CN113271297A - 基于相对信息熵和半监督聚类的多层流量入侵检测方法 - Google Patents

基于相对信息熵和半监督聚类的多层流量入侵检测方法 Download PDF

Info

Publication number
CN113271297A
CN113271297A CN202110467836.2A CN202110467836A CN113271297A CN 113271297 A CN113271297 A CN 113271297A CN 202110467836 A CN202110467836 A CN 202110467836A CN 113271297 A CN113271297 A CN 113271297A
Authority
CN
China
Prior art keywords
characteristic
information entropy
relative information
abnormal
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110467836.2A
Other languages
English (en)
Inventor
刘泳锐
刘中金
邢燕祯
秦志鹏
陈解元
范广
杨朝晖
吕志梅
安黎东
李华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202110467836.2A priority Critical patent/CN113271297A/zh
Publication of CN113271297A publication Critical patent/CN113271297A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Biology (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用全新控制策略,针对流量数据业务的分析中,综合考量了不同维度的特征,从而使得检测结果具有更高的准确性,并且针对各维度特征的分析,本方案引入了相对信息熵的概念,很好的刻画了不同时段特征分布的随机程度,通过对各维度特征相对信息熵值的计算,从而实现网络异常行为的快速检测;此外,针对目前许多基于机器学习的入侵检测方法需要大量标记数据才能区分异常的问题,本方案结合信息熵和半监督聚类的方式,只需要少量的标记数据就可以获得较优的性能;如此综合针对网络实现高效、准确的入侵检测,保证网络运行的稳定性。

Description

基于相对信息熵和半监督聚类的多层流量入侵检测方法
技术领域
本发明涉及基于相对信息熵和半监督聚类的多层流量入侵检测方法,属于网络流量异常侦测技术领域。
背景技术
工业互联网发展面临着行业发展迅猛和网络安全形势严峻两者并行的局面。传统工业系统向工业互联网生态系统转型升级的过程中,技术革新带来的生产效率优化使得工业生产力得到极大的提升,但同时也面临着全方位的安全挑战。工业互联网广泛应用在工业生产的各行各业中,大量关键信息基础设施一旦遭受攻击不仅会造成巨大的经济损失,造成环境灾难和人员伤亡,甚至可能危及公众生活和国家安全。
现有技术中,诸如I.Ahmad提出的一种基于遗传算法的特征提取算法,该算法并没有使用传统的主成份分析来去除特征的冗余信息,而是运用遗传算法搜索遗传主成份,达到特征降维的目的。实验结果表明,该方法提升了基于支持向量机的入侵检测的性能,具有最小化特征数和最大化准确率的能力。但该算法的缺陷是只对线性相关特征效果较好,对于非线性相关特征,效果较差甚至无法处理。
Y.Aljarrah提出的一种基于随机森林算法的特征选择算法,针对多种入侵检测数据集进行仿真。结果显示,相较于传统的特征选择算法,随机森林选择的特征有效地提高了分类器的准确率和查全率。然而,其只讨论了随机森林选择对有监督学习的提升,对于无监督学习或者半监督聚类还有待提升。
S.Kang提出的应用K-means聚类算法对特征子集完成评价,基于该评价函数,通过局部搜索提取最优特征子集。仿真数据表明,该方法有效提升多层感知机的性能。但该算法较易陷入局部最优陷阱,难以获取全局最优解。
发明内容
本发明所要解决的技术问题是提供基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用全新控制策略,能够针对网络实现高效、准确的入侵检测,保证网络运行的稳定性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了基于相对信息熵和半监督聚类的多层流量入侵检测方法,用于针对两目标终端之间的网络,实现入侵检测,包括如下步骤:
步骤A.按时序依次采集两目标终端之间的各网络通信流量,并获得各网络通信分别所对应流量日志数据,然后进入步骤B;
步骤B.分别针对各网络通信流量,获得网络流量对应指定各特征属性的特征值,进而获得各网络通信流量分别对应指定各特征属性的特征值,然后进入步骤C;
步骤C.分别针对各个特征属性,基于各网络通信流量对应特征属性的特征值,结合各网络通信流量之间的时序,获得该特征属性所对应的相对信息熵;进而获得各特征属性分别所对应的相对信息熵,然后进入步骤D;
步骤D.分别针对各个特征属性,判断特征属性所对应的相对信息熵是否大于预设波动变化幅度,是则判定该特征属性属于异常状态,否则判定该特征属性属于正常状态;进而获得各个特征属性分别属于异常状态或正常状态,然后进入步骤E;
步骤E.根据各特征属性分别属于异常状态或正常状态,应用异常状态与正常状态分别所对应、彼此互不相同的预设标记数据,按预设各特征属性的顺序,组合构建向量,即作为两目标终端之间网络所对应的行为特征向量,然后进入步骤F;
步骤F.判断两目标终端之间网络所对应的行为特征向量中、是否存在异常状态所对应的标记数据,是则判定该行为特征向量为异常行为特征向量,两目标终端之间网络受到入侵;否则判定该行为特征向量为正常行为特征向量,两目标终端之间网络未受到入侵。
作为本发明的一种优选技术方案:基于预设数量个样本异常行为特征向量,以及各样本异常行为特征向量分别所对应预设各异常分类中的异常类别,以样本异常行为特征向量为输入,样本异常行为特征向量所对应异常类别为输出,针对指定分类网络进行训练,获得异常行为特征分类网络;
针对经过步骤A至步骤F所获得的异常行为特征向量,应用异常行为特征分类网络进行处理,获得异常行为特征向量所对应的异常类别。
作为本发明的一种优选技术方案:基于全部各样本异常行为特征向量,按预设聚类数量,通过聚类处理方式,实现所述各样本异常行为特征向量分别对应预设各异常分类中异常类别的获得。
作为本发明的一种优选技术方案:所述步骤C中,分别针对各个特征属性,基于各网络通信流量对应特征属性的特征值,结合各网络通信流量之间的时序,通过该特征属性分别对应相邻时间节点特征值之间的SIP相对信息熵、以及DIP相对信息熵,构建该特征属性所对应的相对信息熵;进而获得各特征属性分别所对应的相对信息熵。
作为本发明的一种优选技术方案:所述步骤A中,按时序依次采集两目标终端之间的各网络通信流量,并基于DPI进行协议解析,获得各网络通信分别所对应流量日志数据,然后进入步骤B。
作为本发明的一种优选技术方案:所述各特征属性包括源IP地址、目的IP地址、目的端口。
本发明所述基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用全新控制策略,针对流量数据业务的分析中,综合考量了不同维度的特征,从而使得检测结果具有更高的准确性,并且针对各维度特征的分析,本方案引入了相对信息熵的概念,很好的刻画了不同时段特征分布的随机程度,通过对各维度特征相对信息熵值的计算,从而实现网络异常行为的快速检测;此外,针对目前许多基于机器学习的入侵检测方法需要大量标记数据才能区分异常的问题,本方案结合信息熵和半监督聚类的方式,只需要少量的标记数据就可以获得较优的性能;如此综合针对网络实现高效、准确的入侵检测,保证网络运行的稳定性。
附图说明
图1是本发明所设计基于相对信息熵和半监督聚类的多层流量入侵检测方法的流程示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了基于相对信息熵和半监督聚类的多层流量入侵检测方法,用于针对两目标终端之间的网络,实现入侵检测,实际应用当中,如图1所示,具体执行如下步骤。
步骤A.按时序依次采集两目标终端之间的各网络通信流量,并基于DPI进行协议解析,获得各网络通信分别所对应流量日志数据,然后进入步骤B。
步骤B.分别针对各网络通信流量,获得网络流量对应指定各特征属性的特征值,进而获得各网络通信流量分别对应指定各特征属性的特征值,然后进入步骤C。
为区分网络正常流量和异常流量,需提取流量特征指标来描述网络流量的状态,即构建流量模型。典型网络攻击如DDoS攻击、端口扫描攻击、僵尸网络和蠕虫攻击等,会引起网络流量特征发生显著变化。如发生DDoS攻击时,攻击者会从分散的多个攻击源IP发起对目标的攻击,因此对于目标网络而言,攻击流量中源IP地址相对于目的IP地址是多对一的映射关系,而正常流量则具有多对一、一对一、一对多三种映射形式。在发生端口扫描攻击时,通常攻击者会向目标主机的大量端口进行发包,此时,目的端口与目的IP地址之间存在多对一的映射关系。为此我们选取源IP地址(简称SIP)、目的IP地址(简称DIP)和目的端口号(简称DPORT)作为流量特征指标进行网络流量异常检测,即这里各特征属性,诸如设计包括源IP地址、目的IP地址、目的端口。
步骤C.分别针对各个特征属性,基于各网络通信流量对应特征属性的特征值,结合各网络通信流量之间的时序,获得该特征属性所对应的相对信息熵;进而获得各特征属性分别所对应的相对信息熵,然后进入步骤D。
实际应用中,上述步骤C中,分别针对各个特征属性,基于各网络通信流量对应特征属性的特征值,结合各网络通信流量之间的时序,通过该特征属性分别对应相邻时间节点特征值之间的SIP相对信息熵、以及DIP相对信息熵,构建该特征属性所对应的相对信息熵;进而获得各特征属性分别所对应的相对信息熵。
关于相对信息熵,具体应用如下:
相对信息熵是两个概率分布P和Q之间差别的非对称性的度量。假设P=(p1,p2,p3,…, pn),Q=(q1,q2,q3,…,qn)。对于一个离散随机变量X,值域为S=(a1,a2,a3,…,an),P和Q是两个非负概率向量且和为1,那么相对信息熵定义为公式:
Figure RE-GDA0003151620390000041
i时刻观测点SIP概率分布为PSIP,i+l时刻观测点的SIP概率分布为QSIP,i+l时刻与i时刻SIP的相对信息熵计算公式为:
ESIP=I(QSIP|PSIP)+I(PSIP|QSIP)
同理,i+l时刻与i时刻DIP的相对信息熵计算公式为:
EDIP=I(QDIP|PDIP)+I(PDIP|QDIP)
i+l时刻与i时刻DPORT的相对信息熵计算公式为:
EDPORT=I(QDPORT|PDPORT)+I(PDPORT|QDPORT)
某一时刻观测点,需要将输入的网络流量信息进行处理,提取网络流量特征值,然后数据分析模块计算网络流量特征值的相对信息熵值,然后根据上一时刻的检测值、上一时刻对当前时刻的预测值、预测误差等信息计算出当前时刻网络安全流量特征的相对信息熵值的上下控制界,从而确定是否存在网络异常。
步骤D.分别针对各个特征属性,判断特征属性所对应的相对信息熵是否大于预设波动变化幅度,是则判定该特征属性属于异常状态,否则判定该特征属性属于正常状态;进而获得各个特征属性分别属于异常状态或正常状态,然后进入步骤E。
步骤E.根据各特征属性分别属于异常状态或正常状态,应用异常状态与正常状态分别所对应、彼此互不相同的预设标记数据,按预设各特征属性的顺序,组合构建向量,即作为两目标终端之间网络所对应的行为特征向量,然后进入步骤F。
实际应用中,诸如1代表异常,即该特征的相对信息熵值发生较大变化;0代表正常,即该特征的相对信息熵值基本无变化或者变化程度在阈值范围内。
步骤F.判断两目标终端之间网络所对应的行为特征向量中、是否存在异常状态所对应的标记数据,是则判定该行为特征向量为异常行为特征向量,两目标终端之间网络受到入侵;否则判定该行为特征向量为正常行为特征向量,两目标终端之间网络未受到入侵。
实际应用中,进一步设计基于预设数量个样本异常行为特征向量,以及各样本异常行为特征向量分别所对应预设各异常分类中的异常类别,以样本异常行为特征向量为输入,样本异常行为特征向量所对应异常类别为输出,针对指定分类网络进行训练,获得异常行为特征分类网络;具体实施中,关于这里样本异常行为特征向量所对应的异常类别来说,具体是基于全部各样本异常行为特征向量,按预设聚类数量,通过聚类处理方式,实现所述各样本异常行为特征向量分别对应预设各异常分类中异常类别的获得。
使用相对信息熵将正常流量进行过滤后,可以基于半监督聚类进行异常网络流量的聚类分析。首先从训练集中利用weka随机采样10%的攻击数据作为标记数据,然后使用K最邻近算法进行异常分类。首先设定一个阈值半径r,计算每一条流量到标记数据的距离。记录所有距离小于或等于阈值半径的标记数据,如果这些标记数据大多数属于某一类型的攻击,则将该未知流量也标记为该攻击类型。具体流程如下:
依次计算待测数据x与标记数据集T中每个标记数据的距离,D={d1,d2,…,dk}。
若存在di<=r,则继续进行操作,否则跳过该条数据。
Figure RE-GDA0003151620390000051
其中xi为满足di<=r的标记数据。
Figure RE-GDA0003151620390000052
为规则,对x扩展标记。
然后我们利用K-means算法对扩展后的数据聚类,以距离为相似性评价指标,从而将样本聚类为K个簇{C1,C2,…,Ck}。
最后,我们利用公式更新每个簇的质心。
Figure RE-GDA0003151620390000061
重复以上过程直到收敛,即完成最终的聚类。聚类完成后,我们选择每个簇中标记数量最多的类别作为该簇的判定类别。
在获得异常行为特征分类网络之后,即可针对经过步骤A至步骤F所获得的异常行为特征向量,应用异常行为特征分类网络进行处理,获得异常行为特征向量所对应的异常类别。
上述技术方案所设计基于相对信息熵和半监督聚类的多层流量入侵检测方法,采用全新控制策略,针对流量数据业务的分析中,综合考量了不同维度的特征,从而使得检测结果具有更高的准确性,并且针对各维度特征的分析,本方案引入了相对信息熵的概念,很好的刻画了不同时段特征分布的随机程度,通过对各维度特征相对信息熵值的计算,从而实现网络异常行为的快速检测;此外,针对目前许多基于机器学习的入侵检测方法需要大量标记数据才能区分异常的问题,本方案结合信息熵和半监督聚类的方式,只需要少量的标记数据就可以获得较优的性能;如此综合针对网络实现高效、准确的入侵检测,保证网络运行的稳定性。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (6)

1.基于相对信息熵和半监督聚类的多层流量入侵检测方法,用于针对两目标终端之间的网络,实现入侵检测,其特征在于,包括如下步骤:
步骤A. 按时序依次采集两目标终端之间的各网络通信流量,并获得各网络通信分别所对应流量日志数据,然后进入步骤B;
步骤B. 分别针对各网络通信流量,获得网络流量对应指定各特征属性的特征值,进而获得各网络通信流量分别对应指定各特征属性的特征值,然后进入步骤C;
步骤C. 分别针对各个特征属性,基于各网络通信流量对应特征属性的特征值,结合各网络通信流量之间的时序,获得该特征属性所对应的相对信息熵;进而获得各特征属性分别所对应的相对信息熵,然后进入步骤D;
步骤D. 分别针对各个特征属性,判断特征属性所对应的相对信息熵是否大于预设波动变化幅度,是则判定该特征属性属于异常状态,否则判定该特征属性属于正常状态;进而获得各个特征属性分别属于异常状态或正常状态,然后进入步骤E;
步骤E. 根据各特征属性分别属于异常状态或正常状态,应用异常状态与正常状态分别所对应、彼此互不相同的预设标记数据,按预设各特征属性的顺序,组合构建向量,即作为两目标终端之间网络所对应的行为特征向量,然后进入步骤F;
步骤F. 判断两目标终端之间网络所对应的行为特征向量中、是否存在异常状态所对应的标记数据,是则判定该行为特征向量为异常行为特征向量,两目标终端之间网络受到入侵;否则判定该行为特征向量为正常行为特征向量,两目标终端之间网络未受到入侵。
2.根据权利要求1所述基于相对信息熵和半监督聚类的多层流量入侵检测方法,其特征在于:基于预设数量个样本异常行为特征向量,以及各样本异常行为特征向量分别所对应预设各异常分类中的异常类别,以样本异常行为特征向量为输入,样本异常行为特征向量所对应异常类别为输出,针对指定分类网络进行训练,获得异常行为特征分类网络;
针对经过步骤A至步骤F所获得的异常行为特征向量,应用异常行为特征分类网络进行处理,获得异常行为特征向量所对应的异常类别。
3.根据权利要求1所述基于相对信息熵和半监督聚类的多层流量入侵检测方法,其特征在于:基于全部各样本异常行为特征向量,按预设聚类数量,通过聚类处理方式,实现所述各样本异常行为特征向量分别对应预设各异常分类中异常类别的获得。
4.根据权利要求1所述基于相对信息熵和半监督聚类的多层流量入侵检测方法,其特征在于:所述步骤C中,分别针对各个特征属性,基于各网络通信流量对应特征属性的特征值,结合各网络通信流量之间的时序,通过该特征属性分别对应相邻时间节点特征值之间的SIP相对信息熵、以及DIP相对信息熵,构建该特征属性所对应的相对信息熵;进而获得各特征属性分别所对应的相对信息熵。
5.根据权利要求1所述基于相对信息熵和半监督聚类的多层流量入侵检测方法,其特征在于:所述步骤A中,按时序依次采集两目标终端之间的各网络通信流量,并基于DPI进行协议解析,获得各网络通信分别所对应流量日志数据,然后进入步骤B。
6.根据权利要求1所述基于相对信息熵和半监督聚类的多层流量入侵检测方法,其特征在于:所述各特征属性包括源IP地址、目的IP地址、目的端口。
CN202110467836.2A 2021-04-28 2021-04-28 基于相对信息熵和半监督聚类的多层流量入侵检测方法 Pending CN113271297A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110467836.2A CN113271297A (zh) 2021-04-28 2021-04-28 基于相对信息熵和半监督聚类的多层流量入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110467836.2A CN113271297A (zh) 2021-04-28 2021-04-28 基于相对信息熵和半监督聚类的多层流量入侵检测方法

Publications (1)

Publication Number Publication Date
CN113271297A true CN113271297A (zh) 2021-08-17

Family

ID=77229669

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110467836.2A Pending CN113271297A (zh) 2021-04-28 2021-04-28 基于相对信息熵和半监督聚类的多层流量入侵检测方法

Country Status (1)

Country Link
CN (1) CN113271297A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333957A (zh) * 2022-08-05 2022-11-11 国家电网有限公司信息通信分公司 基于用户行为和企业业务特征的业务流量预测方法及系统
CN116723138A (zh) * 2023-08-10 2023-09-08 杭银消费金融股份有限公司 一种基于流量探针染色的异常流量监控方法及系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333957A (zh) * 2022-08-05 2022-11-11 国家电网有限公司信息通信分公司 基于用户行为和企业业务特征的业务流量预测方法及系统
CN115333957B (zh) * 2022-08-05 2023-09-05 国家电网有限公司信息通信分公司 基于用户行为和企业业务特征的业务流量预测方法及系统
CN116723138A (zh) * 2023-08-10 2023-09-08 杭银消费金融股份有限公司 一种基于流量探针染色的异常流量监控方法及系统
CN116723138B (zh) * 2023-08-10 2023-10-20 杭银消费金融股份有限公司 一种基于流量探针染色的异常流量监控方法及系统

Similar Documents

Publication Publication Date Title
CN113271297A (zh) 基于相对信息熵和半监督聚类的多层流量入侵检测方法
Zhao et al. A semi-self-taught network intrusion detection system
CN109951462B (zh) 一种基于全息建模的应用软件流量异常检测系统及方法
Katzir et al. Detecting adversarial perturbations through spatial behavior in activation spaces
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113067798B (zh) Ics入侵检测方法、装置、电子设备和存储介质
CN113904795B (zh) 一种基于网络安全探针的流量快速精确检测方法
CN116318928A (zh) 一种基于数据增强和特征融合的恶意流量识别方法及系统
CN113901448A (zh) 基于卷积神经网络和轻量级梯度提升机的入侵检测方法
CN115114484A (zh) 异常事件检测方法、装置、计算机设备和存储介质
CN113780431A (zh) 基于神经网络技术的网络流量信息分析方法及系统
Yang et al. Voting-based ensemble model for network anomaly detection
Chen et al. Identification of network traffic intrusion using decision tree
CN116628524A (zh) 一种基于自适应图注意力编码器的社区发现方法
CN111901137A (zh) 一种利用蜜罐告警日志挖掘多步攻击场景的方法
Valentim et al. Adversarial robustness assessment of neuroevolution approaches
Salmen et al. Using firefly and genetic metaheuristics for anomaly detection based on network flows
CN114338165A (zh) 基于伪孪生堆栈自编码器的网络入侵检测方法
Narengbam et al. Harris hawk optimization trained artificial neural network for anomaly based intrusion detection system
Geraily et al. Fuzzy detection of malicious attacks on web applications based on hidden Markov model ensemble
Shakhatreh et al. A review of clustering techniques based on machine learning approach in intrusion detection systems
CN113222056B (zh) 面向图像分类系统攻击的对抗样本检测方法
Saikam et al. EESNN: hybrid deep learning empowered spatial-temporal features for network intrusion detection system
Siraj et al. Network intrusion alert aggregation based on PCA and Expectation Maximization clustering algorithm
CN116886448B (zh) 一种基于半监督学习的DDoS攻击告警研判方法以及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication