2019年04月_Rnan-prince

转载异常行为检测方法

1、统计学方法偏离训练集统计分布的任何东西都被认为是异常。最简单的统计学方法就是控制图。计算出训练集每个特性的平均和标准偏差，然后围绕平均值定义出阈值：k*标准偏差（k为通常在1.5到3.0之间的任意系数，取决于既定的算法保守程度）。在部署中正向或负向超出阈值的点就是异常事件的可疑备选。这种方法很好理解，也便于实现，而且执行很快，适用于静态及时间序列数据。然而，要检测更微妙的异常的话，...

2019-04-29 14:50:17 9402

原创认识特洛伊木马

1、概念木马，也称特洛伊木马，英文名称为Trojan Horse，是借自“木马屠城记”中那只木马的名字。特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷，后世称这只木马为“特洛伊木马”。现今计算机术语借用其名，意思是“一经进入，后患无...

2019-04-27 15:25:12 2540

原创沙箱理解及无能为力之处

1、概念在计算机安全领域，沙盒（英语：sandbox，又译为沙箱）是一种安全机制，为运行中的程序提供的隔离环境。沙盒通常严格控制其中的程序所能访问的资源，比如，沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中，网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制。从这个角度来说，沙盒属于虚拟化的一种。沙盒中的所有改动对操作系统不会造成任何损失。通常，这种技术被计算机技术人...

2019-04-27 11:24:59 1672

原创孤立森林(Isolation Forest)

著名的，人手一本的西瓜书(就是这本)的作者周志华老师,于2008年在第八届IEEE数据挖掘国际会议上提出孤立森林(Isolation Forest)算法,先简单解释一下什么是孤立森林：「假设我们用一个随机超平面来切割（split）数据空间（data space）, 切一次可以生成两个子空间（想象拿刀切蛋糕一分为二）。之后我们再继续用一个随机超平面来切割每个子空间，循环下去，直到每子空间里...

2019-04-20 20:46:59 6635 1

转载几种常见的离群点检验方法

在一组平行测定中，若有个别数据与平均值差别较大，则把此数据视为可疑值，也称离群值。如果统计学上认为应该舍弃的数据留用了，势必会影响其平均值的可靠性。相反，本应该留用的数据被舍弃，虽然精密度提高，但却夸大了平均值的可靠性。1 离群值检验方法简介设有一组正态样本的观测值，按其大小顺序排列为x1，x2，x3，……，xn。其中最小值x1或最大值xn为离群值(xout)。对于离群值的统计检验，大...

2019-04-19 10:50:18 59367 2

原创 Grubbs Test

目的：检测异常值Grubbs的检验（Grubbs 1969和Stefansky 1972）用于检测单变量数据集中的单个异常值，该单变量数据集遵循近似正态分布。如果您怀疑可能存在多个异常值，建议您使用Tietjen-Moore测试或广义极端学生化偏差测试而不是Grubbs测试。格拉布斯的测试也称为最大标准残差测试。实际上，Grubbs' Test可理解为检验最大值、最小值偏离均值的程度...

2019-04-19 09:10:26 7718 1

原创时间序列异常检测算法S-H-ESD

1. 基于统计的异常检测Grubbs' TestGrubbs' Test为一种假设检验的方法，常被用来检验服从正太分布的单变量数据集（univariate data set）YY中的单个异常值。若有异常值，则其必为数据集中的最大值或最小值。原假设与备择假设如下：H0：数据集中没有异常值H1：数据集中有一个异常值Grubbs' Test检验假设的所用到的检验统计量（test s...

2019-04-09 09:38:42 5471

翻译 DDoS攻击流量检测方法

DDoS攻击流量检测方法检测分类1）误用检测误用检测主要是根据已知的攻击特征直接检测入侵行为。首先对异常信息源建模分析提取特征向量，根据特征设计针对性的特征检测算法，若新数据样本检测出相应的特征值，则发布预警或进行反应。优点:特异性，检测速度快，误报率低，能迅速发现已知的安全威胁。缺点:需要人为更新特征库，提取特征码，而攻击者可以针对某一特征码进行绕过。2）异常...

2019-04-09 09:28:54 6234 1

Rnan_prince的博客