基于异常的检测

Q: 基于异常的检测 是什么?

通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。 它属于网络安全的 网络安全 分类。

Q: 如何防御 基于异常的检测?

针对 基于异常的检测 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

基于异常的检测是什么?

基于异常的检测通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。

基于异常的检测使用统计模型、启发式规则或机器学习,学习网络、主机、用户或应用的"正常"状态,当观察到的活动显著偏离基线时发出告警。它是基于特征检测的有力补充,可以发现未知威胁、内部滥用、新型恶意软件以及任何特征都无法描述的隐蔽攻击。常见实现包括 UEBA、NDR/XDR 分析、基于 NetFlow 的行为基线和 DNS 流量画像。代价是误报增多——合法的变化也可能看起来反常——因此需要细心选择基线窗口、构建反馈闭环、调整阈值并由分析师评审,才能将异常转化为可调查的发现。

● 示例

01
UEBA 检测到一个服务账户突然在凌晨 2 点从新的国家发起认证。
02
NDR 在数据库服务器的出站流量在没有发布变更的情况下增长到原来的三倍时触发告警。

● 常见问题

基于异常的检测是什么?

通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。它属于网络安全的网络安全分类。

基于异常的检测是什么意思?

通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。

如何防御基于异常的检测?

针对基于异常的检测的防御通常结合技术控制与运营实践,详见上方完整定义。

基于异常的检测还有哪些其他名称?

常见的别称包括: 行为检测, 启发式检测。

基于异常的检测

基于异常的检测是什么?

● 示例

● 常见问题

● 相关术语

● 另见

基于异常的检测 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

基于异常的检测是什么?