公开(公告)号：CN110225055A

公开(公告)日：2019-09-10

申请号：CN201910545310.4

申请日：2019-06-22

Applicant: 福州大学

Inventor： 张浩 ,  陈龙 ,  魏志强

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于KNN半监督学习模型的网络流量异常检测方法与系统，首先使用初始有标记数据作为训练样本，利用监督学习训练初始分类模型；然后，利用初始分类模型对网络流量无标记数据进行分类，得到初始分类数据；再利用半监督学习模型对初始分类数据进行重新标记和修正；最后，利用新的分类数据重新训练分类模型，并更新初始分类模型，如此往复不断更新分类模型，从而提高检测效果。本发明基于半监督学习模型，在分类检测过程中不断优化和更新分类模型，能够在生产环境下实现快速、高效的网络异常检测。

公开(公告)号：CN111526144A

公开(公告)日：2020-08-11

申请号：CN202010318898.2

申请日：2020-04-21

Applicant: 福州大学

Inventor： 张浩 ,  连鸿飞 ,  魏志强 ,  李杰铃 ,  陈龙

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08 ,  G06N20/20

Abstract: 本发明涉及基于DVAE‑Catboost的异常流量检测方法与系统，首先从网络链路上采集流量数据，提取网络流量特征后再对流量数据进行预处理，接着使用DVAE网络来获得高维网络流量数据的低维表示，然后采用Catboost算法训练异常流量检测模型，最后利用训练好的异常流量检测模型对实时流量进行异常检测，并进行响应处理。

公开(公告)号：CN110138786A

公开(公告)日：2019-08-16

申请号：CN201910416293.4

申请日：2019-05-20

Applicant: 福州大学

Inventor： 张浩 ,  魏志强 ,  连鸿飞

IPC: H04L29/06 ,  G06F16/215

Abstract: 本发明涉及基于SMOTETomek和LightGBM的Web异常检测方法及系统，首先从交换机上采集镜像流量PCAP包，提取网络流量特征，其次清洗训练数据集冗余数据，缺失值处理，处理字符型流量特征，采用min-max方法归一化数据，然后基于基尼系数的GBDT算法计算流量特征重要性，进行特征选择，再结合SMOTE和Tomek Links算法对少数类进行过采样，通过LightGBM算法训练分类器对异常流量进行检测，最后对检测结果进行响应和反馈处理。本发明可检测未知Web攻击，对少数类Web攻击检测率和检测精度高。

公开(公告)号：CN110225055B

公开(公告)日：2020-10-09

申请号：CN201910545310.4

申请日：2019-06-22

Applicant: 福州大学

Inventor： 张浩 ,  陈龙 ,  魏志强

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明涉及一种基于KNN半监督学习模型的网络流量异常检测方法与系统，首先使用初始有标记数据作为训练样本，利用监督学习训练初始分类模型；然后，利用初始分类模型对网络流量无标记数据进行分类，得到初始分类数据；再利用半监督学习模型对初始分类数据进行重新标记和修正；最后，利用新的分类数据重新训练分类模型，并更新初始分类模型，如此往复不断更新分类模型，从而提高检测效果。本发明基于半监督学习模型，在分类检测过程中不断优化和更新分类模型，能够在生产环境下实现快速、高效的网络异常检测。

公开(公告)号：CN111526141A

公开(公告)日：2020-08-11

申请号：CN202010302697.3

申请日：2020-04-17

Applicant: 福州大学

Inventor： 张浩 ,  魏志强 ,  连鸿飞 ,  李杰铃

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及基于Word2vec和TF‑IDF的Web异常检测方法与系统，首先从交换机设备上采集镜像流量PCAP包，解析出HTTP请求流量，其次对HTTP请求流量数据进行预处理，然后将处理后的请求流量用向量表示，采用LightGBM算法训练流量异常检测模型，采用训练好的流量异常检测模型对实时流量进行异常检测。本发明解决了HTTP流量异常检测过程中模型训练数据长短不一问题，解决大HTTP流量文本特征有效向量化问题，并且提高了检测率和检测精度。