CN112528277A - 一种基于循环神经网络的混合入侵检测方法 - Google Patents

一种基于循环神经网络的混合入侵检测方法 Download PDF

Info

Publication number
CN112528277A
CN112528277A CN202011419001.1A CN202011419001A CN112528277A CN 112528277 A CN112528277 A CN 112528277A CN 202011419001 A CN202011419001 A CN 202011419001A CN 112528277 A CN112528277 A CN 112528277A
Authority
CN
China
Prior art keywords
data
neural network
data set
gini
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011419001.1A
Other languages
English (en)
Inventor
缪祥华
王佳坤
邵建龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kunming University of Science and Technology
Original Assignee
Kunming University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kunming University of Science and Technology filed Critical Kunming University of Science and Technology
Priority to CN202011419001.1A priority Critical patent/CN112528277A/zh
Publication of CN112528277A publication Critical patent/CN112528277A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Image Analysis (AREA)

Abstract

本发明设计公开了一种基于循环神经网络的混合入侵检测方法,采用的步骤为,步骤一:首先利用抓包工具抓取网络原始流量并分为训练数据集和测试数据集,再对数据集进行标准化和归一化的处理,使其能够达到进行训练和检测。步骤二:通过建立入侵检测模型,首先使用循环神经网络进行首次检测,分离出正常预测的数据,其次将这些正常预测的数据再次输入经过训练的决策树中进行二次检测。通过本发明的入侵检测方法,可以有效解决传统入侵检测技术的缺点,并且对未知新型的入侵手段也具有一定的检测性。本发明的入侵检测方法应用于网络安全领域,实现了对网络攻击的检测和攻击分类,并且具有准确率高,误报率低等特点,有效的提高了入侵检测的性能。

Description

一种基于循环神经网络的混合入侵检测方法
技术领域
本发明涉及一种基于循环神经网络的混合入侵检测方法,属于网络安全技术领域。
背景技术
随着互联网技术的飞速发展,网络攻击越来越多样化,传统网络和无线网络等一系列新型网络模式正面临着越来越严重的网络威胁。原始的入侵检测系统需要通过手动设计规则来检测入侵行为,由于网络攻击的多变性,攻击类型总是领先于规则的制订,所以很难识别新型攻击行为,因此,往往会出现检测效率低,误报率高等问题。
发明内容
本发明要解决的技术问题是提出了一种基于循环神经网络的混合入侵检测方法,通过二次检测的能力,主要对网络流量数据的正常行为和异常行为进行检测和识别,以解决目前入侵检测技术中存在的检测率低,误报率高的问题。其中主要针对目前网络环境中四种异常行为Probing,R2L,U2R和DOS进行检测,本方法可以有效提高对异常数据的检测效率。
通过对原始数据处理,提取特征,经过循环神经网络和决策树的混合方法,可以实现对异常数据的有效检测。通过实验结果的比较,具有检测率高,误报率低,检测时间短等特点。
本发明采用的技术方案是:一种基于循环神经网络的混合入侵检测方法,具体步骤如下:
步骤一:首先利用Wireshark等抓包工具抓取网络上原始流量的pcap格式数据包,其中主要的异常数据流量有Probing,R2L,U2R和DOS。然后利用切包工具将其切分为许多会话,以此为基础收集待检测数据。其次,收集会话的头部信息和时间,流量和报文数等属性作为特征。最后,对所搜集的数据进行整理,做成格式规范的数据集,分为训练数据集和测试数据集,再对数据集进行标准化和归一化的处理,使其能够达到进行训练和检测。
因数据集中存在有字符型特征,因此要对这些特征数值化。采用LabelEncoder的方式对字符型数据进行数值化处理,LabelEncoder可以将标签映射到[0,n_classes-1]的区间进行编码,将各种标签分配一个可数的连续编号。
在特征数值化之后,对数据进行标准化,将数据统一线性映射到[0,1]的区间上。此处采用StandardScale算法对数据进行标准化处理。StandardScale标准化的公式如下:
Figure BDA0002821428500000021
其中,X.mean()为数据集的均值,X.std()为数据的标准差。利用StandardScale算法可以将处理过的数据符合标准正态分布,即均值为0,标准差为1。并且StandardScale算法是针对每一个特征维度进行处理,避免对某个特征的重视程度过大或过小,因受异常点的影响较小,所以适用于繁杂量大的数据。
步骤二:通过建立入侵检测模型,首先使用循环神经网络进行首次检测,分离出正常行为的数据和异常行为的数据,其次将这些正常行为数据再次输入经过训练的决策树中进行二次检测。
该模型由循环神经网络和决策树两部分组成。首先,使用循环神经网络来检测数据并在测试结果中分离正常样本,其中循环神经网络是具有记忆能力的单向传播网络,它可以同时考虑当前输入和隐藏层状态。因此,它适合与时间顺序有关的任务。
图2所示为循环神经网络的示意图。循环神经网络计算公式如下:
st=f(Uxt+Wst-1)
ot=g(Vst)
式中U为输入到隐层的权重,V为隐层输出的权重,W为自身递归的权重,f为循环层激活函数,g为输出层激活函数,xt为当前时刻输入,st-1为前一时刻循环层输出,st为当前时刻循环层输出,ot为当前时刻输出。
其次,将判定为正常行为的数据放入决策树中进行二次检测。其中决策树是一种具有自顶向下的递归分类算法。每次选择信息熵值最大的节点,然后将其拆分为子节点。并且使用CART算法对正常行为的数据进行二次检测。
CART分类树算法使用基尼系数选择特征,基尼系数代表了模型的不纯度,基尼系数越小,不纯度越低,特征越好。
在分类问题中,假设有K个类,样本点属于第K类的概率为pk,则概率分布的基尼指数定义为:
Figure BDA0002821428500000031
其中,pk表示选中的样本属于K类别的概率,则这个样本被分错的概率为(1-pk)。
对于给定的样本集合D,其基尼指数为:
Figure BDA0002821428500000032
其中,ck是中属于第K类的样本,K是类的个数。
如果样本集合D根据特征A是否取某一可能值a被分割成D1和D2两部分,即:
D1={(x,y)∈D|A(x)=a},D2=D-D1
则在特征A的条件下,集合D的基尼指数定义为:
Figure BDA0002821428500000033
基尼指数Gini(D)表示集合D的随机抽取两个样本,其类别标记不一致的概率。Gini(D)越小,则集合D的纯度越高。在计算过程中,会选择Gini(D)最小的点作为特征的二元分类点。因此在对数据分类时,若基尼指数的最小点为a,则小于a的值可分为正常行为,大于a的值可分为异常行为。
具体地,使用CART算法对正常行为的数据进行二次检测的步骤如下:
假设输入:训练数据集D,停止计算的条件,输出:CART决策树,
根据训练数据集,从根结点开始,递归地对每个结点进行以下操作,构建二叉树:
Step1:设结点的训练数据集为D,计算现有特征对该数据集的基尼指数,此时,对每一个特征A,对其可能取的每个值a,根据样本点A=a的测试为“是”或“否”将D分割为D1和D2两部分,利用上式Gini(D,A)来计算A=a时的基尼指数;
Step2:在所有可能的特征A以及他们所有可能的切分点a中,选择基尼指数最小的特征及其对应可能的切分点作为最有特征与最优切分点,依最优特征与最有切分点,从现结点生成两个子节点,将训练数据集依特征分配到两个子节点中去;
Step3:对两个子结点递归地调用Step1、Step2,直至满足条件;
Step4:生成CART决策树;
算法停止计算的条件是节点中的样本个数小于预定阈值,或样本集的基尼指数小于预定阈值,或者没有更多特征。
本发明的有益效果是:
本发明使用基于循环神经网络的混合入侵检测方法对互联网中的异常行为进行检测。采用简单的数据预处理方法,提取数据的特征,能够保留数据特征的完整性。并通过模型的训练能够提高入侵检测的性能。
在当前大数据的时代,网络中网络流量存在复杂、多变等问题,通过本发明的入侵检测方法,可以有效解决传统入侵检测技术的缺点,有效提高对异常数据的识别能力和实时性,并且对未知新型的入侵手段也具有一定的检测性。本发明具有准确率高,误报率低,可移植等特点,应用场景广泛。
附图说明
图1为本发明中数据集处理过程图;
图2为本发明中循环神经网络示意图;
图3为本发明中决策树示意图;
图4为本发明中基于循环神经网络的混合入侵检测流程示意图。
具体实施方式
下面结合附图和具体实施例,对本发明做进一步说明。
实施例1:如图1-4所示,本发明针对目前入侵检测技术中存在的问题,提出了一种基于循环神经网络的混合入侵检测方法,通过二次检测的能力,以解决入侵检测过程中的检测与识别问题。通过利用抓包工具对网络中原始的数据流量进行抓取,将所抓取的异常流量分为Probing,R2L,U2R和DOS四种类型,其次根据数据的不同类型,将原始数据分为训练数据集和测试数据集,最后经过预处理,提取特征,利用循环神经网络和决策树的混合方法,可以实现对异常数据的有效检测。通过实验结果的比较,具有检测率高,误报率低,适应性强等特点的基于循环神经网络的混合入侵检测方法。
一种基于循环神经网络的混合入侵检测方法,具体步骤如下:
步骤一:首先利用Wireshark抓包工具抓取网络上原始流量的pcap格式数据包,其中异常数据流量有Probing,R2L,U2R和DOS,然后利用切包工具将其切分为许多会话,以此为基础收集待检测数据;其次,收集会话的头部信息和时间,流量和报文数属性作为特征,最后,对所搜集的数据进行整理,做成格式规范的数据集,分为训练数据集和测试数据集,再对数据集进行标准化和归一化的处理,使其能够达到进行训练和检测;
因数据集中存在有字符型特征,因此要对这些特征数值化,采用LabelEncoder的方式对字符型数据进行数值化处理,LabelEncoder可以将标签映射到[0,n_classes-1]的区间进行编码,将各种标签分配一个可数的连续编号;
在特征数值化之后,对数据进行标准化,将数据统一线性映射到[0,1]的区间上,此处采用StandardScale算法对数据进行标准化处理,StandardScale标准化的公式如下:
Figure BDA0002821428500000051
其中,X.mean()为数据集的均值,X.std()为数据的标准差,利用StandardScale算法可以将处理过的数据符合标准正态分布,即均值为0,标准差为1,并且StandardScale算法是针对每一个特征维度进行处理,避免对某个特征的重视程度过大或过小,因受异常点的影响较小,所以适用于繁杂量大的数据;
步骤二:通过建立入侵检测模型,首先使用循环神经网络进行首次检测,分离出正常行为的数据和异常行为的数据,其次将这些正常行为数据再次输入经过训练的决策树中进行二次检测;
该模型由循环神经网络和决策树两部分组成:首先,使用循环神经网络来检测数据并在测试结果中分离正常样本,其中循环神经网络是具有记忆能力的单向传播网络,它可以同时考虑当前输入和隐藏层状态,循环神经网络计算公式如下:
st=f(Uxt+Wst-1)
ot=g(Vst)
式中U为输入到隐层的权重,V为隐层输出的权重,W为自身递归的权重,f为循环层激活函数,g为输出层激活函数,xt为当前时刻输入,st-1为前一时刻循环层输出,st为当前时刻循环层输出,ot为当前时刻输出;
其次,将判定为正常行为的数据放入决策树中进行二次检测,其中决策树是一种具有自顶向下的递归分类算法,每次选择信息熵值最大的节点,然后将其拆分为子节点,并且使用CART算法对正常行为的数据进行二次检测;
CART分类树算法使用基尼系数选择特征,基尼系数代表了模型的不纯度,基尼系数越小,不纯度越低,特征越好;
在分类问题中,假设有K个类,样本点属于第K类的概率为pk,则概率分布的基尼指数定义为:
Figure BDA0002821428500000061
其中,pk表示选中的样本属于K类别的概率,则这个样本被分错的概率为(1-pk),
对于给定的样本集合D,其基尼指数为:
Figure BDA0002821428500000062
其中,ck是中属于第K类的样本,K是类的个数;
如果样本集合D根据特征A是否取某一可能值a被分割成D1和D2两部分,即:
D1={(x,y)∈D|A(x)=a},D2=D-D1
则在特征A的条件下,集合D的基尼指数定义为:
Figure BDA0002821428500000071
基尼指数Gini(D)表示集合D的随机抽取两个样本,其类别标记不一致的概率,Gini(D)越小,则集合D的纯度越高,在计算过程中,会选择Gini(D)最小的点作为特征的二元分类点,因此在对数据分类时,若基尼指数的最小点为a,则小于a的值可分为正常行为,大于a的值可分为异常行为。
进一步地,使用CART算法对正常行为的数据进行二次检测的步骤如下:
假设输入:训练数据集D,停止计算的条件,输出:CART决策树,
根据训练数据集,从根结点开始,递归地对每个结点进行以下操作,构建二叉树:
Step1:设结点的训练数据集为D,计算现有特征对该数据集的基尼指数,此时,对每一个特征A,对其可能取的每个值a,根据样本点A=a的测试为“是”或“否”将D分割为D1和D2两部分,利用上式Gini(D,A)来计算A=a时的基尼指数;
Step2:在所有可能的特征A以及他们所有可能的切分点a中,选择基尼指数最小的特征及其对应可能的切分点作为最有特征与最优切分点,依最优特征与最有切分点,从现结点生成两个子节点,将训练数据集依特征分配到两个子节点中去;
Step3:对两个子结点递归地调用Step1、Step2,直至满足条件;
Step4:生成CART决策树;
算法停止计算的条件是节点中的样本个数小于预定阈值,或样本集的基尼指数小于预定阈值,或者没有更多特征。
以上结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。

Claims (2)

1.一种基于循环神经网络的混合入侵检测方法,其特征在于:具体步骤如下:
步骤一:首先利用Wireshark抓包工具抓取网络上原始流量的pcap格式数据包,其中异常数据流量有Probing,R2L,U2R和DOS,然后利用切包工具将其切分为许多会话,以此为基础收集待检测数据;其次,收集会话的头部信息和时间,流量和报文数属性作为特征,最后,对所搜集的数据进行整理,做成格式规范的数据集,分为训练数据集和测试数据集,再对数据集进行标准化和归一化的处理,使其能够达到进行训练和检测;
因数据集中存在有字符型特征,因此要对这些特征数值化,采用LabelEncoder的方式对字符型数据进行数值化处理,LabelEncoder可以将标签映射到[0,n_classes-1]的区间进行编码,将各种标签分配一个可数的连续编号;
在特征数值化之后,对数据进行标准化,将数据统一线性映射到[0,1]的区间上,此处采用StandardScale算法对数据进行标准化处理,StandardScale标准化的公式如下:
Figure FDA0002821428490000011
其中,X.mean()为数据集的均值,X.std()为数据的标准差,利用StandardScale算法可以将处理过的数据符合标准正态分布,即均值为0,标准差为1,并且StandardScale算法是针对每一个特征维度进行处理,避免对某个特征的重视程度过大或过小,因受异常点的影响较小,所以适用于繁杂量大的数据;
步骤二:通过建立入侵检测模型,首先使用循环神经网络进行首次检测,分离出正常行为的数据和异常行为的数据,其次将这些正常行为数据再次输入经过训练的决策树中进行二次检测;
该模型由循环神经网络和决策树两部分组成:首先,使用循环神经网络来检测数据并在测试结果中分离正常样本,其中循环神经网络是具有记忆能力的单向传播网络,它可以同时考虑当前输入和隐藏层状态,循环神经网络计算公式如下:
st=f(Uxt+Wst-1)
ot=g(Vst)
式中U为输入到隐层的权重,V为隐层输出的权重,W为自身递归的权重,f为循环层激活函数,g为输出层激活函数,xt为当前时刻输入,st-1为前一时刻循环层输出,st为当前时刻循环层输出,ot为当前时刻输出;
其次,将判定为正常行为的数据放入决策树中进行二次检测,其中决策树是一种具有自顶向下的递归分类算法,每次选择信息熵值最大的节点,然后将其拆分为子节点,并且使用CART算法对正常行为的数据进行二次检测;
CART分类树算法使用基尼系数选择特征,基尼系数代表了模型的不纯度,基尼系数越小,不纯度越低,特征越好;
在分类问题中,假设有K个类,样本点属于第K类的概率为pk,则概率分布的基尼指数定义为:
Figure FDA0002821428490000021
其中,pk表示选中的样本属于K类别的概率,则这个样本被分错的概率为(1-pk),
对于给定的样本集合D,其基尼指数为:
Figure FDA0002821428490000022
其中,ck是中属于第K类的样本,K是类的个数;
如果样本集合D根据特征A是否取某一可能值a被分割成D1和D2两部分,即:
D1={(x,y)∈D|A(x)=a},D2=D-D1
则在特征A的条件下,集合D的基尼指数定义为:
Figure FDA0002821428490000023
基尼指数Gini(D)表示集合D的随机抽取两个样本,其类别标记不一致的概率,Gini(D)越小,则集合D的纯度越高,在计算过程中,会选择Gini(D)最小的点作为特征的二元分类点,因此在对数据分类时,若基尼指数的最小点为a,则小于a的值可分为正常行为,大于a的值可分为异常行为。
2.根据权利要求1所述的一种基于循环神经网络的混合入侵检测方法,其特征在于:使用CART算法对正常行为的数据进行二次检测的步骤如下:
假设输入:训练数据集D,停止计算的条件,输出:CART决策树,
根据训练数据集,从根结点开始,递归地对每个结点进行以下操作,构建二叉树:
Step1:设结点的训练数据集为D,计算现有特征对该数据集的基尼指数,此时,对每一个特征A,对其可能取的每个值a,根据样本点A=a的测试为“是”或“否”将D分割为D1和D2两部分,利用上式Gini(D,A)来计算A=a时的基尼指数;
Step2:在所有可能的特征A以及他们所有可能的切分点a中,选择基尼指数最小的特征及其对应可能的切分点作为最有特征与最优切分点,依最优特征与最有切分点,从现结点生成两个子节点,将训练数据集依特征分配到两个子节点中去;
Step3:对两个子结点递归地调用Step1、Step2,直至满足条件;
Step4:生成CART决策树;
算法停止计算的条件是节点中的样本个数小于预定阈值,或样本集的基尼指数小于预定阈值,或者没有更多特征。
CN202011419001.1A 2020-12-07 2020-12-07 一种基于循环神经网络的混合入侵检测方法 Pending CN112528277A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011419001.1A CN112528277A (zh) 2020-12-07 2020-12-07 一种基于循环神经网络的混合入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011419001.1A CN112528277A (zh) 2020-12-07 2020-12-07 一种基于循环神经网络的混合入侵检测方法

Publications (1)

Publication Number Publication Date
CN112528277A true CN112528277A (zh) 2021-03-19

Family

ID=74997954

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011419001.1A Pending CN112528277A (zh) 2020-12-07 2020-12-07 一种基于循环神经网络的混合入侵检测方法

Country Status (1)

Country Link
CN (1) CN112528277A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995222A (zh) * 2021-05-11 2021-06-18 北京智源人工智能研究院 一种网络检测方法、装置、设备及介质
CN113285845A (zh) * 2021-07-23 2021-08-20 灵长智能科技(杭州)有限公司 一种改进cart决策树生成的方法、系统和设备
CN113542276A (zh) * 2021-07-16 2021-10-22 江苏商贸职业学院 混网网络入侵目标检测方法及系统
CN114666127A (zh) * 2022-03-22 2022-06-24 国网河南省电力公司信息通信公司 一种基于区块链的异常流量检测方法
CN115174268A (zh) * 2022-09-05 2022-10-11 北京金睛云华科技有限公司 基于结构化正则项的入侵检测方法
CN115373834A (zh) * 2021-05-27 2022-11-22 北京火山引擎科技有限公司 一种基于进程调用链的入侵检测方法
CN117061249A (zh) * 2023-10-12 2023-11-14 明阳时创(北京)科技有限公司 基于网络流量的入侵监控方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109581871A (zh) * 2018-12-03 2019-04-05 北京工业大学 免疫对抗样本的工业控制系统入侵检测方法
WO2020016906A1 (en) * 2018-07-16 2020-01-23 Sriram Govindan Method and system for intrusion detection in an enterprise

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020016906A1 (en) * 2018-07-16 2020-01-23 Sriram Govindan Method and system for intrusion detection in an enterprise
CN109581871A (zh) * 2018-12-03 2019-04-05 北京工业大学 免疫对抗样本的工业控制系统入侵检测方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
XIANWEI GAO 等: ""An_Adaptive_Ensemble_Machine_Learning_Model_for_Intrusion_Detection"", 《SPECIAL SECTION ON ARTIFICIAL INTELLIGENCE IN CYBERSECURITY》 *
孙锴: "《基于系统图谱的复杂机电系统状态分析方法》", 31 August 2016, 西北工业大学出版社 *
方圆等: "基于混合卷积神经网络和循环神经网络的入侵检测模型", 《计算机应用》 *
陈红松等: ""基于循环神经网络的无线网络入侵检测分类模型构建与优化研究"", 《电子与信息学报》 *
韩国栋等: "基于深度循环神经网络和改进SMOTE算法的组合式入侵检测模型", 《网络与信息安全学报》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995222A (zh) * 2021-05-11 2021-06-18 北京智源人工智能研究院 一种网络检测方法、装置、设备及介质
CN115373834A (zh) * 2021-05-27 2022-11-22 北京火山引擎科技有限公司 一种基于进程调用链的入侵检测方法
CN113542276A (zh) * 2021-07-16 2021-10-22 江苏商贸职业学院 混网网络入侵目标检测方法及系统
CN113285845A (zh) * 2021-07-23 2021-08-20 灵长智能科技(杭州)有限公司 一种改进cart决策树生成的方法、系统和设备
CN114666127A (zh) * 2022-03-22 2022-06-24 国网河南省电力公司信息通信公司 一种基于区块链的异常流量检测方法
CN114666127B (zh) * 2022-03-22 2023-05-23 国网河南省电力公司信息通信公司 一种基于区块链的异常流量检测方法
CN115174268A (zh) * 2022-09-05 2022-10-11 北京金睛云华科技有限公司 基于结构化正则项的入侵检测方法
CN117061249A (zh) * 2023-10-12 2023-11-14 明阳时创(北京)科技有限公司 基于网络流量的入侵监控方法及系统
CN117061249B (zh) * 2023-10-12 2024-04-26 明阳时创(北京)科技有限公司 基于网络流量的入侵监控方法及系统

Similar Documents

Publication Publication Date Title
CN112528277A (zh) 一种基于循环神经网络的混合入侵检测方法
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
CN112381121A (zh) 一种基于孪生网络的未知类别网络流量的检测与识别方法
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN109818793A (zh) 针对物联网的设备类型识别及网络入侵检测方法
CN104767692B (zh) 一种网络流量分类方法
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN109218223B (zh) 一种基于主动学习的鲁棒性网络流量分类方法及系统
CN111385297B (zh) 无线设备指纹识别方法、系统、设备及可读存储介质
CN114124482B (zh) 基于lof和孤立森林的访问流量异常检测方法及设备
CN112134862B (zh) 基于机器学习的粗细粒度混合网络异常检测方法及装置
CN111935063B (zh) 一种终端设备异常网络访问行为监测系统及方法
CN109218321A (zh) 一种网络入侵检测方法及系统
CN111107077B (zh) 一种基于svm的攻击流量分类方法
CN109450957A (zh) 一种基于云模型的低速拒绝服务攻击检测方法
CN114915575B (zh) 一种基于人工智能的网络流量检测装置
CN116150688A (zh) 智能家居中轻量级的物联网设备识别方法与装置
CN115277113A (zh) 一种基于集成学习的电网网络入侵事件检测识别方法
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN114666273B (zh) 一种面向应用层未知网络协议的流量分类方法
CN114124565B (zh) 一种基于图嵌入的网络入侵检测方法
CN115514581A (zh) 一种用于工业互联网数据安全平台的数据分析方法及设备
CN115333915A (zh) 一种面向异构主机的网络管控系统
CN111970305B (zh) 基于半监督降维和Tri-LightGBM的异常流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210319

RJ01 Rejection of invention patent application after publication