CN105376255A - 一种基于K-means聚类的Android平台入侵检测方法 - Google Patents
一种基于K-means聚类的Android平台入侵检测方法 Download PDFInfo
- Publication number
- CN105376255A CN105376255A CN201510898476.6A CN201510898476A CN105376255A CN 105376255 A CN105376255 A CN 105376255A CN 201510898476 A CN201510898476 A CN 201510898476A CN 105376255 A CN105376255 A CN 105376255A
- Authority
- CN
- China
- Prior art keywords
- data
- android platform
- value
- syn
- bunch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于K-means聚类的Android平台入侵检测方法。首先采用自适应阈值检测方法采集正常状态和异常状态下所监测的Android平台的使用情况,对异常的数据包进行预处理,构造检测向量;其次,采用改进K-means算法建立入侵检测模型,最后,对检测向量进一步解析,根据解析的结果判断异常入侵行为。本发明通过采用自适应阈值检测网络流量异常,采用K-means检测算法作为入侵检测的核心分析算法,并且对经典K-means算法进行改进,基于密度选取初始聚类中心。本发明能够精确的检测出网络流量异常的入侵行为,提高了Android平台的自主防御能力。
Description
技术领域
本发明涉及网络信息安全领域,特别是一种基于K-means聚类的Android平台入侵检测方法。
背景技术
随着移动互联网和电子技术的发展,大量基于Android平台的应用和服务也被开发出来提供给用户使用。智能手机凭借其日益强大的功能、快速的多核处理器和便携的特点,给人们的生活带来了很大的便利。然而,当智能手机不仅仅提供简单的通话和短信功能,也要面对各种应用服务时,就不可避免地面临越来越多的安全问题。虽然Android平台提供的Linux内核安全机制、应用程序权限控制、沙箱机制等安全机制,有效地保护了Android平台安全,但是由于现有的安全机制具有局限性,而恶意软件不断变种、升级,新的攻击方法和攻击手段层出不穷,Android平台仍然面临巨大的安全威胁。
目前市场上常见的病毒查杀软件已经可以对平台内部数据交换的数据线/存储卡,数据传输的蓝牙/红外线以及外部网络进行连接的彩信/email/MMS等进行实施的安全隐患监控。众多的杀毒软件中,大部分都是依靠网络病毒库和远程服务器联网进行云查杀,没有从手机自身的主动防护能力方面进行考虑和设计,缺乏对未知病毒威胁的判断能力。
异常检测的方法已有很多,根据异常可能引起不同特征的变化,提出了不同的检测方法,如从数据流中提取服务请求,根据服务请求的三个属性:请求类型、请求长度和负载分布计算异常得分;利用网络流量异常会引起数据包头部特征的分布发生显著变化,引入特征熵作为异常检测的数据源。这些方法虽然采用了多个特征以提高检测率,但是没有融合多个特征进行综合评判,仅采用简单的选举法或简单的特征组合公式,而没有任何理论依据。本发明为了能够融合各维特征的检测信息,降低误报率,将各维特征排列成检测向量,采用由K-means聚类算法产生的检测模型对各维特征进行综合判断。
因此,为了应对Android系统的安全漏洞,提高对恶意软件的防御能力,需要研究新的Android平台入侵检测方法,该方法应该能够监控Android系统及应用程序的正常运行,发现网络流量异常时,能够提供报警、卸载恶意软件等反馈,并且能够根据攻击的方式和手段的变化,进行自适应处理,提高检测能力。
发明内容
有鉴于此,本发明的目的是提出一种基于K-means聚类的Android平台入侵检测方法,能够精确的检测出网络流量异常的入侵行为,提高了Android平台的自主防御能力。
本发明采用以下方案实现:一种基于K-means聚类的Android平台入侵检测方法,具体包括以下步骤:
步骤S1:Android流量获取:实时抓取Android手机端数据包,实时计算当前流量信息值,进而获取到瞬时流量值,构建流量包,建立K-means算法所需的检测向量;
步骤S2:采用自适应流量阈值算法:根据步骤S1获取的流量值观测值的历史数据建立数学模型、更新数学模型以及确定容许边界,通过所述容许边界来区分网络正常行为和网络异常行为;
步骤S3:进行数据抓包信息分析:采集Android手机端的数据包信息,对网络数据包的IP、端口、协议以及TCP标志位这四个维度进行预处理并构造检测向量;
步骤S4:进行基于改进的K-means算法的流量异常识别:采用基于密度选取初始聚类中心的改进K-means算法建立流量监控的检测模型对检测向量进行分类,计算出各数据对象所在区域的数据密度,依据计算出的数据密度将数据集中的数据对象分至k个不同的密度区域,并从各个密度区域内选出其代表的一个对象作为该密度区域的中心,这k个密度区域的中心就是初始聚类中心;
步骤S5:进行异常报警:对每个聚类的簇所属的数据进行挖掘,监控到异常信息后进行自动推送,实现网络流量的实时监控和异常报警处理。
进一步地,所述步骤S2具体包括以下步骤:
步骤S21:数据模型的建立:采用平滑数据模型:
Zt=0.25yt-1+0.5yt+0.25yt+1;
对上述数据模型建立的曲线作进一步的平滑处理,再经过中值滤波、求导、阈值处理、合成信号以及调整信号总体幅度后,获得一条与时间t相关的光滑拟合曲线p(t),表示观测值的正常行为;
步骤S22:数据模型的更新:p(t)只能表示一天时间内的正常行为,但由于网络的动态变化特性,网络的正常行为也会因为网络环境的不同而不断变化,因此需要根据最近的观测值不断刷新网络正常行为的模型,将当天和前一天的网络行为进行融合,得到如下的关系式:
p(t)=α[d(t)-p(t-1)]+p(t-1);
其中,p(t)表示在t时刻的网络利用率预测值,即正常行为的模型,d(t)表示t时刻的网络利用率观测值,α是加权常数,可以用于调整数据模型适应局部行为的快慢程度;
步骤S23:确定容许范围:首先是统计一段时间内,每天同一时刻观测值的标准差,然后将正常行为模型加上该标准差得到正常行为的上边界,将正常行为模型减去该标准差得到正常行为的下边界;根据所加的标准差的个数不同,可以得到不同范围的边界。
进一步地,所述步骤S3具体包括以下步骤:
步骤S31:定义检测向量为
Dt=<HipHportHtcpHsyn>;
Hip=Dsip/Ddip;
Hport=Dspt/Ddpt;
Htcp=PTCP/PIP;
Hsyn=PSYN/PSYN+ACK;
其中,Dsip、Ddip分别为单位时间内不同的源IP地址数目、目的IP地址数目;Dspt、Ddpt分别为单位时间内不同的源端口号数目、目的端口号数目;PTCP、PIP分别表示在单位时间内TCP报文和IP报文的统计数;PSYN、PSYN+ACK分别为单位时间内SYN和SYN+ACK的报文数;
步骤S32:发生超出自适应阈值流量时,将抓取的最近的数据包,构建检测向量进行基于K-means的流量异常识别。
进一步地,所述步骤S4具体包括以下步骤:
步骤S41:在经典K-means算法的基础上,采用t-邻域密度的方法来选择初始聚类中心;用t-邻域密度方法选择k个初始聚类中心;
步骤S42:为样本集X中的每一个数据对象,找到与它距离最小的聚类中心,并将这个对象划分入该聚类中心所属的簇中;
步骤S43:等到样本集X中所有对象都各自划分入一个簇之后,对新得到的每个簇重新计算其新的聚类中心;一个簇的聚类中心计算公式如下:
其中,Mj表示第j个簇,Zj表示第j个簇的聚类中心,Nj表示第j个簇中的对象个数,y表示属于第j个簇的对象。
进一步地,所述步骤S41具体包括以下步骤:
步骤S411:计算搜索半径t,采用公式:
t=Dmax/(m*K);
其中,Dmax为数据样本集中对象间距离的最大值,m为一个调整的参数值,需通过实验进行调整,K为所要选择的初始聚类中心个数;
步骤S412:计算样本集中任意两个对象Xi与Xj的距离dij:
其中,p表示数据对象的维数或属性数,Xip表示第i个数据对象的第p个维值或属性值;
步骤S413:计算Xi的t-邻域密度ai;
步骤S414:根据每个对象的ai值大小,对对象按降序进行排序,得到新的样本集X',其中,当i<j时,必有ai'≤a'j;
步骤S415:令i=1;
步骤S416:在X'中,找出第一个a'≠0的对象,将其作为第i个初始聚类中心,其中i≤k;
步骤S417:在X'中,找出第i个初始聚类中心及其t-邻域中的所有对象,并将它们的a'值置为0;
步骤S418:另i=i+1;
步骤S419:若i>k,则跳至步骤S42;否则,则跳回步骤S416。
与现有技术相比,本发明有以下有益效果:
1、采用改进K-means聚类算法产生的检测模型对各维特征进行综合判断,能降低误报率,利用滑动窗口机制计算各维特征的局部均值偏差,保证在实时动态变化的网络流量中检测的准确性。
2、网络流量在不同时间内可能呈现出的流量突变情况,改进的自适应流量阈值算法,能够实时监测网络流量。
附图说明
图1为本发明的方法流程图。
图2为发明的自适应流量阈值算法的流程图。
图3为本发明改进的K-means算法流程图
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
如图1所示,本实施例提供了一种基于K-means聚类的Android平台入侵检测方法,具体包括以下步骤:
步骤S1:Android流量获取:实时抓取Android手机端数据包,实时计算当前流量信息值,进而获取到瞬时流量值,构建流量包,建立K-means算法所需的检测向量;
步骤S2:采用自适应流量阈值算法:根据步骤S1获取的流量值观测值的历史数据建立数学模型、更新数学模型以及确定容许边界,通过所述容许边界来区分网络正常行为和网络异常行为;
步骤S3:进行数据抓包信息分析:采集Android手机端的数据包信息,对网络数据包的IP、端口、协议以及TCP标志位这四个维度进行预处理并构造检测向量;
步骤S4:进行基于改进的K-means算法的流量异常识别:采用基于密度选取初始聚类中心的改进K-means算法建立流量监控的检测模型对检测向量进行分类,计算出各数据对象所在区域的数据密度,依据计算出的数据密度将数据集中的数据对象分至k个不同的密度区域,并从各个密度区域内选出其代表的一个对象作为该密度区域的中心,这k个密度区域的中心就是初始聚类中心;
步骤S5:进行异常报警:对每个聚类的簇所属的数据进行挖掘,监控到异常信息后进行自动推送,实现网络流量的实时监控和异常报警处理。
在本实施例中,所述步骤S2具体包括以下步骤:
步骤S21:数据模型的建立:采用平滑数据模型:
Zt=0.25yt-1+0.5yt+0.25yt+1;
对上述数据模型建立的曲线作进一步的平滑处理,再经过中值滤波、求导、阈值处理、合成信号以及调整信号总体幅度后,获得一条与时间t相关的光滑拟合曲线p(t),表示观测值的正常行为;
步骤S22:数据模型的更新:p(t)只能表示一天时间内的正常行为,但由于网络的动态变化特性,网络的正常行为也会因为网络环境的不同而不断变化,因此需要根据最近的观测值不断刷新网络正常行为的模型,将当天和前一天的网络行为进行融合,得到如下的关系式:
p(t)=α[d(t)-p(t-1)]+p(t-1);
其中,p(t)表示在t时刻的网络利用率预测值,即正常行为的模型,d(t)表示t时刻的网络利用率观测值,α是加权常数,可以用于调整数据模型适应局部行为的快慢程度;
步骤S23:确定容许范围:首先是统计一段时间内,每天同一时刻观测值的标准差,然后将正常行为模型加上该标准差得到正常行为的上边界,将正常行为模型减去该标准差得到正常行为的下边界;根据所加的标准差的个数不同,可以得到不同范围的边界。
在本实施例中,所述步骤S3具体包括以下步骤:
步骤S31:定义检测向量为
Dt=<HipHportHtcpHsyn>;
Hip=Dsip/Ddip;
Hport=Dspt/Ddpt;
Htcp=PTCP/PIP;
Hsyn=PSYN/PSYN+ACK;
其中,Dsip、Ddip分别为单位时间内不同的源IP地址数目、目的IP地址数目;Dspt、Ddpt分别为单位时间内不同的源端口号数目、目的端口号数目;PTCP、PIP分别表示在单位时间内TCP报文和IP报文的统计数;PSYN、PSYN+ACK分别为单位时间内SYN和SYN+ACK的报文数;
步骤S32:发生超出自适应阈值流量时,将抓取的最近的数据包,构建检测向量进行基于K-means的流量异常识别。
在本实施例中,所述步骤S4具体包括以下步骤:
步骤S41:在经典K-means算法的基础上,采用t-邻域密度的方法来选择初始聚类中心;用t-邻域密度方法选择k个初始聚类中心;
步骤S42:为样本集X中的每一个数据对象,找到与它距离最小的聚类中心,并将这个对象划分入该聚类中心所属的簇中;
步骤S43:等到样本集X中所有对象都各自划分入一个簇之后,对新得到的每个簇重新计算其新的聚类中心;一个簇的聚类中心计算公式如下:
其中,Mj表示第j个簇,Zj表示第j个簇的聚类中心,Nj表示第j个簇中的对象个数,y表示属于第j个簇的对象。
在本实施例中,所述步骤S41具体包括以下步骤:
步骤S411:计算搜索半径t,采用公式:
t=Dmax/(m*K);
其中,Dmax为数据样本集中对象间距离的最大值,m为一个调整的参数值,需通过实验进行调整,K为所要选择的初始聚类中心个数;
步骤S412:计算样本集中任意两个对象Xi与Xj的距离dij:
其中,p表示数据对象的维数或属性数,Xip表示第i个数据对象的第p个维值或属性值;
步骤S413:计算Xi的t-邻域密度ai;
步骤S414:根据每个对象的ai值大小,对对象按降序进行排序,得到新的样本集X',其中,当i<j时,必有ai'≤a'j;
步骤S415:令i=1;
步骤S416:在X'中,找出第一个a'≠0的对象,将其作为第i个初始聚类中心,其中i≤k;
步骤S417:在X'中,找出第i个初始聚类中心及其t-邻域中的所有对象,并将它们的a'值置为0;
步骤S418:另i=i+1;
步骤S419:若i>k,则跳至步骤S42;否则,则跳回步骤S416。
综上所述,本发明通过采用自适应阈值检测网络流量异常,采用K-means检测算法作为入侵检测的核心分析算法,并且对经典K-means算法进行改进,基于密度选取初始聚类中心,使之能够精确的检测出网络流量异常的入侵行为,提高了Android平台的自主防御能力。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (5)
1.一种基于K-means聚类的Android平台入侵检测方法,其特征在于包括以下步骤:
步骤S1:Android流量获取:实时抓取Android手机端数据包,实时计算当前流量信息值,进而获取到瞬时流量值,构建流量包,建立K-means算法所需的检测向量;
步骤S2:采用自适应流量阈值算法:根据步骤S1获取的流量值观测值的历史数据建立数学模型、更新数学模型以及确定容许边界,通过所述容许边界来区分网络正常行为和网络异常行为;
步骤S3:进行数据抓包信息分析:采集Android手机端的数据包信息,对网络数据包的IP、端口、协议以及TCP标志位这四个维度进行预处理并构造检测向量;
步骤S4:进行基于改进的K-means算法的流量异常识别:采用基于密度选取初始聚类中心的改进K-means算法建立流量监控的检测模型对检测向量进行分类,计算出各数据对象所在区域的数据密度,依据计算出的数据密度将数据集中的数据对象分至k个不同的密度区域,并从各个密度区域内选出其代表的一个对象作为该密度区域的中心,这k个密度区域的中心就是初始聚类中心;
步骤S5:进行异常报警:对每个聚类的簇所属的数据进行挖掘,监控到异常信息后进行自动推送,实现网络流量的实时监控和异常报警处理。
2.根据权利要求1所述的一种基于K-means聚类的Android平台入侵检测方法,其特征在于:所述步骤S2具体包括以下步骤:
步骤S21:数据模型的建立:采用平滑数据模型:
Zt=0.25yt-1+0.5yt+0.25yt+1;
对上述数据模型建立的曲线作进一步的平滑处理,再经过中值滤波、求导、阈值处理、合成信号以及调整信号总体幅度后,获得一条与时间t相关的光滑拟合曲线p(t),表示观测值的正常行为;
步骤S22:数据模型的更新:根据最近的观测值不断刷新网络正常行为的模型,将当天和前一天的网络行为进行融合,得到如下的关系式:
p(t)=α[d(t)-p(t-1)]+p(t-1);
其中,p(t)表示在t时刻的网络利用率预测值,即正常行为的模型,d(t)表示t时刻的网络利用率观测值,α是加权常数,可以用于调整数据模型适应局部行为的快慢程度;
步骤S23:确定容许范围:首先是统计一段时间内,每天同一时刻观测值的标准差,然后将正常行为模型加上该标准差得到正常行为的上边界,将正常行为模型减去该标准差得到正常行为的下边界;根据所加的标准差的个数不同,可以得到不同范围的边界。
3.根据权利要求1所述的一种基于K-means聚类的Android平台入侵检测方法,其特征在于:所述步骤S3具体包括以下步骤:
步骤S31:定义检测向量为
Dt=<HipHportHtcpHsyn>;
Hip=Dsip/Ddip;
Hport=Dspt/Ddpt;
Htcp=PTCP/PIP;
Hsyn=PSYN/PSYN+ACK;
其中,Dsip、Ddip分别为单位时间内不同的源IP地址数目、目的IP地址数目;Dspt、Ddpt分别为单位时间内不同的源端口号数目、目的端口号数目;PTCP、PIP分别表示在单位时间内TCP报文和IP报文的统计数;PSYN、PSYN+ACK分别为单位时间内SYN和SYN+ACK的报文数;
步骤S32:发生超出自适应阈值流量时,将抓取的最近的数据包,构建检测向量进行基于K-means的流量异常识别。
4.根据权利要求1所述的一种基于K-means聚类的Android平台入侵检测方法,其特征在于:所述步骤S4具体包括以下步骤:
步骤S41:在经典K-means算法的基础上,采用t-邻域密度的方法来选择初始聚类中心;用t-邻域密度方法选择k个初始聚类中心;
步骤S42:为样本集X中的每一个数据对象,找到与它距离最小的聚类中心,并将这个对象划分入该聚类中心所属的簇中;
步骤S43:等到样本集X中所有对象都各自划分入一个簇之后,对新得到的每个簇重新计算其新的聚类中心;一个簇的聚类中心计算公式如下:
其中,Mj表示第j个簇,Zj表示第j个簇的聚类中心,Nj表示第j个簇中的对象个数,y表示属于第j个簇的对象。
5.根据权利要求4所述的一种基于K-means聚类的Android平台入侵检测方法,其特征在于:所述步骤S41具体包括以下步骤:
步骤S411:计算搜索半径t,采用公式:
t=Dmax/(m*K);
其中,Dmax为数据样本集中对象间距离的最大值,m为一个调整的参数值,需通过实验进行调整,K为所要选择的初始聚类中心个数;
步骤S412:计算样本集中任意两个对象Xi与Xj的距离dij:
其中,p表示数据对象的维数或属性数,Xip表示第i个数据对象的第p个维值或属性值;
步骤S413:计算Xi的t-邻域密度ai;
步骤S414:根据每个对象的ai值大小,对对象按降序进行排序,得到新的样本集X',其中,当i<j时,必有ai'≤a'j;
步骤S415:令i=1;
步骤S416:在X'中,找出第一个a'≠0的对象,将其作为第i个初始聚类中心,其中i≤k;
步骤S417:在X'中,找出第i个初始聚类中心及其t-邻域中的所有对象,并将它们的a'值置为0;
步骤S418:另i=i+1;
步骤S419:若i>k,则跳至步骤S42;否则,则跳回步骤S416。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510898476.6A CN105376255B (zh) | 2015-12-08 | 2015-12-08 | 一种基于K-means聚类的Android平台入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510898476.6A CN105376255B (zh) | 2015-12-08 | 2015-12-08 | 一种基于K-means聚类的Android平台入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105376255A true CN105376255A (zh) | 2016-03-02 |
CN105376255B CN105376255B (zh) | 2019-06-07 |
Family
ID=55378060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510898476.6A Active CN105376255B (zh) | 2015-12-08 | 2015-12-08 | 一种基于K-means聚类的Android平台入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105376255B (zh) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106101102A (zh) * | 2016-06-15 | 2016-11-09 | 华东师范大学 | 一种基于pam聚类算法的网络异常流量检测方法 |
CN106254321A (zh) * | 2016-07-26 | 2016-12-21 | 中国人民解放军防空兵学院 | 一种全网络异常数据流分类方法 |
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
CN107508816A (zh) * | 2017-08-31 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种攻击流量防护方法及装置 |
CN107506783A (zh) * | 2017-07-07 | 2017-12-22 | 广东科学技术职业学院 | 一种复杂混合入侵检测算法 |
CN107659973A (zh) * | 2017-08-23 | 2018-02-02 | 南京邮电大学 | 基于密度改进K‑means算法的超密集网络分簇方法 |
CN108520178A (zh) * | 2018-04-08 | 2018-09-11 | 长春理工大学 | 一种基于CFSFDP聚类的Android平台入侵检测方法 |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
CN109670310A (zh) * | 2019-01-28 | 2019-04-23 | 杭州师范大学 | 一种基于半监督K-Means聚类算法的Android恶意软件检测方法 |
CN109729090A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
CN110135740A (zh) * | 2019-05-20 | 2019-08-16 | 济南大学 | 面向燃煤锅炉流程对象的实时知识发现方法及系统 |
CN110728526A (zh) * | 2019-08-19 | 2020-01-24 | 阿里巴巴集团控股有限公司 | 地址识别方法、设备以及计算机可读介质 |
CN111178380A (zh) * | 2019-11-15 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 数据分类方法、装置及电子设备 |
CN111556440A (zh) * | 2020-05-07 | 2020-08-18 | 之江实验室 | 一种基于流量模式的网络异常检测方法 |
CN111651755A (zh) * | 2020-05-08 | 2020-09-11 | 中国联合网络通信集团有限公司 | 入侵检测方法和装置 |
CN112070180A (zh) * | 2020-09-30 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 基于信息物理双侧数据的电网设备状态判断方法及装置 |
CN112448911A (zh) * | 2019-08-27 | 2021-03-05 | 四川大学 | 一种基于K-Means的正常Server IP白名单的挖掘方法 |
CN112600792A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN113055333A (zh) * | 2019-12-26 | 2021-06-29 | 国网山西省电力公司信息通信分公司 | 可自适应动态调整密度网格的网络流量聚类方法和装置 |
CN113762374A (zh) * | 2021-08-31 | 2021-12-07 | 南京宁正信息科技有限公司 | 一种基于改进密度峰值聚类的异常轨迹检测方法 |
CN113807373A (zh) * | 2020-06-11 | 2021-12-17 | 中移(苏州)软件技术有限公司 | 一种流量识别方法及装置、设备、存储介质 |
CN115102734A (zh) * | 2022-06-14 | 2022-09-23 | 北京网藤科技有限公司 | 一种基于数据流量的漏洞识别系统及其识别方法 |
CN115186735A (zh) * | 2022-06-20 | 2022-10-14 | 成都飞机工业(集团)有限责任公司 | 一种数据阈值挖掘方法、装置、设备及介质 |
CN115883215A (zh) * | 2022-11-30 | 2023-03-31 | 广西电网有限责任公司 | 网络安全监控方法及基于该监控方法的防御系统 |
CN116599779A (zh) * | 2023-07-19 | 2023-08-15 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
CN117240629A (zh) * | 2023-11-15 | 2023-12-15 | 北京兆维电子(集团)有限责任公司 | 一种基于网络安全入侵的预测方法及预测系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130232045A1 (en) * | 2012-03-04 | 2013-09-05 | Oracle International Corporation | Automatic Detection Of Fraud And Error Using A Vector-Cluster Model |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN104168152A (zh) * | 2014-09-19 | 2014-11-26 | 西南大学 | 一种基于多层免疫的网络入侵检测方法 |
-
2015
- 2015-12-08 CN CN201510898476.6A patent/CN105376255B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130232045A1 (en) * | 2012-03-04 | 2013-09-05 | Oracle International Corporation | Automatic Detection Of Fraud And Error Using A Vector-Cluster Model |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN104168152A (zh) * | 2014-09-19 | 2014-11-26 | 西南大学 | 一种基于多层免疫的网络入侵检测方法 |
Non-Patent Citations (3)
Title |
---|
易云飞: "《改进K-means算法在网络入侵检测系统中的应用研究》", 《软件导刊》 * |
曹敏等: "《基于自适应阈值的网络流量异常检测算法》", 《计算机工程》 * |
杜强: "《基于改进聚类分析算法的IDS模型构建》", 《中国优秀硕士论文全文数据库 信息科技辑》 * |
Cited By (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106101102A (zh) * | 2016-06-15 | 2016-11-09 | 华东师范大学 | 一种基于pam聚类算法的网络异常流量检测方法 |
CN106101102B (zh) * | 2016-06-15 | 2019-07-26 | 华东师范大学 | 一种基于pam聚类算法的网络异常流量检测方法 |
CN106254321B (zh) * | 2016-07-26 | 2019-03-19 | 中国人民解放军防空兵学院 | 一种全网络异常数据流分类方法 |
CN106254321A (zh) * | 2016-07-26 | 2016-12-21 | 中国人民解放军防空兵学院 | 一种全网络异常数据流分类方法 |
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
CN107506783A (zh) * | 2017-07-07 | 2017-12-22 | 广东科学技术职业学院 | 一种复杂混合入侵检测算法 |
CN107659973A (zh) * | 2017-08-23 | 2018-02-02 | 南京邮电大学 | 基于密度改进K‑means算法的超密集网络分簇方法 |
CN107508816A (zh) * | 2017-08-31 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种攻击流量防护方法及装置 |
CN108520178A (zh) * | 2018-04-08 | 2018-09-11 | 长春理工大学 | 一种基于CFSFDP聚类的Android平台入侵检测方法 |
CN108520178B (zh) * | 2018-04-08 | 2020-06-16 | 长春理工大学 | 一种基于CFSFDP聚类的Android平台入侵检测方法 |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
CN109729090A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
CN109729090B (zh) * | 2019-01-03 | 2021-06-01 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
CN109670310A (zh) * | 2019-01-28 | 2019-04-23 | 杭州师范大学 | 一种基于半监督K-Means聚类算法的Android恶意软件检测方法 |
CN110135740A (zh) * | 2019-05-20 | 2019-08-16 | 济南大学 | 面向燃煤锅炉流程对象的实时知识发现方法及系统 |
CN110728526B (zh) * | 2019-08-19 | 2024-04-02 | 创新先进技术有限公司 | 地址识别方法、设备以及计算机可读介质 |
CN110728526A (zh) * | 2019-08-19 | 2020-01-24 | 阿里巴巴集团控股有限公司 | 地址识别方法、设备以及计算机可读介质 |
CN112448911A (zh) * | 2019-08-27 | 2021-03-05 | 四川大学 | 一种基于K-Means的正常Server IP白名单的挖掘方法 |
CN112448911B (zh) * | 2019-08-27 | 2022-02-11 | 四川大学 | 一种基于K-Means的正常Server IP白名单的挖掘方法 |
CN111178380A (zh) * | 2019-11-15 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 数据分类方法、装置及电子设备 |
CN111178380B (zh) * | 2019-11-15 | 2023-07-04 | 腾讯科技(深圳)有限公司 | 数据分类方法、装置及电子设备 |
CN113055333B (zh) * | 2019-12-26 | 2023-08-08 | 国网山西省电力公司信息通信分公司 | 可自适应动态调整密度网格的网络流量聚类方法和装置 |
CN113055333A (zh) * | 2019-12-26 | 2021-06-29 | 国网山西省电力公司信息通信分公司 | 可自适应动态调整密度网格的网络流量聚类方法和装置 |
CN111556440A (zh) * | 2020-05-07 | 2020-08-18 | 之江实验室 | 一种基于流量模式的网络异常检测方法 |
CN111651755B (zh) * | 2020-05-08 | 2023-04-18 | 中国联合网络通信集团有限公司 | 入侵检测方法和装置 |
CN111651755A (zh) * | 2020-05-08 | 2020-09-11 | 中国联合网络通信集团有限公司 | 入侵检测方法和装置 |
CN113807373B (zh) * | 2020-06-11 | 2024-02-02 | 中移(苏州)软件技术有限公司 | 一种流量识别方法及装置、设备、存储介质 |
CN113807373A (zh) * | 2020-06-11 | 2021-12-17 | 中移(苏州)软件技术有限公司 | 一种流量识别方法及装置、设备、存储介质 |
CN112070180B (zh) * | 2020-09-30 | 2024-01-19 | 南方电网科学研究院有限责任公司 | 基于信息物理双侧数据的电网设备状态判断方法及装置 |
CN112070180A (zh) * | 2020-09-30 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 基于信息物理双侧数据的电网设备状态判断方法及装置 |
CN112600792B (zh) * | 2020-11-23 | 2022-04-08 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN112600792A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN113762374A (zh) * | 2021-08-31 | 2021-12-07 | 南京宁正信息科技有限公司 | 一种基于改进密度峰值聚类的异常轨迹检测方法 |
CN113762374B (zh) * | 2021-08-31 | 2024-01-30 | 南京宁正信息科技有限公司 | 一种基于改进密度峰值聚类的异常轨迹检测方法 |
CN115102734A (zh) * | 2022-06-14 | 2022-09-23 | 北京网藤科技有限公司 | 一种基于数据流量的漏洞识别系统及其识别方法 |
CN115102734B (zh) * | 2022-06-14 | 2024-02-20 | 北京网藤科技有限公司 | 一种基于数据流量的漏洞识别系统及其识别方法 |
CN115186735A (zh) * | 2022-06-20 | 2022-10-14 | 成都飞机工业(集团)有限责任公司 | 一种数据阈值挖掘方法、装置、设备及介质 |
CN115186735B (zh) * | 2022-06-20 | 2024-02-23 | 成都飞机工业(集团)有限责任公司 | 一种数据阈值挖掘方法、装置、设备及介质 |
CN115883215A (zh) * | 2022-11-30 | 2023-03-31 | 广西电网有限责任公司 | 网络安全监控方法及基于该监控方法的防御系统 |
CN116599779B (zh) * | 2023-07-19 | 2023-10-27 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
CN116599779A (zh) * | 2023-07-19 | 2023-08-15 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
CN117240629B (zh) * | 2023-11-15 | 2024-02-06 | 北京兆维电子(集团)有限责任公司 | 一种基于网络安全入侵的预测方法及预测系统 |
CN117240629A (zh) * | 2023-11-15 | 2023-12-15 | 北京兆维电子(集团)有限责任公司 | 一种基于网络安全入侵的预测方法及预测系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105376255B (zh) | 2019-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105376255A (zh) | 一种基于K-means聚类的Android平台入侵检测方法 | |
Ektefa et al. | Intrusion detection using data mining techniques | |
EP2069993B1 (en) | Security system and method for detecting intrusion in a computerized system | |
Rahman et al. | Attacks classification in adaptive intrusion detection using decision tree | |
CN105208040A (zh) | 一种网络攻击检测方法及装置 | |
CN112788066B (zh) | 物联网设备的异常流量检测方法、系统及存储介质 | |
CN104811452A (zh) | 一种基于数据挖掘的自学习分级预警入侵检测系统 | |
CN103793650A (zh) | Android应用程序的静态分析方法及装置 | |
CN105117322B (zh) | 一种基于多源报警日志安全事件特征分析的去冗余方法 | |
CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN104967629A (zh) | 网络攻击检测方法及装置 | |
CN108471429A (zh) | 一种网络攻击告警方法及系统 | |
CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
CN103944887B (zh) | 基于隐条件随机场的入侵事件检测方法 | |
CN108322445A (zh) | 一种基于迁移学习和集成学习的网络入侵检测方法 | |
KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
CN109920192A (zh) | 火灾报警方法、系统及计算机可读存储介质 | |
CN112188531A (zh) | 异常检测方法、装置、电子设备及计算机存储介质 | |
CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
Öke et al. | A denial of service detector based on maximum likelihood detection and the random neural network | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
US20150205856A1 (en) | Dynamic brownian motion with density superposition for abnormality detection | |
Aminanto et al. | Another fuzzy anomaly detection system based on ant clustering algorithm | |
Feizollah et al. | Anomaly detection using cooperative fuzzy logic controller |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |