CN104811452A - 一种基于数据挖掘的自学习分级预警入侵检测系统 - Google Patents
一种基于数据挖掘的自学习分级预警入侵检测系统 Download PDFInfo
- Publication number
- CN104811452A CN104811452A CN201510218572.1A CN201510218572A CN104811452A CN 104811452 A CN104811452 A CN 104811452A CN 201510218572 A CN201510218572 A CN 201510218572A CN 104811452 A CN104811452 A CN 104811452A
- Authority
- CN
- China
- Prior art keywords
- rule
- module
- rule base
- data bag
- abnormal data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于数据挖掘的自学习分级预警入侵检测系统。系统包括:聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录和分级预警模块。本发明通过将数据挖掘技术应用到入侵检测中,充分利用现有的数据挖掘算法以及网络攻击的特点,实现了入侵检测系统的自学习和分级预警,有效地提高了检测的精确性和高效性,具有可观的经济价值和使用价值。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于数据挖掘的自学习分级预警入侵检测系统。
背景技术
信息技术的迅猛发展和Internet的快速普及,改变了人们的工作、学习和生活方式,计算机网络己经成为信息化社会发展的重要保证,在人类社会中的重要性越来越大。但由于其开放性、互连性、共享性等特点,使其遭受入侵攻击的风险性也日趋严重。近年来,个人用户和企业面临着日趋复杂和泛滥的安全问题及威胁,特别是病毒、蠕虫、木马、垃圾邮件等混合威胁,给个人及企业的信息、网络造成了重大损失。能否及时发现并成功阻止网络威胁带来的危害、保障计算机和网络系统的安全和正常运行便成为计算机安全领域研究的一个重要课题。伴随着网络攻击手段的多元化、复杂化和智能化,传统的静态防御技术如“防火墙”、“数据加密”等以难以满足网络安全的需求。入侵检测技术能够对计算机和网络资源上的恶意行为进行识别和响应,它不仅能检测来自外部的入侵行为,也能监督内部用户的未授权活动,从而有效提高安全性能。
目前大多数网络入侵检测系统,从检测策略上大部分属于误用检测型入侵检测系统,其主要问题主要有:
1)误用检测引擎需要对截获的每一个数据包进行拆解,然后与规则库中的规则进行模式匹配分析。随着网络吞吐量和传输速度的不断提高,其处理性能及检测效率受到极大挑战;
2)检测能力受到其规则库中规则数目及准确度的限制,即只能检测规则库中已知攻击,而无法检测到未知攻击和己知攻击的变种,自适应能力差。
数据挖掘技术能够从大量数据中挖掘出有效的、新颖的、具有潜在用途并最终可理解的模式。将数据挖掘技术应用到入侵检测领域,运用可行的有效的数据挖掘算法,在进行规则匹配前过滤掉大量的正常数据包,提高检测效率;对现有规则进行挖掘,产生新的检测规则,添加到规则库中,不断调整规则的优先级,实现规则的动态更新,使系统具备自学习的能力;根据入侵行为的级别,产生不同级别的预警,帮助系统管理员做出正确的处理。
发明内容
本发明主要解决的技术问题是:提供一种基于数据挖掘的自学习分级预警入侵检测系统,在传统入侵检测系统模型的基础上,引入数据挖掘的思想,增加了聚类分析模块、关联分析模块、规则泛化模块和规则管理模块等,提高了检测的精确性和高效性,同时使系统具备了自学习和分级预警能力。
本发明的所要解决的技术问题是通过如下技术方案实现的:
一种基于数据挖掘的自学习分级预警入侵检测系统,其特征在于:所述系统包括:聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录模块和分级预警模块;所述系统按照如下步骤进行自学习分级预警入侵检测:
步骤一:采集网络上的数据包,以此作为训练数据,所述聚类分析模块对所述训练数据进行聚类分析,形成网络正常行为模式类与网络异常行为模式类,分别添加到相应的模式类库中;
步骤二:所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,将异常数据包传送给规则库(1)作匹配检测;
步骤三:所述异常数据包与规则库(1)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生三级预警信息,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(2)作匹配检测;
步骤四:所述异常数据包与规则库(2)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生二级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(2)中删除此规则,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(3)作匹配检测;
步骤五:所述异常数据包与规则库(3)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生一级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(3)中删除此规则,若异常数据包与所有的规则都不匹配,则将将异常信息写入所述日志记录模块;
步骤六:所述关联分析模块对日志记录中的记录进行关联分析,产生关联规则,并进一步转化为检测规则,添加到规则库(2)中;
步骤七:所述规则泛化模块对规则库(1)和规则库(2)中的规则进行泛化,形成新的检测规则,添加到规则库(3)中。
其中,所述聚类分析模块采用一种改进的K-means算法对训练数据进行聚类分析。
其中,所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,只将异常数据包传送给规则库作匹配检测。
其中,所述规则库中的规则是基于文本的,存储在三维链表中,包含规则头和规则选项。
其中,所述关联分析模块采用Apriori算法对日志记录进行关联分析。
其中,所述规则泛化模块采用聚类泛化算法对规则库(1)和规则库(2)中的规则进行泛化,将泛化得到的新规则添加到规则库(3)中。
其中,所述规则管理模块根据规则匹配的情况动态调整规则的优先级。
其中,所述系统采用B/S架构,核心模块用C/C++实现,运行于Linux系统之上。
本发明的优点在于,首先利用聚类分析模块对训练数据进行聚类分析,形成网络正常行为模式类与网络异常行为模式类,使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,提高监测效率。其次关联分析模块和规则泛化模块分别对日志和已有规则进行挖掘形成新的检测规则,使系统具备了自学习的能力,可以检测到新的入侵行为。最后规则管理模块根据规则匹配的情况动态调整规则的优先级,同时不同级别的入侵行为将触发不同级别的预警。
本发明的有益效果是:
1.本发明可以实现入侵检测系统的自学习,检测新的入侵行为;
2.本发明可以产生不同级别的预警,方便系统管理员做出不同的处理。
附图说明
图1为本发明入侵检测系统的结构示意图
图2为本发明入侵检测系统的工作流程图
图3为本发明聚类分析模块的工作流程图
图4为本发明关联分析模块的工作流程图
图5为本发明规则泛化模块的工作流程图
图6为本发明规则管理模块的工作流程图。
具体实施方式
图1,图2分别为本发明入侵检测系统的结构示意图和工作流程图。
下面结合附图和具体实施方式对本发明的技术方案做进一步具体说明。
第一,聚类分析模块采用一种改进的K-means算法对训练数据进行聚类分析。该方法预先设定一个聚类半径 R,然后选择第一个数据包作为第一个聚类的中心。当后面的数据包到达时,计算数据包与所有聚类中心的相似度,若它们的相似度小于或等于 R,则将其划分到相应的聚类中,并重新计算该聚类中心的平均值。若它们的相似度大于 R,则以该数据包作为新的聚类中心。在聚类分析过程中,每创建一个新的聚类,系统会分配给它一个编号作为标识。聚类分析可以自动将相似度高的数据对象划分到同一个类中,而不同类的数据对象之间的相似度很小。可以设定一个阈值T ,当聚类的成员数目大于T 时,表明该聚类是一个网络正常行为模式类,否则表明该聚类是一个网络异常行为模式类。如图3所示,由于网络中正常数据的数量远远大于入侵数据,且入侵数据与正常数据之间存在很大的差异,因此能够将数据集划分为不同的类别,由此分辨出正常和异常行为,形成正常和异常行为类库。
第二,异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,只将异常数据包传送给规则库作匹配检测,这大大提高了系统的检测效率。
第三,规则库中的规则是基于文本的,存储在三维链表中,包含规则头和规则选项。如下是一条检测ping包的规则:alert icmp any any => any any {info: "icmp Packet detected"}。当数据包到时,按照先匹配规则头再匹配规则选项的顺序进行匹配。规则库(1)、规则库(2)、规则库(3)的优先级由高到低,系统根据与异常数据包匹配的规则的优先级高低产生不同级别的预警。
第四,关联分析模块采用Apriori算法对日志记录进行关联分析。Apriori算法的基本步骤是:首先找出所有的频繁项集,这些项集出现的频繁性至少和预定义的最小支持度一样。然后由频繁项集生成强关联规则,这些规则必须满足最小支持度和最小可信度两个条件。使用第一步找到的频繁项集产生期望的规则,产生只包含集合中项的所有规则,这些规则采用中规则的定义即每一条规则的右部只有一项。在生成的这些规则中,只有那些大于用户预先定义的最小可信度的规则才被保留下来。算法使用递推的方法生成所有频繁项集。如图4所示,对日志中的数据记录进行关联分析,挖掘不同记录之间的关系,生成关联规则,保证规则的支持度和信任度大于指定的最小支持度和最小可信度,并将规则转化成符合规则库语法要求的检测规则,添加到规则库(2)中。
第五,如图5所示,规则泛化模块采用聚类泛化算法对规则库(1)和规则库(2)中的规则进行泛化。在聚类算法中:如果两个对象距离很近,则属于同一分类。将这个思想应用到规则泛化中,在空间中,如果两个规则点距离很近,将它们连接成小的线段,则线段上的点加入到泛化规则集中。同理,如果多个规则点离得很近,则将它们包围的区域中的点加入泛化规则集中。通过聚类泛化,两个距离近的规则点连接成规则线段,密集的离散规则点泛化成一个连续规则集合,扩大了检测范围。将泛化得到的新规则添加到规则库(3)中。
第六,规则管理模块根据规则匹配的情况动态调整规则的优先级。如图6所示,若异常数据包与规则库(2)或规则库(3)中的某条规则匹配成功,则将此规则添加到规则库(1)中,并将其从规则库(2)或规则库(3)中删除。
第七,系统采用B/S架构,核心模块用C/C++实现,运行于Linux系统之上。当入侵行为发生时,预警模块发出预警并将入侵行为的级别和匹配的规则记录下来。预警模块还会记录最近24小时预警数、最近72小时预警数、最后来源端口、最后目的端口、出现频率最高源端口、出现频率最高目的端口,并且统计预警中TCP、UDP、ICMP和端口扫描通信的数量。以上信息系统管理员可以通过预警模块查看。
本发明通过将数据挖掘技术应用到入侵检测中,充分利用现有的数据挖掘算法以及网络攻击的特点,提出了一种基于数据挖掘的自学习分级预警入侵检测系统,实现了入侵检测系统的自学习和分级预警,有效地提高了检测的精确性和高效性,具有可观的经济价值和使用价值。
Claims (8)
1.一种基于数据挖掘的自学习分级预警入侵检测系统,其特征在于:所述系统包括:聚类分析模块、异常检测引擎、规则库、关联分析模块、规则泛化模块、规则管理模块、日志记录模块和分级预警模块;所述系统按照如下步骤进行自学习分级预警入侵检测:
步骤一:采集网络上的数据包,以此作为训练数据,所述聚类分析模块对所述训练数据进行聚类分析,形成网络正常行为模式类与网络异常行为模式类,分别添加到相应的模式类库中;
步骤二:所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,将异常数据包传送给规则库(1)作匹配检测;
步骤三:所述异常数据包与规则库(1)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生三级预警信息,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(2)作匹配检测;
步骤四:所述异常数据包与规则库(2)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生二级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(2)中删除此规则,若异常数据包与所有的规则都不匹配,则将异常数据包传送给规则库(3)作匹配检测;
步骤五:所述异常数据包与规则库(3)中的规则进行匹配,若匹配成功,则表明发生入侵行为,产生一级预警信息,所述规则管理模块将匹配的规则添加到规则库(1)中,并从规则库(3)中删除此规则,若异常数据包与所有的规则都不匹配,则将将异常信息写入所述日志记录模块;
步骤六:所述关联分析模块对日志记录中的记录进行关联分析,产生关联规则,并进一步转化为检测规则,添加到规则库(2)中;
步骤七:所述规则泛化模块对规则库(1)和规则库(2)中的规则进行泛化,形成新的检测规则,添加到规则库(3)中。
2. 如权利要求1所述的系统,其特征在于,所述聚类分析模块采用一种改进的K-means算法对训练数据进行聚类分析。
3.如权利要求1所述的系统,其特征在于,所述异常检测引擎使用网络正常行为模式类对网络上采集的数据包进行匹配检测,丢弃那些符合网络正常行为模式类的正常数据包,只将异常数据包传送给规则库作匹配检测。
4.如权利要求1所述的系统,其特征在于,所述规则库中的规则是基于文本的,存储在三维链表中,包含规则头和规则选项。
5. 如权利要求1所述的系统,其特征在于,所述关联分析模块采用Apriori算法对日志记录进行关联分析。
6. 如权利要求1所述的系统,其特征在于,所述规则泛化模块采用聚类泛化算法对规则库(1)和规则库(2)中的规则进行泛化,将泛化得到的新规则添加到规则库(3)中。
7. 如权利要求1所述的系统,其特征在于,所述规则管理模块根据规则匹配的情况动态调整规则的优先级。
8. 如权利要求1所述的系统,其特征在于,所述系统采用B/S架构,核心模块用C/C++实现,运行于Linux系统之上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510218572.1A CN104811452A (zh) | 2015-04-30 | 2015-04-30 | 一种基于数据挖掘的自学习分级预警入侵检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510218572.1A CN104811452A (zh) | 2015-04-30 | 2015-04-30 | 一种基于数据挖掘的自学习分级预警入侵检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104811452A true CN104811452A (zh) | 2015-07-29 |
Family
ID=53695946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510218572.1A Pending CN104811452A (zh) | 2015-04-30 | 2015-04-30 | 一种基于数据挖掘的自学习分级预警入侵检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104811452A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105653427A (zh) * | 2016-03-04 | 2016-06-08 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105791289A (zh) * | 2016-03-02 | 2016-07-20 | 夏杰 | 一种基于大数据计算的网络保护的方法及系统 |
| CN105847302A (zh) * | 2016-05-31 | 2016-08-10 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN105912946A (zh) * | 2016-04-05 | 2016-08-31 | 上海上讯信息技术股份有限公司 | 一种文件检测的方法与设备 |
| CN106534224A (zh) * | 2017-01-23 | 2017-03-22 | 余洋 | 智能网络攻击检测方法及装置 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN107230116A (zh) * | 2016-03-23 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN107483448A (zh) * | 2017-08-24 | 2017-12-15 | 中国科学院信息工程研究所 | 一种网络安全检测方法及检测系统 |
| CN107832196A (zh) * | 2017-11-28 | 2018-03-23 | 广东金赋科技股份有限公司 | 一种用于实时日志异常内容的监测装置及监测方法 |
| CN107958346A (zh) * | 2017-12-14 | 2018-04-24 | 北京小度信息科技有限公司 | 异常行为的识别方法及装置 |
| CN108280021A (zh) * | 2018-01-25 | 2018-07-13 | 郑州云海信息技术有限公司 | 一种基于机器学习的日志等级分析方法 |
| CN108335751A (zh) * | 2018-01-23 | 2018-07-27 | 上海孩子通信息科技有限公司 | 一种基于数据挖掘的儿童性格评价方法 |
| CN108650235A (zh) * | 2018-04-13 | 2018-10-12 | 北京网藤科技有限公司 | 一种入侵检测装置及其检测方法 |
| CN108959034A (zh) * | 2018-07-05 | 2018-12-07 | 北京木瓜移动科技股份有限公司 | 一种监控报警方法、装置、电子设备及存储介质 |
| CN109447651A (zh) * | 2018-10-22 | 2019-03-08 | 武汉极意网络科技有限公司 | 业务风控检测方法、系统、服务器及存储介质 |
| CN110505189A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 终端安全代理突破的识别方法、识别设备及存储介质 |
| CN110958271A (zh) * | 2019-12-24 | 2020-04-03 | 国家计算机网络与信息安全管理中心 | 一种车载外部网络入侵检测系统 |
| CN111224984A (zh) * | 2020-01-06 | 2020-06-02 | 重庆邮电大学 | 一种基于数据挖掘算法的Snort改进方法 |
| CN111950282A (zh) * | 2020-07-08 | 2020-11-17 | 国家计算机网络与信息安全管理中心 | 一种基于网络行为特征的扩线分析方法及装置 |
| CN113221107A (zh) * | 2021-05-28 | 2021-08-06 | 西安热工研究院有限公司 | 一种面向工控系统的入侵检测规则匹配优化方法 |
| CN113612779A (zh) * | 2021-08-05 | 2021-11-05 | 杭州中尔网络科技有限公司 | 一种基于流量信息的高级可持续攻击行为检测方法 |
| CN114124446A (zh) * | 2021-10-12 | 2022-03-01 | 广西电网有限责任公司桂林供电局 | 基于Snort引擎采用逻辑回归算法的防入侵检测系统 |
| CN114553580A (zh) * | 2022-02-28 | 2022-05-27 | 国网新疆电力有限公司博尔塔拉供电公司 | 基于规则泛化和攻击重构网络攻击检测方法及装置 |
| CN115454781A (zh) * | 2022-10-08 | 2022-12-09 | 杭银消费金融股份有限公司 | 基于企业架构系统的数据可视化展现方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1645336A (zh) * | 2005-01-20 | 2005-07-27 | 上海复旦光华信息科技股份有限公司 | 基于模板的异构日志信息自动提取与分析方法 |
| US20060156404A1 (en) * | 2002-07-30 | 2006-07-13 | Day Christopher W | Intrusion detection system |
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN101902336A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种基于规则模型的安全事件关联分析系统及方法 |
| CN104468545A (zh) * | 2014-11-26 | 2015-03-25 | 中国航天科工集团第二研究院七〇六所 | 一种基于复杂事件处理的网络安全关联分析方法 |
-
2015
- 2015-04-30 CN CN201510218572.1A patent/CN104811452A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060156404A1 (en) * | 2002-07-30 | 2006-07-13 | Day Christopher W | Intrusion detection system |
| CN1645336A (zh) * | 2005-01-20 | 2005-07-27 | 上海复旦光华信息科技股份有限公司 | 基于模板的异构日志信息自动提取与分析方法 |
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
| CN101902336A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种基于规则模型的安全事件关联分析系统及方法 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN104468545A (zh) * | 2014-11-26 | 2015-03-25 | 中国航天科工集团第二研究院七〇六所 | 一种基于复杂事件处理的网络安全关联分析方法 |
Non-Patent Citations (3)
| Title |
|---|
| 李凯斌等: "《Snort入侵检测系统中的规则泛化模型》", 《计算机工程与应用》 * |
| 李贺玲: "《数据挖掘在网络入侵检测中的应用研究》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 李韦韦等: "基于多层特征匹配的网络入侵检测系统", 《计算机应用与软件》 * |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791289A (zh) * | 2016-03-02 | 2016-07-20 | 夏杰 | 一种基于大数据计算的网络保护的方法及系统 |
| CN105653427B (zh) * | 2016-03-04 | 2019-02-22 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105653427A (zh) * | 2016-03-04 | 2016-06-08 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN107230116A (zh) * | 2016-03-23 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN107230116B (zh) * | 2016-03-23 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN105912946A (zh) * | 2016-04-05 | 2016-08-31 | 上海上讯信息技术股份有限公司 | 一种文件检测的方法与设备 |
| CN105847302A (zh) * | 2016-05-31 | 2016-08-10 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN105847302B (zh) * | 2016-05-31 | 2019-04-12 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN106534224A (zh) * | 2017-01-23 | 2017-03-22 | 余洋 | 智能网络攻击检测方法及装置 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN107483448A (zh) * | 2017-08-24 | 2017-12-15 | 中国科学院信息工程研究所 | 一种网络安全检测方法及检测系统 |
| CN107832196A (zh) * | 2017-11-28 | 2018-03-23 | 广东金赋科技股份有限公司 | 一种用于实时日志异常内容的监测装置及监测方法 |
| CN107832196B (zh) * | 2017-11-28 | 2021-07-06 | 广东金赋科技股份有限公司 | 一种用于实时日志异常内容的监测装置及监测方法 |
| CN107958346A (zh) * | 2017-12-14 | 2018-04-24 | 北京小度信息科技有限公司 | 异常行为的识别方法及装置 |
| CN108335751A (zh) * | 2018-01-23 | 2018-07-27 | 上海孩子通信息科技有限公司 | 一种基于数据挖掘的儿童性格评价方法 |
| CN108280021A (zh) * | 2018-01-25 | 2018-07-13 | 郑州云海信息技术有限公司 | 一种基于机器学习的日志等级分析方法 |
| CN108650235B (zh) * | 2018-04-13 | 2021-06-04 | 北京网藤科技有限公司 | 一种入侵检测装置及其检测方法 |
| CN108650235A (zh) * | 2018-04-13 | 2018-10-12 | 北京网藤科技有限公司 | 一种入侵检测装置及其检测方法 |
| CN110505189A (zh) * | 2018-05-18 | 2019-11-26 | 深信服科技股份有限公司 | 终端安全代理突破的识别方法、识别设备及存储介质 |
| CN108959034A (zh) * | 2018-07-05 | 2018-12-07 | 北京木瓜移动科技股份有限公司 | 一种监控报警方法、装置、电子设备及存储介质 |
| CN109447651A (zh) * | 2018-10-22 | 2019-03-08 | 武汉极意网络科技有限公司 | 业务风控检测方法、系统、服务器及存储介质 |
| CN110958271A (zh) * | 2019-12-24 | 2020-04-03 | 国家计算机网络与信息安全管理中心 | 一种车载外部网络入侵检测系统 |
| CN111224984A (zh) * | 2020-01-06 | 2020-06-02 | 重庆邮电大学 | 一种基于数据挖掘算法的Snort改进方法 |
| CN111224984B (zh) * | 2020-01-06 | 2022-01-11 | 重庆邮电大学 | 一种基于数据挖掘算法的Snort改进方法 |
| CN111950282A (zh) * | 2020-07-08 | 2020-11-17 | 国家计算机网络与信息安全管理中心 | 一种基于网络行为特征的扩线分析方法及装置 |
| CN113221107B (zh) * | 2021-05-28 | 2023-01-20 | 西安热工研究院有限公司 | 一种面向工控系统的入侵检测规则匹配优化方法 |
| CN113221107A (zh) * | 2021-05-28 | 2021-08-06 | 西安热工研究院有限公司 | 一种面向工控系统的入侵检测规则匹配优化方法 |
| CN113612779A (zh) * | 2021-08-05 | 2021-11-05 | 杭州中尔网络科技有限公司 | 一种基于流量信息的高级可持续攻击行为检测方法 |
| CN114124446A (zh) * | 2021-10-12 | 2022-03-01 | 广西电网有限责任公司桂林供电局 | 基于Snort引擎采用逻辑回归算法的防入侵检测系统 |
| CN114553580A (zh) * | 2022-02-28 | 2022-05-27 | 国网新疆电力有限公司博尔塔拉供电公司 | 基于规则泛化和攻击重构网络攻击检测方法及装置 |
| CN114553580B (zh) * | 2022-02-28 | 2024-04-09 | 国网新疆电力有限公司博尔塔拉供电公司 | 基于规则泛化和攻击重构网络攻击检测方法及装置 |
| CN115454781A (zh) * | 2022-10-08 | 2022-12-09 | 杭银消费金融股份有限公司 | 基于企业架构系统的数据可视化展现方法及系统 |
| CN115454781B (zh) * | 2022-10-08 | 2023-05-16 | 杭银消费金融股份有限公司 | 基于企业架构系统的数据可视化展现方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104811452A (zh) | 一种基于数据挖掘的自学习分级预警入侵检测系统 | |
| Maglaras et al. | Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems | |
| Janarthanan et al. | Feature selection in UNSW-NB15 and KDDCUP'99 datasets | |
| US20210273960A1 (en) | Cyber threat defense system and method | |
| Patcha et al. | An overview of anomaly detection techniques: Existing solutions and latest technological trends | |
| Ye et al. | Robustness of the Markov-chain model for cyber-attack detection | |
| Abadeh et al. | A parallel genetic local search algorithm for intrusion detection in computer networks | |
| Meng | The practice on using machine learning for network anomaly intrusion detection | |
| Kanimozhi et al. | UNSW-NB15 dataset feature selection and network intrusion detection using deep learning | |
| Huang et al. | Knowledge discovery from big data for intrusion detection using LDA | |
| KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
| CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
| CN103581198A (zh) | 基于Apriori算法的安全日志分析方法 | |
| Iturbe et al. | Towards Large‐Scale, Heterogeneous Anomaly Detection Systems in Industrial Networks: A Survey of Current Trends | |
| El-Kadhi et al. | A Mobile Agents and Artificial Neural Networks for Intrusion Detection. | |
| Shanmugam et al. | Hybrid intrusion detection systems (HIDS) using Fuzzy logic | |
| Soewu et al. | Analysis of Data Mining-Based Approach for Intrusion Detection System | |
| Dharamkar et al. | A review of cyber attack classification technique based on data mining and neural network approach | |
| Kosamkar et al. | Data Mining Algorithms for Intrusion Detection System: An Overview | |
| Boonyopakorn | The optimization and enhancement of network intrusion detection through fuzzy association rules | |
| Raja et al. | Contemporary PCA and NBA based Hybrid Cloud Intrusion Detection System | |
| Jackins et al. | An anomaly-based network intrusion detection system using ensemble clustering | |
| Mohammed et al. | Evaluating machine learning algorithms to detect and classify attacks in IoT | |
| Deng et al. | An Intrusion Detection Scheme Based on Federated Learning and Self-Attention Fusion Convolutional Neural Network for IoT. | |
| Naukarkar et al. | Analysis of Implementing Network Intrusion Detection (NIDS) Algorithms Using Machine Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150729 |