一般現有的內部威脅檢測演算法都會被轉化為異常檢測來做。
內部威脅檢測領域除了異常檢測之外。
識別攻擊動機以及區分異常和攻擊也是重點。
內部威脅檢測主要是基於使用者的網路、檔案、裝置、郵件等審計日誌構建正常使用者行為模型,之後使用包括圖、機器學習、整合學習等方法對當前行為進行異常檢測。
•基於機器學習的異常檢測方法
使用包括svm、樸素貝葉斯等方法對使用者行為模型進行分類。
•基於圖的異常檢測方法
最初基於行為樹或行為圖對使用者行為進行刻畫,並檢測圖的輸入、修改、刪除或異常分支來檢測異常行為。之後將攻擊圖與攻擊概率以及心理要素結合來識別威脅行為。基於圖的多領域知識結合的異常檢測演算法。
•基於整合學習的異常檢測方法
設計整合機器學習檢測演算法,對包含多個異常特徵或多個類別事件進行檢測。
•基於場景的異常檢測方法
• 設計 各類威脅場景,定義場景中預檢測的異常指標以及行為特徵等,之後設計演算法對威脅場景進行 檢測。
•基於行為畫像的異常檢測
• 根據使用者的系統、網路行為審計資料構建使用者行為完整畫像,並根據使用者行為畫像偏離正常使用者及自身歷史的程度來檢測異常。
做到乙個完整的使用者行為畫像是研究趨勢,可以將異常進行分層從而對異常進行比較完整的刻畫,分別提取特徵(初級異常特徵、基於閾值的特徵、基於比較的特徵等)。
實時檢測攻擊行為 9種IDS入侵檢測系統方法
入侵檢測系統,英文簡寫為ids,顧名思義,它是用來實時檢測攻擊行為以及報告攻擊的。如果把防火牆比作守衛網路大門的門衛的話,那麼入侵檢測系統 ids 就是可以主動尋找罪犯的巡警。因而尋求突破ids的技術對漏洞掃瞄 指令碼注入 url攻擊等有著非凡的意義,同時也是為了使ids進一步趨向完善。snort是...
機器學習(四) 異常檢測
機器學習中的異常檢測分為兩種,一種是無監督的異常檢測,另一種為有監督的異常檢測。無監督的異常檢測即在沒有標籤的情況下,演算法從一堆資料點中,挑選出其認為不正常的資料點。而有監督的異常檢測為在對訓練集提前設定好標籤的前提下,演算法對其進行劃分。異常檢測演算法可以應用於發動機的挑選中,假設乙個廠家生產了...
機器學習之異常檢測
異常檢測 anomaly detection 根據輸入資料,對不符合預期模式的資料進行識別 概率密度 描述隨機變數在某個確定的取值點附近的可能性的函式 當資料維度高於一維時 同理,根據資料點概率,進行判斷,如果p x 該點為異常點 資料分布統計 plt.hist x1,bins 100 計算資料均值...