CN102457525A - 一种基于负荷的异常入侵检测方法及*** - Google Patents
一种基于负荷的异常入侵检测方法及*** Download PDFInfo
- Publication number
- CN102457525A CN102457525A CN2011104246134A CN201110424613A CN102457525A CN 102457525 A CN102457525 A CN 102457525A CN 2011104246134 A CN2011104246134 A CN 2011104246134A CN 201110424613 A CN201110424613 A CN 201110424613A CN 102457525 A CN102457525 A CN 102457525A
- Authority
- CN
- China
- Prior art keywords
- feature
- packet
- load
- piecemeal
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于负荷的异常入侵检测方法,属于计算网络安全技术领域。本发明在进行异常入侵检测时,先利用CPP算法对待检测数据包负荷进行分块,然后仅对前N块数据进行特征提取,从而减小了数据处理量,提高检测速度,对高速网络的监视有更好的适应性。本发明进一步地采用多分类器***构建正常通信轮廓,提高了检测的准确率。本发明还公开了一种基于负荷的异常入侵检测***,包括基于CPP的负荷分块模块、特征提取模块、检测模块和响应模块。相比现有技术,本发明可实现高速网络的异常入侵快速检测。
Description
技术领域
本发明涉及一种异常入侵检测方法,尤其涉及一种基于负荷的异常入侵检测方法及***,属于计算网络安全技术领域。
背景技术
近年来,随着计算机技术的不断发展,网络规模的不断扩大,入侵行为己经越来越严重的威胁到了计算机***和网络的安全。入侵就是未经授权蓄意尝试访问信息、篡改信息,使***不可靠或不能使用。由于入侵方式越来越多样化,手段越来越先进,传统的静态安全技术如:防火墙、数据加密技术等,己经无法满足***和网络的安全性需求。
入侵检测技术作为一种重要的动态安全技术,很好地弥补了静态安全技术的不足。入侵检测技术主要分为两类:误用入侵检测和异常入侵检测。误用入侵检测是指利用已知***和应用软件的弱点攻击模式来检测入侵。由于该技术主要是依赖于已知的***缺陷和入侵,所以可以准确的检测到已知的入侵,但无法检测到***未知的攻击行为。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为。该方法可以检测未知的入侵行为,但是由于描述的可接受行为特征可能与实际情况偏差较大导致检测的准确性不高。
在异常入侵检测中,有研究表明误警率过高是其真正的限制因素。基于负荷的异常入侵检测***能够精确地检测将恶意数据保存在数据包负荷中的网络攻击,但是在使用网络数据包的负荷来进行异常检测时,通常面临一个问题:即有时网络数据包的负荷很大,如端口21和端口80上的网络数据包的负荷。如果使用网络数据包100%的负荷来进行建模,则所得到的异常入侵检测***就很难适用于监视高速网络。
基于负荷的异常入侵检测是近年发展起来的一种新的入侵检测方法,目前已经取得了一定的进展。Wang和Stolfo等提出了基于负荷的网络异常入侵检测***PAYL,PAYL计算(的一种,个连续的字节,在时即为)在负荷中的发生频率,以此为特征,对每一个不同长度的数据包建立一个正常通信行为轮廓。PAYL的正常通信轮廓是的发生频率均值和标准差,进行检测时,若待检测数据包的简单马氏距离超出一定门限,则就判定该数据包异常。PAYL能够有效的检测各种攻击。Perdisci,Lee等人提出了一个使用多分类器***提高基于有效负荷的异常检测***检测率的方案(McPAD)。McPAD使用MCS(Multiple Classifier System,多分类器***)来提高基于有效负荷的异常检测的检测率,其采用多个单类分类器来构建正常通信轮廓,以提高检测准确率。在检测时,通过特征提取,得到在不同特征空间上对同一个数据包的描述,然后把每一个特征空间作为相应的代表正常通信轮廓的单类分类器的输入,来对数据包进行分类。最后综合多个单类分类器的输出,对数据包异常与否做出最终判定。实验结果表明,McPAD在检测将恶意数据保存在数据包负荷中的网络攻击时,能够在较低的误警率下得到很高的检测率;而且,在检测诸如多态混合攻击这样的高级攻击时,McPAD也能在相对较低的误警率下,得到较高的检测率。Zhang等提出使用降噪模糊支持向量机(noise against fuzzy support vector machine)来改进PAYL和McPAD,其主要解决McPAD等在检测多态混合攻击时准确率较低的问题,借助于降噪模糊支持向量机获得了更好的检测效果。但是,上述基于负荷的异常检测***在监视高速、高带宽的网络时,在数据包负荷较大的情况下不能有效地进行检测。
发明内容
本发明所要解决的技术问题在于克服现有基于负荷的异常入侵检测方法难以对高速网络中的数据包进行快速检测的不足,提供一种基于负荷的异常入侵检测方法,可以在保证检测准确率的前提下,对高速网络中的数据包进行快速检测。
本发明具体采用以下技术方案解决上述技术问题:
一种基于负荷的异常入侵检测方法,包括以下步骤:
步骤A、预先训练得到正常通信轮廓;
步骤B、对待检测数据包进行特征提取;
步骤C、利用正常通信轮廓,根据待检测数据包的特征进行检测,判断待检测数据包是否为异常数据包;
在训练得到正常通信轮廓时,首先利用CPP算法对训练数据包进行分块;然后仅对分块后的前N块进行特征提取;然后根据提取出的特征样本,训练得到正常通信轮廓;
在对待检测数据包进行特征提取前,先利用CPP算法对待检测数据包进行分块,然后仅使用分块后的前N块来提取特征;
其中,N为小于数据包分块总数的整数。
进一步地,所述特征提取采用方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间中训练得到。
更进一步地,所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练。
优选地,所述在每一个簇内挑选距簇中心较近的特征样本,具体按照以下方法:判断该簇中的样本数是否大于一预先设定的阈值,如是,选择该簇中距离中心较近的前个样本;如否,则选择该簇中距离中心较近的前个样本;其中和均为预设的整数,且。
根据本发明的还可以得到一种基于负荷的异常入侵检测***,该***包括:
基于CPP的负荷分块模块,利用CPP算法对待检测数据包进行分块,然后将前N块数据交给特征提取模块处理,其中,N为小于数据包分块总数的整数;
特征提取模块,用于提取分块后的待检测数据包的前N块数据的特征,并将提取的特征发送给检测模块;所述特征提取采用方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;
检测模块,根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间上训练得到;所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练;
响应模块,用于对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,发出报警。
相比现有技术,本发明具有以下有益效果:
本发明由于采用了CPP算法对数据包进行分块,并且仅使用部分负荷进行检测,所以减少了数据处理量,提高检测速度,对高速网络的监视有更好的适应性;同时,由于采用多分类器***构建正常通信轮廓,提高了检测的准确率。
附图说明
图1为本发明的异常入侵检测***的结构示意图;
图2为CPP算法流程图;
图3为本发明中正常通信轮廓的构建原理图;
图4为改进的ISUC算法流程图。
具体实施方式
下面结合附图对本发明的技术方案进行详细说明:
本发明的基于负荷的异常入侵检测***,如图1所示,包括:
基于CPP的负荷分块模块,利用CPP算法对待检测数据包进行分块,然后将前N块数据交给特征提取模块处理,其中,N为小于数据包分块总数的整数;
特征提取模块,用于提取分块后的待检测数据包的前N块数据的特征,并将提取的特征发送给检测模块;所述特征提取采用方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;
检测模块,根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间上训练得到;所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练;
响应模块,用于对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,发出报警。
下面结合上述异常入侵检测***对本发明的异常检测方法进行进一步说明。
基于CPP的负荷分块模块:进行分块的目的是减少特征提取阶段所处理的数据量,将负荷分块后就可以只使用部分分块来提取特征。本发明采用CPP算法来对数据包进行分块。CPP算法为现有技术,详细内容可参考见文献(Athicha Muthitacharoen, Benjie Chen and David Mazieres. A low-bandwidth network file system. Symposium on Operating Systems Principles, 2001, 174-187.),其流程如图4所示。CPP根据负荷的内容来决定分块边界,它使用莱宾指纹(Rabin fingerprinting)来判定一个分块的结束;在一个长为字节的滑动窗口上,CPP计算一系列的莱宾指纹,它从有效负荷的前字节开始计算,然后向着负荷的尾部每次滑动一个字节,以计算后续的莱宾指纹。当的值等于预先设定的停止标准时,就判定当前分块结束,并开始下一分块的计算。这一过程可以描述如下,假设有一个字节序列,则对于一个长度为的子序列,它的莱宾指纹可由(1)式来计算:
其中的和都是常量,滑动窗口的长度需要通过实验寻找最优值,在本发明方法中,的值取32时,实验结果会较好。当的值在550~600(选取的停止标准)时,就结束当前的分块,然后开始一个新的分块;否则,就把当前的比特加入到当前分块,并把窗口向后滑动一个比特,来计算新的莱宾指纹。
特征提取模块:对从基于CPP的负荷分块模块获得的数据包的前块后,就进行特征提取,特征提取采用方法,方法计算负荷中相距为(=0, 1, 2, …)字节的字符对的发生频率,在不同值下得到的分布率,给出了关于一个数据包不同的结构信息,通过融合使用不同的值提取的信息,我们可以重构(或者部分重构)直接使用技术在时所提取的信息。对于一个固定的值,计算字母对的发生频率时,使用的是一个长度为的滑动窗口,但是并不关心首字节和尾字节之间的个字节的值,把这字节看成空白。假设有一个数据包负荷,这里是中位置处的字节值;则一个g,()在中的发生频率可以由(2)式来计算:
(3)式可以这样解释:在有效负荷中相距字节的字母对的发生频率,是以开始结尾的所有的的发生频率的和。根据值的不同,可以得到对一个数据包在不同的特征空间的描述;假设的取值分别为,则就得到在个特征空间上对数据包的描述,也就是得到在个特征空间中的特征。
检测模块:根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测。本发明的正常通信轮廓采用多分类器***。当融合的多个分类器是“多样化”的分类器时,多分类器***就能获得准确率的提高。一种产生多样化的方法是使多分类器***的每个分类器基于对模式在不同特征空间上的描述。本发明中得到对一个数据包在不同特征空间上的描述,即特征提取,是通过方法来实现的。在使用进行特征提取之后,根据值(假设有个不同的值)的不同,可以得到对同一个数据包进行描述的个不同的特征空间;在每一个特征空间上训练得到一个单类分类器,本具体实施方式中采用支持向量机(SVM),这样就得到个在不同特征空间上描述的正常通信轮廓,其原理如图3所示。其中多分类器中的每一个单类分类器由改进的ISUC算法训练得到。本发明对ISUC算法(参见文献李晓黎, 刘继敏, 史忠植. 基于支持向量机与无监督聚类相结合的中文网页分类器. 计算机学报, 2001, 24(1):62-68.)的改进主要有以下两个方面:(1)放弃使用两个分类器来进行检测,仅使用单类SVM来构建正常通信轮廓,这是因为异常入侵检测中较高的虚警率是不可接受的,因此放弃使用分类准确率较低的UC分类。(2)使用k-means、CURE、模糊K-均值等聚类算法对训练样本进行聚类,本具体实施方式中采用UC算法聚类;然后使用簇中心来对训练样本进行挑选,在每一个簇内挑选距簇中心较近的样本来训练单类SVM,挑选规则如下:选取距簇中心较近的样本进行训练;同时考虑簇的大小,并根据簇的大小,合理调整每个簇挑选出的样本数目,较大的簇选出较多的样本,而较小的簇挑选较少的样本。具体而言,就是在每一个簇内挑选距簇中心较近的特征样本时,按照以下方法:判断该簇中的样本数是否大于一预先设定的阈值,如是,选择该簇中距离中心较近的前个样本;如否,则选择该簇中距离中心较近的前个样本;其中和均为预设的整数,且。当然,也可以采用更简单的不考虑簇的大小,从每个簇中挑选相同数目的距簇中心较近的特征样本。如图4所示,本发明改进的ISUC算法流程如下:
Step2. 如果, 执行Step6, 其中为聚簇后的簇中心数目.
具体的检测过程为:将在不同值下提取的特征空间中的特征,交给正常通信轮廓中相应的单类SVM(即在不同特征空间上训练得到的正常通信轮廓)进行分类,最后融合多个单类分类器对数据包的分类结果做出数据包异常与否的最终判定。
响应模块:对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,并发出报警。
Claims (6)
1.一种基于负荷的异常入侵检测方法,包括以下步骤:步骤A、预先训练得到正常通信轮廓;步骤B、对待检测数据包进行特征提取;步骤C、利用正常通信轮廓,根据待检测数据包的特征进行检测,判断待检测数据包是否为异常数据包;其特征在于,
在训练得到正常通信轮廓时,首先利用CPP算法对训练数据包进行分块;然后仅对分块后的前N块进行特征提取;然后根据提取出的特征样本,训练得到正常通信轮廓;
在对待检测数据包进行特征提取前,先利用CPP算法对待检测数据包进行分块,然后仅使用分块后的前N块来提取特征;
其中,N为小于数据包分块总数的整数。
3.如权利要求2所述基于负荷的异常入侵检测方法,其特征在于,所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练。
5.如权利要求1-4任一项所述基于负荷的异常入侵检测方法,其特征在于,在利用CPP算法对数据包进行分块时,滑动窗口的长度取值为32。
6.一种基于负荷的异常入侵检测***,其特征在于,该***包括:
基于CPP的负荷分块模块,利用CPP算法对待检测数据包进行分块,然后将前N块数据交给特征提取模块处理,其中,N为小于数据包分块总数的整数;
特征提取模块,用于提取分块后的待检测数据包的前N块数据的特征,并将提取的特征发送给检测模块;所述特征提取采用方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;
检测模块,根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间上训练得到;所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练;
响应模块,用于对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,发出报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104246134A CN102457525A (zh) | 2011-12-19 | 2011-12-19 | 一种基于负荷的异常入侵检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104246134A CN102457525A (zh) | 2011-12-19 | 2011-12-19 | 一种基于负荷的异常入侵检测方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102457525A true CN102457525A (zh) | 2012-05-16 |
Family
ID=46040181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011104246134A Withdrawn CN102457525A (zh) | 2011-12-19 | 2011-12-19 | 一种基于负荷的异常入侵检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102457525A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103490992A (zh) * | 2013-10-10 | 2014-01-01 | 沈阳航空航天大学 | 即时通讯蠕虫检测方法 |
CN106452829A (zh) * | 2016-01-21 | 2017-02-22 | 华南师范大学 | 一种基于bcc‑knn的云计算中心智能运维方法及*** |
CN110351220A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于包过滤实现网闸高效数据扫描技术 |
CN111294362A (zh) * | 2020-03-16 | 2020-06-16 | 湖南大学 | 一种基于分形残差的LDoS攻击实时检测方法 |
CN112749035A (zh) * | 2019-10-31 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 异常检测方法、装置及计算机可读介质 |
CN113037553A (zh) * | 2021-03-11 | 2021-06-25 | 湖南大学 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和*** |
CN113516162A (zh) * | 2021-04-26 | 2021-10-19 | 湖南大学 | 一种基于OCSVM和K-means算法的工控***流量异常检测方法与*** |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101789885A (zh) * | 2009-01-23 | 2010-07-28 | 英业达股份有限公司 | 网络入侵检测*** |
CN102201948A (zh) * | 2011-05-27 | 2011-09-28 | 北方工业大学 | 用于网络入侵检测***的快速匹配方法 |
-
2011
- 2011-12-19 CN CN2011104246134A patent/CN102457525A/zh not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101789885A (zh) * | 2009-01-23 | 2010-07-28 | 英业达股份有限公司 | 网络入侵检测*** |
CN102201948A (zh) * | 2011-05-27 | 2011-09-28 | 北方工业大学 | 用于网络入侵检测***的快速匹配方法 |
Non-Patent Citations (2)
Title |
---|
ATHICHA MUTHITACHAROEN等: "A Low-bandwidth Network File System", 《SOSP "01 PROCEEDINGS OF THE EIGHTEENTH ACM SYMPOSIUM ON OPERATING SYSTEMS PRINCIPLES 》, 31 December 2001 (2001-12-31), pages 174 - 187 * |
ROBERTO PERDISCI等: "McPAD: A multiple classifier system for accurate payload-based anomaly detection", 《COMPUTER NETWORKS》, vol. 53, no. 6, 31 December 2009 (2009-12-31), pages 864 - 881 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103490992A (zh) * | 2013-10-10 | 2014-01-01 | 沈阳航空航天大学 | 即时通讯蠕虫检测方法 |
CN103490992B (zh) * | 2013-10-10 | 2016-10-19 | 沈阳航空航天大学 | 即时通讯蠕虫检测方法 |
CN106452829A (zh) * | 2016-01-21 | 2017-02-22 | 华南师范大学 | 一种基于bcc‑knn的云计算中心智能运维方法及*** |
CN106452829B (zh) * | 2016-01-21 | 2019-07-19 | 华南师范大学 | 一种基于bcc-knn的云计算中心智能运维方法及*** |
CN110351220A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于包过滤实现网闸高效数据扫描技术 |
CN112749035A (zh) * | 2019-10-31 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 异常检测方法、装置及计算机可读介质 |
CN112749035B (zh) * | 2019-10-31 | 2024-06-11 | 阿里巴巴集团控股有限公司 | 异常检测方法、装置及计算机可读介质 |
CN111294362A (zh) * | 2020-03-16 | 2020-06-16 | 湖南大学 | 一种基于分形残差的LDoS攻击实时检测方法 |
CN113037553A (zh) * | 2021-03-11 | 2021-06-25 | 湖南大学 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和*** |
CN113516162A (zh) * | 2021-04-26 | 2021-10-19 | 湖南大学 | 一种基于OCSVM和K-means算法的工控***流量异常检测方法与*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Meidan et al. | ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis | |
CN102457525A (zh) | 一种基于负荷的异常入侵检测方法及*** | |
CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及*** | |
Moustafa et al. | Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models | |
CN106899435B (zh) | 一种面向无线入侵检测***的复杂攻击识别方法 | |
CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
CN105553998A (zh) | 一种网络攻击异常检测方法 | |
Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
KR20170056045A (ko) | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
Qiu et al. | Multi-view convolutional neural network for data spoofing cyber-attack detection in distribution synchrophasors | |
KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
CN108322445A (zh) | 一种基于迁移学习和集成学习的网络入侵检测方法 | |
CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
Song et al. | Unsupervised anomaly detection based on clustering and multiple one-class SVM | |
Ghaleb et al. | Detecting bogus information attack in vehicular ad hoc network: a context-aware approach | |
Liu et al. | Data source authentication for wide-area synchrophasor measurements based on spatial signature extraction and quadratic kernel SVM | |
Maharaj et al. | A comparative analysis of different classification techniques for intrusion detection system | |
Mathiyalagan et al. | An efficient intrusion detection system using improved bias based convolutional neural network classifier | |
CN112235242A (zh) | 一种c&c信道检测方法及*** | |
Chahar et al. | Significance of hybrid feature selection technique for intrusion detection systems | |
Xiao et al. | An anomaly detection scheme based on machine learning for WSN | |
Wang | Research of intrusion detection based on an improved K-means algorithm | |
Schumacher et al. | One-Class Models for Intrusion Detection at ISP Customer Networks | |
Truong et al. | A data-driven approach for network intrusion detection and monitoring based on kernel null space |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20120516 |
|
WW01 | Invention patent application withdrawn after publication |