自适应异常检测:自校准与动态更新
超级会员免费看
自适应异常检测:通过自校准和动态更新实现高效防护
1. 异常检测系统概述
异常检测(AD)传感器在企业和组织的故障恢复系统中越来越受欢迎。基于主机和基于网络的入侵检测系统严重依赖AD组件来维持高检测率并最小化误报率,即使在检测过程中涉及其他非AD传感器时也是如此。
然而,AD系统的部署、操作和维护面临一个主要障碍,即传感器需要根据受保护站点的特征进行校准,并能够“适应”受保护系统行为的变化。我们的目标是仅使用受保护主机现有行为数据的内在属性,自动确定训练和长期运行所需的关键系统参数值。
2. 主要目标与贡献
我们的目标是创建一个全自动保护机制,提供高检测率,同时保持低误报率,并适应系统行为的变化。当前工作的主要贡献如下:
- 自校准 :识别训练数据的内在特征,如新内容的到达率和离群值水平。
- 自动自我净化 :通过根据观察到的流量特征自动选择先前提出的投票方法的自适应阈值,清除数据集中的攻击和异常,从而获得净化后的训练数据集。
- 自我更新 :在初始训练阶段之后,通过持续更新自校准和自净化模型,保持应用净化方法所获得的性能,并将其扩展到传感器的整个生命周期。
3. 基于时间分区的集成分类器
为了净化AD传感器的训练数据集,我们采用了“集成分类器”的概念。将大型训练数据集T划分为多个较小的不相交子集(微数据集):
[T = {md1, md2, …, mdN}]
其中,(mdi)是从时间((i - 1) * g)开始的微数据集,(g)是每个微数据集的粒度
订阅专栏 解锁全文
扫一扫
44
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
