內部威脅檢測之異常檢測演算法

2021-10-04 09:20:15 字數 1002 閱讀 1037

一般現有的內部威脅檢測演算法都會被轉化為異常檢測來做,我個人認為在內部威脅檢測領域除了異常檢測這一killing part之外,識別攻擊動機以及區分異常和攻擊也是重點(大型立flag現場:另一篇**中了,我就寫這個),首先這篇文章就對現有的異常檢測演算法做乙個綜述。

內部威脅檢測主要是基於使用者的網路、檔案、裝置、郵件等審計日誌構建正常使用者行為模型,之後使用包括圖、機器學習、整合學習等方法對當前行為進行異常檢測。 •

基於機器學習的異常檢測方法

使用包括

svm、樸素貝葉斯等方法對使用者行為模型進行分類。 •

基於圖的

異常

檢測方法

最初基於行為樹

或行為圖

對使用者行為進行刻畫,並檢測圖的輸入、修改、刪除或異常

分支來檢測異常行為。之後將攻擊圖與攻擊概率

以及心理要素

結合來識別威脅行為

。基於圖的多領域知識結合的異常檢測演算法。 •

基於整合學習的異常檢測

方法

設計整合機器學習檢測演算法,對包含多個異常特徵或多個類別事件進行

檢測。

基於場景的異常檢測方法

• 設計

各類威脅場景,定義場景中預檢測的異常指標以及行為特徵等,之後設計演算法對威脅場景進行

檢測。

基於行為畫像的

異常

檢測

• 根據使用者的系統、網路行為審計資料構建使用者行為完整畫像,並根據使用者行為畫像偏離正常使用者及自身歷史的程度來檢測異常。

做到乙個完整的使用者行為畫像是研究趨勢,可以將異常進行分層從而對異常進行比較完整的刻畫,分別提取特徵(初級異常特徵、基於閾值的特徵、基於比較的特徵。。。)

異常檢測演算法 Isolation Forest

iforest isolation forest 是由liu et al.1 提出來的基於二叉樹的ensemble異常檢測演算法,具有效果好 訓練快 線性複雜度 等特點。iforest為聚類演算法,不需要標記資料訓練。首先給出幾個定義 iforest的基本思想非常簡單 完成異常點的isolation...

異常點檢測演算法

異常點檢測演算法 對於train data 中的資料,對其中重要的特徵 或者每個特徵 x1,x2,xn,計算其高斯分布 對new data,計算 x 每個特徵 在訓練資料分布下的 p 值並相乘,若p x 小於某個臨界值,則判斷其為異常點 什麼時候選擇使用 p x 根據分布概率來判斷異常點,什麼時候使...

機器學習之異常檢測演算法

下面來說下解釋下tp,fp,tn和fn tp true positive 真正例,即將乙個實際為正例的樣本正確的判斷為正例 fp false positive 假正例,即將乙個實際為負例的樣本錯誤的判斷為正例 tn true negtive 真負例,即將乙個實際為負例的樣本正確的判斷為負例 fn f...