攻防论道 | 聚铭iNFA产品异常行为检测为阻断和防范新型威胁发挥强有力作用 – 作者:南京聚铭网络

当前，网络技术迅速发展，应用范围越发广泛，随着网络环境日趋复杂，网络中的不安全因素也不断的增加。主机不正常操作，人为攻击原因，以及网络故障等都会引起网络异常，尤其在网络安全方面，网络攻击产生的数据流会使网络性能出现异常，影响网络的正常服务，严重时可能造成网络瘫痪。因此，网络异常行为检测也显得尤为重要。

对于异常行为检测，聚铭网络流量智能分析审计系统集成了聚铭网络自主研发的智能动态基线、模式信息熵等生成算法。通过一段时间对学习对象的流量特征分析、建模，智能生成该对象多维度的网络特征，对于具有明显异常行为的对象进行告警。

现场应用

在为某高校安全服务过程中，我们发现客户网络环境存在大量安全隐患，其中包含较多的安全问题为暴力破解、明文传输、黑IP通讯等。其中挖出一个影响较大的安全问题，现将过程分享给大家。

我们使用网络流量智能分析审计系统，首先根据失陷分析页面，发现一台失陷Windows设备，另外在分析该设备的过程中，发现该设备存在大量连接通讯。

此时，敏感的我们立马察觉到了异样，猜测该机器可能感染了病毒。于是，我们开启了异常行为分析功能，经过10分钟的等待，系统报出该Windows设备短时间出现大量异常连接，另外又报出还有5台设备存在同样的问题。

我们使用未知威胁检测引擎，进一步确认该Windows机器中了永恒浪漫的变体病毒（一般通过基于规则的扫描器是无法发现）。经过与校方的沟通后，我们拿到了这台Windows设备的登录账号，经过本地检测，证实了确实存在该病毒。

最终，我们第一时间将其清除，并将其他受到影响的设备一一清理，避免了新型变种病毒持续扩散，危机得以解除。

对异常行为分析，系统会对网络数据的数字特征进行抽取，然后使用高斯法对特征进行归一化处理。由于抽取的特征较多，我们运用主成分方法进行降维处理，从而降低空间稀疏程度，突出变化的关键特征，使得降维后的数据就更加集中，更容易发现离群数据。最后，利用神经网络算法，对实际的流量进行学习，形成若干特征分类的流量数据，与实时接入的流量进行对比分析，判定是否存在异常情况。

综上所述，异常行为分析技术，可以检测从网络层到应用层的用户、服务器的异常行为，提前发现潜在威胁，从而进行预警和提前防范。

同时，在信息化发展不断深入、攻击技术日渐增多增强等前提下，异常行为分析技术可以很好地弥补传统防御必须知己知彼才能有效识别攻击的缺陷，可以为客户阻断和防范新型威胁发挥强有力的作用。

来源：freebuf.com 2021-03-01 17:47:00 by: 南京聚铭网络