CN103384215A - 一种基于联合ar模型的病毒态势异常检测方法及系统 - Google Patents

一种基于联合ar模型的病毒态势异常检测方法及系统 Download PDF

Info

Publication number
CN103384215A
CN103384215A CN2012105605745A CN201210560574A CN103384215A CN 103384215 A CN103384215 A CN 103384215A CN 2012105605745 A CN2012105605745 A CN 2012105605745A CN 201210560574 A CN201210560574 A CN 201210560574A CN 103384215 A CN103384215 A CN 103384215A
Authority
CN
China
Prior art keywords
viral
virus
communication events
sequence
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012105605745A
Other languages
English (en)
Other versions
CN103384215B (zh
Inventor
于佳华
孙晋超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201210560574.5A priority Critical patent/CN103384215B/zh
Publication of CN103384215A publication Critical patent/CN103384215A/zh
Application granted granted Critical
Publication of CN103384215B publication Critical patent/CN103384215B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于联合AR模型的病毒态势异常检测方法及系统,首先由自回归模型得到最新时间点的网络流量数据的预测值和病毒传播事件的预测值,基于所述的预测值得到网络流量数据的异常统计量和病毒传播事件的异常统计量;然后利用发明中所给的方法计算病毒传播事件的总异常统计量,若所述的病毒传播事件的总异常统计量超过预设阈值,则出现病毒态势异常,否则没有出现病毒态势异常。从而,克服了传统方法对于微小异常的无法检测,或者产生大量误报的情况。

Description

一种基于联合AR模型的病毒态势异常检测方法及系统
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于联合AR模型的病毒态势异常检测方法及系统。 
背景技术
现在的互联网环境中,每天都发生着各种各样的病毒传播事件,这些病毒传播事件往往都淹没在浩瀚的网络洪流中,提取和发现这些病毒传播事件,并对这些病毒传播事件规律进行深度分析,从而捕捉突发病毒疫情,是网络安全技术领域急需解决的难题。
现有的网络流量异常检测方法,包括:基于阈值的方法,即当网络流量超过预设阈值时立即告警。但是,这种方法只能发现严重的网络故障或性能问题,并且,如果阈值设定的过小,则系统可能出现告警风暴,误报的可能性很大;如果阈值设定的过大,则不易发现网络中存在的细微流量突变,不能及时地进行网络流量管理。基于统计的检测方法,在网络正常运行时建立一套网络参数,当网络参数出现偏差不符合正常运行情况时告警。基于小波的检测方法,小波变换可得到低频系数和高频系数,其中低频系数反映原始信号的轮廓,而高频系数反映信号的细节,网络流量异常可以通过分析细节系数检测出来。
以上检测方法仍然存在很多问题:只是针对总体病毒传播事件进行网络异常检测是不合理的,虽然从网络传输角度看病毒传播事件都是IP流,与其他网络流量无区别,但是病毒本身是有类别特征的,如果只是将它们视为一个整体,则必然会遗漏很多信息。例如,某类病毒出现疫情,传播次数骤增,但是由于它在所有病毒传播事件中比例较小,其骤增的态势在总体病毒传播事件中凸显不出,所以受到忽视;也有可能存在两个病毒传播事件,其态势是一增一减,效果相互抵消,总体病毒传播事件中检测不到所述的异常;并且即使发现病毒传播事件在某个时间点增加较多,很有可能是由于在相同时间网络流量也增加较多,所以这种情况就不能判定为网络病毒态势异常。
发明内容
针对上述技术问题,本发明提供了一种基于联合AR模型的病毒态势异常检测方法及系统,该方法利用自回归模型获取网络流量数据和病毒传播事件的异常统计量,接着利用公式判定所述网络中是否存在病毒态势异常。该方法克服了传统方法无法察觉微小异常的缺点,并且可以给出病毒态势异常趋势。 
本发明采用如下方法来实现:一种基于联合AR模型的病毒态势异常检测方法,包括:
针对网络流量数据生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的网络流量数据得到第N+1时刻的网络流量数据的预测值;
基于所述第N+1时刻的网络流量数据的预测值与第N+1时刻的网络流量数据的真实值之间的差距,得到第N+1时刻的网络流量数据的异常统计量,以                                                
Figure 806736DEST_PATH_IMAGE001
表示;
对检测到的病毒传播事件按照预设的方式进行分类,并且将所述病毒传播事件用数值序列表示;将检测到的病毒传播事件进行所述分类后,不仅可以保证细小异常不漏检,又可以辅助定位异常原因,比如,当病毒运行环境为win32和病毒类型为Trojan的病毒传播事件在同一时刻出现病毒异常态势,则可以推断病毒态势异常由病毒家族“Trojan.win32.XXX”导致。
例如所述病毒名中可以包括Trojan、Virus、Worm,或者更为精细的分类。
针对所述分类中的各类别下的所有病毒传播事件的数值序列生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的数值序列的值得到第N+1时刻的数值序列的预测值;
基于所述第N+1时刻的数值序列的预测值与第N+1时刻的数值序列的真实值之间的差距,得到第N+1时刻的病毒传播事件的异常统计量,以
Figure 350981DEST_PATH_IMAGE002
表示;所述tag为取自于所述分类中的各类别下的病毒传播事件的标识;
计算病毒传播事件的总异常统计量,以
Figure 609924DEST_PATH_IMAGE003
表示,方法为
Figure 974041DEST_PATH_IMAGE004
,并判断所述
Figure 914315DEST_PATH_IMAGE003
是否大于预设阈值,若是,则出现病毒态势异常,否则没有出现病毒态势异常;所述
Figure 372454DEST_PATH_IMAGE005
是指所述分类中各类别下的病毒传播事件数量之和。宏观上病毒传播事件的趋势与网络流量趋势是基本吻合的,利用如上计算方法,可以排除掉由于网络流量的大幅波动导致的病毒传播事件趋势的变化,使得检测结果更加准确,不会导致误报。
方法中所述时间窗可以依据时间的更新向后滑动,以便求得最新时间点的预测值情况。
方法中在判断出现病毒态势异常之后,还包括:针对分类中的各类别下的所有异常统计量计算
Figure 412085DEST_PATH_IMAGE006
值,并将所述值按照大小进行排序,认为排序中
Figure 132096DEST_PATH_IMAGE006
值较大的病毒传播事件为病毒态势异常的主要贡献者;进行这样的排序之后可以更精确地定位异常发生原因,可以分析出病毒态势异常是由哪个病毒,哪个文件导致,进而确定病毒传播源和主要感染者。
所述方法是从网络病毒监控设备处获取病毒传播事件相关数据;本方法可以运行在网络病毒监控设备之后,对多台设备上报的病毒传播事件的相关数据进行汇集,并进一步进行分类。
方法中所述自回归模型采用二阶自回归模型;本发明综合统计精度要求与计算复杂度,可以选择二阶自回归模型(AR(2))。
一种基于联合AR模型的病毒态势异常检测系统,包括: 
第一预测模块,针对网络流量数据生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的网络流量数据得到第N+1时刻的网络流量数据的预测值;
流量异常模块,基于所述第N+1时刻的网络流量数据的预测值与第N+1时刻的网络流量数据的真实值之间的差距,得到第N+1时刻的网络流量数据的异常统计量,以
Figure 509988DEST_PATH_IMAGE001
表示;
分类模块,对检测到的病毒传播事件按照预设的方式进行分类,并且将所述病毒传播事件用数值序列表示;将检测到的病毒传播事件进行所述分类后,不仅可以保证细小异常不漏检,又可以辅助定位异常原因(比如,当病毒运行环境为win32和病毒类型为Trojan的病毒传播事件在同一时刻出现病毒异常态势,则可以推断病毒态势异常由病毒家族“Trojan.win32.XXX”导致。
所述病毒名中可以包括Trojan、Virus、Worm,或者更为精细的分类。
第二预测模块,针对所述分类中的各类别下的所有病毒传播事件的数值序列生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的数值序列的值得到第N+1时刻的数值序列的预测值;
病毒异常模块,基于所述第N+1时刻的数值序列的预测值与第N+1时刻的数值序列的真实值之间的差距,得到第N+1时刻的病毒传播事件的异常统计量,以
Figure 48417DEST_PATH_IMAGE002
表示;所述tag为取自于所述分类中的各类别下的病毒传播事件的标识;
判定模块,计算病毒传播事件的总异常统计量,以
Figure 511759DEST_PATH_IMAGE003
表示,方法为
Figure 793836DEST_PATH_IMAGE004
,并判断所述
Figure 291813DEST_PATH_IMAGE003
是否大于预设阈值,若是,则出现病毒态势异常,否则没有出现病毒态势异常;所述
Figure 735564DEST_PATH_IMAGE005
是指所述分类中各类别下的病毒传播事件数量之和。宏观上病毒传播事件的趋势与网络流量趋势是基本吻合的,利用如上计算方法,可以排除掉由于网络流量的大幅波动导致的病毒传播事件趋势的变化,使得检测结果更加准确,不会导致误报。
系统中所述时间窗可以依据时间的更新向后滑动,以便求得最新时间点的预测值情况。
系统中在判定模块判断出现病毒态势异常之后,还包括:针对分类中的各类别下的所有异常统计量计算
Figure 951782DEST_PATH_IMAGE006
值,并将所述
Figure 771970DEST_PATH_IMAGE006
值按照大小进行排序,认为排序中
Figure 124454DEST_PATH_IMAGE006
值较大的病毒传播事件为病毒态势异常的主要贡献者;进行这样的排序之后可以更精确地定位异常发生原因,可以分析出病毒态势异常是由哪个病毒,哪个文件导致,进而确定病毒传播源和主要感染者。
系统中所述检测系统从网络病毒监控设备处获取所有病毒传播事件相关数据;本系统可以运行在网络病毒监控设备之后,对多台设备上报的病毒传播事件的相关数据进行汇集,并进一步进行分类。
系统中所述自回归模型采用二阶自回归模型;本发明综合统计精度要求与计算复杂度,可以选择二阶自回归模型(AR(2))。
综上所述,本发明提供了一种基于联合AR模型的病毒态势异常检测方法及系统,首先利用自回归模型得到当前时刻的网络流量数据和各个病毒传播事件的异常统计量,利用所给公式计算出总异常统计量,基于得到的总异常统计量判断是否发生病毒态势异常。所以本发明可以给出所在网络的宏观病毒态势异常的情况及其变化趋势,以便管理员及时作出响应。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于联合AR模型的病毒态势异常检测方法流程图;
图2为本发明提供的一种基于联合AR模型的病毒态势异常检测系统结构图。
具体实施方式
本发明给出了一种基于联合AR模型的病毒态势异常检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于联合AR模型的病毒态势异常检测方法,如图1所示,包括:
S101对检测到的病毒传播事件按照预设的方式进行分类,并且将所述病毒传播事件用数值序列表示;
S102针对所述分类中的各类别下的所有病毒传播事件的数值序列和网络流量数据生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的数值序列的值和网络流量数据得到第N+1时刻的数值序列和网络流量数据的预测值;
S103基于所述第N+1时刻的数值序列和网络流量数据的预测值与真实值之间的差距,得到第N+1时刻的所述病毒传播事件的异常统计量和网络流量数据的异常统计量,分别以
Figure 742036DEST_PATH_IMAGE002
Figure 117654DEST_PATH_IMAGE001
表示;
S104计算病毒传播事件的总异常统计量,以
Figure 803850DEST_PATH_IMAGE003
表示,方法为
Figure 948523DEST_PATH_IMAGE004
,并判断所述是否大于预设阈值,若是,则出现病毒态势异常,否则没有出现病毒态势异常;所述
Figure 924887DEST_PATH_IMAGE005
是指所述分类中各类别下的病毒传播事件数量之和。
优选地,所述按照预设的方式进行分类包括:按病毒名、病毒家族、病毒类型、病毒运行环境、病毒文件名、病毒文件格式进行分类。
优选地,在判断出现病毒态势异常之后,还包括:针对分类中的各类别下的所有异常统计量计算
Figure 149195DEST_PATH_IMAGE006
值,并将所述
Figure 413954DEST_PATH_IMAGE006
值按照大小进行排序,认为排序中
Figure 698305DEST_PATH_IMAGE006
值较大的病毒传播事件为病毒态势异常的主要贡献者。
优选地,所述方法是从网络病毒监控设备处获取病毒传播事件相关数据。
优选地,所述自回归模型采用二阶自回归模型。
本发明还提供了一种基于联合AR模型的病毒态势异常检测系统,如图2所示,包括:
第一预测模块201,针对网络流量数据生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的网络流量数据得到第N+1时刻的网络流量数据的预测值;
流量异常模块202,基于所述第N+1时刻的网络流量数据的预测值与第N+1时刻的网络流量数据的真实值之间的差距,得到第N+1时刻的网络流量数据的异常统计量,以
Figure 782935DEST_PATH_IMAGE001
表示;
分类模块203,对检测到的病毒传播事件按照预设的方式进行分类,并且将所述病毒传播事件用数值序列表示;
第二预测模块204,针对所述分类中的各类别下的所有病毒传播事件的数值序列生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的数值序列的值得到第N+1时刻的数值序列的预测值;
病毒异常模块205,基于所述第N+1时刻的数值序列的预测值与第N+1时刻的数值序列的真实值之间的差距,得到第N+1时刻的病毒传播事件的异常统计量,以表示;所述tag为取自于所述分类中的各类别下的病毒传播事件的标识;
判定模块206,计算病毒传播事件的总异常统计量,以表示,方法为
Figure 323135DEST_PATH_IMAGE004
,并判断所述是否大于预设阈值,若是,则出现病毒态势异常,否则没有出现病毒态势异常;所述
Figure 723822DEST_PATH_IMAGE005
是指所述分类中各类别下的病毒传播事件数量之和。
优选地,系统中所述按照预设的方式进行分类包括:按病毒名、病毒家族、病毒类型、病毒运行环境、病毒文件名、病毒文件格式进行分类。
优选地,在判定模块206判断出现病毒态势异常之后,还包括:针对分类中的各类别下的所有异常统计量计算
Figure 759911DEST_PATH_IMAGE006
值,并将所述值按照大小进行排序,认为排序中
Figure 445288DEST_PATH_IMAGE006
值较大的病毒传播事件为病毒态势异常的主要贡献者。
优选地,所述检测系统从网络病毒监控设备处获取所有病毒传播事件相关数据。
优选地,所述自回归模型采用二阶自回归模型。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于联合AR模型的病毒态势异常检测方法,其特征在于,包括:
针对网络流量数据生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的网络流量数据得到第N+1时刻的网络流量数据的预测值;
基于所述第N+1时刻的网络流量数据的预测值与第N+1时刻的网络流量数据的真实值之间的差距,得到第N+1时刻的网络流量数据的异常统计量,以                                               
Figure 2012105605745100001DEST_PATH_IMAGE001
表示;
对检测到的病毒传播事件按照预设的方式进行分类,并且将所述病毒传播事件用数值序列表示;
针对所述分类中的各类别下的所有病毒传播事件的数值序列生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的数值序列的值得到第N+1时刻的数值序列的预测值;
基于所述第N+1时刻的数值序列的预测值与第N+1时刻的数值序列的真实值之间的差距,得到第N+1时刻的病毒传播事件的异常统计量,以
Figure 2012105605745100001DEST_PATH_IMAGE002
表示;所述tag为取自于所述分类中的各类别下的病毒传播事件的标识;
计算病毒传播事件的总异常统计量,以
Figure 2012105605745100001DEST_PATH_IMAGE003
表示,方法为
Figure 2012105605745100001DEST_PATH_IMAGE004
,并判断所述是否大于预设阈值,若是,则出现病毒态势异常,否则没有出现病毒态势异常;所述是指所述分类中各类别下的病毒传播事件数量之和。
2.如权利要求1所述的方法,其特征在于,在判断出现病毒态势异常之后,还包括:针对分类中的各类别下的所有异常统计量计算
Figure 2012105605745100001DEST_PATH_IMAGE006
值,并将所述
Figure 165123DEST_PATH_IMAGE006
值按照大小进行排序,认为排序中
Figure 944860DEST_PATH_IMAGE006
值较大的病毒传播事件为病毒态势异常的主要贡献者。
3.如权利要求1所述的方法,其特征在于,所述方法是从网络病毒监控设备处获取病毒传播事件相关数据。
4.如权利要求1所述的方法,其特征在于,所述自回归模型采用二阶自回归模型。
5.如权利要求1所述的方法,其特征在于,所述对检测到的病毒传播事件按照预设的方式进行分类包括:按病毒名、病毒家族、病毒类型、病毒运行环境、病毒文件名、病毒文件格式进行分类。
6.一种基于联合AR模型的病毒态势异常检测系统,其特征在于,包括:
第一预测模块,针对网络流量数据生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的网络流量数据得到第N+1时刻的网络流量数据的预测值;
流量异常模块,基于所述第N+1时刻的网络流量数据的预测值与第N+1时刻的网络流量数据的真实值之间的差距,得到第N+1时刻的网络流量数据的异常统计量,以
Figure 527020DEST_PATH_IMAGE001
表示;
分类模块,对检测到的病毒传播事件按照预设的方式进行分类,并且将所述病毒传播事件用数值序列表示;
第二预测模块,针对所述分类中的各类别下的所有病毒传播事件的数值序列生成大小为N+1的时间窗,并利用自回归模型,基于前N个时刻的数值序列的值得到第N+1时刻的数值序列的预测值;
病毒异常模块,基于所述第N+1时刻的数值序列的预测值与第N+1时刻的数值序列的真实值之间的差距,得到第N+1时刻的病毒传播事件的异常统计量,以
Figure 341392DEST_PATH_IMAGE002
表示;所述tag为取自于所述分类中的各类别下的病毒传播事件的标识;
判定模块,计算病毒传播事件的总异常统计量,以
Figure 101538DEST_PATH_IMAGE003
表示,方法为
Figure 59916DEST_PATH_IMAGE004
,并判断所述
Figure 258816DEST_PATH_IMAGE003
是否大于预设阈值,若是,则出现病毒态势异常,否则没有出现病毒态势异常;所述
Figure 865378DEST_PATH_IMAGE005
是指所述分类中各类别下的病毒传播事件数量之和。
7.如权利要求6所述的系统,其特征在于,在判定模块判断出现病毒态势异常之后,还包括:针对分类中的各类别下的所有异常统计量计算
Figure 45693DEST_PATH_IMAGE006
值,并将所述
Figure 800022DEST_PATH_IMAGE006
值按照大小进行排序,认为排序中
Figure 474717DEST_PATH_IMAGE006
值较大的病毒传播事件为病毒态势异常的主要贡献者。
8.如权利要求6所述的系统,其特征在于,所述检测系统从网络病毒监控设备处获取所有病毒传播事件相关数据。
9.如权利要求6所述的系统,其特征在于,所述自回归模型采用二阶自回归模型。
10.如权利要求6所述的系统,其特征在于,所述对检测到的病毒传播事件按照预设的方式进行分类包括:按病毒名、病毒家族、病毒类型、病毒运行环境、病毒文件名、病毒文件格式进行分类。
CN201210560574.5A 2012-12-21 2012-12-21 一种基于自回归模型的病毒态势异常检测方法及系统 Active CN103384215B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210560574.5A CN103384215B (zh) 2012-12-21 2012-12-21 一种基于自回归模型的病毒态势异常检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210560574.5A CN103384215B (zh) 2012-12-21 2012-12-21 一种基于自回归模型的病毒态势异常检测方法及系统

Publications (2)

Publication Number Publication Date
CN103384215A true CN103384215A (zh) 2013-11-06
CN103384215B CN103384215B (zh) 2016-05-11

Family

ID=49491915

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210560574.5A Active CN103384215B (zh) 2012-12-21 2012-12-21 一种基于自回归模型的病毒态势异常检测方法及系统

Country Status (1)

Country Link
CN (1) CN103384215B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135183A (zh) * 2016-02-26 2017-09-05 中国移动通信集团河北有限公司 一种流量数据监测方法和装置
CN113315747A (zh) * 2020-11-09 2021-08-27 南昌工学院 一种计算机网络异常检测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651568A (zh) * 2009-07-01 2010-02-17 青岛农业大学 一种网络流量预测和异常检测方法
CN102404164A (zh) * 2011-08-09 2012-04-04 江苏欣网视讯科技有限公司 一种基于arma模型和混沌时间序列模型的流量分析方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651568A (zh) * 2009-07-01 2010-02-17 青岛农业大学 一种网络流量预测和异常检测方法
CN102404164A (zh) * 2011-08-09 2012-04-04 江苏欣网视讯科技有限公司 一种基于arma模型和混沌时间序列模型的流量分析方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
于新宇: "基于网络异常流量的入侵检测系统研究", 《中国优秀硕士学位论文全文数据库科技信息辑》 *
张瑞: "网络异常流量检测模型设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 *
李中魁: "基于动态阈值的网络流量异常检测方法研究与实现", 《中国优秀硕士学位论文全文数据库科技信息辑》 *
胡元洪: "网络流量异常检测算法", 《中国优秀硕士学位论文全文数据库科技信息辑》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135183A (zh) * 2016-02-26 2017-09-05 中国移动通信集团河北有限公司 一种流量数据监测方法和装置
CN113315747A (zh) * 2020-11-09 2021-08-27 南昌工学院 一种计算机网络异常检测方法

Also Published As

Publication number Publication date
CN103384215B (zh) 2016-05-11

Similar Documents

Publication Publication Date Title
CN111126824B (zh) 多指标关联模型训练方法及多指标异常分析方法
US10931511B2 (en) Predicting computer network equipment failure
CN103544093B (zh) 监控报警控制方法及其系统
CN110868425A (zh) 一种采用黑白名单进行分析的工控信息安全监控系统
JP4089719B2 (ja) 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
US11604502B2 (en) Systems and methods for intelligent alarm grouping
KR20090041198A (ko) 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
CN104753700B (zh) 告警风暴处理方法以及告警风暴处理系统
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
CN103744389A (zh) 一种油气生产设备运行状态的预警方法
CN103378980A (zh) 一种层网络告警与业务相关性分析方法和装置
WO2015090098A1 (zh) 一种实现故障定位的方法及装置
GB2491237A (en) Method and system for use in identifying abnormal behaviour ina control system
WO2021008296A1 (zh) 一种流量异常检测方法、装置、网络设备及存储介质
CN104218676A (zh) 电力调度自动化主站的智能告警系统和方法
CN102546274A (zh) 一种通信业务中的告警监控方法及设备
CN113671909A (zh) 一种钢铁工控设备安全监测系统和方法
CN109995555A (zh) 监控方法、装置、设备及介质
US8661113B2 (en) Cross-cutting detection of event patterns
CN101345656B (zh) 全局故障率测量方法
CN118174953A (zh) 一种基于人工智能的多维度网络异常感知溯源系统及方法
CN105530243A (zh) 一种网络攻击事件定量分级算法的实现方法
EP4198803A1 (en) Fault processing method and apparatus, network device and storage medium
CN103384215A (zh) 一种基于联合ar模型的病毒态势异常检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Virus situation anomaly detection method and system based on autoregression model

Effective date of registration: 20181119

Granted publication date: 20160511

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20200508

Granted publication date: 20160511

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd.

Registration number: 2018990001084

PC01 Cancellation of the registration of the contract for pledge of patent right