CN110995678A - 一种面向工控网络的高效入侵检测*** - Google Patents
一种面向工控网络的高效入侵检测*** Download PDFInfo
- Publication number
- CN110995678A CN110995678A CN201911153880.5A CN201911153880A CN110995678A CN 110995678 A CN110995678 A CN 110995678A CN 201911153880 A CN201911153880 A CN 201911153880A CN 110995678 A CN110995678 A CN 110995678A
- Authority
- CN
- China
- Prior art keywords
- protocol
- detection
- data packet
- packet
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种面向工控网络的高效入侵检测***,包括数据包捕获***,数据包解析***和基于TensorFlow的检测***,所述数据包捕获***采用DPDK进行数据包捕获,然后数据包解析***将捕获的数据包进行层层解析,提取特征入队到共享内存中;所述基于TensorFlow的检测***加载离线训练的模型,不断从共享内存中取出特征作为输入进行检测,最后把检测结果上送至Web端。
Description
技术领域
本发明涉及一种入侵检测***,尤其涉及一种面向工控网络的高效入侵检 测***。
背景技术
随着德国的“工业4.0”、美国的“再工业化”风潮等国家战略 的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术 与制造技术的加速融合,工业控制***由从原始的封闭独立走向开 放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发 展动能的同时,也出现了大量安全隐患,伊朗核电站遭受“震网”病 毒攻击事件、乌克兰电网遭受持续攻击事件和委内瑞拉大规模停电事 件等更为我们敲响了警钟。工控***作为国家关键基础设施的重要组 成部分,其安全关系到国家的战略安全、社会稳定,工业控制***安 全具有重大的意义与价值。
入侵检测***作为维护网络安全的重要网络安全产品,也常常用于工业场 景中,来检测攻击。传统入侵检测***采用基于规则的方法,所谓规则是指恶 意程序的签名和对恶意行为的描述,与规则相匹配的程序代码或网络行为会被 检测为攻击。从实际应用情况来看,基于规则的入侵检测***可以有效防御已 知攻击方面,但由于基于规则只能使用固定的特征模式来检测入侵,对做过变 形的攻击无法检测,因此容易被逃避检测。除此之外,基于规则的入侵检测对 于新型攻击也素手无策。
现有技术中,基于异常的入侵检测方法主要采用机器学习的方法,通过大 量流量数据的学习,然后使用训练好的机器学习模型检测入侵行为。与规则检 测相比,基于异常的检测方法难以被认为的绕过,在一定程度上提升了入侵检 测的能力,但目前对于机器学习在入侵检测中的应用,大多数关注于算法,缺 少可以方便加载机器学习模型的检测引擎。
发明内容
本发明提出一种面向工控网络的高效入侵检测***,包括数据包捕获***, 数据包解析***和基于TensorFlow的检测***,所述数据包捕获***采用DPDK 进行数据包捕获,然后数据包解析***将捕获的数据包进行层层解析,提取特 征入队到共享内存中;所述基于TensorFlow的检测***加载离线训练的模型, 不断从共享内存中取出特征作为输入进行检测,最后把检测结果上送至Web端。
进一步,所述数据包捕获***使用Intel DPDK进行抓包的方式为轮询驱动 方式,并通过设置CPU亲和性,将数据包处理线程绑定到固定核心。
进一步,所述数据包捕获***采用无锁结构,数据包队列缓存和包括两个 线程之间的数据交换均采用无锁队列进行数据交换。
进一步,所述数据包捕获***实现两种线程模型,包括多线程模型和 Pipeline模型,所述多线程模型适用于网卡或者网卡队列较多且流量比较均衡 的场景,首个模块完成抓包,其他模块依次处理,直至最后上报警报信息;所 述Pipeline模型,Pipeline模型适用于网卡或者网卡队列较少,对于同一个 网卡队列,只用一个线程去取回数据包。
进一步,所述数据包解析***采用插件式的报文解析模块,将不同的处理 功能按照统一的结构化的模板封装成具有相同接口的插件类,所述插件类被编 译为不同的动态链接库,在需要调用时加载,然后程序按照配置文件加载相应 的插件式的报文解析模块。
进一步,所述插件化的报文协议解析模块包括协议识别函数和协议解析函 数;所述协议识别函数进行识别数据包的具体协议,对于工控协议通过识别特 定字段或者识别特定的特征值;在所述协议识别函数识别出具体协议后,调用 所述协议解析函数进行深度解析,解析出协议中各个字段的值。
进一步,所述基于TensorFlow的检测***的检测流程是首先初始化检测引 擎,然后从文件中加载训练好的检测***机器学习模型,从所述共享内存中取 出所述提取特征进行模型推断输出检测结果,并进行检测是否收到结束的信号, 如果状态为否,则继续从所述共享内存中取出所述提取特征进行模型推断,如 果状态为是,整个TensorFlow的检测***的检测流程结束。
本发明达到的技术效果为:
1、本发明使用Intel DPDK来捕获数据包,利用DPDK零拷贝,轮询驱动等 机制,来达到在高速网络环境中捕获流量的需求。
2、本发明将协议解析模块插件化,提供协议热加载、热更新功能,可以更 加灵活的添加和更新协议。
3、本发明使用机器学习框架TensorFlow作为检测引擎,为入侵检测*** 提供了一个灵活易用的机器学习引擎,更加方便的加载机器学习模型。
附图说明
图1为本发明的整体框架图;
图2为本发明的多线程模型图;
图3为本发明的Pipeline模式图;
图4为本发明的模型离线训练和线上部署的流程;
图5为WhenFlowInit和WhenReceiveNewPacket函数的调用流程
图6为WhenFlowFinished和WhenFlowTimeWindow函数的调用流程
图7为基于TensorFlow的检测***。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅 仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实 施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明的入侵检测***包括数据包捕获***,数据包解析***和基于TensorFlow的检测***,所述数据包捕获***用DPDK进行数据包捕获,然后 数据包解析***将捕获的数据包进行层层解析,并提取对应特征入队到共享内 存中;另外一个进程中,基于TensorFlow的检测***加载离线训练好的模型, 不断从共享内存中取出特征作为输入进行检测,最后把检测结果上送至Web端。
Linux网络协议栈是处理网络数据包的典型***,它包含了从物理层直到 应用层的全过程,其处理流程为,首先驱动向上层模块发出请求,通知协议栈 有数据到达,然后协议栈通过***调用对数据包的网络层协议数据进行处理, 将网卡驱动的接收缓冲队列中的数据包拷贝到操作***的接收队列中。接着调 用传输层的接收函数进行传输层的数据处理。如果此时***接收队列中没有需 要的数据包时,操作***会让当前的处理进程进入休眠状态,等待***接收队 列中到达新的数据包,当休眠的处理进程被***唤醒,它会从接收队列获得所 需的数据包,处理完毕以后通过调用read函数,将数据包从内核缓冲区拷贝到 用户态的应用缓冲区。
在这个过程中,数据包首先从网卡驱动的缓冲队列拷贝到协议栈的接收队 列,再从协议栈的接收队列拷贝到应用程序的内存空间.数据包从下向上的过程 中进行了2次拷贝及多层***调用处理。
从上述分析可以看出,Linux网络协议栈在捕获数据包时有诸多性能瓶颈, 无法满足高速网络环境的要求。这是因为Linux内核协议栈的主要目标是实现 通用的网络服务,所以在设计上存在固有的缺陷,大量的中断和数据包的多次 拷贝都是普遍认为的病因所在。
数据包捕获的具体方式:
零拷贝和轮询驱动,使用Intel DPDK进行抓包,应用零拷贝的优点,避免 内存内部的多次复制,减小数据复制开销,抓包时,抛弃原有的中断方式,改 用轮询驱动,可以有效避免中断开销。
将线程绑定到核心,通过设置CPU亲和性,将数据包处理线程绑定到固定 核心上,减小线程切换产生的***开销。除此之外,将线程绑定到固定CPU核 心,根据数据局部性原理,还可以提高Cache命中率。
采用无锁结构。我们的数据包队列缓存,包括两个线程之间的数据交换, 均采用无锁队列进行数据交换,这样可以将线程间的竞争减小到原子指令级别, 有效的减少因为线程竞争产生的开销。
实现了两种线程模型,我们在***中实现了两种线程模型,多线程模型和Pipeline模型。其中,多线程模型适用于网卡或者网卡队列较多,且流量比较 均衡的场景,这样每个线程都要经历一个完整的流程,首个模块完成抓包,其 他模块依次处理,直至最后上报警报信息,多线程模型如图2所示。
Pipeline模型适用于网卡或者网卡队列较少。为了减少线程之间的竞争, 对于同一个网卡队列,只用一个线程去取回数据包。因此,对于网卡队列较少 的情况使用Pipeline模型,Pipeline模式如图3所示。
所述数据包解析过程为使用插件式的报文解析模块进行解析,所述插件式 的报文解析模块可以解决报文解析过程中针对不同解析目标的适配灵活性,同 时带来良好的可扩展性。将不同的处理功能按照统一的结构化的模板封装成具 有相同接口的插件类,这些类被编译为不同的动态链接库在需要调用时加载, 然后程序按照配置文件的不同加载不同的插件模块。
除了在启动时通过配置文件配置当前协议,在***运行时,热加载或者热 更新更新协议解析模块。***中的Server监听某一个端口发来的请求。这样, 可以通过向对应端口发送指令的方式,在***不重启的情况下线上加载或者更 新解析模块的实现。
插件化的协议解析模块,设计一套灵活易用的通用编程接口。协议对应的 解析模块主要需要包括协议识别函数和协议解析函数。
所述协议识别函数主要用来识别出数据包的具体协议。对于工控协议,一 般都是通过识别某些特定字段,或者识别某些特定的特征值。例如,对于Modbus 协议,协议标识符的值应该为0。
所述协议解析函数主要用来当识别出具体协议后,调用协议解析函数对协 议进行深度解析,解析出协议中各个字段的值。
对于写好的模块解析代码编译成动态库(Linux为后缀为so的库文件)。 然后在使用时,根据配置文件中配置的相应协议,将对应的动态库加载至内存 (使用dlopen函数),并调用动态库中对应的函数(使用dlsym函数),进而将 对应的解析、识别或者特征抽取函数注册到***中。
为了入侵检测***更加灵活的加载机器学习模型,本发明将TensorFlow 这个被广泛应用的机器学习框架集成到入侵检测***中,作为***的检测引擎。
使用TensorFlow作为检测引擎,主要有以下有优点:
(1)TensorFlow可以便捷地加载更新机器学习模型。
(2)TensorFlow是一个普遍使用的机器学习和深度学习框架,易于上手, 用户使用范围广大。实现时,我们使用TensorFlow的C语言接口,相比Python 接口,更加高效。
模型离线训练和线上部署的流程如图4所示。如图所示,离线训练时,我 们使用已经打过标签的训练数据来训练机器学习模型,然后将训练好的机器学 习模型存储下来。
在实时检测时,数据包捕获、数据包解析和特征提取等流程在同一进程中, 我们称作解析进程。TensorFlow加载模型和实时检测在另外一个进程中,我们 称作检测进程。其中,解析进程提取的特征作为TensorFlow检测进程机器学习 模型的输入。两个进程之间的数据交换通过共享内存来完成。共享内存在实现 上,采用DPDK的rte_ring来实现进程间的共享内存。
在解析线程中,主要工作在于特征提取,我们提供插件化特征提取器,使 用时可以自己添加或者定制特征的提取方式,当前***中实现了以流为单个样 本的插件化的特征提取器。
对于每个特征提取器,需要实现以下接口:
(1)WhenFlowInit函数。该函数是当某一个流被新建时被调用,主要做 一些流特征初始化操作。
(2)WhenReceiveNewPacket函数。该函数是当某个流收到新的数据包时, 需要根据数据包的信息,更新我们提取的流特征。WhenFlowInit和 WhenReceiveNewPacket函数的调用流程如图5所示。
图5是当***从网卡取回一个新的数据包时的处理流程。当收到新的数据 包时,首先需要在流表中查找此数据包所对应的流结构。若没有找到,说明是 一条新流的数据包,则新建流并添加到流表中,并调用特征提取器的 WhenFlowInit函数,来初始化新流的特征。若找到数据包所对应的流,此时需 要调用WhenReceivePacket函数,根据数据包的信息,来更新流的特征。然后 在进行后续的数据包处理,后续处理不在我们的研究范围内。流程图中的是否 结束是指是否收到程序结束的信号。
(3)WhenFlowFinished和WhenFlowTimeWindow函数。WhenFlowFinished 函数在流结束或者流超时时被调用。此时流将被从流表中删除,此时需要调用 WhenFlowFinished将提取的特征做进一步处理,然后入队到共享内存中。有时 存在长连接的情况,此时一个流的持续时间可能比较长,我们将时间切片,在 时间窗到达时,需要调用WhenFlowTimeWindow函数,提取特征并入队到共享队 列中。需要一个单独的计时器线程来检测流超时和时间窗到达,在这个线程中, WhenFlowFinished和WhenFlowTimeWindow函数的调用流程如图6所示。
图6是计时器线程的流程。计时器线程负责检测流超时或者流到达我们设 定的时间窗。当检测到流超时,需要调用WhenFlowFinished函数 (WhenFlowFinish函数会提取流的特征并入队到共享内存中,然后释放特征对 应的内存空间),然后从流表中移除当前流。当检测到流到达时间窗时,调用 WhenFlowTimeWindow(WhenFlowTimeWindow函数会提取流的特征并入队到共享 内存中,然后重新初始化特征)。流程图中的是否结束是指是否收到程序结束的 信号。
在检测线程中,使用TensorFlow加载训练好的机器学习模型,然后从共享 内存中取出特征,作为模型的输入,最后模型推断给出检测结果,流程如图7 所示。
所述基于TensorFlow的检测***的检测流程是首先初始化检测引擎,然后 从文件中加载训练好的检测***机器学习模型,从所述共享内存中取出所述提 取特征进行模型推断输出检测结果,并进行检测是否收到结束的信号,如果状 态为否,则继续从所述共享内存中取出所述提取特征进行模型推断,如果状态 为是,整个TensorFlow的检测***的检测流程结束。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限 制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员 应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中 部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本 质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种面向工控网络的高效入侵检测***,其特征在于,包括数据包捕获***,数据包解析***和基于TensorFlow的检测***,所述数据包捕获***采用DPDK进行数据包捕获,然后数据包解析***将捕获的数据包进行层层解析,提取特征入队到共享内存中;所述基于TensorFlow的检测***加载离线训练的模型,不断从所述共享内存中取出提取特征作为输入进行检测,最后把检测结果上送至Web端。
2.如权利要求1所述的***,其特征在于,所述数据包捕获***使用Intel DPDK进行抓包的方式为轮询驱动方式,并通过设置CPU亲和性,将数据包处理线程绑定到固定核心。
3.如权利要求2所述的***,其特征在于,所述数据包捕获***采用无锁结构,数据包队列缓存和包括两个线程之间的数据交换均采用无锁队列进行数据交换。
4.如权利要求2所述的***,其特征在于,所述数据包捕获***实现两种线程模型,包括多线程模型和Pipeline模型,所述多线程模型适用于网卡或者网卡队列较多且流量比较均衡的场景,首个模块完成抓包,其他模块依次处理,直至最后上报警报信息;所述Pipeline模型,Pipeline模型适用于网卡或者网卡队列较少,对于同一个网卡队列,只用一个线程去取回数据包。
5.如权利要求1所述的***,其特征在于,所述数据包解析***采用插件式的报文解析模块,将不同的处理功能按照统一的结构化的模板封装成具有相同接口的插件类,所述插件类被编译为不同的动态链接库,在需要调用时加载,然后程序按照配置文件加载相应的插件式的报文解析模块。
6.如权利要求5所述的***,其特征在于,所述插件化的报文协议解析模块包括协议识别函数和协议解析函数;所述协议识别函数进行识别数据包的具体协议,对于工控协议通过识别特定字段或者识别特定的特征值;在所述协议识别函数识别出具体协议后,调用所述协议解析函数进行深度解析,解析出协议中各个字段的值。
7.如权利要求1所述的***,其特征在于,所述基于TensorFlow的检测***的检测流程是首先初始化检测引擎,然后从文件中加载训练好的检测***机器学习模型,从所述共享内存中取出所述提取特征进行模型推断输出检测结果,并进行检测是否收到结束的信号,如果状态为否,则继续从所述共享内存中取出所述提取特征进行模型推断,如果状态为是,整个TensorFlow的检测***的检测流程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911153880.5A CN110995678B (zh) | 2019-11-22 | 2019-11-22 | 一种面向工控网络的高效入侵检测*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911153880.5A CN110995678B (zh) | 2019-11-22 | 2019-11-22 | 一种面向工控网络的高效入侵检测*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995678A true CN110995678A (zh) | 2020-04-10 |
| CN110995678B CN110995678B (zh) | 2021-07-23 |
Family
ID=70085628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911153880.5A Active CN110995678B (zh) | 2019-11-22 | 2019-11-22 | 一种面向工控网络的高效入侵检测*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995678B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818096A (zh) * | 2020-08-31 | 2020-10-23 | 北京安帝科技有限公司 | 网络协议解析方法和装置 |
| CN111988244A (zh) * | 2020-08-20 | 2020-11-24 | 珠海市一知安全科技有限公司 | 网络数据调度分配方法、计算机装置及计算机可读存储介质 |
| CN112073420A (zh) * | 2020-09-11 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 一种网络协议解析方法、装置及相关设备 |
| CN113535593A (zh) * | 2021-09-15 | 2021-10-22 | 广州锦行网络科技有限公司 | 应用程序的抓包方法、装置、电子设备和存储介质 |
| CN113726579A (zh) * | 2021-09-02 | 2021-11-30 | 国网信息通信产业集团有限公司 | 一种电力物联网通信协议插件的实现方法及装置 |
| CN113839937A (zh) * | 2021-09-15 | 2021-12-24 | 神州网云(北京)信息技术有限公司 | 基于网络流量的使用跨会话技术检测未知木马的方法及*** |
| CN114189368A (zh) * | 2021-11-30 | 2022-03-15 | 华中科技大学 | 一种多推理引擎兼容的实时流量检测***和方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及*** |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN103795709A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 一种网络安全检测方法和*** |
| CN103841096A (zh) * | 2013-09-05 | 2014-06-04 | 北京科能腾达信息技术股份有限公司 | 自动调整匹配算法的入侵检测方法 |
| CN107181738A (zh) * | 2017-04-25 | 2017-09-19 | 中国科学院信息工程研究所 | 一种软件化入侵检测***及方法 |
| CN109522716A (zh) * | 2018-11-15 | 2019-03-26 | 中国人民解放军战略支援部队信息工程大学 | 一种基于时序神经网络的网络入侵检测方法及装置 |
-
2019
- 2019-11-22 CN CN201911153880.5A patent/CN110995678B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及*** |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN103841096A (zh) * | 2013-09-05 | 2014-06-04 | 北京科能腾达信息技术股份有限公司 | 自动调整匹配算法的入侵检测方法 |
| CN103795709A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 一种网络安全检测方法和*** |
| CN107181738A (zh) * | 2017-04-25 | 2017-09-19 | 中国科学院信息工程研究所 | 一种软件化入侵检测***及方法 |
| CN109522716A (zh) * | 2018-11-15 | 2019-03-26 | 中国人民解放军战略支援部队信息工程大学 | 一种基于时序神经网络的网络入侵检测方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988244A (zh) * | 2020-08-20 | 2020-11-24 | 珠海市一知安全科技有限公司 | 网络数据调度分配方法、计算机装置及计算机可读存储介质 |
| CN111988244B (zh) * | 2020-08-20 | 2022-10-18 | 珠海市一知安全科技有限公司 | 网络数据调度分配方法、计算机装置及计算机可读存储介质 |
| CN111818096A (zh) * | 2020-08-31 | 2020-10-23 | 北京安帝科技有限公司 | 网络协议解析方法和装置 |
| CN112073420A (zh) * | 2020-09-11 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 一种网络协议解析方法、装置及相关设备 |
| CN113726579A (zh) * | 2021-09-02 | 2021-11-30 | 国网信息通信产业集团有限公司 | 一种电力物联网通信协议插件的实现方法及装置 |
| CN113535593A (zh) * | 2021-09-15 | 2021-10-22 | 广州锦行网络科技有限公司 | 应用程序的抓包方法、装置、电子设备和存储介质 |
| CN113839937A (zh) * | 2021-09-15 | 2021-12-24 | 神州网云(北京)信息技术有限公司 | 基于网络流量的使用跨会话技术检测未知木马的方法及*** |
| CN114189368A (zh) * | 2021-11-30 | 2022-03-15 | 华中科技大学 | 一种多推理引擎兼容的实时流量检测***和方法 |
| CN114189368B (zh) * | 2021-11-30 | 2023-02-14 | 华中科技大学 | 一种多推理引擎兼容的实时流量检测***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995678B (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110995678B (zh) | 一种面向工控网络的高效入侵检测*** | |
| CN107911237B (zh) | 一种基于dpdk的用户空间内数据包快速检测方法 | |
| US9787706B1 (en) | Modular architecture for analysis database | |
| EP3090345B1 (en) | Method of delaying checkpoints by inspecting network packets | |
| US20190205533A1 (en) | Kernel- and User-Level Cooperative Security Processing | |
| CN111835768B (zh) | 一种用于处理安全事件的方法、装置、介质及计算机设备 | |
| US8112559B2 (en) | Increasing available FIFO space to prevent messaging queue deadlocks in a DMA environment | |
| US20180165177A1 (en) | Debugging distributed web service requests | |
| CN107608852A (zh) | 一种进程监控方法及装置 | |
| CN107046508A (zh) | 报文接收方法及网络设备 | |
| CN111124392A (zh) | 一种提高物联网平台规则引擎高并发能力的方法 | |
| CN105550095B (zh) | 基于虚拟化的主机行为主被动结合检测***和方法 | |
| US10785236B2 (en) | Generation of malware traffic signatures using natural language processing by a neural network | |
| US20110173287A1 (en) | Preventing messaging queue deadlocks in a dma environment | |
| CN111738467A (zh) | 一种运行状态异常检测方法、装置及设备 | |
| US8826428B2 (en) | Event detection method and apparatus in a distributed environment | |
| CN100392597C (zh) | 一种虚拟硬件加速方法及*** | |
| Gorton et al. | The medici integration framework: A platform for high performance data streaming applications | |
| WO2001016740A2 (en) | Efficient event waiting | |
| Chai et al. | Research of intelligent intrusion detection system based on web data mining technology | |
| CN105610639A (zh) | 全量日志抓取方法及装置 | |
| Venkatesh et al. | MPI-GDS: High performance MPI designs with GPUDirect-aSync for CPU-GPU control flow decoupling | |
| Molyakov | Token scanning as a new scientific approach in the creation of protected systems: A new generation OS MICROTEK | |
| CN114048467A (zh) | 基于入侵检测***的模型数据处理方法、装置、设备及存储介质 | |
| Gill et al. | Scalanytics: A declarative multi-core platform for scalable composable traffic analytics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |