CN101561878B - 基于改进cure聚类算法的无监督异常检测方法与系统 - Google Patents
基于改进cure聚类算法的无监督异常检测方法与系统 Download PDFInfo
- Publication number
- CN101561878B CN101561878B CN2009100273741A CN200910027374A CN101561878B CN 101561878 B CN101561878 B CN 101561878B CN 2009100273741 A CN2009100273741 A CN 2009100273741A CN 200910027374 A CN200910027374 A CN 200910027374A CN 101561878 B CN101561878 B CN 101561878B
- Authority
- CN
- China
- Prior art keywords
- data
- bunch
- normal
- algorithm
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种基于改进CURE聚类算法的无监督异常检测方法和系统。该检测方法包括步骤:对训练集进行聚类,将异常行为数据与正常行为数据分类;对已经分类的数据进行标记;根据标记为正常行为的数据进行建模,其建模算法为基于超矩形的建模算法;将待检测数据与正常行为模型进行对比,判断是否为异常数据。该检测系统包括:数据格式化模块、聚类模块、标类模块、模型生成模块以及检测模块;本发明很适合检测各维度之间关联性不强的数据。
Description
技术领域:
本发明涉及一种异常检测技术,尤其涉及一种基于改进CURE聚类算法的无监督异常检测方法以及基于该方法的系统,属于计算机数据安全技术领域。
背景技术:
近年来,随着计算机技术的不断发展,网络规模的不断扩大,入侵行为已经越来越严重的威胁到了计算机系统和网络的安全。入侵就是未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用。由于入侵方式越来越多样化,手段越来越先进,传统的静态安全技术如:防火墙、数据加密技术等,已经无法满足系统和网络的安全性需求。
入侵检测技术作为一种重要的动态安全技术,很好地弥补了静态安全技术的不足。入侵检测技术主要分为两类:误用入侵检测和异常入侵检测。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。由于该技术主要是依赖于已知的系统缺陷和入侵,所以可以准确的检测到已知的入侵,但无法检测到系统未知的攻击行为。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为。该方法可以检测未知的入侵行为,但是由于描述的可接受行为特征可能与实际情况偏差较大导致检测的准确性不高。
在异常入侵检测中,一般都要根据正常行为数据集建立一个正常行为模型来描述可接受的行为特征。但是实际上,要获取纯净的正常行为数据集是很困难的,并且代价是高昂的。为了解决这个问题,人们提出了无监督异常检测的方法。该方法不依赖于已标记的数据,所以不需要人工或其他方法对训练集进行分类,大大提高了入侵检测系统的实用性。无监督异常检测主要基于以下两个假设:第一个假设为正常行为数据量要远远超过入侵行为数据量;第二个假设为正常行为数据与非正常行为数据之间的差异很大。第一个假设为识别正常簇与非正常簇提供了依据,基于第二个假设可以认为通过聚类能将正常行为数据与非正常行为数据很好分类。
近年来,无监督异常检测已成为入侵检测领域中的热点,该领域的研究工作者试着将数据挖掘和机器学习中的方法应用于无监督异常检测,目前已经取得了一定的进展。Jiang、Song等人提出了一种新的无监督聚类检测方法CBUID,该方法在标记簇时考虑了簇的偏离程度(the deviation degree),并且在聚类时使用了INN(improved nearestneighbor)算法,该算法有效的提高了聚类的质量。Eskin等人提出了一个无监督异常检测的几何框架。该框架将未标记的数据映射到特征空间,如果数据点在特征空间的稀疏区域中,则判断该点为异常点。Leung和Leckie提出了一种基于密度和网格的聚类算法fpMAFIA。该算法基于pMAFIA算法并通过FP树对其进行优化。他们将fpMAFIA算法用于无监督异常检测中,实验表明取得了良好的效果。但是,这些无监督异常检测方法所使用的聚类算法有的因为不能对任意形状的簇聚类,导致建立的正常行为模型不理想,从而影响了检测效果。基于密度的聚类算法、神经网络的算法虽然可以对任意形状的簇聚类,但是在处理含有大规模数据量的训练集时要耗费大量时间,使得正常行为模型得不到及时的更新,导致网络或主机状况发生改变时不能很好的检测入侵行为。
发明内容:
本发明的目的是基于上述现有技术的缺陷,提供一种新的异常检测方法及基于该方法的监测系统,本发明能够高效的检测出入侵行为。
根据本发明的目的,采用如下技术方案:
本发明的基于改进CURE聚类算法的无监督异常检测方法,包括步骤:
A:通过改进的CURE聚类算法对训练集进行聚类,将异常行为数据与正常行为数据分类,生成簇集;
B:根据事先估计的正常数据所占整个数据集的百分比对簇集进行标记;
C:根据标记为正常行为的簇进行建模,其建模算法为基于超矩形的建模算法;
D:将待检测数据与正常行为模型进行对比,判断是否为异常数据。
本发明的基于改进CURE聚类算法的无监督异常检测方法,在步骤A中,改进的CURE算法是以原有CURE聚类算法的基础,将其聚类停止条件改为相邻最近的两个簇间距离大于某个阈值。
本发明的基于改进CURE聚类算法的无监督异常检测方法,在步骤B中,先根据每个簇包含的数据量从大到小排序,再依次标记簇为正常簇,直到所有标记为正常簇所包含的数据量总和所占整个数据集的百分比大于等于根据事先估计的正常数据所占整个数据集的百分比。
本发明的基于改进CURE聚类算法的无监督异常检测系统,包括:
数据格式化模块,用于格式化原始数据;
聚类模块,用基于改进的CURE聚类算法对格式化好的数据进行聚类,生成簇集;
标类模块,根据事先估计的正常数据所占整个数据集的百分比对簇集进行标记;
模型生成模块,根据标记为正常行为的簇进行建模,其建模算法为基于超矩形的建模算法;
检测模块,根据超矩形模型检测检测数据。
本发明的有益效果是:与基于特征匹配的入侵检测方法相比,该方法无需对训练数据进行标记,并且能够检测未知入侵。而与基于异常检测的方法相比,由于采用改进的CURE聚类算法,所以能够方便的从未标记的数据中较为准确的分离出正常行为数据,并生成正常行为模型,通过该模型能够对于各维度之间关联性不强的待检测数据能够做出迅速准确的判断。
附图说明:
图1显示了本发明的异常检测系统结构图。
图2显示了聚类模块的工作流程。
图3显示了模型生成模块的工作流程。
图4显示了检测模块的工作流程。
具体实施方式:
如图1-图4所示,本发明的基于改进CURE聚类算法的无监督异常检测方法,包括步骤:
A:通过改进的CURE聚类算法对训练集进行聚类,将异常行为数据与正常行为数据分类,生成簇集;
B:根据事先估计的正常数据所占整个数据集的百分比对簇集进行标记;
C:根据标记为正常行为的簇进行建模,其建模算法为基于超矩形的建模算法;
D:将待检测数据与正常行为模型进行对比,判断是否为异常数据。
依照本发明的异常检测系统包括数据格式化模块、聚类模块、标类模块、模型生成模块、检测模块。
数据格式化模块通过对原始数据进行预处理生成格式化数据,然后将其输出到聚类模块。接着聚类模块根据改进的CURE算法对格式化数据进行聚类。在生成簇集之后,便把簇集输出到标类模块。标类模块识别出哪些是正常行为数据簇,将正常行为数据簇输出到模型生成模块。最后由模型生成模块根据正常数据簇生成正常行为模型。而检测模块的职责的就是根据正常行为模型判断输入的格式化的待检测数据是正常行为数据还是异常行为数据。
该异常检测方法基于两个假设:第一个假设为正常行为数据量要远远超过入侵行为数据量;第二个假设为正常行为数据与非正常行为数据之间的差异很大。第一个假设为标类模块能够正确的识别正常行为数据提供依据。第二个假为聚类模块能够将训练数据中的异常数据与正常数据分离提供依据。
下面对各个模块的功能进行详细的说明:
数据格式化模块:主要是对二元变量、序数变量和区间标度变量的数据进行格式化。对于二元变量e,即:e取值范围是0或1,如果e=0,e′←0;如果e=1,e′←c,c>0。e′为规范化之后的数据变量,c为某个实数常量。
对于序数变量f∈{a1,a2,…,an},则转换成n个变量来处理,具体过程如下:用变量f′1,f′2,…,f′n对应于数值a1,a2,…,an,如果f=ai,则f′i←c,f′j←0,j∈{1,2,…,i-1,i+1,…,n}。例如:f表示颜色,且f∈{红色,黄色,蓝色},f′1,f′2,f′3分别对应红色,黄色,蓝色。当f=黄色时,f′1=0,f′2=c,f′3=0;当f=蓝色时,f′1=0,f′2=0,f′3=c。
对于区间标度变量g主要采用如下方法对其变换:(1)计算变量g的均值绝对偏差 其中,z1,…,zn是g的n个度量值, (2)计算标准度量值或
聚类模块:该模块的职责是根据训练数据集生成簇集,聚类流程如图2。设训练数据集合D由n个x维数据点di组成,D={d1,d2,…,dn},S为簇C1,C2,…,Cm的集合。Q(Ci)为簇Ci的代表点集合,即: pi≤λ,λ为最大簇代表点数。收缩因子为α,0≤α≤1,合并簇之间的最大距离为w。
定义dist(para1,para2)表示对象para1和para2之间的距离,其距离度量可以是欧几里得距离、曼哈顿距离、以及闵可夫斯基距离等。当para1和para2都是簇时,定义dist(para1,para2)为两簇中相隔最近的两个代表点之间的距离,即:dist(para1,para2)=MIN{dist(ri,rj),ri∈Q(para1),rj∈Q(para2)}。
步骤1:初始化S。根据每一个向量di创建一个簇Ci。即:S={C1,C2,…,Cn},Ci={di},Q(Ci)={di}。
步骤2,如果|S|>2,执行下一步,否则执行终止。
步骤3,找出簇集S中代表点距离最近的两个簇Cu、Cv,即:dist(Cu,Cv)=MIN{dist(Ci,Cj),Ci∈S,Cj∈S,i≠j}。如果dist(Cu,Cv)<w,执行下一步,否则执行终止。
步骤5,从Cnew中选择di。如果则使di满足条件:dist(di,hnew)=MAX{dist(dj,hnew),dj∈Cnew}。否则使di满足条件:dist(di,tmpSet)=MAX{dist(dj,tmpSet),dj∈Cnew},其中dist(dj,tmpSet)=MIN{dist(dj,dk),dk∈tmpSet}。最后将di并入tmpSet,即:tmpSet←tmpSet∪{di}。
步骤6,如果|tmpSet|<MIN{|Cnew|,λ},执行步骤5。
步骤7,收缩代表点:Q(Cnew)←{dk+α*(hnew-dk),dk∈tmpSet}。更新簇集:S←S-Cu-Cv+Cnew。执行步骤2。
其中步骤4到步骤7的工作主要是为了合并最近邻簇,同时计算新簇的代表点。
为了便于查找相邻最近的两个数据点,一般用KD树来存放数据点,然后用小顶堆来存放簇,并将簇按照与其最近邻簇之间的距离升序排序,这样在最坏情况下该算法的时间复杂性为:O(n2logn)。
标类模块:
标类模块主要负责在聚类之后需要对簇进行标记。该算法首先按照簇的大小降序排列,然后标记前θ个簇为正常簇。由于θ没有合适的计算方法,所以我们假设训练集中含有的正常行为数据比率为l,然后不断递增θ,直到 该算法在最坏情况下的时间复杂度为O(|S|)。其详细描述如下:
步骤B、将集合S中的簇按照其大小降序排列,θ←1。
步骤C、如果θ>=|S|或者 则执行步骤E。
步骤D、θ←θ+1,执行步骤C。
步骤E、标记C1,…,Cθ为正常簇,并输出。
模型生成模块:
如图3,该模块根据一种基于超矩形的建模算法进行建模。在对数据进行检测之前,该模块首先根据正常簇{C1,…,Cθ}建立一个超矩形的检测模型M={R1,R2,…,Rθ},Ri表示对应簇Ci的超矩形。超矩形的创建是根据正常簇Ci中的数据点确定Ri在每一个维度σj(j=1,2,…,x)上的上界U(Ri,σj)和下界L(Ri,σj)。其详细描述如下:
步骤1、初始化i←1。
步骤2、k←1,如果i>θ,执行终止。
步骤3、初始化Ri:U(Ri,σj)←I(dk,σj),L(Ri,σj)←I(dk,σj),dk∈Ci,j∈{1,2,…,x}。I(dk,σj)表示为dk在维度σj上的值。
步骤4、如果k≥|Ci|,则i←i+1,执行STEP2。否则k←k+1。
步骤5、如果U(Ri,σj)<I(dk,σj),j∈{1,2,…,x},则U(Ri,σj)←I(dk,σj);如果L(Ri,σj)>I(dk,σj),j∈{1,2,…,x},则L(Ri,σj)←I(dk,σj)。然后执行STEP4。
基于超矩形的算法通过正常簇中的数据来计算出正常行为数据在每一个维度上的正常值域。
检测模块:
如图4,该模块以正常行为模型为参照,判断待检测数据是否为异常数据。
步骤1、初始化i←1。
步骤2、对于任意维σj,j∈{1,2,…,x},如果U(Ri,σj)<I(d,σj)或者L(Ri,σj)>I(d,σj),则i←i+1。否则判断d为正常行为数据,执行终止。
步骤3、如果i>θ,判断d为异常行为数据,执行终止。否则执行STEP2。
下面将对如上所述的依照本发明的异常检测系统应用于公司中的过程进行具体说明。
首先要建立一个正常行为模型,这需要在公司局域网网关处搜集5万条训练数据,数据的格式为:网络层协议(protocol)、应用层协议(service)、源主机地址(src_ip)、源端口(src_port)、目标主机地址(dst_ip)、目标端口(dst_port)、生存时间(ttl)。由于该数据集的用途是建立正常行为模型,所以尽可能在网络处于正常状态的情况下或是分成多个时间段搜集。然后将设定各个模块的参数值,格式化实数常量c←10、最大簇代表点数λ←30、收缩因子α←0.1、簇之间的最大距离w←30、正常行为数据比率为l←98。然后在依次经过数据格式化模块、聚类模块、标类模块、模型生成模块的处理之后,就可以获得正常行为模型。检测模块再根据该模型判断输入数据是否是异常行为数据。
所以,本项发明带来的有益效果是:本发明能够更加准确、快速的自动对训练数据进行标记,不管是已知还是未知入侵数据只要不符合正常行为模型就能够检测出来。
在不背离本发明宗旨的范围内,本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案,但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。
Claims (2)
1.一种基于改进CURE聚类算法的无监督异常检测方法,其特征在于包括步骤:
A:对原始数据格式化,通过改进的CURE聚类算法对格式化后的数据进行聚类,将异常行为数据与正常行为数据分类,生成簇集;所述改进的CURE算法是以原有CURE聚类算法为基础,将其聚类停止条件改为相邻最近的两个簇间距离大于某个阈值;
B:根据事先估计的正常行为数据所占整个数据集的百分比对簇集进行标记,具体如下:先根据每个簇包含的数据量从大到小排序,再依次标记簇为正常簇,直到所有标记为正常簇所包含的数据量总和所占整个数据集的百分比大于等于根据事先估计的正常行为数据所占整个数据集的百分比;
C:根据标记为正常行为的簇进行建模,其建模算法为基于超矩形的建模算法;
D:将待检测数据与正常行为模型进行对比,判断是否为异常数据。
2.一种基于改进CURE聚类算法的无监督异常检测系统,其特征在于包括:
数据格式化模块,用于格式化原始数据;
聚类模块,用基于改进的CURE聚类算法对格式化好的数据进行聚类,生成簇集;所述改进的CURE算法是以原有CURE聚类算法为基础,将其聚类停止条件改为相邻最近的两个簇间距离大于某个阈值;
标类模块,根据事先估计的正常行为数据所占整个数据集的百分比对簇集进行标记,具体如下:先根据每个簇包含的数据量从大到小排序,再依次标记簇为正常簇,直到所有标记为正常簇所包含的数据量总和所占整个数据集的百分比大于等于根据事先估计的正常行为数据所占整个数据集的百分比;
模型生成模块,根据标记为正常行为的簇进行建模,其建模算法为基于超矩形的建模算法;
检测模块,根据超矩形模型检测待检测数据,将待检测数据与正常行为模型进行对比,判断是否为异常数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100273741A CN101561878B (zh) | 2009-05-31 | 2009-05-31 | 基于改进cure聚类算法的无监督异常检测方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100273741A CN101561878B (zh) | 2009-05-31 | 2009-05-31 | 基于改进cure聚类算法的无监督异常检测方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101561878A CN101561878A (zh) | 2009-10-21 |
CN101561878B true CN101561878B (zh) | 2012-11-21 |
Family
ID=41220674
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100273741A Expired - Fee Related CN101561878B (zh) | 2009-05-31 | 2009-05-31 | 基于改进cure聚类算法的无监督异常检测方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101561878B (zh) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102385705B (zh) * | 2010-09-02 | 2013-09-18 | 大猩猩科技股份有限公司 | 利用多特征自动集群法的异常行为侦测系统与方法 |
CN103400152B (zh) * | 2013-08-20 | 2016-08-10 | 哈尔滨工业大学 | 基于分层聚类的滑动窗口多数据流异常检测方法 |
CN103559420B (zh) * | 2013-11-20 | 2016-09-28 | 苏州大学 | 一种异常检测训练集的构建方法及装置 |
CN104901971B (zh) * | 2015-06-23 | 2019-03-15 | 北京东方棱镜科技有限公司 | 对网络行为进行安全分析的方法和装置 |
CN104899327B (zh) * | 2015-06-24 | 2018-03-30 | 哈尔滨工业大学 | 一种无类别标签的时间序列异常检测方法 |
CN104915434B (zh) * | 2015-06-24 | 2018-03-27 | 哈尔滨工业大学 | 一种基于马氏距离dtw的多维时间序列分类方法 |
EP3423976B1 (en) * | 2016-03-03 | 2024-02-21 | CurveBeam Al Limited | Method and apparatus for identifying and quantifying abnormality |
CN106572493B (zh) | 2016-10-28 | 2018-07-06 | 南京华苏科技有限公司 | Lte网络中的异常值检测方法及系统 |
CN107335220B (zh) * | 2017-06-06 | 2021-01-26 | 广州华多网络科技有限公司 | 一种消极用户的识别方法、装置及服务器 |
CN107729934A (zh) * | 2017-10-11 | 2018-02-23 | 安徽理工大学 | 一种基于k‑最近邻混合分类的瓦斯灾害预测方法 |
CN108038211A (zh) * | 2017-12-13 | 2018-05-15 | 南京大学 | 一种基于上下文的无监督关系数据异常检测方法 |
CN108510615A (zh) * | 2018-04-02 | 2018-09-07 | 深圳智达机械技术有限公司 | 一种半导体制造设备和工艺的控制系统 |
CN108717734A (zh) * | 2018-05-08 | 2018-10-30 | 南京思甲宁新材料科技有限公司 | 一种五金电子锁系统的方法 |
CN110555051B (zh) * | 2018-05-14 | 2023-04-28 | 上海交通大学 | 基于行为序列分析的产品测试异常行为检测系统 |
CN108737182A (zh) * | 2018-05-22 | 2018-11-02 | 平安科技(深圳)有限公司 | 系统异常的处理方法及系统 |
CN108830044B (zh) * | 2018-06-05 | 2020-06-26 | 序康医疗科技(苏州)有限公司 | 用于检测癌症样本基因融合的检测方法和装置 |
CN109766956B (zh) * | 2018-07-19 | 2022-08-23 | 西北工业大学 | 基于快递大数据的异常检测方法 |
CN109067722B (zh) * | 2018-07-24 | 2020-10-27 | 湖南大学 | 一种基于两步聚类和检测片分析联合算法的LDoS检测方法 |
WO2020038353A1 (zh) * | 2018-08-21 | 2020-02-27 | 瀚思安信(北京)软件技术有限公司 | 异常行为检测方法及系统 |
CN110225036B (zh) * | 2019-06-12 | 2022-03-22 | 北京奇艺世纪科技有限公司 | 一种账号检测方法、装置、服务器及存储介质 |
CN110458230A (zh) * | 2019-08-12 | 2019-11-15 | 江苏方天电力技术有限公司 | 一种基于多判据融合的配变用采数据异常甄别方法 |
CN110647913B (zh) * | 2019-08-15 | 2024-04-05 | 中国平安财产保险股份有限公司 | 基于聚类算法的异常数据检测方法及装置 |
CN111507376B (zh) * | 2020-03-20 | 2023-04-28 | 厦门大学 | 一种基于多种无监督方法融合的单指标异常检测方法 |
CN111612048B (zh) * | 2020-04-30 | 2023-03-10 | 中国西安卫星测控中心 | 无监督聚类异常检测的方法 |
CN112529109A (zh) * | 2020-12-29 | 2021-03-19 | 四川长虹电器股份有限公司 | 一种基于无监督多模型的异常检测方法及系统 |
CN113702895B (zh) * | 2021-10-28 | 2022-02-08 | 华中科技大学 | 一种电压互感器误差状态在线定量评估方法 |
CN114844226B (zh) * | 2022-06-30 | 2022-09-20 | 深圳凯升联合科技有限公司 | 一种高压电路监控报警系统及方法 |
CN116415688B (zh) * | 2023-03-27 | 2023-11-03 | 中国科学院空间应用工程与技术中心 | 一种流体回路状态监测基线模型在线学习方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051953A (zh) * | 2007-05-14 | 2007-10-10 | 中山大学 | 基于模糊神经网络的异常检测方法 |
CN101242316A (zh) * | 2008-02-03 | 2008-08-13 | 西安交大捷普网络科技有限公司 | 基于快速聚类算法的网络异常检测方法 |
CN101345704A (zh) * | 2008-08-15 | 2009-01-14 | 南京邮电大学 | 基于支持向量机的对等网络流量检测方法 |
-
2009
- 2009-05-31 CN CN2009100273741A patent/CN101561878B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051953A (zh) * | 2007-05-14 | 2007-10-10 | 中山大学 | 基于模糊神经网络的异常检测方法 |
CN101242316A (zh) * | 2008-02-03 | 2008-08-13 | 西安交大捷普网络科技有限公司 | 基于快速聚类算法的网络异常检测方法 |
CN101345704A (zh) * | 2008-08-15 | 2009-01-14 | 南京邮电大学 | 基于支持向量机的对等网络流量检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101561878A (zh) | 2009-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101561878B (zh) | 基于改进cure聚类算法的无监督异常检测方法与系统 | |
CN106888205B (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
Capozzoli et al. | Fault detection analysis using data mining techniques for a cluster of smart office buildings | |
CN110895526A (zh) | 一种大气监测系统中数据异常的修正方法 | |
CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
CN111708343B (zh) | 一种面向制造业行业现场工艺行为异常行为检测方法 | |
CN112529341B (zh) | 一种基于朴素贝叶斯算法的钻井漏失机率预测方法 | |
CN108985380B (zh) | 一种基于聚类集成的转辙机故障识别方法 | |
CN103473540B (zh) | 智能交通系统车辆轨迹增量式建模与在线异常检测方法 | |
CN110636066B (zh) | 基于无监督生成推理的网络安全威胁态势评估方法 | |
CN107257351B (zh) | 一种基于灰色lof流量异常检测系统及其检测方法 | |
CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
Chang et al. | Anomaly detection for industrial control systems using k-means and convolutional autoencoder | |
CN107483451B (zh) | 基于串并行结构网络安全数据处理方法及系统、社交网络 | |
CN109784668B (zh) | 一种用于电力监控系统异常行为检测的样本特征降维处理方法 | |
CN110851422A (zh) | 一种基于机器学习的数据异常监测模型构建方法 | |
CN112367303B (zh) | 分布式自学习异常流量协同检测方法及系统 | |
CN110011990B (zh) | 内网安全威胁智能分析方法 | |
CN112738014A (zh) | 一种基于卷积时序网络的工控流量异常检测方法及系统 | |
CN111145027A (zh) | 一种疑似洗钱交易识别方法及装置 | |
CN113343587A (zh) | 用于电力工控网络的流量异常检测方法 | |
CN111191720B (zh) | 一种业务场景的识别方法、装置及电子设备 | |
CN112906738A (zh) | 一种水质检测及处理方法 | |
Yin et al. | Dynamic real–time abnormal energy consumption detection and energy efficiency optimization analysis considering uncertainty | |
CN113343123A (zh) | 一种生成对抗多关系图网络的训练方法和检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121121 Termination date: 20150531 |
|
EXPY | Termination of patent right or utility model |