zh) 2022-04-08 2022-04-08 一种工控网络流量实时入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210366787.8A CN114760126B (zh) 2022-04-08 2022-04-08 一种工控网络流量实时入侵检测方法

Publications (2)

Publication Number Publication Date
CN114760126A CN114760126A (zh) 2022-07-15
CN114760126B true CN114760126B (zh) 2023-09-19

Family

ID=82330142

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210366787.8A Active CN114760126B (zh) 2022-04-08 2022-04-08 一种工控网络流量实时入侵检测方法

Country Status (1)

Country Link
CN (1) CN114760126B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117081863B (zh) * 2023-10-16 2023-12-15 武汉博易讯信息科技有限公司 Ddos攻击检测防御方法、系统、计算机设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107302534A (zh) * 2017-06-21 2017-10-27 广东工业大学 一种基于大数据平台的DDoS网络攻击检测方法及装置
CN110149343A (zh) * 2019-05-31 2019-08-20 国家计算机网络与信息安全管理中心 一种基于流的异常通联行为检测方法和系统
CN111371807A (zh) * 2020-03-24 2020-07-03 河南信大网御科技有限公司 基于接入层的安全系统及其构建方法、终端、存储介质
CN111695823A (zh) * 2020-06-16 2020-09-22 清华大学 一种基于工控网络流量的异常评估方法与系统
CN112532642A (zh) * 2020-12-07 2021-03-19 河北工业大学 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN113556354A (zh) * 2021-07-29 2021-10-26 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与系统
CN113904819A (zh) * 2021-09-27 2022-01-07 广西师范大学 一种应用于工控网络的安全系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9203856B2 (en) * 2013-03-04 2015-12-01 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107302534A (zh) * 2017-06-21 2017-10-27 广东工业大学 一种基于大数据平台的DDoS网络攻击检测方法及装置
CN110149343A (zh) * 2019-05-31 2019-08-20 国家计算机网络与信息安全管理中心 一种基于流的异常通联行为检测方法和系统
CN111371807A (zh) * 2020-03-24 2020-07-03 河南信大网御科技有限公司 基于接入层的安全系统及其构建方法、终端、存储介质
CN111695823A (zh) * 2020-06-16 2020-09-22 清华大学 一种基于工控网络流量的异常评估方法与系统
CN112532642A (zh) * 2020-12-07 2021-03-19 河北工业大学 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN113556354A (zh) * 2021-07-29 2021-10-26 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与系统
CN113904819A (zh) * 2021-09-27 2022-01-07 广西师范大学 一种应用于工控网络的安全系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
数据挖掘分类算法在流程工业报警系统中的应用;宗学军;张沅;;技术与市场(第05期);全文 *

Also Published As

Publication number Publication date
CN114760126A (zh) 2022-07-15

Similar Documents

Publication Publication Date Title
CN110011999B (zh) 基于深度学习的IPv6网络DDoS攻击检测系统及方法
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US7995496B2 (en) Methods and systems for internet protocol (IP) traffic conversation detection and storage
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
CN105071985B (zh) 一种服务器网络行为描述方法
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
CN113612763B (zh) 基于网络安全恶意行为知识库的网络攻击检测装置和方法
CN108833437A (zh) 一种基于流量指纹和通信特征匹配的apt检测方法
CN101820413A (zh) 一种网络安全最佳防护策略的选择方法
Vaarandi Real-time classification of IDS alerts with data mining techniques
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN109660518A (zh) 网络的通信数据检测方法、装置以及机器可读存储介质
CN109150869A (zh) 一种交换机信息采集分析系统及方法
CN114760126B (zh) 一种工控网络流量实时入侵检测方法
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
Huang et al. Network forensic analysis using growing hierarchical SOM
CN113259367B (zh) 工控网络流量多级异常检测方法及装置
CN109150920A (zh) 一种基于软件定义网络的攻击检测溯源方法
CN113612657A (zh) 一种异常http连接的检测方法
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
CN101882997A (zh) 一种基于nba的网络安全评估方法
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN112929364B (zh) 一种基于icmp隧道分析的数据泄漏检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant