CN117395070A - 一种基于流量特征的异常流量检测方法 - Google Patents
一种基于流量特征的异常流量检测方法 Download PDFInfo
- Publication number
- CN117395070A CN117395070A CN202311530543.XA CN202311530543A CN117395070A CN 117395070 A CN117395070 A CN 117395070A CN 202311530543 A CN202311530543 A CN 202311530543A CN 117395070 A CN117395070 A CN 117395070A
- Authority
- CN
- China
- Prior art keywords
- flow
- abnormal
- destination
- moving average
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 45
- 238000001514 detection method Methods 0.000 title claims abstract description 25
- 230000000875 corresponding effect Effects 0.000 claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 28
- 101100481876 Danio rerio pbk gene Proteins 0.000 claims abstract description 11
- 101100481878 Mus musculus Pbk gene Proteins 0.000 claims abstract description 11
- 230000002596 correlated effect Effects 0.000 claims abstract description 4
- 238000012163 sequencing technique Methods 0.000 claims abstract description 4
- 238000004891 communication Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 3
- 230000002349 favourable effect Effects 0.000 abstract 1
- 238000010801 machine learning Methods 0.000 description 9
- 238000007689 inspection Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及异常流量检测技术领域,公开了一种基于流量特征的异常流量检测方法,首先统计业务服务器单位时间内的业务流量大小,具体包括比特每秒bps和包每秒pps,将业务流量进行流量特征解析,并生成对应的流量特征日志;再对所有业务流量的流量特征进行统计,按照一个固定的时间范围统计维度为源IP和目的IP,统计后使用pattern‑defeating quicksort算法对源IP和目的IP进行排序并取TopK;将流量特征日志与对应的TopK的源IP和目的IP进行关联,将关联的结果生成结果日志;通过移动平均算法或指数加权移动平均算法,使用单位时间内的流量大小数据生成对应的基线。本发明提供更全面的网络安全分析,有助于识别复杂的威胁和攻击,准确性高、可伸缩性大。
Description
技术领域
本发明涉及异常流量检测技术领域,具体为一种基于流量特征的异常流量检测方法。
背景技术
随着互联网的不断发展以及商业活动的蓬勃发展,网络和业务领域也在迅速演化,网络安全领域也正经历着不断演变和挑战,与日俱增的数字化依赖带来了新的威胁和挑战。随着业务系统的流量不断增加,面临网络攻击的风险增大,造成业务系统崩溃、宕机的可能性加大。
现有的对异常流量进行检测的技术包括基于规则的检测:规则引擎使用预定义规则和模式匹配来识别异常流量。这些规则可以捕获已知的攻击特征,例如SQL注入、跨站点脚本(XSS)等。
深度包检测:这种方法分析数据包中的内容,以查找潜在的攻击模式。它通常用于检测应用层攻击,如应用层防火墙。
机器学习:机器学习技术使用历史数据来训练模型,然后根据这些模型来识别异常流量。这可以包括监督学习、无监督学习和深度学习方法。
1.基于规则的检测的缺点:
有限的适用性:深度包基于规则的检测通常侧重于特定的攻击模式或协议规则。这意味着它可能无法有效地应对新兴的威胁或未知的攻击模式。
高误报率:由于规则是基于静态的特征和签名定义的,因此可能会导致高误报率。正常的网络流量变化或新的协议特征可能被错误地标记为异常。
维护成本高:保持规则库的最新状态需要不断的维护工作。每当出现新的攻击或协议变化时,规则必须相应地进行更新。这需要专业知识和时间。
规避攻击:攻击者可以学习和分析深度包基于规则的检测规则,并采取措施规避这些规则,以确保其攻击不被检测到。
性能开销:深度包基于规则的检测需要在每个数据包上执行多个规则的匹配,这可能会对网络性能产生一定的开销,特别是在高流量网络中。
复杂性:维护和管理大规模规则库的复杂性会随着规则数量的增加而增加,这可能会导致管理困难。
局限性:基于规则的检测通常是一种静态方法,无法适应动态网络环境和演化的威胁。它难以适应变化频繁的攻击模式
2.基于深度包检测的缺点:
计算密集性:深度包检测需要分析每个数据包的内容,这对网络流量生成大量的计算需求。这可能需要大量的计算资源,尤其在高流量网络中。
延迟:由于深度包检测涉及分析数据包中的内容,可能会引入一定的延迟。这在需要低延迟的应用中可能不太适用,如实时音视频传输。
隐私问题:深度包检测可以涉及访问和分析通信内容,这引发了一些隐私和法律问题。对用户通信内容的分析可能需要合规性措施。
加密通信问题:对于加密通信,如使用TLS/SSL加密的数据包,深度包检测通常无法解密或分析通信内容。这可能限制了其能力来检测潜在的威胁。
特定协议依赖性:深度包检测通常依赖于深入了解协议规范,以识别异常。如果存在新的或不常见的协议,检测可能会受到限制。
攻击者逃避技术:攻击者可以采取各种技术来规避深度包检测,包括伪装、数据包分段和混淆等方法。
3.基于机器学习检测的缺点:
数据不平衡问题:网络中的异常流量通常比正常流量稀有,这导致了类别不平衡的问题。机器学习算法在面对不平衡数据时可能倾向于将大多数样本归类为正常,从而降低了异常检测的效力。
误报率高:机器学习模型在检测异常时可能会产生误报,即错误地将正常流量标记为异常。这可能导致安全团队需要投入时间和资源来验证警报,增加了负担。
概念漂移:网络环境和攻击者的策略不断变化,这可能导致模型失效。机器学习模型通常需要不断更新以适应新的威胁。
需要大量数据:机器学习模型通常需要大量的训练数据来建立准确的模型。在某些情况下,这可能需要收集并存储大量的流量数据,需要大量的存储和计算资源。
复杂性:机器学习模型通常较复杂,需要专业知识来训练和调优。这可能对网络安全团队提出了额外的技能和资源需求。
解释性:某些机器学习模型的工作原理较为复杂,难以理解和解释。这可能导致难以确定为什么某个流量被标记为异常。
针对上述问题,所以需要一种基于流量特征的异常流量检测方法。
发明内容
本发明的目的在于提供一种基于流量特征的异常流量检测方法。本发明根据流量特征识别的方法适应性强,不依赖于特定规则或已知攻击签名,而是根据实际流量的特征进行分析,因此具有更高的适应性。它可以检测未知的威胁和新型攻击模式。占用计算资源少、实时性高,特征流量提取和分析可以在实时流量中进行,使其适用于实时威胁检测和迅速采取行动以应对潜在威胁的情况。通过分析多种特征,如源/目标IP地址、端口、协议、数据包大小等,可以提供更全面的网络安全分析,有助于识别复杂的威胁和攻击,准确性高、可伸缩性大。
本发明是这样实现的:
本发明提供一种基于流量特征的异常流量检测方法,具体按以下步骤执行:
S1:首先统计业务服务器单位时间内的业务流量大小,具体包括比特每秒bps和包每秒pps,将业务流量进行流量特征解析,并生成对应的流量特征日志;具体包括每个流量包的源IP、目的IP、源端口、目的端口、传输层协议类型、应用层协议类型。
S2:对所有业务流量的流量特征进行统计,按照一个固定的时间范围统计维度为源IP和目的IP,统计后使用pattern-defeating quicksort算法对源IP和目的IP进行排序并取TopK;
S3:将流量特征日志与对应的TopK的源IP和目的IP进行关联,将关联的结果生成结果日志;
S4:通过移动平均算法或指数加权移动平均算法,使用单位时间内的流量大小数据生成对应的基线;移动平均算法或指数加权移动平均算法计算出的Y为对应时间点下的基线,具体步骤如下;
S4.1:如式(1);
其中,t为参照的历史数据的数据集的时间范围,X为在单位时间t按照相同的时间点将数据对齐得到对应的数据集,x1,x2...xn为数据集X同一时间下对应的时间序列的值;m为对齐后每个数据集的大小;
S4.2:将数据集X中的数据通过式(2)得到的Vt则为对应时间点下的基线;
Vt=βVt-1+(1-β)θt 式(2)
其中θt为某一时刻真实值,Vt为某一时刻指数移动平均值,Vt-1为上一时刻指数移动平均值,根据经验确定权重因子β。
S5:根据经验选择简单移动平均算法或指数加权移动平均算法计算出基线数据后,定义阈值范围的下限为a%,上限为b%,根据生成的基线计算具体异常值的范围;设定正常值下限为x*(1-a%),上限为x*(1+b%),即实时数据y满足x*(1-a%)<y<x*(1+b%),实时业务流量数据曲线通过与基线和阈值范围计算后的值进行对比,当在实时的值在阈值区间外则判断流量指标出现异常。
S6:当流量指标出现异常时,查询对应时间段的结果日志,将在对应时间段内TopK的源IP、目的IP的分布方式和通联关系和通过上述算法生成的源IP、目的IP的分布方式和通联关系的基线比较,判断是否为异常流量。
进一步,统计单位时间内的业务流量大小包括各业务服务器中网卡的业务流量,具体通过数据捕获模块完成,步骤S2通过特征解析模块进行流量包的解析,步骤S3-S5通过分析关联模块进行,步骤S6通过异常判别模块进行异常流量判别,通过对结果日志的分析判断是否属于异常流量。
进一步,本发明提供一种计算机可读存储介质,存储介质存储有计算机程序,所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。
与现有技术相比,本发明的有益效果是:
1、根据流量特征识别的方法适应性强,不依赖于特定规则或已知攻击签名,而是根据实际流量的特征进行分析,因此具有更高的适应性。它可以检测未知的威胁和新型攻击模式。占用计算资源少、实时性高,特征流量提取和分析可以在实时流量中进行,使其适用于实时威胁检测和迅速采取行动以应对潜在威胁的情况。通过分析多种特征,如源/目标IP地址、端口、协议、数据包大小等,可以提供更全面的网络安全分析,有助于识别复杂的威胁和攻击,准确性高、可伸缩性大。
附图说明
为了更清楚地说明本发明实施方式的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还根据这些附图获得其他相关的附图。
图1是本发明的整体方法流程图;
图2是本发明的系统模块图。
具体实施方式
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。因此,以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
请参阅图1-2,一种基于流量特征的异常流量检测方法,具体按以下步骤执行:
具体按以下步骤执行:
S1:首先统计业务服务器单位时间内的业务流量大小,具体包括比特每秒bps和包每秒pps,将业务流量进行流量特征解析,并生成对应的流量特征日志;具体包括每个流量包的源IP、目的IP、源端口、目的端口、传输层协议类型、应用层协议类型。
S2:对所有业务流量的流量特征进行统计,按照一个固定的时间范围统计维度为源IP和目的IP,统计后使用pattern-defeating quicksort算法对源IP和目的IP进行排序并取TopK;
S3:将流量特征日志与对应的TopK的源IP和目的IP进行关联,将关联的结果生成结果日志;
S4:通过移动平均算法或指数加权移动平均算法,使用单位时间内的流量大小数据生成对应的基线;移动平均算法或指数加权移动平均算法计算出的Y为对应时间点下的基线具体步骤如下;
S4.1:如式(1);
其中,t为参照的历史数据的数据集的时间范围,X为在单位时间t按照相同的时间点将数据对齐得到对应的数据集,x1,x2...xn为数据集X同一时间下对应的时间序列的值;m为对齐后每个数据集的大小;
S4.2:将数据集X中的数据通过式(2)得到的Vt则为对应时间点下的基线;
Vt=βVt-1+(1-β)θt 式(2)
其中θt为某一时刻真实值,Vt为某一时刻指数移动平均值,Vt-1为上一时刻指数移动平均值,根据经验确定权重因子β。
S5:根据经验选择简单移动平均算法或指数加权移动平均算法计算出基线数据后,定义阈值范围的下限为a%,上限为b%,根据生成的基线计算具体异常值的范围;设定正常值下限为x*(1-a%),上限为x*(1+b%),即实时数据y满足x*(1-a%)<y<x*(1+b%),实时业务流量数据曲线通过与基线和阈值范围计算后的值进行对比,当在实时的值在阈值区间外则判断流量指标出现异常。
S6:当流量指标出现异常时,查询对应时间段的结果日志,将在对应时间段内TopK的源IP、目的IP的分布方式和通联关系和通过上述算法生成的源IP、目的IP的分布方式和通联关系的基线比较,判断是否为异常流量。
本实施例中,统计单位时间内的业务流量大小包括各业务服务器中网卡的业务流量,具体通过数据捕获模块完成,步骤S2通过特征解析模块进行流量包的解析,步骤S3-S5通过分析关联模块进行,步骤S6通过异常判别模块进行异常流量判别,通过对结果日志的分析判断是否属于异常流量。
本实施例中,本发明提供一种计算机可读存储介质,存储介质存储有计算机程序,所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。
以上所述仅为本发明的优选实施方式而已,并不用于限制本发明,对于本领域的技术人员来说,本发明有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于流量特征的异常流量检测方法,其特征在于:具体按以下步骤执行:
S1:首先统计业务服务器单位时间内的业务流量大小,具体包括比特每秒bps和包每秒pps,将业务流量进行流量特征解析,并生成对应的流量特征日志;
S2:对所有业务流量的流量特征进行统计,按照一个固定的时间范围统计维度为源IP和目的IP,统计后使用pattern-defeating quicksort算法对源IP和目的IP进行排序并取TopK;
S3:将流量特征日志与对应的TopK的源IP和目的IP进行关联,将关联的结果生成结果日志;
S4:通过移动平均算法或指数加权移动平均算法,使用单位时间内的流量大小数据生成对应的基线;
S5:根据经验选择简单移动平均算法或指数加权移动平均算法计算出基线数据后,定义阈值范围的下限为a%,上限为b%,根据生成的基线计算具体异常值的范围;
S6:当流量指标出现异常时,查询对应时间段的结果日志,将在对应时间段内TopK的源IP、目的IP的分布方式和通联关系和通过上述算法生成的源IP、目的IP的分布方式和通联关系的基线比较,判断是否为异常流量。
2.根据权利要求1所述的一种基于流量特征的异常流量检测方法,其特征在于,在步骤S1中,将业务流量进行流量特征解析具体解析出每个流量包的源IP、目的IP、源端口、目的端口、传输层协议类型、应用层协议类型。
3.根据权利要求1所述的一种基于流量特征的异常流量检测方法,其特征在于:在步骤S4中,移动平均算法或指数加权移动平均算法计算出的Y为对应时间点下的基线具体步骤如下;
S4.1:如式(1);
其中,t为参照的历史数据的数据集的时间范围,X为在单位时间t按照相同的时间点将数据对齐得到对应的数据集,x1,x2...xn为数据集X同一时间下对应的时间序列的值;m为对齐后每个数据集的大小;
S4.2:将数据集X中的数据通过式(2)得到的Vt则为对应时间点下的基线;
Vt=βVt-1+(1-β)θt 式(2)
其中θt为某一时刻真实值,Vt为某一时刻指数移动平均值,Vt-1为上一时刻指数移动平均值,根据经验确定权重因子β。
4.根据权利要求1所述的一种基于流量特征的异常流量检测方法,其特征在于,在步骤S5中,设定正常值下限为x*(1-a%),上限为x*(1+b%),即实时数据y满足x*(1-a%)<y<x*(1+b%),实时业务流量数据曲线通过与基线和阈值范围计算后的值进行对比,当在实时的值在阈值区间外则判断流量指标出现异常。
5.根据权利要求1所述的一种基于流量特征的异常流量检测方法,其特征在于,在步骤S1中,统计单位时间内的业务流量大小包括各业务服务器中网卡的业务流量,具体通过数据捕获模块完成,步骤S2通过特征解析模块进行流量包的解析,步骤S3-S5通过分析关联模块进行,步骤S6通过异常判别模块进行异常流量判别,通过对结果日志的分析判断是否属于异常流量。
6.一种计算机可读存储介质,存储介质存储有计算机程序,其特征在于,所述计算机程序被主控制器执行时实现如上述权利要求1-5中的任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311530543.XA CN117395070B (zh) | 2023-11-16 | 2023-11-16 | 一种基于流量特征的异常流量检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311530543.XA CN117395070B (zh) | 2023-11-16 | 2023-11-16 | 一种基于流量特征的异常流量检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117395070A true CN117395070A (zh) | 2024-01-12 |
CN117395070B CN117395070B (zh) | 2024-05-03 |
Family
ID=89437360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311530543.XA Active CN117395070B (zh) | 2023-11-16 | 2023-11-16 | 一种基于流量特征的异常流量检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117395070B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1490768A1 (en) * | 2002-03-29 | 2004-12-29 | Global Dataguard, Inc. | Adaptive behavioral intrusion detection systems and methods |
KR20100067387A (ko) * | 2008-12-11 | 2010-06-21 | 한국인터넷진흥원 | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 |
US20110261710A1 (en) * | 2008-09-26 | 2011-10-27 | Nsfocus Information Technology (Beijing) Co., Ltd. | Analysis apparatus and method for abnormal network traffic |
US20120216282A1 (en) * | 2011-02-17 | 2012-08-23 | Sable Networks, Inc. | METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
US20160219067A1 (en) * | 2015-01-28 | 2016-07-28 | Korea Internet & Security Agency | Method of detecting anomalies suspected of attack, based on time series statistics |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
US20170099208A1 (en) * | 2015-10-02 | 2017-04-06 | Futurewei Technologies, Inc. | Methodology to Improve the Anomaly Detection Rate |
CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
CN112073393A (zh) * | 2020-08-27 | 2020-12-11 | 黄天红 | 基于云计算和用户行为分析的流量检测方法及大数据中心 |
CN113079143A (zh) * | 2021-03-24 | 2021-07-06 | 北京锐驰信安技术有限公司 | 一种基于流数据的异常检测方法及系统 |
CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
CN116614277A (zh) * | 2023-05-24 | 2023-08-18 | 中国电子科技集团公司第三十研究所 | 基于机器学习与异常行为分析的网络安全监管系统与方法 |
-
2023
- 2023-11-16 CN CN202311530543.XA patent/CN117395070B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1490768A1 (en) * | 2002-03-29 | 2004-12-29 | Global Dataguard, Inc. | Adaptive behavioral intrusion detection systems and methods |
US20110261710A1 (en) * | 2008-09-26 | 2011-10-27 | Nsfocus Information Technology (Beijing) Co., Ltd. | Analysis apparatus and method for abnormal network traffic |
KR20100067387A (ko) * | 2008-12-11 | 2010-06-21 | 한국인터넷진흥원 | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 |
US20120216282A1 (en) * | 2011-02-17 | 2012-08-23 | Sable Networks, Inc. | METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
US20160219067A1 (en) * | 2015-01-28 | 2016-07-28 | Korea Internet & Security Agency | Method of detecting anomalies suspected of attack, based on time series statistics |
US20170099208A1 (en) * | 2015-10-02 | 2017-04-06 | Futurewei Technologies, Inc. | Methodology to Improve the Anomaly Detection Rate |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
CN112073393A (zh) * | 2020-08-27 | 2020-12-11 | 黄天红 | 基于云计算和用户行为分析的流量检测方法及大数据中心 |
CN113079143A (zh) * | 2021-03-24 | 2021-07-06 | 北京锐驰信安技术有限公司 | 一种基于流数据的异常检测方法及系统 |
CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
CN116614277A (zh) * | 2023-05-24 | 2023-08-18 | 中国电子科技集团公司第三十研究所 | 基于机器学习与异常行为分析的网络安全监管系统与方法 |
Non-Patent Citations (2)
Title |
---|
周颖杰;焦程波;陈慧楠;马力;胡光岷;: "基于流量行为特征的DoS&DDoS攻击检测与异常流识别", 计算机应用, no. 10, 1 October 2013 (2013-10-01) * |
夏彬;白宇轩;殷俊杰;: "基于生成对抗网络的系统日志级异常检测算法", 计算机应用, no. 10, 22 May 2020 (2020-05-22) * |
Also Published As
Publication number | Publication date |
---|---|
CN117395070B (zh) | 2024-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
Chen et al. | Using rough set and support vector machine for network intrusion detection | |
Jeya et al. | Efficient classifier for R2L and U2R attacks | |
Bohara et al. | Intrusion detection in enterprise systems by combining and clustering diverse monitor data | |
US20150052606A1 (en) | Method and a system to detect malicious software | |
Boukhamla et al. | CICIDS2017 dataset: performance improvements and validation as a robust intrusion detection system testbed | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
Hoque et al. | FFSc: a novel measure for low‐rate and high‐rate DDoS attack detection using multivariate data analysis | |
Mathews et al. | A collaborative approach to situational awareness for cybersecurity | |
David et al. | Detection of distributed denial of service attacks based on information theoretic approach in time series models | |
CN116346418A (zh) | 基于联邦学习的DDoS检测方法及装置 | |
Mohan et al. | Complex event processing based hybrid intrusion detection system | |
Sawaya et al. | Detection of attackers in services using anomalous host behavior based on traffic flow statistics | |
He et al. | A novel method to detect encrypted data exfiltration | |
Gangwar et al. | A survey on anomaly and signature based intrusion detection system (IDS) | |
CN117395070B (zh) | 一种基于流量特征的异常流量检测方法 | |
Krivchenkov et al. | Using machine learning for DoS attacks diagnostics | |
Deng et al. | Abnormal traffic detection of IoT terminals based on Bloom filter | |
CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 | |
KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 | |
Raja et al. | Contemporary PCA and NBA based Hybrid Cloud Intrusion Detection System | |
CN112968891B (zh) | 网络攻击防御方法、装置及计算机可读存储介质 | |
CN114338233A (zh) | 基于流量解析的网络攻击检测方法和系统 | |
Vijayalakshmi et al. | An exponent based error detection mechanism against DXDOS attack for improving the security in cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |