CN117411708A - 基于流量特征匹配的攻击检测方法、装置、设备及介质 - Google Patents
基于流量特征匹配的攻击检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN117411708A CN117411708A CN202311489570.7A CN202311489570A CN117411708A CN 117411708 A CN117411708 A CN 117411708A CN 202311489570 A CN202311489570 A CN 202311489570A CN 117411708 A CN117411708 A CN 117411708A
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- feature
- traffic
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims description 24
- 238000004422 calculation algorithm Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 20
- 238000000605 extraction Methods 0.000 claims description 8
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000012549 training Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种基于流量特征匹配的攻击检测方法,包括:采集从网站入站和出站的流量数据;提取流量数据中多维度的流量特征;匹配流量特征与预设的特征库中的特征,得到流量特征的攻击类型,攻击类型与匹配成功的特征存在对应关系;当流量特征与特征库中的特征匹配失败时,将流量特征输入预设的动态攻击模型,识别流量特征的未知攻击类型。本公开还提供了一种基于流量特征匹配的攻击检测装置、设备及存储介质。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种基于流量特征匹配的攻击检测方法、装置、电子设备及介质。
背景技术
随着互联网的快速发展,网站攻击的频率和复杂度不断增加,传统的网络安全防护方法已不能满足对各类攻击的快速识别和防御需求。因此,基于网络流量分析的网站攻击检测方法备受关注。但是,现有的方法往往只依靠单一的特征进行检测,检测准确率有限。本发明旨在提供一种基于多维度特征匹配的网站攻击检测方法,以提高检测准确性和系统的自适应性。
发明内容
鉴于上述问题,本发明提供了一种基于流量特征匹配的攻击检测方法,以解决上述技术问题。
本公开的一个方面提供了一种基于流量特征匹配的攻击检测方法,包括:采集从网站入站和出站的流量数据;提取所述流量数据中多维度的流量特征;匹配所述流量特征与预设的特征库中的特征,得到所述流量特征的攻击类型,所述攻击类型与匹配成功的特征存在对应关系;当所述流量特征与特征库中的特征匹配失败时,将所述流量特征输入预设的动态攻击模型,识别所述流量特征的未知攻击类型。
根据本公开的实施例,所述采集从网站入站和出站的流量数据包括:以端口镜像的方式在将所述网站的流量复制到流量采集服务器上;其中,所述流量采集服务器采用分布式的旁路流量采集方式。
根据本公开的实施例,所述采集从网站入站和出站的流量数据包括:对所述流量数据进行去噪和清洗处理。
根据本公开的实施例,所述匹配所述流量特征与预设的特征库中的特征,得到所述流量特征的攻击类型,所述攻击类型与匹配成功的特征存在对应关系包括:基于预设的预测模型计算所述流量特征与所述特征库中的特征的匹配度;获取匹配度最高的特征对应的攻击类型,将所述攻击类型记为所述流量特征的攻击类型。
根据本公开的实施例,所述方法还包括:评估所述预测模型检测所述攻击类型的准确率;判断所述准确率是否达到预测值;当所述准确率未达到预测值时,重新训练所述预测模型。
根据本公开的实施例,所述当所述流量特征与特征库中的特征匹配失败时,将所述流量特征输入预设的动态攻击模型,识别所述流量特征的未知攻击类型包括:将所述流量特征输入所述动态攻击模型,所述动态攻击模型为K最临近算法模型;基于所述动态攻击模型将所述流量特征进行分类,包括:计算所述流量特征与预设的分类样本之间的距离;将与所述流量特征距离最近的K各分量样本的攻击标签进行融合,得到所述流量特征的未知攻击类型。
根据本公开的实施例,所述多维度的流量特征包括数据包大小、报文频率、传输协议分布、URL特征、用户代理、第三层协议类型、入流量和出流量。
本公开的第二个方面提供了一种基于流量特征匹配的攻击检测装置,包括:流量采集模块,用于采集从网站入站和出站的流量数据;特征提取模块,用于提取所述流量数据中多维度的流量特征;已知攻击识别模块,用于匹配所述流量特征与预设的特征库中的特征,得到所述流量特征的攻击类型,所述攻击类型与匹配成功的特征存在对应关系;未知攻击识别模块,用于当所述流量特征与特征库中的特征匹配失败时,将所述流量特征输入预设的动态攻击模型,识别所述流量特征的未知攻击类型。
本公开的第三个方面提供了一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现第一方面中的任一项所述基于流量特征匹配的攻击检测方法中的各个步骤。
本公开的第四个方面提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现第一方面中的任一项基于流量特征匹配的攻击检测方法中的各个步骤。
在本公开实施例采用的上述至少一个技术方案能够达到以下有益效果:
本公开提供了一种基于流量特征匹配的攻击检测方法,采集网站的入站和出站流量数据,从中提取多种维度的网络流量特征,将流量特征匹配特征库的特征,该流量特征的攻击类型,其中数据库中预存的是已知的攻击类型;当无法通过数据库匹配识别攻击类型时,通过动态攻击模型对未知攻击进行识别和分类。通过双重识别方法,可以提高网络攻击的准确率和检测效率。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了本公开实施例提供的一种基于流量特征匹配的攻击检测方法的示意图;
图2示意性示出了本公开实施例提供的一种基于流量特征匹配的攻击检测装置的结构框图;
图3示意性示出了本公开实施例提供的一种电子设备的结构框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
图1示意性示出了本公开实施例提供的一种基于流量特征匹配的攻击检测方法的示意图。
如图1所示,本公开提供了一种基于流量特征匹配的攻击检测方法,包括S110~S140。
S110,采集从网站入站和出站的流量数据。
在本公开实施例中,以端口镜像的方式在将网站的流量复制到流量采集服务器上。利用采集工具Bro进行检测和收集网络流量信息。先以端口镜像的方式在将网络环境下的流量复制到搭建好的大数据平台的流量采集服务器上,服务器采用分布式的旁路流量采集方式,以均衡服务器间的资源消耗,在构建的大数据平台服务器上安装对应工具完成数据采集工作。之后将数据可存储在数据库中作为待分析的数据。例如,以天为时间单位进行存储数据。
在采集流量数据后,对流量数据进行去噪和清洗等处理。
S120,提取流量数据中多维度的流量特征。
在本实施例中,采集到的所述网络流量数据特征包括:数据包大小、报文频率、传输协议分布、URL特征、用户代理、第三层协议类型、入流量和出流量。具体的,可以采用DPDK技术进行高速采集并进行特征流标注,并采用基于实时流特征的分布式计算框架作为底层平台(Spark)进行数据分析处理。存储数据的方式可包括使用分布式文件系统存储分布式文件(HDFS),分布式数据库存储分析处理后的结果(HBase)。
基于上述采集到的流量特征数据,可实现使用特征匹配算法建立特征库,训练动态攻击模型,并对网络流量的攻击性进行预测。
S130,匹配流量特征与预设的特征库中的特征,得到流量特征的攻击类型,攻击类型与匹配成功的特征存在对应关系。
在本实施例中,预先构建攻击预测模型,用于匹配流量特征和特征库。构建攻击预测模型后,使用大量训练数据训练该预测模型,基于训练结果,调整所述预测模型的参数,以得到优化预测模型;以所述流量数据和网络攻击流量为模型输入数据,通过所述优化预测模型预测攻击流量。
攻击预测模型基于预设的预测模型计算流量特征与特征库中的特征的匹配度,得到匹配度最高的特征。获取匹配度最高的特征对应的攻击类型,将攻击类型记为流量特征的攻击类型。
在实际应用中,可周期性的评估预测模型检测攻击类型的准确率;判断准确率是否达到预测值;当准确率未达到预测值时,重新训练预测模型。若所述准确率满足预设值,则停止训练得到优化预测模型。
在本公开实施例中,以特征匹配算法和深度学习为数据分析基础。使用字符串匹配算法、模式匹配算法和器学习算法构建特征库。其中,字符串匹配算法是对流量数据进行字符串序列匹配,将流量数据中的字符串与已知攻击特征库中的字符串进行匹配,判断是否存在攻击行为。模式匹配算法主要是暴力查找算法(Brute-Force),通过逐个字符比较文本和模式,找到模式在文本中的出现位置。机器学习算法主要是随机森林算法,通过构建多个决策树并通过投票或平均得出最终预测结果。
S140,当流量特征与特征库中的特征匹配失败时,将流量特征输入预设的动态攻击模型,识别流量特征的未知攻击类型。
在本实施例中,预设了动态攻击模型。将流量特征输入动态攻击模型,动态攻击模型为K最临近算法模型;基于动态攻击模型将流量特征进行分类,包括:计算流量特征与预设的分类样本之间的距离;将与流量特征距离最近的K各分量样本的攻击标签进行融合,得到流量特征的未知攻击类型。
动态攻击模型使用KNN算法进行分类、回归预测分析。其中,KNN算法使用多元线性回归模型进行训练,使用交叉验证技术来评估模型的性能。以采集到的流量数据和网络攻击流量对预测模型进行训练,其中,将采集到的流量数据分为训练集和测试集,分配比例为70%和30%。在评估模型的准确率后,若所述准确率未达到预设值,则可以调整预测模型的参数,预测模型的参数具体可包括预测参数、学习速率、训练步数、批处理尺寸等,从而实现对预测模型的再次训练和再次评估,以使预测模型的准确率达到预设值,获得优化后的预测模型。通过优化后的预测模型,预测网络攻击流量。其中,对于预测模型的准确率符合的预设值,本领域的技术人员可根据实际情况进行调整,以满足对流量数据的预测要求。
可选地,所述基于训练结果,调整所述KNN算法的参数K值,以得到优化KNN算法模型。对训练数据进行采样;对采样后的数据采用特征匹配算法建立特征库。在全部训练样本数据结果中,选择合适的K值和距离度量方法。
采用改进后的KNN算法模型,利用bagging算法对数据集进行划分,有放回地随机抽取K个新的训练子集以及袋外数据集。通过利用这些子集,可以构建多个独立的改进KNN模型。在进行预测时,可以将测试样本分别输入这些模型,并收集每个模型的预测结果。最后,通过投票法,将这些预测结果组合起来,得到最终的预测结果。
本公开提供了一种基于流量特征匹配的攻击检测方法,采集网站的入站和出站流量数据,从中提取多种维度的网络流量特征,将流量特征匹配特征库的特征,该流量特征的攻击类型,其中数据库中预存的是已知的攻击类型;当无法通过数据库匹配识别攻击类型时,通过动态攻击模型对未知攻击进行识别和分类。通过双重识别方法,可以提高网络攻击的准确率和检测效率。
图2示意性示出了本公开实施例提供的一种电子设备的结构框图。
如图2所示,本公开实施例提供了一种基于流量特征匹配的攻击检测装置,包括:流量采集模块210、特征提取模块220、已知攻击识别模块230和未知攻击识别模块240。
流量采集模块210用于采集从网站入站和出站的流量数据。
特征提取模块220用于提取流量数据中多维度的流量特征。
已知攻击识别模块230用于匹配流量特征与预设的特征库中的特征,得到流量特征的攻击类型,攻击类型与匹配成功的特征存在对应关系。
未知攻击识别模块240用于当流量特征与特征库中的特征匹配失败时,将流量特征输入预设的动态攻击模型,识别流量特征的未知攻击类型。
可以理解的是,流量采集模块210、特征提取模块220、已知攻击识别模块230和未知攻击识别模块240可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本发明的实施例,流量采集模块210、特征提取模块220、已知攻击识别模块230和未知攻击识别模块240中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以以对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式的适当组合来实现。或者,流量采集模块210、特征提取模块220、已知攻击识别模块230和未知攻击识别模块240中的至少一个可以至少被部分地实现为计算机程序模块,当该程序被计算机运行时,可以执行相应模块的功能。
图3示意性示出了本公开实施例提供的一种电子设备的结构框图。
如图3所示,本实施例中所描述的电子设备,包括:电子设备300包括处理器310、计算机可读存储介质320。该电子设备300可以执行上面参考图1描述的方法,以实现对特定操作的检测。
具体地,处理器310例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器310还可以包括用于缓存用途的板载存储器。处理器310可以是用于执行参考图1描述的根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质320,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质320可以包括计算机程序321,该计算机程序321可以包括代码/计算机可执行指令,其在由处理器310执行时使得处理器310执行例如上面结合图1所描述的方法流程及其任何变形。
计算机程序321可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序321中的代码可以包括一个或多个程序模块,例如包括321A、模块321B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器310执行时,使得处理器310可以执行例如上面结合图1~图2所描述的方法流程及其任何变形。
根据本发明的实施例,流量采集模块210、特征提取模块220、已知攻击识别模块230和未知攻击识别模块240中的至少一个可以实现为参考图3描述的计算机程序模块,其在被处理器310执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种基于流量特征匹配的攻击检测方法,其特征在于,包括:
采集从网站入站和出站的流量数据;
提取所述流量数据中多维度的流量特征;
匹配所述流量特征与预设的特征库中的特征,得到所述流量特征的攻击类型,所述攻击类型与匹配成功的特征存在对应关系;
当所述流量特征与特征库中的特征匹配失败时,将所述流量特征输入预设的动态攻击模型,识别所述流量特征的未知攻击类型。
2.根据权利要求1所述的方法,其特征在于,所述采集从网站入站和出站的流量数据包括:
以端口镜像的方式在将所述网站的流量复制到流量采集服务器上;
其中,所述流量采集服务器采用分布式的旁路流量采集方式。
3.根据权利要求1所述的方法,其特征在于,所述采集从网站入站和出站的流量数据包括:
对所述流量数据进行去噪和清洗处理。
4.根据权利要求1所述的方法,其特征在于,所述匹配所述流量特征与预设的特征库中的特征,得到所述流量特征的攻击类型,所述攻击类型与匹配成功的特征存在对应关系包括:
基于预设的预测模型计算所述流量特征与所述特征库中的特征的匹配度;
获取匹配度最高的特征对应的攻击类型,将所述攻击类型记为所述流量特征的攻击类型。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
评估所述预测模型检测所述攻击类型的准确率;
判断所述准确率是否达到预测值;
当所述准确率未达到预测值时,重新训练所述预测模型。
6.根据权利要求1所述的方法,其特征在于,所述当所述流量特征与特征库中的特征匹配失败时,将所述流量特征输入预设的动态攻击模型,识别所述流量特征的未知攻击类型包括:
将所述流量特征输入所述动态攻击模型,所述动态攻击模型为K最临近算法模型;
基于所述动态攻击模型将所述流量特征进行分类,包括:
计算所述流量特征与预设的分类样本之间的距离;
将与所述流量特征距离最近的K各分量样本的攻击标签进行融合,得到所述流量特征的未知攻击类型。
7.根据权利要求1所述的方法,其特征在于,所述多维度的流量特征包括数据包大小、报文频率、传输协议分布、URL特征、用户代理、第三层协议类型、入流量和出流量。
8.一种基于流量特征匹配的攻击检测装置,其特征在于,包括:
流量采集模块,用于采集从网站入站和出站的流量数据;
特征提取模块,用于提取所述流量数据中多维度的流量特征;
已知攻击识别模块,用于匹配所述流量特征与预设的特征库中的特征,得到所述流量特征的攻击类型,所述攻击类型与匹配成功的特征存在对应关系;
未知攻击识别模块,用于当所述流量特征与特征库中的特征匹配失败时,将所述流量特征输入预设的动态攻击模型,识别所述流量特征的未知攻击类型。
9.一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现权利要求1至7中的任一项所述基于流量特征匹配的攻击检测方法中的各个步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中的任一项基于流量特征匹配的攻击检测方法中的各个步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311489570.7A CN117411708A (zh) | 2023-11-09 | 2023-11-09 | 基于流量特征匹配的攻击检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311489570.7A CN117411708A (zh) | 2023-11-09 | 2023-11-09 | 基于流量特征匹配的攻击检测方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117411708A true CN117411708A (zh) | 2024-01-16 |
Family
ID=89494277
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311489570.7A Pending CN117411708A (zh) | 2023-11-09 | 2023-11-09 | 基于流量特征匹配的攻击检测方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117411708A (zh) |
-
2023
- 2023-11-09 CN CN202311489570.7A patent/CN117411708A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170063893A1 (en) | Learning detector of malicious network traffic from weak labels | |
CN110557382A (zh) | 一种利用域名共现关系的恶意域名检测方法及系统 | |
CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
US10250465B2 (en) | Network traffic monitoring and classification | |
CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
CN106446124B (zh) | 一种基于网络关系图的网站分类方法 | |
CN108334758A (zh) | 一种用户越权行为的检测方法、装置及设备 | |
CN102984161B (zh) | 一种可信网站的识别方法和装置 | |
CN110392013A (zh) | 一种基于网络流量分类的恶意软件识别方法、系统及电子设备 | |
US10419449B1 (en) | Aggregating network sessions into meta-sessions for ranking and classification | |
CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
CN112202718B (zh) | 一种基于XGBoost算法的操作系统识别方法、存储介质及设备 | |
CN113378899A (zh) | 非正常账号识别方法、装置、设备和存储介质 | |
CN115080756A (zh) | 一种面向威胁情报图谱的攻防行为和时空信息抽取方法 | |
CN114338195A (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
CN116662817A (zh) | 物联网设备的资产识别方法及系统 | |
Yujie et al. | End-to-end android malware classification based on pure traffic images | |
CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
Shukla et al. | UInDeSI4. 0: An efficient Unsupervised Intrusion Detection System for network traffic flow in Industry 4.0 ecosystem | |
CN110225009A (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
Sekar et al. | Prediction of distributed denial of service attacks in SDN using machine learning techniques | |
CN112953948A (zh) | 一种实时网络横向蠕虫攻击流量检测方法及装置 | |
CN116318974A (zh) | 站点风险识别方法、装置、计算机可读介质及电子设备 | |
CN116405261A (zh) | 基于深度学习的恶意流量检测方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |