CN113806523B - 一种基于分类的异常检测方法和系统 - Google Patents

一种基于分类的异常检测方法和系统 Download PDF

Info

Publication number
CN113806523B
CN113806523B CN202010531591.0A CN202010531591A CN113806523B CN 113806523 B CN113806523 B CN 113806523B CN 202010531591 A CN202010531591 A CN 202010531591A CN 113806523 B CN113806523 B CN 113806523B
Authority
CN
China
Prior art keywords
frequent item
item set
log data
abnormal
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010531591.0A
Other languages
English (en)
Other versions
CN113806523A (zh
Inventor
赵静
龙春
万巍
魏金侠
杜冠瑶
杨帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Computer Network Information Center of CAS
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN202010531591.0A priority Critical patent/CN113806523B/zh
Publication of CN113806523A publication Critical patent/CN113806523A/zh
Application granted granted Critical
Publication of CN113806523B publication Critical patent/CN113806523B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种基于分类的异常检测方法和系统,该方法包括对正常日志数据和异常日志数据分别进行预处理;分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常;该方法和系统提高了异常检测的准确性。

Description

一种基于分类的异常检测方法和系统
技术领域
本发明属于异常检测领域,特别涉及一种基于分类的异常检测方法和系统。
背景技术
随着网络信息的发展,用户会拥有很多账号,涉及生活、社交等领域。一旦账户被攻击或者被盗,会给用户带来不便。因此,对账户进行异常检测是非常重要的问题。
目前常用的检测方法为人工通过预设的检测规则针对每一异常行为进行检测,检测量大,且当异常行为发生变化时,规则不能及时更新,检测准确性降低。
发明内容
为了解决现有技术中存在的问题,本发明提供一种基于分类的异常检测方法和系统。
本发明其中一个技术方案提供一种基于分类的异常检测方法,该方法包括如下步骤:
对正常日志数据和异常日志数据分别进行预处理;
分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;
对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常。
进一步改进的方案中,所述对正常日志数据和异常日志数据分别进行预处理包括如下步骤:
对正常日志数据和异常日志数据分别进行清洗;
对经过清洗后的正常日志数据和异常日志数据进行数据集成;
对经过数据集成的正常日志数据和异常日志数据进行压缩处理。
进一步改进的方案中,所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘。
进一步改进的方案中,所述利用长周期的频繁项集挖掘算法进行数据挖掘包括如下步骤:
将提取的日志数据特征作为候选集,扫描一遍候选集,找到支持率大于等于λn,n-1·ρs长度为1的所有模式;
连接这些模式,找到支持率大于等于λn,n-2·ρs产生长度为2的模式的候选集,以此类推,在第i次迭代中产生一个由长度为i的模式组成的候选集Ui,其中,这些模式满足支持率大于等于λn,n-i·ρs
在i+1次迭代中,将候选集Ui中的模式连接产生i+1的模式的候选集Ci+1;在Ci+1的模式中找到支持率大于等于λn,n-(i+1)·ρs的模式,形成候选集Ui+1,继续迭代,直到候选集为空,停止迭代,最终形成的候选集即为频繁项集。
进一步改进的方案中,所述利用长周期的频繁项集挖掘算法进行数据挖掘还包括如下步骤:
当迭代后产生的候选集不为空,产生长度为n+1的模式的候选集时,利用APRIORI算法挖掘频繁项集。
进一步改进的方案中,所述将频繁项集与正常行为模型和异常行为模型进行比较,找出异常包括如下步骤:
利用正常行为模型内的频繁项集作为学习数据,训练分类器;
利用训练好的分类器对待测日志数据的频繁项集进行分类;
获得与正常行为模型内的频繁项集不一致的频繁项集,并与异常行为模型内的频繁项集进行相似度对比,找出属于异常行为模型的频繁项集。
本发明另一个方案提供一种基于分类的异常检测系统,该异常检测系统包括:
数据预处理模块,被配置为对正常日志数据和异常日志数据分别进行预处理;
模型构建模块,被配置为分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;
异常检测模块,被配置为对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常。
本发明提供的一种基于分类的异常检测方法和系统,首先对正常日志数据和异常日志数据分别进行预处理,然后分别提取特征,挖掘频繁项集,建立正常行为模型和异常行为模型;将待检测日志数据,利用训练阶段同样的方式找出频繁项集,将其与正常行为模型和异常行为模型进行比较,找出异常,进而提高了异常检测的准确性。
附图说明
图1为一种基于分类的异常检测方法的流程图;
图2为对正常日志数据和异常日志数据分别进行预处理的流程图;
图3为利用长周期的频繁项集挖掘算法进行数据挖掘的流程图;
图4为对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常的流程图;
图5为一种基于分类的异常检测系统的结构框图。
具体实施方式
本发明其中一些实施例提供一种基于分类的异常检测方法,如图1所示,该异常检测方法包括如下步骤:
1)对正常日志数据和异常日志数据分别进行预处理;
步骤1)中,一般情况下,安全设备产生的日志可以认为是有风险但没有发生真正攻击的数据,因此,日常平稳的日志分布可以认为是一种无攻击的状态,被认定为正常日志数据;而当日志分布出现异常不能完全匹配正常状态时,则认为出现了异常攻击,此时日志数据被定义为异常日志数据;
如图2所示,步骤1)中所述对正常日志数据和异常日志数据分别进行预处理包括如下步骤:
11)对正常日志数据和异常日志数据分别进行清洗;
步骤11)中,一般安全设备的日志包括IPS、IDS、防火墙等告警日志;对日志数据进行清洗,主要包括填写缺失值,光滑噪声数据,识别或删除离群点,并解决不一致性;
12)对经过清洗后的正常日志数据和异常日志数据进行数据集成;
步骤12)中,代表同一概念的数据通过不同安全设备告警可能使用不一样的形式和命名,数据集成主要解决数据识别、冗余及相关性分析等问题;
13)对经过数据集成的正常日志数据和异常日志数据进行压缩处理;
步骤13)中主要对数据特征进行简化,利用降维等方式压缩数据集的规模;
降维方式包括但不限于线性降维、映射式降维等;
2)分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;
针对安全设备日志,提取的日志特征主要包括7个元素,记为R(Ts,Event,SrcIP,SrcPort,DstIP,DstPort,Lable),其中,Ts代表时间,Event代表事件行为类型,SrcIP代表源IP,SrcPort代表源端口,DstIP代表目的IP,DstPort代表目的端口,Lable代表来自于哪台安全设备;
如图2所示,所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘,具体包括如下步骤:
21)将提取的日志数据特征作为候选集,扫描一遍候选集,找到支持率大于等于λn,n-1·ρs长度为1的所有模式;
22)连接这些模式,找到支持率大于等于λn,n-2·ρs产生长度为2的模式的候选集,以此类推,在第i次迭代中产生一个由长度为i的模式组成的候选集Ui,其中,这些模式满足支持率大于等于λn,n-i·ρs
23)在i+1次迭代中,将候选集Ui中的模式连接产生i+1的模式的候选集Ci+1;在Ci+1的模式中找到支持率大于等于λn,n-(i+1)·ρs的模式,形成候选集Ui+1,继续迭代,直到候选集为空,停止迭代,最终形成的候选集即为频繁项集。
在一些优选的实施例中,其中λn,n-m·ρs为各次迭代内m的模式对应的支持度阈值,并按照公式(一)计算;
其中,n为日志数据特征序列S中频繁项集内模式的估算值;m为频繁项集子集的模式数值,m=1、2...i、i+1...,m<n,Nn为在序列S中长度为n的偏移序列的个数;Nm为在序列S中长度为m的偏移序列的个数;ρ为频率阈值;M和N分别表示每个特征序列间隔的最小间隔和最大间隔;
所述长周期的频繁项集挖掘算法还包括:
当迭代后产生的候选集不为空,产生长度为n+1的模式的候选集时,利用APRIORI算法挖掘频繁项集。
具体为:对于i>n的每次迭代,在Ui-1的基础上生成候选集Ci,然后检查Ci中的模式,收集支持率大于等于其对应的支持率阈值ρs的模式组成Ui+1,不断迭代,直到产生的候选集为空停止。
当攻击者长期潜伏有目的地攻陷目标时,每一个步骤都会相隔一定的时间,当单独分析某一个或某几个步骤时与正常行为无异,只有将整个行为链条挖掘出来,才会发现隐蔽的异常。这种有间隔长周期的行为挖掘不符合常规挖掘算法的模式,如APRIORI,举例如下:假设一个序列为S=ACTTT,P1=AT,P2=A,P2是P1的子模式,在具有周期性要求[1,3]的条件里,可以看出P1的支持度为3,P2的支持度为1,因此,APRIORI剪枝的原理对长周期有间隔的行为序列无效。因此本申请引入了长周期的频繁项集挖掘算法,提高了长周期数据挖掘的可靠性和准确性,提高了异常检测的准确性。
3)对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常;
如图4所示,步骤3)具体包括如下步骤:
31)利用正常行为模型内的频繁项集作为学习数据,训练分类器,其中分类算法利用KNN分类算法;
32)利用训练好的分类器对待测日志数据的频繁项集进行分类;
33)获得与正常行为模型内的频繁项集不一致的频繁项集,并与异常行为模型内的频繁项集进行相似度对比,找出属于异常行为模型的频繁项集,判断为异常;
步骤33)中所述与异常行为模型内的频繁项集进行相似度对比方法如下:计算每个特征距离的方式,如果一个频繁项集的每个事件元素都包含在异常模型中,则认为存在异常;否则,认为是新增异常,需由专家判断或其他方式进行深入判断,如果是,则加入异常模型中。
本发明提供的一种基于分类的异常检测方法,首先对正常日志数据和异常日志数据分别进行预处理,然后分别提取特征,挖掘频繁项集,建立正常行为模型和异常行为模型;将待检测日志数据,利用训练阶段同样的方式找出频繁项集,将其与正常行为模型和异常行为模型进行比较,找出异常,进而提高了异常检测的准确性。
本发明另一些实施例提供一种基于分类的异常检测系统,如图5所示,所述异常检测系统包括:
数据预处理模块10,被配置为对正常日志数据和异常日志数据分别进行预处理;
数据预处理模块10包括:
数据清洗子模块11,被配置为对正常日志数据和异常日志数据分别进行清洗;数据清洗,主要包括填写缺失值,光滑噪声数据,识别或删除离群点,并解决不一致性;
数据集成子模块12,配置为对经过清洗后的正常日志数据和异常日志数据进行数据集成;数据集成主要解决数据识别、冗余及相关性分析等问题;
数据压缩子模块13,配置为对经过数据集成的正常日志数据和异常日志数据进行压缩处理;压缩处理主要对数据特征进行简化,利用降维等方式压缩数据集的规模;
模型构建模块20,被配置为分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;
针对安全设备日志,提取的日志特征主要包括7个元素,记为R(Ts,Event,SrcIP,SrcPort,DstIP,DstPort,Lable),其中,Ts代表时间,Event代表事件行为类型,SrcIP代表源IP,SrcPort代表源端口,DstIP代表目的IP,DstPort代表目的端口,Lable代表来自于哪台安全设备;
其中,所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘,具体包括如下步骤:
将提取的日志数据特征作为候选集,扫描一遍候选集,找到支持率大于等于λn,n-1·ρs长度为1的所有模式;
连接这些模式,找到支持率大于等于λn,n-2·ρs产生长度为2的模式的候选集,以此类推,在第i次迭代中产生一个由长度为i的模式组成的候选集Ui,其中,这些模式满足支持率大于等于λn,n-i·ρs
在i+1次迭代中,将候选集Ui中的模式连接产生i+1的模式的候选集Ci+1;在Ci+1的模式中找到支持率大于等于λn,n-(i+1)·ρs的模式,形成候选集Ui+1,继续迭代,直到候选集为空,停止迭代,最终形成的候选集即为频繁项集。
在一些优选的实施例中,其中λn,n-m·ρs为各次迭代内m的模式对应的支持度阈值,并按照公式(一)计算;
其中,n为日志数据特征序列S中频繁项集内模式的估算值;m为频繁项集子集的模式数值,m=1、2...i、i+1...,m<n,Nn为在序列S中长度为n的偏移序列的个数;Nm为在序列S中长度为m的偏移序列的个数;ρ为频率阈值;M和N分别表示每个特征序列间隔的最小间隔和最大间隔;
所述长周期的频繁项集挖掘算法还包括:
当迭代后产生的候选集不为空,产生长度为n+1的模式的候选集时,利用APRIORI算法挖掘频繁项集。
具体为:对于i>n的每次迭代,在Ui-1的基础上生成候选集Ci,然后检查Ci中的模式,收集支持率大于等于其对应的支持率阈值ρs的模式组成Ui+1,不断迭代,直到产生的候选集为空停止;
异常检测模块30,被配置为对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常。
其中,异常检测模块包括:
训练子模块31,被配置为利用正常行为模型内的频繁项集作为学习数据,训练分类器,其中分类算法利用KNN分类算法;
分类子模块32,被配置为利用训练好的分类器对待测日志数据的频繁项集进行分类;
异常判断子模块33,被配置为获得与正常行为模型内的频繁项集不一致的频繁项集,并与异常行为模型内的频繁项集进行相似度对比,找出属于异常行为模型的频繁项集,判断为异常;
其中,所述与异常行为模型内的频繁项集进行相似度对比方法如下:计算每个特征距离的方式,如果一个频繁项集的每个事件元素都包含在异常模型中,则认为存在异常;否则,认为是新增异常,需由专家判断或其他方式进行深入判断,如果是,则加入异常模型中。
本发明提供的一种基于分类的异常检测系统显著提高了异常检测的准确性。
本发明另一些实施例提供一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中的存储器所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序被一个或者一个以上的处理器用来执行上述实施例所提供的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (3)

1.一种基于分类的异常检测方法,其特征在于,所述方法包括如下步骤:
对正常日志数据和异常日志数据分别进行预处理;
分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;
对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,找出异常;
所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘,
具体包括如下步骤:
将提取的日志数据特征作为候选集,扫描一遍候选集,找到支持率大于等于λn,n-1·s长度为1的所有模式;
连接这些模式,找到支持率大于等于λn,n-2·s产生长度为2的模式的候选集,以此类推,在第i次迭代中产生一个由长度为i的模式组成的候选集Ui,其中,这些模式满足支持率大于等于λn,n-i·s
在i+1次迭代中,将候选集Ui中的模式连接产生i+1的模式的候选集Ci+1;在Ci+1的模式中找到支持率大于等于λn,n-(i+1)·s的模式,形成候选集Ui+1,继续迭代,直到候选集为空,停止迭代,最终形成的候选集即为频繁项集;
其中λn,n-m·s为各次迭代内m的模式对应的支持度阈值,并按照公式(一)计算;
n为日志数据特征序列S中频繁项集内模式的估算值;m为频繁项集子集的模式数值,m=1、2...i、i+1...,m<n,Nn为在序列S中长度为n的偏移序列的个数;Nm为在序列S中长度为m的偏移序列的个数;ρ为频率阈值;M和N分别表示每个特征序列间隔的最小间隔和最大间隔;
当迭代后产生的候选集不为空,产生长度为n+1的模式的候选集时,利用APRIORI算法挖掘频繁项集;
所述将频繁项集与正常行为模型和异常行为模型进行比较,找出异常包括如下步骤:
利用正常行为模型内的频繁项集作为学习数据,训练分类器;
利用训练好的分类器对待测日志数据的频繁项集进行分类;
获得与正常行为模型内的频繁项集不一致的频繁项集,并与异常行为模型内的频繁项集进行相似度对比,找出属于异常行为模型的频繁项集。
2.如权利要求1所述的基于分类的异常检测方法,其特征在于,所述对正常日志数据和异常日志数据分别进行预处理包括如下步骤:
对正常日志数据和异常日志数据分别进行清洗;
对经过清洗后的正常日志数据和异常日志数据进行数据集成;
对经过数据集成的正常日志数据和异常日志数据进行压缩处理。
3.一种基于分类的异常检测系统,其特征在于,所述异常检测系统包括:
数据预处理模块,被配置为对正常日志数据和异常日志数据分别进行预处理;
模型构建模块,被配置为分别提取经过预处理的正常日志数据和异常日志数据的特征,在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘,得到正常频繁项集和异常频繁项集,构建正常行为模型和异常行为模型;
异常检测模块,被配置为对待检测日志数据进行挖掘,获得频繁项集,并将频繁项集与正常行为模型和异常行为模型进行比较,
找出异常;
所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘,具体包括如下步骤:
将提取的日志数据特征作为候选集,扫描一遍候选集,找到支持率大于等于λn,n-1·s长度为1的所有模式;
连接这些模式,找到支持率大于等于λn,n-2·s产生长度为2的模式的候选集,以此类推,在第i次迭代中产生一个由长度为i的模式组成的候选集Ui,其中,这些模式满足支持率大于等于λn,n-i·s
在i+1次迭代中,将候选集Ui中的模式连接产生i+1的模式的候选集Ci+1;在Ci+1的模式中找到支持率大于等于λn,-(i+1)·s的模式,形成候选集Ui+1,继续迭代,直到候选集为空,停止迭代,
最终形成的候选集即为频繁项集;
其中λn,n-m·s为各次迭代内m的模式对应的支持度阈值,并按照公式(一)计算;
n为日志数据特征序列S中频繁项集内模式的估算值;m为频繁项集子集的模式数值,m=1、2...i、i+1...,m<n,Nn为在序列S中长度为n的偏移序列的个数;Nm为在序列S中长度为m的偏移序列的个数;ρ为频率阈值;M和N分别表示每个特征序列间隔的最小间隔和最大间隔;
当迭代后产生的候选集不为空,产生长度为n+1的模式的候选集时,利用APRIORI算法挖掘频繁项集;
所述将频繁项集与正常行为模型和异常行为模型进行比较,找出异常包括如下步骤:
利用正常行为模型内的频繁项集作为学习数据,训练分类器;
利用训练好的分类器对待测日志数据的频繁项集进行分类;
获得与正常行为模型内的频繁项集不一致的频繁项集,并与异常行为模型内的频繁项集进行相似度对比,找出属于异常行为模型的频繁项集。
CN202010531591.0A 2020-06-11 2020-06-11 一种基于分类的异常检测方法和系统 Active CN113806523B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010531591.0A CN113806523B (zh) 2020-06-11 2020-06-11 一种基于分类的异常检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010531591.0A CN113806523B (zh) 2020-06-11 2020-06-11 一种基于分类的异常检测方法和系统

Publications (2)

Publication Number Publication Date
CN113806523A CN113806523A (zh) 2021-12-17
CN113806523B true CN113806523B (zh) 2023-07-21

Family

ID=78943793

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010531591.0A Active CN113806523B (zh) 2020-06-11 2020-06-11 一种基于分类的异常检测方法和系统

Country Status (1)

Country Link
CN (1) CN113806523B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294492A (zh) * 2023-09-21 2023-12-26 中移互联网有限公司 异常行为检测方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187242A (zh) * 2015-08-20 2015-12-23 中国人民解放军国防科学技术大学 一种基于变长序列模式挖掘的用户异常行为检测方法
CN106156026A (zh) * 2015-03-24 2016-11-23 中国人民解放军国防科学技术大学 一种基于数据流虚拟资产在线异常发现的方法
CN106330852A (zh) * 2015-07-06 2017-01-11 纬创资通股份有限公司 异常预测方法、异常预测系统及异常预测装置
CN106341407A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于网站画像的异常访问日志挖掘方法及装置
CN107835087A (zh) * 2017-09-14 2018-03-23 北京科东电力控制系统有限责任公司 一种基于频繁模式挖掘的安全设备告警规则自动提取方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106156026A (zh) * 2015-03-24 2016-11-23 中国人民解放军国防科学技术大学 一种基于数据流虚拟资产在线异常发现的方法
CN106330852A (zh) * 2015-07-06 2017-01-11 纬创资通股份有限公司 异常预测方法、异常预测系统及异常预测装置
CN105187242A (zh) * 2015-08-20 2015-12-23 中国人民解放军国防科学技术大学 一种基于变长序列模式挖掘的用户异常行为检测方法
CN106341407A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于网站画像的异常访问日志挖掘方法及装置
CN107835087A (zh) * 2017-09-14 2018-03-23 北京科东电力控制系统有限责任公司 一种基于频繁模式挖掘的安全设备告警规则自动提取方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Reeta Suman等.Visualization of Server Log Data for Detecting Abnormal Behaviour.《2018 IEEE International Conference on Information Reuse and Integration (IRI)》.2018,第1-2页. *
孟庆翔.基于HBase的日志异常分析与相关算法研究.《中国优秀硕士学位论文全文数据库信息科技辑》.2017,(第2期),第I138-87页. *

Also Published As

Publication number Publication date
CN113806523A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN107070943B (zh) 基于流量特征图和感知哈希的工业互联网入侵检测方法
CN108616545B (zh) 一种网络内部威胁的检测方法、系统及电子设备
Bolton et al. Unsupervised profiling methods for fraud detection
Rahman et al. Attacks classification in adaptive intrusion detection using decision tree
Estevez-Tapiador et al. Stochastic protocol modeling for anomaly based network intrusion detection
Li et al. A novel rule-based Intrusion Detection System using data mining
CN111641634B (zh) 一种基于蜜网的工业控制网络主动防御系统及其方法
CN112887325B (zh) 一种基于网络流量的电信网络诈骗犯罪欺诈识别方法
Yu A survey of anomaly intrusion detection techniques
CN108063776A (zh) 基于跨域行为分析的内部威胁检测方法
Dhakar et al. A novel data mining based hybrid intrusion detection framework
Yan et al. Early detection of cyber security threats using structured behavior modeling
CN113806523B (zh) 一种基于分类的异常检测方法和系统
CN115242441A (zh) 一种基于特征选择和深度神经网络的网络入侵检测方法
Lu et al. Defense against backdoor attack in federated learning
Tavallaee et al. A novel covariance matrix based approach for detecting network anomalies
Dash et al. Episode based masquerade detection
CN116074127B (zh) 一种基于大数据的自适应网络安全态势评估系统
CN110290101B (zh) 智能电网环境中基于深度信任网络的关联攻击行为识别方法
Li et al. A new intrusion detection method based on fuzzy hmm
Tapiador et al. Information-theoretic detection of masquerade mimicry attacks
Suratkar et al. Multi hidden markov models for improved anomaly detection using system call analysis
Yang et al. Learning vector quantization neural network method for network intrusion detection
Bisen et al. An intrusion detection system based on support vector machine using hierarchical clustering and genetic algorithm
CN115085948A (zh) 基于改进d-s证据理论的网络安全态势评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant