【CN110012019A】一种基于对抗模型的网络入侵检测方法及装置【专利】

专利名称：一种基于集成学习的网络入侵检测方法及装置专利类型：发明专利
发明人：柳毅,曾昊,罗玉,李敏,梁雍仕
申请号：CN201911327275.5
申请日：20191220
公开号：CN111181939A
公开日：
20200519
专利内容由知识产权出版社提供
摘要：本申请公开了一种基于集成学习的网络入侵检测方法及装置，所述方法包括：采集网络入侵检测数据并提取特征和预处理，建立训练数据集，选择数据量较少的攻击类型数据增加其数据量；对于训练数据集中的每个数据类型训练多个学习器，然后用集成学习的方式将多个学习器融合在一起，形成每一种数据类型对应的集成学习模型；为每个数据类型设置最优的分类阈值，使发生误分类的代价最小；将待检测数据分别输入到每一种数据类型的集成学习模型中，根据集成学习模型的输出结果和所述的分类阈值得到待检测数据所属的数据类型。

本申请能有效解决现有技术中存在的对数据量少的攻击类型的攻击数据检测准确率低下、误报率和虚警率较高的问题。

申请人：广东工业大学
地址：510062 广东省广州市大学城外环西路100号
国籍：CN
代理机构：广东广信君达律师事务所
代理人：杨晓松
更多信息请下载全文后查看。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 201910173078.6(22)申请日 2019.03.07(71)申请人 腾讯科技（深圳）有限公司地址 518057 广东省深圳市南山区高新区科技中一路腾讯大厦35层(72)发明人 张恒　董志强　张祖优　(74)专利代理机构 广州三环专利商标代理有限公司 44202代理人 郝传鑫　贾允(51)Int.Cl.H04L 29/06(2006.01)(54)发明名称一种入侵检测方法和装置(57)摘要本发明公开了一种入侵检测方法和装置，所述方法包括：根据待检测进程的系统调用信息确定待检测进程的多个调用短序列，调用短序列包括按进程中系统调用的调用时序排列的第一数量个系统调用；根据系统调用信息中每个系统调用分别在多个调用短序列中的出现频率确定多个调用短序列的相对频率向量；基于多个调用短序列的相对频率向量进行系统调用分布学习，得到表征待检测进程中系统调用的时序和相对频率的分布特征的调用分布向量；基于待检测进程的调用分布向量与多个非入侵进程的调用分布向量进行聚类分析；根据聚类分析的结果确定待检测进程是否发生入侵。

利用本发明提供的技术方案能提高入侵检测的准确率，避免漏报、误判等情况。

权利要求书2页 说明书11页 附图8页CN 110198299 A 2019.09.03C N 110198299A权　利　要　求　书1/2页CN 110198299 A1.一种入侵检测方法，其特征在于，所述方法包括：根据待检测进程的系统调用信息确定所述待检测进程的多个调用短序列，所述调用短序列包括按进程中系统调用的调用时序排列的第一数量个系统调用；根据所述系统调用信息中每个系统调用分别在多个调用短序列中的出现频率确定所述多个调用短序列的相对频率向量；基于所述多个调用短序列的相对频率向量进行系统调用分布学习，得到所述待检测进程的调用分布向量，所述调用分布向量表征所述待检测进程中系统调用的时序和相对频率的分布特征；基于所述待检测进程的调用分布向量与多个非入侵进程的调用分布向量对所述待检测进程与所述多个非入侵进程进行聚类分析；根据所述聚类分析的结果确定所述待检测进程是否发生入侵。

专利名称：一种网络入侵行为检测方法及系统专利类型：发明专利
发明人：刘博,刘军娜,王长瑞,梁伟宸,李烜
申请号：CN201911189712.1
申请日：20191128
公开号：CN110830504A
公开日：
20200221
专利内容由知识产权出版社提供
摘要：本发明提供了一种网络入侵行为检测方法及系统，所述方法包括：得到基于网络入侵信息得到的告警信息；将所述告警信息输入预设的神经网络进行检测得到可疑告警信息；根据所述可疑告警信息确定是否存在网络攻击，若存在，向用户终端反馈存在网络攻击的预警信号，本发明可提高网络入侵行为检测的实时性和准确性。

申请人：华北电力科学研究院有限责任公司,国家电网有限公司
地址：100045 北京市西城区复兴门外地藏庵南巷一号
国籍：CN
代理机构：北京三友知识产权代理有限公司
更多信息请下载全文后查看。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 202011479716.6(22)申请日 2020.12.15(71)申请人 江西师范大学地址 330000 江西省南昌市紫阳大道99号(72)发明人 雷震春　马明磊　杨印根　(74)专利代理机构 北京慕达星云知识产权代理事务所(特殊普通合伙)11465代理人 符继超(51)Int.Cl.G06N 3/04(2006.01)G06N 3/08(2006.01)H04L 29/06(2006.01)(54)发明名称一种基于生成对抗网络过采样的网络入侵检测方法(57)摘要本发明公开了一种基于生成对抗网络过采样的网络入侵检测方法，先选取网络入侵检测数据集中的主要特征，对主要特征进行数据预处理，得到训练集，再通过CGAN模型对训练集中的不平衡数据过采样，然后输入到网络入侵检测模型中进行训练，训练完成以后使用测试集对网络入侵检测模型进行测试。

本发明通过CGAN模型产生的过采样样本，先解决了数据的不平衡问题以后再对检测模型进行训练，使得检测模型对样本数量较少类别的分类更加准确，以此提高了检测模型整体的准确率。

权利要求书2页 说明书6页 附图2页CN 112613599 A 2021.04.06C N 112613599A1.一种基于生成对抗网络过采样的网络入侵检测方法，其特征在于，先选取网络入侵检测数据集中的主要特征，对主要特征进行数据预处理，得到训练集，再通过CGAN模型对训练集中的不平衡数据过采样，然后输入到网络入侵检测模型中进行训练，训练完成以后使用测试集对网络入侵检测模型进行测试。

2.根据权利要求1所述的一种基于生成对抗网络过采样的网络入侵检测方法，其特征在于，网络入侵检测数据集中的主要特征包括TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征以及基于主机的网络流量统计特征。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 202011473456.1(22)申请日 2020.12.15(71)申请人 浙江大学地址 310058 浙江省杭州市余杭塘路866号申请人 光通天下网络科技股份有限公司(72)发明人 张帆　赵子鸣　林峰　张斌　任奎　赵俊　单夏烨　任新新　段吉瑞　(74)专利代理机构 杭州求是专利事务所有限公司 33200代理人 邱启旺(51)Int.Cl.H04L 29/06(2006.01)G06N 3/04(2006.01)G06N 20/00(2019.01)G06K 9/62(2006.01)(54)发明名称一种基于机器学习集成模型的网络入侵检测方法(57)摘要本明公开了一种基于机器学习集成模型的网络入侵检测方法，该方法包括流量捕获、特征提取、特征向量降维、模型训练与融合、结果分析。

本发明使用LSTM，实现对时序数据的降维，提高了模型训练和预测的效率；其次本发明使用多个机器学习模型的融合，实现了对网络中流量的识别与分类，该方法具有较高的检测准确率和较快的处理速度，在网络节点中部署，可以高效地识别并防范恶意攻击行为，保证了实时性和应用性。

权利要求书1页 说明书4页 附图1页CN 112769752 A 2021.05.07C N 112769752A1.一种基于机器学习集成模型的网络入侵检测方法，其特征在于，包括以下步骤：步骤（1）：将网络节点入口的流量数据进行捕获，保存至本地文件，所述本地文件中包含不同类别的DDoS攻击；步骤（2）：数据预处理和特征提取：对于捕获的流量数据中重复的流量数据进行删除，按照五元组进行划分，随后进行特征提取，所述特征构成特征向量；所述特征包括：TCP标志类别相关特征、TCP标志个数相关特征、数据包大小相关特征、包间隔时间相关特征、速率相关特征；所述五元组包括：源IP、目标IP、源端口、目标端口、协议类型；步骤（3）：特征向量降维：将步骤（2）中的特征向量转换为包特征向量序列，根据不同类别的DDoS攻击分别训练LSTMi 模型，当损失函数值小于0.01时完成对LSTMi模型的训练；对于每一种LSTMi 模型，求得前一个包特征向量序列输入训练好的LSTMi模型中的输出结果与当前包特征向量序列的均方误差MSE，并将均方误差MSE由高到低排序，并按照均方误差MSE的排列顺序，保留前10维包特征向量；将所有类别的DDoS攻击的前10维包特征向量求并集，再将并集转化成对应的五元组特征向量；所述LSTMi模型为长短期记忆网络，以神经元为结构单元，i表示DDoS攻击的类别数；步骤（4）：模型训练与融合：将步骤（3）中得到的五元组特征向量分别输入随机森林‑基尼机器学习模型、随机森林‑熵机器学习模型、KNN‑均匀权重机器学习模型、KNN‑距离倒数机器学习模型、LGB机器学习模型、CatBoost机器学习模型、NN机器学习模型中，分别进行训练，当每个机器学习模型的迭代次数大于1万次或者准确率达到99.9%，完成对机器学习模型的训练；步骤（5）：针对待预测流量数据经步骤（1）‑（3）处理，最终获得不同类别的DDoS攻击对应的五元组特征向量，将其输入步骤（4）训练好的机器学习模型中，每个机器学习模型均获得待预测流量数据正常或异常的概率，并进行统计，根据统计结果，获得待测流量的判断结果。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 201910340934.2(22)申请日 2019.04.25(71)申请人 江苏创通电子股份有限公司地址 215300 江苏省苏州市昆山经济技术开发区雄鹰路178号3号楼1楼(72)发明人 肖炼斌　叶丁　周永贵　鲍雪刚　张胜利　杨磊　(74)专利代理机构 北京路浩知识产权代理有限公司 11002代理人 王庆龙　苗晓静(51)Int.Cl.H04W 24/08(2009.01)(54)发明名称一种基于WiFi的入侵检测方法及装置(57)摘要本发明实施例提供一种基于WiFi的入侵检测方法及装置，包括：根据待检测区域的WiFi信号，获取当前时刻信道状态信息和上一时段信道状态信息；将所述当前时刻信道状态和所述上一时段信道状态信息进行比较，得到信道状态信息的变化量，以用于获取所述待检测区域的入侵状态。

本发明实施例通过对待测区域内WiFi信号的信道状态信息的变化量进行分析处理，从而判断待测区域是否存在入侵情况，提高了入侵检测的准确性和灵敏度，并使得入侵检测的范围更加全面。

权利要求书2页 说明书7页 附图1页CN 110012496 A 2019.07.12C N 110012496A权　利　要　求　书1/2页CN 110012496 A1.一种基于WiFi的入侵检测方法，其特征在于，包括：根据待检测区域的WiFi信号，获取当前时刻信道状态信息和上一时段信道状态信息；将所述当前时刻信道状态和所述上一时段信道状态信息进行比较，得到信道状态信息的变化量，以用于获取所述待检测区域的入侵状态。

2.根据权利要求1所述的基于WiFi的入侵检测方法，其特征在于，所述根据待检测区域的WiFi信号，获取当前时刻信道状态信息和上一时段信道状态信息，包括：根据待检测区域的WiFi信号，得到所述WiFi信号的信道状态信息；将所述信道状态信息对应的子载波、天线和接收帧进行排序，得到当前时刻信道状态信息和上一时段信道状态信息。