UEBA参数文档
模型说明
一些模型在特定场景、特定网站有效,但大多数其他站点下效果不好,因此没有放到默认参数里。这可能和站点的特性有关,但尚不明确具体因素。
因此要注意,并不是所有模型都有良好效果。
1.
2.
3.
[后]的是训练后修改有效的参数,没有标注的在训练后即使修改了也是无效的。1. URL 单维度 Isolation Forest 模型
模型说明:用于检测URL维度的孤立森林异常点。
模型内部名称:ueba.models.single_dim.url.iForest
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| max_samples | 1 | [0, 1] | 从数据中抽取的最大样本数量 | 调小可以减少计算量,但可能降低模型效果;调大相反 |
| contamination | auto | auto或浮点数 | 异常值比例 | 自动调整基于数据,设置特定值则会固定异常比例 |
| count_threshold | 20 | >= 0 | 计数阈值 | 增大阈值减少敏感性,减少阈值增加敏感性 |
| use_weight | true | true/false | 是否使用权重 | 使用权重可能提高精度,但增加计算复杂度 |
| output_col | url.iforest | 字符串(仅冲突修改) | 输出列名 | 无影响 |
2. URL 单维度 PCA 模型
模型说明:用于检测URL维度的主成分分析异常点。
模型内部名称:ueba.models.single_dim.url.PCA
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| n_components | 2 | 正整数 | 主成分数量 | 增加组件数能提高捕捉信息量,但增加计算复杂度 |
| reconstruction_error_threshold_percent | 99.9 | (0, 100] | 重构误差百分位阈值 | 调高会减少异常检测率,调低会增加异常检测率 |
| reconstruction_error_threshold | null | null或浮点数 | 重构误差阈值[后] | 设定具体值可以固定检测标准,null使用百分比阈值 |
| output_col | url.pca | 字符串(仅冲突修改) | 输出列名 | 无影响 |
3. URL 单维度 KNN 模型
模型说明:用于检测URL维度的K近邻异常点。
模型内部名称:ueba.models.single_dim.url.KNN
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| contamination | 0.01 | (0, 1] | 异常值比例 | 调高会增加异常检测率,调低会减少异常检测率 |
| output_col | url.knn | 字符串(仅冲突修改) | 输出列名 | 无影响 |
4. 用户代理(UA)单维度 Isolation Forest 模型
模型说明:用于检测用户代理维度的孤立森林异常点。
模型内部名称:ueba.models.single_dim.ua.iForest
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| max_samples | 1 | [0, 1] | 从数据中抽取的最大样本数量 | 调小可以减少计算量,但可能降低模型效果;调大相反 |
| contamination | auto | auto或浮点数 | 异常值比例 | 自动调整基于数据,设置特定值则会固定异常比例 |
| count_threshold | 20 | >= 0 | 计数阈值 | 增大阈值减少敏感性,减少阈值增加敏感性 |
| use_weight | true | true/false | 是否使用权重 | 使用权重可能提高精度,但增加计算复杂度 |
| output_col | ua.iforest | 字符串(仅冲突修改) | 输出列名 | 无影响 |
5. 用户代理(UA)单维度 PCA 模型
模型说明:用于检测用户代理维度的主成分分析异常点。
模型内部名称:ueba.models.single_dim.ua.PCA
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| n_components | 2 | 正整数 | 主成分数量 | 增加组件数能提高捕捉信息量,但增加计算复杂度 |
| reconstruction_error_threshold_percent | 99.9 | (0, 100] | 重构误差百分位阈值 | 调高会减少异常检测率,调低会增加异常检测率 |
| reconstruction_error_threshold | null | null或浮点数 | 重构误差阈值[后] | 设定具体值可以固定检测标准,null使用百分比阈值 |
| output_col | ua.pca | 字符串(仅冲突修改) | 输出列名 | 无影响 |
6. 用户代理(UA)单维度 KNN 模型
模型说明:用于检测用户代理维度的K近邻异常点。
模型内部名称:ueba.models.single_dim.ua.KNN
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| contamination | auto | auto或浮点数 | 异常值比例 | 自动调整基于数据,设置特定值则会固定异常比例 |
| output_col | ua.knn | 字符串(仅冲突修改) | 输出列名 | 无影响 |
7. 日志多维度 Isolation Forest 模型
模型说明:用于检测日志维度的多维孤立森林异常点。
模型内部名称:ueba.models.multi_dim.log.iForest
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| max_samples | 0.6 | (0, 1] | 从数据中抽取的最大样本比例 | 调小可以减少计算量,但可能降低模型效果;调大相反 |
| contamination | auto | auto或浮点数 | 异常值比例 | 自动调整基于数据,设置特定值则会固定异常比例 |
| n_jobs | -1 | 整数 | 并行处理的作业数量 | 调大可以提高计算速度,但需要更多的系统资源 |
| output_col | log.iforest | 字符串(仅冲突修改) | 输出列名 | 无影响 |
8. 时间切片�统计偏差箱线法
模型说明:用于检测时间切片维度的向量化的日志统计偏差箱线法异常点。偏差过小通常意味着相似行为,过大通常意味着大量随机值。但一般偏差过小时,遭受CC攻击的可能性更确定一些。过大时可能意味着FUZZING,但也可能只是用户差异较大。
模型内部名称:ueba.models.set_level.timeslice.DeviationBox
| 参数 | 默认值 | 取值范围 | 含义 | 调整影响 |
|---|---|---|---|---|
| threshold_by | box | box/percent/fixed/mean/median | 阈值类型[后] | 默认box箱线法自动调整,percent按照指定百分比,fixed固定值,mean均值法,median中位数法 |
| threshold_bound | lower | both/upper/lower | 阈值边界[后] | lower检测低值异常,upper检测高值异常,both两者都检查 |
| threshold_upper_percent | 0.98 | (0, 1] | 阈值上百分位 | 调高减少异常检测率,调低增加异常检测率 |
| threshold_lower_percent | 0.02 | (0, 1] | 阈值下百分位 | 调高减少异常检测率,调低增加异常检测率 |
| threshold_upper | null | null或浮点数 | 上阈值[后] | 设定具体值可固定检测标准,null使用百分比阈值 |
| threshold_lower | null | null或浮点数 | 下阈值[后] | 设定具体值可固定检测标准,null使用百分比阈值 |
| threshold_req_count | 100 | 整数 | 阈值要求计数[后] | 增大减少敏感性,减少增加敏感性 |
| threshold_local_quantile | 0.1 | (0, 1] | 阈值局部分位[后] | 增大减少局部异常检测,减少增加局部异常检测 |
| time_slice | 1T | 时间字符串(仅冲突修改) | 时间切片间隔 | 调整切片间隔会影响数据的分段精度T代表分钟数 |
| output_col | timeslice.deviationbox | 字符串(仅冲突修改) | 输出列名 | 无影响 |
9. 精选维度 Isolation Forest 模型
模型说明:用于检测选择维度的孤立森林异常点。
模型内部名称:ueba.models.set_level.timeslice.SelectedDimIForest
10. 马尔可夫链模型
模型说明:用于检测序列维度的马尔可夫链异常点。
模型内部名称:ueba.models.set_level.sequence.MarkovChain
修改于 2024-06-25 12:15:37