网站流量异常检测

最新推荐文章于 2025-05-04 20:00:00 发布
原创 最新推荐文章于 2025-05-04 20:00:00 发布
· 1.4k 阅读 · 20 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#机器学习 #java #spring boot

目录

创建工程

数据集

时序数据中的异常检测

基于直方图的异常检测

加载数据

创建直方图

基于密度的k最近邻算法

完整代码

第二个例子中,我们将对前一个例子的反面建模。我们不会讨论典型的少欺诈案例是什么, 而要讨论系统正常的预期行为。如果有违背模型预期的事情发生,这个事情就会被识别为异常。

创建工程

接着前面的项目:

数据集

我们将使用一个Yahoo Labs公开的数据集,这有助于我们研究如何从时序数据中检测异常。 对于Yahoo而言,主要使用案例是检测Yahoo服务器上的非正常流量。

数据集由流向Yahoo服务的真实流量组成,里面同时含有一些合成数据。这个数据集总共包 含367个时间序列,每个时序包含741~1680个观察结果,它们是按固定时间间隔记录得到的。每 个序列都有自己的记录文件,每一行对应一个观察结果。每个序列都带有一个列指示器——“异常”(anomaly),观察表明这个序列是异常时,该列值为1,否则为0。实际数据中的异常由人为 判断决定,而合成数据中的异常由算法自动生成。

接下来,我们将学习如何将时序数据转换为属性,以便应用机器学习算法。

时序数据中的异常检测

在原始流式时序数据中检测异常时,需要对数据做一些转换。最明显的做法是选择一个时间 窗口,用固定长度采集时间序列。接下来,我们比较新时间序列与之前采集的序列,以检测是否 有异常发生。
可以选用的比较技术多种多样:

 预测最有可能的跟随值(following value)以及置信区间(比如霍尔特-温特指数平滑)。 若新值超出预测的置信区间,即被判定为异常。

 互相关(Cross correlation)技术比较新样本与正例样本库,查找准确匹配。若未发现匹配, 则把新样本标记为异常。

 动态时间规整与互相关类似,但它允许比较中有信号失真。

 信号离散化到频带,每个频带对应于一个字母,比如 A=[min, mean/3] 、 B=[mean/3, mean*2/3]、C=[mean*2/3, max],将信号转换为字母序列,比如aAABAACAABBA….这个 方法可以有效减少存储,并且允许我们使用文本挖掘算法。文本挖掘相关内容将在第10 章讲解。

 基于分布的方法评估一个特定时间窗口中值的分布。观察一个新样本时,可以将其分布 与之前观察的进行比较,查看是否匹配。

上述列表并不全面,这些不同方法都将重点放在检测某些异常上(比如值异常、频率异常、 分布异常)。接下来将重点讲解基于分布的方法。

基于直方图的异常检测

基于直方图的异常检测中,通过某个选定的时间窗口对信号做切分

针对每个窗口计算直方图,也就是说,针对选中的桶数,计算每个桶中落入多少个值。直方 图反映了所选时间窗口中值的分布情况(下图中间部分)。

然后,可以直接把直方图表示成实例,每个bin对应一个属性。而且,通过应用维度缩减技 术(比如主成分分析,PCA),可以减少属性数目,这样就可以使用散点图绘制降维后的直方图, 其中每个点代表一个直方图(下图右下)。

我们的示例中,主要的想法是先对网站流量观察几天,然后创建直方图,比如以4小时为窗 口创建一个正常行为库。若新时间窗口直方图与正常行为库不匹配,就将其标记为异常。

比较一个新的直方图与一组已有的直方图时,我们会使用基于密度的k最近邻算法——局部异常因子算法(LOF,Breunig等,2000)。这个算法能够处理拥有不同密度的群组(clusters), 如图所示。比如,相比于左下方小而密集的群组,右上方群组既大又广。

加载数据

第一步中,我们需要把数据从文本文件加载到一个Java对象。这些文本文件存储在一个文件 夹,每个文件中,每一行就是一个带有值的时间序列。我们将其加载到一个Double型列表:

        /*
         * 加载数据
         */
        String path = ClassUtils.getDefaultClassLoader().getResource("data/test07/ydata/A1Benchmark").getPath() + "/real_";
        List<List<Double>> rawData = new ArrayList<List<Double>>();

对直方图做正态化处理的过程中,要用到min与max值。因此数据传递时,需要先得到它们。

        double max = Double.MIN_VALUE;
        double min = Double.MAX_VALUE;
        // 读取67个CSV文件
        for (int i = 1; i <= 67; i++) {
            List<Double> sample = new ArrayList<Double>();
            BufferedReader reader = new BufferedReader(new FileReader(path + i + ".csv"));
            boolean isValid = false;
            // 跳过第一行(标题行)
            reader.readLine();
            while (reader.ready()) {
                String line = reader.readLine();
                String[] str = line.split(",");
                double value = Double.parseDouble(str[1]);
                // 添加值到sample列表
                sample.add(value);
                // 更新最大值和最小值
                if (value > max) max = value;
                if (value < min) min = value;
                // 检查是否是有效的样本
                if ("1".equals(str[2])) {
                    isValid = true;
                }
            }
            // 打印是否是有效样本
            System.out.println(isValid);
            // 关闭reader
            reader.close();
            // 将样本添加到rawData列表
            rawData.add(sample);
        }
        // 打印加载的样本数量、最大值和最小值
        System.out.println("size:" + rawData.size() + "\tmax: " + max + "\tmin: " + min);

至此,数据加载完毕,接下来开始创建直方图。

创建直方图

我们将按照WIN_SIZE宽度为选定的时间窗口创建直方图。这个直方图用于存储HIST_BINS 值桶(value buckets)。这些包含double列表的直方图会被存储到一个数组列表。
 

        /*
         * 创建直方图
         */
        // 创建delta_t直方图
        int WIN_SIZE = 500; // 窗口大小
        int HIST_BINS = 20; // 直方图的 bins 数量
        int current = 0;
        List<double[]> dataHist = new ArrayList<double[]>();
        // 遍历每个样本
        for (List<Double> sample : rawData) {
            double[] hist = new double[HIST_BINS];
            for (Double value : sample) {
                int bin = toBin(normalize(value, min, max), HIST_BINS);
                hist[bin]++;
                current++;
                // 如果当前窗口达到窗口大小,重置计数器并添加直方图
                if (current == WIN_SIZE) {
                    current = 0;
                    dataHist.add(hist);
                    hist = new double[HIST_BINS];
                }
            }
            // 添加最后一个窗口的直方图
            dataHist.add(hist);
        }

直方图已经做好,接下来要把它们转换为Weka中的Instance对象。每个直方图值对应于一 个Weka属性,代码如下:

        /*
         * 创建数据库
         */
        ArrayList<Attribute> attributes = new ArrayList<Attribute>();
        for (int i = 0; i < HIST_BINS; i++)
            attributes.add(new Attribute("HIST-" + i));
        // 创建数据集
        Instances data = new Instances("data", attributes, dataHist.size());
        for (double[] hist : dataHist) {
            data.add(new DenseInstance(1.0, hist));
        }
        // 打印数据集大小
        System.out.println("Dataset created: " + data.size());

至此,我们已经加载好数据集,接下来应用异常检测算法。

基于密度的k最近邻算法

为了演示LOF算法(即局部异常因子算法)如何计算分数,先使用testCV(int, int)函数 把数据集划分为训练集与测试集。其中,第一个参数用于指定折数,第二个参数指定要返回哪个 折。

        /*
         * 构建模型
         */
        // 将数据分为训练集和测试集
        Instances trainData = data.testCV(2, 0);
        Instances testData = data.testCV(2, 1);
        System.out.println("Train: " + trainData.size() + "\nTest:" + testData.size());

LOF算法有两个实现接口:一个用作无监督过滤器,计算LOF值(已知的未知);另一个用 作监督k-nn分类器(已知的已知)。我们的示例要计算异常分数因子(outlier-ness factor),所以将 使用无监督过滤器接口。

使用常规过滤器的初始化方式对这个过滤器进行初始化。可以指定邻居的k数(比如k=3)以 及-min与-max参数。LOF允许我们指定两个不同的k参数,在内部一个用作上界,另一个用作下 界,以便查找最小/最大数lof值:

        // 加载训练数据到 k-NN 算法
        LOF lof = new LOF();
        lof.setInputFormat(trainData);
        lof.setOptions(new String[]{"-min", "3", "-max", "3"});

接下来,将训练实例加载到过滤器,用作正例库。加载完成后,调用batchFinished()方 法对内部计算做初始化:

        for (Instance inst : trainData) {
            lof.input(inst);
        }
        lof.batchFinished();

最后,将过滤器应用于测试数据。过滤器将处理实例,并在最后添加一个包含LOF评分的属 性。我们可以在控制台简单输出分数。

        // 打印 LOF 模型加载完成
        System.out.println("LOF loaded");
        // 对测试数据进行过滤
        Instances testDataLofScore = Filter.useFilter(testData, lof);
        for (Instance inst : testDataLofScore) {
            // 打印 LOF 得分
            System.out.println(inst.value(inst.numAttributes() - 1));
        }

前面几个测试实例的LOF分数如下:

1.306740014927325 
1.318239332210458 
1.0294812291949587 
1.1715039094530768

为了理解LOF值,需要先了解LOF算法。LOF算法比较一个实例的密度与其最近邻的密度, 两个分数相除就是LOF分数。若LOF分数接近1,则表示密度近似相等。LOF值越大,表示实例密 度越低于它邻居的密度。这些情况下,实例会被标记为异常。

完整代码

public class Anomaly {
    public static void main(String[] args) throws Exception {
        /*
         * 加载数据
         */
        String path = ClassUtils.getDefaultClassLoader().getResource("data/test07/ydata/A1Benchmark").getPath() + "/real_";
        List<List<Double>> rawData = new ArrayList<List<Double>>();
        double max = Double.MIN_VALUE;
        double min = Double.MAX_VALUE;
        // 读取67个CSV文件
        for (int i = 1; i <= 67; i++) {
            List<Double> sample = new ArrayList<Double>();
            BufferedReader reader = new BufferedReader(new FileReader(path + i + ".csv"));
            boolean isValid = false;
            // 跳过第一行(标题行)
            reader.readLine();
            while (reader.ready()) {
                String line = reader.readLine();
                String[] str = line.split(",");
                double value = Double.parseDouble(str[1]);
                // 添加值到sample列表
                sample.add(value);
                // 更新最大值和最小值
                if (value > max) max = value;
                if (value < min) min = value;
                // 检查是否是有效的样本
                if ("1".equals(str[2])) {
                    isValid = true;
                }
            }
            // 打印是否是有效样本
            System.out.println(isValid);
            // 关闭reader
            reader.close();
            // 将样本添加到rawData列表
            rawData.add(sample);
        }
        // 打印加载的样本数量、最大值和最小值
        System.out.println("size:" + rawData.size() + "\tmax: " + max + "\tmin: " + min);
        /*
         * 创建直方图
         */
        // 创建delta_t直方图
        int WIN_SIZE = 500; // 窗口大小
        int HIST_BINS = 20; // 直方图的 bins 数量
        int current = 0;
        List<double[]> dataHist = new ArrayList<double[]>();
        // 遍历每个样本
        for (List<Double> sample : rawData) {
            double[] hist = new double[HIST_BINS];
            for (Double value : sample) {
                int bin = toBin(normalize(value, min, max), HIST_BINS);
                hist[bin]++;
                current++;
                // 如果当前窗口达到窗口大小,重置计数器并添加直方图
                if (current == WIN_SIZE) {
                    current = 0;
                    dataHist.add(hist);
                    hist = new double[HIST_BINS];
                }
            }
            // 添加最后一个窗口的直方图
            dataHist.add(hist);
        }
        // 归一化直方图
        for (double[] hist : dataHist) {
            double sum = 0;
            for (double d : hist) {
                sum += d;
            }
            for (int i = 0; i < hist.length; i++) {
                hist[i] /= sum;
            }
        }
        // 打印总数直方图
        System.out.println("Total histograms:" + dataHist.size());
        /*
         * 创建数据库
         */
        ArrayList<Attribute> attributes = new ArrayList<Attribute>();
        for (int i = 0; i < HIST_BINS; i++)
            attributes.add(new Attribute("HIST-" + i));
        // 创建数据集
        Instances data = new Instances("data", attributes, dataHist.size());
        for (double[] hist : dataHist) {
            data.add(new DenseInstance(1.0, hist));
        }
        // 打印数据集大小
        System.out.println("Dataset created: " + data.size());
        /*
         * 构建模型
         */
        // 将数据分为训练集和测试集
        Instances trainData = data.testCV(2, 0);
        Instances testData = data.testCV(2, 1);
        System.out.println("Train: " + trainData.size() + "\nTest:" + testData.size());
        // 加载训练数据到 k-NN 算法
        LOF lof = new LOF();
        lof.setInputFormat(trainData);
        lof.setOptions(new String[]{"-min", "3", "-max", "3"});
        for (Instance inst : trainData) {
            lof.input(inst);
        }
        lof.batchFinished();
        // 打印 LOF 模型加载完成
        System.out.println("LOF loaded");
        // 对测试数据进行过滤
        Instances testDataLofScore = Filter.useFilter(testData, lof);
        for (Instance inst : testDataLofScore) {
            // 打印 LOF 得分
            System.out.println(inst.value(inst.numAttributes() - 1));
        }
    }

    /**
     * 将值归一化到 [0, 1] 区间
     *
     * @param value 值
     * @param min   最小值
     * @param max   最大值
     * @return 归一化后的值
     */
    static double normalize(double value, double min, double max) {
        return (value - min) / (max - min);
    }

    /**
     * 返回一个 bin,范围在 [0, bins)。假设值已归一化到 [0, 1] 区间
     *
     * @param normalizedValue 归一化后的值
     * @param bins            bins 数量
     * @return bin 编号
     */
    static int toBin(double normalizedValue, int bins) {
        if (normalizedValue == 1.0) return bins - 1;
        return (int) (normalizedValue * bins);
    }
}

网络流量异常检测综述
qq_61890005的博客
11-30 2573
摘 要随着网络攻击的复杂化、自动化、智能化水平的不断提高,网络中不断涌现出新的攻击类型,这些未曾见过的新攻击给基于特征码的网络攻击检测和响应带来了极大挑战。网络流量异常检测通过对网络流量进行分析,可以检测出与正常流量明显不同的流量,因其不依赖于静态特征码,被看作检测未知新攻击的有效手段。研究人员针对异常网络流量检测提出了许多方案,包括基于统计学习法、基于无监督机器学习的方案、基于监督机器学习的方案,从流量特点、特征工程到检测模型,再到应用场景对这些方案进行了系统性综述。内容目录:1 网络流量数据采集1.1
基于KNN的网络流量异常检测研究
qq_61890005的博客
01-06 967
互联网的不断发展和广泛使用给网络用户带来了极大的方便,但同时也使得网络安全形势变得越来越严峻。针对网络异常检测方法检测精度不高,网络环境动态不稳定的问题,提出了基于K-最近邻算法(K-Nearest Neighbor,KNN)的网络流量异常检测算法。算法基于属性加权与距离加权组合加权的方法进行异常检测,其中使用随机森林算法进行特征选择并为特征赋予权重,样本距离采用高斯函数加权。最后采用KNN算法检测异常,经实验验证,本算法具有较好的检测效果和时效性。
毕业设计:基于深度学习的异常网络流量检测系统 信息安全
2301_79555157的博客
03-03 3133
毕业设计:基于深度学习的异常网络流量检测系统旨在实现高效准确的异常流量检测和识别。通过结合深度学习和计算机视觉技术,该系统能够从大规模的网络流量数据中学习网络行为模式,并通过对比分析实时网络流量与学习模型的差异来判断是否存在异常流量。这为计算机毕业设计提供了一个创新的方向,结合了深度学习和计算机视觉技术,为毕业生提供了一个有意义的研究课题。无论您对深度学习技术保持浓厚兴趣,还是希望探索机器学习、算法或人工智能的领域的同学,能为您提供灵感和指导。
可解释的恶意流量检测模型(十)
m0_61980970的博客
03-28 764
传统的入侵检测系统(IDS)主要基于签名匹配或异常检测,难以处理零日攻击,也缺乏可解释性。而现有的机器学习的方法环境适应性差。因此本文提出的 IDS-Agent 使用 LLM 作为核心模块,结合外部知识库、工具箱、记忆系统,对网络流量进行判断,并给出解释。创新点:能够对网络流量进行分类(正常/恶意)并生成解释;支持自定义检测敏感度;具备零日攻击检测能力;采用管道和多种工具(如分类器、知识检索、记忆模块等)实现推理与执行;
网络安全数据集Maple-IDS,一个自主发布的网络安全恶意流量检测数据集
catleelee的博客
06-27 876
Maple-IDS数据集是一个网络入侵检测评估数据集,旨在增强异常基础入侵检测系统(IDS)和入侵预防系统(IPS)的性能和可靠性。随着网络空间安全领域攻击的日益复杂化,拥有一个可靠和最新的数据集对于测试和验证IDS和IPS解决方案至关重要。
毕业设计:基于深度学习的网络流量异常检测系统
Hai_Lang_IT的博客
03-13 3698
毕业设计:基于深度学习的网络流量异常检测系统将介绍基于深度学习的网络流量异常检测系统的原理、方法和实现,探讨其在网络安全领域的应用前景。 为计算机毕业设计提供了一个创新的方向,结合了深度学习和计算机视觉技术,为毕业生提供了一个有意义的研究课题。对于计算机专业、软件工程专业、人工智能专业、大数据专业的毕业生而言,提供了一个具有挑战性和创新性的研究课题。无论您对深度学习技术保持浓厚兴趣,还是希望探索机器学习、算法或人工智能的领域的同学,能为您提供灵感和指导。
流量检测领域-数据集
weixin_46488895的博客
12-02 1434
ISCX VPN-nonVPN(VPN与非VPN流量对比数据集):www.unb.ca/cic/datasets/vpn.html CTU-13(混杂正常流量和背景流量的真实的僵尸网络流量):mcfp.felk.cvut.cz/publicDatasets/CTU-13-Dataset WIDE(无载荷流量,可用于网络异常检测): mawi.wide.ad.jp/mawi ISCXTor2016(Tor流量有标签数据集):www.unb.ca/cic/datasets/tor.html UST
基于CNN的网络流量异常检测问题,如何解决?
最新发布
**My Coding Family**
05-04 652
🏆 本文收录于《全栈Bug调优(实战版)》专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同时,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,经过精心筛选和整理,结合数位十多年大厂实战经验资深大佬经验总结所得,数条可行方案供所需之人参考。
异常检测常用的一些数据集
01-02
异常检测在IT行业中是至关重要的一个领域,尤其是在数据挖掘和机器学习中,它涉及到网络安全、工业设备故障预测、金融欺诈检测、医疗诊断等多个方面。以下是一些常用的异常检测数据集,以及它们各自的特点和可能的...
毕设开源 深度学习异常流量检测系统(算法+论文)
HUXINY的博客
09-04 1395
🔥这两年开始毕业设计和毕业答辩的要求和难度不断提升,传统的毕设题目缺少创新和亮点,往往达不到毕业答辩的要求,这两年不断有学弟学妹告诉学长自己做的项目系统达不到老师的要求。为了大家能够顺利以及最少的精力通过毕设,学长分享优质毕业设计项目,今天要分享的是🚩毕业设计 深度学习异常流量检测系统(算法+论文)🥇学长这里给一个题目综合评分(每项满分5分)难度系数:3分工作量:3分创新点:4分🧿 项目分享:见文末!
IIS流量检测工具,网站流量监控,网站带宽检测
01-04
《IIS流量检测工具:网站流量监控与带宽检测的利器》 在信息化时代,网站流量监控和带宽管理成为服务器管理员的核心任务之一。IIS流量检测工具,作为一个高效实用的解决方案,专为Windows服务器设计,旨在帮助...
网络异常流量检测模型设计与实现.
07-27
流量异常检测的东西,百度的资源分数太高了,下一个挪到优快云给大家分享。
论文研究-一种网络流量异常检测算法.pdf
07-22
提出了一种网络流量异常检测新算法。该算法将线性模型与小波变换相结合,解决了阈值监控无法告警和监测的问题。在实际的网络数据SNMP MIB以及Netflow的应用检测中,性能较好。与GLR算法相比,异常点的判断更加及时、准确、可靠。
网络流量数据集
10-14
数据集包含了真实网络中的流量,可以用于检测DDoS攻击实验。
PLC网络流量异常检测的统计模型和神经网络模型的比较研究
工控小白2021的博客
02-26 1411
A Comparative Study of Statistical and Neural Network Models for PLC Network Traffic Anomaly Detection一、摘要二、介绍三、系统建模四、结论 一、摘要 在本文中,我们试图通过使用三种不同模型描述的分析网络流量中的异常检测来保护系统和计算机网络免受新的未知攻击。第一类由ARFIMA和Holt-Winters模型组成,它们具有统计依赖性。第二类包括神经网络自回归模型,该模型具有单隐层和滞后输入的特点,用于预测单变
spark高级数据分析---网络流量异常检测(升级实战)
python的博客
07-24 9696
在我的上一篇里我写的那个只是个人对KMeans聚类在这个项目中的一部分,今天花了很长时间写完和完整的运行测试完这个代码,篇幅很长,都是结合我前面写的加上自己完善的异常检测部分,废话不多说,直接代码实战: package internet import org.apache.spark.mllib.clustering.{KMeansModel, KMeans} import
spark高级数据分析实战--网络流量异常检测1
python的博客
07-22 6047
项目结构图 项目结构如下图所示 CountClass.scala package internet import org.apache.spark.mllib.clustering.{KMeans, KMeansModel} import org.apache.spark.mllib.linalg.Vector import org.apache.spark.r
流量异常检测
devcy的博客
03-19 8614
https://mp.weixin.qq.com/s/9h-hOt630W6k077Rupc9CA 预测 移动平均算法使用当前窗口内w个数据的均值作为窗口内最后一个点的预测值,即。 线性回归的方法预测流量值 对于窗口内n个数据点使用最小二乘法来最小化损失函数 由于线性回归的损失函数是二次函数,所以异常点带来的影响被放大,导致拟合的结果偏离理想结果。 由于线性回归的二次损失函数放大了异常点的影响,因...
网站流量监控利器:IIS流量检测工具使用与功能解析
综合以上知识,可以得知IIS流量检测工具是专门为微软IIS服务器平台开发的网站流量监控工具。它可以帮助管理员了解网站访问量、带宽使用情况,并对网站的性能和安全性做出合理的判断和管理。通过这类工具,管理员可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

顾北辰20

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值