Какие методы используются для обнаружения аномальной активности в сети?

Некоторые методы, которые используются для обнаружения аномальной активности в сети:

• Анализ сетевого трафика и поведенческий анализ. 1 Включают изучение истории подключений с помощью статистических приёмов, создание профилей нормальной активности пользователей. 1 Анализируют такие параметры, как время, частота и объём передаваемых данных. 1
• Глубокий анализ пакетов (Deep Packet Inspection, DPI). 1 Специалисты по безопасности обращают внимание на аномальные временные интервалы соединений, подозрительные изменения объёма трафика или попытки скрытной коммуникации с внешними ресурсами. 1
• Сигнатуры или методы, основанные на знаниях. 2 Сигнатура точно описывает, какой тип данных ищет система. 2 Например, это может быть поиск пакета с одинаковыми IP-адресами отправителя и получателя или поиск определённого содержимого в пакете. 2
• Алгоритмы машинного обучения. 23 Искусственный интеллект может изучить ожидаемое поведение и определять отклонения от него. 2 Применяются такие алгоритмы, как дерево решений, правило пульсаций, случайный лес и байесовская сеть. 3
• Обнаружение аномалий на основе кластеризации. 5 Основано на предположении, что сходные точки данных имеют тенденцию объединяться в группы, что определяется их близостью к локальным центроидам. 5
• Обнаружение аномалий на основе плотности. 5 Метод требует помеченных данных. 5 Основан на предположении, что нормальные точки данных, как правило, встречаются в плотном окружении, в то время как аномалии появляются нечасто. 5
• Обнаружение аномалий на основе машины опорного вектора. 5 SVM — это нейронная сеть, которая хорошо подходит для классификации линейно разделимых бинарных шаблонов. 5