超级会员免费看
网络异常检测:现状、挑战与树基方法的潜力
1. 异常检测方法对比
在异常检测的研究领域中,不同的方法有着各自的特点。一些早期的工作,如[33],明确考虑了异常检测结果的可解释性因素。其异常检测方法是明确的分类方法,通过对连续字段进行密度估计聚类离散化,生成“规则森林”。具体操作是利用主机系统上命令和操作中频繁出现的模式生成多个规则树,再根据规则质量和规则所代表的观测数量对这些树进行修剪。
与之相比,[31]也依赖树结构,但更侧重于平均在树中经过较少层级就到达叶节点的点,因为它默认离群数据与正常数据的生成过程不同,所以寻找包含较少点的区域。而基于规则的系统,像[33]和[27],更强调数据中的条件关系,实际上是在估计树的最终分区基于先前路径的密度。
此外,[33]将其系统“Wisdom and Sense”结果的可解释性作为明确的设计目标,认为异常解决最终需由人类完成。该系统的规则由分类变量的组合表示,比支持向量机的高维投影或分类数据转换为二进制向量后盲目投影到高维单位立方体的方法更易于人类解释。
2. 异常检测系统部署现状
遗憾的是,由于诸多复杂因素,异常检测系统的部署实验结果并不多见。早期方法,如[33]和[34],通常只在内部专有的数据上报告结果。当这些系统在其他地方测试时,发现许多配置细节高度依赖特定站点,需要额外的调整。
随着网络流量的增加和异常检测方法计算复杂度的提高,将此类检测器部署到实际运行环境的报告并不广泛。不过,[36]是一个例外,它在骨干网络环境中部署了多个专有异常检测系统。但该研究中商业产品使用的异常检测方法细节不可用,且大部分检测到的异常与异常流量模式有关,而非内容(如shell代码、蠕虫、特洛伊木马等)
订阅专栏 解锁全文
扫一扫
1920
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
