CN114465769A - 学习网络行为特征的网络设备、处理系统与方法 - Google Patents

学习网络行为特征的网络设备、处理系统与方法 Download PDF

Info

Publication number
CN114465769A
CN114465769A CN202111624580.8A CN202111624580A CN114465769A CN 114465769 A CN114465769 A CN 114465769A CN 202111624580 A CN202111624580 A CN 202111624580A CN 114465769 A CN114465769 A CN 114465769A
Authority
CN
China
Prior art keywords
behavior
feature
information
unit
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111624580.8A
Other languages
English (en)
Other versions
CN114465769B (zh
Inventor
赖育承
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shangcheng Technology Co ltd
Original Assignee
Shangcheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shangcheng Technology Co ltd filed Critical Shangcheng Technology Co ltd
Priority to CN202111624580.8A priority Critical patent/CN114465769B/zh
Publication of CN114465769A publication Critical patent/CN114465769A/zh
Application granted granted Critical
Publication of CN114465769B publication Critical patent/CN114465769B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明是一种学习网络行为特征的网络设备、处理系统与方法,其包括用户端、服务器端与网络设备。网络设备接收用户端传输至服务器端的多个网络封包,用于训练网络设备的待学习模型。网络设备执行以下步骤:将行为结果信息储存于特征储存单元内;由封包撷取单元撷取用户端提供的网络封包并储存于封包储存单元中;再由特征撷取单元自封包储存单元解析网络封包,并根据特征模板获取相应的行为特征信息且储存于特征储存单元;处理单元自特征储存单元获取行为特征信息及行为结果信息并载入待学习模型,该待学习模型输出学习收敛信息;该处理单元根据学习收敛信息决定调整特征撷取单元或将待学习模型输出特征识别模型。

Description

学习网络行为特征的网络设备、处理系统与方法
技术领域
本发明是一种具有学习能力的电子设备、处理系统与方法,尤指一种学习网络行为特征的网络设备、处理系统与方法。
背景技术
随着网际网络的快速发展,除了加快信息的传输外也改变许多产业的行为。为确保在网际网络上的安全,因此如何防止网络攻击是一件重大的议题。现有的防范网络攻击的方式,是在攻击发生的之后才开始进行封包的分析。由于网际网络的传输方式的多样化,使得过去的单一型态的网络攻击行为开始转变成复合式的攻击行为或是全新的攻击方式。然而,面对这样的网络攻击行为的挑战,现有的服务器或网络设备仅能凭借事后更新才能防范,无法在第一时间就发出遭受攻击的通知,所以会发生错失反应的时机。
发明内容
本发明的主要目的在于提供一种具有学习能力的电子设备、处理系统与方法的学习网络行为特征的网络设备、处理系统与方法。
为实现上述目的,本发明的具体技术方案如下:
一种学习网络行为特征的网络设备,其特征在于:
一封包撷取单元,撷取多个网络封包;
一封包储存单元,连接该封包撷取单元,且该封包储存单元储存该些网络封包;
一特征撷取单元,连接该封包储存单元且以至少一特征模板解析该些网络封包,并撷取该些网络封包的至少一行为特征信息;
一特征储存单元,连接于该特征撷取单元,该特征储存单元储存该些行为特征信息,并该特征储存单元内另储存有复数行为结果信息;
一处理单元,接收所述行为特征信息及行为结果信息;及
一待学习模型,根据该至少一行为特征信息及一行为结果信息输出一学习收敛信息,该处理单元根据该些学习收敛信息决定调整该特征撷取单元或将该待学习模型输出一特征识别模型。
进一步,该处理单元根据该些学习收敛信息决定调整该特征撷取单元,而该特征撷取单元则依其处理单元的调整要求而调整其特征模板,该特征撷取单元再由调整的特征模板去解析该些网络封包,以撷取该些网络封包新的行为特征信息。
一种学习网络行为特征的处理系统,其特征在于:
至少一用户端,传输多个网络封包;
至少一服务器端,接收该些网络封包;以及
一网络设备,具有一封包撷取单元、一特征撷取单元、一封包储存单元、一特征储存单元、一处理单元与一待学习模型,该封包撷取单元撷取流经该用户端与该服务器端的该些网络封包,而该封包储存单元储存该些网络封包,另该特征撷取单元以至少一特征模板解析该些网络封包,并撷取该些网络封包的至少一行为特征信息,该特征储存单元储存该些行为特征信息与复数行为结果信息,而该处理单元接收所述行为特征信息及行为结果信息并输入至该待学习模型,使该待学习模型根据该至少一行为特征信息及一行为结果信息输出一学习收敛信息,该处理单元根据该些学习收敛信息决定调整该特征撷取单元或将该待学习模型输出一特征识别模型。
进一步,该处理单元根据该些学习收敛信息决定调整该特征撷取单元,而该特征撷取单元则依其处理单元的调整要求而调整其特征模板,该特征撷取单元再由调整的特征模板去解析该些网络封包,以撷取该些网络封包新的行为特征信息。
进一步,该服务器端还包括一异常行为侦测器,该异常行为侦测器从所述网络封包中侦测到至少一异常行为信息,且该异常行为侦测器将所述异常行为信息发送至一行为分析单元。
进一步,该行为分析单元连接于该特征撷取单元与封包储存单元,且该行为分析单元依据异常行为信息解析该封包储存单元中的该些网络封包,并要求特征撷取单元调整其特征模板。
一种学习网络行为特征的处理方法,其特征在于:
将至少一行为结果信息储存于一特征储存单元内;
由一封包撷取单元撷取至少一用户端提供的网络封包并储存于一封包储存单元中;
再由一特征撷取单元自封包储存单元解析网络封包,并根据至少一特征模板获取相应的行为特征信息且储存于一特征储存单元;
一处理单元自特征储存单元获取行为特征信息及行为结果信息并载入一待学习模型,该待学习模型输出一学习收敛信息;以及
该处理单元根据学习收敛信息决定调整特征撷取单元或将待学习模型输出一特征识别模型。
进一步,所述处理单元根据学习收敛信息调整特征撷取单元的步骤包括:
该特征撷取单元则依其处理单元的调整要求而调整其特征模板;
该特征撷取单元再由调整的特征模板去解析该些网络封包,以撷取该些网络封包新的行为特征信息。
进一步,还提供一异常行为侦测器,该异常行为侦测器从所述网络封包中侦测到至少一异常行为信息,且该异常行为侦测器将所述异常行为信息发送至一行为分析单元。
进一步,该行为分析单元依据异常行为信息解析该封包储存单元中的该些网络封包,并要求特征撷取单元调整其特征模板。
通过上述设计方案,本发明可以带来如下有益效果:
1、能够在服务器或网络设备遭受网络攻击的第一时间加以防范。
附图说明
以下结合附图和具体实施方式对本发明作进一步的说明:
图1为本发明学习网络行为特征的处理系统的系统架构示意图。
图2为本发明行为特征信息的内容示意图。
图3为本发明学习网络行为特征的处理系统的另一系统架构示意图。
图4为本发明学习网络行为特征的处理方法流程的示意图。
图中标记说明:100-处理系统;110-用户端;111-安全用户端;112-恶意用户端;120-服务器端;121-异常行为侦测器;130-网络设备;131-封包撷取单元;132-特征撷取单元;133-封包储存单元;134-处理单元;135-待学习模型;136-特征储存单元;137-行为分析单元;151-网络封包;152-行为特征信息;153-行为结果信息;154-异常行为信息;211-特征模板。
具体实施方式
为了更好地了解本发明的目的、结构以及功能,下面结合附图,对本发明学习网络行为特征的网络设备、处理系统与方法作出进一步详细的说明。
请参考图1所示,为本发明在线更新韧体的处理系统的系统架构示意图,由图中可清楚看出,为本发明学习网络行为特征的处理系统的系统架构示意图。
学习网络行为特征的处理系统100包括多个用户端110、多个服务器端120与网络设备130。网络设备130网络连接于用户端110与服务器端120之间。网络设备130可以是但不限定为路由器(router)、闸道器(gateway)、中继器(repeater)或桥接器(bridge)。
用户端110向服务器端120发送多个网络封包151。
网络设备130具有封包撷取单元131、封包储存单元133、特征撷取单元132、特征储存单元136、处理单元134与待学习模型135。封包撷取单元131撷取从用户端110流经服务器端120的网络封包151。封包撷取单元131将所获取的网络封包151传输至封包储存单元133,该网络封包151储存于封包储存单元133。特征撷取单元132连接于封包储存单元133与特征储存单元136与处理单元134。
特征撷取单元132从封包储存单元133获取网络封包151,并根据特征模板211从网络封包151中获取行为特征信息152。特征撷取单元132可以根据每一网络封包151、一固定数量的网络封包151或一固定时段中所获取的网络封包151进行分析,以获取行为特征信息152。特征模板211包括发送端或接收端的网络封包151的传输协议、撷取数量、标头信息、传输埠号(port)、传输时间、封包内容、传输速度、传输方向、TCP旗标的次数、接收端、封包数量、封包大小、到达间隔时间(inter arrival time)、资料流活动时间、资料流闲置时间等等,如,图2所示,又其中该特征撷取单元132通过特征模板211进而获取该网络封包的行为特征信息152,另如图2所示,为行为特征信息152及特征模板211的内容,所示行为特征信息152为一组量化数据、矩阵或图像。特征模板211并不限定图2实施例中的4组,数量可依待学习模型135学习状况做调整。
特征撷取单元132将所获得的行为特征信息152储存至特征储存单元136,而该处理单元134从特征储存单元136中获取行为特征信息152及行为结果信息153并载入至待学习模型135,而待学习模型135根据行为特征信息152及行为结果信息153进行学习,其中该待学习模型135由人工智能算法(Artificial Intelligence)所构成,人工智能算法可以是但不仅包括人工神经网络、决策树、感知器、支援矢量机、整合学习、降维与度量学习、聚类、贝氏分类器或前馈神经网络模型(Feed Forward Neural Network)等。另外,行为结果信息153会于系统建置前取得并储存于特征储存单元136中,其主要是通过外部分析器分析已知安全用户端111的网络封包151并由外部分析器获取其行为特征信息152,此可视为正常的行为特征信息152,并对应该正常的行为特征信息152产生一正常的行为结果信息153,反之,对已知恶意用户端112的网络封包151分析得到一恶意的行为结果信息153,并将该些行为结果信息153储存于特征储存单元136中,行为结果信息153可为一量化数据、矩阵或图像,例如,若以前馈神经网络模型(Feed Forward Neural Network)为例,正常的行为结果信息为整数1,恶意的行为结果信息为整数0。
待学习模型135根据所接收的行为特征信息152及行为结果信息153进行对网络攻击行为的学习,待学习模型135将学习的结果输出为学习收敛信息,另其中该处理单元134连接于特征撷取单元132及特征储存单元136,且该处理单元134除了执行待学习模型135外,该处理单元134也会根据待学习模型135所输出的学习收敛信息进行评估,判断其待学习模型135的学习收敛信息是否符合学习的目标,并决定调整该特征撷取单元或将该待学习模型输出一特征识别模型,其中若处理单元134判断其待学习模型135的学习收敛信息符合学习的目标则输出一特征识别模型,反之,该处理单元134则调整特征撷取单元132。
学习收敛信息大致可分为两种状态,分别为收敛状态与未收敛状态。当学习收敛信息为收敛状态即符合学习目标,未收敛状态则反之,举例:如,处理单元134预设一阀值0.9,学习收敛信息超过数值0.9为符合收敛状态,反之,若为输出的学习收敛信息为0.85,即为未收敛状态,而此处阀值0.9,可依照人工智能算法、行为结果信息153或待学习模型135的不同而设定,并不限定为0.9。上述也会收敛、未收敛状态也因人工智能算法、行为结果信息153或待学习模型135的不同而有所不同,并不限定。
其中,该处理单元134为调整特征撷取单元132时,若学习一定次数或一段时间皆无法符合学习目标,则处理单元134向特征撷取单元132发送调整要求,特征撷取单元132根据调整要求调整特征模板211,换言之,特征撷取单元132将从现有的特征模板211的集合中另外选出新的特征模板211,或重新由网络封包151中撷取新的特征模板211,该特征撷取单元132根据调整后的特征模板211去解析网络封包151,进而由新的特征模板211获取新的行为特征信息152且储存于特征储存单元136中,以供待学习模型135学习。
亦可由另一种方式调整特征撷取单元132,如图3所示,为本发明在线更新韧体的处理系统的另一系统架构示意图,其中该服务器端120还包括异常行为侦测器121,异常行为侦测器121从所述网络封包151中侦测所述异常行为信息154,异常行为侦测器121将所述异常行为信息154发送至一行为分析单元137,该行为分析单元137连接于该特征撷取单元132与该封包储存单元133,且该行为分析单元137依据异常行为信息154解析该封包储存单元133中的该些网络封包151,并要求特征撷取单元132调整所述特征模板211,举例来说,服务器端120的中央处理器的运作负载正常若维持在50%,若服务器端120的运作负载突然拉高至90%且长时间维持运作,异常行为侦测器121则判断为异常行为信息154,此时异常行为侦测器121将会发送该段时间异常行为信息154至行为分析单元137,行为分析单元137将会分析封包储存单元133中该段时间的网络封包151,并依据分析结果要求特征撷取单元132调整特征模板211。异常行为并不限于运作负载、亦可能为封包大小、流量大小、协议种类、连接埠号(port)或网络服务等等...,而该行为分析单元137则可利用穷举(ExhaustiveAlgorithm)算法对封包分析。
为清楚说明此实施例的运作过程,还请参考图4为本发明学习网络行为特征的处理方法流程。学习网络行为特征的处理方法包括以下步骤:
步骤S310:将行为结果信息储存于特征储存单元内;由外部分析器分析已知的安全用户端111或恶意用户端112的网络封包151并获取正常或恶意的行为特征信息152,且由其正常或恶意的行为特征信息152产生相对应的行为结果信息153并储存于特征储存单元136中。
步骤S320:由封包撷取单元撷取用户端提供的网络封包并储存于封包储存单元中;首先,网络设备130接收用户端110发送至服务器端120的网络封包151,而该网络设备130的封包撷取单元131可以通过侧录或旁通(bypass)等方式获取网络封包151,使得用户端110发送至服务器端120的网络封包151可以同时传送也可以被储存至封包储存单元133。
步骤S330:再由特征撷取单元自封包储存单元解析网络封包,并根据特征模板获取相应的行为特征信息且储存于特征储存单元;特征撷取单元132自封包储存单元133解析网络封包151,并根据特征模板211获取相应的行为特征信息152,而后将行为特征信息152储存于特征储存单元136中,其中该特征撷取单元132解析网络封包151可通过网络流量监控软件如:Netflow,但不以此为限。
步骤S340:处理单元自特征储存单元获取行为特征信息及行为结果信息并载入待学习模型,该待学习模型输出学习收敛信息;该处理单元134从特征储存单元136中获取行为特征信息152及行为结果信息153并载入至待学习模型135,而待学习模型135根据行为特征信息152及行为结果信息153进行学习,且该待学习模型135将学习的结果输出为学习收敛信息。
步骤S350:该处理单元根据学习收敛信息决定调整特征撷取单元或将待学习模型输出特征识别模型;其中该处理单元134持续获取不同时段或用户端110的组合所相应的学习收敛信息,且该处理单元134根据所获取的学习收敛信息评估待学习模型135的学习状态,若学习收敛信息持续为收敛状态,则处理单元134将待学习模型135转存为特征识别模型。处理单元134输出特征识别模型至其他网络设备130。
反之,若学习收敛信息持续为未收敛状态,该处理单元134向特征撷取单元132发送调整要求,而该特征撷取单元132根据调整要求调整特征模板211;换言之,特征撷取单元132将从现有的特征模板211的集合中另外选出新的特征模板211,或重新由网络封包151中撷取新的特征模板211,且该特征撷取单元132根据调整后的特征模板211解析网络封包151,用于获取新的行为特征信息152且储存于特征储存单元136中,接着,处理单元134根据新的行为特征信息152与相应的行为结果信息153再次执行步骤S340与S350,用以获取新的学习收敛信息。所述调整特征模板的方式可以是增加或删除特征模板。
又其中,若多次经过步骤S350学习收敛信息依然无法收敛时,该行为分析单元137依据异常行为信息154解析该封包储存单元133中的该些网络封包151,并要求特征撷取单元132调整所述特征模板211。
借此,本发明的学习网络行为特征的网络设备130、处理系统100与方法可以学习网络封包151与相应的行为特征,借以调整待学习模型135的判断精度。此外,处理系统100的服务器端120也可以提供未被识别的恶意攻击的行为特征信息152。网络设备130通过不同管道的资料来源进而达到全面保护的目的。

Claims (10)

1.一种学习网络行为特征的网络设备,其特征在于:
一封包撷取单元,撷取多个网络封包;
一封包储存单元,连接该封包撷取单元,且该封包储存单元储存该些网络封包;
一特征撷取单元,连接该封包储存单元且以至少一特征模板解析该些网络封包,并撷取该些网络封包的至少一行为特征信息;
一特征储存单元,连接于该特征撷取单元,该特征储存单元储存该些行为特征信息,并该特征储存单元内另储存有复数行为结果信息;
一处理单元,接收所述行为特征信息及行为结果信息;及
一待学习模型,根据该至少一行为特征信息及一行为结果信息输出一学习收敛信息,该处理单元根据该些学习收敛信息决定调整该特征撷取单元或将该待学习模型输出一特征识别模型。
2.根据权利要求1所述的学习网络行为特征的网络设备,其特征在于:该处理单元根据该些学习收敛信息决定调整该特征撷取单元,而该特征撷取单元则依其处理单元的调整要求而调整其特征模板,该特征撷取单元再由调整的特征模板去解析该些网络封包,以撷取该些网络封包新的行为特征信息。
3.一种学习网络行为特征的处理系统,其特征在于:
至少一用户端,传输多个网络封包;
至少一服务器端,接收该些网络封包;以及
一网络设备,具有一封包撷取单元、一特征撷取单元、一封包储存单元、一特征储存单元、一处理单元与一待学习模型,该封包撷取单元撷取流经该用户端与该服务器端的该些网络封包,而该封包储存单元储存该些网络封包,另该特征撷取单元以至少一特征模板解析该些网络封包,并撷取该些网络封包的至少一行为特征信息,该特征储存单元储存该些行为特征信息与复数行为结果信息,而该处理单元接收所述行为特征信息及行为结果信息并输入至该待学习模型,使该待学习模型根据该至少一行为特征信息及一行为结果信息输出一学习收敛信息,该处理单元根据该些学习收敛信息决定调整该特征撷取单元或将该待学习模型输出一特征识别模型。
4.根据权利要求3所述的学习网络行为特征的处理系统,其特征在于:该处理单元根据该些学习收敛信息决定调整该特征撷取单元,而该特征撷取单元则依其处理单元的调整要求而调整其特征模板,该特征撷取单元再由调整的特征模板去解析该些网络封包,以撷取该些网络封包新的行为特征信息。
5.根据权利要求3所述的学习网络行为特征的处理系统,其特征在于:该服务器端还包括一异常行为侦测器,该异常行为侦测器从所述网络封包中侦测到至少一异常行为信息,且该异常行为侦测器将所述异常行为信息发送至一行为分析单元。
6.根据权利要求5所述的学习网络行为特征的处理系统,其特征在于:该行为分析单元连接于该特征撷取单元与封包储存单元,且该行为分析单元依据异常行为信息解析该封包储存单元中的该些网络封包,并要求特征撷取单元调整其特征模板。
7.一种学习网络行为特征的处理方法,其特征在于:
将至少一行为结果信息储存于一特征储存单元内;
由一封包撷取单元撷取至少一用户端提供的网络封包并储存于一封包储存单元中;
再由一特征撷取单元自封包储存单元解析网络封包,并根据至少一特征模板获取相应的行为特征信息且储存于一特征储存单元;
一处理单元自特征储存单元获取行为特征信息及行为结果信息并载入一待学习模型,该待学习模型输出一学习收敛信息;以及
该处理单元根据学习收敛信息决定调整特征撷取单元或将待学习模型输出一特征识别模型。
8.根据权利要求7所述的学习网络行为特征的处理方法,其特征在于:所述处理单元根据学习收敛信息调整特征撷取单元的步骤包括:
该特征撷取单元则依其处理单元的调整要求而调整其特征模板;
该特征撷取单元再由调整的特征模板去解析该些网络封包,以撷取该些网络封包新的行为特征信息。
9.根据权利要求7所述的学习网络行为特征的处理方法,其特征在于:还提供一异常行为侦测器,该异常行为侦测器从所述网络封包中侦测到至少一异常行为信息,且该异常行为侦测器将所述异常行为信息发送至一行为分析单元。
10.根据权利要求9所述的学习网络行为特征的处理方法,其特征在于:该行为分析单元依据异常行为信息解析该封包储存单元中的该些网络封包,并要求特征撷取单元调整其特征模板。
CN202111624580.8A 2021-12-28 2021-12-28 学习网络行为特征的网络设备、处理系统与方法 Active CN114465769B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111624580.8A CN114465769B (zh) 2021-12-28 2021-12-28 学习网络行为特征的网络设备、处理系统与方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111624580.8A CN114465769B (zh) 2021-12-28 2021-12-28 学习网络行为特征的网络设备、处理系统与方法

Publications (2)

Publication Number Publication Date
CN114465769A true CN114465769A (zh) 2022-05-10
CN114465769B CN114465769B (zh) 2024-03-15

Family

ID=81407797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111624580.8A Active CN114465769B (zh) 2021-12-28 2021-12-28 学习网络行为特征的网络设备、处理系统与方法

Country Status (1)

Country Link
CN (1) CN114465769B (zh)

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
US20180063168A1 (en) * 2016-08-31 2018-03-01 Cisco Technology, Inc. Automatic detection of network threats based on modeling sequential behavior in network traffic
CN110570458A (zh) * 2019-08-12 2019-12-13 武汉大学 一种基于内部裁剪和多层特征信息融合的目标跟踪方法
CN110796261A (zh) * 2019-09-23 2020-02-14 腾讯科技(深圳)有限公司 基于强化学习的特征提取方法、装置和计算机设备
TWM594841U (zh) * 2019-12-18 2020-05-01 中華資安國際股份有限公司 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統
CN111131137A (zh) * 2018-11-01 2020-05-08 财团法人资讯工业策进会 可疑封包检测装置及其可疑封包检测方法
WO2020094276A1 (en) * 2018-11-09 2020-05-14 NEC Laboratories Europe GmbH Method and system for adaptive network intrusion detection
CN111181901A (zh) * 2018-11-09 2020-05-19 财团法人资讯工业策进会 异常流量检测装置及其异常流量检测方法
TWM596496U (zh) * 2019-12-20 2020-06-01 泓格科技股份有限公司 具自我學習功能的工業控制網路異常偵測裝置及其系統
CN112203282A (zh) * 2020-08-28 2021-01-08 中国科学院信息工程研究所 一种基于联邦迁移学习的5g物联网入侵检测方法及系统
CN112287338A (zh) * 2020-11-30 2021-01-29 国网新疆电力有限公司电力科学研究院 基于adasyn算法和改进卷积神经网络的入侵检测方法及装置
CN112468439A (zh) * 2020-10-28 2021-03-09 中国人民武装警察部队后勤学院 基于深度学习方法的物联网DDoS攻击流量检测系统
CN112769752A (zh) * 2020-12-15 2021-05-07 浙江大学 一种基于机器学习集成模型的网络入侵检测方法
CN113259388A (zh) * 2021-06-22 2021-08-13 贝壳找房(北京)科技有限公司 网络流量异常检测方法、电子设备及可读存储介质
CN113706514A (zh) * 2021-08-31 2021-11-26 平安科技(深圳)有限公司 基于模板图像的病灶定位方法、装置、设备及存储介质
US20210392171A1 (en) * 2020-06-15 2021-12-16 Vmware, Inc. Automatic integration of iot devices into a network

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
US20180063168A1 (en) * 2016-08-31 2018-03-01 Cisco Technology, Inc. Automatic detection of network threats based on modeling sequential behavior in network traffic
CN111131137A (zh) * 2018-11-01 2020-05-08 财团法人资讯工业策进会 可疑封包检测装置及其可疑封包检测方法
WO2020094276A1 (en) * 2018-11-09 2020-05-14 NEC Laboratories Europe GmbH Method and system for adaptive network intrusion detection
CN111181901A (zh) * 2018-11-09 2020-05-19 财团法人资讯工业策进会 异常流量检测装置及其异常流量检测方法
CN110570458A (zh) * 2019-08-12 2019-12-13 武汉大学 一种基于内部裁剪和多层特征信息融合的目标跟踪方法
CN110796261A (zh) * 2019-09-23 2020-02-14 腾讯科技(深圳)有限公司 基于强化学习的特征提取方法、装置和计算机设备
TWM594841U (zh) * 2019-12-18 2020-05-01 中華資安國際股份有限公司 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統
TWM596496U (zh) * 2019-12-20 2020-06-01 泓格科技股份有限公司 具自我學習功能的工業控制網路異常偵測裝置及其系統
US20210392171A1 (en) * 2020-06-15 2021-12-16 Vmware, Inc. Automatic integration of iot devices into a network
CN112203282A (zh) * 2020-08-28 2021-01-08 中国科学院信息工程研究所 一种基于联邦迁移学习的5g物联网入侵检测方法及系统
CN112468439A (zh) * 2020-10-28 2021-03-09 中国人民武装警察部队后勤学院 基于深度学习方法的物联网DDoS攻击流量检测系统
CN112287338A (zh) * 2020-11-30 2021-01-29 国网新疆电力有限公司电力科学研究院 基于adasyn算法和改进卷积神经网络的入侵检测方法及装置
CN112769752A (zh) * 2020-12-15 2021-05-07 浙江大学 一种基于机器学习集成模型的网络入侵检测方法
CN113259388A (zh) * 2021-06-22 2021-08-13 贝壳找房(北京)科技有限公司 网络流量异常检测方法、电子设备及可读存储介质
CN113706514A (zh) * 2021-08-31 2021-11-26 平安科技(深圳)有限公司 基于模板图像的病灶定位方法、装置、设备及存储介质

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
BI-YI WU: "On the Formulation of Characteristic Mode Theory With Fast Multipole Algorithms", IEEE TRANSACTIONS ON ANTENNAS AND PROPAGATION *
刘万军;梁雪剑;曲海成;: "不同池化模型的卷积神经网络学习性能研究", 中国图象图形学报, no. 09 *
王湘懿;张健;: "基于图像和机器学习的虚拟化平台异常检测", 信息网络安全, no. 09 *
王蓉;马春光;武朋;: "基于联邦学习和卷积神经网络的入侵检测方法", 信息网络安全, no. 04 *

Also Published As

Publication number Publication date
CN114465769B (zh) 2024-03-15

Similar Documents

Publication Publication Date Title
CN111464485A (zh) 一种加密代理流量检测方法和装置
CN113364752B (zh) 一种流量异常检测方法、检测设备及计算机可读存储介质
CN113452676B (zh) 一种检测器分配方法和物联网检测系统
US20100226383A1 (en) Inline Intrusion Detection
CN201563132U (zh) 网络带宽控制装置与路由器
CN112804253B (zh) 一种网络流量分类检测方法、系统及存储介质
CN114448830B (zh) 一种设备检测系统及方法
CN111611280A (zh) 一种基于cnn和sae的加密流量识别方法
CN103701814A (zh) 一种基于行为检测实现网络流量识别的方法及装置
US20220174083A1 (en) Method and device for detecting malicious activity over encrypted secure channel
CN117768161A (zh) 智能化DDoS攻击检测方法、设备及系统
CN116346418A (zh) 基于联邦学习的DDoS检测方法及装置
CN114070800B (zh) 一种结合深度包检测和深度流检测的secs2流量快速识别方法
CN112953910B (zh) 基于软件定义网络的DDoS攻击检测方法
CN116647353A (zh) 基于层次特征的LDoS隐蔽攻击检测方法以及装置
CN114465769A (zh) 学习网络行为特征的网络设备、处理系统与方法
TWI805156B (zh) 學習網路行為特徵的網路設備、處理系統與方法
EP3576365B1 (en) Data processing device and method
EP4207678A1 (en) Network equipment and processing system and method for learning network behavior characteristics
US20230208864A1 (en) Network equipment and processing system and method for learning network behavior characteristics
JP7273942B1 (ja) ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法
Li et al. Composite lightweight traffic classification system for network management
Limmer et al. Dialog-based payload aggregation for intrusion detection
CN110943973B (zh) 数据流分类方法及装置、模型训练方法及装置和存储介质
CN115022100B (zh) 一种基于流量画像与机器学习的物联网入侵检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant