TWI698102B - 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置 - Google Patents

用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置 Download PDF

Info

Publication number
TWI698102B
TWI698102B TW109100331A TW109100331A TWI698102B TW I698102 B TWI698102 B TW I698102B TW 109100331 A TW109100331 A TW 109100331A TW 109100331 A TW109100331 A TW 109100331A TW I698102 B TWI698102 B TW I698102B
Authority
TW
Taiwan
Prior art keywords
data
threat
dimension
identified
local device
Prior art date
Application number
TW109100331A
Other languages
English (en)
Other versions
TW202127834A (zh
Inventor
黃彥文
蔡宜學
莊淑閔
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW109100331A priority Critical patent/TWI698102B/zh
Priority to CN202010054392.5A priority patent/CN113163406B/zh
Priority to US16/777,865 priority patent/US11368482B2/en
Application granted granted Critical
Publication of TWI698102B publication Critical patent/TWI698102B/zh
Publication of TW202127834A publication Critical patent/TW202127834A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T15/003D [Three Dimensional] image rendering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/19Flow control; Congestion control at layers above the network layer
    • H04L47/193Flow control; Congestion control at layers above the network layer at the transport layer, e.g. TCP related
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/27Evaluation or update of window size, e.g. using information derived from acknowledged [ACK] packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/143Denial of service attacks involving systematic or selective dropping of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Graphics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種用於一行動通訊系統之威脅偵測系統,及其中心裝置與本地裝置。威脅偵測系統用以偵測並防禦低速分散式阻斷服務(low and slow distributed denial-of-service;LSDDoS)攻擊。中心裝置位於行動通訊系統之一核心網路,且用以訓練一張量神經網路(Tensor Neural Network;TNN)模型,以生成一威脅分類器。威脅分類器用以供本地裝置辨識複數威脅類型。本地裝置將待辨識資料輸入至威脅分類器,以產生一分類結果。分類結果對應至該等威脅類型其中之一。

Description

用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置
本發明係關於用於一行動通訊系統之威脅偵測系統,及其中心裝置與本地裝置。具體而言,本發明之威脅偵測系統之中心裝置訓練一張量神經網路(TNN)模型,以生成供本地裝置辨識低速分散式阻斷服務(LSDDoS)攻擊類型之一威脅分類器。
隨著無線通訊技術的快速成長,無線通訊的各種應用已充斥於人們的生活中,且人們對於無線通訊的需求亦日益增加。隨著行動通訊系統(例如:4G行動通訊系統、5G行動通訊系統)的佈建,除了現在常見的智慧型手機、平板外,越來越多的電子產品也開始內建通訊功能,例如:目前熱門的窄頻物聯網(Narrowband Internet of Things;NB-IoT)裝置。在此情況下,開始有惡意人士藉由行動通訊系統網路,對特定企業伺服器或行動通訊系統之核心網路中的伺服器進行攻擊,以嘗試癱瘓伺服器或造成伺服器的龐大負擔,使其無法正常運作。
分散式阻斷服務(DDoS)攻擊是一種常見且存在已久的攻擊手法。DDoS攻擊藉由分散式地裝置傳送大量的封包、建立大量的連線或下達多種混亂的指示,以使得伺服器瞬間過於忙碌而被癱瘓。傳統的DDoS 攻擊主要是屬於傳輸層(transmission layer)的攻擊。由於近年來對於傳統的DDoS攻擊的防禦機制已逐漸有成效,因此惡意人士開始轉向使用應用層(application layer)的DDoS攻擊。應用層的DDoS攻擊主要是利用高層協定(例如:超文本傳輸協定(Hypertext Transfer Protocol;HTTP)),以多樣化且複雜性高的方式進行攻擊。
低速分散式阻斷服務(low and slow distributed denial-of-service;LSDDoS)攻擊係屬於應用層的DDoS攻擊的一種。相較於傳統的DDoS攻擊,LSDDoS攻擊的攻擊速度較慢且流量較低,故不容易基於流量被偵測出來,但仍可逐步地耗盡伺服器的資源,最終幾乎被癱瘓。有鑑於此,本領域亟需一種威脅偵測機制,以偵測LSDDoS攻擊並辨識出其攻擊類型,進而做出適當的防禦。
本發明之目的在於提供一種威脅偵測機制,其針對行動通訊系統網路建立一威脅偵測系統,並藉由中心裝置訓練一張量神經網路(TNN)模型,以生成供本地裝置辨識低速分散式阻斷服務(LSDDoS)攻擊類型之一威脅分類器。據此,本發明之威脅偵測機制可偵測LSDDoS攻擊的動態行為並辨識出其攻擊類型,進而做出適當的防禦。
為達上述目的,本發明揭露一種用於一行動通訊系統之威脅偵測系統,其包含一中心裝置及一本地裝置。該中心裝置位於該行動通訊系統之一核心網路,並用以執行下列操作:自一本地裝置接收複數訓練資料,各該訓練資料係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成;將該等訓練資料輸入至一張量神經網路(Tensor Neural Network;TNN)模型,以訓練該張量神經網路模型,並生成一威脅分類器,該威脅分類器用以辨識複數威脅類型;以及將該威脅分類器傳送至一本地裝置。該本地裝置用以執行下列操作:自該中心裝置接收該威脅分類器;擷取每秒封包數量大於該臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料;以及將該待辨識資料輸入至該威脅分類器,以產生一分類結果,該分類結果對應至該等威脅類型其中之一。
此外,本發明更揭露一種用於一行動通訊系統之一威脅偵測系統之中心裝置。該威脅偵測系統包含該中心裝置及一本地裝置。該中心裝置位於該行動通訊系統之一核心網路。該中心裝置包含一網路介面及一處理器。該網路介面用以連接該本地裝置。該處理器電性連接至該網路介面,並用以執行以下操作:透過該網路介面,自該本地裝置接收複數訓練資料,各該訓練資料係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成;將該等訓練資料輸入至一張量神經網路(Tensor Neural Network;TNN)模型,以訓練該張量神經網路模型,並生成一威脅分類器,該威脅分類器用以辨識複數威脅類型;以及透過該網路介面,將該威脅分類器傳送至該本地裝置,以使該中心裝置擷取每秒封包數量大於該臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料,並將該待辨識資料輸入至該威脅分類器,以產生一分類結果,其中,該分類結果對應至該等威脅類型其中之一。
此外,本發明更揭露一種用於一行動通訊系統之一威脅偵測系統之本地裝置。該威脅偵測系統包含一中心裝置及該本地裝置。該中心裝置位於該行動通訊系統之一核心網路。該本地裝置包含一網路介面以及一 處理器。該網路介面用以連接該中心裝置。該處理器,電性連接至該網路介面,並用以執行以下操作:擷取複數訓練資料,各該訓練資料係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成;透過該網路介面,傳送該等訓練資料至該中心裝置,以使該中心裝置將該等訓練資料輸入至一張量神經網路(Tensor Neural Network;TNN)模型,以訓練該張量神經網路模型,並生成一威脅分類器,其中該威脅分類器用以辨識複數威脅類型;透過該網路介面,自該中心裝置接收該威脅分類器;擷取每秒封包數量大於該臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料;以及將該待辨識資料輸入至該威脅分類器,以產生一分類結果,其中,該分類結果對應至該等威脅類型其中之一。
在參閱圖式及隨後描述之實施方式後,此技術領域具有通常知識者便可瞭解本發明之其他目的,以及本發明之技術手段及實施態樣。
1‧‧‧威脅偵測系統
2‧‧‧中心裝置
21‧‧‧網路介面
23‧‧‧處理器
202‧‧‧訓練分類結果
3‧‧‧本地裝置
31‧‧‧網路介面
33‧‧‧處理器
302‧‧‧訓練資料
304‧‧‧待辨識資料
306‧‧‧分類結果
4‧‧‧外部伺服器
501‧‧‧網路開放功能
502‧‧‧網路資料分析功能
503‧‧‧應用功能
504‧‧‧存取與行動管理功能
505‧‧‧會話管理功能
506‧‧‧使用者平面功能
507‧‧‧基地台
508‧‧‧基地台
509‧‧‧使用者裝置
510‧‧‧資料網路
CN‧‧‧核心網路
TM‧‧‧張量神經網路模型
TCR‧‧‧威脅分類器
第1圖係描繪本發明之威脅偵測系統1之示意圖;
第2圖係描繪可用於本發明之威脅偵測系統1之一行動通訊系統網路架構之示意圖;
第3圖係描繪本發明訓練張量神經網路模型TM之實施情境;
第4圖係描繪本發明透過威脅分類器TCR分析待辨識資料304之實施情境;
第5圖係本發明中心裝置2之示意圖;以及
第6圖係本發明本地裝置3之示意圖。
以下將透過實施例來解釋本發明內容,本發明的實施例並非用以限制本發明須在如實施例所述之任何特定的環境、應用或特殊方式方能實施。因此,關於實施例之說明僅為闡釋本發明之目的,而非用以限制本發明。需說明者,以下實施例及圖式中,與本發明非直接相關之元件已省略而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,並非用以限制實際比例。
本發明第一實施例請參考第1-4圖。如第1圖所示,威脅偵測系統1包含中心裝置2及本地裝置3。威脅偵測系統1可用於一行動通訊系統,例如:5G行動通訊系統(但不限於此)。中心裝置2位於行動通訊系統之一核心網路CN。如第2圖所示,核心網路CN可用以提供下列功能:網路開放功能(Network Exposure Function;NEF)501、網路資料分析功能(Network Data Analytics Function;NWDAF)502、應用功能(Application Function;AF)503、存取與行動管理功能(Access and Mobility Management Function;AMF)504、會話管理功能(Session Management Function;SMF)505及使用者平面功能(User Plane Function;UPF)506。
核心網路CN可由一個或多個裝置(例如:伺服器)所組成,以透過硬體或軟體的型態來實現上述該等功能。該等功能彼此可透過特定介面連接(例如:SMF 505與UPF 506間可係透過N4介面連接)。由於所屬技術領域中具有通常知識者可瞭解各功能間之連接介面,故於此不加以贅述。
中心裝置2可為執行網路資料分析功能(NWDAF)502之裝置(但不限於此)。本地裝置3可為執行核心網路CN的其他功能(例如:AMF 504)之裝置,或核心網路CN以外之裝置,例如:基地台(例如:5G行動通訊系統之基地台507(通常稱作gNB)或4G行動通訊系統之基地台508(通常稱作eNB))。使用者裝置(user equipment;UE)509可為一智慧型手機或一NB-IoT裝置(但不限於此)。
如第3圖所示,中心裝置2自本地裝置3接收複數訓練資料302。各訓練資料302係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成。臨界值可與一日平均封包總數量相關聯。該等訓練資料302係由已知威脅類型的流量資料所構成。換言之,系統建立者可藉由多個使用者裝置產生各種LSDDoS攻擊類型的封包(即,模擬攻擊者的動態行為),並經由行動通訊系統網路傳送,以供本地裝置3擷取這些封包的資訊並產生訓練流量資料。隨後,本地裝置3將由該等訓練流量資料所構成的訓練資料302提供給中心裝置2,以供中心裝置2訓練機器學習模型或深度學習模型使用,來產生用於本地裝置3的威脅分類器。
具體而言,本地裝置3在第一時間點判斷每秒封包數量大於臨界值時,開始自該等封包擷取資訊,以產生訓練流量資料,直到本地裝置3判斷在第二時間點之每秒封包數量小於臨界值時,停止自該等封包擷取資訊並停止產生訓練流量資料,並將在第一時間點至第二時間點間所蒐集之訓練流量資料作為一筆訓練資料302。
如同前述,臨界值可與日平均封包總數量相關聯。舉例而言,假設日平均封包總數量為1000萬筆,比例值設定為0.2,因此臨界值可設計為日平均封包總數量乘上比例值,即臨界值為200萬筆。當本地裝置3於15:10:00判斷每秒封包數量大於200萬筆時,則開始自該等封包擷取資訊,以 產生訓練流量資料,並且於15:10:30判斷每秒封包數量小於200萬筆時,停止自該等封包擷取資訊並停止產生訓練流量資料。因此,本地裝置3將自15:10:00至15:10:29期間所蒐集到的訓練流量資料作為一筆訓練資料302,再將該筆訓練資料302傳送至中心裝置2。隨後依循上述操作,本地裝置3可獲得其他每秒封包數量大於臨界值之時間區間的訓練流量資料,以產生其他筆訓練資料302。
隨後,如第4圖所示,中心裝置2獲得該等訓練資料302後,將該等訓練資料302輸入至一張量神經網路(Tensor Neural Network;TNN)模型TM,以產生複數訓練分類結果202,藉以訓練張量神經網路模型TM,並生成一威脅分類器TCR,以及將威脅分類器TCR傳送至本地裝置3,供本地裝置3利用威脅分類器TCR辨識威脅類型。本發明之訓練方式可為監督式(但不限於此),藉以將該等訓練分類結果202分別標示為一種威脅類型。張量神經網路(TNN)模型TM可為基於反向傳播演算法的神經網路模型(但不限於此),且其所運算的資料係以張量表示(例如:以三維座標系統表示)。所屬技術領域中具有通常知識者可瞭解任何可支持張量運算的機器學習模型或深度學習模型皆可作為本發明之張量神經網路(TNN)模型TM,以生成本發明之威脅分類器TCR,故在此不加以贅述。
本地裝置3自中心裝置2接收威脅分類器TCR後,於另一時間區間內擷取每秒封包數量大於臨界值之複數待辨識流量資料,以產生一待辨識資料304,並將待辨識資料304輸入至威脅分類器TCR,以產生一分類結果306。分類結果306對應至該等威脅類型其中之一。
由上述說明可知,本地裝置3主要用於擷取封包資訊及辨識 威脅,而中心裝置2主要用於訓練機器學習模型或深度學習模型(即,TNN模型),以生成符合本地裝置3所需的威脅分類器TCR。
於一實施例中,本地裝置3可紀錄多筆分類結果306,並將該等分類結果306回報至中心裝置2。中心裝置2可根據該等分類結果306,計算威脅分類器TCR之一錯誤率,並更新臨界值,以及因應臨界值被更新,重新訓練張量神經網路模型TM,以更新威脅分類器TCR,並將更新之威脅分類器TCR傳送至本地裝置3。換言之,中心裝置2藉由觀察本地裝置3之威脅分類器TCR的辨識失敗率,以適時地重新訓練張量神經網路模型TM,以生成新的威脅分類器TCR,來提高威脅分類器TCR的辨識成功率。
此外,於其他實施例中,中心裝置2可基於一排程週期重新訓練張量神經網路模型TM,以更新威脅分類器TCR。換言之,中心裝置2可定期地(例如:固定幾週或固定幾個月)更新或新增訓練資料302,以重新訓練張量神經網路模型TM,以生成新的威脅分類器TCR,來提高威脅分類器TCR的辨識成功率。
本發明第二實施例請再次參考第1-4圖。第二實施例為第一實施例之延伸。於本實施例中,該等訓練資料302及待辨識資料304皆為封包資料。詳言之,若該等封包之目的端為核心網路CN以外的裝置,例如:使用者裝置509所產生的封包是經由核心網路CN透過資料網路(data network;DN)510傳送至外部伺服器4,則本地裝置3判斷基於該等封包的資訊所產生的該等訓練資料302及待辨識資料304屬於封包資料。此外,本地裝置3可利用嗅探工具(例如:tcpdump)蒐集各封包的資訊。
針對目的端為外部伺服器4之該等封包,本地裝置3自各封包 中擷取一時間戳記、一來源端網際協定(Internet Protocol;IP)位址、一超文本傳輸協定(Hypertext Transfer Protocol;HTTP)標頭之一保持存活(keep-alive)欄位與一內文長度(content-length)欄位、一傳輸控制協定(Transmission Control Protocol;TCP)之一滑動視窗(sliding window)欄位以及一重發超過時間(retransmission time-out)欄位以獲得一筆訓練流量資料,並以張量結構表示各訓練流量資料。
各訓練流量資料之張量結構係由一三維座標系統所表示。三維座標包含一第一維度、一第二維度及一第三維度。第一維度表示由時間戳記所構成之一第一數值,第二維度表示由來源端IP位址所構成之一第二數值,以及第三維度表示由HTTP標頭之保持存活欄位與內文長度欄位及TCP之滑動視窗欄位與重發超過時間欄位所構成之一第三數值。
隨後,本地裝置3將該等訓練資料302傳送至中心裝置2,由中心裝置2將該等訓練資料302輸入至張量神經網路模型TM,以訓練張量神經網路模型TM,並生成威脅分類器TCR。中心裝置2將威脅分類器TCR傳送至本地裝置3,使本地裝置3利用威脅分類器TCR辨識待辨識資料304之威脅類型。換言之,針對目的端為外部伺服器4之該等封包,本地裝置3自各封包中擷取時間戳記、來源端IP位址、超文本傳輸協定(HTTP)標頭之保持存活(keep-alive)欄位與內文長度(content-length)欄位、傳輸控制協定(TCP)之滑動視窗(sliding window)欄位以及重發超過時間(retransmission time-out)欄位獲得一筆待辨識流量資料,並以張量結構表示待辨識流量資料。最後,本地裝置3基於特定時間區間(即,每秒封包數量大於臨界值之一時間區間)所產生之該等待辨識流量資料,產生待辨識資料304,並將待辨識 資料304輸入至威脅分類器TCR以獲得分類結果306。如同前述,分類結果306對應至該等威脅類型其中之一。
進一步言,封包資料具有負載重及服務單純的特性。舉例而言,該等威脅類型可包含3種封包威脅類型:第一封包威脅類型為「藉由一直傳送不完整的訊息,要求保持持續連線性」,第二封包威脅類型為「藉由要求目的端傳送超長訊息,但來源端每次傳送訊息是短的、間隔時間長且不固定」,以及第三封包威脅類型為「藉由要求設定滑動視窗,佔據較多服務資源」。分類結果306可為一具有3個元素之向量,且3個元素分別表示對應至3種封包威脅類型之機率值。機率值最高者係表示分類結果306所對應之封包威脅類型。
本地裝置3根據分類結果306,判斷待辨識資料304屬於前述3種封包威脅類型時,則進一步地做出適當的防禦。舉例而言,若待辨識資料304呈現來源端一直傳送不完整的訊息(即,不包含\r\n\r\n(0d0a0d0a)的訊息),則分類結果306對應至第一封包威脅類型。在此情況下,本地裝置3可藉由設定一最大允許等待次數為「(1-對應至第一封包威脅類型之機率值)乘上預設等待次數」,且當達到最大允許等待次數時,則中斷連線,以對此封包威脅類型的攻擊進行防禦。
再舉例而言,若待辨識資料304呈現來源端以10-100秒速度發送一個字節,則分類結果306對應至第二封包威脅類型。在此情況下,本地裝置3可藉由設定一最大允許傳送時間為「(1-對應至第二封包威脅類型之機率值)乘上(1+平均傳輸時間)」,以對此封包威脅類型的攻擊進行防禦。
再舉例而言,若待辨識資料304呈現來源端的TCP參數變更 次數頻繁而藉以控制目的端單次發送的資料大小,導致長期佔有資源,則分類結果306對應至第三封包威脅類型。在此情況下,本地裝置3可藉由設定一最大允許滑動視窗大小為「(1-對應至第三封包威脅類型之機率值)乘上(1+平均滑動視窗大小)」,以對此封包威脅類型的攻擊進行防禦。
本發明第三實施例請再次參考第1-4圖。第三實施例亦為第一實施例之延伸。於本實施例中,該等訓練資料302及待辨識資料304皆為佇列資料。詳言之,若該等封包之目的端為核心網路CN中之裝置,例如:執行AMF 504之裝置,則本地裝置3判斷基於該等封包的資訊所產生的該等訓練資料302及待辨識資料304屬於佇列資料。同樣地,本地裝置3可利用嗅探工具(例如:tcpdump)蒐集封包的資訊。
針對目的端為核心網路CN中之裝置之該等封包,本地裝置3自各封包中擷取一時間戳記、一目的端IP位址、一拒絕服務次數、一服務解析時間以及一資源處理時間以獲得一筆訓練資料,並以張量結構表示各訓練資料。同樣地,各訓練資料之張量結構係由三維座標系統所表示。三維座標系統包含第一維度、第二維度及第三維度。不同於第二實施例,於本實施例中,對於佇列資料,第一維度係表示由時間戳記所構成之第一數值,第二維度係表示由目的端IP位址所構成之第二數值,以及第三維度係表示由拒絕服務次數、服務解析時間及資源處理時間所構成之第三數值。
本地裝置3將該等訓練資料302傳送至中心裝置2,由中心裝置2將該等訓練資料302輸入至張量神經網路模型TM,以訓練張量神經網路模型TM,並生成威脅分類器TCR。中心裝置2將威脅分類器TCR傳送至本地裝置3,使本地裝置3利用威脅分類器TCR辨識待辨識資料304之威脅類型。 換言之,針對目的端為核心網路CN中的裝置之該等封包,本地裝置3自各封包中擷取時間戳記、目的端IP位址、拒絕服務次數、服務解析時間以及資源處理時間以獲得一筆待辨識流量資料,並以張量結構表示待辨識流量資料。最後,本地裝置3基於特定時間區間(即,每秒封包數量大於臨界值之一時間區間)所產生之該等待辨識流量資料,產生待辨識資料304,並將待辨識資料304輸入至威脅分類器TCR以獲得分類結果306。如同前述,分類結果306對應至該等威脅類型其中之一。
進一步言,佇列資料具有負載輕及服務複雜的特性。舉例而言,該等威脅類型包含4種佇列威脅類型:第一佇列威脅類型為「透過重傳或回復機制啟動擁塞控制,降低網路吞吐量」,第二佇列威脅類型為「留存過多資料或允許過長封包標頭於暫存或快取區,導致後續連線被拒絕」,第三佇列威脅類型為「應用簡單規則且合法,但內含邏輯炸彈,藉此消耗主機端前後端資源」,以及第四佇列威脅類型為「應用合法但卻複雜規則,藉此消耗前後端解析資訊」。分類結果306可為一具有4個元素之向量,且4個元素分別表示對應至4種佇列威脅類型之機率值。機率值最高者係表示分類結果306所對應之佇列威脅類型。
本地裝置3根據分類結果306,判斷待辨識資料304屬於前述4種佇列威脅類型時,則進一步地做出適當的防禦。舉例而言,若待辨識資料304呈現透過重傳/回復機制啟動擁塞控制,以降低網絡吞吐量,則分類結果306對應至第一佇列威脅類型。在此情況下,本地裝置3可藉由將重發超過時間設定為「(1-對應至第一佇列威脅類型之機率值)乘上(1+預設重發超過時間)」,以對此佇列威脅類型的攻擊進行防禦。
再舉例而言,若待辨識資料304呈現留存過多數據或允許過長封包標頭(header)於暫存區或快取區(cache),導致後續連線被拒,則分類結果306對應至第二佇列威脅類型。在此情況下,本地裝置3可藉由清除暫存數據,以對此佇列威脅類型的攻擊進行防禦。
再舉例而言,若待辨識資料304中存在串接大量獨立指令,建立邏輯炸彈(logic bomb),使目標服務端得到一個無效結果,造成資源損耗,則分類結果306對應至第三佇列威脅類型。在此情況下,本地裝置3可藉由將最大允許回應時間設定為「(1-對應至第三佇列威脅類型之機率值)乘上(1+平均回應時間)」,以對此佇列威脅類型的攻擊進行防禦。
再舉例而言,假設待辨識資料中存在大量合併(JOIN)類型指令(例如:布林函數運算指令)組合進行檢索,使目標服務端之索引資源被大量消耗,則分類結果306對應至第四佇列威脅類型,本地裝置3可藉由將最大允許回應時間設定為「(1-對應至第四佇列威脅類型之機率)乘上(1+平均回應時間)」,以對此佇列威脅類型的攻擊進行防禦。
須說明者,前述第二實施例之三種封包威脅類型及第三實施例之四種佇列威脅類型僅作為舉例說明,以及所屬技術領域中具有通常知識者可基於前述說明瞭解,本發明之威脅偵測系統1可對不同數量種類的封包威脅類型及不同數量種類的佇列威脅類型進行張量神經網路(TNN)模型的訓練,以生成多個不同的分類器TCR。中心裝置2可保存各種分類器TCR,並基於實際需求(威脅類型的改變或環境的改變)更換本地裝置3的分類器TCR或其參數(又稱超參數),以進行符合實際需求的防禦。再者,依據不同本地裝置3所扮演的角色(即,其所具有的功能及能力),各本地裝置3可 設有封包威脅類型的分類器及佇列威脅類型的分類器其中之一,或者同時設有封包威脅類型的分類器及佇列威脅類型的分類器。
本發明第四實施例如第5圖所示,其係為本發明中心裝置2之示意圖。中心裝置2包含一網路介面21以及一處理器23。處理器23電性連接至網路介面21。基於說明簡化之原則,中心裝置2之其它元件,例如:儲存器、殼體、電源模組等與本發明較不相關的元件,皆於圖中省略而未繪示。處理器23可為各種處理器、中央處理單元、微處理器、數位訊號處理器或本發明所屬技術領域中具有通常知識者所知之其他可進行機器學習或深度學習之計算裝置。
對應至第一實施例,網路介面21用以連接本地裝置3。處理器23透過網路介面21,自本地裝置3接收複數訓練資料302。各訓練資料302係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成。處理器23將該等訓練資料302輸入至張量神經網路模型TM,以訓練張量神經網路模型TM,並生成威脅分類器TCR。威脅分類器TCR用以辨識複數威脅類型。處理器23透過網路介面21,將威脅分類器TCR傳送至本地裝置3,以使本地裝置3擷取每秒封包數量大於臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料,並將待辨識資料輸入至威脅分類器TCR,以產生一分類結果306。分類結果306對應至該等威脅類型其中之一。
於一實施例中,臨界值與一日平均封包總數量相關聯。
對應至第二實施例,該等訓練資料302及該待辨識資料304每一者係一封包資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由三維座標系統所表示。三維座標系統包含第一維度、第二維度及第三維 度。第一維度表示由時間戳記所構成之第一數值。第二維度表示由來源端IP位址所構成之第二數值。第三維度表示由超文本傳輸協定(Hypertext Transfer Protocol;HTTP)標頭之保持存活(keep-alive)欄位與內文長度(content-length)欄位及傳輸控制協定(Transmission Control Protocol;TCP)之滑動視窗(sliding window)欄位與重發超過時間(retransmission time-out)欄位所構成之第三數值。
對應至第三實施例,該等訓練資料302及該待辨識資料304每一者係一佇列資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由三維座標系統所表示。三維座標系統包含第一維度、第二維度及第三維度。第一維度表示時間戳記所構成之第一數值。第二維度表示由目的端IP位址所構成之第二數值。第三維度表示由拒絕服務次數、服務解析時間及資源處理時間所構成之第三數值。
本發明第五實施例如第6圖所示,其係為本發明本地裝置3之示意圖。本地裝置3包含一網路介面31以及一處理器33。處理器33電性連接至網路介面31。基於說明簡化之原則,本地裝置3之其它元件,例如:儲存器、殼體、電源模組等與本發明較不相關的元件,皆於圖中省略而未繪示。處理器33可為各種處理器、中央處理單元、微處理器、數位訊號處理器或本發明所屬技術領域中具有通常知識者所知之其他計算裝置。
對應至第一實施例,網路介面31用以連接中心裝置2。處理器33擷取複數訓練資料302。各訓練資料302係由每秒封包數量大於臨界值之時間區間內的複數訓練流量資料所構成。處理器33透過網路介面31,傳送該等訓練資料302至中心裝置2,以使中心裝置2將該等訓練資料302輸入至 張量神經網路(Tensor Neural Network;TNN)模型TM,以訓練張量神經網路模型TM,並生成威脅分類器TCR。威脅分類器TCR用以辨識複數威脅類型。處理器33透過網路介面31,自中心裝置2接收威脅分類器TCR。處理器33擷取每秒封包數量大於臨界值之另一時間區間內之複數待辨識流量資料,以產生待辨識資料304。處理器33將待辨識資料304輸入至威脅分類器TCR,以產生分類結果306。分類結果對應至該等威脅類型其中之一。
於一實施例中,臨界值與日平均封包總數量相關聯。
對應至第二實施例,該等訓練資料302及待辨識資料304每一者係封包資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。三維座標系統包含第一維度、第二維度及第三維度。第一維度表示由時間戳記所構成之第一數值。第二維度表示由來源端IP位址所構成之第二數值。第三維度表示由超文本傳輸協定(Hypertext Transfer Protocol;HTTP)標頭之保持存活(keep-alive)欄位與內文長度(content-length)欄位及傳輸控制協定(Transmission Control Protocol;TCP)之滑動視窗(sliding window)欄位與重發超過時間(retransmission time-out)欄位所構成之第三數值。
對應至第三實施例,該等訓練資料302及待辨識資料304每一者係佇列資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由三維座標系統所表示。三維座標系統包含第一維度、第二維度及第三維度。第一維度表示由時間戳記所構成之第一數值。第二維度表示由目的端IP位址所構成之第二數值。第三維度表示由拒絕服務次數、服務解析時間及資源處理時間所構成之第三數值。
綜上所述,本發明之威脅偵測系統藉由中心裝置訓練張量神經網路模型,以生成供本地裝置辨識核心網路內部及外部不同的低速分散式阻斷服務(LSDDoS)攻擊類型之威脅分類器。據此,本發明之威脅偵測機制可偵測LSDDoS攻擊並辨識出其攻擊類型,進而做出適當的防禦。
上述之實施例僅用來例舉本發明之實施態樣,以及闡釋本發明之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。
1‧‧‧威脅偵測系統
2‧‧‧中心裝置
3‧‧‧本地裝置

Claims (20)

  1. 一種用於一行動通訊系統之威脅偵測系統,包含:
    一中心裝置,位於該行動通訊系統之一核心網路,且用以執行下列操作:
    自一本地裝置接收複數訓練資料,各該訓練資料係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成;
    將該等訓練資料輸入至一張量神經網路(Tensor Neural Network;TNN)模型,以訓練該張量神經網路模型,並生成一威脅分類器,該威脅分類器用以辨識複數威脅類型;以及
    將該威脅分類器傳送至該本地裝置;以及
    該本地裝置,用以執行下列操作:
    自該中心裝置接收該威脅分類器;
    擷取每秒封包數量大於該臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料;以及
    將該待辨識資料輸入至該威脅分類器,以產生一分類結果,該分類結果對應至該等威脅類型其中之一。
  2. 如請求項1所述之威脅偵測系統,其中該等訓練資料及該待辨識資料每一者係一封包資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。
  3. 如請求項2所述之威脅偵測系統,其中該三維座標系統包含一第一維度、一第二維度及一第三維度,該第一維度表示由一時間戳記所構成之一第一數值,該第二維度表示由一來源端網際協定(Internet Protocol;IP)位 址所構成之一第二數值及該第三維度表示由一超文本傳輸協定(Hypertext Transfer Protocol;HTTP)標頭之一保持存活(keep-alive)欄位與一內文長度(content-length)欄位及一傳輸控制協定(Transmission Control Protocol;TCP)之一滑動視窗(sliding window)欄位與一重發超過時間(retransmission time-out)欄位所構成之一第三數值。
  4. 如請求項1所述之威脅偵測系統,其中該等訓練資料及該待辨識資料每一者係一佇列資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。
  5. 如請求項4所述之威脅偵測系統,其中該三維座標系統包含一第一維度、一第二維度及一第三維度,該第一維度表示由一時間戳記所構成之一第一數值,該第二維度表示由一目的端IP位址所構成之一第二數值,以及該第三維度表示由一拒絕服務次數、一服務解析時間及一資源處理時間所構成之一第三數值。
  6. 如請求項1所述之威脅偵測系統,其中該中心裝置更計算該威脅分類器之一錯誤率,以更新該臨界值,以及因應該臨界值被更新,重新訓練該張量神經網路模型,以更新該威脅分類器,並將更新之該威脅分類器傳送至該本地裝置。
  7. 如請求項1所述之威脅偵測系統,其中該中心裝置更基於一排程週期重新訓練該張量神經網路模型,以更新該威脅分類器。
  8. 如請求項1所述之威脅偵測系統,其中該臨界值與一日平均封包總數量相關聯。
  9. 一種用於一行動通訊系統之一威脅偵測系統之中心裝置,該威脅偵測系 統包含該中心裝置及一本地裝置,該中心裝置位於該行動通訊系統之一核心網路,該中心裝置包含:
    一網路介面,用以連接該本地裝置;以及
    一處理器,電性連接至該網路介面,並用以執行以下操作:
    透過該網路介面,自該本地裝置接收複數訓練資料,各該訓練資料係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成;
    將該等訓練資料輸入至一張量神經網路(Tensor Neural Network;TNN)模型,以訓練該張量神經網路模型,並生成一威脅分類器,該威脅分類器用以辨識複數威脅類型;以及
    透過該網路介面,將該威脅分類器傳送至該本地裝置,以使該中心裝置擷取每秒封包數量大於該臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料,並將該待辨識資料輸入至該威脅分類器,以產生一分類結果,其中,該分類結果對應至該等威脅類型其中之一。
  10. 如請求項9所述之中心裝置,其中該等訓練資料及該待辨識資料每一者係一封包資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。
  11. 如請求項10所述之中心裝置,其中該三維座標系統包含一第一維度、一第二維度及一第三維度,該第一維度表示由一時間戳記所構成之一第一數值,該第二維度表示由一來源端IP位址所構成之一第二數值及該第三維度表示由一超文本傳輸協定(Hyper text Transfer Protocol;HTTP)標 頭之一保持存活(keep-alive)欄位與一內文長度(content-length)欄位及一傳輸控制協定(Transmission Control Protocol;TCP)之一滑動視窗(sliding window)欄位與一重發超過時間(retransmission time-out)欄位所構成之一第三數值。
  12. 如請求項9所述之中心裝置,其中該等訓練資料及該待辨識資料每一者係一佇列資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。
  13. 如請求項12所述之中心裝置,其中該三維座標系統包含一第一維度、一第二維度及一第三維度,該第一維度表示一時間戳記所構成之一第一數值,該第二維度表示由一目的端IP位址所構成之一第二數值,以及該第三維度表示由一拒絕服務次數、一服務解析時間及一資源處理時間所構成之一第三數值。
  14. 如請求項9所述之中心裝置,其中該臨界值與一日平均封包總數量相關聯。
  15. 一種用於一行動通訊系統之一威脅偵測系統之本地裝置,該威脅偵測系統包含一中心裝置及該本地裝置,該中心裝置位於該行動通訊系統之一核心網路,該本地裝置包含:
    一網路介面,用以連接該中心裝置;以及
    一處理器,電性連接至該網路介面,並用以執行以下操作:
    擷取複數訓練資料,各該訓練資料係由每秒封包數量大於一臨界值之一時間區間內的複數訓練流量資料所構成;
    透過該網路介面,傳送該等訓練資料至該中心裝置,以使該中 心裝置將該等訓練資料輸入至一張量神經網路(Tensor Neural Network;TNN)模型,以訓練該張量神經網路模型,並生成一威脅分類器,其中該威脅分類器用以辨識複數威脅類型;
    透過該網路介面,自該中心裝置接收該威脅分類器;
    擷取每秒封包數量大於該臨界值之另一時間區間內之複數待辨識流量資料,以產生一待辨識資料;以及
    將該待辨識資料輸入至該威脅分類器,以產生一分類結果,其中,該分類結果對應至該等威脅類型其中之一。
  16. 如請求項15所述之本地裝置,其中該等訓練資料及該待辨識資料每一者係一封包資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。
  17. 如請求項16所述之本地裝置,其中該三維座標系統包含一第一維度、一第二維度及一第三維度,該第一維度表示由一時間戳記所構成之一第一數值,該第二維度表示由一來源端IP位址及該第三維度表示由一超文本傳輸協定(Hypertext Transfer Protocol;HTTP)標頭之一保持存活(keep-alive)欄位與一內文長度(content-length)欄位所構成之一第二數值及一傳輸控制協定(Transmission Control Protocol;TCP)之一滑動視窗(sliding window)欄位與一重發超過時間(retransmission time-out)欄位所構成之一第三數值。
  18. 如請求項15所述之本地裝置,其中該等訓練資料及該待辨識資料每一者係一佇列資料,以及該等訓練流量資料及該等待辨識流量資料每一者係由一三維座標系統所表示。
  19. 如請求項18所述之本地裝置,其中該三維座標系統包含一第一維度、一第二維度及一第三維度,該第一維度表示一時間戳記所構成之一第一數值,該第二維度表示由一目的端IP位址所構成之一第二數值,以及該第三維度表示由一拒絕服務次數、一服務解析時間及一資源處理時間所構成之一第三數值。
  20. 如請求項15所述之本地裝置,其中該臨界值與一日平均封包總數量相關聯。
TW109100331A 2020-01-06 2020-01-06 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置 TWI698102B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW109100331A TWI698102B (zh) 2020-01-06 2020-01-06 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置
CN202010054392.5A CN113163406B (zh) 2020-01-06 2020-01-17 用于移动通信系统的威胁侦测系统及其中心装置与本地装置
US16/777,865 US11368482B2 (en) 2020-01-06 2020-01-30 Threat detection system for mobile communication system, and global device and local device thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109100331A TWI698102B (zh) 2020-01-06 2020-01-06 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置

Publications (2)

Publication Number Publication Date
TWI698102B true TWI698102B (zh) 2020-07-01
TW202127834A TW202127834A (zh) 2021-07-16

Family

ID=72602224

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109100331A TWI698102B (zh) 2020-01-06 2020-01-06 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置

Country Status (3)

Country Link
US (1) US11368482B2 (zh)
CN (1) CN113163406B (zh)
TW (1) TWI698102B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI784753B (zh) * 2021-10-15 2022-11-21 財團法人資訊工業策進會 測試核心網路功能實體之方法、測試設備及非暫態電腦可讀媒體

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102291869B1 (ko) * 2019-12-31 2021-08-19 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
CN114928492B (zh) * 2022-05-20 2023-11-24 北京天融信网络安全技术有限公司 高级持续威胁攻击识别方法、装置和设备
CN115695027A (zh) * 2022-11-04 2023-02-03 中国电子科技集团公司第十五研究所 一种原始网络流威胁检测方法与装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
CN107800727A (zh) * 2017-12-12 2018-03-13 蔡昌菊 一种DDoS检测方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9866426B2 (en) * 2009-11-17 2018-01-09 Hawk Network Defense, Inc. Methods and apparatus for analyzing system events
US9215244B2 (en) * 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
US11888883B2 (en) * 2017-06-14 2024-01-30 International Business Machines Corporation Threat disposition analysis and modeling using supervised machine learning
CN109597043B (zh) * 2018-11-16 2023-05-26 江苏科技大学 基于量子粒子群卷积神经网络的雷达信号识别方法
US20210216928A1 (en) * 2020-01-13 2021-07-15 Johnson Controls Technology Company Systems and methods for dynamic risk analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
CN107800727A (zh) * 2017-12-12 2018-03-13 蔡昌菊 一种DDoS检测方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI784753B (zh) * 2021-10-15 2022-11-21 財團法人資訊工業策進會 測試核心網路功能實體之方法、測試設備及非暫態電腦可讀媒體

Also Published As

Publication number Publication date
US11368482B2 (en) 2022-06-21
TW202127834A (zh) 2021-07-16
CN113163406A (zh) 2021-07-23
US20210211458A1 (en) 2021-07-08
CN113163406B (zh) 2023-10-17

Similar Documents

Publication Publication Date Title
TWI698102B (zh) 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置
Xing et al. Survey on botnet detection techniques: Classification, methods, and evaluation
US10218598B2 (en) Automatic parsing of binary-based application protocols using network traffic
Liu et al. FL-GUARD: A detection and defense system for DDoS attack in SDN
WO2018054342A1 (zh) 一种网络数据流分类的方法及系统
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN111147394B (zh) 一种远程桌面协议流量行为的多级分类检测方法
CN101184000A (zh) 基于报文采样和应用签名的互联网应用流量识别方法
CN113382039B (zh) 一种基于5g移动网络流量分析的应用识别方法和系统
CN106789728A (zh) 一种基于NetFPGA的VoIP流量实时识别方法
Zhao et al. Identifying known and unknown mobile application traffic using a multilevel classifier
CN115499230A (zh) 网络攻击检测方法和装置、设备及存储介质
Pham et al. Lightweight Convolutional Neural Network Based Intrusion Detection System.
Yin et al. Identifying iot devices based on spatial and temporal features from network traffic
Sun et al. Research of the traffic characteristics for the real time online traffic classification
CN114422207A (zh) 基于多模态的c&c通信流量检测方法及装置
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
CN113901334B (zh) 一种基于服务数据矩阵的社交软件用户行为识别方法
Nakamura et al. Malicious host detection by imaging SYN packets and a neural network
CN113055890B (zh) 一种面向移动恶意网页的多设备组合优化的实时检测系统
Zhang et al. SYN Flood Attack Detection and Defense Method Based on Extended Berkeley Packet Filter
Zhu et al. A survey on network traffic identification
Meng et al. TPIPD: A Robust Model for Online VPN Traffic Classification
KR101087761B1 (ko) 스카이프 트래픽 데이터의 분류가 가능한 트래픽 분류 장치 및 방법