CN114050941A - 一种基于核密度估计的失陷账号检测方法及系统 - Google Patents
一种基于核密度估计的失陷账号检测方法及系统 Download PDFInfo
- Publication number
- CN114050941A CN114050941A CN202210024108.9A CN202210024108A CN114050941A CN 114050941 A CN114050941 A CN 114050941A CN 202210024108 A CN202210024108 A CN 202210024108A CN 114050941 A CN114050941 A CN 114050941A
- Authority
- CN
- China
- Prior art keywords
- account
- login
- time
- baseline
- kernel density
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开一种基于核密度估计的失陷账号检测方法及系统,涉及数据识别、数据表示及数据处理技术领域,包括:通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断,根据诊断结果定位失陷账号。基于网络中的实际实体及行为数据,构建账号正常在线时间历史基线与常用登录设备基线,以此发现偏离历史基线的行为,定位失陷账号风险,准确发现网络的数据失泄密行为,提高异常行为检测的准确性,保证数据安全。
Description
技术领域
本发明涉及数据识别、数据表示及数据处理技术领域,特别是涉及一种基于核密度估计的失陷账号检测方法及系统。
背景技术
随着网络技术的日益发展,网络数据的数据安全、信息安全等问题越来越突出。目前种类繁多的外部网络攻击已有成熟的解决方案,但是,由于组织内部引起的违规泄露事件,如账号的异常登录引起的敏感数据外泄行为,传统的基于网关的安全架构无法有效解决组织内部引起的违规泄露事件,无法在事件发生之前或之后的较短时间内即时响应,造成信息泄露等安全性事件的发生。
发明内容
为了解决上述问题,本发明提出了一种基于核密度估计的失陷账号检测方法及系统,基于网络中的实际实体及行为数据,构建账号正常在线时间历史基线与常用登录设备基线,以此发现偏离历史基线的行为,定位失陷账号风险,准确发现网络的数据失泄密行为,提高异常行为检测的准确性,保证数据安全。
为了实现上述目的,本发明采用如下技术方案:
第一方面,本发明提供一种基于核密度估计的失陷账号检测方法,包括:
通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;
通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;
根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断;
若偏离诊断结果异常,则定位为失陷账号,若偏离诊断结果正常,则定位为正常账号。
作为可选择的实施方式,建立账号在线时间历史基线的过程包括:获取账号在不同时间点的在线数据,所述在线数据包括登录时间,聚合统计账号登录时间的次数分布序列,根据次数分布序列采用核密度估计算法得到不同时间点账号登录的概率密度。
作为可选择的实施方式,建立账号在线时间历史基线的过程包括:以小时为粒度聚合账号的在线数据,得到账号登录时间的次数分布序列;选定带宽及核函数,构建核密度估计函数,以根据次数分布序列得到不同时间点账号登录的概率密度。
作为可选择的实施方式,建立账号在线时间历史基线的过程包括:对概率密度小于时间阈值的时间点定义为非正常登录时间。
作为可选择的实施方式,建立账号登录设备历史基线的过程包括:获取账号在不同设备的登录数据,所述登录数据包括账号在不同设备上的登录次数,根据登录次数采用核密度估计算法得到账号在不同设备上登录的概率密度。
作为可选择的实施方式,建立账号登录设备历史基线的过程包括:聚合账号登录设备的IP,得到账号登录设备及登录次数的序列;选定带宽以及核函数,构建核密度估计函数公式,根据得到的序列采用核密度估计函数得到账号在不同设备上登录的概率密度。
作为可选择的实施方式,建立账号登录设备历史基线的过程包括:对概率密度小于设备阈值的登录设备定义为非常用登录设备。
作为可选择的实施方式,对待测账号实际的登录时间和登录设备进行偏离诊断的过程包括:若待测账号实际的登录时间偏离账号在线时间历史基线,则偏离诊断结果异常,定位为失陷账号行为。
作为可选择的实施方式,对待测账号实际的登录时间和登录设备进行偏离诊断的过程包括:若待测账号实际的登录设备偏离账号登录设备历史基线,则偏离诊断结果异常,定位为失陷账号行为。
第二方面,本发明提供一种基于核密度估计的失陷账号检测系统,包括:
第一基线构建模块,被配置为通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;
第二基线构建模块,被配置为通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;
检测模块,被配置为根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断;
定位模块,被配置为若偏离诊断结果异常,则定位为失陷账号;若偏离诊断结果正常,则定位为正常账号。
与现有技术相比,本发明的有益效果为:
本发明提出一种基于核密度估计的失陷账号检测方法及系统,基于网络中的实际实体及行为数据,构建账号正常在线时间历史基线与常用登录设备基线,以此发现偏离历史基线的行为,定位失陷账号风险,准确检测失陷账号,准确发现网络中的数据失泄密行为,提高异常行为检测的准确性,保证数据安全。
本发明提出一种基于核密度估计的失陷账号检测方法及系统,通过核密度估计算法对账号正常登录时间及常用登录设备建立历史基线,真实还原账号登录时间及空间情况,有利于账号失陷的检测。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明实施例1提供的基于核密度估计的失陷账号检测方法示意图;
图2(a)-2(b)为本发明实施例1提供的近一月账号登录设备次数分布和近一月账号登录设备概率趋势示意图;
图3(a)-3(b)为本发明实施例1提供的近一月账号24时登录次数分布和近一月账号24时登录概率趋势示意图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例1
如图1所示,本实施例提供一种基于核密度估计的失陷账号检测方法,包括:
S1:通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;
S2:通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;
S3:根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断;
S4:若偏离诊断结果异常,则定位为失陷账号,若偏离诊断结果正常,则定位为正常账号。
在本实施例中,以内网安全为例,将内网网络环境中多元异构的数据仿真抽象为实体及实体的行为数据,实体即为人员、设备、数据等有形的实体,行为数据即为实体在网络中的行为动作日志;通过用户网络行为与主机行为等信息整合,完成用户与实体的关联,完整还原用户行为,实现网络账号与实体的关联,仿真网络真实用户行为。
本实施例从实体数据与实体行为数据中,获取用户账号信息以及账号登录行为信息,如表1所示:
表1账号信息以及账号登录行为信息
账号 | 登录时间 | 登录IP |
10961 | 2021-11-01 08:00 | 10.11.110.72 |
10961 | 2021-11-01 09:30 | 10.11.110.71 |
在步骤S1中,账号正常在线时间的概率估计;通过核密度估计算法对用户账号在不同时间点的在线数据进行概率估计,即得到在不同时间点可能发生账号在线的概率,以此建立账号在线时间历史基线。
在本实施例中,用户账号在不同时间点的在线数据包括账号在每个时间点的访问行为、登录时间。
作为可选择的一种实施方式,本实施例选择24小时内不同时间点的账户在线数据。
在本实施例中,获取账号不同时间点的在线数据后,聚合统计账号登录时间的次数分布,利用核密度估计算法计算不同时间点账号登录概率密度;同时将低于既定阈值的时间段定义为非正常登录时间。
在步骤S2中,账号常用登录设备的概率估计;通过核密度估计算法对用户账号在不同设备的登录数据进行概率估计,即得到用户账号在不同设备可能发生账号登录的概率,以此建立账号登录设备历史基线。
在本实施例中,获取用户在一段时间内账号在不同设备的登录数据,得到账号在不同设备登录次数的序列分布,以此建立账号登录设备历史基线。
在本实施例中,获取账号在不同设备的登录数据后,计算账号在不同设备上的登录次数,利用核密度估计算法计算不同设备账号登录的概率密度;同时将低于既定阈值的设备定义为非常用登录设备。
由给定样本集求解随机变量的分布密度函数问题是概率统计学的基本问题,解决这一问题的方法主要有参数估计以及非参数估计。在参数估计中,需要假定数据分布符合某种特定的分布。经验和理论说明参数模型的这种基本假定与实际物理模型之间往往存在较大差距。
核密度估计算法是概率分布函数密度中非参数估计的典型方法,核密度估计算法并不加入任何先验知识,无需对数据样本的分布情况建模,而是根据已知数据样本本身的特点、性质来拟合分布,非常适合于对未知样本的概率估计。
核密度估计算法的原理是根据待估计点与每个样本点的距离得到密度值,距离越近,得到的密度值就越大,相反,距离越远,得到的密度值就越小,最后将所有密度值加权平均就得到该估计点在样本分布中的概率密度值。
那么,在建立账号在线时间历史基线的过程中,以小时为粒度聚合一段时间内的账号在线数据,获得一组小时时间点以及登录次数的序列;根据登录时间点和登录次数,选定带宽以及核函数,采用核密度估计函数公式,对用户正常在线时间进行概率估计;同时对于估计概率不小于既定阈值的时间点定义为账号正常在线时间。
在建立账号登录设备历史基线的过程中,聚合一段时间内账号登录设备的IP,获得一组账号登录设备以及登录次数的序列;根据登录设备IP、登录次数,选定带宽以及核函数,采用核密度估计函数公式,对用户常用登录设备进行概率估计;同时对于估计概率不小于既定阈值的登录设备定义为账号登录常用设备。
在步骤S3-S4中,对待测账号实际的登录时间和登录设备进行偏离诊断,根据账号登录的时间和设备是否偏离基线来检测定位账号失陷行为;
建立账号在线时间历史基线以及账号登录设备历史基线后,获取待测账号实际的登录时间和登录设备,判断账号实际登录时间及登录设备是否偏离账号在线时间历史基线以及账号登录设备历史基线,若账号实际登录时间偏离账号在线时间历史基线和/或账号实际登录设备偏离账号登录设备历史基线,即待测账号在非正常登录时间或在非常用登录设备上登录时,偏离诊断结果异常,则定位为账号失陷行为,否则偏离诊断结果正常,定位为正常账号。
本实施例的实验数据为时间跨度共66天的OA系统登录日志,数据量为451134条数据,共3256个用户。
以用户ID为12936的数据为例,在近一个月登录设备如表2所示;其中,登陆IP为点分十进制的表示形式,将登陆IP转换为十进制整数值形式的数字编号,设IP地址为a.b.c.d,则转换公式为:a*2563+b*2562+c*256+d;如IP地址为10.11.120.6时,则10+2563+11*2562+120*256+6=168523782。
表2 登录设备
用户ID | 登录IP | IP转换为数字编号 | 登录次数 |
12936 | 10.11.120.6 | 168523782 | 205 |
12936 | 10.9.32.75 | 168370251 | 197 |
12936 | 10.11.120.16 | 168523792 | 99 |
12936 | 10.53.1.254 | 171246078 | 6 |
12936 | 10.30.106.25 | 169765401 | 3 |
12936 | 10.11.120.5 | 168523781 | 2 |
12936 | 10.9.26.38 | 168368678 | 1 |
登录时间如表3;
表3登录时间
用户ID | 登录时间(小时) | 登录次数 |
12936 | 8 | 71 |
12936 | 9 | 30 |
12936 | 10 | 24 |
12936 | 11 | 39 |
12936 | 12 | 17 |
12936 | 13 | 37 |
12936 | 14 | 26 |
12936 | 15 | 30 |
12936 | 16 | 31 |
12936 | 17 | 53 |
12936 | 18 | 44 |
12936 | 19 | 35 |
12936 | 20 | 18 |
12936 | 21 | 16 |
12936 | 22 | 26 |
12936 | 23 | 23 |
12936 | 0 | 2 |
12936 | 3 | 3 |
如图2(a)-2(b)所示为近一月账号登录设备次数分布和近一月账号登录设备概率趋势示意图,当动态阈值设置为0.02时,可发现用户的常用登录设备为:10.11.120.6,10.9.32.75,10.11.120.16。
如图3(a)-3(b)所示为近一月账号24时登录次数分布和近一月账号24时登录概率趋势示意图,当动态阈值设置为0.02时,发现用户正常工作时间大概为8时-23时,0-5时为非正常工作时间。
检索用户12936在非正常工作时间使用非常用设备登录的痕迹,如发现用户12936在2021-11-25晚1点登录的记录,疑似账号失陷。
实施例2
本实施例提供一种基于核密度估计的失陷账号检测系统,包括:
第一基线构建模块,被配置为通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;
第二基线构建模块,被配置为通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;
检测模块,被配置为根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断;
定位模块,被配置为若偏离诊断结果异常,则定位为失陷账号;若偏离诊断结果正常,则定位为正常账号。
此处需要说明的是,上述模块对应于实施例1中所述的步骤,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为系统的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.一种基于核密度估计的失陷账号检测方法,其特征在于,包括:
通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;
通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;
根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断;
若偏离诊断结果异常,则定位为失陷账号,若偏离诊断结果正常,则定位为正常账号。
2.如权利要求1所述的一种基于核密度估计的失陷账号检测方法,其特征在于,建立账号在线时间历史基线的过程包括:获取账号在不同时间点的在线数据,所述在线数据包括登录时间,聚合统计账号登录时间的次数分布序列,根据次数分布序列采用核密度估计算法得到不同时间点账号登录的概率密度。
3.如权利要求2所述的一种基于核密度估计的失陷账号检测方法,其特征在于,建立账号在线时间历史基线的过程包括:以小时为粒度聚合账号的在线数据,得到账号登录时间的次数分布序列;选定带宽及核函数,采用核密度估计函数,以根据次数分布序列得到不同时间点账号登录的概率密度。
4.如权利要求2所述的一种基于核密度估计的失陷账号检测方法,其特征在于,建立账号在线时间历史基线的过程包括:对概率密度小于时间阈值的时间点定义为非正常登录时间。
5.如权利要求1所述的一种基于核密度估计的失陷账号检测方法,其特征在于,建立账号登录设备历史基线的过程包括:获取账号在不同设备的登录数据,所述登录数据包括账号在不同设备上的登录次数,根据登录次数采用核密度估计算法得到账号在不同设备上登录的概率密度。
6.如权利要求5所述的一种基于核密度估计的失陷账号检测方法,其特征在于,建立账号登录设备历史基线的过程包括:聚合账号登录设备的IP,得到账号登录设备及登录次数的序列;选定带宽以及核函数,构建核密度估计函数公式,根据得到的序列采用核密度估计函数得到账号在不同设备上登录的概率密度。
7.如权利要求5所述的一种基于核密度估计的失陷账号检测方法,其特征在于,建立账号登录设备历史基线的过程包括:对概率密度小于设备阈值的登录设备定义为非常用登录设备。
8.如权利要求1所述的一种基于核密度估计的失陷账号检测方法,其特征在于,对待测账号实际的登录时间和登录设备进行偏离诊断的过程包括:若待测账号实际的登录时间偏离账号在线时间历史基线,则偏离诊断结果异常,定位为失陷账号行为。
9.如权利要求1所述的一种基于核密度估计的失陷账号检测方法,其特征在于,对待测账号实际的登录时间和登录设备进行偏离诊断的过程包括:若待测账号实际的登录设备偏离账号登录设备历史基线,则偏离诊断结果异常,定位为失陷账号行为。
10.一种基于核密度估计的失陷账号检测系统,其特征在于,包括:
第一基线构建模块,被配置为通过核密度估计算法对账号在不同时间点的在线数据进行概率估计,以此建立账号在线时间历史基线;
第二基线构建模块,被配置为通过核密度估计算法对账号在不同设备的登录数据进行概率估计,以此建立账号登录设备历史基线;
检测模块,被配置为根据账号在线时间历史基线和账号登录设备历史基线,对待测账号实际的登录时间和登录设备进行偏离诊断;
定位模块,被配置为若偏离诊断结果异常,则定位为失陷账号,若偏离诊断结果正常,则定位为正常账号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210024108.9A CN114050941B (zh) | 2022-01-11 | 2022-01-11 | 一种基于核密度估计的失陷账号检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210024108.9A CN114050941B (zh) | 2022-01-11 | 2022-01-11 | 一种基于核密度估计的失陷账号检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114050941A true CN114050941A (zh) | 2022-02-15 |
CN114050941B CN114050941B (zh) | 2022-05-03 |
Family
ID=80213598
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210024108.9A Active CN114050941B (zh) | 2022-01-11 | 2022-01-11 | 一种基于核密度估计的失陷账号检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114050941B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080313188A1 (en) * | 2007-06-14 | 2008-12-18 | Microsoft Corporation | Distributed Kernel Density Estimation |
CN106709318A (zh) * | 2017-01-24 | 2017-05-24 | 腾云天宇科技(北京)有限公司 | 一种用户设备唯一性的识别方法、装置和计算设备 |
CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
CN109040103A (zh) * | 2018-08-27 | 2018-12-18 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
CN110489964A (zh) * | 2019-08-21 | 2019-11-22 | 北京达佳互联信息技术有限公司 | 账号检测方法、装置、服务器及存储介质 |
CN110611635A (zh) * | 2018-06-14 | 2019-12-24 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
US10528644B1 (en) * | 2017-06-30 | 2020-01-07 | Cadence Design Systems, Inc. | Estimation and visualization of a full probability distribution for circuit performance obtained with Monte Carlo simulations over scaled sigma sampling |
CN113542236A (zh) * | 2021-06-28 | 2021-10-22 | 中孚安全技术有限公司 | 一种基于核密度估计和指数平滑算法的异常用户检测方法 |
US20210336972A1 (en) * | 2020-04-23 | 2021-10-28 | Bluedon Information Security Technologies Corp. | Method for detecting lost account based on multiple dimensions |
-
2022
- 2022-01-11 CN CN202210024108.9A patent/CN114050941B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080313188A1 (en) * | 2007-06-14 | 2008-12-18 | Microsoft Corporation | Distributed Kernel Density Estimation |
CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
CN106709318A (zh) * | 2017-01-24 | 2017-05-24 | 腾云天宇科技(北京)有限公司 | 一种用户设备唯一性的识别方法、装置和计算设备 |
US10528644B1 (en) * | 2017-06-30 | 2020-01-07 | Cadence Design Systems, Inc. | Estimation and visualization of a full probability distribution for circuit performance obtained with Monte Carlo simulations over scaled sigma sampling |
CN110611635A (zh) * | 2018-06-14 | 2019-12-24 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
CN109040103A (zh) * | 2018-08-27 | 2018-12-18 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
CN110489964A (zh) * | 2019-08-21 | 2019-11-22 | 北京达佳互联信息技术有限公司 | 账号检测方法、装置、服务器及存储介质 |
CN112417439A (zh) * | 2019-08-21 | 2021-02-26 | 北京达佳互联信息技术有限公司 | 账号检测方法、装置、服务器及存储介质 |
US20210336972A1 (en) * | 2020-04-23 | 2021-10-28 | Bluedon Information Security Technologies Corp. | Method for detecting lost account based on multiple dimensions |
CN113542236A (zh) * | 2021-06-28 | 2021-10-22 | 中孚安全技术有限公司 | 一种基于核密度估计和指数平滑算法的异常用户检测方法 |
Non-Patent Citations (1)
Title |
---|
李国庆; 陆为华; 边竞; 孙银锋: "基于自适应扩散核密度估计的时序相关概率最优潮流计算方法", 《中国电机工程学报》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
CN115134164B (zh) * | 2022-07-18 | 2024-02-23 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114050941B (zh) | 2022-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108667856B (zh) | 一种网络异常检测方法、装置、设备及存储介质 | |
CN109558295B (zh) | 一种性能指标异常检测方法及装置 | |
CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
CN107493277B (zh) | 基于最大信息系数的大数据平台在线异常检测方法 | |
US10528533B2 (en) | Anomaly detection at coarser granularity of data | |
JP2019061565A (ja) | 異常診断方法および異常診断装置 | |
TW201629824A (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
CN111309539A (zh) | 一种异常监测方法、装置和电子设备 | |
CN111309565A (zh) | 告警处理方法、装置、电子设备以及计算机可读存储介质 | |
CN107070940B (zh) | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 | |
CN108306846B (zh) | 一种网络访问异常检测方法及系统 | |
CN114338372B (zh) | 网络信息安全监控方法及系统 | |
Yang et al. | Power consumption based android malware detection | |
CN114050941B (zh) | 一种基于核密度估计的失陷账号检测方法及系统 | |
CN113221104A (zh) | 用户异常行为的检测方法及用户行为重构模型的训练方法 | |
CN111611519A (zh) | 一种个人异常行为检测方法及装置 | |
CN110519266A (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
CN114564814A (zh) | 一种针对稀疏数据的动态阈值高斯核密度估计系统和方法 | |
CN107871213B (zh) | 一种交易行为评价方法、装置、服务器以及存储介质 | |
CN117176482A (zh) | 一种大数据网络安全防护方法及系统 | |
CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 | |
Li et al. | Network‐Wide Traffic Anomaly Detection and Localization Based on Robust Multivariate Probabilistic Calibration Model | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
CN107783942B (zh) | 一种异常行为检测方法及装置 | |
CN111683102B (zh) | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |