CN108200015A - 一种检测异常流量的方法、分类模型的构建方法及设备 - Google Patents

一种检测异常流量的方法、分类模型的构建方法及设备 Download PDF

Info

Publication number
CN108200015A
CN108200015A CN201711363520.9A CN201711363520A CN108200015A CN 108200015 A CN108200015 A CN 108200015A CN 201711363520 A CN201711363520 A CN 201711363520A CN 108200015 A CN108200015 A CN 108200015A
Authority
CN
China
Prior art keywords
data
flows
disaggregated model
network
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711363520.9A
Other languages
English (en)
Inventor
薛智慧
任艳萍
潘季明
贾蓉
高宏建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201711363520.9A priority Critical patent/CN108200015A/zh
Publication of CN108200015A publication Critical patent/CN108200015A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种检测异常流量的方法、分类模型的构建方法及设备,根据样本网络流量数据中数据的关联关系和预设的自然语言处理N‑Gram模型,从所述样本网络流量数据中抽取特征数据,根据所述特征数据生成所述分类模型,通过所述分类模型识别待测网络流量数据是否异常,本发明根据自然语言处理N‑Gram模型,从多个协议层分析网络流量数据,来获取分类模型进行异常流量的检测,提高了分类准确率。

Description

一种检测异常流量的方法、分类模型的构建方法及设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种检测异常流量的方法、分类模型的构建方法及设备。
背景技术
网络流量异常是指网络流量行为偏离其正常行为的情形,随着网络规模的扩大,这些异常的流量可能会对网络性能产生较大影响,如占用资源等。更甚者,如果是一种攻击性行为产生的流量,它将威胁到整个网络的安全。流量异常检测的目的就是要及时发现这些异常,并做出快速的反映。它是网络异常监视及响应应用的基础,是网络及安全管理领域的重要研究内容。
目前最接近的也比较主流的方法是基于统计分析的检测方法和基于机器学习进行异常流量检测的方法。其中,基于统计分析的方法,通常根据时间序列对数据流量采样分析,从数据分布、流量变化、子资源占用情况等多个维度进行统计分析,作为描述流量的特征,利用这些特征数据分析出一些阈值结果作为判别标准。而基于机器学习的检测方法首先根据领域知识提取相关特征,特征来自大量的正例和反例样本,从而构建分类模型进行预测。上述两种方案都需要领域背景较强的专业人员来确定阈值和分析特征,以确保用于判断的阈值和用于建模的特征的准确性,人工特征选择过程需要花费大量时间进行分析,同时,这类专业人员也很稀缺,所以,上述技术的人工成本较高,另外,由于上述技术采用的算法单一,其模型准确率也较低。
发明内容
本发明提供一种检测异常流量的方法、分类模型的构建方法及设备,用以解决现有技术中分类模型的准确率较低的问题。
依据本发明的一个方面,提供一种检测异常流量的分类模型的构建方法,所述方法包括:
获取样本网络流量数据;
根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据;
根据所述特征数据生成所述分类模型。
可选的,所述获取样本网络流量数据,包括:
获取多个协议层的样本流量数据。
可选的,所述根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据,包括:
根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组;
根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本流量数据中抽取所述特征数据。
可选的,所述根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组,包括:
将所述多个协议层的样本网络流量数据的十六进制数据格式,按照2字节1组进行分组。
可选的,所述根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本网络流量数据中抽取所述特征数据,包括:
抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据,所述N取正整数。
可选的,所述抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据之后,包括:
通过关联规则算法Apriori筛选出频繁模式下的所述特征数据。
可选的,所述根据所述特征数据生成所述分类模型之前,包括:
对所述特征数据进行向量化及归一化处理,获得双精度double型特征数据。
可选的,所述根据所述特征数据生成所述分类模型,包括:
根据预先构建的学习模型和所述双精度double型特征数据,生成所述分类模型。
可选的,所述多个协议层包括:IP层、传输层及应用层。
依据本发明的第二个方面,提供一种检测异常流量的方法,包括:
获取待测网络流量数据;
通过所述分类模型识别所述待测网络流量数据是否异常。
依据本发明的第三个方面,提供一种检测异常流量的设备,所述设备包括处理器和存储器,所述存储器存储有检测异常流量的分类模型的构建方法的第一计算机程序,所述处理器执行所述第一计算机程序,以实现如下步骤:
获取样本网络流量数据;
根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据;
根据所述特征数据生成所述分类模型。
依据本发明的第四个方面,提供一种检测异常流量的设备,所述设备包括第二处理器和第二存储器,所述第二存储器存储有检测异常流量的方法的第二计算机程序,所述第二处理器执行所述第二计算机程序,以实现如下步骤:
获取待测网络流量数据;
通过所述分类模型识别所述待测网络流量数据是否异常。
本发明的有益效果为:
根据自然语言处理N-Gram模型,从多个协议层分析网络流量数据,来获取分类模型进行异常流量的检测,提高了分类准确率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明第一、第二实施例中所述分类模型的构建方法流程图;
图2为图1中步骤S101的具体流程图;
图3位本发明中多个协议层的样本流量数据的数据格式;
图4为本发明中抽取所述特征数据的示意图;
图5为本发明第三实施例中检测异常流量的方法的流程图;
图6为图5中待测网络流量数据的处理流程图;
图7为图6中步骤S301的具体流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
请参见图1~2,在本发明的第一实施例中,提供一种检测异常流量的分类模型的构建方法,所述方法包括:
S100:获取样本网络流量数据;
S101:根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据;
S102:根据所述特征数据生成所述分类模型。
可选的,步骤S100获取样本网络流量数据,包括:
获取多个协议层的样本流量数据。
可选的,所述多个协议层包括:IP层、传输层及应用层。
本发明可选实施例中,请参见图2,所述步骤S101:根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据,包括:
S11:根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组;
S12:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本流量数据中抽取所述特征数据。
可选的,请参见图3,所述步骤S11:根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组,包括:
将所述多个协议层的样本网络流量数据的十六进制数据格式,按照2字节1组进行分组。
可选的,参见图4,所述步骤S12:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本网络流量数据中抽取所述特征数据,包括:
抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据,所述N取正整数。
可选的,所述抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据之后,包括:
通过关联规则算法Apriori筛选出频繁模式下的所述特征数据,以减少无效信息和减少计算量。
可选的,所述根据所述特征数据生成所述分类模型之前,包括:
对所述特征数据进行向量化及归一化处理,获得双精度double型特征数据。
可选的,所述根据所述特征数据生成所述分类模型,包括:
根据预先构建的学习模型和所述双精度double型特征数据,生成所述分类模型。
参见图1~2,在本发明的第二实施例中,提供一种检测异常流量的分类模型的构建方法,所述方法包括:
S100:获取样本网络流量数据;
S101:根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据;
S102:根据所述特征数据生成所述分类模型。
可选的,步骤S100获取样本网络流量数据,包括:
获取多个协议层的样本流量数据。由于链路层与流量是否异常的关系不大,因此所述多个协议层包括:IP层、传输层及应用层,从不同协议层角度学习特征数据,综合考虑数据本身关联关系及上下文自然语言处理N-Gram模型信息,提高了分类准确率。
可选的,所述步骤S101:根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据,包括:
S11:根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组;参见图3,将所述多个协议层的样本网络流量数据的十六进制数据格式,按照2字节1组进行分组。
S12:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本流量数据中抽取所述特征数据。N的设置是根据反复试验结果所得,参见图4,在本实施例中,以5-gram为例,抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的5-1组(即之前的4组)十六进制数据组合后构成所述特征数据。得到特征数据后,数据量一般都较大,需要进行一些筛选,通过关联规则算法Apriori进行模式挖掘,统计出现次数少于经验阈值的模式,从特征数据中过滤掉包含这些模式的数据,即筛选出频繁模式下的所述特征数据,从而减少无效信息,也可以减少计算量。
可选的,所述根据所述特征数据生成所述分类模型之前,包括:
对所述特征数据进行向量化及归一化处理,将十六进制的特征数据转化为十进制,用255进行归一化,获得双精度double型特征数据。
可选的,所述根据所述特征数据生成所述分类模型,包括:
根据预先构建的学习模型和所述双精度double型特征数据,生成所述分类模型。具体地,采用深度学习算法选择双精度double型特征数据进行算法模型构建,深度学习算法可以自动抽取特征数据,减少了人工成本,生成用于判别异常流量的分类模型,之后,对分类模型进行评估,采取封闭测试和开放测试的方法,如果满足预设条件(如准确率、召回率达到一定阈值)则终止,并将分类模型存储,不满足则重新选择特征数据或者对算法参数进行调整。
下表(1)是采用深度学习算法分别对web攻击和正常流量的IP层、传输层及应用层数据进行开放测试,每种类型数据取2000条,进行两组测试的准确率结果。
表(1)自然语言处理N-Gram模型测试结果
本实施例所采用的深度学习算法可以实现特征数据的自动抽取,节省了人工成本。
参见图5,在本发明的第三实施例中,提供一种检测异常流量的方法,包括:
S200:获取待测网络流量数据;
S201:通过所述分类模型识别所述待测网络流量数据是否异常;
S202:若所述待测网络流量数据异常,则发布异常告警,通知***做相应异常处理。
优选地,请参见图6~7,在通过所述分类模型识别所述待测网络流量数据是否异常之前,对所述待测网络流量数据进行如下处理:
S300:从所述待测网络流量数据中获取多个协议层的待测流量数据。多个协议层包括:IP层、传输层及应用层;
S301:根据所述待测网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述待测网络流量数据中抽取待测特征数据。
可选的,所述步骤S301:根据所述待测网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述待测网络流量数据中抽取待测特征数据,包括:
S31:根据预设的分组字节数量,将所述多个协议层的待测网络流量数据进行分组;
S32:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的待测流量数据中抽取所述待测特征数据。
可选的,所述步骤S31:根据预设的分组字节数量,将所述多个协议层的待测网络流量数据进行分组,包括:
将所述多个协议层的待测网络流量数据的十六进制数据格式,按照2字节1组进行分组。
可选的,所述步骤S32:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的待测网络流量数据中抽取所述待测特征数据,包括:
抽取所述多个协议层的待测流量数据中每组十六进制数据及其之前的4组十六进制数据组合后构成所述待测特征数据,即所述N取5。
可选的,所述抽取所述多个协议层的待测流量数据中每组十六进制数据及其之前的4组十六进制数据组合后构成所述待测特征数据之后,包括:
通过关联规则算法Apriori筛选出频繁模式下的所述待测特征数据,以减少无效的待测特征数据,减少计算量。
对所述待测特征数据进行向量化及归一化处理,获得双精度double型待测特征数据。
在本发明的第四实施例中,提供一种检测异常流量的设备,所述设备包括处理器和存储器,所述存储器存储有检测异常流量的分类模型的构建方法的第一计算机程序,所述处理器执行所述第一计算机程序,以实现分类模型的构建方法的如下步骤:
S100:获取样本网络流量数据;
S101:根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据;
S102:根据所述特征数据生成所述分类模型。
所述获取样本网络流量数据,所述处理器执行所述第一计算机程序时,还实现步骤:
获取多个协议层的样本流量数据。
所述根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据,所述处理器执行所述第一计算机程序时,还实现如下步骤:
S11:根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组;
S12:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本流量数据中抽取所述特征数据。
可选的,请参见图3,所述步骤S11:根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组,所述处理器执行所述第一计算机程序时,具体实现如下步骤:
将所述多个协议层的样本网络流量数据的十六进制数据格式,按照2字节1组进行分组。
可选的,请参见图4,所述步骤S12:根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本网络流量数据中抽取所述特征数据,所述处理器执行所述第一计算机程序时,具体实现如下步骤:
抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据,所述N取正整数。
可选的,所述抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据之后,所述处理器执行所述第一计算机程序时,实现如下步骤:
通过关联规则算法Apriori筛选出频繁模式下的所述特征数据,以减少无效的数据和计算量。
可选的,所述根据所述特征数据生成所述分类模型之前,所述处理器执行所述第一计算机程序时,实现如下步骤:
对所述特征数据进行向量化及归一化处理,获得双精度double型特征数据。
可选的,所述根据所述特征数据生成所述分类模型,所述处理器执行所述第一计算机程序时,实现如下步骤:
根据预先构建的学习模型和所述双精度double型特征数据,生成所述分类模型。
在本发明的第五实施例中,提供一种检测异常流量的设备,所述设备包括第二处理器和第二存储器,所述第二存储器存储有检测异常流量的方法的第二计算机程序,所述第二处理器执行所述第二计算机程序,以实现检测异常流量的方法的如下步骤:
S200:获取待测网络流量数据;
S201:通过所述分类模型识别所述待测网络流量数据是否异常;
S202:若所述待测网络流量数据异常,则发布异常告警,通知***做相应异常处理。
本发明中的存储器可以包括:ROM、RAM、磁盘或光盘等。
显然,本发明根据自然语言处理N-Gram模型,从多个协议层分析网络流量数据,来获取分类模型进行异常流量的检测,提高了分类准确率。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种检测异常流量的分类模型的构建方法,其特征在于,所述方法包括:
获取样本网络流量数据;
根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据;
根据所述特征数据生成所述分类模型。
2.如权利要求1所述的检测异常流量的分类模型的构建方法,其特征在于,所述获取样本网络流量数据,包括:
获取多个协议层的样本流量数据。
3.如权利要求2所述的检测异常流量的分类模型的构建方法,其特征在于,所述根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型,从所述样本网络流量数据中抽取特征数据,包括:
根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组;
根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本流量数据中抽取所述特征数据。
4.如权利要求3所述的检测异常流量的分类模型的构建方法,其特征在于,所述根据预设的分组字节数量,将所述多个协议层的样本网络流量数据进行分组,包括:
将所述多个协议层的样本网络流量数据的十六进制数据格式,按照2字节1组进行分组。
5.如权利要求4所述的检测异常流量的分类模型的构建方法,其特征在于,所述根据所述分组和所述自然语言处理N-Gram模型,从所述多个协议层的样本网络流量数据中抽取所述特征数据,包括:
抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据,所述N取正整数。
6.如权利要求1所述的检测异常流量的分类模型的构建方法,其特征在于,所述抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据之后,包括:
通过关联规则算法Apriori筛选出频繁模式下的所述特征数据。
7.如权利要求6所述的检测异常流量的分类模型的构建方法,其特征在于,所述根据所述特征数据生成所述分类模型之前,包括:
对所述特征数据进行向量化及归一化处理,获得双精度double型特征数据。
8.如权利要求7所述的检测异常流量的分类模型的构建方法,其特征在于,所述根据所述特征数据生成所述分类模型,包括:
根据预先构建的学习模型和所述双精度double型特征数据,生成所述分类模型。
9.如权利要求2-7中任意一项所述的检测异常流量的分类模型的构建方法,其特征在于,所述多个协议层包括:IP层、传输层及应用层。
10.一种检测异常流量的方法,其特征在于,包括:
获取待测网络流量数据;
通过如权利要求1所述的分类模型识别所述待测网络流量数据是否异常。
11.一种检测异常流量的设备,其特征在于,所述设备包括处理器和存储器,所述存储器存储有检测异常流量的分类模型的构建方法的第一计算机程序,所述处理器执行所述第一计算机程序,以实现如权利要求1-9任意一项所述方法的步骤。
12.一种检测异常流量的设备,其特征在于,所述设备包括第二处理器和第二存储器,所述第二存储器存储有检测异常流量的方法的第二计算机程序,所述第二处理器执行所述第二计算机程序,以实现如权利要求10所述方法的步骤。
CN201711363520.9A 2017-12-18 2017-12-18 一种检测异常流量的方法、分类模型的构建方法及设备 Pending CN108200015A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711363520.9A CN108200015A (zh) 2017-12-18 2017-12-18 一种检测异常流量的方法、分类模型的构建方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711363520.9A CN108200015A (zh) 2017-12-18 2017-12-18 一种检测异常流量的方法、分类模型的构建方法及设备

Publications (1)

Publication Number Publication Date
CN108200015A true CN108200015A (zh) 2018-06-22

Family

ID=62574454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711363520.9A Pending CN108200015A (zh) 2017-12-18 2017-12-18 一种检测异常流量的方法、分类模型的构建方法及设备

Country Status (1)

Country Link
CN (1) CN108200015A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120632A (zh) * 2018-09-04 2019-01-01 中国人民解放军陆军工程大学 基于在线特征选择的网络流异常检测方法
CN109445417A (zh) * 2018-11-13 2019-03-08 浙江大学 一种基于归一化处理的工控***数据异常检测方法
CN109660517A (zh) * 2018-11-19 2019-04-19 北京天融信网络安全技术有限公司 异常行为检测方法、装置及设备
CN111835541A (zh) * 2019-04-18 2020-10-27 华为技术有限公司 一种模型老化检测方法、装置、设备及***
CN112019574A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质
CN112532654A (zh) * 2021-01-25 2021-03-19 黑龙江朝南科技有限责任公司 一种用于Web攻击发现的异常行为检测技术
CN113747443A (zh) * 2021-02-26 2021-12-03 上海观安信息技术股份有限公司 基于机器学习算法的安全检测方法及装置
CN113746686A (zh) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 一种网络流量的状态确定方法、计算设备及存储介质
WO2022011624A1 (en) * 2020-07-16 2022-01-20 Huawei Technologies Co., Ltd. Network device and method for host identifier classification

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080262991A1 (en) * 2005-07-01 2008-10-23 Harsh Kapoor Systems and methods for processing data flows
CN105160249A (zh) * 2015-07-02 2015-12-16 哈尔滨工程大学 一种基于改进的神经网络集成的病毒检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080262991A1 (en) * 2005-07-01 2008-10-23 Harsh Kapoor Systems and methods for processing data flows
CN105160249A (zh) * 2015-07-02 2015-12-16 哈尔滨工程大学 一种基于改进的神经网络集成的病毒检测方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120632A (zh) * 2018-09-04 2019-01-01 中国人民解放军陆军工程大学 基于在线特征选择的网络流异常检测方法
CN109445417A (zh) * 2018-11-13 2019-03-08 浙江大学 一种基于归一化处理的工控***数据异常检测方法
CN109660517A (zh) * 2018-11-19 2019-04-19 北京天融信网络安全技术有限公司 异常行为检测方法、装置及设备
CN109660517B (zh) * 2018-11-19 2021-05-07 北京天融信网络安全技术有限公司 异常行为检测方法、装置及设备
CN111835541A (zh) * 2019-04-18 2020-10-27 华为技术有限公司 一种模型老化检测方法、装置、设备及***
CN113746686A (zh) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 一种网络流量的状态确定方法、计算设备及存储介质
WO2022011624A1 (en) * 2020-07-16 2022-01-20 Huawei Technologies Co., Ltd. Network device and method for host identifier classification
CN112019574A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质
CN112532654A (zh) * 2021-01-25 2021-03-19 黑龙江朝南科技有限责任公司 一种用于Web攻击发现的异常行为检测技术
CN113747443A (zh) * 2021-02-26 2021-12-03 上海观安信息技术股份有限公司 基于机器学习算法的安全检测方法及装置
CN113747443B (zh) * 2021-02-26 2024-06-07 上海观安信息技术股份有限公司 基于机器学习算法的安全检测方法及装置

Similar Documents

Publication Publication Date Title
CN108200015A (zh) 一种检测异常流量的方法、分类模型的构建方法及设备
CN111782472B (zh) ***异常检测方法、装置、设备及存储介质
CN111798312B (zh) 一种基于孤立森林算法的金融交易***异常识别方法
CN103729557B (zh) 基于psd-bpa的静态n-x批处理方法
CN106713324A (zh) 一种流量检测方法及装置
CN106683687B (zh) 异常声音的分类方法和装置
CN107276805A (zh) 一种基于入侵检测模型的样本预测方法、装置及电子设备
CN113179263A (zh) 一种网络入侵检测方法、装置及设备
CN109120632A (zh) 基于在线特征选择的网络流异常检测方法
CN110138786A (zh) 基于SMOTETomek和LightGBM的Web异常检测方法及***
CN106982230A (zh) 一种流量检测方法及***
CN109298959A (zh) 一种内存异常检测方法及设备
CN109034140A (zh) 基于深度学习结构的工业控制网络信号异常检测方法
CN107833214A (zh) 视频清晰度检测方法、装置、计算设备及计算机存储介质
CN109033513A (zh) 电力变压器故障诊断方法与电力变压器故障诊断装置
CN109995611B (zh) 流量分类模型建立及流量分类方法、装置、设备和服务器
CN111079937A (zh) 一种快速建模的方法
CN115222303B (zh) 基于大数据的行业风险数据分析方法、***及存储介质
CN108737193A (zh) 一种故障预测方法及装置
Punzo et al. How parameters of microscopic traffic flow models relate to traffic dynamics in simulation: Implications for model calibration
CN110717551A (zh) 流量识别模型的训练方法、装置及电子设备
CN113067798A (zh) Ics入侵检测方法、装置、电子设备和存储介质
CN117592870B (zh) 基于水环境监测信息的综合分析***
CN112953948A (zh) 一种实时网络横向蠕虫攻击流量检测方法及装置
CN110807174B (zh) 一种基于统计分布的污水厂厂群出水分析及异常识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180622

RJ01 Rejection of invention patent application after publication