CN115174141A - 一种基于图与链路流量分析的入侵检测与链路动态可视化方法 - Google Patents

一种基于图与链路流量分析的入侵检测与链路动态可视化方法 Download PDF

Info

Publication number
CN115174141A
CN115174141A CN202210584073.4A CN202210584073A CN115174141A CN 115174141 A CN115174141 A CN 115174141A CN 202210584073 A CN202210584073 A CN 202210584073A CN 115174141 A CN115174141 A CN 115174141A
Authority
CN
China
Prior art keywords
vertex
graph
link
node
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210584073.4A
Other languages
English (en)
Inventor
杨挺
郭东升
韩宇佳
杨萍
樊继刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Huayi Liansheng Technology Co ltd
Original Assignee
Guizhou Huayi Liansheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Huayi Liansheng Technology Co ltd filed Critical Guizhou Huayi Liansheng Technology Co ltd
Priority to CN202210584073.4A priority Critical patent/CN115174141A/zh
Publication of CN115174141A publication Critical patent/CN115174141A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全防护技术领域,特别涉及一种基于图与链路流量分析的入侵检测与链路动态可视化方法。包括将整个网络拓扑结构转换为树的形式,然后根据流量特征对树进行遍历,以发现攻击的链路与节点;同时发现攻击误报;接着将攻击的链路通过可视化的方式绘制出来并呈现给管理人员。本发明可以解决任何网络拓扑结构下从一个顶点到另一个顶点之间链路流量的分析,实现基于图与流量分析的入侵检测,在得到分段的入侵检测链路时,为了便于直观了解攻击情况与管理,通过可视化的方法将攻击链路进行绘制,并将攻击情况进行详细呈现。

Description

一种基于图与链路流量分析的入侵检测与链路动态可视化 方法
技术领域
本发明涉及网络安全防护技术领域,特别涉及一种基于图与链路流量分析的入侵检测与链路动态可视化方法。
背景技术
随着5G网络的大规模商用,移动网络得到了飞速发展,进一步推动了网络的用户以及应用的快速增长,网络的复杂度和用户的复杂性也越来高,对网络安全造成了巨大挑战,给社会稳定带了很多不确定因素。因此正确处理网络安全问题,保障网络环境的安全对整个社会的稳定具有重要意义。
当前,日常生活中的各种金融服务、网络支付、网络直播等为代表的新一代网络技术发展尤其迅猛,电子信息逐渐成为主流的信息载体,各种网络应用每天都产生数量规模巨大的用户隐私信息,网络服务器为信息化社会的建设提供重要支撑,因此建立有效的网络安全防护系统变得越来越重要。目前已经有许多网络安全措施,例如:防火墙、杀毒软件、入侵检测系统等。攻击者往往通过网络入侵行为攻击网络服务器,窃取、篡改重要信息或者破坏服务器,影响正常的网络通信。为了保证计算机系统和网络的安全,网络入侵检测技术的研究逐渐成为人们研究工作的重点之一。
发明内容
本发明要解决的技术问题是提供一种基于图与链路流量分析的入侵检测与链路动态可视化方法,以解决背景技术中提出的问题。
为了解决上述技术问题,本发明的技术方案为:一种基于图与链路流量分析的入侵检测与链路动态可视化方法,包括将整个网络拓扑结构转换为树的形式,然后根据流量特征对树进行遍历,以发现攻击的链路与节点;同时还可以发现攻击误报;接着将攻击的链路通过可视化的方式绘制出来并呈现给管理人员。
优选地,所述网络拓扑结构包括依次连接的主机节点A、IPS节点B、交换机节点C、防火墙节点(D、E、F)、WAF节点G、交换机节点H以及主机IE 点I。
优选地,所述交换机节点C上连接有第一流分装置,所述交换机节点H上连接有第二流分装置。
优选地,所述防火墙节点(D、E、F)已经配置好正则化的IP地址段,即哪些IP段的主机可以通过,并且防火墙节点(D、E、F)随时自动获取攻击日志,详细描述了攻击来源与攻击对象;若IPS节点B发出一条攻击告警,即从主机节点A发起的到主机节点I的一个攻击(A→I),同时IPS节点B会将攻击及时报告给WAF节点G,形成联动日志,那么此时IPS节点B和WAF节点G 都会有攻击日志记录,并且此时IPS节点B和WAF节点G上的流量都会大幅增加。
优选地,将网络拓扑结构以图的形式进行描述,还包括给定一个有方向的带权图G=(V,E,W),图G中的每条边有向边e上有一个权重W(e),代表链路上的流量值,图G的子图T是一棵树,并且含有G的所有顶点,称T是图G 的一棵生成树,则
Weight(T)=∑e∈TW(e)
Weight(T)为生成树T的权值,即流量总和。
优选地,所述根据流量特征对树进行遍历需要将图G转换为带权值的生成树;
若G是一个强连通的有向图,则从其中任意一个顶点v出发,都可以遍历到图G中的所有顶点,进而可以得到以v为根的生成树;
若G是一个有根的普通有向图,假设其根为Root,则从根Root出发就可以遍历完图G,从而得到以Root为根的生成树;
若G是一个非强连通的有向图,并且源点又不是有向图的根,则遍历时一般只能得到该有向图的生成森林。
优选地,采用图遍历算法对图G进行遍历,包括以下步骤:
第一步,构造图G的邻接矩阵,增加辅助边图G的邻接矩阵,在V×V的矩阵中,若顶点V1指向顶点V2,则[1,2]存放权值,若V2没有指向V1,[2, 1]写入无穷,从而可以得到邻接矩阵;
第二步,构造图的邻接表;
第三步,定义邻接表结构,存储各顶点的节点结构分为3个部分,数据域、指针域和权重值;
第四步,计算从攻击源节点到目标节点的流量值,在使用邻接表存储有向图时,通常各个顶点的链表中存储的都是以该顶点为弧尾的邻接点,因此通过统计各顶点链表中的节点数量,可以计算出该顶点的出度,即从该顶点出发到某个顶点的度量值。
优选地,所述数据域用于存储顶点数据信息,指针域用于链接下一个节点,权重值用于表明边的权重值,即流量大小。
优选地,所述计算过程为:计算A→C的链路代价,首先遍历顶点A的链表,找到顶点A的直接邻居节点B和D;然后遍历B和D的链表,找到B的邻居节点C和D的邻居节点B,此时发现A→C的链路实际上包括A→B和B→C 两段;第三,遍历顶点A的链表和顶点B的链表,得到分别得到A→B和B→C 链路的代价,并进行求和就可得到A→C的链路代价,即A→C的流量之和。
优选地,当出现顶点A分叉时,通过顶点A的链表,可以计算出从顶点A 出来的流量;当出现汇聚时,如顶点B,遍历顶点A的链表发现,与顶点A直接相连的顶点包括顶点B和顶点D,那么在顶点A处存在分叉具体汇聚到哪个顶点,需要从顶点A的链表中找出与顶点A直接相邻的顶点,然后分别遍历相邻的顶点,直到出现环路,即从顶点B和D出发的路径汇聚到相同的顶点,即可以找到汇聚节点。
与现有技术相比,本发明的有益效果为:
本发明可以解决任何网络拓扑结构下从一个顶点到另一个顶点之间链路流量的分析,实现基于图与流量分析的入侵检测,在得到分段的入侵检测链路时,为了便于直观了解攻击情况与管理,通过可视化的方法将攻击链路进行绘制,并将攻击情况进行详细呈现。
附图说明
图1为本发明的网络拓扑结构图;
图2为本发明的网络拓扑结构的带权有向图;
图3为本发明的增加辅助边后的图G的示意图;
图4为本发明的邻接矩阵构造结构示意图;
图5为本发明的邻接表存储网结构使用的节点示意图;
图6为本发明的攻击链路动态可视化展示图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步说明。在此需要说明的是,对于这些实施方式的说明用于帮助理解本发明,但并不构成对本发明的限定。此外,下面所描述的本发明各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。
一种基于图与链路流量分析的入侵检测与链路动态可视化方法,该方法首先将整个网络拓扑结构转换为树的形式,然后根据流量特征对树进行遍历,以发现攻击的链路与节点;同时还可以发现攻击误报;接着将攻击的链路通过可视化的方式绘制出来并呈现给管理人员。
如图1所示,防火墙设备已经配置好正则化的IP地址段,即哪些IP段的主机可以通过,并且防火墙随时自动获取攻击日志,详细描述了攻击来源与攻击对象;为了便于及时了解链路的流量,部分交换机上接有流分装置,可以实时监控链路流量。
假设现在节点B(IPS)发出一条攻击告警,即从节点A发起的到节点I的一个攻击(SrcA→TargI),同时节点B会将攻击及时报告给节点G(WAF),形成联动日志,那么此时节点B和节点G都会有攻击日志记录,并且此时节点B 和节点G上的流量都会大幅增加。
情况1:理论上讲,如果节点B发现了攻击并阻断了攻击,那么从节点A 到节点B这段链路上的流量等于从节点A发出的攻击数据的总流量,节点B以后的链路就不会有源节点为SrcA,目标节点为TargI的流量(即,数据包),并且B→C链路上的流量可以通过第一流分装置1(流分设备1)判断出来,G→I 链路上的流量可以通过第二流分装置2(流分设备2)判断出来。
情况2:如果节点B发现了攻击并报告了已经阻断攻击,但是节点G也产生了攻击告警,并且攻击来源和攻击目标一样(即,日志记录中的攻击记录为 SrcA→TargI),此时需要判断节点B和节点G是否存在误报。
情况2.1:当G→A链路的流量>B→A链路的流量,则节点G受到攻击,且节点B阻断失效。
情况2.2:当G→A链路的流量=B→A链路的流量,则节点B告警和阻断都正确,而节点G是误报。
在情况2.1中,G→A链路的流量=G→D链路流量+G→E链路流量+G→ F链路流量=D→C链路流量+E→C链路流量+F→C链路流量=C→B链路流量=B→A链路流量。
为了便于描述将网络拓扑结构以图的形式进行描述:
给定一个有方向的带权图G=(V,E,W),图G中的每条边有向边e上有一个权重W(e),代表链路上的流量值。图G的子图T是一棵树,并且含有G的所有顶点,称T是图G的一棵生成树。其中,
Weight(T)=∑e∈TW(e),
则称Weight(T)为生成树T的权值,即流量总和。
将图1中的网络拓扑结构转换为带权有向图,具体如图2所示。
为了更好地遍历图G,一般情况下需要将图G转换为带权值的生成树问题,图G存在以下3种情况需要充分考虑:
情况1:如果G是一个强连通的有向图,那么从其中任意一个顶点v出发,都可以遍历到图G中的所有顶点,进而可以得到以v为根的生成树。
情况2:如果G是一个有根的普通有向图,假设其根为Root,那么从根Root 出发就可以遍历完图G,从而得到以Root为根的生成树。
情况3:如果G是一个非强连通的有向图,并且源点又不是有向图的根,那么遍历时一般只能得到该有向图的生成森林。
结合实际应用,对于以上三种情况可以采用生成树算法对图G进行遍历,当然也可以利用图遍历算法对图G进行遍历。下面针对方法2进行阐述:
采用图算法对图G进行遍历。
第一步,构造图G的邻接矩阵。为了便于图的方向遍历需要对图2进行改造,即如果存在A→B的边且权重为W(AB),那么增加B→A的辅助边,权重为W(BA),且W(AB)=W(BA)。如图3所示。
增加辅助边图G的邻接矩阵,在V×V的矩阵中,如果顶点V1指向顶点 V2,那么[1,2]存放权值,如果V2没有指向V1,[2,1]写入无穷,从而可以得到邻接矩阵,具体如下:
Figure BDA0003665164990000061
第二步,构造图的邻接表。
为了便于说明邻接矩阵的构造,以图4为例来说明。
根据上例的思路可以构造出图3对应的邻接矩阵。对于顶点A来说,与其相关的邻接点分别为B和D,因此存储A的链表中存储的是B和D在数组中的位置下标1和2。
第三步,定义邻接表结构。
存储各顶点的节点结构分为3个部分,数据域、指针域和权重值(边或者弧的权)。数据域用于存储顶点数据信息,指针域用于链接下一个节点,权重值用于表明边的权重值,这里指的是流量大小。节点结构具体如图5所示。
将图4中的链接表结构转化为对应的C语言代码如下:
Figure BDA0003665164990000071
第四步,计算从攻击源节点到目标节点的流量值。
在使用邻接表存储有向图时,通常各个顶点的链表中存储的都是以该顶点为弧尾的邻接点,因此通过统计各顶点链表中的节点数量,可以计算出该顶点的出度,即从该顶点出发到某个顶点的度量值。其具体的计算思路为:
假设现在计算A→C的链路代价。首先遍历顶点A的链表,找到顶点A的直接邻居节点B和D;然后遍历B和D的链表,找到B的邻居节点C和D的邻居节点B,此时发现A→C的链路实际上包括A→B和B→C两段;第三,遍历顶点A的链表和顶点B的链表,得到分别得到A→B和B→C链路的代价,并进行求和就可得到A→C的链路代价,即A→C的流量之和。同理,也可以求出A→C连路上每一段链路的流量值。
特别是,当出现顶点A分叉时,通过顶点A的链表,可以很容易计算出从顶点A出来的流量;当出现汇聚时,例如图4中的顶点B,遍历顶点A的链表发现,与顶点A直接相连的顶点包括顶点B和顶点D,那么在顶点A处存在分叉具体汇聚到哪个顶点,需要从顶点A的链表中找出与顶点A直接相邻的顶点,然后分别遍历相邻的顶点,直到出现环路,即从顶点B和D出发的路径汇聚到相同的顶点(此时是B),即可以找到汇聚节点。
通过以上步骤就可以解决任何网络拓扑结构下从一个顶点到另一个顶点之间链路流量的分析,实现基于图与流量分析的入侵检测。
在得到分段的入侵检测链路时,为了便于直观了解攻击情况与管理,通过可视化的方法将攻击链路进行绘制,并将攻击情况进行详细呈现。假设经过上述方法得到了从A→I的攻击链路,那么就将每一段的链路进行绘制,如图6所示。
以上结合附图对本发明的实施方式作了详细说明,但本发明不限于所描述的实施方式。对于本领域的技术人员而言,在不脱离本发明原理和精神的情况下,对这些实施方式进行多种变化、修改、替换和变型,仍落入本发明的保护范围内。

Claims (10)

1.一种基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:包括将整个网络拓扑结构转换为树的形式,然后根据流量特征对树进行遍历,以发现攻击的链路与节点;同时发现攻击误报;接着将攻击的链路通过可视化的方式绘制出来并呈现给管理人员。
2.根据权利要求1所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:所述网络拓扑结构包括依次连接的主机节点A、IPS节点B、交换机节点C、防火墙节点(D、E、F)、WAF节点G、交换机节点H以及主机IE点I。
3.根据权利要求2所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:所述交换机节点C上连接有第一流分装置(1),所述交换机节点H上连接有第二流分装置(2)。
4.根据权利要求2所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:所述防火墙节点(D、E、F)已经配置好正则化的IP地址段,即哪些IP段的主机可以通过,并且防火墙节点(D、E、F)随时自动获取攻击日志,详细描述了攻击来源与攻击对象;若IPS节点B发出一条攻击告警,即从主机节点A发起的到主机节点I的一个攻击(A→I),同时IPS节点B会将攻击及时报告给WAF节点G,形成联动日志,那么此时IPS节点B和WAF节点G都会有攻击日志记录,并且此时IPS节点B和WAF节点G上的流量都会大幅增加。
5.根据权利要求1所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:将网络拓扑结构以图的形式进行描述,还包括给定一个有方向的带权图G=(V,E,W),图G中的每条边有向边e上有一个权重W(e),代表链路上的流量值,图G的子图T是一棵树,并且含有G的所有顶点,称T是图G的一棵生成树,则
Weight(T)=∑e∈TW(e)
Weight(T)为生成树T的权值,即流量总和。
6.根据权利要求5所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:所述根据流量特征对树进行遍历需要将图G转换为带权值的生成树;
若G是一个强连通的有向图,则从其中任意一个顶点v出发,都可以遍历到图G中的所有顶点,进而可以得到以v为根的生成树;
若G是一个有根的普通有向图,假设其根为Root,则从根Root出发就可以遍历完图G,从而得到以Root为根的生成树;
若G是一个非强连通的有向图,并且源点又不是有向图的根,则遍历时一般只能得到该有向图的生成森林。
7.根据权利要求6所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于,采用图遍历算法对图G进行遍历,包括以下步骤:
第一步,构造图G的邻接矩阵,增加辅助边图G的邻接矩阵,在V×V的矩阵中,若顶点V1指向顶点V2,则[1,2]存放权值,若V2没有指向V1,[2,1]写入无穷,从而可以得到邻接矩阵;
第二步,构造图的邻接表;
第三步,定义邻接表结构,存储各顶点的节点结构分为3个部分,数据域、指针域和权重值;
第四步,计算从攻击源节点到目标节点的流量值,在使用邻接表存储有向图时,通常各个顶点的链表中存储的都是以该顶点为弧尾的邻接点,因此通过统计各顶点链表中的节点数量,可以计算出该顶点的出度,即从该顶点出发到某个顶点的度量值。
8.根据权利要求7所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:所述数据域用于存储顶点数据信息,指针域用于链接下一个节点,权重值用于表明边的权重值,即流量大小。
9.根据权利要求7所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于,所述计算过程为:计算A→C的链路代价,首先遍历顶点A的链表,找到顶点A的直接邻居节点B和D;然后遍历B和D的链表,找到B的邻居节点C和D的邻居节点B,此时发现A→C的链路实际上包括A→B和B→C两段;第三,遍历顶点A的链表和顶点B的链表,得到分别得到A→B和B→C链路的代价,并进行求和就可得到A→C的链路代价,即A→C的流量之和。
10.根据权利要求9所述的基于图与链路流量分析的入侵检测与链路动态可视化方法,其特征在于:当出现顶点A分叉时,通过顶点A的链表,可以计算出从顶点A出来的流量;当出现汇聚时,如顶点B,遍历顶点A的链表发现,与顶点A直接相连的顶点包括顶点B和顶点D,那么在顶点A处存在分叉具体汇聚到哪个顶点,需要从顶点A的链表中找出与顶点A直接相邻的顶点,然后分别遍历相邻的顶点,直到出现环路,即从顶点B和D出发的路径汇聚到相同的顶点,即可以找到汇聚节点。
CN202210584073.4A 2022-05-27 2022-05-27 一种基于图与链路流量分析的入侵检测与链路动态可视化方法 Pending CN115174141A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210584073.4A CN115174141A (zh) 2022-05-27 2022-05-27 一种基于图与链路流量分析的入侵检测与链路动态可视化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210584073.4A CN115174141A (zh) 2022-05-27 2022-05-27 一种基于图与链路流量分析的入侵检测与链路动态可视化方法

Publications (1)

Publication Number Publication Date
CN115174141A true CN115174141A (zh) 2022-10-11

Family

ID=83483949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210584073.4A Pending CN115174141A (zh) 2022-05-27 2022-05-27 一种基于图与链路流量分析的入侵检测与链路动态可视化方法

Country Status (1)

Country Link
CN (1) CN115174141A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011894A (zh) * 2017-12-26 2018-05-08 陈晶 一种软件定义网络下僵尸网络检测系统及方法
CN108270774A (zh) * 2017-12-22 2018-07-10 杭州安恒信息技术有限公司 一种基于攻击图的攻击行为检测和防护方法
CN111049859A (zh) * 2019-12-27 2020-04-21 东南大学 一种基于拓扑分析的攻击流量分流和阻断方法
CN113055375A (zh) * 2021-03-10 2021-06-29 华能国际电力股份有限公司 一种面向电站工控系统实物网络的攻击过程可视化方法
CN113259316A (zh) * 2021-04-02 2021-08-13 国家电网有限公司 电力系统内部的攻击路径可视化方法、系统和电子设备
CN114124580A (zh) * 2022-01-26 2022-03-01 中博信息技术研究院有限公司 一种基于Slater社会选择理论的网络入侵检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270774A (zh) * 2017-12-22 2018-07-10 杭州安恒信息技术有限公司 一种基于攻击图的攻击行为检测和防护方法
CN108011894A (zh) * 2017-12-26 2018-05-08 陈晶 一种软件定义网络下僵尸网络检测系统及方法
CN111049859A (zh) * 2019-12-27 2020-04-21 东南大学 一种基于拓扑分析的攻击流量分流和阻断方法
CN113055375A (zh) * 2021-03-10 2021-06-29 华能国际电力股份有限公司 一种面向电站工控系统实物网络的攻击过程可视化方法
CN113259316A (zh) * 2021-04-02 2021-08-13 国家电网有限公司 电力系统内部的攻击路径可视化方法、系统和电子设备
CN114124580A (zh) * 2022-01-26 2022-03-01 中博信息技术研究院有限公司 一种基于Slater社会选择理论的网络入侵检测方法

Similar Documents

Publication Publication Date Title
US20220124108A1 (en) System and method for monitoring security attack chains
US10666668B2 (en) Interface providing an interactive trendline for a detected threat to facilitate evaluation for false positives
EP3152869B1 (en) Real-time model of states of monitored devices
CN101345694A (zh) 一种快速查找定位和匹配访问控制列表的方法
US20120084422A1 (en) Graph Based Flexible Service Discovery and Management System and Method
CN102984140A (zh) 基于行为片段共享的恶意软件特征融合分析方法及系统
CN109102296B (zh) 一种节点共识方法及系统
Yan et al. Criticality analysis of internet infrastructure
Yang et al. On construction of a network log management system using ELK Stack with Ceph
CN106203164A (zh) 基于可信计算和云计算的信息安全大数据资源管理系统
Zhao et al. An efficient patch dissemination strategy for mobile networks
CN117061254B (zh) 异常流量检测方法、装置和计算机设备
Dozier et al. Vulnerability analysis of immunity-based intrusion detection systems using genetic and evolutionary hackers
CN115174141A (zh) 一种基于图与链路流量分析的入侵检测与链路动态可视化方法
Pasteris et al. Data distribution and scheduling for distributed analytics tasks
Najafi et al. SIEMA: bringing advanced analytics to legacy security information and event management
Pandeeswari et al. Analysis of Intrusion Detection Using Machine Learning Techniques
Khaefi et al. An efficient DDS node discovery scheme for naval combat system
CN115460110B (zh) 基于链路预测的异常as_path检测方法及装置
Zheng et al. Enhancing Security-Problem-Based Deep Learning in Mobile Edge Computing
WO2022141655A1 (zh) 一种分布式计算SimRank单源节点相似度的方法和装置
Suman et al. A survey on miscellaneous attacks in Hadoop framework
CN113255884B (zh) 一种基于协作学习的网络异常流量识别与分类方法
Jiang et al. Comparative study and numerical analysis
Oehmen et al. LINEBACKER: LINE-speed Bio-inspired Analysis and Characterization for Event Recognition

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20221011