公开(公告)号：CN111726350A

公开(公告)日：2020-09-29

申请号：CN202010550586.4

申请日：2020-06-16

Applicant: 桂林电子科技大学

Inventor： 陶晓玲 ,  邱麒麒 ,  陈隆生 ,  卢深

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于VAE和BPNN的内部威胁检测方法，首先获取原始用户行为数据，并进行特征提取和归一化处理，得到用户行为数据；其次对归一化后的训练数据进行VAE预训练，通过网络反向传播最小化损失值提取原始特征信息，构建正常用户行为特征模型，同时得到VAE模型；接着将归一化后的所有用户行为数据全部输入到移除解码器后的VAE模型中，得到输出数据；最后将所述输出数据输入BPNN网络进行威胁检测，并根据检测结果和正常用户行为特征模型判断检测结果是否异常，减少误报和漏报，提高检测效率。

公开(公告)号：CN110149333A

公开(公告)日：2019-08-20

申请号：CN201910432976.9

申请日：2019-05-23

Applicant: 桂林电子科技大学

Inventor： 陶晓玲 ,  邱麒麒 ,  孔凯传 ,  赵峰 ,  杨昌松 ,  史科杏 ,  王勇

IPC: H04L29/06 ,  G06N3/08

Abstract: 本发明公开了一种基于SAE+BPNN的网络安全态势评估方法，包括：提取待评估网络安全态势感知指标数据；对提取到的指标数据进行归一化处理；将归一化处理后的指标数据输入训练完成的深度自编码神经网络，以对归一化后的指标数据进行降维处理；将降维处理后的指标数据输入至训练完成的BP神经网络，以对网络安全态势进行评估。本发明针对BP神经网络在处理稀疏高维度数据时，所需模型复杂度较高、模型计算时间较长、准确率无法提升的问题，利用深度自编码神经网络对数据进行降维处理，保证数据与标签间的非线性关系，并且可以优化模型、降低模型复杂度、降低模型训练时间、提高模型鲁棒性和泛化性。

公开(公告)号：CN109302410A

公开(公告)日：2019-02-01

申请号：CN201811293726.3

申请日：2018-11-01

Applicant: 桂林电子科技大学

Inventor： 陶晓玲 ,  孔凯传 ,  王勇 ,  邱麒麒 ,  刘洋 ,  史科杏

IPC: H04L29/06

Abstract: 本发明提出一种内部用户异常行为检测方法，包括采集用户在Linux系统中的操作命令；对采集到的所述操作命令做预处理，得到有固定行数的矩阵；根据所述预处理后的数据生成词汇表；根据所述词汇表将操作命令由英文格式转换为有序的数值形式；按一定比例将采集到的样本数据划分为训练集和测试集；使用LSTM算法对所述训练集进行训练，得到训练模型；使用所述训练模型对测试集进行验证得到输出数据；使用双峰法对所述输出数据进行分析并确定判决阈值；通过所述判决阈值判断用户是否存在异常操作行为。本发明利用长短期记忆网络与双峰法结合，能够更加准确区分不同类型数据，全面的提升模型检测用户异常行为能力，提升用户异常行为检测的查全率，查准率。

公开(公告)号：CN111726350B

公开(公告)日：2022-07-05

申请号：CN202010550586.4

申请日：2020-06-16

Applicant: 桂林电子科技大学

Inventor： 陶晓玲 ,  邱麒麒 ,  陈隆生 ,  卢深

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于VAE和BPNN的内部威胁检测方法，首先获取原始用户行为数据，并进行特征提取和归一化处理，得到用户行为数据；其次对归一化后的训练数据进行VAE预训练，通过网络反向传播最小化损失值提取原始特征信息，构建正常用户行为特征模型，同时得到VAE模型；接着将归一化后的所有用户行为数据全部输入到移除解码器后的VAE模型中，得到输出数据；最后将所述输出数据输入BPNN网络进行威胁检测，并根据检测结果和正常用户行为特征模型判断检测结果是否异常，减少误报和漏报，提高检测效率。

公开(公告)号：CN110149333B

公开(公告)日：2021-06-29

申请号：CN201910432976.9

申请日：2019-05-23

Applicant: 桂林电子科技大学

Inventor： 陶晓玲 ,  邱麒麒 ,  孔凯传 ,  赵峰 ,  杨昌松 ,  史科杏 ,  王勇

IPC: H04L29/06 ,  G06N3/08

Abstract: 本发明公开了一种基于SAE+BPNN的网络安全态势评估方法，包括：提取待评估网络安全态势感知指标数据；对提取到的指标数据进行归一化处理；将归一化处理后的指标数据输入训练完成的深度自编码神经网络，以对归一化后的指标数据进行降维处理；将降维处理后的指标数据输入至训练完成的BP神经网络，以对网络安全态势进行评估。本发明针对BP神经网络在处理稀疏高维度数据时，所需模型复杂度较高、模型计算时间较长、准确率无法提升的问题，利用深度自编码神经网络对数据进行降维处理，保证数据与标签间的非线性关系，并且可以优化模型、降低模型复杂度、降低模型训练时间、提高模型鲁棒性和泛化性。

公开(公告)号：CN109302410B

公开(公告)日：2021-06-08

申请号：CN201811293726.3

申请日：2018-11-01

Applicant: 桂林电子科技大学

Inventor： 陶晓玲 ,  孔凯传 ,  王勇 ,  邱麒麒 ,  刘洋 ,  史科杏

IPC: H04L29/06

Abstract: 本发明提出一种内部用户异常行为检测方法，包括采集用户在Linux系统中的操作命令；对采集到的所述操作命令做预处理，得到有固定行数的矩阵；根据所述预处理后的数据生成词汇表；根据所述词汇表将操作命令由英文格式转换为有序的数值形式；按一定比例将采集到的样本数据划分为训练集和测试集；使用LSTM算法对所述训练集进行训练，得到训练模型；使用所述训练模型对测试集进行验证得到输出数据；使用双峰法对所述输出数据进行分析并确定判决阈值；通过所述判决阈值判断用户是否存在异常操作行为。本发明利用长短期记忆网络与双峰法结合，能够更加准确区分不同类型数据，全面的提升模型检测用户异常行为能力，提升用户异常行为检测的查全率，查准率。