CN112422513B - 一种基于网络流量报文的异常检测和攻击发起者分析*** - Google Patents
一种基于网络流量报文的异常检测和攻击发起者分析*** Download PDFInfo
- Publication number
- CN112422513B CN112422513B CN202011155629.5A CN202011155629A CN112422513B CN 112422513 B CN112422513 B CN 112422513B CN 202011155629 A CN202011155629 A CN 202011155629A CN 112422513 B CN112422513 B CN 112422513B
- Authority
- CN
- China
- Prior art keywords
- attack
- data
- attribute
- clustering
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Medical Informatics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于网络流量报文的异常检测和攻击发起者分析***,其包括:数据属性提取模块,用于从防火墙网关截获网络流量的原始报文数据,并且根据截获的原始报文数据提取网络流速,解析报文信息生成基础属性特征,并且将这些属性特征存储在数据库;攻击者群类特征生成模块,用于依次对原始数据标准化、计算数据的复杂属性、分配各个属性的权重、采用聚类算法的交叉验证,引入无监督机器学习聚类指标,采取聚类指标得分最高的聚类模型得出攻击者群类特征聚类;攻击检测模块,用于对所有触发自定义规则的网络攻击报文进行攻击群类特征的匹配分析和攻击者群类特征的增量修正。该***能够挖掘出单次攻击中发起者的特征,定位攻击的发起嫌疑人。
Description
技术领域
本发明属于网络流量异常检测和分析领域,具体涉及一种基于网络流量报文的异常检测和攻击发起者分析***。
背景技术
随着移动设备的普及和IOT设备的海量增长,网络流量的速率呈现着几何倍数的递增,同时也伴随着网络攻击的泛滥。在如今的网络环境中,网络攻击的异常流量和海量的常规流量混杂,给企业的网络财产保护提出了严峻的考验。企业防火墙作为保护企业网络财产的关键性设施,所有从外部网络向内部服务器传输的报文都会首先发往防火墙网关,然后经由防火墙网关转发给内部的不同业务服务器,因此防火墙网关处往往会收到难以计数的海量报文数据,其中包含着来自各种各样不同攻击者伪装的攻击数据。由于网络流速极大,不论存储数据还是即时分析都会造成难以接受的空间/时间消耗,从而导致对于攻击防护的成本高于企业接受的程度。
同时由于线上资产具有的特殊性质,往往会吸引到竞争对手或者黑客的攻击,但是由于互联网其自由的特征,所有的格式合法报文都可以在互联网中得到转发和流通,所以常规的防护工作无法识别的发起者和真实来源,更不提进行网络攻击的溯源。使得企业没有办法掌握足够的信息来找出攻击发起者的嫌疑对象,从而进一步完善防御或者掌握其发起攻击的证据。
发明内容
针对现有技术的不足,本发明提供一种基于网络流量报文的异常检测和攻击发起者分析***,该***可以挖掘出单次攻击中发起者的特征,定位攻击的发起嫌疑人。具体技术方案如下:
一种基于网络流量报文的异常检测和攻击发起者分析***,该***包括数据属性提取模块、攻击者群类特征生成模块以及攻击检测模块;
所述的数据属性提取模块用于从防火墙网关截获网络流量的原始报文数据,并且根据截获的原始报文数据提取网络流速,解析报文信息生成基础属性特征,并且将这些属性特征存储在数据库;
所述的攻击者群类特征生成模块用于对原始数据标准化处理,然后计算数据的复杂属性,采用分类器交叉验证,根据最优结果分配各个属性的权重,最后采用聚类算法的交叉验证,引入无监督机器学习聚类指标,采取聚类指标得分最高的聚类模型得出攻击者群类特征聚类;
所述的攻击检测模块用于对所有触发自定义规则的网络流量报文进行攻击群类特征的匹配分析和攻击者群类特征的增量修正。
进一步地,所述的数据属性提取模块包括如下三个子模块:
(1)部署在防火墙网关的报文截获子模块,该子模块由自定义的规则构建,对于未触发自定义规则的常规流量进行流速的监控,对于触发自定义规则的异常网络流量,进行网络流量报文的截获,并将信息转发给数据属性解析计算子模块,同时对外开放自定义规则修改接口;
(2)部署在服务器上的数据属性解析计算子模块,该子模块用于判断报文是否合法,丢弃非法的报文并记录非法报文所占比例,并解析合法报文的各项属性,丢弃加密信息;
(3)数据库存储子模块,使用MongoDB作为数据库的框架,采用JSON的输入格式来记录解析后的特征属性。
进一步地,所述的攻击者群类特征生成模块对数据标准化处理时,首先丢弃无效数据,然后判断数据类型,统一非数字类型数据的格式标准,正规化部分数据,数字化部分枚举类型。
进一步地,所述的攻击者群类特征生成模块通过结合多个原始数据属性计算数据的复杂属性。
进一步地,所述的攻击者群类特征生成模块进行属性特征权重分配时,采用已经标记的攻击类型,且经过原始数据标准化、复杂属性特征计算的特征属性作为训练数据集,采用多种分类器交叉验证,根据最优结果分配各个属性的权重,抛弃权重比例低的属性。
进一步地,所述的攻击者群类特征生成模块执行无监督机器学习聚类时,首先选取权重比例高的属性数据,采用多种聚类算法进行交叉验证,同时引入多种无监督机器学习聚类指标,采取指标得分最高的聚类模型,得出攻击者群类特征聚类。
进一步地,所述的攻击检测模块进行攻击群类特征的匹配分析时,首先根据新攻击标准化、复杂属性计算得到的属性特征,计算其与现有的不同攻击群类特征簇质心的映射距离,映射距离不超过最大阈值时,归于映射距离最小的攻击群类特征中。
进一步地,所述的攻击检测模块进行攻击者群类特征的增量修正时,对于所述的映射距离大于最大阈值的攻击特征,生成新的攻击群类簇,并将其添加至现有攻击群类特征中,如此循环更新特征群类簇的质心。
本发明的有益效果如下:
本发明的异常检测和攻击发起者分析***通过对于企业防火墙搭建自定义规则的监视器,完成攻击流量数据的信息提取和存储,构建了一个较为完善的不同攻击者行为特征局限和偏好的数据库;通过对于数据库所存储的基础信息的标准化和复杂信息的计算,提取出可利用的信息,并且通过权重分析筛选去除低价值信息,降低了信息存储的容量;通过机器学习的方法生成了攻击者群类特征,可以帮助企业挖掘出单次攻击中发起者的特征,定位攻击的发起嫌疑人。
附图说明
图1为本发明的基于网络流量报文的异常检测和攻击发起者分析***。
具体实施方式
下面根据附图和优选实施例详细描述本发明,本发明的目的和效果将变得更加明白,应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明的基于网络流量报文的异常检测和攻击发起者分析***,该***包括:
(1)数据属性提取模块,该模块用于从防火墙网关截获网络流量的原始报文数据,并且根据截获的原始报文数据提取网络流速,解析报文信息生成基础属性特征,并且将这些属性特征存储在数据库;该模块具体实现分为三个子模块进行部署:
①部署在防火墙网关的报文截获子模块,该子模块由自定义的规则构建,对于未触发自定义规则的常规流量进行流速的监控,对于触发自定义规则的异常网络流量,进行网络流量报文的截获,并将信息转发给数据属性解析计算子模块,同时对外开放自定义规则修改接口;其中,网络流量报文为触发报文截获子模块自定义攻击规则的单次攻击包含的全部流量报文。
②部署在服务器上的数据属性解析计算子模块,该子模块用于判断报文是否合法,丢弃非法的报文并记录非法报文所占比例,并解析合法报文的各项属性,丢弃加密信息;
③数据库存储子模块,该子模块使用MongoDB作为数据库的框架,采用JSON的输入格式来记录解析后的特征属性。
(2)攻击者群类特征生成模块,该模块用于按顺序实现如下功能:1)原始数据标准化;2)复杂属性特征计算;3)属性特征权重分配;4)无监督机器学习聚类。从而形成对(1)中数据的信息整合和群类特征生成。具体如下:
①原始数据标准化:对于触发自定义规则的异常网络流量,首先丢弃无效数据,例如非法数据类型,特殊数据等,然后判断数据类型,统一非数字类型数据的格式标准,正规化部分数据,数字化部分枚举类型;
②复杂属性特征计算:即结合多个原始数据属性进行计算得到的属性,例如端口配对关系、不同端口所占比例、源IP比例、IP配对比例等展现出原始单项数据所不具备的高级意义;
③属性特征权重分配:采用已经标记的攻击类型,且经过原始数据标准化、复杂属性特征计算的特征属性作为训练数据集,采用多种分类器(例如岭回归、支持向量机、随机森林)交叉验证,根据最优结果分配各个属性的权重,抛弃权重比例低的属性;
④无监督机器学习聚类:选取经过所述属性特征权重分配步骤进行属性筛选后的权重比例高的属性数据,采取多种聚类算法(例如k-means聚类算法、Mean-shift聚类算法、谱聚类算法、层次聚类算法)进行交叉验证,同时引入多种无监督机器学习聚类指标(例如质心距离指标、簇内方差指标、聚类比例布局指标、Calinski_harabaz分数),采取指标得分最高的聚类模型,得出攻击者群类特征聚类。所述的攻击者群类特征是不同类型攻击者在发起网络攻击中,所展现出的能力局限和偏好特征,通常表现为攻击期间的最高流速局限,攻击持续时长,伪装报文偏好特征。
(3)攻击检测模块,该模块用于对所有触发自定义规则的网络流量报文进行攻击群类特征的匹配分析和攻击者群类特征的增量修正,具体如下:
①攻击群类特征的匹配分析:对于触发自定义规则的流量报文首先需要经攻击者群类特征生成模块进行原始数据标准化以及计算复杂属性特征。然后通过该模块对其进行攻击群类特征的匹配分析,即计算其与不同攻击群类特征簇质心的映射距离,映射距离不超过最大阈值时,归于映射距离最小的攻击群类特征中;
②攻击者群类特征的增量修正,对于所述的映射距离大于最大阈值的攻击特征,生成新的攻击群类簇,并将其添加至现有攻击群类特征中,如此循环更新特征群类簇的质心。
如图1所示,将本发明的基于网络流量报文的异常检测和攻击发起者分析***部署在一个企业级的防火墙上,并连接线上的真实网络环境。设置自定义规则,敏感流速阈值,持续时间。同时维持防火墙和服务器数据库连接端口的运行。本发明的***搭载于企业级别的防火墙运行超过一月时长,具体地,维护了单个业务的流量监控和攻击者挖掘工作。
下面给出本发明的***具体应用的实施例,从而验证本发明的***的功能效果。
实施例1
对于最为常见且泛滥的DDOS攻击,此攻击的常见表现有二:
一、DDOS攻击往往呈现出极高的攻击速率、较长的攻击时长,从而导致处理能力较弱的服务器出现瘫痪,无法正常处理正常的请求。
二、DDOS攻击的攻击报文往往错误且重复,即使进行IP伪装绕过拦截,其中的内容也混乱无序。
如果攻击者来自同一个发起人,其绑架了众多的僵尸机来发起攻击,常规的攻击检测只能发现攻击的流速出现异常,且阻隔一些异常的IP,但是攻击者可以使用伪装的方式,更改自身IP甚至签名来绕过黑名单的阻拦,从而保证DDOS攻击能够持续较长时间。
为了找出上述攻击的攻击嫌疑者,通过本发明的***中的数据库,记录了在较长时间内所有的DDOS攻击的一些摘要信息和数据流速信息,保存了一些被准确标记来源的攻击者的攻击记录,这确保了攻击者的信息的丰富性和完善性。
为了找出DDOS攻击的攻击嫌疑者,通过本发明的***中的攻击者群类特征生成模块,针对30G的网络流量摘要,进行了数据的标准化和复杂属性的生产,生成了数据端口比例、源IP比例、IP重复率、IP报文类型等复杂属性,并通过权重分配,抛弃了各种低权重属性,例如最小端口值,ICMP报文比例等。
最终对高价值权重属性,采用了k-means聚类算法,Mean-shift聚类算法,谱聚类算法,层次聚类算法进行交叉验证,确定了k-means中聚类数为5为Calinski_harabaz分数最高的分类结果为最佳分类效果。其中各个类的最高比例为40.78%,最低比例为2.8%,质心方差距离远高于簇内方差,表明分类效果明显。根据企业方传回攻击者效果判断,分类效果良好。
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。
Claims (4)
1.一种基于网络流量报文的异常检测和攻击发起者分析***,其特征在于,该***包括数据属性提取模块、攻击者群类特征生成模块以及攻击检测模块;
所述的数据属性提取模块用于从防火墙网关截获网络流量的原始报文数据,并且根据截获的原始报文数据提取网络流速,解析报文信息生成基础属性特征,并且将这些属性特征存储在数据库;
所述的攻击者群类特征生成模块先对原始数据标准化处理,标准化处理时,首先丢弃无效数据,然后判断数据类型,统一非数字类型数据的格式标准,正规化部分数据,数字化部分枚举类型;然后通过结合多个原始数据属性计算数据的复杂属性,采用分类器交叉验证,根据最优结果分配各个属性的权重,最后采用聚类算法的交叉验证,引入无监督机器学习聚类指标,采取聚类指标得分最高的聚类模型得出攻击者群类特征聚类;
所述的攻击检测模块用于对所有触发自定义规则的网络流量报文进行攻击群类特征的匹配分析和攻击者群类特征的增量修正;
其中,所述的攻击检测模块进行攻击群类特征的匹配分析时,首先根据新攻击标准化、复杂属性计算得到的属性特征,计算其与现有的不同攻击群类特征簇质心的映射距离,映射距离不超过最大阈值时,归于映射距离最小的攻击群类特征中;
所述的攻击检测模块进行攻击者群类特征的增量修正时,对于所述的映射距离大于最大阈值的攻击特征,生成新的攻击群类簇,并将其添加至现有攻击群类特征中,如此循环更新特征群类簇的质心。
2.根据权利要求1所述的基于网络流量报文的异常检测和攻击发起者分析***,其特征在于,所述的数据属性提取模块包括如下三个子模块:
(1)部署在防火墙网关的报文截获子模块,该子模块由自定义的规则构建,对于未触发自定义规则的常规流量进行流速的监控,对于触发自定义规则的异常网络流量,进行网络流量报文的截获,并将信息转发给数据属性解析计算子模块,同时对外开放自定义规则修改接口;
(2)部署在服务器上的数据属性解析计算子模块,该子模块用于判断报文是否合法,丢弃非法的报文并记录非法报文所占比例,并解析合法报文的各项属性,丢弃加密信息;
(3)数据库存储子模块,使用MongoDB作为数据库的框架,采用JSON的输入格式来记录解析后的特征属性。
3.根据权利要求1所述的基于网络流量报文的异常检测和攻击发起者分析***,其特征在于,所述的攻击者群类特征生成模块进行属性特征权重分配时,采用已经标记的攻击类型,且经过原始数据标准化、复杂属性特征计算的特征属性作为训练数据集,采用多种分类器交叉验证,根据最优结果分配各个属性的权重,抛弃权重比例低的属性。
4.根据权利要求1所述的基于网络流量报文的异常检测和攻击发起者分析***,其特征在于,所述的攻击者群类特征生成模块执行无监督机器学习聚类时,首先选取权重比例高的属性数据,采用多种聚类算法进行交叉验证,同时引入多种无监督机器学习聚类指标,采取指标得分最高的聚类模型,得出攻击者群类特征聚类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011155629.5A CN112422513B (zh) | 2020-10-26 | 2020-10-26 | 一种基于网络流量报文的异常检测和攻击发起者分析*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011155629.5A CN112422513B (zh) | 2020-10-26 | 2020-10-26 | 一种基于网络流量报文的异常检测和攻击发起者分析*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422513A CN112422513A (zh) | 2021-02-26 |
| CN112422513B true CN112422513B (zh) | 2021-10-26 |
Family
ID=74841553
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011155629.5A Active CN112422513B (zh) | 2020-10-26 | 2020-10-26 | 一种基于网络流量报文的异常检测和攻击发起者分析*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422513B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949555B (zh) * | 2021-10-13 | 2023-01-31 | 中国商用飞机有限责任公司 | 基于时间标记和数据比对模块的机上网络防御方法和*** |
| CN114205161B (zh) * | 2021-12-13 | 2024-03-29 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
| CN115277098B (zh) * | 2022-06-27 | 2023-07-18 | 深圳铸泰科技有限公司 | 一种基于智能学习的网络流量异常检测装置及方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001825B (zh) * | 2012-11-15 | 2016-03-02 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和*** |
| KR101621019B1 (ko) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
| JP7013940B2 (ja) * | 2018-02-27 | 2022-02-01 | 日本電信電話株式会社 | 分類装置および分類方法 |
| CN109960729B (zh) * | 2019-03-28 | 2022-01-18 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及*** |
| CN110213287B (zh) * | 2019-06-12 | 2020-07-10 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110519248B (zh) * | 2019-08-19 | 2020-11-24 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
| CN111107102A (zh) * | 2019-12-31 | 2020-05-05 | 上海海事大学 | 基于大数据实时网络流量异常检测方法 |
| CN111507368B (zh) * | 2020-01-03 | 2022-07-05 | 浙江大学 | 一种校园网入侵检测方法和*** |
| CN111800430B (zh) * | 2020-07-10 | 2022-06-17 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
-
2020
- 2020-10-26 CN CN202011155629.5A patent/CN112422513B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422513A (zh) | 2021-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11658992B2 (en) | Lateral movement candidate detection in a computer network | |
| CN112422513B (zh) | 一种基于网络流量报文的异常检测和攻击发起者分析*** | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
| Bajtoš et al. | Network intrusion detection with threat agent profiling | |
| Brandao et al. | Log Files Analysis for Network Intrusion Detection | |
| Gautam et al. | Anomaly detection system using entropy based technique | |
| CN115080554B (zh) | 一种基于多维数据碰撞分析的告警方法及*** | |
| Daneshgadeh et al. | A hybrid approach to detect DDoS attacks using KOAD and the Mahalanobis distance | |
| Lugo-Cordero et al. | What defines an intruder? an intelligent approach | |
| CN114157514B (zh) | 一种多路ids集成检测方法和装置 | |
| CN117278335B (zh) | 一种密码套件推选方法、装置、电子设备和存储介质 | |
| CN112637217B (zh) | 基于诱饵生成的云计算***的主动防御方法及装置 | |
| Li et al. | Task‐Oriented Network Abnormal Behavior Detection Method | |
| CN109657447B (zh) | 一种设备指纹生成方法及装置 | |
| US20240146747A1 (en) | Methods and systems for multi-cloud breach detection using ensemble classification and deep anomaly detection | |
| Usman et al. | Deep Neural Network-based Method for Detection and Classification of Malicious Network Traffic | |
| Abaid | Time-sensitive prediction of malware attacks and analysis of machine-learning classifiers in adversarial settings | |
| Kishore | A Multi Approach for the Analysis of Feature Selection using Data Gain and BAT Techniques on the Anomaly Detection | |
| Manimegalai et al. | Intrusion Detection Using Bloom and XOR Filters Check for updates | |
| CN114186232A (zh) | 一种网络攻击团队识别方法、装置、电子设备及存储介质 | |
| Zhang et al. | Identification of SSH Honeypots Using Machine Learning Techniques Based on Multi-Fingerprinting | |
| Gondalia et al. | A Survey of Advancement in AnomalyIntrusion Detection System | |
| Joshi et al. | Enhanced Network Security against SQL Injection Attack Using Machine Learning | |
| Khan et al. | Guardians of the IoT: A Symphony of Ensemble Learning for DDoS Attack Resilience |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20230817 Granted publication date: 20211026 |
|
| PP01 | Preservation of patent right |