| 摘要: | 行为异常的基线可以根据网络的特定性质进行定义。利用已建立的基线,在网络中检测到的不正常行为偏差可以被测量。任何有效地网络异常行为监测技术的准确性都与基线的建立相关。在局域网中,代理商的不同网络特性变化的也十分频繁;比如说,新的实体,像新的用户,申请和网络使能的仪器会不断地加入或者离开局域网。本发明是一种基于用户行为档案建立的基线。在局域网中,每个用户的行为档案都是独特的。没有两个人的行为会是相同的。一群有相似网络行为的用户特点可以用数据挖掘技术推断来建立一个群基线来检测网络行为异常。通过结合用户和群档案,检测系统可以测量网络应用的微小变化,就可以区分出好坏用户。使用该技术,行为异常的误报率就会降低,就可以在高度动态的局域网中使用。 |