CN115174237A - 一种物联网系统恶意流量的检测方法、装置和电子设备 - Google Patents

一种物联网系统恶意流量的检测方法、装置和电子设备 Download PDF

Info

Publication number
CN115174237A
CN115174237A CN202210805158.0A CN202210805158A CN115174237A CN 115174237 A CN115174237 A CN 115174237A CN 202210805158 A CN202210805158 A CN 202210805158A CN 115174237 A CN115174237 A CN 115174237A
Authority
CN
China
Prior art keywords
traffic
data
iot terminal
flow
iot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210805158.0A
Other languages
English (en)
Other versions
CN115174237B (zh
Inventor
张光华
张珂
闫风如
左晓军
王颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Hebei University of Science and Technology
State Grid Hebei Energy Technology Service Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Hebei University of Science and Technology
State Grid Hebei Energy Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd, Hebei University of Science and Technology, State Grid Hebei Energy Technology Service Co Ltd filed Critical Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Priority to CN202210805158.0A priority Critical patent/CN115174237B/zh
Publication of CN115174237A publication Critical patent/CN115174237A/zh
Application granted granted Critical
Publication of CN115174237B publication Critical patent/CN115174237B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种物联网系统恶意流量的检测方法、装置和电子设备。该方法包括:获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及IOT终端当前的流量数据;计算IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度进行特征筛选,确定IOT终端的流量样本;流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;基于IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型;基于IOT终端当前的流量数据和恶意流量检测模型,确定IOT终端的恶意流量的检测结果。本发明能够提高物联网中IoT终端的安全性能。

Description

一种物联网系统恶意流量的检测方法、装置和电子设备
技术领域
本发明涉及物联网技术领域,尤其涉及一种物联网系统的恶意流量的检测方法、装置和电子设备。
背景技术
物联网中IoT终端一般直接暴露在互联网中,无安全性可言,一旦被攻击,将会导致IoT终端失控、用户隐私泄露等安全问题。物联网存在较大安全隐患。
而目前大多数的恶意流量检测多针对于资源充足的服务器或者个人电脑设置。而物联网中IoT终端功能有限,可用内存和计算资源不足,导致应用于资源充足的场景的恶意流量检测方法无法适用于物联网中IoT终端。因此,亟需一种适用于物联网中IoT终端的恶意流量检测方法,实现物联网中IoT终端的恶意流量检测。
发明内容
本发明提供了一种物联网系统恶意流量的检测方法、装置和电子设备,能够解决物联网中IoT终端可用内存和计算资源不足的问题的同时,实现物联网中IoT终端的恶意流量检测,提高物联网中IoT终端的安全性能。
第一方面,本发明提供了一种物联网系统恶意流量的检测方法,包括:获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及IOT终端当前的流量数据;计算IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度进行特征筛选,确定IOT终端的流量样本;流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;流量样本包括筛选后的流量特征和对应的流量类型;基于IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型;基于IOT终端当前的流量数据和恶意流量检测模型,确定IOT终端的恶意流量的检测结果。
本发明提供一种物联网系统的恶意流量的检测方法,计算目标IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度,进行特征筛选,确定目标IOT终端的流量样本。由于核密度表征该流量特征与对应的恶意流量类型之间相关性的大小,从而本发明实施例可以筛选出与恶意流量类型相关性较大的流量特征,减少流量样本中流量特征的数量,降低流量样本的数据量,使得物联网中IoT终端可以基于数据量较小的流量样本进行神经网络模型的训练,降低模型训练过程的计算量,降低IoT终端的内存消耗和计算资源消耗。本发明实施例在解决物联网中IoT终端可用内存和计算资源不足的问题的同时,实现物联网中IoT终端的恶意流量检测,提高物联网中IoT终端的安全性能。
在一种可能的实现方式中,基于IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型,之前还包括:获取物联网系统中除IOT终端之外的其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;计算其他IOT终端历史时期内的流量数据中各流量特征的核密度,并基于其他IOT终端的各流量特征的核密度,进行特征筛选,确定其他IOT终端的流量样本;相应的,基于IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型,包括:基于IOT终端的流量样本和其他IOT终端的流量样本,对预先设置的神经网络模型进行训练,得到恶意流量检测模型。
在一种可能的实现方式中,获取物联网系统中除IOT终端之外的其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型,包括:确定IOT终端的明文数据,明文数据包括IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型;确定第一随机数和第二随机数;基于IOT终端的明文数据、第一随机数和第二随机数,对IOT终端的明文数据进行加密,得到IOT终端的密文数据;接收其他IOT终端中各IOT终端发送的密文数据,该密文数据包括其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;基于IOT终端的密文数据和其他IOT终端的密文数据,对其他IOT终端的密文数据进行解密,得到其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;
在一种可能的实现方式中,计算IOT终端历史时期内的流量数据中各流量特征的核密度,包括:对于各流量特征中的每一个流量特征,基于如下公式,确定该流量特征的核密度;
Figure BDA0003736797690000031
其中,
Figure BDA0003736797690000032
为核函数,具有对称性,且满足∫K(xi)dx=1,h为核函数的带宽,用于平衡核密度估计的偏差以及方差,n为样本数量,fh(xi)为核密度,xi为第i个样本,xj为第j个样本。
在一种可能的实现方式中,基于核密度进行特征筛选,确定IOT终端的流量样本,包括:将核密度大于等于设定阈值的流量特征保留,将核密度小于设定阈值的流量特征删除,确定IOT终端的流量样本中的流量特征。
在一种可能的实现方式中,基于IOT终端的流量样本和其他IOT终端的流量样本,对预先设置的神经网络模型进行训练,得到恶意流量检测模型,包括:步骤一:将IOT终端的流量样本和其他IOT终端的流量样本,输入预先设置的神经网络模型进行迭代训练,得到迭代训练过程中的损失函数的最小值;损失函数的取值用于表征神经网络模型的预测结果与真实情况之间差距的大小;步骤二:将损失函数的最小值发送给服务器;步骤三:接收服务器发送的全局损失函数值,全局损失函数值用于表征各IOT终端对应的损失函数的最小值的平均值;步骤四:若该次接收到的全局损失函数值与上一次接收到的全局损失函数值之间的误差小于设定误差,且该次接收到的全局损失函数值为各次接收到的全局损失函数值中的最小值,则退出训练过程,得到恶意流量检测模型;否则,依次执行步骤五、步骤二、步骤三、步骤四,直至退出训练过程;步骤五:基于全局损失函数值,更新迭代训练后的神经网络模型的模型参数,并对更新后的神经网络模型进行迭代训练,得到更新后的损失函数的最小值。
在一种可能的实现方式中,计算IOT终端历史时期内的流量数据中各流量特征的核密度,之前还包括:对IOT终端历史时期内的流量数据进行预处理,得到预处理后的流量数据;预处理包括无效值删除和归一化处理。
第二方面,本发明实施例提供了一种物联网系统恶意流量的检测装置,包括:通信模块,用于获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及IOT终端当前的流量数据;处理模块,用于计算IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度进行特征筛选,确定IOT终端的流量样本;流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;流量样本包括筛选后的流量特征和对应的流量类型;处理模块,还用于基于IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型;基于IOT终端当前的流量数据和恶意流量检测模型,确定IOT终端的恶意流量的检测结果。
第三方面,本发明实施例提供了一种电子设备,其特征在于,所述电子设备包括存储器和处理器,该存储器存储有计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序执行如上述第一方面以及第一方面中任一种可能的实现方式所述方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上述第一方面以及第一方面中任一种可能的实现方式所述方法的步骤。
上述第二方面至第四方面中任一种实现方式所带来的技术效果可以参见第一方面对应实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种一种物联网系统的架构示意图;
图2是本发明实施例提供的一种物联网系统恶意流量的检测方法的流程示意图;
图3是本发明实施例提供的另一种物联网系统恶意流量的检测方法的流程示意图;
图4是本发明实施例提供的一种物联网系统中各IOT终端间数据加密传输方法的示意图;
图5是本发明实施例提供的一种物联网系统恶意流量的检测装置的结构示意图;
图6是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块,而是可选的还包括其他没有列出的步骤或模块,或可选的还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明的附图通过具体实施例来进行说明。
如背景技术所述,目前物联网系统IOT终端的可用内存和计算资源不足,导致恶意流量检测方法无法适用,物联网系统IOT终端存在安全隐患。
为解决上述技术问题,本发明实施例提供了一种物联网系统恶意流量的检测方法。该检测方法应用于如图1所示的物联网系统。该物联网系统包括服务器和多个IOT终端。
在一些实施例中,服务器可以通过有线网络与IOT终端连接。示例性的,服务器可以通过RS232或RS485与IOT终端连接。
在另一些实施例中,服务器可以通过无线网络与IOT终端连接。示例性的,服务器可以通过蜂窝网络、WiFi网络或5G通信网络与IOT终端连接。
基于图1所示的物联网系统,图2为本发明实施例提供的一种物联网系统恶意流量的检测方法的流程示意图。该检测方法应用于物联网系统任一IOT终端。该检测方法的执行主体为物联网系统恶意流量的检测装置,该检测方法包括步骤S101-S103。
S101、获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及该IOT终端当前的流量数据。
在一些实施例中,历史时期可以为15天或30天。本申请不作限定。
可选的,在步骤S101之后,检测装置还可以对IOT终端历史时期内的流量数据进行预处理,得到预处理后的流量数据。其中,预处理包括无效值删除和归一化处理。
示例性的,检测装置可以将IOT终端历史时期内的流量数据中的无效值和缺失值直接删除。相比于识别无效值和缺失值后,填充数据的方案,本发明实施例采用直接删除的方案可减少计算量,节约内存和计算资源。
例如,缺失值和无效值处理:UNSW-NB15数据集中包含有少量的缺失数据np.nan,对于少数的缺失值,采用直接删除该行数据的策略;而对于“service”列的类别型数据,其包含有57%的无效数据“-”,采用众数填充的方式会使数据脱离实际,利用各特征间的相关性进行预测的方式将会增加计算量,于是,本发明实施例采用直接删除该列数据的操作。
例如,数据归一化:数据归一化的优点在于可以消除不同维度数据之间的差异,使不同维度的数据规范化后具有可比性。显然,UNSW-NB15数据集中各个特征具有不同的取值域,为了保证训练结果的可靠性,必须将各特征归一化到[0,1]范围内。本发明实施例采用最小最大标准化方法对数据进行归一化处理。检测装置可以基于如下公式进行预处理。
Figure BDA0003736797690000071
其中,x'ij为归一化后的数据,xij为为归一化前的数据,xmin为数据集中的最小值,xmax为数据集中的最大值。
例如,类别型特征处理:针对UNSW-NB15数据集中“state”特征,其取值仅限于[‘FIN’,‘INT’,‘CON’,‘REQ’,‘ACC’,‘CLO’,‘RST’]中,采用独热编码的形式;而对于“proto”特征,同样采用独热编码的形式。
S102、计算该IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度进行特征筛选,确定该IOT终端的流量样本。
本申请实施例中,流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;流量样本包括筛选后的流量特征和对应的流量类型。
需要说明的是,考虑到IoT终端计算、通信资源有限的问题,本发明实施例提出基于高斯核密度估计的特征选择方法(FSKDE),核密度估计作为统计学中一种非参数估计方法,非常适用于估计未知样本集的概率密度,与参数估计相比,核密度估计方法的优势在于无需预先假设数据样本的分布模型,在不依据任何先验知识的条件下,可根据已知的数据样本或样本集,对所捕获的测试样本集进行未知概率的密度估计。假设IOT终端历史时期内的流量数据构成的数据样本集中有n个样本独立分布{X|x1,x2,…,xn},样本xi∈X的概率密度函数f(xi)。
作为一种可能的实现方式,对于各流量特征中的每一个流量特征,检测装置可以基于如下公式,确定该流量特征的核密度;
Figure BDA0003736797690000081
其中,
Figure BDA0003736797690000082
为核函数,具有对称性,且满足∫K(xi)dx=1,h为核函数的带宽,用于平衡核密度估计的偏差以及方差,n为样本数量,fh(xi)为核密度,xi为第i个样本,xj为第j个样本。
作为一种可能的实现方式,检测装置可以将核密度大于等于设定阈值的流量特征保留,将核密度小于设定阈值的流量特征删除,确定IOT终端的流量样本中的流量特征。
示例性的,假设训练集中正常样本的集合为
Figure BDA0003736797690000083
n1是样本数量,m是样本维度,样本
Figure BDA0003736797690000084
代表
Figure BDA0003736797690000085
第i个样本,令
Figure BDA0003736797690000086
Figure BDA0003736797690000087
表示xi第d维特征的特征值,用
Figure BDA0003736797690000091
表示,则所有特征特征值的集合可以用A表示为A={a1,a2,…,ad,…,am}。当ad∈A时,使用高斯核密度估计方法对ad进行训练,即可获得
Figure BDA0003736797690000092
中所有样本第d维特征的特征值对应的概率密度函数fd,样本
Figure BDA0003736797690000093
中第d维特征的特征值对应的概率密度函数为
Figure BDA0003736797690000094
Figure BDA0003736797690000095
越大,说明
Figure BDA0003736797690000096
越符合正常样本中第d维特征的特征值分布。基于上述研究,本发明实施例提出如下基于高斯核密度估计的特征选择方法,其伪代码如下:
其伪代码如算法1所示。
算法1:FSKDE(基于核密度估计的特征选择方法):
正常样本集合:
Input:
Figure BDA0003736797690000097
//正常样本集合
Output:F,F(A)//F中保存所有正常样本特征的概率密度函数;F(A)中保存所有正常样本特征值的概率密度
Figure BDA0003736797690000098
//A中每一行表示一个特征
For ad in A do
Useequation to calculate fd//计算第d维特征值对应的概率密度函数
F←fd
End for
For ad in A do
For
Figure BDA0003736797690000099
in ad do
Figure BDA00037367976900000910
End for
F(A)←fd(ad)
End for
Return F,F(A)
样本的特征越多,需要的计算量越大,这将会增加IoT终端的计算开销,此外,并非所有的特征都对恶意流量检测有贡献,所以本发明采用FSKDE方法进行特征选择。首先,根据核密度估计公式,遍历每一个特征列,计算该特征的概率密度函数F,将属于该特征的特征值依次带入,计算每个特征的特征值的概率密度
Figure BDA0003736797690000101
得到该特征的概率密度值的集合fd(ad);然后,本专利对算法1获取的F(A)进行升序排序,排序结果记作sort(fd(ad)),从sort(fd(ad))中选取百分比为τ的位置之处的值td作为第d维特征的筛选阈值,其中τ为经验参数,通常取τ=0.1%。当一个样本xj的第d维特征的特征值概率密度
Figure BDA0003736797690000102
时,说明第d维特征的特征值与正常样本的特征值分布不相符,越可能为异常数据。因此,将所有特征的筛选阈值设置为T,集合T表示为T={t1,t2,…,td,…,tm};最后,对训练集中的恶意样本集合
Figure BDA0003736797690000103
中的所有样本每一维特征的特征值带入至F中进行概率密度计算得到
Figure BDA0003736797690000104
将第d维中
Figure BDA0003736797690000105
进行计数为zd,zd表示第d维特征的特征值被检测出是异常数据的数量,m维特征特征值的异常数据数量记为Z={z1,z2,…,zd,…,zm}。假设训练集中恶意样本数量为n2,当
Figure BDA0003736797690000106
时,表示第d维特征featured加入到选择的特征子集中,以此类推,直到所有特征被遍历结束,其中,α为设定阈值,通常取0.8。其伪代码如下:
算法2:FSKDE(基于核密度估计的特征选择方法):
恶意样本集合:
Input:F,F(A),
Figure BDA0003736797690000107
//F中保存所有正常样本特征的概率密度函数;F(A)中保存所有正常样本特征值的概率密度
Output:S//输出特征子集
For fd(ad)in F(A)do//计算每一维数据的筛选阈值
td←τ×sort(fd(ad))
End for
Figure BDA0003736797690000111
Z=[0,0,…,0]1×m
For ad in A do
For
Figure BDA0003736797690000112
in ad do
If
Figure BDA0003736797690000113
then
zd=zd+1
End if
End for
End for
For zd in Z do//选择特征
If
Figure BDA0003736797690000114
then
S←featured
End if
End for
Return S
可选的,在步骤S102之前,检测装置还可以对IOT终端历史时期内的流量数据进行预处理,得到预处理后的流量数据;预处理包括无效值删除和归一化处理。
S103、基于该IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型。
S104、基于该IOT终端当前的流量数据和恶意流量检测模型,确定该IOT终端的恶意流量的检测结果。
本发明提供一种物联网系统的恶意流量的检测方法,计算目标IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度,进行特征筛选,确定目标IOT终端的流量样本。由于核密度表征该流量特征与对应的恶意流量类型之间相关性的大小,从而本发明实施例可以筛选出与恶意流量类型相关性较大的流量特征,减少流量样本中流量特征的数量,降低流量样本的数据量,使得物联网中IoT终端可以基于数据量较小的流量样本进行神经网络模型的训练,降低模型训练过程的计算量,降低IoT终端的内存消耗和计算资源消耗。本发明实施例在解决物联网中IoT终端可用内存和计算资源不足的问题的同时,实现物联网中IoT终端的恶意流量检测,提高物联网中IoT终端的安全性能。
可选的,如图3所示,在步骤S103之前,本发明实施例提供的物联网系统恶意流量的检测方法,还包括步骤S201-S202。
S201、获取物联网系统中除IOT终端之外的其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型。
作为一种可能的实现方式,步骤S201具体可以实现为步骤A1-A5。
A1、确定IOT终端的明文数据。
明文数据包括IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型;
A2、确定第一随机数和第二随机数。
A3、基于IOT终端的明文数据、第一随机数和第二随机数,对IOT终端的明文数据进行加密,得到IOT终端的密文数据。
A4、接收其他IOT终端中各IOT终端发送的密文数据。
本申请实施例中,该密文数据包括其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;
A5、基于IOT终端的密文数据和其他IOT终端的密文数据,对其他IOT终端的密文数据进行解密,得到其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型。
S202、计算其他IOT终端历史时期内的流量数据中各流量特征的核密度,并基于其他IOT终端的各流量特征的核密度,进行特征筛选,确定其他IOT终端的流量样本。
相应的,步骤S103具体可以实现为步骤S203。
S203、基于IOT终端的流量样本和其他IOT终端的流量样本,对预先设置的神经网络模型进行训练,得到恶意流量检测模型。
作为一种可能的实现方式,检测装置可以基于如下步骤对预先设置的神经网络模型进行训练,得到恶意流量检测模型。
步骤一:将IOT终端的流量样本和其他IOT终端的流量样本,输入预先设置的神经网络模型进行迭代训练,得到迭代训练过程中的损失函数的最小值;损失函数的取值用于表征神经网络模型的预测结果与真实情况之间差距的大小;
步骤二:将损失函数的最小值发送给服务器;
步骤三:接收服务器发送的全局损失函数值,全局损失函数值用于表征各IOT终端对应的损失函数的最小值的平均值;
步骤四:若该次接收到的全局损失函数值与上一次接收到的全局损失函数值之间的误差小于设定误差,且该次接收到的全局损失函数值为各次接收到的全局损失函数值中的最小值,则退出训练过程,得到恶意流量检测模型;否则,依次执行步骤五、步骤二、步骤三、步骤四,直至退出训练过程;
步骤五:基于全局损失函数值,更新迭代训练后的神经网络模型的模型参数,并对更新后的神经网络模型进行迭代训练,得到更新后的损失函数的最小值。
需要说明的是,传统的入侵检测随着物联网连接设备的快速增长容易引入单点故障而损害数据隐私,对于智慧家居、智慧医疗等新型行业的发展产生不良影响,目前,急需一种分散式的计算方法。本发明实施例考虑到IoT终端的资源、通信和隐私安全问题,提出了一种基于联邦DIoT-Pysyft的物联网恶意流量检测方法,该方法对检测模型进行本地训练来维护数据的隐私,在保护数据隐私的同时,将训练的参数上传至服务器更新模型,并与参与设备共享改进的检测模型,从彼此的知识中受益。
如此一来,本发明实施例可以能够学习各参与方的恶意流量的特征,从而识别其他IOT终端潜在的恶意流量种类,实现设备异构下的模型训练。
需要说明的是,物联网系统中各IOT终端的流量不平衡,有的IOT终端的流量较大,有的IOT终端的流量较小。在模型训练过程中,本发明实施例可以采用安全多方算法交互各IOT终端的流量数据,使得流量较少的IOT终端可以获取到流量较大的IOT终端流量数据,进行模型训练,提高训练得到的检测模型的度,从而提高对于物联网中各IoT终端进行恶意流量检测时的准确度。
示例性的,基于图1所示的物联网系统,本发明实施例使用FedAvg算法协同训练一个全局模型,考虑到现有的联邦学习因其参与者众多且分布广泛,因此本发明将探讨的联邦学习方案限定在IoT网络场景中。假设每个IoT终端拥有一个本地数据集Dk,对于任意一个数据样本{xk,yk},其中,xk表示模型的输入,设备的学习任务是找到一个模型参数w来描述yk,并使得模型的损失函数fk(w)最小。损失函数是用来评估模型预测结果和真实情况差距的,差距越小,说明模型越好。本专利使用|Di|表示第i设备的数据集大小,并通过
Figure BDA0003736797690000141
来定义参与学习的数据的总大小。因此,在联邦学习中,终端设备i在其数据集上的损失函数定义为如下公式。
Figure BDA0003736797690000151
根据FedAvg算法,服务器的全局损失函数可以定义为如下公式。
Figure BDA0003736797690000152
DIoT-Pysyft在开始训练时,服务器初始化一个全局模型参数,并由终端设备去优化这一参数。经过T次全局迭代来实现损失函数的收敛。同理,每次全局迭代过程中,终端设备i需要在其本地数据集Di上经过多轮本地训练找到最佳的模型参数,如下公式。
Figure BDA0003736797690000153
由于大多数机器学习模型固有的复杂性,上述公式通常使用随机梯度下降来解决。这些终端设备在本地数据集上训练的最佳本地更新参数
Figure BDA0003736797690000154
需要上传到服务器参与全局聚合。根据FedAvg算法,全局聚合过程可以表示为如下公式。
Figure BDA0003736797690000155
全局聚合的目标是使服务器的全局损失函数最小化,然后服务器广播到所有终端设备作为下一次迭代的全局模型参数。经过多次全局迭代后,全局模型收敛,最终获得稳定的全局模型精度。
在使用DIoT-Pysyft进行联邦学习过程中,服务器端聚合多个客户端的模型的梯度,然后更新全局模型,再发送到这些客户端,这些设备又迭代,直到这个模型在某种程度上收敛为止。模型更新的梯度在本质上是一个函数,是根据初始模型和本地数据计算出来的,那么这个函数与本地数据在一定程度上是相关的,尽管通过梯度计算出本地数据有一定的难度,但是对于训练模型是简单模型,如:逻辑回归,再加上梯度跟本地数据的关系,通过解方程组把未知数解出来,就可得到本地数据;对于复杂模型,可以通过机器学习的优化方法来反向的优化求得一个近似解,可能得不到精确的结果,但可以取得一个大致差不多的结果,本质上还是可以推断出原始数据的,因此,本专利提出使用安全多方计算(SecureMulti-Party Computation,SMPC)改进FedAvg梯度聚合算法实现对这一梯度的保护。
图4为本发明实施例提供的一种物联网系统中各IOT终端间数据加密传输方法的示意图。安全多方计算的核心在于在确保多个客户端数据不离开本地的前提下,通过交换信息量实现协同完成模型的训练和预测,保证多方原始数据安全,因此,本专利使用SMPC改进聚合算法FedAvg方法,实现梯度的安全传输。
SMPC不是使用公钥私钥来加密梯度变量,而是将每个值拆分成多个部分。如图4所示,有3个互不信任的IoT终端,根据本地数据训练模型得出模型梯度分别为W1、W2和W3,每个IoT终端另设两个随机数,通过与两随机数的取余运算计算得到中间数据,每个IoT终端仅有与梯度相关的一部分数据,只有当三个数据同时参与运算时,才能得到相应的值,仅通过一部分数值无法得到最终需要的梯度和,每一部分的数据都像私钥一样运作,S1、S2和S3为每个IoT终端的加密数据,SMPC能够对加密数据进行运算,这里的运算结果同为加密值,对运算结果进行解密获取可获取对应的真实值Avg。
本发明使用的SMPC计算模式,不需要可信的第三方收集所有参与节点的原数据,只需要各个参与IoT终端相互交换数据即可,而且交换的是同态加密后的数据,保证其他参与设备拿到数据后也无法反推原始明文数据,保证了各个参与IoT终端数据的私密性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以下为本发明的装置实施例,对于其中未详尽描述的细节,可以参考上述对应的方法实施例。
图5示出了本发明实施例提供的一种物联网系统恶意流量的检测装置的结构示意图。该检测装置300包括通信模块301和处理模块302。
通信模块301,用于获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及IOT终端当前的流量数据。
处理模块302,用于计算IOT终端历史时期内的流量数据中各流量特征的核密度,并基于核密度进行特征筛选,确定IOT终端的流量样本;流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;流量样本包括筛选后的流量特征和对应的流量类型;
处理模块302,还用于基于IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型;基于IOT终端当前的流量数据和恶意流量检测模型,确定IOT终端的恶意流量的检测结果。
在一种可能的实现方式中,获取模块301,还用于获取物联网系统中除IOT终端之外的其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;处理模块302,还用于计算其他IOT终端历史时期内的流量数据中各流量特征的核密度,并基于其他IOT终端的各流量特征的核密度,进行特征筛选,确定其他IOT终端的流量样本;处理模块302,具体用于基于IOT终端的流量样本和其他IOT终端的流量样本,对预先设置的神经网络模型进行训练,得到恶意流量检测模型。
在一种可能的实现方式中,处理模块302,具体用于确定IOT终端的明文数据,明文数据包括IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型;确定第一随机数和第二随机数;基于IOT终端的明文数据、第一随机数和第二随机数,对IOT终端的明文数据进行加密,得到IOT终端的密文数据;通信模块301,具体用于接收其他IOT终端中各IOT终端发送的密文数据,该密文数据包括其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;处理模块302,具体用于基于IOT终端的密文数据和其他IOT终端的密文数据,对其他IOT终端的密文数据进行解密,得到其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;
在一种可能的实现方式中,处理模块302,具体用于对于各流量特征中的每一个流量特征,基于如下公式,确定该流量特征的核密度;
Figure BDA0003736797690000181
其中,
Figure BDA0003736797690000182
为核函数,具有对称性,且满足∫K(xi)dx=1,h为核函数的带宽,用于平衡核密度估计的偏差以及方差,n为样本数量,fh(xi)为核密度,xi为第i个样本,xj为第j个样本。
在一种可能的实现方式中,处理模块302,具体用于将核密度大于等于设定阈值的流量特征保留,将核密度小于设定阈值的流量特征删除,确定IOT终端的流量样本中的流量特征。
在一种可能的实现方式中,处理模块302,具体用于步骤一:将IOT终端的流量样本和其他IOT终端的流量样本,输入预先设置的神经网络模型进行迭代训练,得到迭代训练过程中的损失函数的最小值;损失函数的取值用于表征神经网络模型的预测结果与真实情况之间差距的大小;步骤二:将损失函数的最小值发送给服务器;步骤三:接收服务器发送的全局损失函数值,全局损失函数值用于表征各IOT终端对应的损失函数的最小值的平均值;步骤四:若该次接收到的全局损失函数值与上一次接收到的全局损失函数值之间的误差小于设定误差,且该次接收到的全局损失函数值为各次接收到的全局损失函数值中的最小值,则退出训练过程,得到恶意流量检测模型;否则,依次执行步骤五、步骤二、步骤三、步骤四,直至退出训练过程;步骤五:基于全局损失函数值,更新迭代训练后的神经网络模型的模型参数,并对更新后的神经网络模型进行迭代训练,得到更新后的损失函数的最小值。
在一种可能的实现方式中,处理模块302,具体用于对IOT终端历史时期内的流量数据进行预处理,得到预处理后的流量数据;预处理包括无效值删除和归一化处理。
图6是本发明实施例提供的一种电子设备的结构示意图。如图6所示,该实施例的电子设备400包括:处理器401、存储器402以及存储在所述存储器402中并可在所述处理器401上运行的计算机程序403。所述处理器401执行所述计算机程序403时实现上述各方法实施例中的步骤,例如图2所示的步骤101至步骤104。或者,所述处理器401执行所述计算机程序403时实现上述各装置实施例中各模块/单元的功能,例如,图5所示通信模块301和处理模块302的功能。
示例性的,所述计算机程序403可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器402中,并由所述处理器401执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序403在所述电子设备400中的执行过程。例如,所述计算机程序403可以被分割成图5所示通信模块301和处理模块302。
所称处理器401可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器402可以是所述电子设备400的内部存储单元,例如电子设备400的硬盘或内存。所述存储器402也可以是所述电子设备400的外部存储设备,例如所述电子设备400上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器402还可以既包括所述电子设备400的内部存储单元也包括外部存储设备。所述存储器402用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述存储器402还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。
以上所述实施例仅用以说明多方本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。

Claims (10)

1.一种物联网系统恶意流量的检测方法,其特征在于,包括:
获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及所述IOT终端当前的流量数据;
计算所述IOT终端历史时期内的流量数据中各流量特征的核密度,并基于所述核密度进行特征筛选,确定所述IOT终端的流量样本;所述流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;所述流量样本包括筛选后的流量特征和对应的流量类型;
基于所述IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型;基于所述IOT终端当前的流量数据和所述恶意流量检测模型,确定所述IOT终端的恶意流量的检测结果。
2.根据权利要求1所述的物联网系统恶意流量的检测方法,其特征在于,所述基于所述IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型,之前还包括:
获取所述物联网系统中除所述IOT终端之外的其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;计算所述其他IOT终端历史时期内的流量数据中各流量特征的核密度,并基于所述其他IOT终端的各流量特征的核密度,进行特征筛选,确定所述其他IOT终端的流量样本;
相应的,所述基于所述IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型,包括:
基于所述IOT终端的流量样本和所述其他IOT终端的流量样本,对预先设置的神经网络模型进行训练,得到恶意流量检测模型。
3.根据权利要求1所述的物联网系统恶意流量的检测方法,其特征在于,所述获取所述物联网系统中除所述IOT终端之外的其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型,包括:
确定所述IOT终端的明文数据,所述明文数据包括所述IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型;
确定第一随机数和第二随机数;
基于所述IOT终端的明文数据、第一随机数和第二随机数,对所述IOT终端的明文数据进行加密,得到所述IOT终端的密文数据;
接收所述其他IOT终端中各IOT终端发送的密文数据,该密文数据包括所述其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型;
基于所述IOT终端的密文数据和所述其他IOT终端的密文数据,对所述其他IOT终端的密文数据进行解密,得到所述其他IOT终端历史时期内的流量数据,以及与该流量数据对应的恶意流量类型。
4.根据权利要求1所述的物联网系统恶意流量的检测方法,其特征在于,所述计算所述IOT终端历史时期内的流量数据中各流量特征的核密度,包括:
对于各流量特征中的每一个流量特征,基于如下公式,确定该流量特征的核密度;
Figure FDA0003736797680000021
其中,
Figure FDA0003736797680000022
为核函数,具有对称性,且满足∫K(xi)dx=1,h为核函数的带宽,用于平衡核密度估计的偏差以及方差,n为样本数量,fh(xi)为核密度,xi为第i个样本,xj为第j个样本。
5.根据权利要求1所述的物联网系统恶意流量的检测方法,其特征在于,所述基于所述核密度进行特征筛选,确定所述IOT终端的流量样本,包括:
将核密度大于等于设定阈值的流量特征保留,将核密度小于设定阈值的流量特征删除,确定所述IOT终端的流量样本中的流量特征。
6.根据权利要求2所述的物联网系统恶意流量的检测方法,其特征在于,所述基于所述IOT终端的流量样本和所述其他IOT终端的流量样本,对预先设置的神经网络模型进行训练,得到恶意流量检测模型,包括:
步骤一:将所述IOT终端的流量样本和所述其他IOT终端的流量样本,输入预先设置的神经网络模型进行迭代训练,得到迭代训练过程中的损失函数的最小值;所述损失函数的取值用于表征神经网络模型的预测结果与真实情况之间差距的大小;
步骤二:将损失函数的最小值发送给所述物联网系统的服务器;
步骤三:接收所述服务器发送的全局损失函数值,所述全局损失函数值用于表征各IOT终端对应的损失函数的最小值的平均值;
步骤四:若该次接收到的全局损失函数值与上一次接收到的全局损失函数值之间的误差小于设定误差,且该次接收到的全局损失函数值为各次接收到的全局损失函数值中的最小值,则退出训练过程,得到所述恶意流量检测模型;否则,依次执行步骤五、步骤二、步骤三、步骤四,直至退出训练过程;
步骤五:基于所述全局损失函数值,更新迭代训练后的神经网络模型的模型参数,并对更新后的神经网络模型进行迭代训练,得到更新后的损失函数的最小值。
7.根据权利要求1至6任一项所述的物联网系统恶意流量的检测方法,其特征在于,所述计算所述IOT终端历史时期内的流量数据中各流量特征的核密度,之前还包括:
对所述IOT终端历史时期内的流量数据进行预处理,得到预处理后的流量数据;所述预处理包括无效值删除和归一化处理。
8.一种物联网系统恶意流量的检测装置,其特征在于,包括:
通信模块,用于获取物联网系统任一IOT终端历史时期内的流量数据,与该流量数据对应的恶意流量类型,以及所述IOT终端当前的流量数据;
处理模块,用于计算所述IOT终端历史时期内的流量数据中各流量特征的核密度,并基于所述核密度进行特征筛选,确定所述IOT终端的流量样本;所述流量特征的核密度用于表征该流量特征与对应的恶意流量类型之间相关性的大小;所述流量样本包括筛选后的流量特征和对应的流量类型;
处理模块,还用于基于所述IOT终端的流量样本,训练预先设置的神经网络模型,得到恶意流量检测模型;基于所述IOT终端当前的流量数据和所述恶意流量检测模型,确定所述IOT终端的恶意流量的检测结果。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,该存储器存储有计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序执行如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上的权利要求1至7中任一项所述方法的步骤。
CN202210805158.0A 2022-07-08 2022-07-08 一种物联网系统恶意流量的检测方法、装置和电子设备 Active CN115174237B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210805158.0A CN115174237B (zh) 2022-07-08 2022-07-08 一种物联网系统恶意流量的检测方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210805158.0A CN115174237B (zh) 2022-07-08 2022-07-08 一种物联网系统恶意流量的检测方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN115174237A true CN115174237A (zh) 2022-10-11
CN115174237B CN115174237B (zh) 2023-04-18

Family

ID=83492544

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210805158.0A Active CN115174237B (zh) 2022-07-08 2022-07-08 一种物联网系统恶意流量的检测方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN115174237B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115802355A (zh) * 2023-01-20 2023-03-14 苏州派尔网络科技有限公司 一种移动物联网卡管理方法、装置及云平台

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107992746A (zh) * 2017-12-14 2018-05-04 华中师范大学 恶意行为挖掘方法及装置
CN108123939A (zh) * 2017-12-14 2018-06-05 华中师范大学 恶意行为实时检测方法及装置
US20180176237A1 (en) * 2016-01-15 2018-06-21 Kentik Technologies, Inc. Network Monitoring, Detection, and Analysis System
CN109558416A (zh) * 2018-11-07 2019-04-02 北京先进数通信息技术股份公司 一种异常交易的检测方法、装置及存储介质
CN110232483A (zh) * 2019-06-18 2019-09-13 国网河北省电力有限公司经济技术研究院 深度学习负荷预测方法、装置及终端设备
CN112583768A (zh) * 2019-09-30 2021-03-30 北京国双科技有限公司 一种用户异常行为检测方法及装置
US20210271449A1 (en) * 2020-03-02 2021-09-02 Oracle International Corporation Automatic Asset Anomaly Detection in a Multi-Sensor Network
CN113379176A (zh) * 2020-03-09 2021-09-10 中国移动通信集团设计院有限公司 电信网络异常数据检测方法、装置、设备和可读存储介质
CN113542236A (zh) * 2021-06-28 2021-10-22 中孚安全技术有限公司 一种基于核密度估计和指数平滑算法的异常用户检测方法
CN114399029A (zh) * 2022-01-14 2022-04-26 国网河北省电力有限公司电力科学研究院 一种基于gan样本增强的恶意流量检测方法
CN114528547A (zh) * 2022-01-17 2022-05-24 中南大学 基于社区特征选择的icps无监督在线攻击检测方法和设备

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180176237A1 (en) * 2016-01-15 2018-06-21 Kentik Technologies, Inc. Network Monitoring, Detection, and Analysis System
CN107992746A (zh) * 2017-12-14 2018-05-04 华中师范大学 恶意行为挖掘方法及装置
CN108123939A (zh) * 2017-12-14 2018-06-05 华中师范大学 恶意行为实时检测方法及装置
CN109558416A (zh) * 2018-11-07 2019-04-02 北京先进数通信息技术股份公司 一种异常交易的检测方法、装置及存储介质
CN110232483A (zh) * 2019-06-18 2019-09-13 国网河北省电力有限公司经济技术研究院 深度学习负荷预测方法、装置及终端设备
CN112583768A (zh) * 2019-09-30 2021-03-30 北京国双科技有限公司 一种用户异常行为检测方法及装置
US20210271449A1 (en) * 2020-03-02 2021-09-02 Oracle International Corporation Automatic Asset Anomaly Detection in a Multi-Sensor Network
CN113379176A (zh) * 2020-03-09 2021-09-10 中国移动通信集团设计院有限公司 电信网络异常数据检测方法、装置、设备和可读存储介质
CN113542236A (zh) * 2021-06-28 2021-10-22 中孚安全技术有限公司 一种基于核密度估计和指数平滑算法的异常用户检测方法
CN114399029A (zh) * 2022-01-14 2022-04-26 国网河北省电力有限公司电力科学研究院 一种基于gan样本增强的恶意流量检测方法
CN114528547A (zh) * 2022-01-17 2022-05-24 中南大学 基于社区特征选择的icps无监督在线攻击检测方法和设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
崔景洋: "基于机器学习的用户与实体行为分析技术综述", 《计算机工程》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115802355A (zh) * 2023-01-20 2023-03-14 苏州派尔网络科技有限公司 一种移动物联网卡管理方法、装置及云平台
CN115802355B (zh) * 2023-01-20 2023-05-09 苏州派尔网络科技有限公司 一种移动物联网卡管理方法、装置及云平台

Also Published As

Publication number Publication date
CN115174237B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
US11017322B1 (en) Method and system for federated learning
CN112348204B (zh) 一种基于联邦学习和区块链技术的边缘计算框架下海洋物联网数据安全共享方法
CN111226238B (zh) 一种预测方法及终端、服务器
CN111814977B (zh) 训练事件预测模型的方法及装置
CN112132277A (zh) 联邦学习模型训练方法、装置、终端设备及存储介质
CN112084422B (zh) 一种账号数据智能处理方法和装置
CN112235264A (zh) 一种基于深度迁移学习的网络流量识别方法及装置
CN112132676B (zh) 联合训练目标模型的贡献度的确定方法、装置和终端设备
CN111818093B (zh) 用于进行风险评估的神经网络系统、方法及装置
CN112508199B (zh) 针对跨特征联邦学习的特征选择方法、装置及相关设备
CN110351299B (zh) 一种网络连接检测方法和装置
CN115208604B (zh) 一种ami网络入侵检测的方法、装置及介质
CN116596095A (zh) 基于机器学习的碳排放量预测模型的训练方法及装置
CN115174237B (zh) 一种物联网系统恶意流量的检测方法、装置和电子设备
CN115618008A (zh) 账户状态模型构建方法、装置、计算机设备和存储介质
CN112926984B (zh) 基于区块链安全大数据的信息预测方法及区块链服务系统
CN113011893B (zh) 数据处理方法、装置、计算机设备及存储介质
CN111611532B (zh) 人物关系补全方法、装置及电子设备
CN117474171A (zh) 一种交通流预测方法、装置、介质及设备
CN116506305A (zh) 网络流量预测方法、模型训练方法和装置
CN114726876B (zh) 一种数据检测方法、装置、设备和存储介质
CN116029390A (zh) 一种模型聚合训练方法及装置
CN113487041B (zh) 横向联邦学习方法、装置及存储介质
CN113961962A (zh) 一种基于隐私保护的模型训练方法、系统及计算机设备
CN116863309B (zh) 一种图像识别方法、装置、系统、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant