日韩好吊妞中文字幕在线,日韩一区二区中文字幕,国产毛片天天看女人高潮,91精品国产免费自在线观看

安全談：異常行為分析是如何工作的？

【賽迪網(wǎng)-IT技術(shù)訊】異常行為分析，是一種檢測(cè)未知威脅的一種新型技術(shù)，它是一種通過(guò)不斷收集歷史流量數(shù)據(jù)，建立流量和行為模型的一種“動(dòng)態(tài)檢測(cè)”技術(shù)，有別于基于特征檢測(cè)的防火墻只能檢測(cè)到庫(kù)文件中已有威脅的“靜態(tài)檢測(cè)”。

為什么需要異常行為分析？

異常行為檢測(cè)技術(shù)可以檢測(cè)從網(wǎng)絡(luò)層到應(yīng)用層的用戶、服務(wù)器的異常行為，提前發(fā)現(xiàn)潛在威脅。技術(shù)原理上主要是在網(wǎng)絡(luò)層通過(guò)新建會(huì)話數(shù)、新建報(bào)文數(shù)等幾十種參量進(jìn)行流量跟蹤；而在應(yīng)用層可以通過(guò)收集訪問(wèn)者和服務(wù)器不同維度的訪問(wèn)記錄，對(duì)協(xié)議進(jìn)行深度剖析，數(shù)據(jù)關(guān)聯(lián)分析及對(duì)比，判斷是否為異常行為或未知威脅，進(jìn)行預(yù)警和提前防范。

在信息化發(fā)展、應(yīng)用深入而且不斷增多、新的漏洞不斷被發(fā)現(xiàn)、攻擊技術(shù)增強(qiáng)等等因素共同作用下，網(wǎng)絡(luò)攻擊正變得更加智能化和復(fù)雜化?；陬A(yù)先特征庫(kù)的下一代防火墻、入侵防御等安全設(shè)備，由于其原理是必須在了解攻擊特征的前提下才能進(jìn)行有效防御，所以這類(lèi)設(shè)備對(duì)新型攻擊、未曾出現(xiàn)的攻擊，無(wú)法做到防御。

所謂安全，是既能夠防范已知的威脅，還要同時(shí)對(duì)新型威脅做出判斷和預(yù)警，在其發(fā)生破壞之前阻斷或者控制它。異常行為分析技術(shù)的出現(xiàn)可以很好地彌補(bǔ)這一“傳統(tǒng)設(shè)備”的缺陷，對(duì)阻斷和防范新型威脅發(fā)生有效的作用。

異常行為分析可以分析什么？

總體上可分兩點(diǎn)，通過(guò)網(wǎng)絡(luò)層特征檢測(cè)DDoS攻擊，以及通過(guò)應(yīng)用層特征檢測(cè)其他復(fù)雜攻擊。

網(wǎng)絡(luò)層，異常行為分析技術(shù)通過(guò)對(duì)流經(jīng)設(shè)備的流量進(jìn)行連續(xù)、實(shí)時(shí)監(jiān)控來(lái)分析流量信息，利用統(tǒng)計(jì)分析、關(guān)聯(lián)分析和機(jī)器學(xué)習(xí)等多種技術(shù)手段來(lái)檢測(cè)流量和用戶或應(yīng)用行為中的異常模式，以發(fā)現(xiàn)異常行為。異?？梢耘c同類(lèi)對(duì)象做比較而得出，也可以與歷史數(shù)據(jù)做比較而得出。

應(yīng)用層特征檢測(cè)攻擊，基于用戶行為的分析，對(duì)需要保護(hù)的目標(biāo)建立一個(gè)動(dòng)態(tài)、自適應(yīng)的訪問(wèn)模型。通過(guò)正常情況下的訪問(wèn)模型，在攻擊發(fā)生時(shí)，都會(huì)有一定的特點(diǎn)，判斷其某些行為特征上會(huì)與正常的訪問(wèn)是否有所區(qū)別，通過(guò)量化某些應(yīng)用協(xié)議的維度，異常行為分析模型可以發(fā)現(xiàn)這種差異，進(jìn)而識(shí)別出哪些是“正常的”，哪些是“異常的”。

異常行為分析如何工作？

目前國(guó)內(nèi)安全廠商中，采用這一技術(shù)的不多，山石網(wǎng)科公司是目前在該項(xiàng)技術(shù)上比較完備的，其研發(fā)生產(chǎn)的智能下一代防火墻相將這一技術(shù)實(shí)現(xiàn)了產(chǎn)品落地，并有客戶為此買(mǎi)單，根據(jù)初步的結(jié)果顯示，用戶對(duì)此產(chǎn)品比較滿意。

山石網(wǎng)科采用的異常行為分析基于歷史流量的多維度觀測(cè)，采用基線和自適應(yīng)機(jī)器學(xué)習(xí)等方法，通過(guò)流量在不同維度的變化發(fā)現(xiàn)異常，進(jìn)而使用數(shù)據(jù)回溯的方式定位攻擊來(lái)源或目的地。此方法非常適用于捕獲數(shù)據(jù)流量異常，如DoS/DDoS、應(yīng)用層DOS、SPAM、掃描攻擊等等。下面以異常行為分析方法如何檢測(cè)到HTTP DoS舉例。

HTTP DOS等是令各大廠商以及互聯(lián)網(wǎng)企業(yè)最頭疼的。它的巨大危害性主要表現(xiàn)在三個(gè)方面：發(fā)起方便、過(guò)濾困難、影響深遠(yuǎn)。一方面，攻擊者并不需要控制大批的傀儡機(jī)，取而代之的是通過(guò)端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的HTTP代理或者SOCKS代理，攻擊者通過(guò)匿名代理對(duì)攻擊目標(biāo)發(fā)起HTTP請(qǐng)求。另一方面，攻擊在HTTP層發(fā)起，極力模仿正常用戶的網(wǎng)頁(yè)請(qǐng)求行為，與網(wǎng)站業(yè)務(wù)緊密相關(guān)；最后，攻擊會(huì)引起嚴(yán)重的連鎖反應(yīng)，不僅僅是直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，還間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫(kù)服務(wù)，增大它們的壓力，甚至對(duì)日志存儲(chǔ)服務(wù)器都帶來(lái)影響。

異常行為分析方法首先可以通過(guò)角色不同，如受害者和攻擊者兩種不同的角色做不同的分析檢測(cè)。比如，對(duì)于受害者在持續(xù)一段時(shí)間內(nèi)（比如設(shè)定120秒）HTTP協(xié)議的內(nèi)連新建會(huì)話數(shù)和內(nèi)連活躍會(huì)話數(shù)都比較高，那么在這兩個(gè)條件同時(shí)超出了各自的上線閾值時(shí)即被評(píng)定為網(wǎng)絡(luò)異常參量，即構(gòu)成了HTTP Dos這種異常行為。這只是其中一種方法，與之相關(guān)聯(lián)的其他參量有異常也會(huì)認(rèn)為可能造成HTTP Dos攻擊。利用異常行為分析方法可以提前發(fā)現(xiàn)未知威脅提前告警。

?