CN116318925A - 一种多cnn融合入侵检测方法、系统、介质、设备及终端 - Google Patents

一种多cnn融合入侵检测方法、系统、介质、设备及终端 Download PDF

Info

Publication number
CN116318925A
CN116318925A CN202310199808.6A CN202310199808A CN116318925A CN 116318925 A CN116318925 A CN 116318925A CN 202310199808 A CN202310199808 A CN 202310199808A CN 116318925 A CN116318925 A CN 116318925A
Authority
CN
China
Prior art keywords
data
cnn
intrusion detection
model
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310199808.6A
Other languages
English (en)
Inventor
闫钰
杨宇
申芳
韩鹏
高敏娜
谷宇恒
赵琪
张炜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Engineering University of Chinese Peoples Armed Police Force
Original Assignee
Engineering University of Chinese Peoples Armed Police Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Engineering University of Chinese Peoples Armed Police Force filed Critical Engineering University of Chinese Peoples Armed Police Force
Priority to CN202310199808.6A priority Critical patent/CN116318925A/zh
Publication of CN116318925A publication Critical patent/CN116318925A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/082Learning methods modifying the architecture, e.g. adding, deleting or silencing nodes or connections
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Image Analysis (AREA)

Abstract

本发明属于网络安全技术领域,公开了一种多CNN融合入侵检测方法、系统、介质、设备及终端,利用短时傅里叶方法将一维时间序列转化为二维图像输入卷积神经网络进行分类检测;基于CICIDS2017数据集,依照表示特征信息得到五个聚类中心,计算相关系数并进行五个聚类;构建多CNN融合入侵检测模型并利用CICIDS2017数据集进行训练;构建模拟真实网络实验环境采集真实网络流量数据,评估模型对于不同环境及不同攻击类型的检测性能。本发明通过计算相关系数将数据特征进行五种聚类,利用短时傅里叶方法完成二维图像的转化,输入五个CNN模型最后在softmax层进行融合,预测分类概率,提高传统深度学习算法的检测性能。

Description

一种多CNN融合入侵检测方法、系统、介质、设备及终端
技术领域
本发明属于网络安全技术领域,尤其涉及一种多CNN融合入侵检测方法、系统、介质、设备及终端。
背景技术
目前,随着互联网的普及与发展,网络技术已渗透到人们生活的方方面面,为人类提供了诸多便利和好处。但是,网络是把双刃剑,在发挥其有利作用的同时,网络攻击也极大地影响了人们的正常生活。因此,各类安全防护技术应运而生。然而,当前的网络防御形势并不乐观。传统的网络防护技术如防火墙、数据加密、访问控制等实施被动防御,无法应对动态变化的网络入侵。传统的深度学习方法对于处理一维数据的效果没有处理二维数据的效果突出,无法正确检测出未知攻击;对于数据特征的挖掘不够深入,深度学习模型可解释性差,对于弱相关特征检测性能不够理想;深度学习算法通常具有神经网络不同层之间连接节点连续,同层之间节点无连接的特点,属于黑盒模型,可解释性差。
入侵检测技术作为积极的网络安全防护技术,能够实现对外部入侵、内部入侵及误操作的有效识别,将网络攻击的不利影响降至最低。目前,应用于入侵检测领域的方法主要有机器学习和深度学习算法等。随着计算机性能的提升和算力的发展,深度学习方法已被广泛应用。与机器学习方法相比,深度学习方法省去了人工提取特征的步骤,对特征进行深层次学习,对复杂函数表征能力强,能够有效应对海量高维数据,在入侵检测领域中极具优势和潜力。
通过上述分析,现有技术存在的问题及缺陷为:
(1)传统的网络防护技术如防火墙、数据加密、访问控制等实施被动防御,无法应对动态变化的网络入侵;传统的深度学习方法对于处理一维数据的效果没有处理二维数据的效果突出,无法正确检测出未知攻击。
(2)传统的深度学习方法对于数据特征的挖掘不够深入,深度学习模型可解释性差,对于弱相关特征检测性能不够理想。
(3)传统的深度学习算法通常具有神经网络不同层之间连接节点连续,同层之间节点无连接的特点,属于黑盒模型,可解释性差。
发明内容
针对现有技术存在的问题,本发明提供了一种多CNN融合入侵检测方法、系统、介质、设备及终端,尤其涉及一种基于相关性分析的多CNN融合入侵检测方法、系统、介质、设备及终端。
本发明是这样实现的,一种多CNN融合入侵检测方法,多CNN融合入侵检测方法包括:利用短时傅里叶方法将一维时间序列转化为二维图像输入卷积神经网络进行分类检测;基于CICIDS2017数据集,依照表示特征信息得到五个聚类中心,计算相关系数并进行五个聚类;构建多CNN融合入侵检测模型并利用CICIDS2017数据集进行训练;在模型测试阶段,构建模拟真实网络实验环境采集真实网络流量数据,评估模型对于不同环境及不同攻击类型的检测性能。
进一步,多CNN融合入侵检测方法包括以下步骤:
步骤一,选取公开数据集CICIDS2017并对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
步骤二,将85维特征依据相关性大小分为五类,分别为5×17维特征;
步骤三,对五类特征分别划分训练集和测试集,利用短时傅里叶方法将一维时间序列转化为对应图像,并各自构建CNN模型;
步骤四,将五个独立的CNN模型融合后构建多CNN融合入侵检测模型;
步骤五,对已构建的多CNN融合入侵检测模型进行训练,而后进行测试,部署在真实网络环境中实现入侵检测功能。
进一步,步骤一中的对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征包括:
(1)对公开数据集CICIDS2017进行缺失值、重复值的查看与剔除;
(2)对公开数据集CICIDS2017采用one-hot编码方法进行数据数值化;
(3)对公开数据集CICIDS2017进行标准化与归一化操作,具体公式如下:
Figure BDA0004108764750000031
其中,X’表示X数据标准化后的值,X表示数据集中的原始数据,
Figure BDA0004108764750000032
表示数据平均值,XSTAD表示数据平均绝对误差。特殊地,存在以下判断:
1)若
Figure BDA0004108764750000033
则X’=0;
2)若XSTAD=0,则X’=0。
Figure BDA0004108764750000034
其中,X*表示X数据归一化后的值,X表示数据集中的原始数据,Xmin表示数据最小值,Xmax表示数据最大值,将标准化后的数据X’归一化到[0,1]区间。
(4)将公开数据集CICIDS2017按照特征表示信息:属性信息、数据包统计数据信息、数据包相关标志位信息、数据包详细比率信息以及数据流统计数据信息,选取五个具有代表性的典型特征,依次为Protocol、Totlen Fwd Pkts、PSH Flag Cnt、Down/up Ratio以及Active Mean。
进一步,步骤二中的将85维特征依据相关性大小分为五类,分别为5×17维特征包括:
(1)对公开数据集CICIDS2017所具有的85维特征计算相关矩阵,得到特征两两之间计算相关系数;
(2)以五个具有代表性的典型特征:Protocol、TotlenFwd Pkts、PSH Flag Cnt、Down/up Ratio和Active Mean为中心,分别列举出与相关系数排名前14的特征,构成五种以相关性聚类的不同类别;相关性排序过程按照典型特征顺序进行。
进一步,步骤三中的对五类特征分别划分训练集和测试集,利用短时傅里叶方法将一维时间序列转化为对应图像,并各自构建CNN模型包括:
(1)划分五组训练集与测试集;
1)从公开数据集CICIDS2017中随机抽取五万条正常流量和五万条攻击流量;
2)按照五类相关性聚类特征将十万条流量分为五类数据流量,其中每类数据流量包含17维特征;
3)按照8:2的比例生成五组一一对应的训练集与测试集;
(2)利用短时傅里叶方法将训练集与测试集对应的一维时间序列转化为二维图像,以便输入CNN模型;
(3)构建五个结构与组成相同,相互独立的CNN模型;
构建五个相同的CNN模型,分别由一个输入层、两个卷积层和池化层、三个全连接层组成;其中,输入层用以将输入的流数据转化为二维矩阵;卷积层使用64个零填充滤波器提取输入矩阵的局部特征;池化层通过2×2的下采样简化特征表达,其中步长为1;各隐藏层的激活函数均采用RELU函数;在展平层与第一个全连接层之间采用参数为0.5的dropout层进行正则化。
进一步,步骤四中的将五个独立的CNN模型融合后构建多CNN融合入侵检测模型包括:
(1)根据特征之间的相关性,将五个已构建好的CNN模型应用于五类数据特征;其中,单个CNN模型均不包含输出层;
(2)将每个CNN最后一个隐藏层输出的数据合并,得到融合数据;
(3)构建由softmax层组成的输出层,输入融合数据,得到分类预测概率。
进一步,步骤五中的对已构建的多CNN融合入侵检测模型进行训练,而后进行测试,部署在真实网络环境中实现入侵检测功能包括:
(1)利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
1)定义损失函数为交叉熵代价函数,计算公式为:
Figure BDA0004108764750000041
其中,p表示期望结果,q表示实际预测结果。
2)定义优化器为Adam,依据历史梯度更新变量;
3)将五组一一对应的训练集与测试集输入模型进行训练。
(2)利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估;
1)构建模拟真实网络环境,采集真实网络流量;
2)将采集到的数据输入多CNN融合入侵检测模型进行分类预测;
3)选取准确率、召回率、混淆矩阵作为评估指标,评估入侵检测模型性能。
(3)将多CNN融合入侵检测模型部署在真实网络环境中,实现入侵检测。
其中,步骤1)中的构建模拟真实网络环境,采集真实网络流量包括:
①构建三个包含小型局域网的真实网络环境;其中,每个模拟实验环境包含四个主机,在每台主机上部署Wireshark软件进行正常网络流量的抓取,再利用CICFlowMeters软件进行特征文件的转换;
②构建三个包含小型局域网的,进行子网划分的真实网络环境;其中,每个模拟环境包含两个子网,一个子网中包含两个主机,一台为攻击机,一台为靶机;在攻击机上安装Kali Linux黑客系统,模拟网络攻击对靶机实施入侵;在靶机上安装Wireshark软件进行攻击网络流量的抓取,再利用CICFlowMeters软件进行特征文件的转换。
步骤2)中的将采集到的数据输入多CNN融合入侵检测模型进行分类预测包括:将从模拟真实网络环境中采集的数据输入已训练模型进行测试,评估模型性能,若满足预期,则完成训练;反之,则重新开始训练。
本发明的另一目的在于提供一种应用所述的多CNN融合入侵检测方法的多CNN融合入侵检测系统,多CNN融合入侵检测系统包括:
数据预处理模块,用于选取公开数据集CICIDS2017并对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
模型构建模块,用于对五类特征划分训练集和测试集,分别构建CNN模型,将五个独立的CNN模型融合后构建多CNN融合入侵检测模型;
模型训练模块,用于定义损失函数和优化器,利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
模型测试模块,用于利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估。
本发明的另一目的在于提供一种计算机设备,计算机设备包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行所述的多CNN融合入侵检测方法的步骤。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行所述的多CNN融合入侵检测方法的步骤。
本发明的另一目的在于提供一种信息数据处理终端,信息数据处理终端用于实现所述的多CNN融合入侵检测系统。
结合上述的技术方案和解决的技术问题,本发明所要保护的技术方案所具备的优点及积极效果为:
第一,针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
面对当前深度学习算法广泛应用于入侵检测领域的现状,传统的深度学习算法对于二维图像的分类检测效果明显优于一维数据。将一维时间序列转化为图像作为输入数据,避免了传统算法中存在的特征提取与数据重构等一系列复杂操作。另外,为进一步提高入侵检测模型的性能,关注于弱相关特征的相关性。因此,本发明基于相关性分析的多CNN融合入侵检测方法提出了一种将多个CNN模型融合实现多分类的全新思路。本发明通过计算相关系数将数据特征进行五种聚类,利用短时傅里叶方法(STFT)完成向二维图像的转化,输入五个CNN模型最后在softmax层进行融合,实现预测分类的功能。
本发明提供的基于相关性分析的多CNN融合入侵检测方法主要包含四个阶段:数据预处理阶段、模型构建阶段、模型训练阶段、模型测试阶段。本发明通过将输入数据形式作以一定的转化,改进以往传统的深度学习算法,依照特征相关性原则构建多个CNN模型并加以融合,并在不同网络环境中采集的真实网络流量数据上进行测试,可得所构建的多CNN融合入侵检测模型具有更高的检测精度且适用于不同的网络环境和攻击类型。
本发明提供了一种解决深度学习算法针对二维数据分类检测效果优于一维数据分类检测效果的思路方法;本发明提供了一种解决特征之间相关性弱,由相关性大小实现数据特征聚类的方法;本发明提供了一种利用短时傅里叶变换(STFT)方法实现由一维时间序列向二维图像的转换方法;本发明还提供了一种构建模拟真实网络环境采集网络流量数据的方法。本发明能够将一维网络流量数据转化为二维图像,按照相关性大小对数据进行分块聚类,关注于弱相关特征的相关性,分别构建五个CNN模型,最终实现融合。相较传统一维数据输入深度学习模型与单个CNN模型来说,本发明的检测性能有了较高的提升,并且在测试阶段没有采用公开入侵检测数据集,而是采集真实网络流量环境中的流量数据,证明了该模型能够适用于不同网络环境及不同攻击类型。
本发明针对于深度学习算法对于二维数据识别分类效果更好的特点,利用短时傅里叶方法(STFT)将一维时间序列转化为二维图像输入卷积神经网络(CNN)进行分类检测;关注于弱相关特征之间的相关性,以CICIDS2017数据集为例,依照表示特征信息选出五个聚类中心,而后计算相关系数进行五个聚类;在模型测试阶段并不局限于公开数据集,而是构建模拟真实网络实验环境采集真实网络流量数据,评估模型对于不同环境及不同攻击类型的检测性能。
第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
本发明提供了一种基于相关性分析的多CNN融合入侵检测方法,通过对数据依照相关性大小聚成五类,利用短时傅里叶变换(STFT)将一维时间序列转化为二维图像并分别构建五个完全相同的CNN模型,最终在输出softmax层融合输出数据,预测分类概率,提高了传统深度学习算法的检测性能。
第三,作为本发明的权利要求的创造性辅助证据,还体现在以下几个重要方面:
(1)本发明的技术方案转化后的预期收益和商业价值为:
本发明突破了以往入侵检测领域直接对一维流量分类的现状,利用深度学习算法对二维图像的良好性能。采用短时傅里叶方法(STFT)将一维时间序列转化为二维图像输入卷积神经网络(CNN)进行分类检测,并在后期融合CNN模型,可部署在真实网络流量环境中实现入侵检测功能。
(2)本发明的技术方案填补了国内外业内技术空白:
本发明的技术方案针对深度学习算法对于二维图像分类效果更好的特点,将一维网络流量转化为二维图像进行分类。并且关注于弱相关性特征,将五个CNN模型融合,大大提升了模型的性能。用真实网络流量代替公开数据集进行测试,证实其能够适用于不同网络环境和不同攻击类型。
(3)本发明的技术方案解决了人们一直渴望解决、但始终未能获得成功的技术难题:
针对弱相关性特征,没有直接用统一的深度学习分类模型进行训练,而是根据计算其相关系数进行分类,而后构建五个相同的CNN模型,最后将五个CNN模型融合输出分类结果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的多CNN融合入侵检测方法流程图;
图2是本发明实施例提供的多CNN融合入侵检测方法原理图;
图3是本发明实施例提供的CNN模型结构示意图;
图4和图5是本发明实施例提供的模拟真实网络实验环境拓扑结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种多CNN融合入侵检测方法、系统、介质、设备及终端,下面结合附图对本发明作详细的描述。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如图1所示,本发明实施例提供的多CNN融合入侵检测方法包括以下步骤:
S101,数据预处理阶段:选取公开数据集CICIDS2017并对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
S102,模型构建阶段:对五类特征划分训练集和测试集,分别构建CNN模型,将五个独立的CNN模型融合后构建多CNN融合入侵检测模型;
S103,模型训练阶段:定义损失函数和优化器,利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
S104,模型测试阶段:利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估。
作为优选实施例,如图2所示,本发明实施例提供的多CNN融合入侵检测方法具体包括以下步骤:
S1:选取公开数据集CICIDS2017;
S2:对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
S3:将85维特征依据相关性大小分为五类,分别为5×17维特征;
S4:对五类特征分别划分训练集和测试集,利用短时傅里叶方法将一维时间序列转化为对应图像,并各自构建CNN模型;
S5:将五个独立的CNN模型融合后构建CNN融合入侵检测模型;
S6:对已构建的CNN融合入侵检测模型进行训练,而后进行测试,部署在真实网络环境中实现入侵检测功能。
本发明实施例提供的步骤S2具体包括以下步骤:
S2.1:对公开数据集CICIDS2017进行缺失值、重复值的查看与剔除;
S2.2:对公开数据集CICIDS2017采用one-hot编码方法进行数据数值化;
S2.3:对公开数据集CICIDS2017进行标准化与归一化操作,具体公式如下:
Figure BDA0004108764750000101
其中,X’表示X数据标准化后的值,X表示数据集中的原始数据,
Figure BDA0004108764750000102
表示数据平均值,XSTAD表示数据平均绝对误差。特殊地,有以下判断:
(1)若
Figure BDA0004108764750000103
则X’=0;
(2)若XSTAD=0,则X’=0。
Figure BDA0004108764750000104
其中,X*表示X数据归一化后的值,X表示数据集中的原始数据,Xmin表示数据最小值,Xmax表示数据最大值,可将标准化后的数据X’归一化到[0,1]区间内。
S2.4:将公开数据集CICIDS2017按照特征表示信息:属性信息、数据包统计数据信息、数据包相关标志位信息、数据包详细比率信息、数据流统计数据信息,选取五个具有代表性的典型特征,依次为Protocol、TotlenFwd Pkts、PSH Flag Cnt、Down/up Ratio、Active Mean。
本发明实施例提供的步骤S3具体包括以下步骤:
S3.1:对公开数据集CICIDS2017所具有的85维特征计算相关矩阵,即特征两两之间计算相关系数;
S3.2:以五个具有代表性的典型特征:Protocol、Totlen Fwd Pkts、PSH FlagCnt、Down/up Ratio、Active Mean为中心,分别列举出与其相关系数排名前14的特征,构成五种以相关性聚类的不同类别。其中,相关性排序过程按照上述典型特征顺序进行。
本发明实施例提供的步骤S4具体包括以下步骤:
S4.1:划分五组训练集与测试集;
S4.2:利用短时傅里叶方法(STFT)将训练集与测试集对应的一维时间序列转化为二维图像,以便输入CNN模型;
S4.3:构建五个结构与组成相同,相互独立的CNN模型。
其中,本发明实施例提供的步骤S4.1具体包括以下步骤:
S4.1.1:从公开数据集CICIDS2017中随机抽取五万条正常流量和五万条攻击流量;
S4.1.2:按照上述五类相关性聚类特征将十万条流量分为五类数据流量,其中每类数据流量包含17维特征;
S4.1.3:按照8:2的比例生成五组一一对应的训练集与测试集;
本发明实施例提供的步骤S4.3具体包括:构建五个相同的CNN模型,分别由一个输入层、两个卷积层和池化层、三个全连接层组成,其中,输入层用以将输入的流数据转化为二维矩阵;卷积层使用64个零填充滤波器提取输入矩阵的局部特征;池化层通过2×2的下采样简化特征表达,其中步长为1。各隐藏层的激活函数均采用RELU函数。另外,在展平层与第一个全连接层之间采用参数为0.5的dropout层进行正则化,避免过拟合现象的发生。
本发明实施例提供的CNN模型结构示意图如图3所示。
本发明实施例提供的步骤S5具体包括以下步骤:
S5.1:根据特征之间的相关性,将五个已构建好的CNN模型应用于五类数据特征;其中,单个CNN模型均不包含输出层;
S5.2:将每个CNN最后一个隐藏层输出的数据合并,得到融合数据;
S5.3:构建一个由softmax层组成的输出层,输入融合数据,得到分类的预测概率。
本发明实施例提供的步骤S6具体包括以下步骤:
S6.1:利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
S6.2:利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估;
S6.3:将多CNN融合入侵检测模型部署在真实网络环境中,实现入侵检测功能。
其中,本发明实施例提供的步骤S6.1具体包括以下步骤:
S6.1.1:定义损失函数为交叉熵代价函数,其公式为:
Figure BDA0004108764750000121
其中,p表示期望结果,q表示实际预测结果。
S6.1.2:定义优化器为Adam,依据历史梯度更新变量;
S6.1.3:将五组一一对应的训练集与测试集输入模型进行训练。
本发明实施例提供的步骤S6.2具体包括以下步骤:
S6.2.1:构建模拟真实网络环境,采集真实网络流量;
S6.2.2:将采集到的数据输入多CNN融合入侵检测模型进行分类预测;
S6.2.3:选取准确率、召回率、混淆矩阵作为评估指标,评估已构建入侵检测模型性能。
本发明实施例提供的步骤S6.2.1具体包括以下步骤:
(1)构建三个包含小型局域网的真实网络环境,其中,每个模拟实验环境包含四个主机,在每台主机上部署Wireshark软件进行正常网络流量的抓取,而后利用CICFlowMeters软件进行特征文件的转换;
(2)构建三个包含小型局域网的,进行子网划分的真实网络环境,其中,每个模拟环境包含两个子网,一个子网中包含两个主机,一台为攻击机,一台为靶机。在攻击机上安装Kali Linux黑客系统,模拟网络攻击对靶机实施入侵。同时,在靶机上安装Wireshark软件进行攻击网络流量的抓取,而后利用CICFlowMeters软件进行特征文件的转换。
本发明实施例提供的步骤S6.2.2具体包括:
将从模拟真实网络环境中采集的数据输入已训练模型进行测试,评估模型性能,若满足预期,则完成训练;反之,重新开始训练。
图4是本发明实施例提供的模拟真实网络实验环境拓扑结构图。
本发明实施例提供的多CNN融合入侵检测系统包括:
数据预处理模块,用于选取公开数据集CICIDS2017并对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
模型构建模块,用于对五类特征划分训练集和测试集,分别构建CNN模型,将五个独立的CNN模型融合后构建多CNN融合入侵检测模型;
模型训练模块,用于定义损失函数和优化器,利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
模型测试模块,用于利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估。
图2是本发明实施例提供的多CNN融合入侵检测方法原理图;首先将CICIDS2017数据集根据相关系数大小聚类为五个类别;而后利用短时傅里叶方法(STFT)将其转化为二维图像,构建五个相同的CNN模型,最终将CNN模型进行融合输出分类结果。
图3是本发明实施例提供的CNN模型结构示意图;构建五个相同的CNN模型,分别由一个输入层、两个卷积层和池化层、三个全连接层组成,其中,输入层用以将输入的流数据转化为二维矩阵;卷积层使用64个零填充滤波器提取输入矩阵的局部特征;池化层通过2×2的下采样简化特征表达,其中步长为1。各隐藏层的激活函数均采用RELU函数。另外,在展平层与第一个全连接层之间采用参数为0.5的dropout层进行正则化,避免过拟合现象的发生。
图4和图5是本发明实施例提供的模拟真实网络实验环境拓扑结构图。
采集正常网络流量:构建包含小型局域网的真实网络环境,其中,每个模拟实验环境包含四个主机,在每台主机上部署Wireshark软件进行正常网络流量的抓取,而后利用CICFlowMeters软件进行特征文件的转换;
采集攻击网络流量:构建三个包含小型局域网的,进行子网划分的真实网络环境,其中,每个模拟环境包含两个子网,一个子网中包含两个主机,一台为攻击机,一台为靶机。在攻击机上安装Kali Linux黑客系统,模拟网络攻击对靶机实施入侵。同时,在靶机上安装Wireshark软件进行攻击网络流量的抓取,而后利用CICFlowMeters软件进行特征文件的转换。
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
本发明所构建的多CNN融合入侵检测模型,经测试和实验结果评估证明,可部署在任意的真实网络环境中,适用于各种相关性关系的特征数据,并且在传统的一维网络流量检测基础上,将一维网络流量转化为二维图像输入深度学习模型进行分类,大大提升了传统入侵检测模型的检测性能。可作为性能优异的安全防护产品使用。
三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
作为优选实施例,本发明实施例提供的多CNN融合入侵检测方法包括数据预处理、模型构建、模型训练以及模型测试四个阶段,具体包括以下步骤:
I、数据预处理阶段
S1:选取公开数据集CICIDS2017;
S2:对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
S2.1:对公开数据集CICIDS2017进行缺失值、重复值的查看与剔除;
S2.2:对公开数据集CICIDS2017采用one-hot编码方法进行数据数值化;
S2.3:对公开数据集CICIDS2017进行标准化与归一化操作,具体公式如下:
Figure BDA0004108764750000151
其中,X’表示X数据标准化后的值,X表示数据集中的原始数据,
Figure BDA0004108764750000152
表示数据平均值,XSTAD表示数据平均绝对误差。特殊地,有以下判断:
(3)若
Figure BDA0004108764750000153
则X’=0;
(4)若XSTAD=0,则X’=0。
Figure BDA0004108764750000154
其中,X*表示X数据归一化后的值,X表示数据集中的原始数据,Xmin表示数据最小值,Xmax表示数据最大值,可将标准化后的数据X’归一化到[0,1]区间内。
S2.4:将公开数据集CICIDS2017按照特征表示信息:属性信息、数据包统计数据信息、数据包相关标志位信息、数据包详细比率信息、数据流统计数据信息,选取五个具有代表性的典型特征,依次为Protocol、TotlenFwd Pkts、PSH Flag Cnt、Down/up Ratio、Active Mean。
S3:将85维特征依据相关性大小分为五类,分别为5×17维特征;
S3.1:对公开数据集CICIDS2017所具有的85维特征计算相关矩阵,即特征两两之间计算相关系数;
S3.2:以五个具有代表性的典型特征:Protocol、Totlen Fwd Pkts、PSH FlagCnt、Down/up Ratio、Active Mean为中心,分别列举出与其相关系数排名前14的特征,构成五种以相关性聚类的不同类别。其中,相关性排序过程按照上述典型特征顺序进行,具体五种数据特征聚类见表1。
表1五种数据特征聚类示意表
Figure BDA0004108764750000155
Figure BDA0004108764750000161
S4:对五类特征分别划分训练集和测试集,利用短时傅里叶方法将一维时间序列转化为对应图像。
S4.1:从公开数据集CICIDS2017中随机抽取五万条正常流量和五万条攻击流量;
S4.2:按照上述五类相关性聚类特征将十万条流量分为五类数据流量,其中每类数据流量包含17维特征;
S4.3:按照8:2的比例生成五组一一对应的训练集与测试集;
S4.4:利用短时傅里叶方法(STFT)将一维时间序列转化为对应图像,具体流程为:
首先对一维时间序列添加一个窗函数,通过滑动窗口的方式将连续的时间序列片段分割成不同部分,分别对每一部分进行FFT变换,从而保留整体的时域信息,其公式为:
Figure BDA0004108764750000171
其中,τ表示窗口长度,s表示滑动步长,W表示窗函数,[m,k]中m表示时间维度,k表示频率幅值。
II、模型构建阶段
S5:分别构建CNN模型,将五个独立的CNN模型融合后构建CNN融合入侵检测模型;
S5.1:构建五个相同的CNN模型,分别由一个输入层、两个卷积层和池化层、三个全连接层组成,其中,输入层用以将输入的流数据转化为二维矩阵;卷积层使用64个零填充滤波器提取输入矩阵的局部特征;池化层通过2×2的下采样简化特征表达,其中步长为1。各隐藏层的激活函数均采用RELU函数。另外,在展平层与第一个全连接层之间采用参数为0.5的dropout层进行正则化,避免过拟合现象的发生。
S5.2:将每个CNN最后一个隐藏层输出的数据合并,得到融合数据;构建一个由softmax层组成的输出层,输入融合数据,得到分类的预测概率。
III、模型训练阶段
S6:利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
S6.1:定义损失函数为交叉熵代价函数,其公式为:
Figure BDA0004108764750000181
其中,p表示期望结果,q表示实际预测结果。
S6.2:定义优化器为Adam,依据历史梯度更新变量;
S6.3:将五组一一对应的训练集与测试集输入模型进行训练。
IV、模型测试阶段
S7:利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估;
S7.1:构建模拟真实网络环境,采集真实网络流量;
S7.1.1:构建三个包含小型局域网的真实网络环境,其中,每个模拟实验环境包含四个主机,在每台主机上部署Wireshark软件进行正常网络流量的抓取,而后利用CICFlowMeters软件进行特征文件的转换;
S7.1.2:构建三个包含小型局域网的,进行子网划分的真实网络环境,其中,每个模拟环境包含两个子网,一个子网中包含两个主机,一台为攻击机,一台为靶机。在攻击机上安装Kali Linux黑客系统,模拟网络攻击对靶机实施入侵。同时,在靶机上安装Wireshark软件进行攻击网络流量的抓取,而后利用CICFlowMeters软件进行特征文件的转换。
S7.2:将采集到的数据输入多CNN融合入侵检测模型进行分类预测;
S7.3:选取准确率、召回率、混淆矩阵作为评估指标,评估已构建入侵检测模型性能。
S8:将多CNN融合入侵检测模型部署在真实网络环境中,实现入侵检测功能。具体为:将从模拟真实网络环境中采集的数据输入已训练模型进行测试,评估模型性能,若满足预期,则完成训练;反之,重新开始训练。
目前广泛应用于入侵检测领域的深度学习算法,在二维数据的分类检测中表现更好。因此,本发明利用短时傅里叶变换(STFT)将一维时间序列转化为二维图像输入卷积神经网络进行分类识别。对于弱相关特征,利用传统的深度学习算法并不能起到良好的检测性能。因此,本发明将数据按照相关性大小聚为五类,分别构建CNN模型,并在输出层采用softmax预测分类概率。为测试模型性能,本发明未在公开数据集上分类,而是构建模拟真实网络环境,采集真实网络流量,证明该模型适用于不同网络环境和不同攻击类型。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种多CNN融合入侵检测方法,其特征在于,多CNN融合入侵检测方法包括:利用短时傅里叶方法将一维时间序列转化为二维图像输入卷积神经网络进行分类检测;基于CICIDS2017数据集,依照表示特征信息得到五个聚类中心,计算相关系数并进行五个聚类;构建多CNN融合入侵检测模型并利用CICIDS2017数据集进行训练;在模型测试阶段,构建模拟真实网络实验环境采集真实网络流量数据,评估模型对于不同环境及不同攻击类型的检测性能。
2.如权利要求1所述多CNN融合入侵检测方法,其特征在于,多CNN融合入侵检测方法包括以下步骤:
步骤一,选取公开数据集CICIDS2017并对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
步骤二,将85维特征依据相关性大小分为五类,分别为5×17维特征;
步骤三,对五类特征分别划分训练集和测试集,利用短时傅里叶方法将一维时间序列转化为对应图像,并各自构建CNN模型;
步骤四,将五个独立的CNN模型融合后构建多CNN融合入侵检测模型;
步骤五,对已构建的多CNN融合入侵检测模型进行训练,而后进行测试,部署在真实网络环境中实现入侵检测功能。
3.如权利要求2所述多CNN融合入侵检测方法,其特征在于,步骤一中的对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征包括:
(1)对公开数据集CICIDS2017进行缺失值、重复值的查看与剔除;
(2)对公开数据集CICIDS2017采用one-hot编码方法进行数据数值化;
(3)对公开数据集CICIDS2017进行标准化与归一化操作,具体公式如下:
Figure FDA0004108764740000011
其中,X’表示X数据标准化后的值,X表示数据集中的原始数据,
Figure FDA0004108764740000013
表示数据平均值,XSTAD表示数据平均绝对误差;特殊地,存在以下判断:
1)若
Figure FDA0004108764740000012
则X’=0;
2)若XSTAD=0,则X’=0;
Figure FDA0004108764740000021
其中,X*表示X数据归一化后的值,X表示数据集中的原始数据,Xmin表示数据最小值,Xmax表示数据最大值,将标准化后的数据X’归一化到[0,1]区间;
(4)将公开数据集CICIDS2017按照特征表示信息:属性信息、数据包统计数据信息、数据包相关标志位信息、数据包详细比率信息以及数据流统计数据信息,选取五个具有代表性的典型特征,依次为Protocol、Totlen Fwd Pkts、PSH Flag Cnt、Down/up Ratio以及Active Mean。
4.如权利要求2所述多CNN融合入侵检测方法,其特征在于,步骤二中的将85维特征依据相关性大小分为五类,分别为5×17维特征包括:
(1)对公开数据集CICIDS2017所具有的85维特征计算相关矩阵,得到特征两两之间计算相关系数;
(2)以五个具有代表性的典型特征:Protocol、TotlenFwd Pkts、PSH Flag Cnt、Down/up Ratio和Active Mean为中心,分别列举出与相关系数排名前14的特征,构成五种以相关性聚类的不同类别;相关性排序过程按照典型特征顺序进行;
步骤三中的对五类特征分别划分训练集和测试集,利用短时傅里叶方法将一维时间序列转化为对应图像,并各自构建CNN模型包括:
(1)划分五组训练集与测试集;
1)从公开数据集CICIDS2017中随机抽取五万条正常流量和五万条攻击流量;
2)按照五类相关性聚类特征将十万条流量分为五类数据流量,其中每类数据流量包含17维特征;
3)按照8:2的比例生成五组一一对应的训练集与测试集;
(2)利用短时傅里叶方法将训练集与测试集对应的一维时间序列转化为二维图像,以便输入CNN模型;
(3)构建五个结构与组成相同,相互独立的CNN模型;
构建五个相同的CNN模型,分别由一个输入层、两个卷积层和池化层、三个全连接层组成;其中,输入层用以将输入的流数据转化为二维矩阵;卷积层使用64个零填充滤波器提取输入矩阵的局部特征;池化层通过2×2的下采样简化特征表达,其中步长为1;各隐藏层的激活函数均采用RELU函数;在展平层与第一个全连接层之间采用参数为0.5的dropout层进行正则化。
5.如权利要求2所述多CNN融合入侵检测方法,其特征在于,步骤四中的将五个独立的CNN模型融合后构建多CNN融合入侵检测模型包括:
(1)根据特征之间的相关性,将五个已构建好的CNN模型应用于五类数据特征;其中,单个CNN模型均不包含输出层;
(2)将每个CNN最后一个隐藏层输出的数据合并,得到融合数据;
(3)构建由softmax层组成的输出层,输入融合数据,得到分类预测概率;
步骤五中的对已构建的多CNN融合入侵检测模型进行训练,而后进行测试,部署在真实网络环境中实现入侵检测功能包括:
(1)利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
1)定义损失函数为交叉熵代价函数,计算公式为:
Figure FDA0004108764740000031
其中,p表示期望结果,q表示实际预测结果;
2)定义优化器为Adam,依据历史梯度更新变量;
3)将五组一一对应的训练集与测试集输入模型进行训练;
(2)利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估;
1)构建模拟真实网络环境,采集真实网络流量;
2)将采集到的数据输入多CNN融合入侵检测模型进行分类预测;
3)选取准确率、召回率、混淆矩阵作为评估指标,评估入侵检测模型性能;
(3)将多CNN融合入侵检测模型部署在真实网络环境中,实现入侵检测。
6.如权利要求5所述多CNN融合入侵检测方法,其特征在于,步骤1)中的构建模拟真实网络环境,采集真实网络流量包括:
①构建三个包含小型局域网的真实网络环境;其中,每个模拟实验环境包含四个主机,在每台主机上部署Wireshark软件进行正常网络流量的抓取,再利用CICFlowMeters软件进行特征文件的转换;
②构建三个包含小型局域网的,进行子网划分的真实网络环境;其中,每个模拟环境包含两个子网,一个子网中包含两个主机,一台为攻击机,一台为靶机;在攻击机上安装KaliLinux黑客系统,模拟网络攻击对靶机实施入侵;在靶机上安装Wireshark软件进行攻击网络流量的抓取,再利用CICFlowMeters软件进行特征文件的转换;
步骤2)中的将采集到的数据输入多CNN融合入侵检测模型进行分类预测包括:将从模拟真实网络环境中采集的数据输入已训练模型进行测试,评估模型性能,若满足预期,则完成训练;反之,则重新开始训练。
7.一种应用如权利要求1~6任意一项所述多CNN融合入侵检测方法的多CNN融合入侵检测系统,其特征在于,多CNN融合入侵检测系统包括:
数据预处理模块,用于选取公开数据集CICIDS2017并对数据集CICIDS2017进行数据预处理,选取最具有代表性的五个特征;
模型构建模块,用于对五类特征划分训练集和测试集,分别构建CNN模型,将五个独立的CNN模型融合后构建多CNN融合入侵检测模型;
模型训练模块,用于定义损失函数和优化器,利用公开数据集CICIDS2017对多CNN融合入侵检测模型进行训练;
模型测试模块,用于利用采集数据对多CNN融合入侵检测模型进行测试,并规定评估指标,对模型性能作以评估。
8.一种计算机设备,其特征在于,计算机设备包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行如权利要求1~6任意一项所述多CNN融合入侵检测方法的步骤。
9.一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行如权利要求1~6任意一项所述多CNN融合入侵检测方法的步骤。
10.一种信息数据处理终端,其特征在于,信息数据处理终端用于实现如权利要求7所述多CNN融合入侵检测系统。
CN202310199808.6A 2023-03-05 2023-03-05 一种多cnn融合入侵检测方法、系统、介质、设备及终端 Pending CN116318925A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310199808.6A CN116318925A (zh) 2023-03-05 2023-03-05 一种多cnn融合入侵检测方法、系统、介质、设备及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310199808.6A CN116318925A (zh) 2023-03-05 2023-03-05 一种多cnn融合入侵检测方法、系统、介质、设备及终端

Publications (1)

Publication Number Publication Date
CN116318925A true CN116318925A (zh) 2023-06-23

Family

ID=86800776

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310199808.6A Pending CN116318925A (zh) 2023-03-05 2023-03-05 一种多cnn融合入侵检测方法、系统、介质、设备及终端

Country Status (1)

Country Link
CN (1) CN116318925A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574135A (zh) * 2024-01-16 2024-02-20 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574135A (zh) * 2024-01-16 2024-02-20 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质
CN117574135B (zh) * 2024-01-16 2024-03-26 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
Thongsatapornwatana A survey of data mining techniques for analyzing crime patterns
Du et al. GAN-based anomaly detection for multivariate time series using polluted training set
CN102291392B (zh) 一种基于Bagging算法的复合式入侵检测方法
CN104601565A (zh) 一种智能优化规则的网络入侵检测分类方法
CN111538741B (zh) 一种面向警情大数据的深度学习分析方法及系统
CN113269228B (zh) 一种图网络分类模型的训练方法、装置、系统及电子设备
CN111143838A (zh) 数据库用户异常行为检测方法
CN111008337A (zh) 一种基于三元特征的深度注意力谣言鉴别方法及装置
GB2583892A (en) Adaptive computer security
CN116150509B (zh) 社交媒体网络的威胁情报识别方法、系统、设备及介质
CN117614742B (zh) 一种蜜点感知增强的恶意流量检测方法
CN116318928A (zh) 一种基于数据增强和特征融合的恶意流量识别方法及系统
CN116400168A (zh) 一种基于深度特征聚类的电网故障诊断方法及系统
CN116318925A (zh) 一种多cnn融合入侵检测方法、系统、介质、设备及终端
Ni et al. Network anomaly detection using unsupervised feature selection and density peak clustering
CN116467438A (zh) 一种基于图注意力机制的威胁情报归因方法
CN116756225B (zh) 一种基于计算机网络安全的态势数据信息处理方法
Lorbeer et al. Anomaly detection with hmm gauge likelihood analysis
CN117014210A (zh) 基于ChebNet图卷积神经网络的邮件蠕虫检测系统
Chao et al. Research on network intrusion detection technology based on dcgan
Parfenov et al. Research of multiclass fuzzy classification of traffic for attacks identification in the networks
CN115643153A (zh) 基于图神经网络的报警关联分析方法
KR102405799B1 (ko) 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템
Dong et al. Security situation assessment algorithm for industrial control network nodes based on improved text simhash
Shirbhate et al. Performance evaluation of PCA filter in clustered based intrusion detection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination