CN113079127B - 攻击识别数据模型的生成与应用方法 - Google Patents
攻击识别数据模型的生成与应用方法 Download PDFInfo
- Publication number
- CN113079127B CN113079127B CN202010004453.7A CN202010004453A CN113079127B CN 113079127 B CN113079127 B CN 113079127B CN 202010004453 A CN202010004453 A CN 202010004453A CN 113079127 B CN113079127 B CN 113079127B
- Authority
- CN
- China
- Prior art keywords
- traffic
- sample
- data model
- attack
- strange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013499 data model Methods 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 39
- 238000012549 training Methods 0.000 claims abstract description 24
- 238000003066 decision tree Methods 0.000 claims description 22
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 10
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 claims 1
- 230000000903 blocking effect Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 12
- 230000006399 behavior Effects 0.000 description 9
- 238000003860 storage Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000007635 classification algorithm Methods 0.000 description 5
- 230000002265 prevention Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000002360 preparation method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000003321 amplification Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 230000016571 aggressive behavior Effects 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种攻击识别数据模型的生成与应用方法。于训练模式下,对多个样本流量进行统计以获得可对第一数量的多个流量类别进行识别的多个样本值,执行分类学习演算法来产生包括可对大于第一数量的第二数量的多个流量类别进行识别的多个识别特征的攻击识别数据模型。于识别模式下,识别模块基于攻击识别数据模型分类多个陌生流量至白名单或黑名单的流量类别。本发明基于相同数量的样本流量可识别更多种的流量类别,并可准确判断未定义的陌生流量属于白名单或黑名单。
Description
技术领域
本发明与网络攻击的识别有关,特别涉及攻击识别数据模型的生成与应用方法。
背景技术
于通信网络中(如网际网络或区域网络),电脑装置间是通过传递数据流量来进行通信。然而,恶意的流量(即攻击行为)可能导致电脑装置故障。
为了检测来自网络上的攻击,现有攻击识别技术是事先收集已知流量(如封包)的数值,并于收到陌生流量时,将陌生流量的数值与已知流量的数值进行比较,若陌生流量的数值符合任一已知流量的数值,则可判定此陌生流量的目的(如正常流量或攻击流量)。
现有攻击识别技术的缺失在于,仅能对与已知流量完全相同的陌生流量进行识别,一但陌生流量与已知流量存在差异,将无法有效成功识别陌生流量的目的。
是以,现有网络攻击识别技术存在上述问题,而亟待更有效的方案被提出。
发明内容
本发明的主要目的,在于提供一种攻击识别数据模型的生成与应用方法,可基于相同数量的样本流量来对更多种的流量类别进行识别。
为达上述目的,本发明提供一种攻击识别数据模型的生成与应用方法,用于自动控制系统,攻击识别系统包括控制设备、受控设备及识别模块,攻击识别数据模型的生成与应用方法包括以下步骤:于训练模式下,对白名单或黑名单的多个样本流量的多个数值进行统计以获得多个样本值,其中基于所有样本值可对第一数量的多个流量类别进行识别;基于多个样本值与所对应的多个流量类别执行分类学习演算法来对多个样本值以外的数值进行分类,以产生攻击识别数据模型,其中攻击识别数据模型包括多个识别特征,基于所有识别特征可对第二数量的多个流量类别进行识别,第二数量大于第一数量;控制识别模块于识别模式下负责接收多个陌生流量;及,基于攻击识别数据模型的多个识别特征及各陌生流量的数值分类各陌生流量至白名单的流量类别或黑名单的流量类别,其中多个陌生流量是由控制设备发送至受控设备,或由受控设备发送至控制设备。
本发明基于少量的样本流量可识别多种的流量类别,并可准确判断未定义的陌生流量属于白名单或黑名单。
附图说明
图1为现有的攻击检测系统的运行示意图。
图2为本发明一实施方式的自动控制系统的架构图。
图3为本发明一实施方式的自动控制系统的架构图。
图4为本发明一实施方式的电脑装置的架构图。
图5为本发明第一实施例的攻击识别数据模型的生成与应用方法的流程图。
图6为本发明第二实施例的攻击识别数据模型的生成与应用方法的部分流程图。
图7为本发明第三实施例的分类学习演算法的流程图。
图8为本发明第四实施例的攻击识别数据模型的生成与应用方法的流程图。
图9为本发明第五实施例的攻击识别数据模型的生成与应用方法的流程图。
图10为本发明一实施方式的攻击识别数据模型的生成示意图。
图11为本发明一实施方式的基于单栏位的决策树演算法的执行示意图。
图12为本发明一实施方式的基于多栏位的决策树演算法的执行示意图。
图13为本发明一实施方式的多个陌生流量的多个栏位的示意图。
附图标记说明:
100-102…攻击流量
11…攻击检测系统
110-111…样本
120…白名单
121…黑名单
20…控制设备
21…受控设备
200、210、300、31…识别模块
30…中继设备
400…处理装置
401…存储装置
402…人机接口
403…传输装置
404…功能装置
500…白名单样本值
501…黑名单样本值
51…分类学习演算法
52…白名单
53…黑名单
54…攻击识别数据模型
60-63…流量类别
70-73…识别特征
S100-S103…训练步骤
S104-S108…第一识别步骤
S20-S21…第一样本值取得步骤
S22…第二样本值取得步骤
S30-S33…分类步骤
S400-S409…第二识别步骤
S500-S509…第二识别步骤
具体实施方式
兹就本发明的一优选实施例,配合附图,详细说明如后。
请参阅图1,为现有的攻击检测系统的运行示意图,用以更清楚地说明本发明所要解决的技术问题。
如图1所示,攻击检测系统11是预先存储有黑名单121的多个样本110-111,其值分别为A与B,即攻击检测系统11仅能识别两种的流量类别。
当进行攻击检测时,攻击检测系统11是将所收到的各陌生流量的值(以攻击流量100-102为例,其值分别为A、B、C)与所有样本100-111的值进行比较,以决定各流量属于白名单120的流量或黑名单121的流量。
于图1的例子中,攻击流量100-101分别与黑名单121的样本110-111具有相同值,而会被识别为黑名单121的流量,然而,攻击流量102由于与样本110-111具有不同值,而会被误判为白名单120的流量。
因此,现有攻击检测系统仅能对与已知的样本完全相同的陌生流量进行识别,未曾发生攻击或不在记录中的攻击样本将无法成功识别,这使得识别失败或误判的机率过高,而降低了系统的可靠度。
此外,于不同类型(如不同应用目的或不同网络协定)的自动控制系统中,所传递的流量内容也会不同,而需要不同的检测规则,而需要一种可随应用类型自动进行训练与攻击检测的解决方案。
然而,工业控制网络协定并不像IPv4如此普遍,不同的工业控制网络常使用不同的工业控制网络协定,而没有任何一种攻击识别数据模型可同时适用于所有类型的工业控制网络,而需要一种可随当前的工业控制网络类型自动进行训练与攻击检测的解决方案。
为解决上述问题,本发明主要是提供一种攻击识别数据模型的生成与应用方法,可经由对多个样本流量进行学习训练来产生一组攻击识别数据模型,并以此攻击识别数据模型来对网络流量进行检测,以识别各网络流量类别的目的(如为正常流量、可疑流量或攻击流量)。前述攻击识别数据模型由于是经由学习训练所产生并采用了不同思维的分类识别方式,其可识别的流量类别的数量是被扩充为大于训练用的样本流量的流量类别。
请参阅图2,为本发明一实施方式的自动控制系统的架构图。本发明的攻击识别数据模型的生成与应用方法可应用于图2所示的自动控制系统2。
具体而言,自动控制系统2主要包括控制设备20(如服务器或控制主机)与一或多个受控设备21(如机器人、物联网节点、工业自动化设备、末端设备等等)。控制设备20经由网络连接各受控设备21,并可传输控制指令(即流量)至受控设备21以控制受控设备21执行指定操作,或自受控设备21接收回传数据(即流量)。
于一实施方式中,控制设备20包括识别模块200,识别模块200是用来基于前述攻击识别数据模型对控制设备20所收到的流量进行识别,以决定所收到的各流量所属的流量类别。因此,本发明可于控制设备20上实现网络攻击检测。
于一实施方式中,受控设备21包括识别模块210,识别模块210是用来基于前述攻击识别数据模型对受控设备21所收到的流量进行识别,以决定所收到的各流量所属的流量类别。因此,本发明可于受控设备21上实现网络攻击检测。
值得一提的是,本发明的攻击识别数据模型可用来将各陌生流量分类至预先定义的多种流量类别的其中之一,而各流量类别可事先被归属于白名单或黑名单。因此,于本发明中,当各陌生流量被分类完成时,即可依据所属的流量类别来判定此流量为白名单或黑名单。
续请一并参阅图3,为本发明一实施方式的自动控制系统的架构图。图3的控制设备20与受控设备21是与图2所示相同或相似,于此不再赘述。
于图3的实施方式中,自动控制系统3还包括中继设备30(如网络交换器、路由器、桥接器等等)。控制设备20是经由中继设备30来连接受控设备21,即中继设备30用以转传控制设备20发送至受控设备21的流量,或转传受控设备21发送至控制设备20的流量。
于一实施方式中,中继设备30包括识别模块300,识别模块300是用来基于前述攻击识别数据模型对中继设备30所收到的流量(即转发的流量)进行识别,以决定所收到的各流量所属的流量类别。因此,本发明仅需于中继设备30架设识别模块300即可实现整个网络的攻击检测。
于一实施方式中,识别模块31为独立设备(如独立电脑主机或服务器),中继设备30经由网络连接识别模块31,并且,中继设备30于收到陌生流量时,可将陌生流量(或陌生流量的副本)传输至识别模块31,再由识别模块31决定所收到的各流量所属的流量类别。因此,本发明可降低中继设备的负担。
请一并参阅图4,为本发明一实施方式的电脑装置的架构图。前述的控制设备20、受控设备21、中继设备30及识别模块31可为如图4所示的电脑装置4。
具体而言,电脑装置4可包括存储装置401、人机接口402、传输装置403、功能装置404及电性连接上述装置的处理装置400。
存储装置401用以存储数据,如攻击识别数据模型、或用于控制功能装置404的程序等等。人机接口402用以接受用户输入,并输出信息。人机接口402可包括各式输入装置与输出装置的任意组合,如触控屏幕、按键组、鼠标、显示器、指示灯、扬声器等等,不加以限定。传输装置403用以连接网络,如以太网络模块、Wi-Fi网络模块或移动网络模块等等。
功能装置404用以实现设备指定功能。举例来说,以受控设备21为自动制造设备为例,则功能装置404可为运输带、机器手臂或其他用于自动制造的装置。以受控设备21为自动检测设备为例,则功能装置404可为摄影机、摄影机或物件的移动装置或其他用于自动检测的装置。以控制设备20为工业管理主机为例,则功能装置404可为管理系统或备援装置。以中继设备30为网络交换器或路由器为例,则功能装置404可为交换器模块或路由器模块。
于一实施方式中,存储装置401可存储有电脑程序,上述电脑程序记录有电脑可执行的程序码。当处理装置400执行上述电脑程序时,可实现本发明后续各实施例的攻击识别数据模型的生成与应用方法。
续请一并参阅图5,为本发明第一实施例的攻击识别数据模型的生成与应用方法的流程图。图5的对应说明中,是以攻击识别数据模型的生成与应用方法应用于图3所示的自动控制系统3来进行说明,但不以此限定。
于一实施例中,攻击识别数据模型的生成与应用方法亦可应用于图2所示的自动控制系统2来加以实现。
本发明的攻击识别数据模型的生成与应用方法主要分为两个阶段,训练模式与识别模式。训练模式下,本发明可对已知流量进行训练,来产生攻击识别数据模型。识别模式下,本发明是使用攻击识别数据模型来对陌生流量进行识别。
值得一提的是,虽于后续说明中是由识别模块31来执行训练模式与识别模式,但不以此限定。
于一实施例中,本发明亦可改由识别模块200、识别模块210及/或识别模块300来执行训练模式与识别模式。
于一实施例中,训练模式与识别模式可由不同的电脑装置来加以执行。举例来说,识别模块31执行训练模式,并将所产生的攻击识别数据模型传送至其他识别模块(如识别模块300或者识别模块200与210),以由其他识别模块来执行识别模式。因此,本发明可分散训练负载与识别负载。
首先,识别模块31执行步骤S100-S103来于训练模式下产生攻击识别数据模型。
步骤S100:识别模块31依据用户操作或自动控制切换至于训练模式,以准备执行学习训练。
步骤S101:识别模块31取得多个样本流量,并对多个样本流量的多个数值进行统计以获得多个样本值。前述多个样本流量是已知目的的流量(如为白名单的流量或黑名单的流量),或者具有高可信度的流量(如为可信任设备所发送过来的流量,而可直接推定为白名单的流量)。并且,基于所决定的所有样本值可对第一数量(如800种或1000种)的流量类别进行识别。
于一实施例中,各样本流量包括多个栏位(如封包长度、通信协定代码、功能代码、每秒封包量、及/或发送时间戳等等),识别模块31是选择多个栏位的全部或部分作为指定栏位,并对所有样本流量的指定栏位的数值进行统计,以获得各指定栏位的一或多个样本值。
于一实施例中,识别模块31是将各指定栏位所有出现过的值都作为此指定栏位的样本值,但不以此限定。
于一实施例中,识别模块31是对各指定栏位所有出现过的值进行统计分析,来获得样本值,如将出现次数大于预设次数(如5次)的值作为样本值,将有规律出现的多个值(如出现在连续流量中)作为多个样本值,或将出现频率较高(如出现频率为前30%)的值作为样本值等等。
于一实施例中,识别模块31是于自动控制系统3正常工作运行状态下,经由中继设备30连续获取控制设备20与受控设备21之间的传输流量作为样本流量(如获取连续10分钟的流量)。
步骤S102:识别模块31基于多个样本值与所对应的多个流量类别执行分类学习演算法,以对多个样本值以外的数值进行分类,并产生攻击识别数据模型。
并且,前述攻击识别数据模型可包括多个识别特征,而基于所有识别特征可对第二数量的多个流量类别进行识别,前述第二数量大于前述第一数量,即攻击识别数据模型可以扩增所能识别的流量类别的数量。
值得一提的是,本发明主要是提供一种将现有的机器学习技术应用于网络攻击检测的解决方案。
关于如何对样本值进行机器学习训练以产生攻击识别数据模型,于机器学习技术领域中已有许多相关文献记载一,于此不加以赘述。
举例来说,可采用分类演算法,如非监督式分类演算法或监督式分类演算法。前述非监督式分类演算法可为K平均值(K-means)、类神经网络(Neural Network)及平衡叠代削减聚类演算法(BIRCH)等等。前述监督式分类演算法可为决策树(Decision Tree)、支持向量机(Support Vector Machine,SVM)、贝氏演算法
等等。
于一实施例中,前述分类学习演算法是分析同一栏位的多个样本值或者跨栏位的多个样本值之间的关联,并可进一步结合各栏位的极值(如一般经验下的最小容许值或最大容许值)来算出前述多个识别特征。
于一实施例中,前述多个识别特征分别对应多种流量类别。并且,多种流量类别是分别属于白名单或黑名单的其中之一。因此,当任一陌生流量符合多个识别特征的其中之一时,此陌生流量即属于符合的识别特征所对应的流量类别,并可进一步依据此流量类别属于白名单或黑名单来判定此陌生流量为正常流量或可疑流量。
步骤S103:识别模块31输出攻击识别数据模型,如将攻击识别数据模型以文件形式汇出,存储于存储装置401或经由传输装置403传送至其他识别模块。
因此,本发明可以经由输入样本流量来快速训练专属于当前网络环境的攻击识别数据模型,而可适用于不同类型的网络环境或自动控制系统。
接着,识别模块31可执行步骤S104-S108来于识别模式下检测网络流量攻击。
步骤S104:识别模块31依据用户操作或自动控制切换至于识别模式,以准备执行攻击检测。
步骤S105:识别模块31载入于步骤S103中所输出的攻击识别数据模型。
步骤S106:识别模块31开始接收多个陌生流量。前述陌生流量可为由控制设备20发送至受控设备21,及/或由受控设备21发送至控制设备20。
步骤S107:识别模块31基于攻击识别数据模型的多个识别特征及各陌生流量的数值来对各陌生流量进行分类,以识别陌生流量所属的流量类别。
更进一步地,由于各流量类别已预先被归类至白名单与黑名单的其中之一,识别模块31可依据各陌生流量所属的流量类别来决定此陌生流量属于白名单的流量(即正常行为)或黑名单的流量(即可疑行为或攻击行为)。
于一实施例中,如同各样本流量,各陌生流量可包括多个栏位。识别模块31于步骤S107中是将攻击识别数据模型的多个识别特征逐一与各陌生流量的多个栏位的值进行比较,并于栏位的数值符合任一识别特征时,将此识别特征锁定的流量类别做为此陌生流量的流量类别。借此实现陌生流量的分类。
步骤S108:识别模块31判断是否结束流量识别。具体而言,识别模块31是于预设的结束条件满足时,自动结束流量识别,即结束攻击检测。
于一实施例中,前述结束条件可为用户手动关闭流量识别功能、持续未收到任何陌生流量达预设结束时间、或受控制将处理资源释放给其他程序或应用使用等等,不加以限定。
若识别模块31判断结束条件满足,则终止流量识别。否则,识别模块31持续执行步骤S106-S107以持续进行流量识别。
本发明基于相同数量的样本流量可识别更多种的流量类别,并可准确判断未定义的陌生流量属于白名单或黑名单。
于一实施例中,前述样本流量可为离线流量或实时流量。
以样本流量为离线流量为例,识别模块31于步骤S101中是于离线状态(如中断与控制设备20及受控设备21之间的连接,或是中断网络连接)取得流量(如自其他电脑装置接收流量或自存储装置401读取流量),并作为样本流量。并且,识别模块31于步骤S106中是于上线状态(如连接控制设备20及受控设备21,或是恢复网络连接)取得流量,并作为陌生流量。
以样本流量为实时流量为例,识别模块31是自控制设备20及受控设备21持续接收多个流量,并于步骤S101中是将连续的多个流量的第一部分(如前三分钟所收到的流量,或同一文件/指令的前半部)作为样本流量,于步骤S102、S103中实时产生并输出攻击识别数据模型,并于步骤S104-S107中实时使用攻击识别数据模型来将连续的多个流量的第二部分(如第三分钟以后的流量,或同一文件/指令的后半部)作为陌生流量来进行分类以判断连续的多个流量的第二部分的各流量是属于白名单或黑名单。因此,由于连续的多个流量之间通常具有较高关联性或相近格式,本发明经由实时使用同一组流量的一部分来识别另一部分,不仅可节省离线训练的时间与样本流量,还可具有较高识别正确性。
续请一并参阅图5及图6,图6为本发明第二实施例的攻击识别数据模型的生成与应用方法的部分流程图。相较于图5所示的实施例,本实施例进一步提供一种样本值扩增功能,可于执行训练前增加样本值的数量,借此提升攻击识别数据模型的准确性。
具体而言,于本实施例中,步骤S101包括步骤S20-S21及/或步骤S22。更进一步地,于步骤S101中经由统计获得的多个样本值可能仅包括白名单样本值(即样本流量皆为白名单流量)或同时包括白名单样本值与黑名单样本值(即样本流量包括白名单流量与黑名单流量)。
前述第一种情况中,由于缺乏黑名单样本值,所训练出来的攻击识别数据模型对于黑名单的识别能力较差;前述第二种情况中,由于白名单样本值与黑名单样本值的数量未必为相等,所训练出来的攻击识别数据模型对于白名单或黑名单其中之一的识别能力可能较差。
对此,本发明提出一种样本值扩增功能,可经由下述步骤S20-S21解决缺乏黑名单样本值的问题。
步骤S20:识别模块31对白名单的多个样本流量的多个数值进行统计以获得多个白名单样本值。
步骤S21:识别模块31对所获得的多个白名单样本值执行反向分析处理以获得对应的多个黑名单样本值。
于一实施例中,前述反向分析处理是依照当前使用的网络协定(如Modbus等工业控制协定)的传输限制、惯用数值(如最大长度、常见长度、常用功能码、已定义功能码等等)及/或白名单样本值未涵盖的数值范围,来产生黑名单样本值。
于一实施例中,为了平衡训练用的白名单样本与黑名单样本的数量,前述反向分析处理后,复制原始样本值使得黑名单样本与白名单样本数量一致。
于一实施例中,前述反向分析处理可将白名单样本值中的最大值增加一定数量作为黑名单样本值,或将最小值减少一定数量的作为白名单样本值。
并且,当多个流量包括黑名单的样本流量时,本发明可经由下述步骤S22来取得对应的黑名单样本值。
步骤S22:识别模块31对黑名单的多个样本流量的多个数值进行统计以获得多个黑名单样本值。
值得一提的是,于本发明中,步骤S22的执行主要是用来增加黑名单样本值的数量,以进一步提升攻击识别数据模型对于黑名单的识别正确性,并非本发明的必要步骤。
于一实施例中,即便有黑名单的样本流量,亦可不执行步骤S22,而仅由步骤S20-S21所获得的白名单样本值与其反向分析后的黑名单样本值来训练的攻击识别数据模型。并且,前述攻击识别数据模型具有同样具有分辨白名单以外的不寻常流量的能力。
并且,当所取得的样本流量缺乏黑名单流量时,是仅执行步骤S20-S21以产生黑名单流量;当所取得的样本流量仅包括黑名单流量时,则可仅执行步骤S22以获取对应的黑名单样本值。
因此,本发明可增加样本值的数量,而可提升攻击识别数据模型的分类精确度。
值得一提的是,由于实务上不可能获得所有的黑名单样本值,即不符合黑名单样本值的数值可能是白名单样本值,也可能是黑名单样本值。若对不完全的黑名单样本执行反向分析,可能获得错误的白名单样本值,而造成攻击识别数据模型将未知的攻击流量误判为正常流量,而造成攻击检测失准。
对此,本发明不会对黑名单样本值进行反向分析来获得可能错误的白名单样本值,以避免上述攻击检测失准的情况。
续请一并参阅图10,为本发明一实施方式的攻击识别数据模型的生成示意图,用以简单说明本发明如何建构攻击识别数据模型54。
如图10所示,于要进行训练时,用户可将多个白名单样本值500与黑名单样本值501输入至分类学习演算法51。
接着,本发明经由执行分类学习演算法51可以产生白名单52的多个识别特征70-71与黑名单53的多个识别特征72-73。并且,前述多个识别特征70-71是分别与白名单52的多个流量类别60-61相关联,并用来识别陌生流量是否属于对应的流量类别60-61;前述多个识别特征72-73是分别与黑名单53的多个流量类别62-63相关联,并用来识别陌生流量是否属于对应的流量类别62-63。
值得一提的是,前述各流量类别60-61、62-63可以理解为是对网络行为进行分类,即本发明是将不同的网络行为(如具有不同的栏位值的流量)分类至不同的流量类别,借此判断此网络行为属于白名单(善意行为或正常行为)或黑名单(可疑行为或攻击行为)。
最后,本发明将多个识别特征70-71、72-73与上述关联封装为攻击识别数据模型54。
续请一并参阅图5及图7,图7为本发明第三实施例的分类学习演算法的流程图。除了使用现有的演算法作为本发明的分类学习演算法之外,于本实施例中,本发明进一步提出一种新颖且进步的分类学习演算法。前述分类学习演算法是基于决策树演算法来建构决策树(即树状分类结构),决策树的多个叶节点(即后述的符合预设纯度的子群所对应的节点)即分别对应前述多个流量类别,而决策树的多个分支的多个分类条件即构成前述的多个识别特征。
具体而言,本实施例的分类学习演算法(即图5的步骤S102所示“执行分类学习演算法”)包括以下步骤。
步骤S30:识别模块31执行决策树演算法来决定分类条件。前述分类条件是将多个样本流量划分为多个子群(各子群分别包括部分的样本流量)。
于一实施例中,前述分类条件是样本流量的多个栏位的其中之一的数值或数值范围,且是基于此栏位的白名单样本值(即产生白名单的分类条件)或黑名单样本值(即产生黑名单的分类条件)所加以决定。
步骤S31:计算各子群的纯度,即此分类的可信度指标(即评估依据各子群所对应的分类条件进行分类,则分类别果的可信度如何)。
并且,基于所对应的分类条件(如为白名单的分类条件或黑名单的分类条件),各子群会被分别对应至白名单的流量类别或黑名单的流量类别。
于现有技术中已有许多方式可计算纯度,如计算信息增益(Information gain),计算熵(Entropy)或计算吉尼系数(Gini index),于此不再赘述。
值得一提的是,虽于本实施例中,是以计算子群纯度进行说明,但本发明所属技术领域中技术人员应理解,本发明的“计算子群纯度”实际上应包括计算纯度及计算不纯度(因为不纯度仅是纯度的反向指标,其计算仍与纯度的计算有关)。
步骤S32:识别模块31取得预设纯度,并判断是否任一子群的纯度不符预设纯度,如判断子群的纯度是否高于预设纯度,或低于预设不纯度。
若识别模块31判断所有子群的纯度都符合预设纯度,则完成分类,即完成决策树的建构。
若识别模块31判断任一子群的纯度不符预设纯度,则执行步骤S33:对纯度不符预设纯度的子群再次执行前述决策树演算法来决定另一分类条件。前述另一分类条件是将纯度不符预设纯度的子群再划分为多个子群。
接着,识别模块31再次执行步骤S32,以判断新划分的多个子群是否符合预设纯度,以此类推,直到所有子群的纯度皆符合预设纯度。
接着,识别模块31(于图5的步骤S102中)进一步将决策树的各叶节点(即纯度符合预设纯度的各子群)所对应的所有分类条件设定为所对应的流量类别的识别特征。
因此,本发明可有效且准确地对样本值与样本值以外的数值进行分类,并产生攻击识别数据模型的多个识别特征。
请参阅图11及图12,图11为本发明一实施方式的基于单栏位的决策树演算法的执行示意图,图12为本发明一实施方式的基于多栏位的决策树演算法的执行示意图。图11及图12用以示例性说明前述决策树演算法。
于图11及图12的例子中,决策树演算法采用是分类与回归树演算法(Classification And Regression Tree Algorithm),而纯度是吉尼系数(Gini Index)。并且,X[n]表示流量的栏位[n]的值;gini为不纯度,当其值为0.0(预设纯度)时表示所有样本值都可以被正确分类;value[a,b]表示a+b个样本值中,有a个(流量的栏位的)白名单样本值,b个(流量的栏位的)黑名单样本值。白名单样本值及/或与黑名单样本值可自样本流量获得,或经由前述反向分析处理获得。
如图11所示,本例子是输入1256个样本值(包括1000个白名单样本值与256个黑名单样本值)。首先于节点80(根节点)以“栏位X[2]<=4.5”的分类条件(1)进行分类,可以获得两个子群(即分类条件(1)符合时的节点81与分类条件(1)不符时的节点82)。
节点82的子群共包括253个样本值,且都为黑名单样本值,故节点82的gini为0,此子群已正确分类(即节点82为叶节点)。
节点81的子群共包括1003个样本值(1000个白名单样本值,3个黑名单样本值),节点81的gini为0.006,即此子群尚未正确分类。
对此,决策树演算法会以“栏位X[2]<=2.5”分类条件(2)对节点81进行分类,可以获得两个子群(即分类条件(2)符合时的节点83与分类条件(2)不符时的节点84)。
节点83的子群共包括3个样本值,且都为黑名单样本值,故节点83的gini为0,此子群已正确分类(即节点83为叶节点)。
节点84的子群共包括1000个样本值,且都为白名单样本值,故节点84的gini为0,此子群已正确分类(即节点84为叶节点)。
由于所有子群的纯度都符合预设纯度,故分类完成。于本次分类中,共有3个流量类别,即节点82-84。并且,属于黑名单的节点82所对应的识别特征为:分类条件(1)不符;属于黑名单的节点83所对应的识别特征为:分类条件(1)符合且分类条件(2)符合;属于白名单的节点84所对应的识别特征为:分类条件(1)符合且分类条件(2)不符。
因此,本发明可规划多个流量类别,并计算所有流量类别的识别特征。
值得一提的是,虽于图11的例子中,进针对单一栏位的样本值进行分类,但不以此限定。
用户可以依需求选择多个栏位来执行前述决策演算法以提升后续分类的准确度。借此解决因样本流量过少而无法准确进行分类的问题。
举例来说,图12的例子是输入2280个样本值(包括1000个白名单样本值与1280个黑名单样本值)。首先于节点90(根节点)以“栏位X[2]<=4.5”的分类条件(1)进行分类,可以获得两个子群(即分类条件(1)符合时的节点91与分类条件(1)不符时的节点92)。
节点92的子群共包括915个样本值(皆为黑名单样本值),故gini为0。
节点91的子群共包括1365个样本值(1000个白名单样本值,365个黑名单样本值,节点91的gini为0.392(未正确分类)。对此,决策树演算法会以“栏位X[3]<=2.5”分类条件(2)对节点91进行分类(其栏位与临界值的选择可通过祭器学习方式计算获得),以获得两个子群(即分类条件(2)符合时的节点93与分类条件(2)不符时的节点94)。
节点94的子群共包括262个样本值(皆为黑名单样本值),故gini为0。
节点93的子群共包括1103个样本值(1000个白名单样本值,103个黑名单样本值,节点93的gini为0.169(未正确分类)。对此,决策树演算法会以“栏位X[0]<=32774.0”分类条件(3)对节点93进行分类,以获得两个子群(即分类条件(3)符合时的节点95与分类条件(3)不符时的节点96)。
节点96的子群共包括100个样本值(皆为黑名单样本值),故gini为0。
节点95的子群共包括1003个样本值(1000个白名单样本值,3个黑名单样本值,节点95的gini为0.006(未正确分类)。对此,决策树演算法会以“栏位X[2]<=2.5”分类条件(4)对节点95进行分类,以获得两个子群(即分类条件(4)符合时的节点97与分类条件(4)不符时的节点98)。
节点97的子群共包括3个样本值(皆为黑名单样本值),故gini为0。
节点98的子群共包括1000个样本值(皆为白名单样本值),故gini为0。
由于所有子群的纯度都符合预设纯度,故分类完成。于本次分类中,共有4个流量类别,即节点92、94、96-98。并且,属于黑名单的节点92所对应的识别特征为:分类条件(1)不符;属于黑名单的节点94所对应的识别特征为:分类条件(1)符合且分类条件(2)不符;属于黑名单的节点96所对应的识别特征为:分类条件(1)、(2)符合且分类条件(3)不符;属于黑名单的节点97所对应的识别特征为:分类条件(1)-(4)皆符合;属于白名单的节点98所对应的识别特征为:分类条件(1)-(3)符合且分类条件(4)不符。
因此,本发明可规划关联多个栏位的流量类别,而可有效提升分类准确度。
续请一并参阅图3及图8,图8为本发明第四实施例的攻击识别数据模型的生成与应用方法的流程图。于图8的实施例中,是将所产生的攻击识别数据模型用于入侵检测系统(Intrusion Detection System,IDS),即仅识别陌生流量属于白名单或黑名单,即便陌生流量属于黑名单,也不会阻挡陌生流量的传输。
具体而言,本实施例的攻击识别数据模型的生成与应用方法是包括以下识别步骤。
步骤S400:识别模块31依据用户操作或自动控制切换至于识别模式,以准备执行攻击检测。
步骤S401:识别模块31载入攻击识别数据模型。
步骤S402:中继设备30判断是否收到任一流量。若中继设备30未收到任何流量,则再次执行步骤S402以持续检测。
若中继设备30收到流量,则执行步骤S403:中继设备30产生所收到的流量的副本,并传输所产生的副本至识别模块31作为陌生流量。
步骤S404:中继设备30依据流量的目的地栏位转传此流量至所指示的控制设备20或受控设备21。
步骤S405:识别模块31自中继设备30接收陌生流量。
值得一提的是,中继设备30可实时将所收到的流量的副本传送至识别模块31,亦可累积固定数量的流量后再一次传送至识别模块31,或定时传送至识别模块31,不加以限定。
步骤S406:识别模块31基于攻击识别数据模型对所收到的陌生流量进行分类,以决定此陌生流量的流量类别。
步骤S407:识别模块31判断陌生流量是属于白名单的流量类别或黑名单的流量类别。若陌生流量是属于白名单,则执行步骤S409。
若陌生流量是属于黑名单,则执行步骤S408:识别模块31经由人机接口402发出警示以通知用户,及/或做成记录并存储于存储装置401以供用户日后查阅或作为下次训练攻击识别数据模型的样本流量。
步骤S409:判断是否结束流量识别。若识别模块31判断结束条件满足,则终止流量识别。否则,再次执行步骤S402以持续进行流量识别。
因此,本发明可有效实现入侵检测,并减低中继设备30的负载。
续请一并参阅图3及图9,图9为本发明第五实施例的攻击识别数据模型的生成与应用方法的流程图。于图9的实施例中,是将所产生的攻击识别数据模型用于入侵预防系统(Intrusion Prevention System,IPS),即实时识别陌生流量属于白名单或黑名单,并于陌生流量属于黑名单时实时进行处理。后续是以中继设备30的识别模块300执行入侵预防为例进行说明,但不以此限定,亦可改由识别模块200、210或31来执行。
具体而言,本实施例的攻击识别数据模型的生成与应用方法是包括以下识别步骤。
步骤S500:识别模块300依据用户操作或自动控制切换至于识别模式,以准备执行攻击预防。
步骤S501:识别模块300载入攻击识别数据模型。
步骤S502:中继设备30判断是否收到任一流量。若中继设备30未收到任何流量,则再次执行步骤S502以持续检测。
若中继设备30收到流量,则执行步骤S503:将流量传输至识别模块300作为陌生流量。
步骤S504:识别模块300自中继设备30接收陌生流量。
步骤S505:识别模块300基于攻击识别数据模型对所收到的陌生流量进行分类,以决定此陌生流量的流量类别。
步骤S506:识别模块300判断陌生流量是属于白名单的流量类别或黑名单的流量类别。
若陌生流量是属于黑名单,则执行步骤S507:识别模块300阻挡陌生流量的传输,即不会将此陌生流量传输至目的地。借此预防攻击行为抵达目的地的设备。
若陌生流量是属于白名单,则执行步骤S508:识别模块300转传此陌生流量至目的地栏位所指示的控制设备20或受控设备21。
步骤S509:判断是否结束流量识别。若识别模块300判断结束条件满足,则终止流量识别。否则,再次执行步骤S502以持续进行流量识别。
因此,本发明可有效实现入侵预防检测。
续请参阅图13,为本发明一实施方式的多个陌生流量的多个栏位的示意图。图13用以示例性说明本发明相较于现有技术进步之处。
图13示出了21笔陌生流量(分别为流量1-21)的栏位数据与经由本发明所产生的识别结果,事先以流量1-6作为白名单的样本流量并加以训练为攻击分类模型,其中流量1-11经识别后属于白名单的流量类别0-4,流量12-21经识别后属于黑名单的流量类别5-14。
于图13的例子中,是基于长度栏位、功能码栏位及转发率栏位,三个栏位来产生攻击识别数据模型,以进行攻击检测。长度栏位的白名单样本值为11与12;功能码栏位的白名单样本值为3与4;转发率栏位的白名单样本值为1与2。
于识别过程中,流量1-10由于各栏位的值都与白名单样本值相同,其所属的流量种类0-3可判定为白名单。
流量11的长度栏位(值为13)虽然此项不存在于白名单样本值,但多数特征仍符合白名单且属于经验上容许范围内,故经训练的攻击识别数据模型会将其所属的流量种类4判定为白名单。
流量12的长度栏位(值为16)不符白名单样本值,且已明显超出经验容许范围,故经训练的攻击识别数据模型会将其所属的流量种类5判定为黑名单。
流量13的所有栏位至虽然都符合白名单样本值,但其功能码栏位(值为3)与转发率栏位(值为0)的组合是属于经验上少见或不会出现的组合,故经训练的攻击识别数据模型会将其所属的流量种类6判定为黑名单。
流量14-21的功能码栏位(值分别为2、5-11)不符白名单样本值,且已明显超出经验容许范围,故经训练的攻击识别数据模型会将其所属的流量种类7-14判定为黑名单。
因此,本发明由于可对白名单样本值与黑名单样本值以外的数值进行判断,可进一步提升攻击检测的准确性。
以上所述仅为本发明的较佳具体实例,非因此即局限本发明的权利要求范围内,故凡是运用本发明内容所进行的等效变化,皆包含于本发明的范围内。
Claims (13)
1.一种攻击识别数据模型的生成与应用方法,用于一自动控制系统,攻击识别系统包括一控制设备、一受控设备及一识别模块,该攻击识别数据模型的生成与应用方法包括以下步骤:
a)于一训练模式下,对白名单的多个样本流量的多个数值进行统计以获得多个样本值,其中基于所有该样本值可对一第一数量的多个流量类别进行识别;
b)基于该多个样本值与所对应的该多个流量类别执行一分类学习演算法来对该多个样本值以外的数值进行分类,以产生一攻击识别数据模型,其中该攻击识别数据模型包括多个识别特征,基于所有该识别特征可对一第二数量的该多个流量类别进行识别,该第二数量大于该第一数量;
c)控制该识别模块于一识别模式下接收多个陌生流量;及
d)基于该攻击识别数据模型的该多个识别特征及各该陌生流量的数值分类各该陌生流量至白名单的该流量类别或黑名单的该流量类别,其中该多个陌生流量是由该控制设备发送至该受控设备,或由该受控设备发送至该控制设备,其中该多个样本值包括多个白名单样本值与多个黑名单样本值,该步骤a)包括以下步骤:
a11)对白名单的该多个样本流量的该多个数值进行统计以获得多个白名单样本值;及
a12)对该多个白名单样本值执行一反向分析处理以获得该多个黑名单样本值,
其中,该反向分析处理是依照当前使用的网络协定的传输限制、惯用数值和/或白名单样本值未涵盖的数值范围,来产生黑名单样本值,并且为了平衡训练用的白名单样本与黑名单样本的数量,该反向分析处理后,复制原始样本值使得黑名单样本与白名单样本数量一致。
2.如权利要求1所述的攻击识别数据模型的生成与应用方法,其中各该样本流量及各该陌生流量包括多个栏位,该多个识别特征分别用来识别不同的该多个流量类别;
该步骤a)是选择该多个栏位的至少其中之一,并对所有该样本流量的所选择的各该栏位的所有该数值进行统计,以获得所选择的各该栏位的至少一该样本值;
该步骤d)是判断各该陌生流量的该多个栏位的至少其中之一的数值是否符合任一该识别特征以决定各该陌生流量为所对应的该流量类别。
3.如权利要求1所述的攻击识别数据模型的生成与应用方法,其中各该样本流量及各该陌生流量包括多个栏位,该分类学习演算法包括以下步骤:
e1)执行一决策树演算法来决定一分类条件,其中该分类条件将该多个样本流量划分为多个子群,各该子群分别对应一种白名单的该流量类别或一种黑名单的该流量类别,该分类条件是该多个栏位的其中之一的数值或数值范围,且是基于该栏位的至少一白名单样本值或至少一黑名单样本值所决定;
e2)计算各该子群的一纯度;
e3)于任一该子群的该纯度不符一预设纯度时,对该子群执行该决策树演算法来决定另一该分类条件,其中另一该分类条件将该子群再划分为该多个子群;及
e4)重复执行步骤e2)及步骤e3)直到所有该子群的该纯度皆符合该预设纯度。
4.如权利要求3所述的攻击识别数据模型的生成与应用方法,其中该步骤b)是将该纯度符合该预设纯度的各该子群所对应的所有该分类条件设定为所对应的该流量类别的该识别特征。
5.如权利要求3所述的攻击识别数据模型的生成与应用方法,其中多个分类条件是该多个栏位的数值或数值范围。
6.如权利要求3所述的攻击识别数据模型的生成与应用方法,其中该决策树演算法是分类与回归树演算法,该纯度是吉尼系数。
7.如权利要求1所述的攻击识别数据模型的生成与应用方法,其中该攻击识别系统包括一中继设备,该攻击识别数据模型的生成与应用方法于该步骤c)之前还包括以下步骤:
f1)于该中继设备收到任一流量时,产生该流量的一副本;
f2)将该副本传输至该识别模块作为该陌生流量;及
f3)转传该流量至该流量的一目的地栏位所指示的该控制设备或该受控设备。
8.如权利要求1所述的攻击识别数据模型的生成与应用方法,其中该攻击识别数据模型的生成与应用方法于该步骤d)之后还包括一步骤g):于判断任一该陌生流量属于黑名单的该流量类别时发出警示或做成记录。
9.如权利要求1所述的攻击识别数据模型的生成与应用方法,其中该攻击识别系统包括一中继设备,该攻击识别数据模型的生成与应用方法于该步骤c)之前还包括一步骤h)于该中继设备收到任一流量时,将该流量传输至该识别模块作为该陌生流量。
10.如权利要求9所述的攻击识别数据模型的生成与应用方法,其中于该步骤d)之后还包括以下步骤:
i1)于判断该陌生流量属于黑名单的该流量类别时,阻挡该流量的传输;及
i2)于判断该陌生流量属于白名单的该流量类别时,转传该流量至该流量的一目的地栏位所指示的该控制设备或该受控设备。
11.如权利要求1所述的攻击识别数据模型的生成与应用方法,其中该样本流量为离线流量或实时流量。
12.如权利要求11所述的攻击识别数据模型的生成与应用方法,其中该样本流量为离线流量;该步骤a)是将于离线状态所取得的流量作为该样本流量;该步骤c)是将于上线状态所收到的流量作为该多个陌生流量。
13.如权利要求11所述的攻击识别数据模型的生成与应用方法,其中该样本流量为实时流量;该步骤a)是接收连续的该多个陌生流量的第一部分作为该样本流量;该步骤b)是实时产生该攻击识别数据模型;该步骤c)是接收连续的该多个陌生流量的第二部分;该步骤d)是对该多个陌生流量的第二部分进行分类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010004453.7A CN113079127B (zh) | 2020-01-03 | 2020-01-03 | 攻击识别数据模型的生成与应用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010004453.7A CN113079127B (zh) | 2020-01-03 | 2020-01-03 | 攻击识别数据模型的生成与应用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113079127A CN113079127A (zh) | 2021-07-06 |
| CN113079127B true CN113079127B (zh) | 2023-06-02 |
Family
ID=76608605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010004453.7A Active CN113079127B (zh) | 2020-01-03 | 2020-01-03 | 攻击识别数据模型的生成与应用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113079127B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11477214B2 (en) * | 2019-12-10 | 2022-10-18 | Fortinet, Inc. | Cloud-based orchestration of incident response using multi-feed security event classifications with machine learning |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8762298B1 (en) * | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
| CN106656981A (zh) * | 2016-10-21 | 2017-05-10 | 东软集团股份有限公司 | 网络入侵检测方法和装置 |
| CN106960154A (zh) * | 2017-03-30 | 2017-07-18 | 兴华永恒(北京)科技有限责任公司 | 一种基于决策树模型的恶意程序动态识别方法 |
| CN109714341A (zh) * | 2018-12-28 | 2019-05-03 | 厦门服云信息科技有限公司 | 一种Web恶意攻击识别方法、终端设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8875286B2 (en) * | 2010-12-01 | 2014-10-28 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using machine learning techniques |
-
2020
- 2020-01-03 CN CN202010004453.7A patent/CN113079127B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8762298B1 (en) * | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
| CN106656981A (zh) * | 2016-10-21 | 2017-05-10 | 东软集团股份有限公司 | 网络入侵检测方法和装置 |
| CN106960154A (zh) * | 2017-03-30 | 2017-07-18 | 兴华永恒(北京)科技有限责任公司 | 一种基于决策树模型的恶意程序动态识别方法 |
| CN109714341A (zh) * | 2018-12-28 | 2019-05-03 | 厦门服云信息科技有限公司 | 一种Web恶意攻击识别方法、终端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113079127A (zh) | 2021-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109547409B (zh) | 一种用于对工业网络传输协议进行解析的方法及系统 | |
| CN109063745B (zh) | 一种基于决策树的网络设备类型识别方法及系统 | |
| US10243980B2 (en) | Edge-based machine learning for encoding legitimate scanning | |
| Soltanmohammadi et al. | Decentralized hypothesis testing in wireless sensor networks in the presence of misbehaving nodes | |
| CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
| KR20180120558A (ko) | 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법 | |
| Tertytchny et al. | Classifying network abnormalities into faults and attacks in IoT-based cyber physical systems using machine learning | |
| Khedr et al. | FMDADM: A multi-layer DDoS attack detection and mitigation framework using machine learning for stateful SDN-based IoT networks | |
| US9559918B2 (en) | Ground truth evaluation for voting optimization | |
| CN108696453B (zh) | 轻量级的电力通信网sdn业务流感知方法及系统 | |
| US20210027167A1 (en) | Model structure extraction for analyzing unstructured text data | |
| JP2018147172A (ja) | 異常検知装置、異常検知方法及びプログラム | |
| Friedberg et al. | Evidential network modeling for cyber-physical system state inference | |
| CN113079127B (zh) | 攻击识别数据模型的生成与应用方法 | |
| CN112333211A (zh) | 一种基于机器学习的工控行为检测方法和系统 | |
| CN113268735A (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
| El-Arini et al. | Bayesian detection of router configuration anomalies | |
| KR102069142B1 (ko) | 명확한 프로토콜 사양 자동 추출을 위한 장치 및 방법 | |
| CN111669411B (zh) | 一种工控设备异常检测方法及系统 | |
| CN110958305A (zh) | 一种识别物联网终端设备的方法和装置 | |
| Hammerschmidt et al. | Behavioral clustering of non-stationary IP flow record data | |
| US11398945B2 (en) | System and method for fault detection and root cause analysis in a network of network components | |
| TWI724734B (zh) | 攻擊辨識資料模型的生成與應用方法 | |
| KR20190104759A (ko) | 지능형 장비 이상 증상 사전 탐지 시스템 및 방법 | |
| CN111565124A (zh) | 拓扑分析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |