CN117061249B - 基于网络流量的入侵监控方法及*** - Google Patents
基于网络流量的入侵监控方法及*** Download PDFInfo
- Publication number
- CN117061249B CN117061249B CN202311316100.0A CN202311316100A CN117061249B CN 117061249 B CN117061249 B CN 117061249B CN 202311316100 A CN202311316100 A CN 202311316100A CN 117061249 B CN117061249 B CN 117061249B
- Authority
- CN
- China
- Prior art keywords
- unit
- decision tree
- data
- monitoring
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 147
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000003066 decision tree Methods 0.000 claims abstract description 123
- 238000012549 training Methods 0.000 claims abstract description 59
- 238000012545 processing Methods 0.000 claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 21
- 238000012800 visualization Methods 0.000 claims abstract description 18
- 238000013480 data collection Methods 0.000 claims abstract description 11
- 238000004458 analytical method Methods 0.000 claims description 83
- 238000001514 detection method Methods 0.000 claims description 16
- 241001501944 Suricata Species 0.000 claims description 14
- 230000002068 genetic effect Effects 0.000 claims description 9
- 238000012216 screening Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 6
- 230000010354 integration Effects 0.000 claims description 4
- 230000035772 mutation Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000007405 data analysis Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013079 data visualisation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于网络流量的入侵监控方法及***,其中,所述***包括数据采集单元、网络监测单元、Logstash单元、存储单元、可视化单元、数据转发单元、数据收集单元和决策树训练单元;数据采集单元与网络监测单元通信连接,网络监测单元依次通过数据收集单元和数据转发单元与Logstash单元通信连接,Logstash单元与可视化单元通信连接,数据采集单元、网络监测单元、Logstash单元、可视化单元和决策树训练单元分别与存储单元通信连接。本发明基于流量采集、处理和恶意进攻行为识别的强大技术体系,能够更好地满足网络监控的需求,并具备一定的灵活性和扩展性。
Description
技术领域
本发明涉及网络安全技术领域,具体地说是一种基于网络流量的入侵监控方法及***。
背景技术
随着互联网的快速发展,大量的网络流量涌入网络,给网络安全带来了诸多挑战。为了保护网络安全,监控和分析网络流量变得至关重要。
目前已有一些对网络流量进行监控分析技术方案,但它们存在一些限制和不足之处。以下是其中几种常见的技术方案:
1. 传统网络监控***:传统的网络监控***主要针对IPv4网络设计,无法完全适应IPv6网络的需求。这些***通常基于SNMP(Simple Network Management Protocol)和NetFlow等协议来采集网络流量数据,并使用规则引擎来检测和报警。然而,在IPv6网络中,SNMP的功能受限,NetFlow协议需要升级到IPv6版本才能支持IPv6流量的采集和分析。
2. Suricata和ELK栈:Suricata是一个开源入侵检测和防火墙***,支持IPv6网络。ELK栈(Elasticsearch、Logstash和Kibana)是一个流行的开源日志分析平台。结合Suricata和ELK栈,可以实现对IPv6网络的流量采集、分析和可视化展示。然而,该方案对于高吞吐、海量数据分析尚显不足。
发明内容
为此,本发明所要解决的技术问题在于提供一种基于网络流量的入侵监控方法及***,基于流量采集、处理和恶意进攻行为识别的强大技术体系,能够更好地满足网络监控的需求,并具备一定的灵活性和扩展性。
为解决上述技术问题,本发明提供如下技术方案:
基于网络流量的入侵监控方法,包括如下步骤:
S1)数据采集单元采集经过网络数据转发设备的网络流量并将采集的网络流量发送至网络监测单元进行监测分析;
S2)网络监测单元中内置有Suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块分别对步骤S1)中数据采集单元所采集到的网络流量进行分析并将分析结果发送Logstash单元进行处理;
S3)Logstash单元对步骤S2)中得到分析结果和步骤S1)所采集的网络流量进行数据整合和数据统一处理得到处理后数据并将处理后数据在可视化单元展示。
上述方法,在步骤S3)中,Logstash单元将处理后数据发送至决策树训练单元对决策树模型进行训练,决策树训练单元将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。
上述方法,决策树训练单元每次训练决策树模型时所使用的决策树基础模型版本不低于决策树训练单元每次训练决策树模型时第二监测分析模块中内置的决策树模型的版本。
上述方法,决策树训练单元在对决策树模型进行训练前,先依据数据的信息增益将处理后数据分为训练组数据和验证组数据,然后用训练组数据和验证组数据对决策树模型进行训练。
上述方法,决策树训练单元利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理,并将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。
上述方法,网络监测单元通过数据收集单元和数据转发单元与Logstash单元通信连接。
一种利用上述基于网络流量的入侵监控方法进行入侵监控的***,包括:
数据采集单元,用于采集经过网络数据转发设备的网络流量;
网络监测单元,用于对网络流量进行监测分析;网络监测单元包括内置有Suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块,第一监测分析模块和第二监测分析模块分别对数据单元采集到的网络流量进行监测分析;
Logstash单元,用于对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理;数据统一处理包括数据过滤和转换;
存储单元,用于存储数据采集单元采集的网络流量、网络监测单元对网络流量进行监测分析得到的分析结果和Logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据;
可视化单元,用于对Logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据进行展示;
数据采集单元与网络监测单元通信连接,网络监测单元与Logstash单元通信连接,Logstash单元与可视化单元通信连接,数据采集单元、网络监测单元、Logstash单元和可视化单元分别与存储单元通信连接。
上述***,还包括数据转发单元和用于对网络检测单元分析结果进行收集的数据收集单元,网络监测单元依次通过数据收集单元和数据转发单元与Logstash单元通信连接。
上述***,还包括用于对决策树模型进行训练的决策树训练单元,决策树训练单元利用Logstash单元处理后得到的处理后数据对决策树模型进行训练,并将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。
上述***,决策树训练单元内置有决策树筛选模块,决策树筛选模块利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理,然后再由决策树训练单元将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。
本发明的技术方案取得了如下有益的技术效果:
1.本发明采用了新型的网络入侵检测技术和算法,因此可以提供更准确、全面的网络入侵检测能力。这意味着它可以更好地识别已知攻击、应对未知攻击和零日漏洞等,从而提高网络的安全性。
2.本发明改进了大数据分析技术,以适应网络的复杂特征。这使得***能够更快速、准确地分析海量的网络数据,识别潜在的网络威胁和异常行为。这种敏捷的大数据分析能力使得***能够更及时地响应和应对各种威胁。
3.通过深入分析和解释网络流量的多样化特征,***可以更精确地识别异常行为和潜在的攻击行为。这种基于流量特征的行为分析能力提高了***的准确性和可信度。
4.本发明提供了高性能和灵活配置管理。通过优化算法、采用并行计算和分布式处理等技术手段,***的性能和响应速度得到了提高。此外,***还提供了灵活的配置管理界面,使管理员能够根据需要进行监控策略和规则的定制。这种高性能和灵活配置管理使得***更加适应各种复杂的网络环境和需求。
附图说明
图1为本发明中基于网络流量的入侵监控***的工作原理图;
图2为本发明中基于网络流量的入侵监控流程图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,基于网络流量的入侵监控的***,包括数据采集单元、网络监测单元、Logstash单元、存储单元、可视化单元、数据转发单元、数据收集单元和决策树训练单元,网络监测单元包括内置有Suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块,第一监测分析模块和第二监测分析模块分别对数据单元采集到的网络流量进行监测分析;数据采集单元与网络监测单元通信连接,网络监测单元依次通过数据收集单元和数据转发单元与Logstash单元通信连接,Logstash单元与可视化单元通信连接,数据采集单元、网络监测单元、Logstash单元、可视化单元和决策树训练单元分别与存储单元通信连接。
本实施例中,数据采集单元用于采集经过网络数据转发设备的网络流量,选用传感器(数据包捕获装置)监视通过网络交换机或路由器上的SPAN端口或者使用网络TAP设备镜像到传感器的网络通信数据包,其中,网络通信数据包的格式为PCAP;网络监测单元用于对网络流量进行监测分析;Logstash单元用于对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理,为后续的数据分析、查询和可视化提供了可靠的基础,其中,数据统一处理包括数据过滤和转换;存储单元,用于存储数据采集单元采集的网络流量、网络监测单元对网络流量进行监测分析得到的分析结果和Logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据;可视化单元,用于对Logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据进行展示;决策树训练单元内置有决策树筛选模块,决策树训练单元利用Logstash单元处理后得到的处理后数据对决策树模型进行训练,然后由决策树筛选模块利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理,然后再由决策树训练单元将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。遗传算法可以对训练得到的决策树模型进行选择并获得优良的决策树模型进行繁殖,即:根据自定义的目标函数筛选除优质的群体,再通常采用随机交叉或随机变异操作来生成下一代群体,并及时更新形成新的决策树模型,通过反复的更新迭代,来让利用决策树模型来检测潜在的入侵行为达到更优得效果。
Suricata引擎是一种网络入侵检测和预防***,可以通过分析网络流量来发现和阻止潜在的攻击。
决策树模型用以解决分类和回归问题,实现对网络流量的安全检测和分类,并产生用来表示一个样本或数据点的分类或归属的Label,它可以帮助用户了解模型应该如何将数据映射到特定的类别或结果。
Suricata引擎和决策树模型都可以用于对潜在的入侵行为进行检测。当检测到异常网络流量时,第二监测分析模块将利用决策树模型根据特征判断异常网络流量是否为恶意攻击,并向相关人员发出警报。在网络监测单元中,第一监测分析模块利用Suricata引擎对网络流量进行标准检验并获取标准的检验数据,第二监测分析模块则是利用决策树模型对网络流量进行分类,用以对第一监测分析模块进行的检测进行数据互补,并对第一监测分析模块进行的检测尽可能的进行查漏补缺,而且在迭代更新中利用遗传算法的变异逻辑来获得可以捕获Suricata引擎没有能力捕获的数据的能力。
数据收集单元选用的是Filebeat,Filebeat是一个轻量级日志传输工具,其主要作用是实时收集、解析和发送日志文件数据。
数据转发单元选用的是kafka,作为一种分布式流处理平台,kafka以高吞吐量、可持久化的方式接受和传递消息。Kafka能够高效地接受和传递大量的消息,保证数据的持久性和可靠性。其分布式架构和分区机制使得Kafka能够在大规模的数据流处理场景下发挥作用,并满足高吞吐量和低延迟的需求。
存储单元选用的是ClickHouse,作为一个高性能、列式存储的分布式数据库管理***,ClickHouse主要用于大规模数据分析和查询。本发明中采集到的所有数据最后都会存入ClickHouse中。ClickHouse在机器学***扩展性,同时还提供灵活的数据模型和SQL支持,以及高效的数据压缩和存储效率。在机器学习任务中能够提升数据处理和训练的效率,并支持大规模、实时的机器学习应用。
可视化单元选用的是Grafana,作为一个开源的数据可视化和监控工具,Grafana提供了丰富的仪表盘、图表和警报功能,用于展示和监控各种指标数据。Grafana为用户提供了方便的数据查询、分析和协作方式,使得数据的可视化和监控工作更加高效和灵活。
如图2所示,利用所述基于网络流量的入侵监控***对网络中入侵行为进行监控,具体操作为:
S1)数据采集单元采集经过网络数据转发设备的网络流量并将采集的网络流量发送至网络监测单元进行监测分析;其中,网络数据转发设备包括交换机和路由器;
S2)网络监测单元中内置有Suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块分别对步骤S1)中数据采集单元所采集到的网络流量进行分析并将分析结果发送Logstash单元进行处理;
S3)Logstash单元对步骤S2)中得到分析结果和步骤S1)所采集的网络流量进行数据整合和数据统一处理得到处理后数据并将处理后数据在可视化单元展示。
本发明中,在步骤S3)中,Logstash单元将处理后数据发送至决策树训练单元对决策树模型进行训练,决策树训练单元将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新,且决策树训练单元每次训练决策树模型时所使用的决策树基础模型版本不低于决策树训练单元每次训练决策树模型时第二监测分析模块中内置的决策树模型的版本。随着对决策树模型的训练以及对第二监测分析模块中的决策树模型进行迭代更新,可以为用户提供更准确、全面的网络入侵检测能力,包括识别已知攻击、应对未知攻击和零日漏洞等,同时还可以提高***的检测准确性和覆盖范围。
为了便于对决策树模型的训练,在对决策树模型进行训练前,先由决策树训练单元依据数据的信息增益将处理后数据分为训练组数据和验证组数据,然后用训练组数据和验证组数据对决策树模型进行训练,再由决策树筛选模块利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理,并由决策树训练单元将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。其中,对处理后数据进行分组时,所依据的数据的信息熵、条件熵和信息增益通过如下公式计算得到:
其中,H(D)表示数据的信息熵,表示数据的条件熵,g(D,A)表示数据的信息增益。
当对具有较多设备的网络进行入侵监控时,则需要设置多个数据采集单元和相应数量的网络监测单元以及相应数量的数据收集单元,每个路由器或者交换机配置一个由一个数据采集单元、一个网络监测单元和一个数据收集单元构成的网络入侵监测组件,并由网络入侵监测组件对经过该路由器或交换机的网络流量进行入侵监测,此时利用Filebeat充当数据收集单元,作为一个轻量级日志传输工具,Filebeat既可以快速安全得收集数据,又不会占用太多得资源,最后统一传送到kafka,统一进行数据收集。并且在此种情况下,每个网络监测单元的第二监测分析单元中都设置一个决策树模型,不同的第二监测分析单元中的决策树模型可能不同,此时,决策树训练单元中存在与网络监测单元数量相同的决策树基础模型,在决策树训练单元对决策树基础模型进行训练结束后,由决策树筛选模块根据自定义目标函数对训练后的决策树基础模型进行筛选,筛选出个体优良的训练后的决策树模型,然后再由决策树训练单元利用遗传算法对优选出来的训练后的决策树模型进行随机交叉或随机变异操作来生成下一代群体,并及时更新形成新的决策树模型,通过反复的更新迭代,来让第二监测分析检测潜在的入侵行为达到更优得效果。
本发明中,通过Suricata引擎和决策树模型对网络流量进行结合性的入侵监控,有效地提高了异常流量中入侵的检测能力,从而提供更准确、全面的网络入侵检测能力,包括识别已知攻击、应对未知攻击和零日漏洞等,同时提高***的检测准确性和覆盖范围。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (9)
1.基于网络流量的入侵监控方法,其特征在于,包括如下步骤:
S1)数据采集单元采集经过网络数据转发设备的网络流量并将采集的网络流量发送至网络监测单元进行监测分析;
S2)网络监测单元中内置有Suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块分别对步骤S1)中数据采集单元所采集到的网络流量进行分析并将分析结果发送Logstash单元进行处理;
S3)Logstash单元对步骤S2)中得到分析结果和步骤S1)所采集的网络流量进行数据整合和数据统一处理得到处理后数据并将处理后数据在可视化单元展示;Logstash单元将处理后数据发送至决策树训练单元对决策树模型进行训练,决策树训练单元将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。
2.根据权利要求1所述的方法,其特征在于,决策树训练单元每次训练决策树模型时所使用的决策树基础模型版本不低于决策树训练单元每次训练决策树模型时第二监测分析模块中内置的决策树模型的版本。
3.根据权利要求1所述的方法,其特征在于,决策树训练单元在对决策树模型进行训练前,先依据数据的信息增益将处理后数据分为训练组数据和验证组数据,然后用训练组数据和验证组数据对决策树模型进行训练。
4.根据权利要求1所述的方法,其特征在于,决策树训练单元利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理,并将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。
5.根据权利要求1所述的方法,其特征在于,网络监测单元通过数据收集单元和数据转发单元与Logstash单元通信连接。
6.一种利用权利要求1所述的基于网络流量的入侵监控方法进行入侵监控的***,其特征在于,包括:
数据采集单元,用于采集经过网络数据转发设备的网络流量;
网络监测单元,用于对网络流量进行监测分析;网络监测单元包括内置有Suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块,第一监测分析模块和第二监测分析模块分别对数据单元采集到的网络流量进行监测分析;
Logstash单元,用于对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理;数据统一处理包括数据过滤和转换;
存储单元,用于存储数据采集单元采集的网络流量、网络监测单元对网络流量进行监测分析得到的分析结果和Logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据;
可视化单元,用于对Logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据进行展示;
数据采集单元与网络监测单元通信连接,网络监测单元与Logstash单元通信连接,Logstash单元与可视化单元通信连接,数据采集单元、网络监测单元、Logstash单元和可视化单元分别与存储单元通信连接。
7.根据权利要求6所述的***,其特征在于,还包括数据转发单元和用于对网络检测单元分析结果进行收集的数据收集单元,网络监测单元依次通过数据收集单元和数据转发单元与Logstash单元通信连接。
8.根据权利要求6所述的***,其特征在于,还包括用于对决策树模型进行训练的决策树训练单元,决策树训练单元利用Logstash单元处理后得到的处理后数据对决策树模型进行训练,并将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。
9.根据权利要求8所述的***,其特征在于,决策树训练单元内置有决策树筛选模块,决策树筛选模块利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理,然后再由决策树训练单元将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311316100.0A CN117061249B (zh) | 2023-10-12 | 2023-10-12 | 基于网络流量的入侵监控方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311316100.0A CN117061249B (zh) | 2023-10-12 | 2023-10-12 | 基于网络流量的入侵监控方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117061249A CN117061249A (zh) | 2023-11-14 |
CN117061249B true CN117061249B (zh) | 2024-04-26 |
Family
ID=88657596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311316100.0A Active CN117061249B (zh) | 2023-10-12 | 2023-10-12 | 基于网络流量的入侵监控方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061249B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104348741A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于多尺度分析和决策树的p2p流量检测方法和*** |
CN106603538A (zh) * | 2016-12-20 | 2017-04-26 | 北京安信天行科技有限公司 | 一种入侵检测方法及*** |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测*** |
CN112350882A (zh) * | 2020-09-28 | 2021-02-09 | 广东电力信息科技有限公司 | 一种基于分布式的网络流量分析***及方法 |
CN112528277A (zh) * | 2020-12-07 | 2021-03-19 | 昆明理工大学 | 一种基于循环神经网络的混合入侵检测方法 |
CN113542253A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种网络流量检测方法、装置、设备及介质 |
US11310142B1 (en) * | 2021-04-23 | 2022-04-19 | Trend Micro Incorporated | Systems and methods for detecting network attacks |
CN114710416A (zh) * | 2022-02-23 | 2022-07-05 | 沈阳化工大学 | 一种基于工艺流程并网络流量的实时数据采集方法 |
-
2023
- 2023-10-12 CN CN202311316100.0A patent/CN117061249B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104348741A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于多尺度分析和决策树的p2p流量检测方法和*** |
CN106603538A (zh) * | 2016-12-20 | 2017-04-26 | 北京安信天行科技有限公司 | 一种入侵检测方法及*** |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测*** |
CN112350882A (zh) * | 2020-09-28 | 2021-02-09 | 广东电力信息科技有限公司 | 一种基于分布式的网络流量分析***及方法 |
CN112528277A (zh) * | 2020-12-07 | 2021-03-19 | 昆明理工大学 | 一种基于循环神经网络的混合入侵检测方法 |
US11310142B1 (en) * | 2021-04-23 | 2022-04-19 | Trend Micro Incorporated | Systems and methods for detecting network attacks |
CN113542253A (zh) * | 2021-07-12 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种网络流量检测方法、装置、设备及介质 |
CN114710416A (zh) * | 2022-02-23 | 2022-07-05 | 沈阳化工大学 | 一种基于工艺流程并网络流量的实时数据采集方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117061249A (zh) | 2023-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测***及方法 | |
CN107404400B (zh) | 一种网络态势感知实现方法及装置 | |
CN111277578A (zh) | 加密流量分析特征提取方法、***、存储介质、安全设备 | |
CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及*** | |
CN107360145B (zh) | 一种多节点蜜罐***及其数据分析方法 | |
CN107196930B (zh) | 计算机网络异常检测的方法 | |
CN113259313A (zh) | 一种基于在线训练算法的恶意https流量智能分析方法 | |
CN113206860B (zh) | 一种基于机器学习和特征选择的DRDoS攻击检测方法 | |
CN112383538A (zh) | 一种混合式高交互工业蜜罐***及方法 | |
CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
CN116232774B (zh) | 用于网络安全异常检测的网络路径分析***及方法 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及*** | |
CN115277113A (zh) | 一种基于集成学习的电网网络入侵事件检测识别方法 | |
Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
Kumar et al. | Light weighted CNN model to detect DDoS attack over distributed scenario | |
CN112953961B (zh) | 配电房物联网中设备类型识别方法 | |
Tan et al. | DDoS detection method based on Gini impurity and random forest in SDN environment | |
CN113660267A (zh) | 一种针对IoT环境的僵尸网络检测的***、方法及存储介质 | |
Kornyo et al. | Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms | |
CN117061249B (zh) | 基于网络流量的入侵监控方法及*** | |
CN113162939A (zh) | 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御*** | |
CN112291226A (zh) | 一种网络流量的异常检测方法及装置 | |
Cukier et al. | A statistical analysis of attack data to separate attacks | |
EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |