CN113542236A - 一种基于核密度估计和指数平滑算法的异常用户检测方法 - Google Patents
一种基于核密度估计和指数平滑算法的异常用户检测方法 Download PDFInfo
- Publication number
- CN113542236A CN113542236A CN202110722546.8A CN202110722546A CN113542236A CN 113542236 A CN113542236 A CN 113542236A CN 202110722546 A CN202110722546 A CN 202110722546A CN 113542236 A CN113542236 A CN 113542236A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- exponential smoothing
- sampling time
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000009499 grossing Methods 0.000 title claims abstract description 96
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 55
- 238000001514 detection method Methods 0.000 title claims abstract description 23
- 238000005070 sampling Methods 0.000 claims abstract description 86
- 238000000034 method Methods 0.000 claims description 30
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 2
- 230000002349 favourable effect Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 21
- 238000006467 substitution reaction Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于核密度估计和指数平滑算法的异常用户检测方法,步骤如下:获取用户单位时间的流量数据,并从流量数据中提取出用户的访问特征信息;基于核密度函数对用户不同采样时间点的访问概率进行估计;根据用户不同采样时间点的访问概率及历史数据,构建访问时间序列数据,再通过指数平滑算法对用户下一期单位时间的访问概率密度进行预测;获取用户目标时间段的单位时间内的真实访问行为信息,并计算真实访问行为信息与预测的访问概率密度的差值,将差值与异常判定阈值进行比较,定位异常用户。本发明将异常行为发现的时间粒度缩小至采样时间点,并以访问行为作为主要特征,更有利于快速、准确的预警内网的异常用户导致的失泄密行为。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于核密度估计和指数平滑算法的异常用户检测方法。
背景技术
随着网络应用的迅速发展,政府部门、企事业单位等内部网络的建设与发展面临的安全问题越来越突出。据统计,大部分的机密、敏感数据泄漏等安全性事件70%以上都是由内部员工通过合法或非法手段造成的。由于网络和计算机系统固有的特性,一方面大大提高了数据与设备的共享性,另一方面却易造成信息、数据被非法使用或窃取。而传统的基于网关的安全架构在应对此类安全问题时显得非常被动,无法在事件发生之前或之后的较短时间内即时响应,造成信息泄露等安全性事件发生,给国家、企业等带来严重的损失。因此如何快速、准确的预警内部员工或外来者所发生的敏感数据外泄行为,已是当前急需解决的安全问题。
此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种基于核密度估计和指数平滑算法的异常用户检测方法,是非常有必要的。
发明内容
针对现有技术的上述无法快速、准确的预警内部员工或外来者所发生的敏感数据外泄行为的缺陷,本发明提供一种基于核密度估计和指数平滑算法的异常用户检测方法,以解决上述技术问题。
本发明提供一种基于核密度估计和指数平滑算法的异常用户检测方法,包括如下步骤:
S 1.获取用户单位时间内不同采样时间点的流量数据,并从流量数据中提取出用户每个采样时间点的访问特征信息;
S2.基于核密度函数对用户不同采样时间点的访问概率进行估计;
S3.根据用户不同采样时间点的访问概率,并基于历史数据,构建每个采样时间点的访问时间序列数据,再通过指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;
S4.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息,并计算真实访问行为信息与预测的访问概率密度的差值,将差值与异常判定阈值进行比较,定位异常用户。
进一步地,步骤S1具体步骤如下:
S 11.设定单位时间长度,并在单位时间内设定采样时间点;
S 12.获取用户单位时间内每个采样时间点的流量数据;
S 13.根据选定的特征字段对流量数据进行清洗,提取每个采样时间点的访问特征信息,生成流量特征矩阵。
进一步地,访问特征信息包括单位时间ID、IP地址、访问时间点以及访问时长。以单位时间为一天为例,单位ID指的是日期。
进一步地,步骤S2具体步骤如下:
S21.将提取的用户每个采样时间点的访问特征信息生成数据样本集,采样时间点的个数为数据样本集样本的个数;
S22.根据数据样本集生成以采样时间点为变量的概率密度函数;
S23.选定核函数及核函数带宽,得到概率密度函数的核密度函数估计公式;
S24.通过核密度函数估计公式对单位时间内各采样时间的访问概率进行估计。核密度估计作为统计学中一种非参数估计方法,非常适用于估计未知样本集的概率密度函数。与参数估计方法相比,核密度估计方法的优势在于无须预先假设数据样本的分布模型,在不依据任何先验条件的情况下,可根据已知的数据样本或样本集,对所捕获的测试样本集进行未知概率密度的估计。
进一步地,核函数选择高斯函数或余弦函数。核函数根据具体需要选定。
进一步地,步骤S3具体步骤如下:
S31.设定历史时间段,将历史时间段内的单位时间的各采样点的访问特征信息进行聚合,生成不同单位时间的相同采样时间点的访问时间序列数据;
S32.选定平滑次数的及各次平滑的权重,再依据指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测。对历史时间段内数据进行聚合的目的,是为了下一步指数平滑使用。
进一步地,步骤S32具体步骤如下:
S321.选定平滑次数,并依据平滑次数选择历史时间段内的单位时间个数;
S322.设定各次平滑的权重,按照与当前时间的距离大小设定各单位时间对应数据的权重大小,与当前时间距离小的单位时间对应数据的权重大;
S323.基于各次权重以及各次的预测值,采用指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测。预测值是以前观测值的加权和,且对不同的数据给予不同的权数,新数据给予较大的权数,旧数据给予较小的权数。
进一步地,指数平滑算法采用一次指数平滑法、二次指数平滑法及三次指数平滑法;
步骤S321中平滑次数根据具体指数平滑算法种类进行选择;
步骤S322中还包括选定平滑常数,平滑常数的值大于等于0,小于等于1。不同指数平滑算法对应平滑次数及平滑公式不同。
进一步地,步骤S4具体步骤如下:
S41.根据场景分布设置异常判定阈值;
S42.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息;
S43.计算用户目标时间段的真实访问行为信息与预测的访问概率密度的差值,并判断差值是否小于异常判断阈值;
若是,判定当前用户为正常用户,结束;
若否,判定当前用户为疑似异常用户,进入步骤S44;
S44.对疑似异常用户进行验证。异常判定阈值与场景分布相关,不同场景分布,异常判定阈值不同。
进一步地,单位时间为一天;
采样时间点为一天内每个小时。将用户对内网资源访问的时间粒度缩小至小时,有利于异常用户行为的及时发现。
本发明的有益效果在于,
本发明提供的基于核密度估计和指数平滑算法的异常用户检测方法,基于网络访问时产生的流量数据进行异常用户识别,根据历史的用户访问数据估计单位时间内每个采样时间点的访问行为概率,然后通过指数平滑算法进行时间序列数据预测,以预测概率为基准,判断单位时间不同时间点用户访问行为是否正常。本发明将异常行为发现的时间粒度缩小至采样时间点,并以访问行为作为主要特征,更有利于快速、准确的预警内网的异常用户导致的失泄密行为。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的基于核密度估计和指数平滑算法的异常用户检测方法流程示意图一;
图2是本发明的基于核密度估计和指数平滑算法的异常用户检测方法流程示意图二;
图3是本发明流量特征矩阵一行数据的示意图;
图4是本发明将历史时间段内的单位时间的各采样点的访问特征信息进行聚合后数据示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
实施例1:
如图1所示,本发明提供一种基于核密度估计和指数平滑算法的异常用户检测方法,包括如下步骤:
S 1.获取用户单位时间内不同采样时间点的流量数据,并从流量数据中提取出用户每个采样时间点的访问特征信息;
S2.基于核密度函数对用户不同采样时间点的访问概率进行估计;
S3.根据用户不同采样时间点的访问概率,并基于历史数据,构建每个采样时间点的访问时间序列数据,再通过指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;
S4.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息,并计算真实访问行为信息与预测的访问概率密度的差值,将差值与异常判定阈值进行比较,定位异常用户。
实施例2:
如图2所示,本发明提供一种基于核密度估计和指数平滑算法的异常用户检测方法,包括如下步骤:
S 1.获取用户单位时间内不同采样时间点的流量数据,并从流量数据中提取出用户每个采样时间点的访问特征信息;具体步骤如下:
S 11.设定单位时间长度,并在单位时间内设定采样时间点;
S 12.获取用户单位时间内每个采样时间点的流量数据;
S 13.根据选定的特征字段对流量数据进行清洗,提取每个采样时间点的访问特征信息,生成流量特征矩阵;访问特征信息包括单位时间ID、IP地址、访问时间点以及访问时长;
S2.基于核密度函数对用户不同采样时间点的访问概率进行估计;具体步骤如下:
S21.将提取的用户每个采样时间点的访问特征信息生成数据样本集,采样时间点的个数为数据样本集样本的个数;
S22.根据数据样本集生成以采样时间点为变量的概率密度函数;
S23.选定核函数及核函数带宽,得到概率密度函数的核密度函数估计公式;核函数选择高斯函数或余弦函数;
S24.通过核密度函数估计公式对单位时间内各采样时间的访问概率进行估计;
S3.根据用户不同采样时间点的访问概率,并基于历史数据,构建每个采样时间点的访问时间序列数据,再通过指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;具体步骤如下:
S31.设定历史时间段,将历史时间段内的单位时间的各采样点的访问特征信息进行聚合,生成不同单位时间的相同采样时间点的访问时间序列数据;
S32.选定平滑次数的及各次平滑的权重,再依据指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;具体步骤如下:
S321.选定平滑次数,并依据平滑次数选择历史时间段内的单位时间个数;
S322.设定各次平滑的权重,按照与当前时间的距离大小设定各单位时间对应数据的权重大小,与当前时间距离小的单位时间对应数据的权重大;
S323.基于各次权重以及各次的预测值,采用指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;
S4.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息,并计算真实访问行为信息与预测的访问概率密度的差值,将差值与异常判定阈值进行比较,定位异常用户;具体步骤如下:
S41.根据场景分布设置异常判定阈值;
S42.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息;
S43.计算用户目标时间段的真实访问行为信息与预测的访问概率密度的差值,并判断差值是否小于异常判断阈值;
若是,判定当前用户为正常用户,结束;
若否,判定当前用户为疑似异常用户,进入步骤S44;
S44.对疑似异常用户进行验证。
上述实施例2中,指数平滑算法采用一次指数平滑法、二次指数平滑法及三次指数平滑法;
步骤S321中平滑次数根据具体指数平滑算法种类进行选择;
步骤S322中还包括选定平滑常数,平滑常数的值大于等于0,小于等于1。
实施例3:
如图2所示,本发明提供一种基于核密度估计和指数平滑算法的异常用户检测方法,包括如下步骤:
S 1.获取用户单位时间内不同采样时间点的流量数据,并从流量数据中提取出用户每个采样时间点的访问特征信息;具体步骤如下:
S 11.设定单位时间长度为一天,并在一天内设定采样时间点为每个小时;
S 12.获取用户一天内24小时不同时间点的流量数据;
S13.根据选定的特征字段对流量数据进行清洗,提取每个时间点的访问特征信息,生成流量特征矩阵,流量特征矩阵中一行访问特征信息如图3所示;访问特征信息包括访问开始时间点、频次信息以及访问时长;
S2.基于核密度函数对用户不同采样时间点的访问概率进行估计;具体步骤如下:
S21.将提取的用户每个采样时间点的访问特征信息生成数据样本集,采样时间点的个数为数据样本集样本的个数;假设有数据样本集{X|x1,x2...,xn}的n个样本;
S22.根据数据样本集生成以采样时间点为变量的概率密度函数;样本xi∈X的概率密度函数为f(xi);
S23.选定核函数及核函数带宽,得到概率密度函数的核密度函数估计公式;核密度函数估计公式如下所示:
其中,K(.)为核函数,通常具有对称性,并且满足∫K(x)dx=1;参数h为核函数带宽,用于平衡核密度估计的偏差以及方差;核函数选择高斯函数或余弦函数;
S24.通过核密度函数估计公式对单位时间内各采样时间的访问概率进行估计;
S3.根据用户不同采样时间点的访问概率,并基于历史数据,构建每个采样时间点的访问时间序列数据,再通过指数平滑算法对用户下一期一天24小时每个小时的访问概率密度进行预测;具体步骤如下:
S31.设定历史时间段,将历史时间段内相同时间点的访问特征信息进行聚合,生成不同日期相同时间点的的访问时间序列数据,如图4所示;
S32.选定平滑次数的及各次平滑的权重,再依据指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;具体步骤如下:
S321.选定平滑次数,并依据平滑次数选择历史时间段内的单位时间个数;
S322.设定各次平滑的权重,按照与当前时间的距离大小设定各单位时间对应数据的权重大小,与当前时间距离小的单位时间对应数据的权重大;
S323.基于各次权重以及各次的预测值,采用指数平滑算法对用户下一期每天不同采样时间点的访问概率密度进行预测;
指数平滑法属于移动平均法中的一种,其特点在于给过去的观测值不一样的权重,即较近期观测值的权数比较远期观测值的权数要大。根据平滑次数不同,指数平滑法分为一次指数平滑法、二次指数平滑法和三次指数平滑法等。三种指数平滑方法的预测值都是以前观测值的加权和,且对不同的数据给予不同的权数,新数据给予较大的权数,旧数据给予较小的权数。也就是下一期数据的预测值与本期的实际值和上一期的预测值相关。指数平滑法的基本公式为:
St=a*yt+(1-a)*St-1
式中,St:时间t的平滑值;yt:时间t的实际值;St-1:时间t-1的平滑值;a:平滑常数,其取值范围为[0,1];具体公式对于不同次数的指数平滑会有所差异;
S4.获取用户目标时间段的每天24小时内不同采样时间点的真实访问行为信息,并计算真实访问行为信息与预测的访问概率密度的差值,将差值与异常判定阈值进行比较,定位异常用户;具体步骤如下:
S41.根据场景分布设置异常判定阈值;
S42.获取用户目标时间段的每天24小时内不同采样时间点的真实访问行为信息;
S43.计算用户目标时间段的真实访问行为信息与预测的访问概率密度的差值,并判断差值是否小于异常判断阈值;
若是,判定当前用户为正常用户,结束;
若否,判定当前用户为疑似异常用户,进入步骤S44;
S44.对疑似异常用户进行验证。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,包括如下步骤:
S1.获取用户单位时间内不同采样时间点的流量数据,并从流量数据中提取出用户每个采样时间点的访问特征信息;
S2.基于核密度函数对用户不同采样时间点的访问概率进行估计;
S3.根据用户不同采样时间点的访问概率,并基于历史数据,构建每个采样时间点的访问时间序列数据,再通过指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测;
S4.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息,并计算真实访问行为信息与预测的访问概率密度的差值,将差值与异常判定阈值进行比较,定位异常用户。
2.如权利要求1所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,步骤S1具体步骤如下:
S11.设定单位时间长度,并在单位时间内设定采样时间点;
S12.获取用户单位时间内每个采样时间点的流量数据;
S13.根据选定的特征字段对流量数据进行清洗,提取每个采样时间点的访问特征信息,生成流量特征矩阵。
3.如权利要求1或2所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,访问特征信息包括单位时间ID、IP地址、访问时间点以及访问时长。
4.如权利要求1所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,步骤S2具体步骤如下:
S21.将提取的用户每个采样时间点的访问特征信息生成数据样本集,采样时间点的个数为数据样本集样本的个数;
S22.根据数据样本集生成以采样时间点为变量的概率密度函数;
S23.选定核函数及核函数带宽,得到概率密度函数的核密度函数估计公式;
S24.通过核密度函数估计公式对单位时间内各采样时间的访问概率进行估计。
5.如权利要求4所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,核函数选择高斯函数或余弦函数。
6.如权利要求1所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,步骤S3具体步骤如下:
S31.设定历史时间段,将历史时间段内的单位时间的各采样点的访问特征信息进行聚合,生成不同单位时间的相同采样时间点的访问时间序列数据;
S32.选定平滑次数的及各次平滑的权重,再依据指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测。
7.如权利要求6所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,步骤S32具体步骤如下:
S321.选定平滑次数,并依据平滑次数选择历史时间段内的单位时间个数;
S322.设定各次平滑的权重,按照与当前时间的距离大小设定各单位时间对应数据的权重大小,与当前时间距离小的单位时间对应数据的权重大;
S323.基于各次权重以及各次的预测值,采用指数平滑算法对用户下一期单位时间内不同采样时间点的访问概率密度进行预测。
8.如权利要求7所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,指数平滑算法采用一次指数平滑法、二次指数平滑法及三次指数平滑法;
步骤S321中平滑次数根据具体指数平滑算法种类进行选择;
步骤S322中还包括选定平滑常数,平滑常数的值大于等于0,小于等于1。
9.如权利要求1所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,步骤S4具体步骤如下:
S41.根据场景分布设置异常判定阈值;
S42.获取用户目标时间段的单位时间内不同采样时间点的真实访问行为信息;
S43.计算用户目标时间段的真实访问行为信息与预测的访问概率密度的差值,并判断差值是否小于异常判断阈值;
若是,判定当前用户为正常用户,结束;
若否,判定当前用户为疑似异常用户,进入步骤S44;
S44.对疑似异常用户进行验证。
10.如权利要求1、2、4、6或7任一项权利要求所述的基于核密度估计和指数平滑算法的异常用户检测方法,其特征在于,单位时间为一天;
采样时间点为一天内每个小时。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110722546.8A CN113542236A (zh) | 2021-06-28 | 2021-06-28 | 一种基于核密度估计和指数平滑算法的异常用户检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110722546.8A CN113542236A (zh) | 2021-06-28 | 2021-06-28 | 一种基于核密度估计和指数平滑算法的异常用户检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113542236A true CN113542236A (zh) | 2021-10-22 |
Family
ID=78126161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110722546.8A Pending CN113542236A (zh) | 2021-06-28 | 2021-06-28 | 一种基于核密度估计和指数平滑算法的异常用户检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113542236A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050941A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 一种基于核密度估计的失陷账号检测方法及系统 |
| CN115174237A (zh) * | 2022-07-08 | 2022-10-11 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
| CN116228167A (zh) * | 2023-05-04 | 2023-06-06 | 南京瑞拷得智慧信息科技有限公司 | 一种基于零信任权鉴的智慧档案借阅利用平台 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160219067A1 (en) * | 2015-01-28 | 2016-07-28 | Korea Internet & Security Agency | Method of detecting anomalies suspected of attack, based on time series statistics |
| CN106599271A (zh) * | 2016-12-22 | 2017-04-26 | 江苏方天电力技术有限公司 | 一种燃煤机组排放监测时序数据异常值检测方法 |
| CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
| CN107092582A (zh) * | 2017-03-31 | 2017-08-25 | 江苏方天电力技术有限公司 | 一种基于残差后验的异常值在线检测及置信度评估方法 |
| CN109213654A (zh) * | 2018-07-05 | 2019-01-15 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
| CN110830450A (zh) * | 2019-10-18 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
| CN110890998A (zh) * | 2019-11-06 | 2020-03-17 | 厦门网宿有限公司 | 一种确定阈值的方法及装置 |
| CN111324391A (zh) * | 2020-02-28 | 2020-06-23 | 海信视像科技股份有限公司 | 一种基于指数平滑的智能电视应用预启动方法及设备 |
| CN111683102A (zh) * | 2020-06-17 | 2020-09-18 | 绿盟科技集团股份有限公司 | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 |
-
2021
- 2021-06-28 CN CN202110722546.8A patent/CN113542236A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160219067A1 (en) * | 2015-01-28 | 2016-07-28 | Korea Internet & Security Agency | Method of detecting anomalies suspected of attack, based on time series statistics |
| CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
| CN106599271A (zh) * | 2016-12-22 | 2017-04-26 | 江苏方天电力技术有限公司 | 一种燃煤机组排放监测时序数据异常值检测方法 |
| CN107092582A (zh) * | 2017-03-31 | 2017-08-25 | 江苏方天电力技术有限公司 | 一种基于残差后验的异常值在线检测及置信度评估方法 |
| CN109213654A (zh) * | 2018-07-05 | 2019-01-15 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
| CN110830450A (zh) * | 2019-10-18 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
| CN110890998A (zh) * | 2019-11-06 | 2020-03-17 | 厦门网宿有限公司 | 一种确定阈值的方法及装置 |
| CN111324391A (zh) * | 2020-02-28 | 2020-06-23 | 海信视像科技股份有限公司 | 一种基于指数平滑的智能电视应用预启动方法及设备 |
| CN111683102A (zh) * | 2020-06-17 | 2020-09-18 | 绿盟科技集团股份有限公司 | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050941A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 一种基于核密度估计的失陷账号检测方法及系统 |
| CN114050941B (zh) * | 2022-01-11 | 2022-05-03 | 中孚信息股份有限公司 | 一种基于核密度估计的失陷账号检测方法及系统 |
| CN115174237A (zh) * | 2022-07-08 | 2022-10-11 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
| CN116228167A (zh) * | 2023-05-04 | 2023-06-06 | 南京瑞拷得智慧信息科技有限公司 | 一种基于零信任权鉴的智慧档案借阅利用平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI595375B (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
| CN113542236A (zh) | 一种基于核密度估计和指数平滑算法的异常用户检测方法 | |
| CN112257063B (zh) | 一种基于合作博弈论的联邦学习中后门攻击的检测方法 | |
| Maamar et al. | A Hybrid Model for Anomalies Detection in AMI System Combining K-means Clustering and Deep Neural Network. | |
| US10050985B2 (en) | System for implementing threat detection using threat and risk assessment of asset-actor interactions | |
| Hu et al. | A simple and efficient hidden Markov model scheme for host-based anomaly intrusion detection | |
| Lu et al. | Network anomaly detection based on wavelet analysis | |
| Viinikka et al. | Processing intrusion detection alert aggregates with time series modeling | |
| CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
| CN112149749A (zh) | 异常行为检测方法、装置、电子设备及可读存储介质 | |
| CN111460026B (zh) | 基于直觉模糊时间序列图挖掘的网络流量异常检测方法 | |
| Dai et al. | Federatednilm: A distributed and privacy-preserving framework for non-intrusive load monitoring based on federated deep learning | |
| Alhaidari et al. | Network traffic anomaly detection based on Viterbi algorithm using SNMP MIB data | |
| CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
| Senthilnayaki et al. | An intelligent intrusion detection system using genetic based feature selection and Modified J48 decision tree classifier | |
| Lin et al. | Dynamic network security situation prediction based on bayesian attack graph and big data | |
| Yeom et al. | LSTM-based collaborative source-side DDoS attack detection | |
| Tao et al. | An efficient network security situation assessment method based on AE and PMU | |
| Ambusaidi et al. | Intrusion detection method based on nonlinear correlation measure | |
| Qi et al. | Iterative anomaly detection algorithm based on time series analysis | |
| CN112926984A (zh) | 基于区块链安全大数据的信息预测方法及区块链服务系统 | |
| Huo et al. | Traffic anomaly detection method based on improved GRU and EFMS-Kmeans clustering | |
| Fan et al. | A hierarchical method for assessing cyber security situation based on ontology and fuzzy cognitive maps | |
| K V et al. | Accurate and reliable detection of DDoS attacks based on ARIMA-SWGARCH model | |
| CN116260610A (zh) | 一种层次化网络安全威胁态势量化评估方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211022 |