CN114117418B - 基于社群检测异常账户的方法、系统、设备及存储介质 - Google Patents
基于社群检测异常账户的方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN114117418B CN114117418B CN202111295000.5A CN202111295000A CN114117418B CN 114117418 B CN114117418 B CN 114117418B CN 202111295000 A CN202111295000 A CN 202111295000A CN 114117418 B CN114117418 B CN 114117418B
- Authority
- CN
- China
- Prior art keywords
- node
- social
- community
- cluster
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 124
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000003993 interaction Effects 0.000 claims abstract description 44
- 230000002547 anomalous effect Effects 0.000 claims description 19
- 230000006399 behavior Effects 0.000 claims description 17
- 238000001514 detection method Methods 0.000 claims description 13
- 230000002452 interceptive effect Effects 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 12
- 230000000694 effects Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 8
- 206010000117 Abnormal behaviour Diseases 0.000 description 7
- 238000012549 training Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 238000002372 labelling Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000005111 flow chemistry technique Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003245 working effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000003313 weakening effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了基于社群检测异常账户的方法、系统、设备及存储介质,其中,方法包括:获取日志样本数据集,其中至少包括用户账户与实体的交互信息和关联参数;将用户账户和实体标识分别作为第一节点和第二节点,根据交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对二分图投影获得关于第一节点的一带边权重的投影图;通过社区发现算法对投影图中的第一节点进行社群簇划分,获得社群图;根据社群图的任一社群簇中的任一第一节点与位于其他社群簇中的邻节点的集合获得第一节点的异常值,从而判断异常账户。本发明能够从日志数据中提取用户与实体的交互行为,检测异常用户的主要依据特征,能有效检测未知异常模式。
Description
技术领域
本发明涉及网络安全领域,具体地说,涉及基于社群检测异常账户的方法、系统、设备及存储介质。
背景技术
在信息安全领域,内网的安全能保障企业正常的业务运行和数据流转,一个很重要的问题是如何发现用户的异常行为,例如,用户账号被盗或成为内鬼,去访问一般情况下不会访问的资产;用户搜集多种资产数据,造成数据泄露等。
在传统的用户异常行为检测过程中,一般依靠专家经验设置固定阈值,该方法随着数据体量增长后告警泛化能力变差,经常会导致告警漏告或误告;基于监督式的异常检测,需要对训练数据进行标注,存在标注数据量大、标注成本高的问题;基于无监督学习的检测点异常的智能告警方式,缺乏对用户之间关联的考虑,不易发现潜在的内部风险。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
针对现有技术中的问题,本发明的目的在于提供基于社群检测异常账户的方法、系统、设备及存储介质,克服了现有技术的困难,能够从日志数据中提取用户与实体的交互行为,检测异常用户的主要依据特征,有效检测未知异常模式。
本发明的实施例提供一种基于社群检测异常账户的方法,包括以下步骤:
获取待分析的日志样本数据集,所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数;
将用户账户和实体标识分别作为第一节点和第二节点,根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对所述二分图投影获得关于第一节点的一带边权重的投影图;
通过社区发现算法对所述投影图中的所述第一节点进行社群簇划分,获得社群图;
根据所述社群图的任一所述社群簇中的任一第一节点与位于其他所述社群簇中的邻节点的集合获得所述第一节点的异常值,根据所述第一节点的异常值判断异常账户。
优选地所述获取待分析的日志样本数据集,所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数中,包括以下步骤:
所述交互信息至少包括用户账户的用户名、所述用户账户访问的所述实体的实体标识和ip地址;
所述关联参数至少包括统计所述用户账户与所述实体之间的交互频次。
优选地所述将用户账户和实体标识分别作为第一节点和第二节点,根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,根据所述二分图获得一带边权重的投影图,包括以下步骤:
根据所述交互信息,建立一无向有权的二分图,所述二分图一侧设有若干第一节点,每个所述第一节点分别对应一用户账户,另一侧设有若干第二节点,每个所述第二节点分别对应一所述实体标识,所述二分图的第一边基于所述交互信息连接所述第一节点和第二节点;
基于所述用户账户与每个所述实体的关联参数获得所述第一边的权重;
将所述二分图中连接到同一所述第二节点的所述第一节点两两配对,在每对所述第一节点之间连接一第二边,获得一带边权重的投影图;
基于所述二分图中连接所述第二节点的各所述第一边的权重获得所述第二边的权重。
优选地所述第二边的权重等于所述二分图中连接所述第二节点的各所述第一边的权重之和。
优选地,所述根据所述社群图的任一所述社群簇中的任一第一节点与位于其他所述社群簇中的邻节点的集合获得所述第一节点的异常值,包括以下步骤:
获得所述社群簇中的每个用户账户的聚类中心性,将所述社群簇中聚类中心性最大的节点作为所述社群簇的聚类中心节点;
获得所述社群簇的社群聚类系数E;
收录所述社群簇中的第一节点的位于其他社群簇中的邻节点,获得邻节点集合V,所述社群图中的第一节点与所述邻节点通过一跨越两社群簇的边直接相连;
计算所述任一第一节点i的异常值s(i)的公式(1)为
其中,j为邻节点集合V中的一节点,Nj为节点j所在的社群簇的节点总数,kj为节点j所在的社群簇的聚类中心节点,Ej为节点j所在的社群簇的聚类系数,d(i,kj)为节点i到节点kj的最短路径。
优选地所述获得所述社群簇中的每个用户账户的聚类中心性,包括以下步骤:
获得所述社群簇中的任一用户账户v的聚类中心性的公式(2)为:
其中,dv表示节点v的度,N表示节点v所在的社群簇中的节点集合,d(u,v)表示节点v到达节点u的最短路径。
优选地所述获得所述社群簇的社群聚类系数E中,包括以下步骤:
遍历所述社群簇中的节点,获得所述社群簇中封闭三元组的总数目G和所述社群簇中开放三元组的总数目H,获得所述社群簇的社群聚类系数E=G/(G+H)。
优选地,当满足以下任一条件时,所述第一节点的异常值s(i)正向增长:
所述社群簇第一节点访问其他社群簇中邻节点的距离增加;
所述社群簇第一节点访问的其他社群簇的聚类系数增加;
所述社群簇第一节点访问其他社群簇中邻节点的距离增加,并且,所述社群簇第一节点访问的其他社群簇的聚类系数增加。
优选地,所述根据所述第一节点的异常值判断异常账户中,包括以下三种步骤中的一种:
(1)将所述异常值排序前P个所述第一节点对应的用户账户作为异常账户;或者
(2)将所述异常值大于预设阀值的Q个所述第一节点对应的用户账户作为异常账户;或者
(3)获得所述异常值排序前P个所述第一节点对应的用户账户,形成第一用户账户集合,获得所述异常值大于预设阀值的Q个所述第一节点对应的用户账户,形成第二用户账户集合,合并去重所述第一用户账户集合和第二用户账户集合,形成第三用户账户集合,所述第三用户账户集合中的用户账户为异常账户,执行限制所述第三用户账户集合中用户账户的交互行为的操作。
本发明的实施例还提供一种基于社群检测异常账户的系统,用于实现上述的基于社群检测异常账户的方法,所述基于社群检测异常账户的系统包括:
信息获取模块,获取待分析的日志样本数据集,所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数;
网络构建模块,将用户账户和实体标识分别作为第一节点和第二节点,根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对所述二分图投影获得关于第一节点的一带边权重的投影图;
社群发现模块,通过社区发现算法对所述投影图中的所述第一节点进行社群簇划分,获得社群图;以及
异常评估模块,根据所述社群图的任一所述社群簇中的任一第一节点与位于其他所述社群簇中的邻节点的集合获得所述第一节点的异常值,根据所述第一节点的异常值判断异常账户。
本发明的实施例还提供一种基于社群检测异常账户的设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述基于社群检测异常账户的方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述基于社群检测异常账户的方法的步骤。
本发明的目的在于提供基于社群检测异常账户的方法、系统、设备及存储介质,能够无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的基于社群检测异常账户的方法的一种实施例的流程图。
图2是本发明的基于社群检测异常账户的方法的另一种实施例的流程图。
图3至5是运行本发明的网络用户异常行为的过程步骤示意图。
图6是本发明的基于社群检测异常账户的系统的一种实施例的模块示意图。
图7是本发明的基于社群检测异常账户的系统的另一种实施例的模块示意图。
图8是本发明的基于社群检测异常账户的系统运行的示意图。
具体实施方式
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本申请所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用系统,本申请中的各项细节也可以根据不同观点与应用系统,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面以附图为参考,针对本申请的实施例进行详细说明,以便本申请所属技术领域的技术人员能够容易地实施。本申请可以以多种不同形态体现,并不限定于此处说明的实施例。
在本申请的表示中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的表示意指结合该实施例或示例表示的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,表示的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本申请中表示的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于表示目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的表示中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
为了明确说明本申请,省略与说明无关的器件,对于通篇说明书中相同或类似的构成要素,赋予了相同的参照符号。
在通篇说明书中,当说某器件与另一器件“连接”时,这不仅包括“直接连接”的情形,也包括在其中间把其它元件置于其间而“间接连接”的情形。另外,当说某种器件“包括”某种构成要素时,只要没有特别相反的记载,则并非将其它构成要素排除在外,而是意味着可以还包括其它构成要素。
当说某器件在另一器件“之上”时,这可以是直接在另一器件之上,但也可以在其之间伴随着其它器件。当对照地说某器件“直接”在另一器件“之上”时,其之间不伴随其它器件。
虽然在一些实例中术语第一、第二等在本文中用来表示各种元件,但是这些元件不应当被这些术语限制。这些术语仅用来将一个元件与另一个元件进行区分。例如,第一接口及第二接口等表示。再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在的特征、步骤、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的,或意味着任一个或任何组合。因此,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
此处使用的专业术语只用于言及特定实施例,并非意在限定本申请。此处使用的单数形态,只要语句未明确表示出与之相反的意义,那么还包括复数形态。在说明书中使用的“包括”的意义是把特定特性、区域、整数、步骤、作业、要素及/或成份具体化,并非排除其它特性、区域、整数、步骤、作业、要素及/或成份的存在或附加。
虽然未不同地定义,但包括此处使用的技术术语及科学术语,所有术语均具有与本申请所属技术领域的技术人员一般理解的意义相同的意义。普通使用的字典中定义的术语追加解释为具有与相关技术文献和当前提示的内容相符的意义,只要未进行定义,不得过度解释为理想的或非常公式性的意义。
图1是本发明的基于社群检测异常账户的方法的一种实施例的流程图。如图1所示,本发明的实施例提供一种基于社群检测异常账户的方法,包括以下步骤:
S110、获取待分析的日志样本数据集,日志样本数据集至少包括用户账户与实体的交互信息和关联参数。其中,交互信息至少包括用户账户的用户名、用户账户访问的实体的实体标识和ip地址;关联参数至少包括统计用户账户与实体之间的交互频次。
S120、将用户账户和实体标识分别作为第一节点和第二节点,根据交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对二分图投影获得关于第一节点的一带边权重的投影图。
S130、通过社区发现算法(FastUnfolding算法)对投影图中的第一节点进行社群簇划分,获得社群图,但不以此为限。FastUnfolding算法是一种基于模块度的算法,模块度成为度量社区划分优劣的重要标准,划分后的网络模块度值越大,说明社区划分的效果越好,Fast Unfolding算法便是基于模块度对社区划分的算法,Fast Unfolding算法是一种迭代的算法,主要目标是不断划分社区使得划分后的整个网络的模块度不断增大。模块度(modularity)指的是网络中连接社区结构内部顶点的边所占的比例,减去在同样的社团结构下任意连接这两个节点的比例的期望值。使用基于模块度的FastUnfolding算法对投影图进行社群划分,被划分为同一社群的账号节点,表示这些账号访问实体的行为习惯相似,例如是相同部门、工作性质相似等。本发明也可以使用现有的或者未来发明的其他的社区发现算法进行投影图向社群图的转换。
S140、根据社群图的任一社群簇中的任一第一节点与位于其他社群簇中的邻节点的集合获得第一节点的异常值,根据第一节点的异常值判断异常账户。
本发明利用现有的图论作为基础,图论〔Graph Theory〕是数学的一个分支。它以图为研究对象。图论中的图是由若干给定的点及连接两点的线所构成的图形,这种图形通常用来描述某些事物之间的某种特定关系,用点代表事物,用连接两点的线表示相应两个事物间具有这种关系,但不以此为限。
传统的安全防护方法容易忽略关键性的用户行为信息,且缺乏对用户之间关联的考虑,因此需要通过组织内部各域记录的用户活动日志数据进行分析,对异常行为及未知威胁进行探测和预警。本发明提出的一种基于社群发现的用户异常行为检测方法,属于一种无监督算法,无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
图2是本发明的基于社群检测异常账户的方法的另一种实施例的流程图。如图2所示,该基于社群检测异常账户的方法,在图1实施例中步骤S110、S120、S130、S140的基础上,通过S111、S112替换了步骤S110,通过S121、S122、S123、S124替换了步骤S120,通过S141、S142、S143、S144、S145替换了步骤S140。以下针对每个步骤进行说明:
S111、交互信息至少包括用户账户的用户名、用户账户访问的实体的实体标识和ip地址,但不以此为限。
S112、关联参数至少包括统计用户账户与实体之间的交互频次,但不以此为限。
S121、根据交互信息,建立一无向有权的二分图,二分图一侧设有若干第一节点,每个第一节点分别对应一用户账户,另一侧设有若干第二节点,每个第二节点分别对应一实体标识,二分图的第一边基于交互信息连接第一节点和第二节点,但不以此为限。
S122、基于用户账户与每个实体的关联参数获得第一边的权重,但不以此为限。
S123、将二分图中连接到同一第二节点的第一节点两两配对,在每对第一节点之间连接一第二边,获得一带边权重的投影图,但不以此为限。
S124、基于二分图中连接第二节点的各第一边的权重获得第二边的权重,但不以此为限。
S130、通过社区发现算法对投影图中的第一节点进行社群簇划分,获得社群图,但不以此为限。
S141、获得社群簇中的每个用户账户的聚类中心性,将社群簇中聚类中心性最大的节点作为社群簇的聚类中心节点。获得社群中的每个用户账户的聚类中心性的公式(2)为:
其中,dv表示节点v的度,N表示节点v所在的社群簇中的节点集合,d(u,v)表示节点v到达节点u的最短路径。在图论和网络分析中,聚类中心性指标可确定图中的最重要节点,但不以此为限。
S142、获得社群簇的社群聚类系数E。遍历社群簇中的节点,获得社群簇中封闭三元组的总数目G和社群簇中开放三元组的总数目H,获得社群簇的社群聚类系数E=G/(G+H)。
其中,自同一社群簇中遍历各个节点,选中通过边相连的三个节点称为三元组,形成三元组的集合,在三元组的集合中如果是通过三条边相连的三元组称为封闭三元组(类似三角形结构),如果是通过两条边相连的三元组称为开放三元组(类似折线结构),但不以此为限。
S143、收录社群簇中的第一节点的位于其他社群簇中的邻节点,获得邻节点集合V,社群图中的第一节点与邻节点通过一跨越两社群簇的边直接相连,但不以此为限。
S144、计算任一第一节点i的异常值s(i)的公式(1)为
其中,j为邻节点集合V中的一节点,Nj为节点j所在的社群簇的节点总数,kj为节点j所在的社群簇的聚类中心节点,Ej为节点j所在的社群簇的聚类系数,d(i,kj)为节点i到节点kj的最短路径,但不以此为限。其中,当满足以下任一条件时,第一节点的异常值s(i)正向增长:
(1)社群簇第一节点访问其他社群簇中邻节点的距离增加;或者
(2)社群簇第一节点访问的其他社群簇的聚类系数增加;或者
(3)社群簇第一节点访问其他社群簇中邻节点的距离增加,并且,社群簇第一节点访问的其他社群簇的聚类系数增加。
S145、根据第一节点的异常值判断异常账户,但不以此为限。
根据第一节点的异常值判断异常账户中,包括以下三种步骤中的一种:
(1)将异常值排序前P个第一节点对应的用户账户作为异常账户;或者
(2)将异常值大于预设阀值的Q个第一节点对应的用户账户作为异常账户;或者
(3)获得异常值排序前P个第一节点对应的用户账户,形成第一用户账户集合,获得异常值大于预设阀值的Q个第一节点对应的用户账户,形成第二用户账户集合,合并去重第一用户账户集合和第二用户账户集合,形成第三用户账户集合,第三用户账户集合中的用户账户为异常账户,执行限制第三用户账户集合中用户账户的交互行为的操作。
本发明提出了基于社群发现的用户异常行为检测方法,使用基于模块度的FastUnfolding算法进行社群划分,定义了网络中边的权重,能发现有层次的社区结构,划分的效果更好。建立了对账号节点的异常评估公式,依据账号节点对不符合其行为习惯的社群的访问程度进行衡量,有较好的解释性,能有效挖掘出异常值较大的用户账号。
本发明提出了一种新的方式评估账号节点的异常程度,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。本发明在计算账号异常值时,考虑了划分的社群的特征,包括社群节点数|N|,社群聚类中心节点k和社群聚类系数E。通过社群的特征衡量账号节点与非所在社群的距离,在异常值计算公式中得到体现。
图3至5是运行本发明的网络用户异常行为的过程步骤示意图。如图3至5所示,本发明的实施过程如下:
获取历史某个时间段内的日志数据集,包含账号与实体的交互信息和关联关系,其中账号的关键字段有账号的用户名等,实体指设备、数据库等,其关键字段包括实体的标识信息、ip地址等。并统计账号与实体的交互频次。
根据账号与实体的关键字段和交互信息,如附图3所示,构建一个无向有权二分图,二分图的左边节点对应多个用户账号,右边节点对应多个实体标识,二分图的边连接账号节点和实体节点,边权重由账号与实体的交互频次表示。如附图4所示,从二分图中得到仅包含左边节点(所有账号的集合)的带边权重的投影图,账号与账号之间若访问过同一实体,将构成投影图中的一条关联边。由于账号1和账号2都访问过设备a,因此在投影图中,账号1节点与账号2节点之间存在一条连接边。
使用基于模块度的FastUnfolding算法对投影图进行社群划分,被划分为同一社群的账号节点,表示这些账号访问实体的行为习惯相似,例如是相同部门、工作性质相似等。如附图5所示,所有账号节点被划分到A、B、C三个社群,例如:其中的A社群的节点都是客服部门的用户,B社群的节点都是研发部门的用户,C社群的节点都是销售部门的用户。可见,社群内部的连接是强连接,社群之间的连接是弱连接。
提出了一种新的方式来衡量账号节点的异常程度,依据各账号节点对不符合其行为习惯的社群的访问程度进行衡量。
首先计算各社群的特征,包括:社群节点数|N|,社群聚类中心节点k和社群聚类系数E。
社群聚类中心即该社群中聚类中心性最大的节点,如附图5的A、B、C社群中对应的a、b、c节点。
节点的聚类中心性通过该节点的度dv和该节点与其他节点的紧密性共同衡量。其计算公式为:
其中,dv表示节点v的度,N表示社群中的节点集合,d(u,v)表示节点v到达节点u的最短路径,该项累加值越小表示节点v与社群中其他节点联系越紧密。
社群聚类系数E用于衡量社群内节点聚集的程度,在图论中,通过封闭和开放的三元组数目的比值关系得到。遍历社群簇中的节点,获得社群簇中封闭三元组的总数目G和社群簇中开放三元组的总数目H,获得社群簇的社群聚类系数E=G/(G+H)。
如附图5,中社群C所示,{1,(2,3)}是封闭三元组,{2,(1,4)}为开放三元组。
账号节点i的异常值s(i)计算公式为:
①对任一账号节点i,查找其相邻节点中与之不在同一社群的邻节点,构成集合V。
②对集合V中的任一节点j,其对应社群的特征有:节点总数Nj、聚类中心节点kj、聚类系数Ej,d(i,kj)为节点i到节点kj的最短路径。
在计算某个账号节点的异常值时,考虑了与该节点不在同一社群的邻节点所在的社群的特征,如附图5所示,社群B的节点i,其邻节点中有来自社群A的节点j1和社群C的节点j2。节点与其他社群的距离,通过节点与该社群的聚类中心节点的最短路径来衡量。
计算公式说明,如果节点访问的其他社群的距离远,访问的社群聚集程度高,则异常值高,社群节点数用于削弱社群规模对距离的影响。最终输出的异常账号依据其异常值大于预设阈值的方式或者其异常值为top N(排序最前的的N个)的方式产生。
图6是本发明的基于社群检测异常账户的系统的一种实施例的模块示意图。本发明的基于社群检测异常账户的系统,如图6所示,包括但不限于:
信息获取模块51,获取待分析的日志样本数据集,日志样本数据集至少包括用户账户与实体的交互信息和关联参数。
网络构建模块52,将用户账户和实体标识分别作为第一节点和第二节点,根据交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对二分图投影获得关于第一节点的一带边权重的投影图。
社群发现模块53,通过社区发现算法对投影图中的第一节点进行社群簇划分,获得社群图。
异常评估模块54,根据社群图的任一社群簇中的任一第一节点与位于其他社群簇中的邻节点的集合获得第一节点的异常值,根据第一节点的异常值判断异常账户。
上述模块的实现原理参见基于社群检测异常账户的方法中的相关介绍,此处不再赘述。
本发明的基于社群检测异常账户的系统能够无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
图7是本发明的基于社群检测异常账户的系统的另一种实施例的模块示意图。如图7所示,在图6所示装置实施例的基础上,本发明的基于社群检测异常账户的系统通过交互信息模块511、关联参数模块512替换了信息获取模块51,二分图模块521、第一边权重模块522、投影图模块523、第二边权重模块524替换了网络构建模块52,聚类中心模块541、聚类系数模块542、邻节点集合模块543、异常值模块544、异常值判断模块545替换了异常评估模块54。以下针对每个模块进行说明:
交互信息模块511,交互信息至少包括用户账户的用户名、用户账户访问的实体的实体标识和ip地址。
关联参数模块512,关联参数至少包括统计用户账户与实体之间的交互频次。
二分图模块521,根据交互信息,建立一无向有权的二分图,二分图一侧设有若干第一节点,每个第一节点分别对应一用户账户,另一侧设有若干第二节点,每个第二节点分别对应一实体标识,二分图的第一边基于交互信息连接第一节点和第二节点。
交互信息模块522,基于用户账户与每个实体的关联参数获得第一边的权重。
投影图模块523,将二分图中连接到同一第二节点的第一节点两两配对,在每对第一节点之间连接一第二边,获得一带边权重的投影图。
第二边权重模块524,基于二分图中连接第二节点的各第一边的权重获得第二边的权重。
社群发现模块53,通过社区发现算法对投影图中的第一节点进行社群簇划分,获得社群图。
聚类中心模块541,获得社群簇中的每个用户账户的聚类中心性,将社群簇中聚类中心性最大的节点作为社群簇的聚类中心节点。
聚类系数模块542,获得社群簇的社群聚类系数E。
邻节点集合模块543,收录社群簇中的第一节点的位于其他社群簇中的邻节点,获得邻节点集合V,社群图中的第一节点与邻节点通过一跨越两社群簇的边直接相连。
异常值模块544,计算任一第一节点i的异常值s(i)的公式(1)为
其中,j为邻节点集合V中的一节点,Nj为节点j所在的社群簇的节点总数,kj为节点j所在的社群簇的聚类中心节点,Ej为节点j所在的社群簇的聚类系数,d(i,kj)为节点i到节点kj的最短路径。
异常值判断模块545,根据第一节点的异常值判断异常账户。
上述模的实现原理参见基于社群检测异常账户的方法中的相关介绍,此处不再赘述。
本发明的基于社群检测异常账户的系统能够无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
本发明实施例还提供一种基于社群检测异常账户的设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的基于社群检测异常账户的方法的步骤。
如上所示,该实施例本发明的基于社群检测异常账户的系统能够无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图8是本发明的基于社群检测异常账户的设备的结构示意图。下面参照图8来描述根据本发明的这种实施方式的电子设备600。图8显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:处理系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的基于社群检测异常账户的方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例本发明的基于社群检测异常账户的系统能够无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明处理的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供基于社群检测异常账户的方法、系统、设备及存储介质,能够无需标注数据和提前训练,从日志数据中提取用户与实体的交互行为,以图数据形式存在的网络拓扑特征和活动特征作为检测异常用户的主要依据特征,能有效检测未知异常模式。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (11)
1.一种基于社群检测异常账户的方法,其特征在于,包括:
获取待分析的日志样本数据集,所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数;
将用户账户和实体标识分别作为第一节点和第二节点,根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对所述二分图投影获得关于第一节点的一带边权重的投影图;
通过社区发现算法对所述投影图中的所述第一节点进行社群簇划分,获得社群图;以及
获得所述社群簇中的每个用户账户的聚类中心性,将所述社群簇中聚类中心性最大的节点作为所述社群簇的聚类中心节点;获得所述社群簇的社群聚类系数E;收录所述社群簇中的第一节点的位于其他社群簇中的邻节点,获得邻节点集合V,所述社群图中的第一节点与所述邻节点通过一跨越两社群簇的边直接相连;计算所述任一第一节点i的异常值s(i)的公式(1)为
其中,j为邻节点集合V中的一节点,Nj为节点j所在的社群簇的节点总数,kj为节点j所在的社群簇的聚类中心节点,Ej为节点j所在的社群簇的聚类系数,d(i,kj)为节点i到节点kj的最短路径,根据所述第一节点的异常值判断异常账户。
2.根据权利要求1所述的基于社群检测异常账户的方法,其特征在于,所述获取待分析的日志样本数据集,所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数中,包括以下步骤:
所述交互信息至少包括用户账户的用户名、所述用户账户访问的所述实体的实体标识和ip地址;
所述关联参数至少包括统计所述用户账户与所述实体之间的交互频次。
3.根据权利要求1所述的基于社群检测异常账户的方法,其特征在于,所述将用户账户和实体标识分别作为第一节点和第二节点,根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,根据所述二分图获得一带边权重的投影图,包括以下步骤:
根据所述交互信息,建立一无向有权的二分图,所述二分图一侧设有若干第一节点,每个所述第一节点分别对应一用户账户,另一侧设有若干第二节点,每个所述第二节点分别对应一所述实体标识,所述二分图的第一边基于所述交互信息连接所述第一节点和第二节点;
基于所述用户账户与每个所述实体的关联参数获得所述第一边的权重;
将所述二分图中连接到同一所述第二节点的所述第一节点两两配对,在每对所述第一节点之间连接一第二边,获得一带边权重的投影图;
基于所述二分图中连接所述第二节点的各所述第一边的权重获得所述第二边的权重。
4.根据权利要求3所述的基于社群检测异常账户的方法,其特征在于,所述第二边的权重等于所述二分图中连接所述第二节点的各所述第一边的权重之和。
5.根据权利要求1所述的基于社群检测异常账户的方法,其特征在于,所述获得所述社群簇中的每个用户账户的聚类中心性,包括以下步骤:
获得所述社群簇中的任一用户账户v的聚类中心性的公式(2)为:
其中,dv表示节点v的度,N表示节点v所在的社群簇中的节点集合,d(u,v)表示节点v到达节点u的最短路径。
6.根据权利要求1所述的基于社群检测异常账户的方法,其特征在于,所述获得所述社群簇的社群聚类系数E中,包括以下步骤:
遍历所述社群簇中的节点,获得所述社群簇中封闭三元组的总数目G和所述社群簇中开放三元组的总数目H,获得所述社群簇的社群聚类系数E=G/(G+H)。
7.根据权利要求1所述的基于社群检测异常账户的方法,其特征在于,当满足以下任一条件时,所述第一节点的异常值s(i)正向增长:
所述社群簇第一节点访问其他社群簇中邻节点的距离增加;
所述社群簇第一节点访问的其他社群簇的聚类系数增加;
所述社群簇第一节点访问其他社群簇中邻节点的距离增加,并且,所述社群簇第一节点访问的其他社群簇的聚类系数增加。
8.根据权利要求1所述的基于社群检测异常账户的方法,其特征在于,所述根据所述第一节点的异常值判断异常账户中,包括以下步骤中的一种:
将所述异常值排序前P个所述第一节点对应的用户账户作为异常账户;或者
将所述异常值大于预设阀值的Q个所述第一节点对应的用户账户作为异常账户;或者
获得所述异常值排序前P个所述第一节点对应的用户账户,形成第一用户账户集合,获得所述异常值大于预设阀值的Q个所述第一节点对应的用户账户,形成第二用户账户集合,合并去重所述第一用户账户集合和第二用户账户集合,形成第三用户账户集合,所述第三用户账户集合中的用户账户为异常账户,执行限制所述第三用户账户集合中用户账户的交互行为的操作。
9.一种基于社群检测异常账户的系统,其特征在于,包括:
信息获取模块,获取待分析的日志样本数据集,所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数;
网络构建模块,将用户账户和实体标识分别作为第一节点和第二节点,根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图,通过对所述二分图投影获得关于第一节点的一带边权重的投影图;
社群发现模块,通过社区发现算法对所述投影图中的所述第一节点进行社群簇划分,获得社群图;以及
异常评估模块,获得所述社群簇中的每个用户账户的聚类中心性,将所述社群簇中聚类中心性最大的节点作为所述社群簇的聚类中心节点;获得所述社群簇的社群聚类系数E;收录所述社群簇中的第一节点的位于其他社群簇中的邻节点,获得邻节点集合V,所述社群图中的第一节点与所述邻节点通过一跨越两社群簇的边直接相连;计算所述任一第一节点i的异常值s(i)的公式(1)为
其中,j为邻节点集合V中的一节点,Nj为节点j所在的社群簇的节点总数,kj为节点j所在的社群簇的聚类中心节点,Ej为节点j所在的社群簇的聚类系数,d(i,kj)为节点i到节点kj的最短路径,根据所述第一节点的异常值判断异常账户。
10.一种基于社群检测异常账户的设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至8任意一项所述基于社群检测异常账户的方法的步骤。
11.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至8任意一项所述基于社群检测异常账户的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111295000.5A CN114117418B (zh) | 2021-11-03 | 2021-11-03 | 基于社群检测异常账户的方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111295000.5A CN114117418B (zh) | 2021-11-03 | 2021-11-03 | 基于社群检测异常账户的方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114117418A CN114117418A (zh) | 2022-03-01 |
| CN114117418B true CN114117418B (zh) | 2023-03-14 |
Family
ID=80380971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111295000.5A Active CN114117418B (zh) | 2021-11-03 | 2021-11-03 | 基于社群检测异常账户的方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114117418B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116846596B (zh) * | 2023-05-31 | 2024-01-30 | 北京数美时代科技有限公司 | 一种恶意账号的识别方法、系统、介质及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109948641A (zh) * | 2019-01-17 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 异常群体识别方法及装置 |
| CN111598711A (zh) * | 2020-05-14 | 2020-08-28 | 清华大学 | 目标用户账号识别方法、计算机设备及存储介质 |
| CN111784528A (zh) * | 2020-05-27 | 2020-10-16 | 平安科技(深圳)有限公司 | 异常社群检测方法、装置、计算机设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9747551B2 (en) * | 2014-09-29 | 2017-08-29 | Pivotal Software, Inc. | Determining and localizing anomalous network behavior |
| US11399037B2 (en) * | 2019-09-06 | 2022-07-26 | Paypal, Inc. | Anomaly behavior detection in interactive networks |
| CN113282433B (zh) * | 2021-06-10 | 2023-04-28 | 天翼云科技有限公司 | 集群异常检测方法、装置和相关设备 |
-
2021
- 2021-11-03 CN CN202111295000.5A patent/CN114117418B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109948641A (zh) * | 2019-01-17 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 异常群体识别方法及装置 |
| CN111598711A (zh) * | 2020-05-14 | 2020-08-28 | 清华大学 | 目标用户账号识别方法、计算机设备及存储介质 |
| CN111784528A (zh) * | 2020-05-27 | 2020-10-16 | 平安科技(深圳)有限公司 | 异常社群检测方法、装置、计算机设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Anomaly detection by discovering bipartite structure on complex networks;HuichunLi;《Computer Networks》;20210508;全文 * |
| 基于聚类分析的二分网络社区挖掘;张嫱嫱;《计算机应用》;20151231;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114117418A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Guo et al. | From general to specific: Informative scene graph generation via balance adjustment | |
| Zhang et al. | Towards characterizing adversarial defects of deep learning software from the lens of uncertainty | |
| JP6725700B2 (ja) | 異常なユーザ行動関連アプリケーションデータを検出するための方法、装置、およびコンピュータ読み取り可能な媒体 | |
| CN111612039B (zh) | 异常用户识别的方法及装置、存储介质、电子设备 | |
| CN111612041B (zh) | 异常用户识别方法及装置、存储介质、电子设备 | |
| US8028061B2 (en) | Methods, systems, and computer program products extracting network behavioral metrics and tracking network behavioral changes | |
| CN111612038B (zh) | 异常用户检测方法及装置、存储介质、电子设备 | |
| US20210136120A1 (en) | Universal computing asset registry | |
| WO2017205936A1 (en) | Classification of log data | |
| CN112085281B (zh) | 检测业务预测模型安全性的方法及装置 | |
| CN117094184B (zh) | 基于内网平台的风险预测模型的建模方法、系统及介质 | |
| Entezami et al. | On continuous health monitoring of bridges under serious environmental variability by an innovative multi-task unsupervised learning method | |
| CN114117418B (zh) | 基于社群检测异常账户的方法、系统、设备及存储介质 | |
| Sönmez et al. | Anomaly detection using data mining methods in it systems: a decision support application | |
| CN113222730A (zh) | 一种基于二部图模型侦测银行信用卡套现行为的方法 | |
| CN117319051A (zh) | 基于用户实体行为分析的安全威胁情报的确定方法及装置 | |
| Ekong et al. | Securing against zero-day attacks: a machine learning approach for classification and organizations’ perception of its impact | |
| CN115239215B (zh) | 一种基于深度异常检测的企业风险识别方法和系统 | |
| Shirazi et al. | A combined anomaly base intrusion detection using memetic algorithm and Bayesian networks | |
| Santhadevi et al. | Light Weight Gradient Ensemble Model for detecting network attack at the edge of the IoT network | |
| KR101645214B1 (ko) | 악성코드 분류 장치 및 악성코드 분류 방법 | |
| Shanker et al. | Fss-part: Feature grouping subset model for predicting network attacks | |
| Isaksson | New outlier detection techniques for data streams | |
| Hindarto | Case Study: Gradient Boosting Machine vs Light GBM in Potential Landslide Detection | |
| Tripathy et al. | Performance evaluation of Machine learning algorithms for Intrusion Detection System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20220301 Assignee: QUANZHI TECHNOLOGY (HANGZHOU) Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000010 Denomination of invention: Methods, systems, devices, and storage media for detecting abnormal accounts based on communities Granted publication date: 20230314 License type: Common License Record date: 20240226 |