在日前剛剛結束的RSA2013(美國)大會上，Blue Coat惡意軟件研究人員Chris Larsen談論了網絡中的異常行為，即員工及其電腦做出的奇怪的行為。安全部門需要保護企業員工及其電腦，但他們也應該追蹤這些異常行為。

例如，有一天，Larsen看到超過700個用戶訪問了惡意域名。然后，他將重點放在點擊超過6次的9名用戶上，發現其中一名用戶的名稱超過50個字符，這就很可疑。Larsen表示：“這可能是很可怕的東西，這也是我們試圖尋找的，潛在的高級的有針對性的攻擊。”

Larsen的數據來自于從Blue Coat的K9 Web保護瀏覽器插件收集的異常行為，該插件會警告用戶惡意網站，并執行控制。不過，企業也可以從防火墻日志來挖掘這些信息，將大量的日志數據轉變成關于潛在危險的情報信息。

防火墻和托管安全專家為企業提供了幾個方法來找出網絡中的異常行為：

1. 了解網絡

在收集數據之前，企業需要知道“正常”行為是什么樣的。Larsen只從Blue Coat的K9網絡獲取了5%的數據，因為這些是表現異常的行為。

托管安全供應商Dell Secureworks安全戰略主管Jeff Williams表示，企業也需要這樣做，通過分析其網絡，企業就可以知道哪些行為屬于異常行為，找出他們需要注意的5%的數據。

“如果你了解你的網絡，知道哪些系統應該和哪些其他系統通信，以及它們之間的通信情況，應該發生的頻率等，都能夠幫助了解何為‘正常行為’，”他表示，“只有你了解何為正常行為，才能夠找出異常行為。”

2. 收集所有數據

企業還需要配置其防火墻和其他設備來收集正確的數據。在很多情況下，企業只會存儲丟棄的流量，因為他們認為這些數據是最有趣的。但防火墻管理公司FireMon首席技術官Jody Brazil表示，最嚴重的攻擊往往能夠穿過防火墻。

他表示，企業通常會禁用最常用的防火墻規則上的日志，很多時候因為防火墻負擔過重。

Brazil表示：“如果防火墻在做自己的工作以及丟棄流量，而你信任你購買的這個技術，那我們為什么要將重點放在被丟棄的流量，而不是通過防火墻的流量?”

3. 找出愚蠢的異常行為

很多安全團隊試圖找出每個進入其網絡的威脅，他們很快就會不堪重負。事實上，企業應該從簡單的入手，找出那些看似愚蠢的異常行為，首先弄清楚是怎么回事。

Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團隊的工作量。在其RSA大會的展示中，他查看了訪問了被列為“可疑網站”的用戶，隨后設置了更高的標準，檢查點擊超過30個可疑網站的10名用戶，其中一名用戶訪問了37次包含35個x的.com頂級域名。他試圖找出異常行為中的異常行為，這往往可能是真正的目標。

4. 結合威脅情報

很多時候，安全團隊并不需要大量流量來發現惡意活動，而是流量的來向或去向。免費的黑名單和威脅數據源，再結合企業的防火墻日志，往往就能夠找出惡意攻擊。

Brazil表示，現在有很多像樣的威脅情報源，以及廉價的工具，企業可以結合這兩者與其防火墻數據來找出惡意活動。

5.回過頭來檢查

Blue Coat的Larsen表示，收集關于攻擊的情報能夠暴露攻擊者的動機，并同時幫助訓練安全團隊和事件響應者。然而，即使在系統被清理和調查結束后，檢查被感染的用戶仍然會有所收獲。