CN115189961A - 一种故障识别方法、装置、设备及存储介质 - Google Patents
一种故障识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115189961A CN115189961A CN202210846710.0A CN202210846710A CN115189961A CN 115189961 A CN115189961 A CN 115189961A CN 202210846710 A CN202210846710 A CN 202210846710A CN 115189961 A CN115189961 A CN 115189961A
- Authority
- CN
- China
- Prior art keywords
- information entropy
- current alarm
- event
- historical
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000004364 calculation method Methods 0.000 claims abstract description 37
- 238000001514 detection method Methods 0.000 claims abstract description 17
- 238000012549 training Methods 0.000 claims description 35
- 230000009545 invasion Effects 0.000 claims description 16
- 238000002372 labelling Methods 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000004422 calculation algorithm Methods 0.000 description 15
- 238000007635 classification algorithm Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 239000013598 vector Substances 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 230000032683 aging Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本申请涉及车辆数据安全技术领域,尤其涉及一种故障识别方法、装置、设备及存储介质。方法包括:获取引起入侵检测系统告警的当前告警事件,以及历史告警数据;历史告警数据包括多个历史告警事件所对应的历史告警信息熵;对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵;根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型。基于历史告警事件的信息熵对当前告警事件的信息熵进行识别,确定出当前告警事件的故障类型,从而提高识别真实入侵的准确率。
Description
技术领域
本申请涉及车辆数据安全技术领域,尤其涉及一种故障识别方法、装置、设备及存储介质。
背景技术
随着车辆的智能化进程,车辆数据安全的重要性越来越高。车辆上通常会设置入侵检测系统(Intrusion DetectionSystem,IDS)来保障车辆数据安全。IDS是依照一定的安全策略,通过软硬件,对网络或系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。车控IDS系统通常设置在控制器局域网络(Controller Area Network,CAN)总线上。
车控IDS系统可以根据制定好的安全规则对不同的事件参数进行评估。在有严格的安全规则后,对于任何不符合规则的变化,大多数车载电子控制单元(ElectronicControl Unit,ECU)会将其认为是一种异常行为,即被认定是一种入侵。但在一些情况下,比如由于某些器件的老化、或者器件其它非人为原因或器件自身原因会存在一定误差,如丢包等,这就导致了车控IDS对这些情况的误报。所以如何对车控IDS的CAN报文有一个可靠的判断是十分必要的。目前,常用的一些方案是根据经验值设置一些误报门槛值等,如每触发n次上报一次,但由于车控IDS属于新兴领域,并无可以参考的经验值,而其他场景中的经验值在车控IDS场景中存在出入。因此,亟需一种基于车控IDS的综合多种故障的识别方案,来确定车载网络是否真正被入侵。
发明内容
本申请提供一种故障识别方法、装置、设备及存储介质,基于历史告警事件的信息熵对当前告警事件的信息熵进行识别,确定出当前告警事件的故障类型,从而提高识别真实入侵的准确率。
第一方面,本申请实施例公开了一种故障识别方法,方法包括:
获取引起入侵检测系统告警的当前告警事件,以及历史告警数据;历史告警数据包括多个历史告警事件所对应的历史告警信息熵;
对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵;
根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型。
进一步的,对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵,包括:
对预设时间段内的当前告警事件的数目进行信息熵计算,得到事件数信息熵;
对预设时间段内的当前告警事件的威胁度进行信息熵计算,得到威胁度信息熵;
根据事件数信息熵和威胁度信息熵,确定当前告警事件对应的当前告警信息熵。
进一步的,根据事件数信息熵和威胁度信息熵,确定当前告警事件对应的当前告警信息熵,包括:
根据事件数信息熵和威胁度信息熵,确定合计信息熵;
根据事件数信息熵和合计信息熵,确定第一特征值;
根据威胁度信息熵和合计信息熵,确定第二特征值;
根据事件数信息熵、威胁度信息熵、第一特征值和第二特征值,确定当前告警事件对应的当前告警信息熵。
进一步的,根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型,包括:
确定当前告警信息熵与每个历史告警信息熵的欧式距离;
根据欧式距离在多个历史告警信息熵中确定目标历史告警信息熵集合;目标历史告警信息熵集合包括预设数量的目标历史告警信息熵,预设数量的目标历史告警信息熵与当前告警信息熵之间的欧式距离满足预设条件;
获取每个目标历史告警信息熵对应的目标故障类型;
根据每个目标故障类型,确定当前告警事件所对应的故障类型。
进一步的,目标故障类型包括真实入侵类型和非真实入侵类型;根据每个目标历史告警信息熵对应的故障类型,确定当前告警事件所对应的故障类型,包括:
分别确定真实入侵类型的数量和非真实入侵类型的数量;
根据真实入侵类型的数量和非真实入侵类型的数量,确定当前告警事件所对应的故障类型。
进一步的,多根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型,包括:
将当前告警信息熵输入故障识别模型,得到故障识别模型输出的识别结果;识别结果包括当前告警事件所对应的故障类型;其中,故障识别模型为基于历史告警事件所对应的历史告警信息熵进行模型训练得到,历史告警信息熵标注有目标故障类型标注结果。
进一步的,故障识别模型训练的方法包括:
获取标注有目标故障类型标注结果的历史告警信息熵;
将历史告警信息熵输入机器模型中,得到历史告警信息熵的故障类型预测结果;
根据目标故障类型标注结果和故障类型预测结果,对机器模型进行训练,得到训练后的故障识别模型。
第二方面,本申请实施例公开了一种故障识别装置,该装置包括:
当前告警事件获取模块,用于获取引起入侵检测系统告警的当前告警事件,以及历史告警数据;历史告警数据包括多个历史告警事件所对应的历史告警信息熵;
信息熵计算模块,用于对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵;
故障类型确定模块,用于根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型。
在一些可选的实施方式中,信息熵计算模块包括:
事件数信息熵计算单元,用于对预设时间段内的当前告警事件的数目进行信息熵计算,得到事件数信息熵;
威胁度信息熵计算单元,用于对预设时间段内的当前告警事件的威胁度进行信息熵计算,得到威胁度信息熵;
信息熵确定单元,用于根据事件数信息熵和威胁度信息熵,确定当前告警事件对应的当前告警信息熵。
在一些可选的实施方式中,信息熵确定单元包括:
合计信息熵确定子单元,用于根据事件数信息熵和威胁度信息熵,确定合计信息熵;
第一特征值确定子单元,用于根据事件数信息熵和合计信息熵,确定第一特征值;
第二特征值确定子单元,用于根据威胁度信息熵和合计信息熵,确定第二特征值;
信息熵确定子单元,用于根据事件数信息熵、威胁度信息熵、第一特征值和第二特征值,确定当前告警事件对应的当前告警信息熵。
在一些可选的实施方式中,故障类型确定模块包括:
欧式距离确定单元,用于确定当前告警信息熵与每个历史告警信息熵的欧式距离;
目标历史告警信息熵集合确定单元,用于根据欧式距离在多个历史告警信息熵中确定目标历史告警信息熵集合;目标历史告警信息熵集合包括预设数量的目标历史告警信息熵,预设数量的目标历史告警信息熵与当前告警信息熵之间的欧式距离满足预设条件;
目标故障类型确定单元,用于获取每个目标历史告警信息熵对应的目标故障类型;
故障类型确定单元,用于根据每个目标故障类型,确定当前告警事件所对应的故障类型。
在一些可选的实施方式中,目标故障类型包括真实入侵类型和非真实入侵类型;故障类型确定单元包括:
数量确定子单元,用于分别确定真实入侵类型的数量和非真实入侵类型的数量;
故障类型确定子单元,用于根据真实入侵类型的数量和非真实入侵类型的数量,确定当前告警事件所对应的故障类型。
在另一些可选的实施方式中,故障类型确定模块包括:
识别结果确定单元,用于将当前告警信息熵输入故障识别模型,得到故障识别模型输出的识别结果;识别结果包括当前告警事件所对应的故障类型;
其中,故障识别模型为基于历史告警事件所对应的历史告警信息熵进行模型训练得到,历史告警信息熵标注有目标故障类型标注结果。
在一些可选的实施方式中,该装置还包括模型训练模块,模型训练模块包括:
历史告警信息熵获取单元,用于获取标注有目标故障类型标注结果的历史告警信息熵;
故障类型预测结果确定单元,用于将历史告警信息熵输入机器模型中,得到历史告警信息熵的故障类型预测结果;
故障识别模型确定单元,用于根据目标故障类型标注结果和故障类型预测结果,对机器模型进行训练,得到训练后的故障识别模型。
第三方面,本申请实施例公开了一种电子设备,设备包括处理器和存储器,存储器中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行如上所述的故障识别方法。
第四方面,本申请实施例公开了一种计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现如上所述的故障识别方法。
本申请实施例提供的技术方案具有如下技术效果:
该故障识别方法,通过计算当前告警事件的信息熵,并基于历史告警事件的信息熵对当前告警事件的信息熵进行识别,从而确定出当前告警事件的故障类型。通过采用信息熵方式,优化了其预测分类输入的环境,降低算法复杂度,且能够对于IDS攻击事件判断的精准命中率的要求。此外,基于大量历史数据的支撑,并经过分类算法进行预测,实现了车控IDS区分真实注入攻击和设备由于误动作或故障而引起误告警的成功率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本申请实施例提供的一种故障识别方法的应用环境示意图;
图2是本申请实施例提供的一种故障识别方法的流程示意图;
图3是本申请实施例提供的一种确定当前告警事件对应的当前告警信息熵方法的流程示意图;
图4是本申请实施例提供的一种故障识别装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请实施例的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本申请实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请实施例,并不用于限定本申请实施例。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
车控IDS的功能设计要求其必须具有严格的异常检测规则。然而,由于某些器件的老化、或者器件其它非人为原因导致的一些通信误差,这些通信误差即使不会对车辆的数据安全造成影响也会被车控IDS认为是入侵攻击,这就导致了IDS虚警率高,影响用户体验。
有鉴于此,本申请提供一种故障识别方法,通过计算告警事件的信息熵,并基于历史数据对当前告警事件的信息熵进行识别,判断出告警事件是否为真实入侵行为,从而提高IDS对真实入侵攻击识别的准确性,降低误报率。
请参阅图1,图1是本申请实施例提供的一种故障识别方法的应用环境示意图,如图1所示,该应用环境可以包括入侵检测系统IDS,入侵检测系统运行在车辆ECU控制器上,对CAN总线上传输的CAN报文进行入侵检测。可选的车辆中设置有一个或多个ECU控制器。
本申请实施例中,车控IDS中建立有检测规则库,用于对CAN报文行为检测。车控IDS对车辆中的通信网络进行实时监控,一旦发现通信网络中传输的CAN报文出现异常情况就发出警告。表1为本申请实施例提供的一种车控IDS部分检测规则库,如表1所示,表中示例性地示出了在CAN总线上传输的CAN报文所需要满足的部分规则,CAN报文中不满足任何一项规则,车控IDS就会发出警告。然而,并非是所有违反规则的情况都是真实的入侵行为。因此,车控IDS中还设置有故障识别装置,故障识别装置用于对车控IDS所检测到的异常行为进行识别,从而判断出异常行为是否为真实入侵行为。车控IDS在既定规则内,从多个时间段内上报故障及其重要程度。故障识别装置能够判断ECU是否被真正的入侵,在提高命中率的同时,还能有效降低误报率。
表1车控IDS部分检测规则库
以下介绍本申请一种故障识别方法的具体实施例,图2是本申请实施例提供的一种故障识别方法的流程示意图,本说明书提供了如实施例或流程图的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示,该故障识别方法可以包括:
S201:获取引起入侵检测系统告警的当前告警事件,以及历史告警数据。
本申请实施例中,车控入侵检测系统实时对车载通信网络CAN总线上CAN报文进行监测,并按照设定上报周期进行上报每个周期内的告警事件,从而故障识别装置可以获取到每个周期内的告警事件。具体的,故障识别装置获取预设时间段内入侵检测系统所发送的告警信息,然后根据告警信息确定该预设时间段内的告警事件。可选的,预设时间段内的告警事件的数量可以0件,也可以是1件,还可以是两件或两件以上,即预设时间段内的告警事件的数据并非是确定的。预设时间段即为设定的上报周期,上报周期可以根据实际需求进行设置,例如,上报周期为1min。
S203:对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵。
本申请实施例中,对于引起车控IDS发出警告的告警事件来说,由于其所违反的规则可能多种多样,因此很难基于告警事件所违反的规则建立一套识别标准,来确定告警事件是否是真实入侵攻击。然而,毫无疑问的是,真实入侵攻击的信息量与非真实入侵攻击的信息量必然是不同的。一般来说,真实入侵攻击的信息量要大于非真实入侵攻击的信息量。相应的,真实入侵攻击的信息熵要大于非真实入侵攻击的信息熵。由此,在确定当前告警事件的故障类型是否为真实入侵时,可以基于当前告警事件的信息熵进行确定。
本申请实施例中,预设时间段内可能会出现多个告警事件,每个告警事件根据其所违反的规则,对系统的威胁度不同。表2为本申请实施例提供的一种违反的规则与对应的严重程度表,如表2所示,表中示例性地示出了部分规则以及违反相应规则的严重程度。
表2违反的规则与对应的严重程度表
本申请实施例中,在计算当前告警事件所对应的信息熵时,可以分别计算预设时间段内告警事件数量的信息熵,和预设时间段内告警事件威胁度的信息熵。可以确定的是,在多数情况下,真实入侵攻击在预设时间段内的事件数信息熵要大于非真实入侵攻击,而且真实入侵攻击在预设时间段内事件的威胁度信息熵也要大于非真实入侵攻击。因此,通过分别计算预设时间段内告警事件的事件数信息熵和威胁度信息熵可以提高信息熵计算准确度,并进一步将真实入侵攻击和非真实入侵攻击区分开。具体的,对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵可以包括:对预设时间段内的当前告警事件的数目进行信息熵计算,得到事件数信息熵。然后对预设时间段内的当前告警事件的威胁度进行信息熵计算,得到威胁度信息熵。进而根据事件数信息熵和威胁度信息熵,确定预设时间段内的当前告警事件对应的当前告警信息熵。
作为一种示例,假设在预设时间段δ内产生了n条告警事件,则这些告警事件的集合可以表示为:
A={a1,a2,...,an};
若所有告警事件按照违反不同规则,则违反的每个规则的集合可以表示为:
P={p1,p2,...,pm};
若违反每个规则的告警数目为Ni,则每个规则对应的告警事件数可以表示为:
N={N1,N2,...Nm};
为了突出告警事件威胁程度对异常检测的影响,使用以下关系式来表示告警事件ai的威胁度:
其中,qi表示ai的严重程度的属性值。若所有来自pi的报警事件威胁度之和为ti,则每个规则的威胁度集合可以表示为:
T={t1,t2,...tm};
基于上述条件,在预设时间段δ内,告警事件的事件数信息熵可以表示为:
告警事件的威胁度信息熵可以表示为:
本申请实施例中,基于上述事件数信息熵和威胁度信息熵,可以确定出当前告警事件所对应的当前告警信息熵。具体的,图3是本申请实施例提供的一种确定当前告警事件对应的当前告警信息熵方法的流程示意图,如图3所示,根据事件数信息熵和威胁度信息熵,确定预设时间段内的当前告警事件对应的当前告警信息熵可以包括:
S301:根据事件数信息熵和威胁度信息熵,确定合计信息熵;
本申请实施例中,将事件数信息熵和威胁度信息熵进行相加,可以得到合计信息熵。具体计算方法如下式所示:
Hsum=H(T(δ))+H(P(δ))。
S303:根据事件数信息熵和合计信息熵,确定第一特征值;
本申请实施例中,根据事件数信息熵和合计信息熵可以确定出事件数信息熵在当前告警信息熵中的比例因子,即第一特征值。具体计算方法如下式所示:
S305:根据威胁度信息熵和合计信息熵,确定第二特征值;
本申请实施例中,根据威胁度信息熵和合计信息熵可以确定出威胁度信息熵在当前告警信息熵中的比例因子,即第二特征值。具体计算方法如下式所示:
S307:根据事件数信息熵、威胁度信息熵、第一特征值和第二特征值,确定预设时间段内的当前告警事件对应的当前告警信息熵。
本申请实施例中,对于预设时间段内的告警事件,可以用多维向量的形式来表示,从而可以便于后续计算。根据上述关系式,当前告警信息熵可以用向量表示为:
S205:根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型。
本申请实施例中,故障识别装置通过获取历史告警数据对当前告警信息熵进行识别,从而确定当前告警信息熵所对应的告警事件的故障类型。可选的,故障识别装置在基于历史告警数据对当前告警信息熵进行识别时,历史告警数据可以作为一个预测数据集,通过分类算法对当前告警信息熵进行识别,从而确定当前告警信息熵所对应的告警事件的故障类型。可选的,故障识别装置在基于历史告警数据对当前告警信息熵进行识别时,还可以通过构建机器模型,并将历史告警数据作为训练数据集对机器模型进行训练,从而得到故障识别模型。然后通过故障识别模型对当前告警信息熵进行识别,以确定当前告警信息熵所对应的告警事件的故障类型。
作为一种可选的实施方式,历史告警数据中包括多个历史告警事件所对应的历史告警信息熵。故障识别装置根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型。具体的,故障识别装置确定当前告警信息熵与每个历史告警信息熵的欧式距离,然后根据欧式距离在多个历史告警信息熵中确定目标历史告警信息熵集合。目标历史告警信息熵集合包括预设数量的目标历史告警信息熵,预设数量的目标历史告警信息熵与当前告警信息熵之间的欧式距离满足预设条件。然后再获取每个目标历史告警信息熵对应的目标故障类型。根据每个目标故障类型,确定当前告警事件所对应的故障类型。也就是说,在计算得到当前告警事件对应的当前告警信息熵后,确定当前告警信息熵与多个历史告警信息熵之间的欧式距离,进而基于分类算法来确定当前告警信息熵所对应的故障类型。历史告警信息熵所对应的故障类别可以分为真实入侵攻击和非真实入侵攻击,即目标故障类型可以包括真实入侵类型和非真实入侵类型。因此,在根据每个目标历史告警信息熵对应的故障类型,确定当前告警事件所对应的故障类型时,可以分别确定真实入侵类型的数量和非真实入侵类型的数量,然后根据真实入侵类型的数量和非真实入侵类型的数量,确定当前告警事件所对应的故障类型。
可选的,上述分类算法可以是K最近邻算法(k-NearestNeighbor,KNN)。由于KNN算法主要靠周围有限的邻近的样本,而不是靠判别类域的方法来确定所属类别的,因此对于类域的交叉或重叠较多的待分样本集来说,KNN方法较其他方法更为适合。此外,KNN算法比较适用于样本容量比较大的类域的自动分类,而那些样本容量较小的类域采用这种算法比较容易产生误分。由于本申请实施例中告警事件所违反的规则可能多种多样,因此采用KNN算法对当前告警信息熵进行分类,具有较高的准确度。
作为一种示例,以下以采用KNN算法对上述确定当前告警事件所对应的故障类型的计算过程进行说明。应当理解的是,本申请实施例中在确定当前告警事件所对应的故障类型时,可以采用的分类算法并不仅限于KNN算法,还可以是其他分类算法,例如决策树(Decision Tree,DT),支持向量机(Support Vector Machine,SVM)等算法。历史告警数据中包括多个历史告警信息熵,每个历史告警信息熵都被对应标注有故障类型。每个历史告警信息熵用向量的形式表示,有四个维度特征,即每个历史告警信息熵相当于在四维空间内的点。对于k个历史告警信息熵,用矩阵X的形式来表示为一个k*4的矩阵,则有:
对于当前上报周期内告警事件的当前告警信息熵,则有:
通过计算当前告警信息熵Yz与历史告警信息熵矩阵中的所有点的欧氏距离,以第1个点为例,当前告警信息熵Yz与该点的欧式距离的计算公式为:
通过计算得到当前告警信息熵Yz与所有点的距离向量,然后按从小到大排序,取距离最近的前p个点,即为最近邻的p个点,根据这p个点所对应标注的故障类型,统计每个标注的故障类型出现的次数np,取数量最大的标注的故障类型作为当前告警信息熵Yz的故障类型。
作为另一种可选的实施方式,可以将历史告警数据作为模型训练数据集,通过建立机器模型,利用模型训练数据集进行模型训练,得到故障识别模型,从而可以使用故障识别模型对当前告警信息熵的故障类型进行预测。具体的,根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型可以是,故障识别装置将当前告警信息熵输入故障识别模型,得到故障识别模型输出的识别结果,识别结果包括当前告警事件所对应的故障类型。故障识别模型为基于历史告警事件所对应的历史告警信息熵进行模型训练得到,历史告警信息熵标注有目标故障类型标注结果。
上述实施方式中,对于故障识别模型的训练过程,可以分为两步。第一步是训练数据集的获取。对于训练数据集的获取也可以分为两种。一种是直接将历史告警信息熵及其对应的标注故障类型。这种方式需要有大量的历史告警数据来进行支撑,因此可以直接使用真实的历史告警信息熵及其对应的标注故障类型对故障识别模型进行训练。另一种是故障识别装置所获取的历史告警数据中历史告警信息熵的数据量不能够完全满足模型训练需求,或者历史告警数据中有部分历史告警信息熵并未对应标注故障类型,此时可以先通过已有的历史告警信息熵及其对应的标注故障类型,来对训练数据集进行扩充,从而得到能够满足训练需要的模型训练数据集。对于第二种训练数据集的获取方法,可以将历史告警事件分为两类,一类是第一历史告警事件,第一历史告警事件可以是历史真实发生的,也可以是人为设置的。另一类是第二历史告警事件,第二历史告警事件为历史真实发生的,且已经对于每一个第二历史告警事件的对应的第二历史告警信息熵,已经标注了对应的故障类型标注结果。然后,基于上述信息熵计算方法将第一历史告警事件所对应的第一历史告警信息熵计算出来,通过预设分类算法对第一历史告警信息熵进行分类,以确定第一历史告警信息熵所对应的目标故障类型标注结果,进而得到模型训练数据集。可选的,预设分类算法包括但不仅限于KNN算法、DT算法、SVM算法等。以KNN算法为例,通过计算第一历史告警信息熵,与多个第二历史告警信息熵之间的欧式距离,然后选取与第一历史告警信息熵最近的p个第二历史告警信息熵,然后获取这p个第二历史告警信息熵的故障类型标注结果,然后统计这P个第二历史告警信息熵各自对应的故障类型标注结果的出现次数,将出现次数最大的故障类型标注结果,作为第一历史告警信息熵的目标故障类型标注结果。
上述实施方式中,故障识别模型训练的方法如下:获取标注有目标故障类型标注结果的历史告警信息熵,然后将历史告警信息熵输入机器模型中,得到历史告警信息熵的故障类型预测结果,最后根据目标故障类型标注结果和故障类型预测结果,对机器模型进行训练,得到训练后的故障识别模型。具体的,模型训练方法为使用标注有目标故障类型标注结果的历史告警信息熵,对机器模型进行训练,在训练过程中不断调整机器模型的输出参数,直至输出结果与目标故障类型标注结果匹配,从而将当前训练得到的模型作为最终的故障识别模型。
本申请实施例所述的故障识别方法,在有大量历史数据的支撑下,计算出信息熵,并经过分类算法进行预测,实现对车控IDS区分真实入侵攻击和设备由于误动作或故障而引起误告警。由于告警事件的数据维度较高,若直接对告警事件或告警事件的元数据进行分类算法预测会导致算法运算量大,本申请实施例中通过计算告警事件的信息熵后,然后采用分类算法进行对预处理后的数据进行精准预测。基于计算信息熵方式,优化了预测分类输入的环境,在多重输入的条件向下通过提炼出四维的信息熵向量,在极大的降低算法复杂度的情况下,满足了对于IDS攻击事件判断的精准命中率的要求。
本申请实施例公开了一种故障识别装置,图4是本申请实施例提供的一种故障识别装置的结构示意图,如图4所示,该装置包括:
当前告警事件获取模块401,用于获取引起入侵检测系统告警的当前告警事件,以及历史告警数据;历史告警数据包括多个历史告警事件所对应的历史告警信息熵;
信息熵计算模块403,用于对当前告警事件进行信息熵计算,得到当前告警事件对应的当前告警信息熵;
故障类型确定模块405,用于根据历史告警信息熵和当前告警信息,确定当前告警事件所对应的故障类型。
在一些可选的实施方式中,信息熵计算模块包括:
事件数信息熵计算单元,用于对预设时间段内的当前告警事件的数目进行信息熵计算,得到事件数信息熵;
威胁度信息熵计算单元,用于对预设时间段内的当前告警事件的威胁度进行信息熵计算,得到威胁度信息熵;
信息熵确定单元,用于根据事件数信息熵和威胁度信息熵,确定当前告警事件对应的当前告警信息熵。
在一些可选的实施方式中,信息熵确定单元包括:
合计信息熵确定子单元,用于根据事件数信息熵和威胁度信息熵,确定合计信息熵;
第一特征值确定子单元,用于根据事件数信息熵和合计信息熵,确定第一特征值;
第二特征值确定子单元,用于根据威胁度信息熵和合计信息熵,确定第二特征值;
信息熵确定子单元,用于根据事件数信息熵、威胁度信息熵、第一特征值和第二特征值,确定当前告警事件对应的当前告警信息熵。
在一些可选的实施方式中,故障类型确定模块包括:
欧式距离确定单元,用于确定当前告警信息熵与每个历史告警信息熵的欧式距离;
目标历史告警信息熵集合确定单元,用于根据欧式距离在多个历史告警信息熵中确定目标历史告警信息熵集合;目标历史告警信息熵集合包括预设数量的目标历史告警信息熵,预设数量的目标历史告警信息熵与当前告警信息熵之间的欧式距离满足预设条件;
目标故障类型确定单元,用于获取每个目标历史告警信息熵对应的目标故障类型;
故障类型确定单元,用于根据每个目标故障类型,确定当前告警事件所对应的故障类型。
在一些可选的实施方式中,目标故障类型包括真实入侵类型和非真实入侵类型;故障类型确定单元包括:
数量确定子单元,用于分别确定真实入侵类型的数量和非真实入侵类型的数量;
故障类型确定子单元,用于根据真实入侵类型的数量和非真实入侵类型的数量,确定当前告警事件所对应的故障类型。
在另一些可选的实施方式中,故障类型确定模块包括:
识别结果确定单元,用于将当前告警信息熵输入故障识别模型,得到故障识别模型输出的识别结果;识别结果包括当前告警事件所对应的故障类型;其中,故障识别模型为基于历史告警事件所对应的历史告警信息熵进行模型训练得到,历史告警信息熵标注有目标故障类型标注结果。
在一些可选的实施方式中,该装置还包括模型训练模块,模型训练模块包括:
历史告警信息熵获取单元,用于获取标注有目标故障类型标注结果的历史告警信息熵;
故障类型预测结果确定单元,用于将历史告警信息熵输入机器模型中,得到历史告警信息熵的故障类型预测结果;
故障识别模型确定单元,用于根据目标故障类型标注结果和故障类型预测结果,对机器模型进行训练,得到训练后的故障识别模型。
本申请实施例所述的故障识别装置与故障识别方法实施例基于同样地申请构思,关于故障识别装置的具体实施情况,请参考上述关于故障识别方法全部实施方式,在此不再赘述。
本申请实施例还提供了一种电子设备,设备包括处理器和存储器,存储器中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行如上所述的故障识别方法。
本申请实施例中,存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、功能所需的应用程序等;存储数据区可存储根据所述终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。作为一个示例,该设备为车载电脑,如ECU。
本申请实施例还提供了一种计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现如上所述的故障识别方法。
本申请实施例中,上述计算机存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选的,该计算机可读存储介质可以包括:只读存储器(ReadOnlyMemory,ROM)、随机存取记忆体(RandomAccessMemory,RAM)、固态硬盘(SolidStateDrives,SSD)或光盘等。其中,随机存取记忆体可以包括电阻式随机存取记忆体(ResistanceRandomAccessMemory,ReRAM)和动态随机存取存储器(DynamicRandomAccessMemory,DRAM)。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种故障识别方法,其特征在于,所述方法包括:
获取引起入侵检测系统告警的当前告警事件,以及历史告警数据;所述历史告警数据包括多个历史告警事件所对应的历史告警信息熵;
对所述当前告警事件进行信息熵计算,得到所述当前告警事件对应的当前告警信息熵;
根据所述历史告警信息熵和所述当前告警信息,确定所述当前告警事件所对应的故障类型。
2.根据权利要求1所述的方法,其特征在于,所述对所述当前告警事件进行信息熵计算,得到所述当前告警事件对应的当前告警信息熵,包括:
对预设时间段内的所述当前告警事件的数目进行信息熵计算,得到事件数信息熵;
对所述预设时间段内的所述当前告警事件的威胁度进行信息熵计算,得到威胁度信息熵;
根据所述事件数信息熵和所述威胁度信息熵,确定所述当前告警事件对应的所述当前告警信息熵。
3.根据权利要求2所述的方法,其特征在于,所述根据所述事件数信息熵和所述威胁度信息熵,确定所述当前告警事件对应的所述当前告警信息熵,包括:
根据所述事件数信息熵和所述威胁度信息熵,确定合计信息熵;
根据所述事件数信息熵和所述合计信息熵,确定第一特征值;
根据所述威胁度信息熵和所述合计信息熵,确定第二特征值;
根据所述事件数信息熵、所述威胁度信息熵、所述第一特征值和所述第二特征值,确定所述当前告警事件对应的所述当前告警信息熵。
4.根据权利要求1所述的方法,其特征在于,所述根据所述历史告警信息熵和所述当前告警信息,确定所述当前告警事件所对应的故障类型,包括:
确定所述当前告警信息熵与每个所述历史告警信息熵的欧式距离;
根据所述欧式距离在多个所述历史告警信息熵中确定目标历史告警信息熵集合;所述目标历史告警信息熵集合包括预设数量的目标历史告警信息熵,所述预设数量的目标历史告警信息熵与所述当前告警信息熵之间的欧式距离满足预设条件;
获取每个所述目标历史告警信息熵对应的目标故障类型;
根据每个所述目标故障类型,确定所述当前告警事件所对应的故障类型。
5.根据权利要求4所述的方法,其特征在于,所述目标故障类型包括真实入侵类型和非真实入侵类型;所述根据每个所述目标历史告警信息熵对应的故障类型,确定所述当前告警事件所对应的故障类型,包括:
分别确定所述真实入侵类型的数量和所述非真实入侵类型的数量;
根据所述真实入侵类型的数量和所述非真实入侵类型的数量,确定所述当前告警事件所对应的故障类型。
6.根据权利要求1所述的方法,其特征在于,所述根据所述历史告警信息熵和所述当前告警信息,确定所述当前告警事件所对应的故障类型,包括:
将所述当前告警信息熵输入故障识别模型,得到所述故障识别模型输出的识别结果;所述识别结果包括所述当前告警事件所对应的故障类型;其中,所述故障识别模型为基于所述历史告警事件所对应的历史告警信息熵进行模型训练得到,所述历史告警信息熵标注有目标故障类型标注结果。
7.根据权利要求6所述的方法,其特征在于,所述故障识别模型训练的方法包括:
获取标注有所述目标故障类型标注结果的所述历史告警信息熵;
将所述历史告警信息熵输入机器模型中,得到所述历史告警信息熵的故障类型预测结果;
根据所述目标故障类型标注结果和所述故障类型预测结果,对所述机器模型进行训练,得到训练后的所述故障识别模型。
8.一种故障识别装置,其特征在于,所述装置包括:
当前告警事件获取模块,用于获取引起入侵检测系统告警的当前告警事件,以及历史告警数据;所述历史告警数据包括多个历史告警事件所对应的历史告警信息熵;
信息熵计算模块,用于对所述当前告警事件进行信息熵计算,得到所述当前告警事件对应的当前告警信息熵;
故障类型确定模块,用于根据所述历史告警信息熵和所述当前告警信息,确定所述当前告警事件所对应的故障类型。
9.一种电子设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由所述处理器加载并执行如权利要求1-7任一项所述的故障识别方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-7任一项所述的故障识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210846710.0A CN115189961B (zh) | 2022-07-05 | 2022-07-05 | 一种故障识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210846710.0A CN115189961B (zh) | 2022-07-05 | 2022-07-05 | 一种故障识别方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115189961A true CN115189961A (zh) | 2022-10-14 |
CN115189961B CN115189961B (zh) | 2024-04-30 |
Family
ID=83519910
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210846710.0A Active CN115189961B (zh) | 2022-07-05 | 2022-07-05 | 一种故障识别方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115189961B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116132263A (zh) * | 2023-02-24 | 2023-05-16 | 北京优特捷信息技术有限公司 | 告警解决方案推荐方法、装置、电子设备及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010105843A1 (en) * | 2009-03-20 | 2010-09-23 | Eth Zurich | Detecting network traffic anomalies in a communication network |
DE102010011587A1 (de) * | 2010-03-16 | 2011-09-22 | Siemens Aktiengesellschaft | Verfahren und System zum Schutz eines Kommunikationssystems oder eines Kommunikationsnetzwerkes |
CN106357434A (zh) * | 2016-08-30 | 2017-01-25 | 国家电网公司 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
KR102006755B1 (ko) * | 2018-05-10 | 2019-08-02 | 조선대학교산학협력단 | 정보 엔트로피의 비교를 통한 차량 내 외부 데이터 침입 탐지 장치 및 그 동작 방법 |
US20200186409A1 (en) * | 2018-12-06 | 2020-06-11 | Vmware, Inc. | Holo-entropy based alarm scoring approach |
CN111666171A (zh) * | 2020-06-04 | 2020-09-15 | 中国工商银行股份有限公司 | 故障识别方法及装置、电子设备和可读存储介质 |
CN113592343A (zh) * | 2021-08-10 | 2021-11-02 | 国网河北省电力有限公司电力科学研究院 | 二次系统的故障诊断方法、装置、设备和存储介质 |
US20220006666A1 (en) * | 2020-07-02 | 2022-01-06 | Shanghai Trusted Industrial Control Platform Co., Ltd. | Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy |
CN113986693A (zh) * | 2021-11-15 | 2022-01-28 | 中国银行股份有限公司 | 告警响应级别确定方法、装置、电子设备及存储介质 |
CN113986657A (zh) * | 2021-10-15 | 2022-01-28 | 阿里巴巴(中国)有限公司 | 告警事件的处理方法及处理装置 |
US20220080988A1 (en) * | 2020-09-17 | 2022-03-17 | National Taiwan University | Method and system for detecting driving anomalies |
CN114446019A (zh) * | 2022-01-05 | 2022-05-06 | 贵州电网有限责任公司电力科学研究院 | 告警信息处理方法、装置、设备、存储介质和产品 |
-
2022
- 2022-07-05 CN CN202210846710.0A patent/CN115189961B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010105843A1 (en) * | 2009-03-20 | 2010-09-23 | Eth Zurich | Detecting network traffic anomalies in a communication network |
DE102010011587A1 (de) * | 2010-03-16 | 2011-09-22 | Siemens Aktiengesellschaft | Verfahren und System zum Schutz eines Kommunikationssystems oder eines Kommunikationsnetzwerkes |
CN106357434A (zh) * | 2016-08-30 | 2017-01-25 | 国家电网公司 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
KR102006755B1 (ko) * | 2018-05-10 | 2019-08-02 | 조선대학교산학협력단 | 정보 엔트로피의 비교를 통한 차량 내 외부 데이터 침입 탐지 장치 및 그 동작 방법 |
US20200186409A1 (en) * | 2018-12-06 | 2020-06-11 | Vmware, Inc. | Holo-entropy based alarm scoring approach |
CN111666171A (zh) * | 2020-06-04 | 2020-09-15 | 中国工商银行股份有限公司 | 故障识别方法及装置、电子设备和可读存储介质 |
US20220006666A1 (en) * | 2020-07-02 | 2022-01-06 | Shanghai Trusted Industrial Control Platform Co., Ltd. | Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy |
US20220080988A1 (en) * | 2020-09-17 | 2022-03-17 | National Taiwan University | Method and system for detecting driving anomalies |
CN113592343A (zh) * | 2021-08-10 | 2021-11-02 | 国网河北省电力有限公司电力科学研究院 | 二次系统的故障诊断方法、装置、设备和存储介质 |
CN113986657A (zh) * | 2021-10-15 | 2022-01-28 | 阿里巴巴(中国)有限公司 | 告警事件的处理方法及处理装置 |
CN113986693A (zh) * | 2021-11-15 | 2022-01-28 | 中国银行股份有限公司 | 告警响应级别确定方法、装置、电子设备及存储介质 |
CN114446019A (zh) * | 2022-01-05 | 2022-05-06 | 贵州电网有限责任公司电力科学研究院 | 告警信息处理方法、装置、设备、存储介质和产品 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116132263A (zh) * | 2023-02-24 | 2023-05-16 | 北京优特捷信息技术有限公司 | 告警解决方案推荐方法、装置、电子设备及存储介质 |
CN116132263B (zh) * | 2023-02-24 | 2023-09-19 | 北京优特捷信息技术有限公司 | 告警解决方案推荐方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115189961B (zh) | 2024-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7533070B2 (en) | Automatic fault classification for model-based process monitoring | |
JP2018170006A (ja) | 電力グリッドにおけるサイバー脅威を検出する汎用フレームワーク | |
CN108460397B (zh) | 设备故障类型的分析方法、装置、储存介质和电子设备 | |
CN103870751A (zh) | 入侵检测方法及系统 | |
CN111538311B (zh) | 一种基于数据挖掘的机械设备柔性多状态自适应预警方法及装置 | |
CN113986693A (zh) | 告警响应级别确定方法、装置、电子设备及存储介质 | |
CN113778802A (zh) | 异常预测方法及设备 | |
CN115189961B (zh) | 一种故障识别方法、装置、设备及存储介质 | |
CN112671767A (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
CN114817933A (zh) | 评估业务预测模型鲁棒性的方法、装置及计算设备 | |
CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
CN113222736A (zh) | 一种异常用户的检测方法、装置、电子设备及存储介质 | |
CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
CN115495274B (zh) | 基于时序数据的异常处理方法、网络设备和可读存储介质 | |
CN111555899A (zh) | 告警规则配置方法、设备状态监测方法、装置和存储介质 | |
CN111431937A (zh) | 工业网络异常流量的检测方法及系统 | |
CN111258788B (zh) | 磁盘故障预测方法、装置及计算机可读存储介质 | |
CN114928467A (zh) | 一种网络安全运维关联分析方法及系统 | |
CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
EP3457609A1 (en) | System and method for computing of anomalies based on frequency driven transformation and computing of new features based on point anomaly density | |
CN112333157B (zh) | 基于大数据的网络安全防护方法和网络安全防护平台 | |
CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
EP4394632A1 (en) | Incident confidence level | |
CN111160454B (zh) | 一种速变信号检测方法和装置 | |
WO2023096632A1 (en) | Method for false alarm prediction and severity classification in event sequences |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |