CN117336033A - 流量的拦截方法、装置、存储介质及电子设备 - Google Patents
流量的拦截方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN117336033A CN117336033A CN202311226240.9A CN202311226240A CN117336033A CN 117336033 A CN117336033 A CN 117336033A CN 202311226240 A CN202311226240 A CN 202311226240A CN 117336033 A CN117336033 A CN 117336033A
- Authority
- CN
- China
- Prior art keywords
- target
- flow
- network
- traffic
- target network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 238000012549 training Methods 0.000 claims abstract description 93
- 230000002159 abnormal effect Effects 0.000 claims description 49
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 14
- 230000000903 blocking effect Effects 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 30
- 238000004422 calculation algorithm Methods 0.000 description 23
- 238000004140 cleaning Methods 0.000 description 12
- 238000012360 testing method Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 11
- 238000000605 extraction Methods 0.000 description 11
- 238000013528 artificial neural network Methods 0.000 description 10
- 238000007781 pre-processing Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 8
- 238000009826 distribution Methods 0.000 description 8
- 238000010801 machine learning Methods 0.000 description 8
- 238000005457 optimization Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 206010000117 Abnormal behaviour Diseases 0.000 description 6
- 238000013527 convolutional neural network Methods 0.000 description 6
- 238000013079 data visualisation Methods 0.000 description 6
- 230000006403 short-term memory Effects 0.000 description 5
- 125000004122 cyclic group Chemical group 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002068 genetic effect Effects 0.000 description 4
- 239000002245 particle Substances 0.000 description 4
- 230000000306 recurrent effect Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种流量的拦截方法、装置、存储介质及电子设备,其中,该方法包括:基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于流量特征确定目标网络流量的目标类别,其中,目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组训练数据中包括的每组训练数据包括网络流量以及网络流量的类别;在目标类别指示目标网络流量为存在目标攻击类别的情况下,拦截目标网络流量。通过本申请,解决了相关技术中存在的流量拦截准确率低的问题,达到提高流量拦截准确率的效果。
Description
技术领域
本申请实施例涉及计算机领域,具体而言,涉及一种流量的拦截方法、装置、存储介质及电子设备。
背景技术
分布式拒绝服务(Distributed Denial of Service,简称DDoS)是指将多台计算机联合起来作为攻击平台,通过远程连接,利用恶意程序对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。在相关技术中,随着互联网的快速发展,服务器面临着越来越多的DDoS(分布式拒绝服务)攻击威胁。传统的DDoS攻击防护系统往往依赖于基于规则的方法,这些方法无法适应日益复杂和多变的攻击手段。
由此可知,相关技术中存在流量拦截准确率低的问题。
针对相关技术中存在的上述问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种流量的拦截方法、装置、存储介质及电子设备,以至少解决相关技术中存在的流量拦截准确率低的问题。
根据本申请的一个实施例,提供了一种流量的拦截方法,包括:基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于所述流量特征确定所述目标网络流量的目标类别,其中,所述目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组所述训练数据中包括的每组所述训练数据包括网络流量以及所述网络流量的类别;在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,拦截所述目标网络流量。
根据本申请的另一个实施例,提供了一种流量的拦截装置,包括:确定模块,用于基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于所述流量特征确定所述目标网络流量的目标类别,其中,所述目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组所述训练数据中包括的每组所述训练数据包括网络流量以及所述网络流量的类别;拦截模块,用于在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,拦截所述目标网络流量。
根据本申请的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本申请,根据目标网络模型确定服务器接收到的目标网络流量的流量特征,根据流量特征确定目标网络流量的目标类别,其中,目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组训练数据中包括的每组训练数据包括网络流量以及网络流量的类别;在目标类别指示目标网络流量为存在目标攻击类别的情况下,拦截目标网络流量。由于可以根据目标网络模型确定目标网络流量的流量特征,根据流量特征确定目标网络流量的目标类别。通过流量特征能够准确地识别网络流量中是否存在目标攻击,在存在目标攻击的情况下,对目标网络流量进行拦截。因此,可以解决相关技术中存在的流量拦截准确率低的问题,达到提高流量拦截准确率的效果。
附图说明
图1是本申请实施例的一种流量的拦截方法的移动终端的硬件结构框图;
图2是根据本申请实施例的流量的拦截方法的流程图;
图3是根据本申请示例性实施例的RNN结构示意图;
图4是根据本申请实施例的流量的拦截装置的结构框。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请的实施例。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本申请实施例的一种流量的拦截方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的流量的拦截方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种流量的拦截方法,图2是根据本申请实施例的流量的拦截方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于所述流量特征确定所述目标网络流量的目标类别,其中,所述目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组所述训练数据中包括的每组所述训练数据包括网络流量以及所述网络流量的类别;
步骤S204,在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,拦截所述目标网络流量。
在上述实施例中,目标网络流量可以是服务器接收到的实时流量,可以利用目标网络模型对目标网络流量进行识别,确定目标网络流量的目标类别。目标类别包括存在目标攻击类别以及正常流量类别。目标攻击包括DDOS攻击以及其他网络攻击。目标网络模型可以用于识别目标网络流量的流量特征。还可以用于在识别出流量特征后,对流量特征进行分析,根据流量特征确定目标网络流量的目标类别。在利用目标网络模型确定出流量特征后,还可以将流量特征与攻击特征库中的特征进行比对。确定流量特征与攻击特征库中的特征之间的相似度,在相似度中包括的最大相似度大于预设阈值时,将最大相似度对应的攻击类别确定为目标网络流量的目标类别。
在上述实施例中,目标网络模型可以是孪生神经网络(Siamese NeuralNetwork)、孪生LSTM(Long Short-Term Memory)模型、孪生卷积神经网络(SiameseConvolutional Neural Network)、孪生注意力网络(Siamese Attention Network)任一种或组合。可以预先获取训练数据,利用训练数据对初始网络模型进行训练,得到目标网络模型。其中,目标网络模型与初始网络模型的结构相同。
在上述实施例中,在识别出目标网络流量中存在目标攻击类别的网络流量后,可以对目标网络流量进行拦截,以防止目标网络流量攻击服务器。
其中,上述步骤的执行主体可以为服务器等,但不限于此。
通过本申请,根据目标网络模型确定服务器接收到的目标网络流量的流量特征,根据流量特征确定目标网络流量的目标类别,其中,目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组训练数据中包括的每组训练数据包括网络流量以及网络流量的类别;在目标类别指示目标网络流量为存在目标攻击类别的情况下,拦截目标网络流量。由于可以根据目标网络模型确定目标网络流量的流量特征,根据流量特征确定目标网络流量的目标类别。通过流量特征能够准确地识别网络流量中是否存在目标攻击,在存在目标攻击的情况下,对目标网络流量进行拦截。因此,可以解决相关技术中存在的流量拦截准确率低的问题,达到提高流量拦截准确率的效果。
在一个示例性实施例中,拦截所述目标网络流量包括以下至少之一:确定所述目标网络流量中包括的异常流量,确定所述异常流量对应的目标地址,其中,所述目标地址包括发送所述异常流量的源地址,和/或,所述异常流量的待接收地址,封锁所述目标地址;过滤所述目标网络流量中包括的异常流量,将所述目标网络流量中包括的除所述异常流量之外的其他流量发送至所述目标网络流量的待接收地址;确定所述目标网络流量的待接收地址中包括的特定地址,对所述特定地址,执行以下至少之一:减少所述特定地址连接的负载的数量,减小所述特定地址的带宽。在本实施例中,在确定目标网络流量中存在目标攻击类别的流量后,如识别出目标网络流量中包括DDoS攻击的流量数据后,可以采取相应的清洗措施,以恢复正常的系统运行。可以采取以下清洗策略之一:IP封锁:封锁源IP地址或目标IP地址,以阻止恶意流量的进一步传输。流量限制:对特定IP地址或流量进行限制,如限制连接数、带宽等,以减轻攻击影响。流量重定向:将流量重定向到专用的清洗设备或服务,对恶意流量进行过滤和处理。云防护:将流量转发到云端的防护服务,利用云端的计算和资源来进行DDoS攻击的清洗。
在上述实施例中,可以将目标网络流量中包括的除异常流量之外的正常流量发送至正常流量待发送的地址中。通过对目标网络流量中包括的异常流量进行清洗,可以去除目标网络流量中的异常流量,并且还可以继续发送正常流量,实现了对异常流量的拦截,同时并不影响正常流量的传输。
在上述实施例中,DDoS攻击防护模块根据异常检测结果,能够自动化地采取多种防护策略,包括阻断恶意流量、限制访问等,并且支持管理员的自定义设置。
在一个示例性实施例中,在基于目标网络模型确定目标网络流量的流量特征之前,所述方法还包括:获取多组所述训练数据;将多组所述训练数据中包括的每组训练数据输入到所述初始网络模型中包括的第一初始子网络以及第二初始子网络中,得到所述第一初始子网络输出的第一结果,以及所述第二初始子网络输出的第二结果,其中,所述初始子网络与所述第二初始子网络并行连接;基于所述第一结果以及第二结果得到预测结果;基于所述预测结果以及所述训练数据中包括的标记结果确定所述初始网络模型的损失值;基于所述损失值迭代更新所述初始网络模型的网络参数,得到所述目标网络模型。在本实施例中,可以通过对初始网络模型进行训练,得到目标网络模型。可以首先搭建初始网络模型,初始网络模型可以包括输入层、循环层。首先定义输入层,用于接收网络流量数据。假设输入数据的维度为n。设计循环层,如LSTM(长短期记忆网络)或GRU(门控循环单元),用于捕捉流量数据的时序特征。将循环层组合成一个循环神经网络模型。构建孪生结构,即将两个完全相同的RNN模型并行连接,共享相同的权重和参数。RNN对具有序列特性的数据非常有效,它能挖掘数据中的时序信息以及语义信息。也就是说,第一初始子网络和第二初始子网络均可以为RNN网络。其中,RNN结构示意图可参见附图3,如图3所示,如果要处理一个含有n个字的序列,这个网络就可以展开成n层的神经网络,一层处理一个字,Xt表示t时刻的输入,可以是一个one-hot或者分布式表示的字,St表示t时刻的隐藏状态,是网络的记忆功能,每一时刻的隐藏层不仅由该时刻的输入层决定,还由上一时刻的隐藏层决定(St的值不仅仅取决于Xt,还取决于S(t-1))。Ot=g(V·St),St=f(U·Xt+W·S(t-1))。这里的W,U,V在每个时刻都是相等的(权重共享)。
在上述实施例中,两个RNN模型并行(孪生),共享相同的权重和参数(W,U,V)。输出为与逻辑,即预测结果为第一结果与第二结果相与后的结果。
在上述实施例中,定义交叉熵损失函数作为孪生模型的损失函数。假设模型输出的概率分布为p(x)。
定义训练集中正常流量样本的标签为yi=0,其中i表示样本的索引。
定义训练集中异常流量样本的标签为yj=1,其中j表示样本的索引。
定义损失函数L(xi,xj)=-[yi*log(p(xi))+yj*log(p(xj))],其中log表示自然对数运算。
在上述实施例中,在进行模型训练时,可以使用训练集对孪生模型进行训练,通过反向传播算法更新模型的权重和参数,最小化损失函数L(xi,xj)。可以采用随机梯度下降等优化算法来更新权重和参数。
在上述实施例中,使用训练好的目标网络模型对测试集中的流量数据进行特征提取和识别。对于每个测试样本xk,计算其概率分布p(xk)。如果概率分布p(xk)中异常类别的概率高于一个设定的阈值,将测试样本xk判定为异常流量。
在上述实施例中,目标网络模型确定目标类别的准确性取决于数据集的质量、模型的设计和训练过程的调优等因素。在实际应用中,可以经过多次迭代和调整,以优化模型的性能和准确性。目标网络模型的实施结果将根据具体的场景和需求而有所不同,具体的可采用资源调配算法,如遗传算法(Genetic Algorithm)、粒子群优化算法(ParticleSwarm Optimization)等,来优化资源的分配和利用,优化系统资源调配。
在上述实施例中,基于循环神经网络(RNN)构建孪生模型,利用循环层捕捉流量数据的时序特征,提高了模型对于复杂流量模式的识别能力。有效的损失函数定义:系统采用交叉熵损失函数作为孪生模型的损失函数,能够准确地评估模型的性能,并通过最小化损失函数实现模型的优化和训练。自动化的流量特征识别:系统利用训练好的孪生模型对测试集中的流量数据进行特征提取和识别,通过设定阈值判定异常流量,实现了自动化的DDoS攻击检测和防护。高度可定制的实施过程:系统提供了灵活的实施过程,包括数据集收集、预处理、模型构建、训练和评估等步骤,可以根据具体场景和需求进行定制和调整,以获得最佳的防护效果。
在一个示例性实施例中,获取多组所述训练数据包括:收集网络流量数据;确定所述网络流量数据中包括的无效数据以及异常数据;将所述网络流量数据中包括的除所述无效数据以及所述异常数据之外的其他数据确定为所述训练数据。在本实施例中,可以收集足够的正常流量数据和DDoS攻击流量数据,分别作为训练集和测试集。对数据进行预处理,如去除噪声、标准化等操作。构建孪生模型并定义损失函数。使用训练集对孪生模型进行训练,调整模型的权重和参数。使用测试集对训练好的孪生模型进行评估,计算准确率、召回率等指标。
在上述实施例中,可以进行数据收集:收集网络流量数据,包括源IP地址、目标IP地址、端口号、协议类型任一或多种组合信息。并对数据预处理,即对收集到的数据进行清洗和预处理,去除无效数据和异常值。然后对其他数据进行特征提取,从预处理后的数据中提取特征,包括源IP地址的频率、协议类型的分布、目标端口的使用情况任一或组合。并对数据进行标记,根据已知的攻击样本和正常样本,对提取到的特征进行标记,将其分类为攻击流量和正常流量,得到训练数据。在得到训练数据之后,对模型进行训练,使用机器学习算法,包括支持孪生神经网络(Siamese Neural Network)、孪生LSTM(Long Short-TermMemory)模型、孪生卷积神经网络(Siamese Convolutional Neural Network)、孪生注意力网络(Siamese Attention Network)任一中或组合,对标记后的数据进行训练,构建分类模型。
在上述实施例中,通过对数据捕获、预处理、统计和分析等步骤,实现对服务器流入和流出的网络数据流量的全面监测和分析,以识别并防护DDoS攻击,能够准确识别DDoS攻击流量,降低误报率,并能够高效地处理大规模的网络流量。同时,采集网络流量数据,并进行噪声去除、标准化等预处理操作,提高了数据的质量和可用性。
在一个示例性实施例中,在基于所述流量特征确定所述目标网络流量的目标类别之后,所述方法还包括:将所述目标网络流量以及所述目标类别确定为目标训练数据;将所述目标训练数据添加到多组所述训练数据中。在本实施例中,在对目标网络流量进行识别之后,可以确定目标网络流量的目标类别,并利用目标类别对目标网络流量进行标记,得到目标训练数据,并将目标训练数据添加到多种训练数据中,即不断更新多组训练数据,使训练数据更加的丰富,训练出的目标网络模型的识别结果将更加的准确。
在上述实施例中,根据实时的攻击情况,不断更新攻击特征库,提高了目标网络模型的攻击识别准确性。
在上述实施例中,服务器还可以通过与其他服务器DDoS攻击防护系统进行通信,实现攻击特征库的共享和更新。根据历史数据和机器学习算法不断优化流量特征提取和异常检测的准确性和效率,适应不断变化的攻击手段。其中,攻击特征库包括已知的DDoS攻击特征和未知的异常流量特征。
需要说明的是,攻击特征库的更新可以通过管理员手动更新或自动更新实现。
在一个示例性实施例中,所述方法还包括:实时确定所述服务器的流量监测信息、攻击识别结果以及攻击拦截统计信息;控制目标界面显示所述流量监测信息、所述攻击识别结果以及所述攻击拦截统计信息。在本实施例中,可以向管理员展示实时的流量监测情况、攻击识别结果和拦截统计信息。目标界面中还可以包括查询入口,用户可以通过查询入口查询历史数据。即服务器提供实时监控和历史数据查询功能,能够将统计结果和异常行为以图表、报表和日志等方式展示给管理员,帮助管理员及时发现和应对异常事件。
在一个示例性实施例中,在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,所述方法还包括以下至少之一:向目标平台发送告警信息,采集所述服务器的日志信息,将所述日志信息发送给目标平台。在本实施例中,当识别到目标网络流量中存在目标攻击类别的情况下,服务器可以执行告警操作,向目标平台发送告警信息。告警信息可以包括目标网络流量的源地址以及目标地址、网络攻击类型等信息。例如,在识别到DDoS攻击时,向管理员发送警报通知。在确定存在目标攻击的情况下,还可以记录日志信息。并将日志信息发送给目标平台。
在上述实施例中,日志信息可以是预定时间段内产生的日志,以便后续分析和审计。例如,在识别到目标攻击类别之前第一时间段内产生的日志以及识别到目标攻击类别之后第二时间段内产生的日志。
在上述实施例中,用户权限管理可以管理日志信息,保证系统的安全性,同时提供用户行为分析功能和系统性能监控功能,帮助管理员识别潜在的安全风险和解决系统性能瓶颈。此外,异常事件溯源功能能够帮助管理员分析攻击来源和路径。
在上述实施例中,目标平台可以实时监控和历史数据查询,能够将统计结果和异常行为以图表、报表和日志等方式展示给管理员,帮助管理员及时发现和应对异常事件,及时对异常事件进行处理,提高了服务器的安全性。
在上述实施例中,还可以通过结构语句对日志信息进行解析,确定目标攻击产生的原因。在对日志信息进行解析时,可以确定日志信息中存在的异常日志,根据异常日志确定服务器中存在的目标漏洞,确定目标漏洞的目标类型,在补丁库中查询是否存在与目标类型对应的目标补丁,在存在目标补丁的情况下,下载并按照目标补丁,以提高服务器的安全。在补丁库中不存在与目标类型对应的目标补丁的情况下,向与服务器连接的其他服务器发送补丁请求,以指示其他服务器基于补丁请求查找目标补丁,在其他服务器中存在目标补丁的情况下,将目标补丁发送给服务器。服务器接收目标补丁,并安装,以提高服务器的安全。
在上述实施例中,服务器与服务器连接的其他服务器发送补丁请求包括:将目标类型转换为目标标识,将目标标识嵌入到请求的头数据中,广播补丁请求。其他服务器接收到补丁请求后,解析补丁请求的头数据,基于头数据中的目标标识确定补丁类型。
下面结合具体实施方式对流量的拦截方法进行说明:
流量的拦截方法可以应用在基于流量特征识别的服务器DDoS攻击防护系统中,该系统包括:
流量监测模块,用于实时监测服务器接收到的网络流量;
流量分析模块,用于对监测到的网络流量进行分析,并提取流量特征通过对网络流量进行采样和建模,创建网络流量的数字孪生模型;
攻击识别模块,用于根据预先定义的攻击特征库,对提取到的流量特征进行识别,判断是否存在DDoS攻击;
攻击拦截模块,用于在识别到DDoS攻击时,自动拦截攻击流量,并将正常流量继续传输至服务器;
自适应学习模块,用于根据实时的攻击情况,不断更新攻击特征库,提高数字孪生模型的攻击识别准确性。
具体的:使用循环神经网络(Recurrent Neural Network,RNN)作为孪生模型的基础模型,并使用交叉熵损函数。算法的步骤如下:
1.数据采集与预处理:
采集网络流量数据,并进行预处理,如去除噪声、标准化等操作。
将预处理后的数据分为训练集和测试集。
2.孪生模型构建:
定义输入层,用于接收网络流量数据。假设输入数据的维度为n。
设计循环层,如LSTM(长短期记忆网络)或GRU(门控循环单元),用于捕捉流量数据的时序特征。
将循环层组合成一个循环神经网络模型。
构建孪生结构,即将两个完全相同的RNN模型并行连接,共享相同的权重和参数。
3.损失函数定义:
定义交叉熵损失函数作为孪生模型的损失函数。假设模型输出的概率分布为p(x)。
定义训练集中正常流量样本的标签为yi=0,其中i表示样本的索引。
定义训练集中异常流量样本的标签为yj=1,其中j表示样本的索引。
定义损失函数L(xi,xj)=-[yi*log(p(xi))+yj*log(p(xj))],其中log表示自然对数运算。
模型训练:
使用训练集对孪生模型进行训练,通过反向传播算法更新模型的权重和参数,最小化损失函数L(xi,xj)。可以采用随机梯度下降等优化算法来更新权重和参数。
流量特征识别:
使用训练好的孪生模型对测试集中的流量数据进行特征提取和识别。
对于每个测试样本xk,计算其概率分布p(xk)。
如果概率分布p(xk)中异常类别的概率高于一个设定的阈值,将测试样本xk判定为异常流量。
上述异常流量识别后,识别为DDoS攻击的流量数据后,采取相应的清洗措施,以恢复正常的系统运行。
可以采取以下清洗策略之一:
IP封锁:封锁源IP地址或目标IP地址,以阻止恶意流量的进一步传输。
流量限制:对特定IP地址或流量进行限制,如限制连接数、带宽等,以减轻攻击影响。
流量重定向:将流量重定向到专用的清洗设备或服务,对恶意流量进行过滤和处理。
云防护:将流量转发到云端的防护服务,利用云端的计算和资源来进行DDoS攻击的清洗。
实施结果说明:
在实施该算法之前,需要进行以下步骤:
需要收集足够的正常流量数据和DDoS攻击流量数据,分别作为训练集和测试集。
需要对数据进行预处理,如去除噪声、标准化等操作。
需要构建孪生模型并定义损失函数。
需要使用训练集对孪生模型进行训练,调整模型的权重和参数。
需要使用测试集对训练好的孪生模型进行评估,计算准确率、召回率等指标。
实施结果将取决于数据集的质量、模型的设计和训练过程的调优等因素。在实际应用中,可能需要经过多次迭代和调整,以优化模型的性能和准确性。最终的实施结果将根据具体的场景和需求而有所不同,具体的可采用资源调配算法,如遗传算法(GeneticAlgorithm)、粒子群优化算法(Particle Swarm Optimization)等,来优化资源的分配和利用,优化系统资源调配。
具体的,系统还包括:
用户界面模块,用于向管理员展示实时的流量监测情况、攻击识别结果和拦截统计信息;
报警模块,用于在识别到DDoS攻击时,向管理员发送警报通知;
日志记录模块,用于记录系统的运行日志和攻击事件日志,以便后续分析和审计。
具体的,攻击识别模块采用机器学习算法进行攻击特征的训练和识别。
具体的,自适应学习模块通过与其他服务器DDoS攻击防护系统的通信,实现攻击特征库的共享和更新。
具体的,攻击特征库包括已知的DDoS攻击特征和未知的异常流量特征。
具体的,攻击特征库的更新通过管理员手动更新或自动更新实现。
具体的,流量监测模块通过网络数据包捕获技术实现对服务器接收流量的实时监测。
具体的,流量分析模块通过数据挖掘技术实现对监测到的网络流量的特征提取和分析。
以目标攻击为DDOS攻击为例,流量的拦截方法可以包括:
S1.数据收集:收集网络流量数据,包括源IP地址、目标IP地址、端口号、协议类型任一或多种组合信息。
S2.数据预处理:对收集到的数据进行清洗和预处理,去除无效数据和异常值。
S3.特征提取:从预处理后的数据中提取特征,包括源IP地址的频率、协议类型的分布、目标端口的使用情况任一或组合。
S4.数据标记:根据已知的攻击样本和正常样本,对提取到的特征进行标记,将其分类为攻击流量和正常流量。
S5.模型训练:使用机器学习算法,包括支持孪生神经网络(Siamese NeuralNetwork)、孪生LSTM(Long Short-Term Memory)模型、孪生卷积神经网络(SiameseConvolutional Neural Network)、孪生注意力网络(Siamese Attention Network)任一中或组合,对标记后的数据进行训练,构建分类模型。
S6.实时监测:将新的流量数据输入到训练好的模型中,实时监测流量并进行分类判断。
S7.阈值设定:根据分类结果和业务需求,设定合适的阈值,用于判断是否触发DDoS攻击的警报。
S8.响应措施:一旦检测到DDoS攻击,立即采取相应的防护措施,如流量过滤、流量限制、源IP封锁等。
在前述实施例中,将机器学习算法与网络安全相结合,实现了自动化的攻击检测和防护。相比传统的基于规则的方法,该系统具有更高的准确性和适应性,能够应对复杂多变的DDoS攻击方式。可定制性和灵活性也使其适用于不同规模和类型的网络系统。
具有高效的数据处理能力、强大的模型构建能力、有效的损失函数定义、自动化的流量特征识别和高度可定制的实施过程。可以提高网络系统的安全性,有效防护DDoS攻击,为用户提供稳定可靠的网络服务。
该系统包括数据捕获模块,用于捕获服务器流入和流出的网络数据流量;数据预处理模块,用于对捕获的数据进行噪声去除和无关数据过滤等预处理;流量统计模块,用于计算流量的大小和速率等统计信息;协议识别模块,用于识别数据流量中的协议类型;流量特征提取模块,用于从数据流量中提取关键的流量特征;异常检测模块,用于检测流量中的异常行为;DDoS攻击防护模块,根据异常检测结果采取防护措施;数据可视化模块,将统计结果和异常行为展示给管理员。
在实施方式中,该系统还包括智能学习模块,通过历史数据和机器学习算法不断优化流量特征提取和异常检测的准确性和效率。数据捕获模块采用混合捕获技术,包括硬件捕获和软件捕获。数据预处理模块包括数据过滤、数据清洗和数据压缩等步骤。流量特征提取模块根据不同协议类型采用相应的特征提取算法。异常检测模块采用机器学习算法对提取的流量特征进行训练和分类。DDoS攻击防护模块根据异常检测结果采取自动化的防护策略,并可根据管理员的设置进行自定义防护。数据可视化模块提供实时监控和历史数据查询功能,支持图表、报表和日志展示统计结果和异常行为。同时,数据可视化模块支持远程访问和多设备兼容,提供实时告警、用户权限管理、用户行为分析、系统性能监控和异常事件溯源等功能。在DDos防御中,具体有准确性和效率:通过基于流量特征的识别方法,能够准确识别DDoS攻击流量,降低误报率,并能够高效地处理大规模的网络流量。具有自适应性:系统采用智能学习模块,能够根据历史数据和机器学习算法不断优化流量特征提取和异常检测的准确性和效率,适应不断变化的攻击手段。具有多样化的防护策略:DDoS攻击防护模块根据异常检测结果,能够自动化地采取多种防护策略,包括阻断恶意流量、限制访问等,并且支持管理员的自定义设置。具有实时监控和数据可视化:数据可视化模块提供实时监控和历史数据查询功能,能够将统计结果和异常行为以图表、报表和日志等方式展示给管理员,帮助管理员及时发现和应对异常事件。具有系统安全性和性能优化:数据可视化模块提供用户权限管理功能,保证系统的安全性,同时提供用户行为分析功能和系统性能监控功能,帮助管理员识别潜在的安全风险和解决系统性能瓶颈。此外,异常事件溯源功能能够帮助管理员分析攻击来源和路径。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
在本实施例中还提供了一种流量的拦截装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的流量的拦截装置的结构框图,如图4所示,该装置包括:
确定模块42,用于基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于所述流量特征确定所述目标网络流量的目标类别,其中,所述目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组所述训练数据中包括的每组所述训练数据包括网络流量以及所述网络流量的类别;
拦截模块44,用于在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,拦截所述目标网络流量。
在一个示例性实施例中,拦截模块44可以用于执行以下至少之一:确定所述目标网络流量中包括的异常流量,确定所述异常流量对应的目标地址,其中,所述目标地址包括发送所述异常流量的源地址,和/或,所述异常流量的待接收地址,封锁所述目标地址;过滤所述目标网络流量中包括的异常流量,将所述目标网络流量中包括的除所述异常流量之外的其他流量发送至所述目标网络流量的待接收地址;确定所述目标网络流量的待接收地址中包括的特定地址,对所述特定地址,执行以下至少之一:减少所述特定地址连接的负载的数量,减小所述特定地址的带宽。
在一个示例性实施例中,所述装置可以用于在基于目标网络模型确定服务器接收到的目标网络流量的流量特征之前,获取多组所述训练数据;将多组所述训练数据中包括的每组训练数据输入到所述初始网络模型中包括的第一初始子网络以及第二初始子网络中,得到所述第一初始子网络输出的第一结果,以及所述第二初始子网络输出的第二结果,其中,所述初始子网络与所述第二初始子网络并行连接;基于所述第一结果以及第二结果得到预测结果;基于所述预测结果以及所述训练数据中包括的标记结果确定所述初始网络模型的损失值;基于所述损失值迭代更新所述初始网络模型的网络参数,得到所述目标网络模型。
在一个示例性实施例中,所述装置可以通过如下方式实现获取多组所述训练数据:收集网络流量数据;确定所述网络流量数据中包括的无效数据以及异常数据;将所述网络流量数据中包括的除所述无效数据以及所述异常数据之外的其他数据确定为所述训练数据。
在一个示例性实施例中,所述装置可以用于在基于所述流量特征确定所述目标网络流量的目标类别之后,将所述目标网络流量以及所述目标类别确定为目标训练数据;将所述目标训练数据添加到多组所述训练数据中。
在一个示例性实施例中,所述装置可以用于实时确定所述服务器的流量监测信息、攻击识别结果以及攻击拦截统计信息;控制目标界面显示所述流量监测信息、所述攻击识别结果以及所述攻击拦截统计信息
在一个示例性实施例中,所述装置还可以用于执行以下至少之一:在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,向目标平台发送告警信息,采集所述服务器的日志信息,将所述日志信息发送给目标平台。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本申请的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本申请的实施例还提供了一种电子设备,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种流量的拦截方法,其特征在于,包括:
基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于所述流量特征确定所述目标网络流量的目标类别,其中,所述目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组所述训练数据中包括的每组所述训练数据包括网络流量以及所述网络流量的类别;
在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,拦截所述目标网络流量。
2.根据权利要求1所述的方法,其特征在于,拦截所述目标网络流量包括以下至少之一:
确定所述目标网络流量中包括的异常流量,确定所述异常流量对应的目标地址,其中,所述目标地址包括发送所述异常流量的源地址,和/或,所述异常流量的待接收地址,封锁所述目标地址;
过滤所述目标网络流量中包括的异常流量,将所述目标网络流量中包括的除所述异常流量之外的其他流量发送至所述目标网络流量的待接收地址;
确定所述目标网络流量的待接收地址中包括的特定地址,对所述特定地址,执行以下至少之一:减少所述特定地址连接的负载的数量,减小所述特定地址的带宽。
3.根据权利要求1所述的方法,其特征在于,在基于目标网络模型确定服务器接收到的目标网络流量的流量特征之前,所述方法还包括:
获取多组所述训练数据;
将多组所述训练数据中包括的每组训练数据输入到所述初始网络模型中包括的第一初始子网络以及第二初始子网络中,得到所述第一初始子网络输出的第一结果,以及所述第二初始子网络输出的第二结果,其中,所述初始子网络与所述第二初始子网络并行连接;
基于所述第一结果以及第二结果得到预测结果;
基于所述预测结果以及所述训练数据中包括的标记结果确定所述初始网络模型的损失值;
基于所述损失值迭代更新所述初始网络模型的网络参数,得到所述目标网络模型。
4.根据权利要求3所述的方法,其特征在于,获取多组所述训练数据包括:
收集网络流量数据;
确定所述网络流量数据中包括的无效数据以及异常数据;
将所述网络流量数据中包括的除所述无效数据以及所述异常数据之外的其他数据确定为所述训练数据。
5.根据权利要求1所述的方法,其特征在于,在基于所述流量特征确定所述目标网络流量的目标类别之后,所述方法还包括:
将所述目标网络流量以及所述目标类别确定为目标训练数据;
将所述目标训练数据添加到多组所述训练数据中。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
实时确定所述服务器的流量监测信息、攻击识别结果以及攻击拦截统计信息;
控制目标界面显示所述流量监测信息、所述攻击识别结果以及所述攻击拦截统计信息。
7.根据权利要求1所述的方法,其特征在于,在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,所述方法还包括以下至少之一:
向目标平台发送告警信息,
采集所述服务器的日志信息,将所述日志信息发送给目标平台。
8.一种流量的拦截装置,其特征在于,包括:
确定模块,用于基于目标网络模型确定服务器接收到的目标网络流量的流量特征,基于所述流量特征确定所述目标网络流量的目标类别,其中,所述目标网络模型为利用多组训练数据对初始网络模型进行训练得到的模型,多组所述训练数据中包括的每组所述训练数据包括网络流量以及所述网络流量的类别;
拦截模块,用于在所述目标类别指示所述目标网络流量为存在目标攻击类别的情况下,拦截所述目标网络流量。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至7任一项中所述的方法的步骤。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现所述权利要求1至7任一项中所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311226240.9A CN117336033A (zh) | 2023-09-21 | 2023-09-21 | 流量的拦截方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311226240.9A CN117336033A (zh) | 2023-09-21 | 2023-09-21 | 流量的拦截方法、装置、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117336033A true CN117336033A (zh) | 2024-01-02 |
Family
ID=89278234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311226240.9A Pending CN117336033A (zh) | 2023-09-21 | 2023-09-21 | 流量的拦截方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117336033A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117579384A (zh) * | 2024-01-16 | 2024-02-20 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
-
2023
- 2023-09-21 CN CN202311226240.9A patent/CN117336033A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117579384A (zh) * | 2024-01-16 | 2024-02-20 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
| CN117579384B (zh) * | 2024-01-16 | 2024-03-29 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN101350745B (zh) | 一种入侵检测方法及装置 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| US20210126931A1 (en) | System and a method for detecting anomalous patterns in a network | |
| CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN114465739A (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| CN109347853B (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
| CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
| CN113660273A (zh) | 超融合架构下基于深度学习的入侵检测方法及装置 | |
| Guo et al. | Behavior Classification based Self-learning Mobile Malware Detection. | |
| CN113660267B (zh) | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| CN112087450B (zh) | 一种异常ip识别方法、系统及计算机设备 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| Siffer et al. | Netspot: A simple Intrusion Detection System with statistical learning | |
| CN111064724B (zh) | 一种基于rbf神经网络的网络入侵检测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |