CN110650124A - 一种基于多层回声状态网络的网络流量异常检测方法 - Google Patents

一种基于多层回声状态网络的网络流量异常检测方法 Download PDF

Info

Publication number
CN110650124A
CN110650124A CN201910839401.9A CN201910839401A CN110650124A CN 110650124 A CN110650124 A CN 110650124A CN 201910839401 A CN201910839401 A CN 201910839401A CN 110650124 A CN110650124 A CN 110650124A
Authority
CN
China
Prior art keywords
network
matrix
echo state
reserve pool
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910839401.9A
Other languages
English (en)
Inventor
廖年冬
宋砚琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changsha University of Science and Technology
Original Assignee
Changsha University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changsha University of Science and Technology filed Critical Changsha University of Science and Technology
Priority to CN201910839401.9A priority Critical patent/CN110650124A/zh
Publication of CN110650124A publication Critical patent/CN110650124A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Signal Processing (AREA)
  • Molecular Biology (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Medical Informatics (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于多层回声状态网络的网络流量异常检测方法,对原始数据进行包聚合特征提取、特征编码、归一化处理,并对回声状态网络增加多个储备池来提高线性组合的复杂度,大大降低模型的检测时间,提高了检测效率。该方法能够有效地检测到异常数据,且具有较低的假阳率,极大地降低了误报情况的出现,具有较高的实用价值。

Description

一种基于多层回声状态网络的网络流量异常检测方法
技术领域
本发明涉及网络安全技术领域,具体一种基于多层回声状态网络的网络流量异常检测方法。
背景技术
随着智能电网的高速发展,当代电力自动化系统正面临形式多样、数量繁多、连续不断的网络攻击。近期,针对电力行业等国家重点产业发起的有组织的恶意网络攻击活动愈演愈烈。维护网络安全的常用设备有防火墙、入侵检测系统、入侵防御系统、漏洞扫描系统、防病毒系统、终端管理系统以及安全监控平台等。但是在流量爆炸的大数据+5G网络时代,网络流量日益庞大,这些网络安全设备不足以满足智能时代对大量数据异常检测的需求。
发明内容
针对现有技术的上述不足,本发明的目的在于提供一种运算速度快、准确率高的基于多层回声状态网络的网络流量异常检测方法,通过对原始数据包进行包聚合特征提取、特征编码、归一化操作,有效地提高了运算效率,通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数,使得在增强其鲁棒性的同时改善拟合效果。提高检测系统的分类效果。
为实现上述目的,本发明采用以下技术方案:
一种基于多层回声状态网络的网络流量异常检测方法,其特征在于,包括步骤:
S1:对原始数据包进行包聚合特征提取:将.pcap文件分割成若干条网络流,并分别遍历其中的数据包以提取五元组;
S2:对包聚合特征提取后的数据进行去冗余;
S3:特征编码处理:对标签型特征变量进行label encoding编码,选取与标签编码不同数量级的数值来编码缺失值;
S4:对特征编码后的数据集进行归一化处理;
S5:对优化后的数据集采用分层抽样法划定训练集和测试集,并从所述训练集中抽取部分样本对模型进行空转,在所述训练集上对多层回声状态网络进行训练,然后在所述测试集上进行验证,确定待测样本为正常网络流量还是异常网络流量。
优选的,所述数据集为包聚合特征提取后的网络异常流量检测原始.pcap数据包。
优选的,只需更新输出权重矩阵Wreadout
优选的,步骤S5包括:
S501:对经步骤S4归一化后的数据集采用分层抽样法划分好训练集和测试集,在所述训练集中抽取部分样本,在回声状态网络进行空转;
S502:设u(t)=(u1(t),u2(t),...,un(t)),y(t)=(y1(t),y2(t),...,yn(t))和x(t)=(x1(t),x2(t),...,xn(t))分别是在t时刻的输入序列、输出序列和储备池的状态序列,随机初始化以下参数:输入单元权重矩阵Win∈RN×K、储备池内部连接权重矩阵W∈RN×N,并设定输入单元个数K、储备池大小N和输出单元个数L;
S503:进行
Figure BDA0002191832390000031
Figure BDA0002191832390000032
计算,其中生W矩阵和Wexternal矩阵分别为储备池内部链接和储备池之间的权重矩阵,λin与λexternal分别是W和Wexternal矩阵的谱半径,将W与Wexternal的谱半径调整为α;
S504:对所有t=1,2,...,T构建M=[x(t+1);u(t+1)]矩阵与D=[e(t)]矩阵;
S505:采用岭回归计算Wreadout,正则化方程如公式(1)所示:
Wreadout=DMT(MMT+βI)-1 (1)
其中β为岭回归参数,I矩阵为单位矩阵,D=[e(t)]和M=[x(t+1);u(t+1)]分别为期望输出矩阵和状态收集矩阵,前者收集t=1,2,...,T时刻下的期望输出信号e(t),后者收集t=1,2,...T时刻下的输入信号u(t)和储备池状态x(t);
S506:通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数,使用训练集训练回声状态网络,更新多个储备池的状态和网络输出如公式(2)和公式(3)所示:
Figure BDA0002191832390000033
y(t+1)=fout(Wreadout[x(t+1);u(t+1)]) (3)
其中γ为储备池的保留率也就是储备池稀疏程度,通常为1%-2%左右,f()和fout()为激活函数,本发明将其分别设为softmax函数与sigmoid函数。
本发明一种实施方式的有益效果:
研究了一种自学习的网络流量异常检测方法。通过增加多个储备池来提高线性组合的复杂度,实现了对电力网络流量异常检测的高分类精度。通过对原始数据集进行包聚合特征提取并优化,使其更适合于分析和智能处理。优化步骤主要包括:去冗余、特征编码、归一化。为了实现网络流量的分类和识别,构造了一个能够较好地反映恶意代码网络行为的电力网络流量,并统计行为特征。
附图说明
图1是本发明一种实施方式的方法流程框架图;
图2是本发明使用模型多层回声状态网络流程图;
图3是本发明使用模型多层回声状态网络的网络结构;
图4是本发明根据各异常检测结果计算出来的F1-Score值;
图5是本发明测试结果的ROC曲线;
具体实施方式
下面通过附图及具体实施方式对本发明进行详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。为了避免混淆本发明的实质,公知的方法、过程、流程等并没有详细叙述。
本发明的网络流量异常检测方法采用多层回声状态网络,解决检测实时性差、检测准确率不高和假阳率过高的问题。其一种实施方式为:采用网络节点上采集大量同时包含正常类型和异常类型的具有现代网络流量特征的原始数据流构建训练集和测试集。对原始数据进行包聚合特征提取、特征编码、归一化处理,并通过训练集来训练多层回声状态网络,最后借助于训练好的模型在测试集上进行测试,实现未知样本分类,以确定其属于正常类型还是异常类型。
更优选的实施方式,如图1所示,包括步骤:
步骤1:对捕捉到的大量原始流量进行包聚合特征提取工作,将.pcap文件分割成若干条网络流,对每条网络流遍历其中的数据包并提取源IP地址、源端口号、目标IP地址、目标端口号、协议字段五元组,最后计算该条流所有统计特征。
包、流、特征等都封装为对象使得后续实验可以根据需要进行较好地扩展和调整,为之后训练多层回声状态网络和特征提取工作提供了一个扩展性很好的功能模块。对经过特征提取的特征向量A={y1,y2,y3,...,yn}进行类别标记预处理并转化为ARFF文件格式。
步骤2:考虑到某些特征变量存在重复值、噪声等问题,对包聚合特征提取后的数据进行去冗余处理,提高模型计算效率。
步骤3:针对特征提取后的数据集中的标签型特征变量采用label encoding进行编码,也就是将某一个特征变量的所有标签进行排序并用序号替代这些标签,同时,考虑到某些特征变量存在缺失值的问题,选取与该序号不同数量级的数值来编码缺失值。
步骤4:对特征编码后的数据集进行归一化处理将特征统一缩放至(0,1)区间,公式如(1)所示:
其中x′为对特征归一化后的数据值,xmin和xmax分别为每个特征所对应其所有特征值的最小值和最大值。
步骤5:在优化后的数据集按照8:2的比例采用分层抽样法划定训练集和测试集,并从所述训练集中抽取部分样本对模型进行空转。本发明在保证预测准确率的情况下摒弃输出反馈步骤,极大的缩短了模型训练的复杂度,提高了网络流量异常检测的效率。
多层回声状态网络的优势在于只需要调整输出权重Wreadout,本发明使用回归算法来计算。考虑到奇异矩阵不可逆的情况,采用岭回归计算输出权重。
在所述训练集上对多层回声状态网络进行训练,然后在所述测试集上进行验证,确定待测样本为正常网络流量还是异常网络流量。具体的实现过程可分为以下几个步骤:
(501):对经步骤4归一化后的数据集采用分层抽样法划分好训练集和测试集,本发明采用多层回声状态网络来分离出异常网络流量,多层回声状态网络是在回声状态网络的基础上使用了多个储备池来提高预测模型的泛化能力。
(502):设u(t)=(u1(t),u2(t),...,un(t)),y(t)=(y1(t),y2(t),...,yn(t))和x(t)=(x1(t),x2(t),...,xn(t))分别是在t时刻的输入序列、输出序列和储备池的状态序列。适当选择随机因子并随机初始化以下参数:输入单元权重矩阵Win∈RN×K、储备池内部连接权重矩阵W∈RN×N、储备池之间的权重矩阵Wexternal,并设定输入单元个数K、储备池大小N和输出单元个数L,其中输入单元个数为网络流样本的个数。
(503):为了保证回声状态属性,在所述训练集中抽取部分样本,在多层回声状态网络中进行空转后进行
Figure BDA0002191832390000071
Figure BDA0002191832390000072
计算,其中λin与λexternal分别是W和Wexternal矩阵的谱半径,将W与Wexternal的谱半径调整为α,从而建立一个松散的连接,使得输入特征信息得以在多层回声状态网络中多个储备层各自的一小部分回荡,不能迅速的传播到其他部分,确保其状态和输入在空转足够长的时间后对模型参数计算和线性拟合的影响消失。
(504):对所有t=1,2,...,T构建M=[x(t+1);u(t+1)]矩阵与D=[e(t)]矩阵,并采用岭回归计算Wreadout,正则化方程如公式(2)所示:
Wreadout=DMT(MMT+βI)-1 (2)
其中β为岭回归参数,I矩阵为单位矩阵,D=[e(t)]和M=[x(t+1);u(t+1)]分别为期望输出矩阵和状态收集矩阵,前者收集t=1,2,...,T时刻下的期望输出信号e(t),后者收集t=1,2,...T时刻下的输入信号u(t)和储备池状态x(t);
(505):通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数,使用训练集训练回声状态网络,更新多个储备池的状态和网络输出如公式(3)和公式(4)所示:
Figure BDA0002191832390000081
y(t+1)=fout(Wreadout[x(t+1);u(t+1)]) (4)
其中γ为储备池的保留率也就是储备池稀疏程度,通常为1%-2%左右,f()和fout()为激活函数,本发明将其分别设为softmax函数与sigmoid函数。
通过岭回归计算出的权重Wreadout应用于输出值的预测,在所述训练集上对所述多层回声状态网络进行训练,构建一种基于多层回声状态网络的网络流量异常检测,然后在所述测试集上进行验证,确定待测样本属于正常类型还是异常类型。
在实际应用中,初始值的随机设定、样本的数量及其他参数值可以根据经验取值,还可以设定不同的参数组合,选取测试效果满足要求且分类效果最佳的方案作为最终的模型参数。
该方法的具体实例如下:
分别抓取大量网络流量并对每种类别的网络流量进行包聚合特征提取和标记操作,构成特征向量A={a1,a2,…,an},特征提取后其特征集合如表1所示,数据集作为实验数据集,每条样本的特征数量为40,样本的类型分别为0和1,其中0表示正常,1表示异常。
表1包聚合特征提取后的数据
Figure BDA0002191832390000082
Figure BDA0002191832390000091
将去冗余的数据集中的非数值型特征进行编码,如Protocol特征,对其每个标签的编码方式如表2所示。其中,为了区别缺失值与正常值,以一个较大的数值来编码缺失值‘-’。
表2 Protocol特征编码处理
采用公式(1)对特征编码后的实验数据进行归一化处理,最终使特征向量的数值处于[0,1]之间以方便后续实验的进行。
按照8:2的比例采用分层抽样法将数据集分成训练集和测试集,构造t时刻的输入序列u(t)=(u1(t),u2(t),...,un(t)),输出序列y(t)=(y1(t),y2(t),...,yn(t))和储备池的状态序列x(t)=(x1(t),x2(t),...,xn(t)。适当选择随机因子并随机初始化以下参数:输入单元权重矩阵Win∈RN×K、储备池内部连接权重矩阵W∈RN×N、储备池之间的权重矩阵Wexternal,并设定输入单元个数K、储备池大小N和输出单元个数L,其中输入单元个数为网络流样本的个数。
进行
Figure BDA0002191832390000093
计算,其中λin与λexternal分别是W和Wexternal矩阵的谱半径,将W与Wexternal的谱半径调整为α,其中α<1。
对所有t=1,2,...,T构建期望输出矩阵M=[x(t+1);u(t+1)]和状态收集矩阵D=[e(t)],为模型的计算训练做准备。对T个样本通过公式(2)岭回归的方式计算输出权重矩阵Wreadout
对模型进行3000次的空转消除输入特征信息对模型训练的影响,让第一个样本的输入向量u(1)进入输入层,通过公式(3)(4)计算出x(1)与y(1),让第二个样本也通过上述同样的操作计算出x(2)和y(2),依次类推计算出y(1),y(2),...,y(n),(n是训练集样本数)。
实验结果如图3所示,根据各异常检测结果计算出来的F1-Score值可知,本方法对异常网络流的检测具有良好效果,尤其是Worms、Fuzzers、Analysis、Shellcode,它们的F1-score值分别达到了100%、99%、99%、99%。其他异常种类的F1-score值最低也达到了85%。
为了更客观地评价方法,本实验进一步采用ROC曲线来评价多层回声状态网络方法的检测结果。ROC曲线图如图4所示。经过对比可以看出多层回声状态网络的ROC曲线最靠近(0,1)点,最偏离45°对角线,充分说明了本方法对异常网络流的检测具有良好的效果。
以上实施例是对本发明的解释,但是,本发明并不局限于上述实施方式中的具体细节,本领域的技术人员在本发明的技术构思范围内进行的多种等同替代或简单变型方式,均应属于本发明的保护范围。

Claims (4)

1.一种基于多层回声状态网络的网络流量异常检测方法,其特征在于,包括步骤:
S1:对原始数据包进行包聚合特征提取:将.pcap文件分割成若干条网络流,并分别遍历其中的数据包以提取五元组;
S2:对包聚合特征提取后的数据进行去冗余;
S3:特征编码处理:对标签型特征变量进行label encoding编码,选取与标签编码不同数量级的数值来编码缺失值;
S4:对特征编码后的数据集进行归一化处理;
S5:对优化后的数据集采用分层抽样法划定训练集和测试集,并从所述训练集中抽取部分样本对模型进行空转,在所述训练集上对回声状态网络进行训练,然后在所述测试集上进行验证,确定待测样本为正常网络流量还是异常网络流量。
2.根据权利要求1所述的基于多层回声状态网络的网络流量异常检测方法,其特征在于,所述数据集为包聚合特征提取后的网络异常流量检测原始.pcap数据包。
3.根据权利要求1所述的基于多层回声状态网络的网络流量异常检测方法,其特征在于,只需更新输出权重矩阵Wreadout
4.根据权利要求1-3任意一项所述的基于多层回声状态网络的网络流量异常检测方法,其特征在于,步骤S5包括:
S501:对经步骤S4归一化后的数据集采用分层抽样法划分好训练集和测试集,在所述训练集中抽取部分样本,在回声状态网络进行空转;
S502:设u(t)=(u1(t),u2(t),...,un(t)),y(t)=(y1(t),y2(t),...,yn(t))和x(t)=(x1(t),x2(t),...,xn(t))分别是在t时刻的输入序列、输出序列和储备池的状态序列,随机初始化以下参数:输入单元权重矩阵Win∈RN×K、储备池内部连接权重矩阵W∈RN×N,并设定输入单元个数K、储备池大小N和输出单元个数L;
S503:进行
Figure FDA0002191832380000021
Figure FDA0002191832380000022
计算,其中生W矩阵和Wexternal矩阵分别为储备池内部链接和储备池之间的权重矩阵,λin与λexternal分别是W和Wexternal矩阵的谱半径,将W与Wexternal的谱半径调整为α;
S504:对所有t=1,2,...,T构建M=[x(t+1);u(t+1)]矩阵与D=[e(t)]矩阵;
S505:采用岭回归计算Wreadout,正则化方程如公式(1)所示:
Wreadout=DMT(MMT+βI)-1 (1)
其中β为岭回归参数,I矩阵为单位矩阵,D=[e(t)]和M=[x(t+1);u(t+1)]分别为期望输出矩阵和状态收集矩阵,前者收集t=1,2,...,T时刻下的期望输出信号e(t),后者收集t=1,2,...T时刻下的输入信号u(t)和储备池状态x(t);
S506:通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数,使用训练集训练回声状态网络,更新多个储备池的状态和网络输出如公式(2)和公式(3)所示:
Figure FDA0002191832380000031
y(t+1)=fout(Wreadout[x(t+1);u(t+1)]) (3)
其中γ为储备池的保留率也就是储备池稀疏程度,通常为1%-2%左右,f()和fout()为激活函数,本发明将其分别设为softmax函数与sigmoid函数。
CN201910839401.9A 2019-09-05 2019-09-05 一种基于多层回声状态网络的网络流量异常检测方法 Pending CN110650124A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910839401.9A CN110650124A (zh) 2019-09-05 2019-09-05 一种基于多层回声状态网络的网络流量异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910839401.9A CN110650124A (zh) 2019-09-05 2019-09-05 一种基于多层回声状态网络的网络流量异常检测方法

Publications (1)

Publication Number Publication Date
CN110650124A true CN110650124A (zh) 2020-01-03

Family

ID=68991634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910839401.9A Pending CN110650124A (zh) 2019-09-05 2019-09-05 一种基于多层回声状态网络的网络流量异常检测方法

Country Status (1)

Country Link
CN (1) CN110650124A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111611280A (zh) * 2020-04-29 2020-09-01 南京理工大学 一种基于cnn和sae的加密流量识别方法
CN112073255A (zh) * 2020-03-25 2020-12-11 长扬科技(北京)有限公司 基于深度学习的工控网络流量预测方法、装置
CN112651435A (zh) * 2020-12-22 2021-04-13 中国南方电网有限责任公司 一种基于自学习的电力网络探针流量异常的检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016168690A1 (en) * 2015-04-16 2016-10-20 Cylance Inc. Recurrent neural networks for malware analysis

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016168690A1 (en) * 2015-04-16 2016-10-20 Cylance Inc. Recurrent neural networks for malware analysis

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
周鹏: "基于数据挖掘的网络状态异常检测", 《吉林大学学报(理学版)》 *
张晟中: "基于优化回声状态网络的混沌时间序列预测", 《扬州大学学报(自然科学版)》 *
李保健: "日径流预报贝叶斯回声状态网络方法", 《中国科学》 *
杨景朝: "基于机器学习的整体穿刺加压参数预测方法", 《纺织学报》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073255A (zh) * 2020-03-25 2020-12-11 长扬科技(北京)有限公司 基于深度学习的工控网络流量预测方法、装置
CN112073255B (zh) * 2020-03-25 2021-07-20 长扬科技(北京)有限公司 基于深度学习的工控网络流量预测方法、装置
CN111611280A (zh) * 2020-04-29 2020-09-01 南京理工大学 一种基于cnn和sae的加密流量识别方法
CN112651435A (zh) * 2020-12-22 2021-04-13 中国南方电网有限责任公司 一种基于自学习的电力网络探针流量异常的检测方法

Similar Documents

Publication Publication Date Title
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN111585948B (zh) 一种基于电网大数据的网络安全态势智能预测方法
WO2019144521A1 (zh) 信息物理交通系统中基于深度学习的恶意攻击检测方法
CN113242207B (zh) 一种迭代聚类的网络流量异常检测方法
CN111901340B (zh) 一种面向能源互联网的入侵检测系统及其方法
Lai et al. Industrial anomaly detection and attack classification method based on convolutional neural network
Chang et al. Anomaly detection for industrial control systems using k-means and convolutional autoencoder
CN114172748A (zh) 一种加密恶意流量检测方法
CN112087442B (zh) 基于注意力机制的时序相关网络入侵检测方法
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN113660196A (zh) 一种基于深度学习的网络流量入侵检测方法及装置
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN104660464A (zh) 一种基于非广延熵的网络异常检测方法
TWI715457B (zh) 非監督式惡意流量偵測系統及方法
CN115396204A (zh) 一种基于序列预测的工控网络流量异常检测方法及装置
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN116506210A (zh) 基于流量特征融合的网络入侵检测方法及系统
CN116527346A (zh) 基于深度学习图神经网络理论的威胁节点感知方法
Zhao et al. Machine-learning based TCP security action prediction
Shao et al. Deep learning hierarchical representation from heterogeneous flow-level communication data
Yao A network intrusion detection approach combined with genetic algorithm and back propagation neural network
CN111709021B (zh) 一种基于海量告警的攻击事件识别方法及电子装置
Wang et al. An efficient intrusion detection model combined bidirectional gated recurrent units with attention mechanism
Xin et al. Research on feature selection of intrusion detection based on deep learning
Yang Anomaly traffic detection based on LSTM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
AD01 Patent right deemed abandoned

Effective date of abandoning: 20230228

AD01 Patent right deemed abandoned