CN117278262B - 基于深度神经网络的ddos安全防御系统 - Google Patents
基于深度神经网络的ddos安全防御系统 Download PDFInfo
- Publication number
- CN117278262B CN117278262B CN202311175047.7A CN202311175047A CN117278262B CN 117278262 B CN117278262 B CN 117278262B CN 202311175047 A CN202311175047 A CN 202311175047A CN 117278262 B CN117278262 B CN 117278262B
- Authority
- CN
- China
- Prior art keywords
- access flow
- time sequence
- time
- ddos
- full
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 70
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 37
- 238000007781 pre-processing Methods 0.000 claims abstract description 18
- 239000013598 vector Substances 0.000 claims description 49
- 238000000605 extraction Methods 0.000 claims description 18
- 238000010586 diagram Methods 0.000 claims description 17
- 238000009826 distribution Methods 0.000 claims description 12
- 238000005457 optimization Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 238000003062 neural network model Methods 0.000 claims description 7
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000013527 convolutional neural network Methods 0.000 claims description 5
- 230000008447 perception Effects 0.000 claims description 5
- 230000011218 segmentation Effects 0.000 claims description 2
- 230000009466 transformation Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 19
- 238000000034 method Methods 0.000 description 18
- 238000004458 analytical method Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 11
- 230000000875 corresponding effect Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000007405 data analysis Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000002079 cooperative effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于深度神经网络的DDOS安全防御系统,其获取待检测IP在预定时间段内多个预定时间点的访问流量值;对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像;对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图;以及,基于所述访问流量全时域关联特征图,确定是否开启DDOS安全防御。这样,可以自动化地对DDOS攻击予以识别,并及时开启DDOS安全防御。
Description
技术领域
本发明涉及智能化安全防御技术领域,尤其涉及一种基于深度神经网络的DDOS安全防御系统。
背景技术
拒绝服务攻击,英文DenialofService(DOS),作为互联网上的一种攻击手段,主要是利用TCP/IP协议的缺陷,将提供服务的网络的资源耗尽,导致不能提供正常服务,是一种对网络危害巨大的恶意攻击,有些拒绝服务攻击是消耗带宽,有些是消耗网络设备的cpu和内存,也有一些是导致系统崩溃。
最初,攻击一般以单台电脑向目标发起攻击为主,即DOS攻击,随着技术的发展,现在的攻击技术已经由DOS模式发展到了DDOS模式,即由统一控制的多台电脑,使用分布式技术,同时向攻击目标发起拒绝服务攻击,称为分布式拒绝服务攻击。到目前为止,还没有一种很好的技术能彻底检测并防御拒绝服务攻击。因此,期待一种解决方案。
发明内容
本发明实施例提供一种基于深度神经网络的DDOS安全防御系统,其获取待检测IP在预定时间段内多个预定时间点的访问流量值;对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像;对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图;以及,基于所述访问流量全时域关联特征图,确定是否开启DDOS安全防御。这样,可以自动化地对DDOS攻击予以识别,并及时开启DDOS安全防御。
本发明实施例还提供了一种基于深度神经网络的DDOS安全防御系统,其包括:
数据获取模块,用于获取待检测IP在预定时间段内多个预定时间点的访问流量值;
数据预处理模块,用于对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像;
特征提取模块,用于对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图;以及
安全防御开启模块,用于基于所述访问流量全时域关联特征图,确定是否开启DDOS安全防御。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御系统的框图。
图2为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御方法的流程图。
图3为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御方法的系统架构的示意图。
图4为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御系统的应用场景图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
除非另有说明,本发明实施例所使用的所有技术和科学术语与本发明的技术领域的技术人员通常理解的含义相同。本发明中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本发明的范围。
在本发明实施例记载中,需要说明的是,除非另有说明和限定,术语“连接”应做广义理解,例如,可以是电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
需要说明的是,本发明实施例所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例可以除了在这里图示或描述的那些以外的顺序实施。
拒绝服务攻击(Denial of Service,简称DoS)是一种恶意的网络攻击手段,其目的是通过消耗目标系统的资源,使其无法正常提供服务。攻击者通过发送大量的请求或者利用系统漏洞,使目标系统的网络带宽、计算能力或其他关键资源被耗尽,导致系统无法响应合法用户的请求。
拒绝服务攻击的主要特点包括:
资源耗尽:攻击者通过发送大量的请求或者占用系统资源,使目标系统的带宽、计算能力、存储空间等资源被消耗殆尽,无法满足正常用户的需求。
网络服务中断:由于目标系统被耗尽的资源无法正常运作,系统可能会出现延迟、响应缓慢甚至完全中断的情况,导致合法用户无法访问或使用该系统提供的服务。
分布式攻击:随着技术的发展,拒绝服务攻击已经从最初的单一攻击者向目标发起攻击演变为分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)。DDoS攻击利用多个分布在不同地理位置的攻击者的协同行动,同时向目标系统发起大规模的攻击,使得防御变得更加困难。
隐藏攻击者身份:攻击者通常会采取措施隐藏自己的身份,如使用匿名代理服务器、僵尸网络(Botnet)等手段,使得追踪和定位攻击者变得困难。
拒绝服务攻击对网络和系统造成的影响可以包括服务中断、业务损失、声誉受损以及安全漏洞的暴露等。为了防御拒绝服务攻击,网络管理员可以采取一系列的防御措施,包括流量过滤、入侵检测系统、负载均衡、增加带宽和容量、使用防火墙和入侵防御系统等。此外,网络服务提供商和云服务提供商也需要采取相应的防御措施来保护其基础设施和客户免受拒绝服务攻击的影响。
攻击一般以单台电脑向目标发起攻击为主,即DOS攻击,随着技术的发展,现在的攻击技术已经由DOS模式发展到了DDOS模式,即由统一控制的多台电脑,使用分布式技术,同时向攻击目标发起拒绝服务攻击,称为分布式拒绝服务攻击。
其中,DOS模式(Denial of Service,拒绝服务攻击):在DOS模式中,攻击者使用单一的计算机或网络设备向目标发起攻击,通过发送大量的请求或利用系统漏洞,耗尽目标系统的资源,使其无法正常提供服务。DOS攻击通常由一个攻击者发起,攻击流量集中在一个源IP地址上。
DOS模式的特点包括:单一源,攻击流量来自于单一的源IP地址,通常是一个计算机或者网络设备。有限资源,攻击者利用有限的资源,如带宽、计算能力等,对目标系统进行攻击。较低的攻击规模,由于是单一源的攻击,攻击规模相对较小。
DDoS模式(Distributed Denial of Service,分布式拒绝服务攻击):在DDoS模式中,攻击者利用分布在不同地理位置的多台计算机或网络设备,通过协同行动向目标发起大规模的攻击。攻击者通常使用僵尸网络(Botnet)或其他分布式技术来控制多台设备,使它们同时向目标系统发送攻击流量。
DDoS模式的特点包括:多源攻击,攻击流量来自于多个不同的源IP地址,分布在不同地理位置的计算机或网络设备。大规模攻击,由于攻击流量来自于多个源,攻击规模通常比DOS模式大得多,可以达到数十甚至数百Gbps的流量。难以追踪攻击源,攻击者使用分布式技术和匿名代理服务器等手段,隐藏攻击者的真实身份和攻击源的位置,增加了追踪和定位的难度。
DDoS攻击相比DOS攻击更具威力和难度,对目标系统造成的影响更严重。防御DDoS攻击需要更复杂的防御措施,如流量清洗、分布式防御系统、入侵检测和入侵防御系统等。
到目前为止,还没有一种很好的技术能彻底检测并防御拒绝服务攻击。因此,在本申请中,提供一种基于深度神经网络的DDOS安全防御系统。
在本发明的一个实施例中,图1为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御系统的框图。如图1所示,根据本发明实施例的基于深度神经网络的DDOS安全防御系统100,包括:数据获取模块110,用于获取待检测IP在预定时间段内多个预定时间点的访问流量值;数据预处理模块120,用于对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像;特征提取模块130,用于对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图;以及,安全防御开启模块140,用于基于所述访问流量全时域关联特征图,确定是否开启DDOS安全防御。
在所述数据获取模块110中,确保准确获取待检测IP在预定时间段内多个预定时间点的访问流量值,需要确保数据的完整性和准确性。考虑数据获取的效率和实时性,以便及时进行后续处理和分析。这样,提供了待检测IP在不同时间点的访问流量值,为后续的数据预处理和特征提取提供基础数据。帮助了解待检测IP的访问流量变化情况,为后续的安全防御决策提供依据。
在所述数据预处理模块120中,对多个预定时间点的访问流量值进行数据预处理,可能包括数据清洗、去噪、归一化等操作,以确保数据的质量和可用性。选择适当的数据预处理方法,以便能够准确地提取访问流量的时序特征。这样,将原始的访问流量值转化为访问流量时序图像,更直观地展示了访问流量的变化趋势和模式。为后续的特征提取提供了更有用的数据形式,简化了特征提取的过程。
在所述特征提取模块130中,选择适当的特征提取方法,能够从访问流量时序图像中提取出具有代表性的特征。考虑选择与DDoS攻击相关的特征,如流量峰值、流量变化速率、流量分布等。这样,提取访问流量全时域关联特征图,可以更全面地了解访问流量的特征和模式。为后续的安全防御决策提供了更准确的依据,能够更好地识别和区分DDoS攻击行为。
在所述安全防御开启模块140中,基于访问流量全时域关联特征图,确定是否开启DDoS安全防御,需要设置合适的阈值或规则。考虑实时性和准确性,及时响应并开启安全防御措施以应对DDoS攻击。这样,基于访问流量全时域关联特征图,能够快速判断是否存在DDoS攻击,并及时采取相应的安全防御措施。提高了系统的安全性和稳定性,保护了网络和系统免受DDoS攻击的影响。
这些模块的协同工作可以提供一个完整的DDoS攻击检测和防御系统。通过数据获取、预处理、特征提取和安全防御开启等步骤,能够实时监测和识别DDoS攻击,并采取相应的防御措施,保护目标系统的正常运行。
针对上述技术问题,本发明的技术构思是利用深度神经网络模型对访问流量进行特征提取,自动化地对DDOS攻击予以识别,并及时开启DDOS安全防御。
基于此,在本发明的技术方案中,首先,获取待检测IP在预定时间段内多个预定时间点的访问流量值。应可以理解,如果待检测IP是攻击IP,那么它的访问流量值会呈现出异常的波动,例如突然增加或减少,或者持续高于正常水平。
在本发明的一个实施例中,所述数据预处理模块,包括:向量排列单元,用于将所述多个预定时间点的访问流量值按照时间维度排列为访问流量时序输入向量;以及,向量-图像转化单元,用于将所述访问流量时序输入向量通过向量-图像转化模块以得到所述访问流量时序图像。
然后,对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像。也就是,将访问流量值的时序离散分布转化为便于后续模型读取与分析的结构化数据。这里,在本发明的技术方案中,将访问流量值的时序离散分布转化为图像数据。应可以理解,通常对时序数据采用向量来表示,虽然用向量来表示时序数据能够在一定程度上凸显时序数据在连续时间段内的时序特征信息,但却无法构建跨时间段之间的时序关联特征。而图像作为一种结构化的数据形式,具有丰富的空间信息和局部关联性,对图像数据进行分析与处理可以较为容易的获取与捕捉跨时间段下的流量特征分布。
在本发明的一个具体示例中,对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像的编码过程,包括:先将所述多个预定时间点的访问流量值按照时间维度排列为访问流量时序输入向量;再将所述访问流量时序输入向量通过向量-图像转化模块以得到访问流量时序图像。
更具体地,在本发明的实施例中,所述向量-图像转化单元,用于将所述访问流量时序输入向量通过向量-图像转化模块以得到访问流量时序图像的编码过程,包括:先将所述访问流量时序输入向量进行向量切分以得到访问流量时序输入子向量的序列;随后,将所述访问流量时序输入子向量的序列排列为访问流量时序输入矩阵;再对所述访问流量时序输入矩阵进行归一化处理以得到所述访问流量时序图像;其中,所述访问流量时序图像中各个位置的值的范围为0-255。
接着,对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图。在本发明的一个实施例中,所述特征提取模块,包括:时序局部特征提取单元,用于提取所述访问流量时序图像的时序局部特征以得到访问流量局部时序特征图;以及,特征域感知增强单元,用于对所述访问流量局部时序特征图进行特征域感知增强以得到所述访问流量全时域关联特征图。
其中,所述时序局部特征提取单元,用于:将所述访问流量时序图像通过基于卷积神经网络模型的流量时序局部特征提取器以得到所述访问流量局部时序特征图。
所述特征域感知增强单元,用于:将所述访问流量局部时序特征图通过基于非局部神经网络模型的特征全域感知器以得到所述访问流量全时域关联特征图。
在本发明的一个具体示例中,对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图的编码过程,包括:先将所述访问流量时序图像通过基于卷积神经网络模型的流量时序局部特征提取器以得到访问流量局部时序特征图;再将所述访问流量局部时序特征图通过基于非局部神经网络模型的特征全域感知器以得到访问流量全时域关联特征图。
应可以理解,传统的图像数据中的像素之间存在空间关系,通过卷积操作可以捕捉到局部区域的上下文关联信息。将访问流量时序输入向量转化为图像后,可以利用卷积神经网络对访问流量时序图像的局部区域进行特征提取,进而捕捉到流量数据在时间上的关联和时序模式。再利用非局部神经网络模型构建所述特征全域感知器来增强流量时序特征分布的全局性。
在本发明的一个实施例中,所述安全防御开启模块,包括:特征图展开单元,用于对所述访问流量全时域关联特征图进行特征图展开以得到访问流量全时域关联特征向量;优化单元,用于对所述访问流量全时域关联特征向量进行特征分布优化以得到优化访问流量全时域关联特征向量;分类单元,用于将所述优化访问流量全时域关联特征向量通过分类器以得到分类结果,所述分类结果用于表示待检测IP是否为攻击IP;以及,安全防御开启确定单元,用于基于所述分类结果,确定是否开启DDOS安全防御。
这里,将所述访问流量时序图像通过基于卷积神经网络模型的流量时序局部特征提取器时,得到的所述访问流量局部时序特征图可以表达访问流量值的细分时域内-细分时域间局部时序关联特征,而将所述访问流量局部时序特征图通过基于非局部神经网络模型的特征全域感知器后,得到的所述访问流量全时域关联特征图可以进一步表达全局时域下的全局时序关联特征,也就是,所述访问流量全时域关联特征图具有对应于细分时域内-细分时域间时序分布维度的局部-全局结合的多样化时序特征表示,这样,将所述访问流量全时域关联特征图通过分类器时,就会影响所述访问流量全时域关联特征图作为整体在分类回归域内的泛化效果,也就是,影响分类结果的准确性。
基于此,本发明的申请人在对所述访问流量全时域关联特征图进行分类时,优选地对所述访问流量全时域关联特征图展开后得到的所述访问流量全时域关联特征向量,例如记为V进行希尔伯特正交空间域表示解耦,表示为:以如下优化公式对所述访问流量全时域关联特征向量进行特征分布优化以得到优化访问流量全时域关联特征向量;其中,所述优化公式为:
其中,V是所述访问流量全时域关联特征向量,是所述访问流量全时域关联特征向量V的全局特征均值,||V||2是所述访问流量全时域关联特征向量V的二范数,L是所述访问流量全时域关联特征向量V的长度,且I是单位向量,V,是所述优化访问流量全时域关联特征向量,Cov1D(·)表示协方差矩阵。
这里,所述希尔伯特正交空间域表示解耦用于通过强调所述访问流量全时域关联特征向量V的多样化特征表达内的本质域特定(domain-specific)信息,即,通过基于向量自空间度量和向量自内积表示下的希尔伯特空间度量,来从所述访问流量全时域关联特征向量V的整体域表示内进行域恒定(domain-invariant)表征的正交空间域解耦,以提升所述访问流量全时域关联特征向量
V在分类回归域内的域自适应泛化性能,从而提升所述访问流量全时域关联特征图通过分类器得到的分类结果的准确性。
进一步地,将所述优化访问流量全时域关联特征向量通过分类器以得到分类结果,所述分类结果用于表示待检测IP是否为攻击IP;并基于所述分类结果,确定是否开启DDOS安全防御。
综上,基于本发明实施例的基于深度神经网络的DDOS安全防御系统100被阐明,其利用深度神经网络模型对访问流量进行特征提取,自动化地对DDOS攻击予以识别,并及时开启DDOS安全防御。
如上所述,根据本发明实施例的基于深度神经网络的DDOS安全防御系统100可以实现在各种终端设备中,例如用于基于深度神经网络的DDOS安全防御的服务器等。在一个示例中,根据本发明实施例的基于深度神经网络的DDOS安全防御系统100可以作为一个软件模块和/或硬件模块而集成到终端设备中。例如,该基于深度神经网络的DDOS安全防御系统100可以是该终端设备的操作系统中的一个软件模块,或者可以是针对于该终端设备所开发的一个应用程序;当然,该基于深度神经网络的DDOS安全防御系统100同样可以是该终端设备的众多硬件模块之一。
替换地,在另一示例中,该基于深度神经网络的DDOS安全防御系统100与该终端设备也可以是分立的设备,并且该基于深度神经网络的DDOS安全防御系统100可以通过有线和/或无线网络连接到该终端设备,并且按照约定的数据格式来传输交互信息。
在本发明的一个具体实施例中,本发明的系统分为三个子系统,网络数据检测子系统、网络数据显示子系统、攻击报警子系统。
1、网络数据检测子系统
主要功能是负责对网路数据的检测的功能,分为以下模块:
(1)数据包截取模块。
将设备接到被检测网络上,将网络数据接入检测设备,该模块负责对接入的数据包进行解析,解析深度可以根据网络流量、当前设备的性能、以及检测安全等级来决定,解析的深度越深要求设备性能越高,安全等级越高需要检测的深度越深。根据以上因素可以将数据包信息解析到网络层、也可以传输层、甚至可以解析到应用层。
(2)数据包特征统计模块。
对解析出的数据包信息进行统计,具体工作包括:
A、对单位时间内截获到的数据包的总数进行统计。
B、对单位时间内截获到的网络层不同类型的数据包的数量进行统计,包括IP数据包的数量、ICMP数据包的数量、ARP等数据包的数量。
C、对单位时间内截获到的传输层不同类型的数据包的数量进行统计,包括TCP数据包的数量、TCPsyn数据包的数量,TCPsyn-ack数据包的数量,UDP数据包的数量。
D、对单位时间内截获到的应用层的不同类型的数据包的数量进行统计,包括DNS数据包、RTP数据包、QQ数据包、HTTP数据包等。
E、对单位时间内截获到的数据包的IP地址和端口进行计数。
F、对各种类型数据包的数据包长度进行记录。
(3)统计数据处理模块。
1)计算出单位时间内,各类型数据包占数据包总数的比例分布。
2)计算单位时间内,各类型数据包的平均长度。
(4)数据存储模块
对(2)、(3)步骤中,获得的数据进行存储。存储时以时间为关键字来保存。
(5)数据分析模块。
根据(4)中保存下来的历史(是指上一年、前几个月、前几周、前几天)上的各种数据,计算出各时间段的报警阈值。
比如计算数据包中UDP数据包占总数据包比例在某一时刻t时的阈值:
首先,可以去数据库中查找该时刻前后一段时间,(t-a,t+a)这个时间段中,UDP数据包占总数据包比例的平均值F1。
再计算在该(t-a,t+a)时段前几天的同一时时间段中,UDP数据包占总数据包的比例的平均值F2。
用类似的方法计算前几周、前几个月该时刻比例的平均值Fn。
使用类似的方法计算出其他数据包的报警阈值。这些阈值数据是实时更新。一旦某个监控值超过了设定的阈值,就会将该信息提交“攻击分析模块”。
(6)攻击分析模块
主要是对从“数据分析模块”获得的各种类型的报警信息进行综合的分析,对攻击的类型、攻击目标、攻击源头、攻击的规模做出判断。
a、判断攻击的类型。
(a)UDPfloor类型攻击识别:
总的网络流量,超过总流量阈值。
UDP数据包的流量超过UDP包流量阈值,
UDP数据包占整个网络数据包的比例提高到UDP包占比阈值。
UDP数据包的包平均长度减小到设定UDP包长阈值,可判断是UDP小包攻击。
(a)TCPsynfloor类型攻击识别
总的网络流量超过总流量阈值。
TCPsyn数据包流量超过TCPsyn包流量阈值。
TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比阈值。
TCPsyn数据包与TCP数据包总量的比例超过TCPsyn包占比阈值。
TCP数据包的平均长度超过TCP包长度阈值。
(c)TCPfloor类型攻击识别
总的网络流量超过总流量阈值。
TCP网络流量超过TCP包流量阈值。
TCP数据包占整个网络数据包的比例超过TCP包占比阈值。
使用TCP协议的很多可识别的应用协议的数据包流量未超过阀值。
(d)DNS攻击
DNS数据包流量超过DNS包流量阈值。
DNS数据包流量,占总流量的比例超过DNS流量占比阈值。
网络总流量超过总流量阈值(攻击严重时会出现)。
(e)根据获取的网络通讯的统计数据,也可以适当组合分析其他新出现的攻击类型。另外在实际环境中,一次攻击很多时候是由几种类型的攻击组合而成的,这是就要根据上面的特征来分别判断。
b、攻击规模的确定
根据a中确定的攻击类型,获得对应类型目前的攻击流量,综合对比该类型数据包的阈值流量,和历史正常流量,来评估出当前该攻击类型的攻击规模。
c、攻击目标分析
对这些异常数据包的目的IP进行统计,对发往同一目的IP地址的数据包个数进行统计,对比较集中的目的IP进行排名,将排名靠前的IP确定为被攻击的目标。
d、攻击源IP分析
对异常数据包的源IP地址进行统计分析,并根据发送数据包个数的多少进行从高到低的排列,将排名靠前的IP确定为攻击源IP。
(7)检测报告生成模块
主要功能是根据上面模块中获得的数据,自动生成分析报告。
具体的可以生成两种报告:
第一种,网络监测日报,主要包括当天不同时间点网络流量的折线图;各种类型的数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状图;当天不同时间点网络中各类型数据包平均个数的折线图。这些图表的主要数据来源是“网络数据监控模块”,在当天实时显示的数据。该检测报告属于日常性的检测报告。
第二种,网络攻击分析报告。一旦系统检测到网络遭到攻击时,系统通过分析当时的攻击数据,生成该报告。
主要内容有:攻击的规模
攻击的变化情况(攻击流量的增加速度、持续时间等)
攻击类型:可能是单一的攻击类型,也可能是多种综合的攻击类型
攻击目标信息:包括IP地址、物理位置信息等
攻击源的信息:包括IP地址、物理位置信息等,在一次分布式攻击中的源IP可能会有很多,这里会按照不同IP地址的攻击规模的大小,对IP地址进行排序。
2、网路数据显示子系统
对网络数据检测子系统中统计分析并保存起来的数据进行实时显示。
显示的形式主要是线性图、饼图形式。
显示时间的粒度可以根据具体情况调整,可以以分钟粒度,也可以以天、周为显示粒度。显示范围也可以根据实际情况调整,可以显示当前一个小时内的数据,也可以显示最近一周或一个月的数据。
主要显示的内容有:
(1)网络数据总流量的实时显示,以线性表形式。
(2)网络数据中TCP数据流量的实时显示,以线性表形式。
(3)网络数据中TCP-syn数据流量的实时显示,以线性表的形式。
(4)网路数据中TCP-syn-ack数据流量的实时显示,以线性表的形式。
(5)网络数据中UDP数据流量的实时显示,以线性表的形式。
(6)网络数据中DNS数据流量的实时显示,以线性表的形式。
(7)网络数据中HTTP数据流量的实时显示,以线性表的形式。
(8)网络数据中,其他应用层数据流量的实时显示,以线性表的形式。本系统可以根据用户的具体关注的需要来由选择的选择需要重点监控的网络应用层中的各种协议的流量。
(9)UDP数据包平均长度的线性表实时显示。
(10)TCP数据包平均长度的线性表实时显示。
(11)UDP、TCP分别占整个网络流量多少的饼状图
(12)TCP-syn、TCP-syn-ack数据包占TCP数据总流量的饼形图。
(13)各种关注的应用层协议所占比例的饼形图。
3、攻击报警子系统
当网络数据检测子系统检测到,网络的各个数据指标中有某个或某几个超过阀值时,启动报警子系统,通过显示器图像、声音等方式报告相关人员,此刻所监控网络收到攻击。与此同时网络数据检测子系统的检测报告生成模块生成攻击报告提交给用户。
本发明的优点与积极效果:
本发明的分布式攻击检测方法的特点在于:
1、综合考虑各种网络数据的特征,对ddos攻击予以识别。
2、综合网络传输的历史数据,对当前的网络数据进行深入分析,最终对网络是否受到攻击做出判断。
图2为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御方法的流程图。图3为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御方法的系统架构的示意图。如图2和图3所示,一种基于深度神经网络的DDOS安全防御方法,包括:210,获取待检测IP在预定时间段内多个预定时间点的访问流量值;220,对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像;230,对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图;以及,240,基于所述访问流量全时域关联特征图,确定是否开启DDOS安全防御。
本领域技术人员可以理解,上述基于深度神经网络的DDOS安全防御方法中的各个步骤的具体操作已经在上面参考图1的基于深度神经网络的DDOS安全防御系统的描述中得到了详细介绍,并因此,将省略其重复描述。
在本发明的一个具体实施例中,一种DDOS攻击检测方法,其步骤为:
1)数据包截取模块对接入的网络数据包信息进行解析;所述网络数据包信息包括:数据包类型、IP地址、端口;
2)数据包特征统计模块对解析出的网络数据包信息进行统计,得到单位时间内截获到的数据包总数、网络层不同类型的数据包数量、传输层不同类型的数据包数量、应用层不同类型的数据包数量、数据包的IP地址总数和端口总数;
3)统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;
4)数据分析模块根据存储的步骤2)和步骤3)所计算出的历史数据,计算网络数据的报警阈值;
5)数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将该网络数据值提交到攻击分析模块;
6)攻击分析模块根据接收到的网络数据值生成检测报告。
进一步的,所述网络数据包信息还包括各种类型数据包的数据包长度;同时所述数据包特征统计模块对解析出的各类型数据包的数据包长度进行统计。
进一步的,所述统计数据处理模块计算出单位时间内各类型数据包的平均长度。
进一步的,所述数据分析模块实时更新各类型数据包的报警阈值。
进一步的,所述网络层的数据包类型包括:IP数据包、ICMP数据包、ARP数据包;所述传输层的数据包类型包括:TCP数据包、TCPsyn数据包、TCPsyn-ack数据包、UDP数据包;所述应用层的数据包类型包括:DNS数据包、RTP数据包、QQ数据包、HTTP数据包。
进一步的,所述检测报告为网络攻击报告,其包括:攻击类型、攻击目标、攻击源头、攻击规模。
进一步的,所述攻击类型包括:
1)UDPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且UDP数据包的流量超过UDP包流量报警阈值,且UDP数据包占网络数据包总数的比例达到UDP包占比报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值,且UDP数据包的包平均长度减小到设定UDP包长报警阈值;
2)TCPsynfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCPsyn数据包流量超过TCPsyn包流量报警阈值,且TCPsyn数据包和TCPsynack数据包的比例超过TCPsyn-ACK包占比报警阈值,且TCPsyn数据包与TCP数据包总量的比例超过TCPsyn包占比报警阈值,且TCP数据包的平均长度超过TCP包长度报警阈值;
3)TCPfloor攻击类型,其识别方法为:总的网络流量超过总流量报警阈值,且TCP网络流量超过TCP包流量报警阈值,且TCP数据包占网络数据包总数的比例超过TCP包占比报警阈值;
4)DNS攻击类型,其实别方法为:DNS数据包流量超过DNS包流量报警阈值,且DNS数据包流量占总流量的比例超过DNS流量占比报警阈值。
进一步的,所述攻击规模的确定方法为:首先根据确定的攻击类型,获得对应类型目前的攻击流量;然后综合对比该类型数据包的流量报警阈值和历史正常流量,来评估出当前该攻击类型的攻击规模。
进一步的,所述攻击目标的确定方法为:首先对发往同一目的IP地址的数据包个数进行统计;然后对比较集中的目的IP进行排名,将排名靠前的IP确定为被攻击的目标;所述攻击源IP的确定方法为:对数据包的源IP地址进行统计,并根据发送数据包个数进行从高到低的排列,将排名靠前的IP确定为攻击源IP。
进一步的,所述检测报告为网络监测日报,其包括:当天不同时间点网络流量的折线图;当天各种类型数据包所占比例的折线图;当天各类型数据包所占比例平均值的饼状图;当天不同时间点网络中各类型数据包平均长度的折线图。
图4为本发明实施例中提供的一种基于深度神经网络的DDOS安全防御系统的应用场景图。如图4所示,在该应用场景中,首先,获取待检测IP在预定时间段内多个预定时间点的访问流量值(例如,如图4中所示意的C);然后,将获取的访问流量值输入至部署有基于深度神经网络的DDOS安全防御算法的服务器(例如,如图4中所示意的S)中,其中所述服务器能够基于深度神经网络的DDOS安全防御算法对所述访问流量值进行处理,以确定是否开启DDOS安全防御。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于深度神经网络的DDOS安全防御系统,其特征在于,包括:
数据获取模块,用于获取待检测IP在预定时间段内多个预定时间点的访问流量值;
数据预处理模块,用于对所述多个预定时间点的访问流量值进行数据预处理以得到访问流量时序图像;
特征提取模块,用于对所述访问流量时序图像进行访问流量特征提取以得到访问流量全时域关联特征图;以及
安全防御开启模块,用于基于所述访问流量全时域关联特征图,确定是否开启DDOS安全防御。
2.根据权利要求1所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述数据预处理模块,包括:
向量排列单元,用于将所述多个预定时间点的访问流量值按照时间维度排列为访问流量时序输入向量;以及
向量-图像转化单元,用于将所述访问流量时序输入向量通过向量-图像转化模块以得到所述访问流量时序图像。
3.根据权利要求2所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述向量-图像转化单元,用于:
将所述访问流量时序输入向量进行向量切分以得到访问流量时序输入子向量的序列;
将所述访问流量时序输入子向量的序列排列为访问流量时序输入矩阵;
对所述访问流量时序输入矩阵进行归一化处理以得到所述访问流量时序图像;
其中,所述访问流量时序图像中各个位置的值的范围为0-255。
4.根据权利要求3所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述特征提取模块,包括:
时序局部特征提取单元,用于提取所述访问流量时序图像的时序局部特征以得到访问流量局部时序特征图;以及
特征域感知增强单元,用于对所述访问流量局部时序特征图进行特征域感知增强以得到所述访问流量全时域关联特征图。
5.根据权利要求4所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述时序局部特征提取单元,用于:
将所述访问流量时序图像通过基于卷积神经网络模型的流量时序局部特征提取器以得到所述访问流量局部时序特征图。
6.根据权利要求5所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述特征域感知增强单元,用于:
将所述访问流量局部时序特征图通过基于非局部神经网络模型的特征全域感知器以得到所述访问流量全时域关联特征图。
7.根据权利要求6所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述安全防御开启模块,包括:
特征图展开单元,用于对所述访问流量全时域关联特征图进行特征图展开以得到访问流量全时域关联特征向量;
优化单元,用于对所述访问流量全时域关联特征向量进行特征分布优化以得到优化访问流量全时域关联特征向量;
分类单元,用于将所述优化访问流量全时域关联特征向量通过分类器以得到分类结果,所述分类结果用于表示待检测IP是否为攻击IP;以及
安全防御开启确定单元,用于基于所述分类结果,确定是否开启DDOS安全防御。
8.根据权利要求7所述的基于深度神经网络的DDOS安全防御系统,其特征在于,所述优化单元,用于:以如下优化公式对所述访问流量全时域关联特征向量进行特征分布优化以得到优化访问流量全时域关联特征向量;
其中,所述优化公式为:
其中,V是所述访问流量全时域关联特征向量,是所述访问流量全时域关联特征向量V的全局特征均值,||V||2是所述访问流量全时域关联特征向量V的二范数,L是所述访问流量全时域关联特征向量V的长度,且I是单位向量,V′是所述优化访问流量全时域关联特征向量,Cov1D(·)表示协方差矩阵。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311175047.7A CN117278262B (zh) | 2023-09-13 | 2023-09-13 | 基于深度神经网络的ddos安全防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311175047.7A CN117278262B (zh) | 2023-09-13 | 2023-09-13 | 基于深度神经网络的ddos安全防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117278262A CN117278262A (zh) | 2023-12-22 |
| CN117278262B true CN117278262B (zh) | 2024-03-22 |
Family
ID=89220628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311175047.7A Active CN117278262B (zh) | 2023-09-13 | 2023-09-13 | 基于深度神经网络的ddos安全防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117278262B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080021492A (ko) * | 2006-08-31 | 2008-03-07 | 영남대학교 산학협력단 | 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법 |
| CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
| CN112953924A (zh) * | 2021-02-04 | 2021-06-11 | 西安电子科技大学 | 网络异常流量检测方法、系统、存储介质、终端及应用 |
| CN113411351A (zh) * | 2021-06-07 | 2021-09-17 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| WO2022011977A1 (zh) * | 2020-07-15 | 2022-01-20 | 中国科学院深圳先进技术研究院 | 一种网络异常检测方法、系统、终端以及存储介质 |
| US11381583B1 (en) * | 2017-11-03 | 2022-07-05 | DimensionalMechanics, Inc. | Systems and methods for detecting anomalous system or network behavior |
| CN115766140A (zh) * | 2022-11-03 | 2023-03-07 | 网络通信与安全紫金山实验室 | 分布式拒绝服务DDoS攻击检测方法及装置 |
| CN116015965A (zh) * | 2023-01-04 | 2023-04-25 | 深圳铸泰科技有限公司 | 一种网络恶意流量的多维度检测及防御系统 |
| WO2023147786A1 (zh) * | 2022-02-07 | 2023-08-10 | 南京理工大学 | 基于改进卷积神经网络的车联网入侵检测方法及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10412106B2 (en) * | 2015-03-02 | 2019-09-10 | Verizon Patent And Licensing Inc. | Network threat detection and management system based on user behavior information |
| KR101888683B1 (ko) * | 2017-07-28 | 2018-08-14 | 펜타시큐리티시스템 주식회사 | 비정상 트래픽을 탐지하는 방법 및 장치 |
| US11611588B2 (en) * | 2020-07-10 | 2023-03-21 | Kyndryl, Inc. | Deep learning network intrusion detection |
-
2023
- 2023-09-13 CN CN202311175047.7A patent/CN117278262B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080021492A (ko) * | 2006-08-31 | 2008-03-07 | 영남대학교 산학협력단 | 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법 |
| US11381583B1 (en) * | 2017-11-03 | 2022-07-05 | DimensionalMechanics, Inc. | Systems and methods for detecting anomalous system or network behavior |
| CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
| WO2022011977A1 (zh) * | 2020-07-15 | 2022-01-20 | 中国科学院深圳先进技术研究院 | 一种网络异常检测方法、系统、终端以及存储介质 |
| CN112953924A (zh) * | 2021-02-04 | 2021-06-11 | 西安电子科技大学 | 网络异常流量检测方法、系统、存储介质、终端及应用 |
| CN113411351A (zh) * | 2021-06-07 | 2021-09-17 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| WO2023147786A1 (zh) * | 2022-02-07 | 2023-08-10 | 南京理工大学 | 基于改进卷积神经网络的车联网入侵检测方法及设备 |
| CN115766140A (zh) * | 2022-11-03 | 2023-03-07 | 网络通信与安全紫金山实验室 | 分布式拒绝服务DDoS攻击检测方法及装置 |
| CN116015965A (zh) * | 2023-01-04 | 2023-04-25 | 深圳铸泰科技有限公司 | 一种网络恶意流量的多维度检测及防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117278262A (zh) | 2023-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US11797671B2 (en) | Cyberanalysis workflow acceleration | |
| Karan et al. | Detection of DDoS attacks in software defined networks | |
| Al-Jarrah et al. | Network Intrusion Detection System using attack behavior classification | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
| US11997122B2 (en) | Systems and methods for analyzing cybersecurity events | |
| GhasemiGol et al. | E‐correlator: an entropy‐based alert correlation system | |
| Janabi et al. | Convolutional neural network based algorithm for early warning proactive system security in software defined networks | |
| Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
| Melo et al. | A novel immune detection approach enhanced by attack graph based correlation | |
| CN117278262B (zh) | 基于深度神经网络的ddos安全防御系统 | |
| CN110912933A (zh) | 一种基于被动测量的设备识别方法 | |
| Chae et al. | Adaptive threshold selection for trust-based detection systems | |
| KR20190083178A (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
| Lee et al. | A HTTP botnet detection system based on ranking mechanism | |
| US20220210184A1 (en) | Batch clustering of online attack narratives for botnet detection | |
| Wang et al. | Adaptive feature-weighted alert correlation system applicable in cloud environment | |
| Tong et al. | DGA-based Botnets Detection based on Vertical and Horizontal Analysis of DNS Behavior | |
| Adli et al. | Anomaly network intrusion detection system based on NetFlow using machine/deep learning | |
| Hiruta et al. | Security Operation Support by Estimating Cyber Attacks Without Traffic Decryption | |
| Mulik et al. | Botnet Detection using Traffic Analysis and Defenses | |
| CN117955729A (zh) | 一种基于流量的恶意软件检测方法、装置及电子设备 | |
| CN117061215A (zh) | 一种基于dns报文解析的dga域名检测方法与系统 | |
| Abusnaina et al. | Ensemble Prediction of Spatio-Temporal Behavior of Distributed Denial of Service Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |