No estoy seguro de lo que quieres decir con alto rendimiento. Pero en cualquier sistema de aprendizaje basado en anomalías, si aumenta la sensibilidad (es decir, muestra con más frecuencia), está aumentando la vista granular que puede ver el dispositivo. Tal será capaz de aprender mejor, pero también expulsa muchos falsos positivos.
Para los cuadros de NBA (análisis de comportamiento de red), las frecuencias de muestreo suelen ser 1/2048 o 1/1024. Muestrear más requerirá más potencia de procesamiento, pero crea un mejor perfil de los usuarios, el tráfico, los patrones, etc.
Lo que su sistema necesita saber son fechas o eventos que no puede entender. Fechas límite del proyecto, días festivos, horas de operaciones, usuarios que trabajan en horas impares, etc. Este perfil ayuda a reducir los falsos positivos (de los cuales obtendrá muchos).
- ¿Por qué nadie detuvo el virus WannaCry antes?
- Cómo obtener un alto rendimiento para un sistema de detección de intrusos basado en anomalías
- Cómo proteger mi MacBook Pro de ladrones
- ¿Por qué crees que se están publicando los malwares de la CIA / NSA?
- ¿Qué sucede detrás de la pantalla una vez que haces clic en Guardar contraseña?
El rendimiento de cualquier NBA es tan bueno como las firmas que tiene y el perfil que mantiene, cualquier cosa fuera de control se marca como una anomalía.
