CN114189353A - 一种基于铁路调度集系统的网络安全风险预测方法 - Google Patents

一种基于铁路调度集系统的网络安全风险预测方法 Download PDF

Info

Publication number
CN114189353A
CN114189353A CN202111310838.7A CN202111310838A CN114189353A CN 114189353 A CN114189353 A CN 114189353A CN 202111310838 A CN202111310838 A CN 202111310838A CN 114189353 A CN114189353 A CN 114189353A
Authority
CN
China
Prior art keywords
data
addresses
sip
protocol
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111310838.7A
Other languages
English (en)
Inventor
姬文江
郝帅
张亚玲
王一川
朱磊
邱原
黑新宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian University of Technology
Original Assignee
Xian University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian University of Technology filed Critical Xian University of Technology
Priority to CN202111310838.7A priority Critical patent/CN114189353A/zh
Publication of CN114189353A publication Critical patent/CN114189353A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于铁路调度集系统的网络安全风险预测方法,首先,获取原始网络流量数据,处理后,每条数据包括的关键字有:time,s_IP,d_IP,s_port,d_port,duration,protocol,size,label;将s_IP转换为向量,经过降维处理,得到向量化集合vector_SIP;对原始网络流量进行分类,获得异常IP向量集合abn_SIP;通过判断vector_SIP中与abn_SIP中IP地址的距离,即可判断是否存在感染风险。本发明方法能有效的对铁路调度集中系统进行防护,通过与异常IP地址的距离判定,使存在潜在风险的IP地址被标志,提高铁路运行环境的安全。

Description

一种基于铁路调度集系统的网络安全风险预测方法
技术领域
本发明属于轨道交通通信技术领域,具体涉及一种基于铁路调度集系统的网络安全风险预测方法。
背景技术
在铁路运行系统中,调度集中系统(Centralized Traffic Control System,CTC)是行车指挥的核心设备,它主要是用于控制中心对某一段内的车站信号设备进行集中监督、控制,对列车运行进行直接管理、统一指挥。
从逻辑架构来看,调度中心系统三层结构,第一层是铁路总公司调度中心系统,全国只有一个,负责统筹全国的铁路局。第二层为铁路局调度中心系统,全国有18个,负责指挥整个调度区间段内列车的运行。第三次为车站子系统,每个路局下属的车站数量各有不同,每个车站子系统根据计划完成进路安排以及调车控制。从物理结构来看,铁路局调度中心系统主要的设备有数据库服务器、通信服务器,接口服务器以及应用服务器等。数据库服务器主要保存调度中心的数据,通信服务器主要负责和车站之间交互,接口服务器是和铁路系统中其他设备进行交互信息,应用服务器主要负责系统的数据发送和处理等。
列车在高速运行过程中,铁路通信系统中的控制信号保障列车能够安全地抵达目的地。因此,高速列车控制系统的安全问题不容马虎。CTC作为铁路通信系统中重要的一部分,其安全性决定了铁路网络信息通信的安全,决定了列车控制系统的安全。目前,在通信系统网络中常见的主要攻击手段是DDoS攻击,DDoS攻击的特点是简单且易发生,攻击者可以伪造大量IP地址对目标主机发送大量消息,通过消耗资源来阻断服务,使得目标服务器瘫痪。目前CTC还是以防火墙为主要的被动防御手段,智能主动防御能力不足。而随着人工智能的不断发展,以数据驱动使用机器学习来检测网络攻击,如DDoS攻击等,可以提高现有CTC防御水平。
发明内容
本发明的目的是提供一种基于铁路调度集系统的网络安全风险预测方法,能够检测出具有潜在安全风险的IP地址,从而提高铁路网络的主动安全防护能力。
本发明所采用的技术方案是,一种基于铁路调度集系统的网络安全风险预测方法,具体按照以下步骤实施:
步骤1,获取模拟网络交互系统的流量数据,并对其进行处理和人工标注,得到100000条原始网络数据;原始网络数据的关键词为:time,s_IP,d_IP,s_port,d_port,duration,protocol,size,label;
步骤2,从原始网络数据中提取s_IP、d_IP、d_port以及protocol,形成的类文本数据,将s_IP和d_IP转换为对应的向量表示形式,形成新数据集;
步骤3,将新数据集经过T-sene降维处理,得到降维后的向量化的s_IP集合,命名为vector_SIP;
步骤4,对步骤1原始网络数据中的s_IP、d_IP、d_port、s_port、duration、size特征移除,保留label,并将time、protocol特征进行处理,形成非数值型数据集,利用训练数据集对Adaboost模型进行训练,用验证数据集进行验证,将分类得到的异常IP地址通过查询voca_taffic对应的向量形式,对应向量的集合命名为abn_SIP;
步骤5,将abn_SIP中的每个IP地址视为携带病毒的感染者,通过判断vector_SIP中每个IP地址与abn_SIP中IP地址的距离,并与距离阈值进行比较,即可判断是否存在感染风险。
本发明的特点还在于,
步骤1中,label为人工标注的流量类型,当label=0代表当前这条记录为正常数据,当label=1代表当前这条记录为DDoS攻击数据。
步骤1中,time是该条数据流量被侦测到的时间,其数据格式为xx年/x月/日,x小时/xx分钟/xx秒;protocol是指交互采取的协议类型,其取值有三种,分别未TCP、UDP、ICMP。
步骤4中,time的处理方式是利用“Unix时间戳”这一工具,即以1970年1月1日开始所经过的秒数来替换原有时间表示形式;protocol转换是依据其协议进行固定编号,其中“TCP”编号为1,“UDP”编号为2,“ICMP”编号为17。
步骤4中,选取非数值型数据集中70%作为训练数据集,30%作为验证数据集,验证数据集中去掉“label”这一特征。
步骤5中,距离阈值为0.9;当两个IP地址的距离大于距离阈值时,则将其视为存在感染风险,即为高危险IP地址,否则,未存在感染风险;将高危险IP地址聚为一类,命名为H_risk,同时将H_risk内所有的IP地址发送给车站安全控制中心人员,使其提高警惕并进行近一步的防范措施。
本发明的有益效果是,本发明的方法,能有效的对铁路通信系统中的调度集中系统进行防护,通过与异常IP地址的距离判定,使得存在潜在风险的IP地址被标志,从而弥补由仅基于分类算法的异常检测模型所存在的准确度不高或无法检测潜在风险等不足,进而提高铁路运行环境的安全。
附图说明
图1为本发明一种基于铁路调度集系统的网络安全风险预测方法的流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明一种基于铁路调度集系统的网络安全风险预测方法,如图1所示,具体按照以下步骤实施:
步骤1,通过模拟网络环境,生成正常网络数据和异常网络数据;
具体为:获取模拟网络交互系统的流量数据,并对其进行处理和人工标注,得到100000条原始网络数据;
每条原始网络数据的关键词为:时间(time,字符串型),源IP地址(s_IP,字符串型),目标IP地址(d_IP,字符串型),源端口号(s_port,整数型),目标端口号(d_port,整数型),连接时间(duration,整数型),协议类型(protocol,字符串型),发送字节(size,整数型),标签(label,整数型),一共9个字段;
标签为人工标注的流量类型,当label=0代表当前这条记录为正常数据,当label=1代表当前这条记录为DDoS攻击数据;
time是该条数据流量被侦测到的时间,其数据格式为xx年/x月/日,x小时/xx分钟/xx秒;如“2021/1/24 3:52:25”;
protocol是指交互采取的协议类型,其取值有三种,分别未TCP、UDP、ICMP;
例如,某条具体数据样本为:“2021/1/24 3:52;226.64.163.237;134.185.86.5;33283;53;346;ICMP;69290;0”。
步骤2,从原始的网络流量数据中提取特征,以逗号为分隔符,顺序组合形成类文本数据,再以该类文本数据为基础,对Skim-Gram模型进行训练,从而得到不同特征相对应的向量化表示形式,再将该向量集组成词典,命名为voca_taffic,并将全部源IP地址的向量,组合形成新的数据集;具体为:
步骤2.1,从步骤1原始网络数据中提取s_IP、d_IP、d_port以及protocol这四个关键字,将这四个关键字进行组合形成类文本数据;形成的类文本数据中,每条数据流量仅含有这四个关键字,其数据格式为“s_IP,d_IP,d_port,protocol”;
选择这四个关键字,是因为能够很好的描述主机IP地址的行为;例如“179.138.43.30,132.161.167.26,17005,ICMP”。
步骤2.2,将所有的类文本数据通过Word2vec模型,将s_IP和d_IP这样的字符串型数据转换为对应的向量表示形式,将每个源IP地址转换为1X50维的向量,形成新数据集;
Word2vec是由“谷歌团队”提成的生成对词的向量表达的工具,其主要目的是将单词以向量形式表示出来,并区别出同义词与非同义词、感情色彩等。Word2vec的实现方式主要有CBOW和Skip-gram两种方式。两者从输入输出方面的区别则是:Skip-gram模型则是依靠输入的词语预测上下文,而CBOW则相反,以上下文来预测词语。两者均属于神经网络语言模型的范畴,但是在Word2Vec中使用了霍夫曼树取代了隐含层以及输出层神经元。通过Word2Vec模型,能够将每个源IP地址转换为1X50维的向量,其转换关系为:
Figure BDA0003340870200000061
步骤3,将步骤2得到的新数据集映射为低纬度数据,得到降维后的向量化的源IP地址集合,命名为vector_SIP;
将步骤2的新数据集作为T-SNE算法的输入,T-SNE通过计算两个点之间的联合概率分布来表示两个点之间的相似性,经过T-sene降维处理,将1×50维的向量转为1×2维度的向量;
其算法流程如下:
(1)假设高纬度空间两点为xi,xj,以xi为中心构建方差为σi的高斯分布,使用pj|i表示xj是xi领域的概率,如果xj离xi很近,那么pj|i很大,反之,pj|i很小,pj|i的定义如下:
Figure BDA0003340870200000062
其中,pj|i的值为0;
(2)假设低纬度空间的点为yi,yj为高纬度空间两点xi,xj的映射,yj是yi领域的条件概率为qj|i,指定
Figure BDA0003340870200000071
则qj|i定义如下:
Figure BDA0003340870200000072
其中,qj|i的值为0;
(3)为了使低纬度分布去拟合高纬度分布,可以通过代价函数C来衡量二者分布的一致度。C的定义如下:
Figure BDA0003340870200000073
通过对C进行梯度下降就能够学习到合适的yj,梯度下降公式如下:
Figure BDA0003340870200000074
步骤4,将对步骤1原始网络数据中的s_IP、d_IP、d_port、s_port、duration、size这些特征移除,保留label这一特征,并将原始网络数据中time、protocol这两个非数值部分特征进行处理,形成非数值型数据集;选取非数值型数据集中70%作为训练数据集,30%作为验证数据集,验证数据集中去掉“label”这一特征;
time的处理方式是利用“Unix时间戳”这一工具,即以1970年1月1日(UTC/GMT的午夜)开始所经过的秒数来替换原有时间表示形式,例如“2021/1/24 3:52:25”转换为“1611431545”;
protocol转换是依据其协议进行固定编号,其中“TCP”编号为1,“UDP”编号为2,“ICMP”编号为17;
利用训练数据集对Adaboost模型进行训练,使Adaboost能够有效的对流量中正常和异常的流量进行分类;当训练数据集的准确率达到90%以上,则停止训练;之后利用验证数据集进行验证,将分类得到的异常IP地址通过查询voca_taffic对应的向量形式,将这些对应向量的集合命名为abn_SIP;
Adaboost模型算法流程如下:
输入:数据集T={(x1,y1),(x2,y2),...,(xN,yN)},初始化训练数据的权值分布
Figure BDA0003340870200000081
对于m=1,2,…,M,使用具有权值分布Dm的数据集进行训练,得到基本分类器Gm(x),计算Gm(x)在数据集上的分类误差率,
Figure BDA0003340870200000082
计算Gm(x)的系数
Figure BDA0003340870200000083
更新数据集的权值分布Dm+1=(wm+1,1,...,wm+1,i,...,wm+1,N),
Figure BDA0003340870200000084
其中,
Figure BDA0003340870200000085
构建基本分类器的线性组合,
Figure BDA0003340870200000086
得到最终分类,
Figure BDA0003340870200000087
例如该条原始网络数据:[2021/1/24 13:47;137.226.142.89;144.27.250.8;37382;53;331;TCP;17]被分类器最终判定为1。
步骤5,将abn_SIP中的每个IP地址视为携带病毒的感染者,通过判断vector_SIP中每个IP地址与abn_SIP中IP地址的距离,并与距离阈值0.9进行比较,当两个IP地址的距离大于距离阈值时,则将其视为存在感染风险,即为高危险IP地址,否则,未存在感染风险;将高危险IP地址聚为一类,命名为H_risk,同时将H_risk内所有的IP地址发送给车站安全控制中心人员,使其提高警惕并进行近一步的防范措施。
建立现代传染病的感染距离阈值,当超过这一阈值,则将其视为存在感染风险,即使在当下时刻未表现出感染病特征。在该预测方法中,将向量之间的余弦相似度来等同于两个向量之间的距离,其余弦相似度与距离成正比,两个向量距离越近,相似度越高。
将abn_SIP中每一条源IP地址与vector_SIP中的IP地址进行距离比对,当vector_SIP中的IP地址与abn_SIP中的某些IP地址距离超过某一阈值,则认为这些IP地址为高危险IP地址。
相似度计算是利用余弦相似度来计算。余弦相似度,又称为余弦相似性,是通过计算两个向量的夹角余弦值来评估他们的相似度。
距离阈值计算依据:攻击者在发起DDoS攻击的前提是需要控制大量的“僵尸机”对目标主机发起攻击。在铁路通信环境中,对与服务器接受的IP地址是有固定的限制,若某IP为非规定IP,则拒绝于接受此消息。因此,若想对铁路的调度中心发起攻击,则必须控制调度中心下属的车站服务器,通过控制车站服务器才有发起攻击的可能性。攻击者入侵某车站后会控制其相邻的车站以及该车站内其他通信服务器,那么存在风险的IP地址必定在属于同一局域网。例如,IP地址为“119.143.16.91”的服务器被攻击者入侵,则“119.143.16.xx”为地址的服务器都存在安全风险,则计算它们IP地址的相似度,取其平均值作为距离阈值判断。通过计算后取平均值,将距离阈值定为0.9。
例如源IP地址“119.143.16.91”为异常IP地址,通过与vector_SIP中所有IP地址相似度比对,最后得出:高风险IP地址集合H_risk有“126.1.105.253”、“148.89.95.65”、“159.23.160.86”、“223.221.241.147”、“226.64.163.237”、“75.90.107.41”。

Claims (6)

1.一种基于铁路调度集系统的网络安全风险预测方法,其特征在于,具体按照以下步骤实施:
步骤1,获取模拟网络交互系统的流量数据,并对其进行处理和人工标注,得到100000条原始网络数据;原始网络数据的关键词为:time,s_IP,d_IP,s_port,d_port,duration,protocol,size,label;
步骤2,从原始网络数据中提取s_IP、d_IP、d_port以及protocol,形成的类文本数据,将s_IP和d_IP转换为对应的向量表示形式,形成新数据集;
步骤3,将新数据集经过T-sene降维处理,得到降维后的向量化的s_IP集合,命名为vector_SIP;
步骤4,对步骤1原始网络数据中的s_IP、d_IP、d_port、s_port、duration、size特征移除,保留label,并将time、protocol特征进行处理,形成非数值型数据集,利用训练数据集对Adaboost模型进行训练,用验证数据集进行验证,将分类得到的异常IP地址通过查询voca_taffic对应的向量形式,对应向量的集合命名为abn_SIP;
步骤5,将abn_SIP中的每个IP地址视为携带病毒的感染者,通过判断vector_SIP中每个IP地址与abn_SIP中IP地址的距离,并与距离阈值进行比较,即可判断是否存在感染风险。
2.根据权利要求1所述的一种基于铁路调度集系统的网络安全风险预测方法,其特征在于,所述步骤1中,label为人工标注的流量类型,当label=0代表当前这条记录为正常数据,当label=1代表当前这条记录为DDoS攻击数据。
3.根据权利要求1所述的一种基于铁路调度集系统的网络安全风险预测方法,其特征在于,所述步骤1中,time是该条数据流量被侦测到的时间,其数据格式为xx年/x月/日,x小时/xx分钟/xx秒;protocol是指交互采取的协议类型,其取值有三种,分别未TCP、UDP、ICMP。
4.根据权利要求3所述的一种基于铁路调度集系统的网络安全风险预测方法,其特征在于,所述步骤4中,time的处理方式是利用“Unix时间戳”这一工具,即以1970年1月1日开始所经过的秒数来替换原有时间表示形式;protocol转换是依据其协议进行固定编号,其中“TCP”编号为1,“UDP”编号为2,“ICMP”编号为17。
5.根据权利要求1所述的一种基于铁路调度集系统的网络安全风险预测方法,其特征在于,所述步骤4中,选取非数值型数据集中70%作为训练数据集,30%作为验证数据集,验证数据集中去掉“label”这一特征。
6.根据权利要求1所述的一种基于铁路调度集系统的网络安全风险预测方法,其特征在于,所述步骤5中,距离阈值为0.9;当两个IP地址的距离大于距离阈值时,则将其视为存在感染风险,即为高危险IP地址,否则,未存在感染风险;将高危险IP地址聚为一类,命名为H_risk,同时将H_risk内所有的IP地址发送给车站安全控制中心人员,使其提高警惕并进行近一步的防范措施。
CN202111310838.7A 2021-11-05 2021-11-05 一种基于铁路调度集系统的网络安全风险预测方法 Pending CN114189353A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111310838.7A CN114189353A (zh) 2021-11-05 2021-11-05 一种基于铁路调度集系统的网络安全风险预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111310838.7A CN114189353A (zh) 2021-11-05 2021-11-05 一种基于铁路调度集系统的网络安全风险预测方法

Publications (1)

Publication Number Publication Date
CN114189353A true CN114189353A (zh) 2022-03-15

Family

ID=80601945

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111310838.7A Pending CN114189353A (zh) 2021-11-05 2021-11-05 一种基于铁路调度集系统的网络安全风险预测方法

Country Status (1)

Country Link
CN (1) CN114189353A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140082730A1 (en) * 2012-09-18 2014-03-20 Kddi Corporation System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
RU183015U1 (ru) * 2018-03-02 2018-09-07 Общество с ограниченной ответственностью "АСП Лабс" Средство обнаружения вторжений
CN110909811A (zh) * 2019-11-28 2020-03-24 国网湖南省电力有限公司 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及系统
CN112769752A (zh) * 2020-12-15 2021-05-07 浙江大学 一种基于机器学习集成模型的网络入侵检测方法
CN112839014A (zh) * 2019-11-22 2021-05-25 北京数安鑫云信息技术有限公司 建立识别异常访问者模型的方法、系统、设备及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140082730A1 (en) * 2012-09-18 2014-03-20 Kddi Corporation System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
RU183015U1 (ru) * 2018-03-02 2018-09-07 Общество с ограниченной ответственностью "АСП Лабс" Средство обнаружения вторжений
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及系统
CN112839014A (zh) * 2019-11-22 2021-05-25 北京数安鑫云信息技术有限公司 建立识别异常访问者模型的方法、系统、设备及介质
CN110909811A (zh) * 2019-11-28 2020-03-24 国网湖南省电力有限公司 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN112769752A (zh) * 2020-12-15 2021-05-07 浙江大学 一种基于机器学习集成模型的网络入侵检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张蕾;崔勇;刘静;江勇;吴建平;: "机器学习在网络空间安全研究中的应用", 计算机学报, no. 09 *

Similar Documents

Publication Publication Date Title
WO2021088372A1 (zh) SDN网络中基于神经网络的DDoS检测方法及系统
CN106790256B (zh) 用于危险主机监测的主动机器学习系统
US11334764B2 (en) Real-time detection method and apparatus for DGA domain name
CN112053221A (zh) 一种基于知识图谱的互联网金融团伙欺诈行为检测方法
Butakova et al. Complex event processing for network anomaly detection in digital railway communication services
CN106202886A (zh) 基于模糊粗糙集与决策树的轨道电路红光带故障定位方法
CN110138786A (zh) 基于SMOTETomek和LightGBM的Web异常检测方法及系统
CN105574489A (zh) 基于层次级联的暴力群体行为检测方法
CN112053222A (zh) 一种基于知识图谱的互联网金融团伙欺诈行为检测方法
CN107180190A (zh) 一种基于混合特征的Android恶意软件检测方法及系统
Allagi et al. Analysis of Network log data using Machine Learning
CN110008699A (zh) 一种基于神经网络的软件漏洞检测方法及装置
CN112019529A (zh) 新能源电力网络入侵检测系统
Hong et al. Abnormal access behavior detection of ideological and political MOOCs in colleges and universities
Chen et al. Network intrusion detection using class association rule mining based on genetic network programming
CN112887323B (zh) 一种面向工业互联网边界安全的网络协议关联与识别方法
CN104504332B (zh) 一种基于二次移动点策略的否定选择入侵检测方法
Akshaya Intrusion detection system using machine learning approach
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN114189353A (zh) 一种基于铁路调度集系统的网络安全风险预测方法
CN112187834A (zh) 一种基于安全存储的区块链网络节点服务系统
CN112380323A (zh) 一种基于中文分词识别技术的垃圾信息剔除系统及方法
Kumar et al. A Hybrid Intrusion Detection System Using Genetic-Neural Network
CN116318929B (zh) 一种基于安全告警数据的攻击策略抽取方法
CN114615056B (zh) 一种基于对抗鲁棒性学习的Tor恶意流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination