CN108319851B - 一种异常行为主动检测方法、设备及存储介质 - Google Patents

一种异常行为主动检测方法、设备及存储介质 Download PDF

Info

Publication number
CN108319851B
CN108319851B CN201711318769.8A CN201711318769A CN108319851B CN 108319851 B CN108319851 B CN 108319851B CN 201711318769 A CN201711318769 A CN 201711318769A CN 108319851 B CN108319851 B CN 108319851B
Authority
CN
China
Prior art keywords
behavior
data
abnormal
sample data
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711318769.8A
Other languages
English (en)
Other versions
CN108319851A (zh
Inventor
张欣海
张博
郭晓雷
徐海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Electronic and Information Technology of CETC
Original Assignee
China Academy of Electronic and Information Technology of CETC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Electronic and Information Technology of CETC filed Critical China Academy of Electronic and Information Technology of CETC
Priority to CN201711318769.8A priority Critical patent/CN108319851B/zh
Publication of CN108319851A publication Critical patent/CN108319851A/zh
Application granted granted Critical
Publication of CN108319851B publication Critical patent/CN108319851B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24133Distances to prototypes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种异常行为主动检测方法、设备及存储介质,通过提取的已查获的与异常行为对应的数据作为初始样本中心点数据,进而基于初始样本中心点数据对行为样本数据进行分类训练后,得到靠近初始样本中心点数据的异常行为数据,从而实现了主动对用户异常行为的提前预警和实时监测。

Description

一种异常行为主动检测方法、设备及存储介质
技术领域
本发明涉及信息系统应用数据安全防护领域,尤其涉及一种异常行为主动检测方法、设备及存储介质。
背景技术
随着信息化向大整合、高共享、深度应用大步迈进,信息资源的种类和数量迅速增加,信息集中度和敏感度明显提高,信息应用和共享方式日趋复杂,信息安全工作面临极大挑战;近年来,公民个人信息泄露屡禁不止,时有曝光,已经成为媒体关注的热点问题,引发各类炒作,造成不良社会影响,严重影响政府机关形象,损害政府信息化发展成果;虽然各级政府机关也开展了持续不断地打击整治,并采取了一些技术措施,但政府机关内部人员泄露公民个人信息问题仍然呈现出高发态势,内部信息泄露已成为当前网络信息安全的一个重点工作。
为加强信息系统应用安全审计工作基础,防止内部敏感信息泄漏,避免出现“跟踪不下去、查不到源头、取不到证据”的情况,各级政府机关已经陆续开展基于应用日志的安全审计工作,但现有的应用日志审计仍主要采用统计方法,偏重“事后倒查”,无法有效的解决对用户异常应用使用行为的早期预警和实时监测。
发明内容
本发明提供一种异常行为主动检测方法、设备及存储介质,用以解决现有技术无法对用户异常行为进行早期预警和实时监测的问题。
依据本发明的一个方面,提供一种异常行为主动检测方法,包括:
获取行为样本数据;
确定待检测的异常行为;
根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;
对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
根据所述不同类别的行为样本数据集获取异常行为数据。
可选的,根据所述不同类别的行为样本数据集获取异常行为数据包括:
根据所述不同类别的行为样本数据集,获取含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据。
可选的,所述根据所述子类行为样本数据集获取所述异常行为数据包括:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。
可选的,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,包括:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
可选的,所述行为样本数据的类型包括:正常行为数据和所述异常行为数据。
依据本发明的第二个方面,提供一种异常行为主动检测设备,所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如下步骤:
获取行为样本数据;
确定待检测的异常行为;
根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;
对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
根据所述不同类别的行为样本数据集获取异常行为数据。
可选的,所述根据所述不同类别的行为样本数据集获取异常行为数据,所述处理器执行所述程序时实现如下步骤:
根据所述不同类别的行为样本数据集,获取含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据。
可选的,所述根据所述子类行为样本数据集获取所述异常行为数据,所述处理器执行所述程序时实现如下步骤:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。
可选的,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,所述处理器执行所述程序时实现如下步骤:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
依据本发明的第三个方面,提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现所述异常行为主动检测方法的如下步骤:
获取行为样本数据;
确定待检测的异常行为;
根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;
对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
根据所述不同类别的行为样本数据集获取异常行为数据。
本发明的有益效果为:
通过提取的已查获的与异常行为对应的数据作为初始样本中心点数据,进而基于初始样本中心点数据对行为样本数据进行分类训练后,得到靠近初始样本中心点数据的异常行为数据,从而实现了主动对用户异常行为的提前预警和实时监测。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明第一、第三、第四实施例中异常行为主动检测方法流程图;
图2为本发明第二实施例中异常行为主动检测方法流程图;
图3为本发明第二实施例中聚类计算后获取的含有初始样本中心点的一个子类;
图4为第二实施例中2016年下半年和2017年上半年行为样本数据提取结果的交集。
图5为本发明第三实施例中异常行为主动检测设备的结构示意图。
图中:1-存储器,2-处理器。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
请参见图1,在本发明的第一实施例中,提供了一种异常行为主动检测方法,包括以下步骤:
S101:获取行为样本数据;所述行为样本数据的类型包括:正常行为数据和所述异常行为数据。
S102:确定待检测的异常行为;
S103:根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;
S104:对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集(即行为样本数据集为相同类别的行为样本数据组成的集合);
S105:根据所述不同类别的行为样本数据集获取异常行为数据。
本发明可选实施例中,步骤S105:根据所述不同类别的行为样本数据集获取异常行为数据包括:
根据所述不同类别的行为样本数据集,获取含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据。
所述根据所述子类行为样本数据集获取所述异常行为数据包括:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。也就是说,与所述初始样本中心点的距离不超过K的所述行为样本数据即为异常行为数据,异常行为数据对应的用户为存在异常行为的用户。
可选的,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,包括:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
在本发明的第二实施例中,请参见图2,提供了一种异常行为主动检测方法,包括以下步骤:
S200:提取用户行为特征属性,在此,从海量的应用审计日志中,基于已经查获的用户异常操作行为,利用人工手段,提取N种用户行为特征属性,这里N取自然数,在此N取28,即提取28种用户行为特征属性,如用户总访问量、用户类型、用户性别、用户年龄段等,通过后续机器自学习结果输出的不断验证和样本数据的持续完善,用户行为特征属性可持续丰富和完善。
S201:获取行为样本数据;本发明可选实施例中,所述行为样本数据的类型包括在一时间段内(比如2016年下半年和2017年上半年)提取的正常行为数据和异常行为数据。
S202:确定待检测的异常行为,如检测有数据盗取行为的用户或是大量查询青年女性行为的用户,并根据数据盗取行为这一异常行为确定需要使用的用户行为特征属性。
S203:根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;若为检测有数据盗取行为的用户,则在此基础上,将已查获的进行过数据盗取行为的用户的数据作为初始样本中心点数据,初始样本中心点数据可以根据需求选取多个,本实施例选取8个初始样本中心点数据。
S204:对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集(即行为样本数据集为相同类别的行为样本数据组成的集合)。本实施例采用MADlib-Kmeans聚类算法对2016年下半年和2017年上半年的行为样本数据集和步骤S203所确定的8个初始样本中心点数据进行训练,聚类计算采用距离函数为“欧氏距离平方”,执行的最大迭代次数设定为50次;经过训练,行为样本数据在38次时收敛。
本发明可选实施例中,进行步骤S204所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,对所述行为样本数据和所述初始样本中心点数据进行归一化处理。首先,将占比类的行为样本数据和所述初始样本中心点数据进行整数化,如查询数据盗取行为的行为样本数量占比值为0.62,对其进行整数化之后转换为62,然后,利用0均值标准化化方法对行为样本数据和初始样本中心点数据进行归一化预处理,即将行为样本数据和初始样本中心点数据归一化为均值为0、标准差为1的数据集,归一化公式如下:
z=(x-μ)/σ
其中,x为原始值,μ为平均值,σ为标准差,z为归一后的值;当原始值低于平均值时,z则为负数,反之为正数。
S205:根据所述不同类别的行为样本数据集获取异常行为数据。包括:
根据所述不同类别的行为样本数据集,获取含有所述初始样本中心点数据的子类行为样本数据集,参见图3,图3中user_name为赵*的为初始样本中心点数据。根据所述子类行为样本数据集获取所述异常行为数据,包括:
根据所述子类行为样本数据集,进行机器自学习,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。也就是说,与所述初始样本中心点的距离不超过K的所述行为样本数据即为异常行为数据,异常行为数据对应的用户为存在异常行为的用户。步骤S104对行为样本数据聚类计算后,步骤S203所确定的8个初始样本中心点数据分布在5个子类中(第1类1个、第2类2个、第3类1个、第4类3个、第5类1个),提取离初始样本中心点数据距离最近且不超过0.5的样本数据(即K不大于0.5):
(1)2016下半年样本提取出来151个;
(2)2017上半年样本提取出来147个;
(3)计算2016年下半年和2017年上半年样本提取结果的交集,得出有2交集行为样本数据,如图4所示;
S206:输出检测结果,重点关注、分析、核实2个交集样本和8个初始样本中心点数据附近的行为样本数据,通过验证发现初始样本中心点数据附近的行为样本数据90%以上存在明显的异常行为,输出检测结果并进行预警。通过将验证结果进行迭代和分析,可不断提升该方法的准确度,从而有效解决基于应用日志审计的用户异常行为早期预警和实时监测问题。
在本发明的第三实施例中,提供了一种异常行为主动检测设备,参见图5,所述设备包括存储器1、处理器2及存储在所述存储器1上并可在所述处理器2上运行的计算机程序,所述处理器2执行所述程序时实现如下步骤:
S101:获取行为样本数据;
S102:确定待检测的异常行为;
S103:根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;
S104:对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
S105:根据所述不同类别的行为样本数据集获取异常行为数据。
执行步骤S101前,所述处理器2执行所述程序时还实现如下步骤:
提取用户行为特征属性,从海量的应用审计日志中,基于已经查获的用户异常操作行为,提取N种用户行为特征属性,这里N取自然数,在此N取28,即提取28种用户行为特征属性,如用户总访问量、用户类型、用户性别、用户年龄段等,通过后续机器自学习结果输出的不断验证和样本数据的持续完善,用户行为特征属性可持续丰富和完善。
可选的,所述根据所述不同类别的行为样本数据集获取异常行为数据,所述处理器2执行所述程序时实现如下步骤:
根据所述不同类别的行为样本数据集,获取含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据。
可选的,所述根据所述子类行为样本数据集获取所述异常行为数据,所述处理器2执行所述程序时实现如下步骤:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。
可选的,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,所述处理器2执行所述程序时实现如下步骤:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
可选的,得到所述异常行为数据后,所述处理器2执行所述程序时实现步骤:
输出检测结果,输出初始样本中心点数据附近存在明显的异常行为的行为样本数据,输出检测结果并进行预警。有效解决了用户异常行为早期预警和实时监测问题。
在本发明的第四实施例中,提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器2执行时实现所述异常行为主动检测方法的如下步骤:
S101:获取行为样本数据;
S102:确定待检测的异常行为;
S103:根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据;
S104:对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
S105:根据所述不同类别的行为样本数据集获取异常行为数据。
执行步骤S101前,所述程序被处理器2执行时还实现如下步骤:
提取用户行为特征属性,从海量的应用审计日志中,基于已经查获的用户异常操作行为,提取N种用户行为特征属性,这里N取自然数,在此N取28,即提取28种用户行为特征属性,如用户总访问量、用户类型、用户性别、用户年龄段等,通过后续机器自学习结果输出的不断验证和样本数据的持续完善,用户行为特征属性可持续丰富和完善。
在可选实施例中,所述根据所述不同类别的行为样本数据集获取异常行为数据,所述程序被处理器2执行时实现如下步骤:
根据所述不同类别的行为样本数据集,获取含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据。
可选的,所述根据所述子类行为样本数据集获取所述异常行为数据,所述程序被处理器2执行时实现如下步骤:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0,也就是说,与所述初始样本中心点的距离不超过K的所述行为样本数据即为异常行为数据,异常行为数据对应的用户为存在异常行为的用户。
可选的,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,所述程序被处理器2执行时实现如下步骤:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
可选的,得到所述异常行为数据后,所述程序被处理器2执行时实现如下步骤:
输出检测结果,输出初始样本中心点数据附近存在明显的异常行为的行为样本数据,输出检测结果并进行预警。有效解决了用户异常行为早期预警和实时监测问题。
显然,本发明通过提取的已查获的与异常行为对应的数据作为初始样本中心点数据,进而基于初始样本中心点数据对行为样本数据进行分类训练后,得到靠近初始样本中心点数据的异常行为数据,从而实现了主动对用户异常行为的提前预警和实时监测。
本发明中的存储介质可以包括:ROM、RAM、磁盘或光盘等。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种异常行为主动检测方法,其特征在于,包括:
获取行为样本数据;
确定待检测的异常行为;
根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据,所述初始样本中心点数据为多个;
对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
根据所述不同类别的行为样本数据集获取异常行为数据;
根据所述不同类别的行为样本数据集获取异常行为数据包括:
根据所述不同类别的行为样本数据集,获取多段不同时间段含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据,包括:
计算多段不同时间段子类行为样本数据集提取结果的交集;
基于所述交集的样本数据和所述初始样本中心点数据确定异常行为,并输出检测结果。
2.如权利要求1所述的异常行为主动检测方法,其特征在于,所述根据所述子类行为样本数据集获取所述异常行为数据包括:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。
3.如权利要求1所述的异常行为主动检测方法,其特征在于,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,包括:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
4.如权利要求1所述的异常行为主动检测方法,其特征在于,所述行为样本数据的类型包括:正常行为数据和所述异常行为数据。
5.一种异常行为主动检测设备,其特征在于,所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如下步骤:
获取行为样本数据;
确定待检测的异常行为;
根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据,所述初始样本中心点数据为多个;
对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集;
根据所述不同类别的行为样本数据集获取异常行为数据;
所述根据所述不同类别的行为样本数据集获取异常行为数据,所述处理器执行所述程序时实现如下步骤:
根据所述不同类别的行为样本数据集,获取多段不同时间段含有所述初始样本中心点数据的子类行为样本数据集;
根据所述子类行为样本数据集获取所述异常行为数据,包括:
计算多段不同时间段子类行为样本数据集提取结果的交集;
基于所述交集的样本数据和所述初始样本中心点数据确定异常行为,并输出检测结果。
6.如权利要求5所述的异常行为主动检测设备,其特征在于,所述根据所述子类行为样本数据集获取所述异常行为数据,所述处理器执行所述程序时实现如下步骤:
根据所述子类行为样本数据集,获取与所述初始样本中心点的距离不超过K的所述行为样本数据,得到所述异常行为数据,所述K>0。
7.如权利要求5所述的异常行为主动检测设备,其特征在于,所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前,所述处理器执行所述程序时实现如下步骤:
对所述行为样本数据和所述初始样本中心点数据进行归一化处理。
8.一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现权利要求1至4中任意一项所述方法的步骤。
CN201711318769.8A 2017-12-12 2017-12-12 一种异常行为主动检测方法、设备及存储介质 Active CN108319851B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711318769.8A CN108319851B (zh) 2017-12-12 2017-12-12 一种异常行为主动检测方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711318769.8A CN108319851B (zh) 2017-12-12 2017-12-12 一种异常行为主动检测方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN108319851A CN108319851A (zh) 2018-07-24
CN108319851B true CN108319851B (zh) 2022-03-11

Family

ID=62892146

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711318769.8A Active CN108319851B (zh) 2017-12-12 2017-12-12 一种异常行为主动检测方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN108319851B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103138986A (zh) * 2013-01-09 2013-06-05 天津大学 一种基于可视分析的网站异常访问行为的检测方法
US20130283378A1 (en) * 2012-04-24 2013-10-24 Behaviometrics Ab System and method for distinguishing human swipe input sequence behavior and using a confidence value on a score to detect fraudsters
CN105224872A (zh) * 2015-09-30 2016-01-06 河南科技大学 一种基于神经网络聚类的用户异常行为检测方法
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
CN106778259A (zh) * 2016-12-28 2017-05-31 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN107528832A (zh) * 2017-08-04 2017-12-29 北京中晟信达科技有限公司 一种面向系统日志的基线构建与未知异常行为检测方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101980480B (zh) * 2010-11-04 2012-12-05 西安电子科技大学 半监督异常入侵检测方法
CN103078856B (zh) * 2012-12-29 2015-04-22 大连环宇移动科技有限公司 一种基于访问标记的应用层DDoS攻击的检测过滤方法
CN106101102B (zh) * 2016-06-15 2019-07-26 华东师范大学 一种基于pam聚类算法的网络异常流量检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130283378A1 (en) * 2012-04-24 2013-10-24 Behaviometrics Ab System and method for distinguishing human swipe input sequence behavior and using a confidence value on a score to detect fraudsters
CN103138986A (zh) * 2013-01-09 2013-06-05 天津大学 一种基于可视分析的网站异常访问行为的检测方法
CN105224872A (zh) * 2015-09-30 2016-01-06 河南科技大学 一种基于神经网络聚类的用户异常行为检测方法
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
CN106778259A (zh) * 2016-12-28 2017-05-31 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN107528832A (zh) * 2017-08-04 2017-12-29 北京中晟信达科技有限公司 一种面向系统日志的基线构建与未知异常行为检测方法

Also Published As

Publication number Publication date
CN108319851A (zh) 2018-07-24

Similar Documents

Publication Publication Date Title
CN109816397B (zh) 一种欺诈判别方法、装置及存储介质
CN107633265B (zh) 用于优化信用评估模型的数据处理方法及装置
US10692019B2 (en) Failure feedback system for enhancing machine learning accuracy by synthetic data generation
US20170018030A1 (en) System and Method for Determining Credit Worthiness of a User
CN112860841A (zh) 一种文本情感分析方法、装置、设备及存储介质
CN111143654B (zh) 辅助识别爬虫的、爬虫识别方法、装置及电子设备
CN109145030B (zh) 一种异常数据访问的检测方法和装置
CN108509561B (zh) 基于机器学习的岗位招聘数据筛选方法、系统及存储介质
Domin et al. Improving plagiarism detection in coding assignments by dynamic removal of common ground
WO2020135247A1 (zh) 法律文书解析方法及装置
CN113704082A (zh) 模型评测方法、装置、电子设备及存储介质
Pratiwi et al. Implementation of rumor detection on twitter using the svm classification method
Oh et al. Advanced insider threat detection model to apply periodic work atmosphere
CN116483733A (zh) 多维度人工智能产品评测方法及装置
Arefi et al. Assessing post deletion in Sina Weibo: Multi-modal classification of hot topics
Pangsakulyanont et al. Assessing MCR discussion usefulness using semantic similarity
Kim et al. Evaluating surprise adequacy for question answering
CN114285587B (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置
CN108319851B (zh) 一种异常行为主动检测方法、设备及存储介质
CN116881395A (zh) 一种舆情信息检测方法和装置
CN105824871B (zh) 一种图片检测方法与设备
Liu et al. An illegal billboard advertisement detection framework based on machine learning
CN111209567B (zh) 提高检测模型鲁棒性的可知性判断方法及装置
CN114510720A (zh) 一种基于特征融合和NLP技术的Android恶意软件分类方法
Mannan et al. An Empirical Study on Theories of Sentiment Analysis in Relation to Fake News Detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant