[发明专利]使用Ⅱ型模糊神经网络的智能网络异常检测有效
| 申请号: | 200780036501.3 | 申请日: | 2007-09-29 |
| 公开(公告)号: | CN101523848A | 公开(公告)日: | 2009-09-02 |
| 发明(设计)人: | C·叶;J·图弗;R·L·桑格罗尼兹 | 申请(专利权)人: | 阿尔卡特朗讯公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京市中咨律师事务所 | 代理人: | 杨晓光;李 峥 |
| 地址: | 法国*** | 国省代码: | 法国;FR |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 使用 模糊 神经网络 智能 网络 异常 检测 | ||
1.一种包括II型模糊神经网络的异常检测器(102),所述II型模糊 神经网络追踪攻击的症状并建议逐步升级纠正行动直到所述攻击的所述症 状开始消失为止,其中所述II型模糊神经网络包括三层控制结构(112), 所述控制结构具有:
包括多个隶属函数的第一层(202),其中,每个隶属函数:收集网络 统计量(108);以及,将收集的统计量处理成度量,所述度量是收集的统 计量用除以所述收集的统计量的理论最大值得到的;
包括多个加法器的第二层(204),其中,每个加法器:接收与所述隶 属函数相关联的度量的唯一集合;以及基于所述度量的唯一集合并且基于 所述唯一集合中的所述度量的每个的变化率计算平均值;以及
包括至少一个聚合器和至少一个表(2081,208k)的第三层(206), 其中,每个聚合器:接收计算的平均值的唯一集合;以及,对所述计算的 平均值的所述唯一集合求和;以及每个表被用来分析求和的计算平均值来 确定是否需要行动过程来处理所述攻击的所述症状。
2.根据权利要求1所述的异常检测器,其中,所述收集的网络统计量 包括:
通过网络设备上的特定接口的分组的数量;
通过所述网络设备上的特定接口的比特的数量;或者
通过所述网络设备上的特定接口的HTTP连接的数量。
3.根据权利要求1所述的异常检测器,其中,所述每个加法器计算平 均值,所述平均值是加权几何计算平均值。
4.根据权利要求1所述的异常检测器,其中,所述攻击是实施多个生 物算法的变形蠕虫。
5.根据权利要求1所述的异常检测器,其中,所述攻击是意外攻击。
6.根据权利要求1所述的异常检测器,其中,所述攻击是预期攻击。
7.一种用于处理攻击的症状的方法,所述方法包括以下步骤:
收集(302)多个网络统计量(108);以及
将收集的网络统计量的每个处理(302)成度量,所述度量是收集的网 络统计量除以所述收集的网络统计量的理论最大值的分数;该方法特征在 于包括:
计算(304)多个平均值,所述多个平均值的每个基于所述度量的唯一 集合以及所述度量的所述唯一集合的变化率;
聚合(306)计算的平均值的唯一集合;以及
将聚合的计算平均值与if-then-else决策规则表中的值比较(306)来 确定行动以处理所述攻击的所述症状。
8.根据权利要求7所述的方法,其中,所述比较步骤进一步包括在检 查所述收集的网络统计量、所述计算的平均值和/或所述聚合的计算平均值 后修正所述if-then-else决策规则表以更好地处理所述攻击的所述症状。
9.根据权利要求7所述的方法,其中,所述收集的网络统计量包括:
通过网络设备中的特定接口的分组的数量;
通过所述网络设备中的特定接口的比特的数量;或者
通过所述网络设备中的特定接口的HTTP连接的数量。
10.根据权利要求7所述的方法,其中,所述攻击是实施多个生物算 法的变形蠕虫。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于阿尔卡特朗讯公司,未经阿尔卡特朗讯公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200780036501.3/1.html,转载请声明来源钻瓜专利网。
