CN117439820B - 一种动态调整门限的网络入侵检测方法 - Google Patents

一种动态调整门限的网络入侵检测方法 Download PDF

Info

Publication number
CN117439820B
CN117439820B CN202311754244.4A CN202311754244A CN117439820B CN 117439820 B CN117439820 B CN 117439820B CN 202311754244 A CN202311754244 A CN 202311754244A CN 117439820 B CN117439820 B CN 117439820B
Authority
CN
China
Prior art keywords
data
network
calculating
value
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311754244.4A
Other languages
English (en)
Other versions
CN117439820A (zh
Inventor
王殊
王晨飞
张虎
李慧芹
张郁颀
李永刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Co ltd Customer Service Center
Original Assignee
State Grid Co ltd Customer Service Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Co ltd Customer Service Center filed Critical State Grid Co ltd Customer Service Center
Priority to CN202311754244.4A priority Critical patent/CN117439820B/zh
Publication of CN117439820A publication Critical patent/CN117439820A/zh
Application granted granted Critical
Publication of CN117439820B publication Critical patent/CN117439820B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全领域,具体涉及一种动态调整门限的网络入侵检测方法。一种动态调整门限的网络入侵检测方法包括如下步骤:网络数据采集与处理;构建入侵告警函数;构建告警门限函数;计算告警门限;网络入侵持续性检测;本发明并未使用传统入侵检测方法采取的训练数据训练模型的方式,而是在目标网络上持续采集网络协议数据包。持续采集的网络协议数据包具有实时性和动态更新性,能准确反映当前网络安全态势。

Description

一种动态调整门限的网络入侵检测方法
技术领域
本发明涉及网络安全领域,具体涉及一种动态调整门限的网络入侵检测方法。
背景技术
随着信息技术的飞速发展,互联网已深度嵌入人类社会,成为支撑人类社会正常运行的重要部分。然而在互联网为我们工作生活带来便利的同时,针对计算机网络的攻击也层出不穷。网络入侵是未经授权的个人或组织利用目标网络的漏洞,通过网络通信协议非法访问计算机网络的行为。
入侵检测技术可以有效提高网络面对网络入侵的防范能力,保证网络的安全运行。现有的网络入侵检测技术大多基于机器学习和深度学习技术,使用经过标注的网络流训练分类模型,进而用于网络的入侵检测。然而在实际应用中,现有技术仍然存在着瓶颈。主要问题是:训练机器学习和深度学习模型需要大量经过标注的网络流数据,而使用人工对数据进行标注效率低下,因此难以获得大量高质量的训练数据。此外,面对日益复杂的网络环境,这些依赖规则库和训练数据的检测方法难以识别新的入侵方法。
发明内容
为解决上述现有技术中存在的问题,本发明提供了一种动态调整门限的网络入侵检测方法,从空间域与时域角度分析待检测数据与历史信息数据的差异程度,生成该检测数据的异常值,并对网络是否发生入侵进行判定。本发明不需要使用已标注数据训练模型,并且可以识别零日攻击,提高了入侵检测系统的检测准确性,且更具备现实可操作性。本发明通过以下技术方案实现。
一种动态调整门限的网络入侵检测方法,包括如下步骤:
步骤1:网络数据采集与处理;在目标网络上持续采集网络协议数据包,生成原始数据集,对原始数据集进行预处理,并按照采集时间将数据集划分为历史信息数据集和待检测数据;
步骤2:构建入侵告警函数;所述入侵告警函数为;其中,x为经过预处理的网络协议数据样本,为基于PCA算法计算出的数据空间域异常值,/>为基于holt-winters算法计算出的数据时域异常值,/>为威胁因子,用以衡量待检测数据中时空域角度的异常程度,由入侵告警函数计算出的/>值为异常值;
步骤3:构建告警门限函数;所述告警门限函数为,其中/>为由历史信息数据的异常值组成的序列;
步骤4:计算告警门限;输入步骤1中采集的历史信息数据到步骤2所得的入侵告警函数中得到历史信息数据的异常值序列;将异常值序列/>输入步骤3中得到的告警门限函数,计算得到当前告警门限值/>
步骤5:网络入侵持续性检测;输入步骤1所采集的待检测数据到步骤2所得的入侵告警函数中得到当前数据的异常值,并与告警门限值比较;当数据异常值小于或等于告警门限值时,数据正常,将当前数据存入历史信息中,并重复进行步骤1、步骤2、步骤3、步骤4,当数据异常值大于告警门限值时,向网络管理员发出告警。
传统网络入侵检测方法依赖于规则库与训练数据,尽管检测已有攻击能力较强,但规则库与训练数据更新的滞后性导致难以识别新的入侵方法。本发明并未使用传统入侵检测方法采取的训练数据训练模型的方式,而是在目标网络上持续采集网络协议数据包。持续采集的网络协议数据包具有实时性和动态更新性,能准确反映当前网络安全态势。并通过多次测试确定了可长期使用的在深层包含表征网络流量数据类型特征的网络协议数据包数据信息并在本发明中予以公开。为本发明后续提取网络协议数据深层特征,判定数据类型做好前置工作。进一步,本发明分析网络流异常数据与当前网络正常数据之间的差异情况并设定入侵告警门限进行数据异常判定,通过判别入侵方法与正常流量之间的数据差异的方法,实现了入侵行为的检测并避免了网络入侵检测方法对零日攻击的漏判。同时,本发明在提取网络协议数据特征时并未简单地从单一角度分析数据,而是利用PCA算法和holt-winters算法分别从空间域和时间域多维度分析网络流数据异常信息。PCA算法和holt-winters算法是机器学习领域常用的数据分析方法,特点是算法简单,运算量低,可以快速提取网络流数据异常特征,计算数据异常分数,充分适配网络入侵检测方法对实时性的要求,避免了出现因消耗过多算力,数据判别结果计算滞后而导致入侵行为检测不及时的情况。再进一步而言,本发明利用上述算法计算产生的数据异常值构建了入侵告警函数对网络数据类型进行判定,在入侵告警函数中,被检测过的网络数据的异常分数并未被抛弃,而是以历史信息的形式参与构建入侵告警门限的设定,从而实现入侵告警门限跟随网络环境动态调整的功能,能够有效的应用到工程实践中。
附图说明
图1一种动态调整门限的网络入侵检测方法示意图。
具体实施方式
一种动态调整门限的网络入侵检测方法,包括如下步骤:
步骤1:网络数据采集与处理;在目标网络上持续采集网络协议数据包,生成原始数据集,对原始数据集进行预处理,并按照采集时间将数据集划分为历史信息数据集和待检测数据;
预处理网络协议数据包的过程至少包括:字符型编码、缺失值补零、max-min方法归一化处理;
通过流量采集器持续采集目标网络上的网络协议数据包,生成原始数据集,根据TCP/IP协议簇标准对原始数据集/>进行解析与统计,形成可供分析的数据集D;按照采集时间将可供分析的数据集D划分为历史信息数据集/>和待检测数据d,其中,流量采集器48小时内采集的网络数据被划分为历史信息数据集/>,当前时间点采集的网络数据为待检测数据d;
针对入侵行为的检测,选取了原始数据集中与常见入侵行为有所关联的特征;如传输层协议类型,传输层协议类型指示数据包所采用的传输层协议,如TCP、UDP等。某些入侵行为可能利用协议的特定漏洞进行网络入侵,如probing攻击使用TCP协议进行端口扫描;数据包长度,数据包长度表示一个网络数据包的大小,以字节为单位,入侵者可能通过发送异常大的数据包来触发系统的缓冲区溢出漏洞,或者发送大量的小型数据包来耗尽系统资源,发动Dos攻击等等,根据从原始数据集中解析出的数据特征类型,可以将数据集特征维度分为三类,即:基本连接特征、基于内容的特征、基于时间的特征;数据集包含的具体特征维度如表1所示;
表1:数据集包含的具体特征维度
对可供分析的数据集D中的数据进行预处理;对可供分析的数据集D中的字符型数据进行编码,如特征proto中,TCP编码为1,UDP编码为2,ICMP编码为3;对可供分析的数据集D中的缺失值进行补零处理;对可供分析的数据集D中的连续性数据使用max-min方法进行归一化处理;
步骤2:构建入侵告警函数;所述入侵告警函数为;其中,x为经过预处理的网络协议数据样本,/>为基于PCA算法计算出的数据空间域异常值,/>为基于holt-winters算法计算出的数据时域异常值,/>为威胁因子,用以衡量待检测数据中时空域角度的异常程度,在下文中称由入侵告警函数计算出的/>值为异常值;
基于PCA算法计算待检测数据空间域异常值的过程具体包括:
步骤2.1:计算特征协方差矩阵C;计算公式如下:
其中,X为一个m×n的网络数据矩阵,m为采集数据的样本数,n为一条样本中特征的个数;
步骤2.2:计算低维数据矩阵;计算特征协方差矩阵的特征值/>和特征向量/>;将特征向量/>依照对应特征值/>从大到小的顺序排列,选取前k个特征向量/>组成低维映射矩阵/>;依据如下公式,将原始高维数据向低维空间映射;/>
步骤2.3:计算数据空间域异常值;使用低维映射矩阵/>对低维数据矩阵/>进行重构,获得重构数据/>
通过计算重构数据与原始数据的重构误差来计算数据空间异常值;计算公式如下:
其中,为原始数据样本i,/>为数据样本i中的第j个特征的数值,/>为重构数据样本i中的第j个特征的数值。
基于holt-winters算法计算待检测数据时域异常值的过程具体包括:
步骤2.11:构建holt-winters异常检测模型,
其中,为历史信息数据集中的第i条数据样本,/>为数据样本/>的水平成分,为/>前一条数据样本/>的水平成分,/>为数据样本/>的趋势成分,/>为/>前一条数据样本/>的趋势成分,/>为样本数据/>的周期成分;k为一个周期内采集的数据样本数量;/>为/>前k条数据样本的周期成分,/>为/>前k-1条数据样本的周期成分,/>为待确定水平平滑系数,/>为待确定趋势平滑系数,/>为待确定周期平滑系数;/>为使用holt-winters算法对第i+1条数据的预测值;
步骤2.12:初始化holt-winters异常检测模型的参数,
其中,为历史信息数据集中的第一条数据样本,/>为历史信息数据集中的第二条数据样本;
步骤2.13:模型参数优化:构建平滑系数优化函数;即:
其中,为数据样本i中的第j个特征的数值,/>为该数据样本i的预测值中的第j个特征的数值,n为数据样本中特征的数量,I为历史信息数据集中的数据样本数量;
结合步骤2.12中的模型参数初始值,使用步骤2.11中的异常检测模型对数据集中的每个数据样本进行预测,获得数据样本的预测值
步骤2.14:重复步骤2.11、步骤2.12、步骤2.13,直至得到最佳平滑系数;
步骤2.15:计算数据时域异常值,通过计算预测值与真实值的曼哈顿距离来计算数据时域异常值;计算公式如下:
步骤3:以历史信息数据异常值序列为变量,构建告警门限函数;告警门限函数为:
其中,I为历史信息数据中数据样本的数量;
步骤4:计算告警门限;输入步骤1中采集的历史信息数据到步骤2所得的入侵告警函数中得到历史信息数据的异常值序列;将异常值序列/>输入步骤3中得到的告警门限函数,计算得到当前告警门限值/>
步骤5:网络入侵持续性检测;输入步骤1所采集的待检测数据到步骤2所得的入侵告警函数中得到当前数据的异常值,并与告警门限值比较;当数据异常值小于或等于告警门限值时,数据正常,将当前数据存入历史信息中,并重复进行步骤1、步骤2、步骤3、步骤4,当数据异常值大于告警门限值时,向网络管理员发出告警。

Claims (6)

1.一种动态调整门限的网络入侵检测方法,其特征在于,包括如下步骤:
步骤1:网络数据采集与处理;在目标网络上持续采集网络协议数据包,生成原始数据集,对原始数据集进行预处理,并按照采集时间将数据集划分为历史信息数据集和待检测数据;
步骤2:构建入侵告警函数;所述入侵告警函数为其中,x为经过预处理的网络协议数据样本,δ(x)为基于PCA算法计算出的数据空间域异常值,λ(x)为基于holt-winters算法计算出的数据时域异常值,/>为威胁因子,用以衡量待检测数据中时空域角度的异常程度,由入侵告警函数计算出的θ值为异常值;
步骤3:构建告警门限函数;所述告警门限函数为η=f([θ(x)]),其中[θ(x)]为由历史信息数据的异常值组成的序列;所述步骤3中,
其中,I为历史信息数据中数据样本的数量;
步骤4:计算告警门限;输入步骤1中采集的历史信息数据到步骤2所得的入侵告警函数中得到历史信息数据的异常值序列[θ(x)];将异常值序列[θ(x)]输入步骤3中得到的告警门限函数,计算得到当前告警门限值η;
步骤5:网络入侵持续性检测;输入步骤1所采集的待检测数据到步骤2所得的入侵告警函数中得到当前数据的异常值,并与告警门限值η比较;当数据异常值小于或等于告警门限值时,数据正常,将当前数据存入历史信息中,并重复进行步骤1、步骤2、步骤3、步骤4,当数据异常值大于告警门限值时,向网络管理员发出告警。
2.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于PCA算法计算待检测数据空间域异常值δ(x)的过程具体包括如下步骤:
步骤2.1:计算特征协方差矩阵C;
步骤2.2:基于所述特征协方差矩阵确定低维数据矩阵;
步骤2.3:计算特征协方差矩阵的特征值和特征向量得到低维映射矩阵,利用所述低维映射矩阵对低维数据矩阵进行重构,通过计算重构数据与待检测数据的重构误差计算待检测数据空间域异常值δ(x)。
3.根据权利要求2所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于PCA算法计算待检测数据空间域异常值δ(x)的过程具体包括如下步骤:
步骤2.1:计算特征协方差矩阵C:计算公式如下:
其中,X为一个m×n的网络数据矩阵,m为采集数据的样本数,n为一条样本中特征的个数;
步骤2.2:计算低维数据矩阵Yk;计算特征协方差矩阵的特征值α1,α2,…,αi和特征向量e1,e2,....,ei;将特征向量e1,e2,....,ei依照对应特征值α1,α2,…,ai从大到小的顺序排列,选取前k个特征向量e1,e2,....,ek组成低维映射矩阵Ck;依据如下公式,将原始高维数据向低维空间映射;Yk=XCk
步骤2.3:计算数据空间域异常值δ(x);使用低维映射矩阵Ck对低维数据矩阵Yk进行重构,获得重构数据X′,
通过计算重构数据与原始数据的重构误差来计算数据空间异常值δ(x);计算公式如下:
其中,xi为原始数据样本i,xij为数据样本i中的第j个特征的数值,x′ij为重构数据样本i中的第j个特征的数值。
4.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤2中,基于holt-winters算法计算待检测数据时域异常值λ(x)的过程具体包括如下步骤:
步骤2.11:构建holt-winters异常检测模型;
其中,为历史信息数据集中的第i条数据样本,/>为数据样本/>的水平成分,/>前一条数据样本/>的水平成分,/>为数据样本/>的趋势成分,/>为/>前一条数据样本/>的趋势成分,/>为样本数据/>的周期成分;k为一个周期内采集的数据样本数量;为/>前k条数据样本的周期成分,/>为/>前k-1条数据样本的周期成分,α为待确定水平平滑系数,β为待确定趋势平滑系数,γ为待确定周期平滑系数;/>为使用holt-winters算法对第i+1条数据的预测值;
步骤2.12:初始化holt-winters异常检测模型的参数;
α=β=γ=0.1,
其中,为历史信息数据集中的第一条数据样本,/>为历史信息数据集中的第二条数据样本;
步骤2.13:模型参数优化:构建平滑系数优化函数;即:
其中,xij为数据样本i中的第j个特征的数值,yij为数据样本i的预测值中的第j个特征的数值,n为数据样本中特征的数量,I为历史信息数据集中的数据样本数量;
结合步骤2.12中的模型参数初始值,使用步骤2.11中的异常检测模型对数据集中的每个数据样本进行预测,获得数据样本的预测值yi
步骤2.14:重复步骤2.11、步骤2.12、步骤2.13,直至得到最佳平滑系数;
步骤2.15:计算数据时域异常值λ(x),通过计算预测值与真实值的曼哈顿距离来计算数据时域异常值;计算公式如下:
5.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤1中,预处理网络协议数据包的过程至少包括:字符型编码、缺失值补零、max-min方法归一化处理。
6.根据权利要求1所述的一种动态调整门限的网络入侵检测方法,其特征在于,所述步骤1中,通过流量采集器持续采集目标网络上的网络协议数据包,生成原始数据集D0,根据TCP/IP协议簇标准对原始数据集D0进行解析与统计,形成可分析的数据集D,按照采集时间将可分析的数据集D划分为历史信息数据集D1和待检测数据d;其中,流量采集器48小时内采集的网络数据被划分为历史信息数据集D1,当前时间点采集的网络数据为待检测数据d;
对可分析的数据集D中的数据进行预处理;对可分析的数据集D中的字符型数据进行编码;对可分析的数据集D中的缺失值进行补零处理;对可分析的数据集D中的连续性数据使用max-min方法进行归一化处理。
CN202311754244.4A 2023-12-20 2023-12-20 一种动态调整门限的网络入侵检测方法 Active CN117439820B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311754244.4A CN117439820B (zh) 2023-12-20 2023-12-20 一种动态调整门限的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311754244.4A CN117439820B (zh) 2023-12-20 2023-12-20 一种动态调整门限的网络入侵检测方法

Publications (2)

Publication Number Publication Date
CN117439820A CN117439820A (zh) 2024-01-23
CN117439820B true CN117439820B (zh) 2024-03-19

Family

ID=89551970

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311754244.4A Active CN117439820B (zh) 2023-12-20 2023-12-20 一种动态调整门限的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN117439820B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN109818798A (zh) * 2019-02-19 2019-05-28 上海海事大学 一种融合kpca和elm的无线传感器网络入侵检测系统及方法
CN114201374A (zh) * 2021-12-07 2022-03-18 华融融通(北京)科技有限公司 基于混合机器学习的运维时序数据异常检测方法及系统
CN116150747A (zh) * 2023-03-07 2023-05-23 国网新疆电力有限公司电力科学研究院 基于cnn和sltm的入侵检测方法及装置
CN116248530A (zh) * 2022-12-12 2023-06-09 国家电网有限公司客户服务中心 一种基于长短时神经网络的加密流量识别方法
CN116743493A (zh) * 2023-07-26 2023-09-12 中国联合网络通信集团有限公司 网络入侵检测模型构建方法及网络入侵检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN109818798A (zh) * 2019-02-19 2019-05-28 上海海事大学 一种融合kpca和elm的无线传感器网络入侵检测系统及方法
CN114201374A (zh) * 2021-12-07 2022-03-18 华融融通(北京)科技有限公司 基于混合机器学习的运维时序数据异常检测方法及系统
CN116248530A (zh) * 2022-12-12 2023-06-09 国家电网有限公司客户服务中心 一种基于长短时神经网络的加密流量识别方法
CN116150747A (zh) * 2023-03-07 2023-05-23 国网新疆电力有限公司电力科学研究院 基于cnn和sltm的入侵检测方法及装置
CN116743493A (zh) * 2023-07-26 2023-09-12 中国联合网络通信集团有限公司 网络入侵检测模型构建方法及网络入侵检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于PCA和极限梯度提升的Web后门型漏洞检测研究;李永刚潘善民;《第38次全国计算机安全学术交流会论文集》;20231012;全文 *

Also Published As

Publication number Publication date
CN117439820A (zh) 2024-01-23

Similar Documents

Publication Publication Date Title
CN112257063B (zh) 一种基于合作博弈论的联邦学习中后门攻击的检测方法
CN107483455B (zh) 一种基于流的网络节点异常检测方法和系统
CN113079143A (zh) 一种基于流数据的异常检测方法及系统
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN110909811A (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
Ye et al. EWMA forecast of normal system activity for computer intrusion detection
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN111782484B (zh) 一种异常检测方法及装置
CN109784668B (zh) 一种用于电力监控系统异常行为检测的样本特征降维处理方法
CN111669385B (zh) 融合深度神经网络和层级注意力机制的恶意流量监测系统
CN114785563B (zh) 一种软投票策略的加密恶意流量检测方法
CN112738014A (zh) 一种基于卷积时序网络的工控流量异常检测方法及系统
CN114528547B (zh) 基于社区特征选择的icps无监督在线攻击检测方法和设备
CN112788007A (zh) 基于卷积神经网络的DDoS攻击检测方法
CN114330487A (zh) 一种基于bipmu的无线网络网络安全态势评估方法
CN118041661A (zh) 基于深度学习的异常网络流量监测方法、装置、设备及可读存储介质
Tavallaee et al. A novel covariance matrix based approach for detecting network anomalies
CN117439820B (zh) 一种动态调整门限的网络入侵检测方法
CN111784404A (zh) 一种基于行为变量预测的异常资产识别方法
Sheng et al. How to fingerprint attack traffic against industrial control system network
CN115841338A (zh) 确定异常用电行为的方法及装置、非易失性存储介质
CN114553473A (zh) 一种基于登录ip和登陆时间的异常登陆行为检测系统和方法
Warzyński et al. Excess-Mass and Mass-Volume anomaly detection algorithms applicability in unsupervised intrusion detection systems
Kaaniche et al. Efficient hybrid model for intrusion detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant