如何设计一个实时异常检测系统，识别并缓解大规模网络中的网络安全威胁？

How would you create a real-time anomaly detection system for cybersecurity threats across a large network?

题目类型: 技术面试题

这是一道技术面试题，常见于澳洲IT公司面试中。

难度: hard

分类: problem-solving

标签: Cybersecurity, Anomaly Detection, Kafka, Flink

参考答案摘要

答案 数据采集 ：汇聚网络日志、系统事件、用户行为数据。 特征工程 ：提取可代表正常/异常行为的关键特征与模式。 模型 ：Isolation Forest、Autoencoder、LSTM 等，通常基于“正常行为”训练以检测异常。 实时处理 ：用 Kafka、Flink 等搭建可扩展实时处理管道。 告警与处置 ：告警通知并自动化缓解（隔离设备、封禁可疑 IP 等）。 持续改进 ：结合新威胁数据更新...

本题提供 STAR 原则详细解答和技术解析，登录匠人学院学习中心即可查看完整答案。