CN108595655A - 一种基于会话特征相似性模糊聚类的异常用户检测方法 - Google Patents
一种基于会话特征相似性模糊聚类的异常用户检测方法 Download PDFInfo
- Publication number
- CN108595655A CN108595655A CN201810398688.1A CN201810398688A CN108595655A CN 108595655 A CN108595655 A CN 108595655A CN 201810398688 A CN201810398688 A CN 201810398688A CN 108595655 A CN108595655 A CN 108595655A
- Authority
- CN
- China
- Prior art keywords
- user
- session
- information
- simhash
- fuzzy clustering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 30
- 238000001514 detection method Methods 0.000 title claims abstract description 27
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 40
- 239000011159 matrix material Substances 0.000 claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000013480 data collection Methods 0.000 claims description 6
- 238000005201 scrubbing Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000007621 cluster analysis Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000012067 mathematical method Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种基于会话特征相似性模糊聚类的异常用户检测方法,包括以下步骤:步骤S1:为每个会话建立滑动窗口,收集用户的网页访问信息;步骤S2:对收集到的网页访问信息进行数据预处理,生成用户会话信息;步骤S3:采用PageRank算法计算网页权重信息;步骤S4:基于得到的用户会话信息和网页权重信息,采用SimHash算法计算用户之间的相似性,建立用户相似性矩阵;步骤S5:采用基于模糊聚类的λ‑截算法对每个会话滑动窗口得到的用户相似性矩阵进行切割,得出嫌疑用户;步骤S6:根据所有会话滑动窗口返回的嫌疑用户信息,检测并定位异常用户。该方法有利于快速准确地检测并定位异常用户。
Description
技术领域
本发明涉及Web服务异常检测技术领域,特别是一种基于会话特征相似性模糊聚类的异常用户检测方法。
背景技术
Web服务作为互联网信息服务的入口为人们带来了许多的便利,但是同时它的安全问题成为信息时代人类共同面临的巨大威胁。来自Web的各种攻击已经成为全球领域最大的挑战之一。针对Web服务的异常检测已经成为一个研究热点。一般来说,异常是实际应用中发生了与正常行为不一致的事件,可能是事件本身潜在的特性所决定的,也可能是由于系统错误或者测量错误所造成的,或者是客体的不当行为所导致的。对于异常检测的问题描述可以简化为如何定义异常和发现异常。
一般来说,较常见的异常检测方法大体上分为三类:(1)基于统计分析的流量异常检测;(2)基于时间序列模型的流量异常检测;(3)基于流挖掘的流量异常检测。基于统计分析的异常检测方法采用统计分析技术对时间序列进行检测。它按某一时间间隔对系统或用户的行为来描绘该行为轮廓,再将合并的最终轮廓并与正常行为轮廓比较,检测是否存在异常行为。基于时间序列模型的异常检测方法从全局角度分析,无需拆分数据,将当前时间段流量模型与前段时间流量模型的相关参数进行比较,当相差较大时认为存在异常。基于流挖掘的流量异常检测方法从网络流量中挖掘具有某种隐含的、有潜在价值的模式、信息、关联等,用以检测异常。其主要特点是可以检测已知或未知的异常流,确定异常位置,而且还能用于实时异常检测。基于流挖掘的流量异常检测方法由于其检测精度高,善于发现隐藏异常,对异常检测有着至关重要的作用。然而,随着Web流量的海量化与时效化,如何利用大数据技术提出有效的Web流量分析方法,准确描述用户的行为,找出有效特征,也是流挖掘方法的主要问题。
当前对异常检测进行了大量的研究,总的来说,现有的方法通常需要大量的有标记信息作为系统的训练集,需要耗费大量前期工作时间来训练模型,而这就需要专家预先判断出原始数据是否为异常并标记,这显然不利于异常检测系统的移植和推广。
发明内容
本发明的目的在于提供一种基于会话特征相似性模糊聚类的异常用户检测方法,该方法有利于快速准确地检测并定位异常用户。
为实现上述目的,本发明的技术方案是:一种基于会话特征相似性模糊聚类的异常用户检测方法,包括以下步骤:
步骤S1:为每个会话建立滑动窗口,收集用户的网页访问信息;
步骤S2:对收集到的网页访问信息进行数据预处理,生成用户会话信息;
步骤S3:采用PageRank算法计算网页权重信息;
步骤S4:基于得到的用户会话信息和网页权重信息,采用SimHash算法计算用户之间的相似性,建立用户相似性矩阵;
步骤S5:采用基于模糊聚类的λ-截算法对每个会话滑动窗口得到的用户相似性矩阵进行切割,得出嫌疑用户;
步骤S6:根据所有会话滑动窗口返回的嫌疑用户信息,检测并定位异常用户。
进一步地,所述步骤S2中,对收集到的网页访问信息进行数据预处理,包括以下步骤:
步骤S21:对网页访问信息进行数据清理,只保留html和htm的访问记录;
步骤S22:设定同一个IP地址为同一个用户,采用基于时间阈值的启发式方法对步骤S21处理后的访问记录进行处理,即如果单个用户在某个页面上的停留时间超过设定阈值,则将该访问记录划分为新的会话,从而得到如下的用户会话数据集:
{useri:session1,session2,…,sessionik|1≤i≤m,1≤ik≤n}
其中,useri表示第i个用户,sessionik表示第i个用户的第ik个会话,ik表示第i个用户的会话总数,m为用户总数,n表示单个用户可能达到的最大会话数。
进一步地,所述步骤S3中,将所有用户的网页访问信息输入PageRank算法,计算得到每个网页的权重信息。
进一步地,所述步骤S4中,将步骤S3得到的每个网页的权重信息作为SimHash算法的权重参数,对SimHash算法进行初始化,然后将步骤S2得到的所有用户的会话信息输入SimHash算法,计算每个会话的SimHash值,得到用户会话SimHash值数据集:
{useri:session_SimHash1,session_SimHash2,…,session_SimHashik|1≤i≤m,1≤ik≤n}
其中,session_SimHashik表示第i个用户的第ik个会话的SimHash值;
然后根据用户每个会话一一对应的SimHash值,生成用户之间的用户相似度矩阵。
进一步地,所述步骤S5中,采用基于模糊聚类的λ-截算法对每个会话滑动窗口的用户相似性矩阵进行切割,得到与其它会话最不相似的会话,对所有不相似会话对应的用户进行统计,取前n个具有最多不相似会话的用户作为嫌疑用户。
进一步地,所述步骤S6中,根据所有会话滑动窗口返回的嫌疑用户及其对应的不相似会话信息,对相同嫌疑用户的不相似会话数进行统计,并与设定的不相似会话阈值进行比较,大于不相似会话阈值则判断该嫌疑用户为异常用户。
相较于现有技术,本发明的有益效果是:节省了大量训练模型的时间,直接基于异常信息和正常信息的不同,通过将PageRank算法和SimHash算法相结合对Web访问信息进行处理得到每个访问序列的签名信息,然后计算每个会话滑动窗口内的签名信息的相似性,通过模糊聚类的λ-截算法来得出嫌疑用户,根据多个会话滑动窗口的综合考虑来检测并定位异常用户,从而能够快速准确地检测并定位异常用户,具有较高的检测率和较低的误报率。
附图说明
图1是本发明方法的实现流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
本发明提供一种基于会话特征相似性模糊聚类的异常用户检测方法,如图1所示,包括以下步骤:
步骤S1:为每个会话建立滑动窗口,收集用户的网页访问信息。
步骤S2:对收集到的网页访问信息进行数据预处理,生成用户会话信息。具体包括以下步骤:
步骤S21:对网页访问信息进行数据清理,只保留html和htm的访问记录;
步骤S22:设定同一个IP地址为同一个用户,会话识别是用户访问行为分析的基础和关键工作,会话识别准确度对于识别和发现用户的信息需求具有决定性的影响。会话是指用户在一次访问过程中所访问的页面序列,它代表了用户对服务器的一次有效访问。本发明采用基于时间阈值的启发式方法对步骤S21处理后的访问记录进行处理,即如果单个用户在某个页面上的停留时间超过设定阈值(在本实施例中,阈值设定为10min),则将该访问记录划分为新的会话,从而得到如下的用户会话数据集:
{useri:session1,session2,…,sessionik|1≤i≤m,1≤ik≤n}
其中,useri表示第i个用户,sessionik表示第i个用户的第ik个会话,ik表示第i个用户的会话总数,m为用户总数,n表示单个用户可能达到的最大会话数。
步骤S3:将所有用户的网页访问信息输入PageRank算法,计算得到每个网页的权重信息。
步骤S4:基于得到的用户会话信息和网页权重信息,采用SimHash算法计算用户之间的相似性,建立用户相似性矩阵。具体方法为:
将步骤S3得到的每个网页的权重信息作为SimHash算法的权重参数,对SimHash算法进行初始化,然后将步骤S2得到的所有用户的会话信息输入SimHash算法,计算每个会话的SimHash值,得到用户会话SimHash值数据集:
{useri:session_SimHash1,session_SimHash2,…,session_SimHashik|1≤i≤m,1≤ik≤n}
其中,session_SimHashik表示第i个用户的第ik个会话的SimHash值;
然后根据用户每个会话一一对应的SimHash值,生成用户之间的用户相似度矩阵。
步骤S5:采用基于模糊聚类的λ-截算法对每个会话滑动窗口得到的用户相似性矩阵进行切割,得出嫌疑用户。具体方法为:
采用基于模糊聚类的λ-截算法对每个会话滑动窗口的用户相似性矩阵进行切割,得到与其它会话最不相似的会话,对所有不相似会话对应的用户进行统计,取前n个具有最多不相似会话的用户作为嫌疑用户。
步骤S6:根据所有会话滑动窗口返回的嫌疑用户信息,检测并定位异常用户。具体方法为:
根据所有会话滑动窗口返回的嫌疑用户及其对应的不相似会话信息,对相同嫌疑用户的不相似会话数进行统计,并与设定的不相似会话阈值进行比较,大于不相似会话阈值则判断该嫌疑用户为异常用户。
下面对本发明涉及的相关技术内容作相应的说明。
1、PageRank算法
PageRank算法是基于网页链接分析对关键词匹配搜索结果进行处理的。它借鉴传统引文分析思想:当网页A有一个链接指向网页B,就认为B获得了A对它贡献的分值,该值的多少取决于A本身的重要程度,即网页A的重要性越大,网页B获得的贡献值就越高。由于网络中网页链接的相互指向,该分值的计算为一个迭代过程,最终网页根据所得分值进行检索排序。
一个网页的PageRank值(以下用PR表示),可由下式给出:
其中,PR(p)表示网页p的页面级别。Ti(i=1,2,…,n)表示指向网页p的其他网页;d为用户随机到达一个网页的概率,介于0到1之间(通常为0.85);c(Ti)为网页Ti向外指出的链接数目;PR(Ti)表示网页p的链入网页Ti给予p的PR值。通常,我们设每个网页的初始PR值为1,由公式递归计算各个网页的PR值,直到该值趋于稳定,最终得出每个网页的权重信息。
2、SimHash算法
SimHash算法是一种快速估计两组序列相似度的技术。SimHash算法是一种基于局部敏感的哈希算法,其思想是通过对原始数据空间的两个相邻数据点进行相同的变换投影之后,这两个点在新的数据空间中依然相邻的概率很大,而在原始数据空间中不相邻的数据点在投影之后相邻的概率很低,这就使投影在新空间的数据特征的每一维度比原来特征空间更具有局部敏感性。
SimHash算法主要分为以下几个步骤:
Step1.将一个f维的向量V初始化为0;f位的二进制数S初始化为0
Step2.对每一个特征:用传统的hash算法对该特征产生一个f位的签名b。对i=1到f:如果b的第i位为1,则V的第i个元素加上该特征的权重;否则,V的第i个元素减去该特征的权重
Step3.如果V的第i个元素大于0,则S的第i位为1,否则为0
Step4.输出S作为签名。
3、基于模糊聚类的λ-截算法
模糊聚类分析是一种采用模糊数学语言对事物按一定的要求进行描述和分类的数学方法。模糊聚类分析一般是指根据研究对象本身的属性来构造模糊矩阵,并在此基础上根据一定的隶属度来确定聚类关系,即用模糊数学的方法把样本之间的模糊关系定量的确定,从而客观且准确地进行聚类。
模糊矩阵是用来表示模糊关系的矩阵。设R=(rij)mxn,0≤rij≤1,则称R为模糊矩阵。假设存在用户集合U={X1,X2,X3,X4,X5}。采用以下的模糊矩阵R表示用户之间的相似性:
应用模糊矩阵的λ-截算法比其他的聚类算法处理出来的结果要好,运算速度快,结果也容易控制,准确率也高。
λ-截矩阵的定义如下式:
这里采用各种λ对模糊矩阵进行λ-截算法。
当λ=1时,得到的聚类结果为{X1},{X2},{X3},{X4},{X5}
当λ=0.6时,得到的聚类结果为{X1,X3},{X2},{X4},{X5}
当λ=0.8时,得到的聚类结果为{X1,X3},{X2},{X4,X5}
当λ=0.5时,得到的聚类结果为{X1,X3,X4,X5},{X2}
由聚类结果可以看出,当λ越大时,聚类结果更精细。而在本发明中,模糊聚类算法并不需要去得到某一个确定的聚类结果,而是采取随机的λ去取得聚类结果,再对聚类结果进行统计,从而得到我们所需要检测和定位的异常用户。假设上述矩阵R中每一行都是一个用户与其他用户的相似度向量。我们采取模糊聚类的做法使用不同的λ去做分割,根据多次分割得出的结果,可以看出用户X2经常被单独区分出来。本发明并不需要去关心具体的聚类结果如何,而只关心哪个用户更容易被孤立出来。因为异常数据往往和正常数据本质上存在差别,所以异常数据更不容易和正常数据聚类到一起。这样我们就检测到了异常用户X2。这样就同时满足了检测与定位异常用户的需求。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (6)
1.一种基于会话特征相似性模糊聚类的异常用户检测方法,其特征在于,包括以下步骤:
步骤S1:为每个会话建立滑动窗口,收集用户的网页访问信息;
步骤S2:对收集到的网页访问信息进行数据预处理,生成用户会话信息;
步骤S3:采用PageRank算法计算网页权重信息;
步骤S4:基于得到的用户会话信息和网页权重信息,采用SimHash算法计算用户之间的相似性,建立用户相似性矩阵;
步骤S5:采用基于模糊聚类的λ-截算法对每个会话滑动窗口得到的用户相似性矩阵进行切割,得出嫌疑用户;
步骤S6:根据所有会话滑动窗口返回的嫌疑用户信息,检测并定位异常用户。
2.根据权利要求1所述的一种基于会话特征相似性模糊聚类的异常用户检测方法,其特征在于,所述步骤S2中,对收集到的网页访问信息进行数据预处理,包括以下步骤:
步骤S21:对网页访问信息进行数据清理,只保留html和htm的访问记录;
步骤S22:设定同一个IP地址为同一个用户,采用基于时间阈值的启发式方法对步骤S21处理后的访问记录进行处理,即如果单个用户在某个页面上的停留时间超过设定阈值,则将该访问记录划分为新的会话,从而得到如下的用户会话数据集:
{useri:session1,session2,…,sessionik|1≤i≤m,1≤ik≤n}
其中,useri表示第i个用户,sessionik表示第i个用户的第ik个会话,ik表示第i个用户的会话总数,m为用户总数,n表示单个用户可能达到的最大会话数。
3.根据权利要求2所述的一种基于会话特征相似性模糊聚类的异常用户检测方法,其特征在于,所述步骤S3中,将所有用户的网页访问信息输入PageRank算法,计算得到每个网页的权重信息。
4.根据权利要求3所述的一种基于会话特征相似性模糊聚类的异常用户检测方法,其特征在于,所述步骤S4中,将步骤S3得到的每个网页的权重信息作为SimHash算法的权重参数,对SimHash算法进行初始化,然后将步骤S2得到的所有用户的会话信息输入SimHash算法,计算每个会话的SimHash值,得到用户会话SimHash值数据集:
{useri:session_SimHash1,session_SimHash2,…,session_SimHashik|1≤i≤m,1≤ik≤n}
其中,session_SimHashik表示第i个用户的第ik个会话的SimHash值;
然后根据用户每个会话一一对应的SimHash值,生成用户之间的用户相似度矩阵。
5.根据权利要求4所述的一种基于会话特征相似性模糊聚类的异常用户检测方法,其特征在于,所述步骤S5中,采用基于模糊聚类的λ-截算法对每个会话滑动窗口的用户相似性矩阵进行切割,得到与其它会话最不相似的会话,对所有不相似会话对应的用户进行统计,取前n个具有最多不相似会话的用户作为嫌疑用户。
6.根据权利要求5所述的一种基于会话特征相似性模糊聚类的异常用户检测方法,其特征在于,所述步骤S6中,根据所有会话滑动窗口返回的嫌疑用户及其对应的不相似会话信息,对相同嫌疑用户的不相似会话数进行统计,并与设定的不相似会话阈值进行比较,大于不相似会话阈值则判断该嫌疑用户为异常用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810398688.1A CN108595655B (zh) | 2018-04-27 | 2018-04-27 | 一种基于会话特征相似性模糊聚类的异常用户检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810398688.1A CN108595655B (zh) | 2018-04-27 | 2018-04-27 | 一种基于会话特征相似性模糊聚类的异常用户检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108595655A true CN108595655A (zh) | 2018-09-28 |
CN108595655B CN108595655B (zh) | 2022-04-01 |
Family
ID=63610642
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810398688.1A Expired - Fee Related CN108595655B (zh) | 2018-04-27 | 2018-04-27 | 一种基于会话特征相似性模糊聚类的异常用户检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108595655B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
CN110225207A (zh) * | 2019-04-29 | 2019-09-10 | 厦门快商通信息咨询有限公司 | 一种融合语义理解的防骚扰方法、系统、终端及存储介质 |
CN110430183A (zh) * | 2019-07-31 | 2019-11-08 | 福建师范大学 | 基于会话特征相似性的mh-lstm异常检测方法 |
CN110781494A (zh) * | 2019-10-22 | 2020-02-11 | 武汉极意网络科技有限公司 | 数据异常预警方法、装置、设备及存储介质 |
CN112861891A (zh) * | 2019-11-27 | 2021-05-28 | 中国电信股份有限公司 | 用户行为异常检测方法和装置 |
CN113240510A (zh) * | 2021-05-28 | 2021-08-10 | 平安科技(深圳)有限公司 | 异常用户预测方法、装置、设备及存储介质 |
CN113810338A (zh) * | 2020-06-12 | 2021-12-17 | 中国电信股份有限公司 | 异常服务地址检测方法和装置、计算机可读存储介质 |
CN114596097A (zh) * | 2022-05-10 | 2022-06-07 | 富算科技(上海)有限公司 | 用户识别方法、装置、电子设备和计算机可读存储介质 |
CN115587132A (zh) * | 2022-11-11 | 2023-01-10 | 北京中安星云软件技术有限公司 | 一种基于会话聚类识别数据库异常访问的方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080301090A1 (en) * | 2007-05-31 | 2008-12-04 | Narayanan Sadagopan | Detection of abnormal user click activity in a search results page |
CN105262715A (zh) * | 2015-03-27 | 2016-01-20 | 中国人民解放军信息工程大学 | 一种基于模糊时序关联模式的异常用户检测方法 |
WO2017013688A1 (en) * | 2015-07-21 | 2017-01-26 | Minded Security S.R.L. | Method for detecting the use of remote screen control applications through the detection and profiling of anomalies on the user input introduced by the protocol of said applications |
US20170063909A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Detection of Clustering in Graphs in Network Security Analysis |
-
2018
- 2018-04-27 CN CN201810398688.1A patent/CN108595655B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080301090A1 (en) * | 2007-05-31 | 2008-12-04 | Narayanan Sadagopan | Detection of abnormal user click activity in a search results page |
CN105262715A (zh) * | 2015-03-27 | 2016-01-20 | 中国人民解放军信息工程大学 | 一种基于模糊时序关联模式的异常用户检测方法 |
WO2017013688A1 (en) * | 2015-07-21 | 2017-01-26 | Minded Security S.R.L. | Method for detecting the use of remote screen control applications through the detection and profiling of anomalies on the user input introduced by the protocol of said applications |
US20170063909A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Detection of Clustering in Graphs in Network Security Analysis |
Non-Patent Citations (2)
Title |
---|
曾茂希: "移动应用崩溃监控和用户行为分析的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
肖军等: "基于会话异常度模型的应用层分布式拒绝服务攻击过滤", 《计算机学报》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109818970A (zh) * | 2019-03-07 | 2019-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
CN109818970B (zh) * | 2019-03-07 | 2021-04-30 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
CN110225207B (zh) * | 2019-04-29 | 2021-08-06 | 厦门快商通信息咨询有限公司 | 一种融合语义理解的防骚扰方法、系统、终端及存储介质 |
CN110225207A (zh) * | 2019-04-29 | 2019-09-10 | 厦门快商通信息咨询有限公司 | 一种融合语义理解的防骚扰方法、系统、终端及存储介质 |
CN110430183A (zh) * | 2019-07-31 | 2019-11-08 | 福建师范大学 | 基于会话特征相似性的mh-lstm异常检测方法 |
CN110781494A (zh) * | 2019-10-22 | 2020-02-11 | 武汉极意网络科技有限公司 | 数据异常预警方法、装置、设备及存储介质 |
CN112861891A (zh) * | 2019-11-27 | 2021-05-28 | 中国电信股份有限公司 | 用户行为异常检测方法和装置 |
CN112861891B (zh) * | 2019-11-27 | 2023-11-28 | 中国电信股份有限公司 | 用户行为异常检测方法和装置 |
CN113810338A (zh) * | 2020-06-12 | 2021-12-17 | 中国电信股份有限公司 | 异常服务地址检测方法和装置、计算机可读存储介质 |
CN113810338B (zh) * | 2020-06-12 | 2023-11-03 | 中国电信股份有限公司 | 异常服务地址检测方法和装置、计算机可读存储介质 |
CN113240510A (zh) * | 2021-05-28 | 2021-08-10 | 平安科技(深圳)有限公司 | 异常用户预测方法、装置、设备及存储介质 |
CN113240510B (zh) * | 2021-05-28 | 2023-08-01 | 平安科技(深圳)有限公司 | 异常用户预测方法、装置、设备及存储介质 |
CN114596097A (zh) * | 2022-05-10 | 2022-06-07 | 富算科技(上海)有限公司 | 用户识别方法、装置、电子设备和计算机可读存储介质 |
CN115587132A (zh) * | 2022-11-11 | 2023-01-10 | 北京中安星云软件技术有限公司 | 一种基于会话聚类识别数据库异常访问的方法及系统 |
CN115587132B (zh) * | 2022-11-11 | 2023-03-10 | 北京中安星云软件技术有限公司 | 一种基于会话聚类识别数据库异常访问的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108595655B (zh) | 2022-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108595655A (zh) | 一种基于会话特征相似性模糊聚类的异常用户检测方法 | |
CN105897714A (zh) | 基于dns流量特征的僵尸网络检测方法 | |
CN113378990B (zh) | 基于深度学习的流量数据异常检测方法 | |
CN106570513A (zh) | 大数据网络系统的故障诊断方法和装置 | |
CN109698823B (zh) | 一种网络威胁发现方法 | |
CN102098180A (zh) | 一种网络安全态势感知方法 | |
CN106850607A (zh) | 基于攻击图的网络安全态势的量化评估方法 | |
CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
CN111047173B (zh) | 基于改进d-s证据理论的社团可信度评估方法 | |
CN111709244A (zh) | 一种用于矛盾纠纷事件因果关系识别的深度学习方法 | |
CN110011976B (zh) | 一种网络攻击破坏能力量化评估方法及系统 | |
CN114338195A (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
CN114499956A (zh) | 一种网络信息安全风险评估系统及其方法 | |
CN109818971A (zh) | 一种基于高阶关联挖掘的网络数据异常检测方法与系统 | |
Rajani et al. | Stacking with auxiliary features | |
Gong et al. | Intrusion detection system combining misuse detection and anomaly detection using genetic network programming | |
CN116562615A (zh) | 一种用于乳制品食品安全的风险预警方法 | |
CN108121912B (zh) | 一种基于神经网络的恶意云租户识别方法和装置 | |
CN106330861A (zh) | 一种网址检测方法及装置 | |
CN111831881B (zh) | 一种基于网站流量日志数据与优化谱聚类算法的恶意爬虫检测方法 | |
US11665185B2 (en) | Method and apparatus to detect scripted network traffic | |
CN116796326A (zh) | 一种sql注入检测方法 | |
CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
CN113779591B (zh) | 一种基于主机重要度的网络主机节点安全风险评估方法 | |
Laksono et al. | DDoS detection using CURE clustering algorithm with outlier removal clustering for handling outliers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220401 |
|
CF01 | Termination of patent right due to non-payment of annual fee |