CN115361215A - 一种基于因果图的网络攻击行为检测方法 - Google Patents
一种基于因果图的网络攻击行为检测方法 Download PDFInfo
- Publication number
- CN115361215A CN115361215A CN202211007702.3A CN202211007702A CN115361215A CN 115361215 A CN115361215 A CN 115361215A CN 202211007702 A CN202211007702 A CN 202211007702A CN 115361215 A CN115361215 A CN 115361215A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- sequence
- data packet
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 230000001364 causal effect Effects 0.000 title claims abstract description 19
- 238000000034 method Methods 0.000 claims abstract description 57
- 230000003993 interaction Effects 0.000 claims abstract description 36
- 238000012549 training Methods 0.000 claims abstract description 5
- 238000007781 pre-processing Methods 0.000 claims abstract description 3
- 238000012163 sequencing technique Methods 0.000 claims abstract description 3
- 238000003062 neural network model Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 32
- 238000013135 deep learning Methods 0.000 description 5
- 238000005336 cracking Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于因果图的网络攻击行为检测方法,包括:对抓取到的网络流数据包进行预处理,以缩减数据包规模;对预处理后的数据包序列,构建表征网络流的因果关系图;以某个或某些节点为种子节点,把种子节点在某时段内的边按时间戳排序,构成一个该节点相关的网络交互序列;大规模构建网络交互序列,如果交互序列中都是网络攻击过程的数据包则被标记为攻击序列,否则被标记为非攻击序列,并训练基于LSTM的攻击序列识别模型;以某个或某些检测到的属于攻击过程的数据包的源IP和目的IP为种子节点,构建网络交互序列,使用攻击序列识别模型进行识别,识别出未被检测到的攻击过程数据包,实现网络攻击行为检测;本发明与已知的网络攻击行为检测方法相比,是在更大的网络交互上下文中进行网络攻击行为检测,可以检测出伪装成正常网络交互的攻击行为。
Description
技术领域
本发明涉及网络安全领域入侵检测技术,特别涉及一种基于因果图的网络攻击行为检测方法。
背景技术
随着互联网、云计算、物联网等技术的发展,越来越多的设备、信息实现了联网,给网络安全、数据安全等带来了极大的挑战。如何利用深度学习和图方法对入侵检测,是对网络安全的研究及应用的重要方向。
在现有技术中,倾向于针对特定的攻击行为设定检测规则实现对已知攻击行为的检测,或者直接利用深度学习方法对网络流进行良性和恶性二分类。基于特定规则的方法只能检测特定的攻击行为,简单地利用深度学习方法进行二分类忽略了网络拓扑连接和攻击过程的上下文特征。上述问题导致很难检测到完整的攻击过程,特别是某些单一来看就是正常网络行为的攻击过程。
发明内容
为了克服上述现有技术存在的缺陷,本发明提出了一种基于因果图的网络攻击行为检测方法,利用因果图对整个网络的交互过程进行建模,从因果图中提取种子节点相关的网络交互序列,并利用深度学习方法实现对攻击序列的识别,对网络攻击行为的检测,尤其有利于检测有一定隐蔽性的攻击行为。
为实现上述目的,本发明提供如下技术方案:
一种基于因果图的网络攻击行为检测方法,具体包括以下步骤:
1)抓取的网络流数据包,对抓取到的网络流数据包进行预处理,以缩减数据包规模;
2)对预处理后的数据包序列构建表征网络流的因果关系图;
3)以某个或某些节点为种子节点,把种子节点在某时段内的边按时间戳排序,构成一个该节点相关的网络交互序列;
4)按步骤3)方法对不同种子节点构建网络交互序列,如果交互序列中都是网络攻击过程的数据包则被标记为攻击序列,否则被标记为非攻击序列,生成若干攻击序列的正负样本,并训练基于LSTM的攻击序列识别模型;
5)实际检测中,按步骤1)至步骤3)方法,以某个或某些检测到的属于攻击过程的数据包的源IP和目的IP为种子节点,构建网络交互序列,使用步骤4)训练的攻击序列识别模型进行识别,识别出未被检测到的攻击过程数据包,实现网络攻击行为检测。
所述步骤1)中预处理具体为:对抓取到的网络流数据包进行合并源IP、目的IP一致、报文类型一致、时间连续的数据包序列,以缩减数据包规模。
所述步骤2)具体为:对预处理后的数据包序列,提取所有的源IP和目的IP,构成图节点;将包括每个数据包的时间戳、连接类型、网络流统计特征,构成该数据包源IP节点和目的IP节点之间的一条边;该情况下两个节点之前会存在多条边,表示两个IP间的不同网络交互。
所述步骤3)中,按时间戳筛选某个时段内种子节点的边,并按时间戳排序,获得该时段内种子节点涉及的按时间排序的网络交互过程,表征种子节点某时段内的网络行为,图中每个节点的边表征某时段以该节点IP为源IP或目的IP的网络流交互;
所述步骤4)中,选取不同的种子节点和时间段,可以构建若干网络交互序列;如果序列中只包含攻击过程则为攻击序列,否则为非攻击序列;生成大规模攻击序列的正负样本后,构建并训练基于LSTM的神经网络模型。
所述步骤5)中的检测为攻击序列和非攻击序列的二分类检测;检测到的攻击序列中的数据包即为攻击过程的数据包,表征攻击行为。
与现有技术相比,本发明的有益效果是:
本发明不是将每个网络流数据包特征化后孤立地进行入侵检测判断,而是以IP地址(代表网络主机)涉及的系列网络交互来进行综合分析,可以以被不完全检测的、孤立的攻击行为数据包为线索,梳理出未被检测的、容易和正常网络行为混淆的攻击行为数据包,实现攻击行为的完整检测。
本发明以因果图对网络流进行建模,构建表征攻击行为过程的网络交互序列,并可以以某些以检测到的攻击为线索,挖掘出未被检测以及伪装成正常网络行为的攻击行为;本发明充分利用了不同IP节点间的关系以及时间区间内的完整网络行为,更加有利于检测有一定隐蔽性的攻击行为。
附图说明
为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1为本发明的工作流程图。
图2为某攻击过程示例。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
实施例1
图2示例了一个只涉及一个被攻击主机的多阶段攻击过程,主机206.207.50.60对某云环境下对外提供服务的云主机206.207.50.29进行攻击。首先,主机206.207.50.60通过对云主机206.207.50.29进行应用扫描,发现了存在漏洞的某Web应用;然后,执行SQL注入,获取到了云主机的权限;接着,通过暴力破解的形式对云主机的目录及部分账号进行破解;最后,从云主机进行数据渗出。
步骤1)对上述攻击过程进行网络抓包,可以获取到主机206.207.50.60和云主机206.207.50.29之间一系列的网络交互。根据攻击步骤,可以分析出每一阶段的攻击都会产生若干或更多的同类型数据包。例如,应用扫描时会利用已有的攻击软件实现对云主机上所部署应用的探测,这里需要反复发送数据包来进行分析。利用本发明中的数据预处理方法,可以有效降低数据包的规模,便于后续进行分析。
为了便于理解,图2所示攻击过程只是展示了一个涉及一台被攻击云主机的多阶段攻击过程。攻击方为了隐藏攻击行为,往往不会在同一个时刻密集完成上述攻击过程,而是把上述攻击过程分散到若干天甚至更长时间内执行。因此,抓取到的数据包的时间跨度是比较大的,不同阶段攻击行为的时间间隔也可能是比较大的。如果简单地采用已有的基于深度学习的检测算法,把局部时间内的数据包输入给神经网络进行分析,并不能有效抓取到该攻击过程的上下文信息。
步骤2)构建因果图,从种子节点出发梳理相关的边(网络交互)序列,可以有效地抓取某些节点在长时域上的网络交互行为过程,有利于结合多阶段攻击过程上下文来实现对攻击行为的检测。
某些攻击行为孤立来看就是正常操作。例如,对SSH登录账号进行暴力破解,孤立来看就是对登录密码进行了多次尝试操作。但是,从长时域来看,过多的尝试测试代表了异常,而且还可以综合攻击方的其它操作使得登录尝试显得更加异常。
步骤3)把不同的网络包纳入到网络交互序列中,在更长的时域上对数据包进行分析,可以有效挖掘出隐蔽的攻击行为。再例如,数据渗出操作孤立来看就是一台主机和另一台主机间的数据传输。但是,如果从上下文来看,其中一台主机如果参与了某个阶段的攻击,那该主机的后续系列操作则具备很大的攻击嫌疑。把该主机涉及的网络交互综合起来看,并结合多阶段攻击的一般步骤,可以分析出该数据渗出操作的异常之处,进而分析得到该主机的多阶段攻击过程。
对本实例,这里成为问题的点在于,在以往的入侵检测中,孤立的检测手段无法检测出伪装成正常网络交互的攻击行为。例如,图2所示攻击过程的数据渗出,孤立来看就是简单的数据传输,但是结合攻击主机的前置攻击行为,应用本发明的方法,可以有效检测出该攻击行为。
步骤4)使用因果图来构建更大时间跨度的攻击行为上下文,有利于对隐藏攻击的检测。
本实例只是展示了一个简单的攻击过程。复杂的攻击过程还会涉及多台被攻击主机以及被攻击主机之间的横向移动过程。横向移动过程从网络流上孤立分析,就是某网络环境下不同主机之间的网络交互,该攻击过程更具迷惑性和隐蔽性。
步骤5)结合上下文分析,某外网主机A攻击了某网络环境下的主机B,并借助主机B实施对主机C的横向移动;结合主机A和主机B之间的网络流以及对应的主机B和主机C之间的网络流,从时间顺序上进行分析,再结合对主机A到主机B的攻击行为的检测,可以有效分析出主机B和主机C之间的网络交互也是间接控制的异常攻击行为。
此外,本发明方法也不一定局限在对网络流的建模分析,也可以进一步对审计日志进行因果图建模,分析主机层面的攻击过程,形成对网络层面攻击过程分析的有效补充,也可为网络层面的攻击检测提供辅助信息支撑。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (6)
1.一种基于因果图的网络攻击行为检测方法,其特征在于,具体包括以下步骤:
1)抓取的网络流数据包,对抓取到的网络流数据包进行预处理,以缩减数据包规模;
2)对预处理后的数据包序列,构建表征网络流的因果关系图;
3)以某个或某些节点为种子节点,把种子节点在某时段内的边按时间戳排序,构成一个该节点相关的网络交互序列;
4)按步骤3)方法对不同种子节点构建网络交互序列,如果交互序列中都是网络攻击过程的数据包则被标记为攻击序列,否则被标记为非攻击序列,生成若干攻击序列的正负样本,并训练基于LSTM的攻击序列识别模型;
5)实际检测中,按步骤1)至步骤3)方法,以某个或某些检测到的属于攻击过程的数据包的源IP和目的IP为种子节点,构建网络交互序列,使用步骤4)训练的攻击序列识别模型进行识别,识别出未被检测到的攻击过程数据包,实现网络攻击行为检测。
2.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法,其特征在于,所述步骤1)中预处理具体为:对抓取到的网络流数据包进行合并源IP、目的IP一致、报文类型一致、时间连续的数据包序列,以缩减数据包规模。
3.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法,其特征在于,所述步骤2)具体为:对预处理后的数据包序列,提取所有的源IP和目的IP,构成图节点;将包括每个数据包的时间戳、连接类型、网络流统计特征,构成该数据包源IP节点和目的IP节点之间的一条边;该情况下两个节点之前会存在多条边,表示两个IP间的不同网络交互。
4.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法,其特征在于,所述步骤3)中,按时间戳筛选某个时段内种子节点的边,并按时间戳排序,获得该时段内种子节点涉及的按时间排序的网络交互过程,表征种子节点某时段内的网络行为,图中每个节点的边表征某时段以该节点IP为源IP或目的IP的网络流交互。
5.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法,其特征在于,所述步骤4)中,选取不同的种子节点和时间段,可以构建若干网络交互序列;如果序列中只包含攻击过程则为攻击序列,否则为非攻击序列;生成大规模攻击序列的正负样本后,构建并训练基于LSTM的神经网络模型。
6.根据权利要求1所述的一种基于因果图的网络攻击行为检测方法,其特征在于,所述步骤5)中的检测为攻击序列和非攻击序列的二分类检测;检测到的攻击序列中的数据包即为攻击过程的数据包,表征攻击行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211007702.3A CN115361215A (zh) | 2022-08-22 | 2022-08-22 | 一种基于因果图的网络攻击行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211007702.3A CN115361215A (zh) | 2022-08-22 | 2022-08-22 | 一种基于因果图的网络攻击行为检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115361215A true CN115361215A (zh) | 2022-11-18 |
Family
ID=84002122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211007702.3A Pending CN115361215A (zh) | 2022-08-22 | 2022-08-22 | 一种基于因果图的网络攻击行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115361215A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115766258A (zh) * | 2022-11-23 | 2023-03-07 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252440A (zh) * | 2008-04-02 | 2008-08-27 | 电子科技大学 | 基于固有子序列模式分解的网络入侵检测方法 |
US20140149569A1 (en) * | 2012-11-26 | 2014-05-29 | Andreas Wittenstein | Correlative monitoring, analysis, and control of multi-service, multi-network systems |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
CN112052245A (zh) * | 2020-09-11 | 2020-12-08 | 中国人民解放军战略支援部队信息工程大学 | 网络安全训练中攻击行为的评判方法和装置 |
CN113206860A (zh) * | 2021-05-17 | 2021-08-03 | 北京交通大学 | 一种基于机器学习和特征选择的DRDoS攻击检测方法 |
CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
US20230034910A1 (en) * | 2021-07-28 | 2023-02-02 | Accenture Global Solutions Limited | Discovering cyber-attack process model based on analytical attack graphs |
-
2022
- 2022-08-22 CN CN202211007702.3A patent/CN115361215A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252440A (zh) * | 2008-04-02 | 2008-08-27 | 电子科技大学 | 基于固有子序列模式分解的网络入侵检测方法 |
US20140149569A1 (en) * | 2012-11-26 | 2014-05-29 | Andreas Wittenstein | Correlative monitoring, analysis, and control of multi-service, multi-network systems |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
CN112052245A (zh) * | 2020-09-11 | 2020-12-08 | 中国人民解放军战略支援部队信息工程大学 | 网络安全训练中攻击行为的评判方法和装置 |
CN113206860A (zh) * | 2021-05-17 | 2021-08-03 | 北京交通大学 | 一种基于机器学习和特征选择的DRDoS攻击检测方法 |
CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
US20230034910A1 (en) * | 2021-07-28 | 2023-02-02 | Accenture Global Solutions Limited | Discovering cyber-attack process model based on analytical attack graphs |
Non-Patent Citations (10)
Title |
---|
HUA ZHANG ETL: "A Multi-Step Attack Detection Model Based on Alerts of Smart Grid Monitoring System", IEEE ACCESS,, 23 December 2019 (2019-12-23) * |
姜楠;崔耀辉;王健;吴晋超;: "基于上下文特征的IDS告警日志攻击场景重建方法", 信息网络安全, no. 07, 10 July 2020 (2020-07-10) * |
张超群;韦川源;梁刚;黑小龙;朱旭东;: "基于深度学习技术的恶意攻击的分析与识别", 计算机应用研究, no. 1, 30 June 2020 (2020-06-30) * |
李智宏;王瑶;: "一种基于时间序列的入侵攻击路径溯源算法及实践", 科技创新导报, no. 15, 21 May 2020 (2020-05-21) * |
李艳;黄光球;: "基于可能图的攻击意图检测方法", 计算机工程与科学, no. 04, 15 April 2017 (2017-04-15) * |
林敏;: "基于机器学习的网络攻击检测综述", 数字技术与应用, no. 10, 15 October 2010 (2010-10-15) * |
王坤;邱辉;杨豪璞;: "基于攻击模式识别的网络安全态势评估方法", 计算机应用, no. 01, 10 January 2016 (2016-01-10) * |
王志文;夏秦;李平均;: "一种面向网络行为因果关联的攻击检测方法", 西安交通大学学报, no. 08, 10 August 2008 (2008-08-10) * |
王硕;汤光明;寇广;宋海涛;: "基于因果知识网络的攻击路径预测方法", 通信学报, no. 10, 25 October 2016 (2016-10-25) * |
黄龙;王春东;: "网络攻击意图识别技术研究", 天津理工大学学报, no. 02, 15 April 2020 (2020-04-15) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115766258A (zh) * | 2022-11-23 | 2023-03-07 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
CN115766258B (zh) * | 2022-11-23 | 2024-02-09 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Booij et al. | ToN_IoT: The role of heterogeneity and the need for standardization of features and attack types in IoT network intrusion data sets | |
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
Sharafaldin et al. | A detailed analysis of the cicids2017 data set | |
Shiravi et al. | Toward developing a systematic approach to generate benchmark datasets for intrusion detection | |
CN110505241B (zh) | 一种网络攻击面检测方法及系统 | |
Cordero et al. | Analyzing flow-based anomaly intrusion detection using replicator neural networks | |
Cordero et al. | ID2T: A DIY dataset creation toolkit for intrusion detection systems | |
Le et al. | Traffic dispersion graph based anomaly detection | |
CN103577835B (zh) | 采用多维特征向量检测ip id隐信道的方法 | |
Novikov et al. | Anomaly detection based intrusion detection | |
Singh et al. | A honeypot system for efficient capture and analysis of network attack traffic | |
Zhu | Attack pattern discovery in forensic investigation of network attacks | |
Al-Daweri et al. | An adaptive method and a new dataset, UKM-IDS20, for the network intrusion detection system | |
CN115361215A (zh) | 一种基于因果图的网络攻击行为检测方法 | |
Hnamte et al. | An extensive survey on intrusion detection systems: Datasets and challenges for modern scenario | |
Tellenbach | Detection, classification and visualization of anomalies using generalized entropy metrics | |
Hostiadi et al. | Sliding Time Analysis in Traffic Segmentation for Botnet Activity Detection | |
Heine et al. | On the evaluation and deployment of machine learning approaches for intrusion detection | |
Pouget et al. | Internet attack knowledge discovery via clusters and cliques of attack traces | |
Yang et al. | Botnet detection based on machine learning | |
Vasilomanolakis et al. | On probe-response attacks in collaborative intrusion detection systems | |
Amrouche et al. | Graph-based malicious login events investigation | |
Nie et al. | A covert network attack detection method based on lstm | |
Neil et al. | Statistical detection of intruders within computer networks using scan statistics | |
Venturi et al. | Practical Evaluation of Graph Neural Networks in Network Intrusion Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |