CN108900556A - 基于HMM和混沌模型的DDoS攻击检测方法 - Google Patents
基于HMM和混沌模型的DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN108900556A CN108900556A CN201810972690.5A CN201810972690A CN108900556A CN 108900556 A CN108900556 A CN 108900556A CN 201810972690 A CN201810972690 A CN 201810972690A CN 108900556 A CN108900556 A CN 108900556A
- Authority
- CN
- China
- Prior art keywords
- sequence
- network flow
- hmm
- weighted feature
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/29—Graphical models, e.g. Bayesian networks
- G06F18/295—Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/08—Computing arrangements based on specific mathematical models using chaos models or non-linear system models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computational Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Nonlinear Science (AREA)
- Algebra (AREA)
- Evolutionary Biology (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种基于HMM和混沌模型的DDoS攻击检测方法,包括:采集网络流量信息作为HMM训练集;计算得到网络流量加权特征观测序列和网络流平均速率序列;根据HMM训练集,计算HMM的最佳隐层状态数N;采用层次聚类算法将所述HMM训练集分为N类,得到隐层状态序列;利用所述网络流量加权特征观测序列和所述隐层状态序列,对HMM进行监督学习,得到状态转移矩阵和混淆矩阵;根据所述状态转移矩阵和所述混淆矩阵,计算后续的网络流量加权特征,得到后续网络流量加权特征预测序列;通过混沌模型计算所述后续网络流量加权特征预测序列的预测误差序列;通过所述预测误差序列和所述网络流平均速率序列来识别DDoS攻击。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种基于HMM和混沌模型的DDoS攻击检测方法。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是目前黑客经常采用并且难以防范的攻击手段。近年来随着电子加密虚拟货币的快速发展和物联网设备的持续增加,DDoS攻击方式更趋于多样化,对因特网的安全产生了巨大的威胁。
现有技术基于机器学习进行DDoS攻击检测的做法通常是将其看作是一个二分类问题,从网络流量中选取有代表性的特征,分别抽象出攻击流和正常流的特征序列,并且对序列中的每个特征赋予一个标记:攻击或者正常;然后利用特征序列对检测模型进行训练,训练出具有攻击识别能力的分类器来实现对DDoS攻击的检测。这类DDoS攻击检测直接根据当前的特征值推断样本的标记,没有考虑相邻时刻和整个时间轴上的特征之间的关系,从而丢失了部分信息,导致DDoS攻击检测的准确率低下。
本发明的发明人在研究DDoS攻击检测方法时,提出了另一种基于隐马尔科夫模型(Hidden Markov Model,HMM)和混沌模型的DDoS攻击检测方法。
发明内容
本申请的目的在于提供一种基于HMM和混沌模型的DDoS攻击检测方法,能够识别DDoS攻击,并且提高DDoS攻击检测的准确率。
为实现上述目的,本申请提供了一种基于HMM和混沌模型的DDoS攻击检测方法,所述方法包括:连续采集D个单位时间内的网络流量信息,作为HMM训练集;根据所述HMM训练集,分别计算D个网络流量加权特征和D个网络流平均速率,得到网络流量加权特征观测序列和网络流平均速率序列;根据所述HMM训练集,计算HMM的最佳隐层状态数N;采用层次聚类算法将所述HMM训练集分为N类,得到隐层状态序列;利用所述网络流量加权特征观测序列和所述隐层状态序列,对HMM进行监督学习,得到状态转移矩阵和混淆矩阵;根据所述状态转移矩阵和所述混淆矩阵,计算后续的网络流量加权特征,得到后续网络流量加权特征预测序列;通过混沌模型计算所述后续网络流量加权特征预测序列的预测误差序列;通过所述预测误差序列和所述网络流平均速率序列来识别DDoS攻击。
进一步的,所述网络流量信息包括数据包个数、数据包的源IP地址数。
进一步的,所述网络流量加权特征的计算公式为:
Xt=θUt-1+(1-θ)Ut
其中,Ut是单位时间内的所述数据包个数;Ut-1是前一单位时间内的所述数据包个数;加权值θ为实数,且0<θ<1。
进一步的,所述网络流平均速率的计算公式为:
yt=Ut/It
其中,Ut是单位时间内的所述数据包个数;It是单位时间内数据包的所述源IP地址数。
进一步的,所述根据所述HMM训练集,计算HMM的最佳隐层状态数N的步骤包括:根据所述HMM训练集,设置所述隐层状态数N′的初始值为1,并以公差为1递增,迭代计算隐层状态数评价指标EISNHL;将所述EISNHL的值出现第一个拐点时的所述隐层状态数N′,作为所述最佳隐层状态数N。
进一步的,所述EISNHL的计算公式为:
其中,和分别为所述HMM训练集中,单位时间内所述数据包个数的最大值和最小值;D为所述HMM训练集的序列长度。
进一步的,所述隐层状态序列的计算公式为:
(Sseq,Oseq)=HierarchicalClustering({X1,X2,…,XD},N)
其中,{X1,X2,…,XD}为所述网络流量加权特征观测序列;Oseq和Sseq分别为所述网络流量加权特征观测序列的输出序列和与其对应的隐层状态序列。
进一步的,所述预测误差序列Error(j)的计算公式为:
Error(j)=X(j+D)-Pseq(j)
其中,Pseq(j)为所述后续网络流量加权特征预测序列中的后续网络流量加权特;X(j+D)为后续网络流量加权特征观测序列中的后续网络流量加权特征观测值。
进一步的,所述通过所述预测误差序列和所述网络流平均速率序列来识别DDoS攻击的步骤包括:
初始化网络信号状态为flag=1;
判断所述预测误差序列中的所述预测误差是否为混沌误差,并用N1(i)标志:当所述预测误差是混沌误差时,N1(i)=1,否则N1(i)=﹣1;
当时,保持flag=1并继续后续条件判断,否则更新所述网络信号状态为flag=0,直接确定未发生DDoS攻击;
当时,保持flag=1并继续后续条件判断,否则更新所述网络信号状态为flag=0,直接确定未发生DDoS攻击;
当时,保持flag=1并确定发生DDoS攻击,否则更新所述网络信号状态为flag=0,确定未发生DDoS攻击;
其中,e为自然常数,y1为第一个单位时间内的网络流平均速率。
由上可见,本发明定义了网络流量加权特征,可以对正常用户的突发性访问进行平滑处理,降低DDoS攻击误判率;本发明定义了网络流平均速率,考虑了出现庞大用户群体向服务器请求服务时的情况,利用源IP地址数削弱单位时间内的数据包个数峰值特征,从而降低误报率;本发明利用隐马尔科夫模型的时序特性,克服了现有基于机器学习算法的局限性,并且定义了定义隐层状态数评价指标,动态计算HMM的最佳隐层状态数,使本发明在不同的网络环境仍能具有很好的表现。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于HMM和混沌模型的DDoS攻击检测方法的流程图;
图2为本发明实施例提供的网络流量加权特征观测序列的散点图;
图3为本发明实施例提供的网络流平均速率序列的散点图;
图4为本发明实施例提供的预测误差序列的折线图。
具体实施方式
下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了检测DDoS攻击,本发明提供了一种基于HMM和混沌模型的DDoS攻击检测方法。
图1为本发明实施例提供的基于HMM和混沌模型的DDoS攻击检测方法的流程图。
S100,连续采集D个单位时间内的网络流量信息,作为HMM训练集;
在一个实施例中,网络流量信息包括数据包个数、数据包的源IP地址数。
本实施例采用的案件数据集是MIT林肯实验室发布的DARPA 1998数据集,林肯实验室在1998年建立了模拟美国空军局域网的一个网络环境,收集了9周时间的TCPdump网络连接和系统审计数据,仿真各种用户类型、各种不同的网络流量和攻击手段,使它就像一个真实的网络环境。这些TCPdump采集的原始数据被分为两个部分:7周时间的训练数据,大约包含5,000,000多个网络连接记录;剩下的2周时间的测试数据大概包含2,000,000个网络连接记录。每一条记录包含协议名称,源端口和目的端口,源IP地址和目的IP地址。其中训练数据前两周为正常数据流,没有发生攻击,本发明选取第七周的发生攻击当天的训练数据进行训练,连续统计500分钟。
S200,根据HMM训练集,分别计算D个网络流量加权特征和D个网络流平均速率,得到网络流量加权特征观测序列和网络流平均速率序列;
在一个实施例中,所述网络流量加权特征的计算公式为:
Xt=θUt-1+(1-θ)Ut
其中,Ut是单位时间内的所述数据包个数;Ut-1是前一单位时间内的所述数据包个数;加权值θ为实数,且0<θ<1。
所述网络流平均速率的计算公式为:
yt=Ut/It
其中,Ut是单位时间内的所述数据包个数;It是单位时间内数据包的所述源IP地址数。
图2为本发明实施例提供的网络流量加权特征序列的散点图;图3为本发明实施例提供的网络流平均速率序列的散点图。如图2和图3所示,网络流量加权特征值和网络流平均速率在攻击情况下通常比正常情况下要大,尤其结合网络流量加权特征和网络流平均速率两种特征可以较好的区分出攻击行为并且有效地降低由网络拥塞引起的误报,因而网络流量加权特征值和网络流平均速率会使得本发明提出的检测方法具有较高的准确率。
在攻击检测模型实验测试中,取网络流量加权特征序列的前100条记录作为训练集,用于HMM的训练并且做出预测,剩余的采集数据作为测试集,用于测试模型的检测效果。
S300,根据HMM训练集,计算HMM的最佳隐层状态数N;
步骤S300的具体步骤为S301和S302:
S301,根据所述HMM训练集,设置所述隐层状态数N′的初始值为1,并以公差为1递增,迭代计算隐层状态数评价指标EISNHL;
在监督学习中首先要解决的问题是确定HMM中的隐层状态(Hidden Layer State,HLS)数N,现有的做法通常是利用经验直接对N进行赋值,这样虽然简化了步骤但是在面对不同的网络环境往往不能总是有很好的表现。本发明注意到N与用于训练的观测序列的长度D以及观测值的最大跨度相关性较大,但是直接以此来计算N值会导致结果的波动较大也容易陷入局部最优的情况,因此提出评价N的取值是否合理的指标,并且采用对N赋予初值计算指标值,不断更新N值迭代计算指标值的方式获得N的最优值。
在一个实施例中,所述EISNHL的计算公式为:
其中,和分别为所述HMM训练集中,单位时间内所述数据包个数的最大值和最小值;D为所述HMM训练集的序列长度。
S302,将所述EISNHL的值出现第一个拐点时的所述隐层状态数N′,作为所述最佳隐层状态数N。
S400,采用层次聚类算法将HMM训练集分为N类,得到隐层状态序列;
采用层次聚类算法将训练集分为N类,每一类代表一种隐层状态,此时观测值与其状态值一一对应。由此得到训练集中观测序列Oseq和与其对应的隐层状态序列Sseq。
在一个实施例中,所述隐层状态序列的计算公式为:
(Sseq,Oseq)=HierarchicalClustering({X1,X2,…,XD},N)
其中,{X1,X2,…,XD}为所述网络流量加权特征观测序列;Oseq和Sseq分别为所述网络流量加权特征观测序列的输出序列和与其对应的隐层状态序列。
S500,利用网络流量加权特征观测序列和隐层状态序列,对HMM进行监督学习,得到状态转移矩阵和混淆矩阵;
HMM是一个双重随机的模型,由隐层状态(Hidden Layer State,HLS)组成的马尔科夫链为基础,对观测序列进行描述。隐马尔科夫模型开始于一个有限的状态集,由状态转移概率矩阵确定下一个状态值,由一个特定的状态产生的观测值由混淆概率矩阵确定。因此具有学习时间序列信息的能力。
在一个实施例中,将步骤S400计算得到的Oseq与Sseq,代入HMM进行训练,获得转移概率矩阵A和混淆概率矩阵B。一个完整的隐马尔科夫模型可以由一个五元组(S,V,A,B,Π)来表示:
S:隐层状态集合,S={s1,s2,…,sN},其中的状态数为N。
V:观测值的集合,V={v1,v2,…,vM},M为每个状态可能输出的不同观察值的个数。
A:状态转移概率矩阵,
其中,aij=P(qt+1=sj|qt=si),1≤i,j≤N,表示t时刻由状态si转移到sj的概率。
B:混淆概率矩阵,
B={bjk},1≤j≤N,1≤k≤M
其中,bjk表示在状态si输出观察值vk的概率。
Π:初始状态的概率分布,Π={π1,π2,…,πN},表示在初始时刻为某个状态的概率。
HMM的训练是利用已知的观测值序列和对应的状态序列,进行参数估计,学习出状态转移概率矩阵A和混淆概率矩阵B。
训练数据分别为:状态序列S和观测值序列V。其中S={s1,s2,…,sN},V={v1,v,…,vM}。
样本中观察到的在时刻t状态为si,并且在时刻t+1的状态为sj的频数为Aij。因此状态转移概率aij的估计值为:
由此,状态转移矩阵可以根据给定的隐层状态序列S计算得出。
样本中状态为j并且观测值为k的频数为Bjk。因此那么状态为j观测值为k的混淆概率bjk的估计值为:
S600,根据状态转移矩阵和混淆矩阵,计算后续的网络流量加权特征,得到后续网络流量加权特征预测序列;
根据状态转移矩阵A和混淆矩阵B向后预测,计算后续的网络流量加权特征,得到预测序列Pseq,Pseq=HMMgenerate(O-D,A,B)。
S700,通过混沌模型计算后续网络流量加权特征预测序列的预测误差序列;
在一个实施例中,预测误差序列Error(j)的计算公式为:
Error(j)=X(j+D)-Pseq(j)
其中,Pseq(j)为所述后续网络流量加权特征预测序列中的后续网络流量加权特;X(j+D)为后续网络流量加权特征观测序列中的后续网络流量加权特征观测值。
图4为本发明实施例提供的预测误差序列的折线图。如图4中第5分钟之前和第55分钟之后的正常流的预测误差序列,可见利用所述隐马尔科夫预测模型可以有效地对正常流进行预测,由于网络节点一直处于安全状态,故预测误差会在一个较小的范围内进行波动。如图4中第5分钟与第55分钟之间的攻击流的预测误差序列,显然当攻击行为发生时,预测误差会变得较大并且波动也较大。
S800,通过预测误差序列和网络流平均速率序列来识别DDoS攻击;
首先,初始化网络信号状态为flag=1;
其次,判断所述预测误差序列中的所述预测误差是否为混沌误差,并用N1(i)标志:当所述预测误差是混沌误差时,N1(i)=1,否则N1(i)=﹣1;
再次,根据以下三个判断条件识别DDoS攻击:
条件一:当时,保持flag=1并继续后续条件判断,否则更新所述网络信号状态为flag=0,直接确定未发生DDoS攻击;
条件二:当时,保持flag=1并继续后续条件判断,否则更新所述网络信号状态为flag=0,直接确定未发生DDoS攻击;
条件三:当时,保持flag=1并确定发生DDoS攻击,否则更新所述网络信号状态为flag=0,确定未发生DDoS攻击;
其中,e为自然常数,y1为第一个单位时间内的网络流平均速率。
由上可见,本发明不仅可以对DDoS攻击行为进行检测,而且相较于现有技术,本发明显著降低了DDoS攻击检测的误报率。首先,本发明定义了网络流量加权特征,可以对正常用户的突发性访问进行平滑处理,降低DDoS攻击误判率。其次,本发明定义了网络流平均速率,考虑了出现庞大用户群体向服务器请求服务时的情况,利用源IP地址数削弱单位时间内的数据包个数峰值特征,从而降低了误报率。再次,本发明利用隐马尔科夫模型的时序特性,克服了现有基于机器学习算法的局限性,并且定义了定义隐层状态数评价指标,动态计算HMM的最佳隐层状态数,使本发明在不同的网络环境仍能具有很好的表现。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于HMM和混沌模型的DDoS攻击检测方法,其特征在于,所述方法包括:
连续采集D个单位时间内的网络流量信息,作为HMM训练集;
根据所述HMM训练集,分别计算D个网络流量加权特征和D个网络流平均速率,得到网络流量加权特征观测序列和网络流平均速率序列;
根据所述HMM训练集,计算HMM的最佳隐层状态数N;
采用层次聚类算法将所述HMM训练集分为N类,得到隐层状态序列;
利用所述网络流量加权特征观测序列和所述隐层状态序列,对HMM进行监督学习,得到状态转移矩阵和混淆矩阵;
根据所述状态转移矩阵和所述混淆矩阵,计算后续的网络流量加权特征,得到后续网络流量加权特征预测序列;
通过混沌模型计算所述后续网络流量加权特征预测序列的预测误差序列;
通过所述预测误差序列和所述网络流平均速率序列来识别DDoS攻击。
2.如权利要求1所述的方法,其特征在于,所述网络流量信息包括数据包个数、数据包的源IP地址数。
3.如权利要求2所述的方法,其特征在于,所述网络流量加权特征的计算公式为:
Xt=θUt-1+(1-θ)Ut
其中,Ut是单位时间内的所述数据包个数;Ut-1是前一单位时间内的所述数据包个数;加权值θ为实数,且0<θ<1。
4.如权利要求3所述的方法,其特征在于,所述网络流平均速率的计算公式为:
yt=Ut/It
其中,Ut是单位时间内的所述数据包个数;It是单位时间内数据包的所述源IP地址数。
5.如权利要求4所述的方法,其特征在于,所述根据所述HMM训练集,计算HMM的最佳隐层状态数N的步骤包括:
根据所述HMM训练集,设置所述隐层状态数N′的初始值为1,并以公差为1递增,迭代计算隐层状态数评价指标EISNHL;
将所述EISNHL的值出现第一个拐点时的所述隐层状态数N′,作为所述最佳隐层状态数N。
6.如权利要求5所述的方法,其特征在于,所述EISNHL的计算公式为:
其中,和分别为所述HMM训练集中,单位时间内所述数据包个数的最大值和最小值;D为所述HMM训练集的序列长度。
7.如权利要求6所述的方法,其特征在于,所述隐层状态序列的计算公式为:
(Sseq,Oseq)=HierarchicalClustering({X1,X2,…,XD},N)
其中,{X1,X2,…,XD}为所述网络流量加权特征观测序列;Oseq和Sseq分别为所述网络流量加权特征观测序列的输出序列和与其对应的隐层状态序列。
8.如权利要求7所述的方法,其特征在于,所述预测误差序列Error(j)的计算公式为:
Error(j)=X(j+D)-Pseq(j)
其中,Pseq(j)为所述后续网络流量加权特征预测序列中的后续网络流量加权特征;X(j+D)为后续网络流量加权特征观测序列中的后续网络流量加权特征观测值。
9.如权利要求8所述的方法,其特征在于,所述通过所述预测误差序列和所述网络流平均速率序列来识别DDoS攻击的步骤包括:
初始化网络信号状态为flag=1;
判断所述预测误差序列中的所述预测误差是否为混沌误差,并用N1(i)标志:当所述预测误差是混沌误差时,N1(i)=1,否则N1(i)=﹣1;
当时,保持flag=1并继续后续条件判断,否则更新所述网络信号状态为flag=0,直接确定未发生DDoS攻击;
当时,保持flag=1并继续后续条件判断,否则更新所述网络信号状态为flag=0,直接确定未发生DDoS攻击;
当时,保持flag=1并确定发生DDoS攻击,否则更新所述网络信号状态为flag=0,确定未发生DDoS攻击;
其中,e为自然常数,y1为第一个单位时间内的网络流平均速率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810972690.5A CN108900556B (zh) | 2018-08-24 | 2018-08-24 | 基于HMM和混沌模型的DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810972690.5A CN108900556B (zh) | 2018-08-24 | 2018-08-24 | 基于HMM和混沌模型的DDoS攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108900556A true CN108900556A (zh) | 2018-11-27 |
CN108900556B CN108900556B (zh) | 2021-02-02 |
Family
ID=64358329
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810972690.5A Active CN108900556B (zh) | 2018-08-24 | 2018-08-24 | 基于HMM和混沌模型的DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108900556B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109639515A (zh) * | 2019-02-16 | 2019-04-16 | 北京工业大学 | 基于隐马尔可夫和Q学习协作的DDoS攻击检测方法 |
CN109728939A (zh) * | 2018-12-13 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
CN110557397A (zh) * | 2019-09-12 | 2019-12-10 | 贵州电网有限责任公司 | 一种基于混沌理论分析的DDoS攻击检测方法 |
CN112437085A (zh) * | 2020-11-23 | 2021-03-02 | 中国联合网络通信集团有限公司 | 一种网络攻击的识别方法及装置 |
CN113572732A (zh) * | 2021-06-22 | 2021-10-29 | 浙江工业大学 | 一种基于vae和聚合hmm的多步攻击建模和预测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105245503A (zh) * | 2015-09-08 | 2016-01-13 | 中国民航大学 | 隐马尔可夫模型检测LDoS攻击方法 |
CN105976049A (zh) * | 2016-04-28 | 2016-09-28 | 武汉宝钢华中贸易有限公司 | 基于混沌神经网络的库存预测模型及其构造方法 |
WO2017118133A1 (zh) * | 2016-01-07 | 2017-07-13 | 上海海事大学 | 一种云系统内部虚拟机的异常检测方法 |
CN106961444A (zh) * | 2017-04-26 | 2017-07-18 | 广东亿荣电子商务有限公司 | 一种基于隐马尔可夫模型的恶意网络爬虫检测方法 |
-
2018
- 2018-08-24 CN CN201810972690.5A patent/CN108900556B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105245503A (zh) * | 2015-09-08 | 2016-01-13 | 中国民航大学 | 隐马尔可夫模型检测LDoS攻击方法 |
WO2017118133A1 (zh) * | 2016-01-07 | 2017-07-13 | 上海海事大学 | 一种云系统内部虚拟机的异常检测方法 |
CN105976049A (zh) * | 2016-04-28 | 2016-09-28 | 武汉宝钢华中贸易有限公司 | 基于混沌神经网络的库存预测模型及其构造方法 |
CN106961444A (zh) * | 2017-04-26 | 2017-07-18 | 广东亿荣电子商务有限公司 | 一种基于隐马尔可夫模型的恶意网络爬虫检测方法 |
Non-Patent Citations (1)
Title |
---|
BIN DONG,YAN-XUN LI: "CHAOS MODELING USING HMM-NRBF HYBRID MODEL APPROACH AND ITS APPLICATION IN EEG", 《PROCEEDINGS OF THE 2011 INTERNATIONAL CONFERENCE ON MACHINE LEARNING AND CYBERNETICS》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109728939A (zh) * | 2018-12-13 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
CN109639515A (zh) * | 2019-02-16 | 2019-04-16 | 北京工业大学 | 基于隐马尔可夫和Q学习协作的DDoS攻击检测方法 |
CN110557397A (zh) * | 2019-09-12 | 2019-12-10 | 贵州电网有限责任公司 | 一种基于混沌理论分析的DDoS攻击检测方法 |
CN112437085A (zh) * | 2020-11-23 | 2021-03-02 | 中国联合网络通信集团有限公司 | 一种网络攻击的识别方法及装置 |
CN112437085B (zh) * | 2020-11-23 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种网络攻击的识别方法及装置 |
CN113572732A (zh) * | 2021-06-22 | 2021-10-29 | 浙江工业大学 | 一种基于vae和聚合hmm的多步攻击建模和预测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108900556B (zh) | 2021-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108900556A (zh) | 基于HMM和混沌模型的DDoS攻击检测方法 | |
CN107483455B (zh) | 一种基于流的网络节点异常检测方法和系统 | |
Loukas et al. | Likelihood ratios and recurrent random neural networks in detection of denial of service attacks | |
CN109067586B (zh) | DDoS攻击检测方法及装置 | |
CN108900432A (zh) | 一种基于网络流行为的内容感知方法 | |
CN109639515A (zh) | 基于隐马尔可夫和Q学习协作的DDoS攻击检测方法 | |
CN109150868A (zh) | 网络安全态势评估方法及装置 | |
CN108076060A (zh) | 基于动态k-means聚类的神经网络态势预测方法 | |
CN105591972B (zh) | 一种基于本体的网络流量分类方法 | |
CN108900513B (zh) | 一种基于bp神经网络的ddos效果评估方法 | |
CN109688154B (zh) | 一种网络入侵检测模型建立方法及网络入侵检测方法 | |
CN105516020A (zh) | 一种基于本体知识推理的并行网络流量分类方法 | |
Ran et al. | A self-adaptive network traffic classification system with unknown flow detection | |
CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
Zhang et al. | A scalable network intrusion detection system towards detecting, discovering, and learning unknown attacks | |
CN106060039A (zh) | 一种面向网络异常数据流的分类检测方法 | |
Dong et al. | Research on network traffic identification based on improved BP neural network | |
Li et al. | Cyber performance situation awareness on fuzzy correlation analysis | |
CN113904842A (zh) | 一种SDN下基于条件生成对抗网络的IPv6网络中DDoS攻击检测方法 | |
Su et al. | Feature weighting and selection for a real-time network intrusion detection system based on GA with KNN | |
Shamsuddin et al. | Applying Knowledge Discovery in Database Techniques in Modeling Packet Header Anomaly Intrusion Detection Systems. | |
Prasad et al. | Computation on scheduling attacks and optimal resource utilisation in wireless sensor networks via optimisation techniques | |
CN115118450B (zh) | 融合多级特征的增量式动态权值集成学习入侵检测方法 | |
CN116366359B (zh) | 一种工业控制网络的智能协同自进化防御方法及系统 | |
Yaegashi et al. | Two-Stage DDoS Mitigation with Variational Auto-Encoder and Cyclic Queuing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230626 Address after: No. 53-401 and 53-402 Fengfeng Road, Huishan Economic Development Zone, Wuxi City, Jiangsu Province, 214000 Patentee after: Weisenpaiwo (Wuxi) Technology Co.,Ltd. Patentee after: HAINAN University Address before: 570228 No. 58 Renmin Avenue, Meilan District, Hainan, Haikou Patentee before: HAINAN University |
|
TR01 | Transfer of patent right |