CN101523848A - 使用ⅱ型模糊神经网络的智能网络异常检测 - Google Patents
使用ⅱ型模糊神经网络的智能网络异常检测 Download PDFInfo
- Publication number
- CN101523848A CN101523848A CNA2007800365013A CN200780036501A CN101523848A CN 101523848 A CN101523848 A CN 101523848A CN A2007800365013 A CNA2007800365013 A CN A2007800365013A CN 200780036501 A CN200780036501 A CN 200780036501A CN 101523848 A CN101523848 A CN 101523848A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- mean value
- symptom
- statistics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Devices For Executing Special Programs (AREA)
Abstract
一种实施II型神经网络以追踪攻击(所述攻击针对专用网)的症状并建议逐步升级纠正行动(所述纠正行动可以被所述网络设备实现)直到所述攻击的所述症状开始消失为止的异常检测器。一种用于处理攻击的症状的方法,所述方法包括以下步骤:收集多个网络统计量;将收集的网络统计量的每个处理成度量,所述度量是收集的网络统计量除以所述收集的网络统计量的理论最大值的分数;基于所述度量的唯一集合以及所述度量的所述唯一集合的变化率计算平均值;聚合计算的平均值的唯一集合;并且将聚合的平均值与if-then-else决策规则表中的阈值比较以确定处理所述攻击的所述症状的动作。
Description
技术领域
本发明涉及使用II型模糊神经网络来识别攻击/异常(所述攻击/异常针对专用网)的症状并且建议逐步升级纠正行动(所述纠正行动可以被网络设备实现)直到所述攻击/异常的所述症状开始消失为止的异常检测器和方法。
背景技术
当前的网络设备(例如,3层以太网交换机)经常使用或者事后分析技术(post mortem technique)或者预防措施技术(preventative measurestechnique)来检测和纠正网络异常/攻击。在前一种情况中,网络设备收集网络统计量的外延量,然后将该信息发送到外部设施来识别有组织的攻击/异常或者不受欢迎的网络活动的已知模式或特征。由于整理、计算和分析这些网络统计量的需求要求穷举量的数字倒弄和搜索能力,该外部设施在攻击/异常已破坏网络后识别它。
在后一种情况中,通过过滤掩码(filter mask)、决策树或复杂试探法的集合编程网络设备,所述集合对应有组织的攻击/异常或者不受欢迎的网络活动的已知模式或特征。通过使用对追踪攻击/异常的固定的和有组织的模式相当有效的硬性规定,这些机制仅识别攻击/异常。一旦被识别,网络设备采用适当步骤来处理侵犯的攻击/异常的症状。这种特定技术在攻击/异常具有刚性范围的行为并且留下已知特征的情况下正常工作。
一些连网设备使用事后分析技术和预防措施技术的组合来检测和纠正网络异常/攻击。由于最具有破坏性和可识别的攻击方法,例如,拒绝服务、端口扫描等,具有非常明显的特征,该类型网络设备能够成功识别和纠正很多这些攻击/异常。例如,网络管理员可以轻松编程过滤屏蔽码、决策树或复杂试探法的集合来检测和纠正攻击/异常的问题原因,所述攻击/异常呈现刚性范围的行为并且留下已知特征。然而,今天普遍使用的更新类型的攻击/异常不以可预测的方式表现行为或者留下明显的特征。例如,有新一代的蠕虫,当它们跨网络移植时,具有不容易被识别的活动范围,因为这些更新蠕虫使用生物算法,当它们在网络内移植或繁殖时所述生物算法促使它们改变它们的行为。
结果,这些已知技术可能实施得不是非常好,因为在它们可以识别攻击/异常并且采用纠正行动来纠正攻击/异常的症状前,它们依赖于密切了解关于所述攻击/异常的原因。而且,无论攻击/异常的程度如何,这些技术经常需要采用不连续的纠正行动过程(除非网络管理员具体地定义他们希望处理的每个攻击程度,这本质上使每个攻击程度变成新种类的攻击)。相应地,需要一种可以检测攻击/异常(特别是更新类型的可变形蠕虫之一)并且建议逐步升级行动直到所述攻击/异常的症状开始消失为止的新技术。通过本发明的异常检测器和异常检测方法来解决这种需要和其它需要。
发明内容
本发明包括使用II型模糊神经网络的异常检测器和方法,所述II型模糊神经网络可以追踪攻击的症状并且建议逐步升级纠正行动直到所述攻击的所述症状开始消失为止。在一个实施例中,所述异常检测器使用三层II型模糊神经网络,其中,第一层具有多个收集关于网络设备的“健康状况”的不同方面的统计量的隶属函数(membership function)μ1-μi并且将那些数字处理成具有在0和1之间的值的度量(metrics)。第二层具有多个加法器∏1-∏m,所述加法器∏1-∏m的每个与所选择的隶属函数μ1-μi对接来获得它们的度量,然后输出流动和(runningsum)(概率的,不是数值的)。第三层206具有多个聚合器∑1-∑k,所述聚合器∑1-∑k的每个聚合所选择的加法器∏1-∏m的和并且计算流动平均值(running average),所述流动平均值被与模糊逻辑控制规则(位于if-then-else表内)进行比较来确定所述网络设备可以遵循来处理攻击的症状的特定行动过程。
附图说明
通过参考以下结合附图的详细描述,可以获得对本发明的更完整的理解,在所述附图中:
图1是根据本发明与用来保护专用网的异常检测器交互的网络设备的图;
图2是根据本发明的一个实施例的使用三层II型模糊神经网络保护所述专用网的所述异常检测器的图;以及
图3是示出根据本发明的一个实施例的可以被使用所述三层II型模糊神经网络的异常检测器实施以保护所述专用网的基本步骤的图。
具体实施方式
参考图1,示出了被用来帮助解释网络设备100如何可以与异常检测器102对接的图,根据本发明所述异常检测器102识别攻击的症状并且建议逐步升级纠正行动,网络设备100然后可以遵循所述纠正行动来处理所述攻击的所述症状。在该示例性场景中,通过与异常检测器102(其也可以位于网络设备100内)对接,网络设备100可以保护专用网104免受起源于公共网106的攻击和可能威胁。而且,通过与异常检测器102对接,网络设备100可以保护专用网104免受来自它自己的用户的攻击和潜在误用。接下来提供详细的讨论来解释异常检测器102如何接收网络统计量108、处理那些网络统计量108、以及然后输出可以被网络设备100实现来保护专用网104的纠正行动110。
异常检测器102使用人工智能在期望的异常检测过程中引入适应性测量,因为更新网络攻击(例如,可变形蠕虫)的性质经常是费解的,并且更经常地,是未知的。在一个实施例中,异常检测器102通过使用此处被称为II型模糊神经网络112(见图2和3)的人工智能形式,激活该适应性测量。II型模糊神经网络112在它建议逐步升级纠正行动110来处理攻击的症状前,能够使用从收集的网络统计量108采用的部分知识来识别和追踪攻击的症状。因而,II型模糊神经网络112在它可以检测攻击并且建议处理所述攻击的症状所需要的纠正行动110之前,不需要推论攻击的根源。
II型模糊神经网络112与传统神经网络的不同之处在于它的学习条件是基于简单的试探而不是复杂的自适应筛选程序(adaptive filter)。这些简单的试探允许适应性中被称为“模糊”的未定义的数值误差。正是这种“模糊”性质允许异常检测器102通过发现一般趋势而不需要具有使用复杂自适应筛选程序的传统神经网络所要求的数据精确性,追踪难懂的问题。接下来关于图2和3讨论具有三层控制结构的II型模糊神经网络112的示例性实施例。
参考图2,示出了根据本发明的示例性三层II型模糊神经网络112的图,所述三层II型模糊神经网络112被异常检测器102用来识别攻击的症状并且建议逐步升级可以被实现的纠正行动直到所述攻击的所述症状开始消失为止。如所示出的,第一层202具有收集关于网络设备100的“健康状况”的不同方面的统计量108的多个隶属函数μ1-μi,并且将那些数字处理成具有在0和1之间的值的度量(metric)。第二层204具有多个加法器∏1-∏m,所述加法器∏1-∏m的每个与所选择的隶属函数μ1-μi对接来获得它们的度量,然后处理/输出流动和(概率的,不是数值的)。第三层206具有多个聚合器∑1-∑k,所述聚合器∑1-∑k的每个聚合所选择的加法器∏1-∏m的和并且计算流动平均值,所述流动平均值被与位于对应if-then-else表2081和208k内的模糊逻辑控制规则进行比较来确定行动过程110,网络设备100然后可以遵循所述行动过程110来处理攻击的症状。特别地,第三层206具有多个if-then-else表2081和208k,所述2081和208k的每个从各自的聚合器∑1-∑k接收流动平均值,并且基于该输入实施if-then-else分析,然后输出网络设备100然后可以实现来处理攻击的症状的行动110。
在一个特别应用中,每个隶属函数μ1-μi收集关于网络设备100的特定方面的统计量108,然后产生单个度量来表示网络设备100的该特定方面的“健康状况”。这个度量具有在0和1之间的得分,意味着对应的隶属函数可以被表示为μ∈{0..1}。该度量得分是网络设备100当前正收集的网络统计量的分数,例如,用理论最大值去除通过特定接口的分组的数量、通过特定接口的比特的数量、通过特定接口的http连接的数量,等等......。例如:μ1=端口A的吞吐量=(被端口A传输的比特的数量/秒)/(端口A的每秒链路速率)。因而,度量的较高得分比较低得分更令人期望,因为前者指示较好的健康状况。如可以被理解的,关于隶属函数在它的μ值中可以传达什么方面类型(与网络设备100相关联的统计量)没有限制。而且,网络管理员越精确定义隶属函数μ1-μi,则整个异常检测器102行为将更好。
在第二层204中,通过加法器∏1-∏m的一个求和所选择的隶属函数μ1-μi的度量,来产生总得分μoverall。因为,特定的单个隶属函数μ1-μi可以以不同的方式影响总得分。加法器∏1-∏m可以通过改变权重“w”来模仿(model)单个隶属函数μ1-μi的一个或多个,因此,它们对总得分μoverall有期望的补偿效果。在一个例子中,可以如下计算(等式1)这个总得分μoverall:
μoverall=(∏(μi w(i)*μ′i w(i)))β*(1-∏((1-μi)w(i)*(1-μ′i)w(i)))γ
其中,β=γ-1,μi∈{0..1},w(i)=μi的第i个权重。
以上等式正好是μi和μ′i的加权几何平均值,其中,μi是影响总得分μoverall的第i个因素,μ′i是μi的变化率,即,μ′i=dμi/dt。
在第三层206中,通过聚合器∑1-∑k中的一个求和所选择的加权几何平均值(总得分μoverall),结果被与对应的if-then-else行动表2081和208k进行比较。如所示出的,每个聚合器∑1-∑k仅有一个表关联,并且每个表2081和208k可以被安排来查找特定的攻击/异常并且处理该特定攻击/异常的症状。以下示出简单的表2081和208k:
表1
| 如果和1>阈值1 | … | &如果和m>阈值4 | 则采用行动1 | 否则什么也不做 |
| 如果(和1<阈值1&和1>阈值2) | … | &如果(和m<阈值4&和m>阈值5) | 则采用行动2 | 否则什么也不做 |
| … | … | … | 则采用行动3 | 否则采用行动4 |
| 如果和1<阈值3 | … | &如果(和m<阈值6) | 则采用行动5 | 否则采用行动6 |
注意:表2081和208k还可以包含多个行动,例如,如果(聚合器1>阈值1),则进行(行动1和行动2和行动3),否则进行(行动4和行动5)。
以上示出的行动110是网络设备100可以采用以保护自身免受攻击/异常的步骤。例如,基于当前的通信量模式,异常检测器102可能已检测到网络设备100中特定接口上的潜在网络拥塞,即,当它的用于拥塞的聚合器∑1超过特定阈值时。如果该聚合器的和是在重度阈值(severethreshold)和轻度阈值(mild threshold)之间,则由聚合器∑1触发的行动110可以使网络设备100用低差分服务代码点(DSCP)优先级来标记所有后续通信量。如果该聚合器的和超过重度阈值,则由聚合器∑1触发的行动110可以使网络设备100在拥塞情况下丢弃接口上的所有后续通信量。
在另一例子中,在预测模式和固定时间间隔中,连网设备100可以目睹(witness)可疑的大量超文本传输协议(HTTP)请求,之后是大量来自少量互联网协议(IP)地址的HTTP中断。异常检测器102可以通过聚合这两种变量追踪该模式,然后通过输出可以被连网设备100实现的行动110来处理该问题。在该例子中,假定网络管理员有关于该特定异常的先验知识,因而他们可以适当地配置隶属函数μ1-μn(并且还加权隶属函数μ1-μn)、加法器∏1-∏m、聚合器∑1-∑k和/或if-then-else表2081和208k。选择性地,异常检测器102还可以被用来检测和处理意外攻击/异常(以下更详细地讨论该特定能力)。
作为样本实施例,可以在已经维护大量统计量阵列的一块网络设备100上实现三层II型模糊神经网络112,例如,3层以太网交换机100。在该情况下,1层隶属函数μ1-μi将周期性地采用这些统计量,并且将它们转换成被馈送到一个或多个2层加法器∏1-∏m的度量/分数。例如,隶属函数的一个μ1可以采用与每秒通过接口的比特的数量相关的统计量,并且用端口速率去除该数量,以产生在{0..1}之间的将指示链路利用率的度量/分数。另外,为了计算第一度量/分数(μ1),1层隶属函数μ1还将计算该度量/分数的时间微分(μ1′)。为了实现这个,隶属函数μ1可以例如计算连续点μ1(t)的斜率,用三角法求取角度值,并用2π去除该角度。
此后,2层加法器∏1-∏m每个接收度量/分数(μ1-μi)的唯一集合以及它们的对应时间微分度量/分数(μ1′-μi′),并且(例如)基于等式1计算加权几何平均值μoverall。如果期望,加法器∏1-∏m可以以在0和1之间的数来加权每个度量/分数(μ1-μi)。度量/分数(μ1-μi)的被分配的权重指示对应的隶属函数μ1-μi的相对重要性。例如,如果想要追踪网络拥塞,则链路利用率要被加权比开放传输控制协议(TCP)连接的数量更高的幂。当然,无论分配给隶属函数μ1-μi的权重如何,II型模糊神经网络112应当会聚。然而,如果隶属函数μ1-μi已适当选择了权重,比起隶属函数μ1-μi未选择好权重,II型模糊神经网络112将更快适应。最终,加法器II1-IIm将它们的输出μoveralls馈送到所选择的3层聚合器∑1-∑k,所述∑1-∑k的每个聚合接收的μoveralls,并且计算流动平均值,所述流动平均值被与模糊逻辑控制规则(位于对应的if-then-else表2081和208k中)比较来确定网络设备100可以实现来处理攻击的症状的行动过程110。
参考图3,示出了被用来以不同方式解释示例性三层II型模糊神经网络112根据本发明如何作用来帮助保护专用网104的图。在步骤302,第一层实体202用于通过收集统计量并且通过使用模糊逻辑数学将它们处理成可以被操作的分数值来观察系统状况。在步骤304,第二层实体204用于链接不同统计量来得到推论。在步骤306,第三层实体206(仅示出一个∑1和一个if-then-else表2081)用于使用从所选择的第二层实体204接收的一系列预感(a series of hunches)来作出关于网络设备100可以采用何种行动110来保护专用网104的决策。
使用II型模糊神经网络112的优点是人们可以训练(train)II型模糊神经网络112来学习未来的攻击和网络问题。例如,当网络管理员预料到公共网络106上的新蠕虫攻击时,则他们可以在试验网络上释放可疑蠕虫并且使用该机制来追踪攻击的模式。此后,网络管理员可以将这个新学的模式编程为真的异常检测器102,然后专用网104将被注入这种攻击。操作员可以以两种方式影响注入:(1)他们可以以行动修改规则表2081-208k,所述行动可以关闭(shut down)即将来临的攻击;和/或(2)他们可以通过更新隶属函数μ1-μn(例如,观察加权)或者通过添加新的隶属函数,改变第二层204评估观察的方式。
在另一例子中,如果网络管理员想要训练II型模糊神经网络112来查找新攻击/异常,他们可以编程if-then-else表2081的一个以不采用行动,然后简单地观察对应的聚合器∑1的输出。然后,他们可以设计行动的特定集合,所述行动是针对该特定的新的攻击/异常定制的。另外,如果II型模糊神经网络112被训练来保护免受特定威胁,则训练过程本身与模糊参数的修改一起也可以帮助保护免受以前从来没有的攻击。这些意外的攻击仅需要具有一些与已知攻击相关联的相同元素,用于模糊神经网络112决定它们是“有害的”并且制定响应。这些元素可以被测量并且容易被识别(例如它们可以是特定通信量类型的每秒分组),并且所述机制聚合这些元素越多,则可以被识别的意外攻击的类型的变化就越多。
尽管在附图中示出并在上述详细描述中已描述了本发明的一个实施例,应当理解,本发明不限于所公开的实施例,而是在不背离以下权利要求阐明和定义的本发明的精神的情况下,能进行大量的重新配置、修改和替换。
Claims (18)
1.一种包括II型模糊神经网络的异常检测器,所述II型模糊神经网络追踪攻击的症状并建议逐步升级纠正行动直到所述攻击的所述症状开始消失为止。
2.根据权利要求1所述的异常检测器,其中,所述II型模糊神经网络包括:
三层控制结构,其具有:
包括多个隶属函数的第一层,其中,每个隶属函数:收集网络统计量;以及,将收集的统计统计量处理成度量,所述度量是收集的统计量用除以所述收集的统计统计量的理论最大值得到的;
包括多个加法器的第二层,其中,每个加法器:接收与所述隶属函数相关联的度量的唯一集合;以及基于所述度量的唯一集合并且基于所述唯一集合中的所述度量的每个的变化率计算平均值;以及
包括至少一个聚合器和至少一个表的第三层,其中,每个聚合器:接收计算的平均值的唯一集合;以及,对所述计算的平均值的所述唯一集合求和;以及每个表被用来分析求和的计算平均值来确定是否需要行动过程来处理所述攻击的所述症状。
3.根据权利要求2所述的异常检测器,其中,所述收集的网络统计量包括:
通过网络设备上的特定接口的分组的数量;
通过所述网络设备上的特定接口的比特的数量;或者
通过所述网络设备上的特定接口的HTTP连接的数量。
4.根据权利要求2所述的异常检测器,其中,所述每个加法器计算平均值,所述平均值是加权几何计算平均值。
5.根据权利要求1所述的异常检测器,其中,所述攻击是实施多个生物算法的变形蠕虫。
6.根据权利要求1所述的异常检测器,其中,所述攻击是意外攻击。
7.根据权利要求1所述的异常检测器,其中,所述攻击是预期攻击。
8.一种用于处理攻击的症状的方法,所述方法包括以下步骤:
收集多个网络统计量;以及
将收集的网络统计量的每个处理成度量,所述度量是收集的网络统计量除以所述收集的网络统计量的理论最大值的分数;
计算多个平均值,所述多个平均值的每个基于所述度量的唯一集合以及所述度量的所述唯一集合的变化率;
聚合计算的平均值的唯一集合;以及
将聚合的计算平均值与if-then-else决策规则表中的值比较来确定行动以处理所述攻击的所述症状。
9.根据权利要求8所述的方法,其中,所述比较步骤进一步包括在检查所述收集的网络统计量、所述计算的平均值和/或所述聚合的计算平均值后修正所述if-then-else决策规则表以更好地处理所述攻击的所述症状。
10.根据权利要求8所述的方法,其中,所述收集的网络统计量包括:
通过所述网络设备中的特定接口的分组的数量;
通过所述网络设备中的特定接口的比特的数量;或者
通过所述网络设备中的特定接口的HTTP连接的数量。
11.根据权利要求8所述的方法,其中,所述攻击是实施多个生物算法的变形蠕虫。
12.一种用于处理攻击的症状的方法,所述方法包括以下步骤:
收集多个网络统计量;
将所述收集的统计量的每个处理成分数值;
通过对与处理的收集统计量相关联的所述分数值的多个唯一集合求和,得出多个推论;
聚合所述多个推论;以及
考虑到聚合的推论和if-then-else决策规则表作出决策以处理所述攻击的所述症状。
13.根据权利要求12所述的方法,其中,所述收集的网络统计量包括:
通过网络设备上的特定接口的分组的数量;
通过所述网络设备上的特定接口的比特的数量;或者
通过所述网络设备上的特定接口的HTTP连接的数量。
14.根据权利要求12所述的方法,其中,所述攻击是实施多个生物算法的变形蠕虫。
15.一种允许网络管理员识别新的异常并且然后处理与所述新的异常相关联的一个或多个症状的方法,所述方法包括以下步骤:
收集多个网络统计量;
将收集的网络统计量的每个处理成度量,所述度量是收集的网络统计量除以所述收集的网络统计量的理论最大值的分数;
计算多个平均值,所述多个平均值的每个基于所述度量的唯一集合以及所述度量的所述唯一集合的变化率;
聚合计算的平均值的唯一集合;
监控所述收集的网络统计量、计算的平均值和/或聚合的平均值来识别所述新异常的所述症状;以及
基于所述聚合的平均值,修正if-then-else决策规则表以包括可以被执行的一个或多个行动,以处理所述新异常的所述症状。
16.根据权利要求15所述的方法,进一步包括在监控所述收集的网络统计量、所述计算的平均值和/或所述聚合的平均值后,加权所述收集的统计量的一个或多个的步骤。
17.根据权利要求15所述的方法,其中,所述收集的网络统计量包括:
通过网络设备上的特定接口的分组的数量;
通过所述网络设备上的特定接口的比特的数量;或者
通过所述网络设备上的特定接口的HTTP连接的数量。
18.根据权利要求15所述的方法,其中,所述新异常是实施多个生物算法的变形蠕虫。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/536,842 | 2006-09-29 | ||
| US11/536,842 US20080083029A1 (en) | 2006-09-29 | 2006-09-29 | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
| PCT/US2007/080023 WO2008042824A2 (en) | 2006-09-29 | 2007-09-29 | Intelligence network anomaly detection using a type ii fuzzy neural network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101523848A true CN101523848A (zh) | 2009-09-02 |
| CN101523848B CN101523848B (zh) | 2013-03-27 |
Family
ID=39156334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800365013A Expired - Fee Related CN101523848B (zh) | 2006-09-29 | 2007-09-29 | 使用ⅱ型模糊神经网络的智能网络异常检测 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20080083029A1 (zh) |
| EP (1) | EP2082555B1 (zh) |
| JP (1) | JP5405305B2 (zh) |
| KR (1) | KR101323074B1 (zh) |
| CN (1) | CN101523848B (zh) |
| ES (1) | ES2602802T3 (zh) |
| WO (1) | WO2008042824A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
| CN107645478A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| CN110995761A (zh) * | 2019-12-19 | 2020-04-10 | 长沙理工大学 | 检测虚假数据注入攻击的方法、装置及可读存储介质 |
| CN116134785A (zh) * | 2020-08-10 | 2023-05-16 | 国际商业机器公司 | 网络设备属性的低时延识别 |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877644B2 (en) * | 2007-04-19 | 2011-01-25 | International Business Machines Corporation | Computer application performance optimization system |
| US8291495B1 (en) * | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| CN101873638B (zh) * | 2010-07-15 | 2013-04-17 | 吉林大学 | 基于模糊神经网络的异构无线网络接入选择方法 |
| US20140068761A1 (en) * | 2012-09-06 | 2014-03-06 | Microsoft Corporation | Abuse identification of front-end based services |
| US9191400B1 (en) * | 2013-06-12 | 2015-11-17 | The United States Of America, As Represented By The Secretary Of The Navy | Cyphertext (CT) analytic engine and method for network anomaly detection |
| US9450978B2 (en) | 2014-01-06 | 2016-09-20 | Cisco Technology, Inc. | Hierarchical event detection in a computer network |
| US9563854B2 (en) | 2014-01-06 | 2017-02-07 | Cisco Technology, Inc. | Distributed model training |
| US9870537B2 (en) | 2014-01-06 | 2018-01-16 | Cisco Technology, Inc. | Distributed learning in a computer network |
| US10038713B2 (en) * | 2014-05-06 | 2018-07-31 | Cisco Technology, Inc. | Predicted attack detection rates along a network path |
| US9230104B2 (en) | 2014-05-09 | 2016-01-05 | Cisco Technology, Inc. | Distributed voting mechanism for attack detection |
| US9559918B2 (en) | 2014-05-15 | 2017-01-31 | Cisco Technology, Inc. | Ground truth evaluation for voting optimization |
| US9641542B2 (en) | 2014-07-21 | 2017-05-02 | Cisco Technology, Inc. | Dynamic tuning of attack detector performance |
| US9407646B2 (en) | 2014-07-23 | 2016-08-02 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
| US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
| US9705914B2 (en) | 2014-07-23 | 2017-07-11 | Cisco Technology, Inc. | Signature creation for unknown attacks |
| US9686312B2 (en) * | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| US9800592B2 (en) | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US10217017B2 (en) * | 2015-09-17 | 2019-02-26 | Board Of Regents, The University Of Texas System | Systems and methods for containerizing multilayer image segmentation |
| CN106789831B (zh) * | 2015-11-19 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| CN105517070B (zh) * | 2015-12-25 | 2019-03-22 | 上海交通大学 | 基于用户使用习惯的异构网络切换方法 |
| JP6329331B1 (ja) * | 2016-07-04 | 2018-05-23 | 株式会社Seltech | 人工知能を有するシステム |
| KR101927100B1 (ko) * | 2016-10-17 | 2018-12-10 | 국민대학교산학협력단 | 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치 |
| US10397258B2 (en) * | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
| US10887341B2 (en) | 2017-03-06 | 2021-01-05 | Radware, Ltd. | Detection and mitigation of slow application layer DDoS attacks |
| KR102413096B1 (ko) | 2018-01-08 | 2022-06-27 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| CN108897334B (zh) * | 2018-07-19 | 2020-03-17 | 上海交通大学 | 一种基于模糊神经网络的仿昆虫扑翼飞行器姿态控制方法 |
| US11050770B2 (en) * | 2018-08-02 | 2021-06-29 | Bae Systems Information And Electronic Systems Integration Inc. | Network defense system and method thereof |
| CN110719289B (zh) * | 2019-10-14 | 2020-12-22 | 北京理工大学 | 一种基于多层特征融合神经网络的工控网络入侵检测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| CN1555156A (zh) * | 2003-12-25 | 2004-12-15 | 上海交通大学 | 基于自组织映射网络的自适应入侵检测方法 |
| JP4509904B2 (ja) * | 2005-09-29 | 2010-07-21 | 富士通株式会社 | ネットワークセキュリティ装置 |
| CN1809000A (zh) * | 2006-02-13 | 2006-07-26 | 成都三零盛安信息系统有限公司 | 一种网络入侵的检测方法 |
-
2006
- 2006-09-29 US US11/536,842 patent/US20080083029A1/en not_active Abandoned
-
2007
- 2007-09-29 WO PCT/US2007/080023 patent/WO2008042824A2/en active Application Filing
- 2007-09-29 EP EP07843575.7A patent/EP2082555B1/en not_active Not-in-force
- 2007-09-29 JP JP2009530667A patent/JP5405305B2/ja not_active Expired - Fee Related
- 2007-09-29 CN CN2007800365013A patent/CN101523848B/zh not_active Expired - Fee Related
- 2007-09-29 KR KR1020097006465A patent/KR101323074B1/ko not_active IP Right Cessation
- 2007-09-29 ES ES07843575.7T patent/ES2602802T3/es active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
| CN103957203B (zh) * | 2014-04-19 | 2015-10-21 | 盐城工学院 | 一种网络安全防御系统 |
| CN107645478A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| CN107645478B (zh) * | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| CN110995761A (zh) * | 2019-12-19 | 2020-04-10 | 长沙理工大学 | 检测虚假数据注入攻击的方法、装置及可读存储介质 |
| CN110995761B (zh) * | 2019-12-19 | 2021-07-13 | 长沙理工大学 | 检测虚假数据注入攻击的方法、装置及可读存储介质 |
| CN116134785A (zh) * | 2020-08-10 | 2023-05-16 | 国际商业机器公司 | 网络设备属性的低时延识别 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008042824A3 (en) | 2008-05-22 |
| JP5405305B2 (ja) | 2014-02-05 |
| KR20090058533A (ko) | 2009-06-09 |
| WO2008042824A2 (en) | 2008-04-10 |
| US20080083029A1 (en) | 2008-04-03 |
| JP2010506460A (ja) | 2010-02-25 |
| CN101523848B (zh) | 2013-03-27 |
| EP2082555A2 (en) | 2009-07-29 |
| ES2602802T3 (es) | 2017-02-22 |
| EP2082555B1 (en) | 2016-08-17 |
| KR101323074B1 (ko) | 2013-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101523848B (zh) | 使用ⅱ型模糊神经网络的智能网络异常检测 | |
| Xia et al. | An efficient network intrusion detection method based on information theory and genetic algorithm | |
| US9985982B1 (en) | Method and apparatus for aggregating indicators of compromise for use in network security | |
| WO2019236792A1 (en) | Threat mitigation system and method | |
| CN111224994A (zh) | 一种基于特征选择的僵尸网络检测方法 | |
| Vidal et al. | Alert correlation framework for malware detection by anomaly-based packet payload analysis | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| Bahrololum et al. | Anomaly intrusion detection design using hybrid of unsupervised and supervised neural network | |
| Masarat et al. | A novel framework, based on fuzzy ensemble of classifiers for intrusion detection systems | |
| Pal et al. | Improved genetic algorithm for intrusion detection system | |
| Musa et al. | A review on intrusion detection system using machine learning techniques | |
| US11297092B2 (en) | Threat mitigation system and method | |
| WO2021021728A1 (en) | Threat mitigation system and method | |
| Ghalehgolabi et al. | Intrusion detection system using genetic algorithm and data mining techniques based on the reduction | |
| Gao et al. | Consensus extraction from heterogeneous detectors to improve performance over network traffic anomaly detection | |
| CN107426141A (zh) | 恶意码的防护方法、系统及监控装置 | |
| Tekleselassie | A deep learning approach for DDoS attack detection using supervised learning | |
| Moukhafi et al. | Artificial neural network optimized by genetic algorithm for intrusion detection system | |
| Abdiyeva-Aliyeva et al. | Development of System for Detection and Prevention of Cyber Attacks Using Artifıcial Intelligence Methods | |
| Srinivasa et al. | IGIDS: Intelligent intrusion detection system using genetic algorithms | |
| Zhou et al. | Research on the optimisation of whitelisting technology for network firewall in industrial control system using genetic algorithm | |
| Mohammadi et al. | Heuristic intrusion detection technique based on nonlinear regression and sigmoid function | |
| Ali et al. | Towards an adaptive resilience strategy for future computer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130327 Termination date: 20180929 |