量异常分值计算模型
- 基线X
(1)30日全日志,计算其每小时访问次数,将所有项累加后取项平均值,得出降噪后的每小时平均次数作为基线M;
(2)30日每日日志,重复一过程计算每日每小时次数作为参考值;
(3)利用(1)(2)过程产出数据计算标准差,计算出进30日访问行为波动情况C;
(4)M+ -2C作为原始参考基线;
(5)为避免产生不合理取值,取M的150%与50%作为参考区间佐证(4)产生基线;
(6)将(4)(5)计算出的值域取上域及下域较大值确定基线范围;
2. 报警
(1)报警所用基线是针对个人数据,采用过程1(1)计算个人基线;
(2)超出基线值域,则取值域中最近的值作为基线;
3. 小时、单日量异常分值计算
(1)取当前样本次数S 计算(S-X)/X 得出超出基线情况P
(2)针对制定阈值对(1)产生的结果P进行分值计算;
(3)采用分段函数
a) 第一阶段(40%)采用斜率开始较大,后期平缓的对数函数,可快速将分值区分;
b) 第二阶段(40%)拟合线性函数计算分值
c) 第三阶段(20%)拟合指数函数计算分值
(4)将warnScore展示为当前单维异常值
多维打分规则
- 利用lnX函数,将离散率较大的报警频率映射至较小的离散区间
- 将映射后的数值正比例切分分值上限(100分),并根据比例得出每种报警的极限分值;
- 取单人的报警ID及分值top5报警,加权(1/2 N次方),求和,得出单种类报警异常分值
- 将c得出的分值映射至b得出的极限分值
- 循环d,累加后求出最终异常分值
反比例系数分值
a) 取ln(En/ni)为反比例系数,重新计算上一步的b过程
b) 将二者得出的分值以决策树方式取较大分值一组记录;