異常行為分析是一種檢測未知威脅的一種新型技術，它是一種通過不斷收集歷史流量數(shù)據(jù)，建立流量和行為模型的一種“動態(tài)檢測”技術，有別于基于特征檢測的防火墻只能檢測到庫文件中已有威脅的“靜態(tài)檢測”。

　　為什么需要異常行為分析？

　　異常行為檢測技術可以檢測從網(wǎng)絡層到應用層的用戶、服務器的異常行為，提前發(fā)現(xiàn)潛在威脅。技術原理上主要是在網(wǎng)絡層通過新建會話數(shù)、新建報文數(shù)等幾十種參量進行流量跟蹤；而在應用層可以通過收集訪問者和服務器不同維度的訪問記錄，對協(xié)議進行深度剖析，數(shù)據(jù)關聯(lián)分析及對比，判斷是否為異常行為或未知威脅，進行預警和提前防范。

　　在信息化發(fā)展、應用深入而且不斷增多、新的漏洞不斷被發(fā)現(xiàn)、攻擊技術增強等因素共同作用下，網(wǎng)絡攻擊正變得更加智能化和復雜化。基于預先特征庫的下一代防火墻、入侵防御等安全設備，由于其原理是必須在了解攻擊特征的前提下才能進行有效防御，因此這類設備對新型攻擊、未曾出現(xiàn)的攻擊，無法做到防御。

　　所謂安全，是既能夠防范已知的威脅，還要同時對新型威脅做出判斷和預警，在其發(fā)生破壞之前阻斷或者控制它。異常行為分析技術的出現(xiàn)可以很好地彌補這一“傳統(tǒng)設備”的缺陷，對阻斷和防范新型威脅發(fā)生發(fā)揮有效的作用。

　　異常行為分析可以分析什么？

　　總體上可以分為兩點，通過網(wǎng)絡層特征檢測DDoS攻擊，以及通過應用層特征檢測其他復雜攻擊。

　　網(wǎng)絡層異常行為的分析，通過對流經(jīng)設備的流量進行連續(xù)、實時監(jiān)控來分析流量信息，利用統(tǒng)計分析、關聯(lián)分析和機器學習等多種技術手段來檢測流量和用戶或應用行為中的異常模式，以發(fā)現(xiàn)異常行為。異常可以與同類對象做比較而得出，也可以與歷史數(shù)據(jù)做比較而得出。

　　應用層特征檢測攻擊基于用戶行為的分析，對需要保護的目標建立一個動態(tài)、自適應的訪問模型。不論通過正常情況下的訪問模型，還是在攻擊發(fā)生時，都會有一定的特點，判斷其某些行為特征與正常的訪問是否有所區(qū)別，通過量化某些應用協(xié)議的維度，異常行為分析模型可以發(fā)現(xiàn)這種差異，進而識別出哪些是“正常的”，哪些是“異常的”。

　　異常行為分析如何工作？

　　目前國內(nèi)安全廠商中，采用這一技術的不多，山石網(wǎng)科公司是目前在該項技術上比較完備的，其研發(fā)生產(chǎn)的智能下一代防火墻將這一技術實現(xiàn)了產(chǎn)品落地，并有客戶為此買單，根據(jù)初步的結果顯示，用戶對此產(chǎn)品比較滿意。

　　山石網(wǎng)科采用的異常行為分析基于歷史流量的多維度觀測，采用基線和自適應機器學習等方法，通過流量在不同維度的變化發(fā)現(xiàn)異常，進而使用數(shù)據(jù)回溯的方式定位攻擊來源或目的地。此方法非常適用于捕獲數(shù)據(jù)流量異常，如DoS/DDoS、應用層DoS、SPAM、掃描攻擊等。下面以異常行為分析方法如何檢測到HTTP DoS舉例。

　　HTTP DoS等是令各大廠商以及互聯(lián)網(wǎng)企業(yè)最頭疼的。它的巨大危害性主要表現(xiàn)在三個方面：發(fā)起方便、過濾困難、影響深遠。首先，攻擊者并不需要控制大批的傀儡機，取而代之的是通過端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的HTTP代理或者SOCKS代理，攻擊者通過匿名代理對攻擊目標發(fā)起HTTP請求；其次，攻擊在HTTP層發(fā)起，極力模仿正常用戶的網(wǎng)頁請求行為，與網(wǎng)站業(yè)務緊密相關；最后，攻擊會引起嚴重的連鎖反應，不僅僅是直接導致被攻擊的Web前端響應緩慢，還間接攻擊到后端的Java等業(yè)務層邏輯以及更后端的數(shù)據(jù)庫服務，增大它們的壓力，甚至對日志存儲服務器都帶來影響。

　　異常行為分析方法首先可以根據(jù)角色不同（如受害者和攻擊者兩種不同的角色）做不同的分析檢測。比如，對于受害者在持續(xù)一段時間內(nèi)（比如設定120 s）HTTP協(xié)議的內(nèi)連新建會話數(shù)和內(nèi)連活躍會話數(shù)都比較高，那么在這兩個條件同時超出了各自的上線閾值時即被評定為網(wǎng)絡異常參量，即構成了HTTP DoS這種異常行為。這只是其中一種方法，與之相關聯(lián)的其他參量有異常也會認為可能造成HTTP DoS攻擊。利用異常行為分析方法可以提前發(fā)現(xiàn)未知威脅提前告警。