CN110138786A - 基于SMOTETomek和LightGBM的Web异常检测方法及系统 - Google Patents
基于SMOTETomek和LightGBM的Web异常检测方法及系统 Download PDFInfo
- Publication number
- CN110138786A CN110138786A CN201910416293.4A CN201910416293A CN110138786A CN 110138786 A CN110138786 A CN 110138786A CN 201910416293 A CN201910416293 A CN 201910416293A CN 110138786 A CN110138786 A CN 110138786A
- Authority
- CN
- China
- Prior art keywords
- data
- lightgbm
- algorithm
- smotetomek
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明涉及基于SMOTETomek和LightGBM的Web异常检测方法及系统,首先从交换机上采集镜像流量PCAP包,提取网络流量特征,其次清洗训练数据集冗余数据,缺失值处理,处理字符型流量特征,采用min‑max方法归一化数据,然后基于基尼系数的GBDT算法计算流量特征重要性,进行特征选择,再结合SMOTE和Tomek Links算法对少数类进行过采样,通过LightGBM算法训练分类器对异常流量进行检测,最后对检测结果进行响应和反馈处理。本发明可检测未知Web攻击,对少数类Web攻击检测率和检测精度高。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种基于SMOTETomek和LightGBM的Web异常检测方法及系统。
背景技术
随着网络技术的迅速发展,Web服务在网络服务中得到了广泛的应用,因此也成为了不法分子的主要攻击对象。由于攻击工具的不断更新以及攻击技术的不断提高,基于规则匹配的入侵检测系统很难检测变形或未知Web攻击,采用挖掘日志信息来检测攻击行为的方法存在一定的滞后性,基于机器学习的检测模型虽然可以检测未知攻击,但受限于特征提取的好坏,检测率和检测精度有待提高。从微观角度上观察,攻击者的入侵行为都是需要与目标保持通信,因此基于机器学习分析流量特征上细微变化攻击行为成为研究的焦点,目前基于异常流量的检测仍然存在攻击流量与正常流量分布不均匀、数据量大机器学习算法难以处理和效率低等问题。
发明内容
有鉴于此,本发明的目的是提出一种基于SMOTETomek和LightGBM的Web异常检测方法及系统,可检测未知Web攻击,对少数类Web攻击检测率和检测精度高。
本发明采用以下方案实现:一种基于SMOTETomek和LightGBM的Web异常检测方法,首先从交换机上采集镜像流量PCAP包,提取网络流量特征,其次清洗训练数据集冗余数据,缺失值处理,处理字符型流量特征,采用min-max方法归一化数据,然后基于基尼系数的GBDT算法计算流量特征重要性,进行特征选择,再结合SMOTE和Tomek Links算法对少数类进行过采样,通过LightGBM算法训练分类器对异常流量进行检测,最后对检测结果进行响应和反馈处理;
具体包括模型训练环节和实时检测环节;
所述模型训练环节具体为:首先从交换机设备上采集镜像流量PCAP包,提取网络流量特征,再对流量数据进行预处理,然后采用lightGBM算法训练流量异常检测模型;
所述实时检测环节具体为:实时从交换机设备上采集镜像流量PCAP包,提取网络流量特征,利用训练好的流量异常检测模型对数据进行检测。
进一步地,所述对流量数据进行据处理具体包括包括以下步骤:
步骤S1:清洗训练数据集冗余数据,处理字符型流量特征,处理缺失值,采用min-max方法归一化数据;
步骤S2:进行特征选择计算,采用基于基尼系数的GBDT算法,计算每一维特征的重要性,对重要性进行归一化处理;
步骤S3:进行数据平衡处理,结合SMOTE和Tomek Links算法平衡少数类与多数类的分布。
进一步地,所述采用lightGBM算法训练流量异常检测模型具体为:加载预处理后的数据,采用LightGBM算法,训练正常和异常流量二分类模型以及Web攻击多分类模型。
进一步地,步骤S1中,所述处理字符型流量特征具体为:删除每一维字符型特征,将攻击类别转化为十进制数字。
进一步地,步骤S1中,所述处理缺失值具体为:对每一条数据的缺失值,在所有同类别数据中取平均值补齐。
进一步地,步骤S3具体包括以下步骤:
步骤S31:采用SMOTE算法对少量类别数据进行过采样;
步骤S32:将过采样后的数据,采用Tomek Links算法,进行下采样处理;
步骤S33:设置一个采样阈值,该阈值控制多数类与少数类之间的数量级差; 若SMOTE与Tomek Links处理过后的多数类与少数类的数量级差大于该阈值,则返回步骤S31,直至满足要求。
进一步地,所述数量级差的计算公式为:
数量级差=多数类数量/少数类数量。
本发明还提供了一种基于上文所述的基于SMOTETomek和LightGBM的Web异常检测方法的系统,具体包括存储器与执行器,所述存储器中存储有权利要求1中的方法指令,所述执行器在运行时执行存储器中的方法指令。
特别的,本发明的系统包括以下功能模块:
流量采集及特征提取单元:从交换机设备上的镜像端口,采用Wireshark开源工具捕获数据包,将流量PCAP包以会话粒度处理,提取网络流量特征;
流量行为建模及实时流量分析单元:根据历史数据训练异常检测模型,包括正常和异常流量模型和多类别Web攻击模型,实时读取流量数据,利用异常检测模型对网络流量进行实时检测;
警报响应单元:若检测结果存在攻击行为,则显示攻击者、攻击类别、攻击时间等信息,发出警报给安全管理员,安全管理员可根据攻击行为信息分析采取相应措施;
更新存储单元:审核检测结果,更正误报漏报数据,存储到关系型数据库。
与现有技术相比,本发明有以下有益效果:本发明解决了异常检测过程中模型训练数据不平衡问题,解决大批量数据训练困难的问题,并且提高了检测率和检测精度,实现了对几种经典攻击手段的检测。算法扩展性能好,效率高,可适应网络流量剧增所带来的检测压力,具有很强的实用性和广阔的应用前景。
附图说明
图1为本发明实施例的原理框架示意图。
图2为本发明实施例的正常和异常流量模型。
图3为本发明实施例的多类别Web攻击模型。
图4为本发明实施例的数据预处理流程图。
图5为本发明实施例的数据平衡处理流程图。
图6为本发明实施例采用的实验数据集。
图7为本发明实施例的二分类检测的混淆矩阵。
图8为本发明实施例的二分类检测的准确率、召回率和误报率。
图9为本发明实施例的多分类的准确率、召回率。
图10为本发明实施例的多种算法检测结果对比示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,本实施例提供了一种基于SMOTETomek和LightGBM的Web异常检测方法,首先从交换机上采集镜像流量PCAP包,提取网络流量特征,其次清洗训练数据集冗余数据,缺失值处理,处理字符型流量特征,采用min-max方法归一化数据,然后基于基尼系数的GBDT算法计算流量特征重要性,进行特征选择,再结合SMOTE和Tomek Links算法对少数类进行过采样,通过LightGBM算法训练分类器对异常流量进行检测,最后对检测结果进行响应和反馈处理;
具体包括模型训练环节和实时检测环节;
所述模型训练环节具体为:首先从交换机设备上采集镜像流量PCAP包,提取网络流量特征,再对流量数据进行预处理,然后采用lightGBM算法训练流量异常检测模型;
所述实时检测环节具体为:实时从交换机设备上采集镜像流量PCAP包,提取网络流量特征,利用训练好的流量异常检测模型对数据进行检测。
在本实施例中,所述对流量数据进行据处理具体包括包括以下步骤:
步骤S1:清洗训练数据集冗余数据,处理字符型流量特征,处理缺失值,采用min-max方法归一化数据;
步骤S2:进行特征选择计算,采用基于基尼系数的GBDT算法,计算每一维特征的重要性,对重要性进行归一化处理;
步骤S3:进行数据平衡处理,结合SMOTE和Tomek Links算法平衡少数类与多数类的分布。
在本实施例中,所述采用lightGBM算法训练流量异常检测模型具体为:加载预处理后的数据,采用LightGBM算法,训练正常和异常流量二分类模型以及Web攻击多分类模型。
在本实施例中,步骤S1中,所述处理字符型流量特征具体为:删除每一维字符型特征,将攻击类别转化为十进制数字。
在本实施例中,步骤S1中,所述处理缺失值具体为:对每一条数据的缺失值,在所有同类别数据中取平均值补齐。
在本实施例中,步骤S3具体包括以下步骤:
步骤S31:采用SMOTE算法对少量类别数据进行过采样;
步骤S32:将过采样后的数据,采用Tomek Links算法,进行下采样处理;
步骤S33:设置一个采样阈值,该阈值控制多数类与少数类之间的数量级差; 若SMOTE与Tomek Links处理过后的多数类与少数类的数量级差大于该阈值,则返回步骤S31,直至满足要求。
在本实施例中,所述数量级差的计算公式为:
数量级差=多数类数量/少数类数量。
本实施例还提供了一种基于上文所述的基于SMOTETomek和LightGBM的Web异常检测方法的系统,具体包括存储器与执行器,所述存储器中存储有权利要求1中的方法指令,所述执行器在运行时执行存储器中的方法指令。
特别的,本实施例的系统包括以下功能模块:
流量采集及特征提取单元:从交换机设备上的镜像端口,采用Wireshark开源工具捕获数据包,将流量PCAP包以会话粒度处理,提取网络流量特征;
流量行为建模及实时流量分析单元:根据历史数据训练异常检测模型,包括正常和异常流量模型(如图2所示)和多类别Web攻击模型(如图3所示),实时读取流量数据,利用异常检测模型对网络流量进行实时检测;
警报响应单元:若检测结果存在攻击行为,则显示攻击者、攻击类别、攻击时间等信息,发出警报给安全管理员,安全管理员可根据攻击行为信息分析采取相应措施;
更新存储单元:审核检测结果,更正误报漏报数据,存储到关系型数据库。
进一步地,流量行为建模及实时流量分析单元中,根据历史数据训练异常检测模型步骤如下:
步骤(1)数据预处理如图4所示:清洗训练数据集冗余数据,处理字符型流量特征,缺失值处理,采用min-max方法归一化数据;
步骤(2)特征选择计算:采用基于基尼系数的GBDT算法,计算每一维特征的重要性,对重要性进行归一化处理,此处归一化方法采用每一位特征在所有特征的重要性占比;
步骤(3)数据平衡处理如图5所示:结合SMOTE和Tomek Links算法平衡少数类与多数类的分布;
步骤(4)训练异常检测模型:加载上述处理过的流量数据,采用LightGBM算法,训练正常和异常流量二分类模型和Web攻击多分类模型。
较佳的,GBDT (Gradient Boosting Decision Tree,梯度提升决策树)是基于加法模型,学习算法采用前向分步算法,以CART树为基函数,并且根据不同的回归问题和分类问题取不同的损失函数。不同于其他提升树模型,GBDT采用损失函数负梯度作为残差,称为伪残差,而伪残差的方向作为模型每次迭代的局部最优方向,在每次迭代中拟合伪残差来学习得到一个弱学习器,通过累加多棵决策树来联合决策。LightGBM(Light GradientBoosting Machine)是一个实现 GBDT 算法的框架,解决GBDT训练大量数据困难的问题。采用基于Histogram(直方图算法)的决策树算法,将连续的特征值离散化,降低时间复杂度。带深度限制的Leaf-wise的叶子生长策略,限制了训练过程长出较深的决策树,避免产生过拟合问题。计算某一节点的直方图,可以通过将该节点的父亲节点直方图与兄弟节点的直方图做差得到,利用这个方法在构造一个节点的直方图后,可以用非常微小的代价得到它兄弟节点的直方图,进一步加速计算。
特别的,本实施例采用公开数据UNSW-NB15进行仿真,具体参见图6-10中的表1-5。如表1所示,训练集由10%的实例组成,其余90%用于构建测试集(由于Worms类数据量太少,Worms类型训练集和测试集各取50%)。表2是二分类检测的混淆矩阵,表3是二分类的准确率、召回率和误报率,表4是多分类的准确率、召回率和误报率,表5中列举了几种常用Web异常检测方法[参考文献:Dendron:Papamartzivanos D, Mármol, Félix Gómez,Kambourakis G. Dendron : Genetic trees driven rule induction for networkintrusion detection systems[J]. Future Generation Computer Systems,2017:S0167739X16305465.]的检测结果对比。本发明的检测率、检测精度分别提高了18.68%、6.46%、13.36%和11.57%、4.75%、5.57%,误报率分别下降了1.87%,0.42%,0.71%。
经过对比分析,本发明的求解质量明显优于其他几种方法。从以上数据可以得出结论,本发明是一种更加有效的Web异常检测系统。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅是本发明的较佳实施例而已,并非是对本发明作其它形式的限制,任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型,仍属于本发明技术方案的保护范围。
Claims (8)
1.一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,包括模型训练环节和实时检测环节;
所述模型训练环节具体为:首先从交换机设备上采集镜像流量PCAP包,提取网络流量特征,再对流量数据进行预处理,然后采用lightGBM算法训练流量异常检测模型;
所述实时检测环节具体为:实时从交换机设备上采集镜像流量PCAP包,提取网络流量特征,利用训练好的流量异常检测模型对数据进行检测。
2.根据权利要求1所述的一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,所述对流量数据进行据处理具体包括包括以下步骤:
步骤S1:清洗训练数据集冗余数据,处理字符型流量特征,处理缺失值,采用min-max方法归一化数据;
步骤S2:进行特征选择计算,采用基于基尼系数的GBDT算法,计算每一维特征的重要性,对重要性进行归一化处理;
步骤S3:进行数据平衡处理,结合SMOTE和Tomek Links算法平衡少数类与多数类的分布。
3.根据权利要求1所述的一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,所述采用lightGBM算法训练流量异常检测模型具体为:加载预处理后的数据,采用LightGBM算法,训练正常和异常流量二分类模型以及Web攻击多分类模型。
4.根据权利要求2所述的一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,步骤S1中,所述处理字符型流量特征具体为:删除每一维字符型特征,将攻击类别转化为十进制数字。
5.根据权利要求2所述的一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,步骤S1中,所述处理缺失值具体为:对每一条数据的缺失值,在所有同类别数据中取平均值补齐。
6.根据权利要求2所述的一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,步骤S3具体包括以下步骤:
步骤S31:采用SMOTE算法对少量类别数据进行过采样;
步骤S32:将过采样后的数据,采用Tomek Links算法,进行下采样处理;
步骤S33:设置一个采样阈值,该阈值控制多数类与少数类之间的数量级差; 若SMOTE与Tomek Links处理过后的多数类与少数类的数量级差大于该阈值,则返回步骤S31,直至满足要求。
7.根据权利要求6所述的一种基于SMOTETomek和LightGBM的Web异常检测方法,其特征在于,所述数量级差的计算公式为:
数量级差=多数类数量/少数类数量。
8.一种基于权利要求1至7任一项所述的基于SMOTETomek和LightGBM的Web异常检测方法的系统,其特征在于,包括存储器与执行器,所述存储器中存储有权利要求1中的方法指令,所述执行器在运行时执行存储器中的方法指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910416293.4A CN110138786A (zh) | 2019-05-20 | 2019-05-20 | 基于SMOTETomek和LightGBM的Web异常检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910416293.4A CN110138786A (zh) | 2019-05-20 | 2019-05-20 | 基于SMOTETomek和LightGBM的Web异常检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110138786A true CN110138786A (zh) | 2019-08-16 |
Family
ID=67571530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910416293.4A Pending CN110138786A (zh) | 2019-05-20 | 2019-05-20 | 基于SMOTETomek和LightGBM的Web异常检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110138786A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111464510A (zh) * | 2020-03-18 | 2020-07-28 | 华南理工大学 | 一种基于快速梯度提升树模型的网络实时入侵检测方法 |
CN111526141A (zh) * | 2020-04-17 | 2020-08-11 | 福州大学 | 基于Word2vec和TF-IDF的Web异常检测方法与系统 |
CN111711608A (zh) * | 2020-05-20 | 2020-09-25 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种电力数据网流量异常检测方法、系统及电子设备 |
CN112118259A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
CN112418010A (zh) * | 2020-11-09 | 2021-02-26 | 电子科技大学 | 一种基于LightGBM融合模型的设备温度监测方法 |
CN114189350A (zh) * | 2021-10-20 | 2022-03-15 | 北京交通大学 | 一种基于LightGBM的列车通信网络入侵检测方法 |
CN115062678A (zh) * | 2022-08-19 | 2022-09-16 | 山东能源数智云科技有限公司 | 设备故障检测模型的训练方法、故障检测方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105930723A (zh) * | 2016-04-20 | 2016-09-07 | 福州大学 | 一种基于特征选择的入侵检测方法 |
CN107332848A (zh) * | 2017-07-05 | 2017-11-07 | 重庆邮电大学 | 一种基于大数据的网络流量异常实时监测系统 |
CN109167753A (zh) * | 2018-07-23 | 2019-01-08 | 中国科学院计算机网络信息中心 | 一种网络入侵流量的检测方法及装置 |
CN109657470A (zh) * | 2018-12-27 | 2019-04-19 | 北京天融信网络安全技术有限公司 | 恶意网页检测模型训练方法、恶意网页检测方法及系统 |
-
2019
- 2019-05-20 CN CN201910416293.4A patent/CN110138786A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105930723A (zh) * | 2016-04-20 | 2016-09-07 | 福州大学 | 一种基于特征选择的入侵检测方法 |
CN107332848A (zh) * | 2017-07-05 | 2017-11-07 | 重庆邮电大学 | 一种基于大数据的网络流量异常实时监测系统 |
CN109167753A (zh) * | 2018-07-23 | 2019-01-08 | 中国科学院计算机网络信息中心 | 一种网络入侵流量的检测方法及装置 |
CN109657470A (zh) * | 2018-12-27 | 2019-04-19 | 北京天融信网络安全技术有限公司 | 恶意网页检测模型训练方法、恶意网页检测方法及系统 |
Non-Patent Citations (2)
Title |
---|
BONELEE: "Python:SMOTE算法——样本不均衡时候生成新样本的算法", 《博客园》 * |
莫坤等: "基于LightGBM的网络入侵检测系统", 《信息安全研究》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111464510A (zh) * | 2020-03-18 | 2020-07-28 | 华南理工大学 | 一种基于快速梯度提升树模型的网络实时入侵检测方法 |
CN111464510B (zh) * | 2020-03-18 | 2021-06-08 | 华南理工大学 | 基于快速梯度提升树分类模型的网络实时入侵检测方法 |
CN111526141A (zh) * | 2020-04-17 | 2020-08-11 | 福州大学 | 基于Word2vec和TF-IDF的Web异常检测方法与系统 |
CN111711608A (zh) * | 2020-05-20 | 2020-09-25 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种电力数据网流量异常检测方法、系统及电子设备 |
CN111711608B (zh) * | 2020-05-20 | 2022-06-21 | 南方电网调峰调频发电有限公司信息通信分公司 | 一种电力数据网流量异常检测方法、系统及电子设备 |
CN112118259A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
CN112118259B (zh) * | 2020-09-17 | 2022-04-15 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
CN112418010A (zh) * | 2020-11-09 | 2021-02-26 | 电子科技大学 | 一种基于LightGBM融合模型的设备温度监测方法 |
CN114189350A (zh) * | 2021-10-20 | 2022-03-15 | 北京交通大学 | 一种基于LightGBM的列车通信网络入侵检测方法 |
CN114189350B (zh) * | 2021-10-20 | 2023-03-07 | 北京交通大学 | 一种基于LightGBM的列车通信网络入侵检测方法 |
CN115062678A (zh) * | 2022-08-19 | 2022-09-16 | 山东能源数智云科技有限公司 | 设备故障检测模型的训练方法、故障检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110138786A (zh) | 基于SMOTETomek和LightGBM的Web异常检测方法及系统 | |
CN110674772B (zh) | 电力作业现场智能安全管控辅助系统及方法 | |
WO2021184630A1 (zh) | 基于知识图谱定位排污对象的方法及相关设备 | |
CN107528832B (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
CN108012121A (zh) | 一种边缘计算和云计算融合的实时视频监控方法及系统 | |
Ektefa et al. | Intrusion detection using data mining techniques | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
US20170243058A1 (en) | Gait recognition method based on deep learning | |
CN108809948B (zh) | 一种基于深度学习的异常网络连接检测方法 | |
CN112910859B (zh) | 基于c5.0决策树和时序分析的物联网设备监测预警方法 | |
CN107241358A (zh) | 一种基于深度学习的智能家居入侵检测方法 | |
CN113225359A (zh) | 一种基于类脑计算的安全流量分析系统 | |
CN103020591A (zh) | 一种基于因果网络分析的中等规模人群异常行为检测方法 | |
CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
CN110535878A (zh) | 一种基于事件序列的威胁检测方法 | |
CN105827611B (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
CN115987615A (zh) | 一种网络行为安全预警方法及系统 | |
CN109889512A (zh) | 一种充电桩can报文的异常检测方法及装置 | |
CN104986347A (zh) | 一种民机航线飞行员操作差错的实时检测方法 | |
CN112202718B (zh) | 一种基于XGBoost算法的操作系统识别方法、存储介质及设备 | |
CN110851422A (zh) | 一种基于机器学习的数据异常监测模型构建方法 | |
CN112333128B (zh) | 一种基于自编码器的Web攻击行为检测系统 | |
CN109002996A (zh) | 基于水费回收的风险评估方法及系统 | |
CN116112283A (zh) | 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统 | |
CN111881159A (zh) | 一种基于代价敏感极端随机森林的故障检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190816 |
|
RJ01 | Rejection of invention patent application after publication |