CN112769827B - 一种网络攻击代理端检测及溯源方法与装置 - Google Patents

一种网络攻击代理端检测及溯源方法与装置 Download PDF

Info

Publication number
CN112769827B
CN112769827B CN202110028901.1A CN202110028901A CN112769827B CN 112769827 B CN112769827 B CN 112769827B CN 202110028901 A CN202110028901 A CN 202110028901A CN 112769827 B CN112769827 B CN 112769827B
Authority
CN
China
Prior art keywords
attack
network
address
data
extracting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110028901.1A
Other languages
English (en)
Other versions
CN112769827A (zh
Inventor
任传伦
郭世泽
冯景瑜
张威
刘晓影
张先国
俞赛赛
乌吉斯古愣
王玥
闫慧
孟祥頔
夏建民
任秋洁
刘文瀚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 15 Research Institute
Xian University of Posts and Telecommunications
Original Assignee
CETC 15 Research Institute
Xian University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 15 Research Institute, Xian University of Posts and Telecommunications filed Critical CETC 15 Research Institute
Priority to CN202110028901.1A priority Critical patent/CN112769827B/zh
Publication of CN112769827A publication Critical patent/CN112769827A/zh
Application granted granted Critical
Publication of CN112769827B publication Critical patent/CN112769827B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络攻击代理端检测及溯源方法与装置,属于计算机网络安全技术领域。所述方法包括:收集攻击日志及数据流,提取控制特征与攻击特征用于训练网络攻击检测模块,网络攻击检测模块在网络接入点处检测网络流量,获取网络攻击数据流并从中提取控制信息与攻击信息;内网设备中均设置有控制模块与检测模块,控制模块通过控制信息与攻击信息检测攻击代理端地址;检测模块用来判断攻击IP的真伪,阻断伪造IP进行攻击。本发明通过提取攻击数据集中的控制信息和攻击信息为训练数据,以网络攻击代理端为目标对检测***进行训练,针对代理端重点防御攻击者,使得攻击者无法构建完整的攻击框架。

Description

一种网络攻击代理端检测及溯源方法与装置
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种基于机器学习的网络攻击代理端检测及溯源方法与装置。
背景技术
我国已经成为全世界遭受网络攻击最为严重的国家之一,网络安全现状十分严峻,如何并根据攻击的来源和种类进行有针对性的防御,如何从根源上阻断网络攻击,是目前网络安全研究的难题。
为了从根源上阻断网络攻击,往往需要追查攻击的源头,比如攻击的IP地址、实施攻击的黑客及其组织等。现有安全防护***大都侧重于对网络攻击的发现与阻断,难以提供对攻击源头的溯源能力。如果无法确定攻击源,也就无法对攻击进行针对性的防护,难以从根本上防止攻击者的再次攻击,更无法对网络攻击者形成威慑力。溯源是网络威慑的关键,网络战争是不可避免的,之所以不可避免,是因为攻击易行而溯源困难重重。通过提升溯源的能力,使得攻击方被发现的概率变高,从而形成威慑,使得攻击方不敢轻举妄动。
在实现本发明实施例的过程中,发明人发现攻击者发动攻击时有时会采用借助代理端的方式对受害者发起攻击,而现有技术的方案中并没有针对代理端的检测。另外攻击者为了躲避溯源也会采用伪造数据包源IP地址的方式,给予防御者错误的导向,现有技术方案也没有针对伪造IP的攻击的解决方案。
发明内容
有鉴于此,本发明提供的一种网络攻击代理端检测及溯源方法与装置,主要目的在于解决现有技术未对利用代理端进行网络攻击进行有效检测和溯源的问题。本发明通过分析提取攻击数据集中的控制信息和攻击信息为训练数据,以网络攻击代理端为目标对检测***进行训练,针对代理端重点防御攻击者,使得攻击者无法构建完整的攻击框架。
根据本发明一个方面,提供了一种网络攻击代理端检测及溯源方法,该方法包括步骤:
S1获取训练数据,预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括但不限于:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括但不限于:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
S2训练网络攻击检测模块;利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块;
S3通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息;
S4当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址;
S5当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
作为本发明的进一步改进,步骤S3还包括伪造IP攻击检测,包括:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行S4;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击。
作为本发明的进一步改进,使用Kafka消息服务预先收集所述攻击数据集。
根据本发明另一个方面,提供了一种网络攻击代理端检测及溯源装置,该装置包括:
获取训练数据模块:预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括但不限于:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括但不限于:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
训练模块:利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块;
提取攻击信息模块:通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息;
控制溯源模块;当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址;当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
作为本发明的进一步改进,还包括伪造IP检测模块:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行所述提取攻击信息模块;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击。
作为本发明的进一步改进,使用Kafka消息服务预先收集所述攻击数据集。
籍由上述技术方案,本发明提供的有益效果如下:
(1)通过分析提取攻击数据集中的控制信息和攻击信息为训练数据,以网络攻击代理端为目标对网络攻击检测模块进行训练,针对代理端重点防御攻击者,使得攻击者无法构建完整的攻击框架。
(2)通过构建动态更新的内网设备地址数据库,对数据流进行源地址检测,阻止攻击者通过伪造数据包源地址进行的攻击。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种网络攻击代理端检测及溯源方法的总体流程图:
图2示出了攻击者利用代理端进行网络攻击的示意图;
图3示出了动态更新的内网设备地址数据库示例。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
可以理解的是,本发明的说明书和权利要求书及附图中的方法与装置中的相关特征可以相互参考。另外,本发明的说明书和权利要求书及附图中的“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
首先,在对本发明实施例进行描述的过程中出现的部分名词或者术语适用于如下解释:
Kafka消息输入服务:Kafka是一个分布式发布/订阅消息传递***。它最初由LinkedIn公司开发,Kafka是一种快速、可扩展的、设计内在就是分布式的,分区的和可复制的提交日志服务。kafka每秒可以处理几十万条消息,它的延迟最低只有几毫秒。
本发明要解决的核心技术问题为,现有技术未对攻击代理端进行有效检测和溯源的问题。
针对上述技术问题,本发明提出一种网络攻击代理端检测及溯源方法与装置,通过分析提取攻击数据集中的控制信息和攻击信息为训练数据,以网络攻击代理端为目标对检测***进行训练,针对代理端重点防御攻击者,使得攻击者无法构建完整的攻击框架。
实施例1
请参考图1,其示出了本发明实施例提供的一种网络攻击代理端检测及溯源方法的总体流程图。
如图1所示,本发明实施例方法主要包括以下步骤:
S1获取训练数据;预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括但不限于:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括但不限于:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
使用日志分析***的Kafka消息输入服务将网络攻击的流量日志、web日志、交换机日志、攻击数据集进行统一的收集,同时使用输入消息的内容提取器对日志进行提取,主要从日志等数据集中提取出攻击特征,控制特征等有意义的数据段。
攻击者控制代理端发动攻击的过程中会有数据流,在此数据流中提取出控制特征同时在攻击者发动的攻击数据流中提取攻击特征。
S2训练网络攻击检测模块;利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块。
融合从日志和数据流中提取的攻击特征和控制特征对网络攻击检测模块进行训练,网络攻击检测模块部署于网络接入点处,用来检测进出内网的流量,进而发现直接攻击与代理攻击。
S3通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息。
S31伪造IP攻击检测:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行S4;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击。
本方法实施例所保护的内部网络中的设备都安装有控制溯源模块和伪造IP检测模块,控制溯源模块用来获取设备收到的数据包,分析数据包的源IP地址;伪造IP检测模块用来依据内网设备地址数据库判断收到的数据包源IP的真伪,用以区分攻击方是使用代理端进行攻击还是使用伪造IP进行攻击。
S4当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
S5当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
请参考图2,其示出攻击者利用代理端进行网络攻击的示意图,攻击主机发送控制流量至代理端,再由代理端发送攻击流量至受害端,实线箭头代表流量,包括控制流量和攻击流量。图中受害端与代理端的控制溯源模块,分别负责攻击数据包和控制数据包的源地址IP的提取;图中的内网设备地址数据库存储内网内所有设备的IP地址和MAC地址相对应的库表,该数据库表的一个结构示例如图3所示。内网设备地址数据库中的表会随着设备IP的变化而动态更新,此目的是为了抵御伪造IP的攻击,流量在经过内网设备时该设备上安装的伪造IP检测模块会检查数据包的源IP地址,并与内网设备地址数据库对应,若IP在数据库表中不存在,说明攻击者伪造了数据包的源IP地址,则该设备拒绝转发此数据包,阻断此次攻击。
若网络攻击检测模块检测到流量中存在攻击特征和控制特征则证明网络此时正在遭受攻击,此时控制溯源模块在受害端提取攻击数据包,从攻击数据包中提取源IP地址,此时返回的是攻击代理端的IP地址;下一步在攻击代理端处用同样的方法,即使用攻击代理端处部署的控制溯源模块收集代理端的控制数据包,提取控制数据包的源IP地址,确定攻击方的IP。
若网络攻击检测模块仅检测到流量中存在攻击特征,不存在控制特征,那么证明攻击者并没有利用代理端,此时受害端部署的控制溯源模块从受害端接收到的流量中提取控制数据包,再从控制数据包提取源IP地址,确定攻击方的IP。
实施例2
进一步的,作为对上述实施例所示方法的实现,本发明另一实施例还提供了一种网络攻击代理端检测及溯源装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。在该实施例的装置中,具有以下模块:
获取训练数据模块:预先收集攻击数据集,攻击数据集包括攻击日志包与攻击数据包,攻击日志包包括但不限于:网络攻击的流量日志、web日志、交换机日志;攻击数据包包括但不限于:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据。获取训练数据模块对应于实施例1中的S1获取训练数据步骤。
训练模块:利用有监督的机器学习方式使用训练数据训练网络攻击检测模块。获取训练数据模块对应于实施例1中的S2训练网络攻击检测模块。
伪造IP攻击检测模块:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的网络攻击数据流提取源IP地址,与内网设备地址数据库匹配,若匹配成功则执行提取攻击信息模块;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击。伪造IP攻击检测模块对应于实施例1中S31伪造IP检测步骤。
提取攻击信息模块:通过网络攻击检测模块检测网络流量,获取网络攻击数据流,从网络攻击数据流中提取控制信息与攻击信息。提取攻击信息模块对应于实施例1中步骤S3。
控制溯源模块;当控制信息与控制信息均存在时,从受害端获取的网络攻击数据流中提取源IP地址为攻击代理端地址,从攻击代理端处获取的网络攻击数据流中提取源IP地址为攻击者地址;当攻击特征存在且控制信息不存在时,从受害端获取的网络攻击数据流中提取源IP地址为攻击者地址。溯源模块对应于实施例1中步骤S4和S5。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

Claims (4)

1.一种网络攻击代理端检测及溯源方法,其特征在于,包括步骤:
S1获取训练数据;预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
S2训练网络攻击检测模块;利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块;
S3通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息;伪造IP攻击检测,包括:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行S4;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击;
S4当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址;
S5当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
2.根据权利要求1所述的网络攻击代理端检测及溯源方法,其特征在于,使用Kafka消息服务预先收集所述攻击数据集。
3.一种网络攻击代理端检测及溯源装置,其特征在于,包括:
获取训练数据模块:预先收集攻击数据集,所述攻击数据集包括攻击日志包与攻击数据包,所述攻击日志包包括:网络攻击的流量日志、web日志、交换机日志;所述攻击数据包包括:攻击者控制代理端的控制数据包、攻击者攻击受害端的攻击数据包;融合所述攻击数据集中的信息并从中提取控制特征与攻击特征为训练数据;
训练模块:利用有监督的机器学习方式使用所述训练数据训练网络攻击检测模块;
提取攻击信息模块:通过所述网络攻击检测模块检测网络流量,获取网络攻击数据流,从所述网络攻击数据流中提取控制信息与攻击信息;伪造IP攻击检测,包括:设置内网设备地址数据库,用于存储内网内所有设备的IP地址和MAC地址;对经过内网设备的所述网络攻击数据流提取源IP地址,与所述内网设备地址数据库匹配,若匹配成功则执行溯源模块;若匹配不成功则判断为伪造IP攻击,拒绝转发此数据包,阻断此次攻击;
溯源模块;当所述控制信息与所述攻击信息均存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击代理端地址,从所述攻击代理端处获取的所述网络攻击数据流中提取源IP地址为攻击者地址;当所述攻击特征存在且所述控制信息不存在时,从受害端获取的所述网络攻击数据流中提取源IP地址为攻击者地址。
4.根据权利要求3所述的网络攻击代理端检测及溯源装置,其特征在于,使用Kafka消息服务预先收集所述攻击数据集。
CN202110028901.1A 2021-01-08 2021-01-08 一种网络攻击代理端检测及溯源方法与装置 Active CN112769827B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110028901.1A CN112769827B (zh) 2021-01-08 2021-01-08 一种网络攻击代理端检测及溯源方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110028901.1A CN112769827B (zh) 2021-01-08 2021-01-08 一种网络攻击代理端检测及溯源方法与装置

Publications (2)

Publication Number Publication Date
CN112769827A CN112769827A (zh) 2021-05-07
CN112769827B true CN112769827B (zh) 2021-09-10

Family

ID=75701226

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110028901.1A Active CN112769827B (zh) 2021-01-08 2021-01-08 一种网络攻击代理端检测及溯源方法与装置

Country Status (1)

Country Link
CN (1) CN112769827B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839944B (zh) * 2021-09-18 2023-09-19 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN114584401B (zh) * 2022-05-06 2022-07-12 国家计算机网络与信息安全管理中心江苏分中心 一种面向大规模网络攻击的追踪溯源***及方法
CN115102785B (zh) * 2022-07-25 2022-11-18 远江盛邦(北京)网络安全科技股份有限公司 一种针对网络攻击的自动溯源***及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959313A (zh) * 2016-06-29 2016-09-21 杭州迪普科技有限公司 一种防范http代理攻击的方法及装置
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和***
CN108881271A (zh) * 2018-07-03 2018-11-23 杭州安恒信息技术股份有限公司 一种代理主机的反向追踪溯源方法及装置
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756759B (zh) * 2020-06-28 2023-04-07 杭州安恒信息技术股份有限公司 一种网络攻击溯源方法、装置及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959313A (zh) * 2016-06-29 2016-09-21 杭州迪普科技有限公司 一种防范http代理攻击的方法及装置
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和***
CN108881271A (zh) * 2018-07-03 2018-11-23 杭州安恒信息技术股份有限公司 一种代理主机的反向追踪溯源方法及装置
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法

Also Published As

Publication number Publication date
CN112769827A (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
CN112769827B (zh) 一种网络攻击代理端检测及溯源方法与装置
CN108616534B (zh) 一种基于区块链防护物联网设备DDoS攻击的方法及***
CN109951500B (zh) 网络攻击检测方法及装置
CN107888607B (zh) 一种网络威胁检测方法、装置及网络管理设备
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
CN107222491B (zh) 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN106302450B (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
CN112788034B (zh) 对抗网络攻击的处理方法、装置、电子设备和存储介质
CN105553974A (zh) 一种http慢速攻击的防范方法
CN110933111B (zh) 一种基于DPI的DDoS攻击识别方法及装置
CN107204965B (zh) 一种密码破解行为的拦截方法及***
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN111083117A (zh) 一种基于蜜罐的僵尸网络的追踪溯源***
CN112671759A (zh) 基于多维度分析的dns隧道检测方法和装置
CN106549980A (zh) 一种恶意c&c服务器确定方法及装置
CN112887274A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN113572730A (zh) 一种基于web的主动自动诱捕蜜罐的实现方法
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
KR20100070623A (ko) 봇 수집ㆍ분석시스템 및 그 방법
CN112751801B (zh) 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备
CN107454043A (zh) 一种网络攻击的监控方法及装置
CN114257403B (zh) 误报检测方法、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant