CN109547496A - 一种基于深度学习的主机恶意行为检测方法 - Google Patents
一种基于深度学习的主机恶意行为检测方法 Download PDFInfo
- Publication number
- CN109547496A CN109547496A CN201910038388.7A CN201910038388A CN109547496A CN 109547496 A CN109547496 A CN 109547496A CN 201910038388 A CN201910038388 A CN 201910038388A CN 109547496 A CN109547496 A CN 109547496A
- Authority
- CN
- China
- Prior art keywords
- host
- information flow
- model
- information
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于深度学习的主机恶意行为检测方法,该方法为,对要判定行为的主机的内、外部信息流进行跟踪,不断并依次形成多个信息流序列组;提取每组信息流序列组内部和外部特征以及标签输入模型,对模型进行训练,形成分类模型,然后使用分类模型对信息流是否恶意进行鉴别。本发明方法可以针对每一条信息流序列进行分类,这些信息流汇聚成信息流图后,可根据对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种基于深度学习的主机恶意行为检测方法。
背景技术
深度学习的前身是机器学习,而机器学习又是一种实现人工智能的方法,它涉及大数据领域,而大数据又涉及到金融、IT等方方面面。机器学习最基本的做法,是使用算法来解析数据、从中学习,然后对真实世界中的事件做出决策和预测。与传统的为解决特定任务、硬编码的软件程序不同,机器学习是用大量的数据来“训练”,通过各种算法从数据中学习如何完成任务。深度学习是近年来新兴的技术,深度学习本来并不是一种独立的学习方法,其本身也会用到有监督和无监督的学习方法来训练深度神经网络。但由于近几年该领域发展迅猛,一些特有的学习手段相继被提出(如残差网络),因此越来越多的人将其单独看作一种学习的方法。最初的深度学习是利用深度神经网络来解决特征表达的一种学习过程。深度神经网络本身并不是一个全新的概念,可大致理解为包含多个隐含层的神经网络结构。为了提高深层神经网络的训练效果,人们对神经元的连接方法和激活函数等方面做出相应的调整。
现有技术中对主机恶意行为的检测方法主要包含以下几种:1、现有的一些主机恶意行为检测都是基于规则的,属于传统的检测方法。这种检测方法无法应对病毒或者是恶意软件的变种(此类方法太多就不一一列举)。2、还有一些方法(“基于主机行为特征的恶意软件检测方法”)是针对僵尸、远控木马等恶意软件检测问题,提出一种基于主机行为的异常检测模型。通过持续性分析算法,判断主机与外部特定目标的通信行为是否具有周期性或连续性,提取出可疑的网络行为,并根据网络行为的触发、启动等异常检测规则对这些可疑的网络行为进行分析,判断主机是否感染恶意软件。这种方法不能通过主机内外部的信息流流向来动态的根据监控系统对安全性的要求来调整主机是否是恶意主机的判别标准,若对主机一连串行为的分类过于严格,那么会造成大量的预警。若对主机一连串行为分类过于宽松,又会漏掉一些严重告警。3、另外的一些方法(“Learning to Detect andClassify Malicious Executables in the Wild”)通过使用机器学习和数据挖掘来检测恶意可执行文件(包括:病毒,蠕虫和特洛伊木马),其中,他第一步使用n-gram来提取可执行文件ASKII形式的16进制代码,以它作为基础特征向量来进行变换,然后在其基础上进行分类得到结果,但未使用在主机的恶意行为的检测上,而且提取的特征和方法也不同。
现有检测方法存在的问题是:没有通过主机内外部的信息流流向来动态的根据监控系统对安全性的要求来调整主机是否是恶意主机的判别标准,若对主机一连串行为的分类过于严格,那么会造成大量的预警。若对主机一连串行为分类过于宽松,又会漏掉一些严重告警。而且现有的检测方法也不能对整个信息流图进行一个全面的评估,判断出在一段时间内整个拓扑图中有多少恶意主机,占比有多大。
发明内容
本发明提出一种基于深度学习的主机恶意行为检测方法,以克服现有技术中的问题。
为达到本发明的目的,本发明所采用的技术方案是:
一种基于深度学习的主机恶意行为检测方法,对要判定行为的主机的内、外部信息流进行跟踪,不断并依次形成多个信息流序列组;提取每组信息流序列组内部和外部特征以及标签输入模型,对模型进行训练,形成分类模型,然后使用分类模型对信息流是否恶意进行鉴别。
具体的,依次包括下述步骤:
步骤一、以一台主机为源头,提取这台主机内部信息流序列行为;
步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列;
步骤三、提取这些主机间的信息流序列;
步骤四、将所有信息流序列的这些数字特征和标签分为三组;第一组用于训练模型,第二组用于测试训练精度并不断调整模型使测试精度达到最高,第三组用于实际测量精度;
步骤五、对第一组数字特征和分类的标签输入分类器中进行分类,分类器包括神经网络,CNN,调节分类器的输入节点数、层数、隐藏层节点数参数,根据系统类型提高或降低分类精度;具体的,通过精确率、准确率、F值等指标判断模型的好坏,调节模型参数,确定分类模型;
步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中,对模型的输出结果进行测评,通过精确率、准确率、F值、业务需求等指标判断模型的好坏,调节模型参数评估并修正模型;
步骤七、重复执行第五、六步,直到满足条件为止,确定最终的成熟模型;
步骤八、将第三组数字特征和分类的标签输入到成熟模型中,对模型的输出结果进行测评,得到实际测量值,也就是可以判定每一个链条是否为攻击链;
步骤九、根据实际测量值,通过对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。
进一步的,步骤一中,以一台主机为源头,提取这台主机内部信息流序列行为,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为,如有标识为1,若无标识为0。
进一步的,步骤二中,提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为,如有标识为1,若无标识为0。
进一步的,步骤三中,提取这些主机间的信息流序列,具体方法包括,机器的节点编号,每台机器接收到的比特数、字节数、包数、持续时间、每秒比特数、每秒字节数。
进一步的,步骤四中,将所有信息流序列的这些数字特征和标签分为三组,其中,第一组占60%,第二组占20%,第三组占20%。
与现有技术相比,本发明的优点是:
1、本发明方法可以针对每一条信息流序列进行分类,这些信息流汇聚成信息流图后,可根据对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。
2、本发明方法可通过信息流分析及深度学习方法根据需要动态的调整被分类主机行为流量分配到正常行为和恶意行为的比例以及范围、判断网络拓扑图中恶意主机的所占的比例;如果信息系统是保密系统或对安全要求严格,则被检测行为流量和异常行为流量在相似度为20%时,就将被检测主机行为流量信息归类为恶意流量并预警、采取措施,若信息系统民用而且对安全要求比较宽松,那么可在相似度为50%的行为流量出现时才将其分为恶意流量。
附图说明
图1为本发明步骤八形成成熟模型的过程示意图。
图2为本发明步骤九中判定每一条信息流序列分类的结果示意图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时,方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此,说明书和附图中的各种顺序只是为了清楚描述某一个实施例,并不意味着是必须的顺序,除非另有说明其中某个顺序是必须遵循的。
本发明方法的关键点在于通过深度学习网络来调节主机恶意行为和正常行为的判别标准,可达到按照系统的安全要求来告警的需求。着重涉及以下几点:1.提取每台主机一连串内、外信息流行为的特征的方法; 2.实现根据安全需求不断调整模型分类的判别标准; 3.根据分类结果判断恶意主机在拓扑图中所占的比例。
总体来说,需要对要判定行为的主机的内、外部信息流进行跟踪,不断形成信息流序列组,依次形成多个信息流序列组。提取每组信息流序列组内部和外部特征以及标签输入模型,对模型进行训练,形成分类模型;然后使用分类模型对信息流是否恶意进行鉴别。
下面介绍本发明的一个具体的实施例:
一种基于深度学习的主机恶意行为检测方法,依次包括下述步骤:
步骤一、以一台主机为源头,提取这台主机内部信息流序列行为;
步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列;
步骤三、提取这些主机间的信息流序列;
步骤四、将所有信息流序列的这些数字特征和标签分为三组;第一组用于训练模型,第二组用于测试训练精度并不断调整模型使测试精度达到最高,第三组用于实际测量精度;
步骤五、对第一组数字特征和分类的标签输入分类器中进行分类,分类器包括神经网络,CNN,调节分类器的输入节点数、层数、隐藏层节点数参数,根据系统类型提高或降低分类精度;具体的,通过精确率、准确率、F值等指标判断模型的好坏,调节模型参数,确定分类模型;
步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中,对模型的输出结果进行测评,通过精确率、准确率、F值、业务需求等指标判断模型的好坏,调节模型参数评估并修正模型;
步骤七、重复执行第五、六步,直到满足条件为止,确定最终的成熟模型;
步骤八、参见图1,将第三组数字特征和分类的标签输入到成熟模型中,对模型的输出结果进行测评,得到实际测量值,也就是可以判定每一个链条是否为攻击链;
步骤九、参见图2,根据实际测量值,通过对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。
进一步的,步骤一中,以一台主机为源头,提取这台主机内部信息流序列行为,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为,如有标识为1,若无标识为0。
进一步的,步骤二中,提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为,如有标识为1,若无标识为0。
进一步的,步骤三中,提取这些主机间的信息流序列,具体方法包括,机器的节点编号,每台机器接收到的比特数、字节数、包数、持续时间、每秒比特数、每秒字节数。
进一步的,步骤四中,将所有信息流序列的这些数字特征和标签分为三组,其中,第一组占60%,第二组占20%,第三组占20%。
本领域技术人员可以理解,上述实施方式中各种方法的全部或部分功能可以通过硬件的方式实现,也可以通过计算机程序的方式实现。当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器、随机存储器、磁盘、光盘、硬盘等,通过计算机执行该程序以实现上述功能。例如,将程序存储在设备的存储器中,当通过处理器执行存储器中程序,即可实现上述全部或部分功能。另外,当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序也可以存储在服务器、另一计算机、磁盘、光盘、闪存盘或移动硬盘等存储介质中,通过下载或复制保存到本地设备的存储器中,或对本地设备的系统进行版本更新,当通过处理器执行存储器中的程序时,即可实现上述实施方式中全部或部分功能。
以上应用了具体个例对本发明进行阐述,只是用于帮助理解本发明,并不用以限制本发明。对于本发明所属技术领域的技术人员,依据本发明的思想,还可以做出若干简单推演、变形或替换。
Claims (6)
1.一种基于深度学习的主机恶意行为检测方法,其特征在于:对要判定行为的主机的内、外部信息流进行跟踪,不断并依次形成多个信息流序列组;提取每组信息流序列组内部和外部特征以及标签输入模型,对模型进行训练,形成分类模型,然后使用分类模型对信息流是否恶意进行鉴别。
2.根据权利要求1所述基于深度学习的主机恶意行为检测方法,其特征在于:
具体的,依次包括下述步骤:
步骤一、以一台主机为源头,提取这台主机内部信息流序列行为;
步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列;
步骤三、提取这些主机间的信息流序列;
步骤四、将所有信息流序列的这些数字特征和标签分为三组;第一组用于训练模型,第二组用于测试训练精度并不断调整模型使测试精度达到最高,第三组用于实际测量精度;
步骤五、对第一组数字特征和分类的标签输入分类器中进行分类,分类器包括神经网络,CNN,调节分类器的输入节点数、层数、隐藏层节点数参数,根据系统类型提高或降低分类精度;具体的,通过精确率、准确率、F值等指标判断模型的好坏,调节模型参数,确定分类模型;
步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中,对模型的输出结果进行测评,通过精确率、准确率、F值、业务需求等指标判断模型的好坏,调节模型参数评估并修正模型;
步骤七、重复执行第五、六步,直到满足条件为止,确定最终的成熟模型;
步骤八、将第三组数字特征和分类的标签输入到成熟模型中,对模型的输出结果进行测评,得到实际测量值,也就是可以判定每一个链条是否为攻击链;
步骤九、根据实际测量值,通过对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。
3.根据权利要求2所述基于深度学习的主机恶意行为检测方法,其特征在于:
步骤一中,以一台主机为源头,提取这台主机内部信息流序列行为,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为,如有标识为1,若无标识为0。
4.根据权利要求3所述基于深度学习的主机恶意行为检测方法,其特征在于:
步骤二中,提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为,如有标识为1,若无标识为0。
5.根据权利要求4所述基于深度学习的主机恶意行为检测方法,其特征在于:
步骤三中,提取这些主机间的信息流序列,具体方法包括,机器的节点编号,每台机器接收到的比特数、字节数、包数、持续时间、每秒比特数、每秒字节数。
6.根据权利要求5所述基于深度学习的主机恶意行为检测方法,其特征在于:
步骤四中,将所有信息流序列的这些数字特征和标签分为三组,其中,第一组占60%,第二组占20%,第三组占20%。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910038388.7A CN109547496B (zh) | 2019-01-16 | 2019-01-16 | 一种基于深度学习的主机恶意行为检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910038388.7A CN109547496B (zh) | 2019-01-16 | 2019-01-16 | 一种基于深度学习的主机恶意行为检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109547496A true CN109547496A (zh) | 2019-03-29 |
| CN109547496B CN109547496B (zh) | 2020-12-11 |
Family
ID=65835527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910038388.7A Active CN109547496B (zh) | 2019-01-16 | 2019-01-16 | 一种基于深度学习的主机恶意行为检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547496B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334508A (zh) * | 2019-07-03 | 2019-10-15 | 广东省信息安全测评中心 | 一种主机序列入侵检测方法 |
| CN111709015A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮电子信息产业股份有限公司 | 一种主机安全识别方法、装置及相关组件 |
| CN112966272A (zh) * | 2021-03-31 | 2021-06-15 | 国网河南省电力公司电力科学研究院 | 一种基于对抗式网络的物联网Android恶意软件检测方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267353A (zh) * | 2008-04-24 | 2008-09-17 | 北京大学 | 一种载荷无关的检测网络滥用行为的方法 |
| CN101594352A (zh) * | 2009-07-02 | 2009-12-02 | 西安电子科技大学 | 基于新颖发现和窗函数的分类融合入侵检测方法 |
| CN102035698A (zh) * | 2011-01-06 | 2011-04-27 | 西北工业大学 | 基于决策树分类算法的http隧道检测方法 |
| WO2016175845A1 (en) * | 2015-04-30 | 2016-11-03 | Hewlett Packard Enterprise Development Lp | Aggregation based event identification |
| CN106790256A (zh) * | 2017-01-24 | 2017-05-31 | 浙江中都信息技术有限公司 | 用于危险主机检测的主动机器学习系统 |
| CN106790008A (zh) * | 2016-12-13 | 2017-05-31 | 浙江中都信息技术有限公司 | 用于在企业网络中检测异常主机的机器学习系统 |
| EP3355547A1 (en) * | 2017-01-27 | 2018-08-01 | Vectra Networks, Inc. | Method and system for learning representations of network flow traffic |
| CN108881192A (zh) * | 2018-06-04 | 2018-11-23 | 上海交通大学 | 一种基于深度学习的加密型僵尸网络检测系统及方法 |
-
2019
- 2019-01-16 CN CN201910038388.7A patent/CN109547496B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267353A (zh) * | 2008-04-24 | 2008-09-17 | 北京大学 | 一种载荷无关的检测网络滥用行为的方法 |
| CN101594352A (zh) * | 2009-07-02 | 2009-12-02 | 西安电子科技大学 | 基于新颖发现和窗函数的分类融合入侵检测方法 |
| CN102035698A (zh) * | 2011-01-06 | 2011-04-27 | 西北工业大学 | 基于决策树分类算法的http隧道检测方法 |
| WO2016175845A1 (en) * | 2015-04-30 | 2016-11-03 | Hewlett Packard Enterprise Development Lp | Aggregation based event identification |
| CN106790008A (zh) * | 2016-12-13 | 2017-05-31 | 浙江中都信息技术有限公司 | 用于在企业网络中检测异常主机的机器学习系统 |
| CN106790256A (zh) * | 2017-01-24 | 2017-05-31 | 浙江中都信息技术有限公司 | 用于危险主机检测的主动机器学习系统 |
| EP3355547A1 (en) * | 2017-01-27 | 2018-08-01 | Vectra Networks, Inc. | Method and system for learning representations of network flow traffic |
| CN108881192A (zh) * | 2018-06-04 | 2018-11-23 | 上海交通大学 | 一种基于深度学习的加密型僵尸网络检测系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| JUNWEI ZHANG: "An abnormal behavior detection based on deep learning", 《2018 IEEE SMARTWORLD, UBIQUITOUS INTELLIGENCE & COMPUTING, ADVANCED & TRUSTED COMPUTING, SCALABLE COMPUTING & COMMUNICATIONS, CLOUD & BIG DATA COMPUTING, INTERNET OF PEOPLE AND SMART CITY INNOVATIONS》 * |
| 张永斌: "基于主机行为特征的恶意软件检测方法", 《计算机应用研究》 * |
| 林果园: "基于主机行为的异常检测技术研究", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334508A (zh) * | 2019-07-03 | 2019-10-15 | 广东省信息安全测评中心 | 一种主机序列入侵检测方法 |
| CN111709015A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮电子信息产业股份有限公司 | 一种主机安全识别方法、装置及相关组件 |
| CN112966272A (zh) * | 2021-03-31 | 2021-06-15 | 国网河南省电力公司电力科学研究院 | 一种基于对抗式网络的物联网Android恶意软件检测方法 |
| CN112966272B (zh) * | 2021-03-31 | 2022-09-09 | 国网河南省电力公司电力科学研究院 | 一种基于对抗式网络的物联网Android恶意软件检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109547496B (zh) | 2020-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kayacik et al. | A hierarchical SOM-based intrusion detection system | |
| CN108566364B (zh) | 一种基于神经网络的入侵检测方法 | |
| CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
| Xiang et al. | A benchmark study of backdoor data poisoning defenses for deep neural network classifiers and a novel defense | |
| GB2614151A (en) | Semantic learning in federated learning system | |
| CN109547496A (zh) | 一种基于深度学习的主机恶意行为检测方法 | |
| CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
| Chang et al. | Anomaly detection for industrial control systems using k-means and convolutional autoencoder | |
| CN108616545A (zh) | 一种网络内部威胁的检测方法、系统及电子设备 | |
| CN109670306A (zh) | 基于人工智能的电力恶意代码检测方法、服务器及系统 | |
| Kocher et al. | Analysis of machine learning algorithms with feature selection for intrusion detection using UNSW-NB15 dataset | |
| CN113254930B (zh) | 一种pe恶意软件检测模型的后门对抗样本生成方法 | |
| Yu et al. | Anomaly intrusion detection based upon data mining techniques and fuzzy logic | |
| Zhang et al. | A network intrusion detection method based on deep learning with higher accuracy | |
| Kocher et al. | Performance analysis of machine learning classifiers for intrusion detection using unsw-nb15 dataset | |
| DeLooze | Attack characterization and intrusion detection using an ensemble of self-organizing maps | |
| Vani | Towards efficient intrusion detection using deep learning techniques: a review | |
| Navya et al. | Intrusion detection system using deep neural networks (DNN) | |
| Liu et al. | Your model trains on my data? Protecting intellectual property of training data via membership fingerprint authentication | |
| Farrahi et al. | KCMC: A hybrid learning approach for network intrusion detection using K-means clustering and multiple classifiers | |
| Garcia-soto et al. | Perd: Perturbation sensitivity-based neural trojan detection framework on nlp applications | |
| Chen et al. | Towards a deep learning approach for detecting malicious domains | |
| Li et al. | TCM-KNN scheme for network anomaly detection using feature-based optimizations | |
| Alagrash et al. | Machine learning and recognition of user tasks for malware detection | |
| CN115018069A (zh) | 多类型映射的神经网络后门风险评估方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |