CN115473734A - 基于单分类和联邦学习的远程代码执行攻击检测方法 - Google Patents

基于单分类和联邦学习的远程代码执行攻击检测方法 Download PDF

Info

Publication number
CN115473734A
CN115473734A CN202211108049.XA CN202211108049A CN115473734A CN 115473734 A CN115473734 A CN 115473734A CN 202211108049 A CN202211108049 A CN 202211108049A CN 115473734 A CN115473734 A CN 115473734A
Authority
CN
China
Prior art keywords
data packet
feature extraction
code execution
training
extraction model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211108049.XA
Other languages
English (en)
Other versions
CN115473734B (zh
Inventor
黄诚
赵书立
韩家璇
汪扬
李希然
黄嘉�
胡海馨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan University
Original Assignee
Sichuan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan University filed Critical Sichuan University
Priority to CN202211108049.XA priority Critical patent/CN115473734B/zh
Publication of CN115473734A publication Critical patent/CN115473734A/zh
Application granted granted Critical
Publication of CN115473734B publication Critical patent/CN115473734B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于单分类和联邦学习的远程代码执行攻击检测方法,它涉及信息安全技术领域;它包括以下步骤:步骤1:搭建单机特征提取模型,用于数据包语义特征提取;步骤2:搭建联邦学习框架,接入单机特征提取模型;步骤3:使用更新的单机特征提取模型提取数据包语义特征并训练异常检测模型;步骤4:使用训练的异常检测模型对数据包是否是远程代码执行攻击数据包进行判定。本发明的提出能够降低检测模型对人工专家的依赖,同时在一定程度上解决单一企业或组织训练数据稀缺导致的分类模型性能不高问题。

Description

基于单分类和联邦学习的远程代码执行攻击检测方法
技术领域
本发明涉及信息安全技术领域,具体涉及一种基于单分类和联邦学习的远程代码执行攻击检测方法。
背景技术
远程代码执行攻击具有极强的隐蔽性和极大的危害性,是近年来网络安全领域专家和研究者们关注的重点。攻击者利用设备上的远程代码执行漏洞,能够实现窃取数据、破坏网络基础设施等恶意目标。远程代码执行攻击通常以网络通信数据包为载体,通过向目标服务器上传精心构造的攻击载荷,诱导目标服务器执行恶意代码。因此,检测通信数据包的恶意性是至关重要的。
通常,为防止攻击者进行远程代码执行攻击,企业和组织会通过建立各种规则,对包含远程代码执行攻击载荷的数据包进行过滤,防止被服务器执行。然而,规则的粒度会影响***业务的正常运行。为了逃避安全***的检测,攻击者会对远程代码攻击载荷进行变形,隐藏其恶意行为,使得携带远程代码执行攻击载荷的数据包与正常业务***的数据包接近;此外,由于正常业务***也会涉及远程代码执行的功能需求,且执行远程代码所用的基本库、函数可能会和远程代码攻击载荷所用的库、函数相同,粒度过细的规则可能导致业务***无法正常运行,而粒度过粗的规则又可能无法过滤攻击数据包。
基于机器学习的攻击数据包检测是一个热门的研究方向。机器学习技术在自然语言语义分析和理解方面有着很大的优势。然而,对于远程代码执行攻击数据包,公开的样本很少,不足以支持训练一个优异的机器学习模型;同时,攻击数据包和正常业务数据包之间可能存在很高的相似性,为基于机器学习的远程代码执行攻击检测带来了挑战。
发明内容
为解决现有技术的缺陷和不足;本发明的目的在于提供一种基于单分类和联邦学习的远程代码执行攻击检测方法。该基于单分类和联邦学习的远程代码执行攻击检测方法分为两个模块:横向联邦学习模块和异常检测模块。横向联邦学习是联邦学习的一种,用于特征相同但数据集不同的情况,能够实现对样本的扩充。异常检测是信息安全技术领域常用的一种方法,核心思想是通过学习大量正常样本的特征和模式来发现偏离正常特征和模式的异常行为。横向联邦学习模块基于服务器-客户端的横向联邦学习架构。在每个客户端中,首先对输入的文本形式的数据进行预处理,按照特殊关键字映射表对预处理后的数据包进行标准化,基于预训练词向量将标准化后的数据包转换成向量形式;然后构建基于TextCNN的单机特征提取模型;接着搭建联邦学习框架,接入单机特征提取模型;之后,在单机特征提取模型的基础上,使用One-Class SVM算法训练异常检测模型,对数据包是否是远程代码执行攻击数据包进行判定。
本发明的技术方案如下:
一种基于单分类和联邦学习的远程代码执行攻击检测方法,包括横向联邦学习和异常检测两个模块,具体步骤如下:
步骤1:搭建单机特征提取模型,用于数据包语义特征提取;
步骤2:搭建联邦学习框架,接入单机特征提取模型;
步骤3:使用更新的单机特征提取模型提取数据包语义特征并训练异常检测模型;
步骤4:使用训练的异常检测模型对数据包是否是远程代码执行攻击数据包进行判定。
需要强调的是,本发明关注的是HTTP数据包。
进一步地,步骤1包括以下步骤:
步骤1.1:数据包预处理。首先需要对数据包中的URL编码和Base64编码内容进行解码。接着,以行为单位使用预定义分隔符对数据包进行拆分,将数据包中的每一行拆分成一个以单词和短字符串组成的单词列表,其中单词和短字符串统一称作为单词;
步骤1.2:数据包标准化。对单词列表基于特殊关键字映射表进行标准化,将特殊关键字替换为特定的符号;
步骤1.3:数据包向量化。基于预训练词向量,将每个单词列表中的单词依次转换成词向量。然后对每个单词列表中的词向量进行算术平均,得到对应的行向量。按照行在数据包中出现的顺序对行向量进行拼接,得到数据包向量;
步骤1.4:构建数据包语义特征提取网络。搭建TextCNN神经网络,基于数据包向量提取数据包的语义特征。
进一步地,步骤2包括以下步骤:
步骤2.1:搭建联邦学习框架。部署聚合服务器和客户端,将单机特征提取模型接入联邦学习框架;
步骤2.2:客户端对各自的单机特征提取模型在自有的数据集上训练;
步骤2.3:客户端上传训练的单机特征提取模型的参数至聚合服务器;
步骤2.4:聚合服务器对网络参数进行聚合和更新,并将更新的网络参数下发至客户端;
步骤2.5:客户端对单机特征提取模型进行参数更新,得到优化后的单机特征提取模型。
进一步地,步骤3包括以下步骤:
步骤3.1:构建异常检测原始数据集,包含一组非网络攻击数据包和少量远程代码执行攻击数据包;
步骤3.2:使用步骤2中得到的更新后的单机特征提取模型,基于异常检测原始数据集提取数据包的语义特征,构建异常检测训练数据集;
步骤3.3:基于异常检测训练数据集,使用One-Class SVM算法训练异常检测模型。
进一步地,步骤4包括以下步骤:
步骤4.1:基于步骤3训练的异常检测模型,给出目标数据包是远程代码执行攻击数据包的概率。通过与人工定义的阈值相比较,如果概率值大于或等于阈值,则认为目标数据包是远程代码执行攻击数据包。
与现有技术相比,本发明的有益效果为:本发明利用TextCNN网络对数据包内容进行语义分析,提取其语义特征;基于异常检测方法,使用One-Class SVM算法对数据包的语义特征进行学习。此外,为解决远程代码执行攻击数据集稀缺影响模型分类性能的问题,本发明通过引入联邦学习技术,搭建联邦学习框架,将单机特征提取模型接入联邦学习框架,通过聚合单机特征提取模型在各“数据孤岛”(即各客户端自有的数据集)上训练得到的模型参数,更新单机特征提取模型,从而获得一个健壮性更高的单机特征提取模型。相较于传统基于规则的远程代码执行攻击数据包检测方法,本发明能够显著降低人工专家的工作量,同时在一定程度上解决训练数据稀缺的问题;仅通过对正常数据包语义特征的学习,建立异常检测模型实现对远程代码执行攻击数据包的判定。
附图说明
为了易于说明,本发明由下述的具体实施及附图作以详细描述。
图1是本发明所述方法的流程图。
图2是本发明所述方法的框架图。
具体实施方式
为使本发明的目的、技术方案和优点更为清晰明了,下面通过附图所示的具体示例来描述本发明。但是应该理解,这些描述知识是示例性的,并非是对本发明范围的限制。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要的概念混淆。
同时,还需要特别说明,为避免因不必要的细节而使本发明概念模糊,在附图中仅仅展示了与本发明方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
如图1所示,一种基于单分类和联邦学习的远程代码执行攻击检测方法,包括以下几个步骤:
步骤1:搭建单机特征提取模型,用于数据包语义特征提取。具体方法如下:
步骤1.1:数据包预处理。首先需要对数据包中的URL编码和Base64编码进行解码。接着,以行为单位使用预定义分隔符对数据包进行拆分,将数据包中的每一行拆分成一个以单词和短字符串组成的单词列表,其中单词和短字符串统一称作为单词,预定义分割符为:{ ',", <, >, +, _, *, {, }, (, ), [, ], ~, #, :, ;, !, @, |,&, =, %}。例如:对于一行“POST /user/1/edit HTTP/1.1”,被拆分为[POST,user,1,edit,HTTP,1, 1];
步骤1.2:数据包标准化。对单词列表基于特殊关键字映射表进行标准化,将特殊关键字替换为特定的符号。其中,特殊关键字分为9个类别:纯数字、无意义单词、二进制字符串、IP地址、加密内容、文件后缀、浏览器类型、请求方法、请求语言,分别用NUM、MEANLESS、BNY、IPADDR、ENCRYPSTR、FILESUFFIX、BROWSERRELATED、RQENAME、BROWSERRELATED替换。例如:对于单词列表[POST,user,1,edit,HTTP,1, 1],被标准化为:[RQENAME,user, NUM, edit,HTTP, NUM, NUM];
步骤1.3:数据包向量化。使用基于GloVe预训练的词向量glove-wiki-gigaword-300,将单词列表中的单词依次转换成
Figure 135555DEST_PATH_IMAGE001
维的词向量。对每一个单词列表,对其中的所有词向量进行算术平均,得到对应的行向量,计算方法为:
Figure 52696DEST_PATH_IMAGE002
,其中
Figure 832433DEST_PATH_IMAGE003
指第
Figure 227642DEST_PATH_IMAGE005
行单词列表对应的行向量,
Figure 42015DEST_PATH_IMAGE006
指当第
Figure 802160DEST_PATH_IMAGE005
行单词列表中的词向量个数,
Figure 69193DEST_PATH_IMAGE007
指第
Figure 268094DEST_PATH_IMAGE005
行单词列表中的第
Figure 936972DEST_PATH_IMAGE008
个单词的词向量。按照行在数据包中出现的顺序对行向量进行拼接,得到数据包向量,计算方法为:
Figure 930336DEST_PATH_IMAGE009
,其中
Figure 622349DEST_PATH_IMAGE010
指数据包的行数。本方法统一将
Figure 359360DEST_PATH_IMAGE010
设置为15,对于行数不足
Figure 882746DEST_PATH_IMAGE010
的数据包,使用
Figure 312590DEST_PATH_IMAGE011
Figure 554215DEST_PATH_IMAGE001
维的零向量进行填充,其中
Figure 829339DEST_PATH_IMAGE012
表示数据包的实际行数;对于行数超过
Figure 914888DEST_PATH_IMAGE010
的数据包,对其进行截断,只保留前
Figure 250054DEST_PATH_IMAGE010
行;
步骤1.4:构建数据包语义特征提取网络。搭建TextCNN神经网络,基于数据包向量提取数据包的语义特征。TextCNN神经网络由一个卷积层和一个池化层组成,包含6个卷积核,尺寸分别是(3, 300),(4, 300) ,(5, 300),(6, 300),(7, 300)和(8, 300),6个卷积核的输入通道数为1,输出通道数为50。训练时,优化器使用Adam,损失函数使用CrossEntropyLoss,学习率设置为0.01,训练批次设置为16,训练轮次设置为160;
步骤2:搭建联邦学习框架,将单机特征提取模型接入联邦学习框架。具体方法如下:
步骤2.1:基于MindSpore搭建联邦学习框架。部署聚合服务器和客户端,将单机特征提取模型接入联邦学习框架;
步骤2.2:客户端对各自的单机特征提取模型在自有的数据集上训练;
步骤2.3:客户端上传训练的单机特征提取模型的参数至聚合服务器;
步骤2.4:聚合服务器对网络参数进行聚合和更新,并将更新的网络参数下发至客户端;
步骤2.5:客户端对单机特征提取模型进行参数更新,得到优化后的单机特征提取模型;
步骤3:使用更新的单机特征提取模型提取数据包语义特征并训练异常检测模型。具体方法如下:
步骤3.1:构建异常检测原始数据集,包含一组非网络攻击数据包和少量远程代码执行攻击数据包。其中,远程代码执行攻击数据包与非网络攻击数据包数目的比例为1:4;
步骤3.2:使用步骤2中得到的更新后的单机特征提取模型,基于异常检测原始数据集提取数据包的语义特征,构建异常检测训练数据集;
步骤3.3:基于异常检测训练数据集,使用One-Class SVM算法训练异常检测模型。其中,One-Class SVM算法的kernel参数设置为“rbf”,gamma参数设置为5e-5,nu参数设置为0.03;
步骤4:使用训练的异常检测模型对数据包是否是远程代码执行攻击数据包进行判定。具体方法如下:
步骤4.1:基于步骤3训练的异常检测模型,给出目标数据包是远程代码执行攻击数据包的概率。通过与人工定义的阈值相比较,如果概率值大于或等于阈值,则认为目标数据包是远程代码执行攻击数据包。其中,阈值默认设置为0.5。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是用于说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都在要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (5)

1.一种基于单分类和联邦学习的远程代码执行攻击检测方法,其特征在于,包括以下步骤:
步骤1:搭建单机特征提取模型,用于数据包语义特征提取;
步骤2:搭建联邦学习框架,接入单机特征提取模型;
步骤3:使用更新的单机特征提取模型提取数据包语义特征并训练异常检测模型;
步骤4:使用训练的异常检测模型对数据包是否是远程代码执行攻击数据包进行判定。
2.根据权利要求1所述的方法,其特征在于,步骤1具体包括以下步骤:
步骤1.1:数据包预处理,首先需要对数据包中的URL编码和Base64编码进行解码;接着,以行为单位使用预定义分隔符对数据包进行拆分,将数据包中的每一行拆分成一个以单词和短字符串组成的单词列表,其中单词和短字符串统一称作为单词,预定义分割符为:{ ',", <, >, +, _, *, {, }, (, ), [, ], ~, #, :, ;, !, @, |,&, =, %};例如:对于一行“POST /user/1/edit HTTP/1.1”,被拆分为[POST,user,1,edit,HTTP,1, 1];
步骤1.2:数据包标准化,对单词列表基于特殊关键字映射表进行标准化,将特殊关键字替换为特定的符号;其中,特殊关键字分为9个类别:纯数字、无意义单词、二进制字符串、IP地址、加密内容、文件后缀、浏览器类型、请求方法、请求语言,分别用NUM、MEANLESS、BNY、IPADDR、ENCRYPSTR、FILESUFFIX、BROWSERRELATED、RQENAME、BROWSERRELATED替换;例如:对于单词列表[POST,user,1,edit,HTTP,1, 1],被标准化为:[RQENAME,user, NUM, edit,HTTP, NUM, NUM];
步骤1.3:数据包向量化,使用基于GloVe预训练的词向量glove-wiki-gigaword-300,将单词列表中的单词依次转换成
Figure 189608DEST_PATH_IMAGE001
维的词向量;对每一个单词列表,对其中的所有词向量进行算术平均,得到对应的行向量,计算方法为:
Figure 268422DEST_PATH_IMAGE002
,其中
Figure 766400DEST_PATH_IMAGE003
指第
Figure 538047DEST_PATH_IMAGE005
行单词列表对应的行向量,
Figure 488685DEST_PATH_IMAGE006
指当第
Figure 308874DEST_PATH_IMAGE005
行单词列表中的词向量个数,
Figure 661358DEST_PATH_IMAGE007
指第
Figure 603906DEST_PATH_IMAGE005
行单词列表中的第
Figure 41840DEST_PATH_IMAGE008
个单词的词向量;按照行在数据包中出现的顺序对行向量进行拼接,得到数据包向量,计算方法为:
Figure 462457DEST_PATH_IMAGE009
,其中
Figure 872710DEST_PATH_IMAGE010
指数据包的行数;本方法统一将
Figure 986160DEST_PATH_IMAGE010
设置为15,对于行数不足
Figure 911390DEST_PATH_IMAGE010
的数据包,使用
Figure 135698DEST_PATH_IMAGE011
Figure 197195DEST_PATH_IMAGE001
维的零向量进行填充,其中
Figure 481546DEST_PATH_IMAGE012
表示数据包的实际行数;对于行数超过
Figure 330291DEST_PATH_IMAGE010
的数据包,对其进行截断,只保留前
Figure 358290DEST_PATH_IMAGE010
行;
步骤1.4:构建数据包语义特征提取网络,搭建TextCNN神经网络,基于数据包向量提取数据包的语义特征;TextCNN神经网络由一个卷积层和一个池化层组成,包含6个卷积核,尺寸分别是(3, 300),(4, 300) ,(5, 300),(6, 300),(7, 300)和(8, 300),6个卷积核的输入通道数为1,输出通道数为50;训练时,优化器使用Adam,损失函数使用CrossEntropyLoss,学习率设置为0.01,训练批次设置为16,训练轮次设置为160。
3.根据权利要求1所述的方法,其特征在于,步骤2具体包括以下步骤:
步骤2.1:搭建联邦学习框架,部署聚合服务器和客户端,将单机特征提取模型接入联邦学习框架;
步骤2.2:客户端对各自的单机特征提取模型在自有的数据集上训练;
步骤2.3:客户端上传训练的单机特征提取模型的参数至聚合服务器;
步骤2.4:聚合服务器对网络参数进行聚合和更新,并将更新的网络参数下发至客户端;
步骤2.5:客户端对单机特征提取模型进行参数更新,得到优化后的单机特征提取模型。
4.根据权利要求1所述的方法,其特征在于,步骤3具体包括以下步骤:
步骤3.1:构建异常检测原始数据集,包含一组非网络攻击数据包和少量远程代码执行攻击数据包;
步骤3.2:使用步骤2中得到的更新后的单机特征提取模型,基于异常检测原始数据集提取数据包的语义特征,构建异常检测训练数据集;
步骤3.3:基于异常检测训练数据集,使用One-Class SVM算法训练异常检测模型;其中,One-Class SVM算法的kernel参数设置为“rbf”,gamma参数设置为5e-5,nu参数设置为0.03。
5.根据权利要求1所述的方法,其特征在于,步骤4具体包括以下步骤:
步骤4.1:基于步骤3训练的异常检测模型,给出目标数据包是远程代码执行攻击数据包的概率;通过与人工定义的阈值相比较,如果概率值大于或等于阈值,则认为目标数据包是远程代码执行攻击数据包;其中,阈值默认设置为0.5。
CN202211108049.XA 2022-09-13 2022-09-13 基于单分类和联邦学习的远程代码执行攻击检测方法 Active CN115473734B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211108049.XA CN115473734B (zh) 2022-09-13 2022-09-13 基于单分类和联邦学习的远程代码执行攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211108049.XA CN115473734B (zh) 2022-09-13 2022-09-13 基于单分类和联邦学习的远程代码执行攻击检测方法

Publications (2)

Publication Number Publication Date
CN115473734A true CN115473734A (zh) 2022-12-13
CN115473734B CN115473734B (zh) 2023-08-11

Family

ID=84332715

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211108049.XA Active CN115473734B (zh) 2022-09-13 2022-09-13 基于单分类和联邦学习的远程代码执行攻击检测方法

Country Status (1)

Country Link
CN (1) CN115473734B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688558A (zh) * 2024-02-01 2024-03-12 杭州海康威视数字技术股份有限公司 基于微结构异常事件的终端攻击轻量检测方法及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111709034A (zh) * 2020-05-29 2020-09-25 成都金隼智安科技有限公司 基于机器学习的工控环境智能安全检测***与方法
CN112270367A (zh) * 2020-11-05 2021-01-26 四川大学 一种基于语义信息的深度学习模型对抗鲁棒性增强方法
US20210051169A1 (en) * 2019-08-15 2021-02-18 NEC Laboratories Europe GmbH Thwarting model poisoning in federated learning
CN113990454A (zh) * 2021-10-27 2022-01-28 河南工程学院 基于联邦学习和特征提取的恶意行为识别方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210051169A1 (en) * 2019-08-15 2021-02-18 NEC Laboratories Europe GmbH Thwarting model poisoning in federated learning
CN111709034A (zh) * 2020-05-29 2020-09-25 成都金隼智安科技有限公司 基于机器学习的工控环境智能安全检测***与方法
CN112270367A (zh) * 2020-11-05 2021-01-26 四川大学 一种基于语义信息的深度学习模型对抗鲁棒性增强方法
CN113990454A (zh) * 2021-10-27 2022-01-28 河南工程学院 基于联邦学习和特征提取的恶意行为识别方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘小乐 等: "基于深度图卷积神经网络的ExploitKit 攻击活动检测方法", 《信息安全研究》, pages 685 - 693 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688558A (zh) * 2024-02-01 2024-03-12 杭州海康威视数字技术股份有限公司 基于微结构异常事件的终端攻击轻量检测方法及设备
CN117688558B (zh) * 2024-02-01 2024-05-07 杭州海康威视数字技术股份有限公司 基于微结构异常事件的终端攻击轻量检测方法及设备

Also Published As

Publication number Publication date
CN115473734B (zh) 2023-08-11

Similar Documents

Publication Publication Date Title
WO2019096099A1 (zh) Dga域名实时检测方法和装置
CN110084365B (zh) 一种基于深度学习的服务提供***及方法
CN109308494B (zh) Lstm模型及基于该模型的网络攻击识别方法及***
CN111758098B (zh) 利用遗传编程的命名实体识别和提取
CN111191767A (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN113194058B (zh) Web攻击检测方法、设备、网站应用层防火墙及介质
CN109831422A (zh) 一种基于端到端序列网络的加密流量分类方法
CN114726823B (zh) 一种基于生成对抗网络的域名生成方法、装置和设备
CN111259397A (zh) 一种基于马尔科夫图和深度学习的恶意软件分类方法
CN112884121A (zh) 基于生成对抗深度卷积网络的流量识别方法
CN114422271B (zh) 数据处理方法、装置、设备及可读存储介质
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
CN115473734A (zh) 基于单分类和联邦学习的远程代码执行攻击检测方法
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN111224998A (zh) 一种基于极限学习机的僵尸网络识别方法
CN113946823A (zh) 一种基于url基线偏离度分析的sql注入检测方法及装置
Qiao et al. Malware classification method based on word vector of bytes and multilayer perception
CN111444364B (zh) 一种图像检测方法和装置
CN112417886A (zh) 意图实体信息抽取方法、装置、计算机设备及存储介质
CN111797997A (zh) 网络入侵检测方法、模型构建方法、装置及电子设备
CN115622810A (zh) 一种基于机器学习算法的业务应用识别***及方法
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
Gu et al. Network intrusion detection with nonsymmetric deep autoencoding feature extraction
CN113055890B (zh) 一种面向移动恶意网页的多设备组合优化的实时检测***
CN114169540A (zh) 一种基于改进机器学习的网页用户行为检测方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant