CN108156142A - 基于数据挖掘的网络入侵检测方法 - Google Patents
基于数据挖掘的网络入侵检测方法 Download PDFInfo
- Publication number
- CN108156142A CN108156142A CN201711339616.1A CN201711339616A CN108156142A CN 108156142 A CN108156142 A CN 108156142A CN 201711339616 A CN201711339616 A CN 201711339616A CN 108156142 A CN108156142 A CN 108156142A
- Authority
- CN
- China
- Prior art keywords
- network
- layer
- journal file
- intrusions
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
基于数据挖掘的网络入侵检测方法,涉及一种网络入侵检测方法。本发明为了解决现有的实时入侵检测存在的不能及时检测出特征发生变化的网络入侵行为进行的问题。本发明首先对已知的网络入侵类型进行分析,提取程序活动周期,获得已知的网络入侵类型对应的特征并训练网络入侵类型模型;模拟网络入侵,通过布置ELK日志分析平台的主机进行对所有日志文件进行监控;最后基于网络入侵类型模型进行实时进行网络入侵监控,同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据更新重点检测对象,完善网络入侵类型模型。本发明适用于网络入侵行为的检测。
Description
技术领域
本发明涉及一种网络入侵检测方法。
背景技术
入侵检测系统(IDS)为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。目前的入侵检测系统基本都是先对数据进行收集,对收集到的有关系统、网络、数据及用户活动的状态和行为等信息。
入侵检测分为两种,一种是实时的入侵检测,一种是事后分析检测。其中事后分析检测主要是对网络入侵类型进行全面的分析,分析出其对应的特征,从而完善网络入侵行为数据库。而实时检测主要是基于现有的网络入侵行为数据库中已知类型的网络入侵行为特征为参照,对实时发生的通信行为进行判断。由于实时检测行为必须依赖于现有的网络入侵行为数据库的中的已知类型的网络入侵行为,这就导致了其不能及时检测出特征发生变化的网络入侵行为进行。所以实时入侵检测的的检测能力还有待于进一步完善。
发明内容
本发明为了解决现有的实时入侵检测存在的不能及时检测出特征发生变化的网络入侵行为进行的问题。
基于数据挖掘的网络入侵检测方法,所述方法包括以下步骤:
步骤一、利用Bro的分析函数定义事件引擎和规则引擎对已知的网络入侵类型进行分析,提取程序活动周期,获得已知的网络入侵类型对应的特征;
将已知的网络入侵类型对应的特征作为神经网络模型的输入,将已知的网络入侵类型作为神经网络模型的标签,通过训练获得网络入侵类型模型;并对网络入侵类型模型进行验证,当网络入侵类型模型的分类准确率达到阈值后,作为建立好的网络入侵类型模型;
步骤二、利用不同已知类型的网络入侵检对象模拟网络入侵,同时通过布置ELK日志分析平台的主机进行对所有日志文件进行监控,并进行数据挖掘,获取在模拟网络入侵时发生异常的日志文件及对应日志文件中的异常数据;
基于ELK日志分析平台对发生发生异常的日志文件及对应日志文件中的异常数据作为重点监测对象;同时建立日志文件及日志文件中的异常数据对应的异常数据库;
步骤三、基于网络入侵类型模型,利用Bro的分析函数定义事件引擎和规则引擎进行实时进行网络入侵监控;同时对重点监测对象进行监控;
当进行网络入侵监控时,能够通过网络入侵类型模型确定对应网络入侵类型则发出报警信息,同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据,如果该日志文件及日志文件中的异常数据并没有在重点检测对象中,则将其加入重点检测对象中;
当进行网络入侵监控时不能通过网络入侵类型模型确定对应网络入侵类型,但是重点检测对象中对应的日志文件及日志文件中数据发生改变,则发出报警信息;并在用户确认的基础上,将发生改变的日志文件及日志文件中数据对应的网络通信作为已知网络入侵类型返回步骤一完善网络入侵类型模型;
当重点检测对象中对应的日志文件及日志文件中数据没有发生改变,但是除了重点检测对象中的日志文件及日志文件中数据以外的其他日志文件及日志文件中数据发生了变化,则发出提示信息,提示用户利用ELK日志分析平台对发生变化的日志文件及日志文件中数据进行分析,并进一步检查是否有网络入侵发生。
进一步地,步骤一所述的网络入侵类型i对应的特征为
其中,程序活动周期内接收到的IP报文总数;程序活动周期内接收到的IP报文总字节数;程序活动周期内报文载荷中非ASCII字节的数量;为程序活动周期内内源地址建立的TCP连接的数量;为程序活动周期内不同目的IP地址数量;为程序活动周期内不同谜底端口的数量;为程序活动周期内UDP报文数量;为程序活动周期内TCP报文数量;为程序活动周期内ICMP报文数量;为程序活动周期内SMTP报文数量;为程序活动周期内HTTP报文数量。
进一步地,步骤一所述的通过训练获得网络入侵类型模型的过程如下:
DBN网络模型底部由若干个RBM网络堆叠而成,即第一层为可视层,第二层至第六层为隐含层;顶层是分类层;
步骤1、初始化DBN网络的最大层数、每层节点数、最大迭代次数以及网络参数;
步骤2、将特征Ti送入DBN网络的第一层,然后依据RBM原理得到DBN网络第二层隐含层的初始状态;之后再得到第一层的重构状态以及第二层的重构状态,根据重构状态与初始状态数值之间的差异进行其权值阈值的更新,重复上述过程直至最大迭代次数,结束该层RBM训练,完成第一个RBM层训练,即得到DBN第二层隐含层的状态;
步骤3、将DBN网络的第二层作为可视层,第三层作为隐含层,形成第二个RBM网络,按照步骤2完成第二个RBM层的训练,即得到DBN第三层隐含层的状态;
步骤4、依次训练得到DBN网络的各隐含层,直至得到第六层隐含层的状态;
步骤5、进入有监督训练过程,将DBN网络的第六层输出作为顶层分类器的输入,顶层输出为类别标签,对应已知的网络入侵类型;
再根据当前分类标签使用反向传播算法训练顶层分类器,并对DBN网络的各层参数进行微调;
步骤6、达到最大迭代次数或者满足规定的误差值,模型训练结束,得到网络入侵类型模型。
进一步地,步骤5中所述的顶层分类器选用softmax分类器进行分类判定。
进一步地,所述的ELK日志分析平台在搭建的过程中添加一个消息队列到部署的Logstash中。
进一步地,所述的消息队列使用Redis。
本发明具有以下有益效果:
本发明能够基于已知的入侵行为的检测模型及时检测出已知入侵行为,针对于当前已知的入侵行为检测识别率可达到98%。
基于某种已知的网络入侵行为作出的变异入侵的行为会与变异前的入侵行为具有一定的相似性,如入侵的破坏形式或者命令入侵对象主机作出某种相应反应行为等。针对于这种能够引起相似相应的变异入侵,本发明也具有较好的入侵检测识别率,入侵检测识别率可达50%以上,在一定程度上加强了入侵行为的检测效果。尤其是针对于在线检测,本发明极大的提高了在线检测效果。
附图说明
图1是基于数据挖掘的网络入侵检测的流程示意图。
具体实施方式
具体实施方式一:
基于数据挖掘的网络入侵检测方法,如图1所示,所述方法包括以下步骤:
步骤一、利用Bro的分析函数定义事件引擎和规则引擎对已知的网络入侵类型进行分析,提取程序活动周期,获得已知的网络入侵类型对应的特征;
将已知的网络入侵类型对应的特征作为神经网络模型的输入,将已知的网络入侵类型作为神经网络模型的标签,通过训练获得网络入侵类型模型;
网络入侵类型模型不能够识别的内容为不可识别的入侵特征或非入侵的正常访问数据;由于一些入侵行为已经和已知的入侵行为的特征发生了变化,或者具有更强的伪装性,所以网络入侵类型模型有时不能有效识别特征经过变异的网络入侵类型;
并对网络入侵类型模型进行验证,当网络入侵类型模型的分类准确率达到阈值后,作为建立好的网络入侵类型模型;
步骤二、利用不同已知类型的网络入侵检对象模拟网络入侵,同时通过布置ELK日志分析平台的主机进行对所有日志文件进行监控,并进行数据挖掘,获取在模拟网络入侵时发生异常的日志文件及对应日志文件中的异常数据,此时可能对应多个日志文件发生异常,即一种网络入侵类型可能会导致多个日志文件发生异常;
ELK是一个红开源实时日志分析平台,由ElasticSearch、Logstash和Kiabana三个开源工具组成;
基于ELK日志分析平台对发生发生异常的日志文件及对应日志文件中的异常数据作为重点监测对象;同时建立日志文件及日志文件中的异常数据对应的异常数据库;
步骤三、基于网络入侵类型模型,利用Bro的分析函数定义事件引擎和规则引擎进行实时进行网络入侵监控;同时对重点监测对象进行监控;
当进行网络入侵监控时,能够通过网络入侵类型模型确定对应网络入侵类型则发出报警信息,此报警信息表示已经有已知类型的网络入侵类型正在入侵,同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据,如果该日志文件及日志文件中的异常数据并没有在重点检测对象中,则将其加入重点检测对象中;
当进行网络入侵监控时不能通过网络入侵类型模型确定对应网络入侵类型(即网络入侵类型模型没有已知类型的网络入侵反馈),但是重点检测对象中对应的日志文件及日志文件中数据发生改变,则发出报警信息;此报警信息表示极有可能是已知类型的网络入侵类型的变异类型正在入侵;由于网络入侵类型模型是通过已知类型的网络入侵对应的特征建立的,当这些特种的一部分或者全部发生改变(实际对应的网络入侵类型没有改变)却没有通过网络入侵类型模型得到对应的分类结果,但是只要是同一类的网络入侵,虽然其特征改变了,但是其目的和手段没有改变,对应修改入侵对象主机的内容或者通过命令让入侵对象主机做出某种反馈动作是相似的,体现在入侵对象主机上对应的日志文件及日志文件中数据发生了改变,只不过改变的数据的具体内容与已知的网络入侵类型有所不同;并在用户确认的基础上,将发生改变的日志文件及日志文件中数据对应的网络通信作为已知网络入侵类型返回步骤一完善网络入侵类型模型;
当重点检测对象中对应的日志文件及日志文件中数据没有发生改变,但是除了重点检测对象中的日志文件及日志文件中数据以外的其他日志文件及日志文件中数据发生了变化,则发出提示信息,提示用户利用ELK日志分析平台对发生变化的日志文件及日志文件中数据进行分析,并进一步检查是否有网络入侵发生。
具体实施方式二:
本实施方式步骤一所述的网络入侵类型i对应的特征为
其中,程序活动周期内接收到的IP报文总数;程序活动周期内接收到的IP报文总字节数;程序活动周期内报文载荷中非ASCII字节的数量;为程序活动周期内内源地址建立的TCP连接的数量;为程序活动周期内不同目的IP地址数量;为程序活动周期内不同谜底端口的数量;为程序活动周期内UDP报文数量;为程序活动周期内TCP报文数量;为程序活动周期内ICMP报文数量;为程序活动周期内SMTP报文数量;为程序活动周期内HTTP报文数量。
其他步骤和参数与具体实施方式一相同。
具体实施方式三:
本实施方式步骤一所述的通过训练获得网络入侵类型模型的过程如下:
DBN网络模型底部由若干个RBM网络堆叠而成,即第一层为可视层,第二层至第六层为隐含层;顶层是分类层;
步骤1、初始化DBN网络的最大层数、每层节点数、最大迭代次数以及网络参数;
步骤2、将特征Ti送入DBN网络的第一层,然后依据RBM原理得到DBN网络第二层隐含层的初始状态;之后再得到第一层的重构状态以及第二层的重构状态,根据重构状态与初始状态数值之间的差异进行其权值阈值的更新,重复上述过程直至最大迭代次数,结束该层RBM训练,完成第一个RBM层训练,即得到DBN第二层隐含层的状态;
步骤3、将DBN网络的第二层作为可视层,第三层作为隐含层,形成第二个RBM网络,按照步骤2完成第二个RBM层的训练,即得到DBN第三层隐含层的状态;
步骤4、依次训练得到DBN网络的各隐含层,直至得到第六层隐含层的状态;
步骤5、进入有监督训练过程,将DBN网络的第六层输出作为顶层分类器的输入,顶层输出为类别标签,对应已知的网络入侵类型;
再根据当前分类标签使用反向传播算法训练顶层分类器,并对DBN网络的各层参数进行微调;
步骤6、达到最大迭代次数或者满足规定的误差值,模型训练结束,得到网络入侵类型模型。
经过本发明六层DBN网络建立的网络入侵类型模型不仅能够很好的利用网络入侵类型对应的特征,保证网络入侵类型的准确性;而且还能够在保证较高的建模速率和较少的运算开销的同时保证具有较高的入侵行为识别率。
其他步骤和参数与具体实施方式二相同。
具体实施方式四:
本实施方式步骤5中所述的顶层分类器选用softmax分类器进行分类判定。
其他步骤和参数与具体实施方式三相同。
具体实施方式五:
本实施方式所述的ELK日志分析平台在搭建的过程中添加一个消息队列到部署的Logstash中。当Logstash的部署中添加了消息队列,Logstash的处理将分为两个阶段:第一阶段负责处理数据采集,并将存入消息队列;第二阶段从消息队列中获取数据,应用所配置的filter并将处理过的数据写入ElasticSearch中。这样对数据丢失也提供了一定的保护。
其他步骤和参数与具体实施方式一至四之一相同。
具体实施方式六:
本实施方式所述的消息队列使用Redis。Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库。在ELK日志分析平台搭建的过程中添加Redis到部署的Logstash中不仅仅能够极大的提升Logstash中数据的正确率和稳定性(这针对于网络入侵行为引起的日志和日志内容变化尤为重要),而且还能够提升ElasticSearch的快速、稳定、可靠。
其他步骤和参数与具体实施方式五相同。
Claims (6)
1.基于数据挖掘的网络入侵检测方法,其特征在于,所述方法包括以下步骤:
步骤一、利用Bro的分析函数定义事件引擎和规则引擎对已知的网络入侵类型进行分析,提取程序活动周期,获得已知的网络入侵类型对应的特征;
将已知的网络入侵类型对应的特征作为神经网络模型的输入,将已知的网络入侵类型作为神经网络模型的标签,通过训练获得网络入侵类型模型;
并对网络入侵类型模型进行验证,当网络入侵类型模型的分类准确率达到阈值后,作为建立好的网络入侵类型模型;
步骤二、利用不同已知类型的网络入侵检对象模拟网络入侵,同时通过布置ELK日志分析平台的主机进行对所有日志文件进行监控,并进行数据挖掘,获取在模拟网络入侵时发生异常的日志文件及对应日志文件中的异常数据;
基于ELK日志分析平台对发生发生异常的日志文件及对应日志文件中的异常数据作为重点监测对象;同时建立日志文件及日志文件中的异常数据对应的异常数据库;
步骤三、基于网络入侵类型模型,利用Bro的分析函数定义事件引擎和规则引擎进行实时进行网络入侵监控;同时对重点监测对象进行监控;
当进行网络入侵监控时,能够通过网络入侵类型模型确定对应网络入侵类型则发出报警信息,同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据,如果该日志文件及日志文件中的异常数据并没有在重点检测对象中,则将其加入重点检测对象中;
当进行网络入侵监控时不能通过网络入侵类型模型确定对应网络入侵类型,但是重点检测对象中对应的日志文件及日志文件中数据发生改变,则发出报警信息;并在用户确认的基础上,将发生改变的日志文件及日志文件中数据对应的网络通信作为已知网络入侵类型返回步骤一完善网络入侵类型模型;
当重点检测对象中对应的日志文件及日志文件中数据没有发生改变,但是除了重点检测对象中的日志文件及日志文件中数据以外的其他日志文件及日志文件中数据发生了变化,则发出提示信息,提示用户利用ELK日志分析平台对发生变化的日志文件及日志文件中数据进行分析,并进一步检查是否有网络入侵发生。
2.跟进权利要求1所述的基于数据挖掘的网络入侵检测方法,其特征在于,步骤一所述的网络入侵类型i对应的特征为
其中,程序活动周期内接收到的IP报文总数;程序活动周期内接收到的IP报文总字节数;程序活动周期内报文载荷中非ASCII字节的数量;为程序活动周期内内源地址建立的TCP连接的数量;为程序活动周期内不同目的IP地址数量;为程序活动周期内不同谜底端口的数量;为程序活动周期内UDP报文数量;为程序活动周期内TCP报文数量;为程序活动周期内ICMP报文数量;为程序活动周期内SMTP报文数量;为程序活动周期内HTTP报文数量。
3.跟进权利要求2所述的基于数据挖掘的网络入侵检测方法,其特征在于,步骤一所述的通过训练获得网络入侵类型模型的过程如下:
DBN网络模型底部由若干个RBM网络堆叠而成,即第一层为可视层,第二层至第六层为隐含层;顶层是分类层;
步骤1、初始化DBN网络的最大层数、每层节点数、最大迭代次数以及网络参数;
步骤2、将特征Ti送入DBN网络的第一层,然后依据RBM原理得到DBN网络第二层隐含层的初始状态;之后再得到第一层的重构状态以及第二层的重构状态,根据重构状态与初始状态数值之间的差异进行其权值阈值的更新,重复上述过程直至最大迭代次数,结束该层RBM训练,完成第一个RBM层训练,即得到DBN第二层隐含层的状态;
步骤3、将DBN网络的第二层作为可视层,第三层作为隐含层,形成第二个RBM网络,按照步骤2完成第二个RBM层的训练,即得到DBN第三层隐含层的状态;
步骤4、依次训练得到DBN网络的各隐含层,直至得到第六层隐含层的状态;
步骤5、进入有监督训练过程,将DBN网络的第六层输出作为顶层分类器的输入,顶层输出为类别标签,对应已知的网络入侵类型;
再根据当前分类标签使用反向传播算法训练顶层分类器,并对DBN网络的各层参数进行微调;
步骤6、达到最大迭代次数或者满足规定的误差值,模型训练结束,得到网络入侵类型模型。
4.根据权利要求3所述的基于数据挖掘的网络入侵检测方法,其特征在于,步骤5中所述的顶层分类器选用softmax分类器进行分类判定。
5.根据权利要求1至4所述的基于数据挖掘的网络入侵检测方法,其特征在于,所述的ELK日志分析平台在搭建的过程中添加一个消息队列到部署的Logstash中。
6.根据权利要求5所述的基于数据挖掘的网络入侵检测方法,其特征于,所述的消息队列使用Redis。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711339616.1A CN108156142A (zh) | 2017-12-14 | 2017-12-14 | 基于数据挖掘的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711339616.1A CN108156142A (zh) | 2017-12-14 | 2017-12-14 | 基于数据挖掘的网络入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108156142A true CN108156142A (zh) | 2018-06-12 |
Family
ID=62466090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711339616.1A Pending CN108156142A (zh) | 2017-12-14 | 2017-12-14 | 基于数据挖掘的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108156142A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109102143A (zh) * | 2018-06-19 | 2018-12-28 | 硕橙(厦门)科技有限公司 | 一种产量监测方法及装置 |
CN110012019A (zh) * | 2019-04-11 | 2019-07-12 | 鸿秦(北京)科技有限公司 | 一种基于对抗模型的网络入侵检测方法及装置 |
CN110245491A (zh) * | 2019-06-11 | 2019-09-17 | 合肥宜拾惠网络科技有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
CN111027053A (zh) * | 2019-10-28 | 2020-04-17 | 深圳市跨越新科技有限公司 | 一种Android应用程序具有防Activity劫持的检测方法和系统 |
CN111367762A (zh) * | 2020-02-28 | 2020-07-03 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001031421A1 (en) * | 1999-10-25 | 2001-05-03 | Visa International Service Association | Method and apparatus for training a neural network model for use in computer network intrusion detection |
CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
-
2017
- 2017-12-14 CN CN201711339616.1A patent/CN108156142A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001031421A1 (en) * | 1999-10-25 | 2001-05-03 | Visa International Service Association | Method and apparatus for training a neural network model for use in computer network intrusion detection |
CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
Non-Patent Citations (3)
Title |
---|
来犇: "基于网络行为分析的僵尸网络检测技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
王鲁华 等: "基于数据挖掘的网络入侵检测方法", 《信息安全研究》 * |
白雪: "基于DBN的网络流量分类的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109102143A (zh) * | 2018-06-19 | 2018-12-28 | 硕橙(厦门)科技有限公司 | 一种产量监测方法及装置 |
CN109102143B (zh) * | 2018-06-19 | 2020-08-07 | 硕橙(厦门)科技有限公司 | 一种产量监测方法及装置 |
CN110012019A (zh) * | 2019-04-11 | 2019-07-12 | 鸿秦(北京)科技有限公司 | 一种基于对抗模型的网络入侵检测方法及装置 |
CN110245491A (zh) * | 2019-06-11 | 2019-09-17 | 合肥宜拾惠网络科技有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
CN111027053A (zh) * | 2019-10-28 | 2020-04-17 | 深圳市跨越新科技有限公司 | 一种Android应用程序具有防Activity劫持的检测方法和系统 |
CN111367762A (zh) * | 2020-02-28 | 2020-07-03 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
CN111367762B (zh) * | 2020-02-28 | 2024-04-23 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108156142A (zh) | 基于数据挖掘的网络入侵检测方法 | |
CN108566364B (zh) | 一种基于神经网络的入侵检测方法 | |
CN107291911B (zh) | 一种异常检测方法和装置 | |
CN107154950B (zh) | 一种日志流异常检测的方法及系统 | |
CN110861987B (zh) | 一种电梯故障判断逻辑验证方法、系统及存储介质 | |
US20150039543A1 (en) | Feature Based Three Stage Neural Network Intrusion Detection | |
CN105809035B (zh) | 基于安卓应用实时行为的恶意软件检测方法和系统 | |
Pan et al. | Hybrid neural network and C4. 5 for misuse detection | |
CN101399672B (zh) | 一种多神经网络融合的入侵检测方法 | |
CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
US11444959B2 (en) | Integrated equipment fault and cyber attack detection arrangement | |
CN107682317B (zh) | 建立数据检测模型的方法、数据检测方法及设备 | |
CN109145030B (zh) | 一种异常数据访问的检测方法和装置 | |
CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
CN111177655B (zh) | 一种数据处理方法、装置及电子设备 | |
JP2021529376A (ja) | 動的グラフ分析 | |
CN103516563A (zh) | 一种用于监控命令是否异常的设备和方法 | |
CN108491717A (zh) | 一种基于机器学习的xss防御系统及其实现方法 | |
CN113687972A (zh) | 业务系统异常数据的处理方法、装置、设备及存储介质 | |
CN107609330B (zh) | 基于门禁日志挖掘的内部威胁异常行为分析方法 | |
CN115134159B (zh) | 一种安全告警分析优化方法 | |
CN114579962A (zh) | 一种ai安全攻防测试方法 | |
Mekala et al. | Forest Fire Probability Prediction based on Humidity and Temperature | |
CN110708296B (zh) | 一种基于长时间行为分析的vpn账号失陷智能检测模型 | |
Shakya et al. | Intrusion detection system using back propagation algorithm and compare its performance with self organizing map |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180612 |
|
WD01 | Invention patent application deemed withdrawn after publication |