CN117221008B - 基于反馈机制的多行为基线修正方法、***、装置及介质 - Google Patents
基于反馈机制的多行为基线修正方法、***、装置及介质 Download PDFInfo
- Publication number
- CN117221008B CN117221008B CN202311468087.0A CN202311468087A CN117221008B CN 117221008 B CN117221008 B CN 117221008B CN 202311468087 A CN202311468087 A CN 202311468087A CN 117221008 B CN117221008 B CN 117221008B
- Authority
- CN
- China
- Prior art keywords
- baseline
- behavior
- behavior characteristic
- feedback mechanism
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000008713 feedback mechanism Effects 0.000 title claims abstract description 71
- 238000012937 correction Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000004458 analytical method Methods 0.000 claims abstract description 48
- 230000002159 abnormal effect Effects 0.000 claims abstract description 11
- 230000007246 mechanism Effects 0.000 claims abstract description 11
- 230000006399 behavior Effects 0.000 claims description 118
- 230000008859 change Effects 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 6
- 230000003542 behavioural effect Effects 0.000 claims description 5
- 239000006185 dispersion Substances 0.000 claims description 3
- 238000002715 modification method Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
- Testing Or Calibration Of Command Recording Devices (AREA)
Abstract
本发明提出的一种基于反馈机制的多行为基线修正方法、***、装置及介质,属于网络安全技术领域。所述方法包括:识别实体,根据每个基线特征的相关参数计算出变异系数,并进行离散程度分析,生成离散程度分析结果;当行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;当行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;当行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。本发明能够可持续、多角度对基线进行不断修正和维护。
Description
技术领域
本发明涉及网络安全技术领域,更具体的说是涉及一种基于反馈机制的多行为基线修正方法、***、装置及介质。
背景技术
为了保障内部网络与局域网络的数据安全,当前普通采用的方案是对工作人员、设备与网络状态进行监测,通过建立的基线判别是否存在异常。由于传统的人工分析的阈值信息来源单一且策略升级时间成本高,仅运用签名、规则进行非黑级别的判别,会产生大量的告警和误报。而现如今基线构建方案是基于历史的值使用带有数据分布统计学方法、数学特征方法、多指标权重计分、规则和机器学习方法等。但是,所采用的基线阈值,由于是通过总结历史数据规律得到的,对历史值依赖度过高,当出现趋势骤变时会导致基线误报、且基于历史值创建的基线短期内无法矫正。
由此可见,现有的利用基线判别是否存在网络数据异常的技术方案具体存在以下缺点:
1、基线易产生偏移。能够提取到的历史数据往往是计算均值、标准差等数学特征,异常值或趋势骤变的存在会导致原有的基线特征发生偏移以导致基线误报,为了解决误报一般拓宽置信区间,而这又会导致漏报。涉及的数据量越来越大,提取的特征也需要考虑计算的复杂性。
2、基线短期内无法矫正。基于历史数据建立的基线在维护时也是通过历史数据重新计算并更新基线,当出现趋势骤变时,短时间历史数据无法完全变更(如取过去15天的历史数据,当某天开始因业务原因或其他原因导致趋势更改,则基线完全矫正需要15天)。
发明内容
针对以上问题,本发明的目的在于提供一种基于反馈机制的多行为基线修正方法、***、装置及介质,能够有效削弱历史值骤变对基线的错误影响,提高了基线的准确性与严谨性,同时能够可持续、多角度对基线进行不断修正和维护。
本发明为实现上述目的,通过以下技术方案实现:一种基于反馈机制的多行为基线修正方法,包括:
识别待检测的实体,根据每个基线特征的相关参数计算出变异系数;
根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果;
当离散程度分析结果为行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;
当离散程度分析结果为行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;
当离散程度分析结果为行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。
进一步,所述识别待检测的实体,根据每个基线特征的相关参数计算出变异系数,包括:
识别待检测的实体,获取每个基线特征的相关参数,并根据以下公式计算出变异系数:
其中,为基线特征的标准差、/>为基线特征的均值。
进一步,所述识别待检测的实体,根据每个基线特征的相关参数计算出变异系数,包括:
识别待检测的实体,获取每个基线特征的相关参数,并根据以下公式计算出变异系数:
其中,为基线特征的标准差、/>为基线特征的均值。
进一步,所述基线更新判定机制包括:
获取个行为特征基线的历史基线值,根据泊松分布,计算出当前时间段内,基线变更的概率;
若基线变更的概率大于预设阈值,则需要更新行为特征基线。
进一步,所述基线反馈机制包括如下步骤:
S201:采集真实数据,并将真实数据与相应的行为特征基线值进行比对;
S202:判断真实数据的取值是否超出行为特征基线值;若是,则执行步骤S203;若否,则返回步骤S201:
S203:执行越线预警;
S204:判断越线预警是否为正常预警;若是,则返回步骤S201;若否,则执行步骤S205;
S205:利用公式=Z-Z0计算误报差值/>,其中,Z为行为特征基线值,Z0为真实数据的取值;
S206:根据误报差值计算出惩罚系数/>,并根据惩罚系数/>和行为特征基线值Z,生成行为特征基线更新值G;
S207:利用行为特征基线更新值G更新相应的行为特征基线,并返回步骤S201。
进一步,通过如下公式计算所述的惩罚系数:
其中,为误报差值,/>为调节系数权重,且/>。
进一步,通过如下公式计算所述的行为特征基线更新值G:
G=Z×
其中,Z为当前的行为特征基线值,为惩罚系数。
相应的,本发明还公开了一种基于反馈机制的多行为基线修正***,包括:
识别计算模块,配置用于识别待检测的实体,根据每个基线特征的相关参数计算出变异系数;
分析模块,配置用于根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果;
第一修正模块,配置用于当离散程度分析结果为行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;
第二修正模块,配置用于当离散程度分析结果为行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;
第三修正模块,配置用于当离散程度分析结果为行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。
相应的,本发明公开了一种基于反馈机制的多行为基线修正装置,包括:
存储器,用于存储基于反馈机制的多行为基线修正程序;
处理器,用于执行所述基于反馈机制的多行为基线修正程序时实现如上文任一项所述基于反馈机制的多行为基线修正方法的步骤。
相应的,本发明公开了一种可读存储介质,所述可读存储介质上存储有基于反馈机制的多行为基线修正程序,所述基于反馈机制的多行为基线修正程序被处理器执行时实现如上文任一项所述基于反馈机制的多行为基线修正方法的步骤。
对比现有技术,本发明有益效果在于:
本发明公开了一种基于反馈机制的多行为基线修正方法、***、装置及介质,通过基线修正手段与反馈机制,能够有效削弱历史值骤变对基线的错误影响,提高了基线的准确性与严谨性,同时能够可持续、多角度对基线进行不断修正和维护。
本发明所提供的基线修正手段,能够对实体的多个行为基线进行监测,通过计算和分析变异系数对强离散行为进行修正,以提高基线的准确性与严谨性。
本发明所提高的反馈机制,能够对判别结果进行验证,不断根据更新理论或构建的惩罚系数结合误差不断调整基线值,以实际情况修正和维护基线,以保障基线的可持续和可维护。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明具体实施方式的方法流程图。
图2是本发明具体实施方式的基线反馈机制的流程示意图。
图3是本发明具体实施方式的***结构图。
图中,1、识别计算模块;2、分析模块;3、第一修正模块;4、第二修正模块;5、第三修正模块。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1所示,本发明提供了一种基于反馈机制的多行为基线修正方法,包括如下步骤:
S101:识别待检测的实体,根据每个基线特征的相关参数计算出变异系数。
在具体实施方式中,确定检测实体,计算每个基线特征的标准差、均值/>与变异系数/>,并计算变异系数标准差/>、均值/>。
S102:根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果。当离散程度分析结果为行为特征基线为强离散的行为特征基线时执行步骤S103;当离散程度分析结果为行为特征基线为弱离散的行为特征基线时执行步骤S104;当离散程度分析结果为行为特征基线为异常基线时,执行步骤S105。
在具体实施方式中,根据判定特征行为基线的离散程度,若/>,则确定特征行为基线异常。
S103:通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线。
在本步骤中,基线更新判定机制具体为:对个特征基线,每个特征基线有历史基线值,根据泊松分布,描述当前时间段内,基线变更的概率,进一步判定是否调整基线。具体判定由数据情况决定是否更新基线值。其中,具体的判定方式可采用:判断基线变更的概率是否大于预设阈值,若是,则需要更新行为特征基线。
S104:继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。
S105:直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。
在本步骤中,可根据实际的经验直接调整当前的行为特征基线,也可根据预设的调整幅度,直接进行行为特征基线的修正。
在具体实施方式中,参加图2所示,本方法所采用的基线反馈机制具体包括如下步骤:
S201:采集真实数据,并将真实数据与相应的行为特征基线值进行比对。
S202:判断真实数据的取值是否超出行为特征基线值;若是,则执行步骤S203;若否,则返回步骤S201。
S203:执行越线预警。
S204:判断越线预警是否为正常预警;若是,则返回步骤S201;若否,则执行步骤S205。
其中,可采用人工判别的方式判断预警是否正常,
S205:利用公式=Z-Z0计算误报差值/>,其中,Z为行为特征基线值,Z0为真实数据的取值。
S206:根据误报差值计算出惩罚系数/>,并根据惩罚系数/>和行为特征基线值Z,生成行为特征基线更新值G。
具体来说:
首先,通过如下公式计算所述的惩罚系数:
其中,为误报差值,/>为调节系数权重,且/>。
然后,通过公式G=Z×计算行为特征基线更新值G:其中,Z为当前的行为特征基线值,/>为惩罚系数。
S207:利用行为特征基线更新值G更新相应的行为特征基线,并返回步骤S201。
本发明提供了一种基于反馈机制的多行为基线修正方法,能够有效削弱历史值骤变对基线的错误影响,提高了基线的准确性与严谨性,同时能够可持续、多角度对基线进行不断修正和维护。
基于上述实施例,如图3所示,本发明还公开了一种基于反馈机制的多行为基线修正***,包括:识别计算模块1、分析模块2、第一修正模块3、第二修正模块4和第三修正模块5。
识别计算模块1,配置用于识别待检测的实体,根据每个基线特征的相关参数计算出变异系数。
分析模块2,配置用于根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果。
第一修正模块3,配置用于当离散程度分析结果为行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线。
第二修正模块4,配置用于当离散程度分析结果为行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。
第三修正模块5,配置用于当离散程度分析结果为行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线。
本实施例的基于反馈机制的多行为基线修正***的具体实施方式与上述基于反馈机制的多行为基线修正方法的具体实施方式基本一致,在此不再赘述。
本发明还公开了一种基于反馈机制的多行为基线修正装置,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的基于反馈机制的多行为基线修正程序时实现如上文任一项所述基于反馈机制的多行为基线修正方法的步骤。
进一步的,本实施例中的基于反馈机制的多行为基线修正装置,还可以包括:
输入接口,用于获取外界导入的基于反馈机制的多行为基线修正程序,并将获取到的基于反馈机制的多行为基线修正程序保存至所述存储器中,还可以用于获取外界终端设备传输的各种指令和参数,并传输至处理器中,以便处理器利用上述各种指令和参数展开相应的处理。本实施例中,所述输入接口具体可以包括但不限于USB接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。
输出接口,用于将处理器产生的各种数据输出至与其相连的终端设备,以便于与输出接口相连的其他终端设备能够获取到处理器产生的各种数据。本实施例中,所述输出接口具体可以包括但不限于USB接口、串行接口等。
通讯单元,用于在基于反馈机制的多行为基线修正装置和外部服务器之间建立远程通讯连接,以便于基于反馈机制的多行为基线修正装置能够将镜像文件挂载到外部服务器中。本实施例中,通讯单元具体可以包括但不限于基于无线通讯技术或有线通讯技术的远程通讯单元。
键盘,用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。
显示器,用于运行基于反馈机制的多行为基线修正过程的相关信息进行实时显示。
鼠标,可以用于协助用户输入数据并简化用户的操作。
本发明还公开了一种可读存储介质,这里所说的可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动硬盘、CD-ROM或技术领域内所公知的任意其他形式的存储介质。可读存储介质中存储有基于反馈机制的多行为基线修正程序,所述基于反馈机制的多行为基线修正程序被处理器执行时实现如上文任一项所述基于反馈机制的多行为基线修正方法的步骤。
综上所述,本发明通过基线修正手段与反馈机制,能够有效削弱历史值骤变对基线的错误影响,提高了基线的准确性与严谨性,同时能够可持续、多角度对基线进行不断修正和维护。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的***相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的***、***和方法,可以通过其它的方式实现。例如,以上所描述的***实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,***或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。
同理,在本发明各个实施例中的各处理单元可以集成在一个功能模块中,也可以是各个处理单元物理存在,也可以两个或两个以上处理单元集成在一个功能模块中。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的基于反馈机制的多行为基线修正方法、***、装置及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (6)
1.一种基于反馈机制的多行为基线修正方法,其特征在于,包括:
识别待检测的实体,根据每个基线特征的相关参数计算出变异系数;
根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果;
当离散程度分析结果为行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;
当离散程度分析结果为行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;
当离散程度分析结果为行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;
所述识别待检测的实体,根据每个基线特征的相关参数计算出变异系数,包括:
识别待检测的实体,获取每个基线特征的相关参数,并根据以下公式计算出变异系数:
其中,为基线特征的标准差、/>为基线特征的均值;
所述根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果,包括:
根据变异系数计算出变异系数标准差/>和均值/>;
当时,离散程度分析结果为行为特征基线为强离散的行为特征基线;
当时,离散程度分析结果为行为特征基线为弱离散的行为特征基线;
当时,离散程度分析结果为行为特征基线为异常基线;
所述基线更新判定机制包括:
获取个行为特征基线的历史基线值,根据泊松分布,计算出当前时间段内,基线变更的概率;
若基线变更的概率大于预设阈值,则需要更新行为特征基线;
所述基线反馈机制包括如下步骤:
S201:采集真实数据,并将真实数据与相应的行为特征基线值进行比对;
S202:判断真实数据的取值是否超出行为特征基线值;若是,则执行步骤S203;若否,则返回步骤S201:
S203:执行越线预警;
S204:判断越线预警是否为正常预警;若是,则返回步骤S201;若否,则执行步骤S205;
S205:利用公式=Z-Z0计算误报差值/>,其中,Z为行为特征基线值,Z0为真实数据的取值;
S206:根据误报差值计算出惩罚系数/>,并根据惩罚系数/>和行为特征基线值Z,生成行为特征基线更新值G;
S207:利用行为特征基线更新值G更新相应的行为特征基线,并返回步骤S201。
2.根据权利要求1所述的基于反馈机制的多行为基线修正方法,其特征在于,通过如下公式计算所述的惩罚系数:
其中,为误报差值,/>为调节系数权重,且/>。
3.根据权利要求1所述的基于反馈机制的多行为基线修正方法,其特征在于,通过如下公式计算所述的行为特征基线更新值G:
G=Z×
其中,Z为当前的行为特征基线值,为惩罚系数。
4.一种基于反馈机制的多行为基线修正***,其特征在于,包括:
识别计算模块,配置用于识别待检测的实体,根据每个基线特征的相关参数计算出变异系数;
分析模块,配置用于根据变异系数的取值范围进行离散程度分析,生成离散程度分析结果;
第一修正模块,配置用于当离散程度分析结果为行为特征基线为强离散的行为特征基线时,通过基线更新判定机制判断是否需要更新行为特征基线,若是,则利用基线反馈机制更新行为特征基线;
第二修正模块,配置用于当离散程度分析结果为行为特征基线为弱离散的行为特征基线时,继续使用当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;
第三修正模块,配置用于当离散程度分析结果为行为特征基线为异常基线时,则直接调整当前的行为特征基线,并利用基线反馈机制修正当前的行为特征基线;
所述识别计算模块具体用于:
识别待检测的实体,获取每个基线特征的相关参数,并根据以下公式计算出变异系数:
其中,为基线特征的标准差、/>为基线特征的均值;
所述分析模块具体用于:
根据变异系数计算出变异系数标准差/>和均值/>;
当时,离散程度分析结果为行为特征基线为强离散的行为特征基线;
当时,离散程度分析结果为行为特征基线为弱离散的行为特征基线;
当时,离散程度分析结果为行为特征基线为异常基线;
所述基线更新判定机制包括:
获取个行为特征基线的历史基线值,根据泊松分布,计算出当前时间段内,基线变更的概率;
若基线变更的概率大于预设阈值,则需要更新行为特征基线;
所述基线反馈机制包括如下步骤:
S201:采集真实数据,并将真实数据与相应的行为特征基线值进行比对;
S202:判断真实数据的取值是否超出行为特征基线值;若是,则执行步骤S203;若否,则返回步骤S201:
S203:执行越线预警;
S204:判断越线预警是否为正常预警;若是,则返回步骤S201;若否,则执行步骤S205;
S205:利用公式=Z-Z0计算误报差值/>,其中,Z为行为特征基线值,Z0为真实数据的取值;
S206:根据误报差值计算出惩罚系数/>,并根据惩罚系数/>和行为特征基线值Z,生成行为特征基线更新值G;
S207:利用行为特征基线更新值G更新相应的行为特征基线,并返回步骤S201。
5.一种基于反馈机制的多行为基线修正装置,其特征在于,包括:
存储器,用于存储基于反馈机制的多行为基线修正程序;
处理器,用于执行所述基于反馈机制的多行为基线修正程序时实现如权利要求1至3任一项权利要求所述的基于反馈机制的多行为基线修正方法的步骤。
6.一种可读存储介质,其特征在于:所述可读存储介质上存储有基于反馈机制的多行为基线修正程序,所述基于反馈机制的多行为基线修正程序被处理器执行时实现如权利要求1至3任一项权利要求所述的基于反馈机制的多行为基线修正方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311468087.0A CN117221008B (zh) | 2023-11-07 | 2023-11-07 | 基于反馈机制的多行为基线修正方法、***、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311468087.0A CN117221008B (zh) | 2023-11-07 | 2023-11-07 | 基于反馈机制的多行为基线修正方法、***、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117221008A CN117221008A (zh) | 2023-12-12 |
| CN117221008B true CN117221008B (zh) | 2024-02-23 |
Family
ID=89042915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311468087.0A Active CN117221008B (zh) | 2023-11-07 | 2023-11-07 | 基于反馈机制的多行为基线修正方法、***、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117221008B (zh) |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102393870A (zh) * | 2011-06-15 | 2012-03-28 | 西安电子科技大学 | 脉搏波数据基线不平的修正方法 |
| CN104850674A (zh) * | 2014-10-30 | 2015-08-19 | 中国运载火箭技术研究院 | 一种基于多试验状态数据的模型修正*** |
| CN107528722A (zh) * | 2017-07-06 | 2017-12-29 | 阿里巴巴集团控股有限公司 | 一种时间序列中异常点检测方法及装置 |
| CN107730045A (zh) * | 2017-10-20 | 2018-02-23 | 国网江苏省电力公司南京供电公司 | 一种基于离散惯性动力学***的基线负荷热惯性修正方法 |
| CN110333995A (zh) * | 2019-07-09 | 2019-10-15 | 英赛克科技(北京)有限公司 | 对工业设备运行状态进行监测的方法及装置 |
| CN111931860A (zh) * | 2020-09-01 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 异常数据检测方法、装置、设备及存储介质 |
| CN112287390A (zh) * | 2020-10-23 | 2021-01-29 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN112347163A (zh) * | 2020-11-26 | 2021-02-09 | 上海天旦网络科技发展有限公司 | 高离散度sql动态基线告警方法及*** |
| CN112597263A (zh) * | 2021-03-03 | 2021-04-02 | 浙江和达科技股份有限公司 | 管网检测数据异常判断方法及*** |
| CN112712113A (zh) * | 2020-12-29 | 2021-04-27 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机*** |
| CN113849333A (zh) * | 2021-09-26 | 2021-12-28 | 中国地质大学(武汉) | 一种基于WN-Spline基线域算法的数据中心自驱排障方法及*** |
| CN114338348A (zh) * | 2021-12-08 | 2022-04-12 | 邵也铮 | 一种智能告警方法、装置、设备及可读存储介质 |
| CN115349865A (zh) * | 2022-06-22 | 2022-11-18 | 斑马网络技术有限公司 | 驾驶员心电信号分析方法、装置及存储介质 |
| CN115564055A (zh) * | 2021-07-01 | 2023-01-03 | 新智数字科技有限公司 | 异步联合学习训练方法、装置、计算机设备及存储介质 |
| CN115577491A (zh) * | 2022-08-29 | 2023-01-06 | 潍柴动力股份有限公司 | 一种参数修正方法、装置、电子设备及存储介质 |
| CN115730720A (zh) * | 2022-11-21 | 2023-03-03 | 上海橘盒数字科技有限公司 | 一种产品数据异常预测方法、***、装置以及存储介质 |
| CN116204871A (zh) * | 2021-11-30 | 2023-06-02 | 深圳市欢太科技有限公司 | 异常行为识别方法及装置、电子设备、存储介质 |
| CN116405274A (zh) * | 2023-03-27 | 2023-07-07 | 中国华能集团有限公司北京招标分公司 | 一种异常流量检测分析方法 |
| CN116701130A (zh) * | 2023-06-27 | 2023-09-05 | 中国建设银行股份有限公司 | 基于指标画像的动态基线优化方法、装置及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110022404A1 (en) * | 2009-07-22 | 2011-01-27 | Accenture Global Services, Gmbh | Development of travel plans including at least one environmental impact indication |
| US20110098973A1 (en) * | 2009-10-23 | 2011-04-28 | Computer Associates Think, Inc. | Automatic Baselining Of Metrics For Application Performance Management |
| US8457928B2 (en) * | 2010-03-26 | 2013-06-04 | Bmc Software, Inc. | Automatic determination of dynamic threshold for accurate detection of abnormalities |
-
2023
- 2023-11-07 CN CN202311468087.0A patent/CN117221008B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102393870A (zh) * | 2011-06-15 | 2012-03-28 | 西安电子科技大学 | 脉搏波数据基线不平的修正方法 |
| CN104850674A (zh) * | 2014-10-30 | 2015-08-19 | 中国运载火箭技术研究院 | 一种基于多试验状态数据的模型修正*** |
| CN107528722A (zh) * | 2017-07-06 | 2017-12-29 | 阿里巴巴集团控股有限公司 | 一种时间序列中异常点检测方法及装置 |
| CN107730045A (zh) * | 2017-10-20 | 2018-02-23 | 国网江苏省电力公司南京供电公司 | 一种基于离散惯性动力学***的基线负荷热惯性修正方法 |
| CN110333995A (zh) * | 2019-07-09 | 2019-10-15 | 英赛克科技(北京)有限公司 | 对工业设备运行状态进行监测的方法及装置 |
| CN111931860A (zh) * | 2020-09-01 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 异常数据检测方法、装置、设备及存储介质 |
| CN112287390A (zh) * | 2020-10-23 | 2021-01-29 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN112347163A (zh) * | 2020-11-26 | 2021-02-09 | 上海天旦网络科技发展有限公司 | 高离散度sql动态基线告警方法及*** |
| CN112712113A (zh) * | 2020-12-29 | 2021-04-27 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机*** |
| CN112597263A (zh) * | 2021-03-03 | 2021-04-02 | 浙江和达科技股份有限公司 | 管网检测数据异常判断方法及*** |
| CN115564055A (zh) * | 2021-07-01 | 2023-01-03 | 新智数字科技有限公司 | 异步联合学习训练方法、装置、计算机设备及存储介质 |
| CN113849333A (zh) * | 2021-09-26 | 2021-12-28 | 中国地质大学(武汉) | 一种基于WN-Spline基线域算法的数据中心自驱排障方法及*** |
| CN116204871A (zh) * | 2021-11-30 | 2023-06-02 | 深圳市欢太科技有限公司 | 异常行为识别方法及装置、电子设备、存储介质 |
| CN114338348A (zh) * | 2021-12-08 | 2022-04-12 | 邵也铮 | 一种智能告警方法、装置、设备及可读存储介质 |
| CN115349865A (zh) * | 2022-06-22 | 2022-11-18 | 斑马网络技术有限公司 | 驾驶员心电信号分析方法、装置及存储介质 |
| CN115577491A (zh) * | 2022-08-29 | 2023-01-06 | 潍柴动力股份有限公司 | 一种参数修正方法、装置、电子设备及存储介质 |
| CN115730720A (zh) * | 2022-11-21 | 2023-03-03 | 上海橘盒数字科技有限公司 | 一种产品数据异常预测方法、***、装置以及存储介质 |
| CN116405274A (zh) * | 2023-03-27 | 2023-07-07 | 中国华能集团有限公司北京招标分公司 | 一种异常流量检测分析方法 |
| CN116701130A (zh) * | 2023-06-27 | 2023-09-05 | 中国建设银行股份有限公司 | 基于指标画像的动态基线优化方法、装置及电子设备 |
Non-Patent Citations (3)
| Title |
|---|
| Feiyao Ling ; Honglei Chen ; Dean Ta ; Kailiang Xu.Wideband Dispersion Reversal based Corrosion Inspection Using A0 Mode Lamb Waves.《2022 IEEE International Ultrasonics Symposium (IUS)》.2022,全文. * |
| 一种胎心率基线修正算法;李晓东;陆尧胜;;生物医学工程学杂志(第05期);全文 * |
| 神经网络和动态基线算法在网管数据处理和分析中的应用;陈刚;宫钦;;山东通信技术(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117221008A (zh) | 2023-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111931860B (zh) | 异常数据检测方法、装置、设备及存储介质 | |
| CN112188531B (zh) | 异常检测方法、装置、电子设备及计算机存储介质 | |
| CN111143102A (zh) | 异常数据检测方法、装置、存储介质及电子设备 | |
| CN108228722B (zh) | 破碎化区域采样点的地理空间分布均匀度检测方法 | |
| CN109711155A (zh) | 一种预警确定方法和装置 | |
| CN109729069B (zh) | 异常ip地址的检测方法、装置与电子设备 | |
| CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
| CN112907128A (zh) | 基于ab测试结果的数据分析方法、装置、设备及介质 | |
| CN116633689B (zh) | 基于网络安全分析的数据存储风险预警方法及*** | |
| CN111767192B (zh) | 基于人工智能的业务数据检测方法、装置、设备和介质 | |
| CN111586028B (zh) | 一种异常登录的评估方法、装置、服务器和存储介质 | |
| CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN115455735A (zh) | 设备的健康指数计算方法、装置、设备及存储介质 | |
| CN117201188B (zh) | 基于大数据的it安全运行风险预测方法、***和介质 | |
| CN117221008B (zh) | 基于反馈机制的多行为基线修正方法、***、装置及介质 | |
| CN113033639A (zh) | 一种异常数据检测模型的训练方法、电子设备及存储介质 | |
| US20220188401A1 (en) | Anomaly detection apparatus, anomaly detection method, and non-transitory storage medium | |
| CN114039837A (zh) | 告警数据处理方法、装置、***、设备和存储介质 | |
| CN114049205A (zh) | 异常交易识别方法、装置、计算机设备和存储介质 | |
| Yin et al. | A network security situation assessment model based on BP neural network optimized by DS evidence theory | |
| CN117291615B (zh) | 基于网络支付下克服反欺诈的可视化对比分析方法及装置 | |
| CN116861101B (zh) | 用于社交匹配的数据处理方法和装置 | |
| CN116882632A (zh) | 一种车辆安全评估方法、***、装置、设备以及存储介质 | |
| CN115906170B (zh) | 应用于存储集群的安全防护方法及ai*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |