[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN112073364A - 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质 - Google Patents

一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质 Download PDF

Info

Publication number
CN112073364A
CN112073364A CN202010680538.7A CN202010680538A CN112073364A CN 112073364 A CN112073364 A CN 112073364A CN 202010680538 A CN202010680538 A CN 202010680538A CN 112073364 A CN112073364 A CN 112073364A
Authority
CN
China
Prior art keywords
ddos attack
flow
information
detection system
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010680538.7A
Other languages
English (en)
Inventor
吴潇
王泽�
赵亮
肖益凡
宋东力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chang'an Communication Technology Co ltd
National Computer Network and Information Security Management Center
Original Assignee
Chang'an Communication Technology Co ltd
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chang'an Communication Technology Co ltd, National Computer Network and Information Security Management Center filed Critical Chang'an Communication Technology Co ltd
Priority to CN202010680538.7A priority Critical patent/CN112073364A/zh
Publication of CN112073364A publication Critical patent/CN112073364A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质,通过根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;所述DDoS攻击检测系统对所述流信息进行解析和标记;所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。

Description

一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储 介质
技术领域
本申请实施例涉及计算机网络安全技术领域,具体涉及一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质。
背景技术
分布式拒绝服务(Distributed denial of service attack,DDoS)攻击指借助于客户/服务器技术,使用大量计算机作为攻击平台,对一个或多个目标主机发动流量攻击,例如利用IDC服务器、手机、智能设备、打印机等对目标发起大量攻击请求,占用目标主机资源,使攻击的目标无法正常使用,其特征表现为攻击的发出点分布在不同地方。
目前识别技术方案有:1、基于NetFlow的攻击识别,根据单位时间内流量是否超出设置的阈值来判断主机是否发生DDoS攻击;2、清洗原始流量,依据单位时间内网络流量或者报文数超出设定的阈值来判断是否发生DDoS攻击。
无论是基于NetFlow的攻击识别技术,还是清洗原始流量的攻击识别技术,仅分析IP包的4层内容,包含源地址、目的地址、源端口、目的端口以及协议类型,没有分析应用层及以下的数据内容,不能够直接识别出流量的业务类型,从而不能细化到被攻击主机上具体哪种业务受到DDoS攻击。
发明内容
为此,本申请实施例提供一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质,在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。
为了实现上述目的,本申请实施例提供如下技术方案:
根据本申请实施例的第一方面,提供了一种基于DPI的DDoS攻击识别方法,所述方法包括:
根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;
所述DDoS攻击检测系统对所述流信息进行解析和标记;
所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;
所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
可选地,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;
所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
可选地,所述DDoS攻击检测系统对所述流信息进行解析,包括:
所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
可选地,所述DDoS攻击检测系统对所述相关数据信息进行判定,包括:
所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
根据本申请实施例的第二方面,提供了一种基于DPI的DDoS攻击识别系统,所述系统包括:
特征识别模块,用于根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;
解析和标记模块,用于对所述流信息进行解析和标记;
提取模块,用于提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;
判定模块,用于对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
可选地,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;
所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
可选地,所述解析和标记模块,具体用于:
所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
可选地,所述判定模块,具体用于:
所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
根据本申请实施例的第三方面,提供了一种设备,所述设备包括:数据采集装置、处理器和存储器;
所述数据采集装置用于采集数据;所述存储器用于存储一个或多个程序指令;所述处理器,用于执行一个或多个程序指令,用以执行如上述第一方面任一项所述的方法。
根据本申请实施例的第四方面,提供了一种计算机可读存储介质,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于执行如上述第一方面任一项所述的方法。
综上所述,本申请实施例提供了一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质,通过根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;所述DDoS攻击检测系统对所述流信息进行解析和标记;所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本申请实施例提供的一种基于DPI的DDoS攻击识别方法流程示意图;
图2为本申请实施例提供的一种基于DPI的DDoS攻击识别系统框图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供了一种基于DPI的DDoS攻击识别方法,如图1所示,所述方法包括如下步骤:
步骤101:根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统。
步骤102:所述DDoS攻击检测系统对所述流信息进行解析和标记。
步骤103:所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数。
步骤104:所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
在一种可能的实施方式中,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
在一种可能的实施方式中,在步骤102中,所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
在一种可能的实施方式中,在步骤102中,所述DDoS攻击检测系统对解析的信息标记业务或协议类型。
在一种可能的实施方式中,在步骤104中,所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
与现有技术相比,本申请实施例提供的一种基于DPI的DDoS攻击识别方法的有益效果是:
1、传统的Netflow仅分析IP包的4层内容,包含源地址、目的地址、源端口、目的端口以及协议类型,而DPI在对前面的层次进行分析的同时,还可以对应用层以下的信息进行解析,对应用层负载特征进行深入分析,可以高效的识别网络数据流上的各种应用类型。
2、传统的Netflow是通过数据采样,导致最终分析结果失真,而通过DPI解析的数据无失真,解析更精确。
3、Netflow的组网环境复杂,需要通过路由器汇聚生成Netflow报文,再上报给DDoS设备,因此会存在延时,而通过DPI直接接原始流再上报给DDoS设备则可以做到秒级的数据处理,可以更快的检测出DDoS攻击。
4、基于DPI的DDoS攻击识别方法,通过对DPI流信息的进一步解析,获取流信息的业务类型标记,进行主机DDoS攻击识别,在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。
综上所述,本申请实施例提供了一种基于DPI的DDoS攻击识别方法,通过根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;所述DDoS攻击检测系统对所述流信息进行解析和标记;所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。在提高DDoS攻击识别准确度和及时性的同时,还可以识别出具体DDoS攻击的业务类型,为实现业务差异化的攻击防护提供基础。
基于相同的技术构思,本申请实施例还提供了一种基于DPI的DDoS攻击识别系统,如图2所示,所述系统包括:
特征识别模块201,用于根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统。
解析和标记模块202,用于对所述流信息进行解析和标记。
提取模块203,用于提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数。
判定模块204,用于对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
在一种可能的实施方式中,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
在一种可能的实施方式中,所述解析和标记模块202,具体用于:所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
在一种可能的实施方式中,所述判定模块204,具体用于:所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
基于相同的技术构思,本申请实施例还提供了一种设备,所述设备包括:数据采集装置、处理器和存储器;所述数据采集装置用于采集数据;所述存储器用于存储一个或多个程序指令;所述处理器,用于执行一个或多个程序指令,用以执行任一项所述的方法。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于执行任一项所述的方法。
本说明书中上述方法的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。相关之处参见方法实施例的部分说明即可。
需要说明的是,尽管在附图中以特定顺序描述了本发明方法的操作,但这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
虽然本申请提供了如实施例或流程图的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。
上述实施例阐明的单元、装置或模块等,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,移动终端,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
以上所述的具体实施例,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施例而已,并不用于限定本申请的保护范围,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种基于DPI的DDoS攻击识别方法,其特征在于,所述方法包括:
根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;
所述DDoS攻击检测系统对所述流信息进行解析和标记;
所述DDoS攻击检测系统提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;
所述DDoS攻击检测系统对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
2.如权利要求1所述的方法,其特征在于,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;
所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
3.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测系统对所述流信息进行解析,包括:
所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
4.如权利要求1所述的方法,其特征在于,所述DDoS攻击检测系统对所述相关数据信息进行判定,包括:
所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
5.一种基于DPI的DDoS攻击识别系统,其特征在于,所述系统包括:
特征识别模块,用于根据原始的业务流量进行DPI业务特征识别,将得到的流信息输入至DDoS攻击检测系统;
解析和标记模块,用于对所述流信息进行解析和标记;
提取模块,用于提取单位时间内相关数据信息,所述相关数据信息包括主机各个业务下不同流量类型的字节数、报文数和并发连接数;
判定模块,用于对所述相关数据信息进行判定,以检测出主机的设定业务是否发生DDoS攻击。
6.如权利要求5所述的系统,其特征在于,所述原始的业务流量采集于与DPI设备连接的CMNET骨干网的路由节点;
所述DPI业务特征识别是在普通报文解析的四层内容基础上增加应用层分析,以识别应用以及数据内容。
7.如权利要求5所述的系统,其特征在于,所述解析和标记模块,具体用于:
所述DDoS攻击检测系统对输入的流信息进行解析,获取每条流信息的五元组信息、流报文数、流字节数和流方向信息。
8.如权利要求5所述的系统,其特征在于,所述判定模块,具体用于:
所述DDoS攻击检测系统从阈值、历史数据和流量变化趋势对相关数据信息进行判定。
9.一种设备,其特征在于,所述设备包括:数据采集装置、处理器和存储器;
所述数据采集装置用于采集数据;所述存储器用于存储一个或多个程序指令;所述处理器,用于执行一个或多个程序指令,用以执行如权利要求1-4任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于执行如权利要求1-4任一项所述的方法。
CN202010680538.7A 2020-07-15 2020-07-15 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质 Pending CN112073364A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010680538.7A CN112073364A (zh) 2020-07-15 2020-07-15 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010680538.7A CN112073364A (zh) 2020-07-15 2020-07-15 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN112073364A true CN112073364A (zh) 2020-12-11

Family

ID=73657062

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010680538.7A Pending CN112073364A (zh) 2020-07-15 2020-07-15 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112073364A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338125A (zh) * 2021-12-24 2022-04-12 合肥工业大学 基于网络元数据存储的SHDoS攻击检测方法和系统
CN116015700A (zh) * 2021-11-04 2023-04-25 贵州电网有限责任公司 一种基于软件定义网络的内网ddos流量检测及防护方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116015700A (zh) * 2021-11-04 2023-04-25 贵州电网有限责任公司 一种基于软件定义网络的内网ddos流量检测及防护方法
CN114338125A (zh) * 2021-12-24 2022-04-12 合肥工业大学 基于网络元数据存储的SHDoS攻击检测方法和系统

Similar Documents

Publication Publication Date Title
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
CN101414939B (zh) 一种基于动态深度包检测的互联网应用识别方法
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及系统
CN107968791B (zh) 一种攻击报文的检测方法及装置
CN110933111B (zh) 一种基于DPI的DDoS攻击识别方法及装置
US7503071B1 (en) Network traffic identification by waveform analysis
CN103139315A (zh) 一种适用于家庭网关的应用层协议解析方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN113825129B (zh) 一种5g网络环境下工业互联网资产测绘方法
CN113037567B (zh) 一种用于电网企业的网络攻击行为仿真系统的仿真方法
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN104702564A (zh) 一种网络共享用户识别方法及装置
CN104333483A (zh) 互联网应用流量识别方法、系统及识别装置
CN112073364A (zh) 一种基于DPI的DDoS攻击识别方法、系统、设备及可读存储介质
CN116938507A (zh) 一种电力物联网安全防御终端及其控制系统
CN104333461A (zh) 互联网应用流量识别方法、系统及识别装置
CN113472798B (zh) 一种网络数据包的回溯解析方法、装置、设备及介质
US20190007439A1 (en) Analysis method, analysis device, and analysis program
CN116668145A (zh) 一种基于工控协议通信模型的工控设备厂商识别方法
CN113542310B (zh) 一种网络扫描检测方法、装置及计算机存储介质
CN110912933A (zh) 一种基于被动测量的设备识别方法
CN114760216B (zh) 一种扫描探测事件确定方法、装置及电子设备
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
CN110620682B (zh) 资源信息的获取方法及装置、存储介质、终端
CN115396142A (zh) 基于零信任的信息访问方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20201211

WD01 Invention patent application deemed withdrawn after publication