CN106330906B - 一种大数据环境下的DDoS攻击检测方法 - Google Patents

一种大数据环境下的DDoS攻击检测方法 Download PDF

Info

Publication number
CN106330906B
CN106330906B CN201610710937.7A CN201610710937A CN106330906B CN 106330906 B CN106330906 B CN 106330906B CN 201610710937 A CN201610710937 A CN 201610710937A CN 106330906 B CN106330906 B CN 106330906B
Authority
CN
China
Prior art keywords
ddos attack
data
data flow
source
dynamic sampling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610710937.7A
Other languages
English (en)
Other versions
CN106330906A (zh
Inventor
刘罕
韩德志
毕坤
李美静
王军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Maritime University
Original Assignee
Shanghai Maritime University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Maritime University filed Critical Shanghai Maritime University
Priority to CN201610710937.7A priority Critical patent/CN106330906B/zh
Publication of CN106330906A publication Critical patent/CN106330906A/zh
Application granted granted Critical
Publication of CN106330906B publication Critical patent/CN106330906B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种大数据环境下的DDoS攻击检测方法,从采集的各种数据流中提取源IP地址并计算源IP地址的信息熵,如果信息熵大于预设的门限值V,则判定该IP地址对应数据流可能为DDoS攻击流并预警。否则,判定该IP地址对应数据流是正常数据流;用正常数据流训练动态采样的K‑Means模型,并设计基于Spark流处理技术的动态采样的K‑Means并行化算法;用动态采样的K‑Means并行化算法检测已预警的数据流,如果检测结果的准则函数E小于等于预设的门限值d,确定该数据流是DDoS攻击流,则将该源IP列入黑名单并屏蔽该数据流。本发明通过预警检测和异常确认检测,能有效的检测大数据环境下的各种DDoS攻击,保证***的安全性。

Description

一种大数据环境下的DDoS攻击检测方法
技术领域
本发明涉及网络技术领域,具体涉及一种大数据环境下的DDoS攻击检测方法。
背景技术
随着互联网的高速发展,普通用户带宽的普遍升级,家庭用户的带宽已经达到或超过20M。此外,随着3G网络的普及,以及4G网络的逐步推广,移动互联网也进入了一个的蓬勃发展的时期。个人网络带宽的快速增长和不断增加的网络用户,使网络数据呈现***式的趋势增长,人类已进入大数据时代。在大数据环境下,越来越多的公司和企业通过迁移其信息技术基础设施到云服务供应商来降低成本,例如分布式存储的数据中心和各种类型的云计算***等。但是,这些高带宽的网络用户一旦被黑客控制并参与到数据中心或云计算***的DDoS攻击(分布式拒绝服务攻击)时,其影响将无法估量。
DDoS攻击发动时,成百上千的傀儡机向攻击目标发出流量巨大的数据包,攻击者为了隐蔽自己的位置,会为攻击数据包随机生成伪造的源IP地址,或者采用更高级的反射DDoS攻击。此时,服务器端监测到的请求源IP地址数量剧增,分布越发分散;而服务器端提供服务的某些端口则涌入数量庞大的请求流量,此时,服务器端监测到的请求目的IP地址、目的端口分布越发集中。信息熵能反映出***的不确定性程度,还能有效刻画通信中消息的总信息量,通过某种方式计算网络请求的信息熵,可用于对大规模网络流量DDoS攻击进行预警。
根据Spark实时流处理技术原理对DDoS攻击检测算法进行并行化,再融合Spark实时流处理技术,对到达数据中心或云计算等大数据***的数据流进行并行的实时分析和处理,可大大提高DDoS攻击检测的速度和检测精度。
目前,已有的DDoS攻击检测算法和***,采用单机处理方法,耗时巨大,不能满足高带宽、海量用户群的大数据环境的实际需求。在大数据环境下,对超大流量DDoS攻击的高效、及时检测并报警研究未见文献报导,其研究成果有重要的理论意义和重大的经济价值。
发明内容
本发明的目的是提供一种大数据环境下的DDoS攻击检测方法,保障了大数据环境的DDoS攻击检测实时性和可靠性。
为了实现以上目的,本发明是通过以下技术方案实现的:
一种大数据环境下的DDoS攻击检测方法,其特点是,该方法包含如下步骤:
S1,大数据环境下采集各种流数据;
S2,从采集的各种流数据提取源IP地址;
S3,计算源IP地址的信息熵;
S4,判定源IP地址的信息熵是否大于预设的门限值V,如果是,则转步骤S8;若否,则判定该IP地址对应的数据流是正常的数据流,转步骤S5;
S5,用正常的数据流进行K-Means聚类;
S6,动态采样的K-Means模型训练和算法设计;
S7,动态采样的K-Means算法并行化处理;
S8,用并行化处理的动态采样的K-Means算法进行DDoS攻击检测;
S9,计算准则函数E小于等于预设门限值d,如果是,则判定该数据流为正常数据流,转向步骤S1;否则,判定该数据流为异常数据流,转向步骤S10;
S10,DDoS攻击处理。
所述的步骤S3中,信息熵的定义:
X表示信息源符号,它有n种取值:X1…Xi…Xn,分别对应的概率为:P1…Pi…Pn,因为每一种信源符号的出现相互独立,所以,有:
所述的步骤S3具体包括:
S3.1统计△t时间内所有请求中,有n种不同的源IP,每种源IP数记为Xi(i=1,2…n),每一Xi出现的次数为Ni(i=1,2…n);
S3.2分别计算Xi出现的概率Pi
S3.3计算△t内信息熵H(X)
S3.4计算前n-1个△t的信息熵的均值A
S3.5求出阈值V,k为放大系数
V=(Max[H(X)]-A)×k (5)
S3.6计算△t的信息熵值和均值的差值S
S=H(X)-A (6)
S3.7如果(S>V)表示熵值变化巨大,发攻击预警;如果(S≤V)表示熵值在正常变化范围内,数据流正常。
所述的步骤S5具体包含:
S5.1,数据集D为初始样本,其中每个点为n维:dj=(x1,x2,x3…xn),从数据集合D中随机选择k个对象作为初始簇中心,聚类中心集合记为K;
S5.2,计算数据集D中每个点到k个聚类中心的距离,根据最小值,将点分配给对应的类别,聚类中心对应的数据集合记为Ck,采用公式(7)欧氏距离来进行计算;
S5.3,更新簇的聚类中心
S5.4,计算准则函数
S5.5,满足准则函数阈值则退出,否则返回步骤S5.2。
所述的步骤S6中,对动态采样的K-Means算法的定义如下:
定义1:规模函数W(X)定义如式(10)所示,其中D2(X,C)表示X中的点到所处聚类中心的距离平方和;
定义2:动态采样概率函数P(X)定义如式(11)所示;
定义3:初始规模为W,初始采样个数m(m<K)。
所述的动态采样的K-Means算法实现如下:
A)从集合X中随机取1个点加入集合C;
B)根据式(10)计算集合C的初始限定规模函数值,记为W;
C)循环logW=N次开始,按式(11)计算动态采样概率P(X),记为P,从集合X中按概率P取出m个点加入集合C′,求C∪C′,记为C,循环结束;
D)采用K-Means算法求出集合C的聚类中心。
所述的步骤S7为:
根据大数据处理平台Spark运行的原理对设计动态采样的K-Means算法进行并行化,使改进的K-Means算法能在多个虚拟机中同时进行DDoS攻击检测。
所述的DDoS攻击检测为用动态采样的K-Means算法并行化检测已预警的数据流。
所述的已预警的数据流的DDoS攻击检测就是按(9)式计算已预警的数据流的准则函数值E,即通过聚类看已预警的数据流是否被包含在正常数据集中,如果是,则判定该数据流是正常数据流;否则,可判定该数据流是DDoS攻击流,要进行DDoS攻击流处理。
对DDoS攻击流处理方法:将DDoS攻击流对应的源IP地址加入到***的黑名单中,DDoS攻击检测***接收黑名单并更新之前的黑名单,过滤所有加入黑名单的源IP地址发送的数据流。
本发明与现有技术相比,具有以下优点:
1、保障了DDoS攻击检测的可靠性。通过计算数据流的源IP的熵值,对可疑的数据进行预警,再通过采用并行化的动态采样的K-Means算法对可疑的数据流进行二次DDoS攻击检测,充分保证了DDoS攻击检测的精度和可靠性。
2、解决了大数据环境下的并行DDoS攻击检测问题。目前的DDoS攻击检测模型和算法一般适用于单机环境,不适合并行计算环境,通过对普通K-Means算法的并行化,实现了利用云计算***或数据中心的多个虚拟机对海量的数据流并行的DDoS攻击检测。并且,检测的虚拟数可随数据流量的增加而线性增长。
3、充分保证了DDoS检测的实时性。由于采用Spark实时数据流处理技术,所有DDoS攻击检测都并行在多个虚拟机环境的内存中完成,大大加速DDoS攻击的检测速度,解决了大数据环境下高带宽、海量用户的数据流实时检测问题。
附图说明
图1为本发明一种大数据环境下的DDoS攻击检测方法
图2为K-Means算法流程图;
图3为动态采样的K-Means算法流程图;
图4为DDoS检测***的框架图。
具体实施方式
以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
如图1所示,一种大数据环境下的DDoS攻击检测方法,该方法包含如下步骤:
S1,大数据环境下采集各种流数据,即从大数据应用***采集各种流数据;所述大数据应用***,是指有数以万计以上的海量用户、数据量快速增长、数据量已达数PB的应用***;所述的用户,包括已注册用户和非注册用户;
所述各种流数据,包括来自代理服务器的数据流、经过防火墙到达***的数据流和各种POP数据流等;
S2,从采集的各种流数据提取源IP地址;
S3,计算源IP地址的信息熵;
S4,判定源IP地址的信息熵是否大于预设的门限值V,如果是,则判定该源IP地址对应的数据流可能是DDoS攻击流,转步骤S8;若否,则判定该IP地址对应的数据流是正常的数据流,转步骤S5;
所述的预设门限值V为源IP预警检测结果被接受的熵值最高标准
S5,用正常的数据流进行K-Means聚类;
S6,动态采样的K-Means模型训练和算法设计;
S7,动态采样的K-Means算法并行化处理;
S8,用并行化处理的动态采样的K-Means算法进行DDoS攻击检测;
S9,计算准则函数E小于等于预设门限值d,如果是,则判定该数据流为正常数据流,转向步骤S1;否则,判定该数据流为异常数据流,转向步骤S10;
所述的预设门限值d是正常数据流可接受的最小准则函数值;
S10,DDoS攻击处理。
上述的步骤S3中,信息熵的定义:
X表示信息源符号,它有n种取值:X1…Xi…Xn,分别对应的概率为:P1…Pi…Pn,因为每一种信源符号的出现相互独立,所以,有:
上述的步骤S3具体包括:
S3.1统计△t时间内所有请求中,有n种不同的源IP,每种源IP数记为Xi(i=1,2…n),每一Xi出现的次数为Ni(i=1,2…n);
S3.2分别计算Xi出现的概率Pi
S3.3计算△t内信息熵H(X)
S3.4计算前n-1个△t的信息熵的均值A
S3.5求出阈值V,k为放大系数
V=(Max[H(X)]-A)×k (5)
S3.6计算△t的信息熵值和均值的差值S
S=H(X)-A (6)
S3.7如果(S>V)表示熵值变化巨大,数据流可能是DDoS攻击流,发攻击预警;如果(S≤V)表示熵值在正常变化范围内,数据流正常。
如图2所述,所述的步骤S5具体包含:
输入:K,D(初始样本数据)
输出:K个聚类中心
S5.1,数据集D为初始样本,其中每个点为n维:dj=(x1,x2,x3…xn),从数据集合D中随机选择k个对象作为初始簇中心,聚类中心集合记为K;
S5.2,计算数据集D中每个点到k个聚类中心的距离,根据最小值,将点分配给对应的类别,聚类中心对应的数据集合记为Ck,采用公式(7)欧氏距离来进行计算;
S5.3,更新簇的聚类中心
S5.4,计算准则函数
S5.5,满足准则函数阈值则退出,否则返回步骤S5.2。
所述的步骤S6中,对动态采样的K-Means算法的定义如下:
定义1:规模函数W(X)定义如式(10)所示,其中D2(X,C)表示X中的点到所处聚类中心的距离平方和;
定义2:动态采样概率函数P(X)定义如式(11)所示;
定义3:初始规模为W,初始采样个数m(m<K)。
参见图3,上述的动态采样的K-Means算法实现如下:
输入:数据集,K
输出:K个聚类中心
A)从集合X中随机取1个点加入集合C;
B)根据式(10)计算集合C的初始限定规模函数值,记为W;
C)循环logW=N次开始,按式(11)计算动态采样概率P(X),记为P,从集合X中按概率P取出m个点加入集合C′,求C∪C′,记为C,循环结束;
D)采用普通K-Means算法求出集合C的聚类中心。
上述的步骤S7为:根据大数据处理平台Spark运行的原理对设计动态采样的K-Means算法进行并行化,使改进的K-Means算法能在多个虚拟机中同时进行DDoS攻击检测。
上述的DDoS攻击检测为用动态采样的K-Means算法并行化检测已预警的数据流。
上述的已预警的数据流的DDoS攻击检测就是按(9)式计算已预警的数据流的准则函数值E,即通过聚类看已预警的数据流是否被包含在正常数据集中,如果是,则判定该数据流是正常数据流;否则,可判定该数据流是DDoS攻击流,要进行DDoS攻击流处理。
对DDoS攻击流处理方法:将DDoS攻击流对应的源IP地址加入到***的黑名单中,DDoS攻击检测***接收黑名单并更新之前的黑名单,过滤所有加入黑名单的源IP地址发送的数据流。
图4是一个具体的DDoS攻击检测***的框架图,***由攻击预警模块、流量预处理模块、检测模块和攻击响应模块组成。攻击预警模块中嵌入了基于数据流源IP熵的预警算法,流量预处理模块主要对采集的数据进行处理,检测模块中嵌入了基于Spark的并行化DDoS攻击检测算法。
下面用一个实例来阐述本发明所述的方法。
为了阐述本发明所述的方法的检测速度和准确率,设计了如下实验:采用KDD99数据集的训练全集(500万条数据)作为实验样本,分别从中抽取5组作为实验数据。这五组的数据量分别为:1万条数据、50万条数据、100万条数据、200万条数据、500万条数据。实验设计了三个实验组:第一个实验组,采用单机算法串行处理数据样本;第二个实验组,采用在Spark集群上实现的普通K-Means算法的并行处理数据样本;第三个实验组,采用在Spark集群上实现的动态采样的改进K-Means算法的并行处理数据样本(本发明方法)。表1是三个实验组5次实验的耗时对比,表2是三个实验组5次实验的准确率对比。
表1三个实验组5次实验的耗时对比(秒)
表2三个实验组5次实验的准确率对比(百分比)
从表1看,本发明设计的方法比传统的单机方法节约近4倍的时间,比Spark普通并行方法相比节约近15~30%的时间;从表2看,本发明设计的方法比传统的单机方法和Spark普通并行方法相比,准确率都要高的多。
从上面实例看,本发明与传统方法相比,可充分保证大数据环境下DDoS攻击检测的实时性和可靠性。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (4)

1.一种大数据环境下的DDoS攻击检测方法,其特征在于,该方法包含如下步骤:
S1,大数据环境下采集各种流数据;
S2,从采集的各种流数据提取源IP地址;
S3,计算源IP地址的信息熵;
S4,判定源IP地址的信息熵是否大于预设的门限值V,如果是,则转步骤S8;若否,则判定该IP地址对应的数据流是正常的数据流,转步骤S5;
S5,用正常的数据流进行K-Means聚类;
S6,动态采样的K-Means模型训练和算法设计;
S7,动态采样的K-Means算法并行化处理;
S8,用并行化处理的动态采样的K-Means算法进行DDoS攻击检测;
S9,计算准则函数E是否小于等于预设门限值d,如果是,则判定该数据流为正常数据流,转向步骤S1;否则,判定该数据流为异常数据流,转向步骤S10;
S10,DDoS攻击处理;
所述的步骤S3中,信息熵的定义:
X表示信息源符号,它有n种取值:X1…Xi…Xn,分别对应的概率为:P1……Pi……Pn,因为每一种信源符号的出现相互独立,所以,有:
所述的步骤S3具体包括:
S3.1…统计△t时间内所有请求中,有n种不同的源IP,每种源IP数记为Xi(i=1,2…n),每一Xi出现的次数为Ni(i=1,2…n);
S3.2分别计算Xi出现的概率Pi
S3.3计算△t内信息熵H(X)
S3.4计算前n-1个△t的信息熵的均值A
S3.5求出阈值V,k为放大系数
V=(Max[H(X)]-A)×k (5)
S3.6计算△t的信息熵值和均值的差值S
S=H(X)-A (6)
S3.7如果(S>V)表示熵值变化巨大,发攻击预警;如果(S≤V)表示熵值在正常变化范围内,数据流正常;
所述的步骤S5具体包含:
S5.1,数据集D为初始样本,其中每个点为n维:dj=(x1,x2,x3…xn),从数据集合D中随机选择k个对象作为初始簇中心,聚类中心集合记为K;
S5.2,计算数据集D中每个点到k个聚类中心的距离,根据最小值,将点分配给对应的类别,聚类中心对应的数据集合记为Ck,采用公式(7)欧氏距离来进行计算;
S5.3,更新簇的聚类中心
S5.4,计算准则函数
S5.5,满足准则函数阈值则退出,否则返回步骤S5.2;
所述的步骤S6中,对动态采样的K-Means算法的定义如下:
定义1:…规模函数W(X)定义如式(10)所示,其中D2(X,C)表示X中的点到所处聚类中心的距离平方和;
定义2:…动态采样概率函数P(X)定义如式(11)所示;
定义3:初始规模为W,初始采样个数m(m<K);
所述的动态采样的K-Means算法实现如下:
A)从集合X中随机取1个点加入集合C;
B)根据式(10)计算集合C的初始限定规模函数值,记为W;
C)循环logW=N次开始,按式(11)计算动态采样概率P(X),记为P,从集合X中按概率P取出m个点加入集合C′,求C∪C′,记为C,循环结束;
D)采用K-Means算法求出集合C的聚类中心;
所述的步骤S7为:
根据大数据处理平台Spark运行的原理对设计动态采样的K-Means算法进行并行化,使改进的K-Means算法能在多个虚拟机中同时进行DDoS攻击检测。
2.如权利要求1任一项所述的大数据环境下的DDoS攻击检测方法,其特征在于,所述的DDoS攻击检测为用动态采样的K-Means算法并行化检测已预警的数据流。
3.如权利要求2所述的大数据环境下的DDoS攻击检测方法,其特征在于,所述的已预警的数据流的DDoS攻击检测就是按(9)式计算已预警的数据流的准则函数值E,即通过聚类看已预警的数据流是否被包含在正常数据集中,如果是,则判定该数据流是正常数据流;否则,可判定该数据流是DDoS攻击流,要进行DDoS攻击流处理。
4.如权利要求3所述的大数据环境下的DDoS攻击检测方法,其特征在于,对DDoS攻击流处理方法:将DDoS攻击流对应的源IP地址加入到***的黑名单中,DDoS攻击检测***接收黑名单并更新之前的黑名单,过滤所有加入黑名单的源IP地址发送的数据流。
CN201610710937.7A 2016-08-23 2016-08-23 一种大数据环境下的DDoS攻击检测方法 Active CN106330906B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610710937.7A CN106330906B (zh) 2016-08-23 2016-08-23 一种大数据环境下的DDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610710937.7A CN106330906B (zh) 2016-08-23 2016-08-23 一种大数据环境下的DDoS攻击检测方法

Publications (2)

Publication Number Publication Date
CN106330906A CN106330906A (zh) 2017-01-11
CN106330906B true CN106330906B (zh) 2019-11-01

Family

ID=57742141

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610710937.7A Active CN106330906B (zh) 2016-08-23 2016-08-23 一种大数据环境下的DDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN106330906B (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107104959B (zh) * 2017-04-20 2023-01-13 北京东方棱镜科技有限公司 一种云环境中异常行为检测方法与装置
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法
CN107528823A (zh) * 2017-07-03 2017-12-29 中山大学 一种基于改进的K‑Means聚类算法的网络异常检测方法
CN108173812B (zh) * 2017-12-07 2021-05-07 东软集团股份有限公司 防止网络攻击的方法、装置、存储介质和设备
CN108848095B (zh) * 2018-06-22 2021-03-02 安徽大学 SDN环境下基于双熵的服务器DDoS攻击检测与防御方法
CN109120610A (zh) * 2018-08-03 2019-01-01 上海海事大学 一种融合改进智能蜂群算法和bp神经网络的入侵检测方法
CN109274651A (zh) * 2018-08-30 2019-01-25 上海海事大学 一种DDoS攻击检测方法
CN109218321A (zh) * 2018-09-25 2019-01-15 北京明朝万达科技股份有限公司 一种网络入侵检测方法及***
CN109361673B (zh) * 2018-10-26 2021-06-22 电子科技大学 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN109617925B (zh) * 2019-01-29 2021-08-27 网宿科技股份有限公司 一种针对网络攻击的防护、区间标记的设置方法及***
CN110011999B (zh) * 2019-03-29 2021-02-26 东北大学 基于深度学习的IPv6网络DDoS攻击检测***及方法
CN110266672B (zh) * 2019-06-06 2021-09-28 华东理工大学 基于信息熵和置信度下采样的网络入侵检测方法
CN110324339B (zh) * 2019-07-02 2021-10-08 光通天下网络科技股份有限公司 基于信息熵的DDoS攻击检测方法、装置和电子设备
CN110784561A (zh) * 2019-09-30 2020-02-11 奇安信科技集团股份有限公司 IPv6地址分割方法及相似站点或链路地址集寻找方法
CN111314323B (zh) * 2020-01-21 2022-07-26 江苏艾佳家居用品有限公司 一种基于应用层的ddos精确识别方法
CN112887332A (zh) * 2021-03-01 2021-06-01 山西警察学院 云环境下的ddos攻击检测方法
CN114143107B (zh) * 2021-12-07 2023-03-07 苏州大学 一种低速DDoS攻击检测方法、***及相关设备
CN114793174A (zh) * 2022-04-21 2022-07-26 浪潮云信息技术股份公司 基于改进人工蜂群算法的ddos入侵检测方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202336A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
CN104394021A (zh) * 2014-12-09 2015-03-04 中南大学 基于可视化聚类的网络流量异常分析方法
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应***及方法
CN104836702A (zh) * 2015-05-06 2015-08-12 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202336A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
CN104394021A (zh) * 2014-12-09 2015-03-04 中南大学 基于可视化聚类的网络流量异常分析方法
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应***及方法
CN104836702A (zh) * 2015-05-06 2015-08-12 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于信息熵聚类的异常检测方法研究;张瑞琴;《中国优秀硕士学位论文》;20160601;正文第3、4章 *

Also Published As

Publication number Publication date
CN106330906A (zh) 2017-01-11

Similar Documents

Publication Publication Date Title
CN106330906B (zh) 一种大数据环境下的DDoS攻击检测方法
US10261502B2 (en) Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及***
CN102571487B (zh) 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN104901971B (zh) 对网络行为进行安全分析的方法和装置
CN108632269B (zh) 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
CN103428189A (zh) 一种识别恶意网络设备的方法、装置和***
CN108769079A (zh) 一种基于机器学习的Web入侵检测技术
EP3684025B1 (en) Web page request identification
CN108092989B (zh) 一种基于智能蜂群算法的DDoS攻击检测方法
CN110213124A (zh) 基于tcp多会话的被动操作***识别方法及装置
CN105959270A (zh) 一种基于谱聚类算法的网络攻击检测方法
CN107248996A (zh) 一种dns放大攻击的检测与过滤方法
CN105827611B (zh) 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和***
CN109995722A (zh) 面向apt防护的海量检测数据分析***
Eldos et al. On the KDD'99 Dataset: Statistical Analysis for Feature Selection
Yang et al. Intrusion detection alarm filtering technology based on ant colony clustering algorithm
Song et al. A comprehensive approach to detect unknown attacks via intrusion detection alerts
CN111507368B (zh) 一种校园网入侵检测方法和***
CN106790245B (zh) 一种基于云服务的实时僵尸网络检测方法
CN108494807A (zh) 基于云计算的下一代关键信息基础设施网络入侵检测***
Liu A computer network intrusion detection technology based on improved neural network algorithm
Su et al. Detection ddos of attacks based on federated learning with digital twin network
CN107786524B (zh) 高级持续性威胁的检测方法和装置
US9320012B2 (en) Information processing apparatus, computer-readable medium, and method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant