《网络安全知识体系》
安全运营和事件管理（十二）
分析之异常检测

---

3 分析：分析方法

3.2 异常检测

异常检测是检测网络攻击的基本工具，因为有关攻击的任何知识都不足以提供覆盖范围。异常检测是一个领域，不仅研究非常活跃，而且已经就该主题授予了数千项专利。

异常检测的主要优点是它独立于特定漏洞的知识。从理论上讲，这可以检测0天攻击，前提是这些攻击有效地在跟踪中显示为偏差。此外，这些方法通常具有综合速度，这使它们能够跟上不断增长的跟踪量。s待处理。

但是，纯统计方法突出显示了分析师难以理解和合格的异常。缺乏精确的诊断，以及与安全性的明确联系（而不是与另一个原因相关的异常），需要深入了解受监控的系统和检测过程，这很难结合起来。因此，异常检测虽然大量销售，但作为检测的第一线，必须谨慎操作，因为它需要强大的领域知识来转换诊断的异常。转化为可操作的防御。异常检测应用于信息更丰富的警报流，在SIEM中通常更成功，并在较新的SIEM平台（如Elasticsearch-Kibana-Logstash堆栈）或商业工具（如Splunk）中实现。

异常检测从一开始就包含在Denning的模型中，并且多年来一直在发展。随着创建攻击特征的难度变得越来越大，IDPS供应商也将这些模型包含在他们的产品中。

3.2.1模型

异常检测依赖于模型的定义，根据该模型评估跟踪的当前观测值。非常早期的研究人员提出了行为模型来检测与规范的偏差。然而，在早期IDS原型（如Haystack和NDIES）中开发的统计模型不够准确，无法检测到熟练的攻击者。因此，多年来已经开发了更复杂的模型。

在网络异常检测中，模型必须首先定义是查看多个数据点还是将单个数据点与模型进行比较。数据点可以是数据包，也可以是完整的连接。模型还可以在连接之间进行关联，以检测跨越多个数据包的更复杂的攻击。这种行为的一个例子是Web流量和DNS流量之间的相关性。使用常规浏览器时，用户可能会在访问网站之前执行DNS请求;如果Web请求通过其IP地址直接对网站进行寻址，则异常可能会显现出来。当然，在这种情况下，必须考虑缓存现象。

网络异常检测的另一个有趣的方面是该技术的定义。无监督技术查看异常值，从数据中创建聚类，并使用距离来确定无法在聚类中覆盖的异常值。在这种技术中，选择成为每个数据点坐标的特征至关重要。功能组合必须有效地区分正常行为和攻击。创建聚类和测量距离的常用方法包括k最近邻或Mahalanobis距离。监督异常检测技术使用标记的特征来创建最佳聚类。支持向量机或C4.5经常用于此任务。

基于图形的模型表示网络和通信路径的结构。它们能够表示网络行为，突出显示通信模式的变化。这些技术还提供了有吸引力的可视化功能，使opera-tors能够权衡其网络各个部分之间的交换，以识别异常通信模式，然后进一步挖掘以将异常限定为与安全无关。

异常模型的选择非常重要。事实上，许多与异常检测相关的出版物都是在网络安全领域之外的统计、信号处理或信息融合等主题场所出版的。因此，该研究领域非常丰富，基本上是多学科的。

3.2.2规范与学习

异常检测的一种流行形式是基于规范的检测。攻击被视为违反系统规范。这种方法的关键问题是获得可以在跟踪中可靠地识别的规范_bookmark255。这种方法最初是为基于网络的IDPS开发的，例如Bro，它与Snort大约在同一时间开发，但遵循完全不同的方法。Bro被构建为一堆协议分析仪，在每一层检查捕获的信息与标准（在本例中为RFC）的一致性。

基于规范的检测有望在工业控制网络中进一步发展，其中规范更加精确，并且可以检测扰动。在这些网络中，由于由网络控制器引导的物理过程的底层控制环路，因此可以更好地指定行为。这还会产生异常情况检测算法可以选取的额外规律性。此外，系统规格更准确。

或者，当基本事实可用时，使用监督学习来创建模型，或者使用无监督学习来让模型自我组织。在这两种情况下，通常都需要选择一个阈值，该阈值将被视为正常的数据点与模型外部的数据点分开。机器学习技术在检测中的应用在第3.4节中进一步展开。

3.2.3遵守用例

异常检测的一个重要点是它符合用例，甚至可能是特定的部署。网络异常检测最初已广泛应用于TCP/IP网络，并且多年来一直专注于新的应用，涵盖adhoc网络，传感器网络以及最近的，工业控制系统恶意软件异常检测也已从个人计算机发展到Web恶意软件再到今天的Android恶意软件。

这种对用例的遵守对于创建模型、验证和测试非常重要。它要求运营商从一开始就了解其系统的行为，并拥有足够的业务领域知识，以了解异常现象为什么以及如何表现出来，以及它们对网络安全的重要性。必须特别注意将异常的检测与尽可能多的领域知识相关联，以诊断和鉴定异常。设备角色意味着不同的行为模型，因此对异常的资格也不同。

这种对用例的遵守也阻止了通用行为模型的定义和限定。因此，部署异常检测系统的操作员必须为一段时间的测试和认证做好准备。新系统、新服务或对现有系统或服务的升级也可能会扰乱现有模型，并需要重新认证。

原文始发于微信公众号（河南等级保护测评）：网络安全运营和事件管理（十二）：分析之异常检测