使用机器学习异常检测攻击行为

已于 2022-07-14 17:42:31 修改
阅读量1.3k 收藏 11
点赞数 1
分类专栏: 统计学与机器学习 文章标签: 机器学习 网络安全
于 2020-12-13 17:11:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/109207662
版权

简介

一般现有的内部威胁检测算法都会被转化为异常检测来做。

内部威胁检测领域除了异常检测之外。

识别攻击动机以及区分异常和攻击也是重点。

异常检测算法

内部威胁检测主要是基于用户的网络、文件、设备、邮件等审计日志构建正常用户行为模型,之后使用包括图、机器学习、集成学习等方法对当前行为进行异常检测。

• 基于机器学习的异常检测方法

使用包括SVM、朴素贝叶斯等方法对用户行为模型进行分类。

• 基于图的异常检测方法

最初基于行为树或行为图对用户行为进行刻画,并检测图的输入、修改、删除或异常分支来检测异常行为。之后将攻击图与攻击概率以及心理要素结合来识别威胁行为。基于图的多领域知识结合的异常检测算法。

• 基于集成学习的异常检测 方法

设计集成机器学习检测算法,对包含多个异常特征或多个类别事件进行检测。

• 基于场景的异常检测方法

• 设计 各类威胁场景,定义场景中预检测的异常指标以及行为特征等,之后设计算法对威胁场景进行 检测。

• 基于行为画像的 异常 检测

• 根据用户的系统、网络行为审计数据构建用户行为完整画像,并根据用户行为画像偏离正常用户及自身历史的程度来检测异常。

做到一个完整的用户行为画像是研究趋势,可以将异常进行分层从而对异常进行比较完整的刻画,分别提取特征(初级异常特征、基于阈值的特征、基于比较的特征等)。

securitysun
关注
专栏目录
基于机器学习的恶意行为自动化分析
01-09
恶意程序是计算机系统中最主要的安全威胁,其变种的数量和多样性使得传统的安全防护不再可靠,互联网上数以万计的机器正受到恶意软件的侵害,这之中最常见的当属病毒、蠕虫和木马。同时,恶意程序采用的混淆和多态技术给文件层面的检测造成了很大阻碍,基于二进制的程序动态分析技术给描述和防御恶意威胁提供了一种新的手段.本文基于机器学习提出了一套恶意行为自动化分析的框架,此框架能根据相似的行为特征发现新的恶意程序类型(聚类),并将未知的恶意样本指派到已知的类型中(分类)。在聚类和分类的基础上,我们接着又提出了一种增量分析的方法,它使得借助行为检测处理每天新增的大量样本成为可能,在保证准确识别新变种的同时,增量分析法能很大程度缩短目前通用方法的运行时间。
如何通过行为分析识别网络流量中的异常模式
图幻未来的博客
05-03 623
行为分析是一种通过对网络流量进行实时监控和分析,提取网络行为的特征和规律,从而发现异常行为和潜在安全威胁的技术。行为分析的核心思想是将网络流量视为一种行为数据,通过对这些数据的挖掘和分析,提取出网络行为的特点和规律,进而发现不符合这些特点和规律的异常行为。通过行为分析识别网络流量中的异常模式是网络安全领域的重要研究方向。本文从网络安全分析的角度出发,探讨了如何通过行为分析识别网络流量中的异常模式,并提出了相应的解决方案。
机器学习入门之异常检测
小菜羊的博客
08-08 731
本文为吴恩达机器学习课程的笔记系列第七篇,主要学习异常检测算法。
机器学习异常检测
qq_43412251的博客
10-30 610
异常检测 动机 比如在网站用户数据中:我们可以选取用户多久登录一次,访问过的页面,在论坛发布的帖子数量,甚至是打字速度这些指标作为特征,根据已有的训练集来建立概率模型,对于给定新点的数据做密度估计,来判断这个数据是否正常。 高斯分布 简单示意图: 对于图像理解的重要特征是:μ代表波峰的位置,σ代表波峰的宽度 算法 对于多维度的变量,我们的流程是 选取我们认为可能满足正态分布的变量 求出这些变量的μ,σ 将2中求出的值代入,求出新测试点每一维变量的相对概率,最后做累乘 构造系统 分配数据: 例如:
机器学习 --- 异常检测
micklongen的专栏
10-23 288
机器学习 - 异常检测 概述 目标 判断预测的数据,跟训练数据的相似程度 应用场景 金融欺诈行为:正常刷卡行为 VS 盗刷 网络入侵检测 癌细胞检测 二分类模型 困难 异常数据无法穷尽 异常数据很少 有标签数据 流程 输入 输出 类别 可信度(可能是 0 ~ 1 的浮点数) 阈值设置 通过设置阈值,判断数据是否异常阈值的设定基于实际情况而定 算法 神经网络 算法评估 验证数据:数据,以及标注该数据是否正常(不是具体的分类) 优化点 通过对抗神经网络
基于机器学习的攻击检测(一)
jliang3的博客
03-08 5677
基于机器学习的攻击检测(一) ReLuQ 我们经历了admin/123456随便入的年代,经历了sql注入,XSS满天飞的年代,经历了反序列化,RCE批量刷的年代,直至今日,这些安全风险仍然存在并威胁着大量的网站系统。 ------写在文前 世上本没有安全,黑的人多了,也就有安全了 ------写在文前之二 在安全领域,攻防对抗时永恒不变的话题,从古至今的密码加密与解密,网站的攻击...
巧妙使用机器学习的方法来检测IOT设备中的DDOS攻击
Candour_0的博客
02-18 591
巧妙使用机器学习的方法来检测IOT设备中的DDOS攻击
Web攻击检测机器学习深度实践
Coisini的博客
06-25 3596
一、概述 1.1 传统WAF的痛点 传统的WAF,依赖规则和黑白名单的方式来进行Web攻击检测。该方式过分依赖安全人员的知识广度,针对未知攻击类型无可奈何;另一方面即使是已知的攻击类型,由于正则表达式天生的局限性,以及shell、php等语言极其灵活的语法,理论上就是可以绕过,因此误拦和漏拦是天生存在的;而提高正则准确性的代价就是添加更多精细化正则,由此陷入一个永无止境打补丁的漩涡,拖累了整体性能...
机器学习(四):异常检测
Clannad_niu的博客
05-30 551
0x01 异常检测思想 机器学习中的异常检测分为两种,一种是无监督的异常检测,另一种为有监督的异常检测。无监督的异常检测即在没有标签的情况下,算法从一堆数据点中,挑选出其认为不正常的数据点。而有监督的异常检测为在对训练集提前设置好标签的前提下,算法对其进行划分。 异常检测算法可以应用于发动机的挑选中,假设一个厂家生产了一系列发动机,然后根据其不同的特征值将每个发动机画在坐...
基于机器学习的用户实体行为分析技术在账号异常检测中的应用.pdf
09-24
基于机器学习的用户实体行为分析技术在账号异常检测中的应用 随着企业业务的不断扩增和电子化发展,企业自身数据和负载数据都开始暴增。然而,作为企业核心资产之一的内部数据,却面临着日益严峻的安全威胁。越来越...
基于机器学习检测IPV4&IPV6网络环境中异常攻击行为源码+项目说明.zip
01-19
1、该资源内项目代码经过严格调试,下载即用确保可以运行! 2、该资源适合计算机相关专业(如计科、人工智能、大数据、数学、电子信息等)正在做...基于机器学习检测IPV4&IPV6网络环境中异常攻击行为源码+项目说明.zip
基于机器学习检测IPV4&IPV6网络环境中异常攻击行为完整源码+说明.zip
03-30
2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也...
基于机器学习的web攻击检测系统
最新发布
05-08
机器学习模型训练:使用处理后的数据集来训练机器学习模型。这些模型可以是分类器、聚类器、异常检测器等,用于识别恶意流量和攻击模式。在训练过程中,模型会学习正常流量和恶意流量的特征,并不断优化自己的参数以...
基于机器学习的web异常检测
09-27
### 基于机器学习的Web异常检测技术详解 #### 技术背景及挑战 随着互联网技术的迅猛发展,Web应用程序已经成为企业和组织对外提供服务的主要方式之一。然而,这也使得Web应用程序成为黑客攻击的主要目标。传统的...
基于机器学习的攻击检测(二)下-lstm实现
jliang3的博客
03-10 2313
基于机器学习的攻击检测(二)下-lstm实现 ReLuQ 交叉学科就像交叉特征一样有趣 1 人赞同了该文章 上一篇我们讲了一下lstm的简单结构以及正向传播的过程,那么这一期回归我们的目标,使用lstm来检测攻击 我们知道,循环神经网络的一大优势就是他能够保存一些结构化数据的序列信息并对对其作较好的理解,那么对于我们的攻击,是否也可以这样做呢? 看看我们在:基于机器学习的攻击检测(...
吴恩达机器学习-10-异常检测
尤尔小屋
05-22 212
公众号:尤而小屋作者:Peter编辑:Peter 吴恩达机器学习-10-异常检测 “黑中有白,白中有黑,没有绝对的白,也没有绝对的黑,黑可衬白,白可映黑。万物皆可转换” 在本周中主要讲解了机器学习中的异常检测问题,主要包含: 问题产生 高斯分布 算法使用场景 八种无监督异常检测技术 异常检测和监督学习对比 特征选择 异常检测Novelty Detection 异常是相对于其他观测数据而言有明显偏离的,以至于怀疑它与正常点不属于同一个数据分布。 异常检测是一种用于识别不符合预期行为异常模式.
Web攻击检测与分类识别:机器学习算法
学-> 思->用
08-30 1063
某业务平台平均每月捕获到Web攻击数量超过2亿,涉及常见注入攻击,代码执行等类型。传统威胁检测手段通过分析已知攻击特征进行规则匹配,无法检测未知漏洞或攻击手法。如何快速准确地识别未知威胁攻击并且将不同攻击正确分类,对提升Web攻击检测能力至关重要。利用机器学习和深度学习技术对攻击报文进行识别和分类已经成为解决该问题的创新思路,有利于推动AI技术在威胁检测分析场景的研究与应用。...
KeeFarce工具抓取Keepass密码攻击复现及其行为监测
weixin_60274950的博客
06-08 969
KeeFarce允许从内存中提取KeePass 2.x密码数据库信息。数据库内明文信息包括用户名,密码,备注和URL,其进程执行注入程序后会被转储到%AppData%/roaming目录下中的CSV文件中。 该工具使用DLL注入在正在运行的KeePass进程的上下文中执行代码。通过首先注入适合体系结构的引导DLL来实现代码执行。这会在适当的应用程序域内生成一个运行的实例,随后执行KeeFarceDLL.dll。......
万方+网络攻击+机器学习
weixin_30287169的博客
11-25 264
1. 基于机器学习的入侵检测技术概述 - 数字安防/2016 入侵检测系统设计分析 机器学习、误用规则处理、网络数据包捕获以及数据预处理等四个部分构成,机器学习模块为该系统的关键环节 。 (一)机器学习模块。基于机器学习的入侵检测系统中的关键模块就是机器学习模块,利用该模块的训练功能可以让学习机完成检测入侵。 (二)网络数据包捕获模块。网络数据包捕获模块通常在监视和验证网络实时流量、工作情况等方面...
进程行为异常检测技术研究综述
"这篇论文是关于基于进程行为异常检测技术的研究综述,由孙美凤、黄飞、殷新春和龚俭等学者撰写,得到了国家‘973’计划和江苏省网络与信息安全重点实验室的资助。文章讨论了如何通过观察和建模进程行为来实现异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值