CN115499230A - 网络攻击检测方法和装置、设备及存储介质 - Google Patents
网络攻击检测方法和装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115499230A CN115499230A CN202211170139.1A CN202211170139A CN115499230A CN 115499230 A CN115499230 A CN 115499230A CN 202211170139 A CN202211170139 A CN 202211170139A CN 115499230 A CN115499230 A CN 115499230A
- Authority
- CN
- China
- Prior art keywords
- preset detection
- log
- strategy
- network
- detection strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络攻击检测方法和装置、设备及存储介质,涉及网络安全技术领域,该方法通过获取目标网络设备的日志文件,将每一条日志的包括有目标网络地址和网络协议类型的目标关键字段集合与预设检测策略包含的设定关键字段集合进行匹配,匹配成功则将二者进行关联。根据关联后的预设检测策略对应的流量统计周期,确定当前统计周期内与其关联的日志的流量总和,当流量总和大于该预设检测策略的流量阈值时,确定目标网络设备受到该预设检测策略对应类型的网络攻击。本申请以网络地址和网络协议类型相结合作为攻击检测维度,更加准确且及时检测出采用特定网络协议作为攻击主体进行Dos/DDos流量攻击的缺陷,进而提高了网络安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种网络攻击检测方法和装置、设备及存储介质。
背景技术
随着互联网的高速发展,网络带来便利的同时,也带来了诸多安全问题,网络攻击的形式越来越多,且其频率和危害性越来越高,其中,消耗网络带宽为攻击手段的拒绝服务(Denial of Service,DoS)攻击和分布式拒绝服务(Distributed enial of Service,DDoS)攻击是最常见的网络攻击方式。而网络带宽作为宝贵的网络资源,能够直接影响到访问网络的质量。
因此,为了保证网络安全,确保网络的正常访问,精准且及时地进行网络攻击检测是亟待解决的问题。
发明内容
本申请实施例提供一种网络攻击检测方法和装置、设备及存储介质,用以提升网络攻击的精准性和及时性。
一方面,提供一种网络攻击检测方法,所述方法包括:
获取待检测的目标网络设备的日志文件,所述日志文件包括所述目标网络设备接收到的数据流信息;
针对预设检测策略集合中各预设检测策略,分别执行如下操作:
针对一个预设检测策略,若所述日志文件中每一条日志包含的目标关键字段集合,与所述一个预设检测策略包含的设定关键字段集合匹配成功,将所述日志与相应的预设检测策略进行关联;其中,所述目标关键字段集合包括目标网络地址和网络协议类型;
根据所述一个预设检测策略对应的流量统计周期,确定当前统计周期内,与所述一个预设检测策略关联的日志的流量总和;
当所述流量总和大于所述一个预设检测策略的流量阈值时,确定所述目标网络设备受到所述一个预设检测策略对应类型的网络攻击。
一方面,提供一种网络攻击检测装置,包括:
获取单元,用于获取待检测的目标网络设备的日志文件,所述日志文件包括所述目标网络设备接收到的数据流信息;
关联单元,用于针对预设检测策略集合中各预设检测策略,分别执行如下操作:针对一个预设检测策略,若所述日志文件中每一条日志包含的目标关键字段集合,与所述一个预设检测策略包含的设定关键字段集合匹配成功,将所述日志与相应的预设检测策略进行关联;其中,所述目标关键字段集合包括目标网络地址和网络协议类型;
确定单元,用于根据所述一个预设检测策略对应的流量统计周期,确定当前统计周期内,与所述一个预设检测策略关联的日志的流量总和;
告警单元,用于当所述流量总和大于所述一个预设检测策略的流量阈值时,确定所述目标网络设备受到所述一个预设检测策略对应类型的网络攻击。
可选的,所述获取单元,具体用于:
接收策略配置请求,所述策略配置请求包括至少一条预设检测策略;
基于所述至少一条预设检测策略,更新所述预设检测策略集合。
可选的,所述获取单元,具体用于:
基于所述至少一条预设检测策略,更新所述预设检测策略集合,包括:
将所述至少一条预设检测策略,同步至所述策略消息队列中;
基于所述策略消息队列包括的各预设检测策略,更新所述预设检测策略集合。
可选的,所述关联单元,具体用于:
针对一条日志,将所述日志包含的目标关键字段集合与所述设定关键字段集合进行匹配;
当所述目标关键字段集合与所述设定关键字段集合相同时,确定所述预设检测策略与所述日志匹配成功;
将所述日志与所述预设检测策略进行关联。
可选的,所述获取单元,具体用于:
根据预设日志格式规则,对所述日志文件进行格式转换,获得转换后的日志文件;
分别从所述转换后的日志文件包括的各条日志中,提取得到所述各条日志各自对应的所述目标关键字段集合。
则所述关联单元,具体用于:
针对每条日志,将与之匹配成功的预设检测策略的策略标识字段,添加到相应的目标关键字段集合中。
可选的,所述获取单元,具体用于:
将所述各条日志依次存储至第一消息队列中;
依次从所述第一消息队列中读取日志,并将针对读取的日志提取得到的目标关键字段集合存储至第二消息队列中。
则所述关联单元,具体用于:
依次从所述第二消息队列读取目标关键字段集合,并在读取得到的目标关键字段集合中,添加相应的策略标识字段。
可选的,所述确定单元,具体用于:
从所述第二日志消息队列中,获取所述当前统计周期内每条日志各自对应的流量值字段;
根据获得的多个流量值字段,确定所述当前统计周期内的流量总和。
可选的,所述告警单元,具体用于:
根据所述一个预设检测策略的网络协议类型,确定所述目标网络设备受到的网络攻击类型;
根据所述网络攻击类型,生成对应的攻击警告,并将所述攻击警告发送至关联的终端设备。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种方法的步骤。
一方面,提供一种计算机存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种方法的步骤。
本申请实施例的有益效果如下:
本申请实施例中,通过获取目标网络设备的日志文件来确定目标网络设备接收到的数据流信息,再针对预设检测策略集合中每一个预设检测策略,将日志文件中每一条日志的包括有目标网络地址和网络协议类型的目标关键字段集合,与一个预设检测策略包含的设定关键字段集合进行匹配,匹配成功则将日志与相应的预设检测策略进行关联。根据关联后的预设检测策略对应的流量统计周期,确定当前统计周期内与其关联的日志的流量总和,当流量总和大于该预设检测策略的流量阈值时,则确定目标网络设备受到该预设检测策略对应类型的网络攻击。本申请以目标网络地址和网络协议类型相结合作为攻击检测维度,更加准确且及时检测出采用特定网络协议作为攻击主体进行Dos/DDos流量攻击的缺陷,进而提高了网络安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的应用场景示意图;
图2为本申请实施例提供的一种网络攻击检测设备的系统架构图;
图3为本申请实施例提供的网络攻击检测方法的流程示意图;
图4为本申请实施例提供的日志采集过程的交互示意图;
图5为本申请实施例提供的预设检测策略配置过程的交互示意图;
图6为本申请实施例提供的日志与预设检测策略匹配关联过程的交互示意图;
图7为本申请实施例提供的一种网络攻击检测的整体流程示意图;
图8为本申请实施例提供的网络攻击检测装置的结构示意图;
图9为本申请实施例提供的计算机设备的组成结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为便于理解本申请实施例提供的技术方案,这里先对本申请实施例使用的一些关键名词进行解释:
Dos/DDos流量攻击:一种利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务的网络攻击方式,主要通过向网络服务端口持续发送大量的伪造源地址的攻击报文,造成目标服务器中的半开连接队列被占满,来恶意占用目标服务器的带宽和主机资源,从而导致网络或系统不胜负荷以至瘫痪而停止提供正常网络服务。DDoS攻击会像病毒一样会发生变异,包括常见的CC攻击、TCP/UDP/DNS/SYN/ICMP/NTP/SSDP/ACK/HTTP Flood及其变种Land/Teardrop/Smurf/Ping of Death等等多种形式。
下面对本申请实施例的设计思想进行简要介绍:
近年来,全球范围内DDoS攻击事件的发生频率不断上涨,而DDoS攻击的日益加剧跟其本身通过大量合法的分布式服务器发送请求来占用资源的攻击原理有很大关系,目前针对DDoS攻击检测的常见方法是通过统计目标网络地址的当前流量值与历史流量值进行对比分析来实现,仅能实现一小部分流量型DDoS攻击场景的检测,且该方法仅以网络地址作为流量日志的分析维度,忽略了网络协议差异性,而攻击方可通过分析被攻击目标的业务场景确定其采用的特定网络协议,采用不同的攻击方式避开以网络地址为流量日志检测维度的网络攻击检测,导致网络攻击检测的精准性和及时性下降,例如常见的无法精准检测的DDos攻击方式有:不需要太大流量进行攻击的服务消耗类DDos攻击方式,主要针对Web的CC,数据服务的检索,文件服务的下载等不同业务服务的特点进行精确定点打击,该类攻击不是为了拥塞流量通道或协议处理通道,而是让服务端始终处理高消耗型的业务的忙碌状态进而无法对正常业务进行响应;反射攻击,该类攻击方式一般请求回应的流量远远大于请求本身流量的大小,攻击者可通过流量被放大的特点以较小的流量带宽制造出大规模的流量源从而对目标发起攻击;混合型攻击,结合多种攻击方式特征并在攻击过程中进行探测选择最佳的攻击方式等。因此现有的DDOS攻击检测方法存在无法精准且及时地检测出DDos攻击的缺陷,已经越来越无法满足如今的网络攻击检测需求。
鉴于上述问题,本申请实施例提供了一种网络攻击检测方法,通过获取目标网络设备的日志文件来确定目标网络设备接收到的数据流信息,再针对预设检测策略集合中每一个预设检测策略,将日志文件中每一条日志的包括有目标网络地址和网络协议类型的目标关键字段集合,与一个预设检测策略包含的设定关键字段集合进行匹配,匹配成功则将日志与相应的预设检测策略进行关联。根据关联后的预设检测策略对应的流量统计周期,确定当前统计周期内与其关联的日志的流量总和,当流量总和大于该预设检测策略的流量阈值时,则确定目标网络设备受到该预设检测策略对应类型的网络攻击。本申请以目标网络地址和网络协议类型相结合作为攻击检测维度,更加准确且及时检测出采用特定网络协议作为攻击主体进行Dos/DDos流量攻击的缺陷,进而提高了网络安全性。
相较于常用的无法动态修改检测参数,并需要统计历史流量作为检测依据的DDos攻击检测方法,本申请实施例还可通过接收到的策略配置请求包括的预设检测策略,对预设检测策略集合进行更新,完成检测策略的动态调整,实现针对不同网络设备的业务特征以及同一网络设备发生变化的业务特征配置相应的检测策略,提高网络攻击检测的精准性。且本申请实施例基于针对网络设备进行个性化配置后的检测策略,对其流量日志文件进行实时分析,无需历史流量作为检测依据,解决了现有技术的局限。
下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施过程中,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
本申请实施例提供的技术方案可以适用于各种网络设备的网络攻击检测场景,如图1所示,为本申请实施例提供的应用场景示意图,在该场景中,可以包括网络攻击检测设备100、待检测设备110。
在一种可能的实施方式中,网络攻击检测设备100可以为具有一定处理能力的计算机设备,例如手机、个人计算机(personal computer,PC)、服务器等能够被配置为执行本申请实施例提供的该方法装置中的任意一种均可,在此不再一一进行例举。为便于描述,下文以该方法的执行主体为能够执行该方法的服务器为例,对该方法的实施方式进行介绍。可以理解,该方法的执行主体为服务器只是一种示例性的说明,并不应理解为对该方法的限定。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
待检测设备110为本申请实施例提供的网络攻击检测方法所针对的待检测的计算机设备,例如服务器、路由器、网关设备等,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
网络攻击检测设备100能够从待检测设备110获取流量日志数据,并基于本申请实施例提供的目网络攻击检测方法,实现针对待检测设备110的网络攻击检测功能。
网络攻击检测设备100和待检测设备110之间可以通过网络120连接,该网络120可以是有线网络,也可以是无线网络,例如无线网络可以是移动蜂窝网络,例如第四代移动通信(4generation,4G)网络、第五代移动通信(5generation,5G)网络或新无线(New Radio,NR)网络,或者可以是无线保真(Wireless-Fidelity,WIFI)网络,当然还可以是其他可能的网络,本发明实施例对此不做限制。
需要说明的是,图1所示只是举例说明,实际上网络攻击检测设备与待检测设备的数量不受限制,在本申请实施例中不做具体限定。
如图2所示,为本申请实施例提供的网络攻击检测设备的系统架构图,其中,该网络攻击检测设备具体包括如下模块:
(1)日志采集模块,用于从待检测设备获取并解析日志文件,按照预设日志格式规则对日志文件进行格式转换,再从转换后的日志文件中提取得到各条日志各自对应的目标关键字段集合,发送至日志处理模块。
(1)策略配置模块,用于接收策略配置请求,解析并获取请求所包含的预设检测策略信息,并发送至策略同步模块。
(2)策略同步模块,用于根据从策略配置模块接收到的预设检测策略信息,配置和更新预设检测策略集合并同步加载到缓存中。
(3)日志处理模块,用于从日志采集模块接收各条日志对应的目标关键字段合,并从缓存中读取最新的预设检测策略集合。将每一条日志包含的目标关键字段集合与每一个预设检测策略包含的设定关键字段集合匹配,并将匹配成功的二者进行关联,将关联后的预设检测策略和日志文件发送给日志分析模块。
(4)日志分析模块,用于从日志处理模块接收关联后的预设检测策略和日志文件,根据预设检测策略对应的流量统计周期,确定当前统计周期内与其关联的日志的流量总和,并发送至攻击检测模块。
(5)攻击检测模块,用于从日志分析模块接收其统计的流量总和,通过判断流量总和是否大于对应的预设检测策略的流量阈值,确定待检测设备是否受到该预设检测策略对应类型的网络攻击。
应当注意,图2所示的功能模块架构图的组件和结构只是示例性的,而非限制性的,在实际场景中根据需要,还可以具有其他组件和结构。
下面结合上述描述的应用场景,参考附图来描述本申请示例性实施方式提供的网络攻击检测方法,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
参见图3所示,为本申请实施例提供的网络攻击检测方法的流程示意图,这里是以网络攻击检测设备为执行主体为例进行举例说明的,该方法的具体实施流程如下:
步骤301:获取待检测的目标网络设备的日志文件。
本申请实施例中,日志文件包含待检测设备实时接收到的网络数据流信息,网络攻击检测设备通过日志采集模块获取并解析待检测设备的日志文件,再发送至日志处理模块进行后续处理。
具体的,以待检测设备为路由器为例,路由器开启netflow设置后会将产生的netflow流量日志数据推送到相关端口上,网络攻击检测设备从该端口可读取到该待检测设备实时产生的netflow流量日志数据即日志文件。
在一种可能的实施方式中,原始日志文件由待检测设备产生,不同待检测设备产生的原始日志文件的格式可能不同,例如有记录待检测设备每一个TCP/IP事务信息的netflow数据、提供完整网络流量记录的tcpdump数据等。因此网络攻击检测设备的日志采集模块获取到待检测设备的原始日志文件后,可根据预设的日志格式规则对不同格式的原始日志文件进行统一格式转换,再分别从转换后的各条日志中提取所需的目标关键字段集合,再通过消息队列发送至日志处理模块。
具体的,转换后的每条日志文件中可包含源网络地址,目标网络地址、网络协议类型、流量值、时间戳等字段信息,从中抽取目标网络地址和目标网络协议类型两种字段信息组成日志处理模块所需的目标关键字段集合。
其中,源网络地址表征发送该条数据流信息至待检测设备的源网络设备的IP地址,可用于攻击检测模块生成攻击警告信息;流量值表征该条数据流信息的流量大小;时间戳表征该条数据流信息对应的发送时刻;目标网络地址即待检测设备的IP地址。
网络协议类型表征该待检测设备采用的网络通讯协议类型,待检测设备根据不同的使用场景和业务类型,可选择采用与业务特征相适配的网络通讯协议,例如提供数据检索、文件传输服务、网页浏览,远程登录等以高消耗型业务为主的待检测设备通常会采用TCP/IP协议来提供可靠的端到端的通信,确保接收方收到的数据与待检测设备发送的数据一致,保证数据不丢失,无差错。而采用UDP协议的待检测设备则对数据可靠性要求较低,但数据传输效率要求更高,多以提供实时性服务为主,例如传输音频和视频等业务。而由于待检测设备要向用户提供业务服务就需要通过网络通讯协议提供用户访问接口,Dos/DDos流量攻击即可利用网络通讯协议的特性采取对应的更加精准、难以检测的攻击手段,以躲避常见的以IP为检测维度的网络攻击检测。例如利用TCP/IP协议的握手缺陷消耗服务端的链接资源,利用UDP协议无状态机制伪造大量的UDP数据包阻塞通信信道等。
在一种可能的实施方式中,可采用消息队列作为本申请实施例网络攻击检测设备在传输数据过程中保存数据信息的容器,由消息队列提供路由并保证消息的传递。其中,消息队列通过特有的缓存层可使得存入其中的数据处理更加迅速,缓存层还有助于控制和提升数据流经过系统的速度。此外,消息队列还可将数据流持久化存储,直到其被处理,规避数据丢失风险。在保证数据接收和处理顺序一致的同时,消息队列还提供数据监听和异步处理机制,消息队列管理器作为把数据从其来源方中继到接收方的中间人,在接收方不可用时消息队列会保留数据直到可以成功地传递数据为止,允许存入消息队列的数据在被需要时才进行处理。
具体的,以日志文件为例,参考图4示的日志采集过程的交互示意图,日志采集模块可先把从待检测设备端口获取到的原始日志文件存储至第一消息队列中,在需要对原始日志文件做后续格式转化和提取关键字段等处理时,再从第一消息队列中依次从读取日志,并从读取到的每一条日志信息中,提取需要的字段信息组合生成其对应的目标关键字段集合,存储至第二消息队列中,以便日志处理模块可在其需要时从第二消息队列中随时提取目标关键字段集合。
步骤302:针对每个预设检测策略,若日志文件中每一条日志包含的目标关键字段集合,与该预设检测策略包含的设定关键字段集合匹配成功,将日志与相应的预设检测策略进行关联。
本申请实施例中,在预设检测策略集合中设置多个预设检测策略,用于对日志文件进行检测,由于针对每个预设检测策略的处理过程类似,因此这里以一个预设检测策略为例进行介绍。
具体的由日志处理模块从日志采集模块接收各条日志对应的包括目标网络地址和网络协议类型的目标关键字段集合,并从缓存中读取当前时刻的预设检测策略集合。再将其中每一个预设检测策略的设定关键字段集合与每一条日志包含的目标关键字段集合进行一一匹配,并将匹配成功的二者关联,将关联后的预设检测策略集合和日志文件发送给日志分析模块进行后续处理。
在一种可能的实施方式中,在日志处理模块读取预设检测策略集合之前,策略配置模块可通过接收到的策略配置请求从中获取预设检测策略信息,再发送给策略同步模块,由其更新预设检测策略集合并同步加载到缓存中。
具体的,可由相关运维人员在网络攻击检测设备的显示界面上,通过点击策略配置按钮等方式手动触发策略配置流程,根据预设的策略配置规则手动键入或选择该检测策略的设定关键字段等相关信息,由策略配置模块生成对应的预设检测策略,并发送给策略同步模块进行同步加载。
在一种可能的实施方式中,预设检测策略可包括如下字段信息:
(1)策略标识,是与每一个预设检测策略唯一对应的标识,用于指示对应的预设检测策略信息;
(2)目标网络地址,用于指示待检测设备的IP地址;
(3)流量统计周期,用于统计采用该预设检测策略的待检测设备在该时间周期内的流量总和;
(4)流量阈值,用于与流量统计周期中的流量总和进行对比并根据对比结果判断待检测设备是否受到网络攻击;
(5)网络协议类型,用于指示待检测设备的日志文件对应的网络通讯协议类型,包括TCP协议、UDP协议、ICMP协议、IGMP协议等。
本申请实施例的攻击检测维度为目标网络地址与网络协议类型相结合,因此将目标网络地址和网络协议类型作为设定关键字段,只有当上述两个设定关键字段全都符合时才确定采用该预设检测策略。具体的,网络协议类型也可设定为非必填字段,当该检测策略不包含网络协议类型时,仅以目标网路地址作为设定关键字段,即该检测策略是以IP地址为单一检测维度的。
在一种可能的实施方式中,参考图5所示,策略配置模块生成的多条预设检测策略后,可先同步存储至策略消息队列中,策略同步模块通过消息队列的实时拉取机制完成预设检测策略的同步和加载,将当前时刻策略消息队列包括的各条预设检测策略更新至预设检测策略集合,并发送至缓存中。因此,相关运维人员可根据当前时刻待检测设备的最新业务特征情况对预设检测策略集合进行动态调整,包括添加或删除预设检测策略以及对策略消息队列中已有的预设检测策略的流量统计周期、流量阈值等字段信息进行动态调整。
在一种可能的实施方式中,日志处理模块可通过遍历将每一条日志包含的目标关键字段集合,与缓存中的每一个预设检测策略包含的设定关键字段集合进行匹配,当目标关键字段集合与设定关键字段集合相同时确定该预设检测策略与该条日志匹配成功。以目标网络地址与网络协议类型相结合的检测纬度为例,当预设检测策略和日志包含的目标网络协议和网络协议类型都相同时,确定二者匹配成功。
在一种可能的实施方式中,日志处理模块确定匹配成功的预设检测策略和日志后,可通过将该条预设检测策略的策略标识字段添加到匹配成功的日志的目标关键字段集合中,实现二者的关联。具体的,参考图6示,日志处理模块依次从第二消息队列读取每一条日志数据,将每一条日志数据与缓存中预设检测策略集合的每一条预设检测策略进行遍历匹配,并在匹配成功的日志的目标关键字段集合中填充相应的预设检测策略的策略标识字段,获得关联后的日志数据并更新第二消息队列。
步骤303:根据该预设检测策略对应的流量统计周期,确定当前统计周期内,与该预设检测策略关联的日志的流量总和。
本申请实施例中,日志分析模块从日志处理模块接收关联后的预设检测策略集合和日志文件,并根据预设检测策略中对应的流量统计周期,确定当前统计周期内与其关联的日志的流量总和并发送至攻击检测模块。
在一种可能的实施方式中,日志分析模块根据预设检测策略对应的流量统计周期,从更新后的第二消息队列中获取当前统计周期内,与其相关联的日志各自对应的流量值字段,再根据获得的多个流量值字段确定当前统计周期内的流量总和。
具体的,日志分析模块可通过流计算的方式对当前统计周期内的流量值进行汇总计算。流计算是一种一直在进行的动态数据的实时分析过程,通过在不断变化的数据流信息中捕捉到有用的信息并把结果发送到下一计算节点。区别于传统的流量分析处理,需要先预先收集并存储一定时长的静态历史流量数据,才能在需要计算时通过查询进行汇总处理,最终结果也只能反映已过去的历史流量情况,本申请采用流计算可实现对待检测设备的实时流量数据分析,也无需发出查询请求即可实时推送统计结果。
步骤304:判断流量总和是否大于该预设检测策略的流量阈值,若是则跳转执行步骤305;若否,则跳转执行步骤302。
步骤305:确定目标网络设备受到该预设检测策略对应类型的网络攻击。
本申请实施例中,攻击检测模块从日志分析模块接收到其统计的流量总和,通过判断流量总和是否大于对应的预设检测策略的流量阈值,来确定待检测设备是否受到该预设检测策略对应类型的网络攻击。
在一种可能的实施方式中,攻击检测模块可根据预设检测策略的网络协议类型确定待检测设备受到的网络攻击类型,再根据网络攻击类型生成对应的攻击警告,并发送至关联的待检测设备。
具体的,资源消耗类攻击是较为常见的DDoS攻击,主要包括:Syn Flood、UDPFlood等。这类攻击通过大量请求消耗正常的带宽和协议栈处理资源的能力,从而达到服务端无法正常工作的目的。其中SYN Flood攻击是采用半开的TCP协议连接,通过多个伪造的源IP地址向一个目标IP地址发起攻击来占用待检测设备资源,使合法用户被排斥而不能建立正常的TCP连接,该种攻击方式对应的网络协议类型为TCP协议,因此当预设检测策略指示的网路协议类型为TCP协议时,攻击检测模块可确定待检测设备受到的SYN Flood攻击。而当预设检测策略指示的网路协议类型为UDP协议时,可确定待检测设备受到的UDP Flood攻击。
参考图7所示为本申请实施例提供的网络攻击检测的整体流程,相关运维人员根据待检测设备的业务情况触发策略配置流程,策略配置模块根据其请求生成对应的预设检测策略数据,例如策略标识为N,目标网络地址为xxx.xxx.x.x,流量统计周期为D,流量阈值为R,网络协议类型为TCP协议的预设检测策略N。
再由策略同步模块利用消息队列机制,将该预设检测策略数据加载至缓存中的预设检测策略集合中,实现添加、修改、删除检测策略等功能。日志采集模块实时获取网络设备的日志文件数据,完成格式转换、抽取关键字段等处理后,将网络设备的每一条日志数据存储至消息队列中。再由日志处理模块依次从消息队列读取每一条日志数据,将每一条日志数据与缓存中预设检测策略集合中每一条预设检测策略进行遍历匹配。以预设检测策略N为例,当一条日志数据的目标网络地址字段也为xxx.xxx.x.x且网络协议类型字段也为TCP协议时,说明该条日志M与预设检测策略N匹配成功,日志处理模块便将预设检测策略N的策略标识N填充进该日志M的目标关键字段集合中,完成二者的关联并更新消息队列中的日志数据。
日志分析模块根据预设检测策略N中对应的流量统计周期D,通过流计算确定出周期D内日志M的流量总和S,发送给攻击检测模块,由其判断流量总和S与流量阈值R的大小关系,若S≥R则确定该待检测设备受到预设检测策略N对应的网络攻击,生成相应的攻击告警提示,若S<R则确定该待检测设备未受到网络攻击,结束本次检测流程。
请参见图8,基于同一发明构思,本申请实施例还提供了一种网络攻击检测装置80,该装置包括:
获取单元801,用于获取待检测的目标网络设备的日志文件,日志文件包括目标网络设备接收到的数据流信息;
关联单元802,用于针对预设检测策略集合中各预设检测策略,分别执行如下操作:针对一个预设检测策略,若日志文件中每一条日志包含的目标关键字段集合,与一个预设检测策略包含的设定关键字段集合匹配成功,将日志与相应的预设检测策略进行关联;其中,目标关键字段集合包括目标网络地址和网络协议类型;
确定单元803,用于根据一个预设检测策略对应的流量统计周期,确定当前统计周期内,与一个预设检测策略关联的日志的流量总和;
告警单元804,用于当流量总和大于一个预设检测策略的流量阈值时,确定目标网络设备受到一个预设检测策略对应类型的网络攻击。
可选的,获取单元801,具体用于:
接收策略配置请求,策略配置请求包括至少一条预设检测策略;
基于至少一条预设检测策略,更新预设检测策略集合。
可选的,获取单元801,具体用于:
基于至少一条预设检测策略,更新预设检测策略集合,包括:
将至少一条预设检测策略,同步至策略消息队列中;
基于策略消息队列包括的各预设检测策略,更新预设检测策略集合。
可选的,关联单元802,具体用于:
针对一条日志,将日志包含的目标关键字段集合与设定关键字段集合进行匹配;
当目标关键字段集合与设定关键字段集合相同时,确定预设检测策略与日志匹配成功;
将日志与预设检测策略进行关联。
可选的,获取单元801,具体用于:
根据预设日志格式规则,对日志文件进行格式转换,获得转换后的日志文件;
分别从转换后的日志文件包括的各条日志中,提取得到各条日志各自对应的目标关键字段集合。
则关联单元802,具体用于:
针对每条日志,将与之匹配成功的预设检测策略的策略标识字段,添加到相应的目标关键字段集合中。
可选的,获取单元801,具体用于:
将各条日志依次存储至第一消息队列中;
依次从第一消息队列中读取日志,并将针对读取的日志提取得到的目标关键字段集合存储至第二消息队列中。
则关联单元802,具体用于:
依次从第二消息队列读取目标关键字段集合,并在读取得到的目标关键字段集合中,添加相应的策略标识字段。
可选的,确定单元803,具体用于:
从第二日志消息队列中,获取当前统计周期内每条日志各自对应的流量值字段;
根据获得的多个流量值字段,确定当前统计周期内的流量总和。
可选的,告警单元804,具体用于:
根据一个预设检测策略的网络协议类型,确定目标网络设备受到的网络攻击类型;
根据网络攻击类型,生成对应的攻击警告,并将攻击警告发送至关联的网络设备。
通过上述装置,通过获取目标网络设备的日志文件来确定目标网络设备接收到的数据流信息,再针对预设检测策略集合中每一个预设检测策略,将日志文件中每一条日志的包括有目标网络地址和网络协议类型的目标关键字段集合,与一个预设检测策略包含的设定关键字段集合进行匹配,匹配成功则将日志与相应的预设检测策略进行关联。根据关联后的预设检测策略对应的流量统计周期,确定当前统计周期内与其关联的日志的流量总和,当流量总和大于该预设检测策略的流量阈值时,则确定目标网络设备受到该预设检测策略对应类型的网络攻击。本申请以目标网络地址和网络协议类型相结合作为攻击检测维度,更加准确且及时检测出采用特定网络协议作为攻击主体进行Dos/DDos流量攻击的缺陷,进而提高了网络安全性。
请参见图9,基于同一技术构思,本申请实施例还提供了一种计算机设备。在一种实施例中,该计算机设备如图所示可以包括存储器901,通讯模块903以及一个或多个处理器902。
存储器901,用于存储处理器902执行的计算机程序。存储器901可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统;存储数据区可存储各种操作指令集等。
存储器901可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器901也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);或者存储器901是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器901可以是上述存储器的组合。
处理器902,可以包括一个或多个中央处理单元(central processing unit,CPU)或者为数字处理单元等等。处理器902,用于调用存储器901中存储的计算机程序时实现上述网络攻击检测方法。
通讯模块903用于与消息处理设备或者其他网络设备进行通信。
本申请实施例中不限定上述存储器901、通讯模块903和处理器902之间的具体连接介质。本申请实施例在图9中以存储器901和处理器902之间通过总线904连接,总线904在图9中以粗线描述,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线904可以分为地址总线、数据总线、控制总线等。为便于描述,图9中仅用一条粗线描述,但并不描述仅有一根总线或一种类型的总线。
存储器901中存储有计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于实现本申请实施例的网络攻击检测方法。处理器902用于执行上述各实施例的网络攻击检测方法。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质上存储有计算机程序,当该计算机程序指令在计算机上运行时,使得计算机处理器执行本说明书上述描述的根据本申请各种实施例的网络攻击检测方法中的步骤。
在一些可能的实施方式中,本申请提供的网络攻击检测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络攻击检测方法中的步骤,例如,计算机设备可以执行各实施例的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算装置上运行。然而,本申请的程序产品不限于此,在本申请件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中,远程计算装置可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算装置,或者,可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种网络攻击检测方法,其特征在于,所述方法包括:
获取待检测的目标网络设备的日志文件,所述日志文件包括所述目标网络设备接收到的数据流信息;
针对预设检测策略集合中各预设检测策略,分别执行如下操作:
针对一个预设检测策略,若所述日志文件中每一条日志包含的目标关键字段集合,与所述一个预设检测策略包含的设定关键字段集合匹配成功,将所述日志与相应的预设检测策略进行关联;其中,所述目标关键字段集合包括目标网络地址和网络协议类型;
根据所述一个预设检测策略对应的流量统计周期,确定当前统计周期内,与所述一个预设检测策略关联的日志的流量总和;
当所述流量总和大于所述一个预设检测策略的流量阈值时,确定所述目标网络设备受到所述一个预设检测策略对应类型的网络攻击。
2.如权利要求1所述的方法,其特征在于,在针对预设检测策略集合中各预设检测策略分别执行操作之前,所述方法还包括:
接收策略配置请求,所述策略配置请求包括至少一条预设检测策略;
基于所述至少一条预设检测策略,更新所述预设检测策略集合。
3.如权利要求2所述的方法,其特征在于,所述预设检测策略集合通过策略消息队列存储;
则基于所述至少一条预设检测策略,更新所述预设检测策略集合,包括:
将所述至少一条预设检测策略,同步至所述策略消息队列中;
基于所述策略消息队列包括的各预设检测策略,更新所述预设检测策略集合。
4.如权利要求1所述的方法,其特征在于,所述针对一个预设检测策略,若所述日志文件中每一条日志包含的目标关键字段集合,与所述一个预设检测策略包含的设定关键字段集合匹配成功,将所述日志与相应的预设检测策略进行关联,包括:
针对所述日志文件中各条日志,分别执行如下操作:
针对一条日志,将所述日志包含的目标关键字段集合与所述设定关键字段集合进行匹配;
当所述目标关键字段集合与所述设定关键字段集合相同时,确定所述预设检测策略与所述日志匹配成功;
将所述日志与所述预设检测策略进行关联。
5.如权利要求1或4所述的方法,其特征在于,在所述获取待检测的目标网络设备的日志文件之后,所述方法还包括:
根据预设日志格式规则,对所述日志文件进行格式转换,获得转换后的日志文件;
分别从所述转换后的日志文件包括的各条日志中,提取得到所述各条日志各自对应的所述目标关键字段集合;
则将所述日志与相应的预设检测策略进行关联,包括:
针对每条日志,将与之匹配成功的预设检测策略的策略标识字段,添加到相应的目标关键字段集合中。
6.如权利要求5所述的方法,其特征在于,在获取待检测的目标网络设备的日志文件之后,所述方法还包括:
将所述各条日志依次存储至第一消息队列中;
则分别从所述转换后的日志文件包括的各条日志中,提取得到所述各条日志各自对应的所述目标关键字段集合,包括:
依次从所述第一消息队列中读取日志,并将针对读取的日志提取得到的目标关键字段集合存储至第二消息队列中;
则所述针对每条日志,将与之匹配成功的预设检测策略的策略标识字段,添加到相应的目标关键字段集合中,包括:
依次从所述第二消息队列读取目标关键字段集合,并在读取得到的目标关键字段集合中,添加相应的策略标识字段。
7.如权利要求6所述的方法,其特征在于,所述根据所述一个预设检测策略对应的流量统计周期,确定当前统计周期内,与所述一个预设检测策略关联的日志的流量总和,包括:
从所述第二消息队列中,获取所述当前统计周期内每条日志各自对应的流量值字段;
根据获得的多个流量值字段,确定所述当前统计周期内的流量总和。
8.如权利要求1~4或者6~7任一所述的方法,其特征在于,所述当所述流量总和大于所述一个预设检测策略的流量阈值时,确定所述目标网络设备受到所述一个预设检测策略对应类型的网络攻击,包括:
根据所述一个预设检测策略的网络协议类型,确定所述目标网络设备受到的网络攻击类型;
根据所述网络攻击类型,生成对应的攻击警告,并将所述攻击警告发送至关联的终端设备。
9.一种网络攻击检测装置,其特征在于,包括:
获取单元,用于获取待检测的目标网络设备的日志文件,所述日志文件包括所述目标网络设备接收到的数据流信息;
关联单元,用于针对预设检测策略集合中各预设检测策略,分别执行如下操作:针对一个预设检测策略,若所述日志文件中每一条日志包含的目标关键字段集合,与所述一个预设检测策略包含的设定关键字段集合匹配成功,将所述日志与相应的预设检测策略进行关联;其中,所述目标关键字段集合包括目标网络地址和网络协议类型;
确定单元,用于根据所述一个预设检测策略对应的流量统计周期,确定当前统计周期内,与所述一个预设检测策略关联的日志的流量总和;
告警单元,用于当所述流量总和大于所述一个预设检测策略的流量阈值时,确定所述目标网络设备受到所述一个预设检测策略对应类型的网络攻击。
10.一种计算机设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1~8任一项所述的方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现如权利要求1~8任一项所述的方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~8任一项所述的方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211170139.1A CN115499230A (zh) | 2022-09-23 | 2022-09-23 | 网络攻击检测方法和装置、设备及存储介质 |
| PCT/CN2022/136806 WO2024060408A1 (zh) | 2022-09-23 | 2022-12-06 | 网络攻击检测方法和装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211170139.1A CN115499230A (zh) | 2022-09-23 | 2022-09-23 | 网络攻击检测方法和装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115499230A true CN115499230A (zh) | 2022-12-20 |
Family
ID=84469966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211170139.1A Pending CN115499230A (zh) | 2022-09-23 | 2022-09-23 | 网络攻击检测方法和装置、设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115499230A (zh) |
| WO (1) | WO2024060408A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115801468A (zh) * | 2023-02-09 | 2023-03-14 | 南京聚铭网络科技有限公司 | 一种零日漏洞攻击检测方法、装置及存储介质 |
| CN116074105A (zh) * | 2023-02-06 | 2023-05-05 | 鹏城实验室 | 网络攻击数据集构建方法、装置、电子设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060262721A1 (en) * | 2005-04-26 | 2006-11-23 | International Business Machines Corporation | Receiving data in a sensor network |
| CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
| CN109194680B (zh) * | 2018-09-27 | 2021-02-12 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109302401B (zh) * | 2018-10-25 | 2021-07-09 | 国家电网有限公司 | 信息安全防护方法及装置 |
| CN110445770B (zh) * | 2019-07-18 | 2022-07-22 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN113746810B (zh) * | 2021-08-13 | 2023-04-18 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN115208622A (zh) * | 2022-05-31 | 2022-10-18 | 西安交大捷普网络科技有限公司 | 一种DDoS攻击的检测方法及装置 |
-
2022
- 2022-09-23 CN CN202211170139.1A patent/CN115499230A/zh active Pending
- 2022-12-06 WO PCT/CN2022/136806 patent/WO2024060408A1/zh unknown
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116074105A (zh) * | 2023-02-06 | 2023-05-05 | 鹏城实验室 | 网络攻击数据集构建方法、装置、电子设备及存储介质 |
| CN115801468A (zh) * | 2023-02-09 | 2023-03-14 | 南京聚铭网络科技有限公司 | 一种零日漏洞攻击检测方法、装置及存储介质 |
| CN115801468B (zh) * | 2023-02-09 | 2023-04-25 | 南京聚铭网络科技有限公司 | 一种零日漏洞攻击检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024060408A1 (zh) | 2024-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| USRE49126E1 (en) | Real-time adaptive processing of network data packets for analysis | |
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| WO2022083353A1 (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
| CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
| EP2056559B1 (en) | Method and system for network simulation | |
| US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| Marvi et al. | A generalized machine learning‐based model for the detection of DDoS attacks | |
| CN111314179A (zh) | 网络质量检测方法、装置、设备和存储介质 | |
| CN112954406B (zh) | 数据下载方法、装置、计算机设备和存储介质 | |
| CN113364804B (zh) | 一种流量数据的处理方法和装置 | |
| CN114389792B (zh) | 一种web日志nat前后关联方法及系统 | |
| KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
| Lrt et al. | Capturing collusive interest flooding attacks signal: A novel Malaysia’s state named-data networking topology (MY-NDN) | |
| CN111431942B (zh) | 一种cc攻击的检测方法、装置及网络设备 | |
| JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
| CN116962255B (zh) | 发现pcdn用户的检测方法、系统、设备及可读介质 | |
| CN115037528B (zh) | 一种异常流量检测方法及装置 | |
| CN108833559B (zh) | 一种视频数据的缓存与分发的方法及装置 | |
| CN116015841A (zh) | 报文处理方法、装置、设备及存储介质 | |
| CN115643079A (zh) | 数据包安全风险检测方法、装置、电子设备和存储介质 | |
| CN117376180A (zh) | 一种通信方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |