CN117614746A - 一种基于历史统计判定偏差行为的交换机防御攻击方法 - Google Patents
一种基于历史统计判定偏差行为的交换机防御攻击方法 Download PDFInfo
- Publication number
- CN117614746A CN117614746A CN202410092781.5A CN202410092781A CN117614746A CN 117614746 A CN117614746 A CN 117614746A CN 202410092781 A CN202410092781 A CN 202410092781A CN 117614746 A CN117614746 A CN 117614746A
- Authority
- CN
- China
- Prior art keywords
- access behavior
- attack
- cluster
- historical
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 191
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000007123 defense Effects 0.000 title description 4
- 238000007621 cluster analysis Methods 0.000 claims description 38
- 238000004458 analytical method Methods 0.000 claims description 5
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000012552 review Methods 0.000 abstract description 2
- 238000007619 statistical method Methods 0.000 abstract description 2
- 238000004364 calculation method Methods 0.000 abstract 1
- 230000009471 action Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 239000010410 layer Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全协议,具体涉及一种基于历史统计判定偏差行为的交换机防御攻击方法;本发明以历史访问行为的特征为依据,对实时访问行为进行考察,如果实时访问行为中出现明显差异的行为,则认为存在攻击风险,可以提高判断效率;通过聚类统计的方法,消除了个别差异化的访问行为造成的判断干扰,提高了对攻击行为的判断准确性;通过聚类后计算差集的方式判断机器攻击,现有技术中机器攻击可以具有一定的规律性,即使随机化的攻击行为也会在聚类统计下表现出预设的攻击特征,通过聚类后的差集计算,可以准确找到历史访问行为中未出现过的规律性访问行为,这样,可以准确高效地判断出机器攻击风险,并报给监管员进行预警或人工复查。
Description
技术领域
本发明涉及网络安全协议,具体涉及一种基于历史统计判定偏差行为的交换机防御攻击方法。
背景技术
交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。
从广义上来看,网络交换机分为两种:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。各厂商划分的尺度并不是完全一致的,一般来讲,企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。另一方面,从应用的规模来看,作为骨干交换机时,支持500个信息点以上大型企业应用的交换机为企业级交换机,支持300个信息点以下中型企业的交换机为部门级交换机,而支持100个信息点以内的交换机为工作组级交换机。
交换机在企业网中占有重要的地位,通常是整个网络的核心所在,这一地位使它成为黑客入侵和病毒肆虐的重点对象。为保障自身网络安全,企业有必要对局域网上的交换机漏洞进行全面了解,以下是赛耐斯总结可利用交换机漏洞的五种攻击手段:
(一)VLAN跳跃攻击:虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN跳跃攻击充分利用了DTP,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布他想成为中继; 真实的交换机收到这个DTP消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。
(二)生成树攻击: 生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。
(三)MAC 表洪水攻击: 交换机的工作方式是,帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此以后通往该MAC地址的信息流将只通过该端口发送出去。如果恶意黑客向CAM发送大批数据包,就会导致交换机开始向各个地方发送大批信息流,从而埋下了隐患,甚至会导致交换机在拒绝服务攻击中崩溃。
(四)ARP攻击: ARP欺骗是一种用于会话劫持攻击中的常见手法。恶意黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。
(五)VTP攻击 :VLAN中继协议是一种管理协议,它可以减少交换环境中的配置数量。恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。
现有技术中,存在针对交换机的防御攻击方法;
公告号为CN112968913B的中国专利公开了一种基于可编程交换机的DDOS防御方法、装置、设备及介质;具体公开了:方法包括:根据待保护服务器的访问流量确定待保护服务器的运行状态;判定待保护服务器为正常状态时,对可编程交换机进行动态训练,记录访问过待保护服务器的第一源IP;判定待保护服务器为疑似异常状态时,若根据预先写入的白名单中的第二源IP和第一源IP,判定出访问待保护服务器的第三源IP为陌生IP流量;若根据报文信息识别出陌生IP流量是DDOS攻击流量,则将DDOS攻击流量的流量包上传至可编程交换机控制面,并发出告警,通过可编程交换机实现了DDOS流量的识别,并及时上报,保证了待保护服务器对正常流量的接收,有效节省用户资源。
公号号为CN106357661B的中国专利公开了一种基于交换机轮换的分布式拒绝服务攻击防御方法;具体公开了:含有1)代理层交换机接收到网络数据包,判断网络流量是否产生异常;2)未产生异常,则根据数据包头部中的下一条地址由隐藏层交换机进行转发;产生异常,则执行“3)”;3)代理层交换机启动交换机轮换引擎处理所有网络流量;4)根据“用户-交换机”连接情况进行攻击者数目似然估计;5)通过交换机轮换过程进行攻击者筛选;6)如果攻击者已被完全筛选隔离出,则轮换过程结束;否则继续执行“5)”。该技术用贪心算法实现“用户-交换机”连接的动态映射,通过多轮轮换隔离出攻击者。
然而,以上述专利为代表的现有技术依然存在以下问题:
1、现有技术是基于访问者身份信息交互进行的攻击风险识别,存在访问者身份信息被伪造或截持,进而穿过访问防御机制的问题。
2、现有技术是基于单层异常行为进行攻击风险的识别,只对DDos等明显异常的攻击行为具备识别能力,对于隐藏式、非暴力式的攻击行为,缺乏可靠且准确的识别能力。
3、现有技术中针对访问行为的识别,存在依赖于人工智能等大数据模型的问题,在模型训练和使用阶段,对硬件的识别算力要求较高,识别效率较低,即时性不佳。
发明内容
为实现本发明的目的,本发明通过以下技术方案实现:一种基于历史统计判定偏差行为的交换机防御攻击方法,包括以下步骤:
S1、构建历史访问行为数据集合;包括:基于调度指令抓取一定既往时间区域的针对目标交换机的所有访问行为,构建历史访问行为数据集合,其中,i为访问者序号,/>为访问者身份信息,/>为访问者的访问行为清单,x为访问行为序号,[X]为访问行为定义域,/>表示访问行为类型,/>表示访问行为发生时刻,/>为访问行为持续时间/>为访问权限申请清单;
S2、构建历史访问行为聚类;对历史访问行为数据集合进行聚类分析,得到历史访问行为特征聚类;
S3、完成历史行为统计、开启实时攻击行为判定;
S4、构建实时访问行为数据集合;对实时访问行为数据集合进行聚类分析,得到实时访问行为特征聚类;
S5、确定访问行为差异聚类,判断机器攻击风险;对单一实时访问行为特征聚类与单一历史访问行为特征聚类进差集运算,判断是否存在机器攻击风险。
进一步的,步骤S2具体包括:
S21、基于访问者身份信息对历史访问行为数据集合进行二元切分,得到针对单一访问者的单一访问行为类型的历史访问行为数据集合/>;
S22、针对单一访问者的单一访问行为类型的历史访问行为数据集合进行聚类分析,得到单一历史访问行为特征聚类;满足:
其中,下标、/>、/>分别表示针对第i个用户的第x种历史访问行为的第1聚类、第2聚类和第n聚类。
进一步的,步骤S4具体包括:
S41、实时访问行为数据抓取;抓取单一访问的单一访问行为类型的实时访问行为数据集合;
S42、实时访问行为聚类;针对单一访问的单一访问行为类型的实时访问行为数据集合进行聚类分析,得到单一实时访问行为特征聚类;满足:
其中,下标、/>、/>分别表示针对第i个用户的第x种实时访问行为的第1聚类、第2聚类和第m聚类;
进一步的,步骤S5具体包括:
S51、差集运算;对单一实时访问行为特征聚类与单一历史访问行为特征聚类进差集运算,得到访问行为特征聚类差集CJ,满足:;
S52、差集分析;判断访问行为特征聚类差集是否为空集:
若访问行为特征聚类差集是空集,即满足:/>;
则判定不存在机器攻击风险;
若访问行为特征聚类差集不是空集,即满足:/>;
则判定存在机器攻击风险,向监管者发出攻击预警。
进一步的,步骤S2中的聚类分析方法为K-means聚类分析。
进一步的,步骤S2中的聚类分析方法为二阶聚类分析。
进一步的,步骤S4中的聚类分析方法为K-means聚类分析。
进一步的,步骤S4中的聚类分析方法为二阶聚类分析。
进一步的,步骤S2与步骤S4中的聚类分析采用相同的聚类分析方法。
本发明的有益效果为:
1、本发明以历史访问行为的特征为依据,对实时访问行为进行考察,如果实时访问行为中出现明显差异的行为,则认为存在攻击风险,可以提高判断效率。
2、本发明对历史访问行为和实时访问行为进行聚类分析,通过聚类统计的方法,消除了个别差异化的访问行为造成的判断干扰,提高了对攻击行为的判断准确性。
3、本发明通过聚类后计算差集的方式判断机器攻击,由于现有技术中,机器攻击可以具有一定的规律性,即使随机化的攻击行为也会在聚类统计下表现出预设的攻击特征,通过聚类后的差集计算,可以准确找到历史访问行为中未出现过的规律性访问行为,这样,可以准确高效地判断出机器攻击风险,并报给监管员进行预警或人工复查。
附图说明
图1为本发明的方法流程示意图。
具体实施方式
为了加深对本发明的理解,下面将结合实施例对本发明做进一步详述,本实施例仅用于解释本发明,并不构成对本发明保护范围的限定。
实施例1
根据图1所示,本实施例提供了一种基于历史统计判定偏差行为的交换机防御攻击方法,包括以下步骤:
S1、构建历史访问行为数据集合;基于调度指令抓取一定既往时间区域的针对目标交换机的所有访问行为,构建历史访问行为数据集合,其中,i为访问者序号,/>为访问者身份信息,/>为访问者的访问行为清单,x为访问行为序号,[X]为访问行为定义域,/>表示访问行为类型,/>表示访问行为发生时刻,/>为访问行为持续时间/>为访问权限申请清单;
S2、构建历史访问行为聚类;包括:
S21、基于访问者身份信息;对历史访问行为数据集合进行二元切分,得到针对单一访问者的单一访问行为类型的历史访问行为数据集合/>;
S22、针对单一访问者的单一访问行为类型的历史访问行为数据集合进行聚类分析,得到单一历史访问行为特征聚类;满足:
其中,下标、/>、/>分别表示针对第i个用户的第x种历史访问行为的第1聚类、第2聚类和第n聚类;
S3、完成历史行为统计、开启实时攻击行为判定;
S4、构建实时访问行为数据集合;
S41、实时访问行为数据抓取;抓取单一访问的单一访问行为类型的实时访问行为数据集合;
S42、实时访问行为聚类;针对单一访问的单一访问行为类型的实时访问行为数据集合进行聚类分析,得到单一实时访问行为特征聚类;满足:
其中,下标、/>、/>分别表示针对第i个用户的第x种实时访问行为的第1聚类、第2聚类和第m聚类;
S5、确定访问行为差异聚类,判断机器攻击风险;包括:
S51、差集运算;对单一实时访问行为特征聚类与单一历史访问行为特征聚类进差集运算,得到访问行为特征聚类差集CJ,满足:
;
S52、差集分析;判断访问行为特征聚类差集是否为空集:
若访问行为特征聚类差集是空集,即满足:/>;
则判定不存在机器攻击风险;
若访问行为特征聚类差集不是空集,即满足:/>;
则判定存在机器攻击风险,向监管者发出攻击预警。
步骤S2中的聚类分析方法为K-means聚类分析或二阶聚类分析。
步骤S4中的聚类分析方法为K-means聚类分析或二阶聚类分析。
实施例2
一种基于历史统计判定偏差行为的交换机防御攻击方法,包括以下步骤:
S1、构建历史访问行为数据集合;基于调度指令抓取一定既往时间区域的针对目标交换机的所有访问行为,构建历史访问行为数据集合,其中,i为访问者序号,/>为访问者身份信息,/>为访问者的访问行为清单,x为访问行为序号,[X]为访问行为定义域,/>表示访问行为类型,/>表示访问行为发生时刻,/>为访问行为持续时间/>为访问权限申请清单;
S2、构建历史访问行为聚类;包括:
S21、基于访问者身份信息对历史访问行为数据集合进行二元切分,得到针对单一访问者的单一访问行为类型的历史访问行为数据集合/>;
S22、针对单一访问者的单一访问行为类型的历史访问行为数据集合进行聚类分析,得到单一历史访问行为特征聚类;满足:
其中,下标、/>、/>分别表示针对第i个用户的第x种历史访问行为的第1聚类、第2聚类和第n聚类;
S3、完成历史行为统计、开启实时攻击行为判定;
S4、构建实时访问行为数据集合;
S41、实时访问行为数据抓取;抓取单一访问的单一访问行为类型的实时访问行为数据集合;
S42、实时访问行为聚类;针对单一访问的单一访问行为类型的实时访问行为数据集合进行聚类分析,得到单一实时访问行为特征聚类;满足:
其中,下标、/>、/>分别表示针对第i个用户的第x种实时访问行为的第1聚类、第2聚类和第m聚类;
针对有权限的访问者张三,识别其身份信息,记录有权限的访问者张三的访问行为清单/>,包括:;表示有权限的访问者张三在2022年1月1日09时03分执行了“查询注册表”的行为,该行为持续13分钟,并申请了“下载注册表”的权限;/>;表示有权限的访问者张三在2022年1月2日09时05分执行了“查询注册表”的行为,该行为持续9分钟,并申请了“下载注册表”的权限;;表示有权限的访问者张三在2022年1月3日09时01分执行了“查询注册表”的行为,该行为持续11分钟,并申请了“下载注册表”的权限;;表示有权限的访问者张三在2022年1月4日09时02分执行了“查询注册表”的行为,该行为持续5分钟,并申请了“下载注册表”的权限;
张三的行为等等参数如上类似。
对上述行为进行聚类可以看出,张三作为有权限的访问者,其工作内容是在早晨上班时访问注册表,审阅后并下载注册表,这就完成了对有权限的访问者张三的行为画像。
此时,系统记录到一条访问行为数据:;;
表示某个身份信息为“张三”的访客,在2022年1月5日15时46分执行了“查询注册表”的行为,该行为持续53分钟,并申请了“下载注册表”的权限;
该行为偏离了真实张三的行为模型,因此需要进行预警。
S5、确定访问行为差异聚类,判断机器攻击风险;包括:
S51、差集运算;对单一实时访问行为特征聚类与单一历史访问行为特征聚类进差集运算,得到访问行为特征聚类差集CJ,满足:;
S52、差集分析;判断访问行为特征聚类差集是否为空集:
若访问行为特征聚类差集是空集,即满足:/>;
则判定不存在机器攻击风险;
若访问行为特征聚类差集不是空集,即满足:/>;
则判定存在机器攻击风险,向监管者发出攻击预警。
进一步解释,如果攻击者是利用行为模拟算法记录了张三的行为特征,例如时间间隔等,进而模拟真人的行为特征,可以基于上述差集算法进行判断。
以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (9)
1.一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于,包括以下步骤:
S1、构建历史访问行为数据集合;包括:基于调度指令抓取一定既往时间区域的针对目标交换机的所有访问行为,构建历史访问行为数据集合,其中,i为访问者序号,/>为访问者身份信息,/>为访问者的访问行为清单,x为访问行为序号,[X]为访问行为定义域,/>表示访问行为类型,/>表示访问行为发生时刻,/>为访问行为持续时间/>为访问权限申请清单;
S2、构建历史访问行为聚类;对历史访问行为数据集合进行聚类分析,得到历史访问行为特征聚类;
S3、完成历史行为统计、开启实时攻击行为判定;
S4、构建实时访问行为数据集合;对实时访问行为数据集合进行聚类分析,得到实时访问行为特征聚类;
S5、确定访问行为差异聚类,判断机器攻击风险;对单一实时访问行为特征聚类与单一历史访问行为特征聚类进差集运算,判断是否存在机器攻击风险。
2.根据权利要求1所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S2具体包括:
S21、基于访问者身份信息对历史访问行为数据集合进行二元切分,得到针对单一访问者的单一访问行为类型的历史访问行为数据集合/>;
S22、针对单一访问者的单一访问行为类型的历史访问行为数据集合进行聚类分析,得到单一历史访问行为特征聚类;满足:
;其中,下标/>、/>、/>分别表示针对第i个用户的第x种历史访问行为的第1聚类、第2聚类和第n聚类。
3.根据权利要求1或2所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S4具体包括:
S41、实时访问行为数据抓取;抓取单一访问的单一访问行为类型的实时访问行为数据集合;
S42、实时访问行为聚类;针对单一访问的单一访问行为类型的实时访问行为数据集合进行聚类分析,得到单一实时访问行为特征聚类;满足:
;其中,下标/>、/>、/>分别表示针对第i个用户的第x种实时访问行为的第1聚类、第2聚类和第m聚类。
4.根据权利要求3所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S5具体包括:
S51、差集运算;对单一实时访问行为特征聚类与单一历史访问行为特征聚类进差集运算,得到访问行为特征聚类差集CJ,满足:;
S52、差集分析;判断访问行为特征聚类差集是否为空集:
若访问行为特征聚类差集是空集,即满足:/>;
则判定不存在机器攻击风险;
若访问行为特征聚类差集不是空集,即满足:/>;
则判定存在机器攻击风险,向监管者发出攻击预警。
5.根据权利要求4所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S2中的聚类分析方法为K-means聚类分析。
6.根据权利要求4所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S2中的聚类分析方法为二阶聚类分析。
7.根据权利要求4所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S4中的聚类分析方法为K-means聚类分析。
8.根据权利要求4所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S4中的聚类分析方法为二阶聚类分析。
9.根据权利要求7-8任一项所述的一种基于历史统计判定偏差行为的交换机防御攻击方法,其特征在于:步骤S2与步骤S4中的聚类分析采用相同的聚类分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410092781.5A CN117614746B (zh) | 2024-01-23 | 2024-01-23 | 一种基于历史统计判定偏差行为的交换机防御攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410092781.5A CN117614746B (zh) | 2024-01-23 | 2024-01-23 | 一种基于历史统计判定偏差行为的交换机防御攻击方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117614746A true CN117614746A (zh) | 2024-02-27 |
CN117614746B CN117614746B (zh) | 2024-04-05 |
Family
ID=89948309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410092781.5A Active CN117614746B (zh) | 2024-01-23 | 2024-01-23 | 一种基于历史统计判定偏差行为的交换机防御攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117614746B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9166993B1 (en) * | 2013-07-25 | 2015-10-20 | Symantec Corporation | Anomaly detection based on profile history and peer history |
US20160028754A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
US10574700B1 (en) * | 2016-09-30 | 2020-02-25 | Symantec Corporation | Systems and methods for managing computer security of client computing machines |
CN111953665A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 服务器攻击访问识别方法及系统、计算机设备、存储介质 |
CN113312413A (zh) * | 2021-07-29 | 2021-08-27 | 国网浙江省电力有限公司营销服务中心 | 基于电力大数据的企业碳排放异常监测方法 |
US20210409433A1 (en) * | 2020-06-30 | 2021-12-30 | Vmware, Inc. | Network attack identification, defense, and prevention |
US20220217177A1 (en) * | 2021-01-04 | 2022-07-07 | International Business Machines Corporation | Intrusion Management with Threat Type Clustering |
CN114726570A (zh) * | 2021-12-31 | 2022-07-08 | 中国电信股份有限公司 | 一种基于图模型的主机流量异常检测方法及装置 |
CN116089843A (zh) * | 2023-04-10 | 2023-05-09 | 国网浙江省电力有限公司 | 一种基于数据聚类的新能源结算数据异常检测与预警方法 |
CN116668192A (zh) * | 2023-07-26 | 2023-08-29 | 国网山东省电力公司信息通信公司 | 一种网络用户行为异常检测方法及系统 |
CN117014224A (zh) * | 2023-09-12 | 2023-11-07 | 联通(广东)产业互联网有限公司 | 基于高斯过程回归的网络攻击防御方法及系统 |
-
2024
- 2024-01-23 CN CN202410092781.5A patent/CN117614746B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9166993B1 (en) * | 2013-07-25 | 2015-10-20 | Symantec Corporation | Anomaly detection based on profile history and peer history |
US20160028754A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
US10574700B1 (en) * | 2016-09-30 | 2020-02-25 | Symantec Corporation | Systems and methods for managing computer security of client computing machines |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
US20210409433A1 (en) * | 2020-06-30 | 2021-12-30 | Vmware, Inc. | Network attack identification, defense, and prevention |
CN111953665A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 服务器攻击访问识别方法及系统、计算机设备、存储介质 |
US20220217177A1 (en) * | 2021-01-04 | 2022-07-07 | International Business Machines Corporation | Intrusion Management with Threat Type Clustering |
CN113312413A (zh) * | 2021-07-29 | 2021-08-27 | 国网浙江省电力有限公司营销服务中心 | 基于电力大数据的企业碳排放异常监测方法 |
CN114726570A (zh) * | 2021-12-31 | 2022-07-08 | 中国电信股份有限公司 | 一种基于图模型的主机流量异常检测方法及装置 |
CN116089843A (zh) * | 2023-04-10 | 2023-05-09 | 国网浙江省电力有限公司 | 一种基于数据聚类的新能源结算数据异常检测与预警方法 |
CN116668192A (zh) * | 2023-07-26 | 2023-08-29 | 国网山东省电力公司信息通信公司 | 一种网络用户行为异常检测方法及系统 |
CN117014224A (zh) * | 2023-09-12 | 2023-11-07 | 联通(广东)产业互联网有限公司 | 基于高斯过程回归的网络攻击防御方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN117614746B (zh) | 2024-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10505932B2 (en) | Method and system for tracking machines on a network using fuzzy GUID technology | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
US8245300B2 (en) | System and method for ARP anti-spoofing security | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
US7409714B2 (en) | Virtual intrusion detection system and method of using same | |
US20020184362A1 (en) | System and method for extending server security through monitored load management | |
WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
CN117614746B (zh) | 一种基于历史统计判定偏差行为的交换机防御攻击方法 | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
Khirwadkar | Defense against network attacks using game theory | |
CN112134845A (zh) | 一种抗拒绝服务系统 | |
KR101025502B1 (ko) | 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법 | |
Salim et al. | A client/server based mechanism to prevent ARP spoofing attacks | |
CN114124559B (zh) | 一种基于公钥指纹的主机识别方法 | |
Clayton | The limits of traceability | |
US20240146762A1 (en) | Intelligent manipulation of denial-of-service attack traffic | |
RU2704741C2 (ru) | СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА | |
Moldenhauer et al. | Automotive Ethernet Cyberattack Defense in Ground Vehicles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |