一种应对APT攻击的安全架构:异常发现

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现.

基于数据流方法的大规模网络异常发现

随着网络规模和速度的增加,大规模网络异常发现要求检测算法能够在无保留状态或者少保留状态下对G比特级的海量网络业务量数据进行实时在线分析。针对在高速骨干网上进行大规模网络异常发现的特点和要求,提出了一种基于数据流的大规模网络异常发现的方法,第一次将数据流模型用于大规模网络的异常发现。主要包括以下创新点:设计了一种面向异常发现的网络流量概要数据结构和突发高频事件检测算法;提出了一种基于安全监测策略定制的预查询方法来进行多数据流的关联监测并且对数据流查询进行了优化;在真实数据分析的基础上,对网络业务量进行了数据约减,使得监测部分特殊类型的数据流能最大程度地获得整体网络业务量的变化特征以提高异常发现的效率。通过真实网络环境下的实验和性能评价验证了数据流方法的有效性。

基于回归的多层数据立方体中的异常发现算法

为了快速有效地挖掘数据立方体中的数据,提出了阈值异常和区间异常两种基于回归分析的异常发现方法,根据回归系数帮助用户快速地找出数据单元内的异常数据。阈值异常方法通过比较数据的规格化残差和用户给定的偏差阈值来发现异常数据。区间异常方法通过比较数据点的残差绝对值和置信区间来发现异常数据。最后,对这些算法的性能进行了分析,理论分析和实验结果验证了这两种算法的有效性。

一种基于动态感知模型的异常发现方法

针对视频中异常目标行为特征的有效表示问题,提出一种基于动态感知模型的异常目标发现方法。对视频场景中的光滑、纹理、边沿区域建立动态感知模型,得到运动注意块作为候选检测位置,减少了对非感兴趣区域的冗余计算,再提取运动注意块的时空HNF特征使用稀疏编码算法训练生成字典。根据样本关于字典的重构误差是否超过预设阈值作为个体异常发现的判别标准。实验结果与测试数据库Ground Truth比较说明了该方法的有效性和实用性,且易于实现。

基于临床数据挖掘的医疗过程异常发现方法及应用

为了如何充分挖掘数据本身的信息来合理抽象医疗过程,发现可解释的、定位更准确的医疗异常,在考虑医疗数据的语义、次序和频率信息的基础上,提出一种改进的医疗过程异常发现方案。假设大多数医生按正常程序诊疗,只有少数异常。首先利用LDA主题模型对诊疗活动进行主题聚类,得到患者每天的诊疗主题分布;然后,基于此分布利用K-means++对天进行聚类,以聚类结果标识患者的每一天;最后,以天为单位利用IMi挖掘到的过程模型作为大多数患者遵循的诊疗过程,通过基于对齐的合规性检查发现异常行为的位置和异常程度。实验结果表明,所提方案能够得到可解释的、定位更准确的医疗异常,可以辅助医保审查。

大数据下的销售异常发现与定位模型研究

当今时代传统零售业竞争异常激烈且数据量庞大,因此在大数据平台下挖掘异常并让其辅助决策成为企业提高竞争力的有效手段.目前大多数离群点检测方法仅能对具有可比性的数据进行异常挖掘,但销售数据却受到季节性、节假日等因素影响而失去可比性,且管理层的需求并不仅仅是挖掘异常,其最终目的是定位异常、实现责任到人等实用意义,从而针对销售数据的异常发现与定位方法成为一大难题.为此提出了大数据下的销售数据的异常发现与定位模型.该模型利用权重的思想使数据具有可比性,从不同角度的数据进行离群点检测后通过建立概率模型实现异常定位.由于权重思想及独有的异常定位两个特征,该模型在实际应用于步步高商业连锁股份有限公司时获得了相关专业人员的高度认可.

动态信息网络中的角色演化异常及其发现

现实世界中的社交网络、合作者网络、邮件网络等诸多复杂系统均可抽象为动态信息网络。动态信息网络具有时序、复杂、多变的特征,分析其网络结构随时间演化的过程,尤其演化过程中出现的异常现象,对理解复杂系统的行为倾向于演化趋势具有重要意义。致力于动态信息网络中异常结构演化过程的发现,通过角色定义刻画网络的结构特征,提出了角色演化异常(role evolving outliers,REOutliers)的概念,并给出了基于模式挖掘的角色演化异常发现算法(pattern-based role evolving outliers detection,P-REOD)。该算法挖掘整个网络中角色随时间演化的频繁模式,通过比较节点到频繁模式的相异程度进行REOutliers发现。实验表明,该算法能够进行有效的角色演化异常发现。

基于统计的网络流量模型及异常流量发现

基于从网络流量的大小和流量曲线的形状两个方面的研究,建立了一种基于统计的网络流量模型,提出了计算正常情况网络流量曲线的算法。通过对比正常网络流量曲线和异常网络流量曲线之间的差距,实现了对异常数据流的自动检测。实验表明,该模型不仅可以模拟与网络实测数据相似的网络流量,而且具有一定的异常流量发现能力。

基于信息熵理论的教育网异常流量发现

为提高异常流量发现的效率,解决传统流量分析方法效率较低、异常检测能力弱的问题,对骨干路由器的netflow流数据采用基于多个信息熵的联合指标并结合基于滑动窗口的熵流突发检测算法来实现网络异常的发现;并利用各指标熵值的相关度分析将指标分类,根据已知的异常类型对每一类指标的异常检测范围作出总结。通过实验成功剔除了冗余度高的指标,将网络异常流量分为了能准确地被联合指标识别出的四种类型。实验证明,该异常检测方案实用性强,较传统的流量分析方法在异常类型的判断上更加准确和有效。

大数据环境下离散制造车间异常事件发现方法

针对大数据环境下离散制造企业车间生产过程中生产异常难以有效管控的问题,先从理论上研究建立车间异常事件预警模型的合理性和实用性。然后从技术实现角度给出异常触发事件的数据来源及其计算方法。接着综合时间序列和因果关系两个维度,建立基于时序序列上多决策树的车间异常事件预警模型,保证了预测结果的准确性和可靠性。最后采用某型号燃气轮机转子的生产过程数据验证模型的有效性。

46,XX,15p+,22p+异常核型2例

患者1,女,1岁,表型正常,追踪至今无异常发现。曾于孕23周因唐氏筛查高风险行羊水染色体检查,诊断46,XX,15p＋,22p＋（图1）。患者2系患儿母亲,28岁,46,XX,15p＋,22p＋（图2）。母亲表型正常,先前有3次早孕期人工流产史,

因肿瘤住院，查体发现房扑

病历摘要 临床资料患者，男，72岁。因食管癌住院。既往无心脏病史。体格检查：心血管系统无异常发现。

基于隐马尔可夫模型的虚拟机性能异常预测

基于隐马尔可夫模型(Hidden markov model,简称HMM)的虚拟机性能,提出了一种虚拟机性能异常的预测方法。该方法的核心思想是基于业务系统的运行时资源消耗具有一定的规律性。通过该规律性采用隐马尔可夫模型刻画当前业务系统的正确状态,并根据业务系统预测结果是否偏移正常状态来判定业务系统是否出现性能异常。基于TPC-W的试验结果显示,该方法具有快速发现和定位性能异常的能力,且其运行时开销较小。

吃药引出精神异常

女青年程某因持续发烧确诊为伤寒病,服用依诺沙星治疗病情好转。但3天后觉得头部隐痛、头晕、多梦,继而精神抑郁、烦闷易怒,感情骤然脆弱,易激动,好哭泣,头痛得更厉害。进行B超、脑电图甚至头部CT检查,都未见异常发现。然而药物一停,所有症状很快减轻。医生征得本人和家属的同意后,再给以原药做激发试验,刚用了两次就出现了上述症状,肯定为服药所致的精神反应。此类事例不胜枚举。若为具有镇静、催眠、抗惊厥或抗癫痫作用的氯丙嗪、氯哌啶醇、安定。

多维时间序列异常检测算法综述

随着信息化技术不断提高,时序数据规模呈指数级增长,为时间序列异常检测算法发展提供了契机和挑战,也使其逐步成为数据分析领域新增的研究热点。然而,这一方面的研究仍处于初步阶段,研究工作的系统性不强。为此,通过整理和分析国内外文献,将多维时间序列异常检测的研究内容按照逻辑顺序分为"维数约简""时间序列模式表示"和"异常模式发现"三个方面,并对其主流算法进行梳理和归纳,以全面展现当前异常检测的研究现状和特点。在此基础上,还指出了多维时间序列异常检测算法的研究难点和研究趋势,以期对相关理论和应用研究提供有益的参考。

在线社会网络的动态社区发现及演化

在线社会网络研究中,动态隐含社区或群组结构的发现及演化探测是一个十分关键的核心问题,它对于在中观(Mesoscopic)视图观察在线社会网络隐结构特征、预测演化趋势、掌控网络势态、发现网络异常群体事件等具有重要意义.文中首先分析了动态社区发现和社区演化研究的关系,给出动态社区研究中关键挑战问题;然后根据问题背景的不同,从"同构社会网络的动态社区研究"和"异构社会网络的动态社区研究"两个方面进行国内外相关研究现状的阐述和分析,其中,在"同构社会网络的动态社区研究"中,根据评价方法的差异和关注问题的不同将当前相关研究分为基于时空独立评价、时空集成评价、统一评价和增量式算法4大类进行综述,同时对动态社区发现的重要应用——异常群体发现的研究进行介绍;最后对在线社会网络动态社区领域的难点和发展趋势进行分析和展望.

基于NetFlow的异常流量智能检测引擎设计

针对网络攻击的特点,利用动态网络行为的学习和实时偏差值检测技术,设计了基于NetFlow流量分析发现网络异常流量的智能检测引擎。

基于信息挖掘的潜在异常行为可视分析

公司在临近发布重大新产品的日期时,对内部发生的一切异常现象都非常敏感。从数据的角度出发,对某公司一个月的监控数据进行分析,挖掘出潜在的异常及风险。首先,从多个方面对员工进行部门划分,确定部门领导以及公司的老板,并从其他结果中侧面证实划分的有效性;然后,从打卡时间、上网浏览模式、收发邮件数量、收发邮件时间段以及上网高峰时间段等多个方面总结员工的行为模式;最后,从打卡系统、端口连接的成功率、流量上下行高峰、服务器以及数据库预警等方面去分析该公司可能存在的异常及面临风险。

“没有发现问题”的问题

医生为病人诊病,经过一番望、触、叩、听后,倘若当时没有查出什么毛病,便告知病人“没有发现问题”。于是在诊断书上写上“××无异常发现”。医生在未查出异常情况时不言“正常”,为何偏要说“无异常发现”呢?请教一位有经验的医生得知:这样做,一来是为了不把话说绝,以防没有检查清楚或以后出现问题,便可免去武断之嫌,给自己留条“退路”。二来这样表述比较妥贴,因为经检查确无异常发现,这也符合实际。可未发现不等于没有异常,也不是说没有问题。