CN114866279A - 基于http请求有效负载的漏洞攻击流量检测方法和系统 - Google Patents
基于http请求有效负载的漏洞攻击流量检测方法和系统 Download PDFInfo
- Publication number
- CN114866279A CN114866279A CN202210300704.5A CN202210300704A CN114866279A CN 114866279 A CN114866279 A CN 114866279A CN 202210300704 A CN202210300704 A CN 202210300704A CN 114866279 A CN114866279 A CN 114866279A
- Authority
- CN
- China
- Prior art keywords
- http
- http request
- traffic
- deep learning
- effective load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于HTTP请求有效负载的漏洞攻击流量检测方法和系统。该方法包括:从HTTP请求中提取有效负载;对提取的有效负载进行向量化处理;利用向量化处理后的有效负载训练深度学习分类器,所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类;利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。本发明基于现有大量漏洞在HTTP流量上的表现形式,通过人工智能的方法提取出其中的共性,并形成对所有HTTP类型漏洞都可以检测发现的通用模型,在一定程度上解决了现在技术智能发现已知漏洞的局限性,能够发现未知漏洞。
Description
技术领域
本发明属于网络技术领域,具体涉及一种基于HTTP请求有效负载的漏洞攻击流量检测方法和系统。
背景技术
HTTP协议是目前使用最为广泛的应用层协议之一,也是漏洞攻击行为中最主要的承载协议。在所有已知公开漏洞之中,针对web的漏洞数目是最多的,如Sql注入、XSS漏洞等数量最多的漏洞均是web类漏洞。除了web类漏洞以外,仍有大部分漏洞以HTTP协议发起,对攻击目标产生影响。
HTTP请求包括HTTP请求中的头部字段和负载。有效负载使攻击者可以随意发挥向协议中嵌入任何内容从而完成攻击目的,基于HTTP协议的漏洞攻击实现也几乎都基于此。
当前缺少对HTTP有效负载的漏洞利用检测研究:HTTP请求有效负载是漏洞攻击中最常出现的地方。为了能够在海量流量之中快速发现可能存在漏洞攻击的流量,对HTTP请求有效负载进行安全性检测是高效且准确的措施。基于HTTP请求字段的特性,其内容表现出特征多样性、对普通流量的模仿混淆、数据编码的复杂性等特点,对传统基于机理分析的签名和精准规则匹配算法提出了更高的挑战。因此,研究难点之一在于研究具有载荷的构成模式、数据等方面的特征,构建高准确率和扩展性强的基于深度学习算法的检测模型。
目前对于漏洞利用流量检测,目前比较常用的主要有三种:基于漏洞特征检测、基于Exploit特征检测、基于攻击特征检测。
1)基于漏洞特征检测:对漏洞攻击手段和技术细节比较了解后,研究其触发攻击的必要条件,可以分析出其对应的识别规则,例如缓存区溢出检测、目录遍历检测、远程命令注入检测、远程文件包含检测等;
2)基于Exploit特征检测:从漏洞利用程序中分析独特特征,作为识别规则,例如返回地址检测、ROP Chain检测等;
3)基于攻击特征检测:通过检测漏洞利用相关的相对独立的组件来发现攻击,例如shellcode代码检测、畸形参数攻击检测等等。
当前的方法当大部分都基于已知漏洞的特征实现检测,只能发现已知漏洞的重复利用的行为,没有办法发现未知漏洞和0day漏洞的攻击行为。
发明内容
本发明针对上述问题,提供一种基于HTTP请求有效负载的漏洞攻击流量检测方法和系统。
本发明采用的技术方案如下:
一种基于HTTP请求有效负载的漏洞攻击流量检测方法,包括以下步骤:
从HTTP请求中提取有效负载;
对提取的有效负载进行向量化处理;
利用向量化处理后的有效负载训练深度学习分类器,所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类;
利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。
进一步地,所述从HTTP请求中提取有效负载,包括:
对于URI_Path部分采用分隔符进行拆分,将目录和目录中的文件前缀后缀进行分割,根据URI_Query中的分隔符对URI_Query字段进行分割,经过分割过后的URL被拆分为一个由单词和短字符串组成的单词列表,其中短字符串统称为单词;
对于HTTP请求的头部字段中的复杂字段,根据分隔符进行分割,形成单词列表,并根据HTTP各个头部字段出现的原始顺序附加在URL之后,组成完整的HTTP请求有效负载。
进一步地,所述从HTTP请求中提取有效负载的过程中,忽略URL的Host部分。
进一步地,所述对提取的有效负载进行向量化处理,包括:
选择word2vec中的CBOW模型用于词向量的生成,将所有收集到的正常白应用流量和关口流量中所有的HTTP的有效负载都作为语料库的输入,构建出一个HTTP协议语料库,并训练出词向量模型;每个单词根据查询语料库的方式得到其具体的词向量,并组合成为整个有效负载的高维向量。
进一步地,所述深度学习分类器为双向长短记忆神经网络等。
进一步地,在向所述深度学习分类器输入HTTP请求的有效负载数据时,连带将该HTTP请求的会话号一起发送,经过深度学习分类器判别后,若为可疑漏洞攻击流量,则利用传递的会话号查询会话的具体信息,并产生告警。
一种采用上述方法的基于HTTP请求有效负载的漏洞攻击流量检测系统,其包括:
预处理模块,用于从HTTP请求中提取有效负载,并对提取的有效负载进行向量化处理;
分类器训练模块,用于利用向量化处理后的有效负载训练深度学习分类器,所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类;
检测模块,用于利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。
本发明的关键点是:
1.针对HTTP请求有效负载的向量化方法。HTTP协议本质上是文本协议的一种,其负载可以通过自然语言处理的方法进行向量化,从而应用到深度学习模型之中,完成分类任务。本发明首次提出该方法,从HTTP请求中提取出有效负载部分,然后进行向量化处理。
2.本发明发现了基于HTTP的漏洞的利用流量与正常HTTP应用流量之间的差异,并提出了一种通用化模型将这二者进行识别分类。
本发明的有益效果如下:
本发明通过理解大量现有漏洞的成因和利用流量中的数据表现形式,构建了一个通用的漏洞流量检测模型。比起传统技术以漏洞检测特征、漏洞检测规则为主的方法,本方法能够在一定程度上发现未知漏洞。
本发明基于现有大量漏洞在HTTP流量上的表现形式,通过人工智能的方法提取出其中共性,并形成对所有HTTP类型漏洞都可以检测发现的通用模型,一定程度上解决了现有技术智能发现已知漏洞的局限性。
附图说明
图1是本发明的深度学习模型网络结构图。
图2是本发明方法的工作流程图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步详细说明。
本发明是基于HTTP请求有效负载的漏洞攻击流量过滤/检测方法,对如何在海量数据中发现漏洞攻击流量及漏洞攻击流量普遍性特征挖掘等问题展开分析。漏洞利用在流量中最常出现于HTTP请求的有效负载部分,本发明针对漏洞利用载荷的特点建立基于HTTP协议的漏洞攻击流量检测模型。本发明使用基于LSTM的漏洞攻击流量过滤方法,具体来说,首先对流量数据进行预处理,然后针对漏洞利用载荷的特点进行漏洞攻击流量的普遍性特征挖掘,使模型可以过滤出大量正常应用流量,保留可疑漏洞攻击流量。技术方案如下:
(1)利用正常应用流量的协议及负载特点,生成流量字符串与字节流的向量化模型,用于表述应用层流量;
(2)借鉴文本分类算法的优势,将向量化、携带上下文语义信息的网络流量进行分类、识别,过滤大量的白流量(即正常应用流量),保留可疑的漏洞攻击流量,为后序漏洞利用模式的精准识别提供支撑。
HTTP协议是目前使用最为广泛的应用层协议之一,也是漏洞攻击行为中最主要的承载协议。在所有已知公开漏洞之中,针对web的漏洞数目是最多的,如Sql注入、XSS漏洞等数量最多的漏洞均是web类漏洞。除了web类漏洞以外,仍有大部分漏洞以HTTP协议发起,对攻击目标产生影响。
HTTP请求包括HTTP请求中的头部字段和负载。有效负载使攻击者可以随意发挥向协议中嵌入任何内容从而完成攻击目的,基于HTTP协议的漏洞攻击实现也几乎都基于此。其中,HTTP请求中的“负载”是指TCP负载中除了HTTP头部的负载,本发明提出的“有效负载”是指漏洞攻击可能出现的HTTP协议中的部分负载。
因此,本发明针对HTTP请求有效负载进行分析,通过研究有效负载中的文本特性,构建分类模型,从而将正常有效负载和漏洞有效负载进行初步区分,提取疑似漏洞攻击的HTTP请求,检测基于HTTP协议的漏洞攻击流量。
HTTP请求的头部字段中的URL以Host+URI的形式构成,Host即请求的主机/服务器地址,一般是域名或Ip地址。URI则代表请求资源的目录,可以再细分为URI_Path和URI_Query,URI_Path指代请求访问资源的目录,URI_Query用来附加参数。基于这样的组成,本发明将不同级别的语句进行拆分。首先,Host部分一般不存在可攻击点,可以忽略。对于URI_Path部分,本发明用常用目录的分隔符如‘/’、‘\’、‘.’进行拆分。将目录和目录中的文件前缀后缀进行分割。而URI_Query字段则相对较为复杂,常被用来嵌入JS代码、终端命令等。本发明根据URI_Query中常见的分隔符如‘?’、‘()’、‘,’等对其进行分割。经过分割过后的URL被拆分为一个由单词和短字符串组成的列表。本发明将这些短字符串统称为单词。
对于头部字段中的复杂字段(如User-Agent,Cache-Control等),本发明的预处理方式与URL相同,根据分隔符进行分割,形成单词列表,并根据HTTP各个头部字段出现的原始顺序附加(或称拼接)在URL之后,组成完整的HTTP请求有效负载,成为后续作为向量化的输入。上述分割、拼接没有先后顺序。
为了能够学习到HTTP请求有效负载中的特征,本发明将拆分出来的单词列表进行向量化。基于有效负载的特点,本发明选择word2vec中的CBOW模型用于词向量的生成。将所有收集到的正常白应用流量和关口流量(大型网络环境如校园网、骨干网的流量出入口流量)中所有的HTTP有效负载都作为语料库的输入,构建出一个庞大的HTTP协议语料库,并训练出词向量模型。这样,每个单词可以根据查询语料库的方式得到其具体的词向量,并组合成为整个有效负载的高维向量。
完成了有效负载的向量嵌入,本发明选择能够较好地利用学习单词上下文关系的深度学习模型即双向长短记忆神经网络(Bi-LSTM)进行模型的训练,得到深度学习分类器,用于对正常应用流量、可疑漏洞攻击流量进行分类。Bi-LSTM是RNN循环神经网络中的一种,能够有效发掘序列之间的时序关系,并且可以学习长期依赖特征由前向LSTM与后向LSTM组合而成,可以更好的捕捉双向的语义依赖。
具体的网络结构如图1所示,其中,input表示输入层,[(None,50,32)]中的None表示批尺寸(batchsize),50表示词向量个数,32表示词向量维度;bidirectional(lstm)表示双向长短记忆神经网络;dense表示全连接层;dropout表示丢弃层;flatten表示扁平层;dense_1表示全连接层1。
对Bi-LSTM模型进行训练的过程包括:
1)数据集构建。包括训练数据标记,将训练集中的正常流量和漏洞攻击流量进行标记。同时将训练集和测试集按7:3进行划分;
2)数据预处理。将输入的流量进行HTTP请求有效负载提取、词向量计算;
3)模型训练。利用Bi-LSTM网络对训练数据进行拟合,损失函数为Focal_Loss。
完成模型训练后,将训练好的词向量模型和深度学习分类器进行导出,用于离线使用。本发明的工作流程如图2所示。其中,上层预处理模块在输入HTTP请求有效负载数据时,会连带将该HTTP请求的会话号(哈希值)一起发送,而经过深度学习分类器判别时仅对数据部分进行处理。若该条请求产生了告警,则会利用传递的会话号查询本条会话的具体信息,并产生告警。
本发明中通过检测HTTP请求有效负载,来发现HTTP协议中可能存在的漏洞利用数据。他人可通过利用全部HTTP流量原始数据来完成来达到同样效果。本发明中仅针对HTTP请求有效负载的原因是因为HTTP有效负载所使用的数据量更小,更为具有针对性,也能有效减少计算资源的开销。
本发明中使用Bi-LSTM深度学习模型来构成分类器,他人可采用其他类型的深度学习模型如CNN、MLP等模型,也可能达到同样的效果。本发明是基于HTTP请求有效负载的构成特点选用Bi-LSTM作为分类器模型,能取得较好的效果。
本发明的模型在测试集上的实验结果如表1所示。
表1.基于HTTP协议的漏洞攻击流量检测模型实验结果
| Accuracy | Precision | Recall | F1-score |
| 0.9923 | 0.9910 | 0.9931 | 0.9920 |
基于同一发明构思,本发明的另一实施例提供一种采用本发明方法的基于HTTP请求有效负载的漏洞攻击流量检测系统,其包括:
预处理模块,用于从HTTP请求中提取有效负载,并对提取的有效负载进行向量化处理;
分类器训练模块,用于利用向量化处理后的有效负载训练深度学习分类器,所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类;
检测模块,用于利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。
基于同一发明构思,本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等),其包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行本发明方法中各步骤的指令。
基于同一发明构思,本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘),所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现本发明方法的各个步骤。
以上公开的本发明的具体实施例,其目的在于帮助理解本发明的内容并据以实施,本领域的普通技术人员可以理解,在不脱离本发明的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容,本发明的保护范围以权利要求书界定的范围为准。
Claims (9)
1.一种基于HTTP请求有效负载的漏洞攻击流量检测方法,其特征在于,包括以下步骤:
从HTTP请求中提取有效负载;
对提取的有效负载进行向量化处理;
利用向量化处理后的有效负载训练深度学习分类器,所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类;
利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。
2.根据权利要求1所述的方法,其特征在于,所述从HTTP请求中提取有效负载,包括:
对于URI_Path部分采用分隔符进行拆分,将目录和目录中的文件前缀后缀进行分割,根据URI_Query中的分隔符对URI_Query字段进行分割,经过分割过后的URL被拆分为一个由单词和短字符串组成的单词列表,其中短字符串统称为单词;
对于HTTP请求的头部字段中的复杂字段,根据分隔符进行分割,形成单词列表,并根据HTTP各个头部字段出现的原始顺序附加在URL之后,组成完整的HTTP请求有效负载。
3.根据权利要求2所述的方法,其特征在于,所述从HTTP请求中提取有效负载的过程中,忽略URL的Host部分。
4.根据权利要求1所述的方法,其特征在于,所述对提取的有效负载进行向量化处理,包括:
选择word2vec中的CBOW模型用于词向量的生成,将所有收集到的正常白应用流量和关口流量中所有的HTTP的有效负载都作为语料库的输入,构建出一个HTTP协议语料库,并训练出词向量模型;每个单词根据查询语料库的方式得到其具体的词向量,并组合成为整个有效负载的高维向量。
5.根据权利要求1所述的方法,其特征在于,所述深度学习分类器为双向长短记忆神经网络。
6.根据权利要求1所述的方法,其特征在于,在向所述深度学习分类器输入HTTP请求的有效负载数据时,连带将该HTTP请求的会话号一起发送,经过深度学习分类器判别后,若为可疑漏洞攻击流量,则利用传递的会话号查询会话的具体信息,并产生告警。
7.一种采用权利要求1~6中任一权利要求所述方法的基于HTTP请求有效负载的漏洞攻击流量检测系统,其特征在于,包括:
预处理模块,用于从HTTP请求中提取有效负载,并对提取的有效负载进行向量化处理;
分类器训练模块,用于利用向量化处理后的有效负载训练深度学习分类器,所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类;
检测模块,用于利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。
8.一种电子装置,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1~6中任一权利要求所述方法的指令。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现权利要求1~6中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210300704.5A CN114866279B (zh) | 2022-03-24 | 2022-03-24 | 基于http请求有效负载的漏洞攻击流量检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210300704.5A CN114866279B (zh) | 2022-03-24 | 2022-03-24 | 基于http请求有效负载的漏洞攻击流量检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866279A true CN114866279A (zh) | 2022-08-05 |
| CN114866279B CN114866279B (zh) | 2023-07-25 |
Family
ID=82629707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210300704.5A Active CN114866279B (zh) | 2022-03-24 | 2022-03-24 | 基于http请求有效负载的漏洞攻击流量检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866279B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN109756501A (zh) * | 2019-01-02 | 2019-05-14 | 中国科学院信息工程研究所 | 一种基于http协议的高隐匿网络代理方法及系统 |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
| CN111797407A (zh) * | 2020-09-08 | 2020-10-20 | 江苏开博科技有限公司 | 一种基于深度学习模型优化的xss漏洞检测方法 |
| CN111818018A (zh) * | 2020-06-18 | 2020-10-23 | 北京邮电大学 | 一种基于机器学习模型的sql注入攻击检测方法 |
| CN113268735A (zh) * | 2021-04-30 | 2021-08-17 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
| CN113596007A (zh) * | 2021-07-22 | 2021-11-02 | 广东电网有限责任公司 | 一种基于深度学习的漏洞攻击检测方法和设备 |
| CN113595998A (zh) * | 2021-07-15 | 2021-11-02 | 广东电网有限责任公司 | 基于Bi-LSTM的电网信息系统漏洞攻击检测方法及装置 |
-
2022
- 2022-03-24 CN CN202210300704.5A patent/CN114866279B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN109756501A (zh) * | 2019-01-02 | 2019-05-14 | 中国科学院信息工程研究所 | 一种基于http协议的高隐匿网络代理方法及系统 |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
| CN111818018A (zh) * | 2020-06-18 | 2020-10-23 | 北京邮电大学 | 一种基于机器学习模型的sql注入攻击检测方法 |
| CN111797407A (zh) * | 2020-09-08 | 2020-10-20 | 江苏开博科技有限公司 | 一种基于深度学习模型优化的xss漏洞检测方法 |
| CN113268735A (zh) * | 2021-04-30 | 2021-08-17 | 国网河北省电力有限公司信息通信分公司 | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 |
| CN113595998A (zh) * | 2021-07-15 | 2021-11-02 | 广东电网有限责任公司 | 基于Bi-LSTM的电网信息系统漏洞攻击检测方法及装置 |
| CN113596007A (zh) * | 2021-07-22 | 2021-11-02 | 广东电网有限责任公司 | 一种基于深度学习的漏洞攻击检测方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866279B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
| CN109067586B (zh) | DDoS攻击检测方法及装置 | |
| CN108737423B (zh) | 基于网页关键内容相似性分析的钓鱼网站发现方法及系统 | |
| CN109450845B (zh) | 一种基于深度神经网络的算法生成恶意域名检测方法 | |
| CN112532642B (zh) | 一种基于改进Suricata引擎的工控系统网络入侵检测方法 | |
| CN113364787B (zh) | 一种基于并联神经网络的僵尸网络流量检测方法 | |
| Wang et al. | Using CNN-based representation learning method for malicious traffic identification | |
| CN111245784A (zh) | 多维度检测恶意域名的方法 | |
| Wang et al. | Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things | |
| CN103324886A (zh) | 一种网络攻击检测中指纹库的提取方法和系统 | |
| Hui et al. | Knowledge enhanced GAN for IoT traffic generation | |
| CN113901448A (zh) | 基于卷积神经网络和轻量级梯度提升机的入侵检测方法 | |
| Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
| Tang et al. | HSLF: HTTP header sequence based lsh fingerprints for application traffic classification | |
| Mimura et al. | Leaving all proxy server logs to paragraph vector | |
| CN111291078B (zh) | 一种域名匹配检测方法及装置 | |
| CN112507336A (zh) | 基于代码特征和流量行为的服务端恶意程序检测方法 | |
| CN110363023B (zh) | 一种基于phmm的匿名网络溯源方法 | |
| CN114866279B (zh) | 基于http请求有效负载的漏洞攻击流量检测方法和系统 | |
| Yang et al. | Deep learning-based reverse method of binary protocol | |
| CN114422207A (zh) | 基于多模态的c&c通信流量检测方法及装置 | |
| Nazih et al. | Fast detection of distributed denial of service attacks in VoIP networks using convolutional neural networks | |
| CN115392238A (zh) | 一种设备识别方法、装置、设备及可读存储介质 | |
| Prasad et al. | BotDefender: A collaborative defense framework against botnet attacks using network traffic analysis and machine learning | |
| Wang et al. | A two-stage method for fine-grained dns covert tunnel behavior detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |