CN108366048B - 一种基于无监督学习的网络入侵检测方法 - Google Patents

一种基于无监督学习的网络入侵检测方法 Download PDF

Info

Publication number
CN108366048B
CN108366048B CN201810021778.9A CN201810021778A CN108366048B CN 108366048 B CN108366048 B CN 108366048B CN 201810021778 A CN201810021778 A CN 201810021778A CN 108366048 B CN108366048 B CN 108366048B
Authority
CN
China
Prior art keywords
data
tensor
node
father
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810021778.9A
Other languages
English (en)
Other versions
CN108366048A (zh
Inventor
程艳云
范卫俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN201810021778.9A priority Critical patent/CN108366048B/zh
Publication of CN108366048A publication Critical patent/CN108366048A/zh
Application granted granted Critical
Publication of CN108366048B publication Critical patent/CN108366048B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于无监督学习的网络入侵检测方法,其实现步骤为:将样本数据存放到张量中;通过对张量数据进行基于评价指标的局部搜索,找到评价指标最高的子张量;数据;将数据分成左右子节点,通过不断比较父节点和左右子节点评价指标值的数值关系,判断二叉树生长是否终止。将二叉树所有的左叶节点存放到可疑行为集合中并输出。本发明提高了对张量数据中的多密集块的检测的准确率和召回率,给出了评价可疑行为的指标,同时给出了二叉树生长终止条件的严格数学证明。本发明可以用于在稀疏背景下对密集块检测,即在数据源很少的情况下,对网络入侵进行检测。

Description

一种基于无监督学习的网络入侵检测方法
技术领域
本发明属于机器学习中无监督学习领域,涉及到一种对具有同步性行为数据的检测方法,具体的说是一种基于二叉树搜索和评价指标的张量数据中多密集块检测方法,可用于网络环境中对具有可疑行为用户的检测。
背景技术
计算机网络具有连接形式多样,会受到层出不穷的网络入侵威胁,而这些入侵网络的行为往往具有同步性。目前针对这样的同步性行为的检测是通过张量模型来处理的,而张量中的密集块往往代表着一群用户的同步行为,这些行为往往是可疑的。所以张量中的密集块检测被广泛用于无监督模式下的网络入侵检测。
现在主要有两种类型的方法能对张量中的密集块进行快速准确的检测。一种是基于张量分解的密集块挖掘,如HOSVD和CP分解。近年来研究者们对张量分解方法的不断改进,如就分布模型的方法;基于采样的方法等。然而基于张量分解的密集块挖掘方法存在着一下几个缺点:1)没考虑背景数据的性质;
2)在密度指标下不具有较高的延展性;3)不能提供合理的评价标准和边界说明。另一种是稠密子图的挖掘方法,主要有如下几个方面,如基于最大平均度来进行稠密子图的挖掘,基于数据流或者分布式的动态稠密子图的挖掘。但是这类方法存在着只具有二维的特性,实际网络的数据往往是高维度的,并不适用。
发明内容
本发明所要解决的技术问题是为了克服上述现有技术存在的技术缺陷而提供了一种基于评价指标的无监督学习的网络入侵检测方法,有效的解决了对网络用户行为的评分、在高维度数据中具有延展性以及充分考虑到张量中数据的稀疏性。
本发明为解决上述技术问题采用以下技术方案
一种基于无监督学习的网络入侵检测方法,具体包括以下步骤:
步骤1,获取历史网络数据并将其根据其维度扩展成张量数据D;
步骤2,提出一种同步性行为的评价指标来判定网络数据的可疑程度;
步骤3,将张量数据D插入到二叉树的父节点中,对张量数据D进行类贪心算法的搜索,找出其评价指标最高的数据块并将其定义为父节点的左子树,剩下的部分为父节点的右子树;
步骤4,分别计算左子树中的数据和右子树中的数据在初始数据中的评价指标的值,通过其数量关系来判断左右子树是否存在;
步骤5,如果在二叉树生长的过程中,根据步骤3中的判断标准,该节点不可分割且该节点是其父节点的左子树,则该节点中存放的数据是入侵数据,将其存入可疑数据集中;反之则是正常数据;
步骤6,通过不断进行步骤3、步骤4、步骤5直到二叉树停止增长,即整个数据集已经分成了可疑的入侵数据和正常数据。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,网络入侵包括拒绝服务、远程机器未授权访问、未授权访问本地超级用户权限以及监视和其他探测。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,在步骤2中,评价指标具体计算如下:
Figure GDA0002818278000000021
其中,D是张量数据,B是张量数据D中的子张量,SD是张量数据D中所有连接次数的和,SB是张量B中所有连接次数的和,VD是张量数据D的体积,VB张量B的体积。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,在步骤3中,类贪心搜索算法,搜索评价指标最高的张量步骤如下:
步骤3.1,输入张量数据D,取随机种子
Figure GDA0002818278000000022
其中Aj表示第j个标称属性,K表示张量的维度;
步骤3.2,初始化
Figure GDA0002818278000000023
为空,遍历j=1....K,将Aj中的元素
Figure GDA0002818278000000024
按照
Figure GDA0002818278000000025
降序排列,保持
Figure GDA0002818278000000026
中除j以外的元素添加到
Figure GDA0002818278000000027
中,然后依次添加
Figure GDA0002818278000000028
Figure GDA0002818278000000029
并不断计算
Figure GDA00028182780000000210
直到最大。其中
Figure GDA00028182780000000211
表示在Aj中的第i个值,
Figure GDA00028182780000000212
表示在Aj中第i个值下所有连接次数的和;
步骤3.3,不断重复步骤3.1和步骤3.2,直到评价指标收敛。
作为本发明一种基于无监督学习的网络入侵检测方法的进一步优选方案,在步骤4中,二叉树的生长条件判断如下:
将二叉树的父节点和左右子节点中的数据,在基于原背景张量的条件下,计算其评价指标的值分别为:
key=ρ(B,D),keyl=ρ(Bl,D)和keyR=ρ(BR,D)
其中,D表示张量数据,B、Bl和BR分别表示父节点和左右子节点存储的张量,当key≥keyl+keyR时,且该节点是其上一层节点的左子节点,则该节点存储的数据是完全可疑的数据;
如果该节点是其上一层节点的右子节点,则该节点存储的数据是完全非可疑数据;此时的两种情况都表示着该结点不可分割性,二叉树不可继续生长;
当key<keyl+keyR时,该节点存储的数据是非完全可疑数据,该节点具有可分割性,则此时二叉树可继续生长。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
(1)对网络用户行为给出了一个具有跨纬度的通用评价指标,保证了用户行为在具有高同步性行为的时候,给出高评分;
(2)设计了一种易扩展性的类贪心算法,并结合的二叉树方法,给出具体二叉树的生长条件,使得算法能应付多形式、多维度的网络数据。
附图说明
图1是本发明算法的流程图;
图2是本发明中评价指标在二维数据中的热度图;
图3是本发明将网络数据转换成张量模型形式存储示例图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
参照图1,本发明的具体实现步骤如下:
步骤1,获取历史网络数据并将其根据其维度扩展成张量数据Dori
步骤2,初始化空张量R,并将Dori赋值给R,将其插入到二叉树中,计算其评价指标的值,并将其赋值给key。
(2a)计算评价指标:
Figure GDA0002818278000000031
其中,D是张量数据,B是张量数据D中的子张量,SD是张量D中所有连接次数的和,SB是张量B中所有连接次数的和,VD是张量数据D的体积,VB张量B的体积。图2展示了评价指标的可行性。
步骤3,将张量R进行步骤6,步骤7,得到二叉树的左节点Bl和右节点Br,键值为keyl=ρ(Bl,D)和keyR=ρ(BR,D)。
步骤4,如果key<keyl+keyR,则R-Bl,继续步骤3,然后R=BR,继续步骤3。如果key≥keyl+keyR,则保存张量R到dense_blocks列表中。
步骤5,全部查找结束,返回dense_blocks。
步骤6,输入张量数据R,取随机种子
Figure GDA0002818278000000041
其中Aj表示第j个标称属性,K表示张量的维度。
步骤7,初始化
Figure GDA0002818278000000042
为空,遍历j=1....K,将Aj中的元素
Figure GDA0002818278000000043
按照
Figure GDA0002818278000000044
降序排列,保持
Figure GDA0002818278000000045
中除j以外的元素添加到
Figure GDA0002818278000000046
中,然后依次添加
Figure GDA0002818278000000047
Figure GDA0002818278000000048
并不断计算
Figure GDA0002818278000000049
直到最大。其中
Figure GDA00028182780000000410
表示在Aj中的第i个值,
Figure GDA00028182780000000411
表示在Aj中第i个值下所有连接次数的和。
本发明的二叉树生长条件通过以下数学方式证明:
1)如果父节点存储的数据是完全异常或者完全非异常,即而该节点不可分割,那么key≥keyl+keyR
情况1:假设父节点存储的数据是完全异常,则λ≈λl≈λR≈λ,而且是采用切割的方法,则V>Vl+VR因为
Figure GDA00028182780000000412
所以根据评价指标的计算公式得到:
Figure GDA00028182780000000413
化简得:e=(λlnλlnλ-λ+λ)(Vl+VR-V),因为Vl+VR-V<0,所以要证e<0,只要证λlnλlnλ-λ+λ>0,将其整理可得:
Figure GDA00028182780000000414
由于λ>>λ,则
Figure GDA00028182780000000415
所以e>0。
情况2:如果父节点存储的数据是完全非可疑数据,则λ≈λl≈λR≈λ,所以e≈0。
综上情况1和情况2可以得到e=key-(keyL+keyR)≥0,即key≥keyl+keyR
2)如果父节点存储的数据有部分可疑数据,即该节点可以分割,则key<keyl+keyR
Figure GDA0002818278000000051
因为将网络数据转换成张量模型中的数据,这样的张量具有稀疏性,所以有sl+sR-s≈λ(Vl+VR-V)≈0。对于包含非可疑数据的张量,必然存在λl>λ,且λR>λ,所以可以得到:
Figure GDA0002818278000000052
即key<keyl+keyR
本发明的效果可以通过以下仿真实验说明:
一、实验数据简介
本部分实验采用了Lawrence Berkeley National Lab提供的公开网络包LBNL数据集和KDD Cup1999中的实际网络数据AirForce。其中LBNL数据包有时间、源IP、目标IP和端口号4个属性,AirForce数据包中有大量的网络入侵数据和正常的网络连接数据,其中异常的连接数据约占80%,正常的连接数据约占20%。KDD数据中的异常连接主要有4种:
(a)DOS:拒绝服务,例如syn flood;
(b)R2L:远程机器的未授权访问,例如猜测密码;
(c)U2R:未授权访问本地超级用户权限:例如各种“缓冲区溢出”攻击;
(d)Probing:监视和其他探测,例如端口扫描;
二、对LBNL和AirForce数据的入侵检测实验
(1)LBNL数据的预处理
每个网络连接向量都是两个IP地址在某个时间点的网络信息包,里面包含的脱敏后的数据,
例如:a)186 125 1170 986 1表示在源ip为125向目标ip为1170,端口号为986在时间为186发起连接一次。
为了使这些连接向量适用于本发明,将这些数据存放到一个4维张量中去,张量中的数字即为连接次数,图3展示了如何将数据存放到张量中的示例。
(2)AirForce数据的预处理
每个网络的连接向量都是某两个IP地址在某个时间段内网络数据包传递的一个连接信息,一条完整的信息包含着3个符号信息、38个连续的数字和一个结束标记,这个结束标记记录了该连接的行为类型,例如:
a)0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,507,507,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,255,1.00,0.00,1.00,0.00,0.00,0.00,0.00,0.00,smurf,它们表示一个HTTP服务是smurf攻击的连接向量。
b)0,tcp,ftp_data,SF,16115,0,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,12,12,0.00,0.00,0.00,0.00,1.00,0.00,0.00,55,50,0.33,0.05,0.33,0.04,0.00,0.00,0.00,0.00,normal,它们表示一个HTTP服务是正常访问的连接向量。
为了使这些数据适用于本发明,必须预处理这些数据。首先去掉数据中的结束标志,即数据的行为类型;其次选取其中的七个维度,分别是:protocol、service、src bytes、dst bytes、flag、court、srv count;然后统计具有相同连接向量的个数,即为连接次数;最后将处理好的数据放到7维的张量中去,连接次数即为张量里的数据。
(3)实验运行环境及实验结果
在windows32位操作系统下,采用R语言编程实现基于无监督学习的网络入侵检测实验,验证了算法的可行性以及易扩展性。在LBNL和AirForce数据的入侵检测实验中,首先将预处理后的数据作为算法的输入,将其中的具有可疑行为的数据检测出来,得出对于入侵检测的准确率和召回率。
实验中用本发明方法DDB-BST和现有的密集块检测算法Mzoom和CrossSpot对LBNL和AirForce数据进行入侵检测,表1展示了在LBNL和AirForce数据集中分别在DDB-BST下对其可疑行为的检测情况,表2展示了这三种算法在两个数据集中对于可疑行为检测的召回率、准确率以及F1值得结果。表一:DDB-BST算法检测网络入侵结果。表二:DDB-BST算法在LBNL和Airforce数据集下同M-zoom和CrossSpot的比较。
表一
Figure GDA0002818278000000061
表二
Figure GDA0002818278000000071
(4)实验仿真结果分析
表1展示了在真实数据集中DDB-BST算法对于网络攻击检测的结果,可以发现异常集合通常是由多种网络攻击组成的,而在标称属性组成的高维张量数据中,发包数量或者是连接次数组成的密集部分的正是异常部分。
表2展示了在LBNL和AirForce数据集中,DDB-BST算法对其检测性能评价以及同M-zoom和CrossSpot的比较,从表中可以看出DDB-DST算法比M-zoom算法F1值提高了20%,比CrossSpot算法F1值提高了40%,主要是因为上述所示的两种方法只是找到评价指标最高的张量数据集,但评价指标最高并不能保证数据集中全是异常数据,而DDB-BST算法还要对这样的数据集进一步的判别来保证检测出的数据集中不含有异常数据。

Claims (2)

1.一种基于无监督学习的网络入侵检测方法,其特征在于,具体包括以下步骤:
步骤1,获取历史网络数据并将其根据其维度扩展成张量数据D;
步骤2,提出一种同步性行为的评价指标来判定网络数据的可疑程度;
步骤3,将张量数据D插入到二叉树的父节点中,对张量数据D进行类贪心算法的搜索,找出其评价指标最高的数据块并将其定义为父节点的左子树,剩下的部分为父节点的右子树;
步骤4,分别计算左子树中的数据和右子树中的数据在初始数据中的评价指标的值,通过其数量关系来判断左右子树是否存在;
步骤5,如果在二叉树生长的过程中,根据步骤3中的判断标准,该节点不可分割且该节点是其父节点的左子树,则该节点中存放的数据是入侵数据,将其存入可疑数据集中;反之则是正常数据;
步骤6,通过不断进行步骤3、步骤4、步骤5直到二叉树停止增长,即整个数据集已经分成了可疑的入侵数据和正常数据;
在步骤2中,评价指标具体计算如下:
Figure FDA0002772100520000011
其中,D是张量数据,B是张量数据D中的子张量,SD是张量数据D中所有连接次数的和,SB是张量B中所有连接次数的和,VD是张量数据D的体积,VB张量B的体积;
在步骤3中,类贪心搜索算法,搜索评价指标最高的张量步骤如下:
步骤3.1,输入张量数据D,取随机种子
Figure FDA0002772100520000012
其中Aj表示第j个标称属性,K表示张量的维度;
步骤3.2,初始化
Figure FDA0002772100520000013
为空,遍历j=1....K,将Aj中的元素
Figure FDA0002772100520000014
按照
Figure FDA0002772100520000015
降序排列,保持
Figure FDA0002772100520000016
中除j以外的元素添加到
Figure FDA0002772100520000017
中,然后依次添加
Figure FDA0002772100520000018
Figure FDA0002772100520000019
并不断计算
Figure FDA00027721005200000110
直到最大;其中
Figure FDA00027721005200000111
表示在Aj中的第i个值,
Figure FDA00027721005200000112
表示在Aj中第i个值下所有连接次数的和;
步骤3.3,不断重复步骤3.1和步骤3.2,直到评价指标收敛;
在步骤4中,二叉树的生长条件判断如下:
将二叉树的父节点和左右子节点中的数据,在基于原背景张量的条件下,计算其评价指标的值分别为:
key=ρ(B,D),keyl=ρ(Bl,D)和keyR=ρ(BR,D)
其中,D表示张量数据,B、Bl和BR分别表示父节点和左右子节点存储的张量,当key≥keyl+keyR时,且该节点是其上一层节点的左子节点,则该节点存储的数据是完全可疑的数据;ρ(B,D)表示二叉树父节点的张量数据的评价指标值,ρ(Bl,D)表示二叉树左子节点的张量数据的评价指标值,ρ(BR,D)表示二叉树右子节点的张量数据的评价指标值;
如果该节点是其上一层节点的右子节点,则该节点存储的数据是完全非可疑数据;此时的两种情况都表示着该结点不可分割性,二叉树不可继续生长;
当key<keyl+keyR时,该节点存储的数据是非完全可疑数据,该节点具有可分割性,则此时二叉树可继续生长。
2.根据权利要求1所述的基于无监督学习的网络入侵检测方法,其特征在于,网络入侵包括拒绝服务、远程机器未授权访问、未授权访问本地超级用户权限以及监视和其他探测。
CN201810021778.9A 2018-01-10 2018-01-10 一种基于无监督学习的网络入侵检测方法 Active CN108366048B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810021778.9A CN108366048B (zh) 2018-01-10 2018-01-10 一种基于无监督学习的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810021778.9A CN108366048B (zh) 2018-01-10 2018-01-10 一种基于无监督学习的网络入侵检测方法

Publications (2)

Publication Number Publication Date
CN108366048A CN108366048A (zh) 2018-08-03
CN108366048B true CN108366048B (zh) 2021-01-12

Family

ID=63011305

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810021778.9A Active CN108366048B (zh) 2018-01-10 2018-01-10 一种基于无监督学习的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN108366048B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109448707A (zh) * 2018-12-18 2019-03-08 北京嘉楠捷思信息技术有限公司 一种语音识别方法及装置、设备、介质
CN114285601B (zh) * 2021-11-24 2023-02-14 南京信息职业技术学院 一种大数据的多密集块检测与提取方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101794515A (zh) * 2010-03-29 2010-08-04 河海大学 基于协方差和二叉树支持向量机的目标检测系统及方法
CN103886375A (zh) * 2014-04-17 2014-06-25 张黎明 一种基于二叉空间分割树的资源调度优化方法
CN105262712A (zh) * 2014-05-27 2016-01-20 腾讯科技(深圳)有限公司 网络入侵检测方法及装置
CN107281755A (zh) * 2017-07-14 2017-10-24 网易(杭州)网络有限公司 检测模型的构建方法、装置、储存介质、处理器和终端
CN107426207A (zh) * 2017-07-21 2017-12-01 哈尔滨工程大学 一种基于SA‑iForest的网络入侵异常检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101794515A (zh) * 2010-03-29 2010-08-04 河海大学 基于协方差和二叉树支持向量机的目标检测系统及方法
CN103886375A (zh) * 2014-04-17 2014-06-25 张黎明 一种基于二叉空间分割树的资源调度优化方法
CN105262712A (zh) * 2014-05-27 2016-01-20 腾讯科技(深圳)有限公司 网络入侵检测方法及装置
CN107281755A (zh) * 2017-07-14 2017-10-24 网易(杭州)网络有限公司 检测模型的构建方法、装置、储存介质、处理器和终端
CN107426207A (zh) * 2017-07-21 2017-12-01 哈尔滨工程大学 一种基于SA‑iForest的网络入侵异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A Hierarchical Tensor-Based Approach to Compressing,Updating and Querying Geospatial Data;Linwang Yuan,et al;《IEEE transactions On knowledge and Data Engineering》;20150228;第27卷(第2期);全文 *

Also Published As

Publication number Publication date
CN108366048A (zh) 2018-08-03

Similar Documents

Publication Publication Date Title
CN107241226B (zh) 基于工控私有协议的模糊测试方法
Gogoi et al. MLH-IDS: a multi-level hybrid intrusion detection method
CN108874927B (zh) 基于超图和随机森林的入侵检测方法
Chkirbene et al. Hybrid machine learning for network anomaly intrusion detection
AU2013302297B2 (en) Analysis of time series data
CN111565205A (zh) 网络攻击识别方法、装置、计算机设备和存储介质
CN106899440B (zh) 一种面向云计算的网络入侵检测方法及系统
CN105637519A (zh) 使用行为辨识系统的认知信息安全性
CN109218304B (zh) 一种基于攻击图和协同进化的网络风险阻断方法
CN108833139B (zh) 一种基于类别属性划分的ossec报警数据聚合方法
CN112333195B (zh) 基于多源日志关联分析的apt攻击场景还原检测方法及系统
JP2019110513A (ja) 異常検知方法、学習方法、異常検知装置、および、学習装置
CN114189347B (zh) 一种数据粒子化与网闸相结合的数据安全传输方法
Su et al. Hierarchical clustering based network traffic data reduction for improving suspicious flow detection
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113420802B (zh) 基于改进谱聚类的报警数据融合方法
Chen et al. Distinct counting with a self-learning bitmap
Hubballi et al. Layered higher order n-grams for hardening payload based anomaly intrusion detection
CN108366048B (zh) 一种基于无监督学习的网络入侵检测方法
CN110012037A (zh) 基于不确定性感知攻击图的网络攻击预测模型构建方法
CN105871861B (zh) 一种自学习协议规则的入侵检测方法
Gogoi et al. A rough set–based effective rule generation method for classification with an application in intrusion detection
Ghalehgolabi et al. Intrusion detection system using genetic algorithm and data mining techniques based on the reduction
Bhattacharya et al. Multi-measure multi-weight ranking approach for the identification of the network features for the detection of DoS and Probe attacks
Elekar Combination of data mining techniques for intrusion detection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 210003, 66 new model street, Gulou District, Jiangsu, Nanjing

Applicant after: NANJING University OF POSTS AND TELECOMMUNICATIONS

Address before: 210023 9 Wen Yuan Road, Qixia District, Nanjing, Jiangsu.

Applicant before: NANJING University OF POSTS AND TELECOMMUNICATIONS

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant