當基于簽名的模式最初被引入互聯網安全時，是作為一種過濾流量的更快的決策模式，當時簽名數據庫還是可管理的，并且零日攻擊只是想象得到，一般不會執行。

然而，當試圖為不斷增加的新簽名擴展簽名模式時，問題就出現了。今年三大臭名昭著的惡意軟件(即Stuxnet、Duqu和Flame)暴露了基于簽名的技術的弊端，這些惡意軟件能夠在不被檢測到的情況下實施攻擊。因為對于各種基于簽名的產品而言，這些惡意軟件是未知的。除了這三個惡意軟件，多態惡意軟件和模糊技術同樣暴露了簽名技術和零日檢測的不足之處。

這些惡意軟件的攻擊事件讓安全社區的很多人呼吁使用基于異常的監控模式。在本文中，我們將介紹基于異常的惡意軟件監控以及探索這種模式給企業惡意軟件防御帶來的好處。

定義基于異常的監控

基于異常的監控模式并不是一個新概念，事實上，這是一種舊的安全模式，以前被稱為“全部拒絕”或者“允許特例”。在互聯網安全早期階段，在Web成為服務前端之前，這種模式非常流行，當時服務更少且更易于管理。

想要理解基于異常的監控模式，首先需要了解異常的定義：偏離正常;奇怪的條件、情況或者質量;不協調或不一致之處。在基于異常的監控模式定義中，重要的是，要明白每一個異常并不一定代表惡意事件，并且，異常檢測技術歷來都存在誤報的問題。

異常是指不正常的事件，這也就意味著人對異常的處理決定著異常是否為惡意事件。在本文的后面，我們將介紹基于異常的監控模式中可以幫助決策者的一些可用的工具和方法。

異常采集的過程

為了理解異常檢測技術如何運作，我們有必要初步討論一些采集技術。采集技術可分為兩種基本類型：啟發式方法和政策標準方法。

啟發式方法依賴于研究環境，這種方法主要是采集網絡流量的統計數據。采集引擎將分析網絡流量，并采集IP地址、服務和流量的統計數據。然后進行統計分析，以確定網絡環境中的最高值和最低值、平均值和其他相關流量數據。接著，基于這些不同的數值建立標準，流量隨后會與所設立的正常基準進行對比。與基準匹配的流量將被認為是正常流量，而所有其他流量被視為異常。啟發式方法提供了更快的設置，但這種方法更容易將惡意事件視為正常行為，例如，當在“學習”階段出現惡意活動時。

另一種采集技術是政策標準方法，有時也被稱為知識標準方法。這種方法借鑒于軟件可靠性中使用的運行標準定義。在這種方法中，標準可以被當做可執行的進程及其相關概率。如果說啟發式方法依賴于研究環境的機器，那么，政策標準方法則依賴于操作員，操作員需要了解環境并能夠通過已知數據建立標準到機器，操作員還需要了解政策、服務、資產以及服務如何訪問網絡中的資產。隨后，這些知識被量化和輸入到標準中。這種政策標準模式非常適用于小型受限的環境，而這種模式最大的缺點就是需要勞動密集型的前期工作來定義標準。大型企業環境可能認為這種模式成本太高，尤其是考慮到這種方法同樣可能產生很多誤報。

每種方法都有各自的長處和短處。在這兩種方法中，異常處理都屬于勞動密集型工作，且需要決策者。雖然異常檢測技術提供處理異常的方法，實際上，它們只是提供決策支持功能，仍然需要知識淵博的網絡管理分析師來處理異常。在安全領域，分析師歷來被視為是薄弱環節，但基于異常監控方法的發展非常依賴于分析師的角色。

#p#

異常處理

潛在的模型有決策樹、模糊邏輯、神經網絡、馬爾可夫和聚類分析等模型。異常處理可以依賴于幾個模型中的任一個模型或者模型組合。在大多數情況下，這些模型可以在任一采集環境中運作，但它們通常只適用于一個環境。

決策樹類似于攻擊樹和錯誤樹，其結構主要基于可被視為故障的事件，然后通過反向分析來確定導致故障的原因或活動錯誤。由于故障或入侵的原因通常不是單個事件，這種分析非常適用于模型組合。然而，為了建立一個代表樹，預測各種問題的能力變得非常重要，否則，零日攻擊將可能威脅到這種模型。鑒于其離散性，這種方法適用于操作基于政策/標準的數據。

邏輯模糊主要適用于異常檢測和惡意行為之間的灰色地帶。這種處理方法基于模糊集理論，其特征在于判斷是否存在本質近似，模糊邏輯通常會提供平均流量模式以及從平均值得出的標準偏差值范圍。有了這些信息，用戶可以確定哪些行為應被認為是異常行為。統計學家和數學家批評模糊邏輯技術缺乏嚴格的界限，他們通常更愿意選擇概率模型。這種方法可用于基于政策/標準或啟發式采集技術。

神經網絡，顧名思義，可以被認為是人類神經系統的數學表達式，這種模型通常用于預測分析。神經網絡可以通過理解輸入到輸出的映射來創建一個標準，通過研究過去的模式，預測未來的模式。這個標準可以幫助創建一個趨勢，然后使用概率模型來幫助可視化和確定相關異常事件和活動的可能性。當這種分析應用于流量和資產時，神經網絡可以幫助解釋異常行為。雖然這種模型在兩種情況下都可以使用，但神經網絡通常應用于啟發式采集技術。

貝葉斯分析依賴于對所有路徑的了解以及加權路徑的能力，它有時被用于神經網絡異常檢測來進行入侵檢測。加權路徑可以基于流量數據、過去的攻擊模式、其他標準或標準組合。加權的值將被轉換成百分比，從而使操作員基于量化值(用于預測漏洞)來分配資產。貝葉斯分析能與兩種采集技術協同使用，不過，它常用于啟發式采集技術。

馬爾可夫模型也可用于分析概率系統(狀態發生變化時)，這種模型可用于幾種采集方法。當建模離散空間時，馬爾可夫過程被稱為馬爾可夫鏈，該模型被稱為離散空間馬爾可夫模型。當建模一個沒有得到很好定義的空間時，部署的馬爾可夫模型被稱為連續空間馬爾可夫模型。同樣，對于指定固定時間間隔轉換的時間空間，需要使用離散時間馬爾可夫模型，而在任何時間允許轉換的模型被稱為連續時間馬爾可夫模型。

通過結合馬爾可夫建模和回報分析，馬爾可夫回報分析提供了有意義的數據，這些數據可用于評估潛在的入侵異常行為。馬爾可夫模型選擇基于問題空間。靜態的良好定義的環境(例如基于政策/標準環境中定義的環境)使用離散模型，而與啟發式相關的更流暢的環境則更適合連續時間/空間馬爾可夫模型。

當確定數據中的模式時，聚類分析很好用，因為它提供了對網絡活動的可視化支持。由于惡意事件通過不只針對站點的一個資產目標，它們通常是相關的，而不是單一活動。新異常活動將反映在聚類中，這些聚類經常會形成模式。雖然聚類分析可用于顯示各種模式，但確定必要的參數仍然需要不斷努力。聚類分析可以用于任一采集方法。

基于異常監控的未來

因為很多上面描述的方法適用于在大型企業環境，大數據的增長將繼續推動異常檢測技術和更好的可視化工具。與現有的基于簽名的技術相比，基于異常監控模型可能捕捉更多惡意活動，例如零日攻擊、內部人員威脅和高級持續性威脅。

捕捉和處理如此龐大數據量的能力極具吸引力，但處理異常數據還需要大量的額外工作，并需要安全專家在分析編寫方面的技能。企業部署基于異常的監控仍然需要一定時間。混合模式有可能最先出現，大型企業中的小團體使用政策/標準方法，而大團體則使用啟發式方法。探索使用新模式中遇到的困難并不是簡單的事情，但異常檢測模式提供的優勢將提高整體系統和網絡安全態勢。