CN111917781A - 一种智能内部恶意行为网络攻击识别方法及电子设备 - Google Patents
一种智能内部恶意行为网络攻击识别方法及电子设备 Download PDFInfo
- Publication number
- CN111917781A CN111917781A CN202010778015.6A CN202010778015A CN111917781A CN 111917781 A CN111917781 A CN 111917781A CN 202010778015 A CN202010778015 A CN 202010778015A CN 111917781 A CN111917781 A CN 111917781A
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- particle
- module
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 239000002245 particle Substances 0.000 claims abstract description 105
- 239000013598 vector Substances 0.000 claims abstract description 71
- 230000006399 behavior Effects 0.000 claims abstract description 61
- 238000009792 diffusion process Methods 0.000 claims abstract description 41
- 238000005457 optimization Methods 0.000 claims abstract description 32
- 238000003062 neural network model Methods 0.000 claims abstract description 28
- 238000012360 testing method Methods 0.000 claims abstract description 10
- 230000006854 communication Effects 0.000 claims abstract description 9
- 238000012549 training Methods 0.000 claims abstract description 5
- 238000013528 artificial neural network Methods 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 14
- 238000007781 pre-processing Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 210000002569 neuron Anatomy 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Molecular Biology (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种智能内部恶意行为网络攻击识别方法和电子设备,方法包括以下步骤:收集用户在网络通讯过程中的数据;提取数据中的信息特征,形成处理后数据向量集合,针对不同类别的所述处理后数据向量集合X输出若干个扩散参数,将其进行粒子群优化迭代,确定概率神经网络模型的最佳扩散参数,形成用于数据训练的概率神经网络模型,检测测试数据中的所有特征向量,得到具有不同最大输出Gk(Y)的K个网络行为类别,传递给恶意攻击识别模块,区分恶意网络攻击行为并进行归类。本发明提供的方法和电子设备以特征向量形式记录的恶意行为分类到各种类型的实时攻击类别模块中,能够实现检测和识别云计算和移动计算环境中的内部恶意行为。
Description
技术领域
本发明属于通讯安全技术领域,具体涉及一种智能内部恶意行为网络攻击识别方法及电子设备。
背景技术
将敏感数据上载到公共云存储服务会给组织带来安全风险,如可访问性、机密性和集成性。此外,不间断的云服务已经造成了高水平的入侵和滥用。使用防火墙和入侵检测系统是保护用户数据和云资源的唯一永久解决方案。有些攻击,如DOS,对于防火墙来说过于复杂;因此,可以使用攻击检测方法来检测各种类型的攻击。尽管传统的安全系统在识别用户凭据方面是可信的,但是当系统需要在登录级别以外的级别识别用户的异常行为时,恶意行为识别问题就会出现。更重要的是,传统的安全技术面临着恶意软件创造者和恶意软件防御者之间的竞争;当前的恶意软件防御对于未知的恶意软件是不够的,因为未知恶意软件通常是使用新的攻击技术设计的。且以往的恶意攻击检测方法只能识别网络行为为正常(0)或恶意攻击(1),不能识别出恶意攻击的类别并进行归类。
发明内容
本发明针对上述缺陷,提供一种以特征向量形式记录的恶意行为分类到各种类型的实时攻击类别模块中,能够实现检测和识别云计算和移动计算环境中的内部恶意行为的智能内部恶意行为网络攻击识别方法及电子设备。
本发明提供如下技术方案:一种智能内部恶意行为网络攻击识别方法,包括以下步骤:
M1:利用数据监听和存储模块收集用户在网络通讯过程中的数据;
M2:将所述数据传递给数据预处理和特征提取模块,用于对数据进行预处理并提取数据中的信息特征,形成处理后数据向量集合X= {x1,......,xn},i=1,……,n,所述xi为第i个经过所述信息特征数据处理的特征向量;
M3:将所述处理后数据向量集合X传递给所述粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块,所述概率神经网络模型构建模块利用所述处理后数据构建概率神经网络模型,针对不同类别的所述处理后数据向量集合X输出若干个扩散参数σi;
M4:所述概率神经网络模型模块将所述若干个扩散参数σi传递给粒子群优化模块,所述粒子群优化模块将所述若干个扩散参数σi作为若干个粒子进行粒子群优化迭代,直至迭代完成,确定概率神经网络模型的最佳扩散参数σg;
M5:所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain,所述模型Sstrain中的第k组的所述处理后数据向量集合X的输出为Fk,i(X);
M6:继续收集网络通讯中的数据,形成数据向量集合Y={y1,......,yn}, i=1,……,n,定义为测试数据集Sstest,将所述测试数据集Sstest传递给网络行为检测模块;
M7:将所述概率神经网络模型Sstrain输入至所述网络行为检测模块,利用所述M4步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接所述测试数据集Sstest中的所有特征向量yi,得到具有不同最大输出 Gk(Y)的K个网络行为类别,所述1≤k≤K,传递给恶意攻击识别模块;
M8:所述恶意攻击识别模块识别结果数据向量类别后,将内部恶意网络攻击行为向量分类至攻击类别分类模块,将内部正常网络行为向量分类至正常网络行为模块;
M9:所述攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中。
进一步地,所述M4步骤包括以下步骤:
M40:确定粒子群优化模式的限制因子R;
M41:初始化所述扩散参数σi作为粒子的粒子群,设定使第t代粒子σi(t)为变化速率vi(t)位于边界β=[0,1]内,所述粒子群中的第t代粒子粒子σi(t)的初始位置为xi(t),初始化最佳数据向量位置和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数gi,即σi(t)∈β,vi(t)∈β;
M42:更新每个所述粒子σi的速率vi(t)为vi(t+1);
M43:利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1 代粒子σi(t+1):σi(t+1)=σi(t)+vi(t+1);
M44:约束位于所述边界β内的粒子群σi的每个所述第t+1代粒子σi(t+1)位置的数据向量,计算扩散系数粒子群σi(t+1)中的比例系数 f(σi(t+1));
M46:确定是否获得所述最佳扩散参数σg;若是,则停止迭代,若否,则更新迭代数由t至t+1,更新所述步骤M42至所述步骤M46,直至获得。
进一步地,所述M40步骤中的限制因子R的计算公式如下:
其中,所述φ=c1+c2,k为迭代次数,k∈[0,1],所述c1为与每个粒子的最佳位置相关的系数,所述c2为与有助于改变粒子速度的邻域的最佳位置相关的系数,0≤c1,c2≤2。
进一步地,所述步骤M42中的更新每个粒子σi的的速率vi(t)为vi(t+ 1)的公式如下:
其中,所述c1为与每个粒子的最佳位置相关的系数,所述c2为是与有助于改变粒子速度的邻域的最佳位置相关的系数,0≤c1,c2≤2;所述r1、所述r2为每次速度更新时产生的随机变量。
进一步地,所述步骤M5中第k组的所述处理后数据向量集合X的输出为Fk,i(X)的公式如下:
其中,所述Xk,i是第k组的第i个数据向量,它引用了决定内核可修改字段大小的扩展参数。
进一步地,所述步骤M7中Gk(Y)的计算公式如下:
进一步地,所述步骤M8中的识别结果数据向量类别的公式如下:
数据向量集合Y根据得到的C(Y)值,被分组到与从求和单元计算的最大输出相对应的类中。
进一步地,所述M9步骤中攻击类别模块分类得到的内部异常网络攻击行为模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。
本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述智能内部恶意行为网络攻击识别方法的步骤。
本发明的有益效果为:
1、与简单的神经网络方法相比,该方法经过具有与每个粒子的最佳位置相关的系数c1和与有助于改变粒子速度的邻域的最佳位置相关的系数 c2有关的限制因子R选择的粒子群优化算法模式的粒子群算法优化的概率网络神经算法,并且源数据为以特征向量形式记录的恶意行为,其被分类到各种类型的实时攻击类别模块中,能够实现检测和识别云计算和移动计算环境中的内部恶意行为。
2、现有技术中的概率神经网络性能受到扩散系数σ的影响,本申请提供的智能内部恶意行为网络攻击识别方法在应用概率神经网络针对信息特征提取处理后的数据对进行分类过程之前,采用粒子群优化算法对概率神经网络中的扩散系数σ进行优化,得到具有最佳扩散系数σg,对概率神经网络算法进行优化后,形成了针对所采集的网络数据集合具有自适应性能的概率神经网络算法。
3、本申请提供的智能内部恶意行为网络攻击识别方法在进行粒子群优化过程中,采用了与每个粒子的最佳位置相关的系数c1和与有助于改变粒子速度的邻域的最佳位置相关的系数c2之和的系数φ和迭代次数k限制得到的限制因子R,根据限制因子R确定粒子群优化模式之后,在进行粒子群的初始化,能够根据不同的网络环境所带来的数据类别不同而进行更加适合的粒子群优化方式和环境,使粒子群优化后所得到的最佳扩散系数σg能够更加准确地识别恶意网络攻击行为还是正常的网络行为。
4、本申请能够根据粒子群优化后的概率神经网络,不仅仅是识别出网络行为到底是正常的网络行为还是网络攻击行为,还能够根据训练后的概率神经网络评估输入的检测的数据向量集合所代表的异常类—模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击和蠕虫攻击,进而被后续的攻击类别分类模块归类到不同的恶意攻击类别网络行为,使后续的安全防御系统有针对性的进行恶意行为阻拦和防火墙的搭建。
5、本申请所提供的智能内部恶意行为网络攻击识别方法是根据基于对用户行为的观察,而不是基于用户的凭证,即是网络用户的实时网络数据所组成的数据向量集合,并且经过信息特征处理后的网络数据,无需安全加密过程中的用户凭证进行数据采集,保证了源数据的准确性。
6、本申请提供的智能内部恶意行为网络攻击识别方法从用户的网络行为中提取有意义的信息,并利用机器学习的方式从网络中提取有意义的信息,经过粒子群优化后的概率神经网络模型构建模块将自动以特征向量形式记录的恶意行为分类到各种类型的实时攻击中,提高了检测网络攻击的精度的同时也降低了检测的复杂度和所需要的时间,加快了恶意网络攻击行为的识别速度。
附图说明
在下文中将基于实施例并参考附图来对本发明进行更详细的描述。其中:
图1为本发明提供的智能内部恶意行为网络攻击识别方法流程图;
图2为本发明提供的粒子群优化迭代示意图;
图3为本发明提供的进行信息特征提取预处理之后的网络数据经过概率神经网络构建模块输出扩散系数的概率值的示意图;
图4为本发明提供的M4步骤中的具体M41-M46步骤第t代粒子σi(t) 更新为第t+1代粒子σi(t+1)的位置变化图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,为本实施例提供的一种智能内部恶意行为网络攻击识别方法,包括以下步骤:
M1:利用数据监听和存储模块收集用户在网络通讯过程中的数据;
M2:将数据传递给数据预处理和特征提取模块,用于对数据进行预处理并提取数据中的信息特征,形成处理后数据向量集合X={x1,......,xn}, i=1,……,n,xi为第i个经过信息特征数据处理的特征向量;
M3:将处理后数据向量集合X传递给粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块,概率神经网络模型构建模块利用处理后数据构建概率神经网络模型,针对不同类别的处理后数据向量集合X 输出若干个扩散参数σi;
M4:如图2所示,概率神经网络模型模块将若干个扩散参数σi传递给粒子群优化模块,粒子群优化模块将若干个扩散参数σi作为若干个粒子进行粒子群优化迭代,直至迭代完成,确定概率神经网络模型的最佳扩散参数σg;
具体地,M4步骤包括如下步骤:
M40:确定粒子群优化模式的限制因子R:
其中,φ=c1+c2,k为迭代次数,k∈[0,1],c1为与每个粒子的最佳位置相关的系数,c2为是与有助于改变粒子速度的邻域的最佳位置相关的系数,0≤c1,c2≤2;如图3所示,当处理后数据向量集合X输送至粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块中后,概率神经网络模型构建模块会根据每个处理后数据向量集合X输出一个扩散系数的概率值,为σ1,σ2,…,σk,…,σi,i∈n,输送至粒子群优化模块中,粒子群优化模块再根据输出的n个扩散系数σi作为粒子,进行粒子群算法的优化,得到最佳扩散系数σg;
M41:如图4所示,初始化扩散参数σi作为粒子的粒子群,设定使第t 代粒子σi(t)为变化速率vi(t)位于边界β=[0,1]内,所述粒子群中的粒子σi(t) 的初始位置为xi(t),初始化最佳数据向量位置和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数gi,即σi(t)∈β,vi(t)∈β;
M42:更新每个粒子σi的速率vi(t)为vi(t+1):
其中,r1、r2为每次速度更新时产生的随机变量;
M43:利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1 代粒子σi(t+1):σi(t+1)=σi(t)+vi(t+1);
M44:约束位于边界β内的粒子群σi的每个第t+1代粒子σi(t+1)位置的数据向量,计算扩散系数粒子群σi(t+1)中的比例系数f(σi(t+1));
M45:更新最佳数据向量位置和指数gi,其中最佳数据向量位置更新公式如下:第t代粒子σi(t)位于初始位置xi(t),初始化后,第t代粒子σi(t)由粒子自身的加速所带来的位置变化量为由其自身的变化速率vi(t)所带来的惯性运动位置变化量为vi(t),由整个粒子群加速所带来的位置变化量为 因此,第t代粒子σi(t)的整体位移变化速度为上述三方面所带来的整体变化加和,并赋予粒子群优化模式的限制因子R进行加权,得到粒子σi的速率vi(t)更新为vi(t+1),并由此速度得到新的第t+1代粒子σi(t+1);
M46:依照上述方法继续更新第t+1代粒子σi(t+1),确定是否获得最佳扩散参数σg;若是,则停止迭代,若否,则更新迭代数由t至t+1,更新步骤M42至步骤M46;
M5:概率神经网络模型模块利用处理后数据向量集合X以及最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain,模型Sstrain中的第 k组的处理后数据向量集合X的输出为Fk,i(X):
其中,Xk,i是第k组的第i个数据向量,它引用了决定内核可修改字段大小的扩散参数σg;
M6:继续收集网络通讯中的数据,形成数据向量集合Y={y1,......,yn}, i=1,……,n,定义为测试数据集Sstest,将测试数据集Sstest传递给网络行为检测模块;
M7:将概率神经网络模型Sstrain输入至网络行为检测模块,利用M4 步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接测试数据集Sstest中的所有特征向量yi,得到具有不同最大输出Gk(Y)的K个网络行为类别,1≤k≤K,传递给恶意攻击识别模块;
M8:恶意攻击识别模块识别结果数据向量类别后,将内部恶意网络攻击行为向量分类至攻击类别分类模块,将内部正常网络行为向量分类至正常网络行为模块,其中识别结果数据向量的公式为:
数据向量集合Y根据得到的C(Y)值,被分组到与从求和单元计算的最大输出相对应的类中;
M9:攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中,攻击类别可以为模糊攻击、分析攻击、后门攻击、DoS 攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。
根据限制因子R确定粒子群优化模式之后,在进行粒子群的初始化,能够根据不同的网络环境所带来的数据类别不同而进行更加适合的粒子群优化方式和环境,使粒子群优化后所得到的最佳扩散系数σg能够更加准确地识别恶意网络攻击行为还是正常的网络行为。
实施例2
本发明还提供一种电子设备,包括存储器、处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述智能内部恶意行为网络攻击识别方法的步骤。
该实施例中的存储器可能包含告诉随机存取存储器(RAM),或者非易失性存储器,例如至少一个磁盘存储器,通过通信接口与网络接口通信连接;
存储器用于存储具有实施例1的智能内部恶意行为网络攻击识别方法的工作流程的算法程序,在接收到执行命令后执行算法程序,进而实现内部恶意行为网络攻击的识别,处理器可以为中央处理器(CPU)、网络处理器(NP)、专用集成电路(ASIC)等组件。
虽然已经参考优选实施例对本发明进行了描述,但在不脱离本发明的范围的情况下,以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种智能内部恶意行为网络攻击识别方法,其特征在于,包括以下步骤:
M1:利用数据监听和存储模块收集用户在网络通讯过程中的数据;
M2:将所述数据传递给数据预处理和特征提取模块,用于对数据进行预处理并提取数据中的信息特征,形成处理后数据向量集合X={x1,......,xn},i=1,......,n,所述xi为第i个经过所述信息特征数据处理的特征向量;
M3:将所述处理后数据向量集合X传递给所述粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块,所述概率神经网络模型构建模块利用所述处理后数据构建概率神经网络模型,针对不同类别的所述处理后数据向量集合X输出若干个扩散参数σi;
M4:所述概率神经网络模型模块将所述若干个扩散参数σi传递给粒子群优化模块,所述粒子群优化模块将所述若干个扩散参数σi作为若干个粒子进行粒子群优化迭代,直至迭代完成,确定概率神经网络模型的最佳扩散参数σg;
M5:所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain,所述模型Sstrain中的第k组的所述处理后数据向量集合X的输出为Fk,i(X);
M6:继续收集网络通讯中经过数据预处理和特征提取模块处理后的数据,形成数据向量集合Y={y1,......,yn},i=1,......,n,定义为测试数据集Sstest,将所述测试数据集Sstest传递给网络行为检测模块;
M7:将所述概率神经网络模型Sstrain输入至所述网络行为检测模块,利用所述M4步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接所述测试数据集Sstest中的所有特征向量yi,得到具有不同最大输出Gk(Y)的K个网络行为类别,所述1≤k≤K,传递给恶意攻击识别模块;
M8:所述恶意攻击识别模块识别结果数据向量类别后,将内部恶意网络攻击行为向量分类至攻击类别分类模块,将内部正常网络行为向量分类至正常网络行为模块;
M9:所述攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中。
2.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法,其特征在于,所述M4步骤包括以下步骤:
M40:确定粒子群优化模式的限制因子R;
M41:初始化所述扩散参数σi作为粒子的粒子群,设定使第t代粒子σi(t)为变化速率vi(t)位于边界β=[0,1]内,所述粒子群中的第t代粒子σi(t)的初始位置为xi(t),初始化最佳数据向量位置和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数gi;
M42:更新每个所述粒子σi的速率vi(t)为vi(t+1);
M43:利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1代粒子σi(t+1):σi(t+1)=σi(t)+vi(t+1);
M44:约束位于所述边界β内的粒子群σi的每个所述第t+1代粒子σi(t+1)位置的数据向量,计算扩散系数粒子群σi(t+1)中的比例系数f(σi(t+1));
M46:确定是否获得所述最佳扩散参数σg;若是,则停止迭代,若否,则更新迭代数由t至t+1,更新所述步骤M42至所述步骤M46。
9.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法,其特征在于,所述M9步骤中攻击类别模块分类得到的内部异常网络攻击行为模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。
10.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至8任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010778015.6A CN111917781A (zh) | 2020-08-05 | 2020-08-05 | 一种智能内部恶意行为网络攻击识别方法及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010778015.6A CN111917781A (zh) | 2020-08-05 | 2020-08-05 | 一种智能内部恶意行为网络攻击识别方法及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111917781A true CN111917781A (zh) | 2020-11-10 |
Family
ID=73287299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010778015.6A Pending CN111917781A (zh) | 2020-08-05 | 2020-08-05 | 一种智能内部恶意行为网络攻击识别方法及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111917781A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114090967A (zh) * | 2021-10-25 | 2022-02-25 | 广州大学 | 一种基于pso-msvm的apt组织追踪溯源方法及系统 |
CN115604018A (zh) * | 2022-11-02 | 2023-01-13 | 广东网安科技有限公司(Cn) | 一种网络安全监控方法、系统、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103729678A (zh) * | 2013-12-12 | 2014-04-16 | 中国科学院信息工程研究所 | 一种基于改进dbn模型的水军检测方法及系统 |
CN107104988A (zh) * | 2017-07-07 | 2017-08-29 | 太原理工大学 | 一种基于概率神经网络的IPv6入侵检测方法 |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
CN110297480A (zh) * | 2019-06-17 | 2019-10-01 | 重庆仲澜科技有限公司 | 基于参数优化的深度信念网络模型的te过程故障诊断方法 |
CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
US10567402B1 (en) * | 2017-04-13 | 2020-02-18 | United Services Automobile Association (Usaa) | Systems and methods of detecting and mitigating malicious network activity |
-
2020
- 2020-08-05 CN CN202010778015.6A patent/CN111917781A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103729678A (zh) * | 2013-12-12 | 2014-04-16 | 中国科学院信息工程研究所 | 一种基于改进dbn模型的水军检测方法及系统 |
US10567402B1 (en) * | 2017-04-13 | 2020-02-18 | United Services Automobile Association (Usaa) | Systems and methods of detecting and mitigating malicious network activity |
CN107104988A (zh) * | 2017-07-07 | 2017-08-29 | 太原理工大学 | 一种基于概率神经网络的IPv6入侵检测方法 |
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN109120630A (zh) * | 2018-09-03 | 2019-01-01 | 上海海事大学 | 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法 |
CN110297480A (zh) * | 2019-06-17 | 2019-10-01 | 重庆仲澜科技有限公司 | 基于参数优化的深度信念网络模型的te过程故障诊断方法 |
CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
Non-Patent Citations (2)
Title |
---|
V.L. GEORGIOU, N.G. PAVLIDIS: "Optimizing_the_Performance_of_Probabilistic_Neural", 《RESEARCHGATE》 * |
赵广振等: "基于主成分分析和概率神经网络的入侵检测方法", 《石家庄铁道大学学报(自然科学版)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114090967A (zh) * | 2021-10-25 | 2022-02-25 | 广州大学 | 一种基于pso-msvm的apt组织追踪溯源方法及系统 |
CN115604018A (zh) * | 2022-11-02 | 2023-01-13 | 广东网安科技有限公司(Cn) | 一种网络安全监控方法、系统、设备及存储介质 |
CN115604018B (zh) * | 2022-11-02 | 2023-05-05 | 广东网安科技有限公司 | 一种网络安全监控方法、系统、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lin | Deep learning for IoT | |
Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
Ding et al. | Intrusion detection system for NSL-KDD dataset using convolutional neural networks | |
Shone et al. | A deep learning approach to network intrusion detection | |
CN107577945B (zh) | Url攻击检测方法、装置以及电子设备 | |
Popoola et al. | Efficient Feature Selection Technique for Network Intrusion Detection System Using Discrete Differential Evolution and Decision. | |
Khan | Rule based network intrusion detection using genetic algorithm | |
Deore et al. | Hybrid optimization enabled robust CNN-LSTM technique for network intrusion detection | |
CN110602120B (zh) | 一种面向网络的入侵数据检测方法 | |
CN111917781A (zh) | 一种智能内部恶意行为网络攻击识别方法及电子设备 | |
Kalaivani et al. | A Hybrid Deep Learning Intrusion Detection Model for Fog Computing Environment. | |
Chen et al. | Network anomaly detection based on deep support vector data description | |
Peng et al. | Detecting adversarial examples for network intrusion detection system with gan | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN111935127B (zh) | 一种云计算中恶意行为检测识别及安全加密装置 | |
Yu et al. | Specview: malware spectrum visualization framework with singular spectrum transformation | |
Ensafi et al. | Optimizing fuzzy k-means for network anomaly detection using pso | |
Sharif et al. | A deep learning based technique for the classification of malware images | |
Nalavade et al. | Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data | |
Saheed et al. | Autoencoder via DCNN and LSTM models for intrusion detection in industrial control systems of critical infrastructures | |
CN116633682B (zh) | 一种基于安全产品风险威胁的智能识别方法及系统 | |
Onoja et al. | Exploring the effectiveness and efficiency of LightGBM algorithm for windows malware detection | |
US20230306106A1 (en) | Computer Security Systems and Methods Using Self-Supervised Consensus-Building Machine Learning | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 | |
Wu | Protocol-based classification for intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201110 |
|
RJ01 | Rejection of invention patent application after publication |