UEBA 学术界研究现状——用户行为异常检测思路：序列挖掘prefixspan，HMM，LSTM/CNN，SVM异常检测，聚类CURE算法

论文 技术分析
《关于网络分层信息泄漏点快速检测仿真》 "1、基于动态阈值的泄露点快速检测方法,采样Mallat算法对网络分层信息的离散采样数据进行离散
小波变换;利用滑动窗口对该尺度上的小波系数进行加窗处理,计算离散采样数据窗函数包含区间的
小波熵,实现有效去噪和特征提取。
2、将泄露点检测值和滑动窗口中平均熵值之间的差与动态阈值作比较,判断是否存在泄露点。"
"《基于云计算入侵检测数据集的内网用户异常行为分类
算法研究》" "采用Weka机器学习软件工具自带的典型分类算法对云计算入侵检测数据集进行分类研究,并通过
软件工程方法实现了用于内网用户异常行为分类的朴素贝叶斯算法.对恶意行为和正常行为分类的
实验结果显示。"
《基于用户行为分析的入侵检测应用模型的研究》 "1、基于用户行为的分析模块
a、用户行为采集
b、用户行为建模（静态建模、动态建模）
c、用户行为分析
2、模型数据结构
a、用户行为特征数据结构
b、用户行为模式数据接口
c、报警数据数据结构
"
《基于模式挖掘的用户行为异常检测》 "针对Telnet会话中用户执行的shell命令,利用数据挖掘中的关联分析和序列挖掘技术对用户行为
进行模式挖掘的方法,分析了传统的相关函数法在应用于序列模式比较时的不足,提出了基于递归
式相关函数的模式比较算法,根据用户历史行为模式和当前行为模式的比较相似度来检测用户行为
中的异常。"
《基于支持向量机的web用户行为异常检测方法》 "针对应用层用户行为异常检测存在的难点,本文提出了基于无监督支持向量杌的应用层用户行为异常检测的方法.实验结果表明.基于超平面和超球面的One-classSVM算法对应用层用户异常行为具有
较高的检测率。"
《基于用户画像的异常行为检测》 "采集用户的行为数据形成用户画像,从而建立检测模型.模型通过对用户行为进行特征提取,运用机
器学习的方法对正常用户的行为进行学习,通过马氏距离和孤立森林算法判定受测行为是否异常.
模型比较了两种算法的性能,结果表明该模型在模拟实验中能够快速准确地检测出异常用户"
《基于CURE算法的网络用户行为分析》 "从安全的角度分析网络用户行为,建立了一个基于Netflow统计的用户行为向量数据模型,提出了一
个网络用户行为的分析框架,建立了一个分析流程.针对存储网络用户行为的大型数据库选用了一个
合适的聚类算法即CURE算法,对CURE算法进行了基于实际应用的改进。？"
《基于Fuzzing技术的云数据泄露漏洞检测》 "针对Web应用存在接口枚举、越权与敏感信息回传三种逻辑漏洞，分析云数据服务Web应用的业务
逻辑,建立抽象三种逻辑漏洞的威胁模型,设计漏洞Fuzzing检测算法和系统框架,实现原型系统检测云数据泄露。"