CN105516152A - 异常行为检测方法 - Google Patents

异常行为检测方法 Download PDF

Info

Publication number
CN105516152A
CN105516152A CN201510937719.2A CN201510937719A CN105516152A CN 105516152 A CN105516152 A CN 105516152A CN 201510937719 A CN201510937719 A CN 201510937719A CN 105516152 A CN105516152 A CN 105516152A
Authority
CN
China
Prior art keywords
behavior
irc
individual
coefficient
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510937719.2A
Other languages
English (en)
Other versions
CN105516152B (zh
Inventor
张德海
张德刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunnan University YNU
Original Assignee
Yunnan University YNU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunnan University YNU filed Critical Yunnan University YNU
Priority to CN201510937719.2A priority Critical patent/CN105516152B/zh
Publication of CN105516152A publication Critical patent/CN105516152A/zh
Application granted granted Critical
Publication of CN105516152B publication Critical patent/CN105516152B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明提出了一种异常行为检测的方法,该方法通过观察一定时期内主体/个体的行为在社交网络或者普适计算环境中呈现出的特定模式来检测异常。用户可以根据他们各自的社交标签被分为不同的组,他们的行为模式应该与群体的行为模式相似。然后整合个体和群体的行为模式来计算新行为的异常程度。通过监测主体/个体的行为,收集有关多维数组的特性,如时间,地点,频率,总和以及其它多维数组信息。本发明通过对这些记录进行分析和挖掘来建立一个学习模式知识库;基于社交标识来建立群体行为模式,用于计算异常行为系数;建立一定的时间段内自我更新机制,用于更新收集到的动态权重。在这个方法中,所有的行为都会被监测和分析。

Description

异常行为检测方法
技术领域
本发明提出了一种异常行为检测的方法,该方法涉及到互联网数据安全,大数据安全等领域。
背景技术
越来越多的各类网络应用程序促使了网络的发展。但人们在享受网络所带来的便利的同时,也面临着随之带来的安全问题。比如个人信息泄漏,身份盗窃等等。由于人们需要经常在网络上进行身份验证,而现有的个人安全信息识别过程比较复杂并且耗时,这无疑阻碍了当前的快节奏生活。
为了解决这个问题,本发明提出了基于价值系数的主体/个人异常行为检测方法。
在社交网络或者普适计算环境中,我们注意到在一定时期内主体或者特别个体的行为呈现出一种特定模式。并且在社交网络中,具有同样社会标签的主体呈现出相似的行为模式。本发明在历史行为模式的基础上,建立了基于个体行为模式的学习模型。并且将检测到的异常行为和结果划分为不同的等级。然后系统根据异常行为的等级来验证不同等级的活跃度。
发明内容
本发明的目的是提供一种异常行为检测的方法,通过这种方法可以显著提高主体/个体的安全性,并避免信息丢失所造成的损失。
为实现上述目的,本发明的技术方案是:
异常行为检测方法,本发明特征在于:在社交网络或者普适计算环境中,通过观察一段时间内个体的行为呈现出的特定模式来监测异常;每个个体在社交网络中有很多的社交标签,因此根据这些标签将其划分为不同的类别或者团体,个体的行为模式应该与其所属类别的群体行为模式相似,所以当发现个体产生新的行为后,参照个体和群体的行为模式发现个体行为的异常程度;采用对个体异常程度监测,构建个人行为特征向量(例如时间,地点,发生频率,总和以及其它多维数组信息);根据这些记录在空间和时间的变化来检测异常行为,当发现异常行为时,根据其风险程度触发相应级别的警报来提醒用户;在监测并记录个体行为的基础上,通过对这些记录进行分析和挖掘来建立一个学习模式知识库;基于社交标识来建立群体行为模式,用于计算异常行为系数;建立一定的时间段内自我更新机制,用于更新收集到的动态权重。(本发明方法中,所有的行为都会被监测和分析。除此之外,系统还会根据异常行为系数值来进行不同级别的身份验证。)
本发明异常程度监测的步骤为:
1)、行为检测
个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息(例如行为发生的时间、地点等),并利用这些信息构建行为特征向量,用以描述个体行为;个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息,该个体行为特征向量被定义为Fc={F1,F2,F3...Fn},其中n表示特征维度,考虑到不同特征的影响力存在显著差异,特征影响的不同权重被量化为:
2)、计算异常行为系数
本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数;
Ca=WGGa+WIIa
其中,Ca是行为异常系数,Ga是群组行为异常系数,WG是Ga的权重,Ia是个体行为异常系数,WI是Ia的权重;
子步骤:
步骤1:分组个体群体行为异常系数的计算公式如下:
Ga=Dis(Fc,Fig)
其中,Fg是基于社会标识的分组群体行为模式;
步骤2:如果记录数值为1,则个体行为异常系数计算公式为:
Ia=Dis(Fc,Fir)
其中,
Dis(Fc,Fr)=||aFc-aFr||
这里的“||·||”代表矢量距离,Fr表示历史特征;
步骤3:如果记录数值大于1,则这些记录矢量用聚类算法(k-mean,k-median)被聚集成M类,并存储到数据库中。需要注意的是,我们将新的记录存储到数据库中时,当它们的量到达阀值后,需要对所有的的记录重新聚类;
当一个新的行为被获取时,会计算每一个群集中心的记录距离,并且最近的一个行为会被设定为个体异常行为系数Ia
Ia=argMin(D)
其中,
D=Dis(Fc,Firc)/OF(t,Fc,Firc),i∈{1,2,3,...M},M∈R;
这里的Firc表示ith集群中心,OF(t,Fc,Firc)表示ith集群的权重;
步骤4:更新集群权重
自我更新机制就像人们的记忆机制,行为模式会不断地衰减直到新的相关激励发生;另一方面,如果一种行为模式经常被激发,这种行为应该被认为比其它行为更重要;同时,它可以像人们的记忆系统的遗忘过程那样衰减,也可以通过新的激励被积累。在一个时刻里的集群权重总值是它们的组合;
1)、激励累积
记录一个集群,当时间t>1,当前记录和集群之间的距离被表示为is(Fc,Firc),我们需要计算这些集群的权重累积值t:af(t,Fc,Firc);
首先,时间t中的累积程度可以通过距离反映,所以Fc,Firc之间的累积程度值可以表示为:
f(t,Fc,Firc)=a/Dis(Fc,Firc);i∈{1,2,3,...M}
其中α是集群权重程度中转换持续时间参数;Dis(Fc,Firc)是标准值,如果Dis(Fc,Firc)=0,时间t相对应的值为1;累积值可以表示为权重总值的总和f(t,Fc,Firc);
OF(t,Fc,Firc)=OF(t-1,Fc,Firc)+f(t,Fc,Firc);i∈{1,2,3,...M}
其中,OF(t-1,Fc,Firc)是时间t-1的累积总值,并且OF(0,Fc,Firc)=0;
考虑到随时间变化的行为模式,集群的影响权重可以被描述为一个指数曲线[3];因此,我们得到一个集群的影响权重衰减公式:
d f ( t , F c , F i r c ) = β × d f ( t - d t , F i r c ) - λ × d t , i ∈ { 1 , 2 , 3 , ... M }
其中dt是从激励最后时刻开始的衰减时间(例如:每周的同一天),β和λ表示模式参数;这个公式表示每一个时间单元以及丢失部分的权重;这个过程引起放射性衰变的图像,经常作为描述遗忘的类比;
2)、权重总值
最后,在时刻t的权重总值被表示为累积值与衰减值的和;
OF(t,Fc,Firc)=af(t,Fc,Firc)+df(t,Fc,Firc);i∈{1,2,3,...M}
此公式表示直到新的激励开始之前权重的衰减程度值;然后将其加在新对话进程中计算,并且重新启动衰减进程;这个进程是迭代的;
3)、行为鉴定
这一步,我们设定多阀值来确定系数的水平,并根据行为异常系数来进行行为检定。
子步骤:
步骤1:一级身份认证
如果主体/个体的行为异常系数值过低,这说明主体/个体行为与历史行为一致,这种主体/个体仅需要输入密码甚至不需要验证就可以进入;
步骤2:二级身份认证
如果主体/个体的行为异常系数值正常,当前行为与历史行为仅有一点不同,会请求一般签名认证或密码认证;
步骤3:三级身份认证
如果主体/个体的行为异常系数值较高,当前行为与历史行为有显著不同,会请求生物特征身份认证;
步骤4:四级身份认证
如果主体/个体的行为异常系数值非常高,这说明主体/个体行为与历史行为完全不同,系统会终止认证并发出警报。
本发明的有益效果是,如果主体/个体是合法的,不需要对其进行验证就能保证主体/个体的认证信息是安全的,这种方法提供的方便并节省了时间。如果主体/个体行为发生了一点变化,只需要花费一点时间去处理它;如果主体/个体的行为及历史行为完全不同,系统则会终止认证并出现警告,避免用户和信用卡发卡公司的损失;伪造的主体/个体不能通过该群体的认证和接合,这样就不能获得该群体的信息,证明该群体仍然是安全的;为了检测和控制欺诈登录行为,异常行为分析模块结合了历史模式记录系统和群体模式系统,而不仅仅是取决于个人信息;每时每刻都在监测异常行为,如果异常行为被监测到,会根据它的严重程度来进行不同级别的认证,而不仅仅是当收到一个密码重置请求时对用户的身份进行认证。
附图说明
图1为本发明的基本流程框图;
图2为本发明的元素权重变化图。
具体实施方式
下面结合具体的实例对本发明进一步的地说明:
见图1,图2,异常行为检测方法,本发明特征在于:在社交网络或者普适计算环境中,通过观察一段时间内个体的行为呈现出的特定模式来监测异常;每个个体在社交网络中有很多的社交标签,因此根据这些标签将其划分为不同的类别或者团体,个体的行为模式应该与其所属类别的群体行为模式相似,所以当发现个体产生新的行为后,参照个体和群体的行为模式发现个体行为的异常程度;采用对个体异常程度监测,构建个人行为特征向量(例如时间,地点,发生频率,总和以及其它多维数组信息);根据这些记录在空间和时间的变化来检测异常行为,当发现异常行为时,根据其风险程度触发相应级别的警报来提醒用户;在监测并记录个体行为的基础上,通过对这些记录进行分析和挖掘来建立一个学习模式知识库;基于社交标识来建立群体行为模式,用于计算异常行为系数;建立一定的时间段内自我更新机制,用于更新收集到的动态权重。(本发明方法中,所有的行为都会被监测和分析。除此之外,系统还会根据异常行为系数值来进行不同级别的身份验证。)
本发明异常程度监测的步骤为:
1)、行为检测
个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息(例如行为发生的时间、地点等),并利用这些信息构建行为特征向量,用以描述个体行为;个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息,该个体行为特征向量被定义为Fc={F1,F2,F3...Fn},其中n表示特征维度,考虑到不同特征的影响力存在显著差异,特征影响的不同权重被量化为:
2)、计算异常行为系数
本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数;
Ca=WGGa+WIIa
其中,Ca是行为异常系数,Ga是群组行为异常系数,WG是Ga的权重,Ia是个体行为异常系数,WI是Ia的权重;
子步骤:
步骤1:分组个体群体行为异常系数的计算公式如下:
Ga=Dis(Fc,Fig)
其中,Fg是基于社会标识的分组群体行为模式;
步骤2:如果记录数值为1,则个体行为异常系数计算公式为:
Ia=Dis(Fc,Fir)
其中,
Dis(Fc,Fr)=||aFc-aFr||
这里的“||·||”代表矢量距离,Fr表示历史特征;
步骤3:如果记录数值大于1,则这些记录矢量用聚类算法(k-mean,k-median)被聚集成M类,并存储到数据库中。需要注意的是,我们将新的记录存储到数据库中时,当它们的量到达阀值后,需要对所有的的记录重新聚类;
当一个新的行为被获取时,会计算每一个群集中心的记录距离,并且最近的一个行为会被设定为个体异常行为系数Ia
Ia=argMin(D)
其中,
D=Dis(Fc,Firc)/OF(t,Fc,Firc),i∈{1,2,3,...M},M∈R;
这里的Firc表示ith集群中心,OF(t,Fc,Firc)表示ith集群的权重;
步骤4:更新集群权重
自我更新机制就像人们的记忆机制,行为模式会不断地衰减直到新的相关激励发生;另一方面,如果一种行为模式经常被激发,这种行为应该被认为比其它行为更重要;同时,它可以像人们的记忆系统的遗忘过程那样衰减,也可以通过新的激励被积累。在一个时刻里的集群权重总值是它们的组合;
1)、激励累积
记录一个集群,当时间t>1,当前记录和集群之间的距离被表示为is(Fc,Firc),我们需要计算这些集群的权重累积值t:af(t,Fc,Firc);
首先,时间t中的累积程度可以通过距离反映,所以Fc,Firc之间的累积程度值可以表示为:
f(t,Fc,Firc)=α/Dis(Fc,Firc);i∈{1,2,3,...M}
其中α是集群权重程度中转换持续时间参数;Dis(Fc,Firc)是标准值,如果Dis(Fc,Firc)=0,时间t相对应的值为1;累积值可以表示为权重总值的总和f(t,Fc,Firc);
OF(t,Fc,Firc)=OF(t-1,Fc,Firc)+f(t,Fc,Firc);i∈{1,2,3,...M}
其中,OF(t-1,Fc,Firc)是时间t-1的累积总值,并且OF(0,Fc,Firc)=0;
考虑到随时间变化的行为模式,集群的影响权重可以被描述为一个指数曲线[3];因此,我们得到一个集群的影响权重衰减公式:
d f ( t , F c , F i r c ) = β × d f ( t - d t , F i r c ) - λ × d t , i ∈ { 1 , 2 , 3 , ... M }
其中dt是从激励最后时刻开始的衰减时间(例如:每周的同一天),β和λ表示模式参数;这个公式表示每一个时间单元以及丢失部分的权重;这个过程引起放射性衰变的图像,经常作为描述遗忘的类比;
2)、权重总值
最后,在时刻t的权重总值被表示为累积值与衰减值的和;
OF(t,Fc,Firc)=af(t,Fc,Firc)+df(t,Fc,Firc);i∈{1,2,3,...M}
此公式表示直到新的激励开始之前权重的衰减程度值;然后将其加在新对话进程中计算,并且重新启动衰减进程;这个进程是迭代的;
3)、行为鉴定
这一步,我们设定多阀值来确定系数的水平,并根据行为异常系数来进行行为检定。
子步骤:
步骤1:一级身份认证
如果主体/个体的行为异常系数值过低,这说明主体/个体行为与历史行为一致,这种主体/个体仅需要输入密码甚至不需要验证就可以进入;
步骤2:二级身份认证
如果主体/个体的行为异常系数值正常,当前行为与历史行为仅有一点不同,会请求一般签名认证或密码认证;
步骤3:三级身份认证
如果主体/个体的行为异常系数值较高,当前行为与历史行为有显著不同,会请求生物特征身份认证;
步骤4:四级身份认证
如果主体/个体的行为异常系数值非常高,这说明主体/个体行为与历史行为完全不同,系统会终止认证并发出警报。

Claims (2)

1.异常行为检测方法,其特征在于:在社交网络或者普适计算环境中,通过观察一段时间内个体的行为呈现出的特定模式来监测异常;每个个体在社交网络中有很多的社交标签,因此根据这些标签将其划分为不同的类别或者团体,个体的行为模式应该与其所属类别的群体行为模式相似,所以当发现个体产生新的行为后,参照个体和群体的行为模式发现个体行为的异常程度;采用对个体异常程度监测,构建个人行为特征向量;根据这些记录在空间和时间的变化来检测异常行为,当发现异常行为时,根据其风险程度触发相应级别的警报来提醒用户;在监测并记录个体行为的基础上,通过对这些记录进行分析和挖掘来建立一个学习模式知识库;基于社交标识来建立群体行为模式,用于计算异常行为系数;建立一定的时间段内自我更新机制,用于更新收集到的动态权重。
2.根据权利要求1所述的异常行为检测方法,其特征在于:异常程度监测的步骤为:
1)、行为检测
个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息,并利用这些信息构建行为特征向量,用以描述个体行为;个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息,该个体行为特征向量被定义为Fc={F1,F2,F3…Fn},其中n表示特征维度,考虑到不同特征的影响力存在显著差异,特征影响的不同权重被量化为: a = { a i | Σ 1 n a i = 1 } ;
2)、计算异常行为系数
本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数;
Ca=WGGa+WIIa
其中,Ca是行为异常系数,Ga是群组行为异常系数,WG是Ga的权重,Ia是个体行为异常系数,WI是Ia的权重;
子步骤:
步骤1:分组个体群体行为异常系数的计算公式如下:
Ga=Dis(Fc,Fig)
其中,Fg是基于社会标识的分组群体行为模式;
步骤2:如果记录数值为1,则个体行为异常系数计算公式为:
Ia=Dis(Fc,Fir)
其中,
Dis(Fc,Fr)=||aFc-aFr||
这里的“||·||”代表矢量距离,Fr表示历史特征;
步骤3:如果记录数值大于1,则这些记录矢量用聚类算法(k-mean,k-median)被聚集成M类,并存储到数据库中;需要注意的是,我们将新的记录存储到数据库中时,当它们的量到达阀值后,需要对所有的的记录重新聚类;
当一个新的行为被获取时,会计算每一个群集中心的记录距离,并且最近的一个行为会被设定为个体异常行为系数Ia
Ia=argMin(D)
其中,
D=Dis(Fc,Firc)/OF(t,Fc,Firc),i∈{1,2,3,...M},M∈R;
这里的Firc表示ith集群中心,OF(t,Fc,Firc)表示ith集群的权重;
步骤4:更新集群权重
自我更新机制就像人们的记忆机制,行为模式会不断地衰减直到新的相关激励发生;另一方面,如果一种行为模式经常被激发,这种行为应该被认为比其它行为更重要;同时,它可以像人们的记忆系统的遗忘过程那样衰减,也可以通过新的激励被积累;在一个时刻里的集群权重总值是它们的组合;
1)、激励累积
记录一个集群,当时间t>1,当前记录和集群之间的距离被表示为is(Fc,Firc),我们需要计算这些集群的权重累积值t:af(t,Fc,Firc);
首先,时间t中的累积程度可以通过距离反映,所以Fc,Firc之间的累积程度值可以表示为:
f(t,Fc,Firc)=a/Dis(Fc,Firc);i∈{1,2,3,...M}
其中α是集群权重程度中转换持续时间参数;Dis(Fc,Firc)是标准值,如果Dis(Fc,Firc)=0,时间t相对应的值为1;累积值可以表示为权重总值的总和f(t,Fc,Firc);
OF(t,Fc,Firc)=OF(t-1,Fc,Firc)+f(t,Fc,Firc);i∈(1,2,3,...M}
其中,OF(t-1,Fc,Firc)是时间t-1的累积总值,并且OF(0,Fc,Firc)=0;
考虑到随时间变化的行为模式,集群的影响权重可以被描述为一个指数曲线[3];因此,我们得到一个集群的影响权重衰减公式:
d f ( t , F c , F i r c ) = β × d f ( t - d t , F i r c ) - λ × d t , i ∈ { 1 , 2 , 3 , ... M }
其中dt是从激励最后时刻开始的衰减时间,β和λ表示模式参数;这个公式表示每一个时间单元以及丢失部分的权重;这个过程引起放射性衰变的图像,经常作为描述遗忘的类比;
2)、权重总值
最后,在时刻t的权重总值被表示为累积值与衰减值的和;
OF(t,Fc,Firc)=af(t,Fc,Firc)+df(t,Fc,Firc);i∈{1,2,3,...M}
此公式表示直到新的激励开始之前权重的衰减程度值;然后将其加在新对话进程中计算,并且重新启动衰减进程;这个进程是迭代的;
3)、行为鉴定
这一步,我们设定多阀值来确定系数的水平,并根据行为异常系数来进行行为检定;
子步骤:
步骤1:一级身份认证
如果主体/个体的行为异常系数值过低,这说明主体/个体行为与历史行为一致,这种主体/个体仅需要输入密码甚至不需要验证就可以进入;
步骤2:二级身份认证
如果主体/个体的行为异常系数值正常,当前行为与历史行为仅有一点不同,会请求一般签名认证或密码认证;
步骤3:三级身份认证
如果主体/个体的行为异常系数值较高,当前行为与历史行为有显著不同,会请求生物特征身份认证;
步骤4:四级身份认证
如果主体/个体的行为异常系数值非常高,这说明主体/个体行为与历史行为完全不同,系统会终止认证并发出警报。
CN201510937719.2A 2015-12-15 2015-12-15 异常行为检测方法 Active CN105516152B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510937719.2A CN105516152B (zh) 2015-12-15 2015-12-15 异常行为检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510937719.2A CN105516152B (zh) 2015-12-15 2015-12-15 异常行为检测方法

Publications (2)

Publication Number Publication Date
CN105516152A true CN105516152A (zh) 2016-04-20
CN105516152B CN105516152B (zh) 2019-03-29

Family

ID=55723788

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510937719.2A Active CN105516152B (zh) 2015-12-15 2015-12-15 异常行为检测方法

Country Status (1)

Country Link
CN (1) CN105516152B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789292A (zh) * 2016-12-29 2017-05-31 东方网力科技股份有限公司 一种异常行为监控方法和装置
CN107707547A (zh) * 2017-09-29 2018-02-16 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的检测方法及设备
CN108564460A (zh) * 2018-01-12 2018-09-21 阳光财产保险股份有限公司 互联网信贷场景下的实时欺诈检测方法及装置
CN111177714A (zh) * 2019-12-19 2020-05-19 未鲲(上海)科技服务有限公司 异常行为检测方法、装置、计算机设备和存储介质
US10972583B2 (en) * 2017-02-24 2021-04-06 Spotify Ab Methods and systems for personalizing user experience based on personality traits
CN113192221A (zh) * 2021-03-12 2021-07-30 广州朗国电子科技有限公司 一种智能电子班牌
CN117114500A (zh) * 2023-09-18 2023-11-24 中孚信息股份有限公司 基于数据分解的行为基线建立方法、系统及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242316A (zh) * 2008-02-03 2008-08-13 西安交大捷普网络科技有限公司 基于快速聚类算法的网络异常检测方法
CN101668012A (zh) * 2009-09-23 2010-03-10 成都市华为赛门铁克科技有限公司 安全事件检测方法及装置
CN102012918B (zh) * 2010-11-26 2012-11-21 中金金融认证中心有限公司 一种规律挖掘和执行系统及其方法
CN103544429A (zh) * 2012-07-12 2014-01-29 中国银联股份有限公司 用于安全性信息交互的异常检测装置及方法
CN104036360A (zh) * 2014-06-19 2014-09-10 中国科学院软件研究所 一种基于磁卡考勤行为的用户数据处理系统及处理方法
CN104301330A (zh) * 2014-10-29 2015-01-21 云南大学 基于异常行为监测和成员亲密度测量的陷阱网络检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242316A (zh) * 2008-02-03 2008-08-13 西安交大捷普网络科技有限公司 基于快速聚类算法的网络异常检测方法
CN101668012A (zh) * 2009-09-23 2010-03-10 成都市华为赛门铁克科技有限公司 安全事件检测方法及装置
CN102012918B (zh) * 2010-11-26 2012-11-21 中金金融认证中心有限公司 一种规律挖掘和执行系统及其方法
CN103544429A (zh) * 2012-07-12 2014-01-29 中国银联股份有限公司 用于安全性信息交互的异常检测装置及方法
CN104036360A (zh) * 2014-06-19 2014-09-10 中国科学院软件研究所 一种基于磁卡考勤行为的用户数据处理系统及处理方法
CN104301330A (zh) * 2014-10-29 2015-01-21 云南大学 基于异常行为监测和成员亲密度测量的陷阱网络检测方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789292A (zh) * 2016-12-29 2017-05-31 东方网力科技股份有限公司 一种异常行为监控方法和装置
US10972583B2 (en) * 2017-02-24 2021-04-06 Spotify Ab Methods and systems for personalizing user experience based on personality traits
CN107707547A (zh) * 2017-09-29 2018-02-16 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的检测方法及设备
CN108564460A (zh) * 2018-01-12 2018-09-21 阳光财产保险股份有限公司 互联网信贷场景下的实时欺诈检测方法及装置
CN108564460B (zh) * 2018-01-12 2020-10-30 阳光财产保险股份有限公司 互联网信贷场景下的实时欺诈检测方法及装置
CN111177714A (zh) * 2019-12-19 2020-05-19 未鲲(上海)科技服务有限公司 异常行为检测方法、装置、计算机设备和存储介质
CN111177714B (zh) * 2019-12-19 2022-07-08 未鲲(上海)科技服务有限公司 异常行为检测方法、装置、计算机设备和存储介质
CN113192221A (zh) * 2021-03-12 2021-07-30 广州朗国电子科技有限公司 一种智能电子班牌
CN117114500A (zh) * 2023-09-18 2023-11-24 中孚信息股份有限公司 基于数据分解的行为基线建立方法、系统及介质
CN117114500B (zh) * 2023-09-18 2024-03-22 中孚信息股份有限公司 基于数据分解的行为基线建立方法、系统及介质

Also Published As

Publication number Publication date
CN105516152B (zh) 2019-03-29

Similar Documents

Publication Publication Date Title
CN105516152A (zh) 异常行为检测方法
Zhang et al. Anomaly detection of structural health monitoring data using the maximum likelihood estimation-based Bayesian dynamic linear model
US20210360000A1 (en) System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems
US20200382536A1 (en) Anomaly detection in cybersecurity and fraud applications
US11748227B2 (en) Proactive information technology infrastructure management
CN108616545B (zh) 一种网络内部威胁的检测方法、系统及电子设备
CN103703487B (zh) 信息识别方法以及系统
Sharma et al. Sensor faults: Detection methods and prevalence in real-world datasets
US6681331B1 (en) Dynamic software system intrusion detection
EP2814218A1 (en) Detecting anomalies in work practice data by combining multiple domains of information
US20210241923A1 (en) Sensor-based machine learning in a health prediction environment
US8009041B2 (en) Access monitoring and control system and method
CN102257520A (zh) 应用的性能分析
CN111177714A (zh) 异常行为检测方法、装置、计算机设备和存储介质
Lin et al. Anomaly detection/prediction for the Internet of Things: State of the art and the future
CN106685996A (zh) 基于hmm模型的账号异常登录检测方法
WO2020086355A1 (en) Graph-based predictive maintenance
Entezami et al. On continuous health monitoring of bridges under serious environmental variability by an innovative multi-task unsupervised learning method
Sönmez et al. Anomaly detection using data mining methods in it systems: a decision support application
Khoei et al. Densely connected neural networks for detecting denial of service attacks on smart grid network
Roberts et al. A model-based approach to predicting the performance of insider threat detection systems
Aquize et al. Self-organizing maps for anomaly detection in fuel consumption. Case study: Illegal fuel storage in Bolivia
CN107609330B (zh) 基于门禁日志挖掘的内部威胁异常行为分析方法
Agbaje et al. A Framework for Consistent and Repeatable Controller Area Network IDS Evaluation
CN114743690A (zh) 传染病的预警方法、装置、介质及电子设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant