CN113572739B - 一种网络有组织攻击入侵检测方法及装置 - Google Patents
一种网络有组织攻击入侵检测方法及装置 Download PDFInfo
- Publication number
- CN113572739B CN113572739B CN202110736508.8A CN202110736508A CN113572739B CN 113572739 B CN113572739 B CN 113572739B CN 202110736508 A CN202110736508 A CN 202110736508A CN 113572739 B CN113572739 B CN 113572739B
- Authority
- CN
- China
- Prior art keywords
- network
- current
- lof
- dimensions
- iteration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于网络安全技术领域,公开一种网络有组织攻击入侵检测方法及装置,该方法通过Wireshark软件捕获网络数据包,构建网络拓扑图,然后生成网络拓扑图的各个连通分支,再用Embed算法对各个连通分支生成各个节点的网络嵌入向量,最后利用LOF算法对网络嵌入向量计算LOF异常值,并根据LOF异常值对网络威胁发出告警。本发明提高了有组织攻击检测的召回率,有效地应对了有组织攻击导致的单点故障,提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种网络有组织攻击入侵检测方法及装置。
背景技术
自20世纪末期Internet兴起以来,网络空间越来越成为人们日常工作和生活中不可或缺的空间。然而,由于普通民众对网络安全认知的缺乏以及网络空间基础设施自身设计上的缺陷,网络空间犯罪层出不穷,网络攻击难以根除。这些攻击对个人、企业、政府部门的利益造成了严重的损失。网络空间中的安全问题也因此受到了广泛的关注。对于网络攻击——更广泛地说,网络威胁的防御,企业和政府部门比较普遍的做法是部署威胁检测系统。
现有的网络威胁检测方法主要有三类。第一类是基于知识的检测,也称为基于签名的检测,主要根据某些特定规则检测威胁。这类方法可以高准确率地检测已知攻击,但对未知攻击检测性能较差,第二类是基于异常的检测,主要通过与预定义的正常行为进行比较来检测威胁。这类方法可以很好地处理未知攻击,但是其误报率较高。第三类是基于机器学习的检测,通过提取流量的隐含特征检测威胁。这类方法已经取得了不错的进展,如Nathan Shone等人在A Deep Learning Approach to Network Intrusion Detection(IEEE TRANSACTIONS ON EMERGING TOPICS IN COMPUTATIONAL INTELLIGENCE,2018)中提出的基于栈式非对称深度自编码器构建的深度学习分类模型,在KDDCup’99数据集和NSL-KDD数据集上进行5分类时,分别达到了97.85%和85.42%的总体准确率。但是对于有组织的攻击,如DDoS攻击,现有的方法无法提供全面的鲁棒的检测。
发明内容
本发明针对现有的网络威胁检测方法对于有组织的攻击无法提供全面的鲁棒的检测的问题,提出一种网络有组织攻击入侵检测方法及装置,提高了有组织攻击检测的召回率,有效地应对了有组织攻击导致的单点故障,提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
为了实现上述目的,本发明采用以下技术方案:
本发明一方面提出一种网络有组织攻击入侵检测方法,包括:
通过Wireshark软件捕获网络数据包;
基于捕获的网络数据包构建网络拓扑图;
基于构建的网络拓扑图生成网络拓扑图的连通分支;
采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
采用LOF算法对网络嵌入向量计算LOF异常值;
根据LOF异常值对网络有组织攻击发出告警。
进一步地,所述基于捕获的网络数据包构建网络拓扑图包括:
对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:
对编号后的网络拓扑图生成连通分支;
对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:
迭代:对于非边集合En,抽样得到其子集Es,计算方向向量Directioni,计算节点i新的网络嵌入向量Nexti;若满足迭代结束条件,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代。
进一步地,在迭代过程中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,所述采用LOF算法对网络嵌入向量计算LOF异常值包括:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,所述根据LOF异常值对网络威胁发出告警包括:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。
本发明另一方面还公开一种网络有组织攻击入侵检测装置,包括:
网络数据包捕获模块,用于通过Wireshark软件捕获网络数据包;
网络拓扑图构建模块,用于基于捕获的网络数据包构建网络拓扑图;
网络拓扑图连通分支构建生成模块,用于基于构建的网络拓扑图生成网络拓扑图的连通分支;
网络嵌入向量计算模块,用于采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
LOF异常值计算模块,用于采用LOF算法对网络嵌入向量计算LOF异常值;
异常告警模块,用于根据LOF异常值对网络有组织攻击发出告警。
进一步地,所述网络拓扑图构建模块包括:
过滤子模块,用于对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
IP地址提取子模块,用于对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
第一编号子模块,用于对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,所述网络拓扑图连通分支构建生成模块包括:
连通分支生成子模块,用于对编号后的网络拓扑图生成连通分支;
第二编号子模块,用于对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,所述网络嵌入向量计算模块包括:
迭代子模块,用于迭代:对于非边集合En,抽样得到其子集Es,计算方向向量Directioni,计算节点i新的网络嵌入向量Nexti;若满足迭代结束条件,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代。
进一步地,在迭代子模块中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,所述LOF异常值计算模块具体用于:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,所述异常告警模块具体用于:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。
与现有技术相比,本发明具有的有益效果:
本发明通过Wireshark软件捕获网络数据包,构建网络拓扑图,然后生成网络拓扑图的各个连通分支,再用Embed算法对各个连通分支生成各个节点的网络嵌入向量,最后利用LOF算法对网络嵌入向量计算LOF异常值,并根据LOF异常值对网络威胁发出告警。本发明提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
附图说明
图1为本发明实施例一种网络有组织攻击入侵检测方法的基本流程图;
图2为本发明实施例一种网络有组织攻击入侵检测方法的网络部署图;
图3为本发明实施例一种网络有组织攻击入侵检测装置的结构示意图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
如图1所示,本发明一方面提出一种网络有组织攻击入侵检测方法,包含以下步骤:
步骤S1:通过Wireshark软件捕获网络数据包;
步骤S2:基于捕获的网络数据包构建网络拓扑图;
步骤S3:基于构建的网络拓扑图生成网络拓扑图的连通分支;
步骤S4:采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
步骤S5:采用LOF算法对网络嵌入向量计算LOF异常值;
步骤S6:根据LOF异常值对网络有组织攻击发出告警。
具体地,步骤S1中,
在网络中部署检测节点,如图2中的检测节点1、检测节点2、检测节点3所示,这些节点中用Wireshark软件进行网络数据包捕获,检测节点的部署采用随机部署,也可采用更合适的部署方式。
进一步地,步骤S2中,所述基于捕获的网络数据包构建网络拓扑图包括:
步骤S21,对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
步骤S22,对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
步骤S23,对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,步骤S3中,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:
S31,对编号后的网络拓扑图生成连通分支;
S32,对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,步骤S4中,所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:
步骤S41,初始化:
对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量初始化为Currenti;具体地,Currenti各维度值为:
步骤S42,迭代:
对于非边集合En,抽样得到其子集Es;
根据Nexti=Currenti-γDirectioni计算节点i新的网络嵌入向量Nexti,其中γ表示迭代步长;
若|O(Nexti)-O(Currenti)|/O(Currenti)<δ或迭代次数达到t,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代;其中δ是一个正的阈值,通常较小,可根据实际情况调整;t为最大迭代次数。
进一步地,在步骤S42的迭代过程中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,步骤S5中,采用LOF算法对网络嵌入向量计算LOF异常值包括:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,步骤S6中,根据LOF异常值对网络威胁发出告警包括:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。具体地,将节点LOF异常值与阈值σ进行比较,若大于σ,则为网络有组织攻击节点,发出告警;否则为正常节点。
在上述实施例的基础上,如图3所示,本发明另一方面还公开一种网络有组织攻击入侵检测装置,包括:
网络数据包捕获模块21,用于通过Wireshark软件捕获网络数据包;
网络拓扑图构建模块22,用于基于捕获的网络数据包构建网络拓扑图;
网络拓扑图连通分支构建生成模块23,用于基于构建的网络拓扑图生成网络拓扑图的连通分支;
网络嵌入向量计算模块24,用于采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
LOF异常值计算模块25,用于采用LOF算法对网络嵌入向量计算LOF异常值;
异常告警模块26,用于根据LOF异常值对网络有组织攻击发出告警。
进一步地,所述网络拓扑图构建模块22包括:
过滤子模块,用于对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
IP地址提取子模块,用于对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
第一编号子模块,用于对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,所述网络拓扑图连通分支构建生成模块23包括:
连通分支生成子模块,用于对编号后的网络拓扑图生成连通分支;
第二编号子模块,用于对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,所述网络嵌入向量计算模块24包括:
迭代子模块,用于迭代:对于非边集合En,抽样得到其子集Es,计算方向向量Directioni,计算节点i新的网络嵌入向量Nexti;若满足迭代结束条件,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代。
进一步地,在迭代子模块中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,所述LOF异常值计算模块25具体用于:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,所述异常告警模块26具体用于:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。
综上,本发明通过Wireshark软件捕获网络数据包,构建网络拓扑图,然后生成网络拓扑图的各个连通分支,再用Embed算法对各个连通分支生成各个节点的网络嵌入向量,最后利用LOF算法对网络嵌入向量计算LOF异常值,并根据LOF异常值对网络威胁发出告警。本发明提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种网络有组织攻击入侵检测方法,其特征在于,包括:
通过Wireshark软件捕获网络数据包;
基于捕获的网络数据包构建网络拓扑图;
基于构建的网络拓扑图生成网络拓扑图的连通分支;
采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
采用LOF算法对网络嵌入向量计算LOF异常值;
根据LOF异常值对网络有组织攻击发出告警;
所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:
初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量初始化为Currenti;Currenti各维度值为:
迭代:对于非边集合En,抽样得到其子集Es;
根据Nexti=Currenti-γDirectioni计算节点i新的网络嵌入向量Nexti,其中γ表示迭代步长;
若|O(Nexti)-O(Currenti)|/O(Currenti)<δ或迭代次数达到t,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代;其中δ是一个正的阈值;t为最大迭代次数;
所述采用LOF算法对网络嵌入向量计算LOF异常值包括:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
2.根据权利要求1所述的一种网络有组织攻击入侵检测方法,其特征在于,所述基于捕获的网络数据包构建网络拓扑图包括:
对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
3.根据权利要求2所述的一种网络有组织攻击入侵检测方法,其特征在于,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:
对编号后的网络拓扑图生成连通分支;
对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
4.根据权利要求1所述的一种网络有组织攻击入侵检测方法,其特征在于,在迭代过程中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
5.一种网络有组织攻击入侵检测装置,其特征在于,包括:
网络数据包捕获模块,用于通过Wireshark软件捕获网络数据包;
网络拓扑图构建模块,用于基于捕获的网络数据包构建网络拓扑图;
网络拓扑图连通分支构建生成模块,用于基于构建的网络拓扑图生成网络拓扑图的连通分支;
网络嵌入向量计算模块,用于采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
LOF异常值计算模块,用于采用LOF算法对网络嵌入向量计算LOF异常值;
异常告警模块,用于根据LOF异常值对网络有组织攻击发出告警;
所述网络嵌入向量计算模块具体用于:
初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量初始化为Currenti;Currenti各维度值为:
迭代:对于非边集合En,抽样得到其子集Es;
根据Nexti=Currenti-γDirectioni计算节点i新的网络嵌入向量Nexti,其中γ表示迭代步长;
若|O(Nexti)-O(Currenti)|/O(Currenti)<δ或迭代次数达到t,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代;其中δ是一个正的阈值;t为最大迭代次数;
所述LOF异常值计算模块具体用于:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110736508.8A CN113572739B (zh) | 2021-06-30 | 2021-06-30 | 一种网络有组织攻击入侵检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110736508.8A CN113572739B (zh) | 2021-06-30 | 2021-06-30 | 一种网络有组织攻击入侵检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113572739A CN113572739A (zh) | 2021-10-29 |
CN113572739B true CN113572739B (zh) | 2023-02-24 |
Family
ID=78163184
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110736508.8A Active CN113572739B (zh) | 2021-06-30 | 2021-06-30 | 一种网络有组织攻击入侵检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113572739B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113824643B (zh) * | 2021-11-25 | 2022-02-22 | 中国科学院信息工程研究所 | 泛在网络拓扑图构建方法及网络安全防护方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107256237A (zh) * | 2017-05-23 | 2017-10-17 | 中国电子科技集团公司第二十八研究所 | 基于动态网格优化的lof聚类数据异常点检测方法和检测系统 |
CN111163057A (zh) * | 2019-12-09 | 2020-05-15 | 中国科学院信息工程研究所 | 一种基于异构信息网络嵌入算法的用户识别系统及方法 |
CN111581445A (zh) * | 2020-05-08 | 2020-08-25 | 杨洋 | 基于图基元的图嵌入学习方法 |
US10778705B1 (en) * | 2019-04-05 | 2020-09-15 | Hoseo University Academic Cooperation Foundation | Deep-learning-based intrusion detection method, system and computer program for web applications |
CN112308210A (zh) * | 2020-10-27 | 2021-02-02 | 中国人民解放军战略支援部队信息工程大学 | 基于神经网络的跨架构二进制函数相似性检测方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200366690A1 (en) * | 2019-05-16 | 2020-11-19 | Nec Laboratories America, Inc. | Adaptive neural networks for node classification in dynamic networks |
US11423146B2 (en) * | 2019-08-27 | 2022-08-23 | Nec Corporation | Provenance-based threat detection tools and stealthy malware detection |
CN111224973A (zh) * | 2019-12-31 | 2020-06-02 | 南京联成科技发展股份有限公司 | 一种基于工业云的网络攻击快速检测系统 |
CN112733136B (zh) * | 2021-01-12 | 2022-03-18 | 浙江工业大学 | 一种基于网络节点拓扑结构的对抗攻击检测方法和系统 |
-
2021
- 2021-06-30 CN CN202110736508.8A patent/CN113572739B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107256237A (zh) * | 2017-05-23 | 2017-10-17 | 中国电子科技集团公司第二十八研究所 | 基于动态网格优化的lof聚类数据异常点检测方法和检测系统 |
US10778705B1 (en) * | 2019-04-05 | 2020-09-15 | Hoseo University Academic Cooperation Foundation | Deep-learning-based intrusion detection method, system and computer program for web applications |
CN111163057A (zh) * | 2019-12-09 | 2020-05-15 | 中国科学院信息工程研究所 | 一种基于异构信息网络嵌入算法的用户识别系统及方法 |
CN111581445A (zh) * | 2020-05-08 | 2020-08-25 | 杨洋 | 基于图基元的图嵌入学习方法 |
CN112308210A (zh) * | 2020-10-27 | 2021-02-02 | 中国人民解放军战略支援部队信息工程大学 | 基于神经网络的跨架构二进制函数相似性检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于深度特征学习的网络流量异常检测方法;董书琴等;《电子与信息学报》;20200315(第03期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113572739A (zh) | 2021-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Radford et al. | Network traffic anomaly detection using recurrent neural networks | |
Zhang et al. | DDoS detection and prevention based on artificial intelligence techniques | |
Al-Jarrah et al. | Network Intrusion Detection System using attack behavior classification | |
Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
Qin et al. | DDoS attack detection using flow entropy and clustering technique | |
Catak et al. | Distributed denial of service attack detection using autoencoder and deep neural networks | |
Diab et al. | Anomaly detection using dynamic time warping | |
Sayegh et al. | SCADA intrusion detection system based on temporal behavior of frequent patterns | |
Alseiari et al. | Real-time anomaly-based distributed intrusion detection systems for advanced Metering Infrastructure utilizing stream data mining | |
Jongsuebsuk et al. | Real-time intrusion detection with fuzzy genetic algorithm | |
Le et al. | Traffic dispersion graph based anomaly detection | |
US9336239B1 (en) | System and method for deep packet inspection and intrusion detection | |
Menon et al. | Anomaly detection in smart grid traffic data for home area network | |
Chen et al. | Combining MIC feature selection and feature-based MSPCA for network traffic anomaly detection | |
Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
CN113572739B (zh) | 一种网络有组织攻击入侵检测方法及装置 | |
Dai et al. | Eclipse attack detection for blockchain network layer based on deep feature extraction | |
Al-Fawa'reh et al. | Detecting stealth-based attacks in large campus networks | |
Sharif et al. | Detection of application-layer DDoS attacks produced by various freely accessible toolkits using machine learning | |
Elhalabi et al. | A review of peer-to-peer botnet detection techniques | |
Song et al. | Correlation analysis between honeypot data and IDS alerts using one-class SVM | |
Bilakanti et al. | Anomaly detection in IoT environment using machine learning | |
Ye et al. | Notice of Retraction: Efficient feature extraction using apache spark for network behavior anomaly detection | |
Kamarudin et al. | Packet header intrusion detection with binary logistic regression approach in detecting R2L and U2R attacks | |
Khan et al. | A chaotic measure for cognitive machine classification of distributed denial of service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |