CN108924100A - 一种异常用户识别方法 - Google Patents
一种异常用户识别方法 Download PDFInfo
- Publication number
- CN108924100A CN108924100A CN201810638772.6A CN201810638772A CN108924100A CN 108924100 A CN108924100 A CN 108924100A CN 201810638772 A CN201810638772 A CN 201810638772A CN 108924100 A CN108924100 A CN 108924100A
- Authority
- CN
- China
- Prior art keywords
- user
- port
- behavior
- clustering
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实施例提供了一种异常用户识别方法,包含以下步骤:(1)设定时间尺度,计算时间尺度内每个用户的通信量,记录同一网络前缀下每个用户的应用行为,为每个用户建立用户行为模型;(2)对两两用户的通信量差值进行离散化处理;(3)计算两两用户应用行为的比例差异;(4)计算两两用户间的行为相似性值;(5)根据聚类算法对网络中的用户进行聚类,分离出异常行为的用户分簇,克服了现有技术中异常行为特征提取困难,聚类维数过高、聚类结果准确性低等问题。
Description
技术领域
本发明涉及网络安全领域,特别是一种异常用户识别方法。
背景技术
由于网络世界中不稳定因素较多,一些用户在使用过程中会存在诸如DDoS攻击、端口扫描,蠕虫病毒等行为异常,若不及时发现并阻止,异常行为将进一步扩大,使网络存在极大安全隐患,因此需要开发一种能够识别异常用户的方法,目前的异常用户识别方法存在预设规则困难、特征提取困难,聚类维数过高及不适用于网络汇聚节点上异常行为的分析等问题。
发明内容
本发明提供了一种异常用户识别方法,克服了现有技术中异常行为特征提取困难,聚类维数过高、聚类结果准确性低等问题,为克服上述问题,本发明提供了以下技术方案:
一种异常用户识别方法,其特征在于,包含以下步骤:
(1)设定时间尺度,计算时间尺度内每个用户的通信量,记录同一网络前缀下每个用户的应用行为,为每个用户建立用户行为模型;
(2)对两两用户的通信量差值进行离散化处理;
(3)计算两两用户应用行为的比例差异;
(4)计算两两用户间的行为相似性值;
(5)根据聚类算法对网络中的用户进行聚类,分离出异常行为的用户分簇。
本发明提出了一种基于行为相似性的异常用户识别方法,选择了时间、用户通信量以及用户的应用行为作为衡量用户行为相似性的指标,设定合理的时间尺度,记录每个用户在时间尺度内的通信量和一系列应用行为,然后计算用户间相似性值,通过聚类算法对用户进行聚类,分离出异常用户分簇,从而识别具有异常行为的用户,并且不存在特征提取困难,聚类维数低、识别准确率高。
进一步的,所述用户行为模型的建立方法如下:
(1)设定时间尺度为T,假设时间尺度T的某一网络前缀中共有N个活跃用户,其中存在异常用户,其集合为U={U1,U2,…,Ui,…,UN},其中U表示所有用户的集合,Ui表示集合中的一个网络用户;
(2)定义用户行为模型,即:Ui={Ci,Fi},i=1.2.3…n,其中,Ci为用户Ui的通信量,表示用户发送的流量数Csend,i和接收的流量数Crece,i之和,即:Ci=Csend,i+Crece,i;Fi表示用户不同应用行为的集合,集合中的每个元素代表一种应用行为;
(3)设用户Ui的流量中用户端端口号和服务端端口号共有n种不同组合,即:Fi={εi,1,εi,2,…,εi,k,…,εi,n},其中εi,k表示用户Ui的一种应用行为,εi,k中包含用户Ui的用户端端口号porti,c,k、服务端端口号porti,s,k和具有该用户端端口号和该服务端端口号流量的数目ωi,k,即:εi,k={porti,c,k,porti,s,k,ωi,k}。
本发明将流量按照网络前缀划分为不同的聚合流,对同一聚合流内的用户进行行为相似性分析。用户在网络中活动时产生的流量中包括用户发起会话行为分配的IP地址、目的IP地址、源端口、目的端口和会话的起止时间等信息,本发明以用户被分配的IP地址来区别不同用户,并将具有异常行为的用户简称为异常用户。本发明将用户行为定义为在一定的时间尺度内,用户在网络上发送和接收数据的通信量以及所进行的网络应用行为集合,比如:浏览网页、发送邮件、传输文件等。
端口号在一定程度上能够标识用户的应用行为,可分为公认端口、注册端口和私有端口,公认端口是为某些网络应用预留的静态端口,在无异常情况下,可以根据流量中的公认端口号标识用户的应用行为,而有些流量中不含有公认端口,注册端口和私有端口并不固定绑定于某一应用,不能准确标识用户的应用行为,此外,攻击者可以利用某些公认端口对目标主机进行攻击,所以仅从单个用户的角度分析使用的端口号无法准确判断用户的应用行为,也无法识别异常行为,但发生相同异常行为类型的用户间使用的端口号具有一定的关联性,通过分析用户间使用端口号的相似程度可以分离出异常用户。一条流量中含有源端口和目的端口两种端口,本发明使用源端口号和目的端口号共同标识用户的一种应用行为,流量中的一个端口号是为了区分网络中的用户端运行的不同应用而分配的端口号,称为用户端端口号,另一个是为提供应用服务,服务端使用的端口号,称为服务端端口号。因此,本发明选用用户端端口号、服务端端口号和端口号流量的数目来标识用户的应用行为。
进一步的,所述离散化处理采用如下公式:
其中,αi,j表示离散化后的用户Ui和用户Uj的通信量差值,λ1、λ2、λ3、λ4、λ5表示用户通信量差值进行离散化处理后的可选取值,β表示用户通信量差值梯度,ΔCi,j表示离散化处理前用户Ui和用户Uj的通信量差值,即ΔCi,j=|Ci-Cj|。
本发明将通信量差值作为用户行为相似性的衡量指标之一,由于用户通信量为连续值,且差异可能较大,需要对用户通信量差值进行离散化处理。
进一步的,所述用户间应用行为的比例差异计算方法如下:
(1)设用户Ui应用行为的关系模式为Ri=(Ti,Si),其中,Ti表示用户Ui使用的所有用户端端口号和服务端端口号的集合,Ti={porti,c,1,porti,s,1,…,porti,c,k,porti,s,k,…,porti,c,n,porti,s,n},Si表示端口号间的函数依赖集,Si={porti,c,1→porti,s,1,porti,s,1→porti,c,1,…,porti,c,n→porti,s,n,porti,s,n→porti,c,n,…};
(2)根据函数依赖集中端口号关系构造闭包集合,使每个闭包中只保留端口号形成一个集合ηi,l,将用户Ui所有端口号划分为集合ζ(Ui),ζ(Ui)={ηi,1,ηi,2,…,ηi,l,…ηi,n};
(3)根据用户间端口号使用的关联性和用户Ui端口号的划分集来划分用户Uj的端口集,将用户Uj中与用户Ui无关联的端口号舍弃,即:
ζ(Uj)={ηj,1,ηj,2,…,ηj,l,…ηi,n}
ηj,l的构造过程如下:
I.
II.
(4)计算用户Ui和Uj的端口划分集ζ(Ui)和ζ(Uj)中每个元素涉及的相关流量数量,公式为:
(5)计算用户Ui和Uj的每个端口集相关流量占总流量的比例,公式为:
(6)计算用户Ui和用户Uj间具有关联性的应用行为比例差异,公式为:
进一步的,所述用户行为相似性值的计算公式为:
其中,Si,j表示用户Ui和用户Uj的行为相似性值。
进一步的,所述聚类算法为k-similarity算法,步骤如下:
(1)确定离群点:设定离群点阈值θ,如果用户Ui与同一网络前缀下的所有用户的行为相似性都小于阈值θ,则用户Ui与其他所有用户的行为都不相似,将其确定为离群点;
(2)选择初始质心:定义所有用户集合为U,初始质心集合为Z,Z中元素的个数为k,开始时初始质心集合Z为空,随机选取一个非离群点Ua作为第一个初始质心,将Ua加入集合Z,之后进行k-1次初始质心的选择,每次进行初始质心的选择时,计算每个非离群点用户与集合Z中每个初始质心对应行为相似性的平均值,选择最小平均值Smin对应的用户Um作为初始质心加入到初始质心集合Z中;
(3)将样本点加入对应的分簇:定义分簇集合L={L1,L2,…,Lg,…,Lk},离群点集合记为O,初始分簇集合即为初始质心集合,即L=Z,首先判断需要加入分簇的用户Ui是否为离群点,若那么Ui为离群点,加入离群点集合O,若那么Ui为非离群点,然后计算用户Ui与分簇中的每一个用户的行为相似性,对所有相似性取平均值,比较每个分簇的平均值,将用户Ui加入平均值最大的分簇,公式如下:
其中,|Lg|表示集合Lg中元素的个数,Smax即为用户Ui与各分簇中的用户行为相似性平均值的最大值,如果Smax对应的分簇为Lh,那么将用户Ui加入分簇Lh,即:
Lh=Lh∪Ui。
本发明基于行为相似性度量公式提出k-similarity聚类算法,该算法的关键在于初始质心选择过程和每次样本点加入分簇的选择过程,为了避免离群点对聚类结果产生不良影响,初始质心的选择过程和样本点加入分簇的选择过程都需对离群点加以考虑。
与现有技术相比,本发明具有以下有益效果:
本发明提供了一种基于行为相似性的异常用户识别方法,避免了使用现有方法聚类时特征提取困难和由于维数过高造成的维数灾难等问题,并且能够准确识别异常用户。
附图说明
图1为本发明方案流程图
具体实施方式
为使发明的目的、技术方案和优点更加清楚明了,下面通过附图中及实施例,对本发明技术方案进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明技术方案,并不用于限制本发明技术方案的范围。
参考图1,本实施例提供了一种异常用户识别方法,包含以下步骤:
(1)设定时间尺度,计算时间尺度内每个用户的通信量,记录同一网络前缀下每个用户的应用行为,为每个用户建立用户行为模型;
(2)对两两用户的通信量差值进行离散化处理;
(3)计算两两用户应用行为的比例差异;
(4)计算两两用户间的行为相似性值;
(5)根据聚类算法对网络中的用户进行聚类,分离出异常行为的用户分簇。
具体的,所述用户行为模型的建立方法如下:
(1)设定时间尺度为T,假设时间尺度T的某一网络前缀中共有N个活跃用户,其中存在异常用户,其集合为U={U1,U2,…,Ui,…,UN},其中U表示所有用户的集合,Ui表示集合中的一个网络用户;
(2)定义用户行为模型,即:Ui={Ci,Fi},i=1.2.3…n,其中,Ci为用户Ui的通信量,表示用户发送的流量数Csend,i和接收的流量数Crece,i之和,即:Ci=Csend,i+Crece,i;Fi表示用户不同应用行为的集合,集合中的每个元素代表一种应用行为;
(3)设用户Ui的流量中用户端端口号和服务端端口号共有n种不同组合,即:Fi={εi,1,εi,2,…,εi,k,…,εi,n},其中εi,k表示用户Ui的一种应用行为,εi,k中包含用户Ui的用户端端口号porti,c,k、服务端端口号porti,s,k和具有该用户端端口号和该服务端端口号流量的数目ωi,k,即:εi,k={porti,c,k,porti,s,k,ωi,k}。
具体的,所述离散化处理采用如下公式:
其中,αi,j表示离散化后的用户Ui和用户Uj的通信量差值,λ1、λ2、λ3、λ4、λ5表示用户通信量差值进行离散化处理后的可选取值,β表示用户通信量差值梯度,ΔCi,j表示离散化处理前用户Ui和用户Uj的通信量差值,即ΔCi,j=|Ci-Cj|。
具体的,所述用户间应用行为的比例差异计算方法如下:
(1)设用户Ui应用行为的关系模式为Ri=(Ti,Si),其中,Ti表示用户Ui使用的所有用户端端口号和服务端端口号的集合,Ti={porti,c,1,porti,s,1,…,porti,c,k,porti,s,k,…,porti,c,n,porti,s,n},Si表示端口号间的函数依赖集,Si={porti,c,1→porti,s,1,porti,s,1→porti,c,1,…,porti,c,n→porti,s,n,porti,s,n→porti,c,n,…};
(2)根据函数依赖集中端口号关系构造闭包集合,使每个闭包中只保留端口号形成一个集合ηi,l,将用户Ui所有端口号划分为集合ζ(Ui),ζ(Ui)={ηi,1,ηi,2,…,ηi,l,…ηi,n};
(3)根据用户间端口号使用的关联性和用户Ui端口号的划分集来划分用户Uj的端口集,将用户Uj中与用户Ui无关联的端口号舍弃,即:
ζ(Uj)={ηj,1,ηj,2,…,ηj,l,…ηi,n}
ηj,l的构造过程如下:
I.
II.
(4)计算用户Ui和Uj的端口划分集ζ(Ui)和ζ(Uj)中每个元素涉及的相关流量数量,公式为:
(5)计算用户Ui和Uj的每个端口集相关流量占总流量的比例,公式为:
(6)计算用户Ui和用户Uj间具有关联性的应用行为比例差异,公式为:
具体的,所述用户行为相似性值的计算公式为:
其中,Si,j表示用户Ui和用户Uj的行为相似性值。
具体的,所述聚类算法为k-similarity算法,步骤如下:
(1)确定离群点:设定离群点阈值θ,如果用户Ui与同一网络前缀下的所有用户的行为相似性都小于阈值θ,则用户Ui与其他所有用户的行为都不相似,将其确定为离群点;
(2)选择初始质心:定义所有用户集合为U,初始质心集合为Z,Z中元素的个数为k,开始时初始质心集合Z为空,随机选取一个非离群点Ua作为第一个初始质心,将Ua加入集合Z,之后进行k-1次初始质心的选择,每次进行初始质心的选择时,计算每个非离群点用户与集合Z中每个初始质心对应行为相似性的平均值,选择最小平均值Smin对应的用户Um作为初始质心加入到初始质心集合Z中;
(3)将样本点加入对应的分簇:定义分簇集合L={L1,L2,…,Lg,…,Lk},离群点集合记为O,初始分簇集合即为初始质心集合,即L=Z,首先判断需要加入分簇的用户Ui是否为离群点,若那么Ui为离群点,加入离群点集合O,若那么Ui为非离群点,然后计算用户Ui与分簇中的每一个用户的行为相似性,对所有相似性取平均值,比较每个分簇的平均值,将用户Ui加入平均值最大的分簇,公式如下:
其中,|Lg|表示集合Lg中元素的个数,Smax即为用户Ui与各分簇中的用户行为相似性平均值的最大值,如果Smax对应的分簇为Lh,那么将用户Ui加入分簇Lh,即:
Lh=Lh∪Ui。
本实施例提供了一种基于行为相似性的异常用户识别方法,避免了使用现有方法聚类时特征提取困难和由于维数过高造成的维数灾难等问题,并且能够准确识别异常用户。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
Claims (6)
1.一种异常用户识别方法,其特征在于,包含以下步骤:
(1)设定时间尺度,计算时间尺度内每个用户的通信量,记录同一网络前缀下每个用户的应用行为,为每个用户建立用户行为模型;
(2)对两两用户的通信量差值进行离散化处理;
(3)计算两两用户应用行为的比例差异;
(4)计算两两用户间的行为相似性值;
(5)根据聚类算法对网络中的用户进行聚类,分离出异常行为的用户分簇。
2.根据权利要求1所述的异常用户识别方法,其特征在于,所述用户行为模型的建立方法如下:
(1)设定时间尺度为T,假设时间尺度T的某一网络前缀中共有N个活跃用户,其中存在异常用户,其集合为U={U1,U2,…,Ui,…,UN},其中U表示所有用户的集合,Ui表示集合中的一个网络用户;
(2)定义用户行为模型,即:Ui={Ci,Fi},i=1.2.3…n,其中,Ci为用户Ui的通信量,表示用户发送的流量数Csend,i和接收的流量数Crece,i之和,即:Ci=Csend,i+Crece,i;Fi表示用户不同应用行为的集合,集合中的每个元素代表一种应用行为;
(3)设用户Ui的流量中用户端端口号和服务端端口号共有n种不同组合,即:Fi={εi,1,εi,2,…,εi,k,…,εi,n},其中εi,k表示用户Ui的一种应用行为,εi,k中包含用户Ui的用户端端口号porti,c,k、服务端端口号porti,s,k和具有该用户端端口号和该服务端端口号流量的数目ωi,k,即:εi,k={porti,c,k,porti,s,k,ωi,k}。
3.根据权利要求2所述的异常用户识别方法,其特征在于,所述离散化处理采用如下公式:
其中,αi,j表示离散化后的用户Ui和用户Uj的通信量差值,λ1、λ2、λ3、λ4、λ5表示用户通信量差值进行离散化处理后的可选取值,β表示用户通信量差值梯度,ΔCi,j表示离散化处理前用户Ui和用户Uj的通信量差值,即ΔCi,j=|Ci-Cj|。
4.根据权利要求3所述的异常用户识别方法,其特征在于,所述用户间应用行为的比例差异计算方法如下:
(1)设用户Ui应用行为的关系模式为Ri=(Ti,Si),其中,Ti表示用户Ui使用的所有用户端端口号和服务端端口号的集合,Ti={porti,c,1,porti,s,1,…,porti,c,k,porti,s,k,…,porti,c,n,porti,s,n},Si表示端口号间的函数依赖集,Si={porti,c,1→porti,s,1,porti,s,1→porti,c,1,…,porti,c,n→porti,s,n,porti,s,n→porti,c,n,…};
(2)根据函数依赖集中端口号关系构造闭包集合,使每个闭包中只保留端口号形成一个集合ηi,l,将用户Ui所有端口号划分为集合ζ(Ui),ζ(Ui)={ηi,1,ηi,2,…,ηi,l,…ηi,n};
(3)根据用户间端口号使用的关联性和用户Ui端口号的划分集来划分用户Uj的端口集,将用户Uj中与用户Ui无关联的端口号舍弃,即:
ζ(Uj)={ηj,1,ηj,2,…,ηj,l,…ηi,n}
ηj,l的构造过程如下:
(4)计算用户Ui和Uj的端口划分集ζ(Ui)和ζ(Uj)中每个元素涉及的相关流量数量,公式为:
(5)计算用户Ui和Uj的每个端口集相关流量占总流量的比例,公式为:
(6)计算用户Ui和用户Uj间具有关联性的应用行为比例差异,公式为:
5.根据权利要求4所述的异常用户识别方法,其特征在于,所述用户行为相似性值的计算公式为:
其中,Si,j表示用户Ui和用户Uj的行为相似性值。
6.根据权利要求5所述的异常用户识别方法,其特征在于,所述聚类算法为k-similarity算法,步骤如下:
(1)确定离群点:设定离群点阈值θ,如果用户Ui与同一网络前缀下的所有用户的行为相似性都小于阈值θ,则用户Ui与其他所有用户的行为都不相似,将其确定为离群点;
(2)选择初始质心:定义所有用户集合为U,初始质心集合为Z,Z中元素的个数为k,开始时初始质心集合Z为空,随机选取一个非离群点Ua作为第一个初始质心,将Ua加入集合Z,之后进行k-1次初始质心的选择,每次进行初始质心的选择时,计算每个非离群点用户与集合Z中每个初始质心对应行为相似性的平均值,选择最小平均值Smin对应的用户Um作为初始质心加入到初始质心集合Z中;
(3)将样本点加入对应的分簇:定义分簇集合L={L1,L2,…,Lg,…,Lk},离群点集合记为O,初始分簇集合即为初始质心集合,即L=Z,首先判断需要加入分簇的用户Ui是否为离群点,若那么Ui为离群点,加入离群点集合O,若那么Ui为非离群点,然后计算用户Ui与分簇中的每一个用户的行为相似性,对所有相似性取平均值,比较每个分簇的平均值,将用户Ui加入平均值最大的分簇,公式如下:
上式中|Lg|表示集合Lg中元素的个数,Smax即为用户Ui与各分簇中的用户行为相似性平均值的最大值,如果Smax对应的分簇为Lh,那么将用户Ui加入分簇Lh,即:
Lh=Lh∪Ui。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810638772.6A CN108924100B (zh) | 2018-06-20 | 2018-06-20 | 一种异常用户识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810638772.6A CN108924100B (zh) | 2018-06-20 | 2018-06-20 | 一种异常用户识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108924100A true CN108924100A (zh) | 2018-11-30 |
CN108924100B CN108924100B (zh) | 2020-12-01 |
Family
ID=64421615
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810638772.6A Active CN108924100B (zh) | 2018-06-20 | 2018-06-20 | 一种异常用户识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108924100B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431909A (zh) * | 2020-03-27 | 2020-07-17 | 南京聚铭网络科技有限公司 | 用户实体行为分析中分组异常检测方法及装置、终端 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355504A (zh) * | 2008-08-14 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
CN103377242A (zh) * | 2012-04-25 | 2013-10-30 | Tcl集团股份有限公司 | 用户行为分析方法、分析预测方法及电视节目推送系统 |
CN103593543A (zh) * | 2012-08-14 | 2014-02-19 | 中国科学院声学研究所 | 一种更新p2p网络用户主观行为分析模型参数的方法及系统 |
US20160294852A1 (en) * | 2015-04-06 | 2016-10-06 | Trend Micro Incorporated | Determining string similarity using syntactic edit distance |
CN106228178A (zh) * | 2016-07-06 | 2016-12-14 | 吴本刚 | 网络用户行为预测系统 |
CN106777298A (zh) * | 2016-12-30 | 2017-05-31 | 成都数联易康科技有限公司 | 一种基于分形技术的分布式聚类方法 |
CN107249000A (zh) * | 2017-07-06 | 2017-10-13 | 河南科技大学 | 一种移动用户异常行为检测方法 |
-
2018
- 2018-06-20 CN CN201810638772.6A patent/CN108924100B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355504A (zh) * | 2008-08-14 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
CN103377242A (zh) * | 2012-04-25 | 2013-10-30 | Tcl集团股份有限公司 | 用户行为分析方法、分析预测方法及电视节目推送系统 |
CN103593543A (zh) * | 2012-08-14 | 2014-02-19 | 中国科学院声学研究所 | 一种更新p2p网络用户主观行为分析模型参数的方法及系统 |
US20160294852A1 (en) * | 2015-04-06 | 2016-10-06 | Trend Micro Incorporated | Determining string similarity using syntactic edit distance |
CN106228178A (zh) * | 2016-07-06 | 2016-12-14 | 吴本刚 | 网络用户行为预测系统 |
CN106777298A (zh) * | 2016-12-30 | 2017-05-31 | 成都数联易康科技有限公司 | 一种基于分形技术的分布式聚类方法 |
CN107249000A (zh) * | 2017-07-06 | 2017-10-13 | 河南科技大学 | 一种移动用户异常行为检测方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431909A (zh) * | 2020-03-27 | 2020-07-17 | 南京聚铭网络科技有限公司 | 用户实体行为分析中分组异常检测方法及装置、终端 |
CN111431909B (zh) * | 2020-03-27 | 2021-03-02 | 南京聚铭网络科技有限公司 | 用户实体行为分析中分组异常检测方法及装置、终端 |
Also Published As
Publication number | Publication date |
---|---|
CN108924100B (zh) | 2020-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104717124B (zh) | 一种好友推荐方法、装置及服务器 | |
CN109636599A (zh) | 基于群签名的许可区块链隐私保护和监管方法 | |
CN104866625B (zh) | 一种用于实体匹配的方法及系统 | |
CN110519298A (zh) | 一种基于机器学习的Tor流量识别方法及装置 | |
CN109218090B (zh) | 一种物联网节点信任度评估方法 | |
CN103914659A (zh) | 基于频率的轨迹抑制数据发布隐私保护的系统及其方法 | |
CN107358075A (zh) | 一种基于层次聚类的虚假用户检测方法 | |
CN108765179A (zh) | 一种基于图计算的可信社交关系分析方法 | |
CN109040130A (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
CN105376223A (zh) | 网络身份关系的可靠度计算方法 | |
CN108924100A (zh) | 一种异常用户识别方法 | |
CN114024766A (zh) | 一种面向边缘计算节点的零信任身份认证方法 | |
CN109067750A (zh) | 一种基于匿名的位置隐私保护方法及装置 | |
CN109858282A (zh) | 一种社交网络关系数据隐私保护方法及系统 | |
WO2019052469A1 (zh) | 一种网络请求处理方法、装置、电子设备及存储介质 | |
CN102902674B (zh) | 服务群组分类方法和系统 | |
CN105956044A (zh) | 一种基于用户隐私保护的移动应用程序算法 | |
Zhou et al. | A multi-shuffler framework to establish mutual confidence for secure federated learning | |
CN109857928A (zh) | 基于多元信用评估的用户偏好预测方法 | |
CN112926984B (zh) | 基于区块链安全大数据的信息预测方法及区块链服务系统 | |
CN108921189A (zh) | 针对社交网络用户属性的推演方法及装置 | |
KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
Wen et al. | Compare two community-based personalized information recommendation algorithms | |
WO2023087269A1 (zh) | 人员活动控制方法、系统、终端及存储介质 | |
CN108540471A (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |