Scan-to-Attack Cluster Intelligence

Scan-to-Attack Cluster Intelligence

日次source_ipクラスタリングにより、scanとattackの関係から怪しいグループを抽出します。

--

Cluster Date

--

UTC day

Source IPs

--

daily_source_ip_clusters

Clusters

--

KMeans cluster count

High Suspicion

--

suspicion_score ≥ 70

Anomalies

--

IsolationForest

Max Suspicion

--

source_ip max

Avg Suspicion

--

all source_ip average

Top Cluster

--

--

1. Cluster Size

source_ip count

2. Cluster Suspicion

avg / max score

3. Source IP Scatter

suspicion × anomaly

4. Top Tags / Profiles

cluster ingredients

5. Cluster Summary

daily_cluster_summary

6. Source IP Ranking

daily_source_ip_clusters / click row

source_ip行をクリックすると、クラスタ結果と特徴量の詳細を表示します。