CN113079168A - 一种网络异常检测方法、装置及存储介质 - Google Patents

一种网络异常检测方法、装置及存储介质 Download PDF

Info

Publication number
CN113079168A
CN113079168A CN202110391259.3A CN202110391259A CN113079168A CN 113079168 A CN113079168 A CN 113079168A CN 202110391259 A CN202110391259 A CN 202110391259A CN 113079168 A CN113079168 A CN 113079168A
Authority
CN
China
Prior art keywords
node
normal
abnormal
network
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110391259.3A
Other languages
English (en)
Other versions
CN113079168B (zh
Inventor
孟绪颖
梁志民
张玉军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Network Communication and Security Zijinshan Laboratory
Original Assignee
Network Communication and Security Zijinshan Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Network Communication and Security Zijinshan Laboratory filed Critical Network Communication and Security Zijinshan Laboratory
Priority to CN202110391259.3A priority Critical patent/CN113079168B/zh
Publication of CN113079168A publication Critical patent/CN113079168A/zh
Application granted granted Critical
Publication of CN113079168B publication Critical patent/CN113079168B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络异常检测方法、装置及存储介质,属于网络安全领域。一种网络异常检测方法,包括以下步骤:定义正常节点时间序列特征与异常节点时间序列特征,利用网络模型学习正常节点时间序列特征分布;根据异常节点时间特征分布模型,优化正常节点时间特征分布;所述网络模型择一地为检测节点标记正常标签或异常标签;根据优化正常节点时间特征分布的结果以及定义的正常节点时间序列特征,评估所述正常标签的准确度;构建节点之间的关联子图,利用随机游走更新节点标签的准确度。

Description

一种网络异常检测方法、装置及存储介质
技术领域
本发明涉及网络安全领域,具体涉及一种网络异常检测方法、装置及存储介质。
背景技术
异常检测通过分析网络流量,检测出发起异常攻击的源节点(异常节点),为从源头上抑制网络攻击行为提供重要依据,是维护网络安全的重要方法。传统的网络运维方法是基于固定的脚本和阈值的,因而难以适应如今海量、复杂、多变的大规模网络环境,无法根据网络态势动态调整阈值、发现异常节点。异常检测能够通过机器学习的方法,快速地从海量数据中发现与大多数正常数据不同的异常数据,已被广泛应用于多个领域。面对持续的、海量的网络流量,极少量的、变化多端的异常节点在大多数情况下表现正常、难以检测。
发明内容
针对现有技术的不足,本发明提出了一种网络异常检测方法、装置及存储介质。
本发明的目的可以通过以下技术方案实现:
一种网络异常检测方法,包括以下步骤:
步骤1:定义正常节点时间序列特征与异常节点时间序列特征,利用网络模型学习正常节点时间序列特征分布;
步骤2:根据异常节点时间特征分布模型,优化正常节点时间特征分布;所述网络模型择一地为检测节点标记正常标签或异常标签;
步骤3:根据优化正常节点时间特征分布的结果以及定义的正常节点时间序列特征,评估所述正常标签的准确度;
步骤4:构建节点之间的关联子图,利用随机游走更新节点标签的准确度。
可选地,所述正常节点时间序列特征与异常节点时间序列特征具有相同尺寸的时间窗口。
可选地,在所述步骤1中,所述网络模型训练捕获正常节点时间序列特征分布的生成器与能够将所述正常节点时间序列特征映射为生成器的数据组合,以及真实数据的组合,加入判别器中,获得能够捕获正常节点行为的训练模型。
可选地,在所述步骤2中,根据所述异常节点时间序列特征组成的真实数据组合与所述生成器的数据组合,获得能够捕获异常节点行为的训练模型;将所述的能够捕获异常节点行为的训练模型与能够捕获正常节点行为的训练模型整合为目标函数。
可选地,构建关联子图的步骤包括:
根据历史数据集的发生攻击的节点连接关系,筛选异常节点;
训练所述历史数据集的注意力模型,计算所述异常节点的时间间隙权重,提取时间间隙最大的连接关系,构建所述关联子图。
可选地,通过编码器获得所述的能够将所述正常节点时间序列特征映射为生成器的数据。
可选地,所述网络模型配置为采用长短记忆网络网络结构。
可选地,所述游走的方式包括正向连接、反向连接与自连接。
一种计算机可读的存储介质,存储有指令,执行所述指令时实现上述的任一网络异常检测方法
一种网络异常检测装置,包括处理器与存储器,所述处理器能够执行所述存储器的指令,实现上述任一网络异常检测方法。
本发明的技术效果:
与现有技术相比,本申请的网络异常检测方法能够根据时间特征分布识别出异常节点,并能够评估节点的正常与异常的标签,进一步地提高识别的准确度。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明的一些示例中正常节点特征建模和标签清洗的迭代框架示意图;
图2为本发明的一些示例的多步关联与多跳关联的示意图;
图3为本发明的一些示例的潜在关联子图;
图4为本发明的一些示例的多步关联与多跳关联的关联子图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明的一些示例中,公开了一种网络异常检测方法,由于待检测节点(或测试集中的节点)行为特征收集的时间比历史节点(或训练集中的节点)要短得多,因此,在本发明的一些示例中,可以划分统一的时间窗口长度,为节点ni构建在时间窗口t的时间序列特征
Figure BDA0003016831200000031
(包含m维特征在w个时间间隙中的值)。同时,异常节点在未发动攻击的时间窗口中,其行为特征和正常节点是相同的,因而节点的标注
Figure BDA0003016831200000032
也是基于时间窗口的,若节点ni在时间窗口t的时间序列中一个或多个时间间隙发动了攻击,则被标注为异常,即
Figure BDA0003016831200000041
也就是说,由于待检测的节点行为特征收集的时间短,为了在新的时间窗口中及时、准确地识别出异常节点,也需要在训练的过程中将训练集中将
Figure BDA0003016831200000042
准确的识别出来,并定义异常节点时间序列特征
Figure BDA0003016831200000043
正常节点时间序列特征
Figure BDA0003016831200000044
在本发明的一些示例中,利用对抗生成网络模型训练捕捉特征分布的生成器1和估计样本是否来自真实数据集的判别器4,在图1中以及下述的函数中均以D表示,最终得到能够重现正常节点特征分布的生成器1。在本发明的一些示例中,还增加了编码器2,训练到的编码器能够将特征矩阵X映射为生成器的输入Z,以缩小学习特征分布的总时间。
用正常节点的特征向量Xu作为输入训练编码器2得到E(Xu),将随机噪声Z加入生成器1生成G(Z),最终将真实数据集的组合(E(Xu),Xu)和来自生成器的组合(Z,G(Z))加入判别器4。生成器和判别器具有相反的目标,但却能够相互激励和促进,在对抗的过程中逐渐学习到了正常节点的模式特征。训练过程中的目标函数如下:
Figure BDA0003016831200000045
其中,pNu为正常节点特征值的概率分布,
Figure BDA0003016831200000046
意味着正常节点特征向量代入[.]求得的期望值。同样的,pz为随机噪声值的概率分布,
Figure BDA0003016831200000047
意味着将随机噪声加入[.]求得的期望值。
为了学习正常节点时间序列特征中特征随着时间的变化,本发明在网络结构中采用长短记忆网络(Long Short-Term Memory,LSTM)网络结构,利用它们内部的记忆能力处理时间序列,捕捉正常节点的行为模式。
正常节点和异常节点在时间特征分布上存在明显差异,可用于指导正常节点时间序列特征的学习,在本发明的一些示例中,引入分类器3,在图1中以及下述的函数中均以C表示,学习异常节点时间序列特征分布,使得异常节点特征Xl组成的真实数据组合C(E(Xl),Xl)趋向于1,来自正常节点的生成器1构成的组合结果C(G(Z),Z)趋向于0,即:
Figure BDA0003016831200000051
其中,pNl为异常节点特征值的概率分布,
Figure BDA0003016831200000052
意味着异常节点特征向量代入[.]求得的期望值。
需要注意的是,基于正常节点特征的生成器1和编码器2与异常节点的分布不同,所以这里生成器1和编码器2与分类器3不存在对抗关系。
还可以将将异常节点特征分布学习的目标函数V(G,E,C)加入到对抗生成模型V(G,E,D)的训练中,即目标函数转化为αV(G,E,D)-βV(G,E,C),可以进一步约束正常节点时间序列特征的学习过程,减小正常节点特征分布与已有异常节点特征分布的交集。这样,通过异常节点的特征辅助正常节点特征分布的学习,消除单一数据集带来的误差,提高正常节点特征学习的准确度。
Figure BDA0003016831200000053
由于正常节点数目繁多且异常节点行为模式复杂多变,所以很可能存在着异常节点被错误地标注为“正常”,而由于异常节点可以参考具体的攻击行为或观察攻击造成的影响,所以我们假设异常节点被准确标注,仅“正常”标签Xl需要清洗。虽然在Xl中,存在错误的标注,但是大多数标注是正确的,基于学习出的正常节点特征分布的学习结果,基于节点特征
Figure BDA0003016831200000054
计算“正常”标签的准确程度
Figure BDA0003016831200000055
Figure BDA0003016831200000056
其中,
Figure BDA0003016831200000057
衡量重构错误,即计算
Figure BDA0003016831200000058
与学习到的正常节点特征分布重构出的结果
Figure BDA0003016831200000061
之间的差距;
Figure BDA0003016831200000062
表现了
Figure BDA0003016831200000063
来自真实数据的特征分布的可能性;
Figure BDA0003016831200000064
表示异常程度,即分析
Figure BDA0003016831200000065
来自异常节点特征分布的可能性。γ和δ为控制各部分权重的参数。显然,由于“正常”标注大部分是正确的,所以在被标注为“正常”的节点中,被错误标注的节点(即异常节点)的
Figure BDA0003016831200000066
要比被正常标注的节点(即正常节点)高,
Figure BDA0003016831200000067
可用于指导不准确标签的发现预更新。
在不准确程度评估值的基础上,可以看出
Figure BDA0003016831200000068
越高,标签不准确的可能性越大,为了尽可能避免不准确的标签对特征建模的干扰以及对相应的
Figure BDA0003016831200000069
的影响,本发明采用自训练的方式,每次仅根据
Figure BDA00030168312000000610
进行少量标签更新,并根据标签结果更新特征建模结果。如图1所示,在已有的时间序列特征分布模型中生成器1、编码器2、判别器4、分类器3的基础上,增加了不准确程度评估更新模块感知器5,交替进行正常节点特征建模(训练生成器1、编码器2、判别器4、分类器3)和标签清洗(由感知器5计算AnoS并更新标签)。
由于不准确标签的数目不确定,且随着迭代次数不准确标签的节点数目下降,还可以设置动态阈值调整标签更新数目。
异常节点的行为模式通常是未知的,难以通过时间序列特征的分布来检测出相应的节点是否异常。然而,不同的攻击间存在着时间相关性,可以利用历史数据集中攻击者和被攻击者建立的网络拓扑,来发现新型异常节点。如图2所示,攻击间的关联可以分为多步关联和多跳关联。举例而言,为了确保攻击的成功实施,常常存在着先扫描攻击判断潜在漏洞,然后再渗透攻击攻陷节点的多步操作,如图2(a)所示,n1对n2进行了两次攻击,表示为l1、l2。此外,为了隐藏身份等目的,存在着先攻陷多台“肉鸡”,然后操控“肉鸡”发动攻击的多跳操作,如图2(b)所示,n3经过两跳实现对n5的攻击,表示为l3、l4。显然,如果l1、l2或l3、l4中的一次攻击被识别,那么另一次攻击及发动攻击的节点也能被识别。
然而,节点在一个时间窗口中与多个节点交互,形成了复杂的网络拓扑。为了缩短关联探索的时间,举例而言,首先根据历史数据集保留发生攻击的节点连接关系,比如图4中n2与n7的连接边,实线表示异常,即需保留所有红色箭头连接的节点和边。(2)由于待检测的节点较多,需要筛选出潜在的新型异常节点,即图3中的n1节点。由于新型异常节点与正常节点特征存在着差异,且与历史数据集中异常节点具有一定程度的相似性,所以可以利用AnoS作为异常评分,初步筛选出潜在的新型异常节点。(3)待检测节点在单个时间窗口中可能与大量节点建立了连接,为了降低异常评估的时间,利用注意力机制训练历史数据集,为发生攻击了的时间间隙计算出更高的权重。利用训练出的注意力模型计算出待检测节点的时间间隙权重,取出时间间隙最大的连接关系,即图3中虚线部分。通过上述过程,可以得到潜在的关联子图,方便后续快速的时间相关性的探索、及节点异常评分更新。
通过图3可以看出,不同攻击间具有时间相关性。本发明的一些示例中,采用随机游走的方式来捕捉攻击的时间相关性,指导新型异常节点的检测。具体地说,从历史数据集中的异常节点ni出发,可以根据正向连接
Figure BDA0003016831200000071
反向连接
Figure BDA0003016831200000072
自连接ni=nk的方式进行游走,到达节点nj的概率为:
Figure BDA0003016831200000073
可以看出nj
Figure BDA0003016831200000074
越高,游走到nj的可能性越高。从图4可以看出基于不同攻击间的时间相关性,从历史异常节点出发,游走到新型异常的可能性较高。比如,对于子图4(a),n1既存在与测试集又存在于训练集,从历史异常节点n1开始游走,可以走到测试集中的异常值最高的潜在的新型异常节点n1,即可以看作n1的自连接;对于子图4(b)中的潜在的新型异常节点n7和n4,可以通过从n2开始的反向游走、以及从n7开始的正向游走找到测试集中的异常节点n7和n4。
从每个历史异常节点ni出发进行多次游走,最终每个潜在异常节点nj被游走到的次数越高
Figure BDA0003016831200000081
说明该节点与历史节点间有较高的时间相关性,即有较高的可能性为异常节点。因此,基于时间相关性,为潜在异常节点更新异常评分
Figure BDA0003016831200000082
可以理解的是,通过上述示例的网络异常检测方法,能够通过异常节点的分布辅助正常节点特征分布的学习,并且还能够评估标签的准确度,并进一步构建关联子图提高准确性。因而,上述示例的网络异常检测方法还能够应用在网络安全监控系统、设备中。
此外,本发明的一些示例中,还涉及一种计算机可读的存储介质,存储有指令。指令执行时,能够实现上述的任一示例中的网络异常检测方法。同样地,本发明的一些示例中,涉及一种网络异常检测装置,包括处理器与存储器,所述处理器能够执行所述存储器的指令,实现上述的网络异常检测方法。更具体地,指令可以是计算机可读的语言。上述的计算机可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,计算机可以是台式机、便携式电脑、网络服务器、掌上电脑(Personal Digital Assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备或者嵌入式设备。所述的存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。举例而言,所述的存储介质例如为但不限于磁性介质(例如:软盘、硬盘、磁带)、光介质(例如:数字通用光盘(Digital Versatile Disc,DVD))、或者半导体介质(例如:固态硬盘(Solid State Disk,SSD))等。
最后,需要注意的是,本发明的各个示例中所述的“异常”“正常”分别指的是:网络流量异常、状态,即是否承载了网络攻击,承载了网络攻击的为异常流量、无攻击的是正常流量。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。

Claims (10)

1.一种网络异常检测方法,其特征在于,包括以下步骤:
步骤1:定义正常节点时间序列特征与异常节点时间序列特征,利用网络模型学习正常节点时间序列特征分布;
步骤2:根据异常节点时间特征分布模型,优化正常节点时间特征分布;所述网络模型择一地为检测节点标记正常标签或异常标签;
步骤3:根据优化正常节点时间特征分布的结果以及定义的正常节点时间序列特征,评估所述正常标签的准确度;
步骤4:构建节点之间的关联子图,利用随机游走更新节点标签的准确度。
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述正常节点时间序列特征与异常节点时间序列特征具有相同尺寸的时间窗口。
3.根据权利要求1所述的网络异常检测方法,其特征在于,在所述步骤1中,所述网络模型训练捕获正常节点时间序列特征分布的生成器与能够将所述正常节点时间序列特征映射为生成器的数据组合,以及真实数据的组合,加入判别器中,获得能够捕获正常节点行为的训练模型。
4.根据权利要求3所述的网络异常检测方法,其特征在于,在所述步骤2中,根据所述异常节点时间序列特征组成的真实数据组合与所述生成器的数据组合,获得能够捕获异常节点行为的训练模型;将所述的能够捕获异常节点行为的训练模型与能够捕获正常节点行为的训练模型整合为目标函数。
5.根据权利要求1所述的网络异常检测方法,其特征在于,构建关联子图的步骤包括:
根据历史数据集的发生攻击的节点连接关系,筛选异常节点;
训练所述历史数据集的注意力模型,计算所述异常节点的时间间隙权重,提取时间间隙最大的连接关系,构建所述关联子图。
6.根据权利要求2所述的网络异常检测方法,其特征在于,通过编码器获得能够将所述正常节点时间序列特征映射为生成器的数据。
7.根据权利要求1所述的网络异常检测方法,其特征在于,所述网络模型配置为采用长短记忆网络网络结构。
8.根据权利要求1所述的网络异常检测方法,其特征在于,所述游走的方式包括正向连接、反向连接与自连接。
9.一种计算机可读的存储介质,存储有指令,其特征在于,执行所述指令时实现权利要求1~8中任一所述的网络异常检测方法。
10.一种网络异常检测装置,包括处理器与存储器,其特征在于,所述处理器能够执行所述存储器的指令,实现权利要求1~8中任一所述的网络异常检测方法。
CN202110391259.3A 2021-04-13 2021-04-13 一种网络异常检测方法、装置及存储介质 Active CN113079168B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110391259.3A CN113079168B (zh) 2021-04-13 2021-04-13 一种网络异常检测方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110391259.3A CN113079168B (zh) 2021-04-13 2021-04-13 一种网络异常检测方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN113079168A true CN113079168A (zh) 2021-07-06
CN113079168B CN113079168B (zh) 2023-02-21

Family

ID=76617378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110391259.3A Active CN113079168B (zh) 2021-04-13 2021-04-13 一种网络异常检测方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113079168B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679327A (zh) * 2022-04-06 2022-06-28 网络通信与安全紫金山实验室 网络攻击等级确定方法、装置、计算机设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108540327A (zh) * 2018-04-19 2018-09-14 中国人民解放军战略支援部队信息工程大学 一种动态网络异常链接行为检测方法及系统
CN108900546A (zh) * 2018-08-13 2018-11-27 杭州安恒信息技术股份有限公司 基于lstm的时间序列网络异常检测的方法与装置
CN109714340A (zh) * 2018-12-28 2019-05-03 厦门服云信息科技有限公司 一种序列到序列的网络异常请求识别方法以及装置
CN111107102A (zh) * 2019-12-31 2020-05-05 上海海事大学 基于大数据实时网络流量异常检测方法
CN111475838A (zh) * 2020-04-02 2020-07-31 中国人民解放军国防科技大学 基于深度神经网络的图数据匿名方法、装置、存储介质
CN111669373A (zh) * 2020-05-25 2020-09-15 山东理工大学 基于时空卷积网络和拓扑感知的网络异常检测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108540327A (zh) * 2018-04-19 2018-09-14 中国人民解放军战略支援部队信息工程大学 一种动态网络异常链接行为检测方法及系统
CN108900546A (zh) * 2018-08-13 2018-11-27 杭州安恒信息技术股份有限公司 基于lstm的时间序列网络异常检测的方法与装置
CN109714340A (zh) * 2018-12-28 2019-05-03 厦门服云信息科技有限公司 一种序列到序列的网络异常请求识别方法以及装置
CN111107102A (zh) * 2019-12-31 2020-05-05 上海海事大学 基于大数据实时网络流量异常检测方法
CN111475838A (zh) * 2020-04-02 2020-07-31 中国人民解放军国防科技大学 基于深度神经网络的图数据匿名方法、装置、存储介质
CN111669373A (zh) * 2020-05-25 2020-09-15 山东理工大学 基于时空卷积网络和拓扑感知的网络异常检测方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679327A (zh) * 2022-04-06 2022-06-28 网络通信与安全紫金山实验室 网络攻击等级确定方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN113079168B (zh) 2023-02-21

Similar Documents

Publication Publication Date Title
US11468358B2 (en) Framework for semi-supervised learning when no labeled data is given
Jin et al. Anemone: Graph anomaly detection with multi-scale contrastive learning
TWI673625B (zh) 統一資源定位符(url)攻擊檢測方法、裝置以及電子設備
EP2814218B1 (en) Detecting anomalies in work practice data by combining multiple domains of information
JP2019061565A (ja) 異常診断方法および異常診断装置
WO2019175880A1 (en) Method and system for classifying data objects based on their network footprint
Giatsoglou et al. Nd-sync: Detecting synchronized fraud activities
JP2022533552A (ja) システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法
CN105072214A (zh) 基于域名特征的c&c域名识别方法
CN110113368B (zh) 一种基于子轨迹模式的网络行为异常检测方法
CN112468487B (zh) 实现模型训练的方法、装置、实现节点检测的方法及装置
CN113343123B (zh) 一种生成对抗多关系图网络的训练方法和检测方法
Sheng et al. Network traffic anomaly detection method based on chaotic neural network
Priya et al. Community Detection in Networks: A Comparative study
Yang et al. Efficient and persistent backdoor attack by boundary trigger set constructing against federated learning
Olatunji et al. Does black-box attribute inference attacks on graph neural networks constitute privacy risk?
CN113079168B (zh) 一种网络异常检测方法、装置及存储介质
CN116846645A (zh) 基于自监督协作对比学习的网络入侵检测方法及应用
Priya et al. Intelligent outlier detection with optimal deep reinforcement learning model for intrusion detection
Zong et al. Application of artificial fish swarm optimization semi-supervised kernel fuzzy clustering algorithm in network intrusion
Fan et al. A network intrusion detection method based on improved Bi-LSTM in Internet of Things environment
CN114581086A (zh) 基于动态时序网络的钓鱼账户检测方法及系统
Lijun et al. An intuitionistic calculus to complex abnormal event recognition on data streams
Shah et al. Group feature selection via structural sparse logistic regression for IDS
Rahmany et al. Grey Wolf Optimizer Enhanced SVM for IoT Fault Detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant