-
公开(公告)号:CN114124565A
公开(公告)日:2022-03-01
申请号:CN202111471356.X
申请日:2021-12-04
Applicant: 东南大学
Abstract: 本发明提供了一种基于图嵌入的网络入侵检测方法,具体步骤包括:从原始网络流量中提取每条流的数据包长度序列;利用得到的数据包长度序列来构图,其中每条流都对应一张图;利用图嵌入方法graph2vec把图变成表示向量;使用分类器对图向量进行分类,得出被检测流量的类别。本发明是第一个利用单条流构图来做网络入侵检测的,将流量检测问题转换为图分类问题,分类效果显著;本发明一定程度上更好地满足入侵检测的实时性要求,其只需要流的一段数据包长度序列即可,对于持续时间长的攻击流在攻击的早期即可实现及时检测进而可以及时采取相应防御措施;本发明的特征提取不依赖人工经验,不需手动地选择流特征,简化了特征工程。
-
公开(公告)号:CN113518073A
公开(公告)日:2021-10-19
申请号:CN202110487259.3
申请日:2021-05-05
Applicant: 东南大学
Abstract: 本发明提出了一种比特币挖矿僵尸网络流量的快速识别方法,识别框架分为三个部分,第一部分为模拟环境的构造,具体内容为搜集对应挖矿僵尸网络病毒样本,确定样本所需要的运行环境,在虚拟机上设置病毒样本所需环境,运行病毒样本,获取其产生的流量;第二部分为特征的提取,具体内容为经过模式比对、数据分析等操作获取合适的特征,使用挖矿病毒流量和正常流量来构建流量数据训练集;第三部分为识别模型的生成和验证,具体内容为划分测试集和训练集,在训练集上使用交叉验证和网格搜索方法对随机森林算法进行参数的选择,获取对应的训练模型后在测试集上对训练模型进行验证操作。
-
公开(公告)号:CN101741646A
公开(公告)日:2010-06-16
申请号:CN200910262844.2
申请日:2009-12-11
Applicant: 东南大学
Abstract: 本发明公开一种基于数组链表的大流量网络地址前缀识别方法,其特征是建立一个用于记录IP地址前缀流量信息的8层结构,每层结构记录IP地址的4个比特前缀流量信息且每层结构至少包括一个结点,其中,第0层记录IP地址的第0个至第3个比特流量信息,第1层记录IP地址的第4个至第7个比特流量信息,第2层记录IP地址的第8个至第11个比特流量信息,第3层记录IP地址的第12个至第15个比特流量信息,第4层记录IP地址的第16个至第19个比特流量信息,第5层记录IP地址的第20个至第23个比特流量信息,第6层记录IP地址的第24个至第27个比特流量信息,第7层记录IP地址的第28个至第31个比特流量信息,每个被测量的IP地址及其前缀的流量信息被记录在8层结构中,测量结束后,对于流量超过阀值的大流量网络地址前缀,其相应的网络地址前缀、网络地址前缀长度和网络地址前缀的流量大小输出,本发明相对于传统处理方法减轻了系统处理的负担,加快了处理每个IP地址的效率,同时大大减少生成新结点的数量,节省生成新结点所需要的时间,并降低中间结点所需要的内存空间的使用。
-
公开(公告)号:CN101227318A
公开(公告)日:2008-07-23
申请号:CN200710191035.8
申请日:2007-12-04
Applicant: 东南大学
Abstract: 一种高速网络流量的超点实时检测方法,包括设置三个数据结构和三个过程,三个数据结构分别是Bloom Filter数据结构、计数型Bloom Filter数据结构和哈希链表数据结构。Bloom Filter数据结构用于记录流存在信息,计数型Bloom Filter数据结构用于记录聚合点的流数信息,哈希链表结构用于记录超点标识和超点流数信息;三个过程分别是基于Bloom Filter的新流检测过程、基于计数型Bloom Filter的超点检测过程和基于哈希链表的超点信息记录过程。当一个报文到达测量器,首先在Bloom Filter数据结构中查找该报文是否是一个新流,如果是一个新流,则在计数型Bloom Filter数据结构中查找该新流的聚合点是否是一个超点,如果是一个超点,则在哈希链表数据结构中记录该超点标识信息和流数信息。本方法能够直接实时检测出超点信息,节省测量资源的消耗并提高超点流数的检测精度。
-
公开(公告)号:CN101051952A
公开(公告)日:2007-10-10
申请号:CN200710021621.8
申请日:2007-04-18
Applicant: 东南大学
Abstract: 高速多链路逻辑信道环境下的自适应抽样流测量方法是一种用于计算机网络设备的自适应抽样流测量方法,该方法基于对NetraMet和NetFlow系统设计的分析,本发明使用了支持高速多链路逻辑信道网络测量的抽样比,能根据网络流量的状况自调节报文抽样比和流抽样比,并且支持时间片方式输出流信息,以通用的方式支持任何信道的流量监测。本发明利用基于阈值检测-趋势触发的报文抽样比自适应调节算法和基于抽样一保持流抽样算法以较小的资源开销监测任何高速多链路逻辑信道,并在流量突发的情况下维持系统开销不变,支持以时间片的方式输出链路上的流量信息,误差小,为流量分析、异常检测等应用提供了精确的信息。
-
Patent Agency Ranking
公开(公告)号:CN1761210A
公开(公告)日:2006-04-19
申请号:CN200510095278.2
申请日:2005-11-08
Applicant: 东南大学
Abstract: 本发明公开一种用于检测计算机网络监视与分析的入侵检测系统用增强多哈希的源串还原方法,原始报文经过检测后,分为正常报文和异常报文,正常报文输出,异常报文的IP地址作为输入;异常报文的IP地址信息映射到两个多哈希方法结构中的一个;信息还原部件把结果发送给报警器,过程如下:排序,找到最大的十个数的位置;把每个哈希函数位置和存储器里计数器数字排列成一张表;(3)比较两个哈希函数表格,找不到或差别大,则返回a.b.0.0/16;如果找到,则查找两表格里相同重叠值的位置,找不到返回a.b.c.0/24;否则返回a.b.c.d;重复;把处理过的存储器组复位,结果发送给报警器,等待切换;报警器执行动作。本发明具有节约内存资源、节约计算资源等优点。
-
公开(公告)号:CN114024748A
公开(公告)日:2022-02-08
申请号:CN202111302612.2
申请日:2021-11-04
Applicant: 东南大学
IPC: H04L9/40 , H04L69/16 , H04L47/2441 , H04L47/2483 , G06K9/62 , G06N20/00
Abstract: 本发明提出了一种结合活跃节点库和机器学习的高效以太坊流量识别方法,分为四个部分,第一部分为活跃节点库的构造;第二部分为识别模型的训练,第三部分为使用不同的机器学习算法进行对比分析,选择最适合分类的机器学习算法训练后获取的模型作为识别模型;第四部分为以太坊流量识别,具体内容为将流量经过活跃节点库筛选后划分为TCP和UDP流量输入识别模型进行识别,同时根据识别结果进行以太坊活跃节点库中节点信息的更新。本发明能够有效地识别当前网络中存在的以太坊流量,监测效果准确率达到了99%。便于网络管理者对以太坊网络流量进行监管。
-
公开(公告)号:CN101257415B
公开(公告)日:2010-08-11
申请号:CN200810019277.3
申请日:2008-01-18
Applicant: 东南大学
Abstract: 一种基于固定存储空间的网络流实时自适应测量方法,设定一个期望测量区间持续时间、网络流存储空间和抽样测量参数,在测量过程中设定一个固定网络流存储空间大小阀值作为一个测量循环结束的依据,如果存储空间网络流流数超过阀值,则当前测量区间结束,输出所有的流量记录信息估计值;根据当前测量区间的时间间隔、期望测量区间持续时间和当前的抽样测量参数计算下一个测量区间内的抽样测量参数。本方法节省自适应过程中测量资源的消耗和保留网络流量信息的精度;在不同测量区间内使用不同的抽样参数的测量结果可以直接进行相互比较和计算。
-
公开(公告)号:CN100558058C
公开(公告)日:2009-11-04
申请号:CN200710190188.0
申请日:2007-11-20
Applicant: 东南大学
Abstract: 一种基于流集合随机抽样的报文测量方法,将测量时间区间分为若干子区间,为每个子区间分配一个不同的匹配比特串,在每个子区间中采用随机抽样网络流抽样报文,抽样过程中使用该子区间被分配的匹配比特串匹配网络流标识的哈希值,该过程中采用一个哈希函数处理所有的报文流标识以生成哈希值比特串,这个哈希函数的输入为报文流标识,输出为和匹配比特串长度相同的哈希值比特串,将该子区间被分配的匹配比特串和输出的哈希值比特串之间进行比较,如果两个比特串相同,则该报文被抽样,否则这个报文将被丢弃。本方法在每个子区间只测量其中一个网络流子空间的报文信息,在整个测量时间区间中,能够测量到整个网络流标识空间中的报文信息。
-
公开(公告)号:CN100525253C
公开(公告)日:2009-08-05
申请号:CN200710022213.4
申请日:2007-05-09
Applicant: 东南大学
Abstract: 本发明公开了一种资源可控制的网络流监测方法:第一步:设置测量参数;第二步:预抽样过程;第三步:报文更新抽样判断;第四步:更新流记录;第五步:流抽样过程;第六步:流淘汰判断;第七步:设置流淘汰大小阀值初始值;第八步:计算淘汰流数量;第九步:更新流淘汰大小阀值m;第十步:设置淘汰初始随机值;第十一步:流抽样淘汰判断;第十二步:流抽样淘汰过程;第十三步:查找流缓冲中下一流记录;第十四步:测量结束判断。本发明能够在一个测量时间粒度内采用不同的抽样比率,实现网络流自适应抽样测量;使用不等概率淘汰流策略,在同样的测量资源内实现更高精度的抽样;采用多抽样模块,使系统可以控制不同系统资源的消耗优点。
-
-
-
-
-
-
-
-
-
Search Results
39
records
(took 0.015 seconds)
