使用机器学习异常检测攻击行为

简介

一般现有的内部威胁检测算法都会被转化为异常检测来做。

内部威胁检测领域除了异常检测之外。

识别攻击动机以及区分异常和攻击也是重点。

异常检测算法

内部威胁检测主要是基于用户的网络、文件、设备、邮件等审计日志构建正常用户行为模型,之后使用包括图、机器学习、集成学习等方法对当前行为进行异常检测。

• 基于机器学习的异常检测方法

使用包括SVM、朴素贝叶斯等方法对用户行为模型进行分类。

• 基于图的异常检测方法

最初基于行为树或行为图对用户行为进行刻画,并检测图的输入、修改、删除或异常分支来检测异常行为。之后将攻击图与攻击概率以及心理要素结合来识别威胁行为。基于图的多领域知识结合的异常检测算法。

• 基于集成学习的异常检测 方法

设计集成机器学习检测算法,对包含多个异常特征或多个类别事件进行检测。

• 基于场景的异常检测方法

• 设计 各类威胁场景,定义场景中预检测的异常指标以及行为特征等,之后设计算法对威胁场景进行 检测。

• 基于行为画像的 异常 检测

• 根据用户的系统、网络行为审计数据构建用户行为完整画像,并根据用户行为画像偏离正常用户及自身历史的程度来检测异常。

做到一个完整的用户行为画像是研究趋势,可以将异常进行分层从而对异常进行比较完整的刻画,分别提取特征(初级异常特征、基于阈值的特征、基于比较的特征等)。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值