當(dāng)基于簽名的模式最初被引入互聯(lián)網(wǎng)安全時(shí)，是作為一種過(guò)濾流量的更快的決策模式，當(dāng)時(shí)簽名數(shù)據(jù)庫(kù)還是可管理的，并且零日攻擊只是想象得到，一般不會(huì)執(zhí)行。

然而，當(dāng)試圖為不斷增加的新簽名擴(kuò)展簽名模式時(shí)，問(wèn)題就出現(xiàn)了。今年三大臭名昭著的惡意軟件(即Stuxnet、Duqu和Flame)暴露了基于簽名的技術(shù)的弊端，這些惡意軟件能夠在不被檢測(cè)到的情況下實(shí)施攻擊。因?yàn)閷?duì)于各種基于簽名的產(chǎn)品而言，這些惡意軟件是未知的。除了這三個(gè)惡意軟件，多態(tài)惡意軟件和模糊技術(shù)同樣暴露了簽名技術(shù)和零日檢測(cè)的不足之處。

這些惡意軟件的攻擊事件讓安全社區(qū)的很多人呼吁使用基于異常的監(jiān)控模式。在本文中，我們將介紹基于異常的惡意軟件監(jiān)控以及探索這種模式給企業(yè)惡意軟件防御帶來(lái)的好處。

定義基于異常的監(jiān)控

基于異常的監(jiān)控模式并不是一個(gè)新概念，事實(shí)上，這是一種舊的安全模式，以前被稱(chēng)為“全部拒絕”或者“允許特例”。在互聯(lián)網(wǎng)安全早期階段，在Web成為服務(wù)前端之前，這種模式非常流行，當(dāng)時(shí)服務(wù)更少且更易于管理。

想要理解基于異常的監(jiān)控模式，首先需要了解異常的定義：偏離正常;奇怪的條件、情況或者質(zhì)量;不協(xié)調(diào)或不一致之處。在基于異常的監(jiān)控模式定義中，重要的是，要明白每一個(gè)異常并不一定代表惡意事件，并且，異常檢測(cè)技術(shù)歷來(lái)都存在誤報(bào)的問(wèn)題。

異常是指不正常的事件，這也就意味著人對(duì)異常的處理決定著異常是否為惡意事件。在本文的后面，我們將介紹基于異常的監(jiān)控模式中可以幫助決策者的一些可用的工具和方法。

異常采集的過(guò)程

為了理解異常檢測(cè)技術(shù)如何運(yùn)作，我們有必要初步討論一些采集技術(shù)。采集技術(shù)可分為兩種基本類(lèi)型：?jiǎn)l(fā)式方法和政策標(biāo)準(zhǔn)方法。

啟發(fā)式方法依賴于研究環(huán)境，這種方法主要是采集網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)。采集引擎將分析網(wǎng)絡(luò)流量，并采集IP地址、服務(wù)和流量的統(tǒng)計(jì)數(shù)據(jù)。然后進(jìn)行統(tǒng)計(jì)分析，以確定網(wǎng)絡(luò)環(huán)境中的最高值和最低值、平均值和其他相關(guān)流量數(shù)據(jù)。接著，基于這些不同的數(shù)值建立標(biāo)準(zhǔn)，流量隨后會(huì)與所設(shè)立的正常基準(zhǔn)進(jìn)行對(duì)比。與基準(zhǔn)匹配的流量將被認(rèn)為是正常流量，而所有其他流量被視為異常。啟發(fā)式方法提供了更快的設(shè)置，但這種方法更容易將惡意事件視為正常行為，例如，當(dāng)在“學(xué)習(xí)”階段出現(xiàn)惡意活動(dòng)時(shí)。

另一種采集技術(shù)是政策標(biāo)準(zhǔn)方法，有時(shí)也被稱(chēng)為知識(shí)標(biāo)準(zhǔn)方法。這種方法借鑒于軟件可靠性中使用的運(yùn)行標(biāo)準(zhǔn)定義。在這種方法中，標(biāo)準(zhǔn)可以被當(dāng)做可執(zhí)行的進(jìn)程及其相關(guān)概率。如果說(shuō)啟發(fā)式方法依賴于研究環(huán)境的機(jī)器，那么，政策標(biāo)準(zhǔn)方法則依賴于操作員，操作員需要了解環(huán)境并能夠通過(guò)已知數(shù)據(jù)建立標(biāo)準(zhǔn)到機(jī)器，操作員還需要了解政策、服務(wù)、資產(chǎn)以及服務(wù)如何訪問(wèn)網(wǎng)絡(luò)中的資產(chǎn)。隨后，這些知識(shí)被量化和輸入到標(biāo)準(zhǔn)中。這種政策標(biāo)準(zhǔn)模式非常適用于小型受限的環(huán)境，而這種模式最大的缺點(diǎn)就是需要?jiǎng)趧?dòng)密集型的前期工作來(lái)定義標(biāo)準(zhǔn)。大型企業(yè)環(huán)境可能認(rèn)為這種模式成本太高，尤其是考慮到這種方法同樣可能產(chǎn)生很多誤報(bào)。

每種方法都有各自的長(zhǎng)處和短處。在這兩種方法中，異常處理都屬于勞動(dòng)密集型工作，且需要決策者。雖然異常檢測(cè)技術(shù)提供處理異常的方法，實(shí)際上，它們只是提供決策支持功能，仍然需要知識(shí)淵博的網(wǎng)絡(luò)管理分析師來(lái)處理異常。在安全領(lǐng)域，分析師歷來(lái)被視為是薄弱環(huán)節(jié)，但基于異常監(jiān)控方法的發(fā)展非常依賴于分析師的角色。

#p#

異常處理

潛在的模型有決策樹(shù)、模糊邏輯、神經(jīng)網(wǎng)絡(luò)、馬爾可夫和聚類(lèi)分析等模型。異常處理可以依賴于幾個(gè)模型中的任一個(gè)模型或者模型組合。在大多數(shù)情況下，這些模型可以在任一采集環(huán)境中運(yùn)作，但它們通常只適用于一個(gè)環(huán)境。

決策樹(shù)類(lèi)似于攻擊樹(shù)和錯(cuò)誤樹(shù)，其結(jié)構(gòu)主要基于可被視為故障的事件，然后通過(guò)反向分析來(lái)確定導(dǎo)致故障的原因或活動(dòng)錯(cuò)誤。由于故障或入侵的原因通常不是單個(gè)事件，這種分析非常適用于模型組合。然而，為了建立一個(gè)代表樹(shù)，預(yù)測(cè)各種問(wèn)題的能力變得非常重要，否則，零日攻擊將可能威脅到這種模型。鑒于其離散性，這種方法適用于操作基于政策/標(biāo)準(zhǔn)的數(shù)據(jù)。

邏輯模糊主要適用于異常檢測(cè)和惡意行為之間的灰色地帶。這種處理方法基于模糊集理論，其特征在于判斷是否存在本質(zhì)近似，模糊邏輯通常會(huì)提供平均流量模式以及從平均值得出的標(biāo)準(zhǔn)偏差值范圍。有了這些信息，用戶可以確定哪些行為應(yīng)被認(rèn)為是異常行為。統(tǒng)計(jì)學(xué)家和數(shù)學(xué)家批評(píng)模糊邏輯技術(shù)缺乏嚴(yán)格的界限，他們通常更愿意選擇概率模型。這種方法可用于基于政策/標(biāo)準(zhǔn)或啟發(fā)式采集技術(shù)。

神經(jīng)網(wǎng)絡(luò)，顧名思義，可以被認(rèn)為是人類(lèi)神經(jīng)系統(tǒng)的數(shù)學(xué)表達(dá)式，這種模型通常用于預(yù)測(cè)分析。神經(jīng)網(wǎng)絡(luò)可以通過(guò)理解輸入到輸出的映射來(lái)創(chuàng)建一個(gè)標(biāo)準(zhǔn)，通過(guò)研究過(guò)去的模式，預(yù)測(cè)未來(lái)的模式。這個(gè)標(biāo)準(zhǔn)可以幫助創(chuàng)建一個(gè)趨勢(shì)，然后使用概率模型來(lái)幫助可視化和確定相關(guān)異常事件和活動(dòng)的可能性。當(dāng)這種分析應(yīng)用于流量和資產(chǎn)時(shí)，神經(jīng)網(wǎng)絡(luò)可以幫助解釋異常行為。雖然這種模型在兩種情況下都可以使用，但神經(jīng)網(wǎng)絡(luò)通常應(yīng)用于啟發(fā)式采集技術(shù)。

貝葉斯分析依賴于對(duì)所有路徑的了解以及加權(quán)路徑的能力，它有時(shí)被用于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)來(lái)進(jìn)行入侵檢測(cè)。加權(quán)路徑可以基于流量數(shù)據(jù)、過(guò)去的攻擊模式、其他標(biāo)準(zhǔn)或標(biāo)準(zhǔn)組合。加權(quán)的值將被轉(zhuǎn)換成百分比，從而使操作員基于量化值(用于預(yù)測(cè)漏洞)來(lái)分配資產(chǎn)。貝葉斯分析能與兩種采集技術(shù)協(xié)同使用，不過(guò)，它常用于啟發(fā)式采集技術(shù)。

馬爾可夫模型也可用于分析概率系統(tǒng)(狀態(tài)發(fā)生變化時(shí))，這種模型可用于幾種采集方法。當(dāng)建模離散空間時(shí)，馬爾可夫過(guò)程被稱(chēng)為馬爾可夫鏈，該模型被稱(chēng)為離散空間馬爾可夫模型。當(dāng)建模一個(gè)沒(méi)有得到很好定義的空間時(shí)，部署的馬爾可夫模型被稱(chēng)為連續(xù)空間馬爾可夫模型。同樣，對(duì)于指定固定時(shí)間間隔轉(zhuǎn)換的時(shí)間空間，需要使用離散時(shí)間馬爾可夫模型，而在任何時(shí)間允許轉(zhuǎn)換的模型被稱(chēng)為連續(xù)時(shí)間馬爾可夫模型。

通過(guò)結(jié)合馬爾可夫建模和回報(bào)分析，馬爾可夫回報(bào)分析提供了有意義的數(shù)據(jù)，這些數(shù)據(jù)可用于評(píng)估潛在的入侵異常行為。馬爾可夫模型選擇基于問(wèn)題空間。靜態(tài)的良好定義的環(huán)境(例如基于政策/標(biāo)準(zhǔn)環(huán)境中定義的環(huán)境)使用離散模型，而與啟發(fā)式相關(guān)的更流暢的環(huán)境則更適合連續(xù)時(shí)間/空間馬爾可夫模型。

當(dāng)確定數(shù)據(jù)中的模式時(shí)，聚類(lèi)分析很好用，因?yàn)樗峁┝藢?duì)網(wǎng)絡(luò)活動(dòng)的可視化支持。由于惡意事件通過(guò)不只針對(duì)站點(diǎn)的一個(gè)資產(chǎn)目標(biāo)，它們通常是相關(guān)的，而不是單一活動(dòng)。新異常活動(dòng)將反映在聚類(lèi)中，這些聚類(lèi)經(jīng)常會(huì)形成模式。雖然聚類(lèi)分析可用于顯示各種模式，但確定必要的參數(shù)仍然需要不斷努力。聚類(lèi)分析可以用于任一采集方法。

基于異常監(jiān)控的未來(lái)

因?yàn)楹芏嗌厦婷枋龅姆椒ㄟm用于在大型企業(yè)環(huán)境，大數(shù)據(jù)的增長(zhǎng)將繼續(xù)推動(dòng)異常檢測(cè)技術(shù)和更好的可視化工具。與現(xiàn)有的基于簽名的技術(shù)相比，基于異常監(jiān)控模型可能捕捉更多惡意活動(dòng)，例如零日攻擊、內(nèi)部人員威脅和高級(jí)持續(xù)性威脅。

捕捉和處理如此龐大數(shù)據(jù)量的能力極具吸引力，但處理異常數(shù)據(jù)還需要大量的額外工作，并需要安全專(zhuān)家在分析編寫(xiě)方面的技能。企業(yè)部署基于異常的監(jiān)控仍然需要一定時(shí)間。混合模式有可能最先出現(xiàn)，大型企業(yè)中的小團(tuán)體使用政策/標(biāo)準(zhǔn)方法，而大團(tuán)體則使用啟發(fā)式方法。探索使用新模式中遇到的困難并不是簡(jiǎn)單的事情，但異常檢測(cè)模式提供的優(yōu)勢(shì)將提高整體系統(tǒng)和網(wǎng)絡(luò)安全態(tài)勢(shì)。