CN107426207A - 一种基于SA‑iForest的网络入侵异常检测方法 - Google Patents
一种基于SA‑iForest的网络入侵异常检测方法 Download PDFInfo
- Publication number
- CN107426207A CN107426207A CN201710603864.6A CN201710603864A CN107426207A CN 107426207 A CN107426207 A CN 107426207A CN 201710603864 A CN201710603864 A CN 201710603864A CN 107426207 A CN107426207 A CN 107426207A
- Authority
- CN
- China
- Prior art keywords
- mrow
- mtd
- msub
- itree
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于SA‑iForest的网络入侵异常检测方法,属于网络安全领域。首先通过对训练集随机选择属性训练出多棵iTree,通过交叉验证计算出它们的异常检测精度,同时采用Q‑统计量计算出iTree之间的差异性,然后把精确度和差异性作为iTree挑选标准,根据iTree的差异性和精确度,利用模拟退火算法从初始森林中选出比较优秀的iTree来构建集成iForest,然后对测试集进行测试统计出其异常分值,完成对网络入侵异常检测。该方法不仅减小了iTree的集成规模而且利用模拟退火优化算法的快速收敛性来提高网络入侵异常检测效率,同时还提高了算法的泛化能力和预测性能。
Description
技术领域
本发明涉及网络安全领域,尤其是一种基于SA-iForest的网络入侵异常检测方法。
背景技术
随着网络技术的飞速发展和网络规模的不断扩大,网络安全问题日趋严重。入侵检测作为维护网络安全的一项重要技术,俨然已成为信息安全领域一个重要的研究内容,获得了众多专家学者的广泛关注。入侵检测技术主要是通过分析相关的网络数据来判断系统中是否存在违背系统安全或安全策略的行为。
Isolation Forest算法的设计利用了异常数据的两个特征:极少且与众不同。即异常数据对象个数占数据集总体规模的比重较小,其次异常数据的属性值与正常的属性值相比存在明显差异。当在仅包含数值类型的训练集中,对数据对象进行递归地划分,直至每个数据对象都由一棵称为iTree的二叉树与其他对象区别开来。显然异常对象距离树的根节点较近,即路径长度较短,反映了仅需少量条件就可将异常对象与其他对象区别。
与其他异常检测算法相比,Isolation Forest没有利用距离或密度来检测异常,这消除了基于距离和密度方法的计算量。利用异常数据少且与众不同的特点,使得它们与正常数据快速分离,具有较低的线性时间复杂度。虽然Isolation Forest算法在异常检测方面取得较好的效果,但仍存在一些不足之处:
(1)Isolation Forest算法对数据集进行异常检测的精确度与iTree的数目相关,而构建大规模iTree需要耗费大量内存,同时导致更大的计算。
(2)由于iTree数量过多,iTree之间的差异将越来越不明显,其异常检测的精确度参差不齐,存在一些性能较差的iTree,造成了空间浪费。
(3)Isolation Forest算法基于单个计算节点设计,其处理的数据规模受内存最大容量限制,处理海量数据较为困难。
发明内容
本发明要解决的技术问题是:提出一种基于SA-iForest的网络入侵异常检测方法,克服了传统的网络入侵检测方法检测精度低、泛化能力差等缺点。利用模拟退火的思想选择精度高和有差异性的iTree来优化iForest,使得该算法泛化能力提高,进一步提高了预测性能,同时去掉冗余iTree以减少iForest的存储空间、降低预测计算量、加快预测速度。
本发明的目的是这样实现的:
一种基于SA-iForest的网络入侵异常检测方法,其特征在于,包括如下步骤:
步骤一构建第一颗iTree。网络入侵数据训练集DTrain={d1,d2,…,di,…,dn},其中di网表示为第i条网络入侵数据。络入侵数据属性集A={A1,A2,…,Ai,…,Am},其中Ai表示为第i个属性。从属性集A中随机地选择k(k≤m)个属性构成子属性集a={A1,A2,…,Ak},在a中随机选择一个属性Aj,然后对每个网络入侵数据,按照属性Aj的分裂值p进行划分。如果数据di的Aj属性的属性值di(Aj)<p,则放在左子树,反之则放在右子树。按此方式迭代地构造左、右子树,直至满足下列条件之一:
(1)DTrain中只剩下一条数据或多条相同的数据;
(2)树达到最大高度。
步骤二重复步骤一再构建L-1棵树组成初始森林T={T1,T2,…,TL},其中T表示L个iTree的集合,Ti表示第i棵iTree。
步骤三用训练集DTrain对初始森林T进行训练,根据Q-统计量法计算iTree之间的差异值,用交叉验证法计算每棵iTree的精度值ACC。
ACC={X1,X2,…,XL}
其中,Q表示L个iTree的差异矩阵;Qij表示为初始森林中树Ti与树Tj之间的差异值;Xj表示树Tj的精确值。
如果任意两个iTree独立,那么这两个iTree的Q统计量的值为0。Q统计量的值在[-1,1]之间变化。Q统计量的值越大,表示两个iTree的差异度越小。极端情况,如果两个iTree的Q统计量的值为1,那么两个iTree差异度为0。
步骤四初始化。取初始温度t0足够大,令温度t=t0,任取初始解T1。
步骤五对当前温度t,重复步骤43-步骤46。
步骤六对当前解T1随机扰动产生一个新解T2。
步骤七计算T2的增量df=F(T2)-F(T1),其中F(T1)为树T1的适应度值。
步骤八若df<0,则接受T2作为新的当前解,即T1=T2;否则按Metropolis规则,计算T2的接受概率p,即随机产生(0,1)区间上均匀分布的随机数rand,若p>rand,也接受T2作为新的当前解,即T1=T2,否则保留当前解T1。
其中,κ为玻耳兹曼常数,exp表示自然指数。
步骤九如果满足设定的终止条件,则输出当前解T1为最优解,终止条件通常取为在连续若干个Metropolis链中新解T2都没有被接受时终止或者是设定结束温度;否则按衰减函数衰减温度t后返回步骤42。所述衰减函数为:
其中,ts为第θ步时的温度值,t0为初始温度。
步骤十重复步骤43-步骤46,从初始森林T中选出l(l≤L)个具有较优适应值的iTree组合成iForest。每棵iTree的适应度函数关系如下式:
其中,F(Tj)表示为树Tj的适应度值。W1,W2分别表示精确度和差异性对应的权重。
步骤十一对待检测数据进行预测,计算待测数据d在每一棵iTree的路径长度h(d)。
由于iTree与二叉查找树的结构等价,所以包含数据d的叶节点的路径长度等于二叉查找树中失败查询的路径长度。二叉查找树中失败查询的路径长度:
C(n)=2H(n-1)-(2(n-1)/n)
其中,H(i)=Ln(i)+γ,γ为欧拉常数。n为叶子节点数。C(n)为给定n时h(d)的平均值,使用它来标准化h(d)。待检测数据d的异常分数S(d,n)如公式所示:
其中,E(h(d))为iTree集合中h(d)的平均值。
当E(h(d))→C(n)时,S(d,n)→0.5,即当所有数据均返回的S(d,n)≈0.5时,那么全部样本中没有明显的异常值;当E(h(d))→0时,S(d,n)→1,即当数据返回的S(d,n)非常接近于1时,那么它们是异常值;当E(h(d))→n-1时,S(d,n)→0,即当对象返回的S(d,n)远远小于0.5时,那么它们有很大的可能被评价为正常值。此时完成对网络入侵异常检测。
本发明首先通过对训练集随机选择属性训练出多棵iTree,通过交叉验证计算出它们的异常检测精度,同时采用Q-统计量计算出iTree之间的差异性,然后把精确度和差异性作为iTree挑选标准,选出比较优秀的iTree来构建集成iForest,然后对测试集进行测试统计出其异常分值。该方法不仅减小了iTree的集成规模而且利用模拟退火优化算法的快速收敛性来提高网络入侵异常检测效率,同时还提高了算法的泛化能力和预测性能。
附图说明
图1为本发明的一种SA-iForest算法流程图。
具体实施方式
本发明旨在提出一种基于SA-iForest的网络入侵异常检测方法,克服了传统的网络入侵检测方法检测精度低、泛化能力差等缺点。
如图1所示,本发明中的一种基于SA-iForest的网络入侵异常检测方法包括如下步骤:
步骤1:构建第一课iTree。网络入侵数据训练集DTrain={d1,d2,…,di,…,dn},其中di表示为第i条网络入侵数据。网络入侵数据属性集A={A1,A2,…,Ai,…,Am},其中Ai表示为第i个属性。从属性集A中随机地选择k(k≤m)个属性构成子属性集a={A1,A2,…,Ak},在a中随机选择一个属性Aj,然后对每个网络入侵数据,按照属性Aj的分裂值p进行划分。如果数据di的Aj属性的属性值di(Aj)<p,则放在左子树,反之则放在右子树。按此方式迭代地构造左、右子树,直至满足下列条件之一:
(1)DTrain中只剩下一条数据或多条相同的数据;
(2)树达到最大高度。
步骤2:重复步骤1再构建L-1棵树组成初始森林T={T1,T2,…,TL},其中T表示L个iTree的集合,Ti表示第i棵iTree。
步骤3:用训练集DTrain对初始森林T进行训练,根据Q-统计量法计算iTree之间的差异值,用交叉验证法计算每棵iTree的精度值ACC。
ACC={X1,X2,…,XL}
其中,Q表示L个iTree的差异矩阵;Qij表示为初始森林中树Ti与树Tj之间的差异值;Xj表示树Tj的精确值。
如果任意两个iTree独立,那么这两个iTree的Q统计量的值为0。Q统计量的值在[-1,1]之间变化。Q统计量的值越大,表示两个iTree的差异度越小。极端情况,如果两个iTree的Q统计量的值为1,那么两个iTree差异度为0。
步骤4:根据iTree的差异性和精确度利用模拟退火算法从初始森林T中选出l棵适应度值较优的iTree组合成iForest。每棵iTree的适应度函数关系如下式:
其中,F(Tj)表示为树Tj的适应度值。W1,W2分别表示精确度和差异性对应的权重。
步骤4包括以下步骤:
步骤41:初始化。取初始温度t0足够大,令温度t=t0,任取初始解T1。
步骤42:对当前温度t,重复步骤43-步骤46。
步骤43:对当前解T1随机扰动产生一个新解T2。
步骤44:计算T2的增量df=F(T2)-F(T1),其中F(T1)为树T1的适应度值。
步骤45:若df<0,则接受T2作为新的当前解,即T1=T2;否则按Metropolis规则,计算T2的接受概率p,即随机产生(0,1)区间上均匀分布的随机数rand,若p>rand,也接受T2作为新的当前解,即T1=T2,否则保留当前解T1。
其中,κ为玻耳兹曼常数,exp表示自然指数。
步骤46:如果满足设定的终止条件,则输出当前解T1为最优解,终止条件通常取为在连续若干个Metropolis链中新解T2都没有被接受时终止或者是设定结束温度;否则按衰减函数衰减温度t后返回步骤42。所述衰减函数为:
其中,ts为第θ步时的温度值,t0为初始温度。
步骤47:重复步骤43-步骤46,从初始森林T中选出l(l≤L)个具有较优适应值的iTree组合成iForest。
步骤5:对待检测数据进行预测,计算待测数据d在每一棵iTree的路径长度h(d)。
由于iTree与二叉查找树的结构等价,所以包含数据d的叶节点的路径长度等于二叉查找树中失败查询的路径长度。二叉查找树中失败查询的路径长度:
C(n)=2H(n-1)-(2(n-1)/n)
其中,H(i)=Ln(i)+γ,γ为欧拉常数。n为叶子节点数。C(n)为给定n时h(d)的平均值,使用它来标准化h(d)。待检测数据d的异常分数S(d,n)如公式所示:
其中,E(h(d))为iTree集合中h(d)的平均值。
当E(h(d))→C(n)时,S(d,n)→0.5,即当所有数据均返回的S(d,n)≈0.5时,那么全部样本中没有明显的异常值;当E(h(d))→0时,S(d,n)→1,即当数据返回的S(d,n)非常接近于1时,那么它们是异常值;当E(h(d))→n-1时,S(d,n)→0,即当对象返回的S(d,n)远远小于0.5时,那么它们有很大的可能被评价为正常值。此时完成对网络入侵异常检测。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种基于SA-iForest的网络入侵异常检测方法,其特征在于,包括如下步骤:
步骤一构建第一颗iTree;网络入侵数据训练集DTrain={d1,d2,…,di,…,dn},其中di网表示为第i条网络入侵数据;络入侵数据属性集A={A1,A2,…,Ai,…,Am},其中Ai表示为第i个属性;从属性集A中随机地选择k(k≤m)个属性构成子属性集a={A1,A2,…,Ak},在a中随机选择一个属性Aj,然后对每个网络入侵数据,按照属性Aj的分裂值p进行划分;如果数据di的Aj属性的属性值di(Aj)<p,则放在左子树,反之则放在右子树;按此方式迭代地构造左、右子树,直至满足下列条件之一:
(1)DTrain中只剩下一条数据或多条相同的数据;
(2)树达到最大高度;
步骤二重复步骤一再构建L-1棵树组成初始森林T={T1,T2,…,TL},其中T表示L个iTree的集合,Ti表示第i棵iTree;
步骤三用训练集DTrain对初始森林T进行训练,根据Q-统计量法计算iTree之间的差异值,用交叉验证法计算每棵iTree的精度值ACC;
<mrow>
<mi>Q</mi>
<mo>=</mo>
<mfenced open = "[" close = "]">
<mtable>
<mtr>
<mtd>
<msub>
<mi>Q</mi>
<mn>11</mn>
</msub>
</mtd>
<mtd>
<msub>
<mi>Q</mi>
<mn>12</mn>
</msub>
</mtd>
<mtd>
<mn>...</mn>
</mtd>
<mtd>
<msub>
<mi>Q</mi>
<mrow>
<mn>1</mn>
<mi>L</mi>
</mrow>
</msub>
</mtd>
</mtr>
<mtr>
<mtd>
<msub>
<mi>Q</mi>
<mn>21</mn>
</msub>
</mtd>
<mtd>
<msub>
<mi>Q</mi>
<mn>22</mn>
</msub>
</mtd>
<mtd>
<mn>...</mn>
</mtd>
<mtd>
<msub>
<mi>Q</mi>
<mrow>
<mn>2</mn>
<mi>L</mi>
</mrow>
</msub>
</mtd>
</mtr>
<mtr>
<mtd>
<mo>.</mo>
</mtd>
<mtd>
<mo>.</mo>
</mtd>
<mtd>
<mrow></mrow>
</mtd>
<mtd>
<mo>.</mo>
</mtd>
</mtr>
<mtr>
<mtd>
<mo>.</mo>
</mtd>
<mtd>
<mo>.</mo>
</mtd>
<mtd>
<mrow></mrow>
</mtd>
<mtd>
<mo>.</mo>
</mtd>
</mtr>
<mtr>
<mtd>
<mo>.</mo>
</mtd>
<mtd>
<mo>.</mo>
</mtd>
<mtd>
<mrow></mrow>
</mtd>
<mtd>
<mo>.</mo>
</mtd>
</mtr>
<mtr>
<mtd>
<msub>
<mi>Q</mi>
<mrow>
<mi>L</mi>
<mn>1</mn>
</mrow>
</msub>
</mtd>
<mtd>
<msub>
<mi>Q</mi>
<mrow>
<mi>L</mi>
<mn>2</mn>
</mrow>
</msub>
</mtd>
<mtd>
<mn>...</mn>
</mtd>
<mtd>
<msub>
<mi>Q</mi>
<mrow>
<mi>L</mi>
<mi>L</mi>
</mrow>
</msub>
</mtd>
</mtr>
</mtable>
</mfenced>
</mrow>
ACC={X1,X2,…,XL}
其中,Q表示L个iTree的差异矩阵;Qij表示为初始森林中树Ti与树Tj之间的差异值;Xj表示树Tj的精确值;
如果任意两个iTree独立,那么这两个iTree的Q统计量的值为0;Q统计量的值在[-1,1]之间变化;Q统计量的值越大,表示两个iTree的差异度越小;极端情况,如果两个iTree的Q统计量的值为1,那么两个iTree差异度为0;
步骤四初始化;取初始温度t0足够大,令温度t=t0,任取初始解T1;
步骤五对当前温度t,重复步骤43-步骤46;
步骤六对当前解T1随机扰动产生一个新解T2;
步骤七计算T2的增量df=F(T2)-F(T1),其中F(T1)为树T1的适应度值;
步骤八若df<0,则接受T2作为新的当前解,即T1=T2;否则按Metropolis规则,计算T2的接受概率p,即随机产生(0,1)区间上均匀分布的随机数rand,若p>rand,也接受T2作为新的当前解,即T1=T2,否则保留当前解T1;
<mrow>
<mi>p</mi>
<mo>=</mo>
<mi>exp</mi>
<mrow>
<mo>(</mo>
<mfrac>
<mrow>
<mo>-</mo>
<mi>d</mi>
<mi>f</mi>
</mrow>
<mrow>
<mi>&kappa;</mi>
<mi>t</mi>
</mrow>
</mfrac>
<mo>)</mo>
</mrow>
</mrow>
其中,κ为玻耳兹曼常数,exp表示自然指数;
步骤九如果满足设定的终止条件,则输出当前解T1为最优解,终止条件通常取为在连续若干个Metropolis链中新解T2都没有被接受时终止或者是设定结束温度;否则按衰减函数衰减温度t后返回步骤42;所述衰减函数为:
<mrow>
<msub>
<mi>t</mi>
<mi>s</mi>
</msub>
<mo>=</mo>
<mfrac>
<msub>
<mi>t</mi>
<mn>0</mn>
</msub>
<mrow>
<mi>l</mi>
<mi>g</mi>
<mrow>
<mo>(</mo>
<mn>1</mn>
<mo>+</mo>
<mi>&theta;</mi>
<mo>)</mo>
</mrow>
</mrow>
</mfrac>
<mo>,</mo>
<mrow>
<mo>(</mo>
<mi>&theta;</mi>
<mo>=</mo>
<mn>1</mn>
<mo>,</mo>
<mn>2</mn>
<mo>,</mo>
<mo>...</mo>
<mo>)</mo>
</mrow>
</mrow>
其中,ts为第θ步时的温度值,t0为初始温度;
步骤十重复步骤43-步骤46,从初始森林T中选出l(l≤L)个具有较优适应值的iTree组合成iForest;每棵iTree的适应度函数关系如下式:
<mrow>
<mi>F</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>T</mi>
<mi>j</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mfrac>
<mn>1</mn>
<mrow>
<msub>
<mi>W</mi>
<mn>1</mn>
</msub>
<msub>
<mi>X</mi>
<mi>j</mi>
</msub>
<mo>+</mo>
<msub>
<mi>W</mi>
<mn>2</mn>
</msub>
<msub>
<mi>Q</mi>
<mrow>
<mi>i</mi>
<mi>j</mi>
</mrow>
</msub>
</mrow>
</mfrac>
</mrow>
其中,F(Tj)表示为树Tj的适应度值;W1,W2分别表示精确度和差异性对应的权重;
步骤十一对待检测数据进行预测,计算待测数据d在每一棵iTree的路径长度h(d);
由于iTree与二叉查找树的结构等价,所以包含数据d的叶节点的路径长度等于二叉查找树中失败查询的路径长度;二叉查找树中失败查询的路径长度:
C(n)=2H(n-1)-(2(n-1)/n)
其中,H(i)=Ln(i)+γ,γ为欧拉常数;n为叶子节点数;C(n)为给定n时h(d)的平均值,使用它来标准化h(d);待检测数据d的异常分数S(d,n)如公式所示:
<mrow>
<mi>S</mi>
<mrow>
<mo>(</mo>
<mi>d</mi>
<mo>,</mo>
<mi>n</mi>
<mo>)</mo>
</mrow>
<mo>=</mo>
<msup>
<mn>2</mn>
<mfrac>
<mrow>
<mo>-</mo>
<mi>E</mi>
<mrow>
<mo>(</mo>
<mi>h</mi>
<mo>(</mo>
<mi>d</mi>
<mo>)</mo>
<mo>)</mo>
</mrow>
</mrow>
<mrow>
<mi>c</mi>
<mrow>
<mo>(</mo>
<mi>n</mi>
<mo>)</mo>
</mrow>
</mrow>
</mfrac>
</msup>
</mrow>
其中,E(h(d))为iTree集合中h(d)的平均值;
当E(h(d))→C(n)时,S(d,n)→0.5,即当所有数据均返回的S(d,n)≈0.5时,那么全部样本中没有明显的异常值;当E(h(d))→0时,S(d,n)→1,即当数据返回的S(d,n)非常接近于1时,那么它们是异常值;当E(h(d))→n-1时,S(d,n)→0,即当对象返回的S(d,n)远远小于0.5时,那么它们有很大的可能被评价为正常值;此时完成对网络入侵异常检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710603864.6A CN107426207B (zh) | 2017-07-21 | 2017-07-21 | 一种基于SA-iForest的网络入侵异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710603864.6A CN107426207B (zh) | 2017-07-21 | 2017-07-21 | 一种基于SA-iForest的网络入侵异常检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107426207A true CN107426207A (zh) | 2017-12-01 |
CN107426207B CN107426207B (zh) | 2019-09-27 |
Family
ID=60430926
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710603864.6A Active CN107426207B (zh) | 2017-07-21 | 2017-07-21 | 一种基于SA-iForest的网络入侵异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107426207B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108366048A (zh) * | 2018-01-10 | 2018-08-03 | 南京邮电大学 | 一种基于无监督学习的网络入侵检测方法 |
CN108777873A (zh) * | 2018-06-04 | 2018-11-09 | 江南大学 | 基于加权混合孤立森林的无线传感网络异常数据检测方法 |
CN108877949A (zh) * | 2018-06-11 | 2018-11-23 | 吉林大学 | 基于孤立森林算法和投票机制的唐氏综合症筛查方法 |
CN108900476A (zh) * | 2018-06-07 | 2018-11-27 | 桂林电子科技大学 | 基于Spark与隔离森林的并行网络流量异常检测方法 |
CN109508733A (zh) * | 2018-10-23 | 2019-03-22 | 北京邮电大学 | 一种基于分布概率相似度度量的异常检测方法 |
CN109922444A (zh) * | 2017-12-13 | 2019-06-21 | 中国移动通信集团公司 | 一种垃圾短信识别方法及装置 |
CN110505179A (zh) * | 2018-05-17 | 2019-11-26 | 中国科学院声学研究所 | 一种网络异常流量的检测方法及系统 |
CN110602105A (zh) * | 2019-09-17 | 2019-12-20 | 国家电网有限公司 | 一种基于k-means的大规模并行化网络入侵检测方法 |
CN111008662A (zh) * | 2019-12-04 | 2020-04-14 | 贵州电网有限责任公司 | 一种输电线路在线监测数据异常分析方法 |
CN111160647A (zh) * | 2019-12-30 | 2020-05-15 | 第四范式(北京)技术有限公司 | 一种洗钱行为预测方法及装置 |
CN112199670A (zh) * | 2020-09-30 | 2021-01-08 | 西安理工大学 | 一种基于深度学习改进iforest对行为异常检测的日志监控方法 |
CN114943861A (zh) * | 2022-05-07 | 2022-08-26 | 江苏易透健康科技有限公司 | 一种基于模拟退火的扩展孤立森林的异常检测方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685686A (zh) * | 2016-09-12 | 2017-05-17 | 电子科技大学 | 基于模拟退火的网络拓扑估计方法 |
-
2017
- 2017-07-21 CN CN201710603864.6A patent/CN107426207B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685686A (zh) * | 2016-09-12 | 2017-05-17 | 电子科技大学 | 基于模拟退火的网络拓扑估计方法 |
Non-Patent Citations (2)
Title |
---|
DONALD G. LECKIE等: "Automated Individual Tree Isolation on High-Resolution Imagery: Possible Methods for Breaking Isolations Involving Multiple Trees", 《IEEE》 * |
侯泳旭等: "基于Isolation Forest的并行化异常探测设计", 《计算机工程与科学》 * |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109922444A (zh) * | 2017-12-13 | 2019-06-21 | 中国移动通信集团公司 | 一种垃圾短信识别方法及装置 |
CN108366048B (zh) * | 2018-01-10 | 2021-01-12 | 南京邮电大学 | 一种基于无监督学习的网络入侵检测方法 |
CN108366048A (zh) * | 2018-01-10 | 2018-08-03 | 南京邮电大学 | 一种基于无监督学习的网络入侵检测方法 |
CN110505179A (zh) * | 2018-05-17 | 2019-11-26 | 中国科学院声学研究所 | 一种网络异常流量的检测方法及系统 |
CN110505179B (zh) * | 2018-05-17 | 2021-02-09 | 中国科学院声学研究所 | 一种网络异常流量的检测方法及系统 |
CN108777873A (zh) * | 2018-06-04 | 2018-11-09 | 江南大学 | 基于加权混合孤立森林的无线传感网络异常数据检测方法 |
WO2019233189A1 (zh) * | 2018-06-04 | 2019-12-12 | 江南大学 | 一种传感网络异常数据检测方法 |
CN108777873B (zh) * | 2018-06-04 | 2021-03-02 | 江南大学 | 基于加权混合孤立森林的无线传感网络异常数据检测方法 |
CN108900476B (zh) * | 2018-06-07 | 2021-05-11 | 桂林电子科技大学 | 基于Spark与隔离森林的并行网络流量异常检测方法 |
CN108900476A (zh) * | 2018-06-07 | 2018-11-27 | 桂林电子科技大学 | 基于Spark与隔离森林的并行网络流量异常检测方法 |
CN108877949B (zh) * | 2018-06-11 | 2021-04-27 | 吉林大学 | 基于孤立森林算法和投票机制的唐氏综合症筛查方法 |
CN108877949A (zh) * | 2018-06-11 | 2018-11-23 | 吉林大学 | 基于孤立森林算法和投票机制的唐氏综合症筛查方法 |
CN109508733A (zh) * | 2018-10-23 | 2019-03-22 | 北京邮电大学 | 一种基于分布概率相似度度量的异常检测方法 |
CN110602105A (zh) * | 2019-09-17 | 2019-12-20 | 国家电网有限公司 | 一种基于k-means的大规模并行化网络入侵检测方法 |
CN111008662A (zh) * | 2019-12-04 | 2020-04-14 | 贵州电网有限责任公司 | 一种输电线路在线监测数据异常分析方法 |
CN111008662B (zh) * | 2019-12-04 | 2023-01-10 | 贵州电网有限责任公司 | 一种输电线路在线监测数据异常分析方法 |
CN111160647A (zh) * | 2019-12-30 | 2020-05-15 | 第四范式(北京)技术有限公司 | 一种洗钱行为预测方法及装置 |
CN111160647B (zh) * | 2019-12-30 | 2023-08-22 | 第四范式(北京)技术有限公司 | 一种洗钱行为预测方法及装置 |
CN112199670A (zh) * | 2020-09-30 | 2021-01-08 | 西安理工大学 | 一种基于深度学习改进iforest对行为异常检测的日志监控方法 |
CN112199670B (zh) * | 2020-09-30 | 2023-04-07 | 西安理工大学 | 一种基于深度学习改进iforest对行为异常检测的日志监控方法 |
CN114943861A (zh) * | 2022-05-07 | 2022-08-26 | 江苏易透健康科技有限公司 | 一种基于模拟退火的扩展孤立森林的异常检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107426207B (zh) | 2019-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107426207A (zh) | 一种基于SA‑iForest的网络入侵异常检测方法 | |
CN107766883A (zh) | 一种基于加权决策树的优化随机森林分类方法及系统 | |
CN101841435B (zh) | Dns查询流量异常的检测方法、装置和系统 | |
CN106991296B (zh) | 基于随机化贪心特征选择的集成分类方法 | |
CN107145977A (zh) | 一种对在线社交网络用户进行结构化属性推断的方法 | |
CN105741175A (zh) | 一种对在线社交网络中账户进行关联的方法 | |
CN102662956A (zh) | 一种基于用户话题链接行为的社交网络意见领袖识别方法 | |
CN110516910A (zh) | 基于大数据的保单核保模型训练方法和核保风险评估方法 | |
CN107193797A (zh) | 中文微博的热点话题检测及趋势预测方法 | |
CN105719191A (zh) | 多尺度空间下不确定行为语义的社交群体发现系统及方法 | |
CN105933316A (zh) | 网络安全级别的确定方法和装置 | |
CN105389505A (zh) | 基于栈式稀疏自编码器的托攻击检测方法 | |
JP7119820B2 (ja) | 予測プログラム、予測方法および学習装置 | |
Cummings et al. | Structured citation trend prediction using graph neural networks | |
CN107247873A (zh) | 一种差异甲基化位点识别方法 | |
Gani et al. | Performance evaluation of one‐class classification‐based control charts through an industrial application | |
CN108833139A (zh) | 一种基于类别属性划分的ossec报警数据聚合方法 | |
CN105843733A (zh) | 一种大数据平台的性能检测方法及装置 | |
CN110705045A (zh) | 一种利用网络拓扑特性构建加权网络的链路预测方法 | |
Mazepa et al. | An ontological approach to detecting fake news in online media | |
CN109615080A (zh) | 无监督模型评估方法、装置、服务器及可读存储介质 | |
CN111310185B (zh) | 一种基于改进stacking算法的Android恶意软件检测方法 | |
CN102902875A (zh) | 一种基于网络的失效相关系统可靠度评估方法 | |
CN106844765A (zh) | 基于卷积神经网络的显著信息检测方法及装置 | |
CN115730248A (zh) | 一种机器账号检测方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |