CN117675363A - 一种基于机器学习的动态网络攻击识别方法 - Google Patents
一种基于机器学习的动态网络攻击识别方法 Download PDFInfo
- Publication number
- CN117675363A CN117675363A CN202311671621.8A CN202311671621A CN117675363A CN 117675363 A CN117675363 A CN 117675363A CN 202311671621 A CN202311671621 A CN 202311671621A CN 117675363 A CN117675363 A CN 117675363A
- Authority
- CN
- China
- Prior art keywords
- sample set
- flow
- dynamic network
- attack
- machine learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000010801 machine learning Methods 0.000 title claims abstract description 17
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 18
- 230000008030 elimination Effects 0.000 claims abstract description 8
- 238000003379 elimination reaction Methods 0.000 claims abstract description 8
- 238000012706 support-vector machine Methods 0.000 claims description 19
- 238000001914 filtration Methods 0.000 claims description 12
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims 1
- 238000010606 normalization Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于机器学习的动态网络攻击识别方法,包括以下步骤:S10:采集动态网络的待检测流量,转换获得流量样本集;S20:剔除所述流量样本集中不完全特征和格式错误特征的流量样本;S30:基于流量样本集的特征方差对流量样本进行二次剔除;S40:基于K‑means算法对二次剔除后的流量样本集进行类簇划分,获得异常类簇;S50:判断所述异常类簇对应的动态网络遭受的攻击类型。本申请通过对流量样本集进行多次降维处理和类簇划分,高效识别动态网络遭受的攻击类型。
Description
技术领域
本发明属于计算机网络安全技术领域,尤其涉及一种基于机器学习的动态网络攻击识别方法。
背景技术
在“互联网+”时代,网络安全越来越受到重视,互联网经常会受到网络攻击,具体包括拒绝服务(Denial of Service,DoS)、远程机器的非法访问(Remote to Local,R2L)、监视和其他探测活动(PROBE)等一些已知攻击和未知攻击,导致数据泄露、业务终端等重大经济损失。
随着网络攻击模式的不断迭代和更新使得攻击方式愈加隐蔽化、持久化,且现有基于人工智能的攻击行为检测难以区分网络攻击的类型,特别是当网络攻击为未知攻击时,若不能及时对攻击类型明确区分,将导致防御措施失效的情况出现。
发明内容
有鉴于现有技术的上述缺陷,本发明提出一种基于机器学习的动态网络攻击识别方法,本发明设计的技术方案步骤包括:
S10:采集动态网络的待检测流量,转换获得流量样本集;
S20:剔除所述流量样本集中不完全特征和格式错误特征的流量样本;
S30:基于流量样本集的特征方差对流量样本进行二次剔除;
S40:基于K-means算法对二次剔除后的流量样本集进行类簇划分,获得异常类簇;
S50:判断所述异常类簇对应的动态网络遭受的攻击类型。
优选地,所述S10中的转换获得流量样本集包括采用CICFlowerMeter工具的在线和/或离线的处理模式,将待检测流量转换为格式统一和维度相同的流量样本集。
优选地,所述CICFlowerMeter工具的在线和/或离线的处理模式包括:
在线处理模式下,终端连接动态网络后捕获数据包,将数据包导入CICFlowerMeter中进行在线处理获得流量样本集;
离线处理模式下,将离线下载的pcap文件导入,利用文件生成双向流计算网络流量并统计特征,获得流量样本集。
优选地,所述S30中的二次剔除包括计算流量样本集的特征方差,设置过滤阈值,将特征方差小于过滤阈值的流量样本进行剔除。
优选地,所述计算流量样本集的特征方差公式如下:
式中,xj为样本集中第j维的特征,n为样本集中的样本数量,为样本xi的第j维的特征,/>为样本集中第j维的特征均值。
优选地,在所述S30中的二次剔除后还包括对二次剔除后的流量样本集进行归一化处理,公式如下:
式中,为归一化后的样本集中第j维的特征,xj为样本集中第j维的特征,min(xj)为样本集中第j维的特征的最小值,max(xj)为样本集中第j维的特征的最大值,m为编码后维度,δ为预设常数。
优选地,所述S40中的类簇划分包括选取二次剔除后的流量样本集最近的簇心,对簇心进行迭代更新并计算样本与更新后簇心之间的距离,基于样本与更新后簇心之间的距离得到多个类簇,并划分异常类簇和正常类簇。
优选地,所述划分异常类簇和正常类簇包括按照类簇中包含的数据的个数进行排序,预设数据个数数值,将大于预设数据个数数值的类簇划分为异常类簇,对应被网络攻击的样本数据;将小于或等于预设数据个数数值的类簇划分为正常类簇,对应未被网络攻击的样本数据。
优选地,所述S50中判断所述异常类簇对应的动态网络遭受的攻击类型包括将异常类簇输入单分类器的支持向量机,输出置信度,基于置信度判断异常类簇遭受的网络攻击是否为已知的网络攻击类型。
优选地,所述基于置信度判断异常类簇遭受的网络攻击是否为已知的网络攻击类型包括当支持向量机输出的置信度高于0.8,标记为已知攻击类型;当支持向量机输出的置信度低于0.3,标记为未知攻击类型;当支持向量机输出的置信度介于0.8和0.3之间包括0.8和0.3,人工进行二次判定检查。
有益效果:
1、本发明根据流量特征进行攻击检测,避免了流量解析的繁琐步骤和过多先验知识的限制;
2、本发明预设过滤阈值过滤掉方差小于阈值的特征,生成标准流量样本集,以较少的特征维数提高后续检测效果;
3、本发明基于K-means算法和支持向量机及时判断样本数据所受网络攻击类型,解决现有网络攻击识别方法仅学习独立样本实例特征而缺少攻击类别信息识别的问题。
附图说明
图1是本发明一个较佳实施例的流程示意图。
具体实施方式
下面对本发明的实施例作详细说明,下述的实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本发明设计了一种一种基于机器学习的动态网络攻击识别方法,技术方案包含以下步骤,具体包括:
S10:采集动态网络的待检测流量,转换获得流量样本集;
S20:剔除流量样本集中不完全特征和格式错误特征的流量样本;
S30:基于流量样本集的特征方差对流量样本进行二次剔除;
S40:基于K-means算法对二次剔除后的流量样本集进行类簇划分,获得异常类簇;
S50:判断异常类簇对应的动态网络遭受的攻击类型。
优选地,S10中的转换获得流量样本集包括采用CICFlowerMeter工具的在线和/或离线的处理模式,将待检测流量转换为格式统一和维度相同的流量样本集。
优选地,CICFlowerMeter工具的在线和/或离线的处理模式包括:
在线处理模式下,终端连接动态网络后捕获数据包,将数据包导入CICFlowerMeter中进行在线处理获得流量样本集;
离线处理模式下,将离线下载的pcap文件导入,利用文件生成双向流计算网络流量并统计特征,获得流量样本集。
具体的,本发明采用CICFlowerMeter工具将流量转换为格式统一的数据样本集,输出维度为m的数据集,剔除数据样本集种包含nan、-inf、+inf等无效特征值的样本和格式错误特征的流量样本。
优选地,S30中的二次剔除包括计算流量样本集的特征方差,设置过滤阈值,将特征方差小于过滤阈值的流量样本进行剔除。
优选地,计算流量样本集的特征方差公式如下:
式中,xj为样本集中第j维的特征,n为样本集中的样本数量,为样本xi的第j维的特征,/>为样本集中第j维的特征均值。
具体的,基于传统网络攻击识别模型存在表征能力有限以及海量数据场景适应性较差的不足,为了降低检测模型的计算参数,通过计算流量样本集的特征方差,设置过滤阈值,将特征方差小于过滤阈值的流量样本进行剔除,以较少的特征维数实现较好的检测效果,其中流量样本集公式如下:
X=(x1,x2,…,xn)
式中,m为样本xi的维度数量;
另外,过滤阈值的计算通常选择方差在0到1范围内产生最大间隙值的方差,对于动态识别网络攻击识别,假设有攻击网络时,样本方差值偏大,固本发明实施例采用1作为过滤阈值对数据进行筛选剔除。剔除的数据特征包括:Fwd PSH Flags、Bwd PSH Flags、FwdURG Flags、Bwd URG Flags、RST Flag Count、ECE Flag Count、FIN Flag Count、CWR FlagCount、Fwd Packet/Bulk Avg、Fwd Bytes/Bulk Ayg、Down/Up Ratio;剔除后的数据仍存在特征分布范围差异巨大,例如从源到目的数据字节数特征src bytes和从目的到源的数据字节特征dst bytes,这种差异巨大的特征会导致后续识别结果出现偏差,固本发明采用对具有多维属性的网络流量特征进行归一化
优选地,在S30中的二次剔除后还包括对二次剔除后的流量样本集进行归一化处理,公式如下:
式中,为归一化后的样本集中第j维的特征,xj为样本集中第j维的特征,min(xj)为样本集中第j维的特征的最小值,max(xj)为样本集中第j维的特征的最大值,m为编码后维度,δ为预设常数。
具体的,δ为预设较小常数,本发明取δ=10-6,用于避免出现特征全零的情况,添加预设常数,针对特征分布不均的偏差情况,对数据进行平衡处理,采用最大和最小的特征值将所有特征归一化到[0,1]中。
优选地,S40中的类簇划分包括选取二次剔除后的流量样本集最近的簇心,对簇心进行迭代更新并计算样本与更新后簇心之间的距离,基于样本与更新后簇心之间的距离得到多个类簇,并划分异常类簇和正常类簇。
优选地,划分异常类簇和正常类簇包括按照类簇中包含的数据的个数进行排序,预设数据个数数值,将大于预设数据个数数值的类簇划分为异常类簇,对应被网络攻击的样本数据;将小于或等于预设数据个数数值的类簇划分为正常类簇,对应未被网络攻击的样本数据。
具体的,关于S40步骤,基于现有网络攻击识别方法仅学习独立样本实例特征而缺少攻击类别信息识别的问题,本发明采用基于K-means算法对二次剔除后的流量样本集进行类簇划分,获得异常类簇,用于后续的进一步攻击识别。具体步骤包括:首先选取一个数据,采用欧式距离获取距离选取数据最近的簇心,并使簇心在选取数据所在的路径中进行迭代更新,计算样本与迭代更新后的簇心之间的距离,完成类簇划分,传统的K-means算法通过平均值获取簇心,这样会过早陷入局部最优,无法找到最优解,降低类簇划分的准确性;
选取数据所在路径公式为:
迭代更新的损失函数公式为:
使簇心在选取数据所在的路径中进行迭代更新的迭代计算方式不断更新α′的值,(只需要少量的样本数据就可以将α′值达到最优,提高效率)
具体的,使簇心在选取数据所在的路径中进行迭代更新的迭代计算方式为在路径方向少求得极小点进行迭代更新,极小点公式为:
式中,minf(α)为路径上的极小点,H为样本数据,为全部样本数据的平均值,T为数据特征的方差。
优选地,S50中判断异常类簇对应的动态网络遭受的攻击类型包括将异常类簇输入单分类器的支持向量机,输出置信度,基于置信度判断异常类簇遭受的网络攻击是否为已知的网络攻击类型。
优选地,基于置信度判断异常类簇遭受的网络攻击是否为已知的网络攻击类型包括当支持向量机输出的置信度高于0.8,标记为已知攻击类型;当支持向量机输出的置信度低于0.3,标记为未知攻击类型;当支持向量机输出的置信度介于0.8和0.3之间包括0.8和0.3,人工进行二次判定检查。
具体的,支持向量机(SVM)构建单分类器即为单分类SVM,为一种经典的机器学习算法,将异常类簇输入单分类SVM,SVM输出的置信度,基于置信度判断异常类簇遭受的网络攻击类型是否为已知的攻击类型,置信度为SVM模型的决策函数值(即距离)来作为置信度度量。关于已知攻击类型,包括但不限于木马(Trojan Horse)、拒绝服务攻击(Denial ofService,DoS)、分布式拒绝服务攻击(Distributed Denial of Service,DDoS)、病毒(Virus)、垃圾邮件(Spam)、钓鱼(Phishing)、网络针对性攻击(Targeted Attacks)和勒索软件(Ransomware);关于未知攻击类型,包括但不限于针对尚未被发现或广泛研究的漏洞或技术进行的攻击,这些攻击可能利用新的攻击方法、利用未知的软件漏洞或使用先前未曾出现的恶意代码(新颖攻击);利用目标系统中尚未被修复或公开披露的零日漏洞进行攻击。零日漏洞是指厂商尚未发布修补程序或安全更新的已知漏洞,在此期间,攻击者可以利用漏洞对系统进行入侵(零日攻击);经过精心计划和设计的攻击,针对特定目标而进行的高度定制化行动。这种攻击通常针对特定组织、特定网络基础设施或特定个人,具有高度定制化的特点,使其更难以检测和识别(定制化攻击);结合多种攻击技术和手段来发动攻击,以绕过传统的防御机制。混合攻击可能涉及多个阶段或多个攻击方式的连续性,旨在欺骗和绕过安全系统的防御(混合攻击);多个攻击者或攻击团队协同合作进行的攻击行动。这种攻击可能涉及多个攻击向量、多个攻击目标或跨越多个网络进行攻击,使其更难以处理和追溯(集体攻击)。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的试验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于机器学习的动态网络攻击识别方法,其特征在于,包括以下步骤:
S10:采集动态网络的待检测流量,转换获得流量样本集;
S20:剔除所述流量样本集中不完全特征和格式错误特征的流量样本;
S30:基于流量样本集的特征方差对流量样本进行二次剔除;
S40:基于K-means算法对二次剔除后的流量样本集进行类簇划分,获得异常类簇;
S50:判断所述异常类簇对应的动态网络遭受的攻击类型。
2.根据权利要求1所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述S10中的转换获得流量样本集包括采用CICFlowerMeter工具的在线和/或离线的处理模式,将待检测流量转换为格式统一和维度相同的流量样本集。
3.根据权利要求2所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述CICFlowerMeter工具的在线和/或离线的处理模式包括:
在线处理模式下,终端连接动态网络后捕获数据包,将数据包导入CICFlowerMeter中进行在线处理获得流量样本集;
离线处理模式下,将离线下载的pcap文件导入,利用文件生成双向流计算网络流量并统计特征,获得流量样本集。
4.根据权利要求1所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述S30中的二次剔除包括计算流量样本集的特征方差,设置过滤阈值,将特征方差小于过滤阈值的流量样本进行剔除。
5.根据权利要求4所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述计算流量样本集的特征方差公式如下:
式中,xj为样本集中第j维的特征,n为样本集中的样本数量,为样本xi的第j维的特征,/>为样本集中第j维的特征均值。
6.根据权利要求1所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,在所述S30中的二次剔除后还包括对二次剔除后的流量样本集进行归一化处理,公式如下:
式中,为归一化后的样本集中第j维的特征,xj为样本集中第j维的特征,min(xj)为样本集中第j维的特征的最小值,max(xj)为样本集中第j维的特征的最大值,m为编码后维度,δ为预设常数。
7.根据权利要求1所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述S40中的类簇划分包括选取二次剔除后的流量样本集最近的簇心,对簇心进行迭代更新并计算样本与更新后簇心之间的距离,基于样本与更新后簇心之间的距离得到多个类簇,并划分异常类簇和正常类簇。
8.根据权利要求7所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述划分异常类簇和正常类簇包括按照类簇中包含的数据的个数进行排序,预设数据个数数值,将大于预设数据个数数值的类簇划分为异常类簇,对应被网络攻击的样本数据;将小于或等于预设数据个数数值的类簇划分为正常类簇,对应未被网络攻击的样本数据。
9.根据权利要求1所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述S50中判断所述异常类簇对应的动态网络遭受的攻击类型包括将异常类簇输入单分类器的支持向量机,输出置信度,基于置信度判断异常类簇遭受的网络攻击是否为已知的网络攻击类型。
10.根据权利要求9所述的一种基于机器学习的动态网络攻击识别方法,其特征在于,所述基于置信度判断异常类簇遭受的网络攻击是否为已知的网络攻击类型包括当支持向量机输出的置信度高于0.8,标记为已知攻击类型;当支持向量机输出的置信度低于0.3,标记为未知攻击类型;当支持向量机输出的置信度介于0.8和0.3之间包括0.8和0.3,人工进行二次判定检查。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311671621.8A CN117675363A (zh) | 2023-12-07 | 2023-12-07 | 一种基于机器学习的动态网络攻击识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311671621.8A CN117675363A (zh) | 2023-12-07 | 2023-12-07 | 一种基于机器学习的动态网络攻击识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117675363A true CN117675363A (zh) | 2024-03-08 |
Family
ID=90082234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311671621.8A Pending CN117675363A (zh) | 2023-12-07 | 2023-12-07 | 一种基于机器学习的动态网络攻击识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117675363A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101623071B1 (ko) * | 2015-01-28 | 2016-05-31 | 한국인터넷진흥원 | 공격의심 이상징후 탐지 시스템 |
| CN106850460A (zh) * | 2017-02-10 | 2017-06-13 | 北京邮电大学 | 一种业务流聚合方法及装置 |
| CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
| CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
| CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
| KR20220022322A (ko) * | 2020-08-18 | 2022-02-25 | 세종대학교산학협력단 | 네트워크 공격 탐지 장치 및 방법 |
| CN116226700A (zh) * | 2023-03-15 | 2023-06-06 | 重庆邮电大学 | 一种基于时间序列聚类的流量异常检测方法 |
-
2023
- 2023-12-07 CN CN202311671621.8A patent/CN117675363A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101623071B1 (ko) * | 2015-01-28 | 2016-05-31 | 한국인터넷진흥원 | 공격의심 이상징후 탐지 시스템 |
| CN106850460A (zh) * | 2017-02-10 | 2017-06-13 | 北京邮电大学 | 一种业务流聚合方法及装置 |
| CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
| CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
| CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
| KR20220022322A (ko) * | 2020-08-18 | 2022-02-25 | 세종대학교산학협력단 | 네트워크 공격 탐지 장치 및 방법 |
| CN116226700A (zh) * | 2023-03-15 | 2023-06-06 | 重庆邮电大学 | 一种基于时间序列聚类的流量异常检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 王婷;王娜;崔运鹏;李欢;: "基于半监督学习的无线网络攻击行为检测优化方法", 计算机研究与发展, no. 04, 13 April 2020 (2020-04-13) * |
| 赵尔敦;刘威;李冲;唐培和;: "移动传感器网络中能量均衡分簇及移动策略", 计算机工程与应用, no. 19, 1 July 2010 (2010-07-01) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
| US7835390B2 (en) | Network traffic identification by waveform analysis | |
| Robinson et al. | Ranking of machine learning algorithms based on the performance in classifying DDoS attacks | |
| Gautam et al. | An ensemble approach for intrusion detection system using machine learning algorithms | |
| Gadal et al. | Anomaly detection approach using hybrid algorithm of data mining technique | |
| CN112738015A (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| WO2007055222A1 (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
| US11544575B2 (en) | Machine-learning based approach for malware sample clustering | |
| CN111800430B (zh) | 一种攻击团伙识别方法、装置、设备及介质 | |
| CN113225358B (zh) | 网络安全风险评估系统 | |
| Pathak et al. | Study on decision tree and KNN algorithm for intrusion detection system | |
| CN106960153B (zh) | 病毒的类型识别方法及装置 | |
| Kong et al. | Identification of abnormal network traffic using support vector machine | |
| Naik et al. | Lockout-Tagout Ransomware: A detection method for ransomware using fuzzy hashing and clustering | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| WO2020168718A1 (zh) | 分类器鲁棒性的测试方法、装置、终端及存储介质 | |
| Siraj et al. | Analyzing ANOVA F-test and Sequential Feature Selection for Intrusion Detection Systems. | |
| CN117834311B (zh) | 一种用于网络安全的恶意行为识别系统 | |
| CN114462032A (zh) | 一种本地化差分隐私下键值对数据收集受投毒攻击的检测方法 | |
| CN117675363A (zh) | 一种基于机器学习的动态网络攻击识别方法 | |
| Xue et al. | A stacking-based classification approach to android malware using host-level encrypted traffic | |
| CN109889527B (zh) | 一种基于大数据的网络安全防护系统及其防护方法 | |
| CN115277178B (zh) | 基于企业网网络流量的异常监测方法、装置及存储介质 | |
| CN109327464A (zh) | 一种网络入侵检测中类别不平衡处理方法及装置 | |
| Çimen et al. | Performance Analysis of Machine Learning Algorithms in Intrusion Detection Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240731 Address after: 308, Building 47, Dayun Software Town, No. 8288 Longgang Avenue, He'ao Community, Yuanshan Street, Longgang District, Shenzhen City, Guangdong Province, 518000 Applicant after: Shenzhen Zhihui Huasheng Technology Co.,Ltd. Country or region after: China Address before: Room 1206, Building A, No. 3 Juquan Road, Science City, Huangpu District, Guangzhou City, Guangdong Province, 510700 Applicant before: Guangzhou Rongfu Information Technology Co.,Ltd. Country or region before: China |