CN111597556B - 应用于工业控制环境的arp扫描检测方法、*** - Google Patents
应用于工业控制环境的arp扫描检测方法、*** Download PDFInfo
- Publication number
- CN111597556B CN111597556B CN202010435395.3A CN202010435395A CN111597556B CN 111597556 B CN111597556 B CN 111597556B CN 202010435395 A CN202010435395 A CN 202010435395A CN 111597556 B CN111597556 B CN 111597556B
- Authority
- CN
- China
- Prior art keywords
- arp
- arp request
- request packet
- current
- knowledge base
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种应用于工业控制环境的ARP扫描检测方法、***,该方法包括:S1:抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;S2:根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求;S3:统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。本发明能够及时、准确地检测ARP扫描,尤其是长周期的ARP扫描。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种应用于工业控制环境的ARP扫描检测方法、***。
背景技术
长期以来,工业控制***独立封闭,存在天然的安全性问题,但人们往往忽视了它存在的安全隐患。随着工业信息化的不断发展,工业控制***从单机走向互联、从封闭走向开放、从自动化走向智能化。在生产力显著提高的同时,工业控制***也面临着日益严峻的网络安全威胁。工业控制***广泛应用于各大重要行业,重要性不言而喻,因此也成为了黑客攻击的主要目标。
ARP(Address Resolution Protocol,地址解析协议),是一种将IP地址转换成物理地址的协议。攻击者通过ARP扫描的方式可以获取局域网内各个主机的IP地址和物理地址,以及主机的存活状态,为接下来的进一步的攻击做铺垫,但大量的ARP扫描也会占用网络带宽,影响网速。因此能够及时准确的发现网络中的ARP扫描行为,就可以有效的阻止后续更具破坏性的攻击行为。
目前虽然有一些ARP扫描的检测方法,比如检测一定时间内arp请求包是否远远多于arp响应包,或者一定时间内arp请求包的数量是否超过阈值。但这些检测方法只能检测短周期的扫描,对长周期(比如:以天为单位)的ARP扫描则无法检测。
发明内容
本发明的目的在于提供一种应用于工业控制环境的ARP扫描检测方法、***,能够及时、准确地检测ARP扫描,尤其是长周期的ARP扫描。
为解决上述技术问题,本发明采用的一个技术方案是:提供一种应用于工业控制环境的ARP扫描检测方法,包括以下步骤:S1:抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;S2:根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求;S3:统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。
优选的,所述步骤S2具体包括:S21:判断当前ARP请求包的发生时间是否处于学习期内,如果处于学习期内,进行步骤S22,如果不是处于学习期内,则进行步骤S24;S22:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进行步骤S23;S23:将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP请求;S24:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进行步骤S25;S25:将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为可疑ARP请求。
优选的,在步骤S23、S25之后以及在步骤S22、S24的判断结果为是时,还包括步骤:S26:在所述知识库中更新当前ARP请求包对应的ARP请求的记录时间。
优选的,所述步骤S3具体包括:S31:统计所述知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的可疑ARP请求的总数;S32:判断总数是否超过阈值,如果超过阈值,则进行步骤S33,如果没有超过阈值,则重复进行步骤S1;S33:判定当前ARP请求包所属主机存在ARP扫描行为。
为解决上述技术问题,本发明采用的另一个技术方案是:提供一种应用于工业控制环境的ARP扫描检测***,所述ARP扫描检测***包括ARP数据采集模块、ARP数据识别模块和ARP扫描检测模块;所述ARP数据采集模块用于抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;所述ARP数据识别模块用于根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求;所述ARP扫描检测模块用于统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。
优选的,所述ARP数据识别模块包括时效识别单元、重复识别单元和数据记录单元;所述时效识别单元用于判断当前ARP请求包的发生时间是否处于学习期内;所述重复识别单元用于判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中;所述数据记录单元用于在时效识别单元判断为处于学习期内且重复识别单元判断为否时,将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP请求;在时效识别单元判断为不处于学习期内且重复识别单元判断为否时,将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为可疑ARP请求。
优选的,所述ARP数据识别模块还包括时间记录单元,所述时间记录单元用于在数据记录单元将当前ARP请求包对应的ARP请求记录到知识库中以及在重复识别单元判断为是时,在所述知识库中更新当前ARP请求包对应的ARP请求的记录时间。
优选的,所述ARP扫描检测模块包括统计单元、比较单元和判定单元;所述统计单元用于统计所述知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的可疑ARP请求的总数;所述比较单元用于判断总数是否超过阈值;所述判定单元用于在比较单元判定为是时,判定当前ARP请求包所属主机存在ARP扫描行为。
区别于现有技术的情况,本发明的有益效果是:能够及时、准确地检测ARP扫描行为,尤其是长周期的ARP扫描行为。
附图说明
图1是本发明实施例提供的应用于工业控制环境的ARP扫描检测方法的流程示意图;
图2是图1所示的ARP扫描检测方法的步骤S2、S3的具体流程示意图;
图3是本发明实施例提供的应用于工业控制环境的ARP扫描检测***的原理框图;
图4是图3所示的ARP扫描检测***的ARP数据识别模块、ARP扫描检测模块的具体框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本发明实施例的应用于工业控制环境的ARP扫描检测方法包括以下步骤:
S1:抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;
S2:根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求;
S3:统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。
其中,ARP数据包中可能包含ARP请求包等数据,每个数据都带有专门的标志位,通过这些标志位可以提取出各种数据。学习期可以由配置管理员根据实际需要设置,在学习期内通过自主学习的方式将所有ARP请求包对应的ARP请求记录为合法ARP请求,而在学习期结束后,所有与合法ARP请求不同的ARP请求均判定为可疑ARP请求。
参阅图2,在本实施例中,步骤S2具体包括:
S21:判断当前ARP请求包的发生时间是否处于学习期内,如果处于学习期内,进行步骤S22,如果不是处于学习期内,则进行步骤S24;
S22:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进行步骤S23;
S23:将当前ARP请求包对应的ARP请求记录到知识库中,并标记为合法ARP请求;
S24:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进行步骤S25;
S25:将当前ARP请求包对应的ARP请求记录到知识库中,并标记为可疑ARP请求。
为了记录ARP扫描的时间,方便溯源,在本实施例中,在步骤S23、S25之后以及在步骤S22、S24的判断结果为是时,还包括步骤:
S26:在知识库中更新当前ARP请求包对应的ARP请求的记录时间。
继续参阅图2,在本实施例中,步骤S3具体包括:
S31:统计知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的可疑ARP请求的总数;
S32:判断总数是否超过阈值,如果超过阈值,则进行步骤S33,如果没有超过阈值,则重复进行步骤S1;
S33:判定当前ARP请求包所属主机存在ARP扫描行为。
其中,在判断可疑ARP请求是否由当前ARP请求包所属主机发送的,可以通过将当前ARP请求包对应的ARP请求的senderip和sendermac(即源IP地址和源MAC地址)与知识库中记录的所有的可疑ARP请求的senderip和sendermac进行对比,如果相同,则可疑ARP请求是由当前ARP请求包所属主机发送的,否则不是由当前ARP请求包所属主机发送的。本发明实施例的ARP扫描检测方法是一个不断重复检测的过程,每次在进行步骤S26、S32、S33后,满足相应条件均会重复进行步骤S1,并且在中途可以更改学习期和预设时效期,可以实时根据需要进行ARP扫描检测。
通过上述方式,本发明实施例的应用于工业控制环境的ARP扫描检测方法通过自主学习的方式构建ARP请求包的知识库,在学习期内,在知识库中记录每台主机发送的不重复的ARP请求作为合法ARP请求,在学习期结束之后,发现的新的ARP请求判定为可疑ARP请求,统计每台主机的可疑ARP请求的总数,如果总数超过阈值,则判定主机存在ARP扫描行为,从而能够及时、准确地检测ARP扫描行为,尤其是长周期的ARP扫描行为。
参阅图3,本发明实施例的应用于工业控制环境的ARP扫描检测***包括ARP数据采集模块10、ARP数据识别模块20和ARP扫描检测模块30。
ARP数据采集模块10用于抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包。
ARP数据识别模块20用于根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求。
ARP扫描检测模块30用于统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。
其中,ARP数据包中可能包含ARP请求包等数据,每个数据都带有专门的标志位,通过这些标志位可以提取出各种数据。学习期可以由配置管理员根据实际需要设置,在学习期内通过自主学习的方式将所有ARP请求包对应的ARP请求记录为合法ARP请求,而在学习期结束后,所有与合法ARP请求不同的ARP请求均判定为可疑ARP请求。
参阅图4,在本实施例中,ARP数据识别模块20包括时效识别单元21、重复识别单元22和数据记录单元23。
时效识别单元21用于判断当前ARP请求包的发生时间是否处于学习期内;
重复识别单元22用于判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中;
数据记录单元23用于在时效识别单元21判断为处于学习期内且重复识别单元22判断为否时,将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP请求;在时效识别单元21判断为不处于学习期内且重复识别单元22判断为否时,将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为可疑ARP请求。
为了记录ARP扫描的时间,方便溯源,在本实施例中,ARP数据识别模块20还包括时间记录单元24,时间记录单元24用于在数据记录单元23将当前ARP请求包对应的ARP请求记录到知识库中以及在重复识别单元22判断为是时,在知识库中更新当前ARP请求包对应的ARP请求的记录时间。
继续参阅图4,在本实施例中,ARP扫描检测模块30包括统计单元31、比较单元32和判定单元33;统计单元31用于统计知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的可疑ARP请求的总数;比较单元32用于判断总数是否超过阈值;判定单元33用于在比较单元32判定为是时,判定当前ARP请求包所属主机存在ARP扫描行为。
其中,在判断可疑ARP请求是否由当前ARP请求包所属主机发送的,可以通过将当前ARP请求包对应的ARP请求的senderip和sendermac(即源IP地址和源MAC地址)与知识库中记录的所有的可疑ARP请求的senderip和sendermac进行对比,如果相同,则可疑ARP请求是由当前ARP请求包所属主机发送的,否则不是由当前ARP请求包所属主机发送的。本发明实施例的ARP扫描检测***可以不断重复检测,每次在判定单元33、时间记录单元24、比较单元32执行后,满足相应条件均会重复开始检测,并且在中途可以更改学习期和预设时效期,可以实时根据需要进行ARP扫描检测。
通过上述方式,本发明的应用于工业控制环境的ARP扫描检测***通过自主学习的方式构建ARP请求包的知识库,在学习期内,在知识库中记录每台主机发送的不重复的ARP请求作为合法ARP请求,在学习期结束之后,发现的新的ARP请求判定为可疑ARP请求,统计每台主机的可疑ARP请求的总数,如果总数超过阈值,则判定主机存在ARP扫描行为,从而能够及时、准确地检测ARP扫描行为,尤其是长周期的ARP扫描行为。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种应用于工业控制环境的ARP扫描检测方法,其特征在于,包括以下步骤:S1:抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;S2:根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求,具体包括:S21:判断当前ARP请求包的发生时间是否处于学习期内,如果处于学习期内,进行步骤S22,如果不是处于学习期内,则进行步骤S24;S22:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进行步骤S23;S23:将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP请求;S24:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进行步骤S25;S25:将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为可疑ARP请求;S3:统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。
2.根据权利要求1所述的ARP扫描检测方法,其特征在于,在步骤S23、S25之后以及在步骤S22、S24的判断结果为是时,还包括步骤:S26:在所述知识库中更新当前ARP请求包对应的ARP请求的记录时间。
3.根据权利要求2所述的ARP扫描检测方法,其特征在于,所述步骤S3具体包括:S31:统计所述知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的可疑ARP请求的总数;S32:判断总数是否超过阈值,如果超过阈值,则进行步骤S33,如果没有超过阈值,则重复进行步骤S1;S33:判定当前ARP请求包所属主机存在ARP扫描行为。
4.一种应用于工业控制环境的ARP扫描检测***,其特征在于,所述ARP扫描检测***包括ARP数据采集模块、ARP数据识别模块和ARP扫描检测模块;所述ARP数据采集模块用于抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;所述ARP数据识别模块用于根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求,所述ARP数据识别模块包括时效识别单元、重复识别单元和数据记录单元;所述时效识别单元用于判断当前ARP请求包的发生时间是否处于学习期内;所述重复识别单元用于判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中;所述数据记录单元用于在时效识别单元判断为处于学习期内且重复识别单元判断为否时,将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP请求;在时效识别单元判断为不处于学习期内且重复识别单元判断为否时,将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为可疑ARP请求;所述ARP扫描检测模块用于统计工业控制网络中当前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。
5.根据权利要求4所述的ARP扫描检测***,其特征在于,所述ARP数据识别模块还包括时间记录单元,所述时间记录单元用于在数据记录单元将当前ARP请求包对应的ARP请求记录到知识库中以及在重复识别单元判断为是时,在所述知识库中更新当前ARP请求包对应的ARP请求的记录时间。
6.根据权利要求5所述的ARP扫描检测***,其特征在于,所述ARP扫描检测模块包括统计单元、比较单元和判定单元;所述统计单元用于统计所述知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的可疑ARP请求的总数;所述比较单元用于判断总数是否超过阈值;所述判定单元用于在比较单元判定为是时,判定当前ARP请求包所属主机存在ARP扫描行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010435395.3A CN111597556B (zh) | 2020-05-21 | 2020-05-21 | 应用于工业控制环境的arp扫描检测方法、*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010435395.3A CN111597556B (zh) | 2020-05-21 | 2020-05-21 | 应用于工业控制环境的arp扫描检测方法、*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111597556A CN111597556A (zh) | 2020-08-28 |
CN111597556B true CN111597556B (zh) | 2023-05-02 |
Family
ID=72186100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010435395.3A Active CN111597556B (zh) | 2020-05-21 | 2020-05-21 | 应用于工业控制环境的arp扫描检测方法、*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111597556B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和*** |
CN101202744A (zh) * | 2006-12-15 | 2008-06-18 | 北京大学 | 一种自学习检测蠕虫的装置及其方法 |
CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
CN110225009A (zh) * | 2019-05-27 | 2019-09-10 | 四川大学 | 一种基于通信行为画像的代理使用者检测方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2939588B1 (fr) * | 2008-12-10 | 2013-01-11 | Airbus France | Procede et dispositif de concentration de messages pour la simulation d'integration de composants |
KR20150030099A (ko) * | 2013-09-11 | 2015-03-19 | 한국전자통신연구원 | 주소 결정 시스템 및 방법 |
-
2020
- 2020-05-21 CN CN202010435395.3A patent/CN111597556B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101202744A (zh) * | 2006-12-15 | 2008-06-18 | 北京大学 | 一种自学习检测蠕虫的装置及其方法 |
CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和*** |
CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
CN110225009A (zh) * | 2019-05-27 | 2019-09-10 | 四川大学 | 一种基于通信行为画像的代理使用者检测方法 |
Non-Patent Citations (2)
Title |
---|
Emre Unal ; .Towards Prediction of Security Attacks on Software Defined Networks: A Big Data Analytic Approach.《2018 IEEE International Conference on Big Data (Big Data)》.2019, * |
校园网ARP攻击检测***设计与开发;邓婉婷;《信息科技辑》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111597556A (zh) | 2020-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110275508B (zh) | 车载can总线网络异常检测方法及*** | |
CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
CN101902349B (zh) | 一种检测端口扫描行为的方法和*** | |
CN111478920A (zh) | 一种隐蔽信道通信检测方法、装置及设备 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
CN113055335B (zh) | 用于检测通信异常的方法、装置、网络***和存储介质 | |
CN111478925B (zh) | 应用于工业控制环境的端口扫描检测方法、*** | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
CN114143037A (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
CN105959321A (zh) | 网络远程主机操作***被动识别方法及装置 | |
CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及*** | |
CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
CN112422554A (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
CN114244801B (zh) | 一种基于政企网关的防arp欺骗方法及*** | |
CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及*** | |
US20200169577A1 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
CN111597556B (zh) | 应用于工业控制环境的arp扫描检测方法、*** | |
KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
CN109474593B (zh) | 一种识别c&c周期性回连行为的方法 | |
CN112637224A (zh) | 一种自治***内基于子空间和相对熵的DDoS攻击检测方法 | |
CN115801305B (zh) | 一种网络攻击的检测识别方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 1101, 11 / F, unit 2, building 1, No. 777, north section of Yizhou Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu 610041 Applicant after: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd. Address before: No.1, 3 / F, building 1, No.366, Hupan Road north section, Tianfu New District, Chengdu, Sichuan 610041 Applicant before: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |