CN102592093B - 一种基于生物免疫机制的主机入侵检测方法 - Google Patents
一种基于生物免疫机制的主机入侵检测方法 Download PDFInfo
- Publication number
- CN102592093B CN102592093B CN201210011970.2A CN201210011970A CN102592093B CN 102592093 B CN102592093 B CN 102592093B CN 201210011970 A CN201210011970 A CN 201210011970A CN 102592093 B CN102592093 B CN 102592093B
- Authority
- CN
- China
- Prior art keywords
- individuality
- fuzzy
- population
- attribute
- association rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
Abstract
一种基于生物免疫机制的主机入侵检测方法,首先将已有主机审计数据中的历史入侵实例进行属性约简和统一编码,确定每个属性的语言术语及隶属度函数;随机生成初始抗体种群,并从中选择一定比例亲和度最高的个体进行克隆和变异操作,然后更新抗体种群和记忆种群,最终得到建立的模糊关联规则库;最后使用所得到的模糊关联规则库对主机监测行为的实时数据进行入侵检测;如果在主机监测行为中出现新的攻击类型,则根据该攻击行为确定新的关联规则并加入到模糊关联规则库中。该检测方法具有自适应、自组织、高效率和可理解性强的特性,可自适应地确定模糊关联规则库,基于入侵行为的动态变化增加模糊关联规则库,达到保护宿主主机系统信息安全的目的。
Description
技术领域
本发明涉及计算安全技术中的主机入侵检测方法,具体地说是一种借鉴生物免疫机制确定模糊关联规则库,基于模糊关联规则库通过模糊分类来对主机的监测行为实施入侵检测的方法。
背景技术
随着计算机网络技术的发展,计算机系统安全问题越来越受到重视。基于主机的入侵检测技术通过对特定的宿主主机的审计数据进行检测和分析,发现针对主机的入侵和攻击行为,并作出及时和有效的相应保护措施。主机入侵检测技术是一种主动的系统安全策略和方案,它能够弥补传统的网络防火墙技术所暴露出的众多不足和弱点。
由于主机的监测行为是动态变化的,为了保证宿主主机系统的安全,主机入侵检测系统必须能够随着主机监测行为的动态变化而自适应地变化,确保能迅速地发现系统中新出现的异常和入侵行为,并及时作出响应,保证系统的安全性要求。通常模糊关联规则挖掘方法中采用穷举式搜索策略,算法的运行时间长,效率低。
发明内容
本发明所要解决的技术问题是提供一种基于生物免疫机制的主机入侵检测方法,具有自适应和自组织确定模糊关联规则库的优势,可以达到有效保护宿主主机系统信息安全的目的。
本发明为解决上述技术问题所采用的技术方案是:一种基于生物免疫机制的主机入侵检测方法,包括基于生物免疫机制确定模糊关联规则库的阶段和根据模糊关联规则库对主机监测行为的实时数据进行入侵检测的阶段;具体方法为:
(一)、确定模糊关联规则库的阶段:
(1)、将已有的主机审计数据中的历史入侵实例进行属性约简和统一编码,选择支持度高于设定阈值的属性作为约简后的属性集合;
(2)、确定约简后的属性集合中每个属性所对应的语言术语以及相应的隶属度函数;对每个属性进行模糊化,并且统一采用一定数量语言术语进行描述,其对应的隶属度函数采用三角形隶属度函数;
(3)、随机生成初始抗体种群,种群中每个个体的编码形式如下为:
其中m表示每个属性所对应的模糊集合数目或模糊术语数目,n表示所有的属性数目;
(4)、基于个体的亲和度函数评价种群中每个个体的优劣,从中选择一定比例亲和度最高的个体进行后续的克隆和变异操作,其中个体的亲和度为其所对应的模糊关联规则的确信度;
(5)、基于每个个体的亲和度值和密度确定选取的个体的克隆数目,克隆数目的计算公式为:
式中NumC max和NumC min分别表示设定的最大克隆数目和最小克隆数目,Af max表示当前种群中所有个体中的最高亲和度;若当前种群中与该个体相似的个体数目超过设定比例,则克隆数目直接定为设定的最小克隆数;
(6)、按照步骤(5)确定的克隆数目对步骤(4)选取的个体进行克隆和变异操作,方法为:对选定的个体按照步骤(5)确定的克隆数目进行复制,复制过程中首先产生一个随机数,当该随机数小于所设定的变异概率时个体就实施变异操作,即从该个体中随机地选择某个属性的整数编码,然后用其变化范围内的另一个数替换原值;
(7)、抗体种群和记忆种群的更新:计算新生成个体的确信度,将新生个体中与记忆种群的个体相比具有更高确信度的个体加入到记忆种群中,并且按照包含的定义去除记忆种群中被其它个体所包含的个体;同时新生成的个体中选取一定比例亲和度最高的个体替换掉原种群中亲和度最差的一部分个体,得到更新的抗体种群;
(8)、重复上述步骤(4)—(7)的操作,直至当前记忆种群中的关联规则集合的覆盖比例超过设定阈值或者重复操作的次数达到设定的最大迭代次数,得到建立的模糊关联规则库;
(二)、对主机监测行为的实时数据进行入侵检测的阶段:
(1)、根据模糊关联规则库确定阶段的步骤(1)—(3)的方法,对主机监测行为中的每条记录的数据进行属性约简,去掉部分冗余属性,并统一格式化为与模糊关联规则库确定阶段的数据一样的格式;
(2)、针对主机检测行为中的每条记录,计算其对于所得到的模糊关联规则库中每个规则的激励强度;
(3)、然后分别计算该记录针对规则库中每一类规则的总的匹配值,反映了该记录符合哪个类别特征的程度;
(4)、将该记录归类到匹配值最高的类别中,以确定该记录的所属类别,判断其是否属于异常行为和入侵行为;
(5)、如果在主机监测行为中出现新的攻击类型,即当前模糊关联规则库中所有规则对该记录的匹配值都小于设定阈值,则针对该攻击行为的每个具体属性值,直接从该属性所包含的5个语言术语中选择某个模糊集合,使得该属性值的隶属度最大,将选定的模糊集合作为新的关联规则的前件,并用一个新的类别号作为该规则的类别,然后将该关联规则加入到模糊关联规则库中;然后转入步骤(1)对新的主机监测行为进行实时入侵检测。
本发明的有益效果是:
本发明提出一种基于模糊关联规则的主机系统入侵检测方法,它基于生物免疫机制来优化确定模糊关联规则库,作为入侵检测系统的分类引擎。该方法可自适应地确定模糊关联规则库,基于入侵行为的动态变化,可相应地增加或调整模糊关联规则库。所得到的模糊关联规则库被用作模糊分类器,即入侵检测系统的分类引擎,来对主机监测行为进行分类,判断其是否属于入侵行为以及所属的类别。本发明同时能够直接基于已有数据的特征,来确定规则库中不同模糊集合所对应的隶属度函数。由于主机监测行为是动态变化的,本发明所具有的自适应和自组织的特点正好可以满足主机系统安全性的要求。
本发明中每条模糊关联规则反映了入侵行为的某一方面的特性,而每一类的模糊关联规则则是对某一类入侵行为的总体概括和描述。由于模糊关联规则库采用人类自然语言的形式来表达模糊分类规则,一方面可以使系统安全人员和用户更好地理解分类引擎的含义,另一方面还有助于了解不同种类攻击类型的特征以及其表现形式。某条数据记录如果对于关联规则库中所有类的匹配强度都小于设定门限阈值,则将其视为正常行为,否则可实施入侵行为或异常行为的分类。
由于在主机入侵检测系统中大多数的主机监测行为属于正常操作,因而本发明在确定检测器时只针对异常或入侵数据进行训练,算法的运行时间可以大为减少;另一方面由于算法在确定模糊关联规则库时是采用了基于免疫机制的演化方式,不用挖掘所有满足设定阈值条件的关联规则,同时算法具有个体的多样性保持策略,能够避免算法收敛到局部最优解。这可避免通常模糊关联规则挖掘方法中所采用的穷举式搜索策略,尤其是当数据集中属性的数目较多时,因而算法具有运行效率高的特点。
总而言之,本发明提出的一种基于模糊关联规则的主机入侵检测方法,主要用于计算机安全中的主机入侵检测,该入侵检测方法具有自适应、自组织、高效率和可理解性强的特性,具体为:
自适应:本发明所提出的入侵检测方法具有一定的自适应和自学习能力,模糊关联规则集合即模糊分类器直接根据当前已有主机审计数据来进行确定,其中包括每个属性所对应的模糊集合以及相应的隶属度函数参数。该过程无需专家指导或其他信息,并且在实施检测的过程中,还能够根据主机监测行为中新的攻击类型自适应地增加新的类别的规则。
自组织:在确定入侵检测系统的分类引擎所对应的模糊关联规则库时,每一类模糊关联规则集合中的规则数目以及其具体分布情况是基于生物免疫原理,通过演化的方式来优化确定。在实施入侵检测的过程中,还能根据新出现的入侵和攻击类型自动地对模糊关联规则库进行调整。
高效率:由于在主机入侵检测系统中大多数的主机监测行为属于正常操作,因而本发明在确定检测器时只针对异常或入侵数据进行训练,算法的运行时间可以大为较少;另一方面在确定模糊关联规则库时是采用了基于免疫机制的演化方式,不用挖掘所有满足设定阈值条件的关联规则,同时算法具有个体的多样性保持策略,能够避免算法收敛到局部最优解。这可避免通常模糊关联规则挖掘方法中所采用的穷举式搜索策略,尤其是当数据集中属性的数目较多时,因而算法具有运行效率高的特点。
可理解性强:由于模糊关联规则库采用人类自然语言的形式来表示模糊分类规则,因而有助于系统安全人员和用户更为具体地了解不同种类攻击类型的特征和表现形式,进而更有针对性采取相应措施进行预防和防御。
附图说明
图1为所提出的主机入侵检测方法的结构图。
图2为每个属性所对应的隶属度函数示意图。
图3为基于生物免疫机制确定模糊关联规则库的流程图。
图4为基于模糊关联规则的主机入侵检测的实现流程图。
具体实施方式
结合附图和具体实施例对本发明做进一步描述。本发明主要涉及一种主机入侵检测系统的核心部分,即基于生物免疫机制确定模糊关联规则库的算法和基于模糊关联规则库的模糊分类部分,而对于主机审计数据和主机监测行为的数据源的获取和针对不同攻击类型的具体响应则不具体描述。
本发明首先将已有的主机审计数据中的历史入侵实例进行属性约简和统一编码,然后根据这些特征和类别已知的数据集通过种群演化的方式来确定模糊关联规则库,称为训练阶段;最后使用所得到的模糊关联规则库对主机监测行为的实时数据进行入侵检测,称为检测阶段,总体结构图如图1所示。
基于生物免疫机制确定模糊关联规则库的具体步骤为:
(1)、将已有的主机审计数据中的历史入侵实例进行属性约简和统一编码。当属性的数目较多时,确定模糊关联规则库和实施入侵检测的时间成本也会极大地增加,进而影响到入侵检测的实时性,因而十分有必要从主机审计数据中选择一部分恰当的属性,其余的属性则可以不用。本发明是基于已有的历史入侵实例,选择其支持度高于设定阈值(如:2%)的所有属性作为约简后的属性集合。统一编码是将这些属性的先后顺序固定下来,将主机审计数据采用统一的表达形式。
(2)、确定约简后的属性集合中每个属性所对应的语言术语以及相应的隶属度函数;对每个属性进行模糊化,并且统一采用一定数量的语言术语进行描述,语言术语的数目常采用3或5个,数目越多描述得更为详细,但计算量也随之增加,本实施例选择为5个。其对应的隶属度函数采用三角形隶属度函数,三角形隶属度函数是当前应用最为广泛的一种形式,另外其计算相对来讲较为简便,故本发明采用这种形式,具体方案采用如图2所示的形式。
由图2所示的隶属度函数形式可以看出,每个属性对应的模糊集合以及隶属度函数可以仅用3个参数来确定。这些参数可以利用遗传算法等常用优化方法来进行确定,优化的指标是满足用户设定的阈值门限(如:10%)的频繁项目的数目。
(3)、随机生成初始抗体种群,种群中每个个体(抗体)的编码形式如下为:
其中m表示每个属性所对应的模糊集合数目(或模糊术语),本实施例m为5,n表示所有的属性数目,其对应的模糊规则形式如下所示:
其中(x 1, x 2,…,x n)表示某个数据实例的n个属性值,而(m a1 , m a2 ,…,m an )则表示该规则的前提条件中n个模糊集合。
由于针对每类数据分别进行模糊关联规则的挖掘,类别是采用默认的类别,因而在个体编码中没有包含类别信息,Sig i 和Cer i 分别表示该模糊关联规则的支持度和确信度。当个体的编码中某位为0,则表示该属性不出现在模糊关联规则中。
(4)、基于个体的亲和度函数评价种群中每个个体的优劣,从中选择一定比例(如20%-30%)亲和度最高的个体进行后续的克隆和变异操作,个体的亲和度定义为其所对应的模糊关联规则的确信度,其计算公式为:;
(5)、基于每个个体的亲和度值和密度确定选取的个体的克隆数目。个体的密度反映了当前种群中与该个体比较相似的个体数目,其计算步骤如下:
i)计算该个体的对应的模糊关联规则所覆盖的实例数目。当数据库中的实例对于规则的激励强度高于设定阈值(如:60%),并且能够被规则正确分类,则我们称规则覆盖这些实例,表示为Covern(R i )。
ii)计算种群中其他规则与该规则的相似度。两个模糊关联规则之间的相似度反映了它们在分类能力上的相似性。两个形式上接近的规则可能相似度高,同时也有形式上有差异的规则但却具有较高的相似度。两个规则之间的相似度表示为,其计算公式如下:
式中,SCovern表示规则所共同覆盖的数据实例数目。
iii)接下来计算该规则的密度,其计算公式如下:
式中表示当前种群中与规则相似的规则数目,而表示所设定的阈值(如:85%),密度的含义就是种群中是否已经包含足够多与该规则相似的规则,相似的判断根据相似度是否超过设定值而定。
克隆就是在种群中产生一定数目与该个体同样的个体。在得到了规则的密度和亲和度后,就可确定其进行克隆的数目,计算公式如下:
式中NumC max和NumC min分别表示设定的最大克隆数目和最小克隆数目,Af max表示当前种群中所有个体中的最高亲和度;克隆数目与规则的亲和度成正比,但是如果该规则的密度为1,即当前种群中与该个体相似的个体数目超过设定比例,则克隆数目直接定为设定的最小克隆数NumC min。
(6)、按照步骤(5)确定的克隆数目对步骤(4)选取的个体进行克隆和变异操作,个体的克隆操作是模拟生物免疫系统中抗体的生成过程,就是在种群中复制产生一定数目与母体同样的个体,并且在复制的过程中个体的基因会发生一定概率的变异,这被称为超变异。在实施变异操作时,首先产生一个随机数,当该随机数小于所设定的变异概率时个体就实施变异操作,具体操作为:,即从该个体随机地选择某个基因,即所对应属性的整数编码,然后用其变化范围(即该属性的取值范围)内的另一个数替换原值。示例中就是将‘2’变为‘1’。
(7)、抗体种群和记忆种群的更新:计算新生成个体的确信度,将本次迭代周期内经优化搜索得到的相对于记忆种群的个体具有更高确信度的新生个体加入到记忆种群中,同时从新生成的个体中选取一定比例(如:15%)亲和度最高的个体替换掉原种群中亲和度最差的一部分个体,得到更新的抗体种群;
记忆种群的作用是用于保存通过优化搜索得到的优良抗体。记忆种群初始时为空集。在更新记忆种群时,则既考虑到加入确信度更高的个体,同时也考虑到模糊关联规则的冗余性,通过去掉冗余的个体,保持种群中个体的多样性。规则之间的包含的含义如下:对于两个类别相同的规则R 1: X→c i 和 R 2: Y→c i ,如果其满足下面的条件:,则称规则2包含规则1,或者规则1被规则2所包含,这时种群中就可只保留规则2,即去除种群中规则被其它个体的规则所包含的个体。
(8)、算法的终结条件为算法达到设定最大迭代次数或者当前记忆种群中的关联规则集合的覆盖比例超过设定阈值(如:90%)。也就是说重复上述步骤(4)—(7)的操作,直至当前记忆种群中的关联规则集合的覆盖比例超过设定阈值或者重复操作的次数达到设定的最大迭代次数,得到建立的模糊关联规则库,模糊关联规则集合的覆盖比例是指其能够正确分类的数据数目占到整个训练数据集的比例。
在得到模糊关联规则库之后,就可进行主机监测行为的入侵检测。首先针对主机监测行为所对应的格式化数据,统一格式化为与训练阶段的数据一样的格式,然后基于所得到的模糊关联规则库通过模糊分类来判断每条记录是否属于异常行为和入侵行为,并指出其所属类别。
主机监测行为的入侵检测的具体步骤为:
(1)、根据模糊关联规则库确定阶段的步骤(1)—(3)的方法,对主机监测行为中的每条记录的数据进行属性约简,去掉部分冗余属性,并统一格式化为与模糊关联规则库确定阶段的数据一样的格式;
(2)、针对主机检测行为中的每条记录,计算其对于所得到的模糊关联规则库中每个规则的激励强度。例如,对于其中的第j条记录t j ,计算其对于所得到的模糊关联规则库中每个规则的激励强度,计算公式如下:
式中R i 表示规则库中的第i个规则,n i 表示规则R i 中所包含属性的数目,表示记录t j 的第k个属性针对相应隶属度函数的隶属度值。
(3)、然后分别计算该记录t j 针对规则库中每一类规则的总的匹配值,反映了该记录符合哪个类别特征的程度,计算公式为:
式中,表示模糊关联规则R k 的确信度。
(4)、接下来就可确定记录t j 的所属类别,可判断其是否属于异常行为和入侵行为。具体策略是将记录t j 归类到步骤(3)中计算得到的最高匹配值所对应的类别中,计算公式为:。
(5)、如果在主机监测行为中出现新的攻击类型,即当前模糊关联规则库中所有规则对该记录的匹配值都小于设定阈值(如:10%),这说明当前规则库不能有效识别该攻击行为。则我们需要增加新的一类关联规则,具体实施方法是:针对该攻击行为的每个具体属性值,直接从该属性所包含的5个语言术语中选择某个模糊集合,使得该属性值的隶属度最大,将选定的模糊集合作为新的关联规则的前件,并用一个新的类别号作为该规则的类别,然后将该关联规则加入到模糊关联规则库中;然后转入步骤(1)对新的主机监测行为进行实时入侵检测。
Claims (1)
1.一种基于生物免疫机制的主机入侵检测方法,其特征在于:包括基于生物免疫机制确定模糊关联规则库的阶段和根据模糊关联规则库对主机监测行为的实时数据进行入侵检测的阶段;具体方法为:
(一)、确定模糊关联规则库的阶段:
(1)、将已有的主机审计数据中的历史入侵实例进行属性约简和统一编码,选择支持度高于设定阈值的属性作为约简后的属性集合;
(2)、确定约简后的属性集合中每个属性所对应的语言术语以及相应的隶属度函数;对每个属性进行模糊化,并且统一采用一定数量的语言术语进行描述,其对应的隶属度函数采用三角形隶属度函数;
(3)、随机生成初始抗体种群,种群中每个个体的编码形式如下为:
其中m表示每个属性所对应的模糊集合数目,n表示所有的属性数目;
(4)、基于个体的亲和度函数评价种群中每个个体的优劣,从中选择一定比例亲和度最高的个体进行后续的克隆和变异操作,其中个体的亲和度为其所对应的模糊关联规则的确信度;
(5)、基于每个个体的亲和度值和密度确定选取的个体的克隆数目,克隆数目的计算公式为:
式中NumC max和NumC min分别表示设定的最大克隆数目和最小克隆数目,Af max表示当前种群中所有个体中的最高亲和度;的含义是个体Ri的亲和度,若当前种群中与该个体相似的个体数目超过设定比例,则克隆数目直接定为设定的最小克隆数;
(6)、按照步骤(5)确定的克隆数目对步骤(4)选取的个体进行克隆和变异操作,方法为:对选定的个体按照步骤(5)确定的克隆数目进行复制,复制过程中首先产生一个随机数,当该随机数小于所设定的变异概率时个体就实施变异操作,即从该个体中随机地选择某个属性的整数编码,然后用其变化范围内的另一个数替换原值;所述的变化范围即该属性的取值范围;
(7)、抗体种群和记忆种群的更新:计算新生成个体的确信度,将新生个体中与记忆种群的个体相比具有更高确信度的个体加入到记忆种群中,并且按照包含的定义去除记忆种群中被其它个体所包含的个体;同时从新生成的个体中选取一定比例亲和度最高的个体替换掉原种群中亲和度最差的一部分个体,得到更新的抗体种群;包含的含义如下:对于两个类别相同的规则R 1: X→c i 和 R 2: Y→c i ,如果其满足下面的条件:,则称规则2包含规则1,或者规则1被规则2所包含;
(8)、重复上述步骤(4)—(7)的操作,直至当前记忆种群中的关联规则集合的覆盖比例超过设定阈值或者重复操作的次数达到设定的最大迭代次数,得到建立的模糊关联规则库;
(二)、对主机监测行为的实时数据进行入侵检测的阶段:
(a)、根据模糊关联规则库确定阶段的步骤(1)—(3)的方法,对主机监测行为中的每条记录的数据进行属性约简,去掉部分冗余属性,并统一格式化为与模糊关联规则库确定阶段的数据一样的格式;
(b)、针对主机检测行为中的每条记录,计算其对于所得到的模糊关联规则库中每个规则的激励强度;
(c)、然后分别计算该记录针对规则库中每一类规则的总的匹配值,反映了该记录符合哪个类别特征的程度;
(d)、将该记录归类到匹配值最高的类别中,以确定该记录的所属类别,判断其是否属于异常行为和入侵行为;
(e)、如果在主机监测行为中出现新的攻击类型,即当前模糊关联规则库中所有规则对该记录的匹配值都小于设定阈值,则针对该攻击行为的每个具体属性值,直接从该属性所包含的5个语言术语中选择某个模糊集合,使得该属性值的隶属度最大,将选定的模糊集合作为新的关联规则的前件,并用一个新的类别号作为该规则的类别,然后将该关联规则加入到模糊关联规则库中;然后转入步骤(a)对新的主机监测行为进行实时入侵检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210011970.2A CN102592093B (zh) | 2012-01-16 | 2012-01-16 | 一种基于生物免疫机制的主机入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210011970.2A CN102592093B (zh) | 2012-01-16 | 2012-01-16 | 一种基于生物免疫机制的主机入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102592093A CN102592093A (zh) | 2012-07-18 |
| CN102592093B true CN102592093B (zh) | 2014-12-10 |
Family
ID=46480713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210011970.2A Expired - Fee Related CN102592093B (zh) | 2012-01-16 | 2012-01-16 | 一种基于生物免疫机制的主机入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102592093B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104836805A (zh) * | 2015-05-04 | 2015-08-12 | 南京邮电大学 | 基于模糊免疫理论的网络入侵检测方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9417893B2 (en) | 2013-11-20 | 2016-08-16 | International Business Machines Corporation | Triggered controlled event listener learner |
| CN105262715B (zh) * | 2015-03-27 | 2018-11-09 | 中国人民解放军信息工程大学 | 一种基于模糊时序关联模式的异常用户检测方法 |
| CN105787555B (zh) * | 2016-02-25 | 2018-06-29 | 湖北第二师范学院 | 基于人工免疫危险模式理论的异常学习行为发现方法 |
| CN108633249B (zh) * | 2017-01-25 | 2021-03-23 | 华为技术有限公司 | 一种生理信号质量判断方法及装置 |
| CN107703383A (zh) * | 2017-09-21 | 2018-02-16 | 国网上海市电力公司 | 一种信息采集系统故障诊断知识库的建立方法 |
| CN113868646B (zh) * | 2021-08-06 | 2024-04-26 | 华北电力科学研究院有限责任公司 | 基于主机的入侵检测方法及装置 |
| CN114138872A (zh) * | 2021-12-13 | 2022-03-04 | 青岛华仁互联网络有限公司 | 一种应用于数字金融的大数据入侵分析方法及存储介质 |
| CN117879977B (zh) * | 2024-03-11 | 2024-05-31 | 北京易用时代科技有限公司 | 一种网络安全防护方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789931A (zh) * | 2009-12-31 | 2010-07-28 | 暨南大学 | 一种基于数据挖掘的网络入侵检测系统及方法 |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
-
2012
- 2012-01-16 CN CN201210011970.2A patent/CN102592093B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN101789931A (zh) * | 2009-12-31 | 2010-07-28 | 暨南大学 | 一种基于数据挖掘的网络入侵检测系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张雷,李人厚.基于免疫原理的模糊关联规则挖掘算法.《控制与决策》.2008,第23卷(第8期),第958页第2部分和第3部分. * |
| 高君杰,张东战,肖欣廷,薛永生.基于免疫和模糊逻辑的自适应入侵检测.《厦门大学学报》.2007,参见第73页第3部分以及图1. * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104836805A (zh) * | 2015-05-04 | 2015-08-12 | 南京邮电大学 | 基于模糊免疫理论的网络入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102592093A (zh) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102592093B (zh) | 一种基于生物免疫机制的主机入侵检测方法 | |
| CN110070141B (zh) | 一种网络入侵检测方法 | |
| CN111310915B (zh) | 一种面向强化学习的数据异常检测防御方法 | |
| CN110147321B (zh) | 一种基于软件网络的缺陷高风险模块的识别方法 | |
| CN106168799B (zh) | 一种基于大数据机器学习进行电动汽车电池预测性维护的方法 | |
| CN112818137B (zh) | 基于实体对齐的多源异构知识图谱协同推理方法及装置 | |
| CN109343995A (zh) | 基于多源异构数据融合、机器学习及客服机器人的智能运维分析系统 | |
| CN107506865B (zh) | 一种基于lssvm优化的负荷预测方法及系统 | |
| CN106603293A (zh) | 虚拟网络环境下一种基于深度学习的网络故障诊断方法 | |
| Zhang et al. | Artificial intelligence and its applications | |
| CN107465664B (zh) | 基于并行多人工蜂群算法和支持向量机的入侵检测方法 | |
| CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
| CN109670306A (zh) | 基于人工智能的电力恶意代码检测方法、服务器及系统 | |
| CN113283909B (zh) | 一种基于深度学习的以太坊钓鱼账户检测方法 | |
| CN112738014A (zh) | 一种基于卷积时序网络的工控流量异常检测方法及系统 | |
| KR102153912B1 (ko) | 인공지능 기반의 보험금 부당청구 및 부당패턴 탐지 장치 및 방법 | |
| CN114118567A (zh) | 一种基于双通路融合网络的电力业务带宽预测方法 | |
| CN115964503B (zh) | 基于社区设备设施的安全风险预测方法及系统 | |
| Zhang et al. | Automatic Traffic Anomaly Detection on the Road Network with Spatial‐Temporal Graph Neural Network Representation Learning | |
| Li et al. | An early warning model for customer churn prediction in telecommunication sector based on improved bat algorithm to optimize ELM | |
| Zhang et al. | Resilience‐Based Restoration Sequence Optimization for Metro Networks: A Case Study in China | |
| Zou et al. | A multiobjective particle swarm optimization algorithm based on grid technique and multistrategy | |
| CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
| CN115174263B (zh) | 攻击路径动态决策方法与装置 | |
| KR20120136565A (ko) | 퍼지 추론을 이용한 적조 발생 예측 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141210 Termination date: 20160116 |
|
| EXPY | Termination of patent right or utility model |