2016毕设任务书(异常检测)

中北大学
毕业设计任务书
学院：计算机与控制工程学院
专业：网络工程
学生姓名：学号：
设计题目：基于数据记录关联分析的网络异常检
测系统
起迄日期: 2015年12月7日~ 2016年6月20日设计地点: 中北大学
指导教师: 宋礼鹏
负责人: 李顺增
发任务书日期: 2015年12月4日
任务书填写要求
1．毕业设计任务书由指导教师根据各课题的具体情况填写，经学生所在学院的负责人审查、负责人签字后生效。

此任务书应在毕业设计开始前一周内填好并发给学生；
2．任务书内容必须用黑墨水笔工整书写或按教务处统一设计的电子文档标准格式（可从教务处网页上下载）打印，不得随便涂改或潦草书写，禁止打印在其它纸上后剪贴；
3．任务书内填写的内容，必须和学生毕业设计完成的情况相一致，若有变更，应当经过所在专业及学院领导审批后方可重新填写；
4．任务书内有关“学院”、“专业”等名称的填写，应写中文全称，不能写数字代码。

学生的“学号”要写全号（如020*******,为10位数），不能只写最后2位或1位数字；
5．有关年月日等日期的填写，应当按照国标GB/T 7408—94《数据元和交换格式、信息交换、日期和时间表示法》规定的要求，一律用阿拉伯数字书写。

如“2004年3月15日”或“2004-03-15”。

毕业设计任务书
毕业设计任务书。

网站异常检测工具的设计计算机毕业论文网站异常检测工具的设计摘要:随着计算机网络规模和应用领域的日益增大,成千上万的网站不断被建立～极大的提高了信息的交流和共享程度。

但目前大部分网站的安全性较低～存在着极大的信息风险和安全隐患～不时遭受到各种各样的攻击～经常出现不正常工作等现象。

主要介绍了一个网站异常检测工具的设计实现～其主要包括网站异常检测模块、定时检测模块、托盘模块等五个功能模块。

该工具使用2008开发～不需要额外安装数据库和WEB服务器～配置简单～方便管理～具有较好的扩展性和可移植性。

关键词:网站异常;检测;返回码The design of a anomaly detection tool for a web site designation ZhiHua FuInformation science and technology school, Zhanjiang normal university, Zhanjiang, 524048 ChinaAbstract: With the size and application of computer networks increasing that tens of thousands of websites have emerged which greatly increased interaction and sharing with information. But most of thesites now are less secure, there are a great deal of information risks and security risks attacking this and that of such sites which occurfrom time to time,meantime,frequently appears abnormal workappearance .This paper mainly introduces the anomaly detection tool for a web site designation and implementation, mainly includes five functional modules: site anomaly detection module, timing detection module, tray module, starting with the system module and abnormal reminding module.This tool uses the 2008 development which does not need extra database installation and the WEB server andit's disposition is simple and facility to manage and which has vigorous scalability and portability.Keywords: Site anomaly detection; Detection,Backing number1目录1 引言 (3)1(1 系统开发背景 (3)1(2 主要采用的技术 (3)2 系统需求分析 (3)2(1 功能需求 ..................................................................... (3)2(2 约束 ..................................................................... .. (4)2(3 系统的逻辑模型 ..................................................................... .........................4 3 系统功能实现 (5)3(1 网站异常检测功能实现 ...........................................53(2 定时检测功能实现 ...............................................93(3 托盘功能实现 ..................................................103(4 随系统启动功能实现 ............................................123(5 网站异常提醒功能实现 ..........................................14 4 总结 ..............................................................15 参考文献 ............................................................15 致谢 ................................................................1621 引言1(1 系统开发背景随着Internet的不断发展，网络安全已经逐渐成为人们越来越关心的问题，异常检测方法也越来越受广大学者和工程人员的重视。

异常检测经典定义异常检测是机器学习领域中的一个重要任务，其目标是识别出数据中的异常模式或离群点。

异常检测在许多领域中都有广泛的应用，如金融欺诈检测、网络入侵检测、设备故障检测等。

以下是一些经典的异常检测方法和定义：1. 基于统计的异常检测方法：统计方法是最常见的异常检测方法之一。

它基于假设数据中的异常样本是少数的，并且与正常样本在统计特性上存在显著差异。

常见的统计方法包括均值-方差方法、Z-score方法和箱线图方法。

2. 基于距离的异常检测方法：距离度量是异常检测中的一个重要概念。

基于距离的方法通过计算样本之间的距离来判断其是否异常。

常见的距离度量方法包括欧氏距离、曼哈顿距离和马氏距离等。

3. 基于聚类的异常检测方法：聚类是一种将相似样本归为一类的方法。

基于聚类的异常检测方法假设异常样本与正常样本在聚类结果中处于孤立的小簇中。

常见的聚类方法包括K-means算法和DBSCAN 算法等。

4. 基于分类的异常检测方法：分类是机器学习中的一个重要任务，可以用于异常检测。

基于分类的方法将异常样本视为一类特殊的样本，通过构建分类模型来判断新样本是否异常。

常见的分类算法包括支持向量机、决策树和随机森林等。

5. 基于密度的异常检测方法：密度是描述数据分布紧密程度的一个重要概念。

基于密度的异常检测方法假设异常样本的密度与正常样本的密度有明显差异。

常见的密度估计方法包括局部离群因子（LOF）和基于密度的聚类算法等。

6. 基于时间序列的异常检测方法：时间序列是一种按时间顺序排列的数据。

基于时间序列的异常检测方法关注数据中的时间相关性和趋势变化，常见的方法包括ARIMA模型和季节性分解方法等。

7. 基于频繁模式的异常检测方法：频繁模式挖掘是一种寻找数据中频繁出现的模式的方法。

基于频繁模式的异常检测方法假设异常样本与正常样本在频繁模式上有显著差异。

常见的频繁模式挖掘方法包括Apriori算法和FP-growth算法等。

异常检测算法的研究与应用第一章异常检测算法的基本概念异常检测是一种监督学习技术，其目的在于识别数据集中与其他标准观察值不匹配的数据点。

异常检测可以应用于许多领域，包括金融交易、医疗保健、制造业和计算机网络安全等。

在异常检测中，我们通常将数据分为两类：正常数据和异常数据。

我们的目标是找到那些与正常数据点最不相似的异常数据点。

异常检测算法可以分为两类：基于统计的算法和基于机器学习的算法。

基于统计的算法通常使用一些分布模型，如高斯分布，来代表正常数据点的分布情况。

如果测试数据点在这些模型下的概率值太低，则将其标记为异常数据点。

基于机器学习的算法通常使用分类模型，如支持向量机和决策树，来识别异常数据点。

第二章基于统计的异常检测算法基于统计的异常检测算法是众所周知的最古老的方法之一。

在该算法中，我们定义一个正常数据点的概率分布，并假设所有数据都是从该分布下生成的。

我们使用正态分布通常来拟合正常的数据分布。

在这种情况下，如果一个观察点在正态分布下的概率小于一个特定的阈值，那么我们就可以将其视为一个异常数据点。

然而，在某些情况下，正态分布可能无法很好地拟合数据分布。

在这种情况下，我们可以寻找其他分布来更好地表示正常数据点分布。

第三章基于机器学习的异常检测算法在基于机器学习的异常检测算法中，我们使用已知的正常和异常数据来训练分类模型。

其中，我们将正常数据作为正类，异常数据作为负类。

然后，在测试时，我们使用该模型来预测新数据点是否为正常或异常数据点。

支持向量机是一个广泛使用的分类器，其基于最大边界超平面的概念。

在这种情况下，我们将数据映射到高维空间，以便使用一个超平面来完全分离正常和异常数据。

支持向量机还可以通过使用核函数来探测比线性更复杂的决策边界。

决策树是另一种流行的分类器，它基于不断分裂数据，使得每个叶子节点都包含相似的数据点。

在决策边界非常复杂的情况下，决策树可能会过度拟合数据，从而导致误报现象的出现。

第四章异常检测算法的应用异常检测算法在许多领域中都有广泛的应用。

异常检测中的特征提取与特征工程方法章节一：引言异常检测是在各种应用领域中具有重要意义的任务，如网络安全、金融风控、工业制造等。

特征提取和特征工程是异常检测中的关键环节，通过从原始数据中提取有表征能力的特征，可以有效地帮助异常检测算法发现异常样本。

本文将重点介绍异常检测中的特征提取与特征工程方法。

章节二：异常检测概述异常检测是通过在数据集中寻找与正常样本差异较大的样本，来识别出异常行为或异常事件的过程。

它基于对数据进行建模，并使用已知的模型或算法来检测异常。

在异常检测中，数据的特征提取是一个非常重要的步骤，它可以将原始数据转换为有用的特征向量，帮助我们更好地理解和分析数据。

章节三：特征提取方法3.1 统计特征提取方法统计特征提取是最常用的一种特征提取方法。

它通过计算数据集的统计量，如均值、方差、最小值、最大值等，来反映数据的一些基本特征。

这些统计特征可以描述数据集的分布情况、稳定性等，从而有助于异常检测算法发现异常样本。

3.2 频域特征提取方法频域特征提取方法是基于信号处理的思想，将原始数据从时域转换到频域，并提取一些与频率分量相关的特征。

常用的频域特征提取方法包括傅里叶变换、小波变换等。

通过提取频域特征，我们可以发现数据中的周期性变化、震荡等特征，从而更好地检测异常样本。

3.3 时序特征提取方法时序特征提取方法是针对时间序列数据的特征提取方法，它考虑了数据在时间上的相关性和顺序性。

常用的时序特征提取方法包括自回归系数、滑动窗口、时间差分等。

通过提取时序特征，我们可以捕捉数据的动态变化情况，进而提高异常检测的准确性。

3.4 相关性特征提取方法相关性特征提取方法是通过计算不同数据之间的相关系数，来提取数据之间的相关程度。

常用的相关性特征提取方法包括皮尔逊相关系数、Spearman相关系数等。

通过提取相关性特征，我们可以发现数据之间的依赖关系和相互影响，从而更好地发现异常样本。

章节四：特征工程方法4.1 特征缩放特征缩放是常用的特征工程方法之一，它将不同特征的取值范围缩放到相同的区间内，以消除特征之间的量纲差异。

异常检测技术的研究与应用随着信息技术的不断发展，人们已经进入了一个海量数据时代。

面对如此庞杂的数据，如何有效地将其中有用的信息提取出来，成为了数据分析领域的热门话题之一。

这里，我们要介绍的技术就是异常检测技术。

一、异常检测技术介绍异常检测技术，也称为离群点检测，顾名思义，就是识别数据中与众不同（异常）的点。

具体来说，它就是根据已有的数据点，对任意一条新数据进行判断，看它是否能与已有数据点一致。

如果不能一致，就认为该条数据是异常数据。

异常检测技术的发展历经了很长时间，并涌现出了许多技术方案，比如基于统计模型、机器学习模型、聚类模型等，以及它们的各种变体。

二、异常检测技术的研究1. 基于统计模型的异常检测技术基于统计模型的异常检测技术是此类技术中最早的一类，它主要通过统计的方法来判断一个数据是否异常。

比如我们可以通过均值和方差来计算数据点的离散程度，然后以此来判断一个数据是否异常。

基于统计模型的异常检测技术最主要的特点是计算简单、可解释性好，但是针对复杂的数据分布，例如多峰分布或非正态分布等，效果容易受到限制。

2. 基于聚类的异常检测技术基于聚类的异常检测技术是较为常见的一类方法，它主要通过将数据点划分到多个类别（聚类），然后计算每个类别的密度或离群得分，来判断每个数据点是否异常。

这种方法的优点是可以处理多维度的数据，具有较好的鲁棒性和可扩展性，但是对于经常变化的数据，需要频繁地进行聚类，算法的耗时就会成为一个大问题。

3. 基于机器学习的异常检测技术基于机器学习的异常检测技术是当前比较热门的一类方法，它主要通过构建数据的一种模型来判断新数据点是否异常。

比如我们可以利用支持向量机（SVM）、深度学习等方法，从已有数据中提取特定的规律或特征，并用这些特征来训练模型，判断新数据是否异常。

这种方法的优点是可以处理高维度、非线性、非噪音数据，并且可以在不同领域进行迁移，可以适应变化的数据，但是需要大量的数据，才能训练出好的模型。

CLEMENTINE 12----ANOMALYANOMALY异常检测一种探索性的方法，常用于发现资料中的离群值或其他异常现象不须包含异常现象的训练资料集做为起点，其目的主要在寻找实质上与其他物件不同的异常值，该技术本身不受异常值的影响通过判断离同组其他记录的距离远近来判断异常点，离组中点越远的记录越有可能是异常的异常检测主要寻找在实质与其他物件不同的异常值，该技术本身不受异常值来源的影响。

STEP-1 MODELING—使训练资料格式化；—若不处理缺失值，则在任意变数上有缺失值的样本将被剔除；—处理缺失值:连续变数以均值替代缺失值，分类变数把缺失值看成一个有效组；—two-step群集，用于确定每个样本所在的类，根据输入变数的相似性；—对于连续变数，计算每类的平均值和标准差;对于分类变数，计算每类的次数分布表。

STEP-2 SCORING对每个样本计算variable deviation index(VDI):度量每个样本点到其类标准(c l u s t e r n o r m)的距离.对连续变数则类标准为样本平均值，分类变数则为众数。

计算每个样本的Group Deviation Index (GDI)，即对数似然对所有样本按异常指数排序，异常指数越大越有可能是异常点。

一般认为，异常指数小于1或小于1.5，则不是异常点；异常指数大于2，则为异常点。

对每个异常样本，按其V D I 降幂排序，对应的前k 个变数是该样本被视为异常值的主要原因。

STEP-3 REASONINGANOMALY NODE&ANOMALY FIELDSANOMALY FIELDSANOMALYNODEU s e c u s t o ms e t t i n g:I n p u t s:用以建模之变数训练资料集中异常点占的比例(P e r c e n t a g e o f m o s t a n o m a l o u s r e c o r d s i nt h e t r a i n i n g d a t a):注意这个比例是为了确定临界值,实际异常点比例可能未必与指定值相等,而是因数据而异训练集中异常点的数目(N u m b e r o f m o s ta n o m a l o u s r e c o r d s i nt h e t r a i n i n g d a t a)；同样,指定的异常点数目也是为了确定临界值,实际的异常点个数因数据而异。