CN111444931A - 异常访问数据的检测方法和装置 - Google Patents
异常访问数据的检测方法和装置 Download PDFInfo
- Publication number
- CN111444931A CN111444931A CN201910043579.2A CN201910043579A CN111444931A CN 111444931 A CN111444931 A CN 111444931A CN 201910043579 A CN201910043579 A CN 201910043579A CN 111444931 A CN111444931 A CN 111444931A
- Authority
- CN
- China
- Prior art keywords
- access data
- training
- abnormal
- initial
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 253
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012549 training Methods 0.000 claims abstract description 271
- 238000001514 detection method Methods 0.000 claims abstract description 121
- 238000012795 verification Methods 0.000 claims abstract description 99
- 238000004590 computer program Methods 0.000 claims description 9
- 238000007477 logistic regression Methods 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 7
- 238000003066 decision tree Methods 0.000 claims description 6
- 230000002547 anomalous effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 17
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 239000000835 fiber Substances 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
- G06F18/2155—Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the incorporation of unlabelled data, e.g. multiple instance learning [MIL], semi-supervised techniques using expectation-maximisation [EM] or naïve labelling
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种异常访问数据的检测方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:根据预先建立的初始训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。该实施方式能够利用动态调整的训练集不断优化异常访问数据检测模型,从而提升模型的异常检测准确性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种异常访问数据的检测方法和装置。
背景技术
在计算机与互联网技术领域,网页访问的主要载体是形式为链接字符串的访问数据。实际应用中,某些恶意请求通过作弊的方式生成异常访问数据以图绕过监管,这些作弊方式包括:结构化查询语言SQL(Structured Query Language)注入、XSS攻击(即跨站脚本攻击)、恶意观点验证程序POC(Proof Of Concept)等。一般地,正常访问数据符合标准格式,异常访问数据存在一定的内容随机性。
具体应用中,异常访问数据模式众多且变化多段,但预先标注的异常访问数据数量相对较小,因此现有的异常访问数据检测算法一般采用统计、矩阵分解、孤立森林Isolation Forest或深度网络等无监督学习算法,上述算法无法利用已标注的异常访问数据,无法在已标注数据的帮助下进一步学习有用的特征组合,其提升空间较小,检测准确性较低。
发明内容
有鉴于此,本发明实施例提供一种异常访问数据的检测方法和装置,能够利用动态调整的训练集不断优化异常访问数据检测模型,从而提升模型的异常检测准确性。
为实现上述目的,根据本发明的一个方面,提供了一种异常访问数据的检测方法。
本发明实施例的异常访问数据的检测方法包括:根据预先建立的初始训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;其中,初始验证集中包含预先标注的异常访问数据和未标注访问数据;将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;其中,所述准确率为该多个访问数据中预先标注的异常访问数据的比例;将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。
可选地,所述方法进一步包括:在将该多个访问数据加入初始训练集之后,将该多个访问数据从初始验证集中去除;对异常访问数据检测模型进行至少一次迭代训练;其中,在任一次迭代训练中:根据当前训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定当前验证集中访问数据的异常概率;将该当前验证集中异常概率和准确率符合所述判别条件的多个访问数据标注为异常访问数据,加入当前训练集,形成下一次迭代训练的训练集;将该多个访问数据从该当前验证集中去除,形成下一次迭代训练的验证集。
可选地,在任一次迭代训练中,所述判别条件包括:按照访问数据的异常概率降序,以预设的初始数量和递增数量分n次从当前验证集中有放回地选取访问数据;其中,n为正整数;将n次选取中准确率最高的选取确定为最优选取,并将最优选取的访问数据标注为异常访问数据。
可选地,在任一次迭代训练中,所述判别条件进一步包括:最优选取的访问数据的准确率不小于预设阈值;以及,所述方法进一步包括:在任一次迭代训练中,如果当前验证集中访问数据的异常概率和准确率不符合所述判别条件,则停止迭代训练。
可选地,初始训练集中包含:预先标注的异常访问数据以及利用预先建立的无监督学习模型从未标注访问数据中确定的正常访问数据,初始训练集与初始验证集互斥;所述异常访问数据检测模型为梯度迭代决策树GBDT模型和逻辑回归LR模型;其中,在任一次迭代训练中,GBDT模型的叶子节点进行独热编码后,作为LR模型的输入数据。
为实现上述目的,根据本发明的另一方面,提供了一种异常访问数据的检测装置。
本发明实施例的异常访问数据的检测装置可包括:初始训练单元,用于根据预先建立的初始训练集对异常访问数据检测模型进行训练;概率确定单元,用于:在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;其中,初始验证集中包含预先标注的异常访问数据和未标注访问数据;主动学习单元,用于将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;其中,所述准确率为该多个访问数据中预先标注的异常访问数据的比例;异常检测单元,用于将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。
可选地,所述装置可进一步包括:迭代训练单元,其用于:在将该多个访问数据加入初始训练集之后,将该多个访问数据从初始验证集中去除;对异常访问数据检测模型进行至少一次迭代训练;其中,在任一次迭代训练中:根据当前训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定当前验证集中访问数据的异常概率;将该当前验证集中异常概率和准确率符合所述判别条件的多个访问数据标注为异常访问数据,加入当前训练集,形成下一次迭代训练的训练集;将该多个访问数据从该当前验证集中去除,形成下一次迭代训练的验证集。
可选地,在任一次迭代训练中,所述判别条件可包括:按照访问数据的异常概率降序,以预设的初始数量和递增数量分n次从当前验证集中有放回地选取访问数据;其中,n为正整数;将n次选取中准确率最高的选取确定为最优选取,并将最优选取的访问数据标注为异常访问数据;在任一次迭代训练中,所述判别条件可进一步包括:最优选取的访问数据的准确率不小于预设阈值;迭代训练单元可进一步用于:在任一次迭代训练中,如果当前验证集中访问数据的异常概率和准确率不符合所述判别条件,则停止迭代训练;初始训练集中包含:预先标注的异常访问数据以及利用预先建立的无监督学习模型从未标注访问数据中确定的正常访问数据,初始训练集与初始验证集互斥;所述异常访问数据检测模型为梯度迭代决策树GBDT模型和逻辑回归LR模型;其中,在任一次迭代训练中,GBDT模型的叶子节点进行独热编码后,作为LR模型的输入数据。
为实现上述目的,根据本发明的又一方面,提供了一种电子设备。
本发明的一种电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明所提供的异常访问数据的检测方法。
为实现上述目的,根据本发明的再一方面,提供了一种计算机可读存储介质。
本发明的一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明所提供的异常访问数据的检测方法。
根据本发明的技术方案,上述发明中的一个实施例具有如下优点或有益效果:
其一,利用无监督学习模型从未标注访问数据中确定正常访问数据,将正常访问数据与预先标注的异常访问数据组合为初始训练集对异常访问数据检测模型进行迭代训练,从而实现半监督学习机制,可有效利用已标注访问数据和未标注访问数据。
其二,异常访问数据检测模型采用梯度迭代决策树GBDT模型和逻辑回归LR模型,其中GBDT模型的叶子节点进行独热编码后作为LR模型的输入数据,经过上述设置的异常访问数据检测模型具有良好的非线性映射能力和较强的预测回溯能力。
其三,本发明可利用动态调整的训练集和验证集对异常访问数据检测模型进行多次主动学习方式的迭代训练;在每次迭代训练中,利用由当前训练集训练的异常访问数据检测模型确定当前验证集中访问数据的异常概率,针对异常概率最大的多个访问数据进行多次选取并将其中准确率最高的选取确定为最优选取;在最优选取的准确率不小于预设阈值时,将最优选取的访问数据从当前验证集中去除并加入当前训练集,用于下一次迭代训练;在该下一次迭代训练中,可继承此前经过训练的异常访问数据检测模型(即异常访问数据检测模型的启动方式为热启动),由此避免现有的冷启动方式造成的知识遗忘;在最优选取的准确率小于预设阈值时,停止迭代训练从而完成异常访问数据检测模型的训练过程。通过上述设置,能够在保证训练数据质量的情况下,最大限度地从初始验证集中提取优质未标注访问数据用于模型的迭代训练,以提高模型的异常检测准确性。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例中异常访问数据的检测方法的主要步骤示意图;
图2是本发明实施例的正常访问数据与异常访问数据示意图;
图3是本发明实施例中异常访问数据检测模型的训练流程示意图;
图4是本发明实施例中异常访问数据检测模型的异常检测流程示意图;
图5是根据本发明实施例中异常访问数据的检测装置的组成部分示意图;
图6是根据本发明实施例可以应用于其中的示例性***架构图;
图7是用来实现本发明实施例中异常访问数据的检测方法的电子设备结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要指出的是,在不冲突的情况下,本发明的实施例以及实施例中的技术特征可以相互结合。
图1是根据本发明实施例中异常访问数据的检测方法的主要步骤示意图。
如图1所示,本发明实施例的异常访问数据的检测方法可具体按照如下步骤执行:
步骤S101:根据预先建立的初始训练集对异常访问数据检测模型进行训练。
在本发明实施例中,异常访问数据检测模型可采用随机森林、逻辑回归LR(Logistic Regression)等有监督学习的算法,对其进行初次训练的初始训练集中包含作为正样本的异常访问数据和作为负样本的正常访问数据。
图2是本发明实施例的正常访问数据与异常访问数据示意图。如图2所示,对正常样本(即正常访问数据)的格式进行统计,可以得到正常流量profile(即正常访问数据的轮廓),从而可锁定不符合上述轮廓的异常访问数据(即以×标记的数据)。从图2中可以看到,与正常访问数据相比,异常访问数据的字符规律性较弱。
实际应用中,上述异常访问数据可预先由人工标注等方式获得。由于预先标注的异常访问数据数量往往较少,为了实现较好的训练效果,需要从大量未标注访问数据中获取所需数据用于模型训练。较佳地,可利用现有技术中的无监督学习异常检测算法,如矩阵分解算法、孤立森林算法对未标注访问数据进行检测,根据检测结果提取所需数据。在模型训练和检测阶段,输入的访问数据可选用多个统计特征、和/或多个文本内容特征。其中,统计特征可包括以下一种或多种:统一资源定位符URL(Uniform Resource Locator)参数个数、参数值长度的均值和方差、参数字符分布、URL访问频率等,文本内容特征可包括以下一种或多种:词频、句法一致性、信息熵等。由于上述特征的提取方法为已知技术,此处不再赘述。
例如,可利用孤立森林算法检测多个未标注访问数据,获取其中每一未标注访问数据的异常分(异常分越高说明访问数据为异常访问数据的可能性越大),之后将未标注访问数据按照异常分升序排列,将在前的多个访问数据(即异常分最小的多个访问数据)确定为正常访问数据。可以理解,通过上述方法确定的正常访问数据只是由孤立森林算法预测的、可能性较大的正常数据,不一定是客观的正常数据。之后,可将获取到的正常访问数据与异常访问数据组合为初始训练集,用于异常访问数据检测模型的初次训练。通过上述设置,可有效利用已标注访问数据和未标注访问数据,实现基于半监督学习的训练机制。
作为一个优选方案,异常访问数据检测模型可采用结合梯度迭代决策树GBDT(Gradient Boosting Decision Tree)算法和逻辑回归LR算法的模型。在初次训练过程中,首先利用初始训练集以有监督学习的方式训练GBDT算法模型,以组合有效的异常检测特征(每个叶子节点代表一种组合特征)。之后对GBDT每棵树的每一叶子节点进行独热编码(One-Hot Encoding),最后将编码后形成的稀疏特征输入LR算法模型进行训练。这样,能够使异常访问数据检测模型具有良好的非线性映射能力和较强的预测回溯能力,同时可提取有效的组合特征。对GBDT叶子节点进行独热编码的方式可如下例所示:若GBDT共有两棵树,两棵树的叶子节点分别为A、B、C、D,则可将四个叶子节点分别转换为以下独热编码数据:(1,0,0,0)、(0,1,0,0)、(0,0,1,0)、(0,0,0,1)。需要说明的是,以上算法只是异常访问数据检测模型的优选实现方式,实际应用中,异常访问数据检测模型可采用其它适用的有监督学习算法。
步骤S102:在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率。
在本步骤中,“该训练”指的是步骤S101中进行的初次训练。初次训练结束后,可利用异常访问数据检测模型判断访问数据的异常概率,即访问数据为异常访问数据的概率。在本发明实施例中,可利用异常访问数据检测模型检测初始验证集中每一访问数据的异常概率。其中,初始验证集为预先建立,用于提供优质数据加入训练集,以实现训练集的动态更新,最终建立异常访问数据检测模型的主动学习式训练机制。初始验证集中包含预先标注的异常访问数据和未标注访问数据,初始验证集与初始训练集互斥,即二集合中不存在相同的访问数据。
步骤S103:将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练。
在本步骤中,准确率指的是验证集(包括初始验证集以及后续将要介绍的每一迭代训练中的当前验证集)的多个访问数据中预先标注的异常访问数据所占的比例,上述当前训练集指的是初始训练集中加入初始验证集中数据形成的训练集。基于上述当前训练集的模型训练为继承式训练,即该训练的对象是经过此前训练过程的模型(也就是说,模型的启动方式为热启动),该训练完全继承此前训练获取的数据规律和知识。
具体应用中,可预设判别条件并执行以下步骤从初始验证集中提取要加入初始训练集的访问数据。可理解,以下步骤中体现的判别条件仅为优选,并不对判别条件的设置形成任何限制,具体应用场景中,本发明可灵活设置判别条件以提取所需数据。
1.按照访问数据的异常概率降序,以预设的初始数量k和递增数量s分n次从初始验证集中有放回地选取访问数据。其中,k、s、n均为正整数。也就是说:将初始验证集中的访问数据按照异常概率降序排列,按照从前到后的顺序(即异常概率从大到小的顺序)分n次选取访问数据。其中,每次选取均为有放回地选取,每次选取均可选取初始验证集中异常概率最大的多个访问数据。此外,第一次选取的访问数据数量为k,后续每一次选取的数量在k基础上以s递增,即第一次选取数量为k,第二次选取数量为k+s……第n次选取数量为k+(n-1)s。
2.计算n次选取中每一次选取访问数据的准确率,将准确率最高的选取确定为最优选取,并将最优选取的全部访问数据标注为异常数据作为正样本加入初始训练集,用于下一次训练;之后,可将最优选取的访问数据从初始验证集中去除。具体应用中,如果n次选取中准确率最高的选取不为一,可将其中包含访问数据最多的选取确定为最优选取。较佳地,在本发明实施例中,在确定最优选取之后,还可判断最优选取的访问数据的准确率是否小于预设阈值:若是,表示最优选取数据的质量不佳,则结束整个模型训练流程;否则,说明最优选取的数据为优质数据,可将其从初始验证集中去除,加入初始训练集。
通过上述步骤,能够将初始验证集中的优质数据提取到初始训练集中用于下次训练,实现未标注访问数据的有效利用。重复上述步骤,即可利用不断更新的训练集和验证集对异常访问数据检测模型进行至少一次迭代训练,从而实现主动学习方式的训练机制。其中,迭代训练指的是依据不断更新和迭代的训练集和验证集进行的继承式模型训练过程,初次训练可作为第一次迭代训练。可以理解,当前进行的迭代训练使用的训练集和验证集为上一次迭代训练所生成,当前进行的迭代训练结束时可生成下一次迭代训练所需的训练集和验证集。迭代训练停止的条件为:最优选取的访问数据的准确率小于预设阈值,此时异常访问数据检测模型训练完成,能够对待检测访问数据进行异常检测。
在一个实施例中,任一次迭代训练的执行步骤如下:
1.根据当前训练集对当前的异常访问数据检测模型进行继承式训练;在该训练结束之后,利用异常访问数据检测模型确定当前验证集中访问数据的异常概率。
2.将该当前验证集中异常概率和准确率符合判别条件的多个访问数据标注为异常访问数据,加入当前训练集,形成下一次迭代训练的训练集;将该多个访问数据从该当前验证集中去除,形成下一次迭代训练的验证集。在一个实施例中,首先按照访问数据的异常概率降序,以初始数量和递增数量分n次从初始验证集中有放回地选取访问数据;之后计算n次选取中每一次选取的访问数据的准确率,将准确率最高的选取确定为最优选取,并判断最优选取数据的准确率是否小于预设阈值:若是,结束整个模型训练流程;否则,将最优选取的访问数据从当前验证集中去除,作为正样本加入当前训练集,更新后的训练集和验证集用于下一次迭代训练。
图3是本发明实施例中异常访问数据检测模型的训练流程示意图。如图3所示,在本发明实施例中,首先利用孤立森林从未标注访问数据中确定正常访问数据,之后利用正常访问数据与预先标注的异常访问数据组成的初始训练集训练异常访问数据检测模型,并对当前验证集中的访问数据进行多次选取;在确定最优选取之后,判断最优选取的访问数据的准确率是否小于预设阈值:若是,则停止训练;否则,将最优选取的访问数据从当前验证集中去除,加入当前训练集,用于下一次迭代训练。在迭代训练停止的条件(即最优选取数据的准确率小于预设阈值)没有达到时,可不断执行迭代训练过程以不断提升模型的异常检测准确性。
步骤S104:将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断待检测访问数据是否为异常访问数据。
可以理解的是,本步骤中的训练完成指的是已完成整个迭代训练过程,此时,异常访问数据检测模型能够应用于实际工作中的异常访问数据的检测。
图4是本发明实施例中异常访问数据检测模型的异常检测流程示意图。如图4所示,对待检测访问数据进行异常检测时,首先将待检测访问数据输入GBDT模型,之后将其触发的叶子节点进行独热编码,并将独热编码输入LR模型得到输出结果(即异常概率),如果异常概率大于预先配置的临界值,则将待检测访问数据确定为异常访问数据;如果异常概率小于或等于临界值,则将待检测访问数据确定为正常访问数据。需要说明的是,上述临界值可以采用迭代训练中准确率不小于预设阈值的最后一次最优选取中访问数据的最小异常概率。例如,异常访问数据检测模型经过三次迭代训练(包括初次训练)达到迭代训练停止的条件,则第二次迭代训练中进行的最优选取为“准确率不小于预设阈值的最后一次最优选取”,如果此次最优选取的访问数据中最小的异常概率为0.4,则可将0.4作为上述临界值。可理解,上述GBDT与LR结合的模型仅为示例,具体应用中的异常访问数据检测模型可以采用其它适用模型。
在本发明实施例的技术方案中,利用无监督学习模型从未标注访问数据中确定正常访问数据,将正常访问数据与预先标注的异常访问数据组合为初始训练集对异常访问数据检测模型进行迭代训练,从而实现半监督学习机制,可有效利用已标注访问数据和未标注访问数据。此外,可利用动态调整的训练集和验证集对异常访问数据检测模型进行多次主动学习方式的迭代训练;在每次迭代训练中,利用由当前训练集训练的异常访问数据检测模型确定当前验证集中访问数据的异常概率,针对异常概率最大的多个访问数据进行多次选取并将其中准确率最高的选取确定为最优选取;在最优选取的准确率不小于预设阈值时,将最优选取的访问数据从当前验证集中去除并加入当前训练集,用于下一次迭代训练;在该下一次迭代训练中,可继承此前经过训练的异常访问数据检测模型,由此避免现有的冷启动方式造成的知识遗忘;在最优选取的准确率小于预设阈值时,停止迭代训练从而完成异常访问数据检测模型的训练过程。通过上述设置,能够在保证训练数据质量的情况下,最大限度地从初始验证集中提取优质的未标注访问数据用于模型的迭代训练,以提高模型的异常检测准确性。
需要说明的是,对于前述的各方法实施例,为了便于描述,将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,某些步骤事实上可以采用其它顺序进行或者同时进行。此外,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是实现本发明所必须的。
为便于更好的实施本发明实施例的上述方案,下面还提供用于实施上述方案的相关装置。
请参阅图5所示,本发明实施例提供的异常访问数据的检测装置500可包括:初始训练单元501、概率确定单元502、主动学习单元503和异常检测单元504。
其中,初始训练单元501可用于根据预先建立的初始训练集对异常访问数据检测模型进行训练。
概率确定单元502可用于:在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;其中,初始验证集中包含预先标注的异常访问数据和未标注访问数据。
主动学习单元503可用于将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;其中,所述准确率为该多个访问数据中预先标注的异常访问数据的比例。
异常检测单元504可用于将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。
在一些实施例中,所述装置500可进一步包括迭代训练单元,其用于:在将该多个访问数据加入初始训练集之后,将该多个访问数据从初始验证集中去除;对异常访问数据检测模型进行至少一次迭代训练;其中,在任一次迭代训练中:根据当前训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定当前验证集中访问数据的异常概率;将该当前验证集中异常概率和准确率符合所述判别条件的多个访问数据标注为异常访问数据,加入当前训练集,形成下一次迭代训练的训练集;将该多个访问数据从该当前验证集中去除,形成下一次迭代训练的验证集。
具体应用中,在任一次迭代训练中,所述判别条件包括:按照访问数据的异常概率降序,以预设的初始数量和递增数量分n次从当前验证集中有放回地选取访问数据;其中,n为正整数;将n次选取中准确率最高的选取确定为最优选取,并将最优选取的访问数据标注为异常访问数据。
作为一个优选方案,在任一次迭代训练中,所述判别条件可进一步包括:最优选取的访问数据的准确率不小于预设阈值;迭代训练单元可进一步用于:在任一次迭代训练中,如果当前验证集中访问数据的异常概率和准确率不符合所述判别条件,则停止迭代训练。
较佳地,在本发明实施例中,初始训练集中包含:预先标注的异常访问数据以及利用预先建立的无监督学习模型从未标注访问数据中确定的正常访问数据,初始训练集与初始验证集互斥;所述异常访问数据检测模型可以是梯度迭代决策树GBDT模型和逻辑回归LR模型;其中,在任一次迭代训练中,GBDT模型的叶子节点进行独热编码后,作为LR模型的输入数据。
在本发明实施例的技术方案中,利用无监督学习模型从未标注访问数据中确定正常访问数据,将正常访问数据与预先标注的异常访问数据组合为初始训练集对异常访问数据检测模型进行迭代训练,从而实现半监督学习机制,可有效利用已标注访问数据和未标注访问数据。此外,可利用动态调整的训练集和验证集对异常访问数据检测模型进行多次主动学习方式的迭代训练;在每次迭代训练中,利用由当前训练集训练的异常访问数据检测模型确定当前验证集中访问数据的异常概率,针对异常概率最大的多个访问数据进行多次选取并将其中准确率最高的选取确定为最优选取;在最优选取的准确率不小于预设阈值时,将最优选取的访问数据从当前验证集中去除并加入当前训练集,用于下一次迭代训练;在该下一次迭代训练中,可继承此前经过训练的异常访问数据检测模型,由此避免现有的冷启动方式造成的知识遗忘;在最优选取的准确率小于预设阈值时,停止迭代训练从而完成异常访问数据检测模型的训练过程。通过上述设置,能够在保证训练数据质量的情况下,最大限度地从初始验证集中提取优质的未标注访问数据用于模型的迭代训练,以提高模型的异常检测准确性。
图6示出了可以应用本发明实施例的异常访问数据的检测方法或异常访问数据的检测装置的示例性***架构600。
如图6所示,***架构600可以包括终端设备601、602、603,网络604和服务器605(此架构仅仅是示例,具体架构中包含的组件可以根据申请具体情况调整)。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如异常检测类应用、网页浏览器应用等(仅为示例)。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所操作的异常检测类应用提供支持的后台服务器(仅为示例)。后台服务器可以对接收到的异常访问数据检测请求进行处理,并将处理结果(例如检测到的异常访问数据--仅为示例)反馈给终端设备601、602、603。
需要说明的是,本发明实施例所提供的异常访问数据的检测方法一般由服务器605执行,相应地,异常访问数据的检测装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
本发明还提供了一种电子设备。本发明实施例的电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明所提供的异常访问数据的检测方法。
下面参考图7,其示出了适于用来实现本发明实施例的电子设备的计算机***700的结构示意图。图7示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机***700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM703中,还存储有计算机***700操作所需的各种程序和数据。CPU701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文的主要步骤图描述的过程可以被实现为计算机软件程序。例如,本发明实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行主要步骤图所示的方法的程序代码。在上述实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元701执行时,执行本发明的***中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。在本发明中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这根据所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括初始训练单元、概率确定单元、动学习单元和异常检测单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,初始训练单元还可以被描述为“向概率确定单元提供经过初次训练的异常访问数据检测模型的单元”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中的。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该设备执行时,使得该设备执行的步骤包括:根据预先建立的初始训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;其中,初始验证集中包含预先标注的异常访问数据和未标注访问数据;将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;其中,所述准确率为该多个访问数据中预先标注的异常访问数据的比例;将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。
在本发明实施例的技术方案中,利用无监督学习模型从未标注访问数据中确定正常访问数据,将正常访问数据与预先标注的异常访问数据组合为初始训练集对异常访问数据检测模型进行迭代训练,从而实现半监督学习机制,可有效利用已标注访问数据和未标注访问数据。此外,可利用动态调整的训练集和验证集对异常访问数据检测模型进行多次主动学习方式的迭代训练;在每次迭代训练中,利用由当前训练集训练的异常访问数据检测模型确定当前验证集中访问数据的异常概率,针对异常概率最大的多个访问数据进行多次选取并将其中准确率最高的选取确定为最优选取;在最优选取的准确率不小于预设阈值时,将最优选取的访问数据从当前验证集中去除并加入当前训练集,用于下一次迭代训练;在该下一次迭代训练中,可继承此前经过训练的异常访问数据检测模型,由此避免现有的冷启动方式造成的知识遗忘;在最优选取的准确率小于预设阈值时,停止迭代训练从而完成异常访问数据检测模型的训练过程。通过上述设置,能够在保证训练数据质量的情况下,最大限度地从初始验证集中提取优质的未标注访问数据用于模型的迭代训练,以提高模型的异常检测准确性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种异常访问数据的检测方法,其特征在于,包括:
根据预先建立的初始训练集对异常访问数据检测模型进行训练;
在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;其中,初始验证集中包含预先标注的异常访问数据和未标注访问数据;
将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;其中,所述准确率为该多个访问数据中预先标注的异常访问数据的比例;以及
将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
在将该多个访问数据加入初始训练集之后,将该多个访问数据从初始验证集中去除;对异常访问数据检测模型进行至少一次迭代训练;其中,在任一次迭代训练中:
根据当前训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定当前验证集中访问数据的异常概率;
将该当前验证集中异常概率和准确率符合所述判别条件的多个访问数据标注为异常访问数据,加入当前训练集,形成下一次迭代训练的训练集;将该多个访问数据从该当前验证集中去除,形成下一次迭代训练的验证集。
3.根据权利要求2所述的方法,其特征在于,在任一次迭代训练中,所述判别条件包括:
按照访问数据的异常概率降序,以预设的初始数量和递增数量分n次从当前验证集中有放回地选取访问数据;其中,n为正整数;
将n次选取中准确率最高的选取确定为最优选取,并将最优选取的访问数据标注为异常访问数据。
4.根据权利要求3所述的方法,其特征在于,在任一次迭代训练中,所述判别条件进一步包括:最优选取的访问数据的准确率不小于预设阈值;以及,所述方法进一步包括:
在任一次迭代训练中,如果当前验证集中访问数据的异常概率和准确率不符合所述判别条件,则停止迭代训练。
5.根据权利要求1-4任一所述的方法,其特征在于,
初始训练集中包含:预先标注的异常访问数据以及利用预先建立的无监督学习模型从未标注访问数据中确定的正常访问数据,初始训练集与初始验证集互斥;以及
所述异常访问数据检测模型为梯度迭代决策树GBDT模型和逻辑回归LR模型;其中,在任一次迭代训练中,GBDT模型的叶子节点进行独热编码后,作为LR模型的输入数据。
6.一种异常访问数据的检测装置,其特征在于,包括:
初始训练单元,用于根据预先建立的初始训练集对异常访问数据检测模型进行训练;
概率确定单元,用于:在该训练结束之后,利用异常访问数据检测模型确定预先建立的初始验证集中访问数据的异常概率;其中,初始验证集中包含预先标注的异常访问数据和未标注访问数据;
主动学习单元,用于将初始验证集中异常概率和准确率符合预设判别条件的多个访问数据标注为异常访问数据,加入初始训练集;根据当前训练集对该异常访问数据检测模型进行训练;其中,所述准确率为该多个访问数据中预先标注的异常访问数据的比例;以及
异常检测单元,用于将待检测访问数据输入训练完成的异常访问数据检测模型,根据输出结果判断所述待检测访问数据是否为异常访问数据。
7.根据权利要求6所述的装置,其特征在于,所述装置进一步包括:
迭代训练单元,用于:在将该多个访问数据加入初始训练集之后,将该多个访问数据从初始验证集中去除;对异常访问数据检测模型进行至少一次迭代训练;其中,在任一次迭代训练中:根据当前训练集对异常访问数据检测模型进行训练;在该训练结束之后,利用异常访问数据检测模型确定当前验证集中访问数据的异常概率;将该当前验证集中异常概率和准确率符合所述判别条件的多个访问数据标注为异常访问数据,加入当前训练集,形成下一次迭代训练的训练集;将该多个访问数据从该当前验证集中去除,形成下一次迭代训练的验证集。
8.根据权利要求7所述的装置,其特征在于,
在任一次迭代训练中,所述判别条件包括:按照访问数据的异常概率降序,以预设的初始数量和递增数量分n次从当前验证集中有放回地选取访问数据;其中,n为正整数;将n次选取中准确率最高的选取确定为最优选取,并将最优选取的访问数据标注为异常访问数据;
在任一次迭代训练中,所述判别条件进一步包括:最优选取的访问数据的准确率不小于预设阈值;
迭代训练单元进一步用于:在任一次迭代训练中,如果当前验证集中访问数据的异常概率和准确率不符合所述判别条件,则停止迭代训练;
初始训练集中包含:预先标注的异常访问数据以及利用预先建立的无监督学习模型从未标注访问数据中确定的正常访问数据,初始训练集与初始验证集互斥;以及
所述异常访问数据检测模型为梯度迭代决策树GBDT模型和逻辑回归LR模型;其中,在任一次迭代训练中,GBDT模型的叶子节点进行独热编码后,作为LR模型的输入数据。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910043579.2A CN111444931B (zh) | 2019-01-17 | 2019-01-17 | 异常访问数据的检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910043579.2A CN111444931B (zh) | 2019-01-17 | 2019-01-17 | 异常访问数据的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111444931A true CN111444931A (zh) | 2020-07-24 |
CN111444931B CN111444931B (zh) | 2024-06-18 |
Family
ID=71626933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910043579.2A Active CN111444931B (zh) | 2019-01-17 | 2019-01-17 | 异常访问数据的检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111444931B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112085056A (zh) * | 2020-08-05 | 2020-12-15 | 深圳市优必选科技股份有限公司 | 目标检测模型生成方法、装置、设备及存储介质 |
CN112291258A (zh) * | 2020-11-12 | 2021-01-29 | 杭州比智科技有限公司 | 网关风险控制方法及装置 |
CN112422590A (zh) * | 2021-01-25 | 2021-02-26 | 中国人民解放军国防科技大学 | 基于主动学习的网络流量分类方法及装置 |
CN113295635A (zh) * | 2021-05-27 | 2021-08-24 | 河北先河环保科技股份有限公司 | 一种基于动态更新数据集的水质污染报警方法 |
CN113709159A (zh) * | 2021-08-27 | 2021-11-26 | 北京天融信网络安全技术有限公司 | 访问数据检测方法、装置、设备及存储介质 |
CN114564696A (zh) * | 2022-03-07 | 2022-05-31 | 昆明学院 | 一种基于信息熵的异常数据判别方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131071A (zh) * | 2016-08-26 | 2016-11-16 | 北京奇虎科技有限公司 | 一种Web异常检测方法和装置 |
CN107294993A (zh) * | 2017-07-05 | 2017-10-24 | 重庆邮电大学 | 一种基于集成学习的web异常流量监测方法 |
CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及*** |
CN107517251A (zh) * | 2017-08-16 | 2017-12-26 | 北京小度信息科技有限公司 | 信息推送方法和装置 |
CN108446546A (zh) * | 2018-03-20 | 2018-08-24 | 深信服科技股份有限公司 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
US20180247220A1 (en) * | 2017-02-28 | 2018-08-30 | International Business Machines Corporation | Detecting data anomalies |
CN108734296A (zh) * | 2017-04-21 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 优化监督学习的训练数据的方法、装置、电子设备和介质 |
-
2019
- 2019-01-17 CN CN201910043579.2A patent/CN111444931B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106131071A (zh) * | 2016-08-26 | 2016-11-16 | 北京奇虎科技有限公司 | 一种Web异常检测方法和装置 |
US20180247220A1 (en) * | 2017-02-28 | 2018-08-30 | International Business Machines Corporation | Detecting data anomalies |
CN108734296A (zh) * | 2017-04-21 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 优化监督学习的训练数据的方法、装置、电子设备和介质 |
CN107294993A (zh) * | 2017-07-05 | 2017-10-24 | 重庆邮电大学 | 一种基于集成学习的web异常流量监测方法 |
CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及*** |
CN107517251A (zh) * | 2017-08-16 | 2017-12-26 | 北京小度信息科技有限公司 | 信息推送方法和装置 |
CN108446546A (zh) * | 2018-03-20 | 2018-08-24 | 深信服科技股份有限公司 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112085056A (zh) * | 2020-08-05 | 2020-12-15 | 深圳市优必选科技股份有限公司 | 目标检测模型生成方法、装置、设备及存储介质 |
CN112085056B (zh) * | 2020-08-05 | 2023-12-29 | 深圳市优必选科技股份有限公司 | 目标检测模型生成方法、装置、设备及存储介质 |
CN112291258A (zh) * | 2020-11-12 | 2021-01-29 | 杭州比智科技有限公司 | 网关风险控制方法及装置 |
CN112422590A (zh) * | 2021-01-25 | 2021-02-26 | 中国人民解放军国防科技大学 | 基于主动学习的网络流量分类方法及装置 |
CN113295635A (zh) * | 2021-05-27 | 2021-08-24 | 河北先河环保科技股份有限公司 | 一种基于动态更新数据集的水质污染报警方法 |
CN113709159A (zh) * | 2021-08-27 | 2021-11-26 | 北京天融信网络安全技术有限公司 | 访问数据检测方法、装置、设备及存储介质 |
CN113709159B (zh) * | 2021-08-27 | 2023-05-05 | 北京天融信网络安全技术有限公司 | 访问数据检测方法、装置、设备及存储介质 |
CN114564696A (zh) * | 2022-03-07 | 2022-05-31 | 昆明学院 | 一种基于信息熵的异常数据判别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111444931B (zh) | 2024-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111444931B (zh) | 异常访问数据的检测方法和装置 | |
US20180240133A1 (en) | Method, Apparatus and Server for Identifying Risky User | |
CN108536650B (zh) | 生成梯度提升树模型的方法和装置 | |
CN108520470B (zh) | 用于生成用户属性信息的方法和装置 | |
CN108491267B (zh) | 用于生成信息的方法和装置 | |
CN109471783B (zh) | 预测任务运行参数的方法和装置 | |
CN110659657B (zh) | 训练模型的方法和装置 | |
CN113141360B (zh) | 网络恶意攻击的检测方法和装置 | |
CN111368551B (zh) | 一种确定事件主体的方法和装置 | |
CN110335165B (zh) | 一种链路预测方法和装置 | |
CN114780338A (zh) | 主机信息处理方法、装置、电子设备和计算机可读介质 | |
CN116029391A (zh) | 基于联邦学习的模型训练方法、预测方法、装置 | |
CN110704390B (zh) | 获取服务器维护脚本的方法、装置、电子设备及介质 | |
CN110852057A (zh) | 一种计算文本相似度的方法和装置 | |
CN111667018B (zh) | 一种对象聚类的方法、装置、计算机可读介质及电子设备 | |
CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
CN110895655A (zh) | 提取文本核心短语的方法和装置 | |
CN110852078A (zh) | 生成标题的方法和装置 | |
CN116933189A (zh) | 一种数据检测方法和装置 | |
CN115099875A (zh) | 基于决策树模型的数据分类方法及相关设备 | |
CN114490400A (zh) | 一种处理测试用例的方法和装置 | |
CN110392064B (zh) | 风险识别方法、装置、计算设备以及计算机可读存储介质 | |
US11012463B2 (en) | Predicting condition of a host for cybersecurity applications | |
CN115758368B (zh) | 恶意破解软件的预测方法、装置、电子设备和存储介质 | |
CN115204150B (zh) | 信息校验方法、装置、电子设备和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |