-
公开(公告)号:CN101626322B
公开(公告)日:2011-06-01
申请号:CN200910091288.7
申请日:2009-08-17
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络行为异常检测方法,包括:接收网络数据包,对所得到的网络数据包做协议还原,并根据所述协议还原的结果建立所述网络数据包所在的连接;为所建立的各个连接分别提取检测特征,一个连接对应一个由多个检测特征所组成的检测特征向量;将所述检测特征向量中各个检测特征的异常作为朴素可信度模型中的证据,计算证据可信度;根据所述检测特征向量中的各个检测特征创建所述朴素可信度模型中的知识,计算所述知识的可信度;将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式,对网络数据包所在连接是否存在网络行为异常的结论事件进行可信度计算。本发明具有较高的准确率与广泛的适应性。
-
公开(公告)号:CN101626322A
公开(公告)日:2010-01-13
申请号:CN200910091288.7
申请日:2009-08-17
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络行为异常检测方法,包括:接收网络数据包,对所得到的网络数据包做协议还原,并根据所述协议还原的结果建立所述网络数据包所在的连接;为所建立的各个连接分别提取检测特征,一个连接对应一个由多个检测特征所组成的检测特征向量;将所述检测特征向量中各个检测特征的异常作为朴素可信度模型中的证据,计算证据可信度;根据所述检测特征向量中的各个检测特征创建所述朴素可信度模型中的知识,计算所述知识的可信度;将所述证据可信度以及所述知识的可信度代入朴素可信度模型的可信度计算公式,对网络数据包所在连接是否存在网络行为异常的结论事件进行可信度计算。本发明具有较高的准确率与广泛的适应性。
-
公开(公告)号:CN101714929B
公开(公告)日:2012-03-07
申请号:CN200910238412.8
申请日:2009-11-19
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络可用性指数定量计算方法,包括:在待监测网络中选择一定数量的路由器节点作为数据的采集点,并设置用于采集数据的基期和报告期;在基期内,在各个数据采集点上做基于流的数据采集,得到包含有包数、字节数在内的流记录;根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计,在达到指定的统计持续时间后,根据统计结果计算带宽空闲率指标、服务空闲率指标和网络节点数指标,存储所得到的上述指标;在报告期内,重复上述步骤的操作,得到报告期内待监测网络的带宽空闲率指标、服务空闲率指标和网络节点数指标;由报告期内和基期内的前述指标,得到用于表示网络可用性的网络可用性指数。
-
公开(公告)号:CN101488965B
公开(公告)日:2012-02-15
申请号:CN200910078240.2
申请日:2009-02-23
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种域名过滤系统,包括安装有过滤代理子系统的用于实现域名过滤的域名服务器,以及用于生成过滤命令的过滤中心子系统;其中,过滤中心子系统根据用户输入的过滤信息,结合过滤代理子系统的状态信息,为过滤代理子系统生成相应的过滤命令;域名服务器中的过滤代理子系统解析并执行所接收到的过滤命令,根据过滤命令的内容修改域名服务器中的域名配置文件,域名服务器根据域名配置文件的内容实现对所要过滤域名的过滤。本发明不需要对现有运行中的域名服务器做任何修改,因而具有易实施、易维护的优点,且对现有域名服务器的稳定性和性能没有任何影响。
-
公开(公告)号:CN102333040A
公开(公告)日:2012-01-25
申请号:CN201110333844.4
申请日:2011-10-28
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种服务器瞬间拥塞控制方法和系统,对于该方法,其中的控制状态包括第一、第二和第三状态,在各个状态中,不同情况对数据包进行不同处理;该方法包括:1)接收数据包,根据控制状态对数据包进行丢弃或转发;2)比较数据包的平均请求返回时延与检测阈值,根据比较的结果进行控制状态转变或者保持原有状态,其中:当平均请求返回时延较大时,从第一状态转为第二状态或从第二状态转为第三状态,当拥塞情况缓解时,从第三状态转为第一状态。该方法和系统能够保护会话完整性,避免因服务器负载振荡而导致的大量数据包重传,同时无需学习或训练,且计算开销小。
-
Patent Agency Ranking
公开(公告)号:CN101521672B
公开(公告)日:2011-11-23
申请号:CN200910081630.5
申请日:2009-04-03
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络蠕虫检测方法,包括:接收网络数据包,在所述网络数据包中提取与网络蠕虫检测相关且用于证明网络蠕虫存在的检测特征;将检测特征作为朴素可信度模型中的证据,计算证据可信度;根据检测特征创建朴素可信度模型中的知识,计算知识的可信度;将证据可信度以及知识的可信度代入朴素可信度模型的可信度计算公式,对网络中存在蠕虫攻击的结论事件进行可信度计算。本发明将朴素可信度模型与短连接度、流量、数据包均匀度、连接树图模式、包数增长率等5类8种网络流量及行为特征相融合,能够更早地发现蠕虫,提高了检测的准确性;本发明具有很好的实时性和实用性,适合于大规模高速网络的未知蠕虫及其变种的检测。
-
公开(公告)号:CN101465855B
公开(公告)日:2011-11-23
申请号:CN200810247440.1
申请日:2008-12-31
Applicant: 中国科学院计算技术研究所
IPC: H04L29/06
Abstract: 本发明涉及一种同步泛洪攻击的过滤方法及系统,方法包括:步骤1,配置高低权重队列转发数据包的比例;步骤2,接收数据包,确定当前状态,判断当前状态是否为正常状态,如果是,则数据包进入高权重队列,否则,执行步骤3;步骤3,根据数据包的类型,用于记录连接的连接状态表和用于记录合法IP地址的合法地址表,判断数据包是否合法,如果是,则数据包进入高权重队列,否则,数据包进入低权重队列;并更新连接状态表和合法地址表;步骤4,在当前状态为正常状态时,转发高权重队列中数据包,在当前状态为攻击状态时,按比列转发低权重队列和高权重队列中的数据包。本发明能够有效缓解、过滤和防御针对网络信息系统的大规模同步泛洪攻击。
-
公开(公告)号:CN101808017A
公开(公告)日:2010-08-18
申请号:CN201010135667.4
申请日:2010-03-26
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络异常性指数定量计算方法,包括:在待监测网络中选择一定数量的路由器节点作为数据的采集点,并设置用于采集数据的基期和报告期;在各个数据采集点上做数据采集,得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息;统计和计算所采集的数据,得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标;将当前时刻计算得到的指标与基期内计算的相应指标相结合,计算用于表示待监测网络异常程度的网络异常性指数。本发明能够及时有效地反映典型网络安全事件对网络安全态势产生的影响。
-
公开(公告)号:CN101521672A
公开(公告)日:2009-09-02
申请号:CN200910081630.5
申请日:2009-04-03
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络蠕虫检测方法,包括:接收网络数据包,在所述网络数据包中提取与网络蠕虫检测相关且用于证明网络蠕虫存在的检测特征;将检测特征作为朴素可信度模型中的证据,计算证据可信度;根据检测特征创建朴素可信度模型中的知识,计算知识的可信度;将证据可信度以及知识的可信度代入朴素可信度模型的可信度计算公式,对网络中存在蠕虫攻击的结论事件进行可信度计算。本发明将朴素可信度模型与短连接度、流量、数据包均匀度、连接树图模式、包数增长率等5类8种网络流量及行为特征相融合,能够更早地发现蠕虫,提高了检测的准确性;本发明具有很好的实时性和实用性,适合于大规模高速网络的未知蠕虫及其变种的检测。
-
公开(公告)号:CN101465864A
公开(公告)日:2009-06-24
申请号:CN200910076368.5
申请日:2009-01-14
Applicant: 中国科学院计算技术研究所
Abstract: 本发明涉及一种带宽消耗随机伪造源地址攻击的过滤方法和系统,方法包括:步骤1,配置高低权重队列转发数据包的比例和数据包类型集合;步骤2,接收数据包,判断所述数据包的类型是否被包括在所述数据包类型集合中,如果是,则执行步骤3,否则,所述数据包进入低权重队列;所述步骤3,判断所述数据包的源地址是否合法,如果是,则所述数据包进入高权重队列,否则,所述数据包进入低权重队列;步骤4,在当前存在攻击时,按所述比例转发所述低权重队列和所述高权重队列中的数据包,在当前不存在攻击时,转发所述高权重队列中数据包。本发明能够以较低的计算开销和存储开销为代价进行带宽消耗随机伪造源地址攻击的过滤,并能应用于多种协议。
-
-
-
-
-
-
-
-
-
Search Results
56
records
(took 0.066 seconds)
