CN113572739B - 一种网络有组织攻击入侵检测方法及装置 - Google Patents

一种网络有组织攻击入侵检测方法及装置 Download PDF

Info

Publication number
CN113572739B
CN113572739B CN202110736508.8A CN202110736508A CN113572739B CN 113572739 B CN113572739 B CN 113572739B CN 202110736508 A CN202110736508 A CN 202110736508A CN 113572739 B CN113572739 B CN 113572739B
Authority
CN
China
Prior art keywords
network
current
lof
dimensions
iteration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110736508.8A
Other languages
English (en)
Other versions
CN113572739A (zh
Inventor
郭云飞
陈鹏
张建朋
扈红超
王亚文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202110736508.8A priority Critical patent/CN113572739B/zh
Publication of CN113572739A publication Critical patent/CN113572739A/zh
Application granted granted Critical
Publication of CN113572739B publication Critical patent/CN113572739B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于网络安全技术领域,公开一种网络有组织攻击入侵检测方法及装置,该方法通过Wireshark软件捕获网络数据包,构建网络拓扑图,然后生成网络拓扑图的各个连通分支,再用Embed算法对各个连通分支生成各个节点的网络嵌入向量,最后利用LOF算法对网络嵌入向量计算LOF异常值,并根据LOF异常值对网络威胁发出告警。本发明提高了有组织攻击检测的召回率,有效地应对了有组织攻击导致的单点故障,提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。

Description

一种网络有组织攻击入侵检测方法及装置
技术领域
本发明属于网络安全技术领域,尤其涉及一种网络有组织攻击入侵检测方法及装置。
背景技术
自20世纪末期Internet兴起以来,网络空间越来越成为人们日常工作和生活中不可或缺的空间。然而,由于普通民众对网络安全认知的缺乏以及网络空间基础设施自身设计上的缺陷,网络空间犯罪层出不穷,网络攻击难以根除。这些攻击对个人、企业、政府部门的利益造成了严重的损失。网络空间中的安全问题也因此受到了广泛的关注。对于网络攻击——更广泛地说,网络威胁的防御,企业和政府部门比较普遍的做法是部署威胁检测系统。
现有的网络威胁检测方法主要有三类。第一类是基于知识的检测,也称为基于签名的检测,主要根据某些特定规则检测威胁。这类方法可以高准确率地检测已知攻击,但对未知攻击检测性能较差,第二类是基于异常的检测,主要通过与预定义的正常行为进行比较来检测威胁。这类方法可以很好地处理未知攻击,但是其误报率较高。第三类是基于机器学习的检测,通过提取流量的隐含特征检测威胁。这类方法已经取得了不错的进展,如Nathan Shone等人在A Deep Learning Approach to Network Intrusion Detection(IEEE TRANSACTIONS ON EMERGING TOPICS IN COMPUTATIONAL INTELLIGENCE,2018)中提出的基于栈式非对称深度自编码器构建的深度学习分类模型,在KDDCup’99数据集和NSL-KDD数据集上进行5分类时,分别达到了97.85%和85.42%的总体准确率。但是对于有组织的攻击,如DDoS攻击,现有的方法无法提供全面的鲁棒的检测。
发明内容
本发明针对现有的网络威胁检测方法对于有组织的攻击无法提供全面的鲁棒的检测的问题,提出一种网络有组织攻击入侵检测方法及装置,提高了有组织攻击检测的召回率,有效地应对了有组织攻击导致的单点故障,提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
为了实现上述目的,本发明采用以下技术方案:
本发明一方面提出一种网络有组织攻击入侵检测方法,包括:
通过Wireshark软件捕获网络数据包;
基于捕获的网络数据包构建网络拓扑图;
基于构建的网络拓扑图生成网络拓扑图的连通分支;
采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
采用LOF算法对网络嵌入向量计算LOF异常值;
根据LOF异常值对网络有组织攻击发出告警。
进一步地,所述基于捕获的网络数据包构建网络拓扑图包括:
对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:
对编号后的网络拓扑图生成连通分支;
对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:
初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量
Figure BDA0003140240060000021
初始化为Currenti
迭代:对于非边集合En,抽样得到其子集Es,计算方向向量Directioni,计算节点i新的网络嵌入向量Nexti;若满足迭代结束条件,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代。
进一步地,在迭代过程中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,所述采用LOF算法对网络嵌入向量计算LOF异常值包括:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,所述根据LOF异常值对网络威胁发出告警包括:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。
本发明另一方面还公开一种网络有组织攻击入侵检测装置,包括:
网络数据包捕获模块,用于通过Wireshark软件捕获网络数据包;
网络拓扑图构建模块,用于基于捕获的网络数据包构建网络拓扑图;
网络拓扑图连通分支构建生成模块,用于基于构建的网络拓扑图生成网络拓扑图的连通分支;
网络嵌入向量计算模块,用于采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
LOF异常值计算模块,用于采用LOF算法对网络嵌入向量计算LOF异常值;
异常告警模块,用于根据LOF异常值对网络有组织攻击发出告警。
进一步地,所述网络拓扑图构建模块包括:
过滤子模块,用于对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
IP地址提取子模块,用于对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
第一编号子模块,用于对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,所述网络拓扑图连通分支构建生成模块包括:
连通分支生成子模块,用于对编号后的网络拓扑图生成连通分支;
第二编号子模块,用于对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,所述网络嵌入向量计算模块包括:
初始化子模块,用于初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量
Figure BDA0003140240060000041
初始化为Currenti
迭代子模块,用于迭代:对于非边集合En,抽样得到其子集Es,计算方向向量Directioni,计算节点i新的网络嵌入向量Nexti;若满足迭代结束条件,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代。
进一步地,在迭代子模块中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,所述LOF异常值计算模块具体用于:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,所述异常告警模块具体用于:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。
与现有技术相比,本发明具有的有益效果:
本发明通过Wireshark软件捕获网络数据包,构建网络拓扑图,然后生成网络拓扑图的各个连通分支,再用Embed算法对各个连通分支生成各个节点的网络嵌入向量,最后利用LOF算法对网络嵌入向量计算LOF异常值,并根据LOF异常值对网络威胁发出告警。本发明提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
附图说明
图1为本发明实施例一种网络有组织攻击入侵检测方法的基本流程图;
图2为本发明实施例一种网络有组织攻击入侵检测方法的网络部署图;
图3为本发明实施例一种网络有组织攻击入侵检测装置的结构示意图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
如图1所示,本发明一方面提出一种网络有组织攻击入侵检测方法,包含以下步骤:
步骤S1:通过Wireshark软件捕获网络数据包;
步骤S2:基于捕获的网络数据包构建网络拓扑图;
步骤S3:基于构建的网络拓扑图生成网络拓扑图的连通分支;
步骤S4:采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
步骤S5:采用LOF算法对网络嵌入向量计算LOF异常值;
步骤S6:根据LOF异常值对网络有组织攻击发出告警。
具体地,步骤S1中,
在网络中部署检测节点,如图2中的检测节点1、检测节点2、检测节点3所示,这些节点中用Wireshark软件进行网络数据包捕获,检测节点的部署采用随机部署,也可采用更合适的部署方式。
进一步地,步骤S2中,所述基于捕获的网络数据包构建网络拓扑图包括:
步骤S21,对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
步骤S22,对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
步骤S23,对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,步骤S3中,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:
S31,对编号后的网络拓扑图生成连通分支;
S32,对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,步骤S4中,所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:
步骤S41,初始化:
对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量
Figure BDA0003140240060000061
初始化为Currenti;具体地,Currenti各维度值为:
Figure BDA0003140240060000062
步骤S42,迭代:
对于非边集合En,抽样得到其子集Es
目标函数为
Figure BDA0003140240060000063
计算方向向量
Figure BDA0003140240060000064
其中
Figure BDA0003140240060000065
表示求梯度;
根据Nexti=Currenti-γDirectioni计算节点i新的网络嵌入向量Nexti,其中γ表示迭代步长;
若|O(Nexti)-O(Currenti)|/O(Currenti)<δ或迭代次数达到t,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代;其中δ是一个正的阈值,通常较小,可根据实际情况调整;t为最大迭代次数。
进一步地,在步骤S42的迭代过程中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,步骤S5中,采用LOF算法对网络嵌入向量计算LOF异常值包括:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,步骤S6中,根据LOF异常值对网络威胁发出告警包括:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。具体地,将节点LOF异常值与阈值σ进行比较,若大于σ,则为网络有组织攻击节点,发出告警;否则为正常节点。
在上述实施例的基础上,如图3所示,本发明另一方面还公开一种网络有组织攻击入侵检测装置,包括:
网络数据包捕获模块21,用于通过Wireshark软件捕获网络数据包;
网络拓扑图构建模块22,用于基于捕获的网络数据包构建网络拓扑图;
网络拓扑图连通分支构建生成模块23,用于基于构建的网络拓扑图生成网络拓扑图的连通分支;
网络嵌入向量计算模块24,用于采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
LOF异常值计算模块25,用于采用LOF算法对网络嵌入向量计算LOF异常值;
异常告警模块26,用于根据LOF异常值对网络有组织攻击发出告警。
进一步地,所述网络拓扑图构建模块22包括:
过滤子模块,用于对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
IP地址提取子模块,用于对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
第一编号子模块,用于对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
进一步地,所述网络拓扑图连通分支构建生成模块23包括:
连通分支生成子模块,用于对编号后的网络拓扑图生成连通分支;
第二编号子模块,用于对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
进一步地,所述网络嵌入向量计算模块24包括:
初始化子模块,用于初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量
Figure BDA0003140240060000081
初始化为Currenti
迭代子模块,用于迭代:对于非边集合En,抽样得到其子集Es,计算方向向量Directioni,计算节点i新的网络嵌入向量Nexti;若满足迭代结束条件,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代。
进一步地,在迭代子模块中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
进一步地,所述LOF异常值计算模块25具体用于:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
进一步地,所述异常告警模块26具体用于:
将LOF异常值高于阈值σ的节点视为异常节点,并发出告警。
综上,本发明通过Wireshark软件捕获网络数据包,构建网络拓扑图,然后生成网络拓扑图的各个连通分支,再用Embed算法对各个连通分支生成各个节点的网络嵌入向量,最后利用LOF算法对网络嵌入向量计算LOF异常值,并根据LOF异常值对网络威胁发出告警。本发明提高了对不同种类的有组织攻击的检出率,从而可以实现对有组织攻击检测的鲁棒性和全面性。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (5)

1.一种网络有组织攻击入侵检测方法,其特征在于,包括:
通过Wireshark软件捕获网络数据包;
基于捕获的网络数据包构建网络拓扑图;
基于构建的网络拓扑图生成网络拓扑图的连通分支;
采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
采用LOF算法对网络嵌入向量计算LOF异常值;
根据LOF异常值对网络有组织攻击发出告警;
所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:
初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量
Figure FDA0003958412730000011
初始化为Currenti;Currenti各维度值为:
Figure FDA0003958412730000012
迭代:对于非边集合En,抽样得到其子集Es
目标函数为
Figure FDA0003958412730000013
计算方向向量
Figure FDA0003958412730000014
其中
Figure FDA0003958412730000015
表示求梯度;
根据Nexti=Currenti-γDirectioni计算节点i新的网络嵌入向量Nexti,其中γ表示迭代步长;
若|O(Nexti)-O(Currenti)|/O(Currenti)<δ或迭代次数达到t,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代;其中δ是一个正的阈值;t为最大迭代次数;
所述采用LOF算法对网络嵌入向量计算LOF异常值包括:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
2.根据权利要求1所述的一种网络有组织攻击入侵检测方法,其特征在于,所述基于捕获的网络数据包构建网络拓扑图包括:
对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;
对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;
对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。
3.根据权利要求2所述的一种网络有组织攻击入侵检测方法,其特征在于,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:
对编号后的网络拓扑图生成连通分支;
对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。
4.根据权利要求1所述的一种网络有组织攻击入侵检测方法,其特征在于,在迭代过程中,使用K+βreduction技术以减小算法复杂度,包括:
Currenti保留最大的K+β个值,其余维度置零,Directioni除了保留相同的K+β个维度外,还有剩余d-(K+β)个维度中最小的K+β个维度,以得到Nexti最大的维度;
计算Directioni时,取Currenti以及E和Es中与节点i相连的节点j的网络嵌入向量Currentj中K个最大的维度;
Currenti其余维度补0,与Directioni运算完后Nexti取最大的K+β维,其余维度补0;
根据Armijo准则确定迭代步长,其中Currenti和Nexti取各自K个最大维度,Directioni取2(K+β)个维度。
5.一种网络有组织攻击入侵检测装置,其特征在于,包括:
网络数据包捕获模块,用于通过Wireshark软件捕获网络数据包;
网络拓扑图构建模块,用于基于捕获的网络数据包构建网络拓扑图;
网络拓扑图连通分支构建生成模块,用于基于构建的网络拓扑图生成网络拓扑图的连通分支;
网络嵌入向量计算模块,用于采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;
LOF异常值计算模块,用于采用LOF算法对网络嵌入向量计算LOF异常值;
异常告警模块,用于根据LOF异常值对网络有组织攻击发出告警;
所述网络嵌入向量计算模块具体用于:
初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量
Figure FDA0003958412730000031
初始化为Currenti;Currenti各维度值为:
Figure FDA0003958412730000032
迭代:对于非边集合En,抽样得到其子集Es
目标函数为
Figure FDA0003958412730000033
计算方向向量
Figure FDA0003958412730000034
其中
Figure FDA0003958412730000035
表示求梯度;
根据Nexti=Currenti-γDirectioni计算节点i新的网络嵌入向量Nexti,其中γ表示迭代步长;
若|O(Nexti)-O(Currenti)|/O(Currenti)<δ或迭代次数达到t,则结束迭代,输出Currenti;否则Currenti=Nexti,继续迭代;其中δ是一个正的阈值;t为最大迭代次数;
所述LOF异常值计算模块具体用于:
对于每个连通分支G(V,E),分别用LOF算法对V中的节点的网络嵌入向量计算LOF异常值。
CN202110736508.8A 2021-06-30 2021-06-30 一种网络有组织攻击入侵检测方法及装置 Active CN113572739B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110736508.8A CN113572739B (zh) 2021-06-30 2021-06-30 一种网络有组织攻击入侵检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110736508.8A CN113572739B (zh) 2021-06-30 2021-06-30 一种网络有组织攻击入侵检测方法及装置

Publications (2)

Publication Number Publication Date
CN113572739A CN113572739A (zh) 2021-10-29
CN113572739B true CN113572739B (zh) 2023-02-24

Family

ID=78163184

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110736508.8A Active CN113572739B (zh) 2021-06-30 2021-06-30 一种网络有组织攻击入侵检测方法及装置

Country Status (1)

Country Link
CN (1) CN113572739B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113824643B (zh) * 2021-11-25 2022-02-22 中国科学院信息工程研究所 泛在网络拓扑图构建方法及网络安全防护方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107256237A (zh) * 2017-05-23 2017-10-17 中国电子科技集团公司第二十八研究所 基于动态网格优化的lof聚类数据异常点检测方法和检测系统
CN111163057A (zh) * 2019-12-09 2020-05-15 中国科学院信息工程研究所 一种基于异构信息网络嵌入算法的用户识别系统及方法
CN111581445A (zh) * 2020-05-08 2020-08-25 杨洋 基于图基元的图嵌入学习方法
US10778705B1 (en) * 2019-04-05 2020-09-15 Hoseo University Academic Cooperation Foundation Deep-learning-based intrusion detection method, system and computer program for web applications
CN112308210A (zh) * 2020-10-27 2021-02-02 中国人民解放军战略支援部队信息工程大学 基于神经网络的跨架构二进制函数相似性检测方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200366690A1 (en) * 2019-05-16 2020-11-19 Nec Laboratories America, Inc. Adaptive neural networks for node classification in dynamic networks
US11423146B2 (en) * 2019-08-27 2022-08-23 Nec Corporation Provenance-based threat detection tools and stealthy malware detection
CN111224973A (zh) * 2019-12-31 2020-06-02 南京联成科技发展股份有限公司 一种基于工业云的网络攻击快速检测系统
CN112733136B (zh) * 2021-01-12 2022-03-18 浙江工业大学 一种基于网络节点拓扑结构的对抗攻击检测方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107256237A (zh) * 2017-05-23 2017-10-17 中国电子科技集团公司第二十八研究所 基于动态网格优化的lof聚类数据异常点检测方法和检测系统
US10778705B1 (en) * 2019-04-05 2020-09-15 Hoseo University Academic Cooperation Foundation Deep-learning-based intrusion detection method, system and computer program for web applications
CN111163057A (zh) * 2019-12-09 2020-05-15 中国科学院信息工程研究所 一种基于异构信息网络嵌入算法的用户识别系统及方法
CN111581445A (zh) * 2020-05-08 2020-08-25 杨洋 基于图基元的图嵌入学习方法
CN112308210A (zh) * 2020-10-27 2021-02-02 中国人民解放军战略支援部队信息工程大学 基于神经网络的跨架构二进制函数相似性检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于深度特征学习的网络流量异常检测方法;董书琴等;《电子与信息学报》;20200315(第03期);全文 *

Also Published As

Publication number Publication date
CN113572739A (zh) 2021-10-29

Similar Documents

Publication Publication Date Title
Radford et al. Network traffic anomaly detection using recurrent neural networks
Zhang et al. DDoS detection and prevention based on artificial intelligence techniques
Al-Jarrah et al. Network Intrusion Detection System using attack behavior classification
Gogoi et al. MLH-IDS: a multi-level hybrid intrusion detection method
Qin et al. DDoS attack detection using flow entropy and clustering technique
Catak et al. Distributed denial of service attack detection using autoencoder and deep neural networks
Diab et al. Anomaly detection using dynamic time warping
Sayegh et al. SCADA intrusion detection system based on temporal behavior of frequent patterns
Alseiari et al. Real-time anomaly-based distributed intrusion detection systems for advanced Metering Infrastructure utilizing stream data mining
Jongsuebsuk et al. Real-time intrusion detection with fuzzy genetic algorithm
Le et al. Traffic dispersion graph based anomaly detection
US9336239B1 (en) System and method for deep packet inspection and intrusion detection
Menon et al. Anomaly detection in smart grid traffic data for home area network
Chen et al. Combining MIC feature selection and feature-based MSPCA for network traffic anomaly detection
Juvonen et al. An efficient network log anomaly detection system using random projection dimensionality reduction
CN113572739B (zh) 一种网络有组织攻击入侵检测方法及装置
Dai et al. Eclipse attack detection for blockchain network layer based on deep feature extraction
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
Sharif et al. Detection of application-layer DDoS attacks produced by various freely accessible toolkits using machine learning
Elhalabi et al. A review of peer-to-peer botnet detection techniques
Song et al. Correlation analysis between honeypot data and IDS alerts using one-class SVM
Bilakanti et al. Anomaly detection in IoT environment using machine learning
Ye et al. Notice of Retraction: Efficient feature extraction using apache spark for network behavior anomaly detection
Kamarudin et al. Packet header intrusion detection with binary logistic regression approach in detecting R2L and U2R attacks
Khan et al. A chaotic measure for cognitive machine classification of distributed denial of service attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant