[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN112637104B - 异常流量检测方法和系统 - Google Patents

异常流量检测方法和系统 Download PDF

Info

Publication number
CN112637104B
CN112637104B CN201910902157.6A CN201910902157A CN112637104B CN 112637104 B CN112637104 B CN 112637104B CN 201910902157 A CN201910902157 A CN 201910902157A CN 112637104 B CN112637104 B CN 112637104B
Authority
CN
China
Prior art keywords
flow
interface
traffic
machine learning
learning model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910902157.6A
Other languages
English (en)
Other versions
CN112637104A (zh
Inventor
邓博仁
汪来富
刘东鑫
王帅
史国水
金华敏
王渭清
王爱宝
肖慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201910902157.6A priority Critical patent/CN112637104B/zh
Publication of CN112637104A publication Critical patent/CN112637104A/zh
Application granted granted Critical
Publication of CN112637104B publication Critical patent/CN112637104B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Medical Informatics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种异常流量检测方法和装置。异常流量检测装置采集指定接口的流量峰值数据;将接口的流量峰值数据转换为相对应的密度分布图;根据密度分布图确定相对应的接口流量特征向量;利用接口流量特征向量构建流量特征矩阵;将流量特征矩阵输入经过训练的机器学习模型,以识别出指定接口的异常流量。本公开能够提高异常流量分析检测效率,满足大流量场景下异常检测需求。

Description

异常流量检测方法和系统
技术领域
本公开涉及通信领域,特别涉及一种异常流量检测方法和系统。
背景技术
目前,网络黑色产业链渐成规模,通过利用僵尸网络、蠕虫病毒等技术针对企业实施的恶意攻击事件日益增多,层出不穷。
为了解决这一问题,目前通常采用异常流量检测技术以实现对入侵行为的识别。通过收集和分析网络行为以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
发明内容
发明人通过研究发现,随着企业互联网业务及网络规模的扩大,企业网络传输流量急剧增大,而现有的异常流量检测技术效率较低,难以在大流量场景下进行异常流量识别,从而导致检测恶意攻击行为的难度加大。
据此,本公开提供一种能够在大流量场景下满足异常流量识别和检测需求的的方案。
根据本公开实施例的第一方面,提供一种异常流量检测方法,包括:采集指定接口的流量峰值数据;将所述接口的流量峰值数据转换为相对应的密度分布图;根据所述密度分布图确定相对应的接口流量特征向量;利用所述接口流量特征向量构建流量特征矩阵;将所述流量特征矩阵输入经过训练的机器学习模型,以识别出所述指定接口的异常流量。
在一些实施例中,所述接口流量特征向量包括对应密度分布图中的波峰个数、波谷个数、n个最大值和n个最小值,其中n为预设的流量分析参数。
在一些实施例中,每个接口与预定协议相关联。
在一些实施例中,上述方法还包括:将所述用于训练的流量特征矩阵输入预设的机器学习模型,以得到输出结果;利用所述输出结果和所述用于训练的流量特征矩阵的标签计算相应的损失函数;利用所述损失函数对上述预设的机器学习模型的参数进行重复更新,直至所述损失函数小于预定阈值,从而得到所述经过训练的机器学习模型。
根据本公开实施例的第二方面,提供一种异常流量检测装置,包括:采集模块,被配置为采集指定接口的流量峰值数据;转换模块,被配置为将所述接口的流量峰值数据转换为相对应的密度分布图;特征向量生成模块,被配置为根据所述密度分布图确定相对应的接口流量特征向量;特征矩阵生成模块,被配置为利用所述接口流量特征向量构建流量特征矩阵;识别模块,被配置为将所述流量特征矩阵输入经过训练的机器学习模型,以识别出所述指定接口的异常流量。
在一些实施例中,所述接口流量特征向量包括对应密度分布图中的波峰个数、波谷个数、n个最大值和n个最小值,其中n为预设的流量分析参数。
在一些实施例中,每个接口与预定协议相关联。
在一些实施例中,上述装置还包括:训练模块,被配置为将所述用于训练的流量特征矩阵输入预设的机器学习模型,以得到输出结果,利用所述输出结果和所述用于训练的流量特征矩阵的标签计算相应的损失函数,利用所述损失函数对上述预设的机器学习模型的参数进行重复更新,直至所述损失函数小于预定阈值,从而得到所述经过训练的机器学习模型。
根据本公开实施例的第三方面,提供一种异常流量检测装置,包括:存储器,被配置为存储指令;处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是根据本公开一个实施例的异常流量检测方法的流程示意图;
图2是根据本公开一个实施例的异常流量检测装置的结构示意图;
图3是根据本公开另一个实施例的异常流量检测装置的结构示意图;
图4是根据本公开又一个实施例的异常流量检测装置的结构示意图;
图5是根据本公开一个实施例的异常流量检测示意图。
应当明白,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。此外,相同或类似的参考标号表示相同或类似的构件。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。对示例性实施例的描述仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。本公开可以以许多不同的形式实现,不限于这里所述的实施例。提供这些实施例是为了使本公开透彻且完整,并且向本领域技术人员充分表达本公开的范围。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、材料的组分和数值应被解释为仅仅是示例性的,而不是作为限制。
本公开中使用的“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素,并不排除也涵盖其他要素的可能。
本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同,除非另外特别定义。还应当理解,在诸如通用字典中定义的术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义,而不应用理想化或极度形式化的意义来解释,除非这里明确地这样定义。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
图1是根据本公开一个实施例的异常流量检测方法的流程示意图。在一些实施例中,下面的异常流量检测方法步骤由异常流量检测装置执行。
在步骤101,采集指定接口的流量峰值数据。
在一些实施例中,每个接口与预定协议相关联。例如HTTP(HyperText TransferProtocol,超文本传输协议)、DNS(Domain Name System,域名系统)、FTP(File TransferProtocol,文件传输协议)等。
例如,在有多个指定接口的情况下,采集并统计总流量和指定协议的流量峰值数据。
在步骤102,将流量峰值数据转换为相对应的密度分布图。
在步骤103,根据密度分布图确定相对应的接口流量特征向量。
在一些实施例中,接口流量特征向量包括对应密度分布图中的波峰个数、波谷个数、n个最大值T1、T2、…、Tn以及n个最小值B1、B2、…、Bn,其中n为预设的流量分析参数。
例如,若预设的流量分析参数n为3,波峰个数C为2,波谷个数V为1,则相应的最大值为T1、T2和T3,相应的最小值为B1、B2和B3。由流量特征值构成的特征向量为:
[2,1,T1,T2,T3,B1,B2,B3]
在步骤104,利用接口流量特征向量构建流量特征矩阵。
例如,若得到m个接口流量特征向量,其中第m个接口流量的特征向量为:
[Cm,Vm,Tm1,Tm2…Tmn,Bm1,Bm2…Bmn]
则利用m个接口流量特征向量所构建的流量特征矩阵为:
Figure BDA0002212158160000051
在步骤105,将流量特征矩阵输入经过训练的机器学习模型,以识别出指定接口的异常流量。
在一些实施例中,机器学习模型可为卷积神经网络或者其它适于进行相应处理的神经网络。
在一些实施例中,在对机器学习模型进行训练的过程中,将用于训练的流量特征矩阵输入预设的机器学习模型,以得到输出结果。利用输出结果和用于训练的流量特征矩阵的标签计算相应的损失函数。接下来,利用损失函数对上述预设的机器学习模型的参数进行重复更新,直至损失函数小于预定阈值,从而得到经过训练的机器学习模型。
例如,上述标签可包括:正常流量、特定协议流量异常(如HTTP流量异常、DNS流量异常、FTP流量异常等)、未知流量异常。
在机器学习模型完成训练后,将根据所采集的流量样本构建的流量特征矩阵输入到机器学习模型后,就能得到相应的输出结果。例如,正常流量、HTTP流量异常、DNS流量异常、FTP流量异常等、未知流量异常。
在本公开上述实施例提供的异常流量检测方法中,通过对一定的时间窗口内的流量密度进行建模分析,以提高隐蔽通道检测准确率;通过利用流量密度曲线特征作为描述流量模式的特征向量,结合机器学习模型实现对流量中的异常行为的检测,提高异常流量分析检测效率,满足大流量场景下异常检测需求。
图2是根据本公开一个实施例的异常流量检测装置的结构示意图。如图2所示,异常流量检测装置包括采集模块21、转换模块22、特征向量生成模块23、特征矩阵生成模块24和识别模块25。
采集模块21被配置为采集指定接口的流量峰值数据。
在一些实施例中,每个接口与预定协议相关联。例如HTTP、DNS、FTP等。
例如,在有多个指定接口的情况下,采集并统计总流量和指定协议的流量峰值数据。
转换模块22被配置为将接口的流量峰值数据转换为相对应的密度分布图。
特征向量生成模块23被配置为根据密度分布图确定相对应的接口流量特征向量。
在一些实施例中,接口流量特征向量包括对应密度分布图中的波峰个数、波谷个数、n个最大值T1、T2、…、Tn以及n个最小值B1、B2、…、Bn,其中n为预设的流量分析参数。
例如,若预设的流量分析参数n为3,波峰个数C为2,波谷个数V为1,则相应的最大值为T1、T2和T3,相应的最小值为B1、B2和B3。由流量特征值构成的特征向量为:
[2,1,T1,T2,T3,B1,B2,B3]
特征矩阵生成模块24被配置为利用接口流量特征向量构建流量特征矩阵。
例如,若得到m个接口流量特征向量,其中第m个接口流量的特征向量为:
[Cm,Vm,Tm1,Tm2…Tmn,Bm1,Bm2…Bmn]
则利用m个接口流量特征向量所构建的流量特征矩阵为:
Figure BDA0002212158160000061
识别模块25被配置为将流量特征矩阵输入经过训练的机器学习模型,以识别出指定接口的异常流量。
在本公开上述实施例提供的异常流量检测装置中,通过对一定的时间窗口内的流量密度进行建模分析,以提高隐蔽通道检测准确率;通过利用流量密度曲线特征作为描述流量模式的特征向量,结合机器学习模型实现对流量中的异常行为的检测,提高异常流量分析检测效率,满足大流量场景下异常检测需求。
图3是根据本公开另一个实施例的异常流量检测装置的结构示意图。图3与图2的不同之处在于,在图3所示实施例中,异常流量检测装置还包括训练模块26。
训练模块26被配置为将用于训练的流量特征矩阵输入预设的机器学习模型,以得到输出结果,利用输出结果和用于训练的流量特征矩阵的标签计算相应的损失函数,利用损失函数对上述预设的机器学习模型的参数进行重复更新,直至损失函数小于预定阈值,从而得到经过训练的机器学习模型。
例如,上述标签可包括:正常流量、特定协议流量异常(如HTTP流量异常、DNS流量异常、FTP流量异常等)、未知流量异常。
在机器学习模型完成训练后,将根据所采集的流量样本构建的流量特征矩阵输入到机器学习模型后,就能得到相应的输出结果。例如,正常流量、HTTP流量异常、DNS流量异常、FTP流量异常等、未知流量异常。
图4是根据本公开又一个实施例的异常流量检测装置的结构示意图。如图4所示,该系统包括存储器41和处理器42。
存储器41用于存储指令。处理器42耦合到存储器41。处理器42被配置为基于存储器存储的指令执行实现如图1中任一实施例涉及的方法。
如图4所示,该装置还包括通信接口43,用于与其它设备进行信息交互。同时,该装置还包括总线44,处理器42、通信接口43、以及存储器41通过总线44完成相互间的通信。
存储器41可以包含高速RAM(Random Access Memory,随机存取存储器),也可还包括NVM(Non-Volatile Memory,非易失性存储器)。例如至少一个磁盘存储器。存储器41也可以是存储器阵列。存储器41还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器42可以是一个中央处理器,或者可以是ASIC(Application SpecificIntegrated Circuit,专用集成电路),或者是被配置成实施本公开实施例的一个或多个集成电路。
本公开还提供一种计算机可读存储介质。计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1中任一实施例涉及的方法。
在一些实施例中,上述功能模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称:ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
图5是根据本公开一个实施例的异常流量检测示意图。
如图5所示,通过对所采集的流量进行分类,以分别计算HTTP、DNS、FTP等协议的流量密度图。接下来,根据所得到的流量密度图计算相应协议的流量特征向量。然后,利用所得到的流量特征向量生成流量特征矩阵。通过将流量特征矩阵输入经过训练的机器学习模型,以得到相应的异常流量检测结果。
至此,已经详细描述了本公开的实施例。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。

Claims (6)

1.一种异常流量检测方法,包括:
将用于训练的流量特征矩阵输入预设的机器学习模型,以得到输出结果;
利用所述输出结果和用于训练的流量特征矩阵的标签计算相应的损失函数;
利用所述损失函数对上述预设的机器学习模型的参数进行重复更新,直至所述损失函数小于预定阈值,从而得到经过训练的机器学习模型;
采集指定接口的流量峰值数据;
将所述接口的流量峰值数据转换为相对应的密度分布图;
根据所述密度分布图确定相对应的接口流量特征向量,其中所述接口流量特征向量包括对应密度分布图中的波峰个数、波谷个数、n个最大值和n个最小值,其中n为预设的流量分析参数;
利用所述接口流量特征向量构建流量特征矩阵;
将所述流量特征矩阵输入经过训练的机器学习模型,以识别出所述指定接口的异常流量。
2.根据权利要求1所述的方法,其中,
每个接口与预定协议相关联。
3.一种异常流量检测装置,包括:
训练模块,被配置为将用于训练的流量特征矩阵输入预设的机器学习模型,以得到输出结果,利用所述输出结果和用于训练的流量特征矩阵的标签计算相应的损失函数,利用所述损失函数对上述预设的机器学习模型的参数进行重复更新,直至所述损失函数小于预定阈值,从而得到经过训练的机器学习模型;
采集模块,被配置为采集指定接口的流量峰值数据;
转换模块,被配置为将所述接口的流量峰值数据转换为相对应的密度分布图;
特征向量生成模块,被配置为根据所述密度分布图确定相对应的接口流量特征向量,其中所述接口流量特征向量包括对应密度分布图中的波峰个数、波谷个数、n个最大值和n个最小值,其中n为预设的流量分析参数;
特征矩阵生成模块,被配置为利用所述接口流量特征向量构建流量特征矩阵;
识别模块,被配置为将所述流量特征矩阵输入经过训练的机器学习模型,以识别出所述指定接口的异常流量。
4.根据权利要求3所述的装置,其中,
每个接口与预定协议相关联。
5.一种异常流量检测装置,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求1-2中任一项所述的方法。
6.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-2中任一项所述的方法。
CN201910902157.6A 2019-09-24 2019-09-24 异常流量检测方法和系统 Active CN112637104B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910902157.6A CN112637104B (zh) 2019-09-24 2019-09-24 异常流量检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910902157.6A CN112637104B (zh) 2019-09-24 2019-09-24 异常流量检测方法和系统

Publications (2)

Publication Number Publication Date
CN112637104A CN112637104A (zh) 2021-04-09
CN112637104B true CN112637104B (zh) 2022-07-05

Family

ID=75282613

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910902157.6A Active CN112637104B (zh) 2019-09-24 2019-09-24 异常流量检测方法和系统

Country Status (1)

Country Link
CN (1) CN112637104B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208797A (zh) * 2022-09-16 2022-10-18 深圳行云创新科技有限公司 一种基于服务网格技术的接口流量检测方法
CN116723115B (zh) * 2023-08-08 2023-11-07 中国电信股份有限公司 流量异常处理方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108319981A (zh) * 2018-02-05 2018-07-24 清华大学 一种基于密度的时序数据异常检测方法及装置
WO2019012726A1 (en) * 2017-07-14 2019-01-17 Kabushiki Kaisha Toshiba ANOMALY DETECTION DEVICE, ANOMALY DETECTION METHOD, AND NON-TRANSIENT COMPUTER READABLE MEDIUM
CN109561052A (zh) * 2017-09-26 2019-04-02 北京国双科技有限公司 网站异常流量的检测方法及装置
CN110138787A (zh) * 2019-05-20 2019-08-16 福州大学 一种基于混合神经网络的异常流量检测方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019012726A1 (en) * 2017-07-14 2019-01-17 Kabushiki Kaisha Toshiba ANOMALY DETECTION DEVICE, ANOMALY DETECTION METHOD, AND NON-TRANSIENT COMPUTER READABLE MEDIUM
CN109561052A (zh) * 2017-09-26 2019-04-02 北京国双科技有限公司 网站异常流量的检测方法及装置
CN108319981A (zh) * 2018-02-05 2018-07-24 清华大学 一种基于密度的时序数据异常检测方法及装置
CN110138787A (zh) * 2019-05-20 2019-08-16 福州大学 一种基于混合神经网络的异常流量检测方法及系统

Also Published As

Publication number Publication date
CN112637104A (zh) 2021-04-09

Similar Documents

Publication Publication Date Title
US10848508B2 (en) Method and system for generating synthetic feature vectors from real, labelled feature vectors in artificial intelligence training of a big data machine to defend
CN103077347B (zh) 一种基于改进核心向量机数据融合的复合式入侵检测方法
Kukkala et al. Latte: L stm self-att ention based anomaly detection in e mbedded automotive platforms
CN108600212A (zh) 基于多维度可信特征的威胁情报可信性判别方法及装置
Anwar et al. A data-driven approach to distinguish cyber-attacks from physical faults in a smart grid
CN104113544B (zh) 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN113157771A (zh) 一种数据异常检测方法及电网数据异常检测方法
Shang et al. Modbus/TCP communication anomaly detection based on PSO-SVM
CN112637104B (zh) 异常流量检测方法和系统
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
Moore et al. Anomaly detection of cyber physical network data using 2D images
Arreche et al. Xai-ids: Toward proposing an explainable artificial intelligence framework for enhancing network intrusion detection systems
Kozik et al. Pattern extraction algorithm for NetFlow‐based botnet activities detection
Liu et al. Multi-step attack scenarios mining based on neural network and Bayesian network attack graph
Paul et al. An artificial neural network based anomaly detection method in can bus messages in vehicles
CN110097120A (zh) 网络流量数据分类方法、设备及计算机存储介质
KR101863569B1 (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치
KR101893029B1 (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치
Chen et al. AI-Based intrusion detection system for secure AI BOX applications
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN113572770B (zh) 检测域名生成算法生成的域名的方法及装置
Liang et al. Leveraging byte-level features for lstm-based anomaly detection in controller area networks
Ji et al. In-vehicle network injection attacks detection based on feature selection and classification
Grekov et al. Distributed Detection of Anomalies in the Network Flow Using Generative Adversarial Networks
Abou Jawdeh et al. Model-based deep learning for cyber-attack detection in electric drive systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant