2.1无监督方法尝试
由于原始问题是要找出大量样本中的少数特殊样本,我们在多个维度上运行了多种异常检测方法,并将TopN最异常的告警交由人类专家进行研判确认,从而评估模型的准确率。
2.2半监督方法尝试
2.3有监督方法尝试
-
降维步骤似乎并不总是有益的。除少数模型外,降维步骤甚至可能是有害的。 -
对于原始告警载荷特征向量直接使用SVR(支持向量回归)的效果压倒性地好于其它组合方法。
3.1已知攻击
3.2聚类采样+人工标注
3.3异常检测采样+人工标注
3.4上线后持续反馈
之后找出了Top10输出值最接近左上角(攻击意图向量为低试探性、高利用性)的告警,交予人类专家进行研判,结果如下(点击放大):
可见其中至少有8条告警可以确认为关键告警。
天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。
本文始发于微信公众号(绿盟科技研究通讯):【攻击意图评估:二】AI不好用?融入专家知识的告警筛选实战
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论