异常行为检测
异常行为检测设计
CREATE TABLE `ca_abnormal_user_rule_tmp` ( `k_id` int(11) NOT NULL AUTO_INCREMENT, `model_id` int(11) NOT NULL, `bizaccount` varchar(40) NOT NULL, `src_ip` varchar(40) NOT NULL, `client_software` varchar(40) NOT NULL, `template_id` bigint(20) NOT NULL, PRIMARY KEY (`k_id`), KEY `bizaccount` (`bizaccount`), KEY `src_ip` (`src_ip`), KEY `client_software` (`client_software`), KEY `template_id` (`template_id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8; insert into ca_abnormal_user_rule_tmp (bizaccount, client_ip, client_software,template_id) select bizaccount,client_ip,client_software,template_id from biao where server_ip fanwei and server_port fanwei GROUP BY bizaccount,client_ip,client_software,template_id;
【CN109919134A】一种基于视觉的运营车辆人员异常行为检测方法【专利】
(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910229246.9 (22)申请日 2019.03.25 (71)申请人 王奕然 地址 116024 辽宁省大连市高新园区红凌 路大华锦绣华城一期20-1-602 申请人 吴嘉锟 (72)发明人 王奕然 吴嘉锟 (74)专利代理机构 大连理工大学专利中心 21200 代理人 温福雪 (51)Int.Cl. G06K 9/00(2006.01) (54)发明名称一种基于视觉的运营车辆人员异常行为检测方法(57)摘要本发明提供一种基于视觉的运营车辆人员异常行为检测方法,属于视觉识别领域。该方法首先全方位采集车内驾驶人员及其周围人员的图像信息;然后,提取2D图像,利用openpose数据库中深度学习算法对所有图像内人员的骨骼节点进行标注;接着,结合车辆行驶状态,界定干扰人员与被干扰人员,计算被干扰人员各关键肢体部位的危险距离阈值。随后,基于双目测距原计算干扰人员的腕部节点与被干扰人员关键肢体部位的空间距离;最后,通过判断空间距离处在危险距离阈值内的时间,检测干扰人员的异常行为。本发明适用于运营车辆人员异常行为检测,为车内人员异常行为的警示与及时报警提供关键评判依据,对保障车内人员生命财产安全具有 重要意义。权利要求书3页 说明书8页 附图3页CN 109919134 A 2019.06.21 C N 109919134 A
1.一种基于视觉的运营车辆人员异常行为检测方法,其特征在于,步骤如下: 第一步,摄像头安装与标定 首先,在载人运营车辆(21)的后视镜处安置两个摄像头i,并对其进行编号:i=1,2;调整两个摄像头的拍摄角度,使其能直接采集到包括驾驶部位(20)及其周围区域的图像信息;各摄像头扫描率需大于5帧/秒; 然后,将两个摄像头组成双目视觉摄像头I;利用opencv数据库,对两个摄像头进行单独标定,同时利用opencv数据库对双目视觉摄像头I进行双目标定; 第二步,运营车辆(21)内人员姿态的实时提取 首先,根据运营车辆(21)内座位的分布情况,对采集图像中车内人员进行编号;设车内有m个人员,标注驾驶座位上的人员编号为1,其余人员为编号依次为2~m;不同摄像头采集到相同人员编号需一致;设定编号为j的人员为人员j; 然后,利用openpose数据库中深度学习算法标记采集图像内所有人员的骨骼节点;通过在第i摄像头中采集得到的人员j的骨骼节点k,i=1,2;j=1,2,…,m;k=0,2,…,17;组 成了人员j骨骼节点集合其中,为第i摄像头中获取人员j的骨骼节点k在 图像坐标系的坐标 最后,根据计算得到第i 摄像头采集得到的车内人员j 骨骼节点集 合 利用opencv数据库中的双目视觉下空间坐标计算方法,获得人 员j的骨骼节点k在第i摄像头中车内空间坐标系的坐标第三步,危险距离阈值的计算 首先,设定车内实施干扰人员编号为p,被干扰人员编号为q;基于ECU协议,通过运营车辆(21)OBD接口提取车辆的行驶速度V;运营车辆(21)行驶情况下,即|V|>0时,界定驾驶人员为被干扰人员q,即q=1;其余人员为实施干扰人员p即p≠1;在车辆未行驶情况下,即V=0时,界定驾驶人员为被干扰人员q=1,其余人员为实施干扰人员p≠1,或驾驶人员为实施干扰人员p=1,其余人员为被干扰人员q≠1; 然后,计算被干扰人员q各关键肢体部位的危险距离阈值;关键肢体部位包括头部、身体与手臂;关键肢体部位中各个节点包括鼻部骨骼节点(0)、颈部骨骼节点(1)、右肩部骨骼节点(2)、右肘部骨骼节点(3)、右腕部骨骼节点(4)、左肩部骨骼节点(5)、左肘部骨骼节点 (6)、左腕部骨骼节点(7)、右跨部骨骼节点(8)、右膝部骨骼节点(9)、右踝部骨骼节点(10)、左跨部骨骼节点(11)、左膝部骨骼节点(12)、左踝部骨骼节点(13)、右眼部节点(14)、左眼部节点(15)、右太阳穴骨骼节点(16)和左太阳穴骨骼节点(17); 设定被干扰人员q手臂为以腕部骨骼节点、肘部骨骼节点、肩部骨骼节点k、k -1连线为轴,k=3,4,6,7;直径c q 的圆柱体;身体为以鼻部骨骼节点(0)、颈部骨骼节点(1)为轴,肩宽b q 为直径的圆柱体;头部为以鼻部骨骼节点(0)、颈部骨骼节点(1)为轴,太阳穴间距离a q 为直径的圆柱体; 手臂直径c q 根据实际情况自行设定; 权 利 要 求 书1/3页2CN 109919134 A
网络异常流量检测研究
网络异常流量检测研究 摘要:异常流量检测是目前IDS入侵检测系统)研究的一个重要分支,实时异常检测的前提是能够实时,对大规模高速网络流量进行异常检测首先要面临高速流量载荷问题,由于测度、分析和存储等计算机资源的限制,无法实现全网络现流量的实时检测,因此,抽样测度技术成为高速网络流量测度的研究重点。 关键词:网络异常流量检测 一、异常流量监测基础知识 异常流量有许多可能的来源,包括新的应用系统与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。网络流量异常的检测方法可以归结为以下四类:统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。用于异常检测的5种统计模型有:①操作模型。该模型假设异常可通过测量结果和指标相比较得到,指标可以根据经验或一段时间的统计平均得到。②方差。计算参数的方差,设定其置信区间,当测量值超出了置信区间的范围时表明可能存在异常。③多元模型。操作模型的扩展,通过同时分析多个参数实现检测。④马尔可夫过程模型。将每种类型事件定义为系统状态,用状态转移矩阵来表示状态的变化。若对应于发生事件的状态转移矩阵概率较小,则该事件可能是异常事件。⑤时间序列模型。将测度按时间排序,如一新事件在该时间发生的概率较低,则该事件可能是异常事件。 二、系统介绍分析与设计 本系统运行在子网连接主干网的出口处,以旁路的方式接入边界的交换设备中。从交换设备中流过的数据包,经由软件捕获,处理,分析和判断,可以对以异常流量方式出现的攻击行为告警。本系统需要检测的基本的攻击行为如下:(1)ICMP 攻击(2)TCP攻击,包括但不限于SYN Flood、RST Flood(3)IP NULL攻击(4)IP Fragmentation攻击(5)IP Private Address Space攻击(6)UDP Flood攻击(7)扫描攻击不同于以特征、规则和策略为基础的入侵检测系统(Intrusion Detection Systems),本研究着眼于建立正常情况下网络流量的模型,通过该模型,流量异常检测系统可以实时地发现所观测到的流量与正常流量模型之间的偏差。当偏差达到一定程度引发流量分配的变化时,产生系统告警(ALERT),并由网络中的其他设备来完成对攻击行为的阻断。系统的核心技术包括网络正常流量模型的获取、及对所观察流量的汇聚和分析。由于当前网络以IPv4为主体,网络通讯中的智能分布在主机上,而不是集中于网络交换设备,而在TCP/IP协议中和主机操作系统中存在大量的漏洞,况且网络的使用者的误用(misuse)也时有发生,这就使得网络正常流量模型的建立存在很大的难度。为达到保障子网的正常运行的最终目的,在本系统中,采用下列方式来建立多层次的网络流量模型: (1)会话正常行为模型。根据IP报文的五元组(源地址、源端口、目的地址、
基于Web资源聚类分析的异常行为检测(精)
基于Web资源聚类分析的异常行为检测1 谢逸,余顺争 中山大学电子与通信工程系,广东广州(510275 E-mail(xieyicn@https://www.sodocs.net/doc/db17633023.html, 摘要:本文针对大型活动网站的入侵检测,提出一种基于隐半马尔可夫模型(HSMM的Web资源聚类方法,与传统的基于Web页面内容的聚类不同,该方法仅需要用户的HTTP 请求序列,而不需要网站和页面的相关信息;利用该模型,我们得到用户对各个Web资源子集的访问特征,我们进一步引入逻辑行为来描述这种用户访问特征,并通过分析用户的逻辑行为实现异常访问行为的检测。文章详细介绍了模型建立的理论依据和方法,推导出模型参数的估计算法,及一种快速的模型参数实时更新算法。并指出了如何把该模型应用于实际的网络环境。最后使用World Cup 1998实际采集的数据验证了模型的有效性。结果表明该方法不但可以很好地实现用户行为分类,而且可以有效识别出异常的用户行为,从而起到入侵检测的作用。 关键词:聚类,用户行为,异常检测,隐半马尔可夫模型 中图分类号:TP3 1.引言 随着Internet的普及,网络上共享的计算机资源成为主要的攻击目标,网络入侵数量的增加及其所带来的严重危害,使计算机安全成为人们关注的焦点。入侵检测系统(Intrusion Detection System, IDS是用于检测正在发生的攻击和试图进行攻击的计算机系统。异常入侵检测(Anomaly Intrusion Detection 是目前使用的主要手段之一。它是根据用户行为与活动轮廓存在的偏离程度来判断是否发生入侵,常用的方法有神经网络、模式预测、机器学习、统计分析等[1]。 与一般的入侵检测系统所关注的对象不同,本文主要研究大型活动网站(例如:体育比赛、重大商务/政治活动、大型文艺表演等对分布式拒绝服务(Distributed
网络异常检测研究与应用
网络异常检测研究与应用 随着IT架构的日益复杂,各种应用也不断涌现,网络和应用的边界变得越来越模糊,这使得基于单一边界和控制点的传统安全设备难以有效掌握整个网络的安全状态。一方面,网络攻击的广泛性、隐蔽性、持续性、复合性、多样性等特征使得传统网络攻击检测技术难以有效应对。另一方面,随着移动互联网、云计算等技术的发展,网络中的威胁情报信息越来越多,因此,如何高效智能的整合、处理外部与内部的大量非结构化数据,对多源数据进行有效关联、检索与情报追踪是网络安全发展的关键。 近些年来,随着网络异常检测技术的不断发展、软件定义安全架构的出现、大数据技术的发展,上述的安全挑战带来的问题逐步得到了缓解。本文选取僵尸网络与Web攻击两种在网络中最常见、波及面最大的网络威胁,对僵尸网络C&C 服务器检测与HTTP异常检测问题展开研究;同时,将异常检测算法封装为异常检测模块,在软件定义安全架构下实现异常检测模块与安全数据平台的集成,从而实现数据驱动的安全服务器编排。本文的具体研究内容如下:1.利用网络中广泛存在的多源异构数据,借鉴安全威胁情报、用户与实体行为分析(UEBA)等安全领域的新思路,基于统计分析、机器学习、深度学习对网络异常检测的问题展开研究,具体包括:(1)基于城域网采样Netflow的C&C服务器检测(2)借鉴UEBA思想的基于HTTP画像的异常检测(3)基于长短时记忆神经网络(LSTM)的HTTP异常检测2.本文设计了一种将网络异常检测模块与安全数据平台进行集成的方案,实现了网络数据的实时在线异常检测,同时在软件定义安全架构下,根据异常检测结果自动选取防护策略并下发,从而实现数据驱动的安全服务编排,提高安全防护效率。
机动车检测站人员岗位职责
机构负责人岗位职责 1、认真贯彻执行国家的法律、法规和本公司的各项规章制度。组织开展质量教育,提高职工的质量意识。确保质量管理体系 持续有效运行。 2、负责批准公司的发展规划和年度工作计划,组织配置所需资源。 3、负责组织机构的设置和职责的确定,任命关键岗位人员,为管理体系的实施、保持和改进提供资源保证。 4、负责各类购置计划的批准。 5、负责组织对全体人员的考核奖惩。 6、负责建立实验室内部沟通机制。抓好全体人员的思想政治工作,奖优罚劣,调动一切积极因素,提高工作人员的政治及业务素质。 7、主持公司工作会议,研究解决工作中的问题,对公司工作会议的决议负责组织实施。 8、负责本公司的质量管理工作,组织编写、修订《质量手册》。建立健全质量管理体系。受法人代表的委托,审定并批准签发检测报告,对检测报告的规范性、正确性负责。
9、负责检测程序质量控制,及时解决检测工作中存在的质量问题;监督和组织检查仪器、设备使用状况以及有关人员的操作、使用、维护情况。 10、对《质量手册》贯彻执行情况进行定期的督促检查;组织开展检测工作质量检查,协助法人代表做好质量管理体系评审准备工作。 11、负责检测质量事故和检测质量争议的处理。主持召开质量事故分析会,负责对客户申诉和投诉的处理,及时向法人代表报告工作质量状况。 12、完成法人代表交办的其它工作,技术负责人外出时代行其责。
技术负责人岗位职责 1、要及时了解、掌握国家对机动车检测的有关法律、法规、政策、标准和其他要求。 2、要熟悉机构内部的检验工序、管理流程和机构使用的检测仪器设备的技术要求和计量检定要求。 3、能够单独或指导他人完成检验工作。 4、了解检测设备的原理、熟悉设备的使用。 5、负责组织制定技术管理制度、作业指导书、操作规程等技术文件。 6、组织完成比对试验。 7、负责处理、解决检测工作中的技术问题。 8、负责组织进行检验方法、理论技术的研究,不断提高机构的检验技术水平,积极了解国内外先进检验技术。 9、负责论证新建项目、检测设备改造、更新技术方案的确认等。 10、完成领导交办的其它任务。
基于监控视频的人体异常行为检测研究
目录 摘要 .......................................................................................................................... I ABSTRACT ................................................................................................................ II 第1章绪论 .. (1) 1.1课题研究背景及意义 (1) 1.2国内外研究现状及分析 (3) 1.3本文主要研究内容 (5) 1.4本文的结构安排 (6) 第2章异常行为检测相关理论及算法介绍 (7) 2.1引言 (7) 2.2基于混合高斯模型的目标提取 (8) 2.2.1 混合高斯模型的建立 (8) 2.2.2 运动目标的检测 (9) 2.2.3 背景模型的更新 (10) 2.3目标跟踪算法的选择 (13) 2.3.1 Meanshift算法 (13) 2.3.2 Camshift算法 (14) 2.3.3 卡尔曼滤波 (16) 2.4行为特征的选取 (17) 2.4.1 光流特征 (17) 2.4.2 几何特征 (19) 2.4.3 轨迹特征 (19) 2.5本章小结 (20) 第3章异常行为检测的研究及改进 (21) 3.1引言 (21) 3.2基于Camshift结合卡尔曼滤波的目标跟踪 (21) 3.3基于区域光流能量的异常行为检测 (24) 3.3.1 传统光流能量模型 (25) 3.3.2 改进的光流能量模型 (26) 3.3.3 区域光流能量流程及详细介绍 (29) 3.4基于几何和轨迹特征的异常行为检测 (31) 3.4.1 目标区域标识及特征提取 (31)
在线自适应网络异常检测系统模型与算法(精)
计算机研究与发展 ISSN100021239ΠCN1121777ΠTP()在线自适应网络异常检测系统模型与算法 魏小涛 21黄厚宽田盛丰22(北京交通大学软件学院北京100044)(北京交通大学计算机与信息技术学院北京100044) (weixt@https://www.sodocs.net/doc/db17633023.html,) AnOnlineAdaptiveNetworkandAlgorithmWeiXiaotao1,Shengfeng2 2(SchoolofSoftware,BJiaotongUniversity,Beijing100044)(SchoolofComputerandInform ationTechnology,BeijingJiaotongUniversity,Beijing100044) Abstract TheextensiveusageofInternetandcomputernetworksmakessecurityacriticalissue.Thereisa nurgentneedfornetworkintrusiondetectionsystemswhichcanactivelydefendnetworksagain stthegrowingsecuritythreats.Inthispaper,alightweightedonlineadaptivenetworkanomalyd etectionsystemmodelispresented.Therelatedinfluencefunctionbasedanomalydetectionalg orithmisalsoprovided.Thesystemcanprocessnetworktrafficdatastreaminreal2time,gradual lybuildupitslocalnormalpatternbaseandintrusionpatternbaseunderalittlesupervisingofthea dministrator,anddynamicallyupdatethecontentsoftheknowledgebaseaccordingtothechang ingofthenetworkapplicationpatterns.Atthecheckingmode,thesystemcandetectnotonlythel earnedintrusionpatternsbutalsotheunseenintrusionpatterns.Themodelhasarelativelysimpl earchitecture,whichmakesitefficientforprocessingonlinenetworktrafficdata.Alsothedetect ingalgorithmtakeslittlecomputationaltimeandmemoryspace.ThesystemistestedontheDA RPAKDD99intrusiondetectiondatasets.Itscans10%ofthetrainingdatasetandthetestingdata setonlyonce.Within40secondsthesystemcanfinishthewholelearningandcheckingtasks.Th eexperimentalresultsshowthatthepresentedmodelachievesadetectionrateof91.32%andafal sepositiverateofonly0.43%.Itisalsocapableofdetectingnewtypeofintrusions. Keywords networkanomalydetection;onlineadaptive;influencefunction;datastream;anomalydetecti on
基于流量特征建模的网络异常行为检测技术
第8卷第4期2019年7月Vol. 8 No. 4Jul. 2019网络新媒体技术 基于流量特征建模的网络异常行为检测技术* *本文于2018 -05 -09收到。 *中科院率先行动计划项目:端到端关键技术研究与系统研发(编号:SXJH201609)。黄河▽邓浩江3陈君I C 中国科学院声学研究所国家网络新媒体工程技术研究中心北京100190 2中国科学院大学北京100190)摘要:基于流量特征建模的网络异常行为检测技术通过对网络流量进行特征匹配与模式识别,进而检测岀潜在的、恶意入侵 的网络流量,是网络异常行为检测的有效手段。根据检测数据来源的不同,传统检测方法可以分为基于传输层信息、载荷信 息、主机行为特征等三类,而近年来兴起的深度学习方法已经开始应用于这三类数据,并可以综合应用三类数据,本文从技术 原理与特点、实验方式、取得的成果等方面对上述技术路线进行了综述,并分析了存在的主要问题和发展趋势。关键词:网络异常行为,异常检测,模式识别,流量特征建模,深度学习 Network Abnormal Behavior Detection Technologies Based on Traffic - feature Modeling HUANG He 1'2, DENG Haojiang 1'2, CHEN Jun 1 (1 National Network New Media Engineering Research Center, Institute of Acoustics , Beijing, 100190, China , 2University of Chinese Academy of Science , Beijing, 100190, China) Abstract : The network abnormal behavior detection technology based on traffic - feature modeling can detect potential and malicious intrusion of network traffic by feature matching and pattern recognition of network traffic , and is an effective measure of network abnor - mal behavior detection. According to the different sources of detection data , traditional detection methods can be classified into three categories based on transport layer information , on load information , and on host behavior characteristics. In recent years , the deep learning method that has emerged has begun to be applied to these three types of data , and can be comprehensively applied. This paper summarizes the above technical routes in terms of technical principles and characteristics , experimental methods , and achievements , and analyzes the major problems and development trends.. Keywords : Network abnormal behavior, Anomaly detection , Pattern recognition , Traffic - feature modeling, Deep learning 0引言 “互联网是第一种由人类建造,但不为人类所理解之物,它是有史以来我们对无序状态最疯狂的实 验。”⑴Google 公司前首席执行官Eric Schmidt 在2010年的这段公开谈话直观揭示了因特网的混沌性与复 杂性,其背后的逻辑在于因特网用户行为的多元化。时至2018年,全球因特网的接入用户数量与数据总量 和2010年相比已经不可同日而语⑵,网络安全牵涉到信息社会中公共安全和个人隐私、财产的方方面面,网 络安全问题正成为学术研究和工程应用中亟待解决的难题。本文涉及的是基于流量特征建模的网络异常 行为检测技术,这是网络安全技术的一个分支,它的核心思想是通过对网络流量进行特征匹配与模式识别,