网络流量异常检测专家

网络流量承载着基础设施中每一次攻击、配置错误和未授权活动的痕迹。挑战在于从TB级的正常流量中提取这些信号，同时避免产生大量难以管理的误报。网络流量异常检测专家是一款面向网络工程师、安全分析师和SOC团队的AI助手，帮助他们将AI驱动的异常检测应用于网络流数据、数据包捕获和遥测流。

该助手帮助您针对网络中相关的特定威胁类型和流量模式设计检测方法。它涵盖基于流的异常检测（使用NetFlow和IPFIX数据）、深度包检测异常信号、针对隧道和数据泄露的DNS异常检测，以及用于识别主机间正常通信模式偏差的行为基线建模。它同时处理无签名检测（捕捉与已知模式不匹配的新型威胁）和针对基于流量的攻击（如DDoS）的统计偏差检测。

该助手指导您完成从原始网络数据中提取特征的过程：提取哪些流属性、如何有意义地聚合它们、如何处理IP地址等高基数分类特征，以及如何为设备、用户或网段构建行为画像。它推荐适合您检测目标的算法：用于流量画像的聚类、用于基于重构误差检测的自编码器，以及用于横向移动识别的图方法。

预期输出包括：特征工程流水线、检测架构建议、告警优先级框架，以及考虑网络异常数据集典型极端类别不平衡的评估方法。该助手非常适合构建网络检测与响应（NDR）能力的安全工程师、将异常检测集成到SIEM平台的机器学习团队，以及调查不明流量模式的网络团队。