网络安全
基于异常的检测
别称: 行为检测, 启发式检测
定义
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
基于异常的检测使用统计模型、启发式规则或机器学习,学习网络、主机、用户或应用的"正常"状态,当观察到的活动显著偏离基线时发出告警。它是基于特征检测的有力补充,可以发现未知威胁、内部滥用、新型恶意软件以及任何特征都无法描述的隐蔽攻击。常见实现包括 UEBA、NDR/XDR 分析、基于 NetFlow 的行为基线和 DNS 流量画像。代价是误报增多——合法的变化也可能看起来反常——因此需要细心选择基线窗口、构建反馈闭环、调整阈值并由分析师评审,才能将异常转化为可调查的发现。
示例
- UEBA 检测到一个服务账户突然在凌晨 2 点从新的国家发起认证。
- NDR 在数据库服务器的出站流量在没有发布变更的情况下增长到原来的三倍时触发告警。
相关术语
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
NDR(网络检测与响应)
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
UEBA(用户与实体行为分析)
一种安全分析方法,先对用户与实体的正常行为建立基线,再标记出可能预示账号失陷或内部滥用的统计性偏差。
Threat Hunting
Threat Hunting — definition coming soon.
Indicator of Attack (IoA)
Indicator of Attack (IoA) — definition coming soon.