CN102457525A - 一种基于负荷的异常入侵检测方法及*** - Google Patents

一种基于负荷的异常入侵检测方法及*** Download PDF

Info

Publication number
CN102457525A
CN102457525A CN2011104246134A CN201110424613A CN102457525A CN 102457525 A CN102457525 A CN 102457525A CN 2011104246134 A CN2011104246134 A CN 2011104246134A CN 201110424613 A CN201110424613 A CN 201110424613A CN 102457525 A CN102457525 A CN 102457525A
Authority
CN
China
Prior art keywords
feature
packet
load
piecemeal
cluster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN2011104246134A
Other languages
English (en)
Inventor
李继国
刘杭州
张亦辰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hohai University HHU
Original Assignee
Hohai University HHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hohai University HHU filed Critical Hohai University HHU
Priority to CN2011104246134A priority Critical patent/CN102457525A/zh
Publication of CN102457525A publication Critical patent/CN102457525A/zh
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于负荷的异常入侵检测方法,属于计算网络安全技术领域。本发明在进行异常入侵检测时,先利用CPP算法对待检测数据包负荷进行分块,然后仅对前N块数据进行特征提取,从而减小了数据处理量,提高检测速度,对高速网络的监视有更好的适应性。本发明进一步地采用多分类器***构建正常通信轮廓,提高了检测的准确率。本发明还公开了一种基于负荷的异常入侵检测***,包括基于CPP的负荷分块模块、特征提取模块、检测模块和响应模块。相比现有技术,本发明可实现高速网络的异常入侵快速检测。

Description

一种基于负荷的异常入侵检测方法及***
技术领域
本发明涉及一种异常入侵检测方法,尤其涉及一种基于负荷的异常入侵检测方法及***,属于计算网络安全技术领域。
背景技术
近年来,随着计算机技术的不断发展,网络规模的不断扩大,入侵行为己经越来越严重的威胁到了计算机***和网络的安全。入侵就是未经授权蓄意尝试访问信息、篡改信息,使***不可靠或不能使用。由于入侵方式越来越多样化,手段越来越先进,传统的静态安全技术如:防火墙、数据加密技术等,己经无法满足***和网络的安全性需求。
入侵检测技术作为一种重要的动态安全技术,很好地弥补了静态安全技术的不足。入侵检测技术主要分为两类:误用入侵检测和异常入侵检测。误用入侵检测是指利用已知***和应用软件的弱点攻击模式来检测入侵。由于该技术主要是依赖于已知的***缺陷和入侵,所以可以准确的检测到已知的入侵,但无法检测到***未知的攻击行为。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为。该方法可以检测未知的入侵行为,但是由于描述的可接受行为特征可能与实际情况偏差较大导致检测的准确性不高。
在异常入侵检测中,有研究表明误警率过高是其真正的限制因素。基于负荷的异常入侵检测***能够精确地检测将恶意数据保存在数据包负荷中的网络攻击,但是在使用网络数据包的负荷来进行异常检测时,通常面临一个问题:即有时网络数据包的负荷很大,如端口21和端口80上的网络数据包的负荷。如果使用网络数据包100%的负荷来进行建模,则所得到的异常入侵检测***就很难适用于监视高速网络。
基于负荷的异常入侵检测是近年发展起来的一种新的入侵检测方法,目前已经取得了一定的进展。Wang和Stolfo等提出了基于负荷的网络异常入侵检测***PAYL,PAYL计算
Figure 2011104246134100002DEST_PATH_IMAGE001
(
Figure 455142DEST_PATH_IMAGE002
的一种,
Figure 2011104246134100002DEST_PATH_IMAGE003
个连续的字节,在时即为)在负荷中的发生频率,以此为特征,对每一个不同长度的数据包建立一个正常通信行为轮廓。PAYL的正常通信轮廓是
Figure 703644DEST_PATH_IMAGE006
的发生频率均值和标准差,进行检测时,若待检测数据包的简单马氏距离超出一定门限,则就判定该数据包异常。PAYL能够有效的检测各种攻击。Perdisci,Lee等人提出了一个使用多分类器***提高基于有效负荷的异常检测***检测率的方案(McPAD)。McPAD使用MCS(Multiple Classifier System,多分类器***)来提高基于有效负荷的异常检测的检测率,其采用多个单类分类器来构建正常通信轮廓,以提高检测准确率。在检测时,通过特征提取,得到在不同特征空间上对同一个数据包的描述,然后把每一个特征空间作为相应的代表正常通信轮廓的单类分类器的输入,来对数据包进行分类。最后综合多个单类分类器的输出,对数据包异常与否做出最终判定。实验结果表明,McPAD在检测将恶意数据保存在数据包负荷中的网络攻击时,能够在较低的误警率下得到很高的检测率;而且,在检测诸如多态混合攻击这样的高级攻击时,McPAD也能在相对较低的误警率下,得到较高的检测率。Zhang等提出使用降噪模糊支持向量机(noise against fuzzy support vector machine)来改进PAYL和McPAD,其主要解决McPAD等在检测多态混合攻击时准确率较低的问题,借助于降噪模糊支持向量机获得了更好的检测效果。但是,上述基于负荷的异常检测***在监视高速、高带宽的网络时,在数据包负荷较大的情况下不能有效地进行检测。
发明内容
本发明所要解决的技术问题在于克服现有基于负荷的异常入侵检测方法难以对高速网络中的数据包进行快速检测的不足,提供一种基于负荷的异常入侵检测方法,可以在保证检测准确率的前提下,对高速网络中的数据包进行快速检测。
本发明具体采用以下技术方案解决上述技术问题:
一种基于负荷的异常入侵检测方法,包括以下步骤:
步骤A、预先训练得到正常通信轮廓;
步骤B、对待检测数据包进行特征提取;
步骤C、利用正常通信轮廓,根据待检测数据包的特征进行检测,判断待检测数据包是否为异常数据包;
在训练得到正常通信轮廓时,首先利用CPP算法对训练数据包进行分块;然后仅对分块后的前N块进行特征提取;然后根据提取出的特征样本,训练得到正常通信轮廓;
在对待检测数据包进行特征提取前,先利用CPP算法对待检测数据包进行分块,然后仅使用分块后的前N块来提取特征;
其中,N为小于数据包分块总数的整数。
进一步地,所述特征提取采用方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间中训练得到。
更进一步地,所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练。
优选地,所述在每一个簇内挑选距簇中心较近的特征样本,具体按照以下方法:判断该簇中的样本数是否大于一预先设定的阈值,如是,选择该簇中距离中心较近的前
Figure 561748DEST_PATH_IMAGE008
个样本;如否,则选择该簇中距离中心较近的前
Figure 2011104246134100002DEST_PATH_IMAGE009
个样本;其中
Figure 46824DEST_PATH_IMAGE008
Figure 995189DEST_PATH_IMAGE009
均为预设的整数,且
根据本发明的还可以得到一种基于负荷的异常入侵检测***,该***包括:
基于CPP的负荷分块模块,利用CPP算法对待检测数据包进行分块,然后将前N块数据交给特征提取模块处理,其中,N为小于数据包分块总数的整数;
特征提取模块,用于提取分块后的待检测数据包的前N块数据的特征,并将提取的特征发送给检测模块;所述特征提取采用
Figure 934643DEST_PATH_IMAGE007
方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;
检测模块,根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间上训练得到;所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练;
响应模块,用于对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,发出报警。
相比现有技术,本发明具有以下有益效果:
本发明由于采用了CPP算法对数据包进行分块,并且仅使用部分负荷进行检测,所以减少了数据处理量,提高检测速度,对高速网络的监视有更好的适应性;同时,由于采用多分类器***构建正常通信轮廓,提高了检测的准确率。
附图说明
图1为本发明的异常入侵检测***的结构示意图;
图2为CPP算法流程图;
图3为本发明中正常通信轮廓的构建原理图;
图4为改进的ISUC算法流程图。
具体实施方式
下面结合附图对本发明的技术方案进行详细说明:
本发明的基于负荷的异常入侵检测***,如图1所示,包括:
基于CPP的负荷分块模块,利用CPP算法对待检测数据包进行分块,然后将前N块数据交给特征提取模块处理,其中,N为小于数据包分块总数的整数;
特征提取模块,用于提取分块后的待检测数据包的前N块数据的特征,并将提取的特征发送给检测模块;所述特征提取采用方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;
检测模块,根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间上训练得到;所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练;
响应模块,用于对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,发出报警。
     下面结合上述异常入侵检测***对本发明的异常检测方法进行进一步说明。
  基于CPP的负荷分块模块:进行分块的目的是减少特征提取阶段所处理的数据量,将负荷分块后就可以只使用部分分块来提取特征。本发明采用CPP算法来对数据包进行分块。CPP算法为现有技术,详细内容可参考见文献(Athicha Muthitacharoen, Benjie Chen and David Mazieres. A low-bandwidth network file system. Symposium on Operating Systems Principles, 2001, 174-187.),其流程如图4所示。CPP根据负荷的内容来决定分块边界,它使用莱宾指纹(Rabin fingerprinting)来判定一个分块的结束;在一个长为
Figure 2011104246134100002DEST_PATH_IMAGE011
字节的滑动窗口上,CPP计算一系列的莱宾指纹
Figure 196921DEST_PATH_IMAGE012
,它从有效负荷的前
Figure 148827DEST_PATH_IMAGE011
字节开始计算,然后向着负荷的尾部每次滑动一个字节,以计算后续的莱宾指纹。当
Figure 43840DEST_PATH_IMAGE012
的值等于预先设定的停止标准
Figure 2011104246134100002DEST_PATH_IMAGE013
时,就判定当前分块结束,并开始下一分块的计算。这一过程可以描述如下,假设有一个字节序列
Figure 916725DEST_PATH_IMAGE014
,则对于一个长度为的子序列
Figure 715048DEST_PATH_IMAGE016
,它的莱宾指纹可由(1)式来计算:
Figure 398708DEST_PATH_IMAGE018
                   (1)
其中的
Figure 2011104246134100002DEST_PATH_IMAGE019
Figure 781016DEST_PATH_IMAGE020
都是常量,滑动窗口的长度需要通过实验寻找最优值,在本发明方法中,
Figure 549569DEST_PATH_IMAGE011
的值取32时,实验结果会较好。当
Figure 2011104246134100002DEST_PATH_IMAGE021
的值在550~600(选取的停止标准
Figure 365251DEST_PATH_IMAGE013
)时,就结束当前的分块,然后开始一个新的分块;否则,就把当前的比特加入到当前分块,并把窗口向后滑动一个比特,来计算新的莱宾指纹。
特征提取模块:对从基于CPP的负荷分块模块获得的数据包的前
Figure 595375DEST_PATH_IMAGE022
块后,就进行特征提取,特征提取采用
Figure 2011104246134100002DEST_PATH_IMAGE023
方法,
Figure 764057DEST_PATH_IMAGE023
方法计算负荷中相距为
Figure 396027DEST_PATH_IMAGE024
(=0, 1, 2, …)字节的字符对的发生频率,在不同
Figure 359172DEST_PATH_IMAGE024
值下得到的
Figure 342172DEST_PATH_IMAGE026
分布率,给出了关于一个数据包不同的结构信息,通过融合使用不同的
Figure 675064DEST_PATH_IMAGE025
值提取的信息,我们可以重构(或者部分重构)直接使用
Figure DEST_PATH_IMAGE027
技术在
Figure 535442DEST_PATH_IMAGE028
时所提取的信息。对于一个固定的
Figure 561167DEST_PATH_IMAGE025
值,
Figure 264418DEST_PATH_IMAGE023
计算字母对的发生频率时,使用的是一个长度为
Figure DEST_PATH_IMAGE029
的滑动窗口,但是并不关心首字节和尾字节之间的
Figure 276368DEST_PATH_IMAGE025
个字节的值,把这
Figure 115885DEST_PATH_IMAGE025
字节看成空白。假设有一个数据包负荷
Figure 312512DEST_PATH_IMAGE030
,这里
Figure DEST_PATH_IMAGE031
Figure 942207DEST_PATH_IMAGE032
中位置
Figure DEST_PATH_IMAGE033
处的字节值;则一个g,
Figure 451872DEST_PATH_IMAGE034
(
Figure DEST_PATH_IMAGE035
)在
Figure 193301DEST_PATH_IMAGE032
中的发生频率可以由(2)式来计算:
Figure 107030DEST_PATH_IMAGE036
                        (2)
Figure DEST_PATH_IMAGE037
Figure 959317DEST_PATH_IMAGE032
中的出现次数,由长度为
Figure 540471DEST_PATH_IMAGE011
的滑动窗口来计算;
Figure 311856DEST_PATH_IMAGE038
是窗口在
Figure 916144DEST_PATH_IMAGE032
上总共滑行的次数,可以看作是对概率
Figure 368860DEST_PATH_IMAGE040
(在
Figure 804520DEST_PATH_IMAGE032
中找到
Figure 248271DEST_PATH_IMAGE037
的概率)的估计;这样,
Figure 402172DEST_PATH_IMAGE023
Figure DEST_PATH_IMAGE041
的发生频率就可以由(3)式来计算:
Figure DEST_PATH_IMAGE043
                    (3)
(3)式可以这样解释:在有效负荷中相距字节的字母对
Figure 322647DEST_PATH_IMAGE041
的发生频率,是以开始
Figure DEST_PATH_IMAGE045
结尾的所有的
Figure 952397DEST_PATH_IMAGE046
的发生频率的和。根据
Figure 310697DEST_PATH_IMAGE025
值的不同,可以得到对一个数据包在不同的特征空间的描述;假设
Figure 720950DEST_PATH_IMAGE025
的取值分别为
Figure DEST_PATH_IMAGE047
,则就得到在
Figure 880405DEST_PATH_IMAGE048
个特征空间上对数据包的描述,也就是得到在
Figure 743319DEST_PATH_IMAGE048
个特征空间中的特征。
 检测模块:根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测。本发明的正常通信轮廓采用多分类器***。当融合的多个分类器是“多样化”的分类器时,多分类器***就能获得准确率的提高。一种产生多样化的方法是使多分类器***的每个分类器基于对模式在不同特征空间上的描述。本发明中得到对一个数据包在不同特征空间上的描述,即特征提取,是通过
Figure DEST_PATH_IMAGE049
方法来实现的。在使用
Figure 279211DEST_PATH_IMAGE023
进行特征提取之后,根据
Figure 941309DEST_PATH_IMAGE025
值(假设有
Figure 163343DEST_PATH_IMAGE050
个不同的值)的不同,可以得到对同一个数据包进行描述的个不同的特征空间;在每一个特征空间上训练得到一个单类分类器,本具体实施方式中采用支持向量机(SVM),这样就得到个在不同特征空间上描述的正常通信轮廓,其原理如图3所示。其中多分类器中的每一个单类分类器由改进的ISUC算法训练得到。本发明对ISUC算法(参见文献李晓黎, 刘继敏, 史忠植. 基于支持向量机与无监督聚类相结合的中文网页分类器. 计算机学报, 2001, 24(1):62-68.)的改进主要有以下两个方面:(1)放弃使用两个分类器来进行检测,仅使用单类SVM来构建正常通信轮廓,这是因为异常入侵检测中较高的虚警率是不可接受的,因此放弃使用分类准确率较低的UC分类。(2)使用k-means、CURE、模糊K-均值等聚类算法对训练样本进行聚类,本具体实施方式中采用UC算法聚类;然后使用簇中心来对训练样本进行挑选,在每一个簇内挑选距簇中心较近的样本来训练单类SVM,挑选规则如下:
Figure DEST_PATH_IMAGE051
选取距簇中心较近的样本进行训练;同时考虑簇的大小,并根据簇的大小,合理调整每个簇挑选出的样本数目,较大的簇选出较多的样本,而较小的簇挑选较少的样本。具体而言,就是在每一个簇内挑选距簇中心较近的特征样本时,按照以下方法:判断该簇中的样本数是否大于一预先设定的阈值,如是,选择该簇中距离中心较近的前
Figure 473659DEST_PATH_IMAGE008
个样本;如否,则选择该簇中距离中心较近的前
Figure 311165DEST_PATH_IMAGE009
个样本;其中
Figure 814959DEST_PATH_IMAGE008
均为预设的整数,且
Figure 851103DEST_PATH_IMAGE010
。当然,也可以采用更简单的不考虑簇的大小,从每个簇中挑选相同数目的距簇中心较近的特征样本。如图4所示,本发明改进的ISUC算法流程如下:
Step1.,
Figure 113588DEST_PATH_IMAGE054
.
Step2. 如果, 执行Step6, 其中为聚簇后的簇中心数目.
Step3. 在簇
Figure DEST_PATH_IMAGE057
中寻找据簇中心
Figure 59471DEST_PATH_IMAGE058
较近的所有样本
Figure DEST_PATH_IMAGE059
, 如果簇的样本数大于
Figure 278411DEST_PATH_IMAGE020
(指定的判断较大簇的标准), 则判断样本距
Figure 888122DEST_PATH_IMAGE058
较近的标准为
Figure DEST_PATH_IMAGE061
, 否则,判断标准为
Figure 774169DEST_PATH_IMAGE062
, 其中
Figure 679808DEST_PATH_IMAGE010
.
Step4.
Figure DEST_PATH_IMAGE063
.
Step5.
Figure 87525DEST_PATH_IMAGE064
, 执行Step2.
Step6. 用挑选的样本集
Figure DEST_PATH_IMAGE065
训练得到最终的单类SVM.
具体的检测过程为:将在不同
Figure 907451DEST_PATH_IMAGE024
值下提取的特征空间中的特征,交给正常通信轮廓中相应的单类SVM(即在不同特征空间上训练得到的正常通信轮廓)进行分类,最后融合多个单类分类器对数据包的分类结果做出数据包异常与否的最终判定。
响应模块:对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,并发出报警。

Claims (6)

1.一种基于负荷的异常入侵检测方法,包括以下步骤:步骤A、预先训练得到正常通信轮廓;步骤B、对待检测数据包进行特征提取;步骤C、利用正常通信轮廓,根据待检测数据包的特征进行检测,判断待检测数据包是否为异常数据包;其特征在于,
在训练得到正常通信轮廓时,首先利用CPP算法对训练数据包进行分块;然后仅对分块后的前N块进行特征提取;然后根据提取出的特征样本,训练得到正常通信轮廓;
在对待检测数据包进行特征提取前,先利用CPP算法对待检测数据包进行分块,然后仅使用分块后的前N块来提取特征;
其中,N为小于数据包分块总数的整数。
2.如权利要求1所述基于负荷的异常入侵检测方法,其特征在于,所述特征提取采用
Figure 2011104246134100001DEST_PATH_IMAGE002
方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间中训练得到。
3.如权利要求2所述基于负荷的异常入侵检测方法,其特征在于,所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练。
4.如权利要求3所述基于负荷的异常入侵检测方法,其特征在于,所述在每一个簇内挑选距簇中心较近的特征样本,具体按照以下方法:判断该簇中的样本数是否大于一预先设定的阈值,如是,选择该簇中距离中心较近的前个样本;如否,则选择该簇中距离中心较近的前
Figure 2011104246134100001DEST_PATH_IMAGE006
个样本;其中
Figure 264658DEST_PATH_IMAGE004
Figure 341199DEST_PATH_IMAGE006
均为预设的整数,且
Figure 2011104246134100001DEST_PATH_IMAGE008
5.如权利要求1-4任一项所述基于负荷的异常入侵检测方法,其特征在于,在利用CPP算法对数据包进行分块时,滑动窗口的长度取值为32。
6.一种基于负荷的异常入侵检测***,其特征在于,该***包括:
基于CPP的负荷分块模块,利用CPP算法对待检测数据包进行分块,然后将前N块数据交给特征提取模块处理,其中,N为小于数据包分块总数的整数;
特征提取模块,用于提取分块后的待检测数据包的前N块数据的特征,并将提取的特征发送给检测模块;所述特征提取采用
Figure 298528DEST_PATH_IMAGE002
方法,具体为:按照一组变化的整数v值,计算在数据包负荷中相距v字节的字符对的发生频率,得到该数据包在多个特征空间的特征,一个v值对应一个特征空间;
检测模块,根据特征提取模块提取的特征,利用预先训练得到的正常通信行为轮廓来对待检测数据包进行分类,如果将待检测数据包分类为异常,则把该数据包发送给响应模块处理;否则,进行下一个数据包的检测;所述正常通信轮廓由多个与所述特征空间一一对应的单类分类器构成,每个单类分类器均通过在其所对应的特征空间上训练得到;所述单类分类器具体按照以下方法训练得到:首先对从该单类分类器所对应的特征空间中提取的特征样本进行聚类;然后在每一个簇内挑选距簇中心较近的特征样本;以挑选出的特征样本为训练样本集对该单类分类器进行训练;
响应模块,用于对检测模块判定为异常的数据包做出响应,记录数据包的相应信息,发出报警。
CN2011104246134A 2011-12-19 2011-12-19 一种基于负荷的异常入侵检测方法及*** Withdrawn CN102457525A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2011104246134A CN102457525A (zh) 2011-12-19 2011-12-19 一种基于负荷的异常入侵检测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2011104246134A CN102457525A (zh) 2011-12-19 2011-12-19 一种基于负荷的异常入侵检测方法及***

Publications (1)

Publication Number Publication Date
CN102457525A true CN102457525A (zh) 2012-05-16

Family

ID=46040181

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2011104246134A Withdrawn CN102457525A (zh) 2011-12-19 2011-12-19 一种基于负荷的异常入侵检测方法及***

Country Status (1)

Country Link
CN (1) CN102457525A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103490992A (zh) * 2013-10-10 2014-01-01 沈阳航空航天大学 即时通讯蠕虫检测方法
CN106452829A (zh) * 2016-01-21 2017-02-22 华南师范大学 一种基于bcc‑knn的云计算中心智能运维方法及***
CN110351220A (zh) * 2018-04-02 2019-10-18 蓝盾信息安全技术有限公司 一种基于包过滤实现网闸高效数据扫描技术
CN111294362A (zh) * 2020-03-16 2020-06-16 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN112749035A (zh) * 2019-10-31 2021-05-04 阿里巴巴集团控股有限公司 异常检测方法、装置及计算机可读介质
CN113037553A (zh) * 2021-03-11 2021-06-25 湖南大学 一种基于ia-svm的iec102协议通讯行为异常检测方法和***
CN113516162A (zh) * 2021-04-26 2021-10-19 湖南大学 一种基于OCSVM和K-means算法的工控***流量异常检测方法与***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789885A (zh) * 2009-01-23 2010-07-28 英业达股份有限公司 网络入侵检测***
CN102201948A (zh) * 2011-05-27 2011-09-28 北方工业大学 用于网络入侵检测***的快速匹配方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789885A (zh) * 2009-01-23 2010-07-28 英业达股份有限公司 网络入侵检测***
CN102201948A (zh) * 2011-05-27 2011-09-28 北方工业大学 用于网络入侵检测***的快速匹配方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ATHICHA MUTHITACHAROEN等: "A Low-bandwidth Network File System", 《SOSP "01 PROCEEDINGS OF THE EIGHTEENTH ACM SYMPOSIUM ON OPERATING SYSTEMS PRINCIPLES 》, 31 December 2001 (2001-12-31), pages 174 - 187 *
ROBERTO PERDISCI等: "McPAD: A multiple classifier system for accurate payload-based anomaly detection", 《COMPUTER NETWORKS》, vol. 53, no. 6, 31 December 2009 (2009-12-31), pages 864 - 881 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103490992A (zh) * 2013-10-10 2014-01-01 沈阳航空航天大学 即时通讯蠕虫检测方法
CN103490992B (zh) * 2013-10-10 2016-10-19 沈阳航空航天大学 即时通讯蠕虫检测方法
CN106452829A (zh) * 2016-01-21 2017-02-22 华南师范大学 一种基于bcc‑knn的云计算中心智能运维方法及***
CN106452829B (zh) * 2016-01-21 2019-07-19 华南师范大学 一种基于bcc-knn的云计算中心智能运维方法及***
CN110351220A (zh) * 2018-04-02 2019-10-18 蓝盾信息安全技术有限公司 一种基于包过滤实现网闸高效数据扫描技术
CN112749035A (zh) * 2019-10-31 2021-05-04 阿里巴巴集团控股有限公司 异常检测方法、装置及计算机可读介质
CN112749035B (zh) * 2019-10-31 2024-06-11 阿里巴巴集团控股有限公司 异常检测方法、装置及计算机可读介质
CN111294362A (zh) * 2020-03-16 2020-06-16 湖南大学 一种基于分形残差的LDoS攻击实时检测方法
CN113037553A (zh) * 2021-03-11 2021-06-25 湖南大学 一种基于ia-svm的iec102协议通讯行为异常检测方法和***
CN113516162A (zh) * 2021-04-26 2021-10-19 湖南大学 一种基于OCSVM和K-means算法的工控***流量异常检测方法与***

Similar Documents

Publication Publication Date Title
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
CN102457525A (zh) 一种基于负荷的异常入侵检测方法及***
CN107231384B (zh) 一种面向5g网络切片的DDoS攻击检测防御方法及***
Moustafa et al. Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models
CN106899435B (zh) 一种面向无线入侵检测***的复杂攻击识别方法
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
US7962611B2 (en) Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
CN105553998A (zh) 一种网络攻击异常检测方法
Jalili et al. Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks
KR20170056045A (ko) 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치
Qiu et al. Multi-view convolutional neural network for data spoofing cyber-attack detection in distribution synchrophasors
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN108322445A (zh) 一种基于迁移学习和集成学习的网络入侵检测方法
CN108632269A (zh) 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
Song et al. Unsupervised anomaly detection based on clustering and multiple one-class SVM
Ghaleb et al. Detecting bogus information attack in vehicular ad hoc network: a context-aware approach
Liu et al. Data source authentication for wide-area synchrophasor measurements based on spatial signature extraction and quadratic kernel SVM
Maharaj et al. A comparative analysis of different classification techniques for intrusion detection system
Mathiyalagan et al. An efficient intrusion detection system using improved bias based convolutional neural network classifier
CN112235242A (zh) 一种c&c信道检测方法及***
Chahar et al. Significance of hybrid feature selection technique for intrusion detection systems
Xiao et al. An anomaly detection scheme based on machine learning for WSN
Wang Research of intrusion detection based on an improved K-means algorithm
Schumacher et al. One-Class Models for Intrusion Detection at ISP Customer Networks
Truong et al. A data-driven approach for network intrusion detection and monitoring based on kernel null space

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20120516

WW01 Invention patent application withdrawn after publication