CN113420802B - 基于改进谱聚类的报警数据融合方法 - Google Patents

基于改进谱聚类的报警数据融合方法 Download PDF

Info

Publication number
CN113420802B
CN113420802B CN202110668012.1A CN202110668012A CN113420802B CN 113420802 B CN113420802 B CN 113420802B CN 202110668012 A CN202110668012 A CN 202110668012A CN 113420802 B CN113420802 B CN 113420802B
Authority
CN
China
Prior art keywords
similarity
alarm
alarm data
data
fusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110668012.1A
Other languages
English (en)
Other versions
CN113420802A (zh
Inventor
陶晓玲
符廉铕
赵峰
欧阳逸夫
顾涛
贾飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Electronic Technology
Original Assignee
Guilin University of Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Electronic Technology filed Critical Guilin University of Electronic Technology
Publication of CN113420802A publication Critical patent/CN113420802A/zh
Application granted granted Critical
Publication of CN113420802B publication Critical patent/CN113420802B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

本发明涉及数据处理领域,公开了一种基于改进谱聚类的报警数据融合方法,包括对报警数据进行预处理;将报警数据按照攻击类型进行分组;对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度,并构造相似度矩阵;基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇;对同一个簇中的报警进行阈值判断,若达到阈值则对同一个簇中的报警数据进行融合,然后输入到融合数据集;若未达到阈值则直接输入到融合数据集;将所有簇的融合数据集组成精简警报数据集输出。该方法可以在不破坏报警之间的联系的情况下实现更好地聚类融合,减少信息缺失,又能在提高融合率的同时,降低了报警数据的误报率。

Description

基于改进谱聚类的报警数据融合方法
技术领域
本发明涉及数据处理领域,尤其涉及一种基于改进谱聚类的报警数据融合方法。
背景技术
黑客或恶意攻击者通过各种方法入侵网络,导致网络环境面临着大量具有针对性、隐蔽性和渗透性的潜在威胁,网络安全面临着严峻的挑战。入侵检测系统(IntrusionDetection System,IDS)作为安全防御系统被用来检测网络环境是否存在入侵行为,并针对各种入侵行为产生相应的报警数据,便于安全管理人员采取相应的防御措施,然而IDS在实际应用中会产生大量冗余、错误的报警,使得管理人员难以从中找到关键的报警信息,进而无法掌握网络安全状况。因此,有研究学者提出了报警数据融合技术,目的在于减少IDS产生的报警数据中的冗余报警和误报警,为后续报警分析提供有价值的数据。目前,已有很多专家学者对报警数据融合技术进行了大量的研究,对于报警数据融合技术的研究已达到一个较成熟的状态,但仍存在一些不足:
报警融合过程中,大多数方法没有关注报警数据及报警属性之间存在的联系,过度精简报警,这样一来会造成关键信息的缺失,不利于后续对报警的进一步分析;现有的融合方法已经实现一定的报警融合率,但是误报率还较高。
发明内容
本发明的目的在于提供一种基于改进谱聚类的报警数据融合方法,旨在减少报警数据中存在的冗余报警和误报警,为后续报警关联提供更精简、更高级的报警数据。
为实现上述目的,本发明提供了一种基于改进谱聚类的报警数据融合方法,包括对报警数据进行预处理;
将报警数据按照攻击类型进行分组;
对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度,并构造相似度矩阵;
基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇;
对同一个簇中的报警进行阈值判断,若达到阈值则对同一个簇中的报警数据进行融合,然后输入到融合数据集;若未达到阈值则直接输入到融合数据集;
将所有簇的融合数据集组成精简警报数据集输出。
其中,所述对报警数据进行预处理的具体步骤是:
输入原始数据集;
在原始数据集中提取报警数据的关键属性;
基于入侵检测消息交换格式将原始数据的格式转换成统一格式。
其中,所述关键属性包括特征字符串、报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
其中,所述对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度,并构造相似度矩阵的具体步骤是:
计算攻击类型、源IP、目的IP、源端口、目的端口以及时间的相似度;
基于主成分分析法计算各个关键属性的权重;
基于相似度和权重构造相似度矩阵。
其中,所述基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇的具体步骤是:
计算相似度矩阵的度矩阵和拉普拉斯矩阵,并对拉普拉斯矩阵进行规范化处理;
计算拉普拉斯矩阵的特征值,并对特征值进行降序排序,然后取前k个特征值并计算其对应的特征向量;
将特征向量作为列向量构成映射矩阵;
按行对映射矩阵进行归一化,得到归一化矩阵;
使用K-Means算法对归一化矩阵进行聚类,并标记数据所属类别;
根据标记得到K个簇。
本发明的一种基于改进谱聚类的报警数据融合方法,针对报警数据中普遍存在大量冗余或者误报的报警,难以从中找出关键的安全事件的问题,借助谱聚类基于相似矩阵进行聚类以及其优秀的聚类效果,提出一种基于改进谱聚类的报警数据融合方法。针对报警数据的属性之间存在一定的联系,每个属性字段的相对重要性也不一样,并且传统的谱聚类算法传统构造相似度矩阵的方法不能很好地反映出报警属性之间的差异性以及报警之间的联系,提出一种改进谱聚类相似度度量的方法来构建相似度矩阵,即利用属性相似度计算方法代替谱聚类中传统的相似度度量方法来构造报警数据间的相似度矩阵,可以维持报警数据间的联系下实现更好地的聚类。该方法可以在不破坏报警之间的联系的情况下实现更好地聚类融合,减少信息缺失,又能在提高融合率的同时,降低了报警数据的误报率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一种基于改进谱聚类的报警数据融合方法的流程图;
图2是本发明的对报警数据进行预处理的流程图;
图3是本发明的对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度,并构造相似度矩阵的流程图;
图4是本发明的基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇的流程图;
图5是不同相似度阈值下的报警融合率对比图;
图6是在蜜罐数据集上与常规谱聚类算法的报警融合率对比图;
图7是在采集的数据集上与常规谱聚类算法的报警融合率对比图;
图8是不同聚类算法的报警融合率对比图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
请参阅图1~图4,本发明提供一种基于改进谱聚类的报警数据融合方法,包括:
S101对报警数据进行预处理;
具体步骤是:
S201输入原始数据集;
实验采用的是蜜罐数据集和实验室通过搭建真实的入侵检测环境来采集报警数据作为原始数据集。
S202在原始数据集中提取报警数据的关键属性;
所述关键属性包括特征字符串、报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
提取的关键属性如表1所示。
表1关键属性
Figure BDA0003118065480000041
S203基于入侵检测消息交换格式将原始数据的格式转换成统一格式。
由于IDS产生的报警数据格式不统一,这不利于对报警数据进行融合和关联分析等研究工作。因此需要采用入侵检测消息交换格式将格式全部转换为统一的格式。
S102将报警数据按照攻击类型进行分组;
S103对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度,并构造相似度矩阵;
具体步骤是:
S301计算攻击类型、源IP、目的IP、源端口、目的端口以及时间的相似度;
攻击类型相似度计算:报警融合的目的是对同一攻击过程中产生的多个相似的原始报警日志进行合并融合以去除冗余报警,并且只有同一个攻击类型的报警日志才能进行融合。因此,通过直接对比两条报警数据的攻击类型是否相同,如果相同,则将其相似度设为1,否则设为0,计算公式如下:
Figure BDA0003118065480000051
/>
IP地址相似度计算:对于源IP地址、目的IP地址,根据CIDR(无类别域间路由)格式来判断计算它们的相似度。报警数据中的IP属性是由32位二进制数格式呈现的,本文通过比较两个IP地址具有的相同位数来计算IP地址的相似度,其计算公式如下:
Figure BDA0003118065480000052
其中L表示两条报警数据的IP地址从高位开始连续相同的位数个数。如果L为0,则表示两个IP地址完全不相似;如果L为1,则表示两个IP地址完全一致。
端口相似度计算:源端口和目的端口都是攻击者进行入侵不可或缺的因素。攻击者入侵目标主机之前,需要从打开的端口中找到系统相关的漏洞信息。每条完整的报警数据都只有一个源端口和目的端口号,因此,直接对端口号进行比较,如果相同,则将其相似度设为1,否则设为0,计算公式如下:
Figure BDA0003118065480000053
时间相似度计算:报警时间是影响报警相似性的一个非常重要的因素,时间属性是判断报警数据是否能够进行融合的一个前提条件,只有在特定时间阈值内的报警数据才能够进行融合处理。本文采用的时间相似度计算方法如下所示:
Figure BDA0003118065480000054
其中T是定义的时间窗口阈值,表示两条报警数据能够进行融合的最大时间间隔,Tmax-Tmin=T。
S302基于主成分分析法计算各个关键属性的权重;
S303基于相似度和权重构造相似度矩阵。
通过为每个属性设置相应的权重得到报警数据间的总体相似度,两条报警alenti与alertj的总体相似度计算公式如下:
Figure BDA0003118065480000061
其中siml表示报警各个属性的相似度,ωl表示各属性对应的权重。
S104基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇;
具体步骤是:
S401计算相似度矩阵的度矩阵和拉普拉斯矩阵,并对拉普拉斯矩阵进行规范化处理;
S402计算拉普拉斯矩阵的特征值,并对特征值进行降序排序,然后取前k个特征值并计算其对应的特征向量;
S403将特征向量作为列向量构成映射矩阵;
S404按行对映射矩阵进行归一化,得到归一化矩阵;
S405使用K-Means算法对归一化矩阵进行聚类,并标记数据所属类别;
S406根据标记得到K个簇。
S105对同一个簇中的报警进行阈值判断,若达到阈值则对同一个簇中的报警数据进行融合,然后输入到融合数据集;若未达到阈值则直接输入到融合数据集;
S106将所有簇的融合数据集组成精简警报数据集输出。
为了验证基于改进谱聚类的报警数据融合方法的有效性,本章采取报警融合率和误报率来进行验证:
(1)报警融合率δ,用于反应融合算法消除重复、冗余报警数据的效率。
Figure BDA0003118065480000062
其中,融合率δ越大,说明精简的报警数量越多,融合效果越显著。但是融合率不是越大越好,也不是越小越好,融合率过大的话,会导致报警信息的缺失,无法为后续分析提供详细且具有价值的报警信息;融合率过小,则会使得报警中存在较多冗余数据,报警融合就丧失了其自身的价值作用。因此,一个最佳的融合率应是随着相似度阈值的增大或减小,融合率的变化幅度逐渐减小趋于稳定,而这个使融合率趋于稳定的阈值临界点就是最佳的相似度阈值。
(2)误报率η,用来反应报警中存在的误报警数量的多少,η越小,表示本文所提方法的效果越好。
Figure BDA0003118065480000071
接下来,为了验证本文所提方法的可行性,本文将从如下几个方面进行剖析验证。
1.不同相似度阈值ε对报警融合效率的影响。
本文分别在蜜罐数据集和采集到的报警数据集上来验证分析在不同相似度阈值下的报警融合率,其报警融合的效果如5所示。从图中可以看出,融合率随着相似度阈值的增大而降低,当相似度阈值ε>0.7时,融合率比较低,此时融合条件比较严格,需要两条报警极其相似才能进行融合,因此,导致精简的数据比较少,融合率较低;当相似度阈值ε≤0.7时,融合率都能达到94%以上,融合效果明显且其变化幅度不大,精简的报警数量较多;并且在相似度阈值0.7≤ε<0.8时,报警融合率的增长幅度变化较大。经过分析发现,相似度阈值设置较大会导致报警中存在较多冗余数据,报警融合没有得以发挥作用,相似度阈值较小又可能将不该融合在一起的报警数据也融合在一起,无法提供详细的细粒度的分析信息。因此,通过对不同阈值下的融合率进行分析,在保证报警信息的完整性,减少融合过程中的信息缺失的同时,又能达到最佳的融合效果的情况下,本文将相似度阈值设置为0.7。
2.对比传统谱聚类算法对报警融合的影响
为了验证使用属性相似度代替谱聚类中常规的相似度度量方法的优越性,本文通过与常规的谱聚类算法在不同的相似度阈值下来进行融合率的对比。如图6和图7所示。从图中可以看出,本文所提的基于改进谱聚类的报警数据融合方法比常规的谱聚类融合方法在两个数据集上实验得到的融合率都有所提升,说明了基于属性相似度的谱聚类的聚类效果更好,同一个聚类中心的报警相似度更高,这主要是因为报警数据的每个属性具有一定的联系,并且每个属性的重要性不同,通过属性相似度计算使其聚类结果更加合理准确。
3.对比不同融合算法对报警融合的影响
为了进一步说明本文所提方法的有效性,还通过与其他比较经典的聚类算法在采集到的数据集上来验证本文所提算法的有效性。如图8所示,通过选取常用的K-means算法、层次聚类两种算法分别从报警融合率、误报率两个指标和谱聚类方法进行分析比较。从图8可以看出,相似度阈值为0.7的情况下,三种融合算法都有较好的融合效果,但相对而言,本文提出的报警融合方法的融合率相对其他两种算法的融合率有一定的提高,并且误报率也比K-means、层次聚类两种算法低,能够有效去除冗余报警和误报警。
4.与其他方法对比分析报警融合效果
为了更好地验证本文所提方法的可行性,在相似度阈值ε=0.7的情况下,分别通过融合率和误报率两个评价标准将本文提出的方法和基于粗糙集理论的报警数据融合方法、基于模糊聚类的报警数据并行融合方法在真实环境采集的报警数据上进行对比,其对比情况如表2所示:
表2融合率、误报率对比情况
Figure BDA0003118065480000081
从表2可以看出,本文所提方法的融合率在相同阈值的情况下,比文献[10]、文献[11]提出的方法有一定的提高,并且其误报率也有所降低,这说明本文所提出的方法能够有效去除冗余报警,减少误报警,为下一阶段的报警关联提供精简有价值的报警数据。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (4)

1.一种基于改进谱聚类的报警数据融合方法,其特征在于,
包括对报警数据进行预处理;
将报警数据按照攻击类型进行分组;
对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度,并构造相似度矩阵,具体步骤是:
计算攻击类型、源IP、目的IP、源端口、目的端口以及时间的相似度,包括:
攻击类型相似度计算:通过直接对比两条报警数据的攻击类型是否相同,如果相同,则将其相似度设为1,否则设为0,计算公式如下:
Figure FDA0004120823510000011
IP地址相似度计算:对于源IP地址、目的IP地址,根据无类别域间路由格式来判断计算它们的相似度;报警数据中的IP属性是由32位二进制数格式呈现的,通过比较两个IP地址具有的相同位数来计算IP地址的相似度,其计算公式如下:
Figure FDA0004120823510000012
其中L表示两条报警数据的IP地址从高位开始连续相同的位数个数,如果simip为0,则表示两个IP地址完全不相似;如果simip为1,则表示两个IP地址完全一致;
端口相似度计算:直接对端口号进行比较,如果相同,则将其相似度设为1,否则设为0,计算公式如下:
Figure FDA0004120823510000013
时间相似度计算:采用的时间相似度计算方法如下:
Figure FDA0004120823510000014
其中T是定义的时间窗口阈值,表示两条报警数据能够进行融合的最大时间间隔,Tmax-Tmin=T;
基于主成分分析法计算各个关键属性的权重;
基于相似度和权重构造相似度矩阵,具体方式为通过为每个属性设置相应的权重得到报警数据间的总体相似度,两条报警alerti与alertj的总体相似度计算公式如下:
Figure FDA0004120823510000021
其中siml表示报警各个属性的相似度,ωl表示各属性对应的权重;
基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇;
对同一个簇中的报警进行阈值判断,若达到阈值则对同一个簇中的报警数据进行融合,然后输入到融合数据集;若未达到阈值则直接输入到融合数据集;
将所有簇的融合数据集组成精简警报数据集输出。
2.如权利要求1所述的基于改进谱聚类的报警数据融合方法,其特征在于,
所述对报警数据进行预处理的具体步骤是:
输入原始数据集;
在原始数据集中提取报警数据的关键属性;
基于入侵检测消息交换格式将原始数据的格式转换成统一格式。
3.如权利要求2所述的基于改进谱聚类的报警数据融合方法,其特征在于,
所述关键属性包括特征字符串、报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。
4.如权利要求1所述的基于改进谱聚类的报警数据融合方法,其特征在于,
所述基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇的具体步骤是:
计算相似度矩阵的度矩阵和拉普拉斯矩阵,并对拉普拉斯矩阵进行规范化处理;
计算拉普拉斯矩阵的特征值,并对特征值进行降序排序,然后取前k个特征值并计算其对应的特征向量;
将特征向量作为列向量构成映射矩阵;
按行对映射矩阵进行归一化,得到归一化矩阵;
使用K-Means算法对归一化矩阵进行聚类,并标记数据所属类别;
根据标记得到K个簇。
CN202110668012.1A 2021-06-04 2021-06-16 基于改进谱聚类的报警数据融合方法 Active CN113420802B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2021106242517 2021-06-04
CN202110624251 2021-06-04

Publications (2)

Publication Number Publication Date
CN113420802A CN113420802A (zh) 2021-09-21
CN113420802B true CN113420802B (zh) 2023-05-30

Family

ID=77788763

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110668012.1A Active CN113420802B (zh) 2021-06-04 2021-06-16 基于改进谱聚类的报警数据融合方法

Country Status (1)

Country Link
CN (1) CN113420802B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113673634B (zh) * 2021-10-22 2022-01-21 智洋创新科技股份有限公司 一种输电线路通道吊车隐患误告警的确认方法
CN114024830A (zh) * 2021-11-05 2022-02-08 哈尔滨理工大学 一种基于Grubbs的警报关联方法
CN114328922B (zh) * 2021-12-28 2022-08-02 盐城工学院 一种基于谱图理论的选择性文本聚类集成方法
CN114726589A (zh) * 2022-03-17 2022-07-08 南京科技职业学院 一种报警数据融合方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111709022A (zh) * 2020-06-16 2020-09-25 桂林电子科技大学 基于ap聚类与因果关系的混合报警关联方法
CN111865958A (zh) * 2020-07-14 2020-10-30 南京聚铭网络科技有限公司 基于多源安全检测框架的检测方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104462253B (zh) * 2014-11-20 2018-05-18 武汉数为科技有限公司 一种面向网络文本大数据的话题检测或跟踪方法
US10681056B1 (en) * 2018-11-27 2020-06-09 Sailpoint Technologies, Inc. System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs
CN111291777B (zh) * 2018-12-07 2023-04-07 深圳先进技术研究院 一种基于多组学集成的癌症亚型分类方法
CN110474885B (zh) * 2019-07-24 2021-10-22 桂林电子科技大学 基于时间序列与ip地址的报警关联分析方法
CN111401468B (zh) * 2020-03-26 2023-03-24 上海海事大学 一种基于共享近邻的权重自更新多视角谱聚类方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111709022A (zh) * 2020-06-16 2020-09-25 桂林电子科技大学 基于ap聚类与因果关系的混合报警关联方法
CN111865958A (zh) * 2020-07-14 2020-10-30 南京聚铭网络科技有限公司 基于多源安全检测框架的检测方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Jiawei Du 等.A Multi-source Alarm Information Fusion Processing Method for Network Attack Situation.《IOP Conference Series: Materials Science and Engineering》.2018,第46卷1-9. *
Wei Liang 等.An Alert Fusion Method Based on Grey Relation and Attribute Similarity Correlation.《iJOE》.2016,第12卷(第8期),25-30. *
王丽娜 等.针对数据泄漏行为的恶意软件检测.《计算机研究与发展》.2017,第54卷(第7期),1537-1548. *

Also Published As

Publication number Publication date
CN113420802A (zh) 2021-09-21

Similar Documents

Publication Publication Date Title
CN113420802B (zh) 基于改进谱聚类的报警数据融合方法
Janarthanan et al. Feature selection in UNSW-NB15 and KDDCUP'99 datasets
Sahu et al. Network intrusion detection system using J48 Decision Tree
CN111817982B (zh) 一种面向类别不平衡下的加密流量识别方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN110336827B (zh) 一种基于异常字段定位的Modbus TCP协议模糊测试方法
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN113422763B (zh) 基于攻击场景构建的报警关联分析方法
CN109218321A (zh) 一种网络入侵检测方法及系统
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
Balogun et al. Anomaly intrusion detection using an hybrid of decision tree and K-nearest neighbor
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
Hendry et al. Intrusion signature creation via clustering anomalies
Soewu et al. Analysis of Data Mining-Based Approach for Intrusion Detection System
Zheng et al. Detecting malicious tls network traffic based on communication channel features
CN117478403A (zh) 一种全场景网络安全威胁关联分析方法及系统
CN109698835A (zh) 一种面向https隐蔽隧道的加密木马检测方法
CN113132414B (zh) 一种多步攻击模式挖掘方法
Sulaiman et al. Big data analytic of intrusion detection system
Jain et al. A novel distributed semi-supervised approach for detection of network based attacks
Bisen et al. An intrusion detection system based on support vector machine using hierarchical clustering and genetic algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant