KR20180070247A - An efficient method and device for generating network intrusion detection rules - Google Patents

An efficient method and device for generating network intrusion detection rules Download PDF

Info

Publication number
KR20180070247A
KR20180070247A KR1020160172732A KR20160172732A KR20180070247A KR 20180070247 A KR20180070247 A KR 20180070247A KR 1020160172732 A KR1020160172732 A KR 1020160172732A KR 20160172732 A KR20160172732 A KR 20160172732A KR 20180070247 A KR20180070247 A KR 20180070247A
Authority
KR
South Korea
Prior art keywords
intrusion detection
rule
detection rule
attack
network traffic
Prior art date
Application number
KR1020160172732A
Other languages
Korean (ko)
Inventor
박동기
Original Assignee
주식회사 페타바이코리아
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 페타바이코리아 filed Critical 주식회사 페타바이코리아
Priority to KR1020160172732A priority Critical patent/KR20180070247A/en
Priority to PCT/KR2017/014716 priority patent/WO2018110997A1/en
Publication of KR20180070247A publication Critical patent/KR20180070247A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method of calculating, when a set of existing intrusion detection rules, normal network traffic, suspicious network traffic, and a maximum length of an intrusion detection rule are given as an input, similarity between character strings included in the suspicious network traffic, not included in the normal network traffic, and existing intrusion detection rules after filtering the character strings, selecting an intrusion detection rule most similar to a new attack, and providing candidates of an intrusion detection rule against the new attack using the selected intrusion detection rule, in order to automatically generate an intrusion detection rule used in a network intrusion detection system, and the method of generating an intrusion detection rule according to the present invention includes the steps of: selecting a character string suspected as an attack through a character string selection unit using a set of intrusion detection rules, normal network traffic, suspicious network traffic, and a maximum length of a new intrusion detection rule; comparing an existing intrusion detection rule with the character string suspected as an attack through a rule comparison unit; and generating a possible intrusion detection rule from the candidate rules sorted in accordance with similarity through a rule generation unit. The automatically generated intrusion detection rule according to the present invention has an effect of enhancing security performance of an intrusion detection system by rapidly generating an intrusion detection rule against a new attack without wasting time and effort of an expert.

Description

네트워크 침입 탐지 규칙을 생성하는 방법 및 장치{An efficient method and device for generating network intrusion detection rules}METHOD AND APPARATUS FOR GENERATING NETWORK INTRUSION DETECTION RULES [0002]

본 발명은 네트워크 침입 탐지 시스템에서 사용하는 침입 탐지 규칙을 자동으로 생성하기 위하여, 기존의 침입 탐지 규칙의 집합, 정상적인 네트워크 트래픽, 의심이 되는 네트워크 트래픽, 침입 탐지 규칙의 최대 길이가 입력으로 주어졌을 때, 공격일 확률이 높은 부분을 트래픽에서 추출하고, 이 문자열을 기존의 침입 탐지 규칙들에 대해서 유사도를 계산하여, 새로운 공격과 가장 유사한 침입 탐지 규칙을 선정하여 이 규칙을 이용하여 새로운 공격에 대한 칩입 탐지 규칙 후보를 제공하는 방법에 관한 것이다.In order to automatically generate an intrusion detection rule to be used in a network intrusion detection system, the present invention provides an intrusion detection method in which when a set of existing intrusion detection rules, normal network traffic, suspicious network traffic, , Extracts high probability of attack from traffic, calculates similarity for existing intrusion detection rules, selects the most similar intrusion detection rule to the new attack, And a method for providing detection rule candidates.

일반적으로 침입 탐지 시스템은 가능한 공격을 침입 탐지 규칙으로 표현한다.In general, intrusion detection systems represent possible attacks as intrusion detection rules.

침입 탐지 규칙은 공격에 해당하는 네트워크 트래픽을 분리한 후 엄밀한 분석을 통하여 이 공격이 반드시 포함하며, 다른 정상적인 경우에는 나올 수 없는 문자열을 사용하여 이 공격을 탐지한다.Intrusion detection rules detect attacks by separating the network traffic corresponding to the attack and then using strict string analysis to ensure that this attack is included and can not be used in other normal cases.

이러한 분석에는 전문가의 노력과 시간이 들어가기 때문에, 새로운 공격에 대한 침입 탐지 규칙을 생성하는 것은 어려운 일이다.It is difficult to create intrusion detection rules for new attacks because this analysis involves expert effort and time.

일반적으로 네트워크에 대한 공격은 공격 방식에 따라 여러 형태로 분류될 수 있으며, 유사한 형태의 공격들에 대한 침입 탐지 규칙은 유사도가 높다.In general, attacks on the network can be classified into various types according to attack methods, and intrusion detection rules for similar types of attacks are highly similar.

또한, 기존의 공격 방법을 변형하여 현재의 침입 탐지 규칙을 피해갈 수 있도록 하는 형태의 공격 방법이 존재한다.In addition, there exists an attack method in which an existing attack method is modified so that current intrusion detection rules can be avoided.

이러한 탐지 규칙들은 기존의 침입 탐지 규칙으로는 탐지가 되지 않기 때문에, 새로운 공격을 탐지할 수 있는 침입 탐지 규칙이 나오기 전까지는 탐지할 수 있는 방법이 없다.Since these detection rules are not detected by existing intrusion detection rules, there is no way to detect them until an intrusion detection rule is detected that can detect new attacks.

따라서, 빠르게 침입 탐지 규칙을 자동으로 생성하거나, 침입 탐지 규칙을 생성하는데 도움이 될 수 있는 방법 및 장치가 요구된다.Therefore, there is a need for a method and apparatus that can be used to quickly generate intrusion detection rules automatically or to create intrusion detection rules.

본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로,The present invention has been proposed in order to solve the above-mentioned problems,

본 발명에 따른 침입 탐지 규칙 생성의 목적은 주어진 침입 탐지 규칙 집합, 정상적인 네트워크 트래픽, 의심이 되는 네트워크 트래픽, 침입 탐지 규칙의 최대 길이가 주어졌을 때, 의심이 되는 네트워크 트래픽으로부터 특히 공격으로 추정되는 부분을 분리하는 방법을 제공하는데 있다.The purpose of the intrusion detection rule generation according to the present invention is to provide an intrusion detection rule set, a portion estimated to be particularly attacked from a suspicious network traffic when a given intrusion detection rule set, normal network traffic, suspicious network traffic, The method comprising the steps of:

다른 목적은, 분리된 공격 부분으로부터 기존 침입 탐지 규칙과의 유사도를 계산하고, 이 유사도를 기반으로 하여 새로운 공격에 대한 침입 탐지 규칙의 후보를 제공하는 것이다.Another purpose is to calculate the similarity from the existing attack part to the existing intrusion detection rule, and to provide the candidate of the intrusion detection rule for the new attack based on this similarity.

또 다른 목적은, 침입 탐지 규칙과 네트워크 트래픽 간 효율적으로 계산할 수 있는 유사도를 계산하는 방법을 제공하는 것이다.Another objective is to provide a method for calculating the similarity that can be efficiently calculated between intrusion detection rules and network traffic.

본 발명에 따른 침입 탐지 규칙 클러스터링 방법은 침입 탐지 규칙의 집합과 파라미터로 주어진 유사도를 가지고, 유사도가 높은 정규 표현식들의 집합을 구하는 방법에 있어서, 문자열 추출부를 이용하여, 의심이 되는 네트워크 트래픽에서 공격일 확률이 높은 부분을 추출하는 단계, 규칙 비교부를 이용하여, 추출한 공격일 확률이 높은 부분과 기존의 침입 탐지 규칙들간의 유사도를 계산하는 단계, 그리고 규칙 생성부를 통하여 유사도가 높은 규칙 후보들을 선정하고 이를 통하여 새로운 공격에 대한 침입 탐지 규칙을 생성하는 단계를 포함하는 것을 특징으로 한다.A method for clustering an intrusion detection rule according to the present invention is a method for obtaining a set of highly regularized regular expressions having a set of intrusion detection rules and a degree of similarity given as parameters, Extracting the high part, calculating a degree of similarity between the high-probability part of the extracted attack probability and the existing intrusion detection rule using the rule comparator, and selecting a rule candidate with high similarity through the rule generator, And generating an intrusion detection rule for a new attack.

또다른 본 발명에 따른 네트워크 트래픽과 침입 탐지 규칙간 유사도 산출 방법은, 트래픽의 일정한 길이의 부분 문자열을 모두 구한 뒤, 이 문자열들이 침입 탐지 규칙에서 원래 트래픽의 순서를 지키면서 가장 많이 나올 수 있는 횟수로 정의하는 것을 특징으로 한다.A method for calculating the similarity between network traffic and intrusion detection rules according to another embodiment of the present invention is a method for calculating the similarity between network traffic and intrusion detection rules according to the present invention by calculating all the partial strings of a certain length of traffic, .

이상에서 설명한 바와 같이, 본 발명에 따른 자동으로 생성된 침입 탐지 규칙은, 새로운 공격에 대한 침입 탐지 규칙을 전문가의 시간과 노력을 들이지 않고 빠르게 생성하여, 침입 탐지 시스템의 보안 성능을 높이는 효과가 있다.As described above, the automatically generated intrusion detection rule according to the present invention has the effect of increasing the security performance of the intrusion detection system by rapidly generating intrusion detection rules for new attacks without time and effort of an expert .

또한, 침입 탐지 규칙을 생성하는 전문가에게도, 조사의 대상을 줄이며, 침입 탐지 규칙을 작성할 때 참고로 할 수 있는 침입 탐지 규칙의 후보를 제공하여, 네트워크 공격에 대한 연구의 효율을 높이는 효과가 있다.In addition, experts who generate intrusion detection rules can reduce the number of investigations and provide candidates for intrusion detection rules that can be referred to when creating intrusion detection rules, thereby enhancing the efficiency of research on network attacks.

도 1은 본 발명에 따른 침입 탐지 규칙의 자동 생성 방법을 실시하기 위한 구성도,
도 2는 본 발명에 따른 침입 탐지 규칙의 자동 생성 방법에 따른 실시 흐름도.1 is a block diagram of a method for automatically generating an intrusion detection rule according to the present invention.
2 is a flowchart illustrating an automatic generation method of an intrusion detection rule according to the present invention.

이하, 본 발명에 따른 침입 탐지 규칙의 자동 생성 방법을 실시하기 위한 구체적인 내용을 설명하면 다음과 같다.Hereinafter, a method for automatically generating an intrusion detection rule according to the present invention will be described in detail.

[도 1]은 본 발명에 따른 침입 탐지 규칙의 자동 생성 방법을 실시하기 위한 침입 탐지 규칙 생성부(10)의 구성을 나타내는 도면이며, 문자열 추출부(11), 규칙 비교부(12), 규칙 생성부(13)를 포함한다.1 is a block diagram illustrating a configuration of an intrusion detection rule generation unit 10 for performing a method of automatically generating an intrusion detection rule according to the present invention. The intrusion detection rule generation unit 10 includes a character string extraction unit 11, a rule comparison unit 12, And a generating unit 13.

이러한 상기 침입 탐지 규칙 생성부 (10)을 이용하여, 침입 탐지 규칙을 자동으로 생성하는 방법을 설명하면 다음과 같다.A method of automatically generating an intrusion detection rule using the intrusion detection rule generation unit 10 will be described below.

[도 2]는 침입 탐지 규칙의 자동 생성 방법을 실시하는 흐름을 나타내는 도면으로, 먼저 문자열 추출부 (11)을 이용하여 정규 표현식을 표준화된 문자열로 변형한다.FIG. 2 is a flowchart showing an automatic generation method of an intrusion detection rule. First, a regular expression is transformed into a standardized character string using the character string extraction unit 11. FIG.

의심이 되는 네트워크 트래픽과 정상적인 네트워크 트래픽은 헤더 정보에 의하여 각각 해당하는 스트림으로 분류되며, 각 스트림은 입력으로 주어진 침입 탐지 규칙의 최대 길이의 두 배 길이의 부분 문자열로 분리된다.Suspicious network traffic and normal network traffic are classified into corresponding streams according to the header information, and each stream is divided into a substring of two times the maximum length of a given intrusion detection rule as input.

이 때, 트래픽의 특정한 부분은 최대 두 부분 문자열에 포함되는데, 예를 들어 침입 탐지 규칙의 최대 길이가 100이라면, 스트림의 처음 200글자가 첫 번째 부분 문자열, 100번째 글자부터 300번째 글자까지가 두 번째 부분 문자열, 200번째 글자부터 400번째 글자가 세 번째 부분 문자열과 같은 식으로 각 부분 문자열에 침입 탐지 규칙으로 탐지할 수 있는 전체 문자열이 포함될 수 있도록 한다.For example, if the maximum length of an intrusion detection rule is 100, the first 200 characters of the stream are the first substring, the 100th to 300th characters The second substring, the 200th through 400th characters, can contain the entire string that can be detected by the intrusion detection rules in the same manner as the third substring.

의심이 되는 네트워크 트래픽의 부분 문자열 하나하나마다, 파라미터를 하나 정하고 이 파라미터 길이 만큼의 모든 부분 문자열을 구한 뒤, 이 부분 문자열이 정상적인 트래픽에서 나오는지 안나오는지, 나온다면 몇 번 나오는지 횟수를 구한다.For each substring of the suspicious network traffic, one parameter is taken and all substrings equal to this parameter length are searched. Then, the number of times this substring is returned or not is determined from normal traffic.

공격을 기술할 가능성이 높은 부분 문자열은 그 문자열의 부분 문자열이 정상적인 트래픽에서 나올 확률이 적기 때문에, 위에서 구한 횟수를 모든 부분 문자열에 대해서 구한 후 이 빈도수의 역순으로 의심이 되는 네트워크 트래픽의 부분 문자열들을 정렬한다.Since the substrings that are likely to describe the attack are less likely to come from the normal traffic of the string, the above number of times is obtained for all the substrings, and the substrings of suspicious network traffic in the reverse order of this frequency .

예를 들어, 의심이 되는 트래픽이 각각‘aaab’와 ‘aaca’이고 정상적인 네트워크 트래픽이 ‘aacaaa’라고 한다면, 이 문자열들의 길이 2인 부분 문자열을 구하면 각각 aa, aa, ab와 aa, ac, ca인데 전자는 정상적인 네트워크 트래픽에 포함되지 않는 부분 문자열 ab를 가지고 있기 때문에 이 쪽이 보다 공격을 포함하고 있을 확률이 높다고 할 수 있다.For example, if the suspicious traffic is 'aaab' and 'aaca', and the normal network traffic is 'aacaaa', then a substring of length 2 of these strings is aa, aa, ab and aa, ac, ca , The former has a substring ab which is not included in the normal network traffic, so it is more probable that this one contains more attacks.

상기 규칙 비교부(12)는 문자열 추출부에서 얻어낸 공격일 확률이 높은 부분에 대해서, 근본적으로는 위와 유사한 방법을 통하여 기존의 침입 탐지 규칙들과의 유사도를 찾는 과정을 수행한다.The rule comparing unit 12 basically performs a process of finding similarity with existing intrusion detection rules through a method similar to the above, with respect to a portion having a high possibility of attack obtained from the string extracting unit.

침입 탐지 규칙과 문자열간의 유사도를 찾기 위해서는, 문자열의 일정한 길이의 부분 문자열을 모두 고려한 후, 이를 침입 탐지 규칙이 포함하는 문자열과 비교한다.To find the similarity between intrusion detection rules and strings, consider all substrings of a certain length of the string, and compare them with the string contained in the intrusion detection rule.

단순히 부분 문자열들이 침입 탐지 규칙이 포함하는 문자열에 포함되었는가 뿐 아니라, 순서대로 이들이 나오는지 여부를 가지고 유사도를 점검한다.Simply check whether the substrings are included in the string that the intrusion detection rules include, and whether they appear in order.

예를 들어, 공격일 확률이 높은 부분이 ‘aaab’이고, 침입 탐지 규칙이 ‘aa’가 나온 뒤 ‘ac’가 나오는 것, ‘ab’가 나온 후 ‘aa’가 나오는 것, ‘aaa’가 나온 후 ‘ab’가 나오는 것 세 가지가 있다면, 처음 규칙은 aa 하나만 일치하며, 두 번째 규칙은 aa와 ab가 나오지만 순서가 반대이고, 마지막 규칙은 aa와 ab가 순서까지 지키면서 나오기 때문에 가장 유사도가 높다고 할 수 있다.For example, the part where the probability of attack is high is 'aaab', the intrusion detection rule is 'aa', 'ac' is followed, 'aa' is after 'ab' The first rule matches only one aa, the second rule aa and ab, but the order is reversed, and the last rule is to keep aa and ab in order. High.

상기 규칙 생성부(13)는 최종적으로 유사도 순으로 정렬된 침입 탐지 규칙으로부터, 새로운 공격을 기술하는데 적절한 순서대로 규칙을 나열하며, 이를 변형하여 공격을 탐지할 수 있는 규칙을 제공한다.The rule generation unit 13 lists rules from the intrusion detection rules arranged in order of degree of similarity in a proper order to describe a new attack, and provides rules for detecting an attack by modifying the rules.

예를 들어, 상기 예제의 경우 가장 유사도가 높은 규칙은 ‘aaa’가 나온 뒤 ‘ab’가 나오는 것이며, 이 규칙과 공격일 가능성이 높은 문자열을 비교한 결과는 ‘aa’가 나온 뒤 ‘ab’가 나오는 것이 된다.For example, in the above example, the most similar rule is 'aaa' followed by 'ab', and the result of comparing this rule with the most probable string is 'aa' followed by 'ab' .

이상에서 설명한 바와 같이, 본 발명에 따른 침입 탐지 규칙의 자동 생성 방법을 적용하면, 새로운 공격에 대해서 이를 탐지할 수 있는 새로운 침입 탐지 규칙 후보를 생성하는 과정을 신속하게 수행할 수 있다.As described above, by applying the automatic generation method of the intrusion detection rule according to the present invention, it is possible to quickly perform a process of generating a new intrusion detection rule candidate capable of detecting a new attack.

이상 본 발명의 실시예로 설명하였으나 본 발명의 기술적 사상이 상기 실시예로 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 침입 탐지 규칙 생성 방법으로 구현할 수 있다.While the present invention has been described with reference to the exemplary embodiments of the present invention, the technical idea of the present invention is not limited to the above embodiments, and various intrusion detection rule generation methods can be implemented in a category that does not depart from the technical idea of the present invention.

Claims (2)

침입 탐지 시스템에서 기존의 침입 탐지 규칙의 집합, 정상적인 트래픽, 의심이 되는 네트워크 트래픽, 침입 탐지 규칙의 최대 길이에 대하여 공격에 대한 침입 탐지 규칙을 자동으로 생성하는 방법에 있어서,
문자열 표현부를 이용하여, 의심이 되는 네트워크 트래픽에서 공격일 확률이 높은 부분을 추출하는 단계;
규칙 비교부를 이용하여, 공격일 확률이 높은 부분과 기존의 침입 탐지 규칙들 간의 유사도를 공통적인 부분 문자열의 존재 여부 및 이들이 동일한 순서로 등장하는 지 여부를 통하여 구하고, 이를 바탕으로 유사도의 순으로 침입 탐지 규칙을 정렬하는 단계 및
규칙 생성부를 이용하여, 유사도 순으로 정렬된 기존의 침입 탐지 규칙으로부터, 공격에 대한 새로운 침입 탐지 규칙의 후보를 생성하는 것을 특징으로 하는 침입 탐지 규칙의 자동 생성 방법.A method for automatically generating an intrusion detection rule for an attack against a set of existing intrusion detection rules, normal traffic, suspicious network traffic, and maximum length of an intrusion detection rule in an intrusion detection system,
Extracting a portion of the suspected network traffic having a high probability of attack using the string representation unit;
Using the rule comparator, the similarities between the parts with high probability of attack and the existing intrusion detection rules are obtained through the presence of common substrings and whether they appear in the same order. Based on this, Sorting the detection rules and
And generating a new intrusion detection rule candidate for an attack from existing intrusion detection rules arranged in order of degree of similarity using the rule generation unit. 제 1항에 있어서, 침입 탐지 규칙과 공격일 확률이 높은 부분간의 유사도를 부분 문자열이 순서대로 나오는지 여부를 통하여 계산하는 방법.The method of claim 1, wherein the degree of similarity between the intrusion detection rule and the portion with a high probability of attack is calculated based on whether or not the substrings appear in order.
KR1020160172732A 2016-12-16 2016-12-16 An efficient method and device for generating network intrusion detection rules KR20180070247A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160172732A KR20180070247A (en) 2016-12-16 2016-12-16 An efficient method and device for generating network intrusion detection rules
PCT/KR2017/014716 WO2018110997A1 (en) 2016-12-16 2017-12-14 Method and apparatus for generating network intrusion detection rule

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160172732A KR20180070247A (en) 2016-12-16 2016-12-16 An efficient method and device for generating network intrusion detection rules

Publications (1)

Publication Number Publication Date
KR20180070247A true KR20180070247A (en) 2018-06-26

Family

ID=62559696

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160172732A KR20180070247A (en) 2016-12-16 2016-12-16 An efficient method and device for generating network intrusion detection rules

Country Status (2)

Country Link
KR (1) KR20180070247A (en)
WO (1) WO2018110997A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887304A (en) * 2021-01-25 2021-06-01 山东省计算中心(国家超级计算济南中心) WEB application intrusion detection method and system based on character-level neural network

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112003824B (en) * 2020-07-20 2023-04-18 中国银联股份有限公司 Attack detection method and device and computer readable storage medium
CN113489709B (en) * 2021-06-30 2023-06-20 丁牛信息安全科技(江苏)有限公司 Flow detection method and device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US8185955B2 (en) * 2004-11-26 2012-05-22 Telecom Italia S.P.A. Intrusion detection method and system, related network and computer program product therefor
KR101268510B1 (en) * 2011-12-29 2013-06-07 주식회사 시큐아이 Signature detecting device and method
KR101414061B1 (en) * 2013-08-26 2014-07-04 한국전자통신연구원 Apparatus and method for measuring ids rule similarity
US10009372B2 (en) * 2014-07-23 2018-06-26 Petabi, Inc. Method for compressing matching automata through common prefixes in regular expressions

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887304A (en) * 2021-01-25 2021-06-01 山东省计算中心(国家超级计算济南中心) WEB application intrusion detection method and system based on character-level neural network
CN112887304B (en) * 2021-01-25 2022-12-30 山东省计算中心(国家超级计算济南中心) WEB application intrusion detection method and system based on character-level neural network

Also Published As

Publication number Publication date
WO2018110997A1 (en) 2018-06-21

Similar Documents

Publication Publication Date Title
EP4201026B1 (en) Malicious traffic detection with anomaly detection modeling
US9781139B2 (en) Identifying malware communications with DGA generated domains by discriminative learning
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
CN106131071B (en) A kind of Web method for detecting abnormality and device
EP3136249B1 (en) Log analysis device, attack detection device, attack detection method and program
CN107408181B (en) Detection device for malware-infected terminal, detection system for malware-infected terminal, detection method for malware-infected terminal, and recording medium
US20120284793A1 (en) Intrusion detection using mdl clustering
KR20170060280A (en) Apparatus and method for automatically generating rules for malware detection
CN105718795B (en) Malicious code evidence collecting method and system under Linux based on condition code
CN112492059A (en) DGA domain name detection model training method, DGA domain name detection device and storage medium
EP3905084A1 (en) Method and device for detecting malware
Moonsamy et al. Feature reduction to speed up malware classification
CN103324886B (en) A kind of extracting method of fingerprint database in network intrusion detection and system
KR20180070247A (en) An efficient method and device for generating network intrusion detection rules
KR102018443B1 (en) System and method for detecting network intrusion, computer readable medium for performing the method
KR102246405B1 (en) TF-IDF-based Vector Conversion and Data Analysis Apparatus and Method
Radwan Machine learning techniques to detect maliciousness of portable executable files
Rezaei et al. Malware detection using opcodes statistical features
KR101542739B1 (en) Method, appratus and computer-readable recording medium for matching of regular expression
CN111200576A (en) Method for realizing malicious domain name recognition based on machine learning
CN103455754A (en) Regular expression-based malicious search keyword recognition method
KR101863569B1 (en) Method and Apparatus for Classifying Vulnerability Information Based on Machine Learning
Sija et al. Automatic payload signature generation for accurate identification of internet applications and application services
CN112583859A (en) Network attack identification method
US11025650B2 (en) Multi-pattern policy detection system and method

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application