CN115695046B - 一种基于增强集成学习的网络入侵检测方法 - Google Patents
一种基于增强集成学习的网络入侵检测方法 Download PDFInfo
- Publication number
- CN115695046B CN115695046B CN202211687748.4A CN202211687748A CN115695046B CN 115695046 B CN115695046 B CN 115695046B CN 202211687748 A CN202211687748 A CN 202211687748A CN 115695046 B CN115695046 B CN 115695046B
- Authority
- CN
- China
- Prior art keywords
- network
- network flow
- flow
- model
- ensemble learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于增强集成学习的网络入侵检测方法,包括:构建网络流长度预测模型;构建集成学习模型;基于所述集成学习模型,构建网络入侵检测模型;将网络流输入所述网络流长度预测模型,获取预测流长度;基于所述预测流长度,调整所述网络入侵检测模型的决策曲面,基于调整后的所述网络入侵检测模型,对所述网络流进行检测,判定所述网络流是恶意流还是正常流。现有的流量分析系统能够基于本发明,实现物联网设备通信交互过程中的实时攻击检测和防御,在发现入侵时提前作出防御,避免被入侵,并降低误报率,避免影响实际生产中的正常网络通信流量。
Description
技术领域
本发明属于流量监测技术领域,尤其涉及一种基于增强集成学习的网络入侵检测方法。
背景技术
现有的网络入侵检测系统采用机器学习模型对网络流进行分析,以检查协议数据单元等的方式对已经传输完成的网络流进行特征值提取,根据特征值判断网络流是否为恶意流,并告知系统。
但是在实际过程中,系统通过解析传输完成后的网络流进行检测,这会导致当系统检测出异常流并发出警报时,入侵已经发生。除此之外,系统还有可能将正常的网络流当作恶意流,然后中断其正常通信,从而导致影响正常通信。
发明内容
为解决上述技术问题,本发明提出了一种基于增强集成学习的网络入侵检测方法,在设备通信过程中实现实时流量监测,并有效控制误报率。本发明利用深度神经网络预测短时间范围内的网络流长度,同时建立基于模型链的增强集成学习算法来判断网络流是否为恶意流量。
为实现上述目的,本发明提供了一种基于增强集成学习的网络入侵检测方法,包括:
构建网络流长度预测模型,将网络流输入所述网络流长度预测模型,获取预测流长度;
构建集成学习模型;
基于所述集成学习模型,构建网络入侵检测模型;
基于所述预测流长度,调整所述网络入侵检测模型的决策曲面,基于调整后的所述网络入侵检测模型,对所述网络流进行检测,完成网络流分类与预警。
可选地,构建所述网络流长度预测模型包括:
构建第一网络流集合;
提取所述第一网络流集合的特征值;
获取所述网络流集合中每个网络流的区间值;
构建DNN深度神经网络模型;
基于所述特征值和区间值,对所述DNN深度神经网络模型进行训练,获取所述网络流长度预测模型。
可选地,所述特征值包括但不限于:出站数据包数量、入站数据包数量、双向数据包数量、总入站字节数、最小入站字节数、最大入站字节数、平均入站字节数、入站字节的标准偏差、出站字节总数、最小出站字节数、最大出站字节数、平均出站字节数、出站字节的标准差、双向字节总数、最小双向字节数、最大双向字节数、平均双向字节数、双向字节的标准差、入站数据包数与出站数据包数比、入站字节数与出站字节数的比率、目的端口、入站数据包中的PSH标志数、出站数据包中的PSH标志数、双向数据包中的PSH标志数和双向数据包中的URG标志数。
可选地,获取所述网络流集合中每个网络流的区间值包括:
对所述网络流集合进行遍历,获取网络流长度阈值;
基于所述网络流长度阈值,获取每个网络流的所述区间值;
所述网络流长度阈值为:
所述区间值为:
可选地,构建所述集成学习模型包括:
构建第二网络流集合,获取所述第二网络流集合的第一向量;其中,所述第一向量用于表征所述第二网络流集合中的网络流是否为恶意流;
构建第三网络流集合;其中,所述第三网络流集合中的网络流为被误报的网络流,即正常流被预测为恶意流;
构建所述集成学习模型;所述集成学习模型包括若干独立学习器子模型;
基于所述第二网络流集合、第一向量和第三网络流,对所述集成学习模型进行训练,并调整训练后的所述集成学习模型中各个独立学习器的决策权重。
可选地,对所述集成学习模型进行训练包括:
对所述第二网络流集合进行网络流提取,获取第一数据集;
提取所述第一数据集中每个流的特征值,获取第一矩阵;
基于所述第一矩阵和所述第一向量,构建训练集;
基于所述训练集,对所述集成学习模型进行训练,获取训练后的所述集成学习模型。
可选地,调整训练后的所述集成学习模型中各个独立学习器的决策权重包括:
对所述第三网络流集合进行网络流提取,获取第二数据集;
提取所述第二数据集中每个流的特征值,获取第二矩阵;
将所述第二矩阵输入训练后的所述集成学习模型,对所述第二数据集进行预测,获取所述集成学习模型中独立学习器子模型的误报率;
基于所述误报率,获取所述独立学习器子模型的决策权重,完成决策权重的调整。
可选地,所述独立学习器子模型的误报率为:
所述独立学习器子模型的决策权重为:
可选地,对所述网络流进行检测包括:
获取所述网络流的预警阈值;
基于所述网络入侵检测模型,对所述网络流进行检测,获取输出值;
若所述输出值大于所述预警阈值,则表明所述网络流为恶意流,中止循环,输出警报;
若所述输出值小于所述预警阈值,则表明所述网络流为正常流,进行下一次的检测。
可选地,所述预警阈值为:
与现有技术相比,本发明具有如下优点和技术效果:
本发明基于深度神经网络构建网络流长度预测模型,根据首个数据包的特征预测小范围内的网络流长度,实现了实时的网络流预测,从而提升预测准确性;设置网络流长度阈值,对较长的网络流进行调整,避免错误预测,基于增强集成学习构建网络入侵检测模型,使用多个独立学习器进行训练,增加适应集来测试独立学习器的学习效果,并根据学习效果来决定其决策权重,从而提升决策准确率,提升学习效果。本发明结合以上两种方法,在检测过程中,首先根据首个接收到的数据包,预测网络流长度,并由此调整各个模型的决策曲面;其次,对实时接受到的网络流进行检测,提取其特征值进行计算,判断其是否为恶意流。现有的流量分析系统能够基于本发明,实现物联网设备通信交互过程中的实时攻击检测和防御,在发现入侵时提前作出防御,避免被入侵,并降低误报率,避免影响实际生产中的正常网络通信流量。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例的一种基于增强集成学习的网络入侵检测方法流程示意图;
图2为本发明实施例的集成学习框架示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
如图1所示,本发明提出一种基于增强集成学习的网络入侵检测方法,包括:
构建网络流长度预测模型,将正在传输中的网络流输入所述网络流长度预测模型,获取预测流长度;
构建集成学习模型;
基于所述集成学习模型,构建网络入侵检测模型;
基于所述预测流长度,调整所述网络入侵检测模型的决策曲面,基于调整后的所述网络入侵检测模型,对所述网络流进行检测,完成网络流检测与预警。
进一步地,构建所述网络流长度预测模型包括:
构建第一网络流集合;
提取所述第一网络流集合中的特征值;
获取所述网络流集合中每个网络流的区间值;
构建深度神经网络模型;
基于所述特征值和区间值,对所述深度神经网络模型进行训练,获取所述网络流长度预测模型。
进一步地,所述特征值包括但不限于:出站数据包数量、入站数据包数量、双向数据包数量、总入站字节数、最小入站字节数、最大入站字节数、平均入站字节数、入站字节的标准偏差、出站字节总数、最小出站字节数、最大出站字节数、平均出站字节数、出站字节的标准差、双向字节总数、最小双向字节数、最大双向字节数、平均双向字节数、双向字节的标准差、入站数据包数与出站数据包数比、入站字节数与出站字节数的比率、目的端口、入站数据包中的PSH标志数、出站数据包中的PSH标志数、双向数据包中的PSH标志数和双向数据包中的URG标志数。
进一步地,获取所述网络流集合中每个网络流的区间值包括:
对所述网络流集合进行遍历,获取网络流长度阈值;
基于所述网络流长度阈值,获取每个网络流的所述区间值;
进一步地,构建所述集成学习模型包括:
构建第二网络流集合,获取所述第二网络流集合的第一向量;其中,所述第一向量用于表征所述第二网络流集合中的网络流是否为恶意流;
构建第三网络流集合;其中,所述第三网络流集合中的网络流为被误报的网络流,即正常流被预测为恶意流;
构建所述集成学习模型;所述集成学习模型包括若干独立学习器子模型;
基于所述第二网络流集合、第一向量和第三网络流,对所述集成学习模型进行训练,并调整训练后的所述集成学习模型中各个独立学习器的决策权重。
进一步地,对所述集成学习模型进行训练包括:
对所述第二网络流集合进行网络流提取,获取第一数据集;
提取所述第一数据集中每个流的特征值,获取第一矩阵;
基于所述第一矩阵和所述第一向量,构建训练集;
基于所述训练集,对所述集成学习模型进行训练,获取训练后的所述集成学习模型。
进一步地,调整训练后的所述集成学习模型中各个独立学习器的决策权重包括:
对所述第三网络流集合进行网络流提取,获取第二数据集;
提取所述第二数据集中每个流的特征值,获取第二矩阵;
将所述第二矩阵输入训练后的所述集成学习模型,对所述第二数据集进行预测,获取所述集成学习模型中独立学习器子模型的误报率;
基于所述误报率,获取所述独立学习器子模型的决策权重,完成决策权重的调整。
进一步地,对所述网络流进行检测包括:
获取所述网络流的预警阈值;
基于所述网络入侵检测模型,对所述网络流进行检测,获取输出值;
若所述输出值大于所述预警阈值,则表明所述网络流为恶意流,中止循环,输出警报;
若所述输出值小于所述预警阈值,则表明所述网络流为正常流,进行下一次的检测。
实施例
本实施例实现了在物联网设备通信过程中实时流量监测、并有效控制误报率。系统会利用深度神经网络预测短时间范围内的网络流长度,同时建立基于增强集成学习的网络入侵检测模型来判断网络流是否为恶意流。
本实施例的详细步骤如下:
S1 训练网络流长度预测模型
在此步骤中,提出了基于深度神经网络的网络流长度预测模型,其能够通过观察较少的网络流来预测未来一段时间的网络流长度,从而指导S3建立的网络入侵检测模型。算法能够通过观察较少的网络流,预测未来一段时间的网络流长度;提出了节流机制,避免因少量较长的网络网络流导致的预测错误。
包的定义:TCP/IP协议通信传输中的数据单位,一般也称“数据包”。单个消息被划分为多个数据块,这些数据块称为包,它包含发送者和接收者的地址信息。这些包然后沿着不同的路径在一个或多个网络中传输,并且在目的地重新组合。
网络流的定义:用户在使用应用过程中需要传输的数据,数据通过应用层、传输层、网络层、数据链路层、物理层,传输到对方用户应用中。具体表现为两台设备的一次连接的开始到该连接的关闭。一个连接过程中会发送m个包,包的数量不确定,大小不确定,又称为网络会话。
流长度的定义:网络流中包的数量。
对于训练集中的每个流:
特征值包括但不限于出站数据包数量、入站数据包数量、双向数据包数量、总入站字节数、最小入站字节数、最大入站字节数、平均入站字节数、入站字节的标准偏差、出站字节总数、最小出站字节数、最大出站字节数、平均出站字节数、出站字节的标准差、双向字节总数、最小双向字节数、最大双向字节数、平均双向字节数、双向字节的标准差、入站数据包数与出站数据包数比、入站字节数与出站字节数的比率、目的端口、入站数据包中的PSH标志数、出站数据包中的PSH标志数、双向数据包中的PSH标志数、双向数据包中的URG标志数。
对每个流的长度进行调整,目的是为了避免因突然出现的长网络流导致预测错误。
举例说明:比如有10个流,他们的长度分别为23、29、34、80、32、19、40、38、49、29,若 q 设定为5,第2分位点的值为24.2(公式表达:),则第4个流的长度调整为49。调整后,10个流的长度为23、29、34、49、32、19、40、38、49、29。
将每个流长度进行分箱,目的是将连续的流长度值转变为离散值,便于机器学习模型处理。
S14 建立深度神经网络
S141 初始化深度神经网络,设置总层数为32层,隐藏层的神经元个数为64,sotfmax层的神经元个数为x,激活函数为ReLU激活函数,;损失函数为对数似然损失函数,如下图所示;迭代步长为/>,最大迭代次数MAX,停止迭代阈值/>。
S143 得到训练好的深度神经网络。
S2 训练增强集成学习模型
首先介绍下大概步骤:
集成学习的定义:集成学习是一种为了提高模型的预测效果,通过训练多个单一学习器,并加以一定的集成策略,得到一个泛化性优良的强学习器。
本实施例采用的是基于Bagging的算法,该算法给定一个弱学习算法和一个训练集,由于单个弱学习算法准确率不高,因此设置多个独立学习器,采用投票的方式进行决策。但是,在实际应用中,这样会导致误报率较高,因此本发明将决策方式调整为对每个独立学习器给予权重,最终的决策结果根据权重计算结果给出。
其中,弱学习算法可以是任意一个学习算法;决策权重,由适应集的训练结果的误报率计算得出。集成学习框架如图2所示。
模型链的解释与应用:
为实现实时检测流,本实施例提出了模型链机制。即不同于以往的集成学习算法,只有一个基础模型,其中有n个独立学习器,通过训练以后给出结果。而是提出了综合模型的概念,综合模型中包含m个基础模型,每一个基础模型中有n个独立学习器。每个基础模型中的独立学习器的参数各不相同。
模型链的定义:
在实际的应用中,用综合模型对n个流进行检测。将网络流每个数据包进行提取一次,并存于训练集/适应集中,分别由第i个基础模型来进行训练。这样能够实现实时检测,当前几次就发现网络流为恶意的时候就输出并停止检测。
因此,训练集并不是一个固定的集合,而是在每次训练前更新。
构建训练集和适应集:
训练集构建过程:(适应集相似,具体看步骤即可)
其中,m为模型链中综合模型的个数
最后,提取训练集特征值,并输入到第i个基础模型中进行学习,得到训练好的基础模型。
S2训练增强集成学习模型
其中,S11、S21 构建的用于训练网络流集合可以为同一个集合,均表达为:其中共有n个网络流,每个网络流有m个包(m不固定);S22 构建的用于调整决策的网络流集合,其中包含的流均为会被误报的流(即正常流被预测为恶意流),其数量为S11、S21的1/10。
S23 选取任意(可以只有一类)的弱学习器模型
S24 使用S23中选取的弱学习器模型构建基于Bagging算法的集成学习框架;
其中,集成学习框架(或综合模型)中共有n个独立学习器(或基础模型)/>;每个框架的决策策略为为各个独立学习器设置权重/>,进行加权求和,如果预测结果大于预计的阈值,则报警,若小于阈值,则进行一次检测。
提取训练集的网络流,用于训练独立学习器。
其中,K为常数,自行设定,在本实施例中可设定为10。
提取适应集的网络流,用于计算独立学习器的误报率。
其中,K为常数,自行设定,需要与S261中的K值一致
即第一矩阵。
说明:集成学习框架中有n个独立学习器,假设赋予每个独立学习器一个编号,取值范围为/>,则第i个独立学习器对应每个流的前/>个包,每个独立学习器通过学习流的特征值来预测其是否恶意,从而应用在实际场景中。
集成学习框架共有m个,每一个集成学习框架按照顺序,依次对应提取后的流。例如/>时,由/>对流集合中的每一个流的前10个(假设/>)数据包组成的流的特征值进行学习;/>时,由/>对流集合中的每一个流的前60个数据包组成的流的特征值进行学习。
S27 输出m个训练好的集成学习框架。
步骤S3 实时监测算法;
粗略说明:
首先,提出了一种模型链模型,具体定义如下:
意义:由于在S262中,提取(强行切断)流会导致信息的损失,并且在S132中,离散化过程同样会导致。因此在预测流是否为恶意流的时候,需要进行充足的预测,避免误报。
因此,本实施例提出了模型链的概念。
因此,针对每次提取出的网络流,采用模型链上的不同综合模型进行预测(在S2的训练过程中同样是使用提取得到的网络流来训练不同的综合模型),从而确保预测的结果较为准确。
除此之外,由于检测的包数量越多,可以观察到的信息量也越多,这就意味着越靠后的检测,检测的结果也更加可靠。因此引入决策曲面的概念,针对S1步骤建立的流长度预测模型的结果调整每个综合模型的决策曲面。
决策曲面介绍:
如果输入的数据是一个L维空间特征,考虑一个M分类问题,那么分类器将会把这个L维空间的特征点分为M个区域。每个区域显然就属于一个类别,如果输入一个点x落在第i个区域,那么x就属于第i类。分割成这些区域的边界就称为决策面。
说明:当时,模型链中的第1个综合模型中的n个基础模型会对输入的流的前K个包进行预测(预测同一个前K个包),并根据各个基础模型给出的结果进行加权计算,给出最后的预测结果。当/>时,模型链中的第3个综合模型中的/>个基础模型会对输入的/>个流的前3/>个包进行预测。
S3建立基于模型链的网络入侵检测模型的具体步骤如下:
S31 建立基于综合模型的模型链模型;
S35 根据预测流长度L调整模型链M的决策曲面;
本实施例针对目前物联网设备连接中存在的问题,存在如下有益效果,分别如下:
提出了一种基于深度神经网络与流长度阈值的网络流长度预测算法。使用深度神经网络,根据首个数据包的特征预测小范围内的网络流长度,实现了实时网络流长度预测,从而提升预测准确性;设置网络流长度阈值,对较长的网络流进行调整,避免错误预测。
提出了一种基于模型链的增强集成学习算法,使用多个独立学习器进行训练。增加适应集来测试独立学习器的学习效果,并根据学习效果来决定其决策权重,从而提升决策准确率,提升学习效果。
结合以上两种算法,提出了一种基于增强集成学习算法的网络入侵检测方法。在检测过程中,首先根据首个接收到的数据包,预测网络流长度,并由此调整网络入侵检测模型的决策曲面;其次,对实时接受到的网络流进行检测,提取其特征值进行计算,判断其是否为恶意流并给予预警。
现有的流量分析系统能够基于本实施例,实现物联网设备通信交互过程中的实时攻击检测和防御,在发现入侵时提前作出防御,避免被入侵,并降低误报率,避免影响实际生产中的正常网络通信流量。
以上,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种基于增强集成学习的网络入侵检测方法,其特征在于,包括:
构建网络流长度预测模型,将网络流输入所述网络流长度预测模型,获取预测流长度;
构建集成学习模型;
基于所述集成学习模型,构建网络入侵检测模型;
基于所述预测流长度,调整所述网络入侵检测模型的决策曲面,基于调整后的所述网络入侵检测模型,对所述网络流进行检测,完成网络流分类与预警;
构建所述集成学习模型包括:
构建第二网络流集合,获取所述第二网络流集合的第一向量;其中,所述第一向量用于表征所述第二网络流集合中的网络流是否为恶意流;
构建第三网络流集合;其中,所述第三网络流集合中的网络流为被误报的网络流,即被预测为恶意流的正常流;
构建所述集成学习模型;所述集成学习模型包括若干独立学习器子模型;
基于所述第二网络流集合、第一向量和第三网络流,对所述集成学习模型进行训练,并调整训练后的所述集成学习模型中各个独立学习器的决策权重。
2.根据权利要求1所述的基于增强集成学习的网络入侵检测方法,其特征在于,构建所述网络流长度预测模型包括:
构建第一网络流集合;
提取所述第一网络流集合的特征值;
获取所述第一网络流集合中每个网络流的区间值;
构建深度神经网络模型;
基于所述特征值和区间值,对所述深度神经网络模型进行训练,获取所述网络流长度预测模型。
3.根据权利要求2所述的基于增强集成学习的网络入侵检测方法,其特征在于,所述特征值包括但不限于:出站数据包数量、入站数据包数量、双向数据包数量、总入站字节数、最小入站字节数、最大入站字节数、平均入站字节数、入站字节的标准偏差、出站字节总数、最小出站字节数、最大出站字节数、平均出站字节数、出站字节的标准差、双向字节总数、最小双向字节数、最大双向字节数、平均双向字节数、双向字节的标准差、入站数据包数与出站数据包数比、入站字节数与出站字节数的比率、目的端口、入站数据包中的PSH标志数、出站数据包中的PSH标志数、双向数据包中的PSH标志数和双向数据包中的URG标志数。
5.根据权利要求1所述的基于增强集成学习的网络入侵检测方法,其特征在于,对所述集成学习模型进行训练包括:
对所述第二网络流集合进行网络流提取,获取第一数据集;
提取所述第一数据集中每个流的特征值,获取第一矩阵;
基于所述第一矩阵和所述第一向量,构建训练集;
基于所述训练集,对所述集成学习模型进行训练,获取训练后的所述集成学习模型。
6.根据权利要求1所述的基于增强集成学习的网络入侵检测方法,其特征在于,调整训练后的所述集成学习模型中各个独立学习器的决策权重包括:
对所述第三网络流集合进行网络流提取,获取第二数据集;
提取所述第二数据集中每个流的特征值,获取第二矩阵;
将所述第二矩阵输入训练后的所述集成学习模型,对所述第二数据集进行预测,获取所述集成学习模型中独立学习器子模型的误报率;
基于所述误报率,获取所述独立学习器子模型的决策权重,完成决策权重的调整。
8.根据权利要求1所述的基于增强集成学习的网络入侵检测方法,其特征在于,对所述网络流进行检测包括:
获取所述网络流的预警阈值;
基于所述网络入侵检测模型,对所述网络流进行检测,获取输出值;
若所述输出值大于所述预警阈值,则表明所述网络流为恶意流,中止循环,输出警报;
若所述输出值小于所述预警阈值,则表明所述网络流为正常流,进行下一次的检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211687748.4A CN115695046B (zh) | 2022-12-28 | 2022-12-28 | 一种基于增强集成学习的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211687748.4A CN115695046B (zh) | 2022-12-28 | 2022-12-28 | 一种基于增强集成学习的网络入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115695046A CN115695046A (zh) | 2023-02-03 |
CN115695046B true CN115695046B (zh) | 2023-03-31 |
Family
ID=85056360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211687748.4A Active CN115695046B (zh) | 2022-12-28 | 2022-12-28 | 一种基于增强集成学习的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115695046B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801604B (zh) * | 2023-02-13 | 2023-05-02 | 广东工业大学 | 一种网络流特征值的预测方法 |
CN116647411B (zh) * | 2023-07-17 | 2023-09-22 | 厦门巴掌互动科技有限公司 | 游戏平台网络安全的监测预警方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN115021997A (zh) * | 2022-05-26 | 2022-09-06 | 广州中南网络技术有限公司 | 一种基于机器学习的网络入侵检测系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11005863B2 (en) * | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
CN106789214B (zh) * | 2016-12-12 | 2019-10-11 | 广东工业大学 | 一种基于正余双弦算法的网络态势感知方法及装置 |
CN109951476B (zh) * | 2019-03-18 | 2021-06-22 | 中国科学院计算机网络信息中心 | 基于时序的攻击预测方法、装置及存储介质 |
CN110753064B (zh) * | 2019-10-28 | 2021-05-07 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
US11037173B1 (en) * | 2019-12-13 | 2021-06-15 | Sift Science, Inc. | Systems and methods for anomaly detection in automated workflow event decisions in a machine learning-based digital threat mitigation platform |
-
2022
- 2022-12-28 CN CN202211687748.4A patent/CN115695046B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
CN115021997A (zh) * | 2022-05-26 | 2022-09-06 | 广州中南网络技术有限公司 | 一种基于机器学习的网络入侵检测系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115695046A (zh) | 2023-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115695046B (zh) | 一种基于增强集成学习的网络入侵检测方法 | |
CN114615093B (zh) | 基于流量重构与继承学习的匿名网络流量识别方法及装置 | |
CN109698836A (zh) | 一种基于深度学习的无线局域网入侵检测方法和系统 | |
CN112949702B (zh) | 一种网络恶意加密流量识别方法和系统 | |
CN107682317B (zh) | 建立数据检测模型的方法、数据检测方法及设备 | |
CN113395276B (zh) | 基于自编码器能量检测的网络入侵检测方法 | |
CN112966714B (zh) | 一种边缘时序数据异常检测和网络可编程控制方法 | |
CN112433518B (zh) | 一种基于循环神经网络的工业控制系统入侵检测方法 | |
CN115643115B (zh) | 基于大数据的工控网络安全态势预测方法及系统 | |
CN104734916A (zh) | 一种基于tcp协议的高效多级异常流量检测方法 | |
CN112418361A (zh) | 一种基于深度学习的工控系统异常检测方法、装置 | |
CN114422184A (zh) | 基于机器学习的网络安全攻击类型和威胁等级预测方法 | |
CN111741002A (zh) | 一种网络入侵检测模型的训练方法和装置 | |
CN111917712A (zh) | 一种针对多协议攻击数据的流量监测方法及监测系统 | |
CN114239737A (zh) | 一种基于时空特征与双层注意力的加密恶意流量检测方法 | |
CN112364304A (zh) | 一种区块链的日蚀攻击检测方法及装置 | |
CN113079167B (zh) | 一种基于深度强化学习的车联网入侵检测方法及系统 | |
CN113315781A (zh) | 基于hmm模型的异常数据检测方法 | |
Hagos et al. | Recurrent neural network-based prediction of tcp transmission states from passive measurements | |
CN117113262A (zh) | 网络流量识别方法及其系统 | |
KR102484674B1 (ko) | 헤더 압축을 통한 패킷 전송 방법, 장치 및 시스템 | |
TWI780411B (zh) | 基於長短期記憶模型之異常網路流量偵測系統及方法 | |
CN108055149A (zh) | 一种时频同步应用中端到端流量异常特征提取方法 | |
EP3840319A1 (en) | Anomaly detector, anomaly detection network, method for detecting an abnormal activity, model determination unit, system, and method for determining an anomaly detection model | |
CN115913769B (zh) | 基于人工智能的数据安全存储方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |