CN113489674A - 一种面向物联网系统的恶意流量智能检测方法及应用 - Google Patents
一种面向物联网系统的恶意流量智能检测方法及应用 Download PDFInfo
- Publication number
- CN113489674A CN113489674A CN202110570366.2A CN202110570366A CN113489674A CN 113489674 A CN113489674 A CN 113489674A CN 202110570366 A CN202110570366 A CN 202110570366A CN 113489674 A CN113489674 A CN 113489674A
- Authority
- CN
- China
- Prior art keywords
- layer
- input dimension
- network
- flow
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种面向物联网系统的恶意流量智能检测方法及应用,针对网络流量,设计应用全新标准化处理,并获得向量化结果,再基于以分别对应于预设各向量类型的各特征提取网络为输入,依次经过多级特征连接层、融合层、分类层所设计构成的待训练网络,执行训练获得恶意流量检测模型,即可应用该模型实现对目标网络流量的恶意流量检测;整个设计方案中融合了流量的时序特征,短时统计特征、以及字节特征,使得检测模型相比其他模型更加强大,实验表现更好,鲁棒性更强。
Description
技术领域
本发明涉及一种面向物联网系统的恶意流量智能检测方法及应用,属于深度学习、恶意流量检测和网络空间安全应用技术领域。
背景技术
网络流量恶意流量检测是入侵检测技术的一种,是维护网络空间安全的最核心的技术之一,长期以来都是网络领域的研究重点。从网络流量这个载体的角度考虑,网络异常行为与其他网络应用行为一样,是以一系列网络流量数据包为载体,通过发送多个数据包,最终形成具有不同特征的网络流。
网络架构的变化,网络设备的高速增长,给现有网络恶意检测技术带来的极大的挑战。近年来,物联网(IoT)技术在各个领域被广泛应用,研究人员认为它在未来技术变革中将扮演极为重要的角色。一方面,物联网网络设备通常只提供非常有限的安全保证,更别说大量已经部署的设备。这些设备多数缺乏安全支持,暴露在网络环境中,进而形成了大量漏洞,容易成为网络攻击的目标。因而,其安全问题逐渐成为未来网络技术发展的关键阻碍。另一方面,当前无线传感网络中心化的网络攻击检测机制、入侵检测系统,无法满足IoT环境下的需求,如稳定性,分布式,资源限制,低延迟等。不断增长的物联网设备使得数据存储,数据处理,数据计算等开销高速增长,给中心化网络异常检测机制带来巨大挑战。相关研究指出,网络设备数量将在2025年达到754.8亿,2022年以后,巨量的网络设备每年将产生4.8ZB的流量。可以预见,云计算中心最终将逐渐无法负担如此巨大的计算量。为了解决该问题,研究者提出边缘计算,边缘物联网等概念作为新的分布式智能计算网络架构,弥补传统云计算的缺陷。这些技术允许边缘计算节点以分布式、低延迟、高可用性的形式为临近数据源提供服务,将计算任务卸载到边缘节点,解决了物联网资源受限的问题,满足了其计算,存储,控制等需求。与其他服务类似,中心化的网络异常检测架构无法适用分布式的环境,一种更好的方式是在边缘节点或服务器上搭设网络异常检测系统,网络中的攻击、异常检测会被卸载到边缘层的边缘节点,在边缘节点完成数据采集和数据分析,直接为连接到该节点的设备提供安全服务。
现有的网络恶意检测(入侵检测)的方法,大致可以分为两类,一类是基于签名的方法,一类是基于异常的方法。基于签名的方法通过将输入样本与一系列已知的网络异常攻击样本模式进行匹配,从而识别出异常流量。这类方法需要维护一个记录异常行为规则的数据库,成本高,时间开销大。由于新的网络攻击类型不断地出现,这种方法无法适应现在网络吞吐量高速增长下的安全需求。基于异常的方法很好地弥补了该缺陷,这些方法通过分析学习历史数据、统计特征,从而识别出当前网络中的异常行为。其中机器学习方法在检测未知异常行为上具有更大的潜力。深度学习方法是机器学习方法的一个分支,由于其具备特征自动抽取能力,近几年受到越来越多的关注。
现有的网络异常检测系统存在诸多问题。
首先,当前大量的方法依赖统计特征,但专家为特定场景设计的特征并不保证其通用性。此外,为了获取更高质量的统计特性,这些方法通常需要收集较长时间的流量数据,这就带来更高昂的存储成本和时间消耗。
其次,真实网络环境中数据具有严重的数据不平衡问题,例如,在物联网网络恶意检测中,人们可以轻易收集到任意多正常网络流量,但对于异常样本的采集和标注,现在仍然是该领域的一个尚未解决的问题。因而,物联网网络数据异常样本通常很少,存在严重的数据不平衡问题。这些问题,容易引起过拟合,使得模型难以训练。
最后,在边缘环境中,安全问题越来越关键,如物联网,边缘计算等。但是目前的工作中,对于物联网环境数据集的网络异常检测研究相对较少。
发明内容
本发明所要解决的技术问题是提供一种面向物联网系统的恶意流量智能检测方法,解决了由于数据严重不平衡性引起的模型训练困难,能够针对网络流量实现高效准确的检测。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种面向物联网系统的恶意流量智能检测方法,基于如下步骤i至步骤v,所获得的恶意流量检测模型,执行如下步骤A至步骤B,实现对目标网络流量的恶意流量检测;
步骤i.统计分别包含各个数据包的各个样本网络流量,并确定各样本网络流量分别对应预设恶意流量分类中的真实恶意类型,然后进入步骤ii;
步骤ii.分别针对各个样本网络流量,按足够数据包应用截取方式、不足数据包应用补0构建数据包方式,由样本网络流量的开头依次选取M个数据包,更新该样本网络流量,进而更新各个样本网络流量,然后进入步骤iii;M为大于0的预设数据包应用数量;
步骤iii.分别针对各个样本网络流量,获得样本网络流量分别对应预设各向量类型的向量矩阵,并针对各向量矩阵进行预设标准化处理更新,进而获得各个样本网络流量分别所对应的各向量矩阵,然后进入步骤iv;
步骤iv.基于分别对应于预设各向量类型的各特征提取网络,以各特征提取网络的输入端为输入,各特征提取网络的输出端对接多级特征连接层的输入端,多级特征连接层的输出端依次串联融合层、分类层,分类层的输出端为输出,构建待训练网络,然后进入步骤v;其中,各特征提取网络的输出维度彼此相同;
步骤v.基于各个样本网络流量,以样本网络流量所对应各向量矩阵分别至对应特征提取网络为输入,样本网络流量分别对应预设各恶意流量分类的概率为输出,结合样本网络流量对应预设恶意流量分类中的真实恶意类型,针对待训练网络进行训练,获得恶意流量检测模型;
步骤A.针对目标网络流量,按步骤i至步骤iii的方法,获得目标网络流量所对应的各向量矩阵,然后进入步骤B;
步骤B.针对目标网络流量所对应的各向量矩阵,应用恶意流量检测模型进行预测,获得目标网络流量分别对应预设各恶意流量分类的概率,进而获得目标网络流量所对应的恶意类型,实现对目标网络流量的恶意流量检测。
作为本发明的一种优选技术方案:所述步骤iii中,分别针对各个样本网络流量,按如下设计,获得样本网络流量分别对应预设时序向量类型、预设统计向量类型、预设字节向量类型的向量矩阵;
其中,预设时序向量类型即针对样本网络流量,获得该样本网络流量中各数据包分别所对应的向量,并结合各数据包之间的时序关系,构建二维矩阵,作为该样本网络流量对应预设时序向量类型的向量矩阵;其中,对于每个数据包,按足够字节数应用截取方式、不足字节数应用补0方式,保留相同的长度;
预设统计向量类型即针对样本网络流量,获得该样本网络流量中各数据包分别对应各指定特征属性的统计值,并结合各数据包之间的时序关系,构建二维矩阵,作为该样本网络流量对应预设统计向量类型的向量矩阵;
预设字节向量类型即针对样本网络流量,按足够字节数应用截取方式、不足字节数应用补0方式,由该样本网络流量开头,获得预设长度N的一维字节数据流,作为该样本网络流量对应预设字节向量类型的向量矩阵。
作为本发明的一种优选技术方案:所述预设统计向量类型中的各指定特征属性包括数据包长度,数据包到达时间。
作为本发明的一种优选技术方案:所述步骤iv中分别对应于预设各向量类型的各特征提取网络中,预设时序向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(15,64)的Bi-LSTM-1层、输入维度(15,512)的Dropout-2层、输入维度(15,512)的Bi-LSTM-3层、输入维度(512,)的Dropout-4层、输入维度(512,)的Linear-5层、输入维度(256,)的ReLU-6层,基于堆叠双向循环神经网络构建,通过循环神经网络捕获网络流量时序特征;
预设统计向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(30,2)的Bi-LSTM-7层、输入维度(30,512)的Dropout-8层、输入维度(30,512)的Bi-LSTM-9层、输入维度(512,)的Dropout-10层、输入维度(256,)的Linear-11层、输入维度(256,)的ReLU-12层;基于堆叠双向循环神经网络构建,通过循环神经网络捕获网络流量对应各指定特征属性的特征;
预设字节向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(64,500)的Conv1d层、输入维度(64,500)的BatchNorm1d层、输入维度(64,500)的ReLU层、输入维度(64,500)的MaxPool1d层、输入维度(64,250)的Conv1d层、输入维度(128,250)的BatchNorm1d层、输入维度(128,250)的ReLU层、输入维度(128,250)的MaxPool1d层、输入维度(128,125)的Conv1d层、输入维度(128,125)的BatchNorm1d层、输入维度(128,125)的ReLU层、输入维度(128,125)的MaxPool1d层、输入维度(128,62)的Conv1d层、输入维度(128,62)的BatchNorm1d层、输入维度(128,62)的ReLU层、输入维度(128,62)的MaxPool1d层、输入维度(256,)的Linear层、输入维度(256,)的ReLU层,基于深度卷积神经网络构建,通过多层堆叠,学习网络流量的字节特征。
作为本发明的一种优选技术方案:所述步骤iv中的融合层,由输入端向输出端依次包括输入维度(768,)的Dropout层、输入维度(768,)的Linear层、输入维度(256,)的ReLU层、输入维度(256,)的Linear层。
作为本发明的一种优选技术方案:所述步骤v中,基于各个样本网络流量,以样本网络流量所对应各向量矩阵分别至对应特征提取网络为输入,样本网络流量分别对应预设各恶意流量分类的概率为输出,结合样本网络流量对应预设恶意流量分类中的真实恶意类型,按如下Attention Loss损失函数,针对待训练网络进行训练,获得恶意流量检测模型;
其中,AL(yt)为某样本预测值yt在Attention Loss中的损失,yt是模型预测为t恶意流量分类的概率,其取值范围为(0,1),同理(1-yt)取值范围(0,1),e为自然底数,β为控制Attention Loss权衡程度的预设超参数。
作为本发明的一种优选技术方案:所述步骤v中,针对待训练网络进行训练的过程中,每次迭代训练中,由预设各恶意流量分类中分别选择相同数量的样本网络流量,作为单次迭代训练中的训练样本,针对待训练网络进行训练。
与上述相对应,本发明还要解决的技术问题是提供一种面向物联网系统的恶意流量智能检测方法的应用,解决了由于数据严重不平衡性引起的模型训练困难,能够针对网络流量实现高效准确的检测。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种面向物联网系统的恶意流量智能检测方法的应用,按如下步骤I至步骤III,用于针对目标网络节点位置的各个数据包进行采集应用,实现目标网络节点位置的恶意流量检测;
步骤I.捕获经过目标网络节点位置、对应预设时长内的各个数据包,并进入步骤II;
步骤II.针对所获各个数据包,将源IP、源端口、目的IP、目的端口、协议均相同的各数据包划分构建为一个网络流量,进而获得各个网络流量,然后进入步骤III;
步骤III.分别针对各个网络流量,将网络流量作为目标网络流量,执行步骤A至步骤B,实现对目标网络流量的恶意流量检测,进而分别实现对各个网络流量的恶意流量检测。
本发明所述一种面向物联网系统的恶意流量智能检测方法及应用,采用以上技术方案与现有技术相比,具有以下技术效果:
(1)本发明所设计一种面向物联网系统的恶意流量智能检测方法及应用,针对网络流量,设计应用全新标准化处理,并获得向量化结果,再基于以分别对应于预设各向量类型的各特征提取网络为输入,依次经过多级特征连接层、融合层、分类层所设计构成的待训练网络,执行训练获得恶意流量检测模型,即可应用该模型实现对目标网络流量的恶意流量检测;整个设计方案中融合了流量的时序特征,短时统计特征、以及字节特征,使得检测模型相比其他模型更加强大,实验表现更好,鲁棒性更强;
(2)本发明所设计一种面向物联网系统的恶意流量智能检测方法及应用中,在模型训练过程中使用了自适应平衡训练方法ABT,解决数据不平衡性导致模型训练困难的问题,该方法能够极大地减少训练时间,提高了模型性能表现,并且为了解决数据倾斜导致异常样本检测率低,误警率高的问题,设计应用了Attention Loss损失函数;该损失函数能够自适应地权衡各样本对整体损失的贡献,加快模型收敛速度,提高其对异常样本的检测率,并且在实际应用中,通过分析物联网系统网络流中的少量数据包,即可检测出其中的恶意样本,对于各类恶意攻击样本,检测率极高,误警率极低,达到了应用水平。
附图说明
图1是本发明所设计面向物联网系统的恶意流量智能检测方法应用的流程示意图;
图2为本发明设计中三种向量化方法示意图;
图3为本发明设计中多级别特征融合模型整体架构图;
图4为本发明设计中自适应平衡训练方法数据集构建示意图;
图5为本发明设计中多级别特征融合模型的详细架构及参数设置图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种面向物联网系统的恶意流量智能检测方法,如图1所示,基于如下步骤i至步骤v,所获得的恶意流量检测模型。
步骤i.统计分别包含各个数据包的各个样本网络流量,并确定各样本网络流量分别对应预设恶意流量分类中的真实恶意类型,然后进入步骤ii。
步骤ii.分别针对各个样本网络流量,按足够数据包应用截取方式、不足数据包应用补0构建数据包方式,由样本网络流量的开头依次选取M个数据包,更新该样本网络流量,进而更新各个样本网络流量,然后进入步骤iii;M为大于0的预设数据包应用数量。
步骤iii.分别针对各个样本网络流量,获得样本网络流量分别对应预设各向量类型的向量矩阵,并针对各向量矩阵进行预设标准化处理更新,进而获得各个样本网络流量分别所对应的各向量矩阵,然后进入步骤iv。
上述步骤iii在实际应用中,如图2所示,分别针对各个样本网络流量,按如下设计,获得样本网络流量分别对应预设时序向量类型、预设统计向量类型、预设字节向量类型的向量矩阵;
其中,预设时序向量类型即针对样本网络流量,获得该样本网络流量中各数据包分别所对应的向量,并结合各数据包之间的时序关系,构建二维矩阵,作为该样本网络流量对应预设时序向量类型的向量矩阵;其中,对于每个数据包,按足够字节数应用截取方式、不足字节数应用补0方式,保留相同的长度M,实际应用中,以字节为单位读取形成向量,每个字节为8位,可读取为0到255的数字,形成向量。将每个网络流读取为(N,M)的向量,其中N为截取的数据包个数,M为截取的包长度,不足则补零填充。选择前N个数据包的前M个字节的数据原因如下:对于网络应用,前几个数据包负责建立连接,发送申请,交换信息等,因而重要信息通常集中于网络流的前几个数据包;另一方面,每个数据包的头部,记录数据包元信息。为了整体的高效性,本方法只提取网络流中前N=15个数据包头部的M=64字节的数据,组成单个样本。
预设统计向量类型即针对样本网络流量,获得该样本网络流量中各数据包分别对应各指定特征属性的统计值,并结合各数据包之间的时序关系,构建二维矩阵,作为该样本网络流量对应预设统计向量类型的向量矩阵;实际应用中,所述预设统计向量类型中的各指定特征属性包括数据包长度,数据包到达时间。
对于统计向量类型来说,其维度为(N,K),N为截取的数据包个数,K为短时统计特征的维度。实际应用中,诸如K=2,所使用的包级别短时统计特征分别是包长度和包到达间隔等。它们开销很小,可以实时计算。这些具备特定意义的短时统计特征,虽不足以用于网络流的精确分类,却可以辅助整体的模型学习。字节向量化方法考虑网络流的字节特征,它将该网络流视为一个整体流,不再划分出不同包,该方法得到一维字节向量,并截取固定长度规整化处理。
预设字节向量类型即针对样本网络流量,按足够字节数应用截取方式、不足字节数应用补0方式,由该样本网络流量开头,获得预设长度N的一维字节数据流,作为该样本网络流量对应预设字节向量类型的向量矩阵。
实际应用中,时序向量化方法和字节向量化方法均保留数据原始二进制数据流,以字节为单位读取形成向量,每个字节为8位,可读取为0到255的数字,形成向量。统计向量化方法仅保留数据统计特征。字节向量化方法考虑网络流的字节特征,它将该网络流视为一个整体流,不再划分出不同包,该方法得到维度为S的一维向量,S为截取流的长度,本方法中取500。
所述向量标准化方式,包括:
将得到向量进行归一化或标准化。其中,时序向量化方法和字节向量化方法得到的向量,每个位置均代表一个字节的长度,即0到255,直接将每个整数除以255,即可实现归一化。统计向量化方法得到的统计数据,需要进行单独的标准化处理,其标准化公式如下所示。
步骤iv.基于分别对应于预设各向量类型的各特征提取网络,如图3所示,以各特征提取网络的输入端为输入,各特征提取网络的输出端对接多级特征连接层的输入端,多级特征连接层的输出端依次串联融合层、分类层,分类层的输出端为输出,构建待训练网络,然后进入步骤v;其中,各特征提取网络的输出维度彼此相同。
对于分别对应于预设各向量类型的各特征提取网络来说,预设时序向量类型从时序特征的角度考虑,网络流是一系列在时间上连续的数据包的集合,时序向量化方法把流量按包划分,保留包的时间步信息,将网络流向量化后输入时序向量类型所对应的特征提取网络中,该特征提取网络基于堆叠双向循环神经网络设计,使用循环神经网络捕获网络流的时序特征。
预设统计向量类型模型考虑统计向量化方法提取的短时统计特征,统计特征能在一定程度上和深度学习自动提取的特征形成互补,而且本文使用的短时统计特征,不需要长时间数据采集,开销小。统计向量类型模型所对应的特征提取网络,同样基于堆叠双向循环神经网络,学习统计特征在时序上的特定模式。
预设字节向量类型考虑字节特征,从这个角度来看,网络流是一串连续的二进制数据流,某些部分具有特定规则,可以形成特定流量签名;字节向量类型所对应的特征提取网络提供一维字节向量。网络架构三基于深度卷积神经网络,经过多层堆叠,学习字节流的字节特征。
实际应用中,所述步骤iv中分别对应于预设各向量类型的各特征提取网络中,如图5所示,预设时序向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(15,64)的Bi-LSTM-1层、输入维度(15,512)的Dropout-2层、输入维度(15,512)的Bi-LSTM-3层、输入维度(512,)的Dropout-4层、输入维度(512,)的Linear-5层、输入维度(256,)的ReLU-6层,基于堆叠双向循环神经网络构建,通过循环神经网络捕获网络流量时序特征。
如图5所示,预设统计向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(30,2)的Bi-LSTM-7层、输入维度(30,512)的Dropout-8层、输入维度(30,512)的Bi-LSTM-9层、输入维度(512,)的Dropout-10层、输入维度(256,)的Linear-11层、输入维度(256,)的ReLU-12层;基于堆叠双向循环神经网络构建,通过循环神经网络捕获网络流量对应各指定特征属性的特征。
如图5所示,预设字节向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(64,500)的Conv1d层、输入维度(64,500)的BatchNorm1d层、输入维度(64,500)的ReLU层、输入维度(64,500)的MaxPool1d层、输入维度(64,250)的Conv1d层、输入维度(128,250)的BatchNorm1d层、输入维度(128,250)的ReLU层、输入维度(128,250)的MaxPool1d层、输入维度(128,125)的Conv1d层、输入维度(128,125)的BatchNorm1d层、输入维度(128,125)的ReLU层、输入维度(128,125)的MaxPool1d层、输入维度(128,62)的Conv1d层、输入维度(128,62)的BatchNorm1d层、输入维度(128,62)的ReLU层、输入维度(128,62)的MaxPool1d层、输入维度(256,)的Linear层、输入维度(256,)的ReLU层,基于深度卷积神经网络构建,通过多层堆叠,学习网络流量的字节特征。
并且其中的融合层,由输入端向输出端依次包括输入维度(768,)的Dropout层、输入维度(768,)的Linear层、输入维度(256,)的ReLU层、输入维度(256,)的Linear层。
因此在实际应用中,时序向量类型所对应的特征提取网络,负责学习物联网流量的时序特征,它基于堆叠双向循环神经网络设计。LSTM(Longshort-term memory)单元是经典的循环神经网络的一种,其中每个LSTM单元的隐藏层维度设置为256,由于为双向LSTM,它将正反两个方向的输出做了连接,所以每个时间步的输出为512维。需要注意的是,这里采用了堆叠双向LSTM的结构,则除了最后一层外,中间Bi-LSTM需要保留每个时间步的输出。每个Bi-LSTM输出连接一个Dropout层,Dropout是一种深度学习中常用的防止过拟合的技术,其dropout rate设定为0.5。将两层堆叠的Bi-LSTM的最后一个时间步的输出输入一个Linear全连接层,该全连接层的输入输出维度分别为512和256。最后,使用经典的ReLU作为激活函数。
统计向量类型所对应的特征提取网络,负责提供物联网流量的统计特征以及短时统计特征的时序变化信息。它同样基于堆叠双向循环神经网络设计,整体结构和网络架构一一致,但它的输入维度不同,每个时间步的向量只有2维,代表两种短时统计特征。
字节向量类型所对应的特征提取网络,负责学习物联网流量的字节特征,它基于多层卷积神经网络设计。每个卷积层包括卷积核大小为3的卷积操作;然后应用批标准化处理(Batch Normalization)对当前层次输出进行标准化,使得梯度下降变得容易;对批标准化的输出通过ReLU进行激活处理;最后使用MaxPooling进行池化降采样操作。网络架构三堆叠了四层卷积层,最后再连接Linear全连接层进行最后降维处理,其输出维度为256。
步骤v.基于各个样本网络流量,以样本网络流量所对应各向量矩阵分别至对应特征提取网络为输入,样本网络流量分别对应预设各恶意流量分类的概率为输出,结合样本网络流量对应预设恶意流量分类中的真实恶意类型,按如下Attention Loss损失函数,针对待训练网络进行训练,获得恶意流量检测模型;
其中,AL(yt)为某样本预测值yt在Attention Loss中的损失,yt是模型预测为t恶意流量分类的概率,其取值范围为(0,1),同理(1-yt)取值范围(0,1),e为自然底数,β为控制Attention Loss权衡程度的预设超参数,实际应用中,权重项的最终取值范围是(0,1.7)。
应用中对于损失函数来说,在深度学习中常用的损失函数形式如公式(2)。
其中,N为整体样本个数,Lj为单个样本的损失值,m为样本类型数,Ni为i类别的样本个数,表示i类别中样本j的损失。公式指出,整体损失L等于所有N个样本的损失取均值。从类别的角度考虑,整体损失等于各个类别的损失Li之和的均值。加权损失考虑给每个类别加以不同权重。
加权损失Lw为各个类别损失的加权和,其中,αi为i分类对应权重,上述展示了该公式及其展开式。在研究中,正常样本数量太多,所以其权重应该设定为相对小的值。由Lw的展开公式,我们可以计算出k类别对于整体损失的贡献。以下假定正常样本类别编号为0。
其中d0和dk分别代表正常类别和其他异常类别对整体损失的贡献,L*代表所有异常类别损失之和,如公式(6)所示。从公式(4)、(5)分析可以得到,对于加权损失,增大正常样本的权重α0,正常样本整体对损失的贡献d0将增大,而其他类别的贡献dk将减少。反之,减少α0,整体贡献d0将减少,而其他类别的贡献dk将增加。这符合我们的直觉。而对于自适应平衡训练,我们不再改变权重α0,而通过采样,使得正常样本N0变小,从而使得最终正常类别贡献d0减少,而其他类别贡献dk将增加。
Attention Loss损失函数的引入,应用中由于物联网恶意流量数据集的数据不平衡性问题,容易引起正常样本的过拟合,异常样本的检测率低,误警率高等问题。本文设计了一种新型的损失函数Attention Loss,它可以自适应权衡各个样本在训练过程中的权重。Attention Loss会专注于提高预测表现较差的样本。具体是,预测准确率越高,分类越准确的样本,对整体的损失权重将下降,反之,预测准确率越低,分类越差的类型,对整体损失的权重将上升,从而使得模型集中于异常样本的准确检测。
为了引出Attention Loss的数学原理,我们先介绍从常用的交叉熵损失(CrossEntropy Loss)函数,从而描述改进思路。
L(yt)=-log(yt) (7)
L(yt)为任意样本的预测值yt在交叉熵中的损失。其中,yt指预测向量y中,预测为t分类的概率。为了缓解数据不平衡问题,可以为不同分类设定不同权重,这就是平衡交叉熵损失。
L(yt)=-αtlog(yt) (8)
其中,αt表示t分类的权重,通过该权重平衡该类型样本对整体损失的贡献。然而,权重项的设定需要通过实验来人为确定。因而,本方法考虑通过样本预测值来自适应决定样本的损失。
AL(yt)=-(1-yt)log(yt) (9)
AL(yt)代表该预测值在Attention Loss中的损失。权重项(1-yt)的值随着yt的上升而下降(反之,随着它的下降而上升),从而动态地调节该样本得到的损失。
AL(yt)=-(1-yt)βlog(yt) (10)
为了进一步调节下降(上升)速率,考虑加上β参数,如公式10所示。β越大,下降速度越快,反之,β越小,下降速度越慢。当β为0时得到普通的交叉熵损失。权重(1-yt)和yt是线性关系,yt和权重(1-yt)取值范围均为(0,1)。为了增加其动态变化范围,公式11加入了指数运算,使得的范围增大,约为(1,2.7)。
这意味着在对于预测值接近0,分类较差的样本,它可以获得的权重接近2.7(假设此时β=1),动态范围增加了,平衡效果被加强。然而,对于预测值接近1,分类的很好的样本,它仍可以获得接近1的较大权重,这并不符合我们的期望。于是我们进行进一步改进,如公式12,权重项的最终取值范围是(0,1.7)。
Attention Loss的权重项随预测值yt的变化而变化。
在训练过程中,还应用了自适应平衡训练方法,真实网络环境为不平衡的网络环境,网络数据集通常面临着严重的数据不平衡问题,这在物联网恶意流量数据中尤为明显,通常而言正常样本的数量是异常样本的几十倍,甚至几百倍。严重的数据平衡会导致模型难以训练或性能表现不稳定,正常样本容易出现严重的过拟合现象,导致整体的检测率偏低。
数据不平衡问题是深度学习领域中一个公共的问题,一种常见的解决方法是采用加权交叉熵损失函数(Weighted Cross-Entropy),通过给不同分类添加不同权重,来调整各个分类对损失的贡献。权重需要通过实验,人为调参。设定一组可用权重能够有效解决数据不平衡带来的模型训练困难的问题。然而,这种方法的问题就在于权重参数的确定,它需要针对不同数据,结合大量实验和研究人员的经验进行调参。这个过程非常耗时。更糟糕的是,真实环境中各个类型数据可能随时发生变化,已经设定的参数容易失效。
针对该问题,本发明考虑一种工程意义上的简洁的解决方案。该方案通过采样,在每个训练的轮次中随机构建平衡数据集,本文称为自适应平衡训练方法(ABT)。其整体过程如图4所示,正常样本数量极多,在每个训练轮次中,我们随机从中采集部分样本,与其他异常样本共同构成当前轮次的数据集。由于每个训练轮次都重新采样,在统计意义上,每个正常样本输入模型的概率是相同的。采用该方法,能极大减少每个轮次训练数据量,从而减少训练时间。
从直观上来看,自适应平衡训练方法在每个训练轮次减少正常样本的数量,其原理和加权损失是类似的,本质上也是在减少该类型对于损失的贡献。不过,该方法不需要搜索权重的过程,而且可以大大减少训练时间。以下自适应平衡训练方法的数学原理,与加权损失本质上是类似的。
实际应用中,通过上述下步骤i至步骤v,所获得的恶意流量检测模型,执行如下步骤A至步骤B,实现对目标网络流量的恶意流量检测。
步骤A.针对目标网络流量,按步骤i至步骤iii的方法,获得目标网络流量所对应的各向量矩阵,然后进入步骤B。
步骤B.针对目标网络流量所对应的各向量矩阵,应用恶意流量检测模型进行预测,获得目标网络流量分别对应预设各恶意流量分类的概率,进而获得目标网络流量所对应的恶意类型,实现对目标网络流量的恶意流量检测。
基于上述设计面向物联网系统的恶意流量智能检测方法,在实际应用中,如图1所示,具体可以按如下步骤I至步骤III,用于针对目标网络节点位置的各个数据包进行采集应用,实现目标网络节点位置的恶意流量检测。
步骤I.捕获经过目标网络节点位置、对应预设时长内的各个数据包,并进入步骤II。
步骤II.针对所获各个数据包,将源IP、源端口、目的IP、目的端口、协议均相同的各数据包划分构建为一个网络流量,进而获得各个网络流量,然后进入步骤III。
对于源IP、源端口、目的IP、目的端口、协议来说,即数据包的五元组,由于数据包传输需要不同时间,并且网络中同一时间存在大量应用产生网络流,所以多个网络流中的数据包通常是乱序到达采集点,混合交织形成采集文件,因而这里实际应用中,在步骤II中,按五元组针对各数据包进行划分,获得各个网络流量。
步骤III.分别针对各个网络流量,将网络流量作为目标网络流量,执行步骤A至步骤B,实现对目标网络流量的恶意流量检测,进而分别实现对各个网络流量的恶意流量检测。
上述本发明所设计一种面向物联网系统的恶意流量智能检测方法及应用,针对网络流量,设计应用全新标准化处理,并获得向量化结果,再基于以分别对应于预设各向量类型的各特征提取网络为输入,依次经过多级特征连接层、融合层、分类层所设计构成的待训练网络,执行训练获得恶意流量检测模型,即可应用该模型实现对目标网络流量的恶意流量检测;整个设计方案中融合了流量的时序特征,短时统计特征、以及字节特征,使得检测模型相比其他模型更加强大,实验表现更好,鲁棒性更强。
并且在模型训练过程中使用了自适应平衡训练方法ABT,解决数据不平衡性导致模型训练困难的问题,该方法能够极大地减少训练时间,提高了模型性能表现,并且为了解决数据倾斜导致异常样本检测率低,误警率高的问题,设计应用了Attention Loss损失函数;该损失函数能够自适应地权衡各样本对整体损失的贡献,加快模型收敛速度,提高其对异常样本的检测率,并且在实际应用中,通过分析物联网系统网络流中的少量数据包,即可检测出其中的恶意样本,对于各类恶意攻击样本,检测率极高,误警率极低,达到了应用水平。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (8)
1.一种面向物联网系统的恶意流量智能检测方法,其特征在于:基于如下步骤i至步骤v,所获得的恶意流量检测模型,执行如下步骤A至步骤B,实现对目标网络流量的恶意流量检测;
步骤i.统计分别包含各个数据包的各个样本网络流量,并确定各样本网络流量分别对应预设恶意流量分类中的真实恶意类型,然后进入步骤ii;
步骤ii.分别针对各个样本网络流量,按足够数据包应用截取方式、不足数据包应用补0构建数据包方式,由样本网络流量的开头依次选取M个数据包,更新该样本网络流量,进而更新各个样本网络流量,然后进入步骤iii;M为大于0的预设数据包应用数量;
步骤iii.分别针对各个样本网络流量,获得样本网络流量分别对应预设各向量类型的向量矩阵,并针对各向量矩阵进行预设标准化处理更新,进而获得各个样本网络流量分别所对应的各向量矩阵,然后进入步骤iv;
步骤iv.基于分别对应于预设各向量类型的各特征提取网络,以各特征提取网络的输入端为输入,各特征提取网络的输出端对接多级特征连接层的输入端,多级特征连接层的输出端依次串联融合层、分类层,分类层的输出端为输出,构建待训练网络,然后进入步骤v;其中,各特征提取网络的输出维度彼此相同;
步骤v.基于各个样本网络流量,以样本网络流量所对应各向量矩阵分别至对应特征提取网络为输入,样本网络流量分别对应预设各恶意流量分类的概率为输出,结合样本网络流量对应预设恶意流量分类中的真实恶意类型,针对待训练网络进行训练,获得恶意流量检测模型;
步骤A.针对目标网络流量,按步骤i至步骤iii的方法,获得目标网络流量所对应的各向量矩阵,然后进入步骤B;
步骤B.针对目标网络流量所对应的各向量矩阵,应用恶意流量检测模型进行预测,获得目标网络流量分别对应预设各恶意流量分类的概率,进而获得目标网络流量所对应的恶意类型,实现对目标网络流量的恶意流量检测。
2.根据权利要求1所述一种面向物联网系统的恶意流量智能检测方法,其特征在于:所述步骤iii中,分别针对各个样本网络流量,按如下设计,获得样本网络流量分别对应预设时序向量类型、预设统计向量类型、预设字节向量类型的向量矩阵;
其中,预设时序向量类型即针对样本网络流量,获得该样本网络流量中各数据包分别所对应的向量,并结合各数据包之间的时序关系,构建二维矩阵,作为该样本网络流量对应预设时序向量类型的向量矩阵;其中,对于每个数据包,按足够字节数应用截取方式、不足字节数应用补0方式,保留相同的长度;
预设统计向量类型即针对样本网络流量,获得该样本网络流量中各数据包分别对应各指定特征属性的统计值,并结合各数据包之间的时序关系,构建二维矩阵,作为该样本网络流量对应预设统计向量类型的向量矩阵;
预设字节向量类型即针对样本网络流量,按足够字节数应用截取方式、不足字节数应用补0方式,由该样本网络流量开头,获得预设长度N的一维字节数据流,作为该样本网络流量对应预设字节向量类型的向量矩阵。
3.根据权利要求2所述一种面向物联网系统的恶意流量智能检测方法,其特征在于:所述预设统计向量类型中的各指定特征属性包括数据包长度,数据包到达时间。
4.根据权利要求2所述一种面向物联网系统的恶意流量智能检测方法,其特征在于:所述步骤iv中分别对应于预设各向量类型的各特征提取网络中,预设时序向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(15,64)的Bi-LSTM-1层、输入维度(15,512)的Dropout-2层、输入维度(15,512)的Bi-LSTM-3层、输入维度(512,)的Dropout-4层、输入维度(512,)的Linear-5层、输入维度(256,)的ReLU-6层,基于堆叠双向循环神经网络构建,通过循环神经网络捕获网络流量时序特征;
预设统计向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(30,2)的Bi-LSTM-7层、输入维度(30,512)的Dropout-8层、输入维度(30,512)的Bi-LSTM-9层、输入维度(512,)的Dropout-10层、输入维度(256,)的Linear-11层、输入维度(256,)的ReLU-12层;基于堆叠双向循环神经网络构建,通过循环神经网络捕获网络流量对应各指定特征属性的特征;
预设字节向量类型所对应的特征提取网络,由输入端向输出端依次包括输入维度(64,500)的Conv1d层、输入维度(64,500)的BatchNorm1d层、输入维度(64,500)的ReLU层、输入维度(64,500)的MaxPool1d层、输入维度(64,250)的Conv1d层、输入维度(128,250)的BatchNorm1d层、输入维度(128,250)的ReLU层、输入维度(128,250)的MaxPool1d层、输入维度(128,125)的Conv1d层、输入维度(128,125)的BatchNorm1d层、输入维度(128,125)的ReLU层、输入维度(128,125)的MaxPool1d层、输入维度(128,62)的Conv1d层、输入维度(128,62)的BatchNorm1d层、输入维度(128,62)的ReLU层、输入维度(128,62)的MaxPool1d层、输入维度(256,)的Linear层、输入维度(256,)的ReLU层,基于深度卷积神经网络构建,通过多层堆叠,学习网络流量的字节特征。
5.根据权利要求4所述一种面向物联网系统的恶意流量智能检测方法,其特征在于:所述步骤iv中的融合层,由输入端向输出端依次包括输入维度(768,)的Dropout层、输入维度(768,)的Linear层、输入维度(256,)的ReLU层、输入维度(256,)的Linear层。
6.根据权利要求2所述一种面向物联网系统的恶意流量智能检测方法,其特征在于:所述步骤v中,基于各个样本网络流量,以样本网络流量所对应各向量矩阵分别至对应特征提取网络为输入,样本网络流量分别对应预设各恶意流量分类的概率为输出,结合样本网络流量对应预设恶意流量分类中的真实恶意类型,按如下Attention Loss损失函数,针对待训练网络进行训练,获得恶意流量检测模型;
其中,AL(yt)为某样本预测值yt在Attention Loss中的损失,yt是模型预测为t恶意流量分类的概率,其取值范围为(0,1),同理(1-yt)取值范围(0,1),e为自然底数,β为控制Attention Loss权衡程度的预设超参数。
7.根据权利要求2所述一种面向物联网系统的恶意流量智能检测方法,其特征在于:所述步骤v中,针对待训练网络进行训练的过程中,每次迭代训练中,由预设各恶意流量分类中分别选择相同数量的样本网络流量,作为单次迭代训练中的训练样本,针对待训练网络进行训练。
8.一种针对权利要求1至7中任意一项所述一种面向物联网系统的恶意流量智能检测方法的应用,其特征在于:按如下步骤I至步骤III,用于针对目标网络节点位置的各个数据包进行采集应用,实现目标网络节点位置的恶意流量检测;
步骤I.捕获经过目标网络节点位置、对应预设时长内的各个数据包,并进入步骤II;
步骤II.针对所获各个数据包,将源IP、源端口、目的IP、目的端口、协议均相同的各数据包划分构建为一个网络流量,进而获得各个网络流量,然后进入步骤III;
步骤III.分别针对各个网络流量,将网络流量作为目标网络流量,执行步骤A至步骤B,实现对目标网络流量的恶意流量检测,进而分别实现对各个网络流量的恶意流量检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110570366.2A CN113489674B (zh) | 2021-05-25 | 2021-05-25 | 一种面向物联网系统的恶意流量智能检测方法及应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110570366.2A CN113489674B (zh) | 2021-05-25 | 2021-05-25 | 一种面向物联网系统的恶意流量智能检测方法及应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113489674A true CN113489674A (zh) | 2021-10-08 |
CN113489674B CN113489674B (zh) | 2022-09-30 |
Family
ID=77933662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110570366.2A Active CN113489674B (zh) | 2021-05-25 | 2021-05-25 | 一种面向物联网系统的恶意流量智能检测方法及应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113489674B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114362994A (zh) * | 2021-11-26 | 2022-04-15 | 北京交通大学 | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 |
CN114520736A (zh) * | 2022-01-24 | 2022-05-20 | 广东工业大学 | 一种物联网安全检测方法、装置、设备及存储介质 |
CN114785824A (zh) * | 2022-04-06 | 2022-07-22 | 郑州润声电子科技有限公司 | 一种智能物联网大数据传输方法及系统 |
CN115348115A (zh) * | 2022-10-19 | 2022-11-15 | 广州优刻谷科技有限公司 | 智能家居的攻击预测模型训练方法、攻击预测方法及系统 |
CN115632875A (zh) * | 2022-11-29 | 2023-01-20 | 湖北省楚天云有限公司 | 一种多特征融合实时分析的恶意流量检测方法及系统 |
CN115802355A (zh) * | 2023-01-20 | 2023-03-14 | 苏州派尔网络科技有限公司 | 一种移动物联网卡管理方法、装置及云平台 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101835048A (zh) * | 2010-03-30 | 2010-09-15 | 香港应用科技研究院有限公司 | 通过基于abt的最小可觉差模型进行视频编码的方法和装置 |
CN110149379A (zh) * | 2019-05-06 | 2019-08-20 | 山东公链信息科技有限公司 | 一种基于层逻辑的多原链吞吐量扩展方法 |
CN112613552A (zh) * | 2020-12-18 | 2021-04-06 | 北京工业大学 | 一种结合情感类别注意力损失的卷积神经网络情感图像分类方法 |
-
2021
- 2021-05-25 CN CN202110570366.2A patent/CN113489674B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101835048A (zh) * | 2010-03-30 | 2010-09-15 | 香港应用科技研究院有限公司 | 通过基于abt的最小可觉差模型进行视频编码的方法和装置 |
CN110149379A (zh) * | 2019-05-06 | 2019-08-20 | 山东公链信息科技有限公司 | 一种基于层逻辑的多原链吞吐量扩展方法 |
CN112613552A (zh) * | 2020-12-18 | 2021-04-06 | 北京工业大学 | 一种结合情感类别注意力损失的卷积神经网络情感图像分类方法 |
Non-Patent Citations (2)
Title |
---|
MUHAMMAD ET AL: "IoT malicious traffic identification using wrapper-based feature selection mechanisms", 《SCIENCEDIRECT》 * |
TAO LEI等: "EveDroid: Event-Aware Android Malware Detection Against Model Degrading for IoT Devices", 《IEEE INTERNET OF THINGS JOURNAL》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114362994A (zh) * | 2021-11-26 | 2022-04-15 | 北京交通大学 | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 |
CN114362994B (zh) * | 2021-11-26 | 2023-01-06 | 北京交通大学 | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 |
CN114520736A (zh) * | 2022-01-24 | 2022-05-20 | 广东工业大学 | 一种物联网安全检测方法、装置、设备及存储介质 |
CN114520736B (zh) * | 2022-01-24 | 2023-08-22 | 广东工业大学 | 一种物联网安全检测方法、装置、设备及存储介质 |
CN114785824A (zh) * | 2022-04-06 | 2022-07-22 | 郑州润声电子科技有限公司 | 一种智能物联网大数据传输方法及系统 |
CN114785824B (zh) * | 2022-04-06 | 2024-05-14 | 深圳前海用友力合科技服务有限公司 | 一种智能物联网大数据传输方法及系统 |
CN115348115A (zh) * | 2022-10-19 | 2022-11-15 | 广州优刻谷科技有限公司 | 智能家居的攻击预测模型训练方法、攻击预测方法及系统 |
CN115348115B (zh) * | 2022-10-19 | 2022-12-20 | 广州优刻谷科技有限公司 | 智能家居的攻击预测模型训练方法、攻击预测方法及系统 |
CN115632875A (zh) * | 2022-11-29 | 2023-01-20 | 湖北省楚天云有限公司 | 一种多特征融合实时分析的恶意流量检测方法及系统 |
CN115802355A (zh) * | 2023-01-20 | 2023-03-14 | 苏州派尔网络科技有限公司 | 一种移动物联网卡管理方法、装置及云平台 |
Also Published As
Publication number | Publication date |
---|---|
CN113489674B (zh) | 2022-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113489674B (zh) | 一种面向物联网系统的恶意流量智能检测方法及应用 | |
CN110311829B (zh) | 一种基于机器学习加速的网络流量分类方法 | |
CN112163594A (zh) | 一种网络加密流量识别方法及装置 | |
US9729571B1 (en) | System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms | |
CN112398779A (zh) | 一种网络流量数据分析方法及系统 | |
CN102420723A (zh) | 一种面向多类入侵的异常检测方法 | |
CN105959175B (zh) | 基于GPU加速的kNN算法的网络流量分类方法 | |
He et al. | Deep‐Feature‐Based Autoencoder Network for Few‐Shot Malicious Traffic Detection | |
Soleymanpour et al. | CSCNN: cost-sensitive convolutional neural network for encrypted traffic classification | |
CN113364787B (zh) | 一种基于并联神经网络的僵尸网络流量检测方法 | |
CN115118653A (zh) | 一种基于多任务学习的实时业务流量分类方法及系统 | |
Perera Jayasuriya Kuranage et al. | Network traffic classification using machine learning for software defined networks | |
Wang et al. | Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things | |
CN116192523A (zh) | 一种基于神经网络的工控异常流量监测方法和系统 | |
CN116260642A (zh) | 一种基于知识蒸馏时空神经网络的轻量化物联网恶意流量识别方法 | |
CN111130942B (zh) | 一种基于消息大小分析的应用流量识别方法 | |
Almarshdi et al. | Hybrid Deep Learning Based Attack Detection for Imbalanced Data Classification. | |
Vamsi Krishna et al. | A Detailed Analysis of the CIDDS-001 and CICIDS-2017 Datasets | |
Guo et al. | [Retracted] The Evaluation of DDoS Attack Effect Based on Neural Network | |
CN113746707B (zh) | 一种基于分类器及网络结构的加密流量分类方法 | |
Song et al. | Machine learning-based traffic classification of wireless traffic | |
CN111586052B (zh) | 一种基于多层级的群智合约异常交易识别方法及识别系统 | |
Wang et al. | [Retracted] Intrusion Detection‐Data Security Protection Scheme Based on Particle Swarm‐BP Network Algorithm in Cloud Computing Environment | |
Uymin | Application of machine learning in the classification of traffic in telecommunication networks: working with network modeling systems | |
Mestry et al. | Deep learning-Based Real-time malicious network traffic detection system for Cyber-Physical Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |