CN114710306A - 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 - Google Patents
基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 Download PDFInfo
- Publication number
- CN114710306A CN114710306A CN202110422786.6A CN202110422786A CN114710306A CN 114710306 A CN114710306 A CN 114710306A CN 202110422786 A CN202110422786 A CN 202110422786A CN 114710306 A CN114710306 A CN 114710306A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- stage
- layer
- convolutional neural
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 36
- 238000013527 convolutional neural network Methods 0.000 title claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 9
- 238000010801 machine learning Methods 0.000 claims abstract description 8
- 238000012549 training Methods 0.000 claims description 38
- 230000006870 function Effects 0.000 claims description 19
- 230000004913 activation Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 9
- 238000007781 pre-processing Methods 0.000 claims description 8
- 210000005036 nerve Anatomy 0.000 claims description 5
- 238000011176 pooling Methods 0.000 claims description 5
- 238000012952 Resampling Methods 0.000 claims description 4
- 230000001419 dependent effect Effects 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 238000003062 neural network model Methods 0.000 claims description 2
- 230000000717 retained effect Effects 0.000 claims 2
- 230000001537 neural effect Effects 0.000 claims 1
- 230000005856 abnormality Effects 0.000 abstract 1
- 238000010276 construction Methods 0.000 abstract 1
- 238000002474 experimental method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 238000007477 logistic regression Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
针对数据类不平衡问题,从模型构建的层面,本发明提供了一种基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型。本发明技术方案主要分两个阶段执行,第一阶段首先获取待识别的网络流量数据,对数据流进行预处理,然后使用机器学习中的LightGBM算法对网络流量数据进行正异常识别。第二阶段使用二维卷积神经网络对第一阶段预测为异常类的样本进行细粒度攻击类型检测。本发明的第二阶段中还设置了可选的基于数据集不平衡比率的IR‑SMOTE过采样技术。本发明提供的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型能很好地适应不平衡数据集,分类效率高,性能较优。
Description
技术领域
本发明属于网络安全中的入侵检测领域,具体涉及一种基于LightGBM算法 和卷积神经网络的两阶段细粒度网络入侵检测模型。
背景技术
根据国家互联网应急中心(CNCERT)在2020年8月11日公布的《2019年 中国互联网网络安全报告》显示,2019年度识别到的计算机恶意程序样本数超 过了6200万个,网络安全威胁呈现出许多新特点,带来新风险与新挑战。入侵 检测系统(Intrusion DetectionSystem,IDS)可以监管网络安全状态,通过监视 网络或系统资源,识别与安全策略规定不符的异常行为或攻击迹象,并及时发出 告警信号。
近年来,基于机器学习和深度学习技术的网络入侵检测系统得到了广泛的研 究,取得了一些不错的成果,但也存在如下诸多挑战和难题。第一,在网络流量 数据中,正常流量占绝大部分,异常流量仅占很小的一部分,这种严重的类不平 衡问题大大降低了尤其是少数类的检测率,对入侵检测系统来说是一个很大的挑 战。第二,面对不同类型的攻击应采取的保护措施是不一样的,需要对症下药, 但原来的入侵检测系统往往仅区分正异常流量,而很难识别出具体的攻击类型。 最后,网络流量数据日益庞大,如何充分利用大规模的网络流量数据,实现高效 的入侵检测也是一个巨大的挑战。
基于上述背景和挑战,网络入侵检测系统作为一种被广泛用于嗅探和检测不 同类型网络入侵威胁的系统,需要随着时间的推移而不断发展,以满足日益增长 的网络安全保障需求。
发明内容
本发明针对现有技术的不足,提供一种基于LightGBM算法和卷积神经网络 的两阶段细粒度网络入侵检测模型。具体方案如下:
获取待识别的网络数据流;
将所述待识别的网络数据流输入到预先建立的基于LightGBM算法和卷积神 经网络的两阶段细粒度网络入侵检测模型中,输出网络数据流的检测结果。
其中,所述的两阶段细粒度网络入侵检测模型通过以下方式建立:
获取网络数据流样本,对数据流样本进行数据预处理;
将预处理后的数据流样本输入到第一阶段中的LightGBM机器学习算法中进 行初步的正异常识别,即二分类;
第二阶段首先随机删除训练集中s%的正常类数据,删除后的数据子集作为 第二阶段的新的训练集;
使用IR-SMOTE方法重采样训练集;
使用重采样后数据训练一个卷积神经网络模型对第一阶段预测为异常类的 样本进行细粒度分类,即多分类。建立的卷积神经网络模型结构如下:两个二维 卷积层,紧跟一个最大池化层,之后是一个Dropout层和一个BatchNormalization 层,最后是三个全连接层;除最后一个全连接层使用Softmax激活函数外,其余 各层均使用Relu激活函数。至此,该两阶段网络入侵检测模型即可完成对数据 流样本的细粒度攻击检测。
基于上述,所述获取待识别的网络数据流的步骤,包括:使用抓包工具(如Wireshark,BurpSuite,Tcpump等)捕获网络数据流;提取原始数据流的流特征、 基本特征、内容特征、时间特征、通用特征、连接特征等特征,得到特征提取后 的网络数据流样本。
基于上述,所述对数据流样本进行数据预处理的步骤,包括:首先删除一些 对模型分类冗余和无意义的特征,如IP地址、端口号和时间戳(Timestamp); 然后对样本中的缺失值(NaN)进行补零,对无穷大值(infinity)使用所在列最 大值+1进行替换;之后根据x′=(x-μ)/δ对样本数据x进行StandardScaler标 准化,将每个特征均标准化为均值为0、方差为4的高斯分布,其中x′为标准化 后的数据,μ和δ分别为样本数据的平均值和标准差;最后将名词型类别标签分别 替换为从0开始递增的整数值。
基于上述,所述使用IR-SMOTE方法对包含C个类别的训练集D= {Di,1,2,…,C}进行重采样处理,即类不平衡处理的步骤,包括:首先计算数据集 的不平衡比率(ImbalanceRatio,IR),定义为:
其中,Maxi|Di|表示数据集中实例最多的一个类别的样本数,Mini|Di|表示实例最少的一个类别的样本数。
然后设置一个与过采样程度有关的系数
计算重采样 后实例数IResample=Mini|Di|*10α。对于数据集中样本数少于IResample的类别, 使用SMOTE将该类别样本数过采样到与IResample平衡。经过IR-SMOTE处理 后,数据集的不平衡比率会减少,减小的程度与α有关。
基于上述,所述第二阶段使用的卷积神经网络结构包括:第一、二层均是有 64个卷积核的二维卷积层,卷积核的尺寸为(3*3)。第三层为最大池化层,将 卷积层的特征图下采样两倍。然后加入了一个参数为0.2的Dropout层和一个 BatchNormalization层。BatchNormalization层可在训练时对每一个批处理级别的 特征进行标准化,此时整个数据集被重新缩放,可以加快网络收敛。数据经过 Flatten()函数展平后,依次输入三个全连接层,前两层神经单元个数分别为128 和64。卷积层和前两个全连接层都使用Relu激活函数。第三个全连接层即为整 个网络的输出层,神经单元个数与待检测数据集的总类别数一致,激活函数使用 Softmax激活函数。
本发明相对现有的技术具有突出的实质性特点和显著提高,具体地说,本发 明提出了一种基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检 测模型。该两阶段模型能在充分利用不平衡的大规模网络流数据的同时实现准确 和高效的细粒度攻击类型检测。第一阶段中使用了兼具准确性和时效性的 LightGBM算法,对大规模数据进行了初步充分利用。第二阶段删除了训练集中 的s%的正常类数据,使模型在训练过程中更关注于攻击类别,有效缓解了数据 集的不平衡问题给模型带来的负面影响,同时缩短了模型的训练时间。
附图说明
图1为本发明基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵 检测模型的架构。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1所示,基于LightGBM算法和卷积神经网络的两阶段细粒度网络入 侵检测模型,该方法包括:
获取待识别的网络数据流;
将所述待识别的网络数据流输入到预先建立的基于LightGBM算法和卷积神 经网络的两阶段细粒度网络入侵检测模型中,输出网络数据流的检测结果。
所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模 型通过以下方式建立:
获取网络数据流样本,输入到模型的第一阶段,首先对数据流样本进行数据 预处理。
具体的,采用如下方式对数据流样本进行数据预处理:
(1)特征简约:首先删除一些对模型分类冗余和无意义的特征,如IP地址、 端口号和时间戳(Timestamp)。
(2)替换特殊值:对样本中的缺失值(NaN)进行补零,对无穷大值(infinity) 使用所在列最大值+1进行替换。
(3)标准化:根据x′=(x-μ)/δ对样本数据x进行StandardScaler标准化, 将每个特征均标准化为均值为0、方差为1的高斯分布,其中x′为标准化后的数 据,μ和δ分别为样本数据的平均值和标准差。
(4)标签特征数值化:将名词型类别标签分别替换为从0开始递增的整数 值。如正常类数据样本类别标签用0标识,其它攻击类样本类别标签用1,2…标 识。
对获取到的网络数据流进行数据预处理后,将数据集按照训练集:测试集=8:2的比例分裂为两个数据子集。之后使用LightGBM算法对数据进行初步的正异常 识别,即,将网络流量数据区分为正常流量或攻击流量。在第一阶段中被预测为 正常类的数据则忽略不再进行处理,被预测为异常类的数据样本则输入到第二阶 段以待进一步区分具体的攻击类别。
第二阶段负责将第一阶段预测为异常类的样本进行更细粒度的攻击类型识 别。首先,删除第一阶段训练集中s%的正常类数据,删除后的数据子集作为第 二阶段的新的训练集。
然后,根据IR采用SMOTE对训练数据执行过采样,即IR-SMOTE方法。 对包含C个类别的训练集D={Di,1,2,…,C},IR-SMOTE首先计算数据集的不平 衡比率IR:
其中,Maxi|Di|表示数据集中实例最多的一个类别的样本数,Mini|Di|表示实例最少的一个类别的样本数。然后设置一个与过采样程度有关的系数
计算重采样后实例数IResample=Mini|Di|*10α。对于数据集中 样本数少于IResample的类别,使用SMOTE将该类别样本数过采样到与IResample平衡。经过IR-SMOTE处理后,数据集的不平衡比率会减少,减小的程度与α有 关。IR-SMOTE方法的伪代码如算法4所示。
最后,训练一个卷积神经网络模型对第一阶段预测为异常类的样本进行细粒 度的攻击类型识别。第二阶段所使用的卷积神经网络模型结构如下所示:网络流 量数据经reshape()函数转换为二维数据后输入网络,第一、二层均是有64个 卷积核的二维卷积层,卷积核的尺寸为(3*3)。第三层为最大池化层,将卷积 层的特征图下采样两倍。然后加入一个参数为0.2的Dropout层和一个 BatchNormalization层。数据经过Flatten()函数展平后,依次输入三个全连接层, 前两层神经单元个数分别为128和64。卷积层和前两个全连接层都使用Relu激 活函数。第三个全连接层即为整个网络的输出层,神经单元个数与待检测数据集 的总类别数一致,激活函数使用Softmax激活函数。
在所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测 模型的训练过程中,第一阶段使用的LightGBM算法是基于Scikit-learn(sklearn) 模块实现的,算法参数均为默认参数。第二阶段卷积神经网络训练时,使用初始 学习率为0.005的“Adam”优化器,采用“categorical_crossentropy”损失函数, 将模型的batch_size设置为500,epochs设置为100。
验证实验
实验使用了一个具有千万级数据量的开源数据集:CSE-CIC-IDS2018数据集, 是目前入侵检测领域最新数据集之一。数据集涉及六个不同的攻击场景,即 Brute-force,DoS,DDoS,Web attacks,Botnet和infiltration。数据集使用 CICFlowMeter-V3工具从网络流量中提取了84个网络流特征(包含类别标签)。 本实验使用了CSE-CIC-IDS2018数据集公布的10个CSV文件。CSV文档已 直接将“Flow ID”,“Src IP”,“Src Port”和“Dst IP”四个特征进行了删除,此 时数据集包含80个特征。整个数据集的网络流量数据多达1,620万条,六个不 同攻击场景可以细分为14个具体的攻击类别。经第一阶段数据预处理后CSE- CIC-IDS2018数据集共有78个行为特征和一个类别特征。
在第一阶段的实验中,采用时效性比较好的LightGBM机器学习算法进行初 步的正异常识别。另外,还对比了另外六种经典的机器学习技术,即Random Forests(RF),Decision Trees(DT),Logistic Regression(LR),K-Nearest Neighbors(KNN),AdaBoost和XGBoost。
表1为该模型在第一阶段对CSE-CIC-IDS2018数据集正异常样本识别中,LightGBM算法与其它六种机器学习算法的性能对比。由表1可以看出,LightGBM和XGBoost评估指标远优于其它算法。LightGBM的Acc为 99.135%,DR为95.009%,Precision为99.878%,F1为97.383%,MCC为 96.909%。LightGBM的精度比XGBoost的精度低了约不到0.1%,但LightGBM 的训练时间比XGBoost的训练时间缩短了约70倍。较高的精度和较小的时间 成本说明了LightGBM算法适宜于处理大规模入侵检测数据。
表1第一阶段正异常识别中七种机器学习算法的性能评估(%)
第二阶段主要对第一阶段预测为异常类的样本进行细粒度分类,首先随机删 除了训练集中95%的“Benign”类样本。然后从训练集中分裂出10%的数据作 为第二阶段的验证集。为了保证测试结果的真实有效性,只对第二阶段的训练集 进行了类不平衡处理。使用IR-SMOTE方法将过采样程度系数α依次设置为 0,1,2,3进行实验,其中α=0表示不进行任何采样处理。另外,还增加了使用 SMOTE将训练集完全平衡的对比实验。表2为当使用IR-SMOTE设置不同程 度采样系数α时卷积神经网络的细粒度分类结果,其中重点展示了每个类别的DR。
由表2可以看出,当过采样程度系数α为0,即不进行类不平衡处理时CNN 的分类性能最优。在α从1逐一增大的过程中,CNN的总体分类精度呈上升趋 势。当SMOTE完全平衡训练集时,CNN分类的Precision为99.903%,仅比原 始不平衡训练集的Precision多了0.001%,其余各指标均与原始不平衡训练集所 训练模型的指标相同。从时间成本来看,当α分别为0,1,2,3时,训练时间和测试 时间基本相同。当使用SMOTE完全平衡数据集时,训练时间增加到了51.050 秒,是原始训练集训练时间的约2.8倍。综合各评价指标和时间成本,当使用原 始不平衡训练集训练模型时,CNN的性能最佳,此时Acc和DR均为99.896%, F1为99.862%,MCC为95.922%。实验结果充分说明了,所述的基于LightGBM 算法和卷积神经网络的两阶段细粒度网络入侵检测模型能很好地处理不平衡数 据。
表2 IR-SMOTE设置不同程度过采样系数时的第二阶段CNN分类结果(%)
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制; 尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当 理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同 替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方 案范围当中。
Claims (6)
1.一种基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型,其特征在于,该方法包括:
获取网络数据流样本,对数据流样本进行数据预处理;
将预处理后的数据流样本输入到第一阶段中的LightGBM机器学习算法中进行初步的正异常识别,即二分类;
第二阶段首先随机删除训练集中s%的正常类数据,删除后的数据子集作为第二阶段的新的训练集;
使用IR-SMOTE方法重采样训练集;
使用重采样后数据训练一个卷积神经网络模型对第一阶段预测为异常类的样本进行细粒度分类,即多分类。建立的卷积神经网络模型结构如下:两个二维卷积层,紧跟一个最大池化层,之后是一个Dropout层和一个BatchNormalization层,最后是三个全连接层;除最后一个全连接层使用Softmax激活函数外,其余各层均使用Relu激活函数。
2.根据权利要求1所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型,其特征在于,所述获取待识别的网络数据流的步骤,包括:使用抓包工具(如Wireshark,BurpSuite,Tcpump等)捕获网络数据流;提取原始数据流的流特征、基本特征、内容特征、时间特征、通用特征、连接特征等特征,得到特征提取后的网络数据流样本。
3.根据权利要求1所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型,其特征在于,所述对数据流样本进行数据预处理的步骤,包括:首先删除一些对模型分类冗余和无意义的特征,如IP地址、端口号和时间戳(Timestamp);然后对样本中的缺失值(NaN)进行补零,对无穷大值(infinity)使用所在列最大值+1进行替换;之后根据x′=(x-μ)/δ对样本数据x进行StandardScaler标准化,将每个特征均标准化为均值为0、方差为1的高斯分布,其中x′为标准化后的数据,μ和δ分别为样本数据的平均值和标准差;最后将名词型类别标签分别替换为从0开始递增的整数值。
4.根据权利要求1所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型,其特征在于,所述第二阶段随机删除训练集中s%的正常类数据,s的取值要满足一个条件,即,使保留的正常类样本数与样本数最多的一个攻击类基本保持平衡。
5.根据权利要求1所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型,其特征在于,所述IR-SMOTE方法对包含C个类别的训练集D={Di,1,2,…,C}进行重采样处理,即类不平衡处理的步骤,包括:首先计算数据集的不平衡比率(ImbalanceRatio,IR),定义为:
其中,Maxi|Di|表示数据集中实例最多的一个类别的样本数,Mini|Di|表示实例最少的一个类别的样本数。
然后设置一个与过采样程度有关的系数
计算重采样后实例数IResample=Mini|Di|*10α。对于数据集中样本数少于IResample的类别,使用SMOTE将该类别样本数过采样到与IResample平衡。经过IR-SMOTE处理后,数据集的不平衡比率会减少,减小的程度与α有关。
6.根据权利要求1所述的基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型,其特征在于,网络流量数据经reshape()函数转换为二维数据后输入卷积神经网络,第一、二层均是有64个卷积核的二维卷积层,卷积核的尺寸为(3*3)。第三层为最大池化层,将卷积层的特征图下采样两倍。然后加入了一个参数为0.2的Dropout层和一个BatchNormalization层。BatchNormalization层可在训练时对每一个批处理级别的特征进行标准化,此时整个数据集被重新缩放,可以加快网络收敛。数据经过Flatten()函数展平后,依次输入三个全连接层,前两层神经单元个数分别为128和64。卷积层和前两个全连接层都使用Relu激活函数。第三个全连接层即为整个网络的输出层,神经单元个数与待检测数据集的总类别数一致,激活函数使用Softmax激活函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110422786.6A CN114710306A (zh) | 2021-04-15 | 2021-04-15 | 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110422786.6A CN114710306A (zh) | 2021-04-15 | 2021-04-15 | 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114710306A true CN114710306A (zh) | 2022-07-05 |
Family
ID=82166783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110422786.6A Pending CN114710306A (zh) | 2021-04-15 | 2021-04-15 | 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710306A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116827607A (zh) * | 2023-06-02 | 2023-09-29 | 广州大学 | 一种集成XGBoost和LightGBM模型的车载CAN总线入侵检测算法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138784A (zh) * | 2019-05-15 | 2019-08-16 | 重庆大学 | 一种基于特征选择的网络入侵检测系统 |
| CN111740971A (zh) * | 2020-06-15 | 2020-10-02 | 郑州大学 | 基于类不平衡处理的网络入侵检测模型sgm-cnn |
| CN111901340A (zh) * | 2020-07-28 | 2020-11-06 | 四川大学 | 一种面向能源互联网的入侵检测系统及其方法 |
| US20210049413A1 (en) * | 2019-08-16 | 2021-02-18 | Zscaler, Inc. | Pattern similarity measures to quantify uncertainty in malware classification |
-
2021
- 2021-04-15 CN CN202110422786.6A patent/CN114710306A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138784A (zh) * | 2019-05-15 | 2019-08-16 | 重庆大学 | 一种基于特征选择的网络入侵检测系统 |
| US20210049413A1 (en) * | 2019-08-16 | 2021-02-18 | Zscaler, Inc. | Pattern similarity measures to quantify uncertainty in malware classification |
| CN111740971A (zh) * | 2020-06-15 | 2020-10-02 | 郑州大学 | 基于类不平衡处理的网络入侵检测模型sgm-cnn |
| CN111901340A (zh) * | 2020-07-28 | 2020-11-06 | 四川大学 | 一种面向能源互联网的入侵检测系统及其方法 |
Non-Patent Citations (3)
| Title |
|---|
| HONGPO ZHANG ,LULU HUANG, C.Q.WU , ZHANBO LI: "An effective convolutional neural network based on SMOTE and Gaussian mixture model for intrusion detection in imbalanced dataset" * |
| SAIKAT DAS; MOHAMMAD ASHRAFUZZAMAN; FREDERICK T. SHELDON; SAJJAN SHIVA: "Network Intrusion Detection using Natural Language Processing and Ensemble Machine Learning" * |
| 莫坤;王娜;李恒吉;李朝阳;李剑: "基于LightGBM的网络入侵检测系统" * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116827607A (zh) * | 2023-06-02 | 2023-09-29 | 广州大学 | 一种集成XGBoost和LightGBM模型的车载CAN总线入侵检测算法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109768985B (zh) | 一种基于流量可视化与机器学习算法的入侵检测方法 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN111740971A (zh) | 基于类不平衡处理的网络入侵检测模型sgm-cnn | |
| CN113420802B (zh) | 基于改进谱聚类的报警数据融合方法 | |
| CN113422763B (zh) | 基于攻击场景构建的报警关联分析方法 | |
| CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
| Abdulrazaq et al. | Combination of multi classification algorithms for intrusion detection system | |
| CN115086029A (zh) | 一种基于双通道时空特征融合的网络入侵检测方法 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| CN110809009A (zh) | 一种应用于工控网络的两级入侵检测系统 | |
| CN114710306A (zh) | 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 | |
| Liu et al. | An accuracy network anomaly detection method based on ensemble model | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
| CN109698835B (zh) | 一种面向https隐蔽隧道的加密木马检测方法 | |
| CN114866297B (zh) | 网络数据检测方法、装置、电子设备及存储介质 | |
| Sulaiman et al. | Big data analytic of intrusion detection system | |
| CN112929364B (zh) | 一种基于icmp隧道分析的数据泄漏检测方法及系统 | |
| CN112287345B (zh) | 基于智能风险检测的可信边缘计算系统 | |
| CN113946823A (zh) | 一种基于url基线偏离度分析的sql注入检测方法及装置 | |
| Baich et al. | Machine Learning for IoT based networks intrusion detection: a comparative study | |
| CN111507368A (zh) | 一种校园网入侵检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20220705 |