CN111224998B - 一种基于极限学习机的僵尸网络识别方法 - Google Patents

一种基于极限学习机的僵尸网络识别方法 Download PDF

Info

Publication number
CN111224998B
CN111224998B CN202010069439.5A CN202010069439A CN111224998B CN 111224998 B CN111224998 B CN 111224998B CN 202010069439 A CN202010069439 A CN 202010069439A CN 111224998 B CN111224998 B CN 111224998B
Authority
CN
China
Prior art keywords
botnet
data set
model
data
recall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN202010069439.5A
Other languages
English (en)
Other versions
CN111224998A (zh
Inventor
董晨
董旭东
郭文忠
程烨
何辉
杨旸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuzhou University
Original Assignee
Fuzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuzhou University filed Critical Fuzhou University
Priority to CN202010069439.5A priority Critical patent/CN111224998B/zh
Publication of CN111224998A publication Critical patent/CN111224998A/zh
Application granted granted Critical
Publication of CN111224998B publication Critical patent/CN111224998B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种基于极限学习机的僵尸网络识别方法,首先,采集得到各种特征的僵尸网络数据集;采用K折交叉验证方法,将僵尸网络特征数据集划分为训练数据集和验证数据集;接着,将训练数据集和验证数据集输入极限学习机分类器进行训练,得到初始僵尸网络检测模型;然后,将测试数据集输入到僵尸网络模型中,并根据混淆矩阵对测试结果进行统计并计算得到四个指标;步骤S5:若四个指标的平均结果偏低,则对僵尸网络检测模型进行参数调整优化;最后,将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集,并将数据集输入到僵尸网络检测模型中,判定该网络流量中是否包含僵尸网络。本发明可大大提高僵尸网络的检测效率。

Description

一种基于极限学习机的僵尸网络识别方法
技术领域
本发明涉及信息安全和僵尸网络检测技术领域,特别是一种基于极限学习机的僵尸网络识别方法。
背景技术
僵尸网络的检测方法主要分为两大类:传统入侵检测系统检测和深度学习模型检测。传统入侵检测系统检测僵尸网络的技术主要包括误用检测和异常检测。其中,误用检测基于通信特征码,使用事先配置的特征匹配规则对网络流量进行筛选。误用检测技术虽然对已知的僵尸网络的准确率较高,但是对加密流量的识别能力较弱,而且无法检测未知攻击。异常检测假设僵尸网络中命令与控制服务器与僵尸主机之间的通信模式与正常用户之间的通信模式有显著差异,因此可通过流量分析来对僵尸网络产生的异常流量进行检测,典型的异常特征包括高网络时延、非常规端口流量等。
近年来,一些研究学者将CNN,LSTM,SVM等方法应用到僵尸网络的检测方法中,并取得了相对不错的检测结果。神经网络和深度学习的发展给僵尸网络的检测提供了新的手段,但也带来了新的问题。无论是CNN还是LSTM方法来检测僵尸网络时,都需要将网络流量转化为模型需要的数据格式。例如,通过CNN建立模型检测僵尸网络,需要将获取的网络流量转化并保存为图片,然后再输入到模型进行训练,这会带来两个弊端。首先,我们需要消耗一定的系统资源来处理并保存这些图片;其次,在训练模型时,又需要将图片转化为张量,这无疑增量了时间和空间的开销。随着5G网络和物联网的发展,越来越多的物联网设备也将接入到互联网中,但物联网设备的处理器很多时候并不能满足当前深度学习模型的运算需求。因此,需要使用高效的机器学习方法建立僵尸网络检测模型来应对当前阶段物联网设备运算能力不足的缺点。由此可见,机器学习方法在僵尸网络检测的应用中还存在一定的提升空间。为了适应现阶段物联网环境下,物联网设备运算能力不足的缺点,本发明提出了一种基于极限学习机的模型用来对僵尸网络进行有效的检测。
发明内容
有鉴于此,本发明的目的是提供一种基于极限学习机的僵尸网络识别方法,针对现有深度学习模型检测僵尸网络需要消耗大量运算资源,训练时间长,需要强大的运算平台作为训练基础的问题,本发明利用极限学习机算法建立僵尸网络检测模型,仅需要少量的运算资源,少量的运算时间就能达到现有的基于深度学习的僵尸网络检测模型的识别准确率。
本发明采用以下方案实现:一种基于极限学习机的僵尸网络识别方法,包括以下步骤:
步骤S1:依据不同僵尸网络的特征,对网络流量数据进行解析,提取网络流量数据,采集得到包含僵尸网络特征的僵尸网络数据集;
步骤S2:采用K折交叉验证方法,将僵尸网络特征数据集划分为训练数据集和验证数据集;
步骤S3:将训练数据集和验证数据集输入极限学习机分类器进行训练,得到初始僵尸网络检测模型;
步骤S4:将获取的K组测试数据集输入到训练好的僵尸网络模型中,用以测试模型的拟合能力和泛化能力,并根据混淆矩阵对测试结果进行统计,根据混淆矩阵的检测结果计算得到K组测试数据集的召回率(Recall,R)、精确率(Precision,P)、准确率即Accuracy=和F值即F-measure指标;
步骤S5:判断步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure是否符合要求;若不符合要求即若步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure的平均结果均低于预设值,则调整僵尸网络检测模型隐含层神经元个数,所述调整神经元个数的范围为100—200,直到平均结果不低于预设值为止;重新执行步骤S3至步骤S4训练僵尸网络模型;其中,所述预设值为80%;若符合要求则得到步骤S4中测试完拟合能力和泛化能力后的模型,并继续执行步骤S6;
步骤S6:将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集,并将数据集输入到步骤S5得到的僵尸网络检测模型中,若僵尸网络模型输出为1,则判定该网络流量中是包含僵尸网络,若僵尸网络模型输出为0,则判定该网络流量中不包含僵尸网络。
进一步地,步骤S1所述对网络流量数据进行解析,提取网络流量数据的具体内容为:提取得到的网络流量是以pcap文件方式存储,一条网络流前面的数据主要包括连接信息和少部分的内容交换;在处理每条网络流量时,截取其前256字节的数据,对于不足256字节的网络流量,则在其末尾补充0x00;然后把每字节数据转换为十进制数得到该条网络流量的特征和其对应的标签一起存入.csv文件,该文件共有257列数据,前256列表示一条网络流量的256个特征值,第257列为类别标签,正常网络流量的标签为0,僵尸网络流量的标签为1。
进一步地,步骤S2所述的将僵尸网络特征数据集划分为训练数据集和验证数据集的具体内容是,将不同网络流量提取出的僵尸网络特征数据集分别记作botnet(1),botnet(2),…,botnet(i),...botnet(k),对数据集进行k种组合分组,并进行k次实验;其中,第i次分组的情况是将botnet(i)作为验证数据集,其余的k-1个特征数据集组合为训练数据集。
进一步地,步骤S4中所述计算Recall(R)、Precision(P)、Accuracy和F-measure指标的具体计算公式如下:
Precision(P)=TP/(TP+FP)
Recall(R)=TP/(TP+FN)
Accuracy=(TP+TN)/(TP+FN+FP+TN)
F-measure=2P*R/(P+R)
其中,TP表示的是僵尸网络被正确检测为僵尸网络的个数;FP表示正常网络被错误检测为僵尸网络的个数;FN表示僵尸网络被错误检测为正常网络的个数;TN表示正常网络被正常识别为正常网络的个数;计算F-measure公式中的P表示精确率(Precision,P),R表示召回率(Recall,R)。
与现有技术相比,本发明具有以下有益效果:
本发明能够较好的在网络传输过程中对僵尸网络进行检测,相比于现有的基于深度学习的僵尸网络检测方法,本发明不需要对网络流量进行繁琐的处理,仅通过将提取得到的网络流量二进制数据转化为模型所需要的十进制输入格式的数据来训练模型。本发明不依赖大量的运算单元,仅需要少量的运算资源即可进行模型训练,并且模型训练也只需要少量的时间,在保证识别准确率的同时大大提高了僵尸网络的检测效率。
附图说明
图1为本发明实施例的僵尸网络检测流程图。
图2为本发明实施例的混淆矩阵图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,本实施例还提供一种基于极限学习机的僵尸网络识别方法,包括以下步骤:
步骤S1:依据不同僵尸网络的特征,对网络流量数据进行解析,提取网络流量数据,采集得到各种特征的僵尸网络数据集;
步骤S2:采用K折交叉验证方法,将僵尸网络特征数据集划分为训练数据集和验证数据集;
步骤S3:将训练数据集和验证数据集输入极限学习机分类器进行训练,得到初始僵尸网络检测模型;
步骤S4:将获取的K组测试数据集输入到训练好的僵尸网络模型中,用以测试模型的拟合能力和泛化能力,并根据图2的混淆矩阵对测试结果进行统计,根据混淆矩阵的检测结果计算得到K组测试数据集的召回率Recall,R、精确率Precision,P、准确率即Accuracy和F值即F-measure指标;
步骤S5:判断步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure是否符合要求;若不符合要求即若步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure的平均结果均低于预设值,则调整僵尸网络检测模型隐含层神经元个数,所述调整神经元个数的范围为100—200,直到平均结果不低于预设值为止;重新执行步骤S3至步骤S4训练僵尸网络模型;其中,所述预设值为80%;若符合要求则得到步骤S4中测试完拟合能力和泛化能力后的模型,并继续执行步骤S6;
步骤S6:将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集,并将数据集输入到步骤S5得到的僵尸网络检测模型中,若僵尸网络模型输出为1,则判定该网络流量中是包含僵尸网络,若僵尸网络模型输出为0,则判定该网络流量中不包含僵尸网络。
在本实施例中,步骤S1所述对网络流量数据进行解析,提取网络流量数据的具体内容为:提取得到的网络流量是以pcap文件方式存储,一条网络流前面的数据主要包括连接信息和少部分的内容交换;在处理每条网络流量时,截取其前256字节的数据,对于不足256字节的网络流量,则在其末尾补充0x00;然后把每字节数据转换为十进制数得到该条网络流量的特征和其对应的标签一起存入.csv文件,该文件共有257列数据,前256列表示一条网络流量的256个特征值,第257列为类别标签,正常网络流量的标签为0,僵尸网络流量的标签为1。
在本实施例中,步骤S2所述的将僵尸网络特征数据集划分为训练数据集和验证数据集的具体内容是,将不同网络流量提取出的僵尸网络特征数据集分别记作botnet(1),botnet(2),…,botnet(i)...botnet(k),对数据集进行k种组合分组,并进行k次实验;其中,第i次分组的情况是将botnet(i)作为验证数据集,其余的k-1个特征数据集组合为训练数据集。
在本实施例中,步骤S4中所述计算Recall(R)、Precision(P)、Accuracy和F-measure指标的具体计算公式如下:
Precision(P)=TP/(TP+FP)
Recall(R)=TP/(TP+FN)
Accuracy=(TP+TN)/(TP+FN+FP+TN)
F-measure=2P*R/(P+R)
其中,TP表示的是僵尸网络被正确检测为僵尸网络的个数;FP表示正常网络被错误检测为僵尸网络的个数;FN表示僵尸网络被错误检测为正常网络的个数;TN表示正常网络被正常识别为正常网络的个数;计算F-measure公式中的P表示精确率(Precision,P),R表示召回率(Recall,R)。
在本实施例中,具体的实验模拟过程如下:
第一步,采集网络流量中僵尸网络流量训练样本。对ISCX-Bot-2014提供的网络流量训练样本进行解析,采集僵尸网络的特征数据集。表1列出了不同僵尸网络名称,类别以及在网络流量训练样本中所占的比例。网络流量是以pcap文件方式存储的,因此对pcap文件进行处理得到模型需要的输入数据。通常,一条网络流前面的数据主要包括连接信息(TCP连接的三次握手、TLS连接的密钥交换)和少部分的内容交换,可以比较好的反应整条数据的主要特征。因此,在处理每条网络流量时,截取其前256字节的数据,对于不足256字节的网络流量,则在其末尾补充0x00。然后把每字节数据转换为十进制数得到该条网络流量的特征和其对应的标签一起存入.csv文件。该文件共有257列数据,前256列表示一条网络流量的256个特征值,第257列为类别标签,正常网络流量的标签为0,僵尸网络流量的标签为1。ISCX-Bot-2014共提供了200000条网络流量用来训练模型,因此,将每20000条网络流量划分为一个特征数据集,一共得到10个特征数据集.csv文件。每个.csv文件包含20000行样本数据(正常网络流量和僵尸网络流量的总和),每行样本数据包含256个特征值和1个类标签。
第二步,训练集和验证集的划分。对表1中的10个特征数据集利用k折交叉验证方法进行训练集和验证集的划分。例如,当botnet0作为验证集时,其余的9个数据集组合为一个训练集进行模型训练。每个特征数据集轮流当作验证集,共进行10次模型训练,最后对10次实验结果求取平均值,得到模型对僵尸网络检测的结果,如表2所示。
第三步,训练极限学习机分类器,并依据Recall、Precision、Accuracy和F-measure四个评价指标对分类器的参数进行调整。通过多次实验的调整,得到在极限学习机的隐含层神经元个数取值为200时,得到最佳检测模型。
第四步,测试模型的泛化能力,从ISCX-Bot-2014提供的测试集中提取40000条不含僵尸网络的流量,并划分为botnet10和botnet11测试集,输入模型得到测试结果。
表2和表3分别列出了本实施例针对含僵尸网络的网络数据流量和针对不含僵尸网络的网络数据流量的检测效果。可以看出本实施例针对含僵尸网络的网络数据流量可以取得95.68%Recall,97.64%Precision,96.65%F-measure以及96.67%Accuracy的检测效果。本实施例针对不含僵尸网络的数据集可以得到99.78%Accuracy的检测结果。
表1
ISCX-Bot-2014网络流量样本中僵尸网络种类和在数据集中的占比
僵尸网络名称 僵尸网络种类 在数据集中的占比
Neris IRC 21159 (12%)
Rbot IRC 39316 (22%)
Virut HTTP 1638 (0.94 %)
NSIS P2P 4336 (2.48%)
SMTP Spam P2P 11296 (6.48%)
Zeus P2P 31 (0.01%)
Zeus control (C & C) P2P 20 (0.01%)
表2 针对包含僵尸网络的网络流量数据集的检测结果
数据集 TP TN FP FN Recall F-measure Precision Accuracy
botnet0 6621 12635 383 361 94.83% 94.68% 94.53% 96.28%
botnet1 6818 12501 366 315 95.58% 95.24% 94.91% 96.60%
botnet2 6823 12549 337 291 95.91% 95.60% 95.29% 96.86%
botnet3 6708 12557 426 309 95.60% 94.81% 94.03% 96.33%
botnet4 6771 12556 384 289 95.91% 95.27% 94.63% 96.64%
botnet5 6694 12638 356 312 95.55% 95.25% 94.95% 96.66%
botnet6 6707 12518 425 350 95.04% 94.54% 94.04% 96.13%
botnet7 6862 12559 289 290 95.95% 95.95% 95.96% 97.11%
botnet8 6769 12662 319 250 96.44% 95.97% 95.50% 97.16%
botnet9 6707 12684 332 277 96.03% 95.66% 95.28% 96.96%
平均值 95.68% 95.30% 94.91% 96.67%
表3 针对不含僵尸网络的网络流量数据集的检测结果
数据集 TP TN FP FN Recall F-measure Precision Accuracy
botnet10 0 19997 0 3 0.00% 0.00% 0.00% 99.99%
botnet11 0 19911 0 89 0.00% 0.00% 0.00% 99.56%
平均值 99.78%
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。

Claims (3)

1.一种基于极限学习机的僵尸网络识别方法,其特征在于:包括以下步骤:
步骤S1:依据不同僵尸网络的特征,对网络流量数据进行解析,提取网络流量数据,采集得到包含僵尸网络特征的僵尸网络数据集;
步骤S2:采用K折交叉验证方法,将僵尸网络特征数据集划分为训练数据集和验证数据集;
所述的将僵尸网络特征数据集划分为训练数据集和验证数据集的具体内容是,将不同网络流量提取出的僵尸网络特征数据集分别记作botnet(1),botnet(2),…,botnet(i),...botnet(k),对数据集进行k种组合分组,并进行k次实验;其中,第i次分组的情况是将botnet(i)作为验证数据集,其余的k-1个特征数据集组合为训练数据集;
步骤S3:将训练数据集和验证数据集输入极限学习机分类器进行训练,得到初始僵尸网络检测模型;
步骤S4:将获取的K组测试数据集即botnet(1),botnet(2),…,botnet(i),...botnet(k)输入到训练好的僵尸网络模型中,用以测试模型的拟合能力和泛化能力,并根据混淆矩阵对测试结果进行统计,根据混淆矩阵的检测结果计算得到K组测试数据集的召回率(Recall,R)、精确率(Precision,P)、准确率即Accuracy和F值即F-measure指标;
步骤S5:判断步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure是否符合要求;若不符合要求即若步骤S4中计算得到的K组测试数据集的(Recall,R)、(Precision,P)、Accuracy和F-measure的平均结果均低于预设值,则调整僵尸网络检测模型隐含层神经元个数,所述调整神经元个数的范围为100—200,重新执行步骤S3至步骤S4训练僵尸网络模型,直到平均结果不低于预设值为止;其中,所述预设值为80%;若符合要求则得到步骤S4中测试完拟合能力和泛化能力后的模型,并继续执行步骤S6;
步骤S6:将待检测的网络流量数据进行数据预处理得到符合模型输入的数据集,并将数据集输入到步骤S5得到的僵尸网络检测模型中,若僵尸网络模型输出为1,则判定该网络流量中是包含僵尸网络,若僵尸网络模型输出为0,则判定该网络流量中不包含僵尸网络。
2.根据权利要求1所述的一种基于极限学习机的僵尸网络识别方法,其特征在于:步骤S1所述对网络流量数据进行解析,提取网络流量数据的具体内容为:提取得到的网络流量是以pcap文件方式存储;一条网络流前面的数据主要包括连接信息和少部分的内容交换;在处理每条网络流量时,截取其前256字节的数据,对于不足256字节的网络流量,则在其末尾补充0x00;然后把每字节数据转换为十进制数得到该条网络流量的特征和其对应的标签一起存入.csv文件,该文件共有257列数据,前256列表示一条网络流量的256个特征值,第257列为类别标签,正常网络流量的标签为0,僵尸网络流量的标签为1。
3.根据权利要求1所述的一种基于极限学习机的僵尸网络识别方法,其特征在于:步骤S4中所述计算Recall(R)、Precision(P)、Accuracy和F-measure指标的具体计算公式如下:
Precision(P)=TP/(TP+FP)
Recall(R)=TP/(TP+FN)
Accuracy=(TP+TN)/(TP+FN+FP+TN)
F-measure=2P*R/(P+R)
其中,TP表示的是僵尸网络被正确检测为僵尸网络的个数;FP表示正常网络被错误检测为僵尸网络的个数;FN表示僵尸网络被错误检测为正常网络的个数;TN表示正常网络被正常识别为正常网络的个数;计算F-measure公式中的P表示精确率(Precision,P),R表示召回率(Recall,R)。
CN202010069439.5A 2020-01-21 2020-01-21 一种基于极限学习机的僵尸网络识别方法 Expired - Fee Related CN111224998B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010069439.5A CN111224998B (zh) 2020-01-21 2020-01-21 一种基于极限学习机的僵尸网络识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010069439.5A CN111224998B (zh) 2020-01-21 2020-01-21 一种基于极限学习机的僵尸网络识别方法

Publications (2)

Publication Number Publication Date
CN111224998A CN111224998A (zh) 2020-06-02
CN111224998B true CN111224998B (zh) 2020-12-25

Family

ID=70829705

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010069439.5A Expired - Fee Related CN111224998B (zh) 2020-01-21 2020-01-21 一种基于极限学习机的僵尸网络识别方法

Country Status (1)

Country Link
CN (1) CN111224998B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113328987A (zh) * 2021-04-09 2021-08-31 国网浙江省电力有限公司金华供电公司 基于深度学习的增量学习流量异常检测方法
CN113242233B (zh) * 2021-05-08 2022-06-03 北京交通大学 一种多分类的僵尸网络检测装置
CN116846837A (zh) * 2022-03-23 2023-10-03 中兴通讯股份有限公司 流量识别方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN110147839A (zh) * 2019-05-20 2019-08-20 哈尔滨英赛克信息技术有限公司 基于XGBoost的算法生成域名检测模型的方法
US10445738B1 (en) * 2018-11-13 2019-10-15 Capital One Services, Llc Detecting a transaction volume anomaly
CN110445653A (zh) * 2019-08-12 2019-11-12 灵长智能科技(杭州)有限公司 网络状态预测方法、装置、设备及介质
US10496924B1 (en) * 2018-08-07 2019-12-03 Capital One Services, Llc Dictionary DGA detector model

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10075463B2 (en) * 2016-09-09 2018-09-11 Ca, Inc. Bot detection system based on deep learning
CN110661682B (zh) * 2019-09-19 2021-05-25 上海天旦网络科技发展有限公司 通用互联数据自动分析系统、方法、设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
US10496924B1 (en) * 2018-08-07 2019-12-03 Capital One Services, Llc Dictionary DGA detector model
US10445738B1 (en) * 2018-11-13 2019-10-15 Capital One Services, Llc Detecting a transaction volume anomaly
CN110147839A (zh) * 2019-05-20 2019-08-20 哈尔滨英赛克信息技术有限公司 基于XGBoost的算法生成域名检测模型的方法
CN110445653A (zh) * 2019-08-12 2019-11-12 灵长智能科技(杭州)有限公司 网络状态预测方法、装置、设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于数据挖掘的僵尸主机检测的研究与实现;崔卓群;《中国优秀硕士学位论文全文数据库》;20190131;全文 *

Also Published As

Publication number Publication date
CN111224998A (zh) 2020-06-02

Similar Documents

Publication Publication Date Title
CN109241418B (zh) 基于随机森林的异常用户识别方法及装置、设备、介质
CN111224998B (zh) 一种基于极限学习机的僵尸网络识别方法
CN111340191B (zh) 基于集成学习的僵尸网络恶意流量分类方法及系统
WO2019096099A1 (zh) Dga域名实时检测方法和装置
CN110602113B (zh) 一种基于深度学习的层次化钓鱼网站检测方法
CN110351301A (zh) 一种http请求双层递进式异常检测方法
CN114615093A (zh) 基于流量重构与继承学习的匿名网络流量识别方法及装置
CN107145778B (zh) 一种入侵检测方法及装置
CN110647745A (zh) 基于深度学习的恶意软件汇编格式的检测方法
CN112019529B (zh) 新能源电力网络入侵检测系统
CN110995652B (zh) 一种基于深度迁移学习的大数据平台未知威胁检测方法
CN112884121A (zh) 基于生成对抗深度卷积网络的流量识别方法
CN115037805A (zh) 一种基于深度聚类的未知网络协议识别方法、系统、装置及存储介质
CN114726802A (zh) 一种基于不同数据维度的网络流量识别方法及装置
CN114970680A (zh) 基于cnn+lstm的流量终端实时识别方法及装置
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN117633627A (zh) 一种基于证据不确定性评估的深度学习未知网络流量分类方法及系统
CN111444364B (zh) 一种图像检测方法和装置
CN115622810B (zh) 一种基于机器学习算法的业务应用识别系统及方法
CN117318980A (zh) 一种面向小样本场景的自监督学习恶意流量检测方法
CN114330504B (zh) 基于Sketch的网络恶意流量检测方法
CN111490945A (zh) 一种基于深度学习方法和dfi的vpn隧道流量识别方法
CN115473734A (zh) 基于单分类和联邦学习的远程代码执行攻击检测方法
CN114021637A (zh) 一种基于度量空间下去中心化应用加密流量分类方法及装置
CN110689074A (zh) 一种基于模糊集特征熵值计算的特征选择方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20201225

Termination date: 20220121

CF01 Termination of patent right due to non-payment of annual fee