Darktrace异常行为检测算法

算法架构

算法的输入是某个主机设备的网络特征数据,如流量、SMB读的请求次数、DNS请求次数等。主机的行为数据由两个部分组成:

  1. 原始网络特征数据;
  2. 计算数据,如平方根、对数、SVM支持向量机输出、偏离因子等;

对于历史数据,和实时监测到的数据,主要有三类算法进行计算:

  1. 正常行[……]

    Read more