CN102215138A - 一种网络异常的检测方法和装置 - Google Patents

一种网络异常的检测方法和装置 Download PDF

Info

Publication number
CN102215138A
CN102215138A CN2010101420825A CN201010142082A CN102215138A CN 102215138 A CN102215138 A CN 102215138A CN 2010101420825 A CN2010101420825 A CN 2010101420825A CN 201010142082 A CN201010142082 A CN 201010142082A CN 102215138 A CN102215138 A CN 102215138A
Authority
CN
China
Prior art keywords
radius
points
sampling radius
neighbor
sampling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010101420825A
Other languages
English (en)
Other versions
CN102215138B (zh
Inventor
拉凯什·拉玛克里斯南
许国威
贾伊迪普·斯里瓦斯塔瓦
张波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Optical Valley Technology Co ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN 201010142082 priority Critical patent/CN102215138B/zh
Publication of CN102215138A publication Critical patent/CN102215138A/zh
Application granted granted Critical
Publication of CN102215138B publication Critical patent/CN102215138B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明公开了一种网络异常的检测方法和装置,本发明实施例将实时网络数据转换为样本点,依次选择预置的采样半径组中的各个采样半径,根据选择的采样半径,依次更新初始的检测模型为与选择的采样半径对应的检测模型,根据依次更新的采样半径对应的检测模型和样本点的属性值,检测样本点的异常情况,实施本发明实施例,在一定程度上避免了漏报和误报,提高异常检测的异常识别能力和检测精度。

Description

一种网络异常的检测方法和装置
技术领域
本发明涉及计算机领域,具体涉及一种网络异常的检测方法和装置。
背景技术
随着网络技术的发展,网络异常的检测方法也变得多种多样,有基于概率分布的异常检测、基于深度的异常检测、基于密度的异常检测和基于聚类的异常检测等。
现有技术中,LOCI(local correlation integral,局部相关积分)异常检测方法是一种基于密度的异常检测方法,属于比较新的异常检测方法,该方法判断准确率较高。以二维的网络数据为例来说明该方法的原理:可参见图1,是现有技术局部相关积分异常检测方法的原理示意图,图中有Pi、P1、P2和P3四个点,r是采样邻域(采样半径),αr是统计邻域(统计半径),如果以某个点为圆心(如Pi)在统计邻域(小的虚线圆)中的点的局部密度相对于在采样邻域(大的实线圆)中所有点的平均密度的1/3倍还要小,也就是计算MDEF(Multi-granularity Deviation Factor,多粒度偏斜因子)值和δMDEF,并计算两者的比值即多粒度偏斜因子比值,若大于3,则该点为异常,其中,统计邻域的半径(统计半径)一般情况下取采样邻域的半径(采样半径)的0.1倍,即此时α为0.1。
LOCI方法虽然能够比较准确的识别出数据中的异常,但是它无法处理动态变化的网络数据,因此基于LOCI方法建立的异常检测方法只能采用离线的方式对网络数据进行检测,在网络攻击逐渐增多且攻击速度更快的情况下,这种离线式检测系统的弊端显而易见。为了对动态变化的网络数据进行实时的检测,技术人员提出了一种基于快速增量LOCI方法的异常检测方法,这种检测方法首先采用LOCI方法对正常的网络数据进行训练,产生初始的检测模型;当新的网络数据进入到系统中或者数据的老化周期到达时,采用增量LOCI方法对检测模型进行更新;用更新后的检测模型检测网络数据中的异常。例如,假设一个点集由P0、P1、P2、P3、P4等点组成,采样半径为r,统计半径为αr。P0的采样半径内包含点P1、P2、P3、P4。可以按照增量LOCI方法计算P0点是否异常。在现在有一个新的点Pn插入到点P0的附近,并位于P0点的统计半径之内,则可以按照LOCI方法计算MDEF值,从而判断Pn点是否异常,并需要对检测模型进行更新,即更新Pn的采样半径和统计半径内的所有点的邻居数目,举例来说,Pn在P0点的采样半径和统计半径之内,则P0点的采样半径和统计半径之内的邻居数目分别加一,而Pn在P2点的采样半径之内、统计半径之外,则P2点的采样半径之内的邻居数目加一,统计半径之内的邻居数目不变。同理,当一个点Pd从点集中删除时,也要对Pd采样半径内和统计半径内的所有点的邻居数目进行更新。
在对现有技术的研究和实践中,本发明的发明人发现,现有静态LOCI的异常检测方法不能检测动态变化的网络数据的异常,而增量LOCI方法虽然能够检测动态变化的实时网络数据的异常,但是动态的样本点被插入和删除时,检测模型对于设置的采样半径的大小变化较敏感,容易产生误检。
发明内容
本发明实施例提供一种网络异常的检测方法和装置。
一种网络异常的检测方法,包括:
将实时网络数据转换为样本点;
依次选择预置的采样半径组中的各个采样半径;
根据所述样本点和选择的采样半径,按照局部相关积分方法,依次更新与选择的采样半径对应的检测模型;
根据依次更新的采样半径对应的检测模型,检测样本点的异常情况。
相应地,一种网络异常的检测装置,包括:
数据转换模块,用于将实时网络数据转换为样本点;
模型更新模块,用于依次选择样本点的采样半径组中的各个采样半径,根据选择的采样半径,按照局部相关积分方法,依次更新与选择的采样半径对应的检测模型;
异常检测模块,用于根据依次更新的采样半径对应的检测模型,检测样本点的异常情况。
本发明实施例通过将依次选择样本点的采样半径组中的各个采样半径,根据选择的采样半径,依次更新与选择的采样半径对应的检测模型,避免仅根据一个采样半径更新的检测模型,从而导致检测模型对于设置的采样半径的大小变化过于敏感,通过多个采样半径来更新检测模型,在任意采样半径对应的更新的检测模型下的检测结果为异常就输出异常,在一定程度上减小了漏报和误报的概率,提高异常检测的异常识别能力和检测精度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术局部相关积分异常检测方法的原理示意图;
图2是本发明网络异常的检测方法的第一实施例流程示意图;
图3是本发明网络异常的检测方法的第二实施例流程示意图;
图4是本发明网络异常的检测装置的第三实施例结构示意图;
图5是本发明实施例应用场景一和应用场景二的流程示意图;
图6是本发明实施例应用场景三的流程示意图;
图7是本发明实施例应用场景四的流程示意图。
具体实施方式
本发明实施例提供一种提高检测精度的网络异常的检测方法和装置以下分别进行详细说明。
参见图2,是本发明提供的网络异常的检测方法的第一实施例流程图:
步骤101,将实时网络数据转换为样本点。
样本点是对实时网络数据的抽象,网络异常的检测装置将实时网络数据的某个属性值变换后映射为对应该属性的坐标轴上的值,那么这个值就是实时网络数据的抽象,一般情况下,实时网络数据可看作一个具体的网络行为,它具有多个属性,则实时网络数据的多个属性的属性值可以映射为高维空间中的点,实时网络数据经过转换后成为样本点,该样本点的多个坐标值也对应实时网络数据的各个属性值。
步骤102,依次选择预置的采样半径组中的各个采样半径。
网络异常的检测装置预置了多个采样半径,多个采样半径形成一个采样半径组。依次选择采样半径组中的采样半径。
步骤103,根据选择的采样半径,按照增量局部相关积分方法,依次更新与选择的采样半径对应的检测模型。
在步骤102选择了采样半径后,网络异常的检测装置根据选择的采样半径,按照增量局部相关积分方法,更新检测模型。检测模型中包括高维空间中的所有点以及各个点的邻居信息。邻居信息可以为各个点有哪些邻居点,这里的邻居点可以用邻居点的标识(ID)表示,也可以直接记录邻居点的坐标。邻居信息也可以为各个点的采样半径和统计半径内分别存在的邻居点的数量。
当邻居信息为各个点有哪些邻居点时,更新检测模型具体可以为,搜索该采样半径下该样本点的邻居点,建立该样本点的邻居信息,即将各个邻居点添加到该样本点的邻居信息中,并更新各个邻居点的邻居信息,即将该样本点添加到各个邻居点的邻居信息中,从而更新检测模型。检测模型中包括高维空间中的所有点以及各个点的邻居信息,即各个点有哪些邻居点,这里的邻居点可以用邻居点的标识(ID)表示,也可以直接记录邻居点的坐标。
当邻居信息为各个点的采样半径和统计半径内分别存在的邻居点的数量时,更新检测模型具体可以为,搜索该采样半径下该样本点的邻居点,建立该样本点的邻居信息,即分别记录距离该样本点采样半径和统计半径内的邻居点数量,分别为第一邻居数目和第二邻居数目,并更新各个邻居点的邻居信息,即将距离该样本点采样半径内的邻居点的邻居信息中的第一邻居数目加一,将距离该样本点统计半径内的邻居点的邻居信息中的第二邻居数目加一,从而更新检测模型。
选择不同的采样半径会产生不同的检测模型。依次选择采样半径组中不同的采样半径,根据不同的采样半径,依次更新与采样半径对应的检测模型。统计半径可以随着采样半径变化,例如统计半径为采样半径与一固定比值α之积。
步骤104,根据依次更新的采样半径对应的检测模型,检测样本点的异常情况。
在依次获得更新后的检测模型后,根据每次更新的检测模型,对样本点进行异常情况的检测,在任意一个采样半径对应的检测模型下,检测样本点结果为异常,那么就视为该样本点为异常。也可以采用其他的判断样本点的异常情况的条件,例如在任意n个采样半径对应的检测模型下,检测样本点结果为异常,那么就视为该样本点为异常,这里的n是一个大于1小于采样半径组中采样半径总数的整数。
本发明实施例通过将依次选择样本点的采样半径组中的各个采样半径,根据选择的采样半径,依次更新与选择的采样半径对应的检测模型,避免仅根据一个采样半径更新的检测模型,从而导致检测模型对于设置的采样半径的大小变化过于敏感,通过多个采样半径来更新检测模型,在任意采样半径对应的更新的检测模型下的检测结果为异常就输出异常,在一定程度上减小了漏报和误报的概率,提高异常检测的异常识别能力和检测精度。
为便于理解,下面对本发明实施例中的网络异常的检测方法进行详细描述,请参阅图3,本发明实施例中网络异常的检测方法第二实施例与第一实施例的不同之处是,第二实施例不仅通过多个采样半径来更新检测模型,还提高了搜索邻居点的速度,通过KD搜索等快速搜索方式加快了异常检测过程中搜索邻居点的速度。
步骤201,通过静态局部相关积分方法对正常的网络数据进行训练,生成初始的检测模型。
正常的网络数据经过数据转换后形成正常的样本点,正常样本点经过静态LOCI方法的训练,生成初始的检测模型。
步骤202,将实时网络数据转换为样本点。
一般情况下,实时网络数据是一个具体的网络行为的抽象,它具有多个属性,实时网络数据的多个属性的属性值可以映射为高维空间中的点,实时网络数据经过转换后成为样本点,该样本点的多个坐标值也对应实时网络数据的各个属性值。样本点是对实时网络数据的抽象,网络异常的检测装置将实时网络数据的某个属性值变换后映射为对应该属性的坐标轴上的值,那么这个值就是实时网络数据的属性值或网络行为的属性的抽象。
步骤203,依次选择样本点的采样半径组中的各个采样半径。
网络异常的检测装置预置了多个采样半径,多个采样半径形成一个采样半径组。依次选择采样半径组中的采样半径。
步骤204,根据选择的采样半径,通过快速搜索方式搜索与样本点的距离在采样半径内的所有邻居点。
这里的距离为高维空间的欧几里得度量。可以采用KD树(K-DimensionalTree)搜索方式实现邻居点的快速搜索,KD树是一种K维平衡树,用于进行数据的快速查找,KD树的顶层结点按一维进行划分,下一层结点按另一维进行划分,以此类推,各个维循环往复。划分要使得在每个结点,大约一半存储在子树中的点落入一侧,而另一半落入另一侧。当一个结点中的点数少于给定的最大点数时,KD树划分结束。以二维KD树中进行KD树搜索为例,介绍KD搜索的步骤为:首先,深度优先,找到点的最小矩形域;其次,搜索父节点,找到相邻的最小矩形域;再次,在前面找到的所有矩形域中,找出样本点对应的邻居点。采用KD树搜索方式,只需要在KD树搜索到的矩形域中进行邻居点的判断,避免了遍历所有点,加快了异常检测过程中搜索邻居点的速度。
步骤204在每次步骤203选择的采样半径后,都通过KD搜索方式找到与样本点的距离在步骤203选择的采样半径内的所有邻居点。
步骤205,根据搜索到的邻居点,更新检测模型。
在添加样本点的情况下,依次选择通过步骤204搜索到的采样半径下的邻居点,建立该样本点的邻居信息,并将样本点增加为各个邻居点的邻居信息中,从而更新了检测模型。
具体的,若邻居信息记录邻居点的标识(ID),或直接记录邻居点的坐标,更新检测模型具体可以为,根据搜索该采样半径下该样本点的邻居点,建立该样本点的邻居信息,即将各个邻居点添加到该样本点的邻居信息中,并更新各个邻居点的邻居信息,即将该样本点添加到各个邻居点的邻居信息中,从而更新检测模型。检测模型中包括高维空间中的所有点以及各个点的邻居信息,即各个点有哪些邻居点,这里的邻居点可以用邻居点的标识(ID)表示,也可以直接记录邻居点的坐标。此外,还可以将超过老化周期的邻居点加入删除列表等待被删除,即网络异常检测装置根据各个邻居点的时间戳,判断各个邻居点是否超过老化时间,将超过老化时间的邻居点添加到删除列表。
在样本点被删除的情况下,将样本点加入到删除列表等待被删除,将样本点从各个邻居点的邻居信息中删除,从而更新了检测模型,此外,还要将超过老化周期的邻居点加入删除列表,网络异常检测装置根据各个邻居点的时间戳,判断各个邻居点是否超过老化时间,将超过老化时间的邻居点添加到删除列表。网络异常检测装置可以定时从KD树中删除该删除列表中的样本点和超过老化周期的邻居点。
若邻居信息不记录邻居点的标识或坐标,只记录各个邻居点的邻居数目,可以节约存储空间。在添加样本点的情况下,依次选择通过步骤204搜索到的采样半径下的邻居点,建立该样本点的邻居信息,并将样本点增加为各个邻居点的邻居信息中,从而更新了检测模型。具体的,当邻居信息可以为各个点的采样半径和统计半径内分别存在的邻居点的数量时,更新检测模型为,根据搜索该采样半径下该样本点的邻居点,建立该样本点的邻居信息,即分别记录距离该样本点采样半径和统计半径内的邻居点数量,分别为第一邻居数目和第二邻居数目,并更新各个邻居点的邻居信息,即将距离该样本点采样半径内的邻居点的邻居信息中的第一邻居数目加一,将距离该样本点统计半径内的邻居点的邻居信息中的第二邻居数目加一,从而更新检测模型。此外,还要将超过老化周期的邻居点加入删除列表,网络异常检测装置根据各个邻居点的时间戳,判断各个邻居点是否超过老化时间,将超过老化时间的邻居点添加到删除列表。网络异常检测装置可以定时从KD树中删除该删除列表中的样本点和超过老化周期的邻居点。
在样本点被删除的情况下,将样本点加入到删除列表等待被删除,将样本点从各个邻居点的邻居信息中删除,从而更新了检测模型,具体的,当邻居信息为各个点的采样半径和统计半径内分别存在的邻居点的数量时,更新检测模型具体可以为,搜索该采样半径下该样本点的邻居点,更新各个邻居点的邻居信息,即将距离该样本点采样半径内的邻居点的邻居信息中的第一邻居数目减一,将距离该样本点统计半径内的邻居点的邻居信息中的第二邻居数目减一,从而更新检测模型。此外,还可以将超过老化周期的邻居点加入删除列表,既网络异常检测装置根据各个邻居点的时间戳,判断各个邻居点是否超过老化时间,将超过老化时间的邻居点添加到删除列表。网络异常检测装置可以定时从KD树中删除该删除列表中的样本点和超过老化周期的邻居点。
步骤206,根据更新的检测模型,计算局部密度,即样本点的采样半径内各个点各自的统计半径内的点的密度,并计算平均密度,即样本点的采样半径内各个点的局部密度的平均,根据所述平均密度和所述局部密度,计算多粒度偏斜因子比值。计算样本点的局部密度时,若邻居信息记录的是样本点的标识或坐标,那么先根据样本点与各个邻居点的距离判断哪些邻居点在样本点的统计半径内,再根据这些邻居点与样本点的距离计算密度。其它各个点的局部密度计算方法类似,若邻居信息记录的是采样半径的邻居点数目和统计半径邻居点的数目,那么可以直接计算上述平均密度和局部密度。
步骤207,判断多粒度偏斜因子比值是否在正常范围,二维空间中的多粒度偏斜因子的比值的正常范围一般是(0,3),若大于3时记录样本点异常。高维空间中也可以采用其他预置的正常范围。在任意采样半径对应的检测模型下,计算的多粒度偏斜因子比值大于3时,则判断样本点异常。
其中,步骤204在每次步骤203选择采样半径后都执行一次,从而在步骤204获得与采样半径对应的所有的邻居点,而步骤205根据每次步骤204搜索到的邻居点都更新该采样半径对应的检测模型,步骤206根据每个更新的检查模型都执行一次异常检测的计算。因此,步骤203选择了多少个采样半径,步骤203到步骤206就重复执行多少次,在任意一个采样半径下,步骤206计算的多粒度偏斜因子值大于3,就判断样本点异常。
本发明实施例通过局部相关积分方法获得初始检测模型,依次选择样本点的预置的采样半径组中的各个采样半径,根据选择的采样半径,依次更新与选择的采样半径对应的检测模型,减小了采样半径的设置对于检测模型的影响的敏感度,在一定程度上减小了产生误检的几率,从而提高异常检测的异常识别能力,并且,在异常检测过程中,利用KD搜索的方式搜索邻居点,先搜索邻域,对邻域中的点进行邻居点的判断,避免了遍历所有点,加快了搜索邻居点的速度,提高了异常检测速度,从而实现了在高速网络环境下实时变化的网络数据的异常检测。
下面对用于执行上述网络异常的检测方法的网络数据异常检测装置进行说明,其结构示意图参考图4。该装置包括:
数据转换模块31,用于将实时网络数据转换为样本点。
一般情况下,实时网络数据可看作一个具体的网络行为,它具有多个属性,则实时网络数据的多个属性的属性值可以映射为高维空间中的点,实时网络数据经过转换后成为样本点,该样本点的多个坐标值也对应实时网络数据的各个属性值。样本点是对实时网络数据的抽象,网络异常的检测装置将实时网络数据的某个属性值变换后映射为对应该属性的坐标轴上的值,那么这个值就是实时网络数据或网络行为的抽象。
模型更新模块32,用于依次选择样本点的采样半径组中的各个采样半径,根据选择的采样半径,依次更新与选择的采样半径对应的检测模型。
检测模型中包括高维空间中的所有点以及各个点的邻居信息。邻居信息可以为各个点有哪些邻居点,这里的邻居点可以用邻居点的标识(ID)表示,也可以直接记录邻居点的坐标。邻居信息也可以为各个点的采样半径和统计半径内分别存在的邻居点的数量。
当邻居信息为各个点有哪些邻居点时,更新检测模型具体可以为,搜索该采样半径下该样本点的邻居点,建立该样本点的邻居信息,即将各个邻居点添加到该样本点的邻居信息中,并更新各个邻居点的邻居信息,即将该样本点添加到各个邻居点的邻居信息中,从而更新检测模型。检测模型中包括高维空间中的所有点以及各个点的邻居信息,即各个点有哪些邻居点,这里的邻居点可以用邻居点的标识(ID)表示,也可以直接记录邻居点的坐标。
当邻居信息为各个点的采样半径和统计半径内分别存在的邻居点的数量时,更新检测模型具体可以为,搜索该采样半径下该样本点的邻居点,建立该样本点的邻居信息,即分别记录距离该样本点采样半径和统计半径内的邻居点数量,分别为第一邻居数目和第二邻居数目,并更新各个邻居点的邻居信息,即将距离该样本点采样半径内的邻居点的邻居信息中的第一邻居数目加一,将距离该样本点统计半径内的邻居点的邻居信息中的第二邻居数目加一,从而更新检测模型。
样本点被设置了多个采样半径,多个采样半径形成一个采样半径组。依次选择采样半径组中的采样半径。在选择的采样半径后,根据选择的采样半径,搜索该采样半径下的邻居点,根据邻居点的时间戳和老化周期,更新检测模型。其中,采样半径的选择会影响检测模型的更新。选择不同的采样半径会产生不同的检测模型。依次选择采样半径组中不同的采样半径,根据不同的采样半径,依次更新与采样半径对应的检测模型。统计半径可以随着采样半径变化,例如统计半径为采样半径与一固定比值α之积。
异常检测模块33,用于根据依次更新的采样半径对应的检测模型,检测样本点的异常情况。
根据更新的检测模型,计算局部密度,即样本点的采样半径内各个点各自的统计半径内的点的密度,并计算平均密度,即样本点的采样半径内各个点的局部密度的平均,根据所述平均密度和所述局部密度,计算多粒度偏斜因子比值。计算样本点的局部密度时,若邻居信息记录的是样本点的标识或坐标,那么先根据样本点与各个邻居点的距离判断哪些邻居点在样本点的统计半径内,再根据这些邻居点与样本点的距离计算密度。其它各个点的局部密度计算方法类似,若邻居信息记录的是采样半径的邻居点数目和统计半径邻居点的数目,那么可以直接计算上述平均密度和局部密度。
在依次获得更新后的检测模型后,对样本点进行异常情况的检测,在任意一个采样半径对应的检测模型下,检测样本点结果为异常,那么就视为该样本点为异常。也可以采用其他的判断样本点的异常情况的条件,例如在任意n个采样半径对应的检测模型下,检测样本点结果为异常,那么就视为该样本点为异常,这里的n是一个大于1小于采样半径组中采样半径总数的整数。
优选的,该网络异常的检测装置还包括:
初始模块34,用于通过静态局部相关积分方法对正常的网络数据进行训练,生成初始的检测模型。
优选的,模型更新模块32包括:
搜索单元321,用于在KD树中搜索样本点在采样半径下的所有邻居点。
更新单元322,用于根据搜索单元321搜索到的邻居点,更新检测模型。
更新单元322执行的操作具体为上述第二实施例步骤203执行的步骤所述,在此不再赘述。
优选地,该网络异常检测装置还包括:
删除模块35,用于根据邻居点的时间戳,将超过老化周期的邻居点添加到删除列表。添加到删除列表中的点并不会立刻被删除,删除列表中的点会被定时删除。
优选的,所述异常检测模块33包括:
第一计算单元331,根据依次更新的采样半径对应的检测模型,计算样本点的采样半径所有点的局部密度和平均密度;
第二计算单元332,用于根据所述平均密度和所述局部密度,计算多粒度偏斜因子比值;
异常判断单元333,用于根据依次更新的采样半径对应的检测模型下的所述样本点的多粒度偏斜因子比值和预置的正常范围,判断样本点的异常情况。
为了更加清楚说明本实施例,下面对上述实施例的应用场景进行说明。
应用场景一:假设,通过静态LOCI方法训练获得了初始的检测模型,网络异常的检测装置设置的最小采样半径是rmin,最大采样半径是rmax,老化周期是T,统计半径是αr,邻居信息为邻居点的数目,实时网络数据插入的情况下的网络异常检测过程,参见图5,是本应用场景的流程示意图。
步骤401,数据转换模块31将实时网络数据转换为样本点S。
步骤402,模型更新模块32将新的样本点S添加到KD树的指定位置。
步骤403,模型更新模块32在采样半径组中选择一个采样半径r,采样半径组为若干采样半径的集合,举例来说,采样半径组可以设置为[rmin,rmax]区间内每隔指定距离d的取值,即采样半径组里面可选的采样半径有rmin、rmin+d、rmin+2d、rmin+3d......rmin+nd和rmax,也可以设置其它形式的离散的采样半径组。
步骤404,模型更新模块32在KD树中搜索S在采样半径r下所有的邻居点集合N。
步骤405,删除模块35获取集合N中所有邻居点的时间戳。
步骤406,删除模块35根据集合N中所有邻居点时间戳,将集合N中超过老化周期的邻居点加入删除列表。
步骤407,模型更新模块32记录样本点S的第一邻居数目(集合N点的个数),根据搜索到的集合N,找到S在统计半径内的邻居点(集合M)的数目,即第二邻居数目(集合M点的个数),将集合N中的所有邻居点的第一邻居数目增加1,将M集合的所有点的第二邻居数目增加1;需要说明的是,步骤407可以直接放在步骤404后执行。步骤405到步骤406可以在步骤404选择到邻居点后的任意时刻执行,目的在于将超过老化周期的邻居点加入删除列表等待被删除。
步骤408,异常检测模块33根据LOCI方法,计算S的采样半径内所有的邻居点的平均密度和S的统计半径内点的局部密度,从而计算MDEF比值,判断样本点S的异常情况,若是,则进入步骤409,若否,则进入步骤410。
步骤409,异常检测模块33记录样本点异常。
步骤410,模型更新模块32判断是否是最后一个采样半径,若是,则进入步骤411,若否则进入步骤403。
步骤411,异常检测模块33输出检测结果,即任意一次步骤408判断样本点S异常即输出样本点S异常的检测结果,否则输出样本点S非异常的检测结果。
应用场景二:同样可参见图5,假设,通过静态LOCI方法训练获得了初始的检测模型,网络异常的检测装置设置的最小采样半径是rmin,最大采样半径是rmax,老化周期是T,统计半径是αr,邻居信息记录为邻居点的ID,即为邻居点的坐标,实时网络数据插入的情况下的网络异常检测过程。
步骤401,数据转换模块31将实时网络数据转换为样本点S。
步骤402,模型更新模块32将新的样本点S添加到KD树的指定位置。
步骤403,模型更新模块32在采样半径组中选择一个采样半径r,采样半径组为若干采样半径的集合,举例来说,采样半径组可以设置为[rmin,rmax]区间内每隔指定距离d的取值,即采样半径组里面可选的采样半径有rmin、rmin+d、rmin+2d、rmin+3d......rmin+nd和rmax,也可以设置其它形式的离散的采样半径组。
步骤404,模型更新模块32在KD树中搜索S在采样半径r下有哪些邻居点。
步骤405,删除模块35获取所有邻居点的时间戳。
步骤406,删除模块35根据邻居点的时间戳,将超过老化周期的邻居点加入删除列表。
步骤407,模型更新模块32建立该样本点S的邻居信息,即S所有邻居点的坐标,将样本点S的坐标加入到所有邻居点的邻居信息中;需要说明的是,步骤407可以直接放在步骤404后执行。步骤405到步骤406可以在步骤404选择到邻居点后的任意时刻执行,目的在于将超过老化周期的邻居点加入删除列表等待被删除。
步骤408,异常检测模块33根据LOCI方法,计算S的采样半径内所有的邻居点的平均密度和S的统计半径内点的局部密度,从而计算MDEF值,判断样本点S的异常情况,若是,则进入步骤409,若否,则进入步骤410。
步骤409,异常检测模块33记录样本点异常。
步骤410,模型更新模块32判断是否是最后一个采样半径,若是,则进入步骤411,若否则进入步骤403。
步骤411,异常检测模块33输出检测结果,即任意一次步骤408判断样本点S异常即输出样本点S异常的检测结果,否则输出样本点S非异常的检测结果。
应用场景三:假设,通过静态LOCI方法训练获得了初始的检测模型,网络异常的检测装置设置的最小采样半径是rmin,最大采样半径是rmax,老化周期是T,邻居信息记录为邻居点的数目,包括第一邻居点数目和第二邻居点数目,实时网络数据删除的情况下模型更新模块的操作过程,参见图6,是本应用场景的流程示意图。
步骤501,模型更新模块32获取删除列表D。
步骤502,选择删除列表中的样本点S。
步骤503,模型更新模块32在采样半径组中选择一个采样半径r,r可以设置为[rmin,rmax]区间内每隔指定距离d的取值,那么采样半径组里面可选的采样半径有rmin、rmin+d、rmin+2d、rmin+3d......rmin+nd和rmax。
步骤504,模型更新模块32在KD树中搜索S在采样半径r下所有的邻居点集合N。
步骤505,删除模块35获取所有邻居点的时间戳。
步骤506,删除模块35根据所有邻居点的时间戳,将超过了老化周期的邻居点加入删除列表。
步骤507,模型更新模块32将集合N中所有点的第一邻居数目减少1,集合N中,搜索在样本点的统计半径内的点的集合M,将集合M中的点的第二邻居数目减少1。需要说明的是,步骤507可以直接放在步骤504后执行。步骤505到步骤506可以在步骤504选择到邻居点后的任意时刻执行,目的在于将超过老化周期的邻居点加入删除列表等待被删除。
步骤508,模型更新模块32判断采样半径是否是最后一个采样半径,若是则进入步骤509,若否,则进入步骤503。
步骤509,删除模块35从样本空间以及KD树中删除样本点S。在步骤509之后可以继续选择其他样本点并回到步骤502执行删除。
应用场景四:假设,通过静态LOCI方法训练获得了初始的检测模型,网络异常的检测装置设置的最小采样半径是rmin,最大采样半径是rmax,老化周期是T,邻居信息是记录各邻居点的标识或坐标,实时网络数据删除的情况下模型更新模块的操作过程。同样的,参见图7,是本应用场景的流程示意图:
步骤601,模型更新模块32获取删除列表D。
步骤602,选择删除列表中的样本点S。
步骤603,模型更新模块32根据样本点S的标识或坐标将样本点S从所有邻居点的各个采样半径对应的检测模型的邻居信息中删除。若邻居信息不记录各个邻居点的邻居数目,而记录邻居点的标识或坐标,在删除样本点时可以不进行邻居点的搜索,只需要根据样本点的标识或坐标在检测模型中匹配即可。
步骤604,删除模块35从样本空间以及KD树中删除样本点S。在步骤604之后可以在删除列表D中继续选择其他样本点并回到步骤602执行删除。
本发明实施例通过静态LOCI方法获得初始检测模型,将依次选择样本点的采样半径组中的各个采样半径,根据选择的采样半径,依次更新与选择的采样半径对应的检测模型,避免一个采样半径对检测模型进行更新而导致检测精度下降,通过多个采样半径来更新检测模型,从而提高异常检测的异常识别能力。并且,在异常检测过程中,利用KD搜索的方式搜索邻居点,提高了搜索邻居点的速度,提高了异常检测速度,从而实现了在高速网络环境下实时变化的网络数据的异常检测。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的网络异常的检测方法和装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (11)

1.一种网络异常的检测方法,其特征在于,包括:
将实时网络数据转换为样本点;
依次选择预置的采样半径组中的各个采样半径;
根据所述样本点和选择的采样半径,按照局部相关积分方法,依次更新与选择的采样半径对应的检测模型;
根据依次更新的采样半径对应的检测模型,检测样本点的异常情况。
2.如权利要求1所述的网络异常的检测方法,其特征在于,所述更新与选择的采样半径对应的检测模型包括:
搜索与样本点的距离在采样半径内的所有邻居点;
根据所述采样半径内的所有邻居点,更新检测模型。
3.如权利要求2所述的网络异常检测方法,其特征在于,在所述搜索与样本点的距离在采样半径内的所有邻居点之后还包括:
根据邻居点的时间戳,将超过老化周期的邻居点添加到删除列表。
4.如权利要求2所述的网络异常的检测方法,其特征在于,所述搜索样本点在采样半径下的所有邻居点具体为:通过KD搜索方式在K维树中搜索邻域,在所述邻域中搜索样本点在采样半径下的所有邻居点。
5.如权利要求1所述的网络异常的检测方法,其特征在于,在将实时网络数据转化为样本点之前还包括:
通过局部相关积分方法对正常的网络数据进行训练,生成初始的检测模型。
6.如权利要求1所述的网络异常的检测方法,其特征在于,所述根据依次更新的采样半径对应的检测模型,检测样本点的异常情况包括:
根据依次更新的采样半径对应的检测模型,计算样本点的采样半径所有点的局部密度和平均密度;
根据所述平均密度和所述局部密度,计算多粒度偏斜因子比值;
根据依次更新的采样半径对应的检测模型下的所述样本点的多粒度偏斜因子比值和预置的正常范围,判断样本点的异常情况。
7.一种网络异常的检测装置,其特征在于,包括:
数据转换模块,用于将实时网络数据转换为样本点;
模型更新模块,用于依次选择样本点的采样半径组中的各个采样半径,根据选择的采样半径,按照局部相关积分方法,依次更新与选择的采样半径对应的检测模型;
异常检测模块,用于根据依次更新的采样半径对应的检测模型,检测样本点的异常情况。
8.如权利要求7所述的网络异常的检测装置,其特征在于,所述模型更新模块包括:
搜索单元,用于通过快速搜索方式搜索样本点在采样半径内的所有邻居点;
更新单元,用于根据所述采样半径内的所有邻居点,更新检测模型。
9.如权利要求7所述的网络异常的检测装置,其特征在于,所述装置还包括:
删除模块,用于根据邻居点的时间戳,将超过老化周期的邻居点添加到删除列表。
10.如权利要求9所述的网络异常的检测装置,其特征在于,所述装置还包括:
初始模块,用于通过局部相关积分方法对正常的网络数据进行训练,生成初始的检测模型。
11.如权利要求7所述的网络异常的检测装置,其特征在于,所述异常检测模块包括:
第一计算单元,根据依次更新的采样半径对应的检测模型,计算样本点的采样半径所有点的局部密度和平均密度;
第二计算单元,用于根据所述平均密度和所述局部密度,计算多粒度偏斜因子比值;
异常判断单元,用于根据依次更新的采样半径对应的检测模型下的所述样本点的多粒度偏斜因子比值和预置的正常范围,判断样本点的异常情况。
CN 201010142082 2010-04-06 2010-04-06 一种网络异常的检测方法和装置 Active CN102215138B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010142082 CN102215138B (zh) 2010-04-06 2010-04-06 一种网络异常的检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010142082 CN102215138B (zh) 2010-04-06 2010-04-06 一种网络异常的检测方法和装置

Publications (2)

Publication Number Publication Date
CN102215138A true CN102215138A (zh) 2011-10-12
CN102215138B CN102215138B (zh) 2013-12-18

Family

ID=44746277

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010142082 Active CN102215138B (zh) 2010-04-06 2010-04-06 一种网络异常的检测方法和装置

Country Status (1)

Country Link
CN (1) CN102215138B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411897A (zh) * 2016-09-29 2017-02-15 广州鹤互联网科技有限公司 一种签核发起用户管理方法和设备
CN107316083A (zh) * 2017-07-04 2017-11-03 北京百度网讯科技有限公司 用于更新深度学习模型的方法和装置
CN110749158A (zh) * 2019-10-31 2020-02-04 长虹美菱股份有限公司 一种家用电冰箱自动判断连网功能的控制方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040143428A1 (en) * 2003-01-22 2004-07-22 Rappaport Theodore S. System and method for automated placement or configuration of equipment for obtaining desired network performance objectives
CN101252482A (zh) * 2008-04-07 2008-08-27 华为技术有限公司 网络流量异常检测方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040143428A1 (en) * 2003-01-22 2004-07-22 Rappaport Theodore S. System and method for automated placement or configuration of equipment for obtaining desired network performance objectives
CN101252482A (zh) * 2008-04-07 2008-08-27 华为技术有限公司 网络流量异常检测方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411897A (zh) * 2016-09-29 2017-02-15 广州鹤互联网科技有限公司 一种签核发起用户管理方法和设备
CN107316083A (zh) * 2017-07-04 2017-11-03 北京百度网讯科技有限公司 用于更新深度学习模型的方法和装置
US11640550B2 (en) 2017-07-04 2023-05-02 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for updating deep learning model
CN110749158A (zh) * 2019-10-31 2020-02-04 长虹美菱股份有限公司 一种家用电冰箱自动判断连网功能的控制方法

Also Published As

Publication number Publication date
CN102215138B (zh) 2013-12-18

Similar Documents

Publication Publication Date Title
US11256924B2 (en) Identifying and categorizing contextual data for media
CN109840533B (zh) 一种应用拓扑图识别方法及装置
CN103020288A (zh) 一种动态数据环境下的数据流分类方法
CN106557531B (zh) 复杂结构对象转换成平面化数据的方法、设备和存储介质
CN101266610A (zh) 一种Web活跃用户网站访问模式的在线挖掘方法
CN103532949A (zh) 基于动态反馈的自适应木马通信行为检测方法
JP2012137908A (ja) クラスタリング装置及びクラスタリング方法
CN103178998A (zh) 一种测控数据传输方法和装置
CN107528904B (zh) 用于数据分布式异常检测的方法与设备
CN109144514B (zh) Json格式数据解析存储方法及装置
WO2015027731A1 (zh) 布隆过滤器生成方法和装置
CN102215138B (zh) 一种网络异常的检测方法和装置
Li et al. Street-Level Landmarks Acquisition Based on SVM Classifiers.
CN112468487B (zh) 实现模型训练的方法、装置、实现节点检测的方法及装置
CN104700311B (zh) 一种社会网络中的邻域跟随社区发现方法
CN105302823A (zh) 重叠社区并行发现的方法及系统
CN115442393A (zh) 基于工业互联网标识体系的存量物联设备配置方法及装置
CN114584377A (zh) 流量异常检测方法、模型的训练方法、装置、设备及介质
TWI710918B (zh) 一種lsm樹的優化方法、裝置及電腦設備
CN112765313A (zh) 一种基于原文和评论信息分析算法的虚假信息检测方法
WO2021196765A1 (zh) 到达时间确定方法、装置、终端设备及存储介质
WO2017008677A1 (zh) 一种数据检测方法和装置
CN102223405A (zh) 一种媒体类型分析的方法、系统及媒体服务器
CN117454206A (zh) 针对晶圆的缺陷的聚类方法、系统、设备及计算机可读介质
CN117008195A (zh) 一种基于随机森林的横波预测方法、系统及设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20170718

Address after: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401

Patentee after: Guangdong Gaohang Intellectual Property Operation Co., Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: Huawei Technologies Co., Ltd.

CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Wang Junyan

Inventor after: Wang Xianru

Inventor after: Wang Jing

Inventor before: Rakesh.Ramakrishnan

Inventor before: Xu Guowei

Inventor before: Jaideep.Srivastava

Inventor before: Zhang Bo

TR01 Transfer of patent right

Effective date of registration: 20171009

Address after: Wan Zhuang Langfang city of Hebei province oil base 065000 Guangyang district four production plants don't suit 2 residential apartment building room 208

Co-patentee after: Wang Xianru

Patentee after: Wang Junyan

Co-patentee after: Wang Jing

Address before: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401

Patentee before: Guangdong Gaohang Intellectual Property Operation Co., Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190102

Address after: 430000 No. 01, 1-4 Floors, 9 Building 1-4, Shenzhou Digital Wuhan Science Park, No. 7, Financial Port Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee after: Optics Valley technology stock company

Address before: Wan Zhuang Langfang city of Hebei province oil base 065000 Guangyang district four production plants don't suit 2 residential apartment building room 208

Co-patentee before: Wang Xianru

Patentee before: Wang Junyan

Co-patentee before: Wang Jing

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and device for detecting network abnormality

Effective date of registration: 20190828

Granted publication date: 20131218

Pledgee: Wuhan rural commercial bank Limited by Share Ltd Optics Valley branch

Pledgor: Optics Valley technology stock company

Registration number: Y2019420000007

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20200813

Granted publication date: 20131218

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: OPTICAL VALLEY TECHNOLOGY Co.,Ltd.

Registration number: Y2019420000007

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A network anomaly detection method and device

Effective date of registration: 20200818

Granted publication date: 20131218

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: OPTICAL VALLEY TECHNOLOGY Co.,Ltd.

Registration number: Y2020420000053

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 430000 No. 01, 1-4 Floors, 9 Building 1-4, Shenzhou Digital Wuhan Science Park, No. 7, Financial Port Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee after: Optical Valley Technology Co.,Ltd.

Address before: 430000 No. 01, 1-4 Floors, 9 Building 1-4, Shenzhou Digital Wuhan Science Park, No. 7, Financial Port Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Patentee before: OPTICAL VALLEY TECHNOLOGY Co.,Ltd.

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20220609

Granted publication date: 20131218

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: OPTICAL VALLEY TECHNOLOGY Co.,Ltd.

Registration number: Y2020420000053