CN101980480A - 半监督异常入侵检测方法 - Google Patents
半监督异常入侵检测方法 Download PDFInfo
- Publication number
- CN101980480A CN101980480A CN2010105308913A CN201010530891A CN101980480A CN 101980480 A CN101980480 A CN 101980480A CN 2010105308913 A CN2010105308913 A CN 2010105308913A CN 201010530891 A CN201010530891 A CN 201010530891A CN 101980480 A CN101980480 A CN 101980480A
- Authority
- CN
- China
- Prior art keywords
- data
- sample set
- cluster
- svdd
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于模糊聚类和支撑适量域描述的半监督异常入侵检测方法,主要用于解决现有技术对入侵检测数据检测率低且虚警率高的问题。其实现步骤为:(1)初始有标记样本集和未标记样本集;(2)初始聚类中心;(3)实施模糊C均值聚类;(4)依据聚类结果更新有标记样本集和未标记样本集;(5)实施基于支撑矢量域描述SVDD的自训练;(6)依据自训练结果更新有标记样本集和未标记样本集;(7)实施基于支撑矢量域描述SVDD的分类;(8)评估入侵检测结果并输出。本发明在提高检测率的同时,降低了虚警率,可用于训练数据仅包含极少正常数据的实时入侵检测系统。
Description
技术领域
本发明属于网络安全技术领域,涉及入侵检测方法,具体的说是一种基于模糊聚类和支撑矢量域描述的半监督异常入侵检测方法,可用于网络环境中对数据的检测。
背景技术
随着全球信息化技术的飞速发展,网络已广泛应用于社会生活的各个领域,伴随而来的网络信息安全问题也不断增多。已被广泛应用的传统网络安全技术包括数据加密技术、认证技术、防火墙技术和入侵检测系统。其中入侵检测系统因具有检测性强、应用范围广泛、响应及时的特点而成为网络安全领域的研究热点。
按检测数据来源不同,入侵检测系统可以分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统主要以主机的审计记录作为检测数据来源,来完成对入侵行为的检测。基于网络的入侵检测系统通过分析网络数据包,检测其中隐藏的入侵行为。按检测方法不同,入侵检测方法又可以分为误用入侵检测方法和异常入侵检测方法。误用入侵检测方法通过分析各种入侵行为,提取出相应的入侵行为特征库,采用该检测方法的入侵检测系统的性能优劣完全取决于它是否具备一个及时更新的特征库。异常入侵检测方法首先为正常行为建立一个的状态模型,异于该状态模型的行为都被怀疑为攻击行为,采用该检测方法的入侵检测系统对未知入侵行为的发现能力较强,其设计难点在于如何正确构造正常行为的状态模型。
异常入侵检测可看作单值分类问题,即将检测数据中的目标类与离群类分离开来,其中目标类是检测数据中的正常数据,离群类是检测数据中的各种入侵数据。支撑矢量域描述SVDD是由支撑矢量机发展而来的一种数据域描述方法,可用于单值分类问题。基于SVDD的异常入侵检测方法的优点在于:1、它是一种无监督学习方法,不需要为训练数据标记类别;2、适用于仅由正常数据组成的或者包含噪声的训练集,使得模型的实时更新成为可能;3、通用性强,可用于实现基于网络或主机的异常入侵检测。
异常入侵检测的本质是一个模式分类问题,即将检测数据正确地分为正常类和异常类,其中正常类包含检测数据中的正常数据,异常类包含检测数据中的各种入侵数据,因此各种模式识别和机器学习技术越来越多的被应用到入侵检测领域中。传统的入侵检测方法是基于监督学习的,虽然检测率较高,且虚警率较低,但是无法有效地检测到未知入侵行为。因此,无监督学习方法被应用到入侵检测中,基于聚类的入侵检测方法不用对网络数据进行标记就可以检测到未知入侵行为,所以该检测方法的检测率较高,但是如果有入侵行为被错误标记为正常类,将导致该类入侵行为及其变种都被视作正常数据,所以虚警率也较高。
发明内容
本发明的目的在于克服上述已有技术的不足,针对训练数据中仅包含少量正常数据的情况,提出一种基于模糊聚类和支撑矢量域描述的半监督异常入侵检测方法,以实现在保证较高检测率的同时,最大程度的降低虚警率。
实现本发明目的的技术思路是:提取训练数据中的正常数据作为有标记样本集,通过模糊聚类和基于支撑矢量域描述SVDD的自训练不断标记利用无标记的检测数据样本,为检测器提供更多有效的样本分布信息,从而提高检测率。其技术方案包括以下步骤:
(1)在进行入侵检测时,将正常行为对应的检测数据定义为正常数据,将各种入侵行为对应的检测数据定义为异常数据,提取训练数据中的一部分正常数据作为初始有标记样本集{xi},将检测数据作为初始未标记样本集{xj};
(2)对当前有标记和未标记样本实施模糊C均值聚类,得到初始聚类中心M={m+,m-},其中m+是检测数据中正常类样本的初始聚类中心,m-是检测数据中异常类样本的初始聚类中心,正常类包含检测数据中的正常数据,异常类包含检测数据中的异常数据;
(3)基于初始聚类中心M,对当前有标记和未标记样本再次实施模糊C均值聚类,得到聚类中心其中是正常类样本的聚类中心,是异常类样本的聚类中心,并将当前所有未标记样本到各聚类中心的隶属度集合记作U={ucj|j∈(1,2,...,u),c∈(+,-)},其中ucj是第j个未标记样本到标记为c的聚类中心的隶属度,u是当前未标记样本集的样本数目;
(4)依据得到的隶属度集合U,从当前未标记样本集{xj}中选取聚类标记为正且对应隶属度最大的H个样本进行标记,即H=p×N+,将当前有标记样本集和未标记样本集分别聚类更新为和式中N+是当前未标记样本集中聚类标记为正的样本数目,p是从未标记样本中选取出并进行标记的比例;
(6)从聚类更新后的未标记样本集中选取判别函数值最大的H*个样本进行标记,即将当前有标记样本集和未标记样本集分别自训练更新为和式中是聚类更新后的未标记样本集中预测标记为正的样本数目,p是从未标记样本中选取出并进行标记的比例;
(8)利用上述基于支撑矢量域描述SVDD的检测数据分类结果,统计此次入侵检测的检测率和虚警率,并计算相应几何均值Gm;
(9)根据获得的几何均值是否达到最优作为终止条件,若满足则停止迭代,返回步骤(8),输出本次入侵检测的结果,否则返回步骤(2),直到满足终止条件为止。
本发明与现有技术相比具有如下优点:
(1)本发明使用模糊C均值聚类挖掘大量无标记的检测数据中隐含的数据分布信息,并结合支撑矢量域描述SVDD的优点,在保证较高检测率的同时,最大程度的降低了虚警率,从而在实际应用中不但可以更准确的检测出威胁,并能够减少误检给用户带来的不必要的麻烦;
(2)本发明综合考虑了实际应用中经常会遇到训练数据较少或很难获取,且仅包含正常数据的情况,为入侵检测方法引入半监督学习的思想,通过迭代执行模糊C均值聚类和基于支撑矢量域描述SVDD的自训练过程,不断标记利用大量未标记的检测数据样本,为检测器的训练提供了更多有效的样本分布信息,从而提高了检测率。
附图说明
图1是本发明的流程图;
图2是用本发明对KDD cup1999数据的30组检测数据统计的检测率对比图;
图3是用本发明对KDD cup1999数据的30组检测数据统计的虚警率对比图。
具体实施方式
参照图1,本发明的具体实现步骤如下:
步骤1,选定初始有标记样本集和初始未标记样本集。
在进行入侵检测时,将正常行为对应的检测数据定义为正常数据,将各种入侵行为对应的检测数据定义为异常数据,提取训练数据中的一部分正常数据作为初始有标记样本集{xi},将检测数据作为初始未标记样本集{xj}。
步骤2,对所述检测数据的聚类中心进行初始化。
对当前有标记和未标记样本实施模糊C均值算法,重复下面的运算步骤,直到有标记和未标记样本的隶属度值稳定:
(2a)计算隶属度:
(2b)利用(2a)中计算得到的隶属度,计算聚类中心:
其中,vc对应聚类中心点,uck是第k个样本到标记为c的聚类中心的隶属度,xk是有标记和未标记样本的集合,n是样本数目,b是模糊程度系数;
通过实施上述模糊C均值算法,得到检测数据的初始聚类中心记作M={m+,m-},其中m+是检测数据中正常类样本的初始聚类中心,m-是检测数据中异常类样本的初始聚类中心,正常类包含检测数据中的正常数据,异常类包含检测数据中的异常数据。
步骤3,基于初始聚类中心M,对当前有标记和未标记样本再次实施模糊C均值聚类,得到聚类中心其中是正常类样本的聚类中心,是异常类样本的聚类中心,并将当前所有未标记样本到各聚类中心的隶属度集合记作U={ucj|j∈(1,2,...,u),c∈(+,-)},其中ucj是第j个未标记样本到标记为c的聚类中心的隶属度,u是当前未标记样本集的样本数目。
步骤4,通过上述模糊C均值聚类步骤,依据得到的隶属度集合U,从当前未标记样本集{xj}中选取聚类标记为正且对应隶属度最大的H个样本进行标记,即H=p×N+,从而将当前有标记样本集和未标记样本集分别更新为和式中N+是当前未标记样本集中聚类标记为正的样本数目,p是从未标记样本中选取出并进行标记的比例。
在入侵检测系统中,目标类是检测数据中的正常数据,离群类是检测数据中的异常数据,对于输入空间不可分的情况,支撑矢量域描述SVDD方法通过一个非线性的映射函数Φ(),将数据集映射到高维特征空间,从而在该特征空间上寻找支撑矢量,构造出一个将大多数数据包围在其中且具有最小半径的最优超球体,在特征空间上寻找最优超球体的过程可以表示为如下优化问题:
其中,Φ()是将数据集映射到高维特征空间的映射函数,是数据集中的样本,l为样本数目,a是利用支撑矢量域描述SVDD方法训练得到的超球中心,R是对应的超球半径,ξi为松弛因子,v是对异常数据的惩罚参数;
步骤6,依据步骤5得到的预测结果,从聚类更新后的未标记样本集中选取判别函数值最大的H*个样本进行标记,即从而将当前有标记样本集和未标记样本集分别自训练更新为和式中聚类更新后的未标记样本集中预测标记为正的样本数目,p是从未标记样本中选取出并进行标记的比例。
(7a)使用支撑矢量域描述SVDD方法对自训练更新后的有标记样本集进行训练;
(7b)利用支撑矢量域描述SVDD的判别函数f(xj)=sgn(R2-||Φ(xj)-a||2),得到初始未标记样本集{xj}中各样本的预测标记,a是利用支撑矢量域描述SVDD方法训练得到的超球中心,R是对应的超球半径,Φ()是将数据集映射到高维特征空间的映射函数,sgn()是符号函数,xj是用于预测的未标记样本。
步骤8,利用上述基于支撑矢量域描述SVDD的检测数据分类结果,统计本发明对此次入侵检测的检测率和虚警率,并计算相应几何均值Gm。
(8a)分别计算入侵检测的检测率:和虚警率:其中,TP是预测为正常类且实际为正常类样本数目,FP是预测为正常类但实际为异常类的样本数目,FN是预测为异常类但实际为正常类的样本数目,TN是预测为异常类且实际为异常类的样本数目;
步骤9,根据获得的几何均值是否达到最优作为终止条件,若满足则停止迭代,返回步骤(8)输出本次入侵检测的结果,否则返回步骤(2),直到满足终止条件为止。
本发明的效果可以通过以下仿真实验说明:
一、实验数据简介
在本部分实验中采用来自KDD cup1999中的实际网络数据,该数据包含大量的网络入侵数据和正常的网络通信数据,这些数据是由基于连接的网络通信数据构成的,每个数据都记录着一种网络连接。KDD数据包含3935650个异常的链接向量,约占总数据的80.14%;以及972780个正常的链接向量,约占总数据的19.86%。
KDD数据中的异常数据主要包含了以下4种:
a)DOS:服务终止,约占异常连接的98.92%,例如syn flood;
b)R2L:远程机器未经授权的访问,约占异常连接的0.0286%,例如guessing password;
c)U2R:未经授权的本地高级用户访问特权,约占异常连接的0.0013%,例如缓冲期溢出攻击;
d)Probing:监视和其它窥视,约占异常连接的1.05%,例如端口扫描。
二、对KDD cup1999数据的入侵检测实验
(1)KDD数据的预处理。
每个网络连接向量都是两个IP地址在某个时段网络信息包传递的一个序列,一个完整的记录包括38个连续的数字、3个符号和一个结束标记,结束标记记录了该行为属于攻击类型还是正常行为,例如:
a)102,tcp,http,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,0,0,0,0,1,0,0,9,9,1,0,0.11,0,0,0,0,0,normal,它们表示一个HTTP服务的正常访问的链接向量;
b)0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,0,0,0,0,1,0,0,255,255,1,0,1,0,0,0,0,0,smurf,它们表示一个服务终止攻击的链接向量。
为了使这些连接向量适用于本发明,必须预处理这些数据。首先,将可识别的符号字符映射称为对应的自然数,例如:icmp→0、tcp→1、udp→2、SF→7、http→19等;其次用最小最大化的方法将数据集进行归一化,规范到超立方体[0,1]41中。因此上述a)、b)可转化为:
a)0.001748701,0.5,0.275362319,0.7,2.61042E-07,4.1605E-06,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,0.015655577,0.015655577,0,0,0,0,1,0,0,0.035294118,0,0.035294118,1,0,0.11,0,0,0,0,0,0;
b)0,0,0.144927536,0.7,1.48837E-06,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0,0,0,0,1,0,0,1,1,1,0,1,0,0,0,0,0,1。
(2)实验参数设置及实验结果。
实验运行参数设置为:在MATLAB环境下,采用LIBSVM工具箱,支撑适量域描述SVDD采用径向基核函数RBF,惩罚参数C=100,本发明方法中的参数p值取0.1。
在KDD数据的入侵检测实验中,首先将预处理后的KDD向量数据作为训练数据,任取其中10000组正常数据作为初始有标记样本;接着将KDD数据随机分成30组检测数据,每一组检测数据中含有39256个异常数据,9727个正常数据,将这30组检测数据分别作为初始未标记样本进行入侵检测,得出检测率和虚警率。
实验中用本发明方法C-SVDD和现有基于SVDD的异常入侵检测方法,对KDD数据进行入侵检测,表1展示了每一组检测数据分别在两种方法下分别运行20次的平均检测结果,表1中最后一行表示各检测方法对所有数据的平均检测情况。
表1:各组检测数据的入侵检测结果
将表1中全部30组检测数据在各方法下运行20次得到的平均检测率绘制成曲线,如图2所示,图2中的两条曲线分别表示用本发明方法C-SVDD和现有基于SVDD的异常入侵检测方法统计的检测率曲线;
将表1中全部30组检测数据在各方法下运行20次得到的平均虚警率绘制成曲线,如图3所示,图3中两条曲线分别表示用本发明方法C-SVDD和现有基于SVDD的异常入侵检测方法统计的虚警率曲线。
(3)实验仿真结果分析。
根据表1可以看出,本发明方法相比现有技术提高了检测率,并能有效降低虚警率,从而使本发明在实际应用中不但可以更准确的检测出威胁,并能够减少误检给用户带来的不必要的麻烦。
从图2,图3中可见,本发明对30组检测数据的检测率均能有较稳定的提高,并能有效降低虚警率。但同时可见,个别的检测数据得到的检测率相对其余大部分检测数据有轻微的差异,且各组检测数据得到的虚警率相对差异较大。原因是在训练过程中仅利用972780组正常数据中的10000组数据作为有标记样本加入训练,所以当检测数据与训练数据特性偏离较大时,检测结果将受到很大影响。在实际应用中通过对训练数据的增加,将得到更加稳定的检测效果。
Claims (4)
1.一种半监督异常入侵检测方法,包括如下步骤:
(1)在进行入侵检测时,将正常行为对应的检测数据定义为正常数据,将各种入侵行为对应的检测数据定义为异常数据,提取训练数据中的一部分正常数据作为初始有标记样本集{xi},将检测数据作为初始未标记样本集{xj};
(2)对当前有标记和未标记样本实施模糊C均值聚类,得到初始聚类中心M={m+,m-},其中m+是检测数据中正常类样本的初始聚类中心,m-是检测数据中异常类样本的初始聚类中心,正常类包含检测数据中的正常数据,异常类包含检测数据中的异常数据;
(3)基于初始聚类中心M,对当前有标记和未标记样本再次实施模糊C均值聚类,得到聚类中心其中是正常类样本的聚类中心,是异常类样本的聚类中心,并将当前所有未标记样本到各聚类中心的隶属度集合记作U={ucj|j∈(1,2,...,u),c∈(+,-)},其中ucj是第j个未标记样本到标记为c的聚类中心的隶属度,u是当前未标记样本集的样本数目;
(4)依据得到的隶属度集合U,从当前未标记样本集{xj}中选取聚类标记为正且对应隶属度最大的H个样本进行标记,即H=p×N+,将当前有标记样本集和未标记样本集分别聚类更新为和式中N+是当前未标记样本集中聚类标记为正的样本数目,p是从未标记样本中选取出并进行标记的比例;
(6)从聚类更新后的未标记样本集中选取判别函数值最大的H*个样本进行标记,即将当前有标记样本集和未标记样本集分别自训练更新为和式中是聚类更新后的未标记样本集中预测标记为正的样本数目,p是从未标记样本中选取出并进行标记的比例;
(8)利用上述基于支撑矢量域描述SVDD的检测数据分类结果,统计此次入侵检测的检测率和虚警率,并计算相应几何均值Gm;
(9)根据获得的几何均值是否达到最优作为终止条件,若满足则停止迭代,返回步骤(8),输出本次入侵检测的结果,否则返回步骤(2),直到满足终止条件为止。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010530891 CN101980480B (zh) | 2010-11-04 | 2010-11-04 | 半监督异常入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010530891 CN101980480B (zh) | 2010-11-04 | 2010-11-04 | 半监督异常入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101980480A true CN101980480A (zh) | 2011-02-23 |
CN101980480B CN101980480B (zh) | 2012-12-05 |
Family
ID=43600965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010530891 Expired - Fee Related CN101980480B (zh) | 2010-11-04 | 2010-11-04 | 半监督异常入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101980480B (zh) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102325038A (zh) * | 2011-05-26 | 2012-01-18 | 华为技术有限公司 | 一种数据采集方法、装置以及性能管理方法、装置 |
CN102880872A (zh) * | 2012-08-28 | 2013-01-16 | 中国科学院东北地理与农业生态研究所 | 一种半监督svm遥感影像分类构建方法 |
CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
CN103795595A (zh) * | 2014-02-13 | 2014-05-14 | 杨启帆 | 一种局域网内网入侵的智能检测方法 |
CN104048165A (zh) * | 2013-08-16 | 2014-09-17 | 北京化工大学 | 管道泄漏诊断的方法 |
CN103078856B (zh) * | 2012-12-29 | 2015-04-22 | 大连环宇移动科技有限公司 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
CN104598813A (zh) * | 2014-12-09 | 2015-05-06 | 西安电子科技大学 | 一种基于集成学习和半监督svm的计算机入侵检测方法 |
CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
CN105915960A (zh) * | 2016-03-31 | 2016-08-31 | 广州华多网络科技有限公司 | 一种用户类型的确定方法及装置 |
CN106203519A (zh) * | 2016-07-17 | 2016-12-07 | 合肥赑歌数据科技有限公司 | 基于分类聚类的故障预警算法 |
CN106792523A (zh) * | 2016-12-10 | 2017-05-31 | 武汉白虹软件科技有限公司 | 一种基于大规模WiFi活动轨迹的异常行为检测方法 |
CN107145778A (zh) * | 2017-05-04 | 2017-09-08 | 北京邮电大学 | 一种入侵检测方法及装置 |
CN107392015A (zh) * | 2017-07-06 | 2017-11-24 | 长沙学院 | 一种基于半监督学习的入侵检测方法 |
CN107770129A (zh) * | 2016-08-17 | 2018-03-06 | 华为技术有限公司 | 用于检测用户行为的方法和装置 |
CN107958216A (zh) * | 2017-11-27 | 2018-04-24 | 沈阳航空航天大学 | 基于半监督的多模态深度学习分类方法 |
CN107979602A (zh) * | 2017-12-01 | 2018-05-01 | 西安交通大学 | 一种蜂窝网络中基于半监督统计的异常检测方法 |
CN108319851A (zh) * | 2017-12-12 | 2018-07-24 | 中国电子科技集团公司电子科学研究院 | 一种异常行为主动检测方法、设备及存储介质 |
CN108833409A (zh) * | 2018-06-15 | 2018-11-16 | 北京网思科平科技有限公司 | 基于深度学习和半监督学习的webshell检测方法及装置 |
CN108881196A (zh) * | 2018-06-07 | 2018-11-23 | 中国民航大学 | 基于深度生成模型的半监督入侵检测方法 |
CN109074519A (zh) * | 2016-12-06 | 2018-12-21 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及程序 |
CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
CN109978068A (zh) * | 2019-04-02 | 2019-07-05 | 广东电网有限责任公司 | 一种基于多元模糊支持向量数据描述的高压电缆缺陷识别方法 |
CN110825545A (zh) * | 2019-08-31 | 2020-02-21 | 武汉理工大学 | 一种云服务平台异常检测方法与系统 |
CN110933102A (zh) * | 2019-12-11 | 2020-03-27 | 支付宝(杭州)信息技术有限公司 | 基于半监督学习的异常流量检测模型训练方法及装置 |
CN111294318A (zh) * | 2018-12-07 | 2020-06-16 | 中国移动通信集团陕西有限公司 | 一种网络攻击的ip地址分析方法、装置和存储介质 |
US10789367B2 (en) | 2014-04-18 | 2020-09-29 | Micro Focus Llc | Pre-cognitive security information and event management |
CN113359666A (zh) * | 2021-05-31 | 2021-09-07 | 西北工业大学 | 基于Deep SVDD的车辆外部入侵检测方法及系统 |
CN113542295A (zh) * | 2021-07-26 | 2021-10-22 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及计算机程序产品 |
CN113810333A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 基于半监督谱聚类和集成svm的流量检测方法及系统 |
CN114362973A (zh) * | 2020-09-27 | 2022-04-15 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
CN115086070A (zh) * | 2022-07-20 | 2022-09-20 | 山东省计算中心(国家超级计算济南中心) | 工业互联网入侵检测方法及系统 |
CN115952432A (zh) * | 2022-12-21 | 2023-04-11 | 四川大学华西医院 | 一种基于糖尿病数据的无监督聚类方法 |
CN116723136A (zh) * | 2023-08-09 | 2023-09-08 | 南京华飞数据技术有限公司 | 应用fcm聚类算法的网络检测数据的方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100001786A (ko) * | 2008-06-27 | 2010-01-06 | 고려대학교 산학협력단 | 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체 |
-
2010
- 2010-11-04 CN CN 201010530891 patent/CN101980480B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100001786A (ko) * | 2008-06-27 | 2010-01-06 | 고려대학교 산학협력단 | 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체 |
Non-Patent Citations (3)
Title |
---|
缪志敏 赵陆文 潘志松 胡谷雨: "一种基于聚类分布的支持向量数据描述", 《兰州大学学报(自然科学版)》 * |
花小朋 李先锋 皋军 田明: "改进的基于K均值聚类的SVDD学习算法", 《计算机工程》 * |
郭雷 肖怀铁 付强: "一种新的支持矢量数据描述模糊识别方法", 《系统仿真学报》 * |
Cited By (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102325038A (zh) * | 2011-05-26 | 2012-01-18 | 华为技术有限公司 | 一种数据采集方法、装置以及性能管理方法、装置 |
CN102880872A (zh) * | 2012-08-28 | 2013-01-16 | 中国科学院东北地理与农业生态研究所 | 一种半监督svm遥感影像分类构建方法 |
CN103078856B (zh) * | 2012-12-29 | 2015-04-22 | 大连环宇移动科技有限公司 | 一种基于访问标记的应用层DDoS攻击的检测过滤方法 |
CN104048165A (zh) * | 2013-08-16 | 2014-09-17 | 北京化工大学 | 管道泄漏诊断的方法 |
CN104048165B (zh) * | 2013-08-16 | 2016-10-05 | 北京化工大学 | 管道泄漏诊断的方法 |
CN103580960B (zh) * | 2013-11-19 | 2017-01-11 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
CN103795595A (zh) * | 2014-02-13 | 2014-05-14 | 杨启帆 | 一种局域网内网入侵的智能检测方法 |
US10789367B2 (en) | 2014-04-18 | 2020-09-29 | Micro Focus Llc | Pre-cognitive security information and event management |
CN104598813B (zh) * | 2014-12-09 | 2017-05-17 | 西安电子科技大学 | 一种基于集成学习和半监督svm的计算机入侵检测方法 |
CN104598813A (zh) * | 2014-12-09 | 2015-05-06 | 西安电子科技大学 | 一种基于集成学习和半监督svm的计算机入侵检测方法 |
CN105915960A (zh) * | 2016-03-31 | 2016-08-31 | 广州华多网络科技有限公司 | 一种用户类型的确定方法及装置 |
CN106203519A (zh) * | 2016-07-17 | 2016-12-07 | 合肥赑歌数据科技有限公司 | 基于分类聚类的故障预警算法 |
CN107770129A (zh) * | 2016-08-17 | 2018-03-06 | 华为技术有限公司 | 用于检测用户行为的方法和装置 |
CN107770129B (zh) * | 2016-08-17 | 2021-03-05 | 华为技术有限公司 | 用于检测用户行为的方法和装置 |
CN109074519A (zh) * | 2016-12-06 | 2018-12-21 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及程序 |
CN106792523A (zh) * | 2016-12-10 | 2017-05-31 | 武汉白虹软件科技有限公司 | 一种基于大规模WiFi活动轨迹的异常行为检测方法 |
CN107145778A (zh) * | 2017-05-04 | 2017-09-08 | 北京邮电大学 | 一种入侵检测方法及装置 |
CN107145778B (zh) * | 2017-05-04 | 2020-07-28 | 北京邮电大学 | 一种入侵检测方法及装置 |
CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
CN107392015A (zh) * | 2017-07-06 | 2017-11-24 | 长沙学院 | 一种基于半监督学习的入侵检测方法 |
CN107392015B (zh) * | 2017-07-06 | 2019-09-17 | 长沙学院 | 一种基于半监督学习的入侵检测方法 |
CN107958216A (zh) * | 2017-11-27 | 2018-04-24 | 沈阳航空航天大学 | 基于半监督的多模态深度学习分类方法 |
CN107979602A (zh) * | 2017-12-01 | 2018-05-01 | 西安交通大学 | 一种蜂窝网络中基于半监督统计的异常检测方法 |
CN107979602B (zh) * | 2017-12-01 | 2020-03-17 | 西安交通大学 | 一种蜂窝网络中基于半监督统计的异常检测方法 |
CN108319851A (zh) * | 2017-12-12 | 2018-07-24 | 中国电子科技集团公司电子科学研究院 | 一种异常行为主动检测方法、设备及存储介质 |
CN108881196A (zh) * | 2018-06-07 | 2018-11-23 | 中国民航大学 | 基于深度生成模型的半监督入侵检测方法 |
CN108833409A (zh) * | 2018-06-15 | 2018-11-16 | 北京网思科平科技有限公司 | 基于深度学习和半监督学习的webshell检测方法及装置 |
CN108833409B (zh) * | 2018-06-15 | 2021-03-16 | 北京网思科平科技有限公司 | 基于深度学习和半监督学习的webshell检测方法及装置 |
CN111294318A (zh) * | 2018-12-07 | 2020-06-16 | 中国移动通信集团陕西有限公司 | 一种网络攻击的ip地址分析方法、装置和存储介质 |
CN109978068A (zh) * | 2019-04-02 | 2019-07-05 | 广东电网有限责任公司 | 一种基于多元模糊支持向量数据描述的高压电缆缺陷识别方法 |
CN110825545A (zh) * | 2019-08-31 | 2020-02-21 | 武汉理工大学 | 一种云服务平台异常检测方法与系统 |
CN110933102A (zh) * | 2019-12-11 | 2020-03-27 | 支付宝(杭州)信息技术有限公司 | 基于半监督学习的异常流量检测模型训练方法及装置 |
CN114039794A (zh) * | 2019-12-11 | 2022-02-11 | 支付宝(杭州)信息技术有限公司 | 基于半监督学习的异常流量检测模型训练方法及装置 |
CN110933102B (zh) * | 2019-12-11 | 2021-10-26 | 支付宝(杭州)信息技术有限公司 | 基于半监督学习的异常流量检测模型训练方法及装置 |
CN113810333A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 基于半监督谱聚类和集成svm的流量检测方法及系统 |
CN114362973B (zh) * | 2020-09-27 | 2023-02-28 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
CN114362973A (zh) * | 2020-09-27 | 2022-04-15 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
CN113359666A (zh) * | 2021-05-31 | 2021-09-07 | 西北工业大学 | 基于Deep SVDD的车辆外部入侵检测方法及系统 |
CN113542295A (zh) * | 2021-07-26 | 2021-10-22 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、设备及计算机程序产品 |
CN115086070A (zh) * | 2022-07-20 | 2022-09-20 | 山东省计算中心(国家超级计算济南中心) | 工业互联网入侵检测方法及系统 |
CN115952432A (zh) * | 2022-12-21 | 2023-04-11 | 四川大学华西医院 | 一种基于糖尿病数据的无监督聚类方法 |
CN115952432B (zh) * | 2022-12-21 | 2024-03-12 | 四川大学华西医院 | 一种基于糖尿病数据的无监督聚类方法 |
CN116723136A (zh) * | 2023-08-09 | 2023-09-08 | 南京华飞数据技术有限公司 | 应用fcm聚类算法的网络检测数据的方法 |
CN116723136B (zh) * | 2023-08-09 | 2023-11-03 | 南京华飞数据技术有限公司 | 应用fcm聚类算法的网络检测数据的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101980480B (zh) | 2012-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101980480B (zh) | 半监督异常入侵检测方法 | |
Oseni et al. | Security and privacy for artificial intelligence: Opportunities and challenges | |
Shang et al. | Intrusion detection algorithm based on OCSVM in industrial control system | |
Qu et al. | An intrusion detection model based on deep belief network | |
Khanday et al. | Implementation of intrusion detection model for DDoS attacks in Lightweight IoT Networks | |
Yang et al. | Real-time intrusion detection in wireless network: A deep learning-based intelligent mechanism | |
Yin et al. | Enhancing network intrusion detection classifiers using supervised adversarial training | |
Rattá et al. | Improved feature selection based on genetic algorithms for real time disruption prediction on JET | |
CN105516127A (zh) | 面向内部威胁检测的用户跨域行为模式挖掘方法 | |
CN113283909B (zh) | 一种基于深度学习的以太坊钓鱼账户检测方法 | |
CN102263790A (zh) | 一种基于集成学习的入侵检测方法 | |
Roy et al. | A novel OC-SVM based ensemble learning framework for attack detection in AGC loop of power systems | |
Aljanabi et al. | Improved TLBO‐JAYA algorithm for subset feature selection and parameter optimisation in intrusion detection system | |
Saheed et al. | A novel hybrid ensemble learning for anomaly detection in industrial sensor networks and SCADA systems for smart city infrastructures | |
Zhao et al. | Intrusion detection based on clustering genetic algorithm | |
CN109977118A (zh) | 一种基于词嵌入技术和lstm的异常域名检测方法 | |
Macas et al. | Adversarial examples: A survey of attacks and defenses in deep learning-enabled cybersecurity systems | |
Chadha et al. | Hybrid genetic fuzzy rule based inference engine to detect intrusion in networks | |
Wang et al. | An improved deep learning based intrusion detection method | |
Bashar et al. | Intrusion Detection for Cyber‐Physical Security System Using Long Short‐Term Memory Model | |
Ali et al. | ICS-IDS: application of big data analysis in AI-based intrusion detection systems to identify cyberattacks in ICS networks | |
Yang et al. | Multi-view broad learning system for electricity theft detection | |
Saheed et al. | Autoencoder via DCNN and LSTM models for intrusion detection in industrial control systems of critical infrastructures | |
Rama Krishna et al. | Intrusion Detection System Employing Multi-level Feed Forward Neural Network along with Firefly Optimization (FMLF2N2). | |
Jian | Unsupervised intrusion feature selection based on genetic algorithm and fcm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121205 Termination date: 20211104 |
|
CF01 | Termination of patent right due to non-payment of annual fee |