CN110381015A - 一种基于入侵检测系统报警信息的聚类分析方法 - Google Patents

一种基于入侵检测系统报警信息的聚类分析方法 Download PDF

Info

Publication number
CN110381015A
CN110381015A CN201910477994.9A CN201910477994A CN110381015A CN 110381015 A CN110381015 A CN 110381015A CN 201910477994 A CN201910477994 A CN 201910477994A CN 110381015 A CN110381015 A CN 110381015A
Authority
CN
China
Prior art keywords
warning message
data
alert data
detection system
intruding detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910477994.9A
Other languages
English (en)
Inventor
裴庆祺
杨舟
李景超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian University of Electronic Science and Technology
Original Assignee
Xian University of Electronic Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian University of Electronic Science and Technology filed Critical Xian University of Electronic Science and Technology
Priority to CN201910477994.9A priority Critical patent/CN110381015A/zh
Publication of CN110381015A publication Critical patent/CN110381015A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Signal Processing (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于计算机网络安全技术领域,公开了一种基于入侵检测系统报警信息的聚类分析方法,获取入侵检测系统输出的初始报警数据;预处理初始报警数据并进行格式转换,得到标准初始报警数据集;改进传统K‑means聚类算法,集成到Weka应用平台,分析标准初始报警数据集;持久化存储得到的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果。本发明通过改进传统的K‑means算法,将改进的聚类算法集成到Weka应用平台,实现改进聚类算法的实践应用;通过选取典型的Snort系统为基础研究平台,对系统初始报警数据进一步分析处理,解决报警信息冗余泛滥问题,提高入侵检测系统报警信息准确性。

Description

一种基于入侵检测系统报警信息的聚类分析方法
技术领域
本发明属于计算机网络安全技术领域,尤其涉及一种基于入侵检测系统报警信息的聚类分析方法。
背景技术
目前,最接近的现有技术:入侵检测技术是保证网络安全的重要手段,通过在网络关键节点中部署入侵检测模块,可以有效利用流量数据对来访者进行分析,识别其是否具有恶意攻击行为。经过数十年的发展,入侵检测系统已被验证可对区域网络或数据中心实施有效地监控,从而保护系统资源不被破坏。入侵检测系统一直是网络安全领域中的重要研究课题,虽然如今典型的Snort系统能融合机器学习的科研成果来提高自身的检测能力,但忽略了系统报警信息的进一步分析。随着网络及数据流量的规模扩大,入侵检测系统的误报问题显得更加突出,系统报警信息冗余泛滥问题更加严重,使得网络管理人员难以提取有效的报警消息,因此无法快速解决外部安全威胁因素。
怀卡托知识分析环境,是一套应用到数据挖掘实践过程的软件平台。Weka是新西兰怀卡托大学使用Java语言编写的数据挖掘机器学习开源软件,软件内包含了一整套的数据处理方式和训练机器学习模型的算法。Weka平台至今已经经历了二十多年的发展和完善,软件平台内部已经集成了几乎所有数据挖掘领域涉及的经典以及最新的数据处理算法和性能评估方法。
现有技术一提出了一种在线关联入侵报警信息的自适应方法,使用贝叶斯网络自动提取相关报警数据之间的约束和因果关系信息。但是该方案未考虑前期入侵检测系统报警信息的获取来源和报警数据的预处理工作,导致提取出来的数据关联信息可信力大大降低,难以体现出报警信息之间真正的关联性。
现有技术二一种基于角标随机读取的Snort报警数据聚合方法,该申请提出的以随机生成角标的方式对获得的Snort系统报警数据进行随机打散排列,计算打散后的Snort系统报警数据的各属性的相似度和权重值,根据得到的各属性的相似度和权重值计算每条Snort报警数据的相似度,并聚合报警结果。该方案根据随机打乱的报警数据计算相似度和权重值,在一定程度上保证了报警数据的均匀分布,但是由该方案计算得到权重值随机性很大,所以会导致聚合结果出现较大的误差。
综上所述,现有技术存在的问题是:
(1)现有技术一未考虑前期入侵检测系统报警信息的获取来源和报警数据的预处理工作,导致提取出来的数据关联信息可信力大大降低,难以体现出报警信息之间真正的关联性。
(2)现有技术二计算得到权重值随机性很大,导致聚合结果出现较大的误差。
解决上述技术问题的难度:
(1)如何对初始的报警数据进行预处理得到标准化的初始数据集。
(2)采用合适的算法对标准化的初始数据集进行分析得到最终优化的报警信息。
解决上述技术问题的意义:
能够获取到更加高效的报警信息,避免入侵检测系统漏报误报问题,极大程度上改善入侵检测系统报警信息泛滥问题,提升入侵检测系统的整体性能。
发明内容
针对现有技术存在的问题,本发明提供了一种基于入侵检测系统报警信息的聚类分析方法。
本发明是这样实现的,一种基于入侵检测系统报警信息的聚类分析方法,所述基于入侵检测系统报警信息的聚类分析方法包括:
第一步,定向重放网络公开攻击源数据集到部署Snort系统监测的主机节点中,开启多进程模式检测攻击数据报文流量,获得初始报警数据;
第二步,预处理得到初始报警数据,从初始报警数据中提取出时间值、攻击源IP地址、目标IP地址、源服务端口值、目的服务端口值、报文协议和报警提示信息等字段值,将报警数据字段格式统一转换为数值型,得到标准化的初始报警数据集;
第三步,基于Weka应用平台改进聚类算法,处理得到的标准化的报警数据集,得到最终优化的报警信息;
第四步,持久化存储得到的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果。
进一步,所述步骤一中定向重放网络公开攻击源数据集使用数据重放工具Tcpreplay将UNSW-NB15源数据集内的数据包目的IP地址修改为部署了Snort系统的网络节点的网卡IP地址,然后重放修改过数据包内容的UNSW-NB15数据集。
进一步,所述步骤三基于Weka应用平台改进聚类算法,处理得到的标准化的报警数据集,得到最终优化的报警信息具体包括:
(1)基于报警数据场景改进传统的K-means聚类算法,使用Java代码实现改进的聚类算法,以Java包的形式集成到Weka应用平台中;
(2)输入标准化的初始报警数据集到Weka应用平台,使用改进的K-means聚类算法分析初始报警数据集的关联信息,得到最终的聚合报警信息。
进一步,所述改进传统的K-means聚类算法实现如下:
(1)对于得到的标准化的初始报警数据集,用S表示,定义距离公式:
其中,L为类间距离,是第i个聚类集合的均值中心,是样本数据集S的中心点,k为数据集聚类数目;
(2)计算数据集S中两条报警数据间的简单欧式距离d(x,y):
其中,x,y两点表示数据集S中两条报警数据,n表示报警数据维度;
(3)在(2)的距离公式中给提取的每个属性值赋一个相应的权重值,得到加权欧式距离:
其中,x=(x1,x2,···,xn),y=(y1,y2,···,yn),x,y两点表示数据集S中两个具有n维属性的报警数据,ωn表示第n个属性分量的权重值;
(4)使用平方误差函数作为聚类收敛的目标函数:
其中,SSE表示报警数据集中数据与所属类的中心点的欧式距离的平方和,ci为类的质心,x为报警数据的集合。
进一步,输入标准化的初始报警数据集到Weka应用平台,使用改进的聚类算法分析数据集,是指将得到的标准化初始报警数据集文件格式转换为属性-关系格式文件,输入到Weka应用平台,使用聚类算法分析标准的初始报警数据集。
进一步,所述步骤四的持久化存储得到的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果具体包括:
(1)将最终报警信息保存为CSV文件格式,导入到MySQL数据库中事先建好的数据表中;
(2)使用Java后台程序调用(1)数据表中的报警数据,封装成公共API接口;
(3)前端页面和后台程序以JSON数据格式交互,调用(2)的接口数据,在前端显示最终的报警信息结果。
本发明的另一目的在于提供一种应用所述基于入侵检测系统报警信息的聚类分析方法的计算机网络安全控制系统。
本发明的另一目的在于提供一种应用所述基于入侵检测系统报警信息的聚类分析方法的入侵检测系统。
综上所述,本发明的优点及积极效果为:通过重放UNSW-NB15原始数据集,同时开启Snort系统进程进行数据检测,获取初始报警数据;初始报警数据经过预处理后,提取出特征属性,得到初始报警数据集;基于Weka应用平台使用改进的K-means聚类算法处理报警数据集,得到最终优化过报警信息,以聚合相似的报警信息,解决报警信息冗余泛滥的问题,从而提高入侵检测系统检测的准确率。
本发明使用UNSW-NB15数据集作为重放的攻击数据源,结合常用的攻击测试手段,能得到更加完善的初始报警数据,保证下一步聚类分析达到的效果。本发明提出使用无监督聚类算法分析入侵检测系统报警数据的思路,通过改进传统的K-means算法以更加适应报警数据分析场景,并将改进的聚类算法集成到Weka应用平台,实现改进聚类算法的实践应用;通过选取典型的Snort系统为基础研究平台,对系统初始报警数据进一步分析处理,解决报警信息冗余泛滥问题,提高入侵检测系统报警信息准确性。
附图说明
图1是本发明实施例提供的基于入侵检测系统报警信息的聚类分析方法流程图。
图2是本发明实施例提供的基于入侵检测系统报警信息的聚类分析方法原理图。
图3是本发明实施例提供的基于入侵检测系统报警信息的聚类分析方法实现流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明选取典型的Snort系统为基础研究平台,提出一种基于入侵检测系统报警信息的聚类分析方法;以解决报警信息冗余泛滥问题,提高系统报警信息准确性,实现对系统报警信息的优化。Snort是一个强大的入侵检测系统,Snort的整体结构由四大软件模块组成,分别是:数据包嗅探模块、预处理模块、检测引擎模块和报警日志模块。
下面结合附图对本发明的应用原理作详细的描述。
如图1所示,本发明实施例提供的基于入侵检测系统报警信息的聚类分析方法包括以下步骤:
S101:定向重放网络公开攻击源数据集到部署Snort系统监测的网络节点中,开启多进程模式检测攻击数据报文流量,获得初始报警数据;
S102:预处理得到初始报警数据,从初始报警数据中提取出时间值、攻击源IP地址、目标IP地址、源服务端口值、目的服务端口值、报文协议和报警提示信息等字段值,将报警数据字段格式统一转换为数值型,得到标准化的初始报警数据集;
S103:基于Weka应用平台改进聚类算法,处理得到的标准化的报警数据集,得到最终优化的报警信息;
S104:持久化存储得到的最终的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果。
在本发明的优选实施例中,步骤S103具体包括:
(1)基于报警数据场景改进传统的K-means聚类算法,使用Java代码实现改进的聚类算法,以Java包的形式集成到Weka应用平台中,作为一种聚类分析算法使用;
(2)输入标准化的初始报警数据集到Weka应用平台,使用(1)改进的K-means聚类算法分析初始报警数据集的关联信息,得到最终的聚合报警信息;
下面结合附图对本发明的应用原理作进一步的描述。
如图2和图3所示,本发明实施例提供的基于入侵检测系统报警信息的聚类分析方法包括以下步骤:
步骤一,初始报警数据获取。
使用数据重放工具Tcpreplay将UNSW-NB15源数据集内的数据包目的IP地址修改为部署了Snort系统的主机节点的网卡IP地址,然后重放修改过数据包内容的UNSW-NB15数据集,结合Kali系统本身集成的攻击方式,实现对目标主机的多累攻击方式测试;在部署Snort系统的主机节点上,开启Snort多进程实现对流量数据的分析检测,识别出攻击流量数据并输出初始报警数据,同时将Snort系统输出的初始报警数据转化为CSV文件格式。
步骤二,初始报警数据处理和格式转换。
预处理步骤一得到初始报警数据,从初始报警数据中提取出时间值、攻击源IP地址、目标IP地址、源服务端口值、目的服务端口值、报文协议和报警提示信息等特征字段值,并将报警数据字段格式统一转换为数值型数据,报警数据集文件转换为属性-格式文件格式,最终得到标准化的初始报警数据集。标准的报警数据集的内容格式如下:
1552383137,TCP,'BAD-TRAFFIC',192.168.225.128,2676,192.168.225.133,0
1552383138,TCP,'BAD-TRAFFIC',192.168.225.128,2677,192.168.225.133,0
步骤三,基于Weka应用平台的聚类算法改进,初始报警数据集分析。
改进传统的K-means聚类算法,并将算法集成到Weka应用平台,对初始报警数据集进行聚类分析,其实现步骤如下,
(1)对于步骤二得到的标准化的初始报警数据集,用S表示,定义如下距离公式:
其中,L为类间距离,是第i个聚类集合的均值中心,是样本数据集S的中心点,k为数据集聚类数目;
(2)计算数据集S中两条报警数据间的简单欧式距离d(x,y),定义如下:
其中,x,y两点表示数据集S中两条报警数据,n表示报警数据维度;
(3)在(2)的距离公式中给步骤二提取的每个属性值赋一个相应的权重值,得到加权欧式距离,定义如下:
其中,x=(x1,x2,···,xn),y=(y1,y2,···,yn),x,y两点表示数据集S中两个具有n维属性的报警数据,ωn表示第n个属性分量的权重值;
(4)改进的K-means聚类算法使用平方误差函数作为聚类收敛的目标函数,定义如下:
其中,SSE表示报警数据集中数据与其所属类的中心点的欧式距离的平方和,ci为类的质心,x为报警数据的集合;
(4)将改进的聚类算法集成到Weka应用平台,Weka的所有算法的核心源代码都打包在weka.src.jar中,创建自己的工作目录并将压缩文件解压到工作目录中,在其中选择weka.clusterers包,在包内添加改进的聚类算法,即新建一个类文件并命名为MyKmeans.java;然后修改配置文件,在工作目录的解压文件中找到weka.gui包,打开GenericObjectEditor.props文件,把weka.clusterers.MyKMeans添加在clusterers类区域中并按文件类名的首字母顺序排列,保存修改再次运行Weka可视化界面即可使用改进的聚类算法进行数据分析。
步骤四,最终报警信息的持久化和前端显示。
持久化存储步骤三得到的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果,其实现如下:
(1)将最终报警信息保存为CSV文件格式,导入到MySQL数据库中事先建好的数据表中;
(2)使用Java后台程序调用(1)数据表中的报警数据,封装成公共API接口;
(3)前端页面和后台程序以JSON数据格式交互,调用(2)的接口数据,在前端显示最终的报警信息结果。
下面结合实验对本发明的技术效果作详细的描述。
F-Measue即F值是一种常用的对于聚类算法分析数据结果进行评定的方法,其公式定义如下:
其中,β是加权调和平均参数,P是precision,R是recall,通常β取1。F值综合了P和R的结果,当F值较高时则能说明聚类方法更加有效。
为了验证改进的K-means聚类算法的性能,本发明选取了Weka应用平台自带的diabetes数据集,在Weka应用平台使用改进的K-means聚类算法和原有的SimpleKmeans聚类算法分别对该数据集进行聚类分析,然后对比测试的输出结果。diabetes数据集中的样本数据分为两个类别,分别是tested_negative和tested_positive,第一个类别有500条记录,第二个类别有268条记录,共有768条数据记录,每条数据样本有8种属性,其中包含了怀孕次数、皮褶的厚度、体质指数、年龄、血糖浓度以及舒张压等等数据。如下为diabetes数据集中的三条数据样本格式展示:
0,137,40,35,168,43.1,2.288,33,tested_positive
2,197,70,45,543,30.5,0.158,53,tested_positive
0,105,64,41,142,41.5,0.173,22,tested_negative
经过对diabetes数据集反复测试,原有的SimpleKmeans聚类算法收敛需要的运行时间为30ms,需要的迭代次数为7次,达到的聚类准确率为95.86%,F值为0.676。本发明改进的K-means聚类算法收敛需要的运行时间为10ms,需要的迭代次数为5次,达到的聚类准确率为98.65%,F值为0.685。
由上述聚类测试对比结果可以看到,本发明经过改进的K-means聚类算法比传统的K-means算法性能上有了多方面的提升,不但在聚类结果上更加接近原来正确的分类,在算法迭代计算时间和初始中心点选取上表现也更加合理,实验结果足以说明本发明设计改进的聚类算法的性能表现有了较大改善。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于入侵检测系统报警信息的聚类分析方法,其特征在于,所述基于入侵检测系统报警信息的聚类分析方法包括:
第一步,定向重放网络公开攻击源数据集到部署Snort系统监测的主机节点中,开启多进程模式检测攻击数据报文流量,获得初始报警数据;
第二步,预处理得到初始报警数据,从初始报警数据中提取出时间值、攻击源IP地址、目标IP地址、源服务端口值、目的服务端口值、报文协议和报警提示信息等字段值,将报警数据字段格式统一转换为数值型,得到标准化的初始报警数据集;
第三步,基于Weka应用平台改进聚类算法,处理得到的标准化的报警数据集,得到最终优化的报警信息;
第四步,持久化存储得到的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果。
2.如权利要求1所述的基于入侵检测系统报警信息的聚类分析方法,其特征在于,所述步骤一中定向重放网络公开攻击源数据集使用数据重放工具Tcpreplay将UNSW-NB15源数据集内的数据包目的IP地址修改为部署了Snort系统的网络节点的网卡IP地址,然后重放修改过数据包内容的UNSW-NB15数据集。
3.如权利要求1所述的基于入侵检测系统报警信息的聚类分析方法,其特征在于,所述步骤三基于Weka应用平台改进聚类算法,处理得到的标准化的报警数据集,得到最终优化的报警信息具体包括:
(1)基于报警数据场景改进传统的K-means聚类算法,使用Java代码实现改进的聚类算法,以Java包的形式集成到Weka应用平台中;
(2)输入标准化的初始报警数据集到Weka应用平台,使用改进的K-means聚类算法分析初始报警数据集的关联信息,得到最终的聚合报警信息。
4.如权利要求3所述的基于入侵检测系统报警信息的聚类分析方法,其特征在于,所述改进传统的K-means聚类算法实现如下:
(1)对于得到的标准化的初始报警数据集,用S表示,定义距离公式:
其中,L为类间距离,是第i个聚类集合的均值中心,是样本数据集S的中心点,k为数据集聚类数目;
(2)计算数据集S中两条报警数据间的简单欧式距离d(x,y):
其中,x,y两点表示数据集S中两条报警数据,n表示报警数据维度;
(3)在(2)的距离公式中给提取的每个属性值赋一个相应的权重值,得到加权欧式距离:
其中,x=(x1,x2,···,xn),y=(y1,y2,···,yn),x,y两点表示数据集S中两个具有n维属性的报警数据,ωn表示第n个属性分量的权重值;
(4)使用平方误差函数作为聚类收敛的目标函数:
其中,SSE表示报警数据集中数据与所属类的中心点的欧式距离的平方和,ci为类的质心,x为报警数据的集合。
5.如权利要求3所述的基于入侵检测系统报警信息的聚类分析方法,其特征在于,输入标准化的初始报警数据集到Weka应用平台,使用改进的聚类算法分析数据集,是指将得到的标准化初始报警数据集文件格式转换为属性-关系格式文件,输入到Weka应用平台,使用聚类算法分析标准的初始报警数据集。
6.如权利要求1所述的基于入侵检测系统报警信息的聚类分析方法,其特征在于,所述步骤四的持久化存储得到的聚合报警信息,将存储的报警信息封装成公共调用接口,在前端展示结果具体包括:
(1)将最终报警信息保存为CSV文件格式,导入到MySQL数据库中事先建好的数据表中;
(2)使用Java后台程序调用(1)数据表中的报警数据,封装成公共API接口;
(3)前端页面和后台程序以JSON数据格式交互,调用(2)的接口数据,在前端显示最终的报警信息结果。
7.一种应用权利要求1~6任意一项所述基于入侵检测系统报警信息的聚类分析方法的计算机网络安全控制系统。
8.一种应用权利要求1~6任意一项所述基于入侵检测系统报警信息的聚类分析方法的入侵检测系统。
CN201910477994.9A 2019-06-03 2019-06-03 一种基于入侵检测系统报警信息的聚类分析方法 Pending CN110381015A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910477994.9A CN110381015A (zh) 2019-06-03 2019-06-03 一种基于入侵检测系统报警信息的聚类分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910477994.9A CN110381015A (zh) 2019-06-03 2019-06-03 一种基于入侵检测系统报警信息的聚类分析方法

Publications (1)

Publication Number Publication Date
CN110381015A true CN110381015A (zh) 2019-10-25

Family

ID=68249699

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910477994.9A Pending CN110381015A (zh) 2019-06-03 2019-06-03 一种基于入侵检测系统报警信息的聚类分析方法

Country Status (1)

Country Link
CN (1) CN110381015A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111639277A (zh) * 2020-05-22 2020-09-08 杭州安恒信息技术股份有限公司 机器学习样本集的自动化提取方法和计算机可读存储介质
CN111709022A (zh) * 2020-06-16 2020-09-25 桂林电子科技大学 基于ap聚类与因果关系的混合报警关联方法
CN113259364A (zh) * 2021-05-27 2021-08-13 长扬科技(北京)有限公司 一种网络事件关联分析方法及装置、计算机设备
CN114004989A (zh) * 2021-11-05 2022-02-01 南京工程学院 一种基于改进K-means算法的电力安全预警数据聚类处理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0971321A2 (en) * 1998-07-01 2000-01-12 General Electric Company System and method for generating alerts through multi-variate data assessment
CN1588880A (zh) * 2004-10-15 2005-03-02 华中科技大学 基于聚类与关联的网络安全报警系统
CN101494535A (zh) * 2009-03-05 2009-07-29 范九伦 基于隐马尔可夫模型的网络入侵场景构建方法
CN103532949A (zh) * 2013-10-14 2014-01-22 刘胜利 基于动态反馈的自适应木马通信行为检测方法
CN104539626A (zh) * 2015-01-14 2015-04-22 中国人民解放军信息工程大学 一种基于多源报警日志的网络攻击场景生成方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0971321A2 (en) * 1998-07-01 2000-01-12 General Electric Company System and method for generating alerts through multi-variate data assessment
CN1588880A (zh) * 2004-10-15 2005-03-02 华中科技大学 基于聚类与关联的网络安全报警系统
CN101494535A (zh) * 2009-03-05 2009-07-29 范九伦 基于隐马尔可夫模型的网络入侵场景构建方法
CN103532949A (zh) * 2013-10-14 2014-01-22 刘胜利 基于动态反馈的自适应木马通信行为检测方法
CN104539626A (zh) * 2015-01-14 2015-04-22 中国人民解放军信息工程大学 一种基于多源报警日志的网络攻击场景生成方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张忠林等: ""基于加权欧式距离的k_means算法研究"", 《郑州大学学报(工学版)》 *
王泽芳: ""基于入侵检测的数据处理分析关键算法研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111639277A (zh) * 2020-05-22 2020-09-08 杭州安恒信息技术股份有限公司 机器学习样本集的自动化提取方法和计算机可读存储介质
CN111709022A (zh) * 2020-06-16 2020-09-25 桂林电子科技大学 基于ap聚类与因果关系的混合报警关联方法
CN113259364A (zh) * 2021-05-27 2021-08-13 长扬科技(北京)有限公司 一种网络事件关联分析方法及装置、计算机设备
CN113259364B (zh) * 2021-05-27 2021-10-22 长扬科技(北京)有限公司 一种网络事件关联分析方法及装置、计算机设备
CN114004989A (zh) * 2021-11-05 2022-02-01 南京工程学院 一种基于改进K-means算法的电力安全预警数据聚类处理方法

Similar Documents

Publication Publication Date Title
Wu et al. Network attacks detection methods based on deep learning techniques: a survey
CN110381015A (zh) 一种基于入侵检测系统报警信息的聚类分析方法
EP3528463B1 (en) An artificial intelligence cyber security analyst
Khan et al. HML-IDS: A hybrid-multilevel anomaly prediction approach for intrusion detection in SCADA systems
CN107666410B (zh) 网络安全分析系统及方法
US11258814B2 (en) Methods and systems for using embedding from Natural Language Processing (NLP) for enhanced network analytics
CN110740141A (zh) 一体化网络安全态势感知方法、装置及计算机设备
CN105637519A (zh) 使用行为辨识系统的认知信息安全性
US10567409B2 (en) Automatic and scalable log pattern learning in security log analysis
CN111538842A (zh) 网络空间态势的智能感知和预测方法、装置和计算机设备
Kheddar et al. Deep transfer learning for intrusion detection in industrial control networks: A comprehensive review
CN107360152A (zh) 一种基于语义分析的Web威胁感知系统
Lorenzen et al. Determining viability of deep learning on cybersecurity log analytics
CN113194064A (zh) 基于图卷积神经网络的webshell检测方法及装置
US11601339B2 (en) Methods and systems for creating multi-dimensional baselines from network conversations using sequence prediction models
Kumar et al. A semantic machine learning algorithm for cyber threat detection and monitoring security
Zhang et al. An automatic assessment method of cyber threat intelligence combined with ATT&CK matrix
Golczynski et al. End-to-end anomaly detection for identifying malicious cyber behavior through NLP-based log embeddings
Elbez et al. Detection of DoS attacks using ARFIMA modeling of GOOSE communication in IEC 61850 substations
Pavlov et al. Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems
Li et al. An Anomaly Detection Approach Based on Integrated LSTM for IoT Big Data
Naukudkar et al. Enhancing performance of security log analysis using correlation-prediction technique
Zhu et al. Implementation system of network user abnormal behavior detection algorithm based on data layering
Ma et al. The Advancement of Knowledge Graphs in Cybersecurity: A Comprehensive Overview
Xu et al. [Retracted] IoT‐Oriented Distributed Intrusion Detection Methods Using Intelligent Classification Algorithms in Spark

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191025