面向内部与未知威胁的行为分析与异常检测
概述
实际网络空间(战场环境)环境具有环境动态,数据海量的特点。如,在IDC网中,业务不同的节点之间一般不存在关联,但IDC又是通的,黑客会渗透,因此可能产生不应该有的关联。 OA内网中,员工间的异常交互行为也可能意味着高的内部风险; 用户对数据的访问行为,也是数据防护中的分析重点 0-day的漏洞,超出预期,只能通过(关键)行为进行检测,通过采集端、服务,做异常分析,不是基于安全的分析,可能检测出很多的异常,如何理解这些异常,是一个挑战。
##研究内容
- 如何从宏观的层面、以全局的视角感知异常,再进行有效的追溯?如当发现有新的链接,根据整体拓扑的情况,判断有没有问题。难点在自动化的处理,目前还没有对内网拓扑进行知识化,代价大。主要考虑核心的、高危的,覆盖关键的子域
- 如何基于行为分析,判断数据面临的风险/关键性?
##相关知识与研究方法 知识:指挥控制系统、计算机网络(边缘计算网络)、通信网络(无线通信网络) 方法与工具:复杂网络、数据分析、机器学习、数学建模及优化
##相关数据资源