CN111507368B - 一种校园网入侵检测方法和系统 - Google Patents

一种校园网入侵检测方法和系统 Download PDF

Info

Publication number
CN111507368B
CN111507368B CN202010005887.9A CN202010005887A CN111507368B CN 111507368 B CN111507368 B CN 111507368B CN 202010005887 A CN202010005887 A CN 202010005887A CN 111507368 B CN111507368 B CN 111507368B
Authority
CN
China
Prior art keywords
campus network
traffic
attack
data set
clusters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010005887.9A
Other languages
English (en)
Other versions
CN111507368A (zh
Inventor
沈继忠
郑梦霞
杜歆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202010005887.9A priority Critical patent/CN111507368B/zh
Publication of CN111507368A publication Critical patent/CN111507368A/zh
Application granted granted Critical
Publication of CN111507368B publication Critical patent/CN111507368B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/12Computing arrangements based on biological models using genetic models
    • G06N3/126Evolutionary algorithms, e.g. genetic algorithms or genetic programming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • General Engineering & Computer Science (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Genetics & Genomics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Physiology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种校园网入侵检测方法和系统,该方法包括:在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;从校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;对特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;根据特征及特征最优权重对校园网混合数据集进行二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再对异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析;计算引入攻击流量的检测率和校园网攻击流量的检测率,并生成检测结果。本发明能很好地检测无标签数据集中的攻击行为,提高校园网入侵检测的准确性和可靠性。

Description

一种校园网入侵检测方法和系统
技术领域
本发明实施例涉及网络安全技术,尤其涉及一种校园网入侵检测方法和系统。
背景技术
网络入侵检测系统是一种主动的安全防护措施,它能够发现网络中可能的恶意活动和攻击行为,是对传统安全产品的有效补充。随着互联网的飞速发展,各种设备和主机产生的网络流量呈指数级增长,这不可避免地给入侵检测系统带来了更多的挑战。因此,如何高效地将大量的数据按特征划分为不同的类别变得尤为重要。我们可以根据类别信息进一步判断正常行为和异常行为。
随着高校信息化的不断发展,校园网络流量随之增加,网络安全已成为一个不可避免的问题。这就要求入侵检测系统能够在校园网络中有效运作,减少入侵检测的误报和漏报。在校园网络环境中,最常见的两大Web应用攻击是结构化查询语言注入和跨站点脚本攻击。通过这些Web应用攻击,攻击者能够窃取用户隐私信息,并对网页进行恶意篡改。因此,如何高效地防范此类高频攻击对校园网变得尤为重要。
目前,入侵检测系统可以实现基于聚类的检测技术。对于聚类问题,初始数据集中没有针对每个数据的标签,聚类算法的目标是将相似的数据放在同一个类中,并根据类中数据的特点将其标记为正常类或异常类。聚类用于入侵检测的主要优点是可以在没有训练样本的前提下处理无标签数据,但是由于无关属性的干扰以及在高维时难以通过特征之间的距离来构建簇,使得其在处理大规模数据和高维度数据时性能急剧下降。目前聚类实验所用的数据集多为年代久远的公开数据集,不能反映最新的无线网络攻击技术。此外,不同的网络环境有不同的攻击类型及攻击占比,基于有标签数据集的检测方法不能很好地适用于真实的无标签网络流量,而针对无标签数据集的研究又面临着难以衡量检测率的问题。
发明内容
鉴于此,本发明实施例提供一种校园网入侵检测方法和系统,解决了无标签数据集的攻击流量检测问题。
第一方面,本发明实施例提供一种校园网入侵检测方法,其特征在于,包括:
在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;
从所述校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;
对所述特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;
根据所述特征及特征最优权重将所述校园网混合数据集进行二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再对异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析;
计算所述有标签的攻击流量的检测率和所述无标签的校园网流量的检测率,并生成检测结果。
进一步地,还包括对所述校园网流量和所述引入有标签的攻击流量进行数据清洗,数据清洗处理的是空缺值和错误数据,这类数据在特征提取时会拥有明显的攻击特征进而干扰聚类。
进一步地,所述流量特征为从URI中提取的5类特征,即为关键字特征、注入符号特征、操作符占比特征、逻辑运算符占比特征、标点符号占比特征。
进一步地,符合所述关键字特征或注入符号特征的流量将直接判为攻击流量,其余特征将随机赋予初始权重值。
进一步地,所述关键字特征的具体提取方法为:
提取URI中的所有单词,将其按词频排序,部分单词词频大于中位数且仅出现在攻击流量中,将这些单词汇总作为关键字特征。
进一步地,所述计算特征最优权重的方法,包括:
A、创建n组随机的特征初始权重;
B、将每组特征初始权重输入聚类算法中进行聚类,并统计每组特征初始权重下引入攻击流量的检测率;
C、对所述检测率进行排序,每次选取检测率前m%的特征初始权重进行随机变异,得到新的n组权重值;
D、比较最高检测是否发生变化,若发生变化则返回步骤B,若保持不变则输出最优检测率及最优权重值。
进一步地,所述聚类分析算法,包括:
A、随机确定k个初始点的质心;
B、将校园网混合数据集中的每一个点分配到一个簇中,即为每一个点找到距其最近的质心,并将其分配给该质心所对应的簇;
C、将每一个簇的质心更新为该簇所有点的平均值;
D、若任意一个点的簇分配结果发生改变则返回步骤B,若保持不变则输出簇分配结果。
进一步地,所述簇分配结果将引入攻击流量占比高的簇定义为异常簇,异常簇中的校园网攻击流量为目标攻击数据。
第二方面,本发明实施例提供一种校园网入侵检测系统,包括:
预处理模块,用于在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;
特征提取模块,用于从所述校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;
计算特征最优权重模块,用于对所述特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;
聚类分析模块,用于根据所述特征及特征最优权重对校园网混合数据集进行二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再对异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析;
系统评估模块,用于计算引入攻击流量的检测率和校园网攻击流量的检测率,并生成检测结果。
第三方面,本发明实施例提供一种设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面所述的方法。
采用上述任一技术方案,具有的有益效果如下:
1、在无标签的校园网流量中引入有标签的攻击流量得到混合数据集,并利用这部分流量在簇中的占比来区分聚类后的正常簇和异常簇;
2、利用引入的攻击流量计算检测率,解决了无标签数据集难以衡量检测率的问题;
3、结合遗传算法和聚类算法,判断特征的最优权重和聚类的最佳个数。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的一种校园网入侵检测方法的流程图;
图2为本发明一实施例的入侵检测聚类结果示意图;
图3为本发明实施例提供的一种校园网入侵检测系统的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本发明实施例提供的一种校园网入侵检测方法的流程图;本实施例提供的一种校园网入侵检测方法,包括:
S100:在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;
具体为,采集一段时间内的校园网流量,抽样提取一天中不同时间段的数据,汇总得到无标签的校园网流量。从公有数据集中抽样提取有标签的攻击流量,将无标签的校园网流量与有标签的攻击流量按一定比例混合,得到校园网混合数据集。
进一步地,对校园网混合数据集进行数据清洗,处理空缺值和错误数据,这类数据在特征提取时会拥有明显的攻击特征进而干扰聚类。
S200:从所述校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;
具体为,选取URI中的5类特征:关键字特征、注入符号特征、操作符占比特征、逻辑运算符占比特征、标点符号占比特征。
符合所述关键字特征或注入符号特征的流量将直接判为攻击流量,其余特征将随机赋予初始权重值,并通过基于遗传算法的最优权重选择算法迭代得到最优权重。
所述关键字特征的具体提取方法为:
提取URI中的所有单词,将其按词频排序,“drop”、“delete”等单词词频大于中位数且仅出现在攻击流量中,将这些单词汇总作为关键字特征。
所述注入符号特征指的是在正常的语句前后夹杂异常的“%”、“+”等符号,该特征也仅出现在攻击流量中。
S300:对所述特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;
其中,所述计算特征最优权重的方法,包括:
A、创建n(本实施例以n=20为例)组随机的特征初始权重;
B、将每组特征初始权重输入聚类算法中进行聚类,并统计每组特征初始权重下引入攻击流量的检测率;
C、对所述检测率进行排序,每次选取检测率前m%(本实施例以m=20为例)的特征初始权重进行随机变异,得到新的n组权重值;
D、比较最高检测是否发生变化,若发生变化则返回步骤B,若保持不变则输出最优检测率及最优权重值。
S400:根据所述特征及特征最优权重对校园网混合数据集进行聚类分析;
具体为,由于在真实的网络流量中攻击流量的占比非常低,直接聚类效果不佳。所以,先对数据集进行一次二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再提取异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析。
其中,所述聚类分析算法,包括:
A、随机确定k个初始点的质心;
B、将校园网混合数据集中的每一个点分配到一个簇中,即为每一个点找到距其最近的质心,并将其分配给该质心所对应的簇;
C、将每一个簇的质心更新为该簇所有点的平均值;
D、若任意一个点的簇分配结果发生改变则返回步骤B,若保持不变则输出簇分配结果。
所述簇分配结果将引入攻击流量占比高的簇定义为异常簇,异常簇中的校园网攻击流量为目标攻击数据。
S500:计算所述有标签的攻击流量的检测率和所述无标签的校园网流量的检测率,并生成检测结果。
具体为,校园网混合数据集在聚类后被划分为多个簇,图2是本发明的入侵检测聚类结果示意图,参见图2,对本发明的入侵检测方法做进一步说明。
图2中以聚类k等于4为例。引入攻击流量占比高的簇定义为异常簇,即簇4为异常簇,簇1、2、3为正常簇。正常簇中含有引入的攻击流量和校园网流量,其中校园网正常流量占比较高而引入的攻击流量占比较低。异常簇中同样含有引入的攻击流量和校园网流量,其中引入的攻击流量占比较高,同时校园网的攻击流量也主要在异常簇中。簇4中的校园网攻击流量为目标攻击数据。
入侵检测效果以检测率A和检测率B进行度量,检测率A指的是引入攻击流量的检测率,检测率B指的是校园网攻击流量的检测率。
令TPA为被正确识别的引入攻击流量,FPA为未被正确识别的引入攻击流量,则检测率A为:
Figure BDA0002355269440000061
令PB为异常簇中的无标签校园网流量,这部分流量有极大的概率是攻击流量,令TPB为PB中经人工分析证实为Web应用攻击的流量,则检测率B为:
Figure BDA0002355269440000062
举个例子,一次一般的校园网入侵检测流程如下:
(1)采集校园网一周的流量数据,抽样提取不同时间段的数据,汇总后进行预处理。抽样提取公开数据集中有标签的攻击流量数据。
(2)生成校园网混合数据集,由5000条校园网流量和1000条引入攻击流量组成;
(3)对校园网混合数据集进行5类特征提取,并对特征进行数值化、标准化;
(4)为特征进行初始权重赋值,输入基于遗传算法的最优权重选择算法中多次迭代,输出最优的检测率A为97.6%,其中特征3、特征4、特征5的最优权重分别为0.71、0.25、0.04;
(5)根据所述特征及特征的最优权重,先对数据集按最优权重进行二分类聚类,校园网混合数据集被划分成一个正常簇和一个异常簇。过滤掉正常簇,对异常簇进行进一步的聚类,并统计不同聚类个数下的检测率B。
(6)随着聚类个数的增加,异常簇数量增多,检测得到的攻击流量个数也随之增加。当聚类个数过大时,正常簇和异常簇都将被过度划分,检测率B随之下降。因此,综合考虑检测率和检测出的攻击流量个数,定义阈值为使得检测率B出现明显下降的聚类个数,并选取达到阈值的上一个聚类个数作为最佳聚类个数。输出最佳聚类个数为35,检测率B为99.42%。
图3为本发明实施例提供的一种校园网入侵检测设备的结构示意图,该设备可以执行任意本发明任意实施例所提供的一种校园网入侵检测方法,具备执行该方法相应的功能模块和有益效果。如图3所示,该设备包括:
预处理模块100,用于在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;
特征提取模块200,用于从校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;
计算特征最优权重模块300,用于对所述特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;
聚类分析模块400,用于根据所述特征及特征最优权重对校园网混合数据集进行二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再对异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析;
系统评估模块500,用于计算引入攻击流量的检测率和校园网攻击流量的检测率,并生成检测结果。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的设备实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种校园网入侵检测方法,其特征在于,包括:
在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;
从所述校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;
对所述特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;
根据所述特征及特征最优权重将所述校园网混合数据集进行二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再对异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析;
计算所述有标签的攻击流量的检测率和所述无标签的校园网流量的检测率,并生成检测结果。
2.根据权利要求1所述的方法,其特征在于,还包括对所述校园网流量和所述引入有标签的攻击流量进行数据清洗,数据清洗处理的是空缺值和错误数据,这类数据在特征提取时会拥有明显的攻击特征进而干扰聚类。
3.根据权利要求1所述的方法,其特征在于,所述流量特征为从URI中提取的5类特征,即为关键字特征、注入符号特征、操作符占比特征、逻辑运算符占比特征、标点符号占比特征。
4.根据权利要求3所述的方法,其特征在于,符合所述关键字特征或注入符号特征的流量将直接判为攻击流量,其余特征将随机赋予初始权重值。
5.根据权利要求3所述的方法,其特征在于,所述关键字特征的具体提取方法为:
提取URI中的所有单词,将其按词频排序,部分单词词频大于中位数且仅出现在攻击流量中,将这些单词汇总作为关键字特征。
6.根据权利要求1所述的方法,其特征在于,所述计算特征最优权重的方法,包括:
A、创建n组随机的特征初始权重;
B、将每组特征初始权重输入聚类算法中进行聚类,并统计每组特征初始权重下引入攻击流量的检测率;
C、对所述检测率进行排序,每次选取检测率前m%的特征初始权重进行随机变异,得到新的n组权重值;
D、比较最高检测是否发生变化,若发生变化则返回步骤B,若保持不变则输出最优检测率及最优权重值。
7.根据权利要求1所述的方法,其特征在于,所述聚类分析算法,包括:
A、随机确定k个初始点的质心;
B、将校园网混合数据集中的每一个点分配到一个簇中,即为每一个点找到距其最近的质心,并将其分配给该质心所对应的簇;
C、将每一个簇的质心更新为该簇所有点的平均值;
D、若任意一个点的簇分配结果发生改变则返回步骤B,若保持不变则输出簇分配结果。
8.一种校园网入侵检测系统,其特征在于,包括:
预处理模块,用于在无标签的校园网流量中引入有标签的攻击流量,得到校园网混合数据集;
特征提取模块,用于从所述校园网混合数据集中提取校园网用户访问网页的流量特征和引入攻击的流量特征;
计算特征最优权重模块,用于对所述特征赋予随机的初始权重值,并通过基于遗传算法的最优权重选择方法得到每个特征的最优权重;
聚类分析模块,用于根据所述特征及特征最优权重对校园网混合数据集进行二分类,即分为正常簇和异常簇,过滤正常簇来精简数据,再对异常簇进行第二次聚类,并对聚类后异常簇中的校园网流量进行分析;
系统评估模块,用于计算引入攻击流量的检测率和校园网攻击流量的检测率,并生成检测结果。
9.一种设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
CN202010005887.9A 2020-01-03 2020-01-03 一种校园网入侵检测方法和系统 Active CN111507368B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010005887.9A CN111507368B (zh) 2020-01-03 2020-01-03 一种校园网入侵检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010005887.9A CN111507368B (zh) 2020-01-03 2020-01-03 一种校园网入侵检测方法和系统

Publications (2)

Publication Number Publication Date
CN111507368A CN111507368A (zh) 2020-08-07
CN111507368B true CN111507368B (zh) 2022-07-05

Family

ID=71874065

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010005887.9A Active CN111507368B (zh) 2020-01-03 2020-01-03 一种校园网入侵检测方法和系统

Country Status (1)

Country Link
CN (1) CN111507368B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422513B (zh) * 2020-10-26 2021-10-26 浙江大学 一种基于网络流量报文的异常检测和攻击发起者分析系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102647292A (zh) * 2012-03-20 2012-08-22 北京大学 一种基于半监督神经网络模型的入侵检测方法
CN108764267A (zh) * 2018-04-02 2018-11-06 上海大学 一种基于对抗式决策树集成的拒绝服务攻击检测方法
CN110166454A (zh) * 2019-05-21 2019-08-23 重庆邮电大学 一种基于自适应遗传算法的混合特征选择入侵检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10728282B2 (en) * 2018-01-19 2020-07-28 General Electric Company Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102647292A (zh) * 2012-03-20 2012-08-22 北京大学 一种基于半监督神经网络模型的入侵检测方法
CN108764267A (zh) * 2018-04-02 2018-11-06 上海大学 一种基于对抗式决策树集成的拒绝服务攻击检测方法
CN110166454A (zh) * 2019-05-21 2019-08-23 重庆邮电大学 一种基于自适应遗传算法的混合特征选择入侵检测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
《Mining of intrusion attack in SCADA network using clustering and genetically seeded flora-based optimal classification algorithm》;Selvarajan,et al;《IET Information Security》;20200101;第14卷(第1期);第1-11页 *
《Semisupervised Adversarial Neural Networks for Cyber Security Transfer Learning》;Casey Kneale,et al;《arXiv:1907.11129v1》;20190726;第1-17页 *
《基于深度学习的网络异常检测技术研究》;尹传龙;《中国优秀博硕士学位论文全文数据库(博士)信息科技辑》;20190715(第7期);第I139-1页 *

Also Published As

Publication number Publication date
CN111507368A (zh) 2020-08-07

Similar Documents

Publication Publication Date Title
Wu et al. Twitter spam detection: Survey of new approaches and comparative study
Wang et al. Abstracting massive data for lightweight intrusion detection in computer networks
Gao et al. A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network
CN107566376B (zh) 一种威胁情报生成方法、装置及系统
Sahu et al. Network intrusion detection system using J48 Decision Tree
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
Sonowal Phishing email detection based on binary search feature selection
Zhu et al. Android malware detection based on multi-head squeeze-and-excitation residual network
Krishnaveni et al. Ensemble approach for network threat detection and classification on cloud computing
Liu et al. An efficient multistage phishing website detection model based on the CASE feature framework: Aiming at the real web environment
CN117081858B (zh) 一种基于多决策树入侵行为检测方法、系统、设备及介质
CN111723371A (zh) 构建恶意文件的检测模型以及检测恶意文件的方法
WO2022180613A1 (en) Global iterative clustering algorithm to model entities' behaviors and detect anomalies
CN107483451A (zh) 基于串并行结构网络安全数据处理方法及系统、社交网络
Saheed et al. An efficient hybridization of K-means and genetic algorithm based on support vector machine for cyber intrusion detection system
CN108509794A (zh) 一种基于分类学习算法的恶意网页防御检测方法
Manasrah et al. DGA-based botnets detection using DNS traffic mining
Elekar Combination of data mining techniques for intrusion detection system
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Bista et al. DDoS attack detection using heuristics clustering algorithm and naïve bayes classification
CN111507368B (zh) 一种校园网入侵检测方法和系统
CN117077153B (zh) 基于大规模语言模型的静态应用安全检测误报判别方法
CN113542252A (zh) Web攻击的检测方法、检测模型和检测装置
US9391936B2 (en) System and method for spam filtering using insignificant shingles
Malik et al. Performance Evaluation of Classification Algorithms for Intrusion Detection on NSL-KDD Using Rapid Miner

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant