CN110691073A - 一种基于随机森林的工控网络暴力破解流量检测方法 - Google Patents
一种基于随机森林的工控网络暴力破解流量检测方法 Download PDFInfo
- Publication number
- CN110691073A CN110691073A CN201910884654.8A CN201910884654A CN110691073A CN 110691073 A CN110691073 A CN 110691073A CN 201910884654 A CN201910884654 A CN 201910884654A CN 110691073 A CN110691073 A CN 110691073A
- Authority
- CN
- China
- Prior art keywords
- brute force
- force cracking
- flow
- data
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于随机森林的工控网络暴力破解流量检测方法,主要包括两部分:第一,基于随机森林训练暴力破解检测模型;第二,运用所述暴力破解检测模型对实时网络流量数据进行暴力破解检测。本发明基于随机森林算法生成暴力破解检测模型,能够实时检测出暴力破解,实现第一时间识别出暴力破解流量并根据提供的解决方案做出实时响应。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种基于随机森林的工控网络暴力破解流量检测方法。
背景技术
工控网络安全面临的挑战有新型木马、蠕虫病毒等入侵,例如导致美国东部大规模互联网瘫痪的“Mirai”病毒充分利用了网络摄像头、智能开关等现有智能终端设备的硬件编码漏洞,通过暴力破解的方式攻破了相关设备的访问控制权限,从而组建了数十万台的僵尸网络。
工控网络信息安全防护有其特殊性,首先是防护和攻击主体特殊,与传统网络攻击所不同,产业入侵者不是传统的黑客,而很可能是恐怖组织甚至是敌对国家力量支撑的组织;其次是遭受攻击破坏的后果严重,工控关键设施如果遭受攻击,会直接威胁到国家经济的发展和社会的安定。
近年来,云计算、基于大数据理论的网络安全防护等新兴技术已经应用到了传统信息安全领域,这些新技术可以对终端恶意文件进行有效识别,但这些技术在工业控制系统领域应用较少。
发明内容
本发明的目的在于:针对上述技术问题,本发明提供一种基于随机森林的工控网络暴力破解流量检测方法,基于随机森林算法生成暴力破解检测模型,能够实时检测出暴力破解,尤其是暴力破解中比较流行的两种SSH暴力破解和FTP暴力破解,实现第一时间识别出暴力破解流量并根据提供的解决方案做出实时响应。
本发明解决其技术问题所采用的技术方案是:一种基于随机森林的工控网络暴力破解流量检测方法,包括如下步骤:
步骤一、暴力破解检测模型训练:
(1)在模拟工控网络环境中进行暴力破解生成工控模拟流量数据;
(2)对工控模拟流量数据进行数据清洗,去除其中不能提取出完整流量特征的数据;
(3)从数据清洗后的工控模拟流量数据中提取多维流量特征;
(4)将工控模拟流量数据的多维流量特征作为训练集训练随机森林,得到暴力破解检测模型;所述随机森林包括多个决策树;所述决策树上的一个节点对应一个流量特征,所述节点对应的流量特征具有取值范围,每一流量特征的取值范围为:表征网络流量数据为暴力破解和正常的取值范围;
步骤二、暴力破解流量检测:
(1)对实时网络流量数据进行数据清洗,去除其中不能提取出完整流量特征的数据;
(2)从数据清洗后的实时网络流量数据中提取多维流量特征;
(3)将实时网络流量数据的多维流量特征输入所述暴力破解检测模型;
(4)所述暴力破解检测模型输出实时网络流量数据为暴力破解或正常的分类结果。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、本发明基于随机森林算法生成暴力破解检测模型,能够实时检测出暴力破解,尤其是暴力破解中比较流行的两种SSH暴力破解和FTP暴力破解,实现第一时间识别出暴力破解流量并根据提供的解决方案做出实时响应。
2、本发明采用随机森林得到的暴力破解检测模型,能够处理高纬度数据,只需要做特征提取不需做特征选择。
3、本发明采用的随机森林,由于随机森林中决策树与决策树之间是相互独立的,容易实现并行化。
4、本发明的检测方法从实时网络流量数据到告警可以在5s以内完成。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明的基于随机森林的工控网络暴力破解流量检测方法的原理图。
具体实施方式
本发明的一种基于随机森林的工控网络暴力破解流量检测方法,主要包括两部分:
第一,基于随机森林训练暴力破解检测模型;
首先,需要准备训练集,通过模拟工控网络环境进行暴力破解后得到工控网络流量数据,过滤掉不能提取出完整流量特征的数据,再从数据清洗后的工控模拟流量数据中提取多维流量特征作为训练集;
其次,利用训练集训练随机森林;随机森林的决策树上的节点表征流量特征,通过流量特征的取值范围表征网络流量数据的类别是暴力破解或正常。随机森林中决策树之间相互独立,容易实现并行化。通过采用随机森林训练得到的暴力破解检测模型,能够处理高纬度数据,只需要做特征提取不需做特征选择(模型根据特征重要性随机选择)。
第二,运用所述暴力破解检测模型对实时网络流量数据进行暴力破解检测;
其中,同样从实时网络流量数据中过滤掉不能提取出完整流量特征的数据,然后提取相同的多维流量特征作为输入数据,在暴力破解检测模型中,通过每个流量特征的取值范围得到实时网络流量数据的检测结果为暴力破解或正常。
以下是本发明的方法步骤的详细描述。
如图1所示,本发明的一种基于随机森林的工控网络暴力破解流量检测方法,包括如下步骤:
步骤一、暴力破解检测模型训练:
(1)在模拟工控网络环境中进行暴力破解生成工控模拟流量数据;由于在暴力破解中比较流行SSH暴力破解和FTP暴力破解,本实施例在模拟工控网络环境中进行的暴力破解包括SSH暴力破解和FTP暴力破解,使训练得到的所述暴力破解检测模型进行检测的分类结果包括SSH暴力破解、FTP暴力破解和正常,但是不应当以SSH暴力破解和FTP暴力破解限制本发明的范围。可选地,在模拟工控网络环境中使用Patator暴力破解工具进行SSH暴力破解和FTP暴力破解生成工控模拟流量数据。
(2)对工控模拟流量数据进行数据清洗,去除其中不能提取出完整流量特征的数据;数据清洗过程可以采用常规的数据清洗方法。
(3)从数据清洗后的工控模拟流量数据中提取多维流量特征;所述多维流量特征包括以下所有流量特征:
1)流量五元组:源ip、源端口、目标ip、目标端口、协议类型;
2)流量基本特征:连接持续时间、从源主机到目标主机数据字节数、从目标主机到源主机数据字节数、从源主机到目标主机数据包数量、从目标主机到源主机包数量、以及目标主机的网络服务类型;
3)流量连接特征:与当前连接具有相同源ip和目标ip的连接数、与当前连接具有相同源ip和源端口的连接数、与当前连接具有相同源ip和不同目标ip的连接数、与当前连接具有相同目标ip和目标端口的连接数、与当前连接具有相同目标ip和源端口的连接数、与当前连接具有相同目标ip和不同目标端口的连接数、与当前连接具有相同源ip和网络服务的连接数、与当前连接具有相同目标ip和网络服务连接数。一般地,所述多维流量特征选取5秒内的流量连接特征进行统计。
多维流量特征是流量特征的集合,需要完整的会话流量才能够提取出以上所有特征,使用不完整的流量特征有可能丢失关键流量特征导致误判或者漏判所以需通过数据清洗过程过滤掉不能提取出完整流量特征的数据。
(4)将工控模拟流量数据的多维流量特征作为训练集训练随机森林,得到暴力破解检测模型;所述随机森林包括多个决策树;所述决策树上的一个节点对应一个流量特征,所述节点对应的流量特征具有取值范围,每一流量特征的取值范围为:表征网络流量数据为暴力破解和正常的取值范围。也就是说,决策树上的节点对应的流量特征的取值范围可以是:根据训练决策树过程中采用的流量特征的特征值,学习到的表征网络流量数据为暴力破解和正常的取值范围。
具体地,训练所述暴力破解检测模型的方法为:
1)将工控模拟流量数据的多维流量特征作为训练集输入随机森林;
2)根据训练集对随机森林的每个决策树进行节点切分,确定每个流量特征在决策树中对应的节点,并在节点切分的过程中学习表征网络流量数据为暴力破解和正常的取值范围,进而训练完成决策树。其中,根据训练集对随机森林的每个决策树进行节点切分时,使用基尼指数作为节点切分的标准,原理如下:
所述随机森林包括的多个决策树为二叉树CART分类树,在分类问题中,假设有k个类别,第k个类别的概率为pk,则基尼系数的表达式为:
对于某个给定的样本D,假设有k个类别,第k个类别的数量为Ck,则样本D的基尼系数的表达式为:
特别地,对于某个给定的样本D,如果根据特征A的某个值a把D分成D1和D2两部分,则在特征A=a的条件下,样本D的基尼系数表达式为:
通过上述原理可知,所述CART分类树进行节点切分时,使用基尼系数代表暴力破解检测模型的不纯度,基尼系数越小,则不纯度越低,特征越好。也就是说,根据训练集对随机森林的每个决策树进行节点切分时,以基尼系数最小的切分点进行节点切分。
步骤二、暴力破解流量检测:
(1)从实时网络流量数据中提取多维流量特征;也就是说,要利用所述暴力破解检测模型进行实时网络流量数据的暴力破解检测,需要从实时网络流量数据中提取暴力破解检测模型中决策树上节点对应的流量特征,即对应在训练模型时提取的多维流量特征。
(2)将实时网络流量数据的多维流量特征输入所述暴力破解检测模型;
(3)所述暴力破解检测模型输出实时网络流量数据为暴力破解或正常的分类结果。
通过上述描述可以看出,所述暴力破解检测模型以每个决策树的分类结果进行投票,得票最多的类别作为最终的分类结果。例如,所述随机森林由50个决策树时,若得到分类结果为SSH暴力破解、FTP暴力破解和正常的决策树数量为30、10、10,则所述暴力破解检测模型的最终分类结果为SSH暴力破解。
为了更直观地表达暴力破解检测模型的检测结果,当所述暴力破解检测模型输出的实时网络流量数据为暴力破解时(如SSH暴力破解和FTP暴力破解),进行告警;当所述暴力破解检测模型输出实时网络流量数据为正常时,丢弃该实时网络流量数据。
为了说明本发明的有益效果,将本发明基于随机森林的暴力破解检测模型分别与NavieBayes算法模型和卷积神经网络算法模型的暴力破解检测结果进行对比,对比结果如表1和表2所示。需要说明,测试模型的效果主要采用检测率和误报率两个指标来进行评估:
其中,检测率越高误报率越低模型效果越好。
表1,本发明基于随机森林的暴力破解检测模型分别与NavieBayes算法模型的暴力破解检测结果对比:
表2,本发明基于随机森林的暴力破解检测模型分别与卷积神经网络算法模型的暴力破解检测结果对比:
通过表1和表2的对比可以看出,本发明基于随机森林的暴力破解检测模型比其他算法模型的检测率更高,且误报率更低,同时从实时网络流量数据到告警可以在5s以内完成,能够作为一种工控网路暴力破解的检测方法。
Claims (8)
1.一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,包括如下步骤:
步骤一、暴力破解检测模型训练:
(1)在模拟工控网络环境中进行暴力破解生成工控模拟流量数据;
(2)对工控模拟流量数据进行数据清洗,去除其中不能提取出完整流量特征的数据;
(3)从数据清洗后的工控模拟流量数据中提取多维流量特征;
(4)将工控模拟流量数据的多维流量特征作为训练集训练随机森林,得到暴力破解检测模型;所述随机森林包括多个决策树;所述决策树上的一个节点对应一个流量特征,所述节点对应的流量特征具有取值范围,每一流量特征的取值范围为:表征网络流量数据为暴力破解和正常的取值范围;
步骤二、暴力破解流量检测:
(1)对实时网络流量数据进行数据清洗,去除其中不能提取出完整流量特征的数据;
(2)从数据清洗后的实时网络流量数据中提取多维流量特征;
(3)将实时网络流量数据的多维流量特征输入所述暴力破解检测模型;
(4)所述暴力破解检测模型输出实时网络流量数据为暴力破解或正常的分类结果。
2.根据权利要求1所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,步骤一中训练所述暴力破解检测模型的方法为:
(1)将工控模拟流量数据的多维流量特征作为训练集输入随机森林;
(2)根据训练集对随机森林的每个决策树进行节点切分,确定每个流量特征在决策树中对应的节点,并在节点切分的过程中学习表征网络流量数据为暴力破解和正常的取值范围,进而训练完成决策树。
3.根据权利要求2所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,根据训练集对随机森林的每个决策树进行节点切分时,以基尼系数最小的切分点进行节点切分。
4.根据权利要求1所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,所述多维流量特征包括以下所有流量特征:
(1)流量五元组:源ip、源端口、目标ip、目标端口、协议类型;
(2)流量基本特征:连接持续时间、从源主机到目标主机数据字节数、从目标主机到源主机数据字节数、从源主机到目标主机数据包数量、从目标主机到源主机包数量、以及目标主机的网络服务类型;
(3)流量连接特征:与当前连接具有相同源ip和目标ip的连接数、与当前连接具有相同源ip和源端口的连接数、与当前连接具有相同源ip和不同目标ip的连接数、与当前连接具有相同目标ip和目标端口的连接数、与当前连接具有相同目标ip和源端口的连接数、与当前连接具有相同目标ip和不同目标端口的连接数、与当前连接具有相同源ip和网络服务的连接数、与当前连接具有相同目标ip和网络服务连接数。
5.根据权利要求4所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,所述多维流量特征选取5秒内的流量连接特征进行统计。
6.根据权利要求1所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,步骤二所述暴力破解检测模型输出实时网络流量数据为暴力破解或正常的分类结果的方法为:所述暴力破解检测模型以每个决策树的分类结果进行投票,得票最多的类别作为最终的分类结果。
7.根据权利要求1所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,当所述暴力破解检测模型输出的实时网络流量数据为暴力破解时,进行告警;当所述暴力破解检测模型输出实时网络流量数据为正常时,丢弃该实时网络流量数据。
8.根据权利要求1~6任一项所述的一种基于随机森林的工控网络暴力破解流量检测方法,其特征在于,步骤一中在模拟工控网络环境中进行的暴力破解包括SSH暴力破解和FTP暴力破解,使训练得到的所述暴力破解检测模型进行检测的分类结果包括SSH暴力破解、FTP暴力破解和正常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910884654.8A CN110691073A (zh) | 2019-09-19 | 2019-09-19 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910884654.8A CN110691073A (zh) | 2019-09-19 | 2019-09-19 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110691073A true CN110691073A (zh) | 2020-01-14 |
Family
ID=69109527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910884654.8A Pending CN110691073A (zh) | 2019-09-19 | 2019-09-19 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110691073A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
| CN112487033A (zh) * | 2020-11-30 | 2021-03-12 | 国网山东省电力公司电力科学研究院 | 一种面向数据流及构建网络拓扑的业务可视化方法及系统 |
| CN112910918A (zh) * | 2021-02-26 | 2021-06-04 | 南方电网科学研究院有限责任公司 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
| CN112953948A (zh) * | 2021-02-26 | 2021-06-11 | 南方电网科学研究院有限责任公司 | 一种实时网络横向蠕虫攻击流量检测方法及装置 |
| CN113596065A (zh) * | 2021-10-08 | 2021-11-02 | 成都数默科技有限公司 | 一种基于机器学习的ssh协议登录状态检测方法 |
| CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
| CN113722445A (zh) * | 2021-11-01 | 2021-11-30 | 江苏开博科技有限公司 | 一种基于被动流量分析的暴力破解检测方法及系统 |
| CN115001739A (zh) * | 2022-04-19 | 2022-09-02 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的横向蠕虫攻击检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696543A (zh) * | 2018-08-24 | 2018-10-23 | 海南大学 | 基于深度森林的分布式反射拒绝服务攻击检测、防御方法 |
| CN108768883A (zh) * | 2018-05-18 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种网络流量识别方法及装置 |
| US20190034834A1 (en) * | 2016-03-31 | 2019-01-31 | Alibaba Group Holding Limited | Method and apparatus for training model based on random forest |
| CN109446635A (zh) * | 2018-10-23 | 2019-03-08 | 中国电力科学研究院有限公司 | 一种基于机器学习的电力工控攻击分类方法和系统 |
| CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
| CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
-
2019
- 2019-09-19 CN CN201910884654.8A patent/CN110691073A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190034834A1 (en) * | 2016-03-31 | 2019-01-31 | Alibaba Group Holding Limited | Method and apparatus for training model based on random forest |
| CN108768883A (zh) * | 2018-05-18 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种网络流量识别方法及装置 |
| CN108696543A (zh) * | 2018-08-24 | 2018-10-23 | 海南大学 | 基于深度森林的分布式反射拒绝服务攻击检测、防御方法 |
| CN109446635A (zh) * | 2018-10-23 | 2019-03-08 | 中国电力科学研究院有限公司 | 一种基于机器学习的电力工控攻击分类方法和系统 |
| CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
| CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
| CN112487033A (zh) * | 2020-11-30 | 2021-03-12 | 国网山东省电力公司电力科学研究院 | 一种面向数据流及构建网络拓扑的业务可视化方法及系统 |
| CN112910918A (zh) * | 2021-02-26 | 2021-06-04 | 南方电网科学研究院有限责任公司 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
| CN112953948A (zh) * | 2021-02-26 | 2021-06-11 | 南方电网科学研究院有限责任公司 | 一种实时网络横向蠕虫攻击流量检测方法及装置 |
| CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
| CN113596065A (zh) * | 2021-10-08 | 2021-11-02 | 成都数默科技有限公司 | 一种基于机器学习的ssh协议登录状态检测方法 |
| CN113596065B (zh) * | 2021-10-08 | 2021-12-07 | 成都数默科技有限公司 | 一种基于机器学习的ssh协议登录状态检测方法 |
| CN113722445A (zh) * | 2021-11-01 | 2021-11-30 | 江苏开博科技有限公司 | 一种基于被动流量分析的暴力破解检测方法及系统 |
| CN115001739A (zh) * | 2022-04-19 | 2022-09-02 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的横向蠕虫攻击检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110691073A (zh) | 一种基于随机森林的工控网络暴力破解流量检测方法 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN107241226B (zh) | 基于工控私有协议的模糊测试方法 | |
| CN110213077B (zh) | 一种确定电力监控系统安全事件的方法、装置及系统 | |
| Najafabadi et al. | Machine learning for detecting brute force attacks at the network level | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN102821002B (zh) | 网络流量异常检测方法和系统 | |
| CN101895521B (zh) | 一种网络蠕虫检测与特征自动提取方法及其系统 | |
| CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
| CN109558729B (zh) | 一种网络攻击的智能防御系统 | |
| Peng et al. | Network intrusion detection based on deep learning | |
| Soe et al. | Rule generation for signature based detection systems of cyber attacks in iot environments | |
| CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
| CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
| CN108696543B (zh) | 基于深度森林的分布式反射拒绝服务攻击检测、防御方法 | |
| Sayegh et al. | SCADA intrusion detection system based on temporal behavior of frequent patterns | |
| CN105376193B (zh) | 安全事件的智能关联分析方法与装置 | |
| Amoli et al. | Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets | |
| CN112819336A (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
| CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| CN108683686A (zh) | 一种随机子域名DDoS攻击检测方法 | |
| CN111600876A (zh) | 一种基于mfopa算法的慢速拒绝服务攻击检测方法 | |
| Zhao | Network intrusion detection system model based on data mining | |
| CN105827611B (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200114 |
|
| RJ01 | Rejection of invention patent application after publication |