CN111181901B - 异常流量检测装置及其异常流量检测方法 - Google Patents
异常流量检测装置及其异常流量检测方法 Download PDFInfo
- Publication number
- CN111181901B CN111181901B CN201811387921.2A CN201811387921A CN111181901B CN 111181901 B CN111181901 B CN 111181901B CN 201811387921 A CN201811387921 A CN 201811387921A CN 111181901 B CN111181901 B CN 111181901B
- Authority
- CN
- China
- Prior art keywords
- input
- output
- data
- flow
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/41—Flow control; Congestion control by acting on aggregated flows or links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种异常流量检测装置及其异常流量检测方法。异常流量检测装置解析一时间区间所撷取的多个封包,以获得各封包的多个流量特征,并基于降维算法,自该等流量特征中选取出至少一关键流量特征。异常流量检测装置将各封包的至少一关键流量特征作为一双向生成式对抗网络的输入,以训练双向生成式对抗网络,而生成用于检测异常流量的一流量辨识模型。
Description
技术领域
本发明是关于一种异常流量检测装置及其异常流量检测方法。具体而言,异常流量检测装置基于降维算法获得封包的至少一关键流量特征,并训练双向生成式对抗网络,以生成用于检测异常流量的一流量辨识模型。
背景技术
随着科技的发展,网络通信的各种应用已充斥于人们的生活中,且人们对于网络通信的需求亦日益增加。因此,网络通信的安全性也随之日益重要。目前关于网络安全的多个研究议题其中之一在于,黑客会通过命令与控制服务器(command-and-control server;C2server)向被僵尸病毒感染的电脑下达指令并加以控制,以攻击特定受害者电脑(例如:企业的服务器),其攻击方式例如:垃圾信件(SPAM)攻击、点击诈欺(Click Fraud;CF)攻击、端口扫描(Port Scan;PS)攻击、分布式阻断服务(Distributed Denial-of-Service;DDoS)攻击及快速变动(Fast Flux;FF)攻击等。
此外,C2服务器通常会采用因特网中继聊天(Internet Relay Chat;IRC)协议、超文本传输协议(HyperText Transfer Protocol;HTTP)或点对点(Point-to-Point;P2P)网络架构,向被僵尸病毒感染的电脑下达指令。目前的防御检测系统大多采用专家规则或机器学习的方式来检测异常流量。然而,由于异常流量的样本于现实中不易取得,而存在样本数不足且多样性不足的问题,故目前的防御检测系统仍无法有效地检测出异常流量。
有鉴于此,如何提供一种异常流量检测机制,其能有效地检测出异常流量,为业界及学术界亟需解决的一技术问题。
发明内容
本发明的目的在于提供一种异常流量检测机制,其能有效地检测出异常流量。具体而言,本发明的异常流量检测机制可通过解析封包以获得多个特征,并藉由降维算法,分析该等特征以选出关键的特征,进而通过深度学习算法增加样本的多样性,以强化检测异常流量的能力。因此,本发明的异常流量检测机制可解决因为异常流量的样本数不足且多样性不足的问题,故能有效地检测出异常流量。
为达上述目的,本发明公开一种异常流量检测装置,其包含一存储器、一网络接口及一处理器。该处理器电性连接该存储器及该网络接口,且用以执行以下操作:通过该网络接口,撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包(outgoing packet);解析该等第一输出封包,以产生多个输出流量数据,其中各该输出流量数据具有多个输出特征;基于一降维算法,计算该等输出流量数据,以自该等输出特征中选取出至少一关键输出特征,并产生对应至该等输出流量数据的多个输出训练数据;将该等输出训练数据作为一双向生成式对抗网络的多个第一输入样本,并根据该等第一输入样本训练该双向生成式对抗网络,以生成一输出流量辨识模型;通过该网络接口,撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包;解析该等第二输出封包,以产生多个待辨识输出流量数据,其中各该待辨识输出流量数据具有该至少一关键输出特征;以及将各该待辨识输出流量数据输入至该输出流量辨识模型,以判断该等第二输出封包是否产生一异常输出流量。
此外,本发明更公开一种用于一异常流量检测装置的异常流量检测方法。该异常流量检测装置包括一存储器、一网络接口及一处理器。该处理器电性连接该存储器及该网络接口。该异常流量检测方法由该处理器执行且包括下列步骤:通过该网络接口,撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包;解析该等第一输出封包,以产生多个输出流量数据,其中各该输出流量数据具有多个输出特征;基于一降维算法,计算该等输出流量数据,以自该等输出特征中选取出至少一关键输出特征,并产生对应至该等输出流量数据的多个输出训练数据;将该等输出训练数据作为一双向生成式对抗网络的多个第一输入样本,并根据该等第一输入样本训练该双向生成式对抗网络,以生成一输出流量辨识模型;通过该网络接口,撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包;解析该等第二输出封包,以产生多个待辨识输出流量数据,其中各该待辨识输出流量数据具有该至少一关键输出特征;以及将各该待辨识输出流量数据输入至该输出流量辨识模型,以判断该等第二输出封包是否产生一异常输出流量。
在参阅附图及随后描述的实施方式后,本领域的技术人员便可了解本发明的其他目的,以及本发明的技术手段及实施态样。
附图说明
图1描绘本发明的一实施情境的示意图;
图2是本发明的异常流量检测装置1的示意图;
图3是本发明相关信息PI的一实施情境;
图4是本发明输出流量数据的一矩阵示意图;
图5是描绘处理器13基于LDA算法计算输出流量数据所产生对应至各输出特征的权重值;
图6是本发明双向生成式对抗网络的示意图;
图7是本发明输出流量辨识模型OFM的示意图;
图8是本发明输入流量数据的一矩阵示意图;
图9描绘处理器13基于LDA算法计算输入流量数据所产生对应至各输入特征的权重值;
图10是本发明输入流量辨识模型IFM的示意图;
图11是本发明的异常流量检测方法的流程图;以及
图12是本发明的异常流量检测方法的流程图。
附图标记:
HD:黑客装置
CCS:C2服务器
EN:外部网络
IN:内部网络
GD:网关装置
IND1、IND2、IND3:内部装置
FIP_1-FIP_i:第一输入封包
SIP_1-SIP_j:第二输入封包
FOP_1-FOP_n:第一输出封包
SOP_1-SOP_m:第二输出封包
1:异常流量检测装置
11:存储器
13:处理器
15:网络接口
PI:相关信息
E:编码器
G:生成器
D:判别器
x:输入样本
z:仿特征
G(z):生成器的输出
E(x):编码器的输出
P(y):异常机率
UD:输入数据
UOD_1-UOD_p:输出流量数据
UID_1-UID_q:输入流量数据
OFM:输出流量辨识模型
IFM:输入流量辨识模型
FD:仿数据
SG:计算单元
DR1:判别值
DR2:判别值
S1:第一差异值
S2:第二差异值
w1:第一权重值
w2:第二权重值
SV:总和值
S1102-S1114、S1202-S1214:步骤
具体实施方式
以下将通过实施例来解释本发明内容,本发明的实施例并非用以限制本发明须在如实施例所述的任何特定的环境、应用或特殊方式方能实施。因此,关于实施例的说明仅为阐释本发明的目的,而非用以限制本发明。需说明者,以下实施例及附图中,与本发明非直接相关的组件已省略而未绘示,且附图中各组件间的尺寸关系仅为求容易了解,并非用以限制实际比例。
本发明第一实施例如图1-2所示。图1描绘本发明的一实施情境,以及图2为本发明的异常流量检测装置1的示意图。异常流量检测装置1包括一存储器11、一处理器13以及一网络接口15。存储器11与网络接口15电性连接至处理器13。
本发明的异常流量检测装置1可实作成一网关装置GD,其用以连接于一内部网络IN及一外部网络EN。内部网络IN连接至多个内部装置(例如:内部装置IND1、IND2、IND3)。内部网络IN可为一企业内部网络、一学校内部网络或任何团体的内部网络。内部网络IN通常包括多个路由器(例如:有线路由器、无线路由器或其组合),因此各内部装置IND1、IND2、IND3可能是经由一个或多个路由器或直接藉由网络线或无线通信方式直接连接至网关装置GD。各内部装置IND1、IND2、IND3可为一个人电脑、一服务器、一笔记本电脑、一平板电脑或任一可被僵尸病毒感染的装置。为简化说明,于图1中仅绘示内部装置IND1、IND2、IND3;然而,可理解的是,内部装置的数量并非用以限制本发明。
此外,黑客装置HD可藉由操控一命令与控制服务器(后称,C2服务器)CCS,经由外部网络EN及网关装置GD而向内部装置IND1、IND2、IND3散布僵尸病毒。外部网络EN可包括一因特网、一电信网络及任何有线、无线通信网络。为检测内部装置IND1、IND2、IND3是否被僵尸病毒感染,网关装置GD可藉由撷取自内部网络IN传送至外部网络EN的输出封包,以及自外部网络EN传送至内部网络IN的输出封包并加以分析,以检测是否存在异常流量。
另一方面,本发明的异常流量检测装置1亦可实作成一内部装置(例如:内部装置IND1),其连接至内部网络IN,并通过网关装置GD连接至外部网络EN。内部装置IND1可通过网关装置GD撷取自内部网络IN传送至外部网络EN的封包,以及自外部网络EN传送至内部网络IN的封包后加以分析,以筛选出可疑封包。换言之,网关装置GD可将所有经由网关装置GD的封包转传至内部装置IND1。由于本领域的技术人员基于前述说明,应可轻易了解本发明的异常流量检测装置1如何实作成网关装置GD及内部装置IND1,故后续说明仅针对异常流量检测装置1如何分析封包,建立检测异常流量的模型并通过模型检测出可疑流量,加以描述。
请继续参考图2。首先,为建立检测异常流量的模型,本发明使多个内部装置于一第一时间区间内(例如:24小时内)分别执行至少一种僵尸病毒。各内部装置可为异常流量检测装置1所创建的虚拟装置(例如:虚拟主机、虚拟电脑),或者为物理装置(例如:内部装置IND1、IND2、IND3)。僵尸病毒可包括进行SPAM攻击、CF攻击、PS攻击、DDoS攻击或FF攻击的僵尸病毒,以及使用IRC协议、HTTP或P2P网络架构进行通信的僵尸病毒。各内部装置所执行的僵尸病毒数量及种类可藉由随机的方式决定,或基于各种不同实施情境所决定。
同时,处理器13通过网络接口15,撷取第一时间区间内自内部网络IN传送至外部网络EN的多个第一输出封包(outgoing packet)FOP_1-FOP_n,其中n为一正整数。第一输出封包FOP_1-FOP_n包括由前述执行至少一种僵尸病毒的各内部装置所产生的封包。随后,处理器13解析各第一输出封包FOP_1-FOP_n,并获得各第一输出封包FOP_1-FOP_n的相关信息PI。
举例而言,相关信息PI可如图3所示,其包括网际协议(Internet Protocol;IP)层信息(例如:来源IP地址、目标IP地址)及HTTP层信息(例如:参照地址、用户代理、网域)。随后,处理器13基于第一输出封包FOP_1-FOP_n的相关信息,产生多个输出流量数据。各输出流量数据具有多个输出特征。该等输出特征可包括一IP特征、一HTTP特征及一流量比例特征。
IP特征可更包括如下表一所列的特征至少其中之一。
表一
HTTP特征可更包括如下表二所列的特征至少其中之一。
表二
流量比例特征可更包括如下表三所列的特征至少其中之一。
表三
针对24小时内(即,第一时间区间内)所收集到的第一输出封包FOP_1-FOP_n,处理器13可依据各第一输出封包FOP_1-FOP_n的来源端信息(例如:IP地址或媒体访问控制(MAC)地址),将第一输出封包FOP_1-FOP_n划分成多个内部群组,即将不同内部装置所产生的封包区分出来。随后,处理器13进一步地将各内部装置所生的封包依不同时间区间(例如:每小时)划分成不同集合。换言之,针对各内部装置于24小时内所产生的封包,处理器13会依据每个小时区间,将其分成多个集合,故各内部装置于24小时内所产生的封包将被分成24个集合。
针对每个集合中的封包,处理器13更针对不同异常情境(例如:SPAM攻击、CF攻击、PS攻击、DDoS攻击、FF攻击、IRC协议、HTTP、P2P网络架构)的封包加以分析,以产生该等输出流量数据。处理器13解析一内部装置于一小时内产生的封包后所产生的8笔输出流量数据可以一矩阵形式表示如图4所示,其中矩阵中每一列的值组成一笔输出流量数据且该等输出流量数据分别与上述该等异常情境其中之一相关联(即与该等僵尸病毒其中之一相关联),以及矩阵中每一行记载前述该等输出特征的特征值。
经由上述方式产生对应至各内部装置的该等输出流量数据后,处理器13基于一降维算法,计算该等输出流量数据,以自该等输出特征中选取出至少一关键输出特征。降维算法可为一线性区别分析(Linear Discriminant Analysis;LDA)算法、一主成分分析(Principal components analysis;PCA)算法及一奇异值分解(Singular valuedecomposition;SVD)算法其中之一,但不限于此。
图5描绘处理器13基于LDA算法计算该等输出流量数据所产生对应至各输出特征的权重值。须说明者,图5中各输出流量数据的权重值已进行正规化,使得其权重值介于-1至1之间。正规化可由下列公式完成:
其中,w为原权重值,min w为该等权重值中的最小权重值,max w为该等权重值中的最大权重值,以及w′为正规化后的权重值。
于正规化权重值后,处理器13将正规化后的权重值皆取绝对值,并分别将该等异常情境的各输出特征的该等权重值加总。随后,将各输出特征的权重值总和与一关键阈值(例如:4)比对,而选出权重值总和大于关键阈值的输出特征为关键输出特征。于本范例中,输出特征NewDest及输出特征UnpopularIP为关键特征
于决定关键输出特征后,处理器13自该等输出流量数据撷取出至少一关键输出特征,以产生多个输出训练数据。详言之,该等输出训练数据一对一对应至该等输出流量数据,输出训练数据相较于输出流量数据仅包括关键输出特征而已。随后,处理器13将该等输出训练数据作为一双向生成式对抗网络(Bidirectional generative adversarialnetwork;BiGAN)的多个第一输入样本,并根据该等第一输入样本训练双向生成式对抗网络,以生成一输出流量辨识模型。
图6是双向生成式对抗网络的示意图,其中x代表输入样本,E代表编码器(Encoder),E(x)代表编码器的输出且为输入样本的特征,z代表仿特征,G代表生成器,G(z)代表生成器的输出且为仿数据(fake data),D代表判别器。y代表判别器判断异常与否的标签,当y=1时表示判别器判断异常,而当y=0时则表示判别器判断非异常,P(y)代表机率,因此,P(y=1)表示判别器预测属于异常的机率为多少。于双向生成式对抗网络的训练过程中,仿特征z会越来越与编码器E的输出E(x)相似,而判别器D会越来越难以分辨出输入样本x与生成器G的输出G(z)的真伪。最后,处理器13基于训练完成的双向生成式对抗网络的编码器E、生成器G及判别器D,生成输出流量辨识模型,并将其储存于存储器11。
输出流量辨识模型是用以辨识非第一时间区间内的封包,即输出流量辨识模型是用以检测实际情况的流量,其不同于第一时间区间内的流量。由前述说明可知,第一时间区间内的流量只是为了产生僵尸网络的输出流量样本,以供异常流量检测装置1提取输出流量样本的重要特征,以训练双向生成式对抗网络,来解决样本数不足且多样性不足的问题。
详言之,于生成输出流量辨识模型后,处理器13通过网络接口15,撷取一第二时间区间(例如:1小时)自内部网络IN传送至外部网络EN的多个第二输出封包SOP_1-SOP_m,其中m为一正整数。第二输出封包SOP_1-SOP_m包括一个或多个内部装置(例如:内部装置IND1、IND2、IND3)正常运作时所产生的封包(即,非特意执行僵尸病毒)。随后,处理器13解析第二输出封包SOP_1-SOP_m,以产生多个待辨识输出流量数据UOD_1-UOD_p,其中p为正整数且与内部装置的数量相关。假设第二输出封包SOP_1-SOP_m的来源端信息有三种,则代表这一小时的封包是由三个内部装置所产生,则待辨识输出流量数据即为3笔。各待辨识输出流量数据UOD1_UODp具有至少一关键输出特征(例如:前述的输出特征NewDest及输出特征UnpopularIP)。随后,处理器13将各待辨识输出流量数据UOD_1-UOD_p输入至输出流量辨识模型,以判断第二输出封包SOP_1-SOP_m是否产生一异常输出流量。
举例而言,输出流量辨识模型OFM可如图7所示。输出流量辨识模型OFM包括编码器E、生成器G及判别器D。针对各待辨识输出流量数据UOD_1-UOD_p,处理器13将其作为输出流量辨识模型OFM的输入数据UID。处理器13计算生成器G所产生的仿数据FD与输入数据UID(即,待辨识输出流量数据)间的第一差异值S1。此外,处理器13更计算判别器针对输入数据UID(即,待辨识输出流量数据)与仿数据FD所产生的两个判别值DR1、DR2间的第二差异值S2。须注意者,在此判别器D的判别值DR1、DR2是指双向生成式对抗网络的倒数第二层的运算结果。由于本领域的技术人员是熟悉类神经网络的架构且可理解双向生成式对抗网络的倒数第二层的运算结果,故在此不加以赘述。
第一差异值S1及第二差异值S2的计算单元SG,可藉由损失函数达成,例如:交叉熵(Cross Entropy)函数或特征比对损失(feature matching loss)函数。于获得第一差异值S1及第二差异值S2后,处理器13计算第一差异值S1乘上第一权重值w1与第二差异值S2乘上第二权重值w2的总和值SV。须说明者,第一权重值w1与第二权重值w2可根据实际运作情况调整,依据用户评估生成器G及判别器D的重要性而调整,且第一权重值w1与第二权重值w2总合为1(例如:w1=0.7,w2=0.3)。接着,处理器13判断总和值SV是否大于一总和门槛值。当总和值SV大于总和门槛值时,判断对应至输入数据UID(即,待辨识输出流量数据)的该等第二输出封包(即,第二输出封包SOP_1-SOP_m中的部分封包),产生异常输出流量。如此一来,异常流量检测装置1根据待辨识输出流量数据UOD_1-UOD_p输入至输出流量辨识模型OFM后所产生的总和值SV,可得知异常流量的来源是哪个内部装置。
须说明者,前述的总和门槛值是依据所采用的损失函数所决定,本领域的技术人员可知,本发明所训练的双向生成式对抗网络的生成器G是用以产生类似僵尸病毒所造成的流量特征。因此,第一差异值S1与第二差异值S2越大代表仿数据FD与输入数据UID差异性大,故输入数据UID应为正常流量所产生的;反之,第一差异值S1与第二差异值S2越小代表仿数据FD与输入数据UID差异性小,故输入数据UID应为异常流量所产生的。
本发明第二实施例亦请继续参考图1-2,其为第一实施例的延伸。于本实施例中,异常流量检测装置1更生成输入流量辨识模型,以检测异常输入流量。于本实施例中,本发明使多个内部装置于一第三时间区间内(例如:7天内)分别执行至少一种僵尸病毒。各内部装置可为异常流量检测装置1所创建的虚拟装置(例如:虚拟主机、虚拟电脑),或者为物理装置(例如:内部装置IND1、IND2、IND3)。同样地,僵尸病毒可包括进行SPAM攻击、CF攻击、PS攻击、DDoS攻击或FF攻击的僵尸病毒,以及使者使用IRC协议、HTTP或P2P网络架构进行通信的僵尸病毒。各内部装置所执行的僵尸病毒数量及种类可藉由随机的方式决定,或基于各种不同实施情境所决定。
同样地,处理器13通过网络接口15,撷取第三时间区间(例如,前述的7天内),自外部网络EN传送至内部网络IN的多个第一输入封包FIP_1-FIP_i,其中i为一正整数。第一输入封包FIP_1-FIP_i包括传送至前述执行至少一种僵尸病毒的各内部装置的封包。随后,处理器13解析各第一输入封包FIP_1-FIP_i,并获得各第一输入封包FIP_1-FIP_i的相关信息PI。类似地,相关信息PI可如图3所示,其包括网际协议(Internet Protocol;IP)层信息(例如:来源IP地址、目标IP地址)及HTTP层信息(例如:参照地址、用户代理、网域)。
随后,处理器13基于第一输入封包FIP_1-FIP_i的相关信息,产生多个输入流量数据。各输入流量数据具有多个输入特征。该等输入特征可包括一网域连接特征、一网页连接特征及一网域注册信息特征。
网域连接特征可更包括如下表四所列的特征至少其中之一。
表四
| 特征代号 | 特征说明 |
| Nohost | 连接至网域的内部装置的个数 |
| AutoHost | 自动连接至网域的内部装置的个数 |
网页连接特征可更包括如下表四所列的特征至少其中之一。
表五
网域注册信息特征可更包括如下表六所列的特征至少其中之一。
表六
针对7天内(即,第三时间区间内)所收集到的第一输入封包FIP_1-FIP_i,处理器13可依据各第一输入封包FIP_1-FIP_n的来源端信息(例如:网域),将第一输入封包FIP_1-FIP_n划分成多个外部群组,即将具有不同网域的封包区分出来。此外,于本实施例中,由于不同内部装置执行同一僵尸病毒所接收到的封包会有相同的网域,故该等网域亦分别对应至不同异常情境(例如:SPAM攻击、CF攻击、PS攻击、DDoS攻击、FF攻击、IRC协议、HTTP、P2P网络架构)。换言之,外部群组的数量与异常情境种类的数量一样。
随后,处理器13进一步地将对应至各网域的封包依不同时间区间(例如:每天)划分成不同集合。换言之,针对各网域于7天内的封包,处理器13会依据每天的区间,将其分成多个集合,故各网域装置于7天内所产生的封包将被分成7个集合。接着,处理器13分析各集合中的封包,以产生该等输出流量数据。处理器13解析各网域于1天内产生的封包后所产生的8笔输出流量数据可以一矩阵形式表示如图8所示,其中矩阵中每一列的值组成一笔输入流量数据且该等输入流量数据分别与上述该等异常情境其中之一相关联(即与该等僵尸病毒其中之一相关联),以及矩阵中每一行记载前述该等输入特征的特征值。
类似地,经由上述方式产生对应至各网域的该等输入流量数据后,处理器13基于降维算法,计算该等输入流量数据,以自该等输入特征中选取出至少一关键输入特征。同样地,降维算法可为LDA算法、PCA算法及SVD算法其中之一,但不限于此。
图9描绘处理器13基于LDA算法计算该等输入流量数据所产生对应至各输入特征的权重值。须说明者,图9中各输出流量数据的权重值已进行正规化,使得其权重值介于-1至1之间。正规化方式可由第一实施例所述的公式完成,在此不再加以赘述。
于正规化权重值后,处理器13将正规化后的权重值皆取绝对值,并将分别将该等异常情境的各输入特征的该等权重值加总。随后,将各输入特征的权重值总和与一关键阈值(例如:6)比对,而选出权重值总和大于关键阈值的输出特征为关键输入特征。于本范例中,输入特征AutoHost、输入特征NoRef、输入特征RareUA及输入特征DomAge为关键特征。
于决定关键输入特征后,处理器13自该等输入流量数据撷取出至少一关键输入特征,以产生多个输入训练数据。详言之,该等输入训练数据一对一对应至该等输入流量数据,输入训练数据相较于输入流量数据只是仅包括关键输入特征而已。随后,处理器13将该等输入训练数据作为双向生成式对抗网络(BiGAN)的多个第二输入样本,并根据该等第二输入样本训练双向生成式对抗网络,以生成一输入流量辨识模型。由于本领域的技术人员可基于第一实施例的叙述了解,本实施例如何该等输入训练数据训练双向生成式对抗网络,以生成输入流量辨识模型,故在此不再加以赘述。
于生成输入流量辨识模型后,处理器13通过网络接口11,撷取一第四时间区间(例如:1天)自外部网络EN传送至内部网络IN的多个第二输入封包SIP_1-SIP_j,其中j为一正整数。同样地,第二输入封包SIP_1-SIP_j包括一个或多个内部装置(例如:内部装置IND1、IND2、IND3)正常运作时所接收到的封包(即,非特意执行僵尸病毒)。
随后,处理器13解析第二输入封包SIP_1-SIP_j,以产生多个待辨识输入流量数据UID_1-UID_q,其中q为正整数且与网域的数量相关。假设第二输入封包SIP_1-SIP_m的来源端信息有5种网域,则代表这一天的封包是来自5个网域,则待辨识输入流量数据即为5笔。各待辨识输入流量数据UID_1-UID_q具有至少一关键输出特征(例如:前述的输入特征AutoHost、输入特征NoRef、输入特征RareUA及输入特征DomAge)。随后,处理器13将各待辨识输入流量数据UID_1-UID_q输入至输入流量辨识模型,以判断第二输入封包SIP_1-SIP_m是否产生一异常输入流量。
举例而言,输入流量辨识模型IFM可如图10所示。异常输入流量检测模型包括编码器E、生成器G及判别器D。针对各待辨识输入流量数据UID_1-UID_q,处理器13将其作为输入流量辨识模型IFM的输入数据UID。处理器13计算生成器G所产生的仿数据FD与输入数据UID(即,待辨识输入流量数据)间的第一差异值S1。此外,处理器13更计算判别器针对输入数据UID(即,待辨识输入流量数据)与仿数据FD所产生的两个判别值DR1、DR2间的第二差异值S2。须注意者,在此判别器D的判别值DR1、DR2是指双向生成式对抗网络的倒数第二层的运算结果。由于本领域的技术人员是熟悉类神经网络的架构且可理解双向生成式对抗网络的倒数第二层的运算结果,故在此不加以赘述。
第一差异值S1及第二差异值S2的计算单元SG,可藉由损失函数达成,例如:交叉熵(Cross Entropy)函数或特征比对损失(feature matching loss)函数。于获得第一差异值S1及第二差异值S2后,处理器13计算第一差异值S1乘上第一权重值w1与第二差异值S2乘上第二权重值w2的总和值SV。同样地,第一权重值w1与第二权重值w2可根据实际运作情况调整,依据用户评估生成器G及判别器D的重要性而调整,且第一权重值w1与第二权重值w2总合为1(例如:w1=0.7,2=0.3)。须说明者,输入流量辨识模型IFM中所使用的第一权重值w1与第二权重值w2可与输出流量辨识模型OFM中所使用的第一权重值w1与第二权重值w2不同。
接着,处理器13判断总和值SV是否大于一总和门槛值。当总和值SV大于总和门槛值时,判断对应至输入数据UD(即,待辨识输入流量数据)的该等第二输出封包(即,第二输入封包SIP_1-SIP_i中的部分封包),产生异常输入流量。如此一来,异常流量检测装置1根据待辨识输入流量数据UID_1-UID_q输入至输出流量辨识模型IFM后所产生的总和值SV,可得知异常流量的封包是传送给哪个内部装置。
同样地,前述的总和门槛值是依据所采用的损失函数所决定,本领域的技术人员可知,本发明所训练的双向生成式对抗网络的生成器G是用以产生类似僵尸病毒所造成的流量特征。因此,第一差异值S1与第二差异值S2越大代表仿数据FD与输入数据UID差异性大,故输入数据UID应为正常流量所产生的;反之,第一差异值S1与第二差异值S2越小代表仿数据FD与输入数据UID差异性小,故输入数据UID应为异常流量所产生的。
本发明第三实施例是描述一异常流量检测方法,其流程图如图11所示。异常流量检测方法适用于一异常流量检测装置(例如:前述实施例的异常流量检测装置1)。异常流量检测装置包括一存储器、一网络接口及一处理器。处理器电性连接存储器及网络接口。异常流量检测方法由处理器执行且包括下列步骤。
首先,于步骤S1102中,通过网络接口,撷取第一时间区间自内部网络传送至外部网络的多个第一输出封包。于步骤S1104中,解析该等第一输出封包,以产生多个输出流量数据。各输出流量数据具有多个输出特征。于步骤S1106中,基于降维算法,计算该等输出流量数据,以自该等输出特征中选取出至少一关键输出特征,并产生对应至该等输出流量数据的多个输出训练数据。于步骤S1108中,将该等输出训练数据作为一双向生成式对抗网络的多个第一输入样本,并根据该等第一输入样本训练双向生成式对抗网络,以生成一输出流量辨识模型。
接着,于步骤S1110中,通过网络接口,撷取第二时间区间自内部网络传送至外部网络的多个第二输出封包。于步骤S1112中,解析该等第二输出封包,以产生多个待辨识输出流量数据。各待辨识输出流量数据具有至少一关键输出特征。于步骤S1114中,将各待辨识输出流量数据输入至输出流量辨识模型,以判断该等第二输出封包是否产生一异常输出流量。
于其他实施例中,输出流量辨识模型包括一生成器(例如:图7中的生成器G)及一判别器(例如:图7中的判别器D)。异常流量检测方法更包括步骤:计算生成器所产生的一仿数据与待辨识输出流量数据间的一第一差异值;计算判别器针对待辨识输出流量数据与仿数据所产生的两个判别值间的一第二差异值;计算第一差异值乘上一第一权重值与第二差异值乘上一第二权重值的一总和值;判断总和值是否大于一总和门槛值;以及当总和值大于总和门槛值时,判断对应至待辨识输出流量数据的该等第二输出封包产生异常输出流量。
于其他实施例中,异常流量检测方法更包括步骤:依据各第一输出封包的一来源端信息,将该等第一输出封包该等划分成多个内部群组;以及解析各内部群组中的该等第一输出封包,以产生该等输出流量数据。
于其他实施例中,该等输出特征包括一网际协议(Internet Protocol;IP)特征、一超文本传输协议(HyperText Transfer Protocol;HTTP)特征及一流量比例特征。
除了上述步骤,本发明的可疑封包检测方法亦能执行在所有前述实施例中所阐述的所有操作并具有所有对应的功能,本领域的技术人员可直接了解此实施例如何基于所有前述实施例执行此等操作及具有该等功能,故不赘述。
本发明第四实施例是描述一异常流量检测方法,其流程图如图11-12所示。本实施例为第三实施例的延伸。于本实施例中,异常流量检测方法更训练输入流量辨识模型,并检测输入流量是否异常。
详言之,请参考图12,于步骤S1202中,通过网络接口,撷取第三时间区间自外部网络传送至内部网络的多个第一输入封包。于步骤S1204中,解析该等第一输入封包,以产生多个输入流量数据。各输入流量数据具有多个输入特征。于步骤S1206中,基于降维算法,计算该等输入流量数据,以自该等输入特征中选取出至少一关键输入特征,并产生对应至该等输入流量数据的多个输入训练数据。于步骤S1208中,将该等输入训练数据作为双向生成式对抗网络的多个第二输入样本,并根据该等第二输入样本训练双向生成式对抗网络,以生成一输入流量辨识模型。
随后,于步骤S1210中,通过网络接口,撷取一第四时间区间自外部网络传送至内部网络的多个第二输入封包。于步骤S1212中,解析该等第二输入封包,以产生多个待辨识输入流量数据,各待辨识输入流量数据具有至少一关键输入特征。于步骤S1214中,将各待辨识输入流量数据输入至输入流量辨识模型,以判断该等第二输入封包是否产生一异常输入流量。
于其他实施例中,输入流量辨识模型包括一生成器(例如:图10中的生成器G)及一判别器(例如:图10中的判别器D)。异常流量检测方法更包括步骤:计算生成器所产生的一仿数据与待辨识输入流量数据间的一第一差异值;计算判别器针对待辨识输入流量数据与仿数据所产生的两个判别值间的一第二差异值;计算第一差异值乘上一第一权重值与第二差异值乘上一第二权重值的一总和值;判断总和值是否大于一总和门槛值;以及当总和值大于总和门槛值时,判断对应至待辨识输入流量数据的该等第二输入封包产生异常输入流量。
于其他实施例中,异常流量检测方法更包括步骤:依据各第一输入封包的一来源端信息,将该等第一输入封包该等划分成多个外部群组,并解析各外部群组中的该等第一输入封包,以产生该等输入流量数据。
于其他实施例中,该等输入流量特征包括一网域连接特征、一网页连接特征及一网域注册信息特征。
于其他实施例中,各输出流量数据及各输入流量数据与多个僵尸病毒其中之一相关联。
于其他实施例中,降维算法是一线性区别分析(Linear Discriminant Analysis;LDA)算法、一主成分分析(Principal components analysis;PCA)算法及一奇异值分解(Singular value decomposition;SVD)算法其中之一。
除了上述步骤,本发明的可疑封包检测方法亦能执行在所有前述实施例中所阐述的所有操作并具有所有对应的功能,本领域的技术人员可直接了解此实施例如何基于所有前述实施例执行此等操作及具有该等功能,故不赘述。
综上所述,本发明的异常流量检测机制可通过解析封包以获得多个特征,并藉由降维算法,分析该等特征以选出关键的特征,进而通过深度学习算法增加样本的多样性,以强化检测异常流量的能力。因此,本发明的异常流量检测机制可解决因为异常流量的样本数不足且多样性不足的问题,故能有效地检测出异常流量。
上述的实施例仅用来例举本发明的实施态样,以及阐释本发明的技术特征,并非用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的安排均属于本发明所主张的范围,本发明的权利保护范围应以权利要求书为准。
Claims (18)
1.一种异常流量检测装置,其特征在于,该异常流量检测装置包括:
一存储器;
一网络接口;以及
一处理器,电性连接该存储器及该网络接口,用以执行以下操作:
通过该网络接口,撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包;
解析多个该第一输出封包,以产生多个输出流量数据,其中各该输出流量数据具有多个输出特征;
基于一降维算法,计算多个该输出流量数据,以自多个该输出特征中选取出至少一关键输出特征,并产生对应至多个该输出流量数据的多个输出训练数据;
将多个该输出训练数据作为一双向生成式对抗网络的多个第一输入样本,并根据多个该第一输入样本训练该双向生成式对抗网络,以生成一输出流量辨识模型;
通过该网络接口,撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包;
解析多个该第二输出封包,以产生多个待辨识输出流量数据,其中各该待辨识输出流量数据具有该至少一关键输出特征;以及
将各该待辨识输出流量数据输入至该输出流量辨识模型,以判断多个该第二输出封包是否产生一异常输出流量;
其中该输出流量辨识模型包括一第一生成器及一第一判别器,以及该处理器针对各该待辨识输出流量数据,更执行以下操作:
计算该第一生成器所产生的一第一仿数据与该待辨识输出流量数据间的一第一差异值;
计算该第一判别器针对该待辨识输出流量数据与该第一仿数据所产生的两个判别值间的一第二差异值;
计算该第一差异值乘上一第一权重值与该第二差异值乘上一第二权重值的一第一总和值;
判断该第一总和值是否大于一第一总和门槛值;以及
当该第一总和值大于该第一总和门槛值时,判断对应至该待辨识输出流量数据的该第二输出封包产生该异常输出流量。
2.如权利要求1所述的异常流量检测装置,其特征在于,该处理器更依据各该第一输出封包的一来源端信息,将多个该第一输出封包划分成多个内部群组,并解析各该内部群组中的多个该第一输出封包,以产生多个该输出流量数据。
3.如权利要求1所述的异常流量检测装置,其特征在于,多个该输出特征包括一网际协议特征、一超文本传输协议特征及一流量比例特征。
4.如权利要求1所述的异常流量检测装置,其特征在于,该处理器更执行以下操作:
通过该网络接口,撷取一第三时间区间自该外部网络传送至该内部网络的多个第一输入封包;
解析多个该第一输入封包,以产生多个输入流量数据,其中各该输入流量数据具有多个输入特征;
基于该降维算法,计算多个该输入流量数据,以自多个该输入特征中选取出至少一关键输入特征,并产生对应至多个该输入流量数据的多个输入训练数据;
将多个该输入训练数据作为该双向生成式对抗网络的多个第二输入样本,并根据该第二输入样本训练该双向生成式对抗网络,以生成一输入流量辨识模型;
通过该网络接口,撷取一第四时间区间自该外部网络传送至该内部网络的多个第二输入封包;
解析多个该第二输入封包,以产生多个待辨识输入流量数据,其中各该待辨识输入流量数据具有该至少一关键输入特征;以及
将各该待辨识输入流量数据输入至该输入流量辨识模型,以判断多个该第二输入封包是否产生一异常输入流量。
5.如权利要求4所述的异常流量检测装置,其特征在于,该输入流量辨识模型包括一第二生成器及一第二判别器,以及该处理器针对各该待辨识输入流量数据,更执行以下操作:
计算该第二生成器所产生的一第二仿数据与该待辨识输入流量数据间的一第三差异值;
计算该第二判别器针对该待辨识输入流量数据与该第二仿数据所产生的两个判别值间的一第四差异值;
计算该第三差异值乘上一第三权重值与该第四差异值乘上一第四权重值的一第二总和值;
判断该第二总和值是否大于一第二总和门槛值;以及
当该第二总和值大于该第二总和门槛值时,判断对应至该待辨识输入流量数据的该第二输入封包产生该异常输入流量。
6.如权利要求5所述的异常流量检测装置,其特征在于,该处理器更依据各该第一输入封包的一来源端信息,将多个该第一输入封包划分成多个外部群组,并解析各该外部群组中的多个该第一输入封包,以产生多个该输入流量数据。
7.如权利要求4所述的异常流量检测装置,其特征在于,多个该输入流量特征包括一网域连接特征、一网页连接特征及一网域注册信息特征。
8.如权利要求4所述的异常流量检测装置,其特征在于,各该输出流量数据及各该输入流量数据与多个僵尸病毒其中之一相关联。
9.如权利要求1所述的异常流量检测装置,其特征在于,该降维算法是一线性区别分析算法、一主成分分析算法及一奇异值分解算法其中之一。
10.一种用于一异常流量检测装置的异常流量检测方法,其特征在于,该异常流量检测装置包括一存储器、一网络接口及一处理器,该处理器电性连接该存储器及该网络接口,该异常流量检测方法由该处理器执行且包括下列步骤:
通过该网络接口,撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包;
解析多个该第一输出封包,以产生多个输出流量数据,其中各该输出流量数据具有多个输出特征;
基于一降维算法,计算多个该输出流量数据,以自多个该输出特征中选取出至少一关键输出特征,并产生对应至多个该输出流量数据的多个输出训练数据;
将多个该输出训练数据作为一双向生成式对抗网络的多个第一输入样本,并根据该第一输入样本训练该双向生成式对抗网络,以生成一输出流量辨识模型;
通过该网络接口,撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包;
解析多个该第二输出封包,以产生多个待辨识输出流量数据,其中各该待辨识输出流量数据具有该至少一关键输出特征;以及
将各该待辨识输出流量数据输入至该输出流量辨识模型,以判断多个该第二输出封包是否产生一异常输出流量;
其中该输出流量辨识模型包括一第一生成器及一第一判别器,该异常流量检测方法更包括下列步骤:
计算该第一生成器所产生的一第一仿数据与该待辨识输出流量数据间的一第一差异值;
计算该第一判别器针对该待辨识输出流量数据与该第一仿数据所产生的两个判别值间的一第二差异值;
计算该第一差异值乘上一第一权重值与该第二差异值乘上一第二权重值的一第一总和值;
判断该第一总和值是否大于一第一总和门槛值;以及
当该第一总和值大于该第一总和门槛值时,判断对应至该待辨识输出流量数据的该第二输出封包产生该异常输出流量。
11.如权利要求10所述的异常流量检测方法,其特征在于,该异常流量检测方法更包括下列步骤:
依据各该第一输出封包的一来源端信息,将多个该第一输出封包划分成多个内部群组;以及
解析各该内部群组中的多个该第一输出封包,以产生多个该输出流量数据。
12.如权利要求10所述的异常流量检测方法,其特征在于,多个该输出特征包括一网际协议特征、一超文本传输协议特征及一流量比例特征。
13.如权利要求10所述的异常流量检测方法,其特征在于,该异常流量检测方法更包括下列步骤:
通过该网络接口,撷取一第三时间区间自该外部网络传送至该内部网络的多个第一输入封包;
解析多个该第一输入封包,以产生多个输入流量数据,其中各该输入流量数据具有多个输入特征;
基于该降维算法,计算多个该输入流量数据,以自多个该输入特征中选取出至少一关键输入特征,并产生对应至多个该输入流量数据的多个输入训练数据;
将多个该输入训练数据作为该双向生成式对抗网络的多个第二输入样本,并根据多个该第二输入样本训练该双向生成式对抗网络,以生成一输入流量辨识模型;
通过该网络接口,撷取一第四时间区间自该外部网络传送至该内部网络的多个第二输入封包;
解析多个该第二输入封包,以产生多个待辨识输入流量数据,其中各该待辨识输入流量数据具有该至少一关键输入特征;以及
将各该待辨识输入流量数据输入至该输入流量辨识模型,以判断多个该第二输入封包是否产生一异常输入流量。
14.如权利要求13所述的异常流量检测方法,其特征在于,该输入流量辨识模型包括一第二生成器及一第二判别器,该异常流量检测方法更包括下列步骤:
计算该第二生成器所产生的一第二仿数据与该待辨识输入流量数据间的一第三差异值;
计算该第二判别器针对该待辨识输入流量数据与该第二仿数据所产生的两个判别值间的一第四差异值;
计算该第三差异值乘上一第三权重值与该第四差异值乘上一第四权重值的一第二总和值;
判断该第二总和值是否大于一第二总和门槛值;以及
当该第二总和值大于该第二总和门槛值时,判断对应至该待辨识输入流量数据的该第二输入封包产生该异常输入流量。
15.如权利要求14所述的异常流量检测方法,其特征在于,该异常流量检测方法更包括下列步骤:
依据各该第一输入封包的一来源端信息,将多个该第一输入封包划分成多个外部群组,并解析各该外部群组中的多个该第一输入封包,以产生该输入流量数据。
16.如权利要求13所述的异常流量检测方法,其特征在于,多个该输入流量特征包括一网域连接特征、一网页连接特征及一网域注册信息特征。
17.如权利要求13所述的异常流量检测方法,其特征在于,各该输出流量数据及各该输入流量数据与多个僵尸病毒其中之一相关联。
18.如权利要求10所述的异常流量检测方法,其特征在于,该降维算法是一线性区别分析算法、一主成分分析算法及一奇异值分解算法其中之一。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107139868A TWI674777B (zh) | 2018-11-09 | 2018-11-09 | 異常流量偵測裝置及其異常流量偵測方法 |
| TW107139868 | 2018-11-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111181901A CN111181901A (zh) | 2020-05-19 |
| CN111181901B true CN111181901B (zh) | 2022-05-10 |
Family
ID=69023848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811387921.2A Active CN111181901B (zh) | 2018-11-09 | 2018-11-21 | 异常流量检测装置及其异常流量检测方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10841228B2 (zh) |
| CN (1) | CN111181901B (zh) |
| TW (1) | TWI674777B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11138327B2 (en) * | 2018-12-27 | 2021-10-05 | Industrial Technology Research Institute | Privacy data integration method and server |
| US20210295379A1 (en) * | 2020-03-17 | 2021-09-23 | Com Olho It Private Limited | System and method for detecting fraudulent advertisement traffic |
| TWI783229B (zh) | 2020-05-22 | 2022-11-11 | 國立臺灣大學 | 網路異常流量偵測裝置及網路異常流量偵測方法 |
| CN113746686A (zh) * | 2020-05-27 | 2021-12-03 | 阿里巴巴集团控股有限公司 | 一种网络流量的状态确定方法、计算设备及存储介质 |
| CN112073381B (zh) * | 2020-08-13 | 2021-12-17 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN113221144B (zh) * | 2021-05-19 | 2024-05-03 | 国网辽宁省电力有限公司电力科学研究院 | 一种隐私保护机器学习的虚拟化终端异常检测方法及系统 |
| US20220400070A1 (en) * | 2021-06-15 | 2022-12-15 | Vmware, Inc. | Smart sampling and reporting of stateful flow attributes using port mask based scanner |
| CN114301637B (zh) * | 2021-12-11 | 2022-09-02 | 河南大学 | 一种用于医疗物联网的入侵检测方法和系统 |
| CN114465769B (zh) * | 2021-12-28 | 2024-03-15 | 尚承科技股份有限公司 | 学习网络行为特征的网络设备、处理系统与方法 |
| TWI805156B (zh) * | 2021-12-28 | 2023-06-11 | 尚承科技股份有限公司 | 學習網路行為特徵的網路設備、處理系統與方法 |
| CN114745157B (zh) * | 2022-03-15 | 2024-02-13 | 尚蝉(浙江)科技有限公司 | 一种基于生成对抗网络的抵御网络流量侦察方法、系统、终端和存储介质 |
| CN114745161B (zh) * | 2022-03-23 | 2023-08-22 | 烽台科技(北京)有限公司 | 一种异常流量的检测方法、装置、终端设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN106612289A (zh) * | 2017-01-18 | 2017-05-03 | 中山大学 | 一种基于sdn的网络协同异常检测方法 |
| CN106998317A (zh) * | 2016-01-22 | 2017-08-01 | 高德信息技术有限公司 | 异常访问请求识别方法及装置 |
| CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN108322349A (zh) * | 2018-02-11 | 2018-07-24 | 浙江工业大学 | 基于对抗式生成网络的深度学习对抗性攻击防御方法 |
| CN108512827A (zh) * | 2018-02-09 | 2018-09-07 | 世纪龙信息网络有限责任公司 | 异常登录的识别和监督学习模型的建立方法、装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4078755B2 (ja) * | 1999-06-02 | 2008-04-23 | 株式会社日立製作所 | 帯域監視方法 |
| TW458308U (en) * | 2000-02-09 | 2001-10-01 | Acer Inc | Carrying apparatus |
| JP5120784B2 (ja) * | 2006-08-22 | 2013-01-16 | 日本電気株式会社 | 通信ネットワークシステムにおけるネットワーク上の品質劣化箇所を推定する方法 |
| US10547674B2 (en) * | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
| US9838265B2 (en) * | 2013-12-19 | 2017-12-05 | Amdocs Software Systems Limited | System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV) |
| CN106059854B (zh) * | 2016-05-30 | 2019-05-07 | 南京优速网络科技有限公司 | 异网流量穿透检测方法及系统 |
| CN106453392B (zh) * | 2016-11-14 | 2019-04-09 | 中国人民解放军防空兵学院 | 基于流量特征分布的全网络异常流识别方法 |
| US11205103B2 (en) * | 2016-12-09 | 2021-12-21 | The Research Foundation for the State University | Semisupervised autoencoder for sentiment analysis |
| CA3000166A1 (en) * | 2017-04-03 | 2018-10-03 | Royal Bank Of Canada | Systems and methods for cyberbot network detection |
| CN107563283B (zh) * | 2017-07-26 | 2023-01-06 | 百度在线网络技术(北京)有限公司 | 生成攻击样本的方法、装置、设备及存储介质 |
| CN107808098B (zh) * | 2017-09-07 | 2020-08-21 | 阿里巴巴集团控股有限公司 | 一种模型安全检测方法、装置以及电子设备 |
| US10841333B2 (en) * | 2018-01-08 | 2020-11-17 | Sophos Limited | Malware detection using machine learning |
| US20190228110A1 (en) * | 2018-01-19 | 2019-07-25 | General Electric Company | System and method for abstracting characteristics of cyber-physical systems |
| US10733292B2 (en) * | 2018-07-10 | 2020-08-04 | International Business Machines Corporation | Defending against model inversion attacks on neural networks |
| US11363031B2 (en) * | 2018-08-27 | 2022-06-14 | Ciena Corporation | Network architecture providing device identification and redirection using whitelisting traffic classification |
| US11699080B2 (en) * | 2018-09-14 | 2023-07-11 | Cisco Technology, Inc. | Communication efficient machine learning of data across multiple sites |
-
2018
- 2018-11-09 TW TW107139868A patent/TWI674777B/zh active
- 2018-11-21 CN CN201811387921.2A patent/CN111181901B/zh active Active
- 2018-12-05 US US16/211,227 patent/US10841228B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106998317A (zh) * | 2016-01-22 | 2017-08-01 | 高德信息技术有限公司 | 异常访问请求识别方法及装置 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN106612289A (zh) * | 2017-01-18 | 2017-05-03 | 中山大学 | 一种基于sdn的网络协同异常检测方法 |
| CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN108512827A (zh) * | 2018-02-09 | 2018-09-07 | 世纪龙信息网络有限责任公司 | 异常登录的识别和监督学习模型的建立方法、装置 |
| CN108322349A (zh) * | 2018-02-11 | 2018-07-24 | 浙江工业大学 | 基于对抗式生成网络的深度学习对抗性攻击防御方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《Efficient GAN-based anomaly detection》;Zenati,H etal;《arXiv》;20180217;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111181901A (zh) | 2020-05-19 |
| TW202019127A (zh) | 2020-05-16 |
| TWI674777B (zh) | 2019-10-11 |
| US20200153742A1 (en) | 2020-05-14 |
| US10841228B2 (en) | 2020-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111181901B (zh) | 异常流量检测装置及其异常流量检测方法 | |
| CN109902709B (zh) | 一种基于对抗学习的工业控制系统恶意样本生成方法 | |
| Lee et al. | Detection of DDoS attacks using optimized traffic matrix | |
| Babun et al. | Z-iot: Passive device-class fingerprinting of zigbee and z-wave iot devices | |
| Kirubavathi et al. | Botnet detection via mining of traffic flow characteristics | |
| Karan et al. | Detection of DDoS attacks in software defined networks | |
| CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
| Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
| Fernández et al. | A case study on using deep learning for network intrusion detection | |
| Kirubavathi Venkatesh et al. | HTTP botnet detection using adaptive learning rate multilayer feed-forward neural network | |
| Al-Jarrah et al. | Network intrusion detection system using neural network classification of attack behavior | |
| Krishnan et al. | MUD-based behavioral profiling security framework for software-defined IoT networks | |
| Saravanan et al. | A new framework to alleviate DDoS vulnerabilities in cloud computing. | |
| Jamdagni et al. | Intrusion detection using GSAD model for HTTP traffic on web services | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| Pham et al. | Lightweight Convolutional Neural Network Based Intrusion Detection System. | |
| Siboni et al. | Botnet identification via universal anomaly detection | |
| Iorliam et al. | " Flow Size Difference" Can Make a Difference: Detecting Malicious TCP Network Flows Based on Benford's Law | |
| CN110912895B (zh) | 一种基于感知哈希的网络数据流溯源方法 | |
| Rai et al. | Packet-based Anomaly Detection using n-gram Approach | |
| Ichino et al. | Evaluating header information features for malware infection detection | |
| Belej et al. | Development of a network attack detection system based on hybrid neuro-fuzzy algorithms. | |
| Shamsuddin et al. | Applying Knowledge Discovery in Database Techniques in Modeling Packet Header Anomaly Intrusion Detection Systems. | |
| Kulandaivel et al. | A novel sensitive DDoS attacks against statistical test in network traffic fusion | |
| Al-Hammadi et al. | Performance evaluation of DCA and SRC on a single bot detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |