CN114615056B - 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 - Google Patents
一种基于对抗鲁棒性学习的Tor恶意流量检测方法 Download PDFInfo
- Publication number
- CN114615056B CN114615056B CN202210238279.1A CN202210238279A CN114615056B CN 114615056 B CN114615056 B CN 114615056B CN 202210238279 A CN202210238279 A CN 202210238279A CN 114615056 B CN114615056 B CN 114615056B
- Authority
- CN
- China
- Prior art keywords
- malicious
- model
- flow
- sample
- tor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 53
- 238000012549 training Methods 0.000 claims abstract description 26
- 238000000034 method Methods 0.000 claims abstract description 22
- 238000013528 artificial neural network Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 10
- 238000003062 neural network model Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 4
- 230000002708 enhancing effect Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 239000011159 matrix material Substances 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 2
- 230000002787 reinforcement Effects 0.000 abstract description 5
- 230000008485 antagonism Effects 0.000 abstract 3
- 230000011218 segmentation Effects 0.000 abstract 1
- 230000006872 improvement Effects 0.000 description 6
- 238000007689 inspection Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Abstract
本发明公开了一种基于对抗鲁棒性学习的Tor恶意流量检测方法,针对可能存在的Tor恶意软件流量,首先基于会话流的方式对其提取特征,并进行流量识别,建立检测模型,采用PGD方法生成能够成功绕过模型检测对抗样本,最后利用对抗性训练产生的对抗样本加固模型,得到基于对抗鲁棒性学习的Tor恶意流量检测模型,利用PGD方法生成的恶意对抗样本,绕过Tor恶意流量监测模型的绕过率能达到90%;最终利用产生的恶意对抗样本进行对抗性训练加固模型,Tor恶意流量检测模型能在稍微损耗模型精度的情况下识别出恶意对抗样本,通过不同细粒度的流量切分,模型分类准确率能够提升至98%。
Description
技术领域
本发明属于网络空间安全技术领域,尤其涉及一种基于对抗鲁棒性学习的Tor恶意流量检测方法。
背景技术
Tor是一种完美的僵尸网络,Tor常被用于发起网络攻击,以及进行非法交易。因此检测Tor上的恶意流量对于网络安全具有重要意义。由于Tor流量是加密的,且Tor协议具有复杂性,端口检查、数据包检查等方法对Tor无效,Tor常被用于隐藏恶意软件流量。因此,检测tor上恶意流量可以确保Tor不被滥用。另一方面,Tor中的恶意流量比例远大于所有加密流量中的恶意流量,在Tor中进行恶意流量分析更具备现实意义。最后,在Tor中的恶意流量类型与一般加密流量中的恶意流量类型不同;Tor由于极高的安全性,常被用于进行跨国交易、跨国网络攻击,纷发的恶意流量种类多样,攻击性更强等。
国内外近些年对Tor恶意流量的识别较少,一些研究能够在Tor中区分出来恶意流量,但是并不是直接通过流量分类的方法,而是通过基于规则集的误用检测识别恶意的Tor流量,或者通过僵尸网络引起的电路创建失败率来检测僵尸网络。一些研究只关注恶意软件检测,不关注该恶意软件是否使用Tor,或者默认分类出的所有Tor流量都是恶意软件流量,这样的结果是不严谨的。而直接从流量层面识别tor恶意流量的研究收集到的恶意软件Tor流量局限于几种恶意软件。
现有的方法存在如下主要问题:(1)直接从流量层面识别tor恶意流量的研究较少;(2)现有的检测Tor恶意流量的机器学习方法具有脆弱性,容易遭到对抗样本与数据投毒攻击;(3)真实环境下恶意流量种类繁多,仅仅收集几种恶意软件产生的流量用于检测比较片面,检测性能还有待提升。因而,急需开发一种更为稳定和精准的测量系统或方法。
发明内容
本发明正是针对现有恶意流量检测方法在实际应用中存在的问题,为了加强对网络空间安全的监管,实现识别Tor恶意软件流量,提供一种基于对抗鲁棒性学习的Tor恶意流量检测方法,针对可能存在的Tor恶意软件流量,首先基于会话流的方式对其提取特征,并进行流量识别,采用PGD方法生成能够成功绕过模型检测对抗样本,最后利用对抗性训练产生的对抗样本加固模型,得到基于对抗鲁棒性学习的Tor恶意流量检测模型。
为了实现上述目的,本发明采取的技术方案是:一种基于对抗鲁棒性学习的Tor恶意流量检测方法,包括如下步骤:
S1,特征提取:对连续的原始恶意流量数据进行预处理,将恶意软件Tor流量进行按流切分操作后,提取每个经过切分的流的基于流量的特征,并对特征进行Z-Score标准化,所述特征至少包括前后向数据包的数据包数量、前后向数据包的数据包大小、两数据包之间的时间差;
S2,检测模型建立:将步骤S1中提取的Tor流量特征与对应标签输入到DNN神经网络中进行训练,得到Tor恶意流量检测模型,所述DNN神经网络模型采用的损失函数为:
其中,n代表样本数量;x代表样本;y代表样本的标签,有0、1两个值;y′代表经过Sigmoid函数后对样本的预测分类结果;
yl=σ(zl)=σ(Wlxl-1+b)
其中,l为DNN网络的总层数,W为隐藏层和输出层间对应的权重矩阵,b为偏置矩阵,σ为每一层网络神经网络具体的非线形激活函数,xi,yi是第i个隐藏层的输入和输出;
S3,对抗样本生成:将步骤S2中训练得到的Tor恶意流量检测模型作为目标攻击模型,基于Tor恶意流量样本,采用PGD算法生成能够成功绕过目标模型检测的对抗样本;
S4,数据集增强:将恶意对抗样本加入数据集中对模型进行对抗性再训练,扩大模型分类边界,从而得到具有对抗鲁棒性的恶意流量检测模型。
作为本发明的一种改进,所述步骤S1中,将连续的原始恶意流量数据按照五元组划分成流,将每个流按照5s的粒度切分,不足5s的单独成流。
作为本发明的另一种改进,所述步骤S1中,对特征样本进行线性变换,使特征样本的数值处在同一量级内,所述特征不包括流量数据中的具体IP地址、端口信息和协议号。
作为本发明的一种改进,所述步骤S3进一步包括:
S31,初始化随机扰动S和α,用于限定样本扰动的阈值;
S32,输入的恶意样本x与对应标签y;
S33,根据输入的恶意样本x与对应标签y,计算神经网络的损失J(θ,x,y)及对应梯度
S34,选定迭代轮数,根据以下公式迭代计算出恶意对抗样本xt+1
其中∏x+S表示若添加到样本的扰动超过限定范围,则重新投影回x+S上;
S35,将恶意对抗流量xt+1进行二次检测,得到检测结果x′。
作为本发明的另一种改进,所述步骤S35中得到检测结果x′具体为:若x′=1,即绕过规则失败,则丢弃该恶意对抗流量;若x′=0,即绕过规则成功,则保留该恶意对抗流量;所述步骤最终输出能成功绕过模型检测的恶意对抗流量。
作为本发明的又一种改进,所述步骤S4进一步包括:
S41,将步骤S35中得到对抗恶意样本x′加入原来的数据集中,扩大训练数据与测试数据的样本规模;
S42,恶意流量检测器模型根据这个训练数据再进行重训练,更新内部参数;
S43,对经过对抗性训练的模型重新进行对抗攻击,新生成的恶意对抗样本无法再绕过检测器模型的检测,从而证实能够抵抗针对神经网络模型的对抗攻击。
与现有技术相比,本发明具有如下优点和有益效果:
(1)本发明加强对网络空间安全的监管,实现基于对抗鲁棒性识别Tor恶意软件流量。
(2)本发明通过生成能够成功绕过模型检测对抗样本,证实了现有Tor恶意流量检测方法的脆弱性。
(3)本发明根据恶意流量的特征生成的对抗样本丰富了恶意流量,将对抗样本加入数据集中再对模型进行对抗性训练,从而加固了模型。
(4)本发明在无需使用大量目标域数据的情况下也能表现优异,极大的节省了网络资源消耗。
附图说明
图1为本发明提供的基于对抗鲁棒性学习的Tor恶意流量检测的框架图;
图2为本发明收集恶意软件Tor流量的流程图。
具体实施方式
下面结合附图和具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
实施例1
图如2所示,通过virtualBox安装Windows10系统作为工作站,whonix作为Tor网络的网关,恶意软件装在工作站上,由虚拟网络接口连接到网关,经过网关中Tor客户端的三层加密后捕获的恶意软件流量。
一种基于对抗鲁棒性学习的Tor恶意流量检测方法,其模型框架如图1所示,包括四个部分,第一部分为源域和目标域训练数据集的构建,具体内容为将原始流量集经过预处理操作,构建用于神经网络输入的流量特征;第二部分为恶意非恶意二分类训练部分,具体内容为将流量特征输入DNN网络进行训练,最终得到流量的恶意-非恶意二分类;第三部分为生成对抗样本部分,具体内容为采用PGD方法,根据输入的恶意样本计算神经网络的损失及对应梯度,选定迭代步长,根据如下PGD算法公式,迭代的计算出恶意对抗样本,将恶意对抗流量k送入二次检测模块进行二次检测,绕过规则成功,则保留该恶意对抗流量;第四部分为加固模型操作,具体内容为将对抗样本加入数据集中再对模型进行对抗性训练,从而加固了模型。
具体地说,本发明方法有以下步骤:
S1,特征提取:对连续的原始恶意流量数据进行预处理,将恶意软件Tor流量进行按流切分操作后,提取每个经过切分的流的基于流量的特征,如前后向数据包的数据包数量、前后向数据包的数据包大小、两数据包之间的时间差等,并对特征进行Z-Score标准化,所述步骤进一步包括;
S11,将原始恶意流量与日常Tor流量按照5s的粒度切分成单独的流。划分后各类型及条目如下表1所示:
表1数据集设置
恶意流量类型 | 条目数 |
Qakbot | 2497 |
Trickbot | 3190 |
Spambot | 5852 |
Bazarloader | 8352 |
Hancitor | 4025 |
bluehero | 1033 |
MrbMiner | 1176 |
MYkings | 2304 |
sougou | 1538 |
Total | 29967 |
S12,将每个流按照5s的粒度切分,不足5s的单独成流,使用CICFlowmeter工具提取恶意流量的特征,得到83维特征。
S13,对于流量数据中存在的具体IP地址、端口信息和协议号会对后续的模型学习过程造成影响,因此在特征提取阶段应剔除这些特征;
S14,对特征样本进行线性变换,使特征样本的数值处在同一量级内,从而去除数据量纲和数据大小带来的差异。
S2,检测模型建立:将步骤S1中提取的Tor流量特征与对应标签输入到DNN神经网络中进行训练,得到Tor恶意流量检测模型,所述步骤进一步包括:
S21,将步骤S14中的流量特征输入到DNN网络中,根据网络输出结果与对应的样本标签计算损失,进而计算梯度,更新模型参数;
S22,DNN神经网络模型包括输入层、3个隐藏层、输出层,所述输入层包含78个神经元,对应78维流量特征;所述隐藏层为全连接层,全连接层的隐藏单元数量分别为256、1024、128,使用Relu作为激活函数,每个全连接层附有Dropout层;输出层有1个神经元,经过Sigmoid激活函数最终输出分类结果。
S23,DNN神经网络模型采用损失函数如下:
其中,n代表样本数量;x代表样本;y代表样本的标签,有0、1两个值;y′代表经过Sigmoid函数后对样本的预测分类结果;
S3,对抗样本生成:将步骤S2中训练得到的Tor恶意流量检测模型作为目标攻击模型,基于Tor恶意流量样本,采用PGD算法生成能够成功绕过目标模型检测的对抗样本,证实了现有Tor恶意流量检测方法的脆弱性。
S31,初始化随机扰动,;
S311,初始化随机扰动S和α,用于限定样本扰动的阈值;
S312,输入的恶意样本x与对应标签y;
S32,根据输入的恶意样本计算神经网络的损失及对应梯度,根据PGD算法生成恶意对抗样本,所属步骤进一步包括:
S321,根据输入的恶意样本x与对应标签y,计算神经网络的损失J(θ,x,y)及对应梯度
S322,选定迭代轮数,根据以下公式迭代计算出恶意对抗样本xt+1,
其中∏x+S表示若添加到样本的扰动超过限定范围,则重新投影回x+S上;
S323,将恶意对抗流量xt+1进行二次检测,得到检测结果x′,具体为
若x′=1,即绕过规则失败,则丢弃该恶意对抗流量;
若x′=0,即绕过规则成功,则保留该恶意对抗流量;
S4,数据集增强:将恶意对抗样本加入数据集中对模型进行对抗性再训练,扩大模型分类边界,从而得到具有对抗鲁棒性的恶意流量检测模型。
S41,将步骤S323中得到对抗恶意样本x′加入原来的数据集中,扩大训练数据与测试数据的样本规模;
S42,恶意流量检测器模型根据这个训练数据再进行重训练,更新内部参数;
S43,对经过对抗性训练的模型重新进行对抗攻击,新生成的恶意对抗样本无法再绕过检测器模型的检测,从而证实能够抵抗针对神经网络模型的对抗攻击。
为了验证本发明所采用的DNN在恶意软件Tor流量识别方面更适用,比较使用DNN模型、RNN模型、MLP模型、SVM模型、KNN模型、LSTM模型初始分类准确率,实验结果下表2所示;
表2对比初始分类不同模型的准确率
上表中可以看出,使用DNN模型时,识别恶意软件Tor流量的准确率最高。
为了验证本发明增强了Tor恶意流量的对抗鲁棒性,比较初始分类准确率、对于恶意对抗样本的分类准确率、对抗性训练后的分类准确率如表3所示:
表3
上表中可以看出,利用对抗性训练加固模型后,Tor恶意流量检测模型能在稍微损耗模型精度的情况下识别出恶意对抗样本。
为了验证本发明时间划分粒度的合理性,当按照10s、15s的时间间隔划分流时,初始分类的准确率对比如表4所示:
表4
以上可看出,原始分类准确率通过不同会话流的划分训练,性能提升至98%,但无法抵抗对抗样本的攻击。利用三种不同方法生成的恶意对抗样本,绕过Tor恶意流量监测模型的绕过率能达到90%;再利用对抗性训练加固模型后,Tor恶意流量监测模型能在稍微损耗模型精度的情况下识别出恶意对抗样本。本发明实现了基于对抗鲁棒性识别Tor恶意软件流量,证实了现有Tor恶意流量检测方法的脆弱性,加固了模型,在无需使用大量目标域数据的情况下也能表现优异,极大的节省了网络资源消耗,加强对网络空间安全的监管。
需要说明的是,以上内容仅仅说明了本发明的技术思想,不能以此限定本发明的保护范围,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰均落入本发明权利要求书的保护范围之内。
Claims (4)
1.一种基于对抗鲁棒性学习的Tor恶意流量检测方法,其特征在于:包括如下步骤:
S1,特征提取:对连续的原始恶意流量数据进行预处理,将恶意软件Tor流量进行按流切分操作后,提取每个经过切分的流的基于流量的特征,并对特征进行Z-Score标准化,所述特征至少包括前后向数据包的数据包数量、前后向数据包的数据包大小、两数据包之间的时间差;
S2,检测模型建立:将步骤S1中提取的Tor流量特征与对应标签输入到DNN神经网络中进行训练,得到Tor恶意流量检测模型,所述DNN神经网络模型采用的损失函数为:
其中,n代表样本数量;x代表样本;y代表样本的标签,有0、1两个值;y'代表经过Sigmoid函数后对样本的预测分类结果;
yl=σ(zl)=σ(Wlxl-1+b)
其中,l为DNN网络的总层数,W为隐藏层和输出层间对应的权重矩阵,b为偏置矩阵,σ为每一层网络神经网络具体的非线形激活函数,xi,yi是第i个隐藏层的输入和输出;
S3,对抗样本生成:将步骤S2中训练得到的Tor恶意流量检测模型作为目标攻击模型,基于Tor恶意流量样本,采用PGD算法生成能够成功绕过目标模型检测的对抗样本;本步骤进一步包括:
S31,初始化随机扰动S和α,用于限定样本扰动的阈值;
S32,输入的恶意样本x与对应标签y;
S33,根据输入的恶意样本x与对应标签y,计算神经网络的损失J(θ,x,y)及对应梯度
S34,选定迭代轮数,根据以下公式迭代计算出恶意对抗样本xt+1
其中∏x+S表示若添加到样本的扰动超过限定范围,则重新投影回x+S上;
S35,将恶意对抗流量xt+1进行二次检测,得到检测结果x',若x'=1,表示绕过规则失败,则丢弃该恶意对抗流量;若x'=0,表示绕过规则成功,则保留该恶意对抗流量;所述步骤最终输出能成功绕过模型检测的恶意对抗流量;
S4,数据集增强:将恶意对抗样本加入数据集中对模型进行对抗性再训练,扩大模型分类边界,从而得到具有对抗鲁棒性的恶意流量检测模型。
2.如权利要求1所述的一种基于对抗鲁棒性学习的Tor恶意流量检测方法,其特征在于:所述步骤S1中,将连续的原始恶意流量数据按照五元组划分成流,将每个流按照5s的粒度切分,不足5s的单独成流。
3.如权利要求1所述的一种基于对抗鲁棒性学习的Tor恶意流量检测方法,其特征在于:所述步骤S1中,对特征样本进行线性变换,使特征样本的数值处在同一量级内,所述特征不包括流量数据中的具体IP地址、端口信息和协议号。
4.如权利要求3所述的一种基于对抗鲁棒性学习的Tor恶意流量检测方法,其特征在于:所述步骤S4进一步包括:
S41,将步骤S35中得到对抗恶意样本x'加入原来的数据集中,扩大训练数据与测试数据的样本规模;
S42,恶意流量检测器模型根据训练数据再进行重训练,更新内部参数;
S43,对经过对抗性训练的模型重新进行对抗攻击,新生成的恶意对抗样本无法再绕过检测器模型的检测,从而证实能够抵抗针对神经网络模型的对抗攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210238279.1A CN114615056B (zh) | 2022-03-10 | 2022-03-10 | 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210238279.1A CN114615056B (zh) | 2022-03-10 | 2022-03-10 | 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114615056A CN114615056A (zh) | 2022-06-10 |
CN114615056B true CN114615056B (zh) | 2024-04-05 |
Family
ID=81863426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210238279.1A Active CN114615056B (zh) | 2022-03-10 | 2022-03-10 | 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114615056B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114633A (zh) * | 2021-03-24 | 2021-07-13 | 华南理工大学 | 一种入侵检测系统对抗攻击防御方法、系统、装置及介质 |
CN114139155A (zh) * | 2021-11-30 | 2022-03-04 | 云南大学 | 一种恶意软件检测模型及其增强对抗样本的生成方法 |
-
2022
- 2022-03-10 CN CN202210238279.1A patent/CN114615056B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114633A (zh) * | 2021-03-24 | 2021-07-13 | 华南理工大学 | 一种入侵检测系统对抗攻击防御方法、系统、装置及介质 |
CN114139155A (zh) * | 2021-11-30 | 2022-03-04 | 云南大学 | 一种恶意软件检测模型及其增强对抗样本的生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114615056A (zh) | 2022-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
Radford et al. | Network traffic anomaly detection using recurrent neural networks | |
Ektefa et al. | Intrusion detection using data mining techniques | |
Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
Abd Jalil et al. | Comparison of machine learning algorithms performance in detecting network intrusion | |
Peng et al. | Network intrusion detection based on deep learning | |
CN109218223B (zh) | 一种基于主动学习的鲁棒性网络流量分类方法及系统 | |
US10187412B2 (en) | Robust representation of network traffic for detecting malware variations | |
CN108282460B (zh) | 一种面向网络安全事件的证据链生成方法及装置 | |
Liu | An intrusion detection system based on convolutional neural network | |
Sivamohan et al. | An effective recurrent neural network (RNN) based intrusion detection via bi-directional long short-term memory | |
CN109347863B (zh) | 一种改进的免疫的网络异常行为检测方法 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN113709176A (zh) | 基于安全云平台的威胁检测与响应方法及系统 | |
Qi | Computer Real-Time Location Forensics Method for Network Intrusion Crimes. | |
Sekar et al. | Prediction of Distributed Denial of Service Attacks in SDN using Machine Learning Techniques | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN114615056B (zh) | 一种基于对抗鲁棒性学习的Tor恶意流量检测方法 | |
Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
CN111447169A (zh) | 一种在网关上的实时恶意网页识别方法及系统 | |
CN114330504A (zh) | 基于Sketch的网络恶意流量检测方法 | |
Belej et al. | Development of a network attack detection system based on hybrid neuro-fuzzy algorithms. | |
Erokhin et al. | The Dataset Features Selection for Detecting and Classifying Network Attacks | |
CN110689074A (zh) | 一种基于模糊集特征熵值计算的特征选择方法 | |
Lin et al. | Behaviour classification of cyber attacks using convolutional neural networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |