网络行为

当遇到SSH异常行为时我们通常选择手动或者去日志服务器上被动查看和分析日志，这样往往无法实时发现可以IP的异常行为，下面通过OSSIM平台通过大数据分析智能的筛选出疑似Attack行为。 通过OSSIM报警平台实时观察到网络异常行为报警 图1 网络异常行为可视化 点击气泡图中某天的一条报警聚合信息 图2 查看详细事件 图3 查看疑似异常行为主机的网络信息以及IP地理位置信息 图4 来源： 51CTO 作者： 李晨光 链接： https://blog.51cto.com/chenguang/2457339

1. 引言 挑战与思路 搜索是大众点评App上用户进行信息查找的最大入口，是连接用户和信息的重要纽带。而用户搜索的方式和场景非常多样，并且由于对接业务种类多，流量差异大，为大众点评搜索（下文简称点评搜索）带来了巨大的挑战，具体体现在如下几个方面： 意图多样 ：用户查找的信息类型和方式多样。信息类型包括POI、榜单、UGC、攻略、达人等。以找店为例，查找方式包括按距离、按热度、按菜品和按地理位置等多种方式。例如用户按照品牌进行搜索时，大概率是需要寻找距离最近或者常去的某家分店；但用户搜索菜品时，会对菜品推荐人数更加敏感，而距离因素会弱化。 业务多样 ：不同业务之间，用户的使用频率、选择难度以及业务诉求均不一样。例如家装场景用户使用频次很低，行为非常稀疏，距离因素弱，并且选择周期可能会很长；而美食多为即时消费场景，用户行为数据多，距离敏感。 用户类型多样 ：不同的用户对价格、距离、口味以及偏好的类目之间差异很大；搜索需要能深度挖掘到用户的各种偏好，实现定制化的“千人千面”的搜索。 LBS的搜索 ：相比电商和通用搜索，LBS的升维效应极大地增加了搜索场景的复杂性。例如对于旅游用户和常驻地用户来说，前者在搜索美食的时候可能会更加关心当地的知名特色商户，而对于距离相对不敏感。 上述的各项特性，叠加上时间、空间、场景等维度，使得点评搜索面临比通用搜索引擎更加独特的挑战。而解决这些挑战的方法

序列模型问题 给定一个序列, 预测下一个出现的item. 如字迹预测, 语句单词预测, 行为预测等等. LSTM 网络 Long Short Term 网络，一般就叫做 LSTM ，是一种 RNN 特殊的类型，可以学习长期依赖信息。LSTM 通过刻意的设计来避免长期依赖问题。记住长期的信息在实践中是 LSTM 的默认行为，而非需要付出很大代价才能获得的能力！ LSTM前向传播算法 来源： https://www.cnblogs.com/lee3258/p/11993972.html

序列模型问题 给定一个序列, 预测下一个出现的item. 如字迹预测, 语句单词预测, 行为预测等等. LSTM 网络 Long Short Term 网络，一般就叫做 LSTM ，是一种 RNN 特殊的类型，可以学习长期依赖信息。LSTM 通过刻意的设计来避免长期依赖问题。记住长期的信息在实践中是 LSTM 的默认行为，而非需要付出很大代价才能获得的能力！ LSTM前向传播算法 来源： https://www.cnblogs.com/lee3258/p/11993983.html

交换机 交换机就是一种信号转发设备,它帮助两个网络节点进行信号的传输 路由器 路由器路由器，要了解什么是路由器，首先我们要先明白 何为'路由'？ 路由 ： 是指把数据从一个地方传送到另一个地方的行为和动作 路由器 ：正是执行这种行为动作的机器，它的英文名称为Router,是一种 连接多个网络或网段的网络设备 ， 它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读懂”对方的数据，从而构成一个更大的网络。 来源： https://www.cnblogs.com/unixcs/p/11805139.html

文献 概述 研究内容 数据集 年份 运动物体检测内容 Learning Motion Patterns in Videos 学习视频中的运动模式,建立运动模式网络输入图像光流图输出视频中运动的物体，即使相机是移动的 运动相机检测运动物体 DAVIS 2017 Learning Features by Watching Objects Move 我们在视频中使用无监督的基于模式的分割来获取片段，我们将其用作“伪地真相”来训练一个卷积网络从一个帧中分割对象 运动物体检测 Optical Flow in Mostly Rigid Scenes 自然场景的光流是观察者运动和物体独立运动的结合，现有的算法通常侧重于在纯静态世界或一般无约束场景的光流的假设下恢复运动和结构。此文章从外观和物理约束中对移动对象进行显式的分割，在静态区域，我们利用强大的约束条件，在多个帧上联合估计摄像机的运动和场景的三维结构。https://www.youtube.com/watch?v=N7a3AZEi-c4视频 光流法估计运动物体 KITTI CVPR2017 MODNet: Moving Object Detection Network with Motion and Appearance for Autonomous Driving 无人驾驶中的目标检测。提出了一种新的多任务学习系统，它结合了外观和运动提示

《用户网络行为画像：大数据中的用户网络行为画像分析与内容推荐应用》PDF，235页，带书签目录，文字可以复制。《用户故事地图》中文PDF，255页，带书签目录，文字可以复制。 《用户网络行为画像》PDF+《用户故事地图》PDF 下载: https://pan.baidu.com/s/1EWgxGXi4jzUPfm-iTpZ78g 提取码: 8kim 用户故事地图作为一种有效的需求工具，越来越广泛地应用于开发实践中。本书以用户故事地图为主题，强调以合作沟通的方式来全面理解用户需求，涉及的主题包括怎么以故事地图的方式来讲用户需求，如何分解和优化需求，如果通过团队协同工作的方式来积极吸取经验教训，从中洞察用户的需求，开发真正有价值的、小而美的产品和服务。适合产品经理、用户体验设计师、产品负责人、业务分析师、IT项目经理、敏捷教练和精益教练阅读和参考，也更适合用作企业培训手册，打造高效能的团队协作能力。 数据挖掘的理论知识可以用于挖掘社会媒体数据。社会媒体挖掘用于解决社会媒体数据的问题，涉及网络分析和数据挖掘的基本概念、新问题以及有效的算法。 社会媒体挖掘培养出了一类新的数据科学家（data scientist），这些科学家精通社会学和计算科学理论，能够分析棘手的社会媒体数据，并且熟练地运用已经掌握的技能和理论（社会学和计算科学理论）以及一些计算工具，帮助我们探索广阔的社会媒体世界。

1、网络异常行为 ――流量突发 （1）大数据传输（P2P，迅雷）（2）配置问题（路由环路、交换环路）（3）病毒爆发 （4）操作系统或应用程序错误 （5）网络设备故障 （6）蠕虫传播 （7） 木马/僵尸网络 （8）DOS攻击 （9） 渗透攻击 2、蠕虫传播分析 蠕虫是通过网络主动复制自己传播的程序。 蠕虫传播途径 邮件糯虫――Loveletter 即时通漏洞――MSN/Worm.MM 操作系统或应用网络漏洞――CodeRed,Nimda 行为特点 ： 网络层：大量主机会话，大多是发包，每个会话流量很少。 会话层：会话连接很多，大多是SYN包，大部分没有响应或被拒绝。 总体流量不一定很大，但发包远大于收包数量。 蠕虫传播 ： 3、木马和僵尸网络分析方法 木马 =》道高一尺，魔高一丈 特征 ：可疑域名被频繁解析 僵尸网络 特征 ：利用大量域名《= 有算法计算特征,规避特征库 域名选择：动态域名、成本低、三不管顶级域名 常见的域名：*.cc *.ws *.info *.do 4、Dos攻击检测分析方法 分布式拒绝服务攻击是当前黑客采取的一个重要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式 （1）简单的单机洪水攻击方式。 （2）集中大量僵尸主机发动分布式攻击。(DDOS攻击) 常见攻击方法 ： （1）网络带宽资源耗尽型

如何能牢牢地黏住老用户、吸引新用户、读懂用户的偏好兴趣和喜怒哀乐，这都是对企业发展至关重要甚至关乎生死存亡的问题，解决这个问题的方法就是推荐系统。本书分为上中下三篇，共13章，上篇为用户画像知识工程基础，包括表征建模、画像计算、存储及各种更新维护等管理操作；中篇为推荐系统与用户画像，包括传统协同过滤等经典推荐算法的介绍，以及涉及用户画像的推荐方法；下篇为应用案例分析，包括Netflix、阿里等数据竞赛的经典数据案例，以及在具体工程开发过程的具体案例，分别从系统需求、总体结构、算法设计、运行流程及测试结果等五个方面提供详细案例指导。 《用户网络行为画像：大数据中的用户网络行为画像分析与内容推荐应用》PDF，235页，带书签目录，文字可以复制。《用户故事地图》中文PDF，255页，带书签目录，文字可以复制。 《用户网络行为画像》PDF+《用户故事地图》PDF 下载: https://pan.baidu.com/s/1EWgxGXi4jzUPfm-iTpZ78g 提取码: 8kim 用户故事地图作为一种有效的需求工具，越来越广泛地应用于开发实践中。本书以用户故事地图为主题，强调以合作沟通的方式来全面理解用户需求，涉及的主题包括怎么以故事地图的方式来讲用户需求，如何分解和优化需求，如果通过团队协同工作的方式来积极吸取经验教训，从中洞察用户的需求，开发真正有价值的、小而美的产品和服务