CN109510805B - 一种基于安全基线模型的网络数据安全检测方法及系统 - Google Patents

一种基于安全基线模型的网络数据安全检测方法及系统 Download PDF

Info

Publication number
CN109510805B
CN109510805B CN201710834724.XA CN201710834724A CN109510805B CN 109510805 B CN109510805 B CN 109510805B CN 201710834724 A CN201710834724 A CN 201710834724A CN 109510805 B CN109510805 B CN 109510805B
Authority
CN
China
Prior art keywords
rbm
model
data
baseline
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710834724.XA
Other languages
English (en)
Other versions
CN109510805A (zh
Inventor
叶晓舟
李超鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou xinrand Network Technology Co.,Ltd.
Original Assignee
Institute of Acoustics of CAS
Beijing Intellix Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Acoustics of CAS, Beijing Intellix Technologies Co Ltd filed Critical Institute of Acoustics of CAS
Priority to CN201710834724.XA priority Critical patent/CN109510805B/zh
Publication of CN109510805A publication Critical patent/CN109510805A/zh
Application granted granted Critical
Publication of CN109510805B publication Critical patent/CN109510805B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于安全基线模型的网络数据安全检测方法,所述方法包括如下步骤:步骤1)采用n个不同的时间窗口长度,用隔离后的以太网包数据构造n个训练数据集;步骤2)采用步骤1)的n个不同的时间窗口长度分别构造n个不同的安全基线模型,并分别利用相同时间窗口长度的训练数据集训练对应的安全基线模型;步骤3)分别将n个训练数据集输入到训练后的相同时间窗口长度的安全基线模型得到n个输出值,并将n个输出值拼接在一起,记作安全基线Y;步骤4)对实时网络数据进行检测和划分,利用训练后的n个安全基线模型计算得到基线Y’,将基线Y’与安全基线Y进行比较实现对网络环境异常状态的告警。

Description

一种基于安全基线模型的网络数据安全检测方法及系统
技术领域
本发明涉及计算机网络、网络安全和机器学习技术,具体涉及一种基于安全基线模型的网络数据安全检测方法及系统。
背景技术
随着移动互联时代的到来,网络数据流量出现了指数爆炸式的增长。由此产生了网络攻击防范、网络安全等问题。在国家安全层面,网络安全及内部网络数据安全仍然面临着各方面的威胁。2013年美国利用震网蠕虫病毒攻击伊朗核电站,导致伊朗核电站推迟供电。该事件作为高级持续性威胁(APT)攻击的里程碑式事件,随后APT攻防对抗越来越受到网络安全领域的关注。
APT具有很强的隐蔽性,APT攻击通过社会工程学等方法,获得政府、企业的内部网络权限,并逐步渗透,直至掌控内部网络核心机密数据设备,并通过合法权限逐步搬运内部数据,潜伏周期可达2-3年之久。一方面,APT攻击采用的病毒和木马的反杀毒软件能力越来越强;另一方面,APT攻击会采用私有协议或者加密协议进行数据传输,并控制网络流量来躲避监控。因此传统的IDS、防火墙的网络安全设备很难检测出APT攻击。针对上述情况,传统的针对特定应用层网络协议的黑名单式防御手段收效甚微。
发明内容
本发明的目的在于解决基于应用层协议的黑名单式或规则式防御手段无法有效防御APT攻击这一情况,为从网络数据层面防御APT攻击,提出了一种基于安全基线模型的网络数据安全检测方法,并用于APT攻击的网络数据检测中。
为了实现上述目的,本发明提供了一种基于安全基线模型的网络数据安全检测方法,所述方法包括如下步骤:
步骤1)采用n个不同的时间窗口长度,用隔离后的以太网包数据构造n个训练数据集;
步骤2)采用步骤1)的n个不同的时间窗口长度分别构造n个不同的安全基线模型,并分别利用相同时间窗口长度的训练数据集训练对应的安全基线模型;
步骤3)分别将n个训练数据集输入到训练后的相同时间窗口长度的安全基线模型得到n个输出值,并将n个输出值拼接在一起,记作安全基线Y;
步骤4)对实时网络数据进行检测和划分,利用训练后的n个安全基线模型计算得到基线Y’,将基线Y’与安全基线Y进行比较实现对网络环境异常状态的告警。
作为上述方法的一种改进,所述步骤1)具体包括:
步骤101)获取隔离后网络流量数据,数据格式为以太网包;
步骤102)预设时间窗口长度组L包含不同的窗口长度:{L1,L2,L3,…,Ln};n为窗口长度的个数;
步骤103)对于包含不同的数据包的以太网包数据集X,根据包的时间戳排序后得到[x1,x2,…,xt],xi为数据包,t为数据的时间戳总数;
步骤104)对于选定的一个时间窗口长度Lk,利用数据包构造一个基于Lk的训练数据集Mk,1≤k≤n。
作为上述方法的一种改进,所述步骤104)具体包括:
步骤104-1)对任一数据包xi进行处理,使xi包含多个关键字段v,除了payload外,其余关键字段是定长的,则不进行做处理;而payload部分采用Hash方法进行处理,得到定长数据;数据包xi经过处理后包含若干个关键字段vx
步骤104-2)一个子样本由Lk个数据包的关键字段排列构成,1≤k≤n,
步骤104-3)训练数据集Mk包含t-Lk+1个训练数据子样本,每个子样本由连续的Lk个数据包构成。
作为上述方法的一种改进,所述步骤104-1)中采用的Hash方法为MD5或SHA。
作为上述方法的一种改进,所述步骤2)的安全基线模型为受限玻尔兹曼机模型。
作为上述方法的一种改进,所述步骤3)具体包括:
步骤301)对于不同的时间窗口长度{L1,L2,L3,…,Ln},构造n个不同的受限玻尔兹曼机模型,形成受限玻尔兹曼机模型组,记作{RBML1,RBML2,RBML3,…,RBM Ln};
步骤302)对于时间窗口为Lk的模型RBMLk,,输入层input_layer节点个数为pk,隐含层hidden_layer节点个数为qk;pk=Lk*length(x),其中length(x)表示处理后数据包x的字节长度;qk无关窗口长度,为固定值;
步骤303)分别利用相同窗口长度的训练数据集训练受限玻尔兹曼机模型,得到训练后的受限玻尔兹曼机模型组{RBML1,RBML2,RBML3,…,RBMLn};
受限玻尔兹曼机模型的自由能E(v,h)计算如下:
Figure BDA0001409523300000021
上述公式中,v为输入层向量,h为输出层向量,aj,bj,wij为模型参数,参数值通过n个训练数据集训练得到;visible和hidden分别为可见层与隐含层的神经元个数;
基于模型的自由能E(v,h)计算得到似然概率函数
Figure BDA0001409523300000031
将似然概率最小化
Figure BDA0001409523300000032
作为目标函数,利用CD-k算法进行受限玻尔兹曼机模型的训练,得到训练好的RBM模型组{RBML1,RBML2,RBML3,…,RBMLn}。
作为上述方法的一种改进,所述步骤4)具体包括:
步骤401)实时采集一批网络数据包集合X’,采用步骤102)的过程,得到处理后n个数据集Mk’,1≤k≤n;
步骤402)将数据集Mk’分别输入模型RBMLk,1≤k≤n,得到对应当前一段时间内,该网络数据的模型RBMLk的输出值,并将所有的输出值拼接在一起,记作基线Y’;
步骤403)计算Y’和Y的差值,当差值超过预设值时,进行安全告警。
一种基于安全基线模型的网络数据安全检测系统,包括存储器、处理器和存储在存储器上的并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述方法的步骤。
本发明的优势在于:
1、本发明的方法不需要进行应用层协议解析即可对网络数据和网络环境进行安全评估,一方面节省了计算资源,另一方面,也有效的针对APT攻击采用私有协议或数据加密进行传输的特征;
2、本发明采用无监督机器学习方法受限玻尔兹曼机(RBM)模型,一方面提高的安全基线计算的精确度,另一方面相比于有监督机器学习方法,RBM方法不需要人工标记历史数据,节约了人工成本。
附图说明
图1为本发明的基于安全基线模型的网络数据安全检测方法的整体流程图;
图2为本发明的方法中安全基线RBM模型的示意图。
具体实施方式
现结合附图和具体实施例对本发明做进一步的描述。
如图1所示,一种基于安全基线模型的网络数据安全检测方法,所述方法包括如下步骤:
步骤1)采用n个不同的时间窗口长度,用隔离后的以太网包数据构造n个训练数据集;具体包括:
步骤101)获取网络流量数据,数据格式为以太网包;
所述隔离后网络流量数据为安全的网络数据。
步骤102)采用不同的时间窗口长度,用以太网包数据构造训练数据集;
如图2所示,所述步骤102)包括:
步骤102-1)预设时间窗口长度组L包含不同的窗口长度:{L1,L2,L3,…,Ln};n为窗口长度的个数;
步骤102-2)对于包含不同的数据包的以太网包数据集X,根据包的时间戳排序后得到[x1,x2,…,xt],xi为数据包,t为数据的时间戳总数;
步骤102-3)对于选定的一个时间窗口长度Lk,构造一个基于Lk的训练数据集Mk;具体包括:
步骤102-3-1)对于任一数据包xi进行处理,使xi包含多个关键字段v,除了payload外,其余关键字段是定长的,则不进行做处理;而payload部分,采用Hash方法进行处理,得到定长数据;数据包xi经过处理后包含若干个关键字段vx
采用的Hash方法包括但不限于MD5、SHA。
步骤102-3-2)一个子样本由Lk个数据包的关键字段排列构成,
步骤102-3-3)训练数据集Mk包含t-Lk+1个训练数据子样本,每个子样本由连续的Lk个数据包构成;
步骤2)对于n个不同的时间窗口长度分别构造n个不同的安全基线模型,形成安全基线模型组;所述安全基线模型为受限玻尔兹曼机(RBM)模型;分别利用相同窗口长度的训练数据集训练RBM模型,得到训练后的RBM模型组{RBML1,RBM L2,RBML3,…,RBMLn};具体包括:
步骤201)对于不同的时间窗口长度{L1,L2,L3,…,Ln},构造n个不同的RBM模型,形成RBM模型组,记作{RBML1,RBML2,RBML3,…,RBMLn};
步骤202)对于时间窗口为Lk的模型RBMLk,,输入层input_layer节点个数为pk,隐含层hidden_layer节点个数为qk;pk=Lk*length(x),其中length(x)表示处理后数据包x的字节长度(单位:bytes);qk无关窗口长度,为固定值;
步骤203)利用前述步骤102)生成的n个训练数据集分别训练n个RBM模型;
模型的自由能如下:
Figure BDA0001409523300000051
上述公式中,v为输入层向量,h为输出层向量,ai,bj,wij为模型参数,参数值通过n个训练数据集训练得到;visible和hidden分别为可见层(输入层)与隐含层(输出层)的神经元个数,即输入和输出的向量维度;对于前述步骤102)中的n个训练数据集,构造的n个RBM模型的visible是不同的,而hidden是相同的。
基于系统的自由能E(v,h)可以计算得到系统的似然概率函数,该函数是关于自由能的函数
Figure BDA0001409523300000052
利用CD-k算法并将似然概率最小化
Figure BDA0001409523300000053
作为目标函数进行模型的训练,得到训练好的RBM模型组{RBML1,RBML2,RBML3,…,RBMLn}。
步骤3)分别将训练数据集Mk输入到训练后模型RBMLk得到输出值,并将所有的输出值拼接在一起,记作安全基线Y。
步骤4)基于安全基线RBM模型组,对实时网络数据进行检测并对网络环境异常状态告警;具体包括:
步骤401)实时采集一批网络数据包集合X’,采用步骤102)的过程,得到处理后n个数据集Mk’;
步骤402)将数据集Mk’分别输入对应的窗口长度的RBM模型RBMLk,得到对应当前一段时间内,该网络数据的模型RBMLk的输出值,并将所有的输出值拼接在一起,记作基线Y’;
步骤403)计算Y’和Y的差值,当差值超过预设值时,进行安全告警。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于安全基线模型的网络数据安全检测方法,所述方法包括如下步骤:
步骤1)采用n个不同的时间窗口长度,用隔离后的以太网包数据构造n个训练数据集;
步骤2)采用步骤1)的n个不同的时间窗口长度分别构造n个不同的安全基线模型,并分别利用相同时间窗口长度的训练数据集训练对应的安全基线模型;
步骤3)分别将n个训练数据集输入到训练后的相同时间窗口长度的安全基线模型得到n个输出值,并将n个输出值拼接在一起,记作安全基线Y;
步骤4)对实时网络数据进行检测和划分,利用训练后的n个安全基线模型计算得到基线Y’,将基线Y’与安全基线Y进行比较实现对网络环境异常状态的告警。
2.根据权利要求1所述的基于安全基线模型的网络数据安全检测方法,其特征在于,所述步骤1)具体包括:
步骤101)获取隔离后网络流量数据,数据格式为以太网包;
步骤102)预设时间窗口长度组L包含不同的窗口长度:{L1,L2,L3,…,Ln};n为窗口长度的个数;
步骤103)对于包含不同的数据包的以太网包数据集X,根据包的时间戳排序后得到[x1,x2,…,xt],xi为数据包,t为数据的时间戳总数;
步骤104)对于选定的一个时间窗口长度Lk,利用数据包构造一个基于Lk的训练数据集Mk,1≤k≤n。
3.根据权利要求2所述的基于安全基线模型的网络数据安全检测方法,其特征在于,所述步骤104)具体包括:
步骤104-1)对任一数据包xi进行处理,使xi包含多个关键字段v,除了payload外,其余关键字段是定长的,则不进行处理;而payload部分采用Hash方法进行处理,得到定长数据;数据包xi经过处理后包含若干个关键字段vx
步骤104-2)一个子样本由Lk个数据包的关键字段排列构成,1≤k≤n,
步骤104-3)训练数据集Mk包含t-Lk+1个训练数据子样本,每个子样本由连续的Lk个数据包构成。
4.根据权利要求3所述的基于安全基线模型的网络数据安全检测方法,其特征在于,所述步骤104-1)中采用的Hash方法为MD5或SHA。
5.根据权利要求3所述的基于安全基线模型的网络数据安全检测方法,其特征在于,所述步骤2)的安全基线模型为受限玻尔兹曼机模型。
6.根据权利要求5所述的基于安全基线模型的网络数据安全检测方法,其特征在于,所述步骤2)具体包括:
步骤201)对于不同的时间窗口长度{L1,L2,L3,…,Ln},构造n个不同的受限玻尔兹曼机模型,形成受限玻尔兹曼机模型组,记作{RBML1,RBML2,RBML3,…,RBMLn};
步骤202)对于时间窗口为Lk的模型RBMLk,输入层input_layer节点个数为pk,隐含层hidden_layer节点个数为qk;pk=Lk*length(x),其中length(x)表示处理后数据包x的字节长度;qk无关窗口长度,为固定值;
步骤203)分别利用相同窗口长度的训练数据集训练受限玻尔兹曼机模型,得到训练后的受限玻尔兹曼机模型组{RBML1,RBML2,RBML3,…,RBMLn};
受限玻尔兹曼机模型的自由能E(v,h)计算如下:
Figure FDA0002356760610000021
上述公式中,v为输入层向量,h为输出层向量,ai,bj,wij为模型参数,参数值通过n个训练数据集训练得到;visible和hidden分别为可见层与隐含层的神经元个数;
基于模型的自由能E(v,h)计算得到似然概率函数
Figure FDA0002356760610000022
将似然概率最小化
Figure FDA0002356760610000023
作为目标函数,利用CD-k算法进行受限玻尔兹曼机模型的训练,得到训练好的RBM模型组{RBML1,RBML2,RBML3,…,RBMLn}。
7.根据权利要求6所述的基于安全基线模型的网络数据安全检测方法,其特征在于,所述步骤4)具体包括:
步骤401)实时采集一批网络数据包集合X’,采用步骤104)的过程,得到处理后n个数据集Mk’,1≤k≤n;
步骤402)将数据集Mk’分别输入模型RBMLk,1≤k≤n,得到对应当前一段时间内,该网络数据的模型RBMLk的输出值,并将所有的输出值拼接在一起,记作基线Y’;
步骤403)计算Y’和Y的差值,当差值超过预设值时,进行安全告警。
8.一种基于安全基线模型的网络数据安全检测系统,包括存储器、处理器和存储在存储器上的并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1~7之一所述方法的步骤。
CN201710834724.XA 2017-09-15 2017-09-15 一种基于安全基线模型的网络数据安全检测方法及系统 Active CN109510805B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710834724.XA CN109510805B (zh) 2017-09-15 2017-09-15 一种基于安全基线模型的网络数据安全检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710834724.XA CN109510805B (zh) 2017-09-15 2017-09-15 一种基于安全基线模型的网络数据安全检测方法及系统

Publications (2)

Publication Number Publication Date
CN109510805A CN109510805A (zh) 2019-03-22
CN109510805B true CN109510805B (zh) 2020-06-16

Family

ID=65745110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710834724.XA Active CN109510805B (zh) 2017-09-15 2017-09-15 一种基于安全基线模型的网络数据安全检测方法及系统

Country Status (1)

Country Link
CN (1) CN109510805B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910825B (zh) * 2019-11-19 2022-06-14 华为技术有限公司 一种蠕虫检测方法及网络设备
CN112116078A (zh) * 2020-09-22 2020-12-22 工业互联网创新中心(上海)有限公司 一种基于人工智能的信息安全基线学习方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104268626A (zh) * 2014-10-21 2015-01-07 国家电网公司 电力电缆寿命估计的方法及系统
US9405743B1 (en) * 2015-05-13 2016-08-02 International Business Machines Corporation Dynamic modeling of geospatial words in social media
CN106291701A (zh) * 2016-10-13 2017-01-04 成都理工大学 储层检测方法及装置
CN106405640A (zh) * 2016-08-26 2017-02-15 中国矿业大学(北京) 基于深度信念神经网络的微震信号到时自动拾取方法
CN106411597A (zh) * 2016-10-14 2017-02-15 广东工业大学 一种网络流量异常检测方法及系统
CN106934495A (zh) * 2017-02-28 2017-07-07 东南大学 基于分布估计和限制玻尔兹曼机结合的自适应服务组合方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140067342A1 (en) * 2012-08-28 2014-03-06 Numerica Corporation Particle tracking in biological systems
KR20160112186A (ko) * 2015-03-18 2016-09-28 삼성전자주식회사 뉴럴 네트워크에서 이벤트에 기반한 학습 방법 및 장치

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104268626A (zh) * 2014-10-21 2015-01-07 国家电网公司 电力电缆寿命估计的方法及系统
US9405743B1 (en) * 2015-05-13 2016-08-02 International Business Machines Corporation Dynamic modeling of geospatial words in social media
CN106405640A (zh) * 2016-08-26 2017-02-15 中国矿业大学(北京) 基于深度信念神经网络的微震信号到时自动拾取方法
CN106291701A (zh) * 2016-10-13 2017-01-04 成都理工大学 储层检测方法及装置
CN106411597A (zh) * 2016-10-14 2017-02-15 广东工业大学 一种网络流量异常检测方法及系统
CN106934495A (zh) * 2017-02-28 2017-07-07 东南大学 基于分布估计和限制玻尔兹曼机结合的自适应服务组合方法

Also Published As

Publication number Publication date
CN109510805A (zh) 2019-03-22

Similar Documents

Publication Publication Date Title
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
US9231964B2 (en) Vulnerability detection based on aggregated primitives
Peng et al. Network intrusion detection based on deep learning
CN110213226B (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
TW202019140A (zh) 可疑封包偵測裝置及其可疑封包偵測方法
CN110719250B (zh) 基于PSO-SVDD的Powerlink工控协议异常检测方法
CN110336806B (zh) 一种结合会话行为和通信关系的隐蔽通信检测方法
CN109510805B (zh) 一种基于安全基线模型的网络数据安全检测方法及系统
Lu et al. Integrating traffics with network device logs for anomaly detection
CN113965393B (zh) 一种基于复杂网络和图神经网络的僵尸网络检测方法
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
Mondal et al. Review Study on Different Attack Strategies of Worm in a Network.
Gangula et al. A comprehence study of DDoS attack detecting algorithm using GRU-BWFA classifier
Lu et al. Network security situation awareness based on network simulation
Yin et al. Optimal remote access Trojans detection based on network behavior.
Fei et al. A survey of internet worm propagation models
Chen et al. A novel ensemble anomaly based approach for command and control channel detection
Mishra et al. Dynamic model on the transmission of malicious codes in network
Japertas et al. Method of early staged cyber attacks detection in IT and telecommunication networks
Sun et al. Impulsive artificial defense against advanced persistent threat
Chapman {SAD}{THUG}: Structural Anomaly Detection for Transmissions of High-value Information Using Graphics
Wei et al. Protecting Machine Learning Integrity in Distributed Big Data Networking
Chen et al. Artificial intelligence hybrid learning architecture for malware families classification
Zhang et al. Analysis of payload based application level network anomaly detection
CN115499251B (zh) 一种边缘IoT设备的异常流量及攻击检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210816

Address after: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee after: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Patentee before: BEIJING INTELLIX TECHNOLOGIES Co.,Ltd.

Effective date of registration: 20210816

Address after: Room 1601, 16th floor, East Tower, Ximei building, No. 6, Changchun Road, high tech Industrial Development Zone, Zhengzhou, Henan 450001

Patentee after: Zhengzhou xinrand Network Technology Co.,Ltd.

Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

TR01 Transfer of patent right