RU2764873C1 - Способ обнаружения аномалий в инфокоммуникационных системах - Google Patents

Способ обнаружения аномалий в инфокоммуникационных системах Download PDF

Info

Publication number
RU2764873C1
RU2764873C1 RU2020139417A RU2020139417A RU2764873C1 RU 2764873 C1 RU2764873 C1 RU 2764873C1 RU 2020139417 A RU2020139417 A RU 2020139417A RU 2020139417 A RU2020139417 A RU 2020139417A RU 2764873 C1 RU2764873 C1 RU 2764873C1
Authority
RU
Russia
Prior art keywords
quality indicator
extrapolation
complex
information
infocommunication
Prior art date
Application number
RU2020139417A
Other languages
English (en)
Inventor
Иван Владимирович Дементьев
Original Assignee
Акционерное общество "Концерн "Созвездие"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Концерн "Созвездие" filed Critical Акционерное общество "Концерн "Созвездие"
Priority to RU2020139417A priority Critical patent/RU2764873C1/ru
Application granted granted Critical
Publication of RU2764873C1 publication Critical patent/RU2764873C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении аномалий в инфокоммуникационных системах по параметрам, характеризующим ее функционирование. Способ обнаружения аномалий в инфокоммуникационных системах, в котором собирают данные о процессе функционирования инфокоммуникационной системы; с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные частные показатели качества; вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества оцениваемой системы от знака изменения частного показателя качества; значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров; расчет оценки комплексного показателя качества производят методом Крылова; для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования; бифуркационный анализ осуществляется на основе выборки оценок комплексного показателя качества и результата экстраполяции; по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы. 1 ил.

Description

Предлагаемый способ относится к области защиты информации (диагностике и контролю функционирования) и может быть использован в информационно-коммуникационных, телекоммуникационных (далее инфокоммуникационных) системах для определения признаков их аномального функционирования. Аномальное функционирование может быть вызвано любыми причинами: от неправильных действий оператора до кибервоздействия на систему.
Тенденция развития современных средств информационных воздействий (кибервоздействий) на инфокоммуникационные системы направлена в сторону повышения их скрытности. Более того, кибервоздействия зачастую являются априорно неопределенными для системы защиты (антивирусов, систем обнаружения вторжений). Поэтому для обнаружения ранее неизвестного воздействия необходим подход, направленный на обнаружение косвенных признаков этого воздействия, выражающихся в изменении характера функционирования защищаемой системы.
В заявке RU 2004100462, G09B 19/00 , предложен способ квалиметрического анализа многомерных объектов, с помощью которого рассчитывается единый интегрированный показатель качества на основе иерархической структуры частных характеристик оцениваемого объекта.
Недостатками данного способа являются:
- в способе производится сравнение оцениваемого объекта с однотипными ему, что не позволяет формировать динамическую оценку качества для единственного в своем роде, но динамически меняющегося объекта;
- в способе не отражена необходимость взаимной увязки частных характеристик, имеющих разную физическую природу, различные статистические характеристики, а также применительно к динамической системе отсев показателей, не изменяющихся во времени.
В патенте RU 2634169, G06N 7/06, G06G 7/66, G05B 19/4063 , предложен способ моделирования мониторинга рисков для информационно-управляющей системы в условиях информационно-технических воздействий.
На основании статистических данных формируется физическая модель нормального функционирования абонентов защищаемой информационно-управляющей системы и их аномального поведения.
Недостатком указанного способа являются отсутствие экстраполяции траектории системы в фазовом пространстве, особенно в условиях пропусков значительного количества отсчетов данных или ограничениях на размер базы данных.
Наиболее близким по технической сущности к предлагаемому, является способ обнаружения вредоносного приложения на устройстве пользователя, приведенный в патенте RU 2617924, G06F 17/30, 21/71, 21/55, 21/56 , принятый за прототип.
В способе-прототипе рассчитывается коэффициент аномальности поведения, основанный на сравнении фактических действий пользователя со сформированным шаблоном его действий в графическом интерфейсе.
Для формирования профиля нормального функционирования используются фактические образцы действий в графическом интерфейсе с целью отделить действия, производимые пользователем от действий имитирующей его сторонней программы (т.е. дистанционно злоумышленником). Классификация аномальности действий в способе-прототипе осуществляется, в том числе, на основе косвенных признаков активности (показания датчиков ускорения, освещенности, микрофона, траекторий движений по устройству ввода). При этом образцы аномальной активности отмечены заранее.
Недостатком способа-прототипа является то, что для обучения системы применен процесс обучения «с учителем».
В заявляемом изобретении решается задача создания способа, в котором обучение осуществляется «без учителя» – аниматы обучаются, основываясь на критерии эффективности собственных алгоритмов экстраполяции на предыдущих шагах функционирования системы.
Достигаемый технический результат – обнаружение аномалий в инфокоммуникационных системах по параметрам, характеризующим ее функционирование.
Технический результат достигается тем, что в известном способе, включающем сбор данных о процессе функционирования инфокоммуникационной системы и определяющем его «нормальность/аномальность», согласно изобретению, вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества от знака изменения частного показателя качества оцениваемой системы; значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров; с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные факторы; при расчете весовых коэффициентов при частных показателях качества используют выборки исходных данных произвольной длины; экстраполируют состояние инфокоммуникационной системы с использованием аниматов; подкрепление аниматам формируют в зависимости от точности экстраполяции; генерируют и удаляют «виртуальные» аниматы для одновременной проверки нескольких гипотез о траектории системы для ускорения процесса обучения; для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования; по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы.
Решение поставленной задачи осуществляется с использованием бифуркационного анализа массива обработанных с использованием квалиметрических методов исходных данных о фактическом процессе, а также результата экстраполяции аниматами наиболее вероятного состояния системы.
Способ обнаружения «аномалий» функционирования инфокоммуникационной системы основан на явлении роста шумовых составляющих в системе при ее приближении к точке бифуркации.
Для применения методов бифуркационного анализа [4] проводится соответствующая подготовка исходных данных. Первоначально набор динамически изменяющихся частных характеристик системы с неопределенной взаимной зависимостью преобразуется в набор некоррелированных или слабо коррелированных частных показателей качества - факторов. На их основе проводится автоматизированный расчет единого комплексного показателя качества, который в дальнейшем подвергается бифуркационному анализу. Алгоритм экстраполяции последующего состояния инфокоммуникационной системы также предназначен для применения полученных с его помощью состояний в бифуркационном анализе.
Для динамически изменяющейся системы квалиметрическое оценивание проводится по временной выборке векторов её частных параметров с учетом их статистических характеристик.
Параметры системы, имеющие разную физическую природу и различные статистические характеристики, взаимно увязываютсяя посредством квалиметрических методов, исключение из расчета не изменяющихся во времени показателей производится модифицированным методом сводных показателей Крылова, посредством нормирования и автоматизированного расчета весовых коэффициентов.
Экстраполяция состояния системы возможна с использованием базы данных о фактически пройденной системой траектории в фазовом пространстве, что позволяет в условиях пропуска исходных данных экстраполировать положение системы.
Решение поставленной задачи в заявляемом способе осуществляется устройством, схема которого приведена на фиг. 1, где обозначено:
1 – квалиметрический блок;
2 – бифуркационый блок;
3 – блок аниматов;
4 – блок базы данных.
Устройство для реализации заявленного способа содержит последовательно соединенные квалиметрический блок 1 и бифуркационный блок 2; блок аниматов 3, выход которого соединен со вторым входом бифуркационного блока 2, выход которого является выходом устройства; а также блок базы данных 4, первый вход которого, объединенный с входом квалиметрического блока 1, является входом устройства. Кроме того, выход квалиметрического блока 1 соединен со вторым входом блока базы данных 4, который соединен двунаправленной связью с блоком аниматов 3.
Заявленный способ работает следующим образом.
Входные данные о состоянии инфокоммуникационной системы поступают на вход квалиметрического блока 1, где они подвергаются декорреляции и выделению линейно независимых факторов. Для полученных факторов модифицированным методом Крылова рассчитывается оценка комплексного показателя качества.
Оценка комплексного показателя качества передается на первый вход бифуркационного блока 2 и сохраняется в блоке базы данных 4. Кроме того, в блоке базы данных 4 сохраняется вектор текущих исходных данных, подаваемых на его первый вход.
Бифуркационный блок 2 получает данные от квалиметрического блока 1 на первый вход (последнее рассчитанное значение комплексного показателя качества) и с выхода блока аниматов 3 (наиболее достоверные данные экстраполяции состояния системы) – на второй вход.
Бифуркационный блок 2 на основе выборки оценок комплексного показателя качества и наиболее достоверного экстраполированного состояния системы, производит анализ «нормальности»/«аномальности» состояния системы и выдает на выход устройства результат указанного анализа.
В блоке аниматов 3, на основе полученных из блока 4 исходных данных о процессе функционирования, единичные аниматы самообучаются, строя модели функционирования и экстраполируя на их основе наиболее вероятные прогнозируемые состояния (для разных аниматов – разные).
Каждый анимат в блоке аниматов 3 представляет собой фрагмент программного кода, который имеет возможность изменять алгоритм собственного функционирования при получении «положительного» или «отрицательного» подкрепления результату своих вычислений. В заявляемом способе «подкрепление» обусловлено различием между экстраполированным и фактическим состояниями системы. Распределение подкреплений между единичными аниматами в блоке аниматов осуществляется исходя из точности экстраполяции комплексного показателя качества единичными аниматами. Чем меньше точность экстраполяции конкретного анимата, тем значительнее этот анимат должен модифицировать свой алгоритм экстраполяции для повышения её точности.
Анимат, имеющий наиболее точные по предыдущей выборке экстраполирующие данные, выдает вычисленные данные экстраполяции на второй вход бифуркационного блока 2.
Настройки аниматов, результаты и ошибки экстраполяции передаются для длительного хранения в блок базы данных 4 и извлекаются из нее при включении системы.
Блок базы данных 4 предназначен для:
- сохранения исходных данных, поступающих на вход системы;
- выдачи исходных данных за предыдущее время в квалиметрический блок 1;
- хранения результатов вычисления оценок комплексного показателя качества, полученных от квалиметрического блока 1;
- хранения и выдачи настроек аниматов, результатов и ошибок экстраполяции для каждого из аниматов в блок аниматов 3 и из блока аниматов 3 (необходимы для процесса самообучения и для длительного хранения).
Квалиметрический блок 1 преобразует многомерный поток данных о состоянии системы во временную выборку оценок комплексного показателя качества функционирования указанной системы. Для этого выборка векторов входных параметров подвергается следующей обработке.
В формулу расчета оценки комплексного показателя качества необходимо включить функцию полезности для каждого частного показателя качества φ(Х) n , которая отражает зависимость знака изменения качества оцениваемой системы от знака изменения частного показателя качества.
Если возрастание n-го частного показателя качества приводит к улучшению комплексного показателя качества, то φ(Х) n =1.
Если возрастание n-го частного показателя качества приводит к ухудшению комплексного показателя качества, то φ(Х) n =-1.
Если изменение n-го частного показателя качества не приводит к изменению комплексного показателя качества, то φ(Х) n =0.
Если значение n-го комплексного показателя качества ухудшается при отстройке частного показателя качества от определенного «оптимального» значения Х 0 , то функция полезности может быть задана формулой
φ(Х) n =2Θ(X 0 -X)-1,
где Θ(X) – функция Хевисайда.
Если зависимость знака изменения качества оцениваемой системы от знака изменения частного показателя качества имеет более сложный характер, то φ(Х)n может быть представлена как кусочно-заданная функция.
Значимость частных показателей качества системы для расчета количественной оценки ее качества ранжируется в зависимости от статистических параметров этих показателей. При этом, динамически не изменяющиеся характеристики системы в расчете комплексного показателя качества не используются.
Квалиметрический блок содержит декоррелятор, преобразующий вектор входных данных в статистически некоррелированные факторы (частные показатели качества).
Исходные данные для расчета комплексного показателя качества Q – выборка из M векторов (временная выборка), каждый из которых имеет N элементов (факторов, то есть взаимно некоррелированных частных показателей качества). Таким образом, Xnm – частный показатель качества n из общего количества частных показателей качества N, из выборки номера m из общей длины выборки M.
X – текущее (последнее во временной выборке длины M) значение n-го частного показателя качества.
Рассчитывается текущее нормированное значение Xnorm n n-го частного показателя качества X n М исходя из выборки его предыдущих значений:
Figure 00000001
.
Текущее значение весового коэффициента при n-ом частном показателе качества kvn при каждом Xnormn определяется:
Figure 00000002
,
где σ n 2 – дисперсия n-го нормированного частного показателя качества.
Для вычисления весовых коэффициентов также допустимо применение отношения среднеквадратических отклонений факторов вместо дисперсий.
Текущая оценка комплексного показателя качества Q рассчитывается по формуле
Figure 00000003
При расчете весовых коэффициентов при частных показателях качества, допустимо использование выборок исходных данных произвольной длины, а также с возможностью пропуска данных.
Для бифуркационного анализа «нормальности/аномальности» предлагается применять экстраполированное состояние инфокоммуникационной системы. В качестве экстраполированного значения предлагается применять результаты расчетов от анимата, для которого ошибка экстраполяции минимальна.
По поступающим данным, аниматы постоянно формируют модель функционирования, и на ее основе производят экстраполяцию состояния системы.
В блоке аниматов 3 для ускорения самообучения и повышения точности экстраполяции применяется модель «виртуальных аниматов». Поскольку каждый анимат представляет собой фрагмент программного кода, их количество не регламентировано и может изменяться. Для ускорения процесса обучения генерируются дополнительные аниматы с различными начальными параметрами алгоритмов экстраполяции комплексного показателя качества. После обучения аниматы с наихудшими результатами экстраполяции удаляются.
Основные отличительные признаки предлагаемого технического решения состоят в применении в способе обнаружения аномалий в инфокоммуникационных системах:
- процесса обучения единичных аниматов из блока аниматов «без учителя», с использованием метода «обучения с подкреплением», только на основании данных из блока базы данных 4;
- «виртуальных» аниматов, позволяющих, формируя большое количество экстраполирующих алгоритмов и их настроек, ускорить процесс самообучения за счет одновременной проверки нескольких возможных гипотез о траектории движения инфокоммуникационной системы;
- метода квалиметрической оценки состояния системы в динамике, с учетом статистических характеристик частных показателей качества, с автоматизированным расчетом весовых коэффициентов;
- экстраполяции траектории системы в фазовом пространстве, которая возможна с использованием исходных данных из блока базы данных 4.
Технический результат предлагаемого способа был проверен в процессе моделирования. При моделировании были использованы следующие параметры:
1) модель исходных данных – хаотический процесс, основанный на уравнениях аттрактора Лоренца, количество показателей качества – 3, соответствующих переменным X, Y, Z аттрактора Лоренца;
2) модифицированный метод Крылова для расчета комплексного показателя качества, расчет весовых коэффициентов производился на основе статистических характеристик частных факторов с учетом нормировки;
3) обучение с подкреплением применялось для экстраполяции траектории системы в фазовом пространстве и создания самообучаемой модели среды функционирования.
Таким образом, в предлагаемом способе оценка «аномальности» состояния инфокоммуникационной системы производится формированием единой динамической квалиметрической оценки состояния системы, ее экстраполяцией и последующей оценкой «аномальности» состояния системы бифуркационным методом. Решение о «нормальности/аномальности» процесса функционирования принимается на основе бифуркационного анализа, в котором о приближении точки бифуркации свидетельствует характер роста и насыщения уровня шумов в системе и, соответственно, поведения дисперсии частных и комплексного показателей качества в модельном представлении инфокоммуникационной системы.
Источники информации.
1. Заявка RU 2004 100 462 A, G09B 19/00(2006.01).
2. Патент RU 2 634 169 C1 G06N 7/06(2006.01) G06G 7/66(2006.01) G05B 19/4063(2006.01).
3. Патент RU 2617924, G06F (17/30, 21/71, 21/55, 21/56).
4. М.-Г. М. Зульпукаров, Г. Г. Малинецкий, А. В. Подлазов Обратная задача теории бифуркаций в динамических системах с шумом. Ордена Ленина институт прикладной математики им. М.В. Келдыша Российской академии наук. Москва, 2005 http://keldysh.ru/papers/2005/prep39/prep2005_39.pdf

Claims (12)

  1. Способ обнаружения аномалий в инфокоммуникационных системах, включающий сбор данных о процессе функционирования инфокоммуникационной системы и определяющий его «нормальность/аномальность», отличающийся тем, что
  2. с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные частные показатели качества;
  3. вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества оцениваемой системы от знака изменения частного показателя качества;
  4. значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров;
  5. при расчете весовых коэффициентов при частных показателях качества используют выборки исходных данных произвольной длины;
  6. расчет оценки комплексного показателя качества производят методом Крылова;
  7. подкрепления аниматам формируют в зависимости от точности предыдущей экстраполяции;
  8. экстраполируют состояние инфокоммуникационной системы с использованием аниматов;
  9. генерируют и удаляют «виртуальные» аниматы для одновременной проверки нескольких гипотез о траектории системы для ускорения процесса обучения;
  10. для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования;
  11. бифуркационный анализ осуществляется на основе выборки оценок комплексного показателя качества и результата экстраполяции;
  12. по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы.
RU2020139417A 2020-12-01 2020-12-01 Способ обнаружения аномалий в инфокоммуникационных системах RU2764873C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020139417A RU2764873C1 (ru) 2020-12-01 2020-12-01 Способ обнаружения аномалий в инфокоммуникационных системах

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020139417A RU2764873C1 (ru) 2020-12-01 2020-12-01 Способ обнаружения аномалий в инфокоммуникационных системах

Publications (1)

Publication Number Publication Date
RU2764873C1 true RU2764873C1 (ru) 2022-01-21

Family

ID=80445315

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020139417A RU2764873C1 (ru) 2020-12-01 2020-12-01 Способ обнаружения аномалий в инфокоммуникационных системах

Country Status (1)

Country Link
RU (1) RU2764873C1 (ru)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040133354A1 (en) * 2002-10-01 2004-07-08 Low Colin Andrew Two mode creature simulation
US20170024877A1 (en) * 2014-03-19 2017-01-26 Neurala, Inc. Methods and Apparatus for Autonomous Robotic Control
RU2617924C1 (ru) * 2016-02-18 2017-04-28 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного приложения на устройстве пользователя

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040133354A1 (en) * 2002-10-01 2004-07-08 Low Colin Andrew Two mode creature simulation
US20170024877A1 (en) * 2014-03-19 2017-01-26 Neurala, Inc. Methods and Apparatus for Autonomous Robotic Control
RU2617924C1 (ru) * 2016-02-18 2017-04-28 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного приложения на устройстве пользователя

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CHUANDONG LI et al. "Stability and Bifurcation Analysis of a Modified Epidemic Model for Computer Viruses", опубл. 05.06.2014 на 15 страницах [найдено 15.06.2021], размещено в Интернет по адресу URL:https://downloads.hindawi.com/journals/mpe/2014/784684.pdf. *
JONATHAN TOUBOUL "Bifurcation Analysis of a General Class of Nonlinear Integrate-and-Fire Neurons", опубл. 23.09.2014 на 48 страницах [найдено 15.06.2021], размещено в Интернет по адресу URL:https://www.researchgate.net/publication/220222244. *
ЗАЙЦЕВА О.Ю. и др. "Модель бифуркаций в анализе безопасности процессов в системах", Успехи современного естествознания N8 2010, опубл. 31.12.2010 на 2 страницах [найдено 15.06.2021], размещено в Интернет по адресу URL:https://natural-sciences.ru/pdf/2010/8/48.pdf. *
ЗАЙЦЕВА О.Ю. и др. "Модель бифуркаций в анализе безопасности процессов в системах", Успехи современного естествознания N8 2010, опубл. 31.12.2010 на 2 страницах [найдено 15.06.2021], размещено в Интернет по адресу URL:https://natural-sciences.ru/pdf/2010/8/48.pdf. JONATHAN TOUBOUL "Bifurcation Analysis of a General Class of Nonlinear Integrate-and-Fire Neurons", опубл. 23.09.2014 на 48 страницах [найдено 15.06.2021], размещено в Интернет по адресу URL:https://www.researchgate.net/publication/220222244. CHUANDONG LI et al. "Stability and Bifurcation Analysis of a Modified Epidemic Model for Computer Viruses", опубл. 05.06.2014 на 15 страницах [найдено 15.06.2021], размещено в Интернет по адресу URL:https://downloads.hindawi.com/journals/mpe/2014/784684.pdf. *

Similar Documents

Publication Publication Date Title
CN110009171B (zh) 用户行为模拟方法、装置、设备及计算机可读存储介质
US10664754B2 (en) Information processing apparatus
JP7183471B2 (ja) 将来の動作の予測分類
WO2021120775A1 (zh) 一种数据异常检测方法与装置
CN110352349B (zh) 异常音检测装置、异常度计算装置、异常音生成装置、异常信号检测装置、及其方法、记录介质
CN108960303B (zh) 一种基于lstm的无人机飞行数据异常检测方法
JP6609050B2 (ja) 時間的因果グラフにおける異常フュージョン
CN102265227B (zh) 用于在机器状况监视中创建状态估计模型的方法和设备
WO2020159706A1 (en) Methods and systems for fault detection and identification
JP2015230727A (ja) 時系列データ内の異常を検出する方法
CN113037577B (zh) 网络流量预测方法、装置和计算机可读存储介质
Wahono et al. Neural network parameter optimization based on genetic algorithm for software defect prediction
CN101295177A (zh) 用于检测传感器采样流中的变化的方法和系统
CN109639734B (zh) 一种具有计算资源自适应性的异常流量检测方法
CN112202726B (zh) 一种基于上下文感知的系统异常检测方法
KR20170127430A (ko) 센서 오차를 검출, 분류 및/또는 완화하는 방법 및 시스템
CN113553356A (zh) 一种钻井参数预测方法和系统
CN109688112A (zh) 工业物联网异常行为检测装置
CN114528190B (zh) 单指标异常的检测方法、装置、电子设备及可读存储介质
Kirichek et al. System for detecting network anomalies using a hybrid of an uncontrolled and controlled neural network
CN111260024A (zh) 基于长短期记忆和典型相关结合的故障检测方法及系统
RU2764873C1 (ru) Способ обнаружения аномалий в инфокоммуникационных системах
CN112836719B (zh) 一种融合二分类和三元组的示功图相似性检测方法
EP3686812A1 (en) System and method for context-based training of a machine learning model
CN112417446A (zh) 一种软件定义网络异常检测架构