CN117411674B - 一种基于生成扩散的工业互联网异常流量检测方法及检测系统 - Google Patents

一种基于生成扩散的工业互联网异常流量检测方法及检测系统 Download PDF

Info

Publication number
CN117411674B
CN117411674B CN202311237748.9A CN202311237748A CN117411674B CN 117411674 B CN117411674 B CN 117411674B CN 202311237748 A CN202311237748 A CN 202311237748A CN 117411674 B CN117411674 B CN 117411674B
Authority
CN
China
Prior art keywords
abnormal
time
model
flow
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311237748.9A
Other languages
English (en)
Other versions
CN117411674A (zh
Inventor
顾欢欢
李千目
邱天
王明意
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NANJING SINOVATIO TECHNOLOGY CO LTD
Nanjing University of Science and Technology
Original Assignee
NANJING SINOVATIO TECHNOLOGY CO LTD
Nanjing University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NANJING SINOVATIO TECHNOLOGY CO LTD, Nanjing University of Science and Technology filed Critical NANJING SINOVATIO TECHNOLOGY CO LTD
Priority to CN202311237748.9A priority Critical patent/CN117411674B/zh
Publication of CN117411674A publication Critical patent/CN117411674A/zh
Application granted granted Critical
Publication of CN117411674B publication Critical patent/CN117411674B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/27Evaluation or update of window size, e.g. using information derived from acknowledged [ACK] packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于生成扩散的工业互联网异常流量检测方法及检测系统,采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,利用信息增益IG和信息增益比IGR从所有空间特征和时间特征中选取最佳特征集;构建基于表格去噪扩散概率模型TabDDPM的伪异常生成器并建立由伪异常生成器和鉴别器组成的异常流量检测模型;对已训练完成的网络异常流量检测模型,选择合适的基线函数来确定一个窗口上的累积流量是否被识别为异常;在移动设备上部署网络异常流量检测模型并进行实时检测。本发明选择最相关的少部分特征进行训练和分类,从而实现低延迟和高精度检测,采用更先进的生成模型弥补未知异常模拟不足的缺陷。

Description

一种基于生成扩散的工业互联网异常流量检测方法及检测 系统
技术领域
本发明涉及工业互联网安全技术领域,尤其是一种基于生成扩散的工业互联网异常流量检测方法及检测系统。
背景技术
随着工业控制系统向互联网化、智能化转变,越来越多的设备和系统通过网络世界相连,这带来了极大的便利,同时也引入了许多安全问题。一些恶意攻击者可能会对工业互联网进行攻击,导致系统运行异常甚至停机,造成严重的经济损失,甚至威胁到人民生命安全。异常流量检测技术作为信息安全防护的重要组成部分,可以有效发现工业网络中不符合预期行为模式的异常事件,高效、准确地定位工业网络中的威胁,保障工业网络的安全稳定。随着深度学习的发展,各种具有强大表示能力的神经网络将异常流量检测推向了更高的水平。
现有基于深度学习的方法例如卷积神经网络、受限玻尔兹曼机、长短期记忆网络和生成对抗网络等模型可以拟合复杂的网络流量数据分布,并从原始数据中提取特征。与传统基于规则的方法相比,基于深度学习的方法表现出更高的检测精度,但是后者的检测能力强依赖于异常训练数据和特征提取方法。如果训练数据中攻击类型数量不平衡、异常模式缺失,会导致检测召回率低和误报率高。为了提高检测的鲁棒性,2022年,Zecheng Li等人采用对抗性学习的思想,产生适应高维空间的伪异常,提高了检测的灵敏度。但是由于生成对抗网络的训练不稳定,导致部分检测的准确率和召回率不佳。同时,现有的流量特征提取方法普遍对每个数据包抽取一个特征,导致特征规模较大,无法进行实时处理。最近有较多研究的流级别特征提取方法虽然可以通过对一组数据包序列抽取特征来缩小特征规模,但其粒度粗糙,降低了检测的鲁棒性。目前国内外尚未完全解决异常流量检测深度学习模型实时性能不佳、鲁棒性低的问题。
发明内容
本发明所要解决的技术问题在于,提供一种基于生成扩散的工业互联网异常流量检测方法及检测系统,选择最相关的少部分特征进行训练和分类,从而实现低延迟和高精度检测,采用更先进的生成模型弥补未知异常模拟不足的缺陷。
为解决上述技术问题,本发明提供一种基于生成扩散的工业互联网异常流量检测方法,包括如下步骤:
步骤1、采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,然后采用信息增益IG和信息增益比IGR从所有空间特征和时间特征中选取最佳特征集;
步骤2、构建基于表格去噪扩散概率模型TabDDPM的伪异常生成器,将随机输入的高斯噪声图像重构为正常或异常样本;
步骤3、建立由伪异常生成器和基于生成对抗网络的鉴别器组成的异常流量检测模型和损失函数,并训练更新生成器和鉴别器的参数;
步骤4、对已训练完成的网络异常流量检测模型,选择合适的基线函数来确定一个窗口上的累积流量是否被识别为异常;
步骤5、部署异常流量检测模型并进行实时检测。
优选的,步骤1中,选取最佳特征集具体包括如下步骤:
步骤11、采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,滑动数据包窗口的大小为20000个数据包,时间窗口的大小为1000个数据包;
步骤12、信息增益为父节点的信息熵与其下所有子节点总信息熵之差,信息增益率为父节点信息熵除以特征熵,特征熵由公式(1)计算:
其中,pk表示该特征值取值为k的样本在样本集中的比例;
步骤13、按照信息增益率对所有空间特征和时间特征进行排序,选取信息增益率最大的前20个特征作为最佳特征集中的特征。
优选的,步骤2中,构建基于表格去噪扩散概率模型TabDDPM的伪异常生成器具体包括如下步骤:
步骤21、对于表格型网络流量样本包含Nnum个数值特征和2个分类特征(异常、正常)/>对于每一个类别Ki,采用one-hot编码作为输入,输入x0的维度为Nnum+∑Ki并使用scikit-learn库中的高斯分位数变换进行预处理;
步骤22、在基于TabDDPM的每个特征分类样本的前向扩散过程中,对样本逐步添加满足高斯分布的噪声,经过T个时间步后,直到整个样本成为满足正态分布的噪声;在反向过程中,从满足正态分布的噪声出发,使用添加了Dropout层的多层感知机预测上一时间步编码样本的均值和方差,该多层感知机具有与x0相同维度的输出,其中前Nnum个坐标是高斯扩散的预测,在经过T个时间步后,预测出编码网络流量样本;
步骤23、TabDDPM模型通过最小化高斯扩散项的均方误差和每个多项式的KL散度/>之和来训练,损失函数由公式(2)计算:
其中,C表示分类特征的数量。
优选的,步骤3中,建立由伪异常生成器和基于生成对抗网络的鉴别器组成的异常流量检测模型和损失函数,并训练更新生成器和鉴别器的参数具体包括如下步骤:
步骤31、伪异常生成器由多个表格去噪扩散概率模型TabDDPM构成,且每个TabDDPM采用不同的步数T进行训练,使它们的重构能力都不相同;
步骤32、鉴别器是一个二元分类器,由多层全连接神经网络构成,采用伪异常生成器生成的样本和正常样本进行训练;
步骤33、完整异常流量检测模型的训练包括伪异常生成器的训练和鉴别器的对抗性训练,鉴别器采用对抗性训练进行训练,损失函数由公式(3)计算:
其中,D(x)表示鉴别器对正常样本的输出,D(P(x))表示鉴别器对伪异常生成器生成的样本的输出。
优选的,步骤4中,选择合适的基线函数来确定一个窗口上的累积流量是否被识别为异常具体为:选取经验最佳基线函数和统计最佳基线函数的最大值作为基线函数;
经验最佳基线函数thresempirical为训练后的模型将正常数据分类为0时的最小基线函数,统计最佳基线函数为thresstat=mean(prec)+3*std(prec),其中,mean()表示均值函数,std()表示标准差函数,prec表示预测精度,由公式(4)计算:
其中,TP表示模型准确检测并标记为X类别的样本数量,FN表示模型错误标记为Not-X类别的样本数量。
优选的,步骤5中,部署异常流量检测模型并进行实时检测具体包括如下步骤:
步骤51、当模型训练完成时,伪异常生成器会被丢弃,只将鉴别器部署在移动设备上,在一个窗口上对流量数据包进行预处理,获得每个流量监控点的状态向量,相邻两个监测点之间的间隔就是窗口大小;
步骤52、预处理后的数据输入到鉴别器进行识别,同一个流中的每个异常状态进行累积,当超过基线函数时,流量被识别为异常。
相应的,一种基于生成扩散的工业互联网异常流量检测系统,包括:离线核心模型训练模块、工业互联网流量数据包捕获模块、数据包预处理模块和实时异常流量检测模块;离线核心训练模块与实时异常检测模块相连,工业互联网流量数据包捕获模块与数据包预处理模块、实时异常流量检测模块依次相连。
优选的,离线核心模型训练模块,用于离线环境下对公共数据集预处理后的网络流量特征通过去噪扩散模型和生成对抗网络训练得到异常流量检测模型,训练好的异常流量检测模型能够被实时异常检测模块调用;工业互联网流量数据包捕获模块,用于获取所述工业互联网实时流量数据包。
优选的,数据包预处理模块用于按照与训练数据相同的预处理方法对一组工业互联网实时流量数据包提取时间特征和空间特征,得到预处理后的工业互联网流量特征。
优选的,实时异常流量检测模块通过所述训练得到的异常流量检测模型的鉴别器检测预处理后的工业互联网流量特征,判断累积的异常状态是否超过基线函数,从而得到检测结果。
本发明的有益效果为:本发明采用滑动数据包窗口和时间窗口从工业互联网流量数据包中选择最相关和最具有代表性的少部分特征进行训练和分类,在不影响异常流量检测精度的前提下缩小了流量特征规模,从而实现低延迟实时检测;本发明在离线训练异常流量检测模型时,采用更先进的基于去噪生成扩散模型的生成器,生成具有多样性的异常流量训练样本,弥补未知异常模拟不足的缺陷,提高了模型的鲁棒性和灵敏性,在异常流量检测准确度方面优于现有的方法。
附图说明
图1为本发明的检测方法流程示意图。
图2为本发明的检测系统架构示意图。
具体实施方式
如图1所示,一种基于生成扩散的工业互联网异常流量检测方法,包括如下步骤:
步骤1、采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,然后采用信息增益(IG)和信息增益比(IGR)从所有空间特征和时间特征中选取最佳特征集。
步骤1.1、采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,滑动数据包窗口的大小为20000个数据包,时间窗口的大小为1000个数据包;
步骤1.2、信息增益为父节点的信息熵与其下所有子节点总信息熵之差,信息增益率为父节点信息熵除以特征熵。特征熵由公式(1)计算:
其中,pk表示该特征值取值为k的样本在样本集中的比例。
步骤1.3、按照信息增益率对所有空间特征和时间特征进行排序,选取信息增益率最大的前20个特征作为最佳特征集中的特征。
步骤2、构建基于表格去噪扩散概率模型(TabDDPM)的伪异常生成器,将随机输入的高斯噪声图像重构为正常或异常样本。
步骤2.1、对于表格型网络流量样本包含Nnum个数值特征和2个分类特征(异常、正常)/>对于每一个类别Ki,采用one-hot编码作为输入,因此,输入x0的维度为Nnum+∑Ki并使用scikit-learn库中的高斯分位数变换进行预处理。
步骤2.2、在基于TabDDPM的每个特征分类样本的前向扩散过程中,对样本逐步添加满足高斯分布的噪声,经过T个时间步后,直到整个样本成为满足正态分布的噪声;在反向过程中,从满足正态分布的噪声出发,使用添加了Dropout层的多层感知机预测上一时间步编码样本的均值和方差,该多层感知机具有与x0相同维度的输出,其中前Nnum个坐标是高斯扩散的预测。在经过T个时间步后,预测出编码网络流量样本。
步骤2.3、TabDDPM模型通过最小化高斯扩散项的均方误差和每个多项式的KL散度/>之和来训练,损失函数由公式(2)计算:
其中,C表示分类特征的数量。
步骤3、建立由伪异常生成器和基于生成对抗网络的鉴别器组成的异常流量检测模型和损失函数,并训练更新生成器和鉴别器的参数。
步骤3.1、伪异常生成器由多个表格去噪扩散概率模型(TabDDPM)构成,且每个TabDDPM采用不同的步数T进行训练,例如T=500,T=1000或者T=2000等,使它们的重构能力都不相同。
步骤3.2、鉴别器是一个二元分类器,由多层全连接神经网络构成,采用伪异常生成器生成的样本和正常样本进行训练。
步骤3.3、完整异常流量检测模型的训练包括伪异常生成器的训练和鉴别器的对抗性训练。步骤2.3中展示了伪异常生成器中每个TabDDPM的训练函数。鉴别器采用对抗性训练进行训练,损失函数由公式(3)计算:
其中,D(x)表示鉴别器对正常样本的输出,D(P(x))表示鉴别器对伪异常生成器生成的样本的输出。
步骤4、对已训练完成的网络异常流量检测模型,选择合适的基线函数来确定一个窗口上的累积流量是否被识别为异常。
选取经验最佳基线函数和统计最佳基线函数的最大值作为基线函数。
经验最佳基线函数thresempirical为训练后的模型将正常数据分类为0时的最小基线函数,统计最佳基线函数为thresstat=mean(prec)+3*std(prec)。其中,mean()表示均值函数,std()表示标准差函数,prec表示预测精度,由公式(4)计算:
其中,TP表示模型准确检测并标记为X类别的样本数量;FN表示模型错误标记为Not-X类别的样本数量。
步骤5、部署网络异常流量检测模型并进行实时检测。
步骤5.1、当模型训练完成时,伪异常生成器会被丢弃,只将鉴别器部署在移动设备上。在一个窗口上对流量数据包进行预处理,获得每个流量监控点的状态向量,相邻两个监测点之间的间隔就是窗口大小。
步骤5.2、预处理后的数据输入到鉴别器进行识别,同一个流中的每个异常状态进行累积,当超过基线函数时,流量被识别为异常。
实施例
为了验证本发明方案的有效性,进行如下实验。本发明的实验平台如下:AMD5600X CPU和64GB RAM以及GTX 3090GPU。本发明在NSL-KDD公开流量数据集上使用Python编程软件Tensorflow和Keras对异常流量检测模型进行了评估。NSL-KDD数据集是著名的KDD’99数据集的修订版本。实验采用了4个TabDDPM模型构成的伪异常生成器,它们的步长分别为500,800,1200和1500。我们使用2种最先进的方法与本发明提出的方法在4种指标上进行了比较:准确率、精度、召回率和F度量。表1展现了采用步骤1提取的基于NSL-KDD数据集的20个最佳特征集。
表1基于NSL-KDD数据集的20个最佳特征集
(1)准确率(Accuracy):是模型基于分类总数正确分类流量的比例,值越大,性能越好。
(2)精度(Precision):给定类别的分类比例实际上是正确的比例,值越大,性能越好。
(3)召回率(Recall):分类流量与总流量的类条件精度,值越大,性能越好。
(4)F-度量:说明在测量模型的准确性时精度和召回率的有效性,值越大,性能越好。
其中,TP:模型准确检测并标记为X类别的样本数量;FP:模型错误标记为X类别的样本数量;FN:模型错误标记为Not-X类别的样本数量;TN:模型准确检测并标记为Not-X类别的样本数量。
表2 NSL-KDD数据集上不同检测模型的准确度对比表
实验结果分析:从实验结果可以看出,本发明提出的网络异常流量检测方法在准确度的各项指标上均高于对比的两个模型,模型的检测性能进一步提高。

Claims (6)

1.一种基于生成扩散的工业互联网异常流量检测方法,其特征在于,包括如下步骤:
步骤1、采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,然后采用信息增益IG和信息增益比IGR从所有空间特征和时间特征中选取最佳特征集;
步骤2、构建基于表格去噪扩散概率模型TabDDPM的伪异常生成器,将随机输入的高斯噪声图像重构为正常或异常样本;具体包括如下步骤:
步骤21、对于表格型网络流量样本包含Nnum个数值特征和2个分类特征/>对于每一个类别Ki,采用one-hot编码作为输入,输入x0的维度为Nnum+∑Ki并使用scikit-learn库中的高斯分位数变换进行预处理;
步骤22、在基于TabDDPM的每个特征分类样本的前向扩散过程中,对样本逐步添加满足高斯分布的噪声,经过T个时间步后,直到整个样本成为满足正态分布的噪声;在反向过程中,从满足正态分布的噪声出发,使用添加了Dropout层的多层感知机预测上一时间步编码样本的均值和方差,该多层感知机具有与x0相同维度的输出,其中前Nnum个坐标是高斯扩散的预测,在经过T个时间步后,预测出编码网络流量样本;
步骤23、TabDDPM模型通过最小化高斯扩散项的均方误差和每个多项式的KL散度之和来训练,损失函数由公式(2)计算:
其中,C表示分类特征的数量;
步骤3、建立由伪异常生成器和基于生成对抗网络的鉴别器组成的异常流量检测模型和损失函数,并训练更新伪异常生成器和鉴别器的参数;
步骤4、对已训练完成的网络异常流量检测模型,选择合适的基线函数来确定一个窗口上的累积流量是否被识别为异常;
步骤5、部署异常流量检测模型并进行实时检测。
2.如权利要求1所述的基于生成扩散的工业互联网异常流量检测方法,其特征在于,步骤1中,选取最佳特征集具体包括如下步骤:
步骤11、采用滑动数据包窗口和时间窗口从公共流量数据集中提取空间特征和时间特征,滑动数据包窗口的大小为20000个数据包,时间窗口的大小为1000个数据包;
步骤12、信息增益为父节点的信息熵与其下所有子节点总信息熵之差,信息增益比为父节点信息熵除以特征熵,特征熵由公式(1)计算:
其中,pk表示该特征值取值为k的样本在样本集中的比例;
步骤13、按照信息增益比对所有空间特征和时间特征进行排序,选取信息增益比最大的前20个特征作为最佳特征集中的特征。
3.如权利要求1所述的基于生成扩散的工业互联网异常流量检测方法,其特征在于,步骤3中,建立由伪异常生成器和基于生成对抗网络的鉴别器组成的异常流量检测模型和损失函数,并训练更新伪异常生成器和鉴别器的参数具体包括如下步骤:
步骤31、伪异常生成器由多个表格去噪扩散概率模型TabDDPM构成,且每个TabDDPM采用不同的步数T进行训练,使它们的重构能力都不相同;
步骤32、鉴别器是一个二元分类器,由多层全连接神经网络构成,采用伪异常生成器生成的样本和正常样本进行训练;
步骤33、完整异常流量检测模型的训练包括伪异常生成器的训练和鉴别器的对抗性训练,鉴别器采用对抗性训练进行训练,损失函数由公式(3)计算:
其中,D(x)表示鉴别器对正常样本的输出,D(P(x))表示鉴别器对伪异常生成器生成的样本的输出。
4.如权利要求1所述的基于生成扩散的工业互联网异常流量检测方法,其特征在于,步骤4中,选择合适的基线函数来确定一个窗口上的累积流量是否被识别为异常具体为:选取经验最佳基线函数和统计最佳基线函数的最大值作为基线函数;
经验最佳基线函数thresempirical为训练后的模型将正常数据分类为0时的最小基线函数,统计最佳基线函数为thresstat=mean(prec)+3*std(prec),其中,mean()表示均值函数,std()表示标准差函数,prec表示预测精度,由公式(4)计算:
其中,TP表示模型准确检测并标记为X类别的样本数量,FN表示模型错误标记为Not-X类别的样本数量。
5.如权利要求1所述的基于生成扩散的工业互联网异常流量检测方法,其特征在于,步骤5中,部署异常流量检测模型并进行实时检测具体包括如下步骤:
步骤51、当模型训练完成时,伪异常生成器会被丢弃,只将鉴别器部署在移动设备上,在一个窗口上对流量数据包进行预处理,获得每个流量监控点的状态向量,相邻两个监测点之间的间隔就是窗口大小;
步骤52、预处理后的数据输入到鉴别器进行识别,同一个流中的每个异常状态进行累积,当超过基线函数时,流量被识别为异常。
6.一种应用如权利要求1所述的基于生成扩散的工业互联网异常流量检测方法的检测系统,其特征在于,包括:离线核心模型训练模块、工业互联网流量数据包捕获模块、数据包预处理模块和实时异常流量检测模块;离线核心训练模块与实时异常流量检测模块相连,工业互联网流量数据包捕获模块与数据包预处理模块、实时异常流量检测模块依次相连;
离线核心模型训练模块,用于离线环境下对公共数据集预处理后的网络流量特征通过去噪扩散模型和生成对抗网络训练得到异常流量检测模型,训练好的异常流量检测模型能够被实时异常流量检测模块调用;
工业互联网流量数据包捕获模块,用于获取所述工业互联网实时流量数据包;数据包预处理模块用于按照与训练数据相同的预处理方法对一组工业互联网实时流量数据包提取时间特征和空间特征,得到预处理后的工业互联网流量特征;
实时异常流量检测模块通过所述训练得到的异常流量检测模型的鉴别器检测预处理后的工业互联网流量特征,判断累积的异常状态是否超过基线函数,从而得到检测结果。
CN202311237748.9A 2023-09-22 2023-09-22 一种基于生成扩散的工业互联网异常流量检测方法及检测系统 Active CN117411674B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311237748.9A CN117411674B (zh) 2023-09-22 2023-09-22 一种基于生成扩散的工业互联网异常流量检测方法及检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311237748.9A CN117411674B (zh) 2023-09-22 2023-09-22 一种基于生成扩散的工业互联网异常流量检测方法及检测系统

Publications (2)

Publication Number Publication Date
CN117411674A CN117411674A (zh) 2024-01-16
CN117411674B true CN117411674B (zh) 2024-05-14

Family

ID=89487933

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311237748.9A Active CN117411674B (zh) 2023-09-22 2023-09-22 一种基于生成扩散的工业互联网异常流量检测方法及检测系统

Country Status (1)

Country Link
CN (1) CN117411674B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110705376A (zh) * 2019-09-11 2020-01-17 南京邮电大学 一种基于生成式对抗网络的异常行为检测方法
CN115081555A (zh) * 2022-08-16 2022-09-20 南京航空航天大学 基于生成对抗和双向循环神经网络的异常检测方法及装置
CN116488325A (zh) * 2023-03-14 2023-07-25 国网河南省电力公司经济技术研究院 一种智能电网异常检测与分类方法、设备、可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113052203B (zh) * 2021-02-09 2022-01-18 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种面向多种类数据的异常检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110705376A (zh) * 2019-09-11 2020-01-17 南京邮电大学 一种基于生成式对抗网络的异常行为检测方法
CN115081555A (zh) * 2022-08-16 2022-09-20 南京航空航天大学 基于生成对抗和双向循环神经网络的异常检测方法及装置
CN116488325A (zh) * 2023-03-14 2023-07-25 国网河南省电力公司经济技术研究院 一种智能电网异常检测与分类方法、设备、可读存储介质

Also Published As

Publication number Publication date
CN117411674A (zh) 2024-01-16

Similar Documents

Publication Publication Date Title
CN111585948B (zh) 一种基于电网大数据的网络安全态势智能预测方法
CN108737406B (zh) 一种异常流量数据的检测方法及系统
CN108566364B (zh) 一种基于神经网络的入侵检测方法
Eskin Anomaly detection over noisy data using learned probability distributions
Cheng et al. MS-LSTM: A multi-scale LSTM model for BGP anomaly detection
CN111600919B (zh) 智能网络应用防护系统模型的构建方法和装置
CN109889538B (zh) 用户异常行为检测方法及系统
CN113283476B (zh) 一种物联网网络入侵检测方法
CN107241358B (zh) 一种基于深度学习的智能家居入侵检测方法
CN112104525B (zh) 基于序列生成对抗网络的dnp3协议模糊测试方法
CN109446804B (zh) 一种基于多尺度特征连接卷积神经网络的入侵检测方法
CN111030992B (zh) 检测方法、服务器及计算机可读存储介质
CN111885059A (zh) 一种工业网络流量异常检测定位的方法
CN113556319B (zh) 物联网下基于长短期记忆自编码分类器的入侵检测方法
CN112688946B (zh) 异常检测特征的构造方法、模块、存储介质、设备及系统
CN111901340A (zh) 一种面向能源互联网的入侵检测系统及其方法
CN112738014A (zh) 一种基于卷积时序网络的工控流量异常检测方法及系统
CN113094707A (zh) 一种基于异质图网络的横向移动攻击检测方法及系统
CN114064471A (zh) 一种基于生成对抗网络的Ethernet/IP协议模糊测试方法
CN114513367A (zh) 基于图神经网络的蜂窝网络异常检测方法
CN108920694B (zh) 一种短文本多标签分类方法及装置
CN117411674B (zh) 一种基于生成扩散的工业互联网异常流量检测方法及检测系统
CN117113228A (zh) 一种基于深度学习的电力社会工程学攻击监测方法及系统
CN117097541A (zh) Api服务攻击检测方法、装置、设备和存储介质
CN117176433A (zh) 网络数据的异常行为检测系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant