CN114866347A - 一种基于人工智能进行DDoS攻击识别的网络安全预警方法 - Google Patents
一种基于人工智能进行DDoS攻击识别的网络安全预警方法 Download PDFInfo
- Publication number
- CN114866347A CN114866347A CN202210784897.6A CN202210784897A CN114866347A CN 114866347 A CN114866347 A CN 114866347A CN 202210784897 A CN202210784897 A CN 202210784897A CN 114866347 A CN114866347 A CN 114866347A
- Authority
- CN
- China
- Prior art keywords
- host
- period
- code
- ddos attack
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于人工智能进行DDoS攻击识别的网络安全预警方法,属于数字信息的传输领域。本发明构建了目标企业中各主机对应的主机行为码和报文特征码,并计算各主机对应的各周期的局部变动域;根据各主机对应的各周期的局部变动域计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差;根据所述各段观测时间对应的跟踪指标的标准差计算各段分析时间对应的网络行为异常指数;判断该主机在使用过程中是否出现连续两次以上网络行为异常指数增大的情况,若出现,则判定该主机发起了DDoS攻击,并向管理人员进行预警。本发明实现了对主机是否发起了DDoS攻击的更有效地判断和预警。
Description
技术领域
本发明涉及数字信息的传输领域,具体涉及一种基于人工智能进行DDoS攻击识别的网络安全预警方法。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)一直都是网络安全领域的重点研究对象,它在日常工作中严重威胁了网络安全的发展,对网络环境的影响巨大。DDoS攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
当网络设备遭受DDoS攻击时,最明显的现象就是网络设备接收到大量的不明报文及数据流。对于企业而言,一个公司的网络出口通常对应单一IP,若企业内部出现了异常的主机,有可能对其他用户造成影响,因此企业安全网关需要对异常行为进行抑制和预警。然而一个企业内部的业务流量是非常多样化的,难以准确有效地过滤异常流量,亦无法区分正常的突发流量。目前的流量检测方法主要是基于深度报文检测(Deep PacketInspection,DPI),此种方式只能确定流量类型,在对客户端具体行为的分析上存在局限性,因此不能有效地判断企业的网络设备是否遭受了DDoS攻击。
发明内容
为了解决现有方法不能有效地对企业的网络设备是否遭受了DDoS攻击进行判断的问题,本发明提供了一种基于人工智能进行DDoS攻击识别的网络安全预警方法。
本发明的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,包括以下步骤:
获取目标企业的各主机对应的浏览器指纹和所属部门,根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码;获取各主机对应的通信报文信息,根据各主机对应的通信报文信息构建各主机对应的报文特征码;
根据各主机对应的各周期的主机行为码和报文特征码计算各主机对应的各周期的局部变动域;所述各周期包括当前周期和设定数量的历史周期;
根据各主机对应的各周期的局部变动域计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差,一个观测时间段包括多个周期;根据所述各段观测时间对应的跟踪指标的标准差计算各段分析时间对应的网络行为异常指数;判断该主机在使用过程中是否出现连续两次以上网络行为异常指数增大的情况,若出现,则判定该主机发起了DDoS攻击,并向管理人员进行预警。
进一步地,所述根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码,包括:
将各主机对应的部门的ONE-Hot编码和对应的浏览器指纹的ONE-Hot编码进行合
并,得到各主机对应的主机行为码
,其中,
为合并函
数,
为主机所属部门对应的ONE-Hot编码,
为主机对应的浏览器指纹对应的ONE-Hot
编码。
进一步地,所述根据各主机对应的通信报文信息构建各主机对应的报文特征码,包括:
对于目标企业内任一主机的通信报文,利用词袋模型在对通信报文进行分词,得到该主机的通信报文对应的所有词汇,对常见词汇和领域中因常见协议而导致重复出现的词汇进行排除;
使用CountVectorizer技术将上述排除后剩余的词汇进行转换,得到该主机对应的报文特征码。
进一步地,所述根据各主机对应的各周期的主机行为码和报文特征码计算各主机对应的各周期的局部变动域,包括:
对于任一主机的任一周期,计算其与目标周期之间的邻域距离,目标周期为该主机的其它周期或者任一其它主机的任一周期;
将任一主机的任一周期作为一个样本,计算任一样本对应的K-局部变动域,过程如下:
基于邻域距离有第K可达距离
,
为以一个样本在假设空间中向外辐射,直至
涵盖了第K个邻近样本时的距离;在样本x的第K可达距离
内的所有样本y构成集合
,按照如下公式计算每个样本对应的局部变动域:
其中,
为某一主机对应的某一周期x的局部变动域,K为邻近样本的数量,y为
任一邻近样本,
为某一主机对应的某一周期x的邻近样本的集合。
进一步地,利用如下公式计算其与目标周期之间的邻域距离:
其中,
为某一主机对应的某一周期x与目标周期y之间的邻域距离,
为某一
主机对应的某一周期x的报文特征码,
为目标周期y的报文特征码,目标周期y为该主机
的任一其它周期或者任一其它主机的任一周期;
为某一主机对应的某一周期x的主机
行为码,
为目标周期y的主机行为码, 
为求汉明距离,cos为求余弦相似度。
进一步地,利用相空间分析法计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差。
进一步地,还包括以下步骤:对目标企业内发起DDoS攻击且网络行为异常指数排名前的Z个主机中Top-10%频繁出现的主机的IP进行丢包和加延迟处理,Z为预设值。
有益效果:本发明基于目标企业的各主机对应的浏览器指纹、所属部门和通信报文信息构建了主机行为码和报文特征码;根据各主机在使用过程中主机行为码和报文特征码实现了对主机是否发起了DDoS攻击的更有效地判断,可以提醒管理人员对发起DDoS攻击的主机进行封禁处理,避免企业内部出现了异常的主机时对其他用户造成影响。
附图说明
图1是本发明的一种基于人工智能进行DDoS攻击识别的网络安全预警方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行介绍。
如图1所示,本实施例的一种基于人工智能进行DDoS攻击识别的网络安全预警方法包括如下步骤:
(1)获取目标企业的各主机对应的浏览器指纹和所属部门,根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码;获取各主机对应的通信报文信息,根据各主机对应的通信报文信息构建各主机对应的报文特征码;
本实施例的步骤(1)分为以下2个小步骤:
①获取目标企业的各主机对应的浏览器指纹和所属部门,根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码;
本实施例以一个企业为研究对象,将该研究对象记为目标企业;一般的,目标企业
包括多个部门,比如未知部门、行政部门和技术部门等。每个部门对应一个区别于其他部门
的ID,对部门ID进行ONE-Hot编码,得到各部门对应的ONE-Hot编码
,
的维度由目标企
业包括的部门数量确定;若目标企业包括G个部门,那么
的维度为G。ONE-Hot编码过程为
现有技术,此处不再赘述。
对于目标企业内部的浏览器,由于其是IT技术人员统一进行软件部署的,因此各
主机访问企业内部数字资源时,访问的方法是可以被指纹化并进行编码的,本实施例基于
JavaScript技术对各主机对应的浏览器指纹做搜集,并对搜集的浏览器指纹进行识别,从
而得到不同主机对应的浏览器指纹。对不同主机对应的浏览器指纹进行ONE-Hot编码,得到
各浏览器指纹对应的ONE-Hot编码
,
的维度由目标公司包括的浏览器指纹的数量确
定;若目标公司包括M个浏览器指纹,包括未登记指纹、指纹1和指纹2等,那么
的维度为
M。浏览器指纹化技术是现有技术,此处不再赘述。
将各主机对应的部门的ONE-Hot编码和对应的浏览器指纹的ONE-Hot编码进行合
并,得到各主机对应的主机行为码
,
为合并函
数。
②获取各主机对应的通信报文信息,根据各主机对应的通信报文信息构建各主机对应的报文特征码。
对于一般的访问网络的主机,其通信报文会在一段时间内发生变化,主要的原因包括使用者开启新的应用程序,访问未知网站或者后台程序资源传输等。一般的使用过程中,通信报文经过DPI分析得到的特征是内容中较为稳定常见的,当一个主机被作为肉鸡或意思运行流氓软件时,其报文内容会发生较大程度的变化。因此,本实施例以一个设定时间段为一个时间研究单位,将一个时间研究单位作为一个周期,根据各主机对应的通信报文信息构建了各主机对应的报文特征码,一个主机的一个周期对应一个报文特征码,具体过程如下:
首先,对于目标企业内所有主机的通信报文,以一个周期为研究单位,利用词袋模型在对通信报文进行分词,得到各主机的通信报文对应的所有词汇,进一步对常见词汇和领域中因常见协议而导致重复出现的词汇进行排除。现有技术中有较多的常用报文解析工具,应用时可以较为灵活地选择排除的报文关键词或预设匹配条件来实现上述排除过程,本实施例不再对具体排除过程进行赘述。
使用CountVectorizer(频次向量化)技术将上述排除后剩余的词汇转换为C维的特征码,将其记为报文特征码,其中C的维度由分词结果而定。CountVectorizer为现有技术,此处不再赘述。
对于目标公司的同一部门的人员,通常使用计算机上运行的相似种类的浏览器,因此从主机行文码可以判别:主机的访问操作行为是否相似;由部门职能和职责所关联的操作是否相似;浏览器UA是否发生了类似爬虫的伪装,UA是UserAgent的缩写,指用户代理。若在职能和职责相似的情况下出现了某主机中报文特征码和主机行为码变动较大的情况,则意味着该主机在公司的网络行为中需要重视和管制。
(2)根据各主机对应的各周期的主机行为码和报文特征码计算各主机对应的各周期的局部变动域;所述各周期包括当前周期和设定数量的历史周期;
本实施例以一个设定时间段为一个周期,目标企业中每个主机在每一个周期上都对应一个主机行为码和报文特征码,将当前周期对应的主机行为码和报文特征码记为当前特征码,将当前周期之前的周期记为历史周期,将各历史周期对应的主机行为码和报文特征码记为历史特征码。本实施例中设定时间为1min。
每个主机都含有当前特征码和历史特征码,本实施例基于每个主机对应的当前特征码和历史特征码构建了企业内部网络报文历史特征空间,将每个主机的各周期对应的主机行为码和报文特征码作为一个对象放置在该空间,该空间是高维的空间。为了减小后续计算量和提高数据的代表性,本实施例构建的该空间中只包括各主机对应的当前周期和设定数量的距离当前周期较近的历史周期的相关数据。
一个主机被修改后,其对应的主机行为码和报文特征码在整个特征空间中存在变动范围,若该范围较小,则判断无论多少字被修改,主机的变动内容较小,反之较大。由于报文特征码构建时,已经去除了常见词汇和重复的领域词汇,因此本方法对改动的语义的变化更为敏感,即对含义变更的修订更敏感,而其余的增删改的操作不敏感。
接下来本实施对各主机对应的各周期的主机行为码和报文特征码进行分析。对于上述特征空间中的任一主机的任一周期,计算其与目标周期之间的特征邻域距离,目标周期为该主机的其它周期或者任一其它主机的任一周期。计算公式如下:
其中,
为某一主机对应的某一周期x与目标周期y之间的邻域距离,
为某
一主机对应的某一周期x的报文特征码,
为目标周期y的报文特征码,目标周期y为该主
机的任一其它周期或者任一其它主机的任一周期;
为某一主机对应的某一周期x的主机
行为码,
为目标周期y的主机行为码,
为求汉明距离,cos为求余弦相似度。
本实施例中
表示
和
之间的余弦相似度,
,
当
和
较为相似时,
,
越小,
的
值域是[1,3]。
由于主机的历史更改所包含的语义不是完全相似的,但可能近似属于同一种语
义,因此当一个主机行为码属于一类型的主机形式时,
能够代表主机
的报文特征码相似,因此在上述特征空间中距离被缩放至相近的距离上,即该项趋于1,反
之被疏远到较远的距离。
至此,可以计算得到任一主机的任一周期与其对应的目标周期之间的邻域距离。接下来将任一主机的任一周期作为一个样本,计算任一样本对应的K-局部变动域,过程如下:
基于邻域距离有第K可达距离
,即以一个样本在假设空间中向外辐射,直至涵
盖了第K个邻近样本时的距离。本实施例中K以样本总数量的5%为准。在样本x的第K可达距
离
内,能够涵盖较多的样本y,因此在涵盖的空间内将涵盖的所有样本y构建成集合
。按照如下公式计算每个样本对应的局部变动域:
其中,
为某一主机对应的某一周期x的局部变动域,K为邻近样本的数量,y为
任一邻近样本,
为某一主机对应的某一周期x的邻近样本的集合。
当每个主机的局部变动域越大时,主机的主机行为码和报文特征码与周围主机的密集度越高,反之意味着密集度低,意味着主机样本越异常。对于异常的样本有两种情况:样本因报文特征码变动较大而异常,即样本因语义变动较大而异常;主机样本因部门的不常见行为而异常。
(3)根据各主机对应的各周期的局部变动域计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差,一个观测时间段包括多个周期;根据所述各段观测时间对应的跟踪指标的标准差计算各段分析时间对应的网络行为异常指数;判断该主机在使用过程中是否出现连续两次以上网络行为异常指数增大的情况,若出现,则判定该主机发起了DDoS攻击,并进行预警。
对于任一主机:本实施例基于时间先后顺序对该主机的各周期的局部变动域进行
记录,并构建该主机对应的历史变动域
,
为该主机当前周期的局部变动域,
为该主机当前周期的前N个周期的
局部变动域,
为该主机当前周期的前N-1个周期的局部变动域,本实施例中一
个周期对应1min,本实施例中N为120。当前周期对应于距离当前时刻不大于1min内的时间
段。
根据历史变动域的大小可以确定是对应主机在公司内部的常见行为中否发生了异常,短暂的异常是正常的,而长期处于异常可能是主机收到了远程控制,发起了DDoS攻击。
本实施例基于主机行为码和报文特征码构建了特征空间,从而表示整个目标公司网络环境中的操作因素、软件行为因素所导致的聚集群体,并以可达距离为分析对象来确定行为是否是特殊的。由于主机行为和报文特征都是一种由多因素决定的混沌系统,为了跟踪异常的行为,本实施例接下来使用相空间重构将历史变动域大小作为时域特征向量进行分析,从而更精确确定相空间的所有可能性中该主机的行为是否为异常行为。
本实施例在网关的观测下,在一次采集后,设定基准分析的t=0时刻,记录N个局
部变动域大小
,N为历史记录的采样数量,即自当
前的局部变动域大小
向前取共N个;利用互信息法选取延迟时间参数τ,利用虚假
邻近点法选取嵌入维数参数m,相空间重构的方式为:
至此,重构N个局部变动域组成的历史变动域变化的相空间,并将该相空间作为参
考相空间
。
以连续滑动窗口的形式更新数据,记录下一时刻来临时N个局部变动域组成的历
史变动域
,采用与参考相空间
相同的延迟时
间τ和嵌入维数m重构t时刻N个局部变动域组成的历史变动域的相空间:在后续记录时,和
上述相同方式重构当前的相空间:
至此得到实时变化的相空间
。
对于t时刻相空间中的某一个向量
,在参考相空间中寻找
个与其距离最近的向量
,其中
。
基于上述处理方法,每次采样就更新所有数据点
,以T次采样为观察时间
窗口的长度,得到网络行为异常指数B:
对于相空间,有:
设计
的跟踪函数以预测相空间:
计算
与向量
的距离,最远的距离为
,设
计相空间权值
,m为t时刻相空间的关联维数。令n自增1,继续计算
,
直到
。然后,利用t时刻相空间中所有向量对应的所有跟踪函数,并计
算t时刻相空间的跟踪指标:
计算
,共T个跟踪指标的平均值
及标准差
。
T次采样长度下时间窗口的局部变动域经过相空间重构后能够得到跟踪指标, 跟踪指标揭示了计算机在每次采样事件后的相空间的内部变化,从而得到预测值P,当预测值P的数值相对之前变动更大时,意味着相空间的指标发生了较大变动。
当一段时间内状态指标发生较大变化时,意味着生产过程中的报文语义发生了较明显的变化,一般情况下:主机的系统更新和突发的文件接收导致一段时间内变动域的值比之前高,从而导致历史变动域序列产生波动,但P不会过度变化;此时发生了大规模的DDoS行为,由于肉鸡的发送模式是根据攻击对象而定的,而攻击对象一般是多个,因此导致报文特征不断变动,历史变动域发生较大的提升,由于模式随机,此时P变动较大,即无法表示相空间的下一时刻预测结果。
因此,本实施例统计连续M次的主机P值,计算P的方差
,从而表示主机的行为在
相空间中难以被连续、稳定表示。本实施例计算了各主机对应的网络行为异常指数,计算过
程如下:
其中,B为某一主机对应的网络行为异常指数,max为取最大值,min为取最小值,
为第r个方差,
。
至此得到了网络行为异常指数B,当某主机对应的网络行为异常指数B连续变大Q
次时,意味着相空间已无法跟踪该行为,即主机行为码和报文特征码所构成的特征空间中,
主机行为码不同或报文特征码不同,且持续一段时间不同,从而导致相空间预测结果P偏差
较大。考虑到人的精力和操作能力,判定该主机在发起DDoS攻击,并对主机进行以下限制以
保护公司网络的访问不受到外界封堵IP的影响。具体的,本实施例通过限制企业内发起
DDoS且网络行为异常指数
排名前Z个主机中,Top-10%频繁出现的主机的IP进行丢包和
加延迟处理,从而降低服务质量,起到限速限流的作用。同时生成报表,预警网络管理人员
对相关主机进行临时封禁处理。Q和Z的值在应用时可自行设定。
本实施例基于目标企业的各主机对应的浏览器指纹、所属部门和通信报文信息构建了主机行为码和报文特征码;根据各主机在使用过程中主机行为码和报文特征码实现了对主机是否发起了DDoS攻击的更有效地判断,可以提醒管理人员对发起DDoS攻击的主机进行封禁处理,避免企业内部出现了异常的主机时对其他用户造成影响。
需要说明的是,尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。上述变更和修改均落入本发明范围。
Claims (7)
1.一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,包括以下步骤:
获取目标企业的各主机对应的浏览器指纹和所属部门,根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码;获取各主机对应的通信报文信息,根据各主机对应的通信报文信息构建各主机对应的报文特征码;
根据各主机对应的各周期的主机行为码和报文特征码计算各主机对应的各周期的局部变动域;所述各周期包括当前周期和设定数量的历史周期;
根据各主机对应的各周期的局部变动域计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差,一个观测时间段包括多个周期;根据所述各段观测时间对应的跟踪指标的标准差计算各段分析时间对应的网络行为异常指数;判断该主机在使用过程中是否出现连续两次以上网络行为异常指数增大的情况,若出现,则判定该主机发起了DDoS攻击,并向管理人员进行预警。
2.根据权利要求1所述的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,所述根据所述各主机对应的浏览器指纹和所属部门构建各主机对应的主机行为码,包括:
将各主机对应的部门的ONE-Hot编码和对应的浏览器指纹的ONE-Hot编码进行合并,得
到各主机对应的主机行为码
,其中,
为
合并函数,
为主机所属部门对应的ONE-Hot编码,
为主机对应的浏览器指纹对应的
ONE-Hot编码。
3.根据权利要求1所述的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,所述根据各主机对应的通信报文信息构建各主机对应的报文特征码,包括:
对于目标企业内任一主机的通信报文,利用词袋模型在对通信报文进行分词,得到该主机的通信报文对应的所有词汇,对常见词汇和领域中因常见协议而导致重复出现的词汇进行排除;使用CountVectorizer技术将上述排除后剩余的词汇进行转换,得到该主机对应的报文特征码。
4.根据权利要求1所述的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,所述根据各主机对应的各周期的主机行为码和报文特征码计算各主机对应的各周期的局部变动域,包括:
对于任一主机的任一周期,计算其与目标周期之间的邻域距离,目标周期为该主机的其它周期或者任一其它主机的任一周期;
将任一主机的任一周期作为一个样本,计算任一样本对应的K-局部变动域,过程如下:
基于邻域距离有第K可达距离
,
为以一个样本在假设空间中向外辐射,直至涵盖
了第K个邻近样本时的距离;在样本x的第K可达距离
内的所有样本y构成集合
,按
照如下公式计算每个样本对应的局部变动域:
其中,
为某一主机对应的某一周期x的局部变动域,K为邻近样本的数量,y为任一
邻近样本,
为某一主机对应的某一周期x的邻近样本的集合。
5.根据权利要求4所述的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,利用如下公式计算其与目标周期之间的邻域距离:
其中,
为某一主机对应的某一周期x与目标周期y之间的邻域距离,
为某一主机
对应的某一周期x的报文特征码,
为目标周期y的报文特征码,目标周期y为该主机的任
一其它周期或者任一其它主机的任一周期;
为某一主机对应的某一周期x的主机行为
码,
为目标周期y的主机行为码,
求汉明距离,cos为求余弦相似度。
6.根据权利要求1所述的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,利用相空间分析法计算各主机在使用过程中各观测时间段对应的跟踪指标的标准差。
7.根据权利要求1所述的一种基于人工智能进行DDoS攻击识别的网络安全预警方法,其特征在于,还包括以下步骤:对目标企业内发起DDoS攻击且网络行为异常指数排名前的Z个主机中Top-10%频繁出现的主机的IP进行丢包和加延迟处理,Z为预设值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210784897.6A CN114866347B (zh) | 2022-07-06 | 2022-07-06 | 一种基于人工智能进行DDoS攻击识别的网络安全预警方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210784897.6A CN114866347B (zh) | 2022-07-06 | 2022-07-06 | 一种基于人工智能进行DDoS攻击识别的网络安全预警方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866347A true CN114866347A (zh) | 2022-08-05 |
| CN114866347B CN114866347B (zh) | 2022-09-30 |
Family
ID=82625874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210784897.6A Active CN114866347B (zh) | 2022-07-06 | 2022-07-06 | 一种基于人工智能进行DDoS攻击识别的网络安全预警方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866347B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505219A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 一种防御拒绝服务攻击的方法和防护装置 |
| CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
| CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
| WO2017107804A1 (zh) * | 2015-12-24 | 2017-06-29 | 阿里巴巴集团控股有限公司 | 发现DDoS攻击的方法及装置 |
| US20190207960A1 (en) * | 2017-12-29 | 2019-07-04 | DataVisor, Inc. | Detecting network attacks |
| CN110474878A (zh) * | 2019-07-17 | 2019-11-19 | 海南大学 | 基于动态阈值的DDoS攻击态势预警方法和服务器 |
| CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
| US20210092153A1 (en) * | 2018-02-05 | 2021-03-25 | Chongqing University Of Posts And Telecommunications | Ddos attack detection and mitigation method for industrial sdn network |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
| CN113923041A (zh) * | 2021-10-20 | 2022-01-11 | 广东工业大学 | 一种SDN网络下DDoS攻击流量识别检测方法 |
-
2022
- 2022-07-06 CN CN202210784897.6A patent/CN114866347B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505219A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 一种防御拒绝服务攻击的方法和防护装置 |
| CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
| WO2017107804A1 (zh) * | 2015-12-24 | 2017-06-29 | 阿里巴巴集团控股有限公司 | 发现DDoS攻击的方法及装置 |
| CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
| US20190207960A1 (en) * | 2017-12-29 | 2019-07-04 | DataVisor, Inc. | Detecting network attacks |
| US20210092153A1 (en) * | 2018-02-05 | 2021-03-25 | Chongqing University Of Posts And Telecommunications | Ddos attack detection and mitigation method for industrial sdn network |
| CN110474878A (zh) * | 2019-07-17 | 2019-11-19 | 海南大学 | 基于动态阈值的DDoS攻击态势预警方法和服务器 |
| CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
| CN113923041A (zh) * | 2021-10-20 | 2022-01-11 | 广东工业大学 | 一种SDN网络下DDoS攻击流量识别检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| B. ZHANG: "DDoS detection and prevention based on artificial intelligence techniques", 《 2017 3RD IEEE INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATIONS (ICCC)》 * |
| S. ALZAHRANI: "Detection of Distributed Denial of Service (DDoS) Attacks Using Artificial Intelligence on Cloud", 《2018 IEEE WORLD CONGRESS ON SERVICES (SERVICES)》 * |
| 张凯翔等: "面向高速混杂网络的被动式多维度主机指纹模型", 《计算机系统应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866347B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112905421B (zh) | 基于注意力机制的lstm网络的容器异常行为检测方法 | |
| Farhadi et al. | Alert correlation and prediction using data mining and HMM. | |
| CN109784056B (zh) | 一种基于深度学习的恶意软件检测方法 | |
| Aminanto et al. | Threat alert prioritization using isolation forest and stacked auto encoder with day-forward-chaining analysis | |
| CN112738039A (zh) | 一种基于流量行为的恶意加密流量检测方法、系统及设备 | |
| Liu et al. | Insider threat identification using the simultaneous neural learning of multi-source logs | |
| CN111600919A (zh) | 基于人工智能的web检测方法和装置 | |
| Liang et al. | A security situation prediction algorithm based on HMM in mobile network | |
| Patil et al. | Network traffic anomaly detection using PCA and BiGAN | |
| Luo et al. | Dgasensor: Fast detection for dga-based malwares | |
| Ustebay et al. | Cyber attack detection by using neural network approaches: shallow neural network, deep neural network and autoencoder | |
| Karanam et al. | Intrusion detection mechanism for large scale networks using CNN-LSTM | |
| CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| CN113225331A (zh) | 基于图神经网络的主机入侵安全检测方法、系统及装置 | |
| CN114866347B (zh) | 一种基于人工智能进行DDoS攻击识别的网络安全预警方法 | |
| CN117370548A (zh) | 用户行为风险识别方法、装置、电子设备及介质 | |
| CN111797997A (zh) | 网络入侵检测方法、模型构建方法、装置及电子设备 | |
| CN116232708A (zh) | 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和系统 | |
| Thomas et al. | Comparative analysis of dimensionality reduction techniques on datasets for zero-day attack vulnerability | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| CN117009832A (zh) | 异常命令的检测方法、装置、电子设备及存储介质 | |
| CN113918941A (zh) | 异常行为检测的方法、装置、计算设备和存储介质 | |
| CN115085948A (zh) | 基于改进d-s证据理论的网络安全态势评估方法 | |
| CN111314327A (zh) | 一种基于knn离群点检测算法的网络入侵检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Network Security Warning Method Based on Artificial Intelligence for DDoS Attack Identification Effective date of registration: 20230908 Granted publication date: 20220930 Pledgee: Hangzhou United Rural Commercial Bank Co.,Ltd. Dachuang town sub branch Pledgor: Zhejiang Yu'an Information Technology Co.,Ltd. Registration number: Y2023980055949 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |