CN109639734B - 一种具有计算资源自适应性的异常流量检测方法 - Google Patents

一种具有计算资源自适应性的异常流量检测方法 Download PDF

Info

Publication number
CN109639734B
CN109639734B CN201910067413.4A CN201910067413A CN109639734B CN 109639734 B CN109639734 B CN 109639734B CN 201910067413 A CN201910067413 A CN 201910067413A CN 109639734 B CN109639734 B CN 109639734B
Authority
CN
China
Prior art keywords
layer
data
length
identification
rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910067413.4A
Other languages
English (en)
Other versions
CN109639734A (zh
Inventor
张琬茜
齐恒
李克秋
王军晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dalian University of Technology
Original Assignee
Dalian University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dalian University of Technology filed Critical Dalian University of Technology
Priority to CN201910067413.4A priority Critical patent/CN109639734B/zh
Publication of CN109639734A publication Critical patent/CN109639734A/zh
Application granted granted Critical
Publication of CN109639734B publication Critical patent/CN109639734B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种具有计算资源自适应性的异常流量检测方法,属于计算机网络和机器学习的交叉领域。该方法包括模型训练和在线识别两部分,目的在于可以根据当前CPU资源情况,动态调节模型的参数,在满足准确率的情况下,提高识别的速度,同时可以降低内存占用率。本发明构建了一个动态获取参数方法,由此实现根据当前CPU占用率的情况,通过建立好的模型得到相应的参数,再利用该参数用深度学习模型对流量进行检测。

Description

一种具有计算资源自适应性的异常流量检测方法
技术领域
本发明属于计算机网络和机器学习的交叉领域,涉及一种具有计算资源自适应性的异常流量检测方法。
背景技术
近年来,随着互联网的不断发展,网络流量的规模呈现爆炸式的增长,同时网络应用的多样化使得网络安全问题变得复杂多样。一些恶意攻击产生的异常流量影响了网络服务的正常运行,严重者甚至可以造成大规模的网络瘫痪。网络异常流量检测一般是通过对网络流量数据进行检测和分析,尽早识别出网络中是否存在攻击和破坏行为,为网络安全管理提供决策依据。因此,网络异常流量检测已成为网络安全研究的重点。
传统的流量检测方法包括基于端口的预测方法和基于有效载荷的深度检测方法。基于端口的方法很简单,因为许多众所周知的应用程序都有特定的端口号。然而并不是所有当前的应用程序都使用标准端口号,有些应用程序甚至使用其他应用程序的端口来伪装自己,避免了被该方法检测到。另一种方法是检查每个数据包的有效载荷。当有效载荷未加密时,这种技术可以是非常准确的。但是有些P2P的应用如BitTorrent使用纯文本密码、可变长度的包和一些加密手段来进行信息保护,从而无法实现检测与识别。
为了避免传统方法存在的问题,人们越来越多开始研究使用机器学习的方法来实现流量检测。该类方法通常是基于训练数据集建立一个用于流量分类的模型,从而利用模型对流量进行分类来达到检测的目的。目前大多数的研究都是针对模型及算法进行改进来追求检测的准确率,而往往忽视了算法在实际应用中所要面临的计算资源有限性等问题。
例如,在当前基于深度学习的流量检测模型中,所输入的数据长度往往是固定的。一些工作是截取网络流的前N个字节或前M个数据包,转换为图像作为二维卷积神经网络的输入;还有的工作是截取数据包的前N个字节直接作为一维卷积神经网络的输入。这些采用固定长度参数的方法会存在一些问题:(1)要研究的对象(对话或数据包等等)所包含的信息可能并没有那么多,就会进行大量的补零操作,导致识别应用的时间很长。(2)如果将参数修改很小,识别时间就会变短,并行计算会很快,程序调用的会更频繁导致CPU占用率变得很高。可能出现丢包以及系统崩溃的情况。
综上,在当前新型应用不断涌现的互联网环境中,实现基于机器学习的网络异常流量检测,需要一种根据计算资源即CPU占用率来动态调节参数的方法作为支撑。
发明内容
为了克服上述不足,本发明提出了一种具有计算资源自适应性的异常流量检测方法,目的在于可以根据当前CPU资源情况,动态调节模型的参数,在满足准确率的情况下,提高识别的速度,同时可以降低内存占用率。本发明构建了一个动态获取参数方法,由此实现根据当前CPU占用率的情况,通过建立好的模型得到相应的参数,再利用该参数用深度学习模型对流量进行检测。
为了达到上述目的,本发明所采用的技术方案如下:
一种具有计算资源自适应性的异常流量检测方法,包括模型训练和在线识别;
步骤一、模型训练
首先,将给定数据集分成训练数据集与测试数据集;然后,利用训练数据集建立用于分类的网络模型1D-CNN,利用测试数据集测试1D-CNN,测试过程中不断修正参数,得到三类实验数据:识别时间、识别准确率和当前CPU占用率的情况;最后,将三类实验数据分别送到最小二乘法算法中得到三个回归模型:(1)识别时间与CPU空闲率:t=f1(x);(2)截取长度与识别时间:l=f2(x);(3)识别准确率与截取长度:p=f3(x);由图1可以很好理解整个模型训练的过程。当离线模型建立好之后,就进入了第二部分在线识别。本发明和其它的基于机器学习的流量识别方法不同在于,可以根据当前的CPU占用率的情况来实时调节参数,从而使得识别效果达到最佳状态。因此面对网络流量这个不断变化的应用场景,该方法十分适用。
步骤二、在线识别
(2.1)CPU占用率监控:监控并获取当前机器运转情况下CPU占用率的情况;
(2.2)获取参数:
(A)获取识别时间t
设监控到当前CPU占用率为a,则空闲率为1-a,将当前CPU空闲率输入线性回归函数t=f1(x),得到获取识别时间t。
(B)获取截取长度l
将当前CPU占用率情况下允许的最短识别时间tmin输入线性回归函数l=f2(x),得到应截取的长度l;
(C)获取识别准确率p
将应截取的长度l输入非线性回归函数p=f3(x),得到识别准确率p。
(D)判断准确率
设当前保证准确率达到p’,则将步骤(C)获得的p与p’进行比较,当满足准确率要求时,则直接输出截取长度l,否则将l递增,循环执行步骤(C)中,直到满足准确率p’,再输出截取长度l。
(2.3)网络流量数据的采集:对计算机网络数据流的特性和变化情况进行监测和分析,掌握整个网络的流量特性;
(2.4)网络流量数据的预处理
(E)通过editcap命令将应用的首个数据包分离提取出来;
(F)将数据包的内容转换成用十进制表示;
(G)截取前N个字节,即步骤(D)获取的截取长度l;
(2.5)1D-CNN流量的识别
(H)数据预处理:根据当前计算机的CPU占用率,计算出当前CPU的空闲率,再通过函数t=f1(x)计算出识别时间,然后根据时间-截断长度的关系式l=f2(x)计算出应输入的截取长度,根据截取长度对数据进行预处理,并对于网络模型中相应的截取长度参数进行修改。
(I)特征提取:修改之后的数据送入1D-CNN网络中,首先经过大小为(5,32)的第一层卷积层进行卷积操作,接着进行Relu层的激活,然后BN层对于激活后的特征层进行标准化,标准化的结果送入到最大池化层进行特征压缩,用保存比率0.25的Dropout来防止过拟合;以上过程顺序执行两次,将普通的数据流量信息转变为高级的特色抽象,用于后续的分类预测。
(J)全连接映射:将步骤(I)提取出来的高级的特色抽象进行线性映射,结合BN层和相应的保存比率为0.5的Dropout层来防止整体模型的过拟合;全连接层、BN层和Dropout层的顺序执行两次,两步的全连接权值大小均是200,然后经过大小为k(k代表数据集中所包含的类别)的全连接层进行输出的类别数量调整,对应全部的k个类别。
(K)SoftMax类别预测与交叉熵loss监督:长度为k的向量送入SoftMax层进行归一化,在实时的在线识别过程中选取其中概率最大的结果作为最终的预测分类标签。在模型训练过程中,将k个类别对应的softmax逻辑值,与训练数据集中真实标签的one-hot编码进行交叉熵的计算,交叉熵作为1D-CNN网络模型的loss函数来监督1D-CNN网络模型的训练,1D-CNN网络模型通过自适应学习率的RMSprop算法进行优化;并最后识别出应用属于哪个类别,从而知道是否存在异常。
所述步骤(2.1)中的监控方法为:通过打开任务管理器,监控当前的CPU占用率情况。
所述步骤(2.3)中的采集方法为Sniffer法。
本发明的有益效果:本发明是根据当前CPU资源情况动态调节参数进行的流量识别。目前的方法里面的参数都是固定不变的,不考虑当前机器的性能,这会带来很多问题如:当CPU占用率很低的情况下,截取很长的字节进行识别,这会增加内存的占用率,而且识别速度还比较慢;当CPU占用率很高的情况下,截取短的字节进行识别,程序调用的会很频繁,会出现CPU占用率过高导致系统崩溃等情况。所以本发明要考虑当前CPU资源情况再决定模型中的参数(截取的长度),提高了网络流量检测的运行速率以及灵活性。本方法更适用于解决当前新应用层出不穷的互联网环境下的流量检测问题。
附图说明
图1为本发明的模型训练过程图。
图2为本发明的获取参数过程图。
图3为本发明的1D-CNN网络结构图。
具体实施方式
下面对本发明的实施方式进行详细说明。
一种具有计算资源自适应性的异常流量检测方法,该方法分为模型训练和在线识别两个部分。模型训练部分主要是利用数据集,将数据集分成训练数据集和测试数据集。首先通过训练数据集去建立网络模型即1D-CNN,然后通过测试数据集去测试该模型。在测试过程中,不断的修改参数(即截取长度)得到所对应的识别时间、识别准确率以及当前CPU占用率的情况。通过大量的测试实验之后,会得到很多的实验数据。将这些数据整理,分别送到最小二乘法的算法中进行训练得到如下三个函数(回归模型)关系:
(1)识别时间与CPU空闲率:t=f1(x)
(2)截取长度与识别时间:l=f2(x)
(3)识别准确率与截取长度:p=f3(x)
第二部分在线识别具体为:
(1)CPU占用率监控
CPU占用率是表示运行的程序所占用的CPU资源,表示机器在某个时间点的运行程序的情况。占用率越高,说明机器在这个时间上运行了很多程序,反之较少。可以通过DOS命令实时监控当前的CPU占用率的情况,并且获取该数据。
(2)获取参数
主要是包含三个回归模型以及一个判断函数。这三个模型都是通过模型训练过程得到的。具体获取步骤(见图2)如下:
步骤一:获取识别时间t
该参数需要通过线性回归函数t=f1(x)得到,该函数是通过大量实验的识别时间与CPU占用率两者数据在最小二乘法算法训练得到的。输入数据应是当前CPU空闲率,即假设监控到当前CPU占用率为a,则空闲率为1-a。通过线性回归函数即可得到识别时间t。
步骤二:获取截取长度l
该参数需要通过线性回归函数l=f2(x)得到,该函数是通过大量实验的截取长度与识别时间两者数据在最小二乘法算法中训练得到的。输入数据应是当前CPU占用率情况下允许的最短识别时间t,通过该线性回归函数即可得到应截取的长度l。
步骤三:获取识别准确率p
该参数需要通过非线性回归函数p=f3(x)得到,该函数是通过大量实验的识别准确率和截取长度两者数据在最小二乘法算法中训练得到的。输入数据的是选择的截取长度l,通过该非线性回归函数即可得到识别准确率p。
步骤四:判断准确率
根据当前识别的需要,比如当前至少保证准确率达到p’,则需要将步骤三获得的p与p’进行比较,如果满足,则直接输出截取长度l,否则将l递增,循环执行模型三中算法,直到满足准确率p’。再输出截取长度l。
(3)网络流量数据采集
网络测量是分析和研究网络行为的重要途径,也是进行网络监控管理和优化设计的重要依据,而网络流量采集则是网络测量中最具代表性的测量形式之一。网络流量采集主要是对计算机网络数据流的特性和变化情况进行监测和分析,以掌握整个网络的流量特性,该过程中可以通过一些现有的方法和工具来采集网络流量数据。
(4)网络流量数据预处理
网络流量数据的预处理过程对高效识别起着至关重要的作用。预处理主要分以下3个步骤:a.取出获取应用数据的首个数据包;b.将数据包的内容转换成用十进制表示;c.截取前N(即前面得到的参数)个字节。经过一系列处理之后,数据可以被模型更好的识别,达到很高的准确率。
(5)1D-CNN流量识别
本发明的网络结构如图3所示。根本框架实现参考于深度学习分类任务的经典模式,卷积层(Convolutional Layers)与最大池化层(Max_Pooling Layers)进行特征提取,结合激活层(该模型均采用线性修正单元,即Relu作为激活函数)进行特征筛选,然后经过全连接层(Full Connection Layers)进行线性映射,最后通过SoftMax层进行归一化,并将概率最大的值作为最终网络模型预测的网络流量类别。网络模型的输入为读取的网络流量数据,可以根据当前计算机的CPU占用率来进行不同长度的截断,以适应不同的计算机性能条件,并输出相应的识别准确率。由于输入的网络流量数据较为发散,数据之间差异较大,为了保证训练过程较为理想的收敛,在适当的位置添加了BN层(Batch NormalizationLayers)来保证数据的标准化,同时添加了必要的Dropout层并配以不同的比率来防止整体网络结构的过拟合。整体网络模型的流程如下:
1)数据预处理:根据当前计算机的CPU占用率来推算出每条数据所需的处理时间,然后根据时间-截断长度的关系式计算出应输入的数据长度,依此对从packet中读取出来的数据进行截取,并依此对于网络模型中相应的参数进行修改。
2)特征提取:修改之后的数据送入网络中,首先经过大小为(5,32)的第一层卷积层进行卷积操作,紧跟着进行Relu层的激活(代码实现中Relu层融合在卷积层内部,因而在图3中没有表示),然后BN层对于激活后的特征层进行标准化,标准化的结果送入到最大池化层进行特征压缩,用保存比率0.25的Dropout来防止过拟合。上述过程会顺序执行两次,如图3所示,将普通的数据流量信息转变为高级的特色抽象,为后续的分类预测奠定基础。
3)全连接映射:这里的全连接作用与传统的深度学习分类任务同理,将上一步提取出来的特征进行线性映射,同样结合了BN层和相应的Dropout层(保存比率0.5)来防止整体模型的过拟合。全连接层、BN层和Dropout层的顺序执行同样是两次,两步的全连接权值大小均是200,然后经过大小为k的全连接层进行输出的类别数量调整,对应全部的k个类别。
4)SoftMax类别预测与交叉熵loss监督:长度为k的向量送入SoftMax层进行归一化,在测试过程中选取其中概率最大的结果作为最终的预测分类标签。在训练过程中,将k个类别对应的softmax逻辑值,与数据集中真实标签的one-hot编码进行交叉熵的计算,作为网络模型的loss函数来监督整体模型的训练,训练模型通过自适应学习率的RMSprop算法进行优化。
以上本发明所述是具有计算资源自适应性的异常流量检测方法,表达了本发明的实施方式,但并不能因此而理解为对本发明专利的范围的限制,应当指出,对于本领域的技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些均属于本发明的保护范围。

Claims (3)

1.一种具有计算资源自适应性的异常流量检测方法,其特征在于,包括模型训练和在线识别;
步骤一、模型训练
首先,将给定数据集分成训练数据集与测试数据集;然后,利用训练数据集建立用于分类的网络模型1D-CNN,利用测试数据集测试1D-CNN,测试过程中不断修正参数,得到三类实验数据:识别时间、识别准确率和当前CPU占用率的情况;最后,将三类实验数据分别送到最小二乘法算法中得到三个回归模型:(1)识别时间与CPU空闲率:t=f1(x);(2)截取长度与识别时间:l=f2(t);(3)识别准确率与截取长度:p=f3(l);
步骤二、在线识别
(2.1)CPU占用率监控:监控并获取当前机器运转情况下CPU占用率的情况;
(2.2)获取参数:
(A)获取识别时间t
设监控到当前CPU占用率为a,则空闲率为1-a,将当前CPU空闲率输入线性回归函数t=f1(x),得到识别时间t;
(B)获取截取长度l
将当前CPU占用率情况下允许的最短识别时间tmin输入线性回归函数l=f2(t),得到应截取的长度l;
(C)获取识别准确率p
将应截取的长度l输入非线性回归函数p=f3(l),得到识别准确率p;
(D)判断准确率
设当前保证准确率达到p’,则将步骤(C)获得的p与p’进行比较,当满足准确率要求时,则直接输出截取长度l,否则将l递增,循环执行步骤(C),直到满足准确率p’,再输出截取长度l;
(2.3)网络流量数据的采集:对计算机网络数据流的特性和变化情况进行监测和分析,掌握整个网络的流量特性;
(2.4)网络流量数据的预处理:
(E)通过editcap命令将应用的首个数据包分离提取出来;
(F)将数据包的内容转换成用十进制表示;
(G)截取前N个字节,即步骤(D)获取的截取长度l;
(2.5)1D-CNN流量的识别:
(H)数据预处理:根据当前计算机的CPU占用率,计算出当前CPU的空闲率,再通过函数t=f1(x)计算出识别时间,然后根据时间-截取长度的关系式l=f2(t)计算出应输入的截取长度,根据截取长度对数据进行预处理,并对于网络模型中相应的截取长度参数进行修改;
(I)特征提取:修改之后的数据送入1D-CNN网络模型中,首先经过大小为(5,32)的第一层卷积层进行卷积操作,接着进行Relu层的激活,然后BN层对于激活后的特征层进行标准化,标准化的结果送入到最大池化层进行特征压缩,用保存比率0.25的Dropout层来防止过拟合;以上过程顺序执行两次,将普通的数据流量信息转变为高级的特色抽象,用于后续的分类预测;
(J)全连接映射:将步骤(I)提取出来的高级的特色抽象进行线性映射,结合BN层和相应的保存比率为0.5的Dropout层来防止整体模型的过拟合;全连接层、BN层和Dropout层顺序执行两次,两次的全连接权值大小均是200,然后经过大小为k的全连接层进行输出的类别数量调整,对应全部的k个类别;
(K)SoftMax类别预测与交叉熵loss监督:长度为k的向量送入SoftMax 层进行归一化,在实时的在线识别过程中选取其中概率最大的结果作为最终的预测分类标签;在模型训练过程中,将k个类别对应的SoftMax逻辑值,与训练数据集中真实标签的one-hot编码进行交叉熵的计算,交叉熵作为1D-CNN网络模型的loss函数来监督1D-CNN网络模型的训练,1D-CNN网络模型通过自适应学习率的RMSprop算法进行优化;并最后识别出应用属于哪个类别,从而知道是否存在异常。
2.根据权利要求1所述的一种具有计算资源自适应性的异常流量检测方法,其特征在于,所述步骤(2.1)中的监控方法为:通过打开任务管理器,监控当前的CPU占用率情况。
3.根据权利要求1或2所述的一种具有计算资源自适应性的异常流量检测方法,其特征在于,所述步骤(2.3)中的采集方法为Sniffer法。
CN201910067413.4A 2019-01-24 2019-01-24 一种具有计算资源自适应性的异常流量检测方法 Active CN109639734B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910067413.4A CN109639734B (zh) 2019-01-24 2019-01-24 一种具有计算资源自适应性的异常流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910067413.4A CN109639734B (zh) 2019-01-24 2019-01-24 一种具有计算资源自适应性的异常流量检测方法

Publications (2)

Publication Number Publication Date
CN109639734A CN109639734A (zh) 2019-04-16
CN109639734B true CN109639734B (zh) 2021-02-12

Family

ID=66063359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910067413.4A Active CN109639734B (zh) 2019-01-24 2019-01-24 一种具有计算资源自适应性的异常流量检测方法

Country Status (1)

Country Link
CN (1) CN109639734B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112181128A (zh) * 2019-07-04 2021-01-05 北京七鑫易维信息技术有限公司 具有计算资源自适应的视线估计方法及装置
CN112866175B (zh) * 2019-11-12 2022-08-19 华为技术有限公司 一种异常流量类型保留方法、装置、设备及存储介质
CN111200564B (zh) * 2019-12-24 2022-09-06 大连理工大学 一种基于多通道卷积神经网络的高效网络流量识别方法
CN114285612B (zh) * 2021-12-14 2023-09-26 北京天融信网络安全技术有限公司 一种异常数据检测的方法、系统、装置、设备及介质
CN115016433B (zh) * 2022-06-01 2024-06-28 哈尔滨工业大学(威海) 一种车载can总线流量异常检测方法及系统
CN117708599A (zh) * 2024-02-04 2024-03-15 荣耀终端有限公司 一种地面材质识别方法、网络的训练方法及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108809948A (zh) * 2018-05-21 2018-11-13 中国科学院信息工程研究所 一种基于深度学习的异常网络连接检测方法
CN108932480A (zh) * 2018-06-08 2018-12-04 电子科技大学 基于1d-cnn的分布式光纤传感信号特征学习与分类方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10002402B2 (en) * 2015-07-23 2018-06-19 Sony Corporation Learning convolution neural networks on heterogeneous CPU-GPU platform
CN107682216B (zh) * 2017-09-01 2018-06-05 南京南瑞集团公司 一种基于深度学习的网络流量协议识别方法
CN108173708A (zh) * 2017-12-18 2018-06-15 北京天融信网络安全技术有限公司 基于增量学习的异常流量检测方法、装置及存储介质
CN108809974A (zh) * 2018-06-07 2018-11-13 深圳先进技术研究院 一种网络异常识别检测方法及装置
CN109002890A (zh) * 2018-07-11 2018-12-14 北京航空航天大学 卷积神经网络模型的建模方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108809948A (zh) * 2018-05-21 2018-11-13 中国科学院信息工程研究所 一种基于深度学习的异常网络连接检测方法
CN108932480A (zh) * 2018-06-08 2018-12-04 电子科技大学 基于1d-cnn的分布式光纤传感信号特征学习与分类方法

Also Published As

Publication number Publication date
CN109639734A (zh) 2019-04-16

Similar Documents

Publication Publication Date Title
CN109639734B (zh) 一种具有计算资源自适应性的异常流量检测方法
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN114615093B (zh) 基于流量重构与继承学习的匿名网络流量识别方法及装置
CN109309630A (zh) 一种网络流量分类方法、系统及电子设备
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN102420723A (zh) 一种面向多类入侵的异常检测方法
CN110796196A (zh) 一种基于深度判别特征的网络流量分类系统及方法
CN107360152A (zh) 一种基于语义分析的Web威胁感知系统
CN112804253B (zh) 一种网络流量分类检测方法、系统及存储介质
CN109766992A (zh) 基于深度学习的工控异常检测及攻击分类方法
CN117113262B (zh) 网络流量识别方法及其系统
CN109951462B (zh) 一种基于全息建模的应用软件流量异常检测系统及方法
CN110768971A (zh) 适用于人工智能系统的对抗样本快速预警方法及系统
CN117375896A (zh) 基于多尺度时空特征残差融合的入侵检测方法及系统
CN112261063A (zh) 结合深度分层网络的网络恶意流量检测方法
CN114553591A (zh) 随机森林模型的训练方法、异常流量检测方法及装置
CN110943974B (zh) 一种DDoS异常检测方法及云平台主机
CN112884121A (zh) 基于生成对抗深度卷积网络的流量识别方法
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN115811440A (zh) 一种基于网络态势感知的实时流量检测方法
CN116633601A (zh) 一种基于网络流量态势感知的检测方法
CN117176664A (zh) 一种物联网用异常流量监控系统
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN117633627A (zh) 一种基于证据不确定性评估的深度学习未知网络流量分类方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant