一种工业用交换机用户异常行为检测方法

摘要

本发明公开了一种工业用交换机用户异常行为检测方法，基于多数类分布的处理算法，随机从中选特征指标，重复N次，构造Ｎ个指标子集，训练样本进行投影，得对应的样本，对所有对应元素进行投票，构成少数类样本集合，根据每个对少数类样本集合进行投影，得对应特征指标子空间上的少数类样本和多数类样本，设共有多个类别，对应的参照点集合为，对其余子空间的分类结果进行集成：在每个子空间的分类结果中查看不属于Ｔ的所有数据，若其与参照点同属一类，则将标记，设多数类分布的分析结果，每个类别包含数据数量，返回训练样本子集和特征指标子集合，最后，通过特征指标子集合，分析出工业用交换机用户的异常行为，时间需求减少，同时在准确性评价指标上表现更好。

主权项

一种工业用交换机用户异常行为检测方法，其特征在于，包括如下步骤：1)基于多数类分布的改进EasyEnssemble样本处理算法。输入：训练样本检测特征指标集F_object＝{C₁,C₂,…,C_n}，检测特征指标子空间的特征数量s，特征指标子空间数量N，其中s＜n，N为奇数输出：训练样本子集{X₁,X₂,…,X_M}，检测特征指标子集{F₁,F₂,…,F_N}2)随机从F_object中选取s项特征指标，重复N次，构造N个特征指标子集{F₁,F₂,…,F_N}，对每一个F_i(i∈[1,N])，有F_i＝{C₁,C₂,…,C_s}，其中C₁,C₂,…,C_s∈F_object且各特征指标子集互不相同。3)根据每个F_i(i∈[1,N])对训练样本X进行投影，得对应特征指标子空间上的样本使用CUR方法对{a′₁,a'₂,…,a'_m}进行二分类聚类(取聚类数目K＝2，收缩因子a＝0。3，从两种已标记数据中抽取约10％作为代表点)，计算结果两个类别中对应t＝1的元素数量，令数量多者为少数类结果Minor(F_i)。4)对所有Minor(F_i)(i∈[1,N])中对应t＝0元素进行投票，按简单多数确定其是否为少数类元素，投票结果与训练样本X中t＝1元素合并，构成少数类样本集合设其s₁项数据，则其中或a_j对应的t＝1，或者t＝0但其出现在过半数的Minor(F_i)中，其余元素构成多数类样本集合设其有s₂项数据，则有s₁+s₂＝m。5)根据每个F_i对少数类样本集合Mayor进行投影，得对应特征指标子空间上的少数类样本${\mathrm{Minor}}^{\prime }\left(F_i\right)=\left[\begin{array}{c}{a}_1^{\prime }\\ .\\ .\\ .\\ a_{s1}^{\prime }\end{array}\right]={\left[\begin{array}{cccc}{x}_{1,1}& ...& x_{1,s}& t_1\\ x_{2,1}& ...& x_{2,s}& t_2\\ .& .& .& .\\ .& .& .& .\\ .& .& .& .\\ x_{s1,1}& ...& x_{s1,s}& tm\end{array}\right]}_{m\times (s+1)}---\left(3\right)$计算其中心位置，公式为$\overline{{\mathrm{Minor}}^{\prime }\left(F_i\right)}=(\overline{x_1},\overline{x_2},...,\overline{x_s}),$其中$\overline{x_i}=\frac{\underset{j=1}{\overset{s_1}{\Sigma }}{x}_{j,x}}{s_1}.$6)根据每个F_i对多数类样本集合Mayor进行投影，得对应特征指标子空间上的多数类样本${\mathrm{Mayor}}^{\prime }\left(F_i\right)=\left[\begin{array}{c}{a}_1^{\prime }\\ .\\ .\\ .\\ a_{s1}^{\prime }\end{array}\right]={\left[\begin{array}{cccc}{x}_{1,1}& ...& x_{1,s}& t_1\\ x_{2,1}& ...& x_{2,s}& t_2\\ .& .& .& .\\ .& .& .& .\\ .& .& .& .\\ x_{s1,1}& ...& x_{s1,s}& tm\end{array}\right]}_{m\times (s+1)}---\left(4\right)$对其使用CLIQUE方法进行多类别聚类，设结果中类别数量最多的子空间为Mayor'(F_max)，计算其中每一类别的中心位置，公式为$\overline{{\mathrm{Mayor}}^{\prime }\left(F_{max}\right)}=(\overline{x_1},\overline{x_2},...,\overline{x_s}),$其中$\overline{x_i}=\frac{\underset{j=1}{\overset{s_1}{\Sigma }}{x}_{j,i}}{s_1},$搜索距中心距离最近的数据为投票参照点，距离公式为$d_{a_j^{\prime }}=Dist(\overline{{\mathrm{Minor}}^{\prime }\left(F_i\right)},a_i^{\prime })=\sqrt{{(\overline{x_1}-x_{i,1})}^2+{(\overline{x_2}-x_{i,2})}^2+...+{(\overline{x_{n^{\prime }}}-x_{i,s})}^2}---\left(5\right)$7)设共有t'个类别，对应的参照点集合为T＝{a₁,a₂,…,a_t'}8)对其余子空间的分类结果进行集成：在每个子空间的分类结果中查看不属于T的所有数据，若其与参照点x_t,(x_t∈T)同属一类，则将x_t标记加入该数据(若与多个x_t同属一类则加入多个标记)。完毕后对多数类Mayor所有数据的标记投票，选择支持数最多(若相同则选择T中排列靠前的类别)的标记作为该数据类别，检查结果并去除仅含少数点的类别。9)设多数类分布的分析结果为D₁,D₂,…,D_t，每个类别包含数据数量为Count(D₁),Count(D₂),…,Count(D_t)，确定D₁,D₂,…,D_t的抽样权重$Ration=1-\frac{Count\left(D_i\right)}{\underset{i=1}{\overset{t}{\Sigma }}Ration\left(D_i\right)}---\left(6\right)$于是类别Di的抽样数量为10)计算子样本空间数量构造M个多数类样本子集{X′₁,X'₂,…,X'_M}，每个子集初值为空，依次对多数类元素每个类别D_i进行无放回抽样，取样数量计算为Size(D_i)，若取样过程D_i中数据已被取完，则将该类数据重置为初始状态再继续抽取，共取M次，分别加入每个X'_j(j∈[1,M])中。11)构造M个训练样本子集{X₁,X₂,…,X_M}，其中X_i＝X′_i∪Minor(i∈[1,M])。12)返回训练样本子集{X₁,X₂,…,X_M}和特征指标子集合{F₁,F₂,…,F_N}，最后，通过特征指标子集合，分析出工业用交换机用户的异常行为。