今天,TT安全发布了一篇译文——在零日检测中使用基于异常的监控,向大家介绍了两种基本的基于异常的检测技术,以及多种异常分析模型,最后还提到了BDA。译文中有几处翻译本人认为并不确切,如果有兴趣,可以看看原文。

文中对这两种基本的异常检测技术的称呼是:heuristic method and the policy profile method,我翻译为启发式方法和策略轮廓方法。

用我的理解来说,其实就是指动态基线和指标基线。

动态基线技术在流量异常检测中已经广泛应用,包括周期性基线和非周期性基线,非周期性基线也称作预测基线。我们已经在安管平台中用上了这种技术,他通过对流量数据的建模建立起了关键分析对象(例如源/目的IP)的行为轮廓(Behavior Profile),并进而对实测流量进行同比/环比分析,从而判定可能的异常。这种技术尤其对DoS类***检测有效,还有就是一些小流量的突变行为(例如APT***中的信息渗漏环节)。建立行为轮廓的过程其实也是一个机器学习的过程。另外,这个部分还有太多可以阐述的,以后有机会我会更详细地加以说明。

指标基线最容易让人想到的就是配置基线。不过在进行基于指标基线的异常检测时所涵盖的基线范围比配置项更大。国际上有个GCC的东西【不是GNU C Compiler哦】,可以看看。指标基线就是从表征一个对象或者环境的安全运行/状态参数中选取关键性的指标,设定这些指标的基线,然后通过与实测环境/对象的比较来查找异常。例如某个主机能/不能运行某些进程,开放某些端口,这是比较浅显的。还有比较复杂的,就是对对象/环境的指标建模,甚至是自动化的动态建模,很多沙箱技术/0day恶意代码检测技术都用到了这类方法。