TWI816579B - 網路入侵偵測系統及網路入侵偵測方法 - Google Patents

網路入侵偵測系統及網路入侵偵測方法 Download PDF

Info

Publication number
TWI816579B
TWI816579B TW111139093A TW111139093A TWI816579B TW I816579 B TWI816579 B TW I816579B TW 111139093 A TW111139093 A TW 111139093A TW 111139093 A TW111139093 A TW 111139093A TW I816579 B TWI816579 B TW I816579B
Authority
TW
Taiwan
Prior art keywords
network
network traffic
traffic
detected
classification
Prior art date
Application number
TW111139093A
Other languages
English (en)
Other versions
TW202416699A (zh
Inventor
呂姵萱
王邦傑
Original Assignee
財團法人工業技術研究院
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人工業技術研究院 filed Critical 財團法人工業技術研究院
Priority to TW111139093A priority Critical patent/TWI816579B/zh
Priority to US17/986,917 priority patent/US20240129325A1/en
Priority to CN202310015831.5A priority patent/CN117896083A/zh
Application granted granted Critical
Publication of TWI816579B publication Critical patent/TWI816579B/zh
Publication of TW202416699A publication Critical patent/TW202416699A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Physics (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

一種網路入侵偵測系統,包括網路卡以及處理器,網路卡用以接收網路流量,處理器用以解析網路流量並提取網路流量的流量特徵,基於流量特徵確認網路流量是否為待檢測網路流量;將待檢測網路流量輸入至自動編碼模組以取得重構樣本,並計算待檢測網路流量與重構樣本之間的重構誤差;當重構誤差小於重構誤差閾值時,將待檢測網路流量及重構樣本分別輸入至少一分類模組,計算出分布相似度;以及當分布相似度小於信心分布相似閾值時,將待檢測網路流量輸入至入侵異常分類模型進行網路入侵分類。

Description

網路入侵偵測系統及網路入侵偵測方法
本發明是有關於一種網路入侵偵測技術,且特別是有關於一種網路入侵偵測方法及網路入侵偵測系統。
習知的網路入侵異常檢測系統可在網路上檢測到可疑惡意行為時發出警報。隨著人工智慧技術的進步,機器學習能幫助系統提高準確性執行更好的分析,發現已知或未知的攻擊。然而,機器學習的應用是有弱點存在的,例如對抗式迴避入侵偵測攻擊(Adversarial evasion attack)能夠顯著降低入侵異常檢測的準確性,即網路入侵異常檢測系統會誤將惡意流量檢測為良性,攻擊者可以使用這種技術有效地規避入侵檢測系統。
另外,現有的網路入侵偵測技術中,可能需要大量多樣化的樣本才能創建有效的樣本資料或事件列表,或者是會消耗許多運算資源不斷地重新訓練預測模型,這些做法都需要耗費許多時間以及資源。
因此,如何能在網路入侵異常檢測時加強防禦機制,將可緩解迴避入侵攻擊,達到事前與事中的偵測阻絕,提升網路入侵異常檢測系統可信任性。
本揭露提供一種網路入侵偵測系統,包括網路卡以及處理器。網路卡用以接收網路流量;處理器耦接網路卡,具有自動編碼模組以及至少一分類模組。處理器用以執行:解析網路流量並提取網路流量的流量特徵,基於流量特徵確認網路流量是否為待檢測網路流量;將待檢測網路流量輸入至自動編碼模組以取得重構樣本,並計算待檢測網路流量與重構樣本之間的重構誤差;當重構誤差小於重構誤差閾值時,將待檢測網路流量及重構樣本分別輸入至少一分類模組,執行機率分布差異性檢測以計算出分布相似度;以及當分布相似度小於信心分布相似閾值時,將待檢測網路流量輸入至入侵異常分類模型進行網路入侵分類。
本揭露提供一種網路入侵偵測方法,適用於具有網路卡及處理器的電腦裝置,網路卡用以接收網路流量,而處理器用以對網路流量執行網路入侵偵測方法。其中網路入侵偵測方法包括:解析網路流量並提取網路流量的流量特徵,基於流量特徵確認網路流量是否為待檢測網路流量;將待檢測網路流量輸入至自動編碼模組以取得重構樣本,並計算待檢測網路流量與重構樣本之間的重構誤差;當重構誤差小於重構誤差閾值時,將待檢測網路流量及重構樣本分別輸入至少一分類模組,執行機率分布差異性檢測以計算出分布相似度;當分布相似度小於信心分布相似閾值時,將待檢測網路流量輸入至入侵異常分類模型進行網路入侵分類。
基於上述,本揭露所述的網路入侵偵測系統及網路入侵偵測方法可在原先網路入侵異常分類模型預測前,先透過兩階段檢測過濾每一筆網路流量,進行惡意未知流量篩選篩選,提升系統對迴避入侵攻擊的抵抗能力,增進異常檢測系統可信任性。
本揭露的部份實施例接下來將會配合附圖來詳細描述,以下的描述所引用的元件符號,當不同附圖出現相同的元件符號將視為相同或相似的元件。這些實施例只是本揭露的一部份,並未揭示所有本揭露的可實施方式。
圖1是根據本揭露的一實施例繪示一種網路入侵偵測系統1的架構圖。請參考圖1,網路入侵偵測系統1包括網路卡11以及處理器12。網路卡11用以接收網路流量;處理器12耦接網路卡11。實務上來說,網路入侵偵測系統1可由電腦裝置來實作,例如是桌上型電腦、筆記型電腦、平板電腦、工作站等具有運算功能、顯示功能以及連網功能電腦裝置,本揭露並不加以限制。網路卡11例如是支援WiFi標準或其他具備無線傳輸功能的任何類型無線網路介面模組或是支援乙太網路(Ethernet)、光纖(optical fiber)或其他具備有線傳輸功能的任何類型的有線網路介面模組。另外,處理器12可以是中央處理器(CPU)、微處理器(micro-processor)或嵌入式控制器(embedded controller),本揭露並不加以限制。
處理器12具有自動編碼模組121以及至少一分類模組122,由處理器12控制自動編碼模組121以及分類模組122的整體運作。例如,網路卡11接收網路流量之後,網路流量會被送入處理器12中,再透過自動編碼模組121以及分類模組122的運作,以對網路流量進行入侵偵測。
於一實施例中,網路入侵偵測系統1更包括資料庫13,資料庫13耦接於處理器12,用以儲存待觀察網路流量(將於後續詳述)。實務上來說,資料庫13可以是記憶體(memory)、隨機存取記憶體(Random-Access Memory,RAM)或硬碟(Hard Disk Drive,HDD)等儲存媒體,本揭露並不加以限制。
圖2是根據本揭露的一實施例繪示一種網路入侵偵測方法2的流程圖。網路入侵偵測方法2包括步驟S21~S29,請同時參考圖1、2。首先,於步驟S21中,處理器12解析網路流量並提取網路流量的流量特徵,基於流量特徵確認網路流量是否為待檢測網路流量 x。網路流量包含許多網路封包,處理器12可解析網路封包內的數據並完成特徵工程,例如透過編碼轉換、正規化、篩選缺失值等提取流量特徵,再基於提取出的流量特徵中確認網路流量是否為待檢測網路流量 x
於步驟S22中,處理器12將待檢測網路流量 x輸入至自動編碼模組121以取得重構樣本 AE(x),並計算待檢測網路流量 x與重構樣本 AE(x)之間的重構誤差。接下來將說明自動編碼模組121的運作。
圖3是根據本揭露的一實施例繪示自動編碼模組121的示意圖。圖3中所繪示的自動編碼模組121可為透過一個編碼器與一個解碼器的組合來實作生成模型的機制。自動編碼模組121可根據多筆驗證資料產生分別對應於多筆驗證資料的多筆估計重構樣本,其中多筆驗證資料可包含多個正常網路流量。自動編碼模組121可根據多筆驗證資料以及多筆估計資料計算多個重構誤差,並且將多個重構誤差的其中之一設為重構誤差閾值。
一旦處理器12透過正常樣本訓練自動編碼模組121,並取得重構誤差閾值後,處理器12將待檢測網路流量 x輸入至已訓練過的自動編碼模組121以取得重構樣本 AE(x),並計算待檢測網路流量 x與重構樣本 AE(x)之間的重構誤差|| x- AE(x)||。
回到圖1、2。於步驟S23中,處理器12判斷重構誤差|| x- AE(x)||是否小於重構誤差閾值,即第一階段測試。倘若重構誤差|| x- AE(x)||小於重構誤差閾值,則待檢測網路流量 x通過第一階段測試,代表待檢測網路流量 x可能為正常網路流量。反之,倘若重構誤差|| x- AE(x)||未小於重構誤差閾值,則待檢測網路流量 x未通過第一階段測試,代表待檢測網路流量 x可能為異常網路流量。
倘若重構誤差|| x- AE(x)||小於重構誤差閾值,則待檢測網路流量 x通過第一階段測試,也代表待檢測網路流量 x可能為正常網路流量。於步驟S24中,處理器12將通過第一階段測試的待檢測網路流量 x及重構樣本 AE(x)分別輸入至少一分類模組122,計算出分布相似度。分類模組122可為機器學習分類器(例如:Random forest classifier、Adaboost classifier等)、深度學習分類器(例如:Deep neural network classifier)。接下來將說明分類模組122的運作。於步驟S25中,處理器12判斷分布相似度是否小於信心分布相似閾值,即第二階段測試。
倘若待檢測網路流量 x為包含對抗樣本的異常網路流量,對抗樣本會誤導分類器,即無法單純透過分類器去分類異常網路入侵的類型,因此,本揭露是透過網路流量和重構樣本輸入分類模組之後,透過JS散度(Jensen-Shannon divergence)來計算網路流量的流量分類機率 f(x)和重構樣本的樣本分類機率 f(AE(x))之間的分布相似度JSD,衡量機率分布的相似性。若分布相似度JSD小於信心分布相似閾值,則待檢測網路流量 x通過第二階段測試,也代表待檢測網路流量 x屬於正常網路流量。反之,若分布相似度JSD未小於信心分布相似閾值,代表待檢測網路流量 x屬於包含對抗樣本的異常網路流量。
圖4是根據本揭露的一實施例繪示計算分布相似度的示意圖。於一實施例中,處理器12會事先透過歷史正常網路流量與正常重構樣本訓練分類模組122,並取得信心分布相似閾值。以圖4舉例,處理器12將待檢測網路流量 x輸入分類模組後,可分別得到流量分類機率 f(x)為分類A和分類B的機率分別為30%和70%。而後,處理器12再將待檢測網路流量 x的重構樣本 AE(x)分別輸入分類模組122後,可分別得到樣本分類機率 f(AE(x))為分類A和分類B的機率分別為30%和70%。以待檢測網路流量 x經分類模組122輸出的流量分類機率 f(x)和待檢測網路流量 x的重構樣本 AE(x)經分類模組122輸出的樣本分類機率 f(AE(x))來判斷分布相似度,待檢測網路流量 x的流量分類機率 f(x)和待檢測網路流量 x的重構樣本 AE(x)的樣本分類機率 f(AE(x))之間的分布相似度JSD([30, 70], [30, 70])=0,小於信心分布相似閾值,則處理器21可判斷待檢測網路流量 x為正常網路流量。
於一實施例中,處理器12將另一待檢測網路流量 x分別輸入分類模組122後,可分別得到流量分類機率 f(x)為分類A和分類B的機率分別為10%和90%。而後,處理器12再將另一待檢測網路流量 x的重構樣本 AE(x)分別輸入分類模組122後,可分別得到樣本分類機率 f(AE(x))為分類A和分類B的機率分別為70%和30%。
以待檢測網路流量 x經分類模組122輸出的流量分類機率 f(x)和另一待檢測網路流量 x經分類模組122輸出的流量分類機率 f(x)來判斷分布相似度,待檢測網路流量 x的流量分類機率 f(x)和另一待檢測網路流量 x的流量分類機率 f(x)之間的分布相似度JSD([30, 70], [10, 90])=0.03,小於信心分布相似閾值,則處理器21可判斷另一待檢測網路流量 x可能為正常網路流量。以另一待檢測網路流量 x經分類模組122輸出的流量分類機率 f(x)和另一待檢測網路流量 x的重構樣本 AE(x)經分類模組122輸出的樣本分類機率 f(AE(x))來判斷分布相似度,另一待檢測網路流量 x的流量分類機率 f(x)和另一待檢測網路流量 x的樣本分類機率 f(AE(x))之間的分布相似度JSD([10, 90], [70, 30])=0.20,大於信心分布相似閾值,則處理器21可判斷另一待檢測網路流量 x為包含對抗樣本的異常網路流量。
回到圖1、2。於步驟S26中,當分布相似度JSD小於信心分布相似閾值時,即待檢測網路流量 x已通過了第一階段測試和第二階段測試,則處理器12將待檢測網路流量 x輸入至入侵異常分類模型9進行網路入侵分類。常見的入侵異常分類模型有DNN、CNN、LSTM、DECISION TREE、RANDOM FOREST等。於步驟S27中,入侵異常分類模型9基於已通過了第一階段測試和第二階段測試的待檢測網路流量 x產生風險報告,提供維護人員進行惡意未知流量篩選。
回到步驟S23中,倘若處理器12判斷關於待檢測網路流量 x的重構誤差|| x- AE(x)||未小於重構誤差閾值,即待檢測網路流量 x未通過第一階段測試時,於步驟S28中,處理器12將待檢測網路流量 x輸入至資料庫13,並設定待檢測網路流量 x為待觀察網路流量 x’
同樣地,於步驟S25中,倘若處理器12判斷待檢測網路流量 x的流量分類機率 f(x)和其重構樣本的樣本分類機率 f(AE(x))之間的分布相似度JSD未小於信心分布相似閾值,即待檢測網路流量 x未通過第二階段測試時,於步驟S28中,處理器12將待檢測網路流量 x輸入至資料庫13,並設定待檢測網路流量 x為待觀察網路流量 x’
於步驟S29中,當資料庫13中的待觀察網路流量 x’於單位時間內的累積數量大於一預警閾值時,處理器12發出預警提醒維護人員。於一實施例中,網路入侵偵測系統1可根據待觀察網路流量 x’中的IP位址,判斷待觀察網路流量 x’是否是由固定IP所連續發出的異常流量,倘若異常流量數量已超過一容忍度,則網路入侵偵測系統1傳送警示信號給維護人員。
圖5是根據本揭露的一實施例繪示網路入侵偵測系統1結合一入侵異常模型DNN的示意圖。於圖6中,分別以Fast gradient sign method(FGSM)、Jacobian-based Saliency Map Attack (JSMA)、Carlini & Wagner attack(CW)、Basic Iterative Methods(BIM)、DeepFool、Hashemi’s attack進行對抗式惡意樣本入侵測試攻擊。以Fast gradient sign method(FGSM)為例,單以入侵異常模型DNN面對網路流量的分類準確率為85.91%,但以入侵異常模型DNN面對FGSM對抗樣本的分類準確率僅為20%。若結合本案所揭露的網路入侵偵測系統1及入侵異常模型DNN,則面對FGSM對抗樣本的分類準確率可提升至94.37%。如圖5所示,若結合本案所揭露的網路入侵偵測系統1及入侵異常模型DNN,面對其他攻擊類型的分類準確率也均有大幅度的提升。
圖6是根據本揭露的一實施例繪示網路入侵偵測系統1結合另一入侵異常模型DECISION TREE的示意圖。於圖7中,同樣分別以Fast gradient sign method(FGSM)、Jacobian-based Saliency Map Attack (JSMA)、Carlini & Wagner attack(CW)、Basic Iterative Methods(BIM)、DeepFool、Hashemi’s attack進行對抗式惡意樣本入侵測試攻擊。以Fast gradient sign method(FGSM)為例,單以入侵異常模型DECISION TREE面對網路流量的分類準確率為85.06%,但以入侵異常模型DECISION TREE面對FGSM對抗樣本的分類準確率僅為22%。若結合本案所揭露的網路入侵偵測系統1及入侵異常模型DECISION TREE,則面對FGSM對抗樣本的分類準確率可提升至94%。如圖6所示,若結合本案所揭露的網路入侵偵測系統1及入侵異常模型DECISION TREE,面對其他攻擊類型的分類準確率也均有大幅度的提升。
綜上所述,本揭露所述的網路入侵偵測系統及網路入侵偵測方法可在原先網路入侵異常分類模型預測前,先透過兩階段檢測過濾每一筆網路流量,進行惡意未知流量篩選篩選,提升系統對迴避入侵攻擊的抵抗能力,增進異常檢測系統可信任性。習知的網路入侵偵測技術因迴避入侵攻擊使模型不準確,導致基於錯誤輸出的不良決策。由於缺乏簡單修復機制,資訊安全人員必須將重點放在預防和偵測上。相較於習知的網路入侵偵測技術,在新攻擊發生時,本揭露所述的網路入侵偵測系統及網路入侵偵測方法不需要大量時間修復(重訓練)模型才能對抗迴避入侵攻擊,不會消耗許多運算資源在不斷地重新訓練預測模型,更加有效率,也可以先花少量資源訓練附加網路擋在模型前面,攔截後續可疑未知樣本,無需大量多樣化的樣本來創建有效的樣本資料或事件列表,更加節省資源。
1:網路入侵偵測系統 11:網路卡 12:處理器 121:自動編碼模組 122:分類模組 13:資料庫 2:網路入侵偵測方法 S21~S29:步驟 9:入侵異常分類模型 AE(x):重構樣本 || x- AE(x)||:重構誤差 f(x):流量分類機率 f(AE(x)):樣本分類機率 JSD:分布相似度 x:待檢測網路流量 x’:待觀察網路流量
圖1是根據本揭露的一實施例繪示一種網路入侵偵測系統的架構圖。 圖2是根據本揭露的一實施例繪示一種網路入侵偵測方法的流程圖。 圖3是根據本揭露的一實施例繪示自動編碼模組的示意圖。 圖4是根據本揭露的一實施例繪示計算分布相似度的示意圖。 圖5是根據本揭露的一實施例繪示網路入侵偵測系統結合一入侵異常模型的示意圖。 圖6是根據本揭露的一實施例繪示網路入侵偵測系統結合x另一入侵異常模型的示意圖。
1:網路入侵偵測系統
11:網路卡
12:處理器
121:自動編碼模組
122:分類模組
13:資料庫
9:入侵異常分類模型
AE(x):重構樣本
x:待檢測網路流量
x’:待觀察網路流量

Claims (14)

  1. 一種網路入侵偵測系統,包括:網路卡,用以接收網路流量;以及處理器,耦接該網路卡,具有自動編碼模組以及至少一分類模組,其中該處理器更用以執行:解析該網路流量並提取該網路流量的流量特徵,基於該流量特徵確認該網路流量是否為待檢測網路流量;將該待檢測網路流量輸入至自動編碼模組以取得重構樣本,並計算該待檢測網路流量與該重構樣本之間的重構誤差;當該重構誤差小於重構誤差閾值時,將該待檢測網路流量及該重構樣本分別輸入至少一分類模組,計算出分布相似度,其中該重構誤差閾值是該處理器透過正常樣本訓練該自動編碼模組以取得;以及當該分布相似度小於信心分布相似閾值時,將該待檢測網路流量輸入至入侵異常分類模型進行網路入侵分類,其中該信心分布相似閾值是該處理器透過該正常樣本訓練該至少一分類模組以取得。
  2. 如請求項1所述的網路入侵偵測系統,其中當該重構誤差小於該重構誤差閾值時,該處理器將該待檢測網路流量輸入至該至少一分類模組並輸出流量分類機率,並將該重構樣本輸入 至該至少一分類模組並輸出樣本分類機率,計算該流量分類機率與該樣本分類機率的該分布相似度。
  3. 如請求項1所述的網路入侵偵測系統,更包括:資料庫,耦接於該處理器,用以儲存待觀察網路流量。
  4. 如請求項3所述的網路入侵偵測系統,其中當該重構誤差未小於重構誤差閾值時,該處理器設定該待檢測網路流量為該待觀察網路流量,並將該待檢測網路流量輸入至該資料庫。
  5. 如請求項3所述的網路入侵偵測系統,其中當該分布相似度未小於信心分布相似閾值時,該處理器設定該待檢測網路流量為待觀察網路流量,並將該待檢測網路流量輸入至該資料庫。
  6. 如請求項3所述的網路入侵偵測系統,其中當該待觀察網路流量於單位時間內的累積數量大於一預警閾值時,該處理器發出預警。
  7. 如請求項1所述的網路入侵偵測系統,其中該至少一分類模組為機器學習分類器、深度學習分類器或其組合。
  8. 如請求項7所述的網路入侵偵測系統,其中當該分布相似度小於該信心分布相似閾值時,該處理器透過該待檢測網路流量訓練該至少一分類模組學習。
  9. 一種網路入侵偵測方法,適用於具有一網路卡及一處理器的一電腦裝置,該網路卡用以接收網路流量,而該處理器用以對該網路流量執行該網路入侵偵測方法,其中該網路入侵偵測方法包括; 解析該網路流量並提取該網路流量的流量特徵,基於該流量特徵確認該網路流量是否為待檢測網路流量;將該待檢測網路流量輸入至自動編碼模組以取得重構樣本,並計算該待檢測網路流量與該重構樣本之間的重構誤差;當該重構誤差小於重構誤差閾值時,將該待檢測網路流量及該重構樣本分別輸入至少一分類模組,計算出分布相似度,其中該重構誤差閾值是該處理器透過正常樣本訓練該自動編碼模組以取得;以及當該分布相似度小於信心分布相似閾值時,將該待檢測網路流量輸入至入侵異常分類模型進行網路入侵分類,其中該信心分布相似閾值是該處理器透過該正常樣本訓練該至少一分類模組以取得。
  10. 如請求項9所述的網路入侵偵測方法,其中當該重構誤差小於該重構誤差閾值時,將該待檢測網路流量輸入至該至少一分類模組並輸出流量分類機率,並將該重構樣本輸入至該至少一分類模組並輸出樣本分類機率,計算該流量分類機率與該樣本分類機率的該分布相似度。
  11. 如請求項9所述的網路入侵偵測方法,更包括:當該重構誤差未小於重構誤差閾值時,將該待檢測網路流量設定為待觀察網路流量;以及當該待觀察網路流量於單位時間內的累積數量大於一預警閾值時,發出預警。
  12. 如請求項9所述的網路入侵偵測方法,更包括:其中當該分布相似度未小於信心分布相似閾值時,將該待檢測網路流量設定為待觀察網路流量:以及當該待觀察網路流量於單位時間內的累積數量大於一預警閾值時,發出預警。
  13. 如請求項9所述的網路入侵偵測方法,其中該至少一分類模組為機器學習分類器、深度學習分類器或其組合。
  14. 如請求項13所述的網路入侵偵測方法,其中當該分布相似度小於該信心分布相似閾值時,透過該待檢測網路流量訓練該至少一分類模組學習。
TW111139093A 2022-10-14 2022-10-14 網路入侵偵測系統及網路入侵偵測方法 TWI816579B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW111139093A TWI816579B (zh) 2022-10-14 2022-10-14 網路入侵偵測系統及網路入侵偵測方法
US17/986,917 US20240129325A1 (en) 2022-10-14 2022-11-15 Network intrusion detecting system and network intrusion detecting method
CN202310015831.5A CN117896083A (zh) 2022-10-14 2023-01-04 网络入侵侦测***及网络入侵侦测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW111139093A TWI816579B (zh) 2022-10-14 2022-10-14 網路入侵偵測系統及網路入侵偵測方法

Publications (2)

Publication Number Publication Date
TWI816579B true TWI816579B (zh) 2023-09-21
TW202416699A TW202416699A (zh) 2024-04-16

Family

ID=88966321

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111139093A TWI816579B (zh) 2022-10-14 2022-10-14 網路入侵偵測系統及網路入侵偵測方法

Country Status (3)

Country Link
US (1) US20240129325A1 (zh)
CN (1) CN117896083A (zh)
TW (1) TWI816579B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017205850A1 (en) * 2016-05-26 2017-11-30 Ogma Intelligent Systems Corp. Processing time-varying data streams using sparse predictive hierarchies
TW202135507A (zh) * 2020-03-04 2021-09-16 國立中正大學 非監督式惡意流量偵測系統及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017205850A1 (en) * 2016-05-26 2017-11-30 Ogma Intelligent Systems Corp. Processing time-varying data streams using sparse predictive hierarchies
TW202135507A (zh) * 2020-03-04 2021-09-16 國立中正大學 非監督式惡意流量偵測系統及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
網路文獻 Singh, Amardeep, and Julian Jang-Jaccard. "Autoencoder-based Unsupervised Intrusion Detection using Multi-Scale Convolutional Recurrent Networks." arXiv preprint arXiv 2022/04/07 https://arxiv.org/pdf/2204.03779.pdf *

Also Published As

Publication number Publication date
TW202416699A (zh) 2024-04-16
CN117896083A (zh) 2024-04-16
US20240129325A1 (en) 2024-04-18

Similar Documents

Publication Publication Date Title
Li et al. Adversarial attacks and defenses on cyber–physical systems: A survey
US11418524B2 (en) Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
CN111107102A (zh) 基于大数据实时网络流量异常检测方法
CN111652290B (zh) 一种对抗样本的检测方法及装置
Peng et al. Network intrusion detection based on deep learning
Han et al. PPM-InVIDS: Privacy protection model for in-vehicle intrusion detection system based complex-valued neural network
CN111598179A (zh) 电力监控***用户异常行为分析方法、存储介质和设备
WO2024114827A1 (zh) 基于连续时间动态异质图神经网络的apt检测方法及***
Long et al. Autoencoder ensembles for network intrusion detection
CN111784404B (zh) 一种基于行为变量预测的异常资产识别方法
Xue Machine Learning: Research on Detection of Network Security Vulnerabilities by Extracting and Matching Features
TWI816579B (zh) 網路入侵偵測系統及網路入侵偵測方法
CN116994167A (zh) 一种基于机器学习算法的网站安全监测方法
Rasane et al. A comparative analysis of intrusion detection techniques: Machine learning approach
Samadzadeh et al. Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model
Xu et al. Multi-Featured Anomaly Detection for Mobile Edge Computing Based UAV Delivery Systems
Abhale et al. Deep Learning Algorithmic Approach for Operational Anomaly Based Intrusion Detection System in Wireless Sensor Networks
CN113536299A (zh) 一种基于贝叶斯神经网络的入侵检测***的设计方法
Dong et al. Security situation assessment algorithm for industrial control network nodes based on improved text simhash
Ding et al. Multi-step attack threat recognition algorithm based on attribute association in internet of things security
Sharshembiev et al. Protocol Misbehavior Analysis using Multivariate Statistical Analysis and Machine Learning in Vehicular Ad Hoc Networks.
Li et al. An Anomaly Detection Approach Based on Integrated LSTM for IoT Big Data
CN117240598B (zh) 攻击检测方法、装置、终端设备及存储介质
CN117375893B (zh) 一种基于r-GRU网络的工业互联网跨域访问请求潜在风险判别方法及判别***
Xu et al. [Retracted] IoT‐Oriented Distributed Intrusion Detection Methods Using Intelligent Classification Algorithms in Spark