CN113676475A - 一种基于XGBoost的端口扫描恶意流量的检测方法 - Google Patents
一种基于XGBoost的端口扫描恶意流量的检测方法 Download PDFInfo
- Publication number
- CN113676475A CN113676475A CN202110956812.3A CN202110956812A CN113676475A CN 113676475 A CN113676475 A CN 113676475A CN 202110956812 A CN202110956812 A CN 202110956812A CN 113676475 A CN113676475 A CN 113676475A
- Authority
- CN
- China
- Prior art keywords
- flow
- data set
- xgboost
- traffic
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 98
- 238000012549 training Methods 0.000 claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 33
- 230000006870 function Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000005206 flow analysis Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于XGBoost的端口扫描恶意流量的检测方法,利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集B,确认根据该基础数据集对XGBoost模型进行训练,获得训练好的XGBoost模型,使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在端口扫描恶意流量,对于存在误检或者漏检的情况采用人工办法进行干预;将误检或者漏检的流量标签进行重置,并将该流量加入到基础数据集中形成更新的数据集B′,当B′中新增流量样本增加到一定的比例时,重启XGBoost训练,获得优化的XGBoost模型,从而达到不断提升恶意流量检测成功率的目的。
Description
技术领域
本发明涉及互联网技术领域,更具体地说,本发明涉及一种基于XGBoost 的端口扫描恶意流量的检测方法。
背景技术
随着互联网技术的发展,网络流量正在迅速增加,用户访问互联网所产生的流量部分来源于传统的网络服务,例如网页浏览、电子邮件,另一部分则来源于种类繁多的多媒体服务,例如视频、游戏、社交平台等等。互联网的总体流量正在迅速增加,伴随着商业或其他的目的,随之而来的是恶意流量也在迅猛增加,严重影响着互联网服务商为用户提供服务的质量。
一般而言,端口扫描是进攻一台机器的第一步。因此,IDS能够从端口扫描阶段就发现威胁就变得尤为重要。目前,对端口扫描的恶意流量检测主要分为两大类。一是基于规则的检测技术,主要方式是定义一系列规则,如果某个行为满足了这一系列规则所定义的条件,则判定为是端口扫描攻击。这种检测方法的局限性在于随着攻击的模式增加,所需要的规则数量也在不断增加,从而影响到检测性能,而且容易被攻击者绕开。
另一种是应用机器学习的方法检测攻击行为,通过对大量数据的分析提取特征、标注等手段建立攻击行为模型,从而达到检测端口扫描恶意流量的目的。目前,基于机器学习的恶意流量检测方法上,主要算法有朴素贝叶斯、决策树以及SVM等。但这些方法在实际的运用中,存在检测成功不太高的问题;本发明基于机器学习的方法的优势,发明了一种基于XGBoost的端口扫描恶意流量的检测方法,有效地提升了检测成功率的同时,还保持着检测速度快的优势。
发明内容
为了克服现有技术的上述缺陷,本发明的实施例提供一种基于XGBoost 的端口扫描恶意流量的检测方法,通过需要设计一套方法来避免这些问题,以达到升了检测成功率的同时,还保持着检测速度快的优势的目的,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于XGBoost的端口扫描恶意流量的检测方法,利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集B,确认根据该基础数据集对XGBoost模型进行训练,获得训练好的XGBoost模型,使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在端口扫描恶意流量,对于存在误检或者漏检的情况采用人工办法进行干预,将误检或者漏检的流量标签进行重置,并将该流量加入到基础数据集中形成更新的数据集B′,当数据集B′中的样本数量增加到一定的比例时,重启XGBoost训练,获得优化的XGBoost模型,从而达到不断提升恶意流量检测成功率的目的。
在一个优选地实施方式中,步骤一:基于标准流量数据集对XGBoost模型初始化:从互联网上下载CICIDS2017数据集构成本方法的基础流量数据集 B,所述该数据集包含良性流量和常见攻击,其中包括端口扫描恶意流量,与真实世界流量数据具有高度的一致性,该数据集还包括使用CICFlowMeter进行的网络流量分析的结果,使用包头信息中的五元组基于时间戳、源和目标 ip、源和目标端口、协议和攻击CSV文件的标记流量。
在一个优选地实施方式中,将所述基础流量数据集B按比例分成两部分B1和B2,其中B1为训练数据集,所述训练数据集B1的样本从B中随机挑选;B2为验证数据集,其样本为数据集B中除去B1的部分。
在一个优选地实施方式中,利用训练集B1的网络流量样本数据对XGBoost 模型进行训练,针对端口扫描恶意流量,先对网络流量的特征进行优化,使其对端口扫描恶意流量更精确,流量特征优选为:
在一个优选地实施方式中,基于训练集B1对XGBoost模型进行训练, XGBoost采用特征并行的方法进行计算选择要分裂的特征,即用多个线程,尝试把各个特征都作为分裂的特征,找到各个特征的最优分割点,计算根据它们分裂后产生的增益,选择增益最大的那个特征作为分裂的特征,其中 XGBoost在每次迭代之后,为叶子结点分配学习速率,降低每棵树的权重,减少每棵树的影响,为后面提供更好的学习空间,XGBoost目标函数定义为:其中,目标函数由两部分构成,第一部分用来衡量预测分数和真实分数的差距,另一部分则是正则化项,正则化项同样包含两部分,T表示叶子结点的个数,w表示叶子节点的分数,γ可以控制叶子结点的个数,λ可以控制叶子节点的分数不会过大,防止过拟合,二分类时将输出预测值限制为0到1之间的值,得到返回给定流为端口扫描恶意攻击的概率p∈[0,1],当p>0.5时,输出1,表示网络流被识别为扫描端口恶意攻击流,否则输出为0表示为正常流。
在一个优选地实施方式中,采用验证数据集B2的样本对训练好的 XGBoost模型进行验证,若验证结果满足预定义的正确率,则可将训练好的模型用于线上的检测,否则,调整XGBoost的相关参数,持续进行上述训练过程。
在一个优选地实施方式中,步骤二:采集网络线上流量,在预设的时间窗T内,根据数据包头信息中的五元组将收集的数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具CICFlowMeter对基础数据集网络流进行特征提取,并按照步骤一所述特征表进行优化,获得网络线上的优化流量特征集。
在一个优选地实施方式中,步骤三:利用XGBoost模型进行端口扫描恶意流量检测,将上述采集的流量特征集输入训练好的XGBoost模型中,进行端口扫描恶意流量检测,获得该流量是正常流量或恶意流量,对于检测为端口扫描的恶意流量,根据FlowID确认其相应的源IP地址,将该源IP地址加入到禁止访问资源的列表中,并终止该IP地址正在进行的网络流。
在一个优选地实施方式中,步骤四:XGBoost模型优化,在实际运行的网络中,总存在误检或漏检的端口扫描恶意流量,若来自正常数据访问的流量被检测为恶意流量,称之为恶意流量的误检,会影响用户的正常访问;若网络中的资源遭遇恶意流量攻击,被系统检测为正常流量,称之为漏检,漏检会引发系统资源遭受恶意流量的攻击,影响正常用户的访问。为了进一步提升系统的检测成功率,本发明中引入人工干预的方法,从系统异常流量日志中,对误检或者漏检的事件进行确认,并将确认的事件根据flow ID进行检索,将检索获得该流量作为样本更新至基础训练数据集中,形成优化后的训练数据集B′,若更新的训练数据集B′中更新的样本数量达到一定的比例,则重新启动XGBoost模型训练过程,按上述XGBoost模型训练方法,获得达到标准的优化后的模型,若人工干预后,发现是新的攻击类型,则在该数据集中更新攻击类型的标签。
本发明的有益效果:本发明提供了一种基于XGBoost的端口扫描恶意流量的检测方法,利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集B,确认根据该基础数据集对XGBoost模型进行训练,获得训练好的XGBoost模型,使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在恶意流量,对于存在误检或者漏检的情况采用人工办法进行干预,将误检或者漏检的流量标签进行重置,并将该流量加入到基础数据集中形成更新的数据集B′,当B′的数据集比例增加到一定的比例时,重启XGBoost训练,获得优化的XGBoost模型,从而达到不断提升恶意流量检测成功率的目的。
附图说明
图1为端口扫描恶意流量检测处理流程。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如附图1所示的一种基于XGBoost的端口扫描恶意流量的检测方法,利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集 B,确认根据该基础数据集对XGBoost模型进行训练,获得训练好的XGBoost 模型,使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在恶意流量,对于存在误检或者漏检的情况采用人工办法进行干预,将误检或者漏检的流量标签进行重置,并将该流量加入到基础数据集中形成更新的数据集B,当B的数据集比例增加到一定的比例时,重启XGBoost训练,获得优化的XGBoost模型,从而达到不断提升恶意流量检测成功率的目的。
优选的,步骤一:基于标准流量数据集对XGBoost模型初始化:从互联网上下载CICIDS2017数据集构成本方法的基础流量数据集B,所述该数据集包含良性流量和常见攻击,其中包括端口扫描恶意流量,与真实世界流量数据具有高度的一致性,该数据集还包括使用CICFlowMeter进行的网络流量分析的结果,使用包头信息中的五元组基于时间戳、源和目标ip、源和目标端口、协议和攻击CSV文件的标记流量。
优选的,将所述基础流量数据集B按比例分成两部分B1和B2,其中B1为训练数据集,所述训练数据集B1的样本从B中随机挑选;B2为验证数据集,其样本为数据集B中除去B1的部分。
优选的,利用训练集B1的网络流量样本数据对XGBoost模型进行训练,针对端口扫描恶意流量,先对网络流量的特征进行优化,使其对端口扫描恶意流量更精确,流量特征优选为:
优选的,基于训练集B1对XGBoost模型进行训练,XGBoost采用特征并行的方法进行计算选择要分裂的特征,即用多个线程,尝试把各个特征都作为分裂的特征,找到各个特征的最优分割点,计算根据它们分裂后产生的增益,选择增益最大的那个特征作为分裂的特征,其中XGBoost在每次迭代之后,为叶子结点分配学习速率,降低每棵树的权重,减少每棵树的影响,为后面提供更好的学习空间,XGBoost目标函数定义为:其中,目标函数由两部分构成,第一部分用来衡量预测分数和真实分数的差距,另一部分则是正则化项,正则化项同样包含两部分,T表示叶子结点的个数,w表示叶子节点的分数,γ可以控制叶子结点的个数,λ可以控制叶子节点的分数不会过大,防止过拟合,二分类时将输出预测值限制为0到1之间的值,得到返回给定流为端口扫描恶意攻击的概率p∈[0,1],当p>0.5时,输出1,表示网络流被识别为扫描端口恶意攻击流,否则输出为0表示为正常流。
优选的,采用验证数据集B2的样本对训练好的XGBoost模型进行验证,若验证结果满足预定义的正确率,则可将训练好的模型用于线上的检测,否则,调整XGBoost的相关参数,持续进行上述训练过程。
优选的,步骤二:采集网络线上流量,在预设的时间窗T内,根据数据包头信息中的五元组将收集的数据包划分为不同的网络流,所述五元组为源 IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具 CICFlowMeter对基础数据集网络流进行特征提取,并按照步骤一所述特征表进行优化,获得网络线上的优化流量特征集。
优选的,步骤三:利用XGBoost模型进行端口扫描恶意流量检测,将上述采集的流量特征集输入训练好的XGBoost模型中,进行端口扫描恶意流量检测,获得该流量是正常流量或恶意流量,对于检测为端口扫描的恶意流量,根据FlowID确认其相应的源IP地址,将该源IP地址加入到禁止访问资源的列表中,并终止该IP地址正在进行的网络流。
优选的,步骤四:XGBoost模型优化,在实际运行的网络中,总存在误检或漏检的端口扫描恶意流量,若来自正常数据访问的流量被检测为恶意流量,称之为恶意流量的误检,会影响用户的正常访问;若网络中的资源遭遇恶意流量攻击,被系统检测为正常流量,称之为漏检,漏检会引发系统资源遭受恶意流量的攻击,影响正常用户的访问。为了进一步提升系统的检测成功率,本发明中引入人工干预的方法,从系统异常流量日志中,对误检或者漏检的事件进行确认,并将确认的事件根据flow ID进行检索,将检索获得该流量作为样本更新至基础训练数据集中,形成优化后的训练数据集B′,若更新的训练数据集B′中更新的样本数量达到一定的比例,则重新启动 XGBoost模型训练过程,按上述XGBoost模型训练方法,获得达到标准的优化后的模型,若人工干预后,发现是新的攻击类型,则在该数据集中更新攻击类型的标签。
本发明工作原理:本发明提供了一种基于XGBoost的端口扫描恶意流量的检测方法,利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集B,确认根据该基础数据集对XGBoost模型进行训练,获得训练好的XGBoost模型,使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在恶意流量,对于存在误检或者漏检的情况采用人工办法进行干预,将误检或者漏检的流量标签进行重置,并将该流量加入到基础数据集中形成更新的数据集B′,当B′的数据集比例增加到一定的比例时,重启XGBoost训练,获得优化的XGBoost模型,从而达到不断提升恶意流量检测成功率的目的。
最后应说明的几点是:首先,在本申请的描述中,需要说明的是,除非另有规定和限定,术语“安装”、“相连”、“连接”应做广义理解,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变,则相对位置关系可能发生改变;
其次:本发明公开实施例附图中,只涉及到与本公开实施例涉及到的结构,其他结构可参考通常设计,在不冲突情况下,本发明同一实施例及不同实施例可以相互组合;
最后:以上仅为本发明的优选实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于XGBoost的端口扫描恶意流量的检测方法,其特征在于:利用已知的标准恶意流量数据集(CICIDS2017数据集)构成的基础流量数据集B,确认根据该基础数据集对XGBoost模型进行训练,获得训练好的XGBoost模型,使用训练好的XGBoost模型对软件定义网络的流量进行在线检测是否存在端口扫描恶意流量,对于存在误检或者漏检的情况采用人工办法进行干预,将误检或者漏检的流量标签进行重置,并将该流量加入到基础数据集中形成更新的数据集B′,当B′的新增数据样本增加到一定的比例时,重启XGBoost训练,获得优化的XGBoost模型,从而达到不断提升恶意流量检测成功率的目的。
2.根据权利要求1所述的一种基于XGBoost的端口扫描恶意流量的检测方法,其特征在于:步骤一:基于标准流量数据集对XGBoost模型初始化:从互联网上下载CICIDS2017数据集构成本方法的基础流量数据集B,所述该数据集包含良性流量和常见攻击,其中包括端口扫描恶意流量,与真实世界流量数据具有高度的一致性,该数据集还包括使用CICFlowMeter进行的网络流量分析的结果,使用包头信息中的五元组基于时间戳、源和目标ip、源和目标端口、协议和攻击CSV文件的标记流量。
3.根据权利要求2所述的一种基于XGBoost的端口扫描恶意流量的检测方法,其特征在于:将所述基础流量数据集B按比例分成两部分B1和B2,其中B1为训练数据集,所述训练数据集B1的样本从B中随机挑选;B2为验证数据集,其样本为数据集B中除去B1的部分。
5.根据权利要求4所述的一种基于XGBoost的端口扫描恶意流量的检测方法,其特征在于:基于训练集B1对XGBoost模型进行训练,XGBoost采用特征并行的方法进行计算选择要分裂的特征,即用多个线程,尝试把各个特征都作为分裂的特征,找到各个特征的最优分割点,计算根据它们分裂后产生的增益,选择增益最大的那个特征作为分裂的特征,其中XGBoost在每次迭代之后,为叶子结点分配学习速率,降低每棵树的权重,减少每棵树的影响,为后面提供更好的学习空间,XGBoost目标函数定义为:其中,目标函数由两部分构成,第一部分用来衡量预测分数和真实分数的差距,另一部分则是正则化项,正则化项同样包含两部分,T表示叶子结点的个数,w表示叶子节点的分数,γ可以控制叶子结点的个数,λ可以控制叶子节点的分数不会过大,防止过拟合,二分类时将输出预测值限制为0到1之间的值,得到返回给定流为端口扫描恶意攻击的概率p∈[0,1],当p>0.5时,输出1,表示网络流被识别为扫描端口恶意攻击流,否则输出为0表示为正常流。
6.根据权利要求5所述的一种基于XGBoost的端口扫描恶意流量的检测方法,其特征在于:采用验证数据集B2的样本对训练好的XGBoost模型进行验证,若验证结果满足预定义的正确率,则可将训练好的模型用于线上的检测,否则,调整XGBoost的相关参数,持续进行上述训练过程。
7.根据权利要求6所述的一种零信任网络的构建方法,其特征在于:步骤二:采集网络线上流量,在预设的时间窗T内,根据数据包头信息中的五元组将收集的数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具CICFlowMeter对基础数据集网络流进行特征提取,并按照步骤一所述特征表进行优化,获得网络线上的优化流量特征集。
8.根据权利要求7所述的一种零信任网络的构建方法,其特征在于:步骤三:利用XGBoost模型进行端口扫描恶意流量检测,将上述采集的流量特征集输入训练好的XGBoost模型中,进行端口扫描恶意流量检测,获得该流量是正常流量或恶意流量,对于检测为端口扫描的恶意流量,根据FlowID确认其相应的源IP地址,将该源IP地址加入到禁止访问资源的列表中,并终止该IP地址正在进行的网络流。
9.根据权利要求8所述的一种零信任网络的构建方法,其特征在于:步骤四:XGBoost模型优化,在实际运行的网络中,总存在误检或漏检的端口扫描恶意流量,若来自正常数据访问的流量被检测为恶意流量,称之为恶意流量的误检,会影响用户的正常访问;若网络中的资源遭遇恶意流量攻击,被系统检测为正常流量,称之为漏检,漏检会引发系统资源遭受恶意流量的攻击,影响正常用户的访问。为了进一步提升系统的检测成功率,本发明中引入人工干预的方法,从系统异常流量日志中,对误检或者漏检的事件进行确认,并将确认的事件根据flow ID进行检索,将检索获得该流量作为样本更新至基础训练数据集中,形成优化后的训练数据集B″,若更新的训练数据集B′中更新的样本数量达到一定的比例,则重新启动XGBoost模型训练过程,按上述XGBoost模型训练方法,获得达到标准的优化后的模型,若人工干预后,发现是新的攻击类型,则在该数据集中更新攻击类型的标签。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110956812.3A CN113676475A (zh) | 2021-08-19 | 2021-08-19 | 一种基于XGBoost的端口扫描恶意流量的检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110956812.3A CN113676475A (zh) | 2021-08-19 | 2021-08-19 | 一种基于XGBoost的端口扫描恶意流量的检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113676475A true CN113676475A (zh) | 2021-11-19 |
Family
ID=78544416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110956812.3A Pending CN113676475A (zh) | 2021-08-19 | 2021-08-19 | 一种基于XGBoost的端口扫描恶意流量的检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113676475A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338199A (zh) * | 2021-12-30 | 2022-04-12 | 广东工业大学 | 一种基于注意力机制的恶意流量检测方法和系统 |
CN115102728A (zh) * | 2022-06-09 | 2022-09-23 | 江苏保旺达软件技术有限公司 | 一种用于信息安全的扫描器识别方法、装置、设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111475804A (zh) * | 2020-03-05 | 2020-07-31 | 浙江省北大信息技术高等研究院 | 一种告警预测方法及系统 |
CN112491820A (zh) * | 2020-11-12 | 2021-03-12 | 新华三技术有限公司 | 异常检测方法、装置及设备 |
CN113206860A (zh) * | 2021-05-17 | 2021-08-03 | 北京交通大学 | 一种基于机器学习和特征选择的DRDoS攻击检测方法 |
-
2021
- 2021-08-19 CN CN202110956812.3A patent/CN113676475A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111475804A (zh) * | 2020-03-05 | 2020-07-31 | 浙江省北大信息技术高等研究院 | 一种告警预测方法及系统 |
CN112491820A (zh) * | 2020-11-12 | 2021-03-12 | 新华三技术有限公司 | 异常检测方法、装置及设备 |
CN113206860A (zh) * | 2021-05-17 | 2021-08-03 | 北京交通大学 | 一种基于机器学习和特征选择的DRDoS攻击检测方法 |
Non-Patent Citations (1)
Title |
---|
张阳等: "基于Xgboost算法的网络入侵检测研究", 《信息网络安全》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338199A (zh) * | 2021-12-30 | 2022-04-12 | 广东工业大学 | 一种基于注意力机制的恶意流量检测方法和系统 |
CN114338199B (zh) * | 2021-12-30 | 2024-01-09 | 广东工业大学 | 一种基于注意力机制的恶意流量检测方法和系统 |
CN115102728A (zh) * | 2022-06-09 | 2022-09-23 | 江苏保旺达软件技术有限公司 | 一种用于信息安全的扫描器识别方法、装置、设备及介质 |
CN115102728B (zh) * | 2022-06-09 | 2024-02-20 | 江苏保旺达软件技术有限公司 | 一种用于信息安全的扫描器识别方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
CN109510815B (zh) | 一种基于有监督学习的多级钓鱼网站检测方法及检测系统 | |
CN113783896B (zh) | 一种网络攻击路径追踪方法和装置 | |
US8954519B2 (en) | Systems and methods for spam detection using character histograms | |
US9130778B2 (en) | Systems and methods for spam detection using frequency spectra of character strings | |
CN113676475A (zh) | 一种基于XGBoost的端口扫描恶意流量的检测方法 | |
CN112738015A (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN110177123B (zh) | 基于dns映射关联图的僵尸网络检测方法 | |
CN113821793B (zh) | 基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
CN112003869B (zh) | 一种基于流量的漏洞识别方法 | |
CN108092989B (zh) | 一种基于智能蜂群算法的DDoS攻击检测方法 | |
CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
CN102364897A (zh) | 一种网关级在线网络报文检测过滤方法及装置 | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN111935149A (zh) | 一种漏洞检测方法及系统 | |
CN110493253B (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
Qin et al. | MUCM: multilevel user cluster mining based on behavior profiles for network monitoring | |
CN116938587A (zh) | 基于溯源图行为语义提取的威胁检测方法及系统 | |
CN112235254A (zh) | 一种高速主干网中Tor网桥的快速识别方法 | |
CN110650157A (zh) | 基于集成学习的Fast-flux域名检测方法 | |
CN113382092B (zh) | 基于图社区发现的活跃地址探测方法及装置 | |
CN115314271A (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211119 |
|
RJ01 | Rejection of invention patent application after publication |