CN112995222B - 一种网络检测方法、装置、设备及介质 - Google Patents
一种网络检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112995222B CN112995222B CN202110508356.6A CN202110508356A CN112995222B CN 112995222 B CN112995222 B CN 112995222B CN 202110508356 A CN202110508356 A CN 202110508356A CN 112995222 B CN112995222 B CN 112995222B
- Authority
- CN
- China
- Prior art keywords
- feature
- probability
- subset
- icmp
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 238000000605 extraction Methods 0.000 claims abstract description 39
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 36
- 238000002922 simulated annealing Methods 0.000 claims abstract description 31
- 238000000547 structure data Methods 0.000 claims abstract description 26
- 238000012549 training Methods 0.000 claims abstract description 22
- 238000007781 pre-processing Methods 0.000 claims abstract description 19
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000001914 filtration Methods 0.000 claims abstract description 8
- 230000015654 memory Effects 0.000 claims description 38
- 238000003860 storage Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 7
- 238000000137 annealing Methods 0.000 claims description 4
- 238000002203 pretreatment Methods 0.000 claims 1
- 238000005457 optimization Methods 0.000 abstract description 2
- 238000012360 testing method Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 7
- 239000004065 semiconductor Substances 0.000 description 7
- 230000035508 accumulation Effects 0.000 description 6
- 238000009825 accumulation Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Abstract
本公开涉及一种网络检测方法、装置、介质及设备,所述方法包括:对网络原始数据进行特征提取得到样本特征结构数据;对所述样本特征结构数据进行预处理;对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测。本公开根据icmp数据包和icmp网络流特征做特征提取,为了后续性能优化,利用规则过滤的方式对数据集进行预处理操作,利用改进的模拟退火特征选择算法进行最优特征子集的选择,进行模型的训练、调参以及测试工作。利用ICMP的包特征和ICMP网络流的统计特征进行模型分类,提高了模型检测的准确度,并且引入ICMP网络流进行模型分类,相比于进行字符串匹配提高了性能。
Description
技术领域
本公开涉及互联网技术领域,更为具体来说,本公开涉及一种网络检测方法、装置、设备及介质。
背景技术
近年来,计算机网络发展迅速,各种新技术、新服务不断涌现,随之而来的是众多的网络安全威胁,这些威胁的存在使我们面对巨大的数据安全挑战。隐秘隧道攻击是双方通过秘密通道进行交流并且其目的不是为了发送信息,而是在不被防火墙和入侵检测系统发现的前提下,进行数据传输。使用隐秘隧道一般有如下目的:a)利用别人的资源发送隐秘信息,b)数据泄露,c)安装、分发和控制恶意软件,d)绕过防火墙等安全设备的检测。
在企业内网环境中,icmp协议可以用于检测网络的连通状态,是必不可少的网络协议之一,所以一般情况下,防火墙会默认放过此协议。Icmp协议的隐秘隧道一般利用数据包信息作为载体来隐藏秘密信息,所以攻击者经常会利用icmp协议的隐秘隧道进行非法通信,以绕过防火墙等安全设备的检测。
发明内容
为解决现有技术的固定密码容易导致密码泄露的安全问题的技术问题。
为实现上述技术目的,本公开提供了一种网络检测方法,包括:
对网络原始数据进行特征提取得到样本特征结构数据;
对所述样本特征结构数据进行预处理;
对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;
将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测。
进一步,所述预处理具体为:
通过规则过滤的方式对所述样本特征结构数据进行预处理。
进一步,所述模拟退火特征提取算法具体为:
为每个特征计算基尼系数;
对所述基尼系数进行最大最小归一化处理;
计算每个特征归一化后的基尼系数占特征基尼系数总和的比例作为特征概率;
生成第一概率数值序列,并根据所述第一概率数值序列中的第一概率数值与特征概率累加值生成特征子集,更新所述特征概率;
根据生成的第二概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集;
新的特征子集与最优特征子集进行模型损失比较,选取损失最低的特征子集作为所述模拟退火特征提取算法的提取结果。
进一步,所述概率数值具体通过如下方式获得:
通过随机生成一个0到1之间的随机数获得所述概率数值。
进一步,所述根据生成的第二概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集具体包括:
按照特征的顺序累加特征概率;
当确定的第二概率数值小于累加到某一个特征的特征值总和时,根据特征子集决定是否选中该特征,若特征子集已经选择该特征时,抛弃该特征;若特征子集未选择该特征时,则选中,更新特征概率。
进一步,所述对网络原始数据进行特征提取得到样本特征结构数据具体包括:
将所述网络原始数据特征提取后的样本特征结构数据根据特征数据类型分为ICMP信息模式特征和ICMP信息行为特征;
对于ICMP信息模式特征,是对每一条网络原始数据中的ICMP包的模式进行分析,将不符合标准协议模式的包检出;
对于ICMP信息行为特征,是根据ICMP网络流中的统计特征进行分析。
为实现上述技术目的,本公开还能够提供一种网络检测装置,包括:
特征提取模块,用于对网络原始数据进行特征提取得到样本特征结构数据;
预处理模块,用于对所述样本特征结构数据进行预处理;
退火特征提取模块,用于对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;
训练检测模块,用于将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测。
进一步,所述预处理模块具体用于通过规则过滤的方式对所述样本特征结构数据进行预处理。
为实现上述技术目的,本公开还能够提供一种计算机存储介质,其上存储有计算机程序,计算机程序被处理器执行时用于实现上述的网络检测方法的步骤。
为实现上述技术目的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的网络检测方法的步骤。
本公开的有益效果为:
本公开根据icmp数据包和icmp网络流特征做特征提取,为了后续性能优化,首先利用规则过滤的方式对数据集进行预处理操作,然后利用改进的模拟退火特征选择算法进行最优特征子集的选择,最后进行模型的训练、调参以及测试工作。利用ICMP的包特征和ICMP网络流的统计特征进行模型分类,提高了模型检测的准确度,并且引入ICMP网络流进行模型分类,相比于进行字符串匹配来说提高了性能。改进的模拟退火算法用于特征选择提高了特征选择的效率以及特征的有效性,并且在后续模型更新时,模拟退火特征选择算法可以自动进行特征选择更新模型大大提高了自动化程度。由于icmpv4与icmpv6的报文格式相同,本公开主要利用网络流的统计特征和payload特征进行模型分类,所以本模型也可以对icmpv6的隧道流量进行检测。
附图说明
图1示出了本公开的实施例1的流程示意图;
图2示出了icmp协议包示意图;
图3示出了本公开的实施例1的特征选择示意图;
图4示出了本公开的实施例1的流程示意图;
图5示出了本公开的实施例2的结构示意图;
图6示出了本公开的实施例4的结构示意图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在附图中示出了根据本公开实施例的各种结构示意图。这些图并非是按比例绘制的,其中为了清楚表达的目的,放大了某些细节,并且可能省略了某些细节。图中所示出的各种区域、层的形状以及它们之间的相对大小、位置关系仅是示例性的,实际中可能由于制造公差或技术限制而有所偏差,并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
Icmp协议概述:
Icmp协议是TCP/IP协议栈最基本的协议,它存在于网络层,主要用于两端之间发送诊断和错误信息。如图2所示,icmp包的头部信息由Type,Code,Checksum等三部分组成,其它部分比如标识符,序列号等定义在Data部分。Type和Code部分主要用来标明icmp包的作用,Checksum用来检测信息的完整性,标识符和序列号用来匹配请求和回应信息。数据部分可能通过固定的字段进行填充。
Ping命令使用的是icmp协议,在Windows系统下,该命令有效负载是32byte的排序字母;在linux系统下,有效负载为56byte,前8byte随时间变化,后48byte为固定字节。
实施例一:
如图1所示:
本公开提供了一种网络检测方法,包括:
S101:对网络原始数据进行特征提取得到样本特征结构数据;
S102:对所述样本特征结构数据进行预处理;
S103:对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;
S104:将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测。
进一步,所述预处理具体为:
通过规则过滤的方式对所述样本特征结构数据进行预处理。
模拟退火算法是一种贪心算法,但是模拟退火算法的搜索过程引入了随机因素。模拟退火算法的核心是以一定的概率接受比当前解更差的解,因此有可能跳出局部最优解,找到全局最优解。近年来模拟退火算法被引用到特征选择领域,每一次都根据当前最优特征子集随机选择一个特征子集。若新的特征子集效果更好,那么我们将采用它并将它更新为当前最优特征子集;若新的特征子集效果不佳,我们也以一定的概率接受它,这个概率取决于当前的状态。以一定的概率接受效果不佳的特征子集对于模拟退火算法十分重要,有助于算法跳出局部最优解,随着迭代的进行模拟退火算法可收敛为良好且效果稳定的最终结果。模拟退火算法引入的随机性因素对算法的性能并不友好,考虑到这一因素,为每一个特征增加一个概率,根据这一概率生成新的特征子集。根据CART决策树的核心基尼系数生成特征概率,首先为每个特征计算基尼系数,然后进行Max-Min归一化,计算每个特征归一化后的基尼系数占特征基尼系数总和的比例作为概率。如此基尼系数大的特征被选中的概率就会增加,以不同的特征概率生成新的特征子集。我们认为特征之间的重要程度并不相同,随机性使得特征之间的重要程度并未显现。
进一步,所述模拟退火特征提取算法具体为:
为每个特征计算基尼系数;
对所述基尼系数进行最大最小归一化处理;
计算每个特征归一化后的基尼系数占特征基尼系数总和的比例作为特征概率;
生成概率数值序列,并根据所述概率数值序列中的概率数值与特征概率累加值生成特征子集,更新所述特征概率;
根据生成的概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集;
新的特征子集与最优特征子集进行模型损失比较,选取损失最低的特征子集作为所述模拟退火特征提取算法的提取结果。
进一步,所述概率数值具体通过如下方式获得:
通过随机生成一个0到1之间的随机数获得所述概率数值。
所述根据生成的概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集具体包括:
按照特征的顺序累加特征概率;
当确定的概率数值小于累加到某一个特征的特征值总和时,根据特征子集决定是否选中该特征,若特征子集已经选择该特征时,抛弃该特征;若特征子集未选择该特征时,则选中,更新特征概率。
根据特征概率进行特征选择,每个特征会对应一个概率值,特征的排列方式确定,随机生成一个(0, 1)之间的随机数,我们会按照特征的顺序累加概率值,当生成的随机数小于累加到某个特征的特征概率值和时,就选中该特征。如图3所示,假设生成随机数x,将x分别与特征累加值a,a+b, a+b+c,...,进行比较假设x>a, x>a+b, x<a+b+c,那么就将第三个特征为选择的特征。
进一步地,所述模拟退火特征提取算法具体为:
为每个特征计算基尼系数,形成基尼系数序列;
对所述基尼系数进行最大最小归一化处理;
计算每个特征归一化后的基尼系数占基尼系数序列总和的比例作为该特征的特征概率值;
生成与所述特征数量相同的第一随机数(即概率数值),每个特征对应一个第一随机数;
逐一累加特征概率值,并在每次累加后判断所述第一随机数是否大于所述特征概率值的累计,若是,则抛弃该特征;若否,则选择该特征,并更新该特征的特征概率值为1-当前特征概率值,从而生成特征子集;
执行第一判断,判断当前模拟退火算法的温度是否大于最低温度,若否,则结束方法流程;若是,则执行以下步骤:
生成一个第二随机数,逐一累加特征概率值,并在每次累加后执行第二判断,判断所述第二随机数的值是否小于所述特征概率的累计;
若第二判断的结果为是,则进一步判断该特征是否已被选中,若是,则抛弃该特征,并将该特征的特征概率值更新为1-当前特征概率值;若否,则选中该特征,并将该特征概率值更新为1-当前特征概率值;
若第二判断的结果为否,则结束;
由此,生成了新的特征子集作为当前特征子集;
在新的特征子集上训练模型,并计算当前损失;
生成一个第三随机数;
如果当前损失大于当前最低损失,则判断所述第三随机数是否大于接受概率;
若是,则拒绝所述当前特征子集;若否,则接受所述当前特征子集,并更新当前最低损失;
如果当前损失不大于当前最低损失,则接受所述当前特征子集,并更新当前最低损失为当前损失,以及更新当前模拟退火算法的温度,再次执行所述第一判断。
由此,迭代地执行直至完成模拟退火特征提取算法,最终接受的特征子集即为选择得到的最优特征子集。
算法的逻辑化表达如下:
初始化随机参数;
为每个特征计算基尼系数,形成序列;
对上述序列进行归一化;
计算序列中每个值与序列值总和的比;
生成与特征数量相同的(0, 1)之间的随机数;
for i in 序列 do
if 对应的随机数>概率累计 do
抛弃特征
else
选择特征
更新特征概率值为1 - 特征概率值
end
end
While 当前温度>最低温度 do
生成一个(0, 1)之间的随机数;
if 随机数<逐个累加特征概率的值 do
更改该特征的概率值
if 该特征已被选中 do
抛弃该特征
该特征概率更新为1 - 特征概率
else 该特征未被选中do
选中该特征
该特征概率值更新为1 - 特征概率
end
end
通过对当前最优特征子集的特征概率值生成新的特征子集;
在新的特征子集上训练模型,并计算相应的损失;
生成一个在(0, 1)之间的随机数;
if 当前损失>当前最低损失 do
if 生成的随机数>计算出的接受概率 do
拒绝当前特征子集;
else
接受当前特征子集;
更新当前最低损失;
end
else
接受当前特征子集;
更新当前最低损失;
当前温度 = 当前温度 * 衰减系数
end
end
算法当中的接受概率计算公式如下:
其中k为常数,T为当前温度,▽E为当前损失与当前最低损失之差。
进一步,所述对网络原始数据进行特征提取得到样本特征结构数据具体包括:
将所述网络原始数据特征提取后的样本特征结构数据根据特征数据类型分为ICMP信息模式特征和ICMP信息行为特征;
对于ICMP信息模式特征,是对每一条网络原始数据中的ICMP包的模式进行分析,将不符合标准协议模式的包检出;
对于ICMP信息行为特征,是根据ICMP网络流中的统计特征进行分析。
本公开将特征分为ICMP信息模式特征和ICMP网络流的统计特征,ICMP信息模式特征是对每一条ICMP包的模式进行分析,将不符合标准协议模式的包检出;ICMP信息行为特征是根据ICMP网络流中的统计特征进行分析,ICMP隐秘隧道的网络流与正常ICMP协议的网络流的持续时间,发包间隔,包的大小和信息熵等都有差别。
ICMP信息模式特征:
1)检测icmp数据包的type,如果为0/8,数据包会带有payload,icmp隧道可能产生不带有payload的数据包。
2)Icmp数据包可能产生type为13/15/17带有payload的畸形包。
3)icmp隧道会产生没有对应请求的响应数据包。
4)一些icmp隧道工具产生的payload中会有‘TUNL’字样。
5)检测响应数据包payload是否和请求数据包一致。正常的ping产生的数据包请求与响应内容一致,而Icmp隧道产生的请求响应数据包内容可以一致,也可以不一致。
6)计算payload的长度,正常ping命令payload比较固定,icmp隧道的payload大小可以任意。
7)计算payload的信息熵,正常ping产生的payload信息熵比较稳定,icmp隧道产生的payload信息熵不稳定而且大于正常payload。
ICMP网络流的统计特征:
首先介绍ICMP网络流的构建,ICMP网络流根据<源IP地址,目的IP地址,icmp协议,icmp-type,icmp-code>进行构建。对ICMP网络流进行特征计算,特征如下:
1)计算ICMP网络流中包大小的最大值,最小值,平均值以及标准差
2)计算ICMP网络流的持续时间
3)计算ICMP网络流中包的信息熵的最大值,最小值,平均值以及标准差
4)计算ICMP网络流中包的时间间隔的最大值,最小值,平均值以及标准差
实施例二:
如图5所示,
本公开还能够提供一种网络检测装置,包括:
特征提取模块,用于对网络原始数据进行特征提取得到样本特征结构数据;
预处理模块,用于对所述样本特征结构数据进行预处理;
退火特征提取模块,用于对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;
训练检测模块,用于将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测。
其中,所述特征提取模块201依次与所述预处理模块202、退火特征提取模块203和训练检测模块204相连接。
进一步,所述预处理模块202具体用于通过规则过滤的方式对所述样本特征结构数据进行预处理。
实施例三:
本公开还能够提供一种计算机存储介质,其上存储有计算机程序,计算机程序被处理器执行时用于实现上述的网络检测方法的步骤。
本公开的计算机存储介质可以采用半导体存储器、磁芯存储器、磁鼓存储器或磁盘存储器实现。
半导体存储器,主要用于计算机的半导体存储元件主要有Mos和双极型两种。Mos元件集成度高、工艺简单但速度较慢。双极型元件工艺复杂、功耗大、集成度低但速度快。NMos和CMos问世后,使 Mos存储器在半导体存储器中开始占主要地位。NMos速度快,如英特尔公司的1K位静态随机存储器的存取时间为 45ns。而CMos耗电省,4K位的CMos静态存储器存取时间为300ns。上述半导体存储器都是随机存取存储器(RAM),即在工作过程中可随机进行读出和写入新内容。而半导体只读存储器 (ROM)在工作过程中可随机读出但不能写入,它用来存放已固化好的程序和数据。ROM 又分为不可改写的熔断丝式只读存储器──PROM和可改写的只读存储器EPROM两种。
磁芯存储器,具有成本低,可靠性高的特点,且有20多年的实际使用经验。70年代中期以前广泛使用磁芯存储器作为主存储器。其存储容量可达10位以上,存取时间最快为300ns。国际上典型的磁芯存储器容量为 4MS~8MB,存取周期为1.0~1.5μs。在半导体存储快速发展取代磁芯存储器作为主存储器的位置之后,磁芯存储器仍然可以作为大容量扩充存储器而得到应用。
磁鼓存储器,一种磁记录的外存储器。由于其信息存取速度快,工作稳定可靠,虽然其容量较小,正逐渐被磁盘存储器所取代,但仍被用作实时过程控制计算机和中、大型计算机的外存储器。为了适应小型和微型计算机的需要,出现了超小型磁鼓,其体积小、重量轻、可靠性高、使用方便。
磁盘存储器,一种磁记录的外存储器。它兼有磁鼓和磁带存储器的优点,即其存储容量较磁鼓容量大,而存取速度则较磁带存储器快,又可脱机贮存,因此在各种计算机系统中磁盘被广泛用作大容量的外存储器。磁盘一般分为硬磁盘和软磁盘存储器两大类。
硬磁盘存储器的品种很多。从结构上,分可换式和固定式两种。可换式磁盘盘片可调换,固定式磁盘盘片是固定的。可换式和固定式磁盘都有多片组合和单片结构两种,又都可分为固定磁头型和活动磁头型。固定磁头型磁盘的容量较小,记录密度低存取速度高,但造价高。活动磁头型磁盘记录密度高(可达1000~6250位/英寸),因而容量大,但存取速度相对固定磁头磁盘低。磁盘产品的存储容量可达几百兆字节,位密度为每英寸6 250位,道密度为每英寸475道。其中多片可换磁盘存储器由于盘组可以更换,具有很大的脱体容量,而且容量大,速度高,可存储大容量情报资料,在联机情报检索系统、数据库管理系统中得到广泛应用。
实施例四:
本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的网络检测方法的步骤。
图6为一个实施例中电子设备的内部结构示意图。如图6所示,该电子设备包括通过系统总线连接的处理器、存储介质、存储器和网络接口。其中,该计算机设备的存储介质存储有操作系统、数据库和计算机可读指令,数据库中可存储有控件信息序列,该计算机可读指令被处理器执行时,可使得处理器实现一种网络检测方法。该电设备的处理器用于提供计算和控制能力,支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令,该计算机可读指令被处理器执行时,可使得处理器执行一种网络检测方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
该电子设备包括但不限于智能电话、计算机、平板电脑、可穿戴智能设备、人工智能设备、移动电源等。
所述处理器在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器内的程序或者模块(例如执行远端数据读写程序等),以及调用存储在所述存储器内的数据,以执行电子设备的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器以及至少一个处理器等之间的连接通信。
图6仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图6示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。
可选地,该电子设备还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
进一步地,所述计算机可用存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。本公开的范围由所附权利要求及其等价物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (9)
1.一种网络检测方法,其特征在于,包括:
对网络原始数据进行特征提取得到样本特征结构数据;
对所述样本特征结构数据进行预处理;
对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;
将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测;
所述模拟退火特征提取算法具体为:
为每个特征计算基尼系数;
对所述基尼系数进行最大最小归一化处理;
计算每个特征归一化后的基尼系数占特征基尼系数总和的比例作为特征概率;
生成第一概率数值序列,并根据所述第一概率数值序列中的第一概率数值与特征概率累加值生成特征子集,更新所述特征概率;
根据生成的第二概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集;
新的特征子集与最优特征子集进行模型损失比较,选取损失最低的特征子集作为所述模拟退火特征提取算法的提取结果。
2.根据权利要求1所述的方法,其特征在于,所述预处理具体为:
通过规则过滤的方式对所述样本特征结构数据进行预处理。
3.根据权利要求1所述的方法,其特征在于,所述第一概率数值和第二概率数值具体通过如下方式获得:
通过随机生成一个0到1之间的随机数获得所述第一概率数值和第二概率数值。
4.根据权利要求1所述的方法,其特征在于,所述根据生成的第二概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集具体包括:
按照特征的顺序累加特征概率;
当确定的第二概率数值小于累加到某一个特征的特征值总和时,根据特征子集决定是否选中该特征,若特征子集已经选择该特征时,抛弃该特征;若特征子集未选择该特征时,则选中,更新特征概率。
5.根据权利要求1所述的方法,其特征在于,所述对网络原始数据进行特征提取得到样本特征结构数据具体包括:
将所述网络原始数据特征提取后的样本特征结构数据根据特征数据类型分为ICMP信息模式特征和ICMP信息行为特征;
对于ICMP信息模式特征,是对每一条网络原始数据中的ICMP包的模式进行分析,将不符合标准协议模式的包检出;
对于ICMP信息行为特征,是根据ICMP网络流中的统计特征进行分析。
6.一种网络检测装置,其特征在于,包括:
特征提取模块,用于对网络原始数据进行特征提取得到样本特征结构数据;
预处理模块,用于对所述样本特征结构数据进行预处理;
退火特征提取模块,用于对预处理后的数据通过模拟退火特征提取算法选择得到最优特征子集;
所述模拟退火特征提取算法具体为:
为每个特征计算基尼系数;
对所述基尼系数进行最大最小归一化处理;
计算每个特征归一化后的基尼系数占特征基尼系数总和的比例作为特征概率;
生成第一概率数值序列,并根据所述第一概率数值序列中的第一概率数值与特征概率累加值生成特征子集,更新所述特征概率;
根据生成的第二概率数值、特征概率以及特征子集选择所述特征集合中的合适的特征生成新的特征子集;
新的特征子集与最优特征子集进行模型损失比较,选取损失最低的特征子集作为所述模拟退火特征提取算法的提取结果;
训练检测模块,用于将所述最优特征子集用于模型训练并利用模型训练后的模型进行网络检测。
7.根据权利要求6所述的装置,其特征在于,所述预处理模块具体用于通过规则过滤的方式对所述样本特征结构数据进行预处理。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现权利要求1~5任一项中所述的网络检测方法对应的步骤。
9.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,所述程序指令被处理器执行时用于实现权利要求1~5任一项中所述的网络检测方法对应的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110508356.6A CN112995222B (zh) | 2021-05-11 | 2021-05-11 | 一种网络检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110508356.6A CN112995222B (zh) | 2021-05-11 | 2021-05-11 | 一种网络检测方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995222A CN112995222A (zh) | 2021-06-18 |
| CN112995222B true CN112995222B (zh) | 2021-08-17 |
Family
ID=76337461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110508356.6A Active CN112995222B (zh) | 2021-05-11 | 2021-05-11 | 一种网络检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995222B (zh) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6873120B2 (ja) * | 2015-10-27 | 2021-05-19 | ディー−ウェイブ システムズ インコーポレイテッド | 量子プロセッサにおける縮退軽減のためのシステムと方法 |
| CN106708875B (zh) * | 2015-11-16 | 2020-11-06 | 创新先进技术有限公司 | 一种特征筛选方法及系统 |
| CN106650667A (zh) * | 2016-12-26 | 2017-05-10 | 北京交通大学 | 一种基于支持向量机的行人检测方法及系统 |
| CN110070141B (zh) * | 2019-04-28 | 2021-09-14 | 上海海事大学 | 一种网络入侵检测方法 |
| CN110445653B (zh) * | 2019-08-12 | 2022-03-29 | 灵长智能科技(杭州)有限公司 | 网络状态预测方法、装置、设备及介质 |
| CN110765700A (zh) * | 2019-10-21 | 2020-02-07 | 国家电网公司华中分部 | 基于量子蚁群优化rbf网络的特高压输电线损预测方法 |
| CN112528277A (zh) * | 2020-12-07 | 2021-03-19 | 昆明理工大学 | 一种基于循环神经网络的混合入侵检测方法 |
-
2021
- 2021-05-11 CN CN202110508356.6A patent/CN112995222B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995222A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10649838B2 (en) | Automatic correlation of dynamic system events within computing devices | |
| Park et al. | Classification of attack types for intrusion detection systems using a machine learning algorithm | |
| JP6850902B2 (ja) | ネットワークにおけるトラフィックの異常を検出するための方法および装置 | |
| Kim et al. | Genetic algorithm to improve SVM based network intrusion detection system | |
| CN107122221A (zh) | 用于正则表达式的编译器 | |
| US10009239B2 (en) | Method and apparatus of estimating conversation in a distributed netflow environment | |
| WO2022227388A1 (zh) | 日志异常检测模型训练方法、装置及设备 | |
| CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
| CN113645232A (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| CN110825545A (zh) | 一种云服务平台异常检测方法与系统 | |
| Dai et al. | Identifying and estimating persistent items in data streams | |
| CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与系统 | |
| CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
| CN108055166B (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| CN113326867B (zh) | 一种流量检测方法、装置、设备及介质 | |
| Fan et al. | Autoiot: Automatically updated iot device identification with semi-supervised learning | |
| CN112995222B (zh) | 一种网络检测方法、装置、设备及介质 | |
| CN117061254A (zh) | 异常流量检测方法、装置和计算机设备 | |
| CN106844553A (zh) | 基于样本数据的数据探测和扩充方法及装置 | |
| CN101854341B (zh) | 用于数据流的模式匹配方法和装置 | |
| CN114567613A (zh) | 一种真实ip识别方法、装置、电子设备及存储介质 | |
| CN112995063B (zh) | 一种流量监测方法、装置、设备及介质 | |
| CN112995209B (zh) | 一种流量监测方法、装置、设备及介质 | |
| Liang et al. | DACS: A Double-layer Application Classification Scheme for Hybrid Zero-day Traffic | |
| Jalan et al. | Formalization of digital forensic theory by using Buchi Automaton |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210917 Address after: 100084 b201c-1, 3rd floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing Patentee after: Beijing innovation Zhiyuan Technology Co.,Ltd. Address before: B201d-1, 3rd floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing 100083 Patentee before: Beijing Zhiyuan Artificial Intelligence Research Institute |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220414 Address after: Room 266, floor 2, building 1, No. 16, Shangdi Fifth Street, Haidian District, Beijing 100085 Patentee after: Beijing Tianji Youmeng Information Technology Co.,Ltd. Address before: 100084 b201c-1, 3rd floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing Patentee before: Beijing innovation Zhiyuan Technology Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A network detection method, device, equipment and medium Effective date of registration: 20220614 Granted publication date: 20210817 Pledgee: China Construction Bank Corporation Beijing Fucheng Road sub branch Pledgor: Beijing Tianji Youmeng Information Technology Co.,Ltd. Registration number: Y2022110000125 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230814 Granted publication date: 20210817 Pledgee: China Construction Bank Corporation Beijing Fucheng Road sub branch Pledgor: Beijing Tianji Youmeng Information Technology Co.,Ltd. Registration number: Y2022110000125 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A network detection method, device, device, and medium Effective date of registration: 20230817 Granted publication date: 20210817 Pledgee: China Construction Bank Corporation Beijing Fucheng Road sub branch Pledgor: Beijing Tianji Youmeng Information Technology Co.,Ltd. Registration number: Y2023110000346 |