CN103795723A - 一种分布式物联网安全态势感知方法 - Google Patents

一种分布式物联网安全态势感知方法 Download PDF

Info

Publication number
CN103795723A
CN103795723A CN201410040847.2A CN201410040847A CN103795723A CN 103795723 A CN103795723 A CN 103795723A CN 201410040847 A CN201410040847 A CN 201410040847A CN 103795723 A CN103795723 A CN 103795723A
Authority
CN
China
Prior art keywords
data
feature
principal component
information
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410040847.2A
Other languages
English (en)
Other versions
CN103795723B (zh
Inventor
郑瑞娟
吴庆涛
张明川
魏汪洋
马正朝
李腾昊
李晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan zhuodoo Information Technology Co., Ltd.
Original Assignee
Henan University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan University of Science and Technology filed Critical Henan University of Science and Technology
Priority to CN201410040847.2A priority Critical patent/CN103795723B/zh
Publication of CN103795723A publication Critical patent/CN103795723A/zh
Application granted granted Critical
Publication of CN103795723B publication Critical patent/CN103795723B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种分布式物联网安全态势感知方法,包括运用工具从物联网中提取事件特征,将所提取的特征按顺序组合为相应的特征集合,采用主成分分析法对步骤一中得到的特征集合进行特征约简,采用Help-Training算法对约简之后的特征进行机器学习,将要感知的信息输入机器学习引擎,输出为安全事件类型,将安全事件类型映射为一个具体态势值,设置一个时间阈值,节点按照固定的时间间隔交互信息,在时间到达后,节点采用距离向量算法向邻近的感知节点发送训练数据集;本方法采用主成份分析约简安全事件属性特征,降低属性特征维数,对约简后的属性特征采用增量自学习方法进行数据训练,从而减少***训练时间,提高***的泛化能力。

Description

一种分布式物联网安全态势感知方法
技术领域
本发明涉及计算机网络安全领域,具体的说是涉及一种分布式物联网安全态势感知方法。
背景技术
随着计算机技术的不断发展以及应用的不断普及,网络安全事件的快速感知已成为网络技术人员面临的一个极为重要的课题,许多有关网络安全技术的研究也日趋成熟。网络安全态势感知作为网络管理员对网络安全状态检测监控的一种技术,也是目前信息安全的研究热点之一。开展这项研究,对于提高网络***的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为等具有十分重要的意义。但由于网络规模的增长,网络安全事件特征主要包括以下4点:体量巨大(volume)、类型繁多(variety)、价值密度低(value)、快速处理(velocity)。由于这几大特征,安全态势生成需要综合分析多种的网络安全要素,比如***漏洞等, 而不只是入侵攻击,网络态势感知特征的高维度。
网络态势感知的发展从研究方向、评测指标以及关键技术等方面对机器学习都提出了新的需求和挑战,训练实例的数量是非常大的, 每天汇合大量安全数据集。另外,越来越多的设备包括传感器,持续记录观察的数据可以作为训练数据, 这样的数据集可以轻易地达到几百TB,输入数据的高维度。主成分分析(PCA)就是设法将原来众多的变量,重新组合为一组新的相互无关的综合变量来代替原来变量,即从多个变量中综合得到少数几个代表性变量,使其能够代表原始变量的绝大多数信息,又互不相关。处理方法就是将原来的变量做线性组合,作为新的综合变量,如果将选取的第一个线性组合即第一个综合变量记为F1,自然希望它尽可能多地反映原来变量的信息,这里“信息”用方差来测量,即方差越大,F1包含的信息越多,因此在所有的线性组合中所选取的F1应该是方差最大的,故称为第一主成分。如果第一主成分不足以代表原来N个变量的信息,再考虑选取第二个线性组合F2,称F2为第二主成分,依此类推可以构造出第三、四……第P个主成分。使用约简后的特征进行学习在保证准确度的情况下可以大大减少学习时间和资源占用率,提高***响应时间。
随着数据收集技术的发展,获取大量未标注的样本已经相当容易,而标注样本需要艰苦的手工劳动。显然,仅使用少量的标注样本,即采用监督学习方式,那训练出的学习模型往往很难有较强的泛化能力;另外,如果仅使用少量标注样本,而放弃使用大量未标注样本的话,则浪费了大量的数据。半监督自训练学习方法(Semi-supervised training learning method,SSTLM)就是研究如何综合利用少量已标识数据和大量未标识数据,获得具有良好性能和泛化能力的学习机器。半监督学习的基本思想是已知一个有标注样本集                                                
Figure 2014100408472100002DEST_PATH_IMAGE001
和一个无标注样本集
Figure 887679DEST_PATH_IMAGE002
期望训练得到一个模型函数
Figure 2014100408472100002DEST_PATH_IMAGE003
可以对样本x 预测其标注y。这里
Figure 148896DEST_PATH_IMAGE004
 均为
Figure 2014100408472100002DEST_PATH_IMAGE005
维向量,
Figure 552195DEST_PATH_IMAGE006
 为样本
Figure 2014100408472100002DEST_PATH_IMAGE007
的标注,L是标注样本所包含的样本个数,
Figure 873455DEST_PATH_IMAGE008
为未标注样本所包含的样本数。半监督学习中,学习器自行利用未标注样本,整个过程自动完成,仅基于学习器自身对未标注数据进行标注。
***之间的信息交互仅和相邻的***节点交换训练信息。如果两个节点之间的通信只需经过一个路由器,那么这两个节点是相邻的,不相邻的节点之间不交换信息。交换的信息是当前节点新感知的全部信息,即自己的增量信息。通过设置时间阈值,节点按照固定的事件交互信息,如每隔1小时,节点根据收到相邻节点的信息跟新自己的特征训练库。信息交互技术可以减少节点特征数据的数量,增加***的实时性。
发明内容
本发明为了解决现有的安全态势感知方法资源占用率高、处理时间长、***之间无法实时交互信息等问题,提出一种分布式物联网安全态势感知方法,本方法采用主成份分析约简安全事件属性特征,降低属性特征维数,对约简后的属性特征采用增量自学习方法进行数据训练,从而减少***训练时间,提高***的泛化能力。
本发明所采用的技术方案是:一种分布式物联网安全态势感知方法,所述的方法包括以下步骤:
步骤1、特征提取:通过***运行日志、漏洞扫描工具、入侵检测***SNORT、VDS 、FireWall或内嵌在交换机和路由器中的流量采集器从物联网中提取事件特征,将所提取的特征按顺序组合为相应的特征集合,;
步骤2、特征约简:采用主成分分析法对步骤一中得到的特征集合进行特征约简;
步骤3、机器学习: 采用Help-Training算法对约简之后的特征进行机器学习;
步骤4、态势感知:将要感知的信息输入机器学习引擎,输出为安全事件类型,将安全事件类型映射为一个具体态势值;
步骤五、信息交互:设置一个时间阈值,节点按照固定的时间间隔交互信息,在时间到达后,节点采用距离向量算法向邻近的感知节点发送训练数据集。
所述的特征约简包括以下步骤:
步骤201、数据标准化,设定步骤一中得到的特征集合为X,X的p维属性特征数据信息
Figure 2014100408472100002DEST_PATH_IMAGE009
,n个样品的数据资料阵为:
Figure 627785DEST_PATH_IMAGE010
Figure 2014100408472100002DEST_PATH_IMAGE011
,其中,
Figure 427113DEST_PATH_IMAGE012
,利用公式
Figure 2014100408472100002DEST_PATH_IMAGE013
Figure 950499DEST_PATH_IMAGE014
对数据进行标准化,其中,
Figure 2014100408472100002DEST_PATH_IMAGE015
, 
Figure 944125DEST_PATH_IMAGE016
 
Figure 2014100408472100002DEST_PATH_IMAGE017
步骤202、计算数据样本相关系数矩阵,假定原始特征集合标准化后仍用X表示,利用公式
Figure 982488DEST_PATH_IMAGE018
计算数据样本相关系数矩阵,其中相关系数
Figure 2014100408472100002DEST_PATH_IMAGE019
Figure 523190DEST_PATH_IMAGE020
步骤203、计算相关系数矩阵R的特征值
Figure 2014100408472100002DEST_PATH_IMAGE021
和相应的特征向量
Figure 228978DEST_PATH_IMAGE022
步骤204、利用主成分分析法选择主成分,利用公式贡献率=
Figure 2014100408472100002DEST_PATH_IMAGE023
计算每个主成分占全部方差的比重,其中p为主成分分析得到的主成分数量,根据贡献率的大小选取前k个主成分,利用公式
Figure 564145DEST_PATH_IMAGE024
Figure 2014100408472100002DEST_PATH_IMAGE025
得到各个主成分,其中,
Figure 355383DEST_PATH_IMAGE026
互不相关(
Figure 2014100408472100002DEST_PATH_IMAGE027
Figure 997979DEST_PATH_IMAGE028
),
Figure 2014100408472100002DEST_PATH_IMAGE029
的方差大于的方差大于
Figure DEST_PATH_IMAGE031
的方差,依次类推,
Figure 64341DEST_PATH_IMAGE032
所述的Help-Training算法具体包括:
设定少量已标注的样本集L,大量未标注的样本集U,创建数据集
Figure DEST_PATH_IMAGE033
,数据集初始为空,从未标注样本集U中旋转数据添加到
Figure 225381DEST_PATH_IMAGE033
中,用已标记样本集
Figure 577865DEST_PATH_IMAGE034
训练出主分类器MC 和辅分类器AC,创建一个数据集
Figure DEST_PATH_IMAGE035
 ,初始化为空,用AC对
Figure 582730DEST_PATH_IMAGE033
中的数据进行预测,选择置信度最高的
Figure 20665DEST_PATH_IMAGE036
个数据添加到
Figure 441282DEST_PATH_IMAGE035
中,用MC 对
Figure 477633DEST_PATH_IMAGE035
中的数据进行标注,对数据集,重新训练主分类器MC 和辅分类器AC。
所述的信息交互具体包括:
步骤401、时间阈值为0时,节点采用广播的方式发送增量感知信息,并设置其路由距离为1,当数据包经过路由器时将该请求信息的路由距离减1,增量感知信息路由距离为0时,路由器自动丢弃该数据包;
步骤402、节点根据收到的增量数据和已有的数据重新进行机器学习。     本发明的有益效果:
1、利用多种安全工具提取网络安全事件属性特征,通过现有***安全日志、漏洞扫描工具、IDS、VDS( Virus Detection System) 、FireWall、Netflow( 内嵌在交换机和路由器中的流量采集器) 等方法提取安全事件特征,全面感知***的安全信息,提高安全事件感知的客观性,增加安全事件感知准确性;
2、采用数学降维的方法约简特征维数,为了解决现有属性特征分析方法特征冗余度高和未能充分利用特征间互补关系的问题,基于主成分分析方法(PCA)分析所选特征之间的互补性,通过融合将互补特征结合在一起,提供一种特征维数约简方法,将原来众多属性特征,重新组合为一组新的相互无关的综合变量来代替原来变量,从多个变量中综合为少数几个代表性变量,使其能够代表原始变量的绝大多数信息,又互不相关,减少***初始化时间,提高***运行和检测效率;
3、采用增量式自学习方法提高方法的准确率,为了充分利用标注和未标注的数据,采用半监督自训练学习方法(Semi-supervised training learning method,SSTLM)综合利用少量已标识数据和大量未标识数据,获得具有良好性能和泛化能力的学习机器。同时采用多种学习算法结合的方法,提高学习的准确率。避免了采用监督学习方式,使训练出的学习模型很难有较强的泛化能力,另外,不仅使用少量标注样本,而且使用大量未标注样本的话,充分利用了大量未标注的数据;
4、采用分布式部署方案增加***的协作性,将感知***部署在不同的网络节点,设置一个时间阈值,在时间到达后,节点向邻近的感知节点发送训练数据集,以实现不同节点训练数据集的实时更新,保证训练数据集的同步性。
附图说明
图1为本发明的结构框图;
图2为本发明Help-Training算法的结构框图。
具体实施方式
如图所示,一种分布式物联网安全态势感知方法,所述的方法包括以下步骤:
步骤1、特征提取:通过***运行日志、漏洞扫描工具、入侵检测***SNORT、VDS 、FireWall或内嵌在交换机和路由器中的流量采集器从物联网中提取事件特征,将所提取的特征按顺序组合为相应的特征集合,;
步骤2、特征约简:采用主成分分析法对步骤一中得到的特征集合进行特征约简;
步骤3、机器学习: 采用Help-Training算法对约简之后的特征进行机器学习;
步骤4、态势感知:将要感知的信息输入机器学习引擎,输出为安全事件类型,将安全事件类型映射为一个具体态势值;
步骤五、信息交互:设置一个时间阈值,节点按照固定的时间间隔交互信息,在时间到达后,节点采用距离向量算法向邻近的感知节点发送训练数据集。
(1)特征提取
“维数灾难”是阻碍互联网安全态势感知方法(SSAM)应用与实际的巨大障碍,高维数的输入向量会带来巨大的运算量,这必然使特征集训练方法失去实时性。特征约简的目的是识别对于融合来说比较重要的特征, 删除对融合结果影响很小或者基本没有影响的特征。它的实质就是寻找一个输入特征的子集, 这个子集中的特征是对融合结果影响较大的特征集合。特征提取方法描述如下:
通过***运行日志、漏洞扫描工具、入侵检测***SNORT、VDS( Virus Detection System) 、FireWall、Netflow( 内嵌在交换机和路由器中的流量采集器) 等工具提取事件特征,得到相应的特征集合。将所提取的特征按顺序组合为特征集X,得到安全事件X的P维属性特征数据信息。
Figure 325504DEST_PATH_IMAGE009
个特征变量
Figure DEST_PATH_IMAGE039
Figure 599676DEST_PATH_IMAGE040
个样品的数据资料阵为:
Figure 926752DEST_PATH_IMAGE010
Figure 211103DEST_PATH_IMAGE011
其中:
Figure 623630DEST_PATH_IMAGE012
(2)、特征约简
1)、数据标准化
Figure 386050DEST_PATH_IMAGE016
 
Figure 629949DEST_PATH_IMAGE017
其中    
Figure DEST_PATH_IMAGE041
Figure 85201DEST_PATH_IMAGE013
 
Figure 985024DEST_PATH_IMAGE014
2)、计算样本相关系数矩阵
Figure 114916DEST_PATH_IMAGE018
为方便,假定原始数据标准化后仍用表示,则经标准化处理后的数据的相关系数为: 
Figure DEST_PATH_IMAGE043
 
Figure 777159DEST_PATH_IMAGE020
3)、计算相关系数矩阵R的特征值
Figure 226595DEST_PATH_IMAGE044
和相应的特征向量
Figure 330817DEST_PATH_IMAGE022
4)、选择主成份
主成分分析可以得到
Figure DEST_PATH_IMAGE045
个主成分,但是,由于各个主成分的方差是递减的,包含的信息量也是递减的,所以实际分析时,一般不是选取
Figure 486992DEST_PATH_IMAGE045
个主成分,而是根据各个主成分累计贡献率的大小选取前
Figure 408680DEST_PATH_IMAGE046
个主成分,这里贡献率就是指某个主成分的方差占全部方差的比重,实际也就是某个特征值占全部特征值合计的比重。即:
贡献率=
Figure 581298DEST_PATH_IMAGE023
贡献率越大,说明该主成分所包含的原始变量的信息越强。主成分个数的选取,主要根据主成分的累积贡献率来决定,即一般要求累计贡献率达到80%以上或者选取特征值大于1的前
Figure 765472DEST_PATH_IMAGE046
个主成份,这样才能保证综合变量能包括原始变量的绝大多数信息。
将得到的
Figure DEST_PATH_IMAGE047
个特征向量的组成如下线性变换,即
Figure 795745DEST_PATH_IMAGE048
简写为:
Figure 891877DEST_PATH_IMAGE024
    
Figure 337901DEST_PATH_IMAGE025
要求模型满足以下条件:
Figure 468668DEST_PATH_IMAGE026
互不相关(
Figure 607526DEST_PATH_IMAGE027
Figure 253271DEST_PATH_IMAGE028
Figure 502986DEST_PATH_IMAGE029
的方差大于的方差大于
Figure 798019DEST_PATH_IMAGE031
的方差,依次类推
Figure DEST_PATH_IMAGE049
于是,称
Figure 931060DEST_PATH_IMAGE029
为第一主成分,
Figure 984466DEST_PATH_IMAGE030
为第二主成分,依此类推,有第
Figure 824246DEST_PATH_IMAGE046
个主成分。主成分又叫主分量。这里我们称为主成分系数。
上述模型可用矩阵表示为:
Figure DEST_PATH_IMAGE051
,其中
Figure 161129DEST_PATH_IMAGE052
           
Figure DEST_PATH_IMAGE053
Figure 18227DEST_PATH_IMAGE054
称为主成分系数矩阵,由主成分矩阵表可得每个主成分的系数,可写出主成分的表达式。将训练数据集代入主成份表达式就可以求的特征约简之后的数据集。
(3)、特征集学习
在自训练学习过程中,首先用少量有标注的样本训练出一个初始分类器IC(Initial Classifier),然后用IC对未标注样本进行标注,最后选择置信度最高的未标注样本加入到标注样本集合中,然后重新训练更新分类器IC,以此来提高分类器的泛化性能。
在Help-Training学习过程中,首先用少量有标注的样本训练出一个主分类器MC(Main Classifier)和辅分类器AC(Auxiliary Classifier),用辅分类器AC对未标注样本进行预测,选出置信度最高的k个样本,然后用主分类器MC对这k个样本进行类别判定。然后将标注好的样本加入到有标注样本相应的类别中。如果有标注样本集合产生变化,则重新训练主分类器MC和辅分类器AC,最终采用MC进行分类。
Help-Training算法
输入:少量已经标注的数据集
Figure 774830DEST_PATH_IMAGE034
,大量未标注的数据集
Figure 426391DEST_PATH_IMAGE008
,算法迭代次数
Figure DEST_PATH_IMAGE055
算法执行过程:
1、初始化数据集
Figure 471708DEST_PATH_IMAGE033
 ,以及主分类器MC,辅分类器AC
创建数据集
Figure 929234DEST_PATH_IMAGE033
,初始为空,从未标注数据集
Figure 478027DEST_PATH_IMAGE008
中选择数据添加到
Figure 566069DEST_PATH_IMAGE033
中,用已标记样本集
Figure 833102DEST_PATH_IMAGE034
训练出主分类器MC 和辅分类器AC。
2、重复执行以下过程M 次
创建一个数据集
Figure 828740DEST_PATH_IMAGE035
 ,初始化为空,用AC对
Figure 497618DEST_PATH_IMAGE033
中的数据进行预测,选择置信度最高的
Figure 756561DEST_PATH_IMAGE036
个数据添加到
Figure 245312DEST_PATH_IMAGE035
中,用MC 对
Figure 247903DEST_PATH_IMAGE035
中的数据进行标注,对数据集
Figure 335070DEST_PATH_IMAGE037
,重新训练主分类器MC 和辅分类器AC,
从未标注数据集
Figure 499335DEST_PATH_IMAGE008
中选择数据添加到
Figure 740960DEST_PATH_IMAGE033
中。
(4)、事件感知
将感知信息输入学习引擎,输出为安全事件类型,将安全事件类型映射为一个具体态势值。我们把安全事件分为5类, Normal正常、DOS攻击、Probe端口扫描、R2L攻击和U2R攻击,我们将这五种攻击类型根据其危害程度映射成一个***安全态势值(Security situational values,SSV)。对于正常的连接记录,令SSV为0.9;DOS攻击是使***资源耗尽而无法为其他用户提供正常服务的一种攻击手段,令SSV为0.1;Probe是是指对计算机网络或服务器进行扫描,令SSV为0.7;R2L攻击是远程用户获取主机访问权限,令SSV为0.5;U2R为本地用户获取管理员权限,令SSV为0.3。
(5)、信息交互
***之间的信息交互仅和相邻的***节点交换感知信息。本方法采用距离向量算法,如果两个节点之间的通信只需经过一个路由器,那么这两个节点是相邻的,不相邻的节点之间不交换信息。交换的信息是当前节点新感知的全部信息,即自己的增量信息。通过设置时间阈值,节点按照固定的时间间隔交互信息。信息交互方案如下:
1、当时间阈值为0时,节点采用广播的方式发送增量感知信息,并设置其路由距离为1,当数据包经过路由器时将该请求信息的路由距离减1。增量感知信息路由距离为0时,路由器自动丢弃该数据包。
2、节点根据收到的增量数据和已有的数据重新进行机器学习。
可以灵活地将分析后的数据传递给其它在线***组件,采用XML格式来传输数据,因此具有良好的可扩展性。

Claims (4)

1.一种分布式物联网安全态势感知方法,其特征在于:所述的方法包括以下步骤:
步骤1、特征提取:通过***运行日志、漏洞扫描工具、入侵检测***SNORT、VDS 、FireWall或内嵌在交换机和路由器中的流量采集器从物联网中提取事件特征,将所提取的特征按顺序组合为相应的特征集合;
步骤2、特征约简:采用主成分分析法对步骤一中得到的特征集合进行特征约简;
步骤3、机器学习: 采用Help-Training算法对约简之后的特征进行机器学习;
步骤4、态势感知:将要感知的信息输入机器学习引擎,输出为安全事件类型,将安全事件类型映射为一个具体态势值;
步骤5、信息交互:设置一个时间阈值,节点按照固定的时间间隔交互信息,在时间到达后,节点采用距离向量算法向邻近的感知节点发送训练数据集。
2.如权利要求1所述的一种分布式物联网安全态势感知方法,其特征在于:所述的特征约简包括以下步骤:
步骤201、数据标准化,设定步骤一中得到的特征集合为X,X的p维属性特征数据信息                                                
Figure 2014100408472100001DEST_PATH_IMAGE001
,n个样品的数据资料阵为:
Figure 861914DEST_PATH_IMAGE002
Figure 2014100408472100001DEST_PATH_IMAGE003
,其中,
Figure 191264DEST_PATH_IMAGE004
,利用公式
Figure 2014100408472100001DEST_PATH_IMAGE005
Figure 390164DEST_PATH_IMAGE006
对数据进行标准化,其中,
Figure 2014100408472100001DEST_PATH_IMAGE007
, 
Figure 121360DEST_PATH_IMAGE008
 
Figure 2014100408472100001DEST_PATH_IMAGE009
步骤202、计算数据样本相关系数矩阵,假定原始特征集合标准化后仍用X表示,利用公式计算数据样本相关系数矩阵,其中相关系数
Figure 2014100408472100001DEST_PATH_IMAGE011
Figure 931370DEST_PATH_IMAGE012
步骤203、计算相关系数矩阵R的特征值
Figure 2014100408472100001DEST_PATH_IMAGE013
和相应的特征向量
Figure 668381DEST_PATH_IMAGE014
步骤204、利用主成分分析法选择主成分,利用公式贡献率=
Figure 2014100408472100001DEST_PATH_IMAGE015
计算每个主成分占全部方差的比重,其中p为主成分分析得到的主成分数量,根据贡献率的大小选取前k个主成分,利用公式
Figure 755548DEST_PATH_IMAGE016
得到各个主成分,其中,
Figure 185393DEST_PATH_IMAGE018
互不相关(
Figure DEST_PATH_IMAGE019
),
Figure DEST_PATH_IMAGE021
的方差大于
Figure 764459DEST_PATH_IMAGE022
的方差大于
Figure DEST_PATH_IMAGE023
的方差,依次类推,
Figure 407930DEST_PATH_IMAGE024
3.如权利要求1所述的一种分布式物联网安全态势感知方法,其特征在于:所述的Help-Training算法具体包括:
设定少量已标注的样本集L,大量未标注的样本集U,创建数据集
Figure DEST_PATH_IMAGE025
,数据集
Figure 805413DEST_PATH_IMAGE025
初始为空,从未标注样本集U中旋转数据添加到
Figure 534334DEST_PATH_IMAGE025
中,用已标记样本集
Figure 613149DEST_PATH_IMAGE026
训练出主分类器MC 和辅分类器AC,创建一个数据集
Figure DEST_PATH_IMAGE027
 ,初始化为空,用AC对
Figure 173443DEST_PATH_IMAGE025
中的数据进行预测,选择置信度最高的
Figure 945090DEST_PATH_IMAGE028
个数据添加到
Figure 895729DEST_PATH_IMAGE027
中,用MC 对中的数据进行标注,对数据集
Figure DEST_PATH_IMAGE029
,重新训练主分类器MC 和辅分类器AC。
4.如权利要求1所述的一种分布式物联网安全态势感知方法,其特征在于:所述的信息交互具体包括:
步骤401、时间阈值为0时,节点采用广播的方式发送增量感知信息,并设置其路由距离为1,当数据包经过路由器时将该请求信息的路由距离减1,增量感知信息路由距离为0时,路由器自动丢弃该数据包;
步骤402、节点根据收到的增量数据和已有的数据重新进行机器学习。
CN201410040847.2A 2014-01-28 2014-01-28 一种分布式物联网安全态势感知方法 Active CN103795723B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410040847.2A CN103795723B (zh) 2014-01-28 2014-01-28 一种分布式物联网安全态势感知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410040847.2A CN103795723B (zh) 2014-01-28 2014-01-28 一种分布式物联网安全态势感知方法

Publications (2)

Publication Number Publication Date
CN103795723A true CN103795723A (zh) 2014-05-14
CN103795723B CN103795723B (zh) 2017-02-15

Family

ID=50671009

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410040847.2A Active CN103795723B (zh) 2014-01-28 2014-01-28 一种分布式物联网安全态势感知方法

Country Status (1)

Country Link
CN (1) CN103795723B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486141A (zh) * 2014-11-26 2015-04-01 国家电网公司 一种误报自适应的网络安全态势预测方法
CN105897517A (zh) * 2016-06-20 2016-08-24 广东电网有限责任公司信息中心 一种基于svm的网络流量异常检测方法
CN106161426A (zh) * 2016-06-08 2016-11-23 北京工业大学 一种应用于工业物联网的漏洞扫描方法
CN107046534A (zh) * 2017-03-24 2017-08-15 厦门卓讯信息技术有限公司 一种网络安全态势模型训练方法、识别方法及识别装置
CN108256536A (zh) * 2016-12-28 2018-07-06 全球能源互联网研究院 一种基于地理位置关系的电力网络态势感知方法和装置
TWI637280B (zh) * 2017-05-16 2018-10-01 緯創資通股份有限公司 基於物聯網架構的監控方法、霧運算終端以及物聯網系統
US10178131B2 (en) 2017-01-23 2019-01-08 Cisco Technology, Inc. Entity identification for enclave segmentation in a network
CN109598120A (zh) * 2018-11-15 2019-04-09 中国科学院计算机网络信息中心 移动终端的安全态势智能分析方法、装置及存储介质
CN110135196A (zh) * 2019-05-10 2019-08-16 内蒙古工业大学 一种基于输入数据压缩表示关联分析的数据融合防篡改方法
CN110830287A (zh) * 2019-09-27 2020-02-21 西北大学 一种基于机器学习的物联网环境态势感知方法
CN112637084A (zh) * 2020-12-10 2021-04-09 中山职业技术学院 分布式网络流量新奇检测方法及分类器
CN113010884A (zh) * 2021-02-23 2021-06-22 重庆邮电大学 一种入侵检测***中的实时特征过滤方法
CN113051619A (zh) * 2021-04-30 2021-06-29 河南科技大学 一种基于k-匿名的中药处方数据隐私保护方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240028009A1 (en) * 2022-07-21 2024-01-25 Rockwell Automation Technologies, Inc. Systems and methods for artificial intelligence-based security policy development

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102098180A (zh) * 2011-02-17 2011-06-15 华北电力大学 一种网络安全态势感知方法
CN102542818A (zh) * 2012-01-13 2012-07-04 吉林大学 一种基于有机计算的区域边界交通信号协调控制方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102098180A (zh) * 2011-02-17 2011-06-15 华北电力大学 一种网络安全态势感知方法
CN102542818A (zh) * 2012-01-13 2012-07-04 吉林大学 一种基于有机计算的区域边界交通信号协调控制方法

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486141B (zh) * 2014-11-26 2018-10-23 国家电网公司 一种误报自适应的网络安全态势预测方法
CN104486141A (zh) * 2014-11-26 2015-04-01 国家电网公司 一种误报自适应的网络安全态势预测方法
CN106161426A (zh) * 2016-06-08 2016-11-23 北京工业大学 一种应用于工业物联网的漏洞扫描方法
CN105897517A (zh) * 2016-06-20 2016-08-24 广东电网有限责任公司信息中心 一种基于svm的网络流量异常检测方法
CN108256536B (zh) * 2016-12-28 2021-10-29 全球能源互联网研究院 一种基于地理位置关系的电力网络态势感知方法和装置
CN108256536A (zh) * 2016-12-28 2018-07-06 全球能源互联网研究院 一种基于地理位置关系的电力网络态势感知方法和装置
US10178131B2 (en) 2017-01-23 2019-01-08 Cisco Technology, Inc. Entity identification for enclave segmentation in a network
CN107046534A (zh) * 2017-03-24 2017-08-15 厦门卓讯信息技术有限公司 一种网络安全态势模型训练方法、识别方法及识别装置
TWI637280B (zh) * 2017-05-16 2018-10-01 緯創資通股份有限公司 基於物聯網架構的監控方法、霧運算終端以及物聯網系統
US11362887B2 (en) 2017-05-16 2022-06-14 Wistron Corporation Monitoring method based on internet of things, fog computing terminal and internet of things system
CN109598120A (zh) * 2018-11-15 2019-04-09 中国科学院计算机网络信息中心 移动终端的安全态势智能分析方法、装置及存储介质
CN110135196A (zh) * 2019-05-10 2019-08-16 内蒙古工业大学 一种基于输入数据压缩表示关联分析的数据融合防篡改方法
CN110830287A (zh) * 2019-09-27 2020-02-21 西北大学 一种基于机器学习的物联网环境态势感知方法
CN110830287B (zh) * 2019-09-27 2021-11-16 西北大学 一种基于监督学习的物联网环境态势感知方法
CN112637084A (zh) * 2020-12-10 2021-04-09 中山职业技术学院 分布式网络流量新奇检测方法及分类器
CN112637084B (zh) * 2020-12-10 2022-09-23 中山职业技术学院 分布式网络流量新奇检测方法及分类器
CN113010884A (zh) * 2021-02-23 2021-06-22 重庆邮电大学 一种入侵检测***中的实时特征过滤方法
CN113010884B (zh) * 2021-02-23 2022-08-26 重庆邮电大学 一种入侵检测***中的实时特征过滤方法
CN113051619A (zh) * 2021-04-30 2021-06-29 河南科技大学 一种基于k-匿名的中药处方数据隐私保护方法
CN113051619B (zh) * 2021-04-30 2023-03-03 河南科技大学 一种基于k-匿名的中药处方数据隐私保护方法

Also Published As

Publication number Publication date
CN103795723B (zh) 2017-02-15

Similar Documents

Publication Publication Date Title
CN103795723A (zh) 一种分布式物联网安全态势感知方法
US10833954B2 (en) Extracting dependencies between network assets using deep learning
AU2015201161B2 (en) Event correlation
CN103581186A (zh) 一种网络安全态势感知方法及***
CN107360145B (zh) 一种多节点蜜罐***及其数据分析方法
CN104660594A (zh) 一种面向社交网络的虚拟恶意节点及其网络识别方法
CN111541685B (zh) 一种基于网络结构学习的边缘云异常检测方法
CN102035698A (zh) 基于决策树分类算法的http隧道检测方法
US20180069884A1 (en) Identifying Bulletproof Autonomous Systems
US11403559B2 (en) System and method for using a user-action log to learn to classify encrypted traffic
CN103905440A (zh) 一种基于日志和snmp信息融合的网络安全态势感知分析方法
He et al. Inferring application type information from tor encrypted traffic
CN104573017A (zh) 识别网络水军团体的方法及***
CN102999638A (zh) 基于网络群挖掘的钓鱼网站检测方法
Fan et al. An interactive visual analytics approach for network anomaly detection through smart labeling
CN108848065A (zh) 一种网络入侵检测方法、***、介质及设备
CN116112194A (zh) 用户行为分析方法、装置、电子设备及计算机存储介质
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN112887323B (zh) 一种面向工业互联网边界安全的网络协议关联与识别方法
CN109858510A (zh) 一种针对HTTP协议ETag值隐蔽通信的检测方法
Lee et al. ATMSim: An anomaly teletraffic detection measurement analysis simulator
CN105447148A (zh) 一种Cookie标识关联方法及装置
Lackner et al. User tracking based on behavioral fingerprints
CN115883152A (zh) 基于联邦学习的网络流量攻击检测方法、***及存储介质
Pan Network security and user abnormal behavior detection by using deep neural network

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20191106

Address after: Room 407, building 3-2, science and Technology Park, Luoyang National University, No. 2 Penglai Road, Jianxi District, Luoyang District, China (Henan) pilot free trade zone 471000

Patentee after: Henan zhuodoo Information Technology Co., Ltd.

Address before: 471000 Xiyuan Road, Jianxi District, Henan, No. 48, No.

Patentee before: Henan University of Science and Technology

TR01 Transfer of patent right