机器学习(ML)为网络安全团队提供了识别那些与已知攻击特征不匹配的威胁的能力。传统的检测方法难以应对新型威胁和嘈杂环境。而基于机器学习的异常检测软件能够适应不断变化的模式，并通过学习在特定环境中何为“正常”来减少误报。

网络安全领域用于异常检测的机器学习(ML)主要分为三类：

监督学习：需要标记有正常和异常行为的数据。在网络安全中，该方法适用于针对已知攻击(如钓鱼或勒索软件活动)，但受限于高质量标记数据的可获取性。

无监督学习：是安全异常检测中最常用的类型，聚类、自编码器等无监督模型无需异常标记数据，即可学习正常行为模式。这类模型适用于SIEM平台等环境，因为这些环境中的数据大多未标记，且攻击者不断演变其策略。

半监督学习：利用大量的“正常”数据训练，并标记偏差，无需标记的攻击数据。这种方法在用户与实体行为分析(UEBA)系统中效果显著，因为理解用户行为基线是检测内部威胁或账户泄露的关键。

基于机器学习的异常检测常见的网络安全应用包括：

用户与实体行为分析(UEBA)：机器学习(ML)模型分析时间序列数据、日志序列和访问模式，以检测异常，例如凭据滥用和数据囤积。

网络异常检测：机器学习(ML)识别异常的协议使用、数据泄露以及命令控制流量——即使这些流量经过加密或混淆处理。

端点安全：基于行为的模型检测异常进程执行、文件修改和注册表更改，这些行为均表明可能存在恶意软件活动。

SIEM关联与告警：机器学习(ML)通过标记日志、事件和遥测数据中罕见或新兴的攻击模式，来增强基于规则的关联分析。