CN117376022A - 一种基于深度学习的检测未知网络攻击的异常检测系统 - Google Patents

一种基于深度学习的检测未知网络攻击的异常检测系统 Download PDF

Info

Publication number
CN117376022A
CN117376022A CN202311577400.4A CN202311577400A CN117376022A CN 117376022 A CN117376022 A CN 117376022A CN 202311577400 A CN202311577400 A CN 202311577400A CN 117376022 A CN117376022 A CN 117376022A
Authority
CN
China
Prior art keywords
flow
module
data
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311577400.4A
Other languages
English (en)
Inventor
邱鹏程
王小冬
张伟
蒋天宜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Han Tian Smart Polytron Technologies Inc
Original Assignee
Jiangsu Han Tian Smart Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Han Tian Smart Polytron Technologies Inc filed Critical Jiangsu Han Tian Smart Polytron Technologies Inc
Priority to CN202311577400.4A priority Critical patent/CN117376022A/zh
Publication of CN117376022A publication Critical patent/CN117376022A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于深度学习的检测未知网络攻击的异常检测系统,涉及网络安全领域,包括数据建模模块、内在特征提取模块、特征比对模块、异常判别模块、检测记录模块、统计模块、异常特征提取模块、重合分析模块和结果输出模块。该发明通过重合分析模块将被测流量信息与数据库内已经存在的流量信息进行匹配分析,能在被测流量信息与已有流量信息出现重合时,直接输出被测流量的异常检测结果,简化检测过程,改进后的异常检测系统能在对被测流量进行异常检测之前,将被测流量与数据库内的已有流量信息进行重合分析,从而避免连续多次进行攻击的同一未知网络重复检测,提升异常检测效率。

Description

一种基于深度学习的检测未知网络攻击的异常检测系统
技术领域
本发明涉及网络安全领域,具体为一种基于深度学习的检测未知网络攻击的异常检测系统。
背景技术
随着互联网的高速发展,各种网络攻击层出不穷,针对各种新型的网络协议、网络体系架构的网络攻击严重影响着通信系统的正常运行。基于深度学习的网络攻击检测方法能够实现流量特征的自动提取,是近几年被广泛研究的新型安全检测方法;主要可以分为无监督学习和有监督学习两大类方法。
基于无监督的网络攻击检测又称异常检测,异常检测只需要正常流量作为训练数据进行建模,研究正常流量行为的内在特征,若被测流量的特征与正常流量的特征差距较大,则视为异常流量,这种方法主要被用于检测未知的网络攻击;基于有监督学习的网络攻击检测方法通过对正常流量和已知的攻击类型流量作为训练数据进行建模,该模型检测被测流量时,可识别被测流量的类型,这种方法可以对检测到的网络攻击流量按照已知攻击类型进行分类,且一般具有较高的准确率,这种方法主要被用于检测已知的网络攻击。然而目前检测未知网络攻击的异常检测系统依然存在以下不足:
现有的异常检测系统分辨未知网络和已知网络是通过数据库内模型检测,这就使得系统在检测网络攻击时,若同一未知网络连续多次进行攻击,攻击的时间间隔较短,系统则无法将重复攻击的未知网络识别成已知网络,同一未知网络每次攻击,被测流量均被当做未知流量进行检测处理,虽然逐一检测的准确率较高,但其工作量巨大,处理效率低下,尤其是当多个被测流量同时出现,检测效果更差,无法很好的适用于集中出现的网络攻击检测。
因此,急需对此缺点进行改进,本发明则是针对现有的结构及不足予以研究改良,提供有一种基于深度学习的检测未知网络攻击的异常检测系统。
发明内容
本发明的目的在于提供一种基于深度学习的检测未知网络攻击的异常检测系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于深度学习的检测未知网络攻击的异常检测系统,包括:
数据建模模块,所述数据建模模块用于收集正常流量作为训练数据,并以此进行建模,建立正常流量模型;
内在特征提取模块,所述内在特征提取模块用于结合模型研究正常流量行为的内在特征,并对特征信息进行提取;
特征比对模块,所述特征比对模块用于将被测流量特征与正常流量内在特征进行比对,并将比对结果发送给指定模块;
异常判别模块,所述异常判别模块接收比对结果,并根据比对结果判别被测流量是否存在异常;
检测记录模块,所述检测记录模块对异常判别模块的判别结果进行接收,详细记录被测流量的检测结果及其相关信息,再将记录内容发送至数据库;
统计模块,所述统计模块用于统计数据库内的新增的网络攻击信息数据;
异常特征提取模块,所述异常特征提取模块通过对新增的网络攻击信息数据中的有用数据进行整合,再结合特征分析、信息提取等操作获取新增网络攻击的流量内在特征,并将其反馈给内在特征提取模块,对其提取出的正常流量行为的内在特征进行调整;
重合分析模块,所述重合分析模块用于接收被测流量信息,将其与数据库内已经存在的流量信息进行重合分析,以判断该被测流量是否已被检测;
结果输出模块,所述结果输出模块用于接收重合分析模块发出的指令,并根据指令做出对应结果输出。
进一步的,所述异常判别模块的判别结果包括网络攻击和网络正常,且网络攻击是异常判别模块根据被测流量的特征与正常流量的特征差距较大做出的判别结果,并且网络正常是异常判别模块根据被测流量的特征与正常流量的特征差距较小做出的判别结果。
进一步的,所述检测记录模块包括网络攻击记录单元和网络正常单元,且网络攻击记录单元用于记录网络攻击的相关信息,并且网络攻击记录单元的记录内容包括攻击时间、攻击范围和攻击内容,而且网络正常单元用于记录网络正常的相信息。
进一步的,所述异常特征提取模块包括有数据整合单元、特征分析单元和信息提取单元,且数据整合单元、特征分析单元和信息提取单元之间存在时序性,并且数据整合单元的输出端与特征分析单元的输入端相连,而且特征分析单元的输出端与信息提取单元的输出端相连。
进一步的,所述特征分析单元的工作内容包括Packet特征分析、Flow特征分析和Strew特征分析,且Packet特征分析、Flow特征分析和Strew特征分析相互独立、互不干扰。
进一步的,所述重合分析模块包括有数据接收单元、数据匹配单元、匹配失败和匹配成功,且数据接收单元的输出端连接有数据匹配单元,并且数据匹配单元的一输出结果为匹配失败,而且数据匹配单元的另一输出结果为匹配成功。
进一步的,所述数据接收单元用于接收数据库内流量数据以及被测流量数据,且数据库内流量数据包括正常流量数据和异常流量数据。
进一步的,所述匹配失败和匹配成功之间存在互斥性,且匹配失败和匹配成功无法同时作为数据匹配单元的输出结果被输出。
进一步的,所述数据匹配单元每次运行有且只能选择匹配失败或匹配成功其中一个作为输出结果,若数据匹配单元的输出结果为匹配失败,则将被测流量数据发送给特征比对模块,若数据匹配单元的输出结果为匹配成功,则将与被测流量数据重合的数据库内流量的检测结果作为被测流量的检测结果,并通过结果输出模块完成检测结果输出。
进一步的,所述基于深度学习的检测未知网络攻击的异常检测系统的使用流程如下:
步骤一、管理员通过数据建模模块收集正常流量作为训练数据,并进行建模,然后内在特征提取模块结合模型,对正常流量行为的内在特征进行研究,提取特征信息,并将正常流量的内在特征信息发送给特征比对模块;
步骤二、重合分析模块先通过数据接收单元接收被测流量信息数据,并通过数据匹配单元将被测流量信息与数据库内已经存在的流量信息进行匹配,若被测流量信息与已有流量信息重合,则输出结果为匹配成功,并将与被测流量信息重合的已有流量的检测结果作为被测流量的检测结果,通过结果输出模块直接输出,检测流程结束;
步骤三、若被测流量信息与已有流量信息没有重合,则数据匹配单元的输出结果为匹配失败,并将被测流量数据发送给特征比对模块,通过特征比对模块对被测流量特征和正常流量内在特征进行比对,并将比对结果发送给异常判别模块;
步骤四、异常判别模块根据比对结果判别被测流量是否存在异常,若被测流量的特征与正常流量的特征差距较大,则异常判别模块的判别结果为网络攻击,若被测流量的特征与正常流量的特征差距较小,则异常判别模块的判别结果为网络正常,然后检测记录模块对异常判别模块的判别结果进行接收,详细记录被测流量的检测结果及其相关信息,并将记录内容发送至数据库;
步骤五、通过统计模块统计数据库内的新增的网络攻击信息数据,并将其发送给异常特征提取模块,异常特征提取模块包括有数据整合单元、特征分析单元和信息提取单元,分别用于整合接收到的新增网络攻击信息数据、对数据所包含的异常流量内在特征进行分析、提取异常流量的内在特征,通过异常特征提取模块所得网络攻击行为的内在特征将全部反馈给内在特征提取模块,为正常流量行为的内在特征提供调整依据。
本发明提供了一种基于深度学习的检测未知网络攻击的异常检测系统,具备以下有益效果:
1、本发明设置有重合分析模块,重合分析模块先通过数据接收单元接收被测流量信息数据,并通过数据匹配单元将被测流量信息与数据库内已经存在的流量信息进行匹配,再根据被测流量信息与已有流量信息重合情况,输出匹配失败或匹配成功的结果,针对不同输出结果发出不同操作指令,能在被测流量信息与已有流量信息出现重合时,直接输出被测流量的异常检测结果,简化检测过程,改进后的异常检测系统能在对被测流量进行异常检测之前,将被测流量与数据库内的已有流量信息进行重合分析,从而避免连续多次进行攻击的同一未知网络重复检测,减轻系统处理工作量,提升异常检测效率。
2、本发明设置有检测记录模块,通过对网络攻击和网络正常进行记录,详细记录被测流量的检测结果及其相关信息,并将记录内容发送至数据库,不断更新数据库内容,另外,设置有统计模块和异常特征提取模块,通过统计模块可对数据库内的新增的网络攻击信息数据进行统计,再通过异常特征提取模块提取出网络攻击行为的内在特征,并将其全部反馈给内在特征提取模块,为正常流量行为的内在特征提供调整依据,改进后的异常检测系统可根据不断出现的新型网络攻击行为,分析提取出新型攻击行为的内在特征,据此不断优化改进原有模型研究正常流量行为的内在特征,避免因正常流量行为的内在特征过时影响异常检测结果。
附图说明
图1为本发明一种基于深度学习的检测未知网络攻击的异常检测系统的现有技术异常检测运行流程示意图;
图2为本发明一种基于深度学习的检测未知网络攻击的异常检测系统的整体运行流程示意图;
图3为本发明一种基于深度学习的检测未知网络攻击的异常检测系统的检测记录模块运行流程示意图;
图4为本发明一种基于深度学习的检测未知网络攻击的异常检测系统的异常特征提取模块运行流程示意图;
图5为本发明一种基于深度学习的检测未知网络攻击的异常检测系统的重合分析模块运行流程示意图。
具体实施方式
下面结合附图和实施例对本发明的实施方式作进一步详细描述。以下实施例用于说明本发明,但不能用来限制本发明的范围。
如图1-图5所示,一种基于深度学习的检测未知网络攻击的异常检测系统,包括:
数据建模模块,所述数据建模模块用于收集正常流量作为训练数据,并以此进行建模,建立正常流量模型;
内在特征提取模块,所述内在特征提取模块用于结合模型研究正常流量行为的内在特征,并对特征信息进行提取;
特征比对模块,所述特征比对模块用于将被测流量特征与正常流量内在特征进行比对,并将比对结果发送给指定模块;
异常判别模块,所述异常判别模块接收比对结果,并根据比对结果判别被测流量是否存在异常;异常判别模块的判别结果包括网络攻击和网络正常,且网络攻击是异常判别模块根据被测流量的特征与正常流量的特征差距较大做出的判别结果,并且网络正常是异常判别模块根据被测流量的特征与正常流量的特征差距较小做出的判别结果;
检测记录模块,所述检测记录模块对异常判别模块的判别结果进行接收,详细记录被测流量的检测结果及其相关信息,再将记录内容发送至数据库;检测记录模块包括网络攻击记录单元和网络正常单元,且网络攻击记录单元用于记录网络攻击的相关信息,并且网络攻击记录单元的记录内容包括攻击时间、攻击范围和攻击内容,而且网络正常单元用于记录网络正常的相信息;
统计模块,所述统计模块用于统计数据库内的新增的网络攻击信息数据;
异常特征提取模块,所述异常特征提取模块通过对新增的网络攻击信息数据中的有用数据进行整合,再结合特征分析、信息提取等操作获取新增网络攻击的流量内在特征,并将其反馈给内在特征提取模块,对其提取出的正常流量行为的内在特征进行调整;异常特征提取模块包括有数据整合单元、特征分析单元和信息提取单元,且数据整合单元、特征分析单元和信息提取单元之间存在时序性,并且数据整合单元的输出端与特征分析单元的输入端相连,而且特征分析单元的输出端与信息提取单元的输出端相连;特征分析单元的工作内容包括Packet特征分析、Flow特征分析和Strew特征分析,且Packet特征分析、Flow特征分析和Strew特征分析相互独立、互不干扰;
重合分析模块,所述重合分析模块用于接收被测流量信息,将其与数据库内已经存在的流量信息进行重合分析,以判断该被测流量是否已被检测;重合分析模块包括有数据接收单元、数据匹配单元、匹配失败和匹配成功,且数据接收单元的输出端连接有数据匹配单元,并且数据匹配单元的一输出结果为匹配失败,而且数据匹配单元的另一输出结果为匹配成功;数据接收单元用于接收数据库内流量数据以及被测流量数据,且数据库内流量数据包括正常流量数据和异常流量数据;匹配失败和匹配成功之间存在互斥性,且匹配失败和匹配成功无法同时作为数据匹配单元的输出结果被输出;数据匹配单元每次运行有且只能选择匹配失败或匹配成功其中一个作为输出结果,若数据匹配单元的输出结果为匹配失败,则将被测流量数据发送给特征比对模块,若数据匹配单元的输出结果为匹配成功,则将与被测流量数据重合的数据库内流量的检测结果作为被测流量的检测结果,并通过结果输出模块完成检测结果输出;
结果输出模块,所述结果输出模块用于接收重合分析模块发出的指令,并根据指令做出对应结果输出。
综上,结合图1-图5所示,该基于深度学习的检测未知网络攻击的异常检测系统的使用流程如下:
步骤一、管理员通过数据建模模块收集正常流量作为训练数据,并进行建模,然后内在特征提取模块结合模型,对正常流量行为的内在特征进行研究,提取特征信息,并将正常流量的内在特征信息发送给特征比对模块;
步骤二、重合分析模块先通过数据接收单元接收被测流量信息数据,并通过数据匹配单元将被测流量信息与数据库内已经存在的流量信息进行匹配,若被测流量信息与已有流量信息重合,则输出结果为匹配成功,并将与被测流量信息重合的已有流量的检测结果作为被测流量的检测结果,通过结果输出模块直接输出,检测流程结束;
步骤三、若被测流量信息与已有流量信息没有重合,则数据匹配单元的输出结果为匹配失败,并将被测流量数据发送给特征比对模块,通过特征比对模块对被测流量特征和正常流量内在特征进行比对,并将比对结果发送给异常判别模块;
步骤四、异常判别模块根据比对结果判别被测流量是否存在异常,若被测流量的特征与正常流量的特征差距较大,则异常判别模块的判别结果为网络攻击,若被测流量的特征与正常流量的特征差距较小,则异常判别模块的判别结果为网络正常,然后检测记录模块对异常判别模块的判别结果进行接收,详细记录被测流量的检测结果及其相关信息,并将记录内容发送至数据库;
步骤五、通过统计模块统计数据库内的新增的网络攻击信息数据,并将其发送给异常特征提取模块,异常特征提取模块包括有数据整合单元、特征分析单元和信息提取单元,分别用于整合接收到的新增网络攻击信息数据、对数据所包含的异常流量内在特征进行分析、提取异常流量的内在特征,通过异常特征提取模块所得网络攻击行为的内在特征将全部反馈给内在特征提取模块,为正常流量行为的内在特征提供调整依据。
本发明的实施例是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显而易见的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (10)

1.一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,包括:
数据建模模块,所述数据建模模块用于收集正常流量作为训练数据,并以此进行建模,建立正常流量模型;
内在特征提取模块,所述内在特征提取模块用于结合模型研究正常流量行为的内在特征,并对特征信息进行提取;
特征比对模块,所述特征比对模块用于将被测流量特征与正常流量内在特征进行比对,并将比对结果发送给指定模块;
异常判别模块,所述异常判别模块接收比对结果,并根据比对结果判别被测流量是否存在异常;
检测记录模块,所述检测记录模块对异常判别模块的判别结果进行接收,详细记录被测流量的检测结果及其相关信息,再将记录内容发送至数据库;
统计模块,所述统计模块用于统计数据库内的新增的网络攻击信息数据;
异常特征提取模块,所述异常特征提取模块通过对新增的网络攻击信息数据中的有用数据进行整合,再结合特征分析、信息提取等操作获取新增网络攻击的流量内在特征,并将其反馈给内在特征提取模块,对其提取出的正常流量行为的内在特征进行调整;
重合分析模块,所述重合分析模块用于接收被测流量信息,将其与数据库内已经存在的流量信息进行重合分析,以判断该被测流量是否已被检测;
结果输出模块,所述结果输出模块用于接收重合分析模块发出的指令,并根据指令做出对应结果输出。
2.根据权利要求1所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述异常判别模块的判别结果包括网络攻击和网络正常,且网络攻击是异常判别模块根据被测流量的特征与正常流量的特征差距较大做出的判别结果,并且网络正常是异常判别模块根据被测流量的特征与正常流量的特征差距较小做出的判别结果。
3.根据权利要求1所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述检测记录模块包括网络攻击记录单元和网络正常单元,且网络攻击记录单元用于记录网络攻击的相关信息,并且网络攻击记录单元的记录内容包括攻击时间、攻击范围和攻击内容,而且网络正常单元用于记录网络正常的相信息。
4.根据权利要求1所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述异常特征提取模块包括有数据整合单元、特征分析单元和信息提取单元,且数据整合单元、特征分析单元和信息提取单元之间存在时序性,并且数据整合单元的输出端与特征分析单元的输入端相连,而且特征分析单元的输出端与信息提取单元的输出端相连。
5.根据权利要求4所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述特征分析单元的工作内容包括Packet特征分析、Flow特征分析和Strew特征分析,且Packet特征分析、Flow特征分析和Strew特征分析相互独立、互不干扰。
6.根据权利要求1所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述重合分析模块包括有数据接收单元、数据匹配单元、匹配失败和匹配成功,且数据接收单元的输出端连接有数据匹配单元,并且数据匹配单元的一输出结果为匹配失败,而且数据匹配单元的另一输出结果为匹配成功。
7.根据权利要求6所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述数据接收单元用于接收数据库内流量数据以及被测流量数据,且数据库内流量数据包括正常流量数据和异常流量数据。
8.根据权利要求6所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述匹配失败和匹配成功之间存在互斥性,且匹配失败和匹配成功无法同时作为数据匹配单元的输出结果被输出。
9.根据权利要求8所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述数据匹配单元每次运行有且只能选择匹配失败或匹配成功其中一个作为输出结果,若数据匹配单元的输出结果为匹配失败,则将被测流量数据发送给特征比对模块,若数据匹配单元的输出结果为匹配成功,则将与被测流量数据重合的数据库内流量的检测结果作为被测流量的检测结果,并通过结果输出模块完成检测结果输出。
10.根据权利要求1-9任一项所述的一种基于深度学习的检测未知网络攻击的异常检测系统,其特征在于,所述基于深度学习的检测未知网络攻击的异常检测系统的使用流程如下:
步骤一、管理员通过数据建模模块收集正常流量作为训练数据,并进行建模,然后内在特征提取模块结合模型,对正常流量行为的内在特征进行研究,提取特征信息,并将正常流量的内在特征信息发送给特征比对模块;
步骤二、重合分析模块先通过数据接收单元接收被测流量信息数据,并通过数据匹配单元将被测流量信息与数据库内已经存在的流量信息进行匹配,若被测流量信息与已有流量信息重合,则输出结果为匹配成功,并将与被测流量信息重合的已有流量的检测结果作为被测流量的检测结果,通过结果输出模块直接输出,检测流程结束;
步骤三、若被测流量信息与已有流量信息没有重合,则数据匹配单元的输出结果为匹配失败,并将被测流量数据发送给特征比对模块,通过特征比对模块对被测流量特征和正常流量内在特征进行比对,并将比对结果发送给异常判别模块;
步骤四、异常判别模块根据比对结果判别被测流量是否存在异常,若被测流量的特征与正常流量的特征差距较大,则异常判别模块的判别结果为网络攻击,若被测流量的特征与正常流量的特征差距较小,则异常判别模块的判别结果为网络正常,然后检测记录模块对异常判别模块的判别结果进行接收,详细记录被测流量的检测结果及其相关信息,并将记录内容发送至数据库;
步骤五、通过统计模块统计数据库内的新增的网络攻击信息数据,并将其发送给异常特征提取模块,异常特征提取模块包括有数据整合单元、特征分析单元和信息提取单元,分别用于整合接收到的新增网络攻击信息数据、对数据所包含的异常流量内在特征进行分析、提取异常流量的内在特征,通过异常特征提取模块所得网络攻击行为的内在特征将全部反馈给内在特征提取模块,为正常流量行为的内在特征提供调整依据。
CN202311577400.4A 2023-11-23 2023-11-23 一种基于深度学习的检测未知网络攻击的异常检测系统 Pending CN117376022A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311577400.4A CN117376022A (zh) 2023-11-23 2023-11-23 一种基于深度学习的检测未知网络攻击的异常检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311577400.4A CN117376022A (zh) 2023-11-23 2023-11-23 一种基于深度学习的检测未知网络攻击的异常检测系统

Publications (1)

Publication Number Publication Date
CN117376022A true CN117376022A (zh) 2024-01-09

Family

ID=89404246

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311577400.4A Pending CN117376022A (zh) 2023-11-23 2023-11-23 一种基于深度学习的检测未知网络攻击的异常检测系统

Country Status (1)

Country Link
CN (1) CN117376022A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113282928A (zh) * 2021-06-11 2021-08-20 杭州安恒信息技术股份有限公司 恶意文件的处理方法、装置、系统、电子装置和存储介质
WO2022259125A1 (en) * 2021-06-07 2022-12-15 Telefonaktiebolaget Lm Ericsson (Publ) Unsupervised gan-based intrusion detection system using temporal convolutional networks, self-attention, and transformers
CN116781347A (zh) * 2023-06-20 2023-09-19 桂林电子科技大学 基于深度学习的工业物联网入侵检测方法及装置
CN117061254A (zh) * 2023-10-12 2023-11-14 之江实验室 异常流量检测方法、装置和计算机设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022259125A1 (en) * 2021-06-07 2022-12-15 Telefonaktiebolaget Lm Ericsson (Publ) Unsupervised gan-based intrusion detection system using temporal convolutional networks, self-attention, and transformers
CN113282928A (zh) * 2021-06-11 2021-08-20 杭州安恒信息技术股份有限公司 恶意文件的处理方法、装置、系统、电子装置和存储介质
CN116781347A (zh) * 2023-06-20 2023-09-19 桂林电子科技大学 基于深度学习的工业物联网入侵检测方法及装置
CN117061254A (zh) * 2023-10-12 2023-11-14 之江实验室 异常流量检测方法、装置和计算机设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张松清;刘智国;: "一种基于半监督学习的工控网络入侵检测方法", 信息技术与网络安全, no. 01, 10 January 2018 (2018-01-10) *

Similar Documents

Publication Publication Date Title
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
CN102420723A (zh) 一种面向多类入侵的异常检测方法
CN108334758A (zh) 一种用户越权行为的检测方法、装置及设备
CN112114995A (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN113037567B (zh) 一种用于电网企业的网络攻击行为仿真系统的仿真方法
CN110262949A (zh) 智能设备日志处理系统及方法
CN115883236A (zh) 电网智能终端协同攻击监测系统
CN113949577A (zh) 一种应用于云服务的数据攻击分析方法及服务器
CN106027528A (zh) 一种web水平权限自动化识别的方法及装置
CN112532614A (zh) 一种用于电网终端的安全监测方法和系统
CN108540473A (zh) 一种数据分析方法及数据分析装置
CN111191720B (zh) 一种业务场景的识别方法、装置及电子设备
CN114219374A (zh) 一种基于区块链的大数据分析决策系统与方法
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN101719906B (zh) 一种基于蠕虫传播行为的蠕虫检测方法
CN109981389A (zh) 手机号码识别方法、装置、设备及介质
CN112787984A (zh) 一种基于相关分析的车载网络异常检测方法及系统
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构系统
CN114710344B (zh) 一种基于溯源图的入侵检测方法
CN117376022A (zh) 一种基于深度学习的检测未知网络攻击的异常检测系统
WO2023179014A1 (zh) 流量识别方法、装置、电子设备及存储介质
CN112929364B (zh) 一种基于icmp隧道分析的数据泄漏检测方法及系统
CN114024748B (zh) 一种结合活跃节点库和机器学习的高效以太坊流量识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination