使用机器学习异常检测攻击行为

简介

一般现有的内部威胁检测算法都会被转化为异常检测来做。

内部威胁检测领域除了异常检测之外。

识别攻击动机以及区分异常和攻击也是重点。

异常检测算法

内部威胁检测主要是基于用户的网络、文件、设备、邮件等审计日志构建正常用户行为模型，之后使用包括图、机器学习、集成学习等方法对当前行为进行异常检测。

• 基于机器学习的异常检测方法

使用包括SVM、朴素贝叶斯等方法对用户行为模型进行分类。

• 基于图的异常检测方法

最初基于行为树或行为图对用户行为进行刻画，并检测图的输入、修改、删除或异常分支来检测异常行为。之后将攻击图与攻击概率以及心理要素结合来识别威胁行为。基于图的多领域知识结合的异常检测算法。

• 基于集成学习的异常检测 方法

设计集成机器学习检测算法，对包含多个异常特征或多个类别事件进行检测。

• 基于场景的异常检测方法

• 设计 各类威胁场景，定义场景中预检测的异常指标以及行为特征等，之后设计算法对威胁场景进行 检测。

• 基于行为画像的 异常 检测

• 根据用户的系统、网络行为审计数据构建用户行为完整画像，并根据用户行为画像偏离正常用户及自身历史的程度来检测异常。

做到一个完整的用户行为画像是研究趋势，可以将异常进行分层从而对异常进行比较完整的刻画，分别提取特征（初级异常特征、基于阈值的特征、基于比较的特征等）。