CN114124482B - 基于lof和孤立森林的访问流量异常检测方法及设备 - Google Patents

基于lof和孤立森林的访问流量异常检测方法及设备 Download PDF

Info

Publication number
CN114124482B
CN114124482B CN202111317365.3A CN202111317365A CN114124482B CN 114124482 B CN114124482 B CN 114124482B CN 202111317365 A CN202111317365 A CN 202111317365A CN 114124482 B CN114124482 B CN 114124482B
Authority
CN
China
Prior art keywords
flow
lof
data
detection
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111317365.3A
Other languages
English (en)
Other versions
CN114124482A (zh
Inventor
唐晋
廖游
黎臻
成霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202111317365.3A priority Critical patent/CN114124482B/zh
Publication of CN114124482A publication Critical patent/CN114124482A/zh
Application granted granted Critical
Publication of CN114124482B publication Critical patent/CN114124482B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于LOF和孤立森林的访问流量异常检测方法及设备,其中检测方法包括:流量预处理:对访问流量数据进行预处理得到流量数据集,所述预处理包括流量提取、流量清洗和流量规格化;机器学习模型训练:将所述流量数据集作为模型输入进行机器学习训练,分别使用局部离群因子LOF检测算法和孤立森林算法进行多次迭代训练,得到训练好的两组共N个异常检测模型并保存;联合智能分析:使用步骤2训练好的两组所述异常检测模型进行目标流量检测,利用装袋Bagging算法进行结果筛选。本发明利用局部离群因子LOF检测算法联合孤立森林进行联合分析,对收集到的访问流量类别进行异常检测,判断流量是否异常,保证系统的安全性。

Description

基于LOF和孤立森林的访问流量异常检测方法及设备
技术领域
本发明涉及流量异常检测技术领域,尤其涉及一种基于LOF和孤立森林的访问流量异常检测方法及设备。
背景技术
互联网在社会生活的各个领域发挥着重要作用,但也面临着自身开放性和复杂性所带来的安全风险。黑客可以利用木马、僵尸网络等技术操纵数万甚至上百万台被入侵的计算机,释放恶意代码、发送垃圾邮件,并实施分布式拒绝服务攻击,来进行攻击和入侵。对访问流量进行异常检测,对及时发现网络异常和保证网络正常运行具有重要意义。目前主要的流量异常检测技术包括基于信息理论的异常检测技术、基于统计的异常检测技术、基于分类的异常检测技术和基于聚类的异常检测技术。
基于信息理论的异常检测技术,通过不同的信息理论来分析流量数据特征的内容,主要依据是异常会引起数据信息内容规则发生变化,通过定位该变化来确认是否存在异常。思路如下:若O(D)代表一个给定数据集D的复杂度,信息理论技术的目标是找到D最小的子集I,使O(D)-O(D-I)最大,I中所有的数据实例就为异常。数据集复杂度可以有不同的信息理论测度,包括熵、复杂度等。基于信息理论的异常检测技术需要一个严谨的信息论方法进行异常检测,并且效果的好坏取决于评价方法,难以对一条测试数据得到异常的程度。
基于统计的异常检测技术,是基于数据的经验分布进行异常检测,简单来说,就是根据所选数据选取符合统计的分布模型,然后对待测试数据进行判断,正常的数据实例出现在随机模型的高概率区域,而异常则出现在随机模型的低概率区域。基于统计的异常检测技术又可以分为参数化方法和非参数化方法,参数化方法的典型代表有基于高斯模型和回归模型的异常检测方法;非参数方法包括基于直方图、基于核函数核基于密度估计技术的异常检测技术。基于统计的异常检测技术,根据数据分布来判断异常点,需要保证对数据的分布假设成立,条件较为苛刻,需要大量调参并且不适用于有上下文的异常场景。
基于分类的异常检测技术,是一种利用给定的标注数据进行训练,获得一个能够区分正常数据和异常数据的分类器,再用得到的分类器来检测待测试的数据。基于分类的异常检测技术通常基于机器学习的方法,如神经网络方法、贝叶斯网络方法、支持向量机方法和基于规则方法等,并且根据标签的种类又可以将分类问题分为单分类和多分类问题。基于分类的异常检测技术通过对标记样本建立分类模型进行异常检测,一般为监督或半监督方法,给定的数据需要有类别标签,对于未搜集到的正常样本容易产生误报。
基于聚类的异常检测技术,假设远离正常样本的数据为异常样本(基于距离),稀疏的样本为异常样本(基于密度)。聚类技术可以分为非监督学习方法和半监督学习方法。非监督学习方法对样本进行聚类,设定邻域半径,离样本中心大于邻域半径的点认为是异常点。半监督学习方法运用正常样本点进行建模,如果样本点不属于建模类别即为异常点。基于聚类的异常检测技术主要用于聚类,并不是主要用来异常检测,需要在聚类的基础上对异常数据贴上异常的标签,并且计算密集和计算复杂度较高,在正常样本类别数据稀疏时并不适用。
对于访问流量异常检测来说,访问流量往往是无标注数据,人工标注耗时耗力,因此不适用于有监督的分类检测方法,而且访问流量数据通常存在严重失衡的情况,数据分布较为随机,难以形成有规律的流量分析规则和统计分布,因此基于信息理论和统计分布的异常检测方法也难以适用。访问流量异常检测中,异常数据通常为少样本数据,正常样本数据占大多数,比较符合基于聚类算法的异常检测技术使用的场景,但需要考虑计算复杂度较低的检测算法。除此之外,由于是无监督检测,仅根据一种异常检测方法进行判断容易出现误判,需要多种检测算法进行联合分析。
发明内容
为了解决上述问题,本发明提出一种基于LOF和孤立森林的访问流量异常检测方法及设备,利用局部离群因子LOF检测算法联合孤立森林进行联合分析,对收集到的访问流量类别进行异常检测,判断流量是否异常,保证系统的安全性。
本发明采用的技术方案如下:
一种基于LOF和孤立森林的访问流量异常检测方法,包括:
步骤1.流量预处理:对访问流量数据进行预处理得到流量数据集,所述预处理包括流量提取、流量清洗和流量规格化;
步骤2.机器学习模型训练:将所述流量数据集作为模型输入进行机器学习训练,分别使用局部离群因子LOF检测算法和孤立森林算法进行多次迭代训练,得到训练好的两组共N个异常检测模型并保存;
步骤3.联合智能分析:使用步骤2训练好的两组所述异常检测模型进行目标流量检测,利用装袋Bagging算法进行结果筛选。
进一步地,所述流量提取包括:使用网络抓包工具把pcap流量源文件导出成csv格式的流量文件。
进一步地,所述流量清洗包括:对于csv格式的流量文件,去掉头部的特征行,将文本转化为数值并将无用数据行删除,只保留访问流量检测所需要的数据。
进一步地,所述访问流量检测所需要的数据包括:发送字节数和接受字节数。
进一步地,所述流量规格化包括:通过设定的特征值的范围对流量特征数据进行归一化,进而生成最终的流量数据并进行整合形成流量数据集。
进一步地,使用局部离群因子LOF检测算法进行训练的方法包括:计算所述流量数据集中的每个点的局部离群因子LOF,并判断局部离群因子LOF是否接近于1;若远大于1,则认为该点是离群点;若接近于1,则认为该点是正常点。
进一步地,计算局部离群因子LOF的方法包括:
步骤201.计算对象p的第k距离;
步骤202.计算对象p的局部可达密度,即对象p的第k距离邻域内的点到对象p的平均可达距离的倒数,其中对象p的第k距离邻域表示与对象p之间距离小于等于第k距离的对象集合;
步骤203.计算局部离群因子LOF,即对象p的邻域点的局部可达密度与对象p的局部可达密度之比的平均数。
进一步地,使用孤立森林算法进行训练的方法包括:
步骤211.从所述流量数据集中随机选取n条数据作为子样本,并作为一棵孤立树的根节点;
步骤212.随机指定一个维度,在当前节点数据范围内,随机产生一个切割点p,切割点p产生于当前节点数据中指定维度的最大值与最小值之间;
步骤213.切割点p选取处即作为一个超平面,将当前节点数据空间切分为2个子空间,把当前所选维度下小于切割点p的点放在当前节点的左分支,把大于等于切割点p的点放在当前节点的右分支;
步骤214.在当前节点的左分支和右分支节点递归步骤212、步骤213,不断构造新的叶子节点,直到叶子节点上只有一个数据或树已经生长到了所设定的高度;
步骤215.重复步骤211-步骤214进行采样和构建孤立树,形成孤立森林,并对孤立森林中的每棵孤立树进行测试。
进一步地,利用装袋Bagging算法进行结果筛选的方法包括:通过N个所述异常检测模型进行投票表决,最后进行加权平均得到异常得分,根据预设的异常阈值来判断该异常得分的访问流量是否异常,得到最后的异常检测结果。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述基于LOF和孤立森林的访问流量异常检测方法的步骤。
本发明的有益效果在于:
本发明提出的一种基于LOF和孤立森林的访问流量异常检测方法及设备,在访问流量检测场景下,一方面可以做到在无标签的情况下进行模型训练,并且LOF算法和孤立森林时间复杂度都较低,花费的模型训练时间较少,能够满足访问流量异常检测的实时要求;另一方面,通过联合两种优秀的异常检测算法进行加权分析,能够排除某些特例数据或意外错误导致的异常检测结果,提高了检测的稳定性。
附图说明
图1是本发明实施例1的基于LOF和孤立森林的访问流量异常检测方法流程图。
图2是本发明实施例1的流量预处理流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如今异常检测技术广泛应用于网络入侵检测、欺诈检测、人群识别等,但较少用于无标签访问流量的异常检测。本实施例提供了一种基于LOF和孤立森林的访问流量异常检测方法,利用局部离群因子检测算法联合孤立森林进行联合分析,对收集到的访问流量类别进行异常检测,判断流量是否异常,保证系统的安全性。该访问流量异常检测方法先对访问流量数据进行预处理,得到流量数据集,分别使用LOF和孤立森林两种算法进行模型训练,最后根据两种训练好的模型进行测试,使用加权因子进行联合分析。
如图1所示,该访问流量异常检测方法包括:
步骤1.流量预处理:对访问流量数据进行预处理得到流量数据集,预处理包括流量提取、流量清洗和流量规格化;
步骤2.机器学习模型训练:将流量数据集作为模型输入进行机器学习训练,分别使用局部离群因子LOF检测算法和孤立森林算法进行多次迭代训练,得到训练好的两组共N个(预先设置)异常检测模型并保存;
步骤3.联合智能分析:使用步骤2训练好的两组异常检测模型进行目标流量检测,利用装袋Bagging算法进行结果筛选。
如图2所示,步骤1流量预处理包括以下子步骤:
步骤101.流量提取包括:使用网络抓包工具把pcap流量源文件导出成csv格式的流量文件。优选地,网络抓包工具可采用wireshark的tshark工具。
步骤102.流量清洗包括:对于csv格式的流量文件,去掉头部的特征行,将文本转化为数值并将无用数据行删除,只保留访问流量检测所需要的数据。优选地,访问流量检测所需要的数据包括:发送字节数和接受字节数。
步骤103.流量规格化包括:通过设定的特征值的范围对流量特征数据进行归一化,进而生成最终的流量数据并进行整合形成流量数据集。
步骤2中,局部离群因子(LOF,Local Outlier Factor,亦即局部异常因子)检测算法是基于密度的离群点检测方法中一个比较有代表性的算法。本实施例中,使用局部离群因子LOF检测算法进行训练的方法包括:计算流量数据集中的每个点的局部离群因子LOF,并判断局部离群因子LOF是否接近于1;若远大于1,则认为该点是离群点;若接近于1,则认为该点是正常点。优选地,计算局部离群因子LOF的方法包括:
步骤201.计算对象p的第k距离;
步骤202.计算对象p的局部可达密度,即对象p的第k距离邻域内的点到对象p的平均可达距离的倒数,其中对象p的第k距离邻域表示与对象p之间距离小于等于第k距离的对象集合;
步骤203.计算局部离群因子LOF,即对象p的邻域点的局部可达密度与对象p的局部可达密度之比的平均数。
孤立森林算法(Isolation Forest)是一个基于划分的快速异常检测方法,具有线性时间复杂度和高精准度,是符合大数据处理要求的最先进的算法之一。本实施例中,使用孤立森林算法进行训练的方法包括:
步骤211.从流量数据集中随机选取n条数据作为子样本,并作为一棵孤立树的根节点;
步骤212.随机指定一个维度,在当前节点数据范围内,随机产生一个切割点p,切割点p产生于当前节点数据中指定维度的最大值与最小值之间;
步骤213.切割点p选取处即作为一个超平面,将当前节点数据空间切分为2个子空间,把当前所选维度下小于切割点p的点放在当前节点的左分支,把大于等于切割点p的点放在当前节点的右分支;
步骤214.在当前节点的左分支和右分支节点递归步骤212、步骤213,不断构造新的叶子节点,直到叶子节点上只有一个数据或树已经生长到了所设定的高度;
步骤215.重复步骤211-步骤214进行采样和构建孤立树,形成孤立森林,并对孤立森林中的每棵孤立树进行测试。
步骤3中,利用装袋Bagging算法进行结果筛选的方法包括:通过N个异常检测模型进行投票表决,再进行加权平均得到异常得分,其中LOF和孤立森林权重比可设置为0.5:0.5。然后根据预设的异常阈值来判断该异常得分的访问流量是否异常,得到最后的异常检测结果。
需要说明的是,对于本方法实施例,为了简便描述,故将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
实施例2
本实施例在实施例1的基础上:
本实施例提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时实现实施例1的基于LOF和孤立森林的访问流量异常检测方法的步骤。其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。

Claims (7)

1.一种基于LOF和孤立森林的访问流量异常检测方法,其特征在于,包括:
步骤1.流量预处理:对访问流量数据进行预处理得到流量数据集,所述预处理包括流量提取、流量清洗和流量规格化;
步骤2.机器学习模型训练:将所述流量数据集作为模型输入进行机器学习训练,分别使用局部离群因子LOF检测算法和孤立森林算法进行多次迭代训练,得到训练好的两组共N个异常检测模型并保存;
步骤3.联合智能分析:使用步骤2训练好的两组所述异常检测模型进行目标流量检测,利用装袋Bagging算法进行结果筛选;
所述流量提取包括:使用网络抓包工具把pcap流量源文件导出成csv格式的流量文件;
所述流量清洗包括:对于csv格式的流量文件,去掉头部的特征行,将文本转化为数值并将无用数据行删除,只保留访问流量检测所需要的数据;
所述流量规格化包括:通过设定的特征值的范围对流量特征数据进行归一化,进而生成最终的流量数据并进行整合形成流量数据集。
2.根据权利要求1所述的基于LOF和孤立森林的访问流量异常检测方法,其特征在于,所述访问流量检测所需要的数据包括:发送字节数和接受字节数。
3.根据权利要求1所述的基于LOF和孤立森林的访问流量异常检测方法,其特征在于,使用局部离群因子LOF检测算法进行训练的方法包括:计算所述流量数据集中的每个点的局部离群因子LOF,并判断局部离群因子LOF是否接近于1;若远大于1,则认为该点是离群点;若接近于1,则认为该点是正常点。
4.根据权利要求3所述的基于LOF和孤立森林的访问流量异常检测方法,其特征在于,计算局部离群因子LOF的方法包括:
步骤201.计算对象p的第k距离;
步骤202.计算对象p的局部可达密度,即对象p的第k距离邻域内的点到对象p的平均可达距离的倒数,其中对象p的第k距离邻域表示与对象p之间距离小于等于第k距离的对象集合;
步骤203.计算局部离群因子LOF,即对象p的邻域点的局部可达密度与对象p的局部可达密度之比的平均数。
5.根据权利要求1所述的基于LOF和孤立森林的访问流量异常检测方法,其特征在于,使用孤立森林算法进行训练的方法包括:
步骤211.从所述流量数据集中随机选取n条数据作为子样本,并作为一棵孤立树的根节点;
步骤212.随机指定一个维度,在当前节点数据范围内,随机产生一个切割点p,切割点p产生于当前节点数据中指定维度的最大值与最小值之间;
步骤213.切割点p选取处即作为一个超平面,将当前节点数据空间切分为2个子空间,把当前所选维度下小于切割点p的点放在当前节点的左分支,把大于等于切割点p的点放在当前节点的右分支;
步骤214.在当前节点的左分支和右分支节点递归步骤212、步骤213,不断构造新的叶子节点,直到叶子节点上只有一个数据或树已经生长到了所设定的高度;
步骤215.重复步骤211-步骤214进行采样和构建孤立树,形成孤立森林,并对孤立森林中的每棵孤立树进行测试。
6.根据权利要求1所述的基于LOF和孤立森林的访问流量异常检测方法,其特征在于,利用装袋Bagging算法进行结果筛选的方法包括:通过N个所述异常检测模型进行投票表决,最后进行加权平均得到异常得分,根据预设的异常阈值来判断该异常得分的访问流量是否异常,得到最后的异常检测结果。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6任一项所述的基于LOF和孤立森林的访问流量异常检测方法的步骤。
CN202111317365.3A 2021-11-09 2021-11-09 基于lof和孤立森林的访问流量异常检测方法及设备 Active CN114124482B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111317365.3A CN114124482B (zh) 2021-11-09 2021-11-09 基于lof和孤立森林的访问流量异常检测方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111317365.3A CN114124482B (zh) 2021-11-09 2021-11-09 基于lof和孤立森林的访问流量异常检测方法及设备

Publications (2)

Publication Number Publication Date
CN114124482A CN114124482A (zh) 2022-03-01
CN114124482B true CN114124482B (zh) 2023-09-26

Family

ID=80377596

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111317365.3A Active CN114124482B (zh) 2021-11-09 2021-11-09 基于lof和孤立森林的访问流量异常检测方法及设备

Country Status (1)

Country Link
CN (1) CN114124482B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114611616B (zh) * 2022-03-16 2023-02-07 吕少岚 一种基于集成孤立森林的无人机智能故障检测方法及系统
CN114726653B (zh) * 2022-05-24 2022-11-15 深圳市永达电子信息股份有限公司 基于分布式随机森林的异常流量检测方法和系统
CN115118482B (zh) * 2022-06-22 2023-05-09 西安电子科技大学广州研究院 工业控制系统入侵检测线索分析溯源方法、系统及终端
CN116365519B (zh) * 2023-06-01 2023-09-26 国网山东省电力公司微山县供电公司 一种电力负荷预测方法、系统、存储介质及设备
CN117421684B (zh) * 2023-12-14 2024-03-12 易知谷科技集团有限公司 基于数据挖掘和神经网络的异常数据监测与分析方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985632A (zh) * 2018-07-16 2018-12-11 国网上海市电力公司 一种基于孤立森林算法的用电数据异常检测模型
CN111726351A (zh) * 2020-06-16 2020-09-29 桂林电子科技大学 基于Bagging改进的GRU并行网络流量异常检测方法
CN111767951A (zh) * 2020-06-29 2020-10-13 上海积成能源科技有限公司 一种居民用电安全分析中应用孤立森林算法发现异常数据的方法
CN112083371A (zh) * 2020-08-07 2020-12-15 国网山东省电力公司济宁供电公司 一种基于lof的异常高压计量点筛查方法及系统
CN112463848A (zh) * 2020-11-05 2021-03-09 中国建设银行股份有限公司 检测用户异常行为的检测方法、系统、装置和存储介质
CN113283536A (zh) * 2021-06-11 2021-08-20 浙江工业大学 面向成员推理攻击的基于异常点检测的深度模型隐私保护方法
CN113379176A (zh) * 2020-03-09 2021-09-10 中国移动通信集团设计院有限公司 电信网络异常数据检测方法、装置、设备和可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
US11444964B2 (en) * 2019-06-04 2022-09-13 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for detecting anomalies in network data traffic

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985632A (zh) * 2018-07-16 2018-12-11 国网上海市电力公司 一种基于孤立森林算法的用电数据异常检测模型
CN113379176A (zh) * 2020-03-09 2021-09-10 中国移动通信集团设计院有限公司 电信网络异常数据检测方法、装置、设备和可读存储介质
CN111726351A (zh) * 2020-06-16 2020-09-29 桂林电子科技大学 基于Bagging改进的GRU并行网络流量异常检测方法
CN111767951A (zh) * 2020-06-29 2020-10-13 上海积成能源科技有限公司 一种居民用电安全分析中应用孤立森林算法发现异常数据的方法
CN112083371A (zh) * 2020-08-07 2020-12-15 国网山东省电力公司济宁供电公司 一种基于lof的异常高压计量点筛查方法及系统
CN112463848A (zh) * 2020-11-05 2021-03-09 中国建设银行股份有限公司 检测用户异常行为的检测方法、系统、装置和存储介质
CN113283536A (zh) * 2021-06-11 2021-08-20 浙江工业大学 面向成员推理攻击的基于异常点检测的深度模型隐私保护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵嫚;李英娜;李川;杨莉.基于模糊聚类和孤立森林的用电数据异常检测.陕西理工大学学报(自然科学版).(第04期),全文. *

Also Published As

Publication number Publication date
CN114124482A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN114124482B (zh) 基于lof和孤立森林的访问流量异常检测方法及设备
Janarthanan et al. Feature selection in UNSW-NB15 and KDDCUP'99 datasets
KR20130126814A (ko) 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법
Tan et al. Adaptive malicious URL detection: Learning in the presence of concept drifts
Sahu et al. Data processing and model selection for machine learning-based network intrusion detection
CN117081858B (zh) 一种基于多决策树入侵行为检测方法、系统、设备及介质
Bodström et al. State of the art literature review on network anomaly detection with deep learning
Atli Anomaly-based intrusion detection by modeling probability distributions of flow characteristics
Mohamed et al. Exploiting incremental classifiers for the training of an adaptive intrusion detection model.
Shakeela et al. Optimal ensemble learning based on distinctive feature selection by univariate ANOVA-F statistics for IDS
Thom et al. Smart recon: Network traffic fingerprinting for IoT device identification
CN113205134A (zh) 一种网络安全态势预测方法及系统
Raza et al. Novel class probability features for optimizing network attack detection with machine learning
CN115277180A (zh) 一种区块链日志异常检测与溯源系统
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN115277113A (zh) 一种基于集成学习的电网网络入侵事件检测识别方法
Yao et al. Network anomaly detection using random forests and entropy of traffic features
Radivilova et al. Analysis of anomaly detection and identification methods in 5G traffic
Nalavade et al. Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Thanh et al. An approach to reduce data dimension in building effective network intrusion detection systems
Sulaiman et al. Big data analytic of intrusion detection system
Shahbandayeva et al. Network intrusion detection using supervised and unsupervised machine learning
CN114528909A (zh) 一种基于流量日志特征提取的无监督异常检测方法
CN113468555A (zh) 一种客户端访问行为识别方法、系统及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant