论文阅读-基于低秩分解的网络异常检测综述

news2024/11/25 1:02:18

论文地址:基于低秩分解的网络异常检测综述

摘要: 

        异常检测对于网络管理与安全至关重要.国内外大量研究提出了一系列网络异常检测方法,其 中大多数方法更关注数据包及其独立时序数据流的分析、检测与告警,这类方法仅仅利用了网络数据之 间的时间相关性,无法检测新类型的网络异常,且难以定位以及剔除异常数据.为了解决上述问题,相关 研究融合多时间序列数据流,提出基于低秩分解的网络异常检测方法.该方法充分利用网络数据之间的 时间 空间相关性,无监督地定位异常数据所在位置,同时将异常数据剔除,从而还原网络正常数据.首 先,根据其对正常数据与异常数据的不同类型约束,将基于低秩分解的异常检测方法分为4类,并介绍 每一类方法的基本思想和优缺点;然后,探讨现有基于低秩分解的异常检测方法存在的挑战;最后,对未 来可能的发展趋势进行了展望.

研究背景

单点异常

        单点异常即与全局数据的行为模型不同的单点数据.异常数据在数据集中单个出现,不产生聚集.例如某一局域网中,存在某一网络节点发生拥塞,导致其丢包率远远高于其余网络节点,那么该网络节点即为单点异常.单点异常作为最简单的一种异常种类,通常只需要简单的聚类、分类算法即可进行有效检测.网络中 U2R,R2L等攻击通常可视为单点异常.

集体异常

        通常由多个对象组合构成,即单独观测某一 独立个体可能并不存在异常,但是这些个体同时出 现则构成一种异常.集体异常通常是由若干个单点组成,例如,拒绝服务攻击通常由攻击者控制大量傀 儡机向服务器发送请求来抢占服务器资源,使服务 器无法响应正常请求,达到攻击服务器的目的.

上下文异常

        上下文异常通常被定义为:当数据点的值与同一上下文 环境中的其他数据点明显不同时,该数据点被认为是上下文异常值.值得注意的是,同一个值发生在不 同的上下文环境中,可能不会被认为是离群值.当我们讨论日志异常检测任务时,“上下文”通常表示为 日志文件所示上下文;而当我们讨论时间序列异常 检测任务时,“上下文”则表示时间.因此,在网络异 常检测中,日志异常、时序数据异常通常可视为上下 文异常.

传统异常检测方法

        基于距离的方法:分析数据样本之间的距离,正常数据点与其近邻 数据相近,而异常数据点则更远。

        基于密度的方法:分析数据样本空间的密度分度,邻域密度越低的 数据,越有可能是异常数据。

        基于概率统计的方法:通过概率统计的方法,构建正常数据分布,属于正常数据分布的概率越小,越有可能是异常数据。

异常检测算法

        数据挖掘/机器学习方法:关联分析、序列分析、聚类分析、决策树分析、贝叶斯网络、遗传算法、支持向量机、Markov模型。

        深度学习方法卷积神 经 网 络、循环神经网络、 自动编码机、玻尔兹曼机、深度置信网络。

基于低秩分解的异常检测模型原理

       

        通过分析图2(a)发现,网络性能数据在相邻时刻之间十分相似.图2(c)则显示相邻天之间的网络数据十分相似.因此,网络性能数据通常具有较强的时间稳定性,这就使得网络性能数据在时间维度(例 如图1中的时间)具有低秩性的特点.同样地,通过分析图2(b)发现不同 OD 对之间的网络数据向量具有较强的相关性,因此,网络数据同样具有较强的空间相关性,从而使得网络数据在空间维度(例如图1中的源节点目的节点对)具有低秩性的特点. 

        接下来我们使用数学来证明低秩性:为了进一步验证网络数据的低秩性,我们将网 络性能数据按照图1所示建模为矩阵X,并对X 进 行奇异值分解(singularvaluedecomposition,SVD), 得到[X]=UΣVT.其中,Σ 为对角矩阵,Σ=diag(σ1, σ2,σR ,0,0),该矩阵的对角线上元素通常为 从大到小排列的结果.那么,矩阵X 的秩则为矩阵Σ 中非零元素的个数.值得注意的是,在实际的应用中, 由于网络的监测数据为连续数据存在一定的测量噪 音,因此,监测数据通常并不满足严格意义的低秩.根 据主成分分析算法的定义,奇异值越大,其所代表的 主成分越重要,其前k 个奇异值所占比重几乎等于 所有奇异值之和时,则可以认为这个矩阵为近似低 秩矩阵,并满足低秩性的特点.因此,通常利用指标来判断是否为近似低秩矩阵.

        如图4所示,矩阵 X 为网络监测数据矩阵,利用低秩分解技术可以将其分解为正常数据矩阵 M 与异常数据矩阵E.正常数据具有低秩性的特点,网络攻击代价高的问题以及网络设备故障的稀疏性问题使得异常数据通常具有稀疏性的特点.因此,异常数据矩阵E通常为稀疏矩阵, 通过基于低秩分解的数据分离模型获得稀疏异常数据矩阵E后,即可对网络数据中是否存在异常进行判定,同时根据矩阵中非零元素所处位置可进行异常定位.

 基于矩阵模型的异常检测方法

基于张量模型的异常检测方法 

        张量模型作为矩阵模型向多维的扩展,可以表征多模式数据的多维本质,张量模型不再局限于数据内比较简单的2维线性关系,而是将多维放到一起综合考虑,探索多因子、多成分、多线性关系,具有重要的学术价值和应用前景.

 方法比较

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/14041.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

嵌入式分享合集104

一、不用串口,如何打印STM32单片机log 本文主要介绍在嵌入式开发中用来输出log的方法。 最常用的是通过串口输出uart log,这种方法实现简单,大部分嵌入式芯片都有串口功能。但是这样简单的功能有时候却不是那么好用,比如&#xf…

入门 Activiti 工作流,通俗易懂

概念 工作流。通过计算机对业务流程自动化执行管理,主要解决的是“使在多个参与者之间按照某种预定义的规则自动进行传递文档、信息或任务的过程,从而实现某个预期的业务目标,或者促使此目标的实现”。 Activiti7 介绍 Activiti是一个工作…

Spring启动流程

Spring启动流程 按Bean状态描述: 创建Bean工厂对Bean工厂后置处理通过Component和Import扫描BeanDefinition,加入到Bean工厂注册Bean后置处理器,用于拦截Bean创建实例化填充属性初始化 调用aware方法BeanPostProcessor实例化前执行调用初始…

【java进阶01:final关键字】final修饰的变量只能赋一次值

目录 final修饰的类无法继承。 final修饰的引用一旦指向某个对象,则不能再指向其他对象,但该引用指向的对象内部的数据是可以修改的。​编辑 final修饰的实例变量必须手动初始化,因为系统不会赋默认值,强制手动赋值&#xff0c…

【router-view】切换组件 深刻理解用法 vue的设计思想

之前学的时候没学明白,导致写项目有些功能的实现上走了歪路。 今天询问了学长,更加深刻的理解的Vue的设计思想。 因为vue是单页面应用,所以学会用router-view来切换频繁变化的地方的组件是非常重要的。 之前,我的一个主页组件由…

Xshell远程连接配置 Ubuntu 18.04.6 + Anaconda + CUDA + Cudnn + Pytorch(GPU+CPU)

Xshell远程连接进行Ubuntu的Pytorch配置写在最前面参考Xshell常用命令Ubantu检查系统的各项配置查看ubuntu系统的版本信息查看Linux的内核版本和系统是多少位的Ubuntu版本各种验证禁用nouveau安装显卡驱动卸载显卡驱动安装显卡驱动加入PPA,然后更新库方法一&#xf…

maven离线模式及设置

maven离线模式及设置 maven离线模式使用场景? 遇到的问题: 最近遇到个项目支持,他在打jar包的时候,总是去网上下载 maven依赖,不去找我本地仓库的,就比较头大,原因不明 现在需求:就…

SpringBoot 玩一玩代码混淆,防止反编译代码泄露

编译 简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件 反编译 就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的啥。 比较常用的反编译工具 JD-GUI ,直接把编译好的jar丢进…

java项目-第144期ssm农产品供销服务系统-java毕业设计_计算机毕业设计

java项目-第144期ssm农产品供销服务系统-java毕业设计_计算机毕业设计 【源码请到资源专栏下载】 今天分享的项目是《ssm农产品供销服务系统》 该项目分为2个角色,管理员和用户。 用户可以浏览前台,包含功能有: 首页、农产品、农产品资讯、我的、跳转到后…

JavaScript DOM中获取元素、事件基础、操作元素、节点操作

目录 JavaScript事件三要素 常见的事件​编辑 2、执行事件的步骤: 1. 获取元素 1.1 方式 1.1.1 根据ID获取 1.1.2 根据标签名获取 1.1.3 通过html5新增的方法获取 1.1.4 特殊元素获取 2. 事件基础 2.1 事件三要素 2.1.1 事件源 2.1.2 事件类型 2.1.3…

如何使用Spring Security控制会话

在 Spring 安全教程的这篇文章中,我们将讨论Spring 安全会话管理。我们将讨论 Spring 安全性的独特功能,这有助于我们高效和安全的会话管理。 春季安全会议 本文将讨论安全会话管理以及 spring 安全性如何帮助我们控制 HTTP 会话。Spring 安全性使用以…

1.4_29 Axure RP 9 for mac 高保真原型图 - 案例28【中继器-后台管理系统6】功能-原位修改数据

相关链接 目录Axure中文学习网AxureShopAxureShop-QA 案例目标1. 了解使用中继器,弹窗修改数据的实现方式 一、成品效果 Axure Cloud 案例28【中继器 - 后台管理系统6】功能-原位修改数据 版本更新一、修改功能   1.1 文本框:点击数据位置&#xff…

InternImage

终于有对抗Transformer 的了~~ 来自浦江实验室、清华等机构的研究人员提出了一种新的基于卷积的基础模型,称为 InternImage,与基于 Transformer 的网络不同,InternImage 以可变形卷积作为核心算子,使模型不仅具有检测和分割等下游…

MySQL删除表数据总结(DELETE、TRUNCATE、DROP)

(1)当我们不再需要该表时,使用DROP,会连表一起删掉,无法找回。速度很快。 DROP TABLE web_tbl_search;(2)保留表结构,只删除表数据,使用TRUNCATE,数据删除后…

【unCloud】在使用uni-admin时遇到的问题(原uniCloud-admin)

目录一、前言二、遇到的几个小问题问题一:可登录应用解决方法、步骤一、前言 这是我跟着官方的教学视频学习时遇到的一切小问题,由于我是初学,也没什么很多Vue一类的基础,所以学起来可能才会觉得这些是问题,但是也暂做…

得物视频编辑工具优化全指南

一、背景介绍 随着5G网络的推广和网络带宽的提升,视频成为互联网用户主要的消费载体,用户通过短视频来分享和浏览信息。由此视频的编辑功能越来越重要、越来越普遍。视频编辑的APP也如雨后春笋般涌现。 更好地推动得物App社区业务的发展,得…

测试日常工作中需要具备哪些知识和能力,在需求评审时需要考虑哪些方面,在技术方面评审时需要考虑哪些方面,从什么方面进行设计测试用例

前几天同事分享了一波作为测试需要具备哪些能力,测试用例需要从哪些方面进行设计,我把他分享的内容拷贝了一波,作为以后在测试过程中的参考。 首先需求评审、技术方案评审、测试用例评审三者的关系 一开始,我每次设计测试用例都是…

操作系统 | 实验八 文件管理

一、实验目的 掌握文件的存取方法;掌握文件的逻辑结构和物理结构;掌握存储空间的分配和回收;掌握磁盘管理与调度。 二、实验内容 用程序模拟磁盘的调度过程,并计算各磁盘调度算法包括先来先服务算法、最短寻道时间优先算法、扫…

【大根堆 Java】使用优先队列+HashMap 解决前 K 个高频元素问题

一、题目描述 给你一个整数数组 nums 和一个整数 k ,请你返回其中出现频率前 k 高的元素。你可以按 任意顺序 返回答案。 示例 二、思路 本题我们主要完成两个步骤: 统计出每个元素出现的次数找出出现次数最多的前 K 个元素 对第一个步骤&#xf…

IPWorks S/MIME Delphi Edition

IPWorks S/MIME是一套用于电子邮件加密和文档安全的综合组件。IPWorks S/MIME使用公钥密码标准(PKCS)实现加密和解密的S/MIME标准。 IPWorks S/MIME包括通用的S/MIME组件以及支持S/MIME的IPWorks POP3、IMAP、SMTP、FileMailer和HTMLMailer组件版本。还…