CN108366048A - 一种基于无监督学习的网络入侵检测方法 - Google Patents
一种基于无监督学习的网络入侵检测方法 Download PDFInfo
- Publication number
- CN108366048A CN108366048A CN201810021778.9A CN201810021778A CN108366048A CN 108366048 A CN108366048 A CN 108366048A CN 201810021778 A CN201810021778 A CN 201810021778A CN 108366048 A CN108366048 A CN 108366048A
- Authority
- CN
- China
- Prior art keywords
- data
- tensor
- node
- father
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于无监督学习的网络入侵检测方法,其实现步骤为:将样本数据存放到张量中;通过对张量数据进行基于评价指标的局部搜索,找到评价指标最高的子张量;数据;将数据分成左右子节点,通过不断比较父节点和左右子节点评价指标值的数值关系,判断二叉树生长是否终止。将二叉树所有的左叶节点存放到可疑行为集合中并输出。本发明提高了对张量数据中的多密集块的检测的准确率和召回率,给出了评价可疑行为的指标,同时给出了二叉树生长终止条件的严格数学证明。本发明可以用于在稀疏背景下对密集块检测,即在数据源很少的情况下,对网络入侵进行检测。
Description
技术领域
本发明属于机器学习中无监督学习领域,涉及到一种对具有同步性行为数据的检测方法,具体的说是一种基于二叉树搜索和评价指标的张量数据中多密集块检测方法,可用于网络环境中对具有可疑行为用户的检测。
背景技术
计算机网络具有连接形式多样,会受到层出不穷的网络入侵威胁,而这些入侵网络的行为往往具有同步性。目前针对这样的同步性行为的检测是通过张量模型来处理的,而张量中的密集块往往代表着一群用户的同步行为,这些行为往往是可疑的。所以张量中的密集块检测被广泛用于无监督模式下的网络入侵检测。
现在主要有两种类型的方法能对张量中的密集块进行快速准确的检测。一种是基于张量分解的密集块挖掘,如HOSVD和CP分解。近年来研究者们对张量分解方法的不断改进,如就分布模型的方法;基于采样的方法等。然而基于张量分解的密集块挖掘方法存在着一下几个缺点:1)没考虑背景数据的性质;
2)在密度指标下不具有较高的延展性;3)不能提供合理的评价标准和边界说明。另一种是稠密子图的挖掘方法,主要有如下几个方面,如基于最大平均度来进行稠密子图的挖掘,基于数据流或者分布式的动态稠密子图的挖掘。但是这类方法存在着只具有二维的特性,实际网络的数据往往是高维度的,并不适用。
发明内容
本发明所要解决的技术问题是为了克服上述现有技术存在的技术缺陷而提供了一种基于评价指标的无监督学习的网络入侵检测方法,有效的解决了对网络用户行为的评分、在高维度数据中具有延展性以及充分考虑到张量中数据的稀疏性。
本发明为解决上述技术问题采用以下技术方案
一种基于无监督学习的网络入侵检测方法,具体包括以下步骤:
步骤1,获取历史网络数据并将其根据其维度扩展成张量数据D;
步骤2,提出一种同步性行为的评价指标来判定网络数据的可疑程度;
步骤3,将张量数据D插入到二叉树的父节点中,对张量数据D进行类贪心算法的搜索,找出其评价指标最高的数据块并将其定义为父节点的左子树,剩下的部分为父节点的右子树;
步骤4,分别计算左子树中的数据和右子树中的数据在初始数据中的评价指标的值,通过其数量关系来判断左右子树是否存在;
步骤5,如果在二叉树生长的过程中,根据步骤3中的判断标准,该节点不可分割且该节点是其父节点的左子树,则该节点中存放的数据是入侵数据,将其存入可疑数据集中;反之则是正常数据;
步骤6,通过不断进行步骤2和步骤3直到二叉树停止增长,即整个数据集已经分成了可疑的入侵数据和正常数据。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,网络入侵包括拒绝服务、远程机器未授权访问、未授权访问本地超级用户权限以及监视和其他探测。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,在步骤2中,评价指标具体计算如下:
其中,D是张量数据,B是张量数据D中的子张量,SD是张量数据D中所有连接次数的和,SB是张量B中所有连接次数的和,VD是张量数据D的体积,VB张量B的体积。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,在步骤3中,类贪心搜索算法,搜索评价指标最高的张量步骤如下:
步骤3.1,输入张量数据R,取随机种子其中Aj表示第j个标称属性,K表示张量的维度;
步骤3.2,初始化为空,遍历j=1....K,将Aj中的元素按照降序排列,保持中除j以外的元素添加到中,然后依次添加到并不断计算直到最大。其中表示在Aj中的第i个值,表示在Aj中第i个值下所有连接次数的和;
步骤3.3,不断重复步骤3.1和步骤3.2,直到评价指标收敛。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,在步骤4中,二叉树的生长条件判断如下:
将二叉树的父节点和左右子节点中的数据,在基于原背景张量的条件下,计算其评价指标的值分别为:
key父=ρ(B父,D),keyl=ρ(Bl,D)和keyR=ρ(BR,D)
其中,D表示张量数据,B父、Bl和BR分别表示父节点和左右子节点存储的张量,当key父≥keyl+keyR时,且该节点是其上一层节点的左子节点,则该节点存储的数据是完全可疑的数据;
如果该节点是其上一层节点的右子节点,则该节点存储的数据是完全非可疑数据;此时的两种情况都表示着该结点不可分割性,二叉树不可继续生长;
当key父<keyl+keyR时,该节点存储的数据是非完全可疑数据,该节点具有可分割性,则此时二叉树可继续生长。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
(1)对网络用户行为给出了一个具有跨纬度的通用评价指标,保证了用户行为在具有高同步性行为的时候,给出高评分;
(2)设计了一种易扩展性的类贪心算法,并结合的二叉树方法,给出具体二叉树的生长条件,使得算法能应付多形式、多维度的网络数据。
附图说明
图1是图1是本发明算法的流程图;
图2是本发明中评价指标在二维数据中的热度图;
图3是本发明将网络数据转换成张量模型形式存储示例图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
参照图1,本发明的具体实现步骤如下:
步骤1,获取历史网络数据并将其根据其维度扩展成张量数据Dori。
步骤2,初始化空张量R,并将Dori赋值给R,将其插入到二叉树中,计算其评价指标的值,并将其赋值给key。
(2a)计算评价指标:
其中,D是张量数据,B是张量数据D中的子张量,SD是张量D中所有连接次数的和,SB是张量B中所有连接次数的和,VD是张量数据D的体积,VB张量B的体积。图2展示了评价指标的可行性。
步骤3,将张量R进行步骤6,步骤7,得到二叉树的左节点Bl和右节点Br,键值为keyl=ρ(Bl,D)和keyR=ρ(BR,D)。
步骤4,如果key父<keyl+keyR,则R-Bl,继续步骤3,然后R=BR,继续步骤3。如果key父≥keyl+keyR,则保存张量R到dense_blocks列表中。
步骤5,全部查找结束,返回dense_blocks。
步骤6,输入张量数据R,取随机种子其中Aj表示第j个标称属性,K表示张量的维度。
步骤7,初始化为空,遍历j=1....K,将Aj中的元素按照降序排列,保持中除j以外的元素添加到中,然后依次添加到并不断计算直到最大。其中表示在Aj中的第i个值,表示在Aj中第i个值下所有连接次数的和。
本发明的二叉树生长条件通过以下数学方式证明:
1)如果父节点存储的数据是完全异常或者完全非异常,即而该节点不可分割,那么key父≥keyl+keyR。
情况1:假设父节点存储的数据是完全异常,则λ父≈λl≈λR≈λ,而且是采用切割的方法,则V父>Vl+VR因为所以根据评价指标的计算公式得到:
化简得:e=(λ父lnλ父-λ父lnλ-λ父+λ)(Vl+VR-V根),因为Vl+VR-V父<0,所以要证e<0,只要证λ父lnλ父-λ父lnλ-λ父+λ>0,将其整理可得:
由于λ父>>λ,则所以e>0。
情况2:如果父节点存储的数据是完全非可疑数据,则λ父≈λl≈λR≈λ,所以e≈0。
综上情况1和情况2可以得到e=key父-(keyL+keyR)≥0,即key父≥keyl+keyR。
2)如果父节点存储的数据有部分可疑数据,即该节点可以分割,则key父<keyl+keyR。
因为将网络数据转换成张量模型中的数据,这样的张量具有稀疏性,所以有sl+sR-s父≈λ(Vl+VR-V父)≈0。对于包含非可疑数据的张量,必然存在λl>λ父,且λR>λ父,所以可以得到:即key父<keyl+keyR。
本发明的效果可以通过以下仿真实验说明:
一、实验数据简介
本部分实验采用了Lawrence Berkeley National Lab提供的公开网络包LBNL数据集和KDD Cup1999中的实际网络数据AirForce。其中LBNL数据包有时间、源IP、目标IP和端口号4个属性,AirForce数据包中有大量的网络入侵数据和正常的网络连接数据,其中异常的连接数据约占80%,正常的连接数据约占20%。KDD数据中的异常连接主要有4种:
(a)DOS:拒绝服务,例如syn flood;
(b)R2L:远程机器的未授权访问,例如猜测密码;
(c)U2R:未授权访问本地超级用户权限:例如各种“缓冲区溢出”攻击;
(d)Probing:监视和其他探测,例如端口扫描;
二、对LBNL和AirForce数据的入侵检测实验
(1)LBNL数据的预处理
每个网络连接向量都是两个IP地址在某个时间点的网络信息包,里面包含的脱敏后的数据,
例如:a)1861251170 9861表示在源ip为125向目标ip为1170,端口号为986在时间为186发起连接一次。
为了使这些连接向量适用于本发明,将这些数据存放到一个4维张量中去,张量中的数字即为连接次数,图3展示了如何将数据存放到张量中的示例。
(2)AirForce数据的预处理
每个网络的连接向量都是某两个IP地址在某个时间段内网络数据包传递的一个连接信息,一条完整的信息包含着3个符号信息、38个连续的数字和一个结束标记,这个结束标记记录了该连接的行为类型,例如:
a)0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,507,507,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,255,1.00,0.00,1.00,0.00,0.00,0.00,0.00,0.00,smurf,它们表示一个HTTP服务是smurf攻击的连接向量。
b)0,tcp,ftp_data,SF,16115,0,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,12,12,0.00,0.00,0.00,0.00,1.00,0.00,0.00,55,50,0.33,0.05,0.33,0.04,0.00,0.00,0.00,0.00,normal,它们表示一个HTTP服务是正常访问的连接向量。
为了使这些数据适用于本发明,必须预处理这些数据。首先去掉数据中的结束标志,即数据的行为类型;其次选取其中的七个维度,分别是:protocol、service、src bytes、dst bytes、flag、court、srv count;然后统计具有相同连接向量的个数,即为连接次数;最后将处理好的数据放到7维的张量中去,连接次数即为张量里的数据。
(3)实验运行环境及实验结果
在windows32位操作系统下,采用R语言编程实现基于无监督学习的网络入侵检测实验,验证了算法的可行性以及易扩展性。在LBNL和AirForce数据的入侵检测实验中,首先将预处理后的数据作为算法的输入,将其中的具有可疑行为的数据检测出来,得出对于入侵检测的准确率和召回率。
实验中用本发明方法DDB-BST和现有的密集块检测算法Mzoom和CrossSpot对LBNL和AirForce数据进行入侵检测,表1展示了在LBNL和AirForce数据集中分别在DDB-BST下对其可疑行为的检测情况,表2展示了这三种算法在两个数据集中对于可疑行为检测的召回率、准确率以及F1值得结果。表一:DDB-BST算法检测网络入侵结果。表二:DDB-BST算法在LBNL和Airforce数据集下同M-zoom和CrossSpot的比较。
表一
表二
(4)实验仿真结果分析
表1展示了在真实数据集中DDB-BST算法对于网络攻击检测的结果,可以发现异常集合通常是由多种网络攻击组成的,而在标称属性组成的高维张量数据中,发包数量或者是连接次数组成的密集部分的正是异常部分。
表2展示了在LBNL和AirForce数据集中,DDB-BST算法对其检测性能评价以及同M-zoom和CrossSpot的比较,从表中可以看出DDB-DST算法比M-zoom算法F1值提高了20%,比CrossSpot算法F1值提高了40%,主要是因为上述所示的两种方法只是找到评价指标最高的张量数据集,但评价指标最高并不能保证数据集中全是异常数据,而DDB-BST算法还要对这样的数据集进一步的判别来保证检测出的数据集中不含有异常数据。
Claims (5)
1.一种基于无监督学习的网络入侵检测方法,其特征在于,具体包括以下步骤:
步骤1,获取历史网络数据并将其根据其维度扩展成张量数据D;
步骤2,提出一种同步性行为的评价指标来判定网络数据的可疑程度;
步骤3,将张量数据D插入到二叉树的父节点中,对张量数据D进行类贪心算法的搜索,找出其评价指标最高的数据块并将其定义为父节点的左子树,剩下的部分为父节点的右子树;
步骤4,分别计算左子树中的数据和右子树中的数据在初始数据中的评价指标的值,通过其数量关系来判断左右子树是否存在;
步骤5,如果在二叉树生长的过程中,根据步骤3中的判断标准,该节点不可分割且该节点是其父节点的左子树,则该节点中存放的数据是入侵数据,将其存入可疑数据集中;反之则是正常数据;
步骤6,通过不断进行步骤2和步骤3直到二叉树停止增长,即整个数据集已经分成了可疑的入侵数据和正常数据。
2.根据权利要求1所述的基于无监督学习的网络入侵检测方法,其特征在于,网络入侵包括拒绝服务、远程机器未授权访问、未授权访问本地超级用户权限以及监视和其他探测。
3.根据权利要求1所述的基于无监督学习的网络入侵检测方法,其特征在于,在步骤2中,评价指标具体计算如下:
其中,D是张量数据,B是张量数据D中的子张量,SD是张量数据D中所有连接次数的和,SB是张量B中所有连接次数的和,VD是张量数据D的体积,VB张量B的体积。
4.根据权利要求1所述的基于评价指标的无监督学习的网络入侵检测方法,其特征在于,在步骤3中,类贪心搜索算法,搜索评价指标最高的张量步骤如下:
步骤3.1,输入张量数据R,取随机种子其中Aj表示第j个标称属性,K表示张量的维度;
步骤3.2,初始化为空,遍历j=1....K,将Aj中的元素按照降序排列,保持中除j以外的元素添加到中,然后依次添加到并不断计算直到最大。其中表示在Aj中的第i个值,表示在Aj中第i个值下所有连接次数的和;
步骤3.3,不断重复步骤3.1和步骤3.2,直到评价指标收敛。
5.根据权利要求1所述的基于评无监督学习的网络入侵检测方法,其特征在于,在步骤4中,二叉树的生长条件判断如下:
将二叉树的父节点和左右子节点中的数据,在基于原背景张量的条件下,计算其评价指标的值分别为:
key父=ρ(B父,D),keyl=ρ(Bl,D)和keyR=ρ(BR,D)
其中,D表示张量数据,B父、Bl和BR分别表示父节点和左右子节点存储的张量,当key父≥keyl+keyR时,且该节点是其上一层节点的左子节点,则该节点存储的数据是完全可疑的数据;
如果该节点是其上一层节点的右子节点,则该节点存储的数据是完全非可疑数据;此时的两种情况都表示着该结点不可分割性,二叉树不可继续生长;
当key父<keyl+keyR时,该节点存储的数据是非完全可疑数据,该节点具有可分割性,则此时二叉树可继续生长。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810021778.9A CN108366048B (zh) | 2018-01-10 | 2018-01-10 | 一种基于无监督学习的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810021778.9A CN108366048B (zh) | 2018-01-10 | 2018-01-10 | 一种基于无监督学习的网络入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108366048A true CN108366048A (zh) | 2018-08-03 |
CN108366048B CN108366048B (zh) | 2021-01-12 |
Family
ID=63011305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810021778.9A Active CN108366048B (zh) | 2018-01-10 | 2018-01-10 | 一种基于无监督学习的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108366048B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109448707A (zh) * | 2018-12-18 | 2019-03-08 | 北京嘉楠捷思信息技术有限公司 | 一种语音识别方法及装置、设备、介质 |
CN114285601A (zh) * | 2021-11-24 | 2022-04-05 | 南京信息职业技术学院 | 一种大数据的多密集块检测与提取方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101794515A (zh) * | 2010-03-29 | 2010-08-04 | 河海大学 | 基于协方差和二叉树支持向量机的目标检测系统及方法 |
CN103886375A (zh) * | 2014-04-17 | 2014-06-25 | 张黎明 | 一种基于二叉空间分割树的资源调度优化方法 |
CN105262712A (zh) * | 2014-05-27 | 2016-01-20 | 腾讯科技(深圳)有限公司 | 网络入侵检测方法及装置 |
CN107281755A (zh) * | 2017-07-14 | 2017-10-24 | 网易(杭州)网络有限公司 | 检测模型的构建方法、装置、储存介质、处理器和终端 |
CN107426207A (zh) * | 2017-07-21 | 2017-12-01 | 哈尔滨工程大学 | 一种基于SA‑iForest的网络入侵异常检测方法 |
-
2018
- 2018-01-10 CN CN201810021778.9A patent/CN108366048B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101794515A (zh) * | 2010-03-29 | 2010-08-04 | 河海大学 | 基于协方差和二叉树支持向量机的目标检测系统及方法 |
CN103886375A (zh) * | 2014-04-17 | 2014-06-25 | 张黎明 | 一种基于二叉空间分割树的资源调度优化方法 |
CN105262712A (zh) * | 2014-05-27 | 2016-01-20 | 腾讯科技(深圳)有限公司 | 网络入侵检测方法及装置 |
CN107281755A (zh) * | 2017-07-14 | 2017-10-24 | 网易(杭州)网络有限公司 | 检测模型的构建方法、装置、储存介质、处理器和终端 |
CN107426207A (zh) * | 2017-07-21 | 2017-12-01 | 哈尔滨工程大学 | 一种基于SA‑iForest的网络入侵异常检测方法 |
Non-Patent Citations (1)
Title |
---|
LINWANG YUAN,ET AL: "A Hierarchical Tensor-Based Approach to Compressing,Updating and Querying Geospatial Data", 《IEEE TRANSACTIONS ON KNOWLEDGE AND DATA ENGINEERING》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109448707A (zh) * | 2018-12-18 | 2019-03-08 | 北京嘉楠捷思信息技术有限公司 | 一种语音识别方法及装置、设备、介质 |
CN114285601A (zh) * | 2021-11-24 | 2022-04-05 | 南京信息职业技术学院 | 一种大数据的多密集块检测与提取方法 |
CN114285601B (zh) * | 2021-11-24 | 2023-02-14 | 南京信息职业技术学院 | 一种大数据的多密集块检测与提取方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108366048B (zh) | 2021-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
CN108076040B (zh) | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 | |
CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
Lee et al. | Effective value of decision tree with KDD 99 intrusion detection datasets for intrusion detection system | |
CN107517216B (zh) | 一种网络安全事件关联方法 | |
US8799189B2 (en) | Multiple hypothesis tracking | |
So-In et al. | An evaluation of data mining classification models for network intrusion detection | |
US8515881B2 (en) | Multiple hypothesis tracking | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
CN113821793B (zh) | 基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
CN112434298A (zh) | 一种基于自编码器集成的网络威胁检测系统 | |
CN106060039A (zh) | 一种面向网络异常数据流的分类检测方法 | |
CN108366048A (zh) | 一种基于无监督学习的网络入侵检测方法 | |
CN114401136A (zh) | 一种针对多个属性网络的快速异常检测方法 | |
Ghalehgolabi et al. | Intrusion detection system using genetic algorithm and data mining techniques based on the reduction | |
CN111835681A (zh) | 一种大规模流量异常主机检测方法和装置 | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
CN114679327B (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
CN109842555B (zh) | 基于匿名的网络最短路径隐私保护方法 | |
Hammerschmidt et al. | Efficient learning of communication profiles from ip flow records | |
Sun et al. | Deep learning-based anomaly detection in LAN from raw network traffic measurement | |
Yang et al. | Alerts analysis and visualization in network-based intrusion detection systems | |
Lui et al. | Agent-based network intrusion detection system using data mining approaches | |
Wang et al. | Ensemble classifier for traffic in presence of changing distributions | |
Dalmaz et al. | Machine Learning Approaches in Detecting Network Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 210003, 66 new model street, Gulou District, Jiangsu, Nanjing Applicant after: NANJING University OF POSTS AND TELECOMMUNICATIONS Address before: 210023 9 Wen Yuan Road, Qixia District, Nanjing, Jiangsu. Applicant before: NANJING University OF POSTS AND TELECOMMUNICATIONS |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |