在信息安全领域中,对信息资产的异常行为检测是相对困难的问题,特别是在无标记的数据集中定位某些未知的异常行为,这要求能充分找出历史数据中可以作为信息资产行为基线之内容,从而形成可靠的参照基准,并基于此对数据进行归纳和比对,分析可能存在的未知威胁。该文利用机器学习中的谱聚类算法分析相关信息资产的历史网络通信数据,基于相似性方法提取特征,建立行为基线。将待检测数据与基线进行比对,当出现一定程度的偏离则认为存在行为异常。该文所提方法可对广泛存在于网络空间中的未知威胁进行识别,以弥补传统基于签名方式的检测方法的缺失。

• 单位
  南京邮电大学