CN115580472B - 一种基于启发式聚类算法的工业控制网络攻击流量分类方法 - Google Patents

一种基于启发式聚类算法的工业控制网络攻击流量分类方法 Download PDF

Info

Publication number
CN115580472B
CN115580472B CN202211240203.9A CN202211240203A CN115580472B CN 115580472 B CN115580472 B CN 115580472B CN 202211240203 A CN202211240203 A CN 202211240203A CN 115580472 B CN115580472 B CN 115580472B
Authority
CN
China
Prior art keywords
distance
industrial control
attack
traffic
control network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211240203.9A
Other languages
English (en)
Other versions
CN115580472A (zh
Inventor
盛川
姚羽
胡博
申益嘉
杨巍
周小明
刘莹
杨道青
李文轩
林小李
单垚
周金磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Liaoning Electric Power Co Ltd
Original Assignee
State Grid Liaoning Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Liaoning Electric Power Co Ltd filed Critical State Grid Liaoning Electric Power Co Ltd
Priority to CN202211240203.9A priority Critical patent/CN115580472B/zh
Publication of CN115580472A publication Critical patent/CN115580472A/zh
Application granted granted Critical
Publication of CN115580472B publication Critical patent/CN115580472B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全领域,提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理,输入至深度自编码器后进行降维处理,获得低维流量特征表示,基于密度的启发式聚类算法从中获取基础攻击流量分类器,并基于基础攻击流量分类器,采用测试数据构造自增长攻击流量分类器,持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的,且是逐渐出现的特点,本方法实现对攻击流量进行持续性的、实时的检测和分类。

Description

一种基于启发式聚类算法的工业控制网络攻击流量分类方法
技术领域
本发明涉及网络安全领域,具体涉及一种基于启发式聚类算法的工业控制网络攻击流量分类方法。
背景技术
威胁分析是网络安全态势理解阶段的重要环节,无论从哪个角度对工业控制系统中的网络攻击行为进行分析,对于网络攻击流量的分类都在其中扮演着重要的角色,其打开了对网络攻击行为进行进一步深入探索的大门。
网络攻击流量分类已经成为现代网络安全研究中一项重要的基础性技术。近年来对攻击流量分类的研究主要集中在将机器学习及深度学习技术应用于网络流量统计特征的分类方法上,许多有监督的分类方法和无监督的聚类方法已经被应用于攻击流量分类。基于不同的训练样本和防御目标,攻击流量分类方法能够被应用于不同的场景,主要包括检测恶意流量、区分已有类别攻击和发现未知种类攻击等。
论文“Z.Jun,C.Chao,X.Yang,Z.Wanlei,and A.V.Vasilakos,An EffectiveNetwork Traffic Classification Method with Unknown Flow Detection[J].IEEETrans.Netw.Serv.Manage.2019,10(2):133-147.”提出了流量标签传播,从大量的无标签数据集中自动标记相关流量,以解决监督训练集小的问题,并使用半监督的方法来检测未知的网络流量。
论文“A.A.Ahmed,W.A.Jabbar,A.S.Sadiq,and H.Patel.Deep learning basedclassification model for botnet attack detection.J.AmbientIntell.Hum.Comput.,2020.”使用卷积神经网络对SCADA流量的突出时间模式进行建模,并确定网络攻击存在的时间窗口。特别是,这种方法设计了一个重新训练的方案来处理未知的攻击。
论文“Z.Jun,C.Chao,X.Yang,Z.Wanlei,and A.V.Vasilakos,An EffectiveNetwork Traffic Classification Method with Unknown Flow Detection[J].IEEETrans.Netw.Serv.Manage.2019,10(2):133-147.”提出了流量标签传播,以解决监督训练集小的问题。虽然这种方法减少了对监督训练数据的依赖,但它没有尝试对未知流量进行进一步分类。
论文“A.A.Ahmed,W.A.Jabbar,A.S.Sadiq,and H.Patel.Deep learning basedclassification model for botnet attack detection.J.AmbientIntell.Hum.Comput.,2020.”提出的方法依赖于SCADA系统操作员检查和标记新发现的攻击,这可能是非常耗时的。其次,重新训练方案需要足够数量的新攻击实例,这可能导致分类模型无法及时适应新出现的攻击。
近些年来,虽然已有一些方法被提出用于发现未知种类的网络攻击,然而现阶段这些方法仍然面临3个主要挑战:1)无法直接对侦测到的未知攻击流量进行进一步的分类;2)主要依赖安全分析人员对未知攻击流量进行种类划分和打标签;3)需要足够多的未知种类攻击流量样本进行分类模型的训练。
本发明提出了一种能够在仅有正常工控网络攻击流量作为参考的情况下对目标工业控制网络中的未知攻击流量进行实时检测和分类的方法。从有监督学习的角度来看,该方法摆脱了对训练攻击样本的依赖。与已有无监督聚类方法相比,该方法的分类过程是实时的,且被发现的新的攻击流量类别将被直接保留在分类模型中,而不是每次都重新训练和生成新的簇。况且对原有攻击流量和新的攻击流量的重新聚类很难保证与前一次聚类结果的一致性,即原属于相同簇的攻击流量可能被新的聚类过程分配到不同的簇中,从而导致生成的簇无法始终代表某一类攻击流量,进而导致整个聚类结果失去代表性。
发明内容
本发明提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法,这是一种具有自增长能力的无监督分类方法,以解决仅基于正常工控网络攻击流量对未知攻击流量进行实时分类的难题。首先,由于缺乏足够的训练攻击样本,无监督聚类方法更适合解决该问题。其次,由于缺乏工业控制网络流量分布相关知识,自动化的聚类过程比预定义聚类结果更加符合实际需求。最后,由于攻击流量的种类是不确定的,且是逐渐出现的,因此对于攻击流量的持续性的、实时的检测和分类能力是非常重要的。
本发明的技术方案如下:一种基于启发式聚类算法的工控网络攻击流量分类方法,工控网络攻击流量分为训练数据和测试数据,包括以下步骤:
步骤一:从工控网络攻击流量中提取出工控网络攻击流量特征;使用流量会话作为基本单元分割工控网络攻击流量,流量会话进一步由活跃时间阈值Tactivation分割;
步骤二:将步骤一获得的工控网络攻击流量特征进行特征离散化和标准化处理,获得格式化后的工控网络攻击流量特征输入至深度自编码器,深度自编码器的解码器部分对工控网络攻击流量特征进行降维,获得低维流量特征表示形式;
步骤三:通过基于密度的启发式聚类算法(Density-Based Heuristic Clustering,DBHC),从低维流量特征表示形式中获取基础攻击流量分类器;
步骤四:基于基础攻击流量分类器,采用测试数据构造自增长攻击流量分类器(Self-Growing Attack Traffic Classifier,SGATC),用于持续检测和分类未知的攻击流量。
所述步骤二中的深度自编码器包含三个隐藏层,每层均以ReLU作为激活函数;损失函数反映了格式化后的工控网络攻击流量特征与低维流量特征表示形式之间偏差平方的平均值,其中xi表示格式化后的工控网络攻击流量特征,表示低维流量特征表示形式,N表示数据量,即数据输出个数;
其中,E为输入数据与输出数据之间偏差平方的平均值。
所述步骤三的具体步骤为:
3.1将步骤二的低维流量特征表示形式视为数据点,计算每个数据点pi的局部密度ρi
其中,dij为数据点pi和pj之间的距离,dc为截断距离;
3.2按局部密度降序排列数据点,形成序列N={p1,p2,…,pn|;
3.3计算每个数据点pi和与其最近且密度更高的数据点qi间的距离δi
3.4为数据点p1创建第一个簇C1,并选择p1为其质心o1
3.5按照序列N的顺序,除p1外,对每个数据点pi依次进行检验,当其距离δi小于等于截断距离dc时,pi被分配到与其最近且密度更高的数据点所属的簇Cx中;通过直接平均法,用pi来更新簇Cx的质心ox
3.6当pi的距离δi大于截断距离dc时,为pi创建一个新的簇,且pi被选为对应新簇的质心;
3.7计算每个簇之间极限距离dl,极限距离为两个簇质心间最大距离,
3.8Ca,Cb两个簇质心的距离小于dl时,计算二者之间最小距离dmin
3.9dmin小于截断距离dc时,Ca,Cb两个簇被合并成一个新的簇C′a,并更新簇C′a的质心o′a,将Cb标记成已合并;
3.10遍历各个簇,删除所有标记为已合并的簇。
所述步骤四的具体步骤为:
4.1测试数据p*所属簇C*设为空,置为正整数,计算测试数据p*和基础攻击流量分类器中所有簇的极限距离dl’,dl’计算公式如下:
4.2p*和oi之间的距离不大于dl’时,计算对应的最小距离dmin
4.3dmin(p*,Ci)不大于截断距离dc且小于更新/>为dmin(p*,Ci),将C*置为簇Ci,C*不为空;否则C*为空;
4.4当C*不为空时,|C*|小于更新系数M时,计算更新距离du
du=dc*|C*|/M
|C*|不小于更新系数M时,计算更新距离du
du=dc
4.5dist(p*,o*)大于du时,p*来更新簇C*
4.6计算每个簇Cj的簇C*之间极限距离dl
4.7C*,Cj两个簇质心的距离小于等于dl时,进一步计算它们之间的最小距离dmin(C*,Cj);
4.8dmin(C*,Cj)小于截断距离dc时,C*,Cj两个簇将被合并成一个新的簇利用分配机制将/>映射到一个已有类别;
4.9将簇赋给簇C*,将p*分类为C*所属类别;
4.10当C*为空时,为p*创建一个新的簇并选择p*为其质心,分配一个新的类别给p*和/>
所述训练数据经步骤一、步骤二和步骤三获取基础攻击流量分类器。
所述测试数据经步骤一、步骤二和步骤四构造自增长攻击流量分类器。
所述不小于105
本发明的有益效果:本发明解决了仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。从有监督学习的角度来看,本发明提出的方法摆脱了对训练攻击样本的依赖。与已有无监督聚类方法相比,本发明提出的方法的分类过程是实时的,且被发现的新的攻击流量类别将被直接保留在分类模型中,而不是每次都重新训练和生成新的簇。况且对原有攻击流量和新的攻击流量的重新聚类很难保证与前一次聚类结果的一致性,即原属于相同簇的攻击流量可能被新的聚类过程分配到不同的簇中,从而导致生成的簇无法始终代表某一类攻击流量,进而导致整个聚类结果失去代表性。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的,且是逐渐出现的特点,本方法实现对攻击流量进行持续性的、实时的检测和分类。
附图说明
图1为未知攻击流量分类系统模型;
图2为基于启发式聚类算法的工业控制网络攻击流量分类方法过程流程图;
图3为本发明与四种比较算法的性能对比图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式做进一步详细描述。
一种基于启发式聚类算法的工业控制网络攻击流量分类方法,算法步骤如下:
步骤一:用流量会话的形式表示工控网络攻击流量,作为IT特征的补充,用工控网络攻击流量特征来表示数据单元。
步骤二:采用特征离散化和标准化的数据处理方法,格式化被提取的工控网络攻击流量特征以适应接下来的深度学习方法。
步骤三:使用一个包含三个隐藏层的深度自编码器来对工控网络攻击流量特征进行降维,该深度自编码器的所有层均采用ReLU作为激活函数,其为一个简单的非线性函数,如果输入值为正值,则返回输入值,否返回0。其次,选择MSE作为损失函数,其反映了输入与输出之间偏差平方的平均值。MSE计算式如下:
步骤四:通过DBHC对由正常工控网络攻击流量组成的训练数据集进行建模,具体包括:
①计算每个数据点pi的局部密度ρi,其中,dc为截断距离,设置为0.03;
②按局部密度降序排列数据点,形成序列N={p1,p2,…,pn};
③计算每个数据点pi和与具有更高密度的且与其最近的数据点qi间的距离δi,生成二元组<qii>,δi计算公式如下:
④为数据点p1创建第一个簇C1,并选择p1为其质心o1
⑤按照序列N的顺序,除p1外,每个数据点pi依次进行检验,当其距离δi小于等于截断距离dc时,pi被分配到具有更高密度的且与其最近的数据点所属的簇Cx中。同时,通过直接平均法,用pi来更新簇Cx的质心ox
⑥当pi的距离δi大于截断距离dc时,为pi创建一个新的簇,且pi被选为对应新簇的质心;
⑦经过上述步骤,共创建了k个簇,对每个簇进行簇之间极限距离dl的计算,极限距离被定义为两个簇质心间最大可能距离,计算公式如下:
⑧如果Ca,Cb两个簇质心的距离小于dl时,进一步计算它们之间的最小距离dmin
⑨当dmin小于截断距离dc时,Ca,Cb两个簇将被合并成一个新的簇C′a,并更新其质心o′a,同时将Cb标记成已合并;
⑩遍历一遍k个簇,将所有标记为已合并的簇删除。
步骤五:构造SGATC,用于持续检测和分类未知的攻击流量,具体步骤为:
①p*所属簇C*置为空,置为较大正整数,计算测试数据p*和原始簇集合中所有簇的质心oi的距离,同时计算极限距离dl’,dl’计算公式如下:
②如果p*和oi之间的距离小于等于dl’,那么计算它们对应的最小距离dmin,公式如下:
③当dmin(p*,Ci)小于等于截断距离dc且小于更新/>为dmin(p*,Ci),将C*置为簇Ci
④当C*不为空时,如果|C*|小于更新系数M,M设置为50,计算更新距离du
du=dc*|C*|/M
如果|C*|不小于更新系数M,计算更新距离du
du=dc
⑤当dist(p*,o*)大于du时,用p*来更新簇C*
⑥经过上述步骤,当前模型中有m个簇,对每个簇Cj计算其与簇C*之间的极限距离dl
⑦如果C*,Cj两个簇质心的距离小于等于dl时,进一步计算它们之间的最小距离dmin(C*,Cj);
⑧当dmin(C*,Cj)小于截断距离dc时,C*,Cj两个簇将被合并成一个新的簇利用分配机制将/>映射到一个已有类别;
⑨将簇赋给簇C*,将p*分类为C*所属类别;
⑩当C*为空时,为p*创建一个新的簇并选择p*为其质心,分配一个新的类别给p*和/>
本实施例使用SCADA系统及相应的网络流量数据集作为实验数据,以正常网络流量“Run1_6RTU”作为训练数据,以其余所有种类的攻击流量作为测试数据。主要目的在于检测攻击流量的同时对其种类进行区分,以便于与来自其他工控网络的攻击流量以及来自分布式工控蜜网的攻击流量进行比对分析。此外,为丰富实验数据中攻击流量的种类,本实施例使用7个攻击工具对5个暴露在互联网上的基于Modbus的工控设备进行了10次独立的扫描,进而形成攻击工具数据。进一步,为增加攻击工具数据的识别和分类难度,将5个被扫描的工控设备映射到SCADA系统中的前5个RTU,即将相应的IP地址替换成RTU的IP地址。具体的数据分布情况如表1所示。
表1攻击流量数据集详细表
为了验证本发明提出方法的有效性,通过一组实验将该系统模型与4种较为先进的无监督聚类算法,包括k-means、EM、Hierarchical Agglomerative Clustering(HAC)及DBSCAN,在检测和分类未知攻击流量方面进行了比较。注意,4种比较算法皆在无监督模式下同时以训练和测试数据作为它们的输入。为使上述4种比较算法适用于攻击流量的检测和分类,本发明中的两条规则也被应用于它们。一方面,一旦测试流量会话被分配到训练流量会话所在的簇中,则被判定为正常。另一方面,不包含任何训练流量会话的簇被判定为异常,其类别通过概率分配机制来决定。
图3展示了该系统模型与4种比较算法的性能。显然,该系统模型在各个评价指标上都优于其他比较算法。例如,该系统模型的分类准确率比次优算法,DBSCAN,高出0.04以上。尽管HAC算法在检测率和总体准确率方面与该系统模型相当,但其在分类准确率上出现了急剧的下降,这暗示着其在分类工控网络攻击流量的过程中可能出现了过拟合现象。这是因为参数“簇的总数量”能够迫使HAC算法产生足够多的簇从而将攻击流量从正常流量中分离出来,但是其没有考虑攻击流量的分布情况,这并不利于区分不同种类的攻击流量。而且,攻击流量的数量远少于正常流量的数量,这也使得其难以为不同种类的攻击流量形成具有代表性的簇。这也是基于原型的聚类算法(k-means和EM)能够获得比基于密度的聚类算法(DBSCAN)更高的检测率和总体准确率的原因。但是基于密度的聚类算法试图探索数据点的分布情况,并将相似的数据点分配到相同的簇中,因此其更善于分类攻击流量。
鉴于上述观察,该系统模型采用了更加严格的聚类条件来划分数据点,并利用更新操作来合并相似的簇以减小分类模型的规模。通过这种方式,该系统模型能够充分利用工控网络攻击流量的分布特征,并获得比4种比较算法更好的检测和分类性能。而且,该系统模型无需再训练便能够实时持续地发现新类别的攻击流量。

Claims (5)

1.一种基于启发式聚类算法的工业控制网络攻击流量分类方法,其特征在于,工控网络攻击流量分为训练数据和测试数据,包括以下步骤:
步骤一:从工控网络攻击流量中提取出工控网络攻击流量特征;使用流量会话作为基本单元分割工控网络攻击流量,流量会话进一步由活跃时间阈值分割;
步骤二:将步骤一获得的工控网络攻击流量特征进行特征离散化和标准化处理,获得格式化后的工控网络攻击流量特征输入至深度自编码器,深度自编码器的解码器部分对工控网络攻击流量特征进行降维,获得低维流量特征表示形式;
步骤三:通过基于密度的启发式聚类算法,从低维流量特征表示形式中获取基础攻击流量分类器;
基于密度的启发式聚类算法获取基础攻击流量分类器的具体步骤为:
3.1将步骤二的低维流量特征表示形式视为数据点,计算每个数据点pi的局部密度ρi
其中,dij为数据点pi和pj之间的距离,dc为截断距离;
3.2按局部密度降序排列数据点,形成序列N={p1,p2,...,pn};
3.3计算每个数据点pi和与其最近且密度更高的数据点间的距离δi
3.4为数据点p1创建第一个簇C1,并选择p1为其质心o1
3.5按照序列N的顺序,除p1外,对每个数据点pi依次进行检验,当其距离δi小于等于截断距离dc时,pi被分配到与其最近且密度更高的数据点所属的簇Cx中;通过直接平均法,用pi来更新簇Cx的质心ox
3.6当pi的距离δi大于截断距离dc时,为pi创建一个新的簇,且pi被选为对应新簇的质心;
3.7计算每个簇之间极限距离dl,极限距离为两个簇质心间最大距离,
3.8 Ca,Cb两个簇质心的距离小于dl时,计算二者之间最小距离dmin
3.9 dmin小于截断距离dc时,Ca,Cb两个簇被合并成一个新的簇C′a,并更新簇C′a的质心o′a,将Cb标记成已合并;
3.10遍历各个簇,删除所有标记为已合并的簇;
步骤四:基于基础攻击流量分类器,采用测试数据构造自增长攻击流量分类器,用于持续检测和分类未知的攻击流量;
所述自增长攻击流量分类器的具体实现步骤为:
4.1测试数据p*所属簇C*设为空,置为正整数,计算测试数据p*和基础攻击流量分类器中所有簇的极限距离dl’,dl’计算公式如下:
4.2 p*和oi之间的距离不大于dl’时,计算对应的最小距离dmin
4.3 dmin(p*,Ci)不大于截断距离dc且小于更新/>为dmin(p*,Ci),将C*置为簇Ci,C*不为空;否则C*为空;
4.4当C*不为空时,|C*|小于更新系数M时,计算更新距离du
du=dc*|C*|/M
|C*|不小于更新系数M时,计算更新距离du
du=dc
4.5 dist(p*,o*)大于du时,p*来更新簇C*
4.6计算每个簇Cj的簇C*之间极限距离dl
4.7 C*,Cj两个簇质心的距离小于等于dl时,进一步计算它们之间的最小距离dmin(C*,Cj);
4.8 dmin(C*,Cj)小于截断距离dc时,C*,Cj两个簇将被合并成一个新的簇利用分配机制将/>映射到一个已有类别;
4.9将簇赋给簇C*,将p*分类为C*所属类别;
4.10当C*为空时,为p*创建一个新的簇并选择p*为其质心,分配一个新的类别给p*和/>
2.根据权利要求1所述的基于启发式聚类算法的工业控制网络攻击流量分类方法,其特征在于,所述步骤二中的深度自编码器包含三个隐藏层,每层均以ReLU作为激活函数;损失函数反映了格式化后的工控网络攻击流量特征与低维流量特征表示形式之间偏差平方的平均值,其中xi表示格式化后的工控网络攻击流量特征,表示低维流量特征表示形式,N表示数据量,即数据输出个数;
其中,E为输入数据与输出数据之间偏差平方的平均值。
3.根据权利要求1或2所述的基于启发式聚类算法的工业控制网络攻击流量分类方法,其特征在于,所述训练数据经步骤一、步骤二和步骤三获取基础攻击流量分类器。
4.根据权利要求3所述的基于启发式聚类算法的工业控制网络攻击流量分类方法,其特征在于,所述测试数据经步骤一、步骤二和步骤四构造自增长攻击流量分类器。
5.根据权利要求1、2或4所述的基于启发式聚类算法的工业控制网络攻击流量分类方法,其特征在于,所述不小于105
CN202211240203.9A 2022-10-11 2022-10-11 一种基于启发式聚类算法的工业控制网络攻击流量分类方法 Active CN115580472B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211240203.9A CN115580472B (zh) 2022-10-11 2022-10-11 一种基于启发式聚类算法的工业控制网络攻击流量分类方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211240203.9A CN115580472B (zh) 2022-10-11 2022-10-11 一种基于启发式聚类算法的工业控制网络攻击流量分类方法

Publications (2)

Publication Number Publication Date
CN115580472A CN115580472A (zh) 2023-01-06
CN115580472B true CN115580472B (zh) 2024-04-19

Family

ID=84585986

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211240203.9A Active CN115580472B (zh) 2022-10-11 2022-10-11 一种基于启发式聚类算法的工业控制网络攻击流量分类方法

Country Status (1)

Country Link
CN (1) CN115580472B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111953665A (zh) * 2020-07-28 2020-11-17 深圳供电局有限公司 服务器攻击访问识别方法及系统、计算机设备、存储介质
CN113298186A (zh) * 2021-06-22 2021-08-24 上海海事大学 融合流模型对抗生成网络和聚类算法的网络异常流量检测方法
CN113850346A (zh) * 2021-10-15 2021-12-28 烟台大学 Mec环境下多维属性感知的边缘服务二次聚类方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106689B2 (en) * 2011-05-06 2015-08-11 Lockheed Martin Corporation Intrusion detection using MDL clustering

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111953665A (zh) * 2020-07-28 2020-11-17 深圳供电局有限公司 服务器攻击访问识别方法及系统、计算机设备、存储介质
CN113298186A (zh) * 2021-06-22 2021-08-24 上海海事大学 融合流模型对抗生成网络和聚类算法的网络异常流量检测方法
CN113850346A (zh) * 2021-10-15 2021-12-28 烟台大学 Mec环境下多维属性感知的边缘服务二次聚类方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
基于半监督学习和信息增益率的入侵检测方案;许勐;李兴华;刘海;钟成;马建峰;;计算机研究与发展;20171015(10);全文 *
基于客观满意聚类的pH中和过程建模方法;王娜;胡超芳;师五喜;;计算机工程;20180215(02);全文 *
基于集成分类器的恶意网络流量检测;汪洁;杨力立;杨珉;;通信学报;20181025(10);全文 *

Also Published As

Publication number Publication date
CN115580472A (zh) 2023-01-06

Similar Documents

Publication Publication Date Title
Kayacik et al. A hierarchical SOM-based intrusion detection system
CN112910929B (zh) 基于异质图表示学习的恶意域名检测方法及装置
CN104601565B (zh) 一种智能优化规则的网络入侵检测分类方法
CN109218223B (zh) 一种基于主动学习的鲁棒性网络流量分类方法及系统
CN108874927A (zh) 基于超图和随机森林的入侵检测方法
Chandrashekhar et al. Performance evaluation of data clustering techniques using KDD Cup-99 Intrusion detection data set
CN113378899B (zh) 非正常账号识别方法、装置、设备和存储介质
CN113364751B (zh) 网络攻击预测方法、计算机可读存储介质及电子设备
CN110162968A (zh) 一种基于机器学习的网络入侵检测系统
CN113225346A (zh) 一种基于机器学习的网络运维态势评估方法
Ghalehgolabi et al. Intrusion detection system using genetic algorithm and data mining techniques based on the reduction
Dong et al. Db-kmeans: an intrusion detection algorithm based on dbscan and k-means
CN106060039A (zh) 一种面向网络异常数据流的分类检测方法
CN109902754A (zh) 一种高效的半监督多层次入侵检测方法及系统
CN110365603A (zh) 一种基于5g网络能力开放的自适应网络流量分类方法
CN117478390A (zh) 一种基于改进密度峰值聚类算法的网络入侵检测方法
CN116506181A (zh) 一种基于异构图注意力网络的车联网入侵检测方法
CN113205134A (zh) 一种网络安全态势预测方法及系统
CN109067778B (zh) 一种基于蜜网数据的工控扫描器指纹识别方法
CN114666273A (zh) 一种面向应用层未知网络协议的流量分类方法
CN112468498B (zh) 配电终端多源异构安全监测数据的跨模态聚合方法
CN115580472B (zh) 一种基于启发式聚类算法的工业控制网络攻击流量分类方法
CN117614693A (zh) 一种基于行为流量的云内安全威胁检测方法
CN117294497A (zh) 一种网络流量异常检测方法、装置、电子设备及存储介质
CN106487535B (zh) 一种网络流量数据的分类方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant