CN114666075B - 基于深度特征粗糙编码的分布式网络异常检测方法及系统 - Google Patents

基于深度特征粗糙编码的分布式网络异常检测方法及系统 Download PDF

Info

Publication number
CN114666075B
CN114666075B CN202011421173.2A CN202011421173A CN114666075B CN 114666075 B CN114666075 B CN 114666075B CN 202011421173 A CN202011421173 A CN 202011421173A CN 114666075 B CN114666075 B CN 114666075B
Authority
CN
China
Prior art keywords
flow
data
coding
module
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011421173.2A
Other languages
English (en)
Other versions
CN114666075A (zh
Inventor
马颖华
陈秀真
李志浩
于海洋
张立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN202011421173.2A priority Critical patent/CN114666075B/zh
Publication of CN114666075A publication Critical patent/CN114666075A/zh
Application granted granted Critical
Publication of CN114666075B publication Critical patent/CN114666075B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于深度网络特征的分布式网络异常检测方法及系统,将从分布式的雾节点中采集得到的流量数据进行预处理后,通过深度神经网络进行分类得到流量特征,经粗糙编码后,将异常流量上传至云端,再在云端对异常流量进行合并处理并聚集异常流量后得到异常检测结果。本发明使用雾节点来收集和处理流量,并对流量进行特征抽取以及特征编码的计算,将流量的基础计算在雾节点上进行,并将异常流量的数据计算粗糙编码并上报。在降低云端的数据规模的同时,云节点可以使用粗糙编码进行全系统内所有异常流量的聚集。

Description

基于深度特征粗糙编码的分布式网络异常检测方法及系统
技术领域
本发明涉及的是一种网络安全领域中网络异常的检测技术,具体是一种基于深度特征粗糙编码的分布式网络异常检测方法及系统。
背景技术
入侵检测系统(IDS)通过流量进行恶意流量的识别,从而发现其中隐藏的攻击行为,但该技术的处理数据流量巨大,IDS大都配置在单机或者服务器上,很难配置到大规模的网络之中,二工控节点的协议类多样,基于基线的IDS系统误报较多,而基于签名的IDS系统只能检测到已知特征的攻击,对变形攻击以及新型攻击。
现有的改进技术采用编码对网络请求进行压缩,用指纹保存流量的特定特征,从分布式的雾节点发送到服务器,由服务器来请求进行解压复原,并识别请求是否为持续性攻击。该技术可以起到压缩存储以及减少分布式通讯双的目的,但两个计算都是耗时的操作,对于基于流量处理的系统来说性能上不够高效。
发明内容
本发明针对现有技术存在的上述不足,提出一种基于深度特征粗糙编码的分布式网络异常检测方法及系统,使用雾节点来收集和处理流量,并对流量进行特征抽取以及特征编码的计算,将流量的基础计算在雾节点上进行,并将异常流量的数据计算粗糙编码并上报。在降低云端的数据规模的同时,云节点可以使用粗糙编码进行全系统内所有异常流量的聚集。
本发明是通过以下技术方案实现的:
本发明涉及一种基于深度特征粗糙编码的分布式网络异常检测方法,将从分布式的雾节点中采集得到的流量数据进行预处理后,通过深度神经网络进行分类得到流量特征,经粗糙编码后,将异常流量上传至云端,再在云端对异常流量进行合并处理并聚集异常流量后得到异常检测结果。
所述的粗糙编码是指:根据分类结果将恶意流量的240维特征向量进行max-min归一化,根据softmax层权重对归一化后的特征进行编码,其中权重绝对值低的特征舍弃不用,权重绝对值高的特征做细粒度的区间切分,将0-1区间切割后,归一化的流量特征映射到相应16进制字符串,最后将240个字符串合并,生成流量的编码结果。
本发明涉及一种实现上述方法的基于深度网络特征的分布式网络异常检测系统,包括:云端系统和若干雾节点,每个雾节点包括流量采集模块、流量处理模块、数据上报模块和配置管理模块;云端系统包括数据管理模块、流量聚集模块、结果可视化模块和系统管理模块,其中:系统管理模块下发雾节点的雾节点配置信息,配置管理模块根据接收的雾节点配置信息完成自身的节点配置;流量采集模块根据捕获的数据包进行预处理并输出流格式的提取特征至流量处理模块;流量处理模块根据来自配置管理模块的设置参数对流格式的提取特征进行分析得到分类结果和特征向量;数据上传模块将分类结果进行粗糙编码并将异常流量的粗糙编码结果上传至云端的数据管理模块;数据管理模块聚集来自各个雾节点标识信息及异常流量粗糙编码结果对;流量聚集模块对数据管理模块保存的数据使用聚集算法进行流量聚集;结果可视化模块显示聚集结果并生成报告;系统管理模块从云端系统对雾节点进行参数配置。
技术效果
本发明整体解决了现有技术无法针对大量网络节点海量流量进行分析并识别其受到的威胁和攻击行为;与现有技术相比,本发明通过边缘节点对检测结果进行粗糙编码,减少了上传数据量并且能识别形态更为多变的异常流量。对节点遭受的攻击进行聚集分析,可以发现攻击事件之间的隐藏关联。
与现有云边协同技术相比,本方法云雾间传递的是神经网络经过处理的特征数据,数据量小,因此可以更好地满足高负载的网络环境,具有较高的实时性。
与现有入侵检测技术相比,本方法可以应用于分布分散的工控系统以及有着大量边缘设备的物联网环境,雾节点可灵活配置对不同的工控节点进行监控,可配置各类深度算法对不同协议的流量进行分类处理。
与现有系统进行流量自身的聚集相比,本方法雾节点想上发送异常流量的粗糙编码,粗糙编码是对深度网络多层网络抽取的特征进行的,因此能识别形态更为多变的流量,不限于流量的关键词串,因此,云节点可以从更广的范围内发起全局异常流量的关联分析,识别一些突发的新型攻击,尤其是一些攻击多个分布节点的情况。
本方法所用的粗糙编码的方案,在7万多正常流量编码中,少于5%的编码结果同时出现在恶意流量的编码结果中,恶意流量与正常流量具有明显的区分度,并且数据占用空间减少60.8%。此外,由于基本粗糙编码的流量编码可以直接进行比对,无需计算流量间的相似度,因此聚集算法效率高,尤其方便对攻击多点工控网络的攻击流量进行聚集,因此基于粗糙编码聚集的聚集算法能有效聚集恶意流量,且显著降低磁盘空间占用,这对于应用于较大规模的网络中进行分布式的流量监测有重要意义。
附图说明
图1为本发明系统示意图;
图2为实施例粗糙编码生成示意图;
图3为实施例实现场景示意图。
具体实施方式
如图1所示,为本实施例涉及的一种基于上述方法的基于深度网络特征的分布式网络异常检测系统,包括:云端系统和若干雾节点,每个雾节点包括流量采集模块、流量处理模块、数据上报模块和配置管理模块;云端系统包括数据管理模块、流量聚集模块、结果可视化模块和系统管理模块,其中:系统管理模块下发雾节点的雾节点配置信息,配置管理模块根据接收的雾节点配置信息完成自身的节点配置;流量采集模块根据捕获的数据包进行预处理并输出流格式的提取特征至流量处理模块;流量处理模块根据来自配置管理模块的设置参数对流格式的提取特征进行分析得到分类结果和特征向量;数据上传模块将分类结果进行粗糙编码并将编码结果上传至云端的数据管理模块;数据管理模块聚集来自各个雾节点标识信息及异常流量粗糙编码结果对并保存;流量聚集模块对数据管理模块保存的数据使用异常流量的粗糙编码进行流量聚集;结果可视化模块显示聚集结果并生成报告;系统管理模块从云端系统对雾节点进行参数配置。
所述的配置管理模块的设置参数包括:雾节点采集数据的端口或者协议类型、深度学习网络类型信息和数据上传的类型信息设置。
所述的流量采集模块包括:采集单元和预处理单元,其中:采集单元从网络接口捕获数据包,预处理单元对所采集到的数据包进行预处理得到提取特征经转换参数格式化后输出至流量处理模块。
本实施例中流量采集模块通过采集单元采集数据包,使用流量嗅探工具捕捉发送到本节点的流量并保存为pcap格式。预处理单元收到pcap格式数据使用python的Scapy库进行解包,将相同源、目标主机、端口以及协议的数据包处理成同一个流,将源、目的ip设为0.0.0.0,对每一个流提取其前28×28字节(当长度不足则在末尾添加0x00进行填充),将其存为灰度图,将生成的图像转换为IDX格式文件发送到流量处理模块。
所述的预处理是指:根据相同源、目标主机、端口以及协议的数据包处理成同一个数据流,抽取端口和ip地址,对数据流提取特征。
所述的转换参数格式化是指:将具有相同源、目标主机、端口以及协议的数据包处理成同一个流,并对流的源、目的IP信息隐去,排除地址信息对检测结果的干扰,将流前28×28字节(当长度不足则在末尾添加0x00进行填充)存为灰度图。
所述的流量处理模块包括:流量特种抽取及异常分析单元、分类单元,其中:流量特征抽取及分类单元根据流量采集模块中生成的流量灰度图格式文件进行输入校验处理,得到深度学习网络的输入格式文件并输出至分类单元,分类单元根据学习结果对流进行分类定义。
本实施例中流量处理模块部署6层CNN神经网络,基于CTU-13僵尸网络流量数据集训练而成,以流量采集模块发出的格式化数据作为输入,输出结果向量发送给数据上传模块。结果向量的长度为240×1,根据结果向量通过softmax层进行二分类,做为异常分类结果。被判断为异常的流量,系统将异常流量的结果向量发送给数据上传模块。
所述的数据上传模块包括:流量特征粗糙编码单元和节点异常记录单元,其中:流量特征粗糙编码单元将流量处理模块输出的特征向量结果作为输入进行编码转换,生成特征向量及编码结果对,并对数据异常进行过滤判断后将异常的数据输出至节点异常记录单元;节点异常记录单元记录流特征编码及原始流信息,并将记录的内容发送给云端的数据管理模块。
本实施例中数据上传模块接收上个模块的异常流量的灰度图作为输入,240维的编码结果通过max-min归一化。由于流量特征对网络判定结果的影响不同,根据softmax层权重对归一化后的特征进行编码。权重绝对值低的特征舍弃不用,或区间切分粒度较粗;权重绝对值高的特征做细粒度的区间切分。将0-1区间切分后,归一化的流量特征映射到相应16进制字符串,最后将240个字符串合并,生成流量的编码结果。将编码结果与所属流信息、分类结果信息作为元组记录并发送至云端。
所述的编码转换是指:即粗糙编码,如图2所示,以分类结果特征向量作为输入,240维的编码结果通过max-min归一化。由于流量特征对网络判定结果的影响不同,根据softmax层权重对归一化后的特征进行编码。权重绝对值低的特征舍弃不用,或区间切分粒度较粗;权重绝对值高的特征做细粒度的区间切分。将0-1区间切分后,归一化的流量特征映射到相应16进制字符串,最后将240个字符串合并,生成流量的编码结果。
所述的转换编码保存是指:根据数据的属性,将数据所属雾节点信息、分类信息、时间戳、编码信息存入云端数据库。
所述的流量聚集是指:查找编码一致或者编码类似的流量,发现相似攻击;分析雾节点采集的流量间的隐藏关联和雾节点自身的历史关联,并保存各个雾节点流量之间的关联信息与流量分类结果。
所述的查找,具体使用基于粗糙编码的方法的流量聚集算法,根据字符串的距离判断聚集结果,选取编辑距离,即Levenshtein距离
Figure GDA0003897068410000041
Figure GDA0003897068410000042
其中:a,b代表字符串;i/j代表字符串中第i/j个字符;将计算结果重新存入数据库中。
所述的相似攻击,通过判断周期时间内两个节点异常流量的粗糙编码Levenshtein距离小于阈值,即视作两个节点在此时受到了相似攻击。
所述的分析是指:记录当前异常流量粗糙编码与之前时刻异常流量粗糙编码计算Levenshtein距离在预设范围内的不同节点之间收到的异常流量的相似性,即隐藏关联以及当当前异常流量粗糙编码与之前时刻异常流量粗糙编码计算Levenshtein距离小于阈值时,此节点可能受到了慢速攻击或二次攻击,即历史关联。
所述的关联信息包括:节点信息、流量编码、聚集结果、分类结果、各个雾节点采集到流量的时间、聚集时间、关联度信息。
所述的流量分类结果包括:高危、中危、低危、警告。
所述的生成报告是指:以数据库中聚集结果为输入,按照预置的方案显示策略生成实时报告,并提供报告下载接口。
所述的系统管理模块包括:用户管理单元、雾节点管理单元,其中:用户管理单元用于云端系统中用户及其权限的管理,雾节点管理单元用于定义雾节点的网络配置、雾节点数据上发的规则,以及各个雾节点数据处理算法,并发送雾节点配置命令以及雾节点配置数据包给雾节点。
如图3所示,经过具体实际实验,在7万多正常流量编码中,少于5%的编码结果同时出现在恶意流量的编码结果中,恶意流量与正常流量具有95%以上的区分度,并且数据占用空间减少60.8%。
综上,本发明使用了粗糙编码压缩了异常流量,减少了上传数据量并且云节点可以使用粗糙编码的聚集算法进行全系统内所有异常流量的聚集和关联。
上述具体实施可由本领域技术人员在不背离本发明原理和宗旨的前提下以不同的方式对其进行局部调整,本发明的保护范围以权利要求书为准且不由上述具体实施所限,在其范围内的各个实现方案均受本发明之约束。

Claims (10)

1.一种基于深度特征粗糙编码的分布式网络异常检测方法,其特征在于,将从分布式的雾节点中采集得到的流量数据进行预处理后,通过深度神经网络进行分类得到流量特征,经粗糙编码后,将异常流量上传至云端,再在云端对异常流量进行合并处理并聚集异常流量后得到异常检测结果;
所述的采集,使用流量嗅探工具捕捉发送到当前分布式的雾节点的流量并保存为pcap格式;
所述的预处理是指:根据相同源、目标主机、端口以及协议的数据包处理成同一个数据流,抽取端口和ip地址,对数据流提取特征;
所述的粗糙编码是指:根据分类结果将恶意流量的240维特征向量进行max-min归一化,根据softmax层权重对归一化后的特征进行编码,其中权重绝对值低的特征舍弃不用,权重绝对值高的特征做细粒度的区间切分,将0-1区间切割后,归一化的流量特征映射到相应16进制字符串,最后将240个字符串合并,生成流量的编码结果;
所述的流量聚集是指:查找编码一致或者编码类似的流量,发现相似攻击;分析雾节点采集的流量间的隐藏关联和雾节点自身的历史关联,并保存各个雾节点流量之间的关联信息与流量分类结果;
所述的查找,具体使用基于粗糙编码的方法的流量聚集算法,根据字符串的距离判断聚集结果,选取编辑距离,即Levenshtein距离
Figure FDA0003897068400000011
Figure FDA0003897068400000012
其中:a,b代表字符串;i/j代表字符串中第i/j个字符;将计算结果重新存入数据库中。
2.根据权利要求1所述的基于深度特征粗糙编码的分布式网络异常检测方法,其特征是,所述的预处理,将pcap格式的数据使用python的Scapy库进行解包,将相同源、目标主机、端口以及协议的数据包处理成同一个流,将源、目的ip设为0.0.0.0,对每一个流提取其前28×28字节后,将其存为灰度图,将生成的图像转换为IDX格式文件。
3.根据权利要求1所述的基于深度特征粗糙编码的分布式网络异常检测方法,其特征是,所述的将从分布式的雾节点中采集得到的流量数据进行预处理的转换参数格式化是指:将具有相同源、目标主机、端口以及协议的数据包处理成同一个流,并对流的源、目的IP信息隐去,排除地址信息对检测结果的干扰,对每一个流提取其前28×28字节后,将其存为灰度图。
4.一种实现上述权利要求1~3中任一所述方法的基于深度特征粗糙编码的分布式网络异常检测系统,其特征在于,包括:云端系统和若干雾节点,每个雾节点包括流量采集模块、流量处理模块、数据上报模块和配置管理模块;云端系统包括数据管理模块、流量聚集模块、结果可视化模块和系统管理模块,其中:系统管理模块下发雾节点的雾节点配置信息,配置管理模块根据接收的雾节点配置信息完成自身的节点配置;流量采集模块根据捕获的数据包进行预处理并输出流格式的提取特征至流量处理模块;流量处理模块根据来自配置管理模块的设置参数对流格式的提取特征进行分析得到分类结果和特征向量;数据上传模块根据分类结果和特征向量生成特征向量及编码结果对并经数据异常过滤后上传至云端;数据管理模块聚集来自各个雾节点的流量特征向量及分类结果,经转换编码保存;流量聚集模块对数据管理模块保存的数据使用异常流量的粗糙编码进行流量聚集;结果可视化模块显示聚集结果并生成报告;系统管理模块从云端系统对雾节点进行参数配置;
所述的配置管理模块的设置参数包括:雾节点采集数据的端口或者协议类型、深度学习网络类型信息和数据上传的类型信息设置;
所述的转换编码保存是指:根据数据的属性,将数据所属雾节点信息、分类信息、时间戳、编码信息存入云端数据库;
所述的生成报告是指:以数据库中聚集结果为输入,按照预置的方案显示策略生成实时报告,并提供报告下载接口。
5.根据权利要求4所述的分布式网络异常检测系统,其特征是,所述的流量采集模块包括:采集单元和预处理单元,其中:采集单元从网络接口捕获数据包,预处理单元对所采集到的数据包进行预处理得到提取特征经转换参数格式化后输出至流量处理模块。
6.根据权利要求4所述的分布式网络异常检测系统,其特征是,所述的流量处理模块包括:流量特征抽取及异常分析单元、分类单元,其中:流量特征抽取及分类单元根据流量采集模块中生成的流量灰度图格式文件进行输入校验处理,得到深度学习网络的输入格式文件并输出至分类单元,分类单元根据学习结果对流进行分类定义。
7.根据权利要求4所述的分布式网络异常检测系统,其特征是,所述的数据上传模块包括:流量特征粗糙编码单元和节点异常记录单元,其中:流量特征粗糙编码单元将流量处理模块输出的特征向量结果作为输入进行编码转换,生成特征向量及编码结果对,并对数据异常进行过滤判断后将异常的数据输出至节点异常记录单元;节点异常记录单元记录流特征编码及原始流信息,并将记录的内容发送给云端的数据管理模块;
所述的数据上传模块接收上个模块的异常流量的灰度图作为输入,240维的编码结果通过max-min归一化;由于流量特征对网络判定结果的影响不同,根据softmax层权重对归一化后的特征进行编码;权重绝对值低的特征舍弃不用,或区间切分粒度较粗;权重绝对值高的特征做细粒度的区间切分;将0-1区间切分后,归一化的流量特征映射到相应16进制字符串,最后将240个字符串合并,生成流量的编码结果;将编码结果与所属流信息、分类结果信息作为元组记录并发送至云端。
8.根据权利要求7所述的分布式网络异常检测系统,其特征是,所述的关联信息包括:节点信息、流量编码、聚集结果、分类结果、各个雾节点采集到流量的时间、聚集时间、关联度信息;
所述的流量分类结果包括:高危、中危、低危、警告。
9.根据权利要求4所述的分布式网络异常检测系统,其特征是,所述的相似攻击,通过判断周期时间内两个节点异常流量的粗糙编码Levenshtein距离小于阈值,即视作两个节点在此时受到了相似攻击;
所述的分析是指:记录当前异常流量粗糙编码与之前时刻异常流量粗糙编码计算Levenshtein距离在预设范围内的不同节点之间收到的异常流量的相似性,即隐藏关联以及当当前异常流量粗糙编码与之前时刻异常流量粗糙编码计算Levenshtein距离小于阈值时,此节点可能受到了慢速攻击或二次攻击,即历史关联。
10.根据权利要求4所述的分布式网络异常检测系统,其特征是,所述的系统管理模块包括:用户管理单元、雾节点管理单元,其中:用户管理单元用于云端系统中用户及其权限的管理,雾节点管理单元用于定义雾节点的网络配置、雾节点数据上发的规则,以及各个雾节点数据处理算法,并发送雾节点配置命令以及雾节点配置数据包给雾节点。
CN202011421173.2A 2020-12-08 2020-12-08 基于深度特征粗糙编码的分布式网络异常检测方法及系统 Active CN114666075B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011421173.2A CN114666075B (zh) 2020-12-08 2020-12-08 基于深度特征粗糙编码的分布式网络异常检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011421173.2A CN114666075B (zh) 2020-12-08 2020-12-08 基于深度特征粗糙编码的分布式网络异常检测方法及系统

Publications (2)

Publication Number Publication Date
CN114666075A CN114666075A (zh) 2022-06-24
CN114666075B true CN114666075B (zh) 2023-04-07

Family

ID=82024274

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011421173.2A Active CN114666075B (zh) 2020-12-08 2020-12-08 基于深度特征粗糙编码的分布式网络异常检测方法及系统

Country Status (1)

Country Link
CN (1) CN114666075B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116055413B (zh) * 2023-03-07 2023-08-15 云南省交通规划设计研究院有限公司 一种基于云边协同的隧道网络异常识别方法
CN118118274B (zh) * 2024-04-15 2024-10-18 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 基于图异常检测算法的网络入侵检测方法、系统及介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681339B (zh) * 2016-03-07 2018-11-06 重庆邮电大学 一种融合粗糙集与ds证据理论的增量式入侵检测方法
US10951639B2 (en) * 2017-09-28 2021-03-16 Yokogawa Electric Corporation Systems, methods and computer program products for anomaly detection
CN108683658B (zh) * 2018-05-11 2020-11-03 上海交通大学 基于多rbm网络构建基准模型的工控网络流量异常识别方法
CN109951451A (zh) * 2019-02-21 2019-06-28 北京工业大学 雾计算中一种基于强化学习的伪装攻击检测方法
CN111355610A (zh) * 2020-02-25 2020-06-30 网宿科技股份有限公司 一种基于边缘网络的异常处理方法及装置

Also Published As

Publication number Publication date
CN114666075A (zh) 2022-06-24

Similar Documents

Publication Publication Date Title
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
CN114666075B (zh) 基于深度特征粗糙编码的分布式网络异常检测方法及系统
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN111817982B (zh) 一种面向类别不平衡下的加密流量识别方法
CN113079143A (zh) 一种基于流数据的异常检测方法及系统
CN111064678A (zh) 基于轻量级卷积神经网络的网络流量分类方法
CN112738039A (zh) 一种基于流量行为的恶意加密流量检测方法、系统及设备
CN110532564B (zh) 一种基于cnn和lstm混合模型的应用层协议在线识别方法
CN113364787B (zh) 一种基于并联神经网络的僵尸网络流量检测方法
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN109218321A (zh) 一种网络入侵检测方法及系统
CN113037567B (zh) 一种用于电网企业的网络攻击行为仿真系统的仿真方法
CN112804253A (zh) 一种网络流量分类检测方法、系统及存储介质
CN110661802A (zh) 一种基于pca-svm算法的慢速拒绝服务攻击检测方法
CN115134250A (zh) 一种网络攻击溯源取证方法
CN117749409A (zh) 一种大规模网络安全事件分析系统
CN116384736A (zh) 一种智慧城市的风险感知方法及系统
CN111833174A (zh) 一种基于lof算法的互联网金融申请反欺诈识别方法
CN111490976B (zh) 一种面向工控网络的动态基线管理与监测方法
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN113765891A (zh) 一种设备指纹识别方法以及装置
US20150150132A1 (en) Intrusion detection system false positive detection apparatus and method
CN117527295A (zh) 基于人工智能的自适应网络威胁检测系统
CN112383750A (zh) 一种输电线路通道智慧管控平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant